【環(huán)球新要聞】數(shù)據(jù)安全亟需細(xì)化管理要求 專(zhuān)家：應(yīng)從生產(chǎn)安全角度發(fā)力治理

當(dāng)前，我國(guó)全面步入數(shù)字經(jīng)濟(jì)時(shí)代，經(jīng)濟(jì)由高速增長(zhǎng)轉(zhuǎn)向高質(zhì)量發(fā)展。國(guó)研中心相關(guān)數(shù)據(jù)表明，2022年我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模超過(guò)50萬(wàn)億，占GDP比重超過(guò)40%，繼續(xù)保持在10%的高位增長(zhǎng)速度，成為穩(wěn)定經(jīng)濟(jì)增長(zhǎng)的關(guān)鍵動(dòng)力。

隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展和移動(dòng)互聯(lián)網(wǎng)的普及，數(shù)據(jù)成為了一種基本生產(chǎn)要素和國(guó)家核心戰(zhàn)略資源，數(shù)據(jù)已無(wú)所不包，應(yīng)用無(wú)處不在。數(shù)據(jù)安全和個(gè)人信息保護(hù)由此成了事關(guān)國(guó)家安全、經(jīng)濟(jì)社會(huì)發(fā)展和個(gè)人切身利益的重大問(wèn)題。

(相關(guān)資料圖)

3月28日，由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟主辦的2023年CCIA網(wǎng)絡(luò)安全技術(shù)應(yīng)用專(zhuān)題研討會(huì)在北京召開(kāi)。來(lái)自學(xué)界、研究機(jī)構(gòu)、數(shù)據(jù)安全服務(wù)商、產(chǎn)業(yè)界的代表共同就“數(shù)據(jù)安全和個(gè)人信息保護(hù)”議題分享了自己的見(jiàn)解或?qū)嵺`經(jīng)驗(yàn)。

關(guān)系型治理成數(shù)據(jù)安全治理新挑戰(zhàn)

近年來(lái)，網(wǎng)絡(luò)安全相關(guān)法律陸續(xù)出臺(tái)，為數(shù)據(jù)安全和個(gè)人信息保護(hù)的工作實(shí)施指明了方向?！皵?shù)據(jù)二十條”的頒布，則詳細(xì)地梳理了數(shù)據(jù)要素在產(chǎn)權(quán)、流通交易、收益分配、安全治理等方面如何合規(guī)高效流動(dòng)使用，強(qiáng)化數(shù)據(jù)安全保障體系建設(shè)，充分發(fā)揮數(shù)據(jù)要素價(jià)值。

北京理工大學(xué)法學(xué)院教授洪延青從法律的角度切入，他指出，從《網(wǎng)絡(luò)安全法》到《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，不同法律對(duì)“數(shù)據(jù)安全”的認(rèn)知和定義發(fā)生了較大的變化，這也反映出了我國(guó)數(shù)據(jù)安全的內(nèi)涵和發(fā)展在不斷擴(kuò)張。如今在“數(shù)據(jù)二十條”的背景下，對(duì)安全的定義又有了一次新擴(kuò)張，除了安全之外還要合法、充分利用。

那么，“數(shù)據(jù)二十條”背景下，對(duì)安全提出什么樣的新要求？洪延青表示，從早期的邊界防護(hù)，如防火墻、堡壘機(jī)等，更注重網(wǎng)絡(luò)載體的安全；到大家開(kāi)始關(guān)注到App數(shù)據(jù)收集工作，如強(qiáng)調(diào)透明自主選擇、隱私政策、必要信息范圍等，擴(kuò)張到了合規(guī)的概念；到如今，隨著數(shù)據(jù)的流動(dòng)愈加頻繁，在流動(dòng)的過(guò)程中數(shù)據(jù)安全問(wèn)題怎么去保障成了新的問(wèn)題？

具體的，洪延青以數(shù)據(jù)出境為例分析道，當(dāng)數(shù)據(jù)從一個(gè)相對(duì)已知的環(huán)境內(nèi)到另外一個(gè)未知的環(huán)境內(nèi)時(shí)，現(xiàn)階段多數(shù)廠商的思路是通過(guò)隱私計(jì)算或數(shù)據(jù)脫敏的方式進(jìn)行處理，不希望在未知環(huán)境有所作為，未知環(huán)境始終保持未知，只希望在有價(jià)值的數(shù)據(jù)流到未知環(huán)境過(guò)程中，盡量少的信息量和內(nèi)容流出去。而“數(shù)據(jù)二十條”中對(duì)數(shù)據(jù)的流通和交易有了更高的要求，提出了培育數(shù)據(jù)要素流通和交易服務(wù)生態(tài)，這些方式的使用場(chǎng)景都是相對(duì)有限的。

“我自己把它界定為‘關(guān)系型的安全治理’”，洪延青說(shuō)道，不能再讓未知環(huán)境始終處于未知環(huán)境狀態(tài)下，要把安全措施伸到未知環(huán)境中去，使那個(gè)環(huán)境變得相對(duì)可控、可知。

他進(jìn)一步指出，數(shù)據(jù)交易所、快消品行業(yè)里的聯(lián)合計(jì)算、歐洲的數(shù)據(jù)空間，都是一種“關(guān)系型治理模式”，通過(guò)可靠的第三方將未知環(huán)境變成相對(duì)可知的環(huán)境。

