針對全球數(shù)據(jù)安全領(lǐng)域復(fù)雜的國際形勢,中方于2020年9月8日提出《全球數(shù)據(jù)安全倡議》(以下簡稱《倡議》),為數(shù)據(jù)安全治理提供藍(lán)圖,。《倡議》期望通過一系列務(wù)實舉措與各方一起共同加強(qiáng)數(shù)據(jù)安全,、個人隱私和國家安全的協(xié)調(diào)發(fā)展,促使各國更加重視網(wǎng)絡(luò)安全和數(shù)據(jù)安全建設(shè),,推動全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的發(fā)展與合作,。在經(jīng)濟(jì)全球化的背景下,,數(shù)據(jù)共享,、流通和交易乃大勢所趨,如何保障數(shù)據(jù)安全,,并以數(shù)據(jù)安全促進(jìn)全球數(shù)字經(jīng)濟(jì)健康持續(xù)發(fā)展,,值得思考。
一、數(shù)據(jù)和數(shù)據(jù)安全的內(nèi)涵與外延正在發(fā)生變化在數(shù)字經(jīng)濟(jì)時代,,數(shù)據(jù)作為新的生產(chǎn)資料被認(rèn)為是生產(chǎn)要素和新黃金,,其重要性不言而喻。而且,,流動和共享成為數(shù)據(jù)的新特征,。數(shù)據(jù)安全工作從以“系統(tǒng)”為中心的思路逐漸轉(zhuǎn)變?yōu)橐浴皵?shù)據(jù)”為中心的方法,全球的法律政策也轉(zhuǎn)變?yōu)橐詡€人信息及隱私保護(hù)為重點,,向全面數(shù)據(jù)安全治理擴(kuò)張,。
應(yīng)用場景的變化催生了新的數(shù)據(jù)安全技術(shù)。傳統(tǒng)的技術(shù),,例如加密,、訪問控制、數(shù)據(jù)庫安全審計,、數(shù)據(jù)庫防火墻和數(shù)據(jù)防泄露等,,只能發(fā)揮局部的安全防護(hù)作用,無法滿足數(shù)據(jù)流通,、共享,、交易等新應(yīng)用場景的安全需求。為此,,安全多方計算(Secure Multi-Party Computation),、數(shù)據(jù)脫敏(Data Masking)、差分隱私(Differential Privacy),、同態(tài)加密(Homomorphic Encryption),、聯(lián)邦學(xué)習(xí)(Federated Learning)、零知識證明(Zero-Knowledge Proof)等新技術(shù),,被提出并得到廣泛研究,。雖然學(xué)術(shù)領(lǐng)域?qū)@些技術(shù)的研究已有了大量積累,但是,,其在現(xiàn)實場景中的實用性和效率問題還有待解決,。目前,離這些技術(shù)的大范圍普及和落地使用,,仍然還有相當(dāng)?shù)木嚯x,。
數(shù)據(jù)蘊(yùn)含的價值越高就越易遭受到黑客攻擊,攻擊方式也更加復(fù)雜多樣,。過去幾年,,各種數(shù)據(jù)安全事件頻發(fā),例如某酒店上億客人隱私數(shù)據(jù)被泄露等,,勒索軟件攻擊事件不斷,,造成的危害愈發(fā)嚴(yán)重,。這些逐利的不斷變化的數(shù)據(jù)安全威脅對數(shù)字經(jīng)濟(jì)秩序造成了極大的危害,需要強(qiáng)有力的安全防護(hù)手段和持續(xù)的安全運(yùn)營,,才能有效抵御,。
