数字经济时代的数据安全风险与治理探索

时间:2024-04-18
作者: 刘娟、桑元

随着移动互联网、云计算、物联网和人工智能的不断发展和应用,世界经济正加速向以数字经济为重要发展方向的经济模式转变。

数字经济一方面极大地促进了经济增长,逐渐成为经济增长的主要动力源泉;另一方面也提高了经济发展的质量,成为促进实体经济转型升级、推动供给侧结构性改革的重要支撑。在数据作为交换媒介实现巨大经济价值的同时,数据跨界流转的速度越来越快,数据安全问题日益凸显,网络攻击、信息泄露、数据篡改、数据损毁等事件屡见不鲜,严重制约了数字经济的发展,甚至危害到人民生命财产安全与国家安全。因此,数据安全是数据要素市场发展的重要保障,是合法、合规、有序地推动数据使用和价值变现的基础。

在全面推进数字经济发展过程中,必须要加强数据安全能力建设,以高水平安全来保障数字经济的高质量发展。

一、数据安全保障能力是国家竞争力的直接体现

(一)数据安全是实现数字经济高质量发展的重要保障

随着数字中国战略的深入实施,中国数字经济发展迅猛。根据国家税务总局公布的数据,2023年中国数字经济核心产业销售收入同比增长8.7%,较2022年增长2.1个百分点。数字经济正在迈向实体产业之间双融合的高质量发展阶段。这就要求数据要素加速共享与流通,有效发挥数据价值,实现从数据资源到数据要素,最后到数据资产,再到数据资本的转变。但是,数据权属关系、估值定价机制、流通规则、数据安全等问题形成了数据流通的技术壁垒与区域壁垒。因此,完善数据安全治理、保障数据安全是筑牢数字安全屏障的重要内容,是促进数字经济健康发展的重要保障。

(二)数据安全治理成为全球数据资源竞争的有效手段

数据作为数字经济的核心组成部分,对于塑造国家的核心竞争力至关重要。现阶段,一个国家数据资源的多少与利用情况成为新形势下国际竞争力的关键要素之一,能够直接影响到该国在全球的经济政治影响力,各主权国家均意识到数据资源背后所蕴含的战略价值。为了更有效获取数据资源、提升国际竞争力,全球各国已将数据安全治理纳入政治议题,各国竞相完善数据安全相关法律法规,在数据安全领域开展战略博弈,保护或争夺数据资源,以争取更多的数据控制权。现阶段全球数据安全治理机

制已无法有效协调各主权国家之间差异化的治理需求与理念,全球数据安全治理体系面临多元博弈的局面。

(三)国家政策持续加码,推动数据安全能力和体系建设

2023年2月27日,中共中央、国务院印发的《数字中国建设整体布局规划》中明确,数字中国建设要夯实数字基础设施和数据资源体系“两大基础”,要筑牢可信可控的数字安全屏障。近几年来,我国加快出台数据安全方面的立法进程,加强防范数据安全风险。相继出台了《网络安全法》《数据安全法》《密码法》《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全管理办法》等多项政策法规,以及《信息安全技术个人信息安全规范》《数据安全风险评估管理办法》等行业规章制度,为数据安全行业的规范化发展、数据安全领域的技术发展和应用深化提供了指导和参考,为数据安全产业的发展提供了良好的政策保障。

二、数字经济发展过程中的安全风险日益凸显

(一)数据泄露事件呈现愈演愈烈之势

当前,大数据、物联网、人工智能等新兴前沿技术快速发展,已经衍生出更具有持续性和隐蔽性的数据安全风险,给数字经济安全保障工作带来极大的挑战。数据安全威胁的爆发性、危害性与日俱增,对国家安全、经济发展、社会发展和个人隐私都带来了严峻挑战。在

各行业数字化转型的大背景下,互联网承载的数据越来越丰富,数据作为新型生产要素,只有流动才能创造更大价值。然而,随着跨行业、跨部门、跨层级、跨地域、跨系统、跨业务的数据采集、存储、传输、使用等场景的与日俱增,数据在创造更大价值的同时,重要数据和个人隐私信息遭篡改、泄露等问题也越发突出,数据滥用、暗网交易等黑灰产活动日益猖獗,对个人财产、经济运行、公共利益和国家安全都带来了严重威胁。

