在当前信息技术变革浪潮中,数据资源正在朝着生产要素的形态不断演进。近期,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)正式发布,《意见》将数据列为五大要素领域之一,明确了完善要素市场化配置的具体举措。为实现数据要素价格市场决定、流动自主有序、配置高效公平的目标,尚需要解决数据确权、数据安全、隐私保护等诸多问题,在此过程中数据分类分级管理体系的构建能够发挥重要支撑推动作用。
一、数据要素已经成为经济发展新动能
近年来,国家高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。2015年9月国务院印发的《促进大数据发展行动纲要》已经明确指出,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”2016年,习近平总书记在网络安全和信息化工作座谈会上的讲话再一次强调,“以信息流带动技术流、资金流、人才流、物资流,促进资源配置优化,促进全要素生产率提升,为推动创新发展、转变经济发展方式、调整经济结构发挥积极作用。”由此观之,数据作为一种新型生产要素,对其他要素分配效率具有倍增作用,加快培育数据要素市场,将对推动我国经济高质量转型、数字经济创新发展注入新动能。
《意见》在数据要素部分,明确提出推进政府数据开放共享、提升社会数据资源价值,通过制定出台新一批数据共享责任清单、支持构建多领域数据开放利用场景、探索建立统一的数据管理制度,全面提升数据要素价值。同时,在“稳中求进,循序渐进”基本原则指引下,坚持安全可控,制定数据隐私保护制度和安全审查制度,完善适用于大数据环境下的数据分类分级安全保护制度。
二、实施数据分类分级安全管理的重要意义
(一) 数据分类分级安全管理是推进政务信息共享开放的重要保障
依托政务数据共享开放推进政府数字化转型、提升政府公共服务水平、促进大数据产业发展,已经成为全球共识。2016年开始,我国颁布了《政务信息资源共享管理暂行办法》、《公共信息资源开放试点工作方案》等一系列文件,开启了政务数据共享开放进程。由于政务数据自身特性,在开放和流通过程面临着各种不确定安全风险,出于维护国家安全、社会公共利益的考虑,目前我国政务数据向公众开放的程度相对有限。为促进政务数据进一步融入要素市场,释放政府数据可开发、可利用的潜能,需要在已建立的政务信息资源目录基础上,制定更加细化的数据分类分级规则,通过配套差异化的安全控制措施,保障政务数据在共享开放过程中的可监测、可追溯。
(二) 数据分类分级安全管理是培育数字经济新业态新模式的助推利器
运用5G、物联网、人工智能等信息技术,创新农业、工业、交通、教育、安防、城市管理、公共资源交易等领域的数据开发利用场景,是培育数字经济新产业、新业态、新模式的重要引擎。而数据开发利用活动越活跃,数据泄露、滥用的安全风险越高,特别是对个人信息安全的影响越大。为数据开发利用活动配备高水平安全措施,又必然增加市场参与主体的经营成本。因此,健全完善社会数据资源分类分级管理制度,鼓励掌握数据资源的市场参与主体构建数据分类分级安全管理体系,以风险防控为工作导向,对高安全等级数据的开发利用活动,配套相应的安全风险控制措施,是能够充分释放数据资源价值潜能,又能够有效控制成本投入的最佳路径。
(三) 数据分类分级安全管理是促进大数据流动与交易的基础前提
相对于其他工业产品,数据要素与传统生产要素在本质上有巨大差异,数据产品具有可复制性、生产门槛低、时间敏感性等特点。市场各方在推动大数据流动与交易的同时,需要解决数据确权、数据安全、隐私保护等诸多问题。引入数据分类分级这一基础性数据安全管理方法,综合考虑数据属性、特点、数量、质量、格式、重要性、敏感程度等因素,对数据资源进行分类分级,梳理出非敏感、低风险等级、权属相对明确的数据资源,以要素形式优先进入数据交易市场,同时明确在市场交易过程中应配备的安全保护措施,可以在最大限度释放数据价值的同时,又兼顾数据安全和对个人隐私的保护。
(四) 数据分类分级安全管理是新一代数据资产管理理念的核心思想
数字经济的发展以数据资产作为核心生产要素,目前以网络和系统为中心的安全防护模式下,安全措施与防护目标不能精确匹配,无法达成预期的防护效果。新一代数据资产管理理念从组织的高层业务风险分析出发,以数据资产分类分级为核心,对组织业务中的各个数据集进行识别、分类和分级安全管理,针对数据集的数据流和数据分析库的机密性、完整性、可用性、可控性需求创建安全策略,根据策略落实安全管理措施和部署安全技术产品,同时对业务风险进行优先级排列,采取适当的安全措施对业务风险进行控制。从而实现数据资产安全管理从以网络和系统为中心向以数据资产为中心的安全保护模式转变。
三、推进数据分类分级安全管理工作的建议
一是健全数据分类分级安全管理制度。健全完善适应于大数据环境下的数据分类分级安全管理制度,需要涵盖参与要素市场的各方主体,包括但不限于政府部门、掌握数据资源的企业及组织、第三方专业数据服务机构,明确各方数据分类分级安全管理主体责任。同时,需要根据各行业各领域数据资源属性特点,分业施策,制定适应于本行业本领域数据资源开发利用及流通需求的数据分类分级安全管理规则。
二是加快制定数据分类分级标准。研究5G、物联网、人工智能等新技术背景下新业务的数据形态、特点、流通场景、重要性、敏感程度等关键因素,深入调研行业、企业数据安全管理现状,鼓励企业参加标准的编制工作,明确标准应解决的实际问题,编制适合数字经济新产业、新业态、新应用模式的数据分类分级标准,为企业数据安全管理和安全资源配置提供指导。
三是提高数据分类分级优质产品供给。扶持技术实力强的数据安全产品与服务企业加大数据分类分级产品研发投入,同时引导数据交易各方积极参与数据分类分级产品的应用创新,通过引领和示范作用带动数据分类分级产品的落地实施,加速数据安全产品和技术的成熟和更新迭代,为参与要素市场的各方主体赋能,提升其数据分类分级安全管理能力,为数据要素市场的活跃与发展提供安全保障。
作者简介
陈湉,中国信息通信研究院安全研究所数据安全研究部副主任(主持工作),高级工程师,长期从事数据安全、个人信息保护等领域的政府决策监管支撑、科研及标准化工作。联系方式:chentian@caict.ac.cn
刘明辉,中国信息通信研究院安全研究所数据安全研究部高级工程师,长期从事大数据安全、数据安全技术研究、监管支撑及标准化工作。联系方式:liuminghui@caict.ac.cn
声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。