二、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時代最緊迫和最基礎(chǔ)的安全問題在數(shù)字經(jīng)濟(jì)時代,,大數(shù)據(jù),、云計算、人工智能,、物聯(lián)網(wǎng)等技術(shù)廣泛應(yīng)用所產(chǎn)生的全球數(shù)據(jù)量呈指數(shù)級增長,。數(shù)據(jù)已變成重要的生產(chǎn)要素和基礎(chǔ)的戰(zhàn)略資源,其價值日益凸顯,。同時,,全球數(shù)據(jù)安全風(fēng)險與日俱增,數(shù)據(jù)安全與隱私保護(hù),,數(shù)據(jù)存儲,、使用與跨境流動的風(fēng)險等問題,對各國數(shù)據(jù)安全治理能力提出了新的挑戰(zhàn),。
?。ㄒ唬┐髷?shù)據(jù)技術(shù)給數(shù)據(jù)安全防護(hù)帶來改變
大數(shù)據(jù)的“4V特性”,即數(shù)據(jù)量大(volume),、數(shù)據(jù)類型多(variety),、處理速度快(velocity)和價值密度低(value),顛覆了傳統(tǒng)的數(shù)據(jù)管理方式,,使傳統(tǒng)的數(shù)據(jù)安全技術(shù)無法有效應(yīng)對大數(shù)據(jù)應(yīng)用場景下新出現(xiàn)的安全問題,。從技術(shù)維度看,網(wǎng)絡(luò)爬蟲,、機(jī)器學(xué)習(xí)和人工智能等技術(shù)的發(fā)展使個人隱私數(shù)據(jù)的采集與分析變得越來越方便,,個人隱私以及國家重要信息泄露,也逐漸成為非常嚴(yán)峻的全球問題,。從意識維度看,,無論是各類企事業(yè)單位等組織,還是公民個人,,對數(shù)據(jù)資產(chǎn)的重視程度遠(yuǎn)小于對實體資產(chǎn)的重視,。可以說,,數(shù)據(jù)安全意識的嚴(yán)重缺失,,導(dǎo)致對數(shù)據(jù)資產(chǎn)的保護(hù)意識不強(qiáng),對各類風(fēng)險隱患的警惕性較低,,對安全技術(shù)的運(yùn)用不夠充分,,對安全技術(shù)發(fā)展和管理體系升級的重視程度不夠,,這些都使數(shù)據(jù)安全治理能力存在嚴(yán)重不足,。
?。ǘ?shù)據(jù)資產(chǎn)問題影響各類安全主體
數(shù)據(jù)作為一種重要資產(chǎn),給國家安全,、國防安全,、社會安全和人身安全等,帶來重要影響,。針對大數(shù)據(jù)進(jìn)行的網(wǎng)絡(luò)攻擊,,不僅僅停留在商業(yè)竊密,而是以企業(yè)重要資產(chǎn),、國家重要機(jī)密,、重要基礎(chǔ)設(shè)施為首要目標(biāo),以期干預(yù)政治,、操控輿論,、顛覆政權(quán),甚至破壞或癱瘓電力,、交通,、能源等關(guān)鍵基礎(chǔ)設(shè)施,中斷工業(yè)生產(chǎn),,影響軍事戰(zhàn)局,。
此外,針對開放的海量數(shù)據(jù)的關(guān)聯(lián)分析,,也可能引發(fā)商業(yè)機(jī)密甚至國家戰(zhàn)略性重要數(shù)據(jù)資源的泄露,。數(shù)據(jù)的開放流通可用增加數(shù)據(jù)資源的商業(yè)價值和社會價值,但是,,大數(shù)據(jù)融合開放也使數(shù)據(jù)權(quán)屬關(guān)系將變得更為復(fù)雜,,在開放流通的各個環(huán)節(jié)都可能產(chǎn)生用戶數(shù)據(jù)濫用等法律風(fēng)險。
?。ㄈ┯薪M織的網(wǎng)絡(luò)攻擊背景強(qiáng)大,、難以發(fā)現(xiàn)
