发展数据经济应以安全为基础
上海的几个部门近期正从不同的角度草拟大数据发展的相关文件和意见。网信办正在落实去年中央 18 号文的实施意见,高举网络安全和信息化的大旗。发改委聚焦数字经济,推动高质量发展。办公厅在大力推动大数据中心的建设,加快“一网通办”。公安局根据总书记的指示,致力于让城市更干净、更有序、更安全,通过大数据采集和运用,推动“智慧公安、智慧政府、智慧城市”三位一体。经信委在大力推动工业互联网发展,布局建设“物联、数联、智联”三位一体的新型智能物联专网,推动整个城市建设管理和社会治理的新一轮提升,迈入智慧城市 2.0。几乎所有职能部门都在推动用“数据”来改变整个城市。上海是整个国内的相关趋势的缩影,并且这个趋势十分明显,上海已经进入了大数据时代!
通过审视前面提到相关的文件,关于“数据安全”几乎找不到一个能让各方形成共识性的认知,包括相对体系化的落地措施,具体而言,就是在大力发展以数据为中心的数字经济形态时,大家对于数据安全本质的认识尚未形成一致性的认知框架,也没有体系化的落地举措,而是呈现出碎片化。当然,在各部门共同努力下,希望以新一轮上海信息化发展为契机,提出一个“加强数据应用安全,促进技术产业发展”工作性方案。可能需要更多聚焦与信息化应用、大数据应用相关的一些重点领域,能够把这些领域的数据安全的需求和风险认识清楚,围绕着数据运用的全生命周期、不同环节的安全需求,匹配技术解决方案,解决上海在大数据应用当中亟需解决的安全问题,这就是经信部门的工作着力。
大数据治理认知共识的难题
“大数据安全治理”话题相当复杂,导致目前还没有比较清晰的认知共识和解决方案。复杂原因在于:①大数据安全治理涉及到的主体非常多元。②中国的大数据治理模式是多元的,既要考虑全球化,与世界接轨,又要顾及体制、机制上的特殊性。③在治理过程中,需要平衡取舍,既要保护个人信息,维护国家安全,还要顾及产业发展,比其它任何一个经济体考虑事情更复杂更综合。
大数据安全治理的认识框架
在大数据安全治理的认知上,应该强调“平衡”、“透明”两个关键词,突出法律、制度、技术和文化四个治理要素。关于平衡,较为关键,从个人数据主体的角度讲,它是否拥有了足够多的维护权益的意识和知识,这方面需要加快提升。从信息控制者的角度讲,在现阶段有两个比较重要的信息控制者,一个是政府,比如公共安全部门,另一个就是像阿里、腾讯这种大型互联网机构,可能均有进一步调整改进的空间。对于政府部门必须意识到,作为一个信息控制者,在个人用户没有办法维护自己信息权益的时候,保护责任不仅是与第三方处理机构签一个《保密协议》这么简单,政府部门应该意识到自己需要承担更大的责任。互联网公司,在技术上、理念上都处于强势地位,应该更多站在用户权益保护的角度,或者企业责任的角度,做好信息主体权益保护。关于透明,就是要围绕数据流通所有环节,关注全生命周期中处理规则的透明性,让数据主体大概知道信息控制者是如何实现的,包括未来我们国家的数据治理体系,跟 GDPR 的对接过程,都是需要解决透明的问题。优刻得(UCloud)等很多机构提出建设所谓“离岸”数据中心或数据港的概念,可能都是解决跨境数据治理规则透明性的问题。
在这个过程中,从治理的角度看,要关注法律、制度、技术和文化四个要素。大家讲的比较多的是关于 GDPR,从法制的角度讲,法制是规定了一些大的制度性安排,这些制度性安排是需要落地的。比如中国电子技术标准化研究院信息安全研究中心审查部总监何延哲从事的个人信息保护标准化的工作,具有非常重要的意义,把制度性安排通过标准的形式和最佳实践的方法,结合技术和产品,解决法律和制度要求落地最后一公里的问题。但是易念科技王怀宾提到的“心理”或者是“文化”的部分相对容易被忽略,凝聚共识首先需要解决基本的认知和意识问题,每个数据处理相关方都要参与其中。从综合治理的角度,关注法制、制度、技术、文化这几个要素,逐步确立一种不同于其它任何经济体的中国治理路径。从上海的角度讲,现在最重要的工作是把已经在应用的这些重点领域的数据安全搞好,把数据保护好,把数据安全产业发展好,为国家探索出一条适合中国国情的大数据安全治理的路径提供经验和范式。作者:刘山泉,上海市经济和信息化委员会系统安全处处长。
(本文选自《信息安全与通信保密》2018年第八期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。