随着数据成为重要的国家战略资源和推动经济发展质量变革、效率变革、动力变革的新型生产要素,数据安全对数据要素有序流通、护航数字经济发展、维护国家安全意义重大。尤其当前各类数据的拥有主体多样、处理活动复杂,数据安全面临的挑战更加错综复杂。欧美等国家持续加强数据安全领域前瞻性战略布局,从“安全需求”视角出发,逐步探索构建精细化的数据安全治理能力,抢占数字经济发展先机。党和国家高度重视,不断推进数据安全保护工作。党的二十大报告作出“以新安全格局保障新发展格局”的战略部署,要求重点强化数据安全保障体系建设。
01
世界主要国家多措并举提升数据安全供给能力
欧盟、美国、日本等典型国家和地区在完善战略立法的基础上,着力提升数据安全供给能力。
一是发布战略立法及配套标准指南,指引落实数据安全保护要求。美国更新《国家网络安全战略》,强调将保障数据安全的负担从个人、小企业和地方政府转移到最有能力、最适合的组织,进一步优化数据安全保障布局。欧盟数据保护委员会(EDPB)先后发布《关于作为个人数据跨境传输工具的行为准则的04/ 2021指南》《关于认证作为数据传输工具的指南》等系列文件,指导企业规范开展数据共享、跨境转移、评估认证等工作。
二是提供一揽子工具包,支持中小型企业提升数据安全能力。日本个人信息保护委员会(PIPC)发布面向私营部门的隐私政策评估工具包,帮助企业等私营部门安全合规使用数据。西班牙数据保护局(AEPD)推出一款咨询工具,帮助数据控制者决定是否将个人数据泄露通知控制机构。
三是通过资金保障、构建数字技能标准、创新培养选拔模式等方式,提升人才供给水平。欧盟提供了6亿欧元预算用以提升公众数字技能,包括提供前沿数字技术硕士课程和短期数字技术专训课程以及促进数字技能培训基金,同时更新“欧洲公民数字能力框架”,对掌握高级数字技能和新技能提出要求。
02
我国大力推进数据安全法律政策落地实施
我国持续完善多层次数据安全法律体系,大力推动《数据安全法》《个人信息保护法》等国家立法落地实施。
在国家层面,持续完善数据安全基础制度,陆续发布配套政策规范。中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),从数据产权、流通交易、收益分配、安全治理四个方面初步搭建我国数据基础制度体系,提出了20条政策举措。国家市场监管总局、国家网信办依职责推动制定《数据安全管理认证实施规则》《数据出境安全评估办法》等配套规范,进一步明确了数据出境、数据安全管理认证应遵循的原则、流程及要求。
在行业层面,工业和信息化部与国家互联网信息办公室等十六个部门联合出台《关于促进数据安全产业发展的指导意见》,从供给侧保障国家数据安全,提供技术、产品和服务支撑,大力加强专业人才培养,并结合行业领域特点,细化本领域数据安全要求,率先出台《工业和信息化领域数据安全管理办法(试行)》,搭建起行业数据安全管理的“四梁八柱”。
在地方层面,浙江、上海、江苏等多个省市纷纷出台数据相关条例,对数据赋能产业、安全保护等内容进行规制。广东、湖南、山东等地稳妥开展数据安全执法,陆续公布首例适用《数据安全法》的案件,依法打击违法违规行为。
03
逐步形成数据安全协同共治新格局
数据安全治理是一项复杂的系统工程,需要政府、企业、产业等多元主体协同发力,各尽所长,统筹推进。
在政府层面,制度供给强化,数据安全法律制度体系持续完善。在数据安全顶层立法的牵引下,我国将加快出台承接性、配套性规范,发布数据安全风险评估、应急处置等关键制度机制的实施细则,进一步明确数据全生命周期安全管理要求。在“数据二十条”要求建立安全可控、弹性包容的数据要素治理制度的背景下,完善数据流通利用重点环节及典型场景数据处理规则,逐步厘清数据处理相关主体权责边界将成为下一步的工作重点。
在企业层面,合规需求增加,体系化数据安全治理能力持续提升。目前企业业务系统和流程对安全管理的要求日益复杂,需要将数据安全和业务流程有机结合,从组织、制度、流程多方面完善数据安全管理体系,加强数据全流程安全合规治理,有效支撑数据安全防护技术更好地落地执行。建设以数据为中心、以零信任安全为理念的动态主动防御,加强以数据流动为重点、与业务流程融合的全生命周期安全保障将成为数据安全部署的新趋势和布局的新方向。
在产业层面,市场机遇凸显,技术产品供给能力持续增强。目前我国数据安全产品及服务发展态势向好,数据安全产品将向专业化、体系化方向不断演进,数据分类分级、数据资产地图等基础产品将逐步形成统一的产品形态和基本功能,数据加密、数据防泄露、数据库审计对复杂场景下数据流动和异常行为监测的广度、深度和准确性将进一步提升,隐私计算产品正向大规模分布式计算领域迈进,其实现方式也将更加多样化。