有組織有背景的惡意網(wǎng)絡(luò)攻擊是數(shù)據(jù)泄露的主要原因之一,也成為全球數(shù)據(jù)安全的主要風(fēng)險,。由于新冠肺炎疫情的影響,,遠(yuǎn)程辦公模式增加了數(shù)據(jù)被惡意攻擊的可能性。這類攻擊者大都是有組織,、集團(tuán)化的犯罪團(tuán)伙,,甚至是具有國家背景的黑客團(tuán)隊和網(wǎng)絡(luò)戰(zhàn)部隊。大量APT攻擊,、勒索軟件攻擊等,,都是由以國家為背景的力量發(fā)起的,。這些國家級網(wǎng)絡(luò)攻擊者利用大數(shù)據(jù)技術(shù)擴(kuò)大攻擊效果,發(fā)起大規(guī)模數(shù)量級的僵尸網(wǎng)絡(luò)攻擊,,通過控制關(guān)鍵節(jié)點放大攻擊效果,。大數(shù)據(jù)的價值密度低,使黑客可將攻擊隱藏在大數(shù)據(jù)中,,使安全分析工具難以實現(xiàn)挖掘和分析的效力,。
(四)數(shù)據(jù)共享與流通帶來的安全挑戰(zhàn)
在數(shù)字經(jīng)濟(jì)時代的應(yīng)用場景下,,數(shù)據(jù)將會頻繁地跨系統(tǒng),、跨組織甚至跨境流動,特別是在數(shù)據(jù)共享環(huán)節(jié),,傳統(tǒng)的數(shù)據(jù)訪問控制技術(shù)無法解決跨組織的數(shù)據(jù)授權(quán)管理和數(shù)據(jù)流向追蹤問題,,僅靠書面合同或協(xié)議難以實現(xiàn)對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進(jìn)行實時監(jiān)控和審計,極易造成數(shù)據(jù)泄露和數(shù)據(jù)濫用的風(fēng)險,。因為安全恐慌而不敢流通和使用數(shù)據(jù)的情況,,將使許多部門對可能關(guān)系到公共安全、社會穩(wěn)定和公共利益的數(shù)據(jù),,能不共享就盡量不共享,,能不公開就盡量不公開,甚至搞“一刀切”,,影響了數(shù)據(jù)效用的發(fā)揮,。此外,國際數(shù)據(jù)跨境流動可能引發(fā)用戶數(shù)據(jù)被泄露,、濫用和誤用等問題,,也可能會給企業(yè)和國家?guī)砑夹g(shù)管理、資產(chǎn)管理和組織管理方面的挑戰(zhàn),。而且,,跨境數(shù)據(jù)的承載介質(zhì)多樣、呈現(xiàn)形態(tài)各異,、應(yīng)用較為廣泛,,數(shù)據(jù)所在國的政策和法律又存在差異,這導(dǎo)致數(shù)據(jù)所有者和使用者的權(quán)限模糊,,數(shù)據(jù)的應(yīng)用開發(fā)存在數(shù)據(jù)被濫用等風(fēng)險,。
(五)數(shù)據(jù)安全成為國際性,、整體性問題
一些國家以地緣政治和意識形態(tài)先行,,用數(shù)字安全的名義發(fā)展自身數(shù)字攻防能力,擾亂全球數(shù)字經(jīng)濟(jì)規(guī)則,同時,,以各種理由阻礙聯(lián)合國制定網(wǎng)絡(luò)空間規(guī)則,,又利用自身在網(wǎng)絡(luò)空間的優(yōu)勢地位,以單邊主義的方法,,對非本國數(shù)字經(jīng)濟(jì)企業(yè)積極實施打壓,,破壞全球供應(yīng)鏈安全。而且,,這些國家通過“長臂管轄”制度,,違規(guī)獲取他國用戶數(shù)據(jù),。
此外,,針對有關(guān)數(shù)據(jù)安全的全球性法律可能會沖擊各國執(zhí)法機(jī)構(gòu)的執(zhí)法效力。例如,,由于GDPR的長臂管轄原則,,使很多企業(yè)被納入其管轄范圍之內(nèi),且該條例實質(zhì)上擴(kuò)大了歐盟監(jiān)管機(jī)構(gòu)對中國企業(yè)的影響,。
三,、加強(qiáng)數(shù)據(jù)安全治理的對策建議
鑒于上述數(shù)據(jù)安全現(xiàn)狀、存在問題和面臨的挑戰(zhàn),,應(yīng)該從法規(guī)標(biāo)準(zhǔn),、技術(shù)平臺、產(chǎn)業(yè)發(fā)展,、能力建設(shè),、解決方案和國際合作等方面綜合應(yīng)對。
