在中共中央国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中,明确将数据与土地、人力、资本、技术并列为五大生产要素之一。近年来,国家和地方政府陆续出台多部促进大数据产业发展的法律法规,旨在充分发挥数据生产要素价值,进一步推动国家数字化转型。

《网络安全法》、《数据安全法》、《个人信息保护法》的先后颁布施行,为各地方政府进一步制定促进大数据发展相关保障及条例定下基调。各地方政府结合当地数据发展基础情况及各产业群运营模式的特点,目前已有贵州、天津、海南、山东、上海、深圳等13个省市相继出台相关数据条例,为加强数字政府建设、建立数据要素市场、推动数字经济发展、提高数字经济建设水平,以及走好数字化战略新征程在法律、法规层面提供了支撑和保障。

01 数据安全相关法律法规解读

(1)各地出台相关数据条例,为数据发展提供坚实保障

相关数据条例的出台,在对各地大数据发展工作提出具体要求的同时,也从立法层面提供了市场化导向、资金支持、用地保障和人才政策等基础环境支撑:

在管理监督方面,各地要求网信、公安、通信等部门各自在职责范围内落实国家数据安全审查制度,建立健全数据安全保护体系,加强数据安全保护和监督管理工作;

在市场引导方面,建设数据要素平台,不断完善数据交易机制,坚持“原则开放、例外禁止”的指导思想,向各行业提供公共数据,助力医疗、金融、教育等行业实现数字化转型;

在政策保障方面,提供大数据相关平台基础设施用地、用电政策支持;

在资金支持方面,制定税收政策、提供融资支持,部分地区还提供了数据中心电价补贴;

在人才输送方面,落实相关人才引进政策,推进产学研合作,引导高校设置大数据相关学科;

在数据统一归集、开放共享方面,各省市相关数据条例明确提出建立统一数据共享平台,汇聚、存储、共享、开放各地大数据资源,实现各地公共数据资源统一、集约、安全、高效管理;

在促进数据应用方面,各省市相关数据条例在研发设计、终端制造、平台构建、应用服务等大数据产业链领域,提供优惠政策、加强市场培育、引进大数据龙头企业、加快推进大数据产业集聚区建设;同时,根据地方发展特色,促进数据与实体企业的融合,其中制造业、服务业、农业、社会治理、公共服务等是重点开发领域。

(2)各地制定数据分类标准,并按数据分类制定数据共享策略

从各省市出台的条例看,各省市以共享为原则,以不共享为例外,对公共数据采用目录制服务方式,鼓励通过目录进行数据发布,促进数据开放共享和交易利用:

深圳、上海、陕西等地区按照无条件开放、有条件开放和不予开放进行数据分类,无条件开放数据可通过地区统一数据平台获取,有条件开放数据可向平台数据提供者提出申请;

山东等地区确立大数据引领发展战略地位,将数据资源划分为公共数据和非公共数据,明确了数据的所属范围,对数据服务目录编制及数据的收集、汇聚、治理、共享和开放等提出了具体要求。同时强调,对于能够通过共享获取的数据应避免重复收集。

(3)坚决贯彻数据开发利用与安全并举的建设思想

各地在相关数据条例中明确提出实行数据安全责任制,即按照谁采集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定数据安全责任。数据同时存在多个处理者的,各数据处理者分别承担各自的安全责任:

《上海数据条例》明确提出在深化大数据应用、发展大数据产业、建设大数据功能型设施的同时,要加强数据安全防护能力;同时,在提出通过十大专项工程建设打造完善的数据采集、管理、开放等大数据技术标准体系,鼓励社会数据共享、公用,引导商业数据交易流通的同时,明确将网络和大数据安全保障工程纳入十大专项工程建设体系。

《山东省大数据发展促进条例》强调统筹大数据应用与数据安全协调发展。

其他各省市也在相关安全条例中强调,要坚持数据开发利用与安全并举的建设思想,明确指出建设数据安全保障体系是数据开发利用、充分发挥数据共享价值的重要支撑。

02 大数据安全共享面临的困境

大数据作为生产要素在社会、政治、经济、文化等领域的价值已得到普遍认可,但要让数据所有者在确保数据安全的前提下,充分释放数据的价值,还需破解以下几点困境,以达到数据开发利用和数据安全保护的平衡:

第一,面对世界范围内频发的数据安全事件,各方都不愿承担由此引起的法律责任,基于数据的虚拟化和流动性特征,一刀切、静态化的数据产权界定方式,令数据生产要素的确权面临诸多困境。