(二)数据共享交易过程需要解决交易可信的问题

数字经济经过不断演进和发展,现已步入数据驱动的发展阶段。数据开放利用可以将数据作为资产直接变现,实现数据增值和收益,继而形成重要的竞争优势。但由于相关数据共享交易规则不透明、法律法规约束不充分、数据安全防护技术措施不到位,海量数据在共享交易过程中必然潜伏着各种危机。一方面,滥用信息、倒卖个人数据的情况屡见不鲜,这是由于数据采集、流通与共享等环节缺乏个人信息收集使用的规范标准、数据使用主体的权责界定不清、数据安全保障制度与技术措施不完善,引发的违规使用个人信息或数据滥用的问题。另一方面,数据逆向分析等技术给数据脱敏清洗带来更大的挑战,即便是经过脱敏、匿名化处理后可视化的数据商品,依然存在被关联分析得到原始数据信息的可能性。此外,由于数据交易和使用的合法性很难界定,阻碍了数据流通,而面对市场上数据供需矛盾突

出的问题,地下数据交易市场规模却不断壮大,针对个人信息的违规收集和恶意利用等行为也变得日益猖獗。

(三)数字贸易背景下的数据跨境流动风险

随着经济全球化发展,国际合作交流更为频繁,数据跨境传输、访问和使用的频次大幅提升,推动数据跨境流动不再局限于个人数据,政府和企业等所有主体都有数据跨境流动的可能。由于技术漏洞以及各国立法监管不完善等因素,数据跨境流动带来的风险渗透于数据全生命周期的各个环节。在跨境电商、跨境普惠金融变得更加频繁,虚拟世界与现实世界交互性加强的同时,海量数据不断汇聚积累,这些数据遍布金融、能源、测绘、地图、通信等各个行业。在数据跨境流动过程中,如何对海量数据进行全面梳理分类和有效监管仍是挑战。数据规模庞大与技术环境实时变化叠加,增加了数据分类分级难度。数据价值评估基准不统一,对重复加工生成的衍生数据状态判断不明,使得数据跨境流动风险难以有效预测。此外,以数据为目标的跨境攻击也变得更为频繁,这些经由网络攻击获取的数据,以黑灰产形式流入地下数据交易市场,将进一步加剧数据跨境流动风险。

三、中国数据安全防护与治理的技术探索

当前,随着数字经济的蓬勃发展,中国始终坚持维护数据安全与促进数据开发利用并重,相互促进,来推动数据安

全产业的快速发展、保障数字经济的平稳运行。中国数据安全防护与治理的实践经验凝聚着政策、制度、技术等多方面的探索,其中数据安全防护与治理技术体系是实现数据安全保障的重要支撑。

(一)中国数据安全防护与治理体系架构

由于数据的广泛性、分散性、多样性、复杂性等特性,数据资产发现与梳理、数据分类分级、权限管控、数据合规、数据分析、数据流转等成为众多用户共同面临的难题。因此,数据安全防护与治理体系的建立要从管理体系、技术体系到运营体系形成一体化的系统工程。其中,管理体系更偏向于自上而下的组织、制度、流程建设,只有制度的完善才能让组织上下全体实现数据安全的目标;技术体系主要是保障数据全生命周

期的安全所采取的相应技术手段;运营体系旨在真正实现数据安全“事前、事中、事后”运营流程的过程,三者缺一不可。数据安全防护与治理应当是从建立组织架构→梳理应用需求→梳理数据资产→引进数据安全平台技术→建设数据全流程管控→数据应用安全→数据安全运营的全面系统工程。