?。ㄒ唬┴酱晟茢?shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范和實施細(xì)則
我國高度重視數(shù)據(jù)安全,,諸多法律、政策和標(biāo)準(zhǔn)先后發(fā)布或立項,。2020年7月3日,,《數(shù)據(jù)安全法(草案)》公開征求意見,明確了應(yīng)采用數(shù)據(jù)安全治理的方法,,為數(shù)據(jù)安全治理實踐提供法律支撐,。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》和《個人信息保護(hù)法(草案)》等上位法,,給出了通用的數(shù)據(jù)安全原則和基本方法,。接下來,各行業(yè)各領(lǐng)域和企業(yè)組織需要根據(jù)自己的實際情況和安全需求,,制定包括個人信息,、重要數(shù)據(jù)、數(shù)據(jù)跨境等方面的管理、技術(shù)標(biāo)準(zhǔn)與實施細(xì)則,,內(nèi)容覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全要求,,包括分類分級、去標(biāo)識化,、風(fēng)險評估等內(nèi)容,,指導(dǎo)數(shù)據(jù)安全治理的具體實踐,使數(shù)據(jù)安全治理措施落實到位,,有法可依,,有規(guī)可循。這方面的工作,,急需政產(chǎn)學(xué)研用各方緊密協(xié)同,,加快推進(jìn)相關(guān)標(biāo)準(zhǔn)規(guī)范和條令條例的制定。
?。ǘ┙⒕哂姓帕Φ臄?shù)據(jù)安全服務(wù),、監(jiān)管與審計平臺需要建立具有政府公信力的權(quán)威大數(shù)據(jù)平臺,提供專門的數(shù)據(jù)安全服務(wù),、監(jiān)管和審計業(yè)務(wù),。例如,建立個人信息大數(shù)據(jù)平臺,,并采取加密,、匿名化、訪問控制和數(shù)據(jù)脫敏等安全保障措施,,為需要使用個人信息的應(yīng)用或組織安全地提供數(shù)據(jù),;當(dāng)各類應(yīng)用平臺服務(wù)商需要使用個人信息時,只能向個人信息大數(shù)據(jù)平臺提出申請,,這樣就將個人信息的使用模式從目前的多點訪問模式轉(zhuǎn)變成集中訪問模式,,為個人信息保護(hù)提供切實的安全保障。在監(jiān)管層面,,通過這樣的權(quán)威大數(shù)據(jù)平臺,,可建立國家級的數(shù)據(jù)安全監(jiān)管與審計體系,支持對數(shù)據(jù)流通的路徑溯源和安全審計,,以及實現(xiàn)對數(shù)據(jù)主權(quán)的確權(quán),。
(三)以政策引導(dǎo)數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新布局
通過政策指導(dǎo),、項目扶持,、需求牽引等方式相結(jié)合,引導(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)安全保護(hù)產(chǎn)品和解決方案的創(chuàng)新研發(fā),。建議國家各部委,、地方政府在設(shè)立科研與產(chǎn)業(yè)化項目、應(yīng)用示范項目時,重點支持?jǐn)?shù)據(jù)分類分級,、數(shù)據(jù)共享安全監(jiān)測,、細(xì)粒度數(shù)據(jù)資源訪問控制、共享數(shù)據(jù)脫敏及去標(biāo)識化,、跨域多模式網(wǎng)絡(luò)身份認(rèn)證,、數(shù)據(jù)標(biāo)記及追蹤溯源、數(shù)據(jù)安全威脅監(jiān)控等技術(shù)的研發(fā),、成果轉(zhuǎn)化和應(yīng)用示范,。而且,需要發(fā)展數(shù)據(jù)安全測評,、培訓(xùn),、認(rèn)證產(chǎn)業(yè),為企業(yè)或組織提供數(shù)據(jù)安全能力成熟度評估支撐,,特別是在大數(shù)據(jù)開發(fā)利用的相關(guān)政策中,,明確采集和處理不同數(shù)據(jù)所需要的數(shù)據(jù)安全能力成熟度等級要求,,并將相關(guān)企業(yè)或組織納入測評范圍,。