第二,围绕大数据需要建立一套复杂的数据安全治理体系,很多数据所有者基础设施薄弱且资金投入有限,在大数据体系建设中难免顾此失彼,从而留有隐患或风险。

第三,面对复杂的大数据、网络安全与数据安全应用场景,很多数据所有者缺乏所需的技术和人才支撑,尚不具备实现数据开放、共享的基础条件。

03 数据安全治理发展趋势

对数据的利用贯穿数据的全生命周期,同一数据在数据利用过程中,可能被多次、反复甚至循环使用;同时,还存在数据在被加工后衍生出新数据的情况,传统基于“端点-网元”的一刀切、一过式安全治理模式,已不能解决大数据时代的数据安全治理问题。

《数据安全法》及各地数据条例的出台为数据安全的发展指明了方向,为数据安全治理的思想提供了崭新视角。未来,数据安全治理要强调以数据为核心,构建管理、技术、运营三位一体的数据安全治理体系,形成从数据识别、风险评估、安全策略制定、安全防护实施、持续风险监测到动态响应控制的数据安全治理闭环。

04 落实数据安全开发利用的几种技术手段

数据安全治理的一个关键目标是实现“数据开发利用与数据安全保障”的并行,数据的价值应在“流动”中充分发挥。为此,需要相关机制与专业技术加以支撑:

第一,面对动态变化的海量数据建立一套自动化或半自动化的数据分类分级机制。

以数据为核心的数据安全治理体系,首先要厘清数据资产、确定数据主权、掌握数据访问状况。在大数据时代,数据每天都在以几何级增长,利用自动化或半自动化的数据分类分级与打标技术,可实现新增或变更数据的分类属性确认,并将打标结果通过接口分享到其他应用系统,让数据的重要性在数据安全治理的过程中直观呈现和传递,为组织内部安全管理体系的编制提供依据,为构建按需、动态的防护技术体系落地提供实施基础,为安全运营体系合理分配管控力度和精力提供指引。

由此可见,数据分类分级是数据安全治理的基石,通过数据分类分级:

在管理层面,管理体系与分类分级相结合,从管理制度、防护措施、岗位职责等多个方面都需依托数据分类分级进行针对性编制,强化体系落地执行性;

在技术层面,实现对数据的收集、传输、存储、使用、加工、公开等各个环节,根据不同数据的分类分级情况实施安全防护策略,构建新一代动态数据安全风险监测、评估和防护体系,充分保障数据安全。

第二,应用隐私计算、区块链等新兴技术,构建一套数据“可用不可见”的数据安全协同利用体系。

综合应用隐私计算技术和区块链等新兴技术,构建数据安全协同平台,在数据协同管理平台的统一运营下,打造“平台+数据+场景”的一站式隐私计算解决方案,助力多家数据运营机构在不分享明文数据和匿踪查询的前提下,利用自有数据积累实现联邦学习、黑名单共享等数据利用模型。数据安全协同平台提供的数据“可用不可见”机制,在保证数据不共享、权属不转移的前提下,数据持有者可与第三方数据运营机构联合开发利用数据价值。

第三,通过对非公开类数据的脱敏,能够大力推动政务数据的安全共享与交换

结合应用静态脱敏和动态脱敏技术,可将数据类型被定义为“不可公开”的政府数据,经过脱敏转为可公开的数据,从而为政府大数据应用到民生、医疗、金融、教育、养老等服务领域,充分挖掘政府大数据的潜在价值,建成智慧型社会提供重要的数据安全利用支撑手段。

第四,建立数据流动全链条风险监测机制,持续提升数据安全治理能力。

大数据应用系统在日常使用场景中具有数据量大、流动性强、流经范围广等特征,这给数据安全治理造成了极大的困难:一方面,难以对数据的流动进行追溯;另一方面,难以发现当前数据安全治理体系中存在的问题。通过应用数据库审计联动API应用审计技术,构建一套从资产梳理、策略发布、数据识别、风险分析、联动管控、追踪溯源的闭环监控体系;最终,实现用户到应用接口、应用接口到数据、用户(运维)到数据的全场景防护体系。在对数据使用进行溯源的同时,不断补足安全防护体系中存在的短板,持续优化数据安全防护策略,整体提升数据安全治理能力。

05 结语

通过以数据为核心的数据安全治理体系建设,有效助力各地树立数据发展意识,建成具有强大数据汇聚采集能力、高度数据共享开放能力和广泛数据应用分析挖掘能力的大数据发展新格局,为推动各地发展数字经济,深化中国数字化转型提供强有力的数据安全保障与支撑。

(本文作者:北京安华金和科技有限公司 魏力)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。