闫晓丽
中国电子信息产业发展研究院网络安全研究所副所长
高级经济师
数据作为新型生产要素,已成为驱动经济社会发展的重要力量。伴随着数据与生产、分配、流通、消费和社会服务管理等各个环节的快速融合,数据安全的重要性日益凸显,对维护国家安全、促进数据要素流通、支撑数字经济发展等具有重要意义。党中央、国务院高度重视数据安全工作,多次强调要切实保障国家数据安全,把安全贯穿数据供给、流通、使用全过程,划定监管“底线”和“红线”。党的二十大报告以总体国家安全观为根本遵循,坚持以新安全格局保障新发展格局,明确要强化数据安全保障体系建设。
强化数据安全保障体系建设是新形势下的战略选择
数据安全是国家打造数字竞争力不可或缺的要素。当前,我国数据安全形势日益严峻,强化数据安全保障体系建设是应对国际社会战略博弈、促进数据要素市场化发展以及迎接数字技术创新应用新挑战的战略要求。
国际社会围绕数据安全的战略博弈日趋激烈。目前,世界上已有多个国家和地区将数据安全作为优先发展方向,通过调整网络与数据安全战略、重塑数据治理规则、提升数据安全技术能力等措施,强化对数据资源的掌控。例如,欧盟持续强化“数据主权”理念,并加速推动个人隐私、数据市场、数据服务、人工智能安全等领域立法,以新规则保障其单一数字市场的安全发展。与此同时,越来越多的国家通过颁布单边限制数据流动、数字技术对外封锁等政策,压制他国在数字领域的影响力。例如,美国强化对涉数据的外国投资的国家安全审查力度,同时以意识形态为基石构建数字领域“朋友圈”,将中国等具有不同价值观的国家排除在外。
数据要素市场化发展对数据安全保障提出新要求。党的十九届四中全会提出要加快培育发展数据要素市场,加强数据安全保护。2020年,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,明确将数据作为一种新型生产要素写入政策文件。在“安全”的前提下推动数据要素市场化发展,成为数字时代的新命题。一方面,数据要素市场化要求以数据权属清晰、数据分类分级授权规则明晰、数据跨境流动通道畅通等为前提,但这些安全规则、制度和机制等尚未成熟;另一方面,数据要素市场化必然带来数据大规模流动和快速流转,由于数据流转过程相对复杂、主体众多、场景越来越丰富,现有的网络与数据安全手段难以满足对数据全生命周期安全防护、数据流转过程追溯等新需求。例如,在数据交易过程中,围绕数据交易主体、交易对象、交易过程和交易基础设施等要素的相关安全管理措施尚在研究探索中。
数字技术创新应用对数据安全保障提出新挑战。新一代信息技术与经济社会深度融合,数字孪生等技术塑造物理空间与数字空间融合的新形态,传统病毒、木马等威胁加速蔓延并演进升级,以高价值数据为目标的攻击行为持续不断,数据一旦遭泄露、窃取或毁损,将可能导致关键信息基础设施瘫痪等后果,对国计民生和国家安全构成严重威胁。与此同时,数字技术应用加剧了数据被疯狂采集和滥用的风险,不仅侵害个人的合法权益,而且对国家安全和社会稳定构成极大隐患。例如,在不同环境中部署摄像头等设备,对环境信息进行无差别的实时采集,可能侵犯个人隐私并威胁到国家安全;持有大量数据的企业可能会利用强大的数据控制能力实施损害消费者利益等行为。此外,数据黑灰产快速滋生蔓延,“暗网”数据交易等网络犯罪活动猖獗,势必给数据安全保障带来极大挑战。
我国数据安全保障体系建设稳步推进
自《中华人民共和国网络安全法》《中华人民共和国数据安全法》(以下简称《数据安全法》)等法律实施以来,我国数据安全保障体系建设进程加快,数据安全法规政策体系逐步完善、个人信息安全治理取得积极成效,重点行业数据安全治理加快推进,数据安全国际治理合作不断加强。
数据安全法规政策体系逐步完善。聚焦《数据安全法》《中华人民共和国个人信息保护法》的落地实施,研究制定《网络数据安全管理条例(征求意见稿)》,出台《个人信息出境标准合同办法》《数据出境安全评估办法》《汽车数据安全管理若干规定(试行)》等配套政策,建立数据分类分级保护、数据安全审查、数据跨境流动安全管理等数据安全管理基本制度。围绕数据分类分级、数据安全检测评估认证、数据安全监测预警、数据安全技术产品、数据要素市场化等重点,加快国家标准研制,发布《信息安全技术数据安全能力成熟度模型》等几十项国家标准,并加快相关标准研制。