(二)中国数据安全防护与治理产品体系

随着数字化转型的推进,数据规模越来越庞大,数据交互越来越复杂,应用越来越多,数据安全面临着合规监管要求、流动共享风险、数据基础设施安全风险等方面的挑战。中国数据安全防护与治理的主要做法也是围绕满足数据安全合规、保障数据流动共享中的安全和数据基础设施安全来开展的。中国数据安全防护与治理市场分为数据安全防护与治理产品和数据安全防护与治理服务两部分。其中,数据安全产品分为安全防护类产品、安全治理类产品以及特定场景数据保护产品。数据安全治理类产品是针对数据资产进行识别、分析和管控的产品,通过扫描企业资源来识别数据资产并确定其资产数据的敏感度,将数据进行分类分级,从而实施数据治理策略。数据安全防护类产品分为密码类、检测类、防护类、访问控制类、管控类以及溯源类6个类别。特定场景的数据保护产品是指在数据共享交易、数据跨境、个人隐私保护、数据销毁、数据灾备等环境下的数据安全保护类产品。数据安全服务指从前期规划设计咨询、分类分级、合规性评估,到数据风险评估、

数据安全运营、数据安全第三方评估与检测等各个环节的数据安全服务工作。

四、建议

(一)加强数据安全治理机制建设

构建数据基础制度,把数据安全治理贯穿构建数据基础制度体系全过程,从国家、地方、行业等多个层面加强数据安全制度建设。适应数字经济发展要求,规范数据流通共享和数据权利义务的相关法律法规,进一步健全数据安全制度顶层设计,推动顶层设计与基础制度相辅相成。在地方层面,重点围绕公共数据采集、共享、开发应用等,依法出台数据安全方面的地方性法规和地方政府规章。在行业层面,在能源、交通、金融、电信等关键信息基础设施行业出台行业性

数据安全自律规范,推动制度细化完善。

(二)构建数据安全多方协同治理体系

数据安全必须加快构建由政府部门、企业、安全厂商、社会组织等共同参与的数据安全协同治理体系,共同保障数据安全,统筹推进数据要素资源的安全管理与安全运营的保障工作。积极发挥政府和行业协会等主体作用,加强对数据安全治理规则、相关标准制定的组织引导,强化各行业自我监管和跨行业协同监管,确保关键基础设施领域重要数据的安全。明确各类平台和企业等市场主体在数据安全治理方面的责任,落实数据流通交易声明和承诺制,完善数据登记及披露制度。建立数字化思维,提升居民个体维护自身数据安全保护意识和素养,减少数据泄露风险。

(三)健全数据安全流动的风险评估工作

数字经济时代数据安全事件频发,开展数据安全风险评估是企业做好数据安全保护的重要环节,是主管部门落实监管职能的重要抓手,也是各方履行法定义务的必要程序。推动企业积极开展数据安全流动的风险评估和安全认证活动,帮助企业掌握数据安全总体状况,发现数据安全隐患,确定防护策略及预防风险行为。依据相关法律法规及行业标准规范,全面识别企业数据资产,做好数据分类分级工作,对业务数据流动链路进行梳理和识别,判断其合规性及风险性。数据安全风险评估的重点是要从业务角度,识别各个业务场景以及数据流

动全链路过程,最后在评估基础上采取安全措施,从而降低数据安全风险。

(四)加快数据安全技术的研发和推广应用

加大对数据安全基础理论、前沿技术和关键技术研究的支持力度,着力提升包括数据安全产品和服务在内的综合技术能力,推动数据安全技术在各个领域的广泛应用,以数据安全技术创新强化数据安全保障能力。推动数据安全核心技术攻关,加大在区块链、可信计算等关键前沿技术领域的科研投入与人才储备,打造相关技术领域的自主创新能力。构建数据安全产品体系,发展面向重点行业领域特色需求的精细化、专业型数据安全产品,推动关键产品多元化供给,提高产业链供应链韧性。探索完善数据确权、数据开放、数据交易相关技术,推动数据依法合理有效利用和有序流动,促进以数据为关键要素的数字经济发展。加强政务数据安全保护,强化数字化公共服务平台、重要行业领域数字基础设施和新型基础设施的数据安全防护能力。

(刘娟 桑元 赛迪顾问股份有限公司网络与数据安全研究中心)