摘要

在数据要素转化为生产力的过程中,数据安全诉求与经济价值实现相伴相随。本文总结了要素市场化配置背景下,数据安全在架构体系、技术和产业等方面出现的新趋势、新方向和新重点,客观分析了新要求下数据安全在系统架构部署、法律法规制度、技术研发应用、数据安全产业和企业等方面面临的挑战,并针对上述四个方面分别提出了应对策略。

00 引言

2020年,国家层面上加速部署新基建,推动数字化从消费层面向生产层面全面深化;中共中央国务院出台了《关于构建更加完善的要素市场化配置体制机制的意见》,要求加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护;随后,中共中央国务院又出台了《关于新时代加快完善社会主义市场经济体制的意见》。

紧锣密鼓出台的政策部署标志着深入推进泛在数字化、加强市场机制对数据等生产要素的优化配置、打破体制机制障碍、充分挖掘数据价值,将促进数字经济从简单的信息化以提高工作效率阶段发展到海量数据聚合分析以实现价值最大化的阶段。在此背景下,探索建立保障数据流动共享、开放交易、聚合分析的数据安全体系,为数字经济发展提供坚实基础亟不可待。

01 数据要素特征及数据安全新特点

1.1 数据要素显著特征

数字经济时代,数据与土地、劳动力、资本和技术并驾齐驱成为生产要素之一。作为一种新型生产要素,我们对数据要素市场化配置规律的认识还处于摸索期,数据的产权界定、市场价值评估及交易、安全保护模式等方面都有待探索。但数据要素部分特质已显现并形成共识。

一是数据要素具有边际效益递增性,在流动共享中实现价值倍增。摩尔定律揭示了信息产品生产成本不断下降的规律,意味着依托信息技术和产品进行数据生产和数据加工的成本将持续下降,与此同时,海量数据共享后,大数据和云计算等支撑挖掘更大数据价值成为现实。2020年新冠疫情也客观诠释数据流动共享具有更大价值这一事实。

二是数据要素承载或所属主体提出在其生产力转化中需加强安全保护的诉求。与土地、劳动力、资本和技术等生产要素相比,数据要素映射了不同层面的社会关系,导致生产要素权属人在追逐经济利益同时诉求对数据安全的保护。如个人数据涉及隐私,企业数据涉及竞争或商业机密,国家数据涉及国家安全和数字主权。由此看来,数据转化为生产力的同时需解决不同数据主体在数据保护方面的权益诉求。

1.2 数据安全新特点

在数字化初期阶段,数据安全的关注点聚焦于对数字化产生的数据进行安全存储或传输;当进入市场化配置阶段,大量数据将通过市场机制进行规模化流动和深度聚合处理,对数据安全的保护提出了更高要求。此时,数据安全呈现出新的变化特点。

一是以数据为中心成为安全部署新趋势。 云计算及移动互联网广泛使用导致原有的网络边界模糊化,加上数字经济发展推动网络运营 业务以数据为中心,两方面因素导致传统上以网络为中心的安全架构、基于信息化系统部署的外挂安全工具和手段已无法满足数据安全实 际需要。以数据为中心、零信任安全为理念, 将数据安全内化为信息化系统的重要组成部分并同步建设成为发展趋势 [1]。

二是动态主动防御成为安全布局新方向。数据安全形势日益严峻,传统基于数据库加密、数据库防火墙等静态被动防御面临失效风险。能实现主动分析、溯源、应急处理的态势感知、威胁情报系统等成为市场新需求;针对业务场景建模,发现异常并及时处理的动态主动防御体系成为数据安全布局新方向。

三是数据处理和共享成为安全保障新重点。大数据、云计算、物联网等支撑数据分析和共享交易以实现数据价值最大化,对数字化、信息化后的数据以存储和传输为重点的安全保障已滞后。针对数据交易共享引发的流动性安全保障、数据聚合分析引发的融合性安全需求等都提出了新需求。以数据处理、共享环节为重 点建立全生命周期安全保障成为必然选择。