重点行业数据安全治理加快推进。金融、邮政、交通、工业等重点行业领域结合实际情况,加快研究制定行业数据安全管理指导性文件,压实企业的数据安全责任。加快研制行业数据分类分级、数据全生命周期安全防护等配套政策和标准规范。以数据分类分级为出发点,重点行业加快重要数据识别,建立重要数据目录,并在此基础上建立分类分级保护机制,采取必要的技术和管理手段保护数据安全。以试点等方式积极开展行业数据安全风险评估等工作。
个人信息安全治理取得积极成效。中央网信办等四部门联合开展App违法违规收集使用个人信息专项治理,指导建立App收集使用个人信息监测平台和App举报受理平台,组织对公众大量使用的部分App常见类型开展专项检测,对存在严重违法违规问题的App采取公开通报、责令限期整改、下架处理等措施。组织开展卫生健康行业、医保领域、邮政快递领域个人信息保护专项行动,指导督促运营单位全面落实数据安全管理和技术防护措施。中央网信办会同有关部门针对非法利用摄像头偷窥个人隐私画面等行为,在全国范围组织开展摄像头偷窥等黑产集中治理。
数据安全治理国际合作不断加强。我国积极参与国际数据安全治理相关议题,2020年9月,中国发布《全球数据安全倡议》,为制定全球数据安全规则提供了蓝本。此外,与发展中国家携手推进全球数据安全治理,发布《中阿数据安全合作倡议》《“中国+中亚五国”数据安全合作倡议》等。支持联合国大会及联合国人权理事会有关隐私权保护问题的讨论,推动网络空间确立个人隐私保护原则,推动各国采取措施制止利用网络侵害个人隐私的行为。强化与金砖国家合作机制,支持在联合国框架下制定网络空间新的负责任国家的行为准则和全球性法律框架。搭建中国-东盟网络安全合作交流平台,围绕网络安全政策协调、打击网络犯罪、数字安全、数字能力建设合作等议题开展合作。
强化数据安全保障体系建设的措施建议
新形势下,强化我国数据安全保障体系建设必要且紧迫。目前,我国在数据安全建设中还存在一些薄弱环节,建议从法规政策体系、重点行业数据安全防护、数据要素安全治理等方面强化数据安全保障体系建设。
持续完善数据安全法规政策体系。加快研究制定重要数据识别、数据安全风险评估、数据安全应急处置等政策标准,完善《数据安全法》的落地实施制度。推动行业领域研究制定数据安全管理政策和配套规范,推动建立数据分类分级、重要数据识别、数据安全监测预警、应急处置等工作机制。围绕个人信息可携带权、个人信息去标识化、敏感个人信息保护等完善个人信息保护实施标准或指南。
提升重点行业数据安全防护能力。研究制定重要数据识别规范,推动行业领域建立重要数据动态识别机制,梳理形成重要数据目录。针对数据收集、存储、传输、使用等环节的安全风险,推动行业领域的重要数据处理者落实主体责任,健全数据安全管理制度,完善覆盖数据全生命周期的数据安全技术保障手段,加强监测预警、态势感知、信息共享、应急管理、追踪溯源等安全能力建设。
加快探索数据要素安全治理机制。鼓励各地先行探索数据确权及收益分配制度,促进数据价值的合理分配,保护各类数据权利主体的合法权益。聚焦数据供给、流通交易、数据使用等数据流通利用重点活动及典型场景,针对活动中的主体、对象(数据)、行为、基础设施等内容,研究提出数据要素安全制度和规则。结合数据分类分级工作,研究探索数据交易的负面清单及安全保障技术要求。
加强数据安全人才培养机制建设。统一对数据安全相关岗位及职责要求的认识,完善数据安全人才能力要求等相关标准规范。健全高校人才培养体系,鼓励和支持高校在专业设置、师资配备、招生规模等方面向网络安全与数据安全人才倾斜。鼓励发展市场化数据安全培训机构,制定数据安全职业培训标准,完善数据安全培训课程,健全数据安全职业培训体系。支持以人才培养、人才能力测试评估等为目标的网络靶场等基础设施建设,推动数据安全人才在实际场景中提升技能。