(四)讓數(shù)據(jù)安全成為組織的競爭力
在數(shù)據(jù)安全領(lǐng)域,,通過建立科學(xué)的治理模式,,讓一個組織能處理的數(shù)據(jù)類型和規(guī)模,與其數(shù)據(jù)安全能力水平掛鉤,。例如,,健康醫(yī)療行業(yè)迫切需要利用大數(shù)據(jù)技術(shù)大幅提升技術(shù)和業(yè)務(wù)水平,而這類數(shù)據(jù)敏感程度高,,因而,,行業(yè)主管部門可以規(guī)定,哪些組織可以處理哪些類型的數(shù)據(jù),,或能夠處理何種規(guī)模數(shù)據(jù)的組織必須證明其達(dá)到了相應(yīng)的數(shù)據(jù)安全能力級別要求,。這樣,當(dāng)一個組織想要使用健康醫(yī)療數(shù)據(jù)開展研究或拓展業(yè)務(wù)之前,,需要先具備相應(yīng)的數(shù)據(jù)安全能力,。因此,數(shù)據(jù)安全能力越高的企業(yè),,就意味著有越大的機(jī)會處理更多類型和數(shù)量的數(shù)據(jù),,而不是增加成本。通過這樣的治理方式,,引導(dǎo)企業(yè)或組織積極提升自己的數(shù)據(jù)安全能力,,實現(xiàn)業(yè)務(wù)競爭力與安全的正向掛鉤,從而帶動整個數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展水平逐漸提高。
?。ㄎ澹暮弦?guī)與運(yùn)營兩個維度打造數(shù)據(jù)安全解決方案打造“合規(guī)+運(yùn)營”雙輪驅(qū)動的數(shù)據(jù)安全解決方案,。一方面,根據(jù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn),,通過支持?jǐn)?shù)據(jù)全生命周期安全保障的大數(shù)據(jù)平臺或安全組件,,為大數(shù)據(jù)、數(shù)字經(jīng)濟(jì)應(yīng)用場景特別是數(shù)據(jù)的跨系統(tǒng),、跨組織,、跨境的共享、流通和交易的應(yīng)用場景,,從合規(guī)維度提供完備的數(shù)據(jù)安全保障能力,。
另一方面,通過大數(shù)據(jù)安全分析能力的本地化賦能,,以安全運(yùn)營或安全服務(wù)中心為載體,,從運(yùn)營維度抵御持續(xù)變化的高級安全威脅,特別是針對數(shù)據(jù)的安全威脅,,大幅度降低數(shù)據(jù)被竊取的安全風(fēng)險,。
(六)全球視角下的數(shù)據(jù)安全治理需要弘揚(yáng)多邊主義全球數(shù)字經(jīng)濟(jì)浪潮下,,數(shù)據(jù)安全問題沒有國界,,沒有一個國家能夠置之度外、獨(dú)善其身,。各國需要普遍參與并討論出一套普適性的規(guī)則,,以開放包容的姿態(tài),管控分歧,,不斷增進(jìn)彼此信任,,建立數(shù)據(jù)安全治理國際合作機(jī)制,為全球數(shù)字經(jīng)濟(jì)發(fā)展?fàn)I造公平的競爭環(huán)境,。我國可以在政策,、法規(guī)、標(biāo)準(zhǔn)和技術(shù)等多方面積極主導(dǎo)和參與,,構(gòu)建和壯大自己的數(shù)據(jù)流通“朋友圈”,,只有各國共商、共建,、共享,,才是解決全球數(shù)據(jù)安全問題的正確路徑。