02 要素市场化配置背景下数据安全面临的挑战

要素市场化配置要求数据安全能力顺应提升,但我国数据安全基于原有信息安全系统强化完善,信息安全的分散化和孤立性将妨碍数据安全整体布局;安全保障制度不完善导致数据流动共享困难重重;安全技术研发和应用不力致使数据安全滞后数字经济发展更加凸显;缺乏内生发展机制的薄弱产业无法提供有效的安全解决方案等现状,意味着数据安全面临艰巨挑战。

2.1 以数据为中心部署内生安全系统推进难度大

一是以系统为中心部署调整升级为以数据为中心的数据安全进展缓慢。传统的数据安全作为信息安全的一部分,以信息化系统为中心部署的静态化安全策略重点保护存储和传输; 数字经济要求从静态和动态两方面部署数据全生命周期安全,但基于原有安全系统调整升级的投入成本和协调难度大,加上技术力量等储备不足,导致进展缓慢。

二是融合边界和业务建立内生数据安全系统难度大。新形势下,数据安全需融合成信息化系统的“内生能力”,但聚合信息化系统与安全系统、业务数据与安全数据、IT 人才和安全人才等多要素的新思维、新模式、新技术和新方法既 缺乏理论上的指引也缺乏实践经验积累。

2.2 适应动态主动防御的数据安全技术研发滞后

一是数据安全技术研发滞后无法满足动态主动防御需求。数据安全预警、异常行为检测 技术积累薄弱,无法满足监测、预警、定位、 处置等安全风险防范要求;以数字水印和数据血缘技术为代表的数据流动追踪溯源技术仍处于研究验证阶段,难以满足数据量级大、流动速度快场景下的安全保护需求。

二是数据安全技术不成熟导致数据流动场景中安全保障难。保障数据共享使用安全的同态加密、安全多方计算、联邦学习等新兴技术手段均处于初步发展阶段,鲜有应用案例。针对融合性业务复杂多源数据场景的数据脱敏、防泄露等解决方案不成熟。综合性安全技术区块链成本高导致应用进展缓慢,人工智能安全 隐患致使应用推广难。

2.3 为数据交易共享提供安全保障的法律法规缺失

一是个人信息保护制度不健全导致数据红利难以充分释放。我国尚未建立个人信息跨部门监管机制,目前依托国家网信主管部门统筹协调下的行业 分治模式,对融合性业务数据安全监管乏力。在《个人信息保护法》和《数据安全法》均未出台的情况下,数据主体心存担忧、数据接收方和处理方既想 利用数据伺机牟利又唯恐有失,导致数据价值无法充分合理挖掘、数据红利难以释放。

二是数据跨境流动制度不完善导致数据价 值难以最大化。我国《网络安全法》明确了数据出境安全评估的基本要求,但《个人信息出 境安全评估办法》尚处于征求意见中,与欧盟、 美国等国家相比,我国数据出境制度尚处于探索阶段,拟采取单一的安全评估方式无法满足市场主体属性差异大和出境场景复杂的需求, 数据无法实现跨境流动共享,无法正常发挥在对外开放合作促进经济发展中的作用。

2.4 为数据安全提供支撑的企业弱、产业基础差

一是数据安全企业竞争力弱、产业规模小导致产品生态体系无法构建。我国数据安全产品主要由网络安全企业附带经营,仅有少数从信息安全转型的专业公司,与国际企业相比,竞争力弱。起步较晚的产业基础薄弱,据中国信息通信研究院测算,2019年我国网络安全产业规模占全球的比重 7.4%[2],数据安全产业作为网络安全产业的少部分,尚处于初始发展阶段,未形成产品生态体系。

二是缺乏持续激励机制导致安全产业内生增长机制无法形成。数据安全产业受政府政策影响大,但欧洲、美国、以色列等国家经历了政府主导阶段后已形成了市场主导、政策制度 激励的产业发展机制,我国尚处于政府阶段性政策主导、企业被动投入的阶段,2019 年全球 网络安全在 IT 产业支出中的占比平均为 3.7%, 美国为 4.8%,而我国仅为 1.1%[3]。加上我国数据安全产业基础和企业实力较差,基于市场需求驱动发展的内生机制无法启动。

03 “以数据为中心”的数据安全建设策略

数据安全是数据要素市场化配置的生命线,要坚持以安全促发展的理念,健全数据安全和个人信息保护制度、完善大数据环境下的数据 分类分级安全保护制度、探索建立“以数据为 中心”的安全保障体系、建立数据安全技术和产业生态,为数据有序流动、有效交易、安全利用和价值释放提供安全保障。在我国数据安全建设起步晚、数字经济发展速度快、安全保障需求不断提高的情况下,提升数据安全能力任重道远。

本文就此提出如下对策建议。

3.1 健全数据安全法律法规管理制度

一是明确融合性业务数据安全监管职能分工,积极探索融合监管模式;强化行业管理部门对分管行业的数据安全监管能力。

二是推进《个人信息保护法》《数据安全法》及配套法律法规制度出台,明确数据安全管理红线,为数据流动创造条件。

三是完善跨境数据管理制度,推动《个人信息出境安全评估办法》尽快出台,在部分自有贸易区开展数据跨境试点,积极探索除安全评估外的数据跨境途径。

四是推动数据分类分级、安全评估、重要数据识别等标准制定,为建立全生命周期数据安全提供支撑。

3.2 探索建立以数据为中心的安全保障体系

一是数据安全管理部门协同组织推进构建贯穿基础网络、数据中心、云平台、数据和应用等一体化协同防范体系,并明确分工加强落实。

二是在部分行业率先开展数据安全治理工作,指导企业开展数据资产和数据流向盘点,按照分级分类标准标识数据,建立数据仓库并部署安全策略。

三是鼓励部分行业探索将建立数据全生命周期安全保障体系纳入数据安全合规重点内容,并通过评估、安全监测和专项治理等手段,强化企业贯彻落实。

四是建立数据流动轨迹和交易链条的安全风险监测追溯与综合管理平台,实时监测风险态势并进行异常预 警和溯源处置,强化流动共享数据安全保障。

3.3 逐步建立数据安全技术生态体系

一是数据安全相关管理部门联合研判数据安全关键技术,确定技术战略路线图,明确重要技术研发及应用推广阶段性目标和推进措施。

二是依托企业或研究机构建立若干国家级数据安全技术重点实验室,建立技术研发及推广应用机制。

三是支持一批关键技术研发,主要包括同态加密、安全多方计算等加密技术;脱敏和匿名化、联邦学习等数据处理安全技术;数字水印、数据血缘、区块链等数据共享安全技术等。

四是定期评选若干优秀数据安全产品和解决方案,激励并推动研发成果应用推广。

3.4 创新推动数据安全产业园区建设

一是以产业园区为集聚地,加大数据安全投资,鼓励大型国企入驻数据安全市场,引导企业加大数据安全投资。

二是鼓励企业通过并购整合,投资入股等方式与以色列等国家优秀安全企业开展合作。

三是布局新兴领域数据安全产业,重点发展数据安全保险、数据安全审计、安全态势感知、数据安全情报分析等服务业态。

四是培育数据安全骨干企业,场景化设计数据 安全产品线,重构数据安全产业链,促进产业链良性互动发展以逐步启动产业内生增长机制。

04 结语

数据要素市场化配置下的数字经济时代,网络信息安全突出表现为数据安全。其与传统网络信息安全杂糅交织,呈现出新的特点。建设以数据为中心的安全架构体系,既需要在技术手段上加强部署,也需要在法律制度和管理上深入研究,以切实保障数据安全,为数字经济发展保驾护航。

参考文献:

沈昌祥 《用主动免疫可信计算构筑新型基础设施网 络安全保障体系 [J]. 网信军民融合 ,2020(4):10-13.

中国信息通信研究院安全研究所 《网络安全产业白皮书》 北京 中国信息通信研究院 ,2019.

高健钧 .网络安全形势严峻 北京加快推进国家网络安全产业园区建设[EB/OL].( 2019-01-16) [2020-05-20]

http://www.xinhuanet.com/2019-01/16/ c_1123999790.htm.

关于作者

王远桂 ,博士,虎符智库专家、中国信息通信研究院安全所高级工程师。主要研究方向为数字经济战略和政策、数据安全和个人信息保护标准研制、监管研究以及数据安全评估等。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。