“關(guān)系型治理除了管理規(guī)則之外，更重要的是技術(shù)支撐管理規(guī)則的落地以及管理規(guī)則的可視、可控、可干預(yù)，接下來(lái)產(chǎn)業(yè)界會(huì)有更大的作用。如果能做到這一點(diǎn)，安全相關(guān)的很多產(chǎn)品或解決方案都能跟業(yè)務(wù)、社會(huì)貼近在一起?！焙檠忧嗾f(shuō)道。

從生產(chǎn)安全角度發(fā)力數(shù)據(jù)安全治理

全知科技CEO方興從技術(shù)的角度切入，分享了數(shù)據(jù)安全行業(yè)的建設(shè)思考。他指出，原來(lái)講的數(shù)據(jù)安全是高價(jià)值信息在數(shù)據(jù)載體上的安全，隨著大數(shù)據(jù)、AI技術(shù)的發(fā)展，不需靠人推導(dǎo)，靠機(jī)器就可以從數(shù)據(jù)當(dāng)中挖掘知識(shí)和情報(bào)。對(duì)數(shù)據(jù)的保護(hù)也應(yīng)該從一個(gè)資產(chǎn)層的角度向生產(chǎn)層轉(zhuǎn)變，由已獲高價(jià)值信息的防御性保護(hù)轉(zhuǎn)向全流程保護(hù)，特別當(dāng)今數(shù)據(jù)已成為生產(chǎn)要素，加速流通的背景下。

“針對(duì)生產(chǎn)要素去進(jìn)行保護(hù)，實(shí)際上比資產(chǎn)層面保護(hù)要困難得多。這是我理解為什么現(xiàn)在要把數(shù)據(jù)安全單獨(dú)拿出來(lái)跟原來(lái)的網(wǎng)絡(luò)安全并列，因?yàn)樗a(chǎn)生了完全不同的視角。”方興說(shuō)道，這種數(shù)據(jù)既有價(jià)值，但是對(duì)它處理不善可能帶來(lái)危害，變成了生產(chǎn)安全的視角，這是我理解的數(shù)據(jù)安全為什么在這個(gè)時(shí)代這么重要。

生產(chǎn)者要考慮生產(chǎn)過(guò)程效率的平衡，要關(guān)注全流程，而數(shù)據(jù)卻如此龐大和繁雜，在流通環(huán)節(jié)，落地《數(shù)據(jù)安全法》和數(shù)據(jù)安全成了極具挑戰(zhàn)的事情。

“在這個(gè)當(dāng)中，從數(shù)據(jù)的資產(chǎn)認(rèn)定到數(shù)據(jù)在什么地方暴露，要形成數(shù)據(jù)暴露面的概念，數(shù)據(jù)暴露面在整個(gè)數(shù)據(jù)處理活動(dòng)又會(huì)產(chǎn)生什么樣的數(shù)據(jù)活動(dòng)，數(shù)據(jù)又能流向到哪里，數(shù)據(jù)采集了之后用到什么場(chǎng)景等等。如果這些東西都刻畫(huà)不清楚，我認(rèn)為一個(gè)企業(yè)它是做不好數(shù)據(jù)安全的?！?/p>

據(jù)了解，數(shù)據(jù)暴露面，指數(shù)據(jù)形成了哪些可以被其他責(zé)任主體獲取的訪問(wèn)點(diǎn)/暴露面，數(shù)據(jù)的暴露面是分析數(shù)據(jù)各種脆弱性風(fēng)險(xiǎn)的關(guān)鍵環(huán)節(jié)。方興表示，這需要重新構(gòu)建一個(gè)數(shù)據(jù)流動(dòng)的體系模型，解決“看清”數(shù)據(jù)的問(wèn)題，搞清楚到底有哪些資產(chǎn)，這些資產(chǎn)到底在怎樣流通，到底去了哪里。

方興進(jìn)一步指出，監(jiān)管需要細(xì)化數(shù)據(jù)安全的管理要求，指導(dǎo)各行各業(yè)制定相應(yīng)的重要數(shù)據(jù)目錄。有了明確的管理細(xì)則，企業(yè)才能更好地去執(zhí)行和落地；擁有數(shù)據(jù)清晰或范圍明確的目錄，則有利于數(shù)據(jù)安全工作的開(kāi)展。

“我們幫客戶發(fā)現(xiàn)了很多風(fēng)險(xiǎn)，抓到的人移交給公安，反倒他成了公安重點(diǎn)關(guān)注對(duì)象，成了高風(fēng)險(xiǎn)的企業(yè)?！狈脚d指出，“這里存在導(dǎo)向協(xié)同的問(wèn)題，導(dǎo)致大家不愿意建立自己發(fā)現(xiàn)風(fēng)險(xiǎn)的能力，不愿意把風(fēng)險(xiǎn)事件化解?！?/p>

為此，他建議，國(guó)家應(yīng)牽頭成立數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警體系，包括對(duì)積極發(fā)現(xiàn)風(fēng)險(xiǎn)、處置風(fēng)險(xiǎn)的單位給予更多正向的激勵(lì)，而不是反向的打擊。各界通過(guò)協(xié)同構(gòu)建數(shù)據(jù)安全合作生態(tài)，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，并快速響應(yīng)、處理風(fēng)險(xiǎn)，守護(hù)數(shù)據(jù)安全。

此外，本次會(huì)議上，電子標(biāo)準(zhǔn)院黨委書(shū)記、副院長(zhǎng)，中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)楊建軍指出，數(shù)據(jù)安全和個(gè)人信息保護(hù)法律法規(guī)、政策文件、標(biāo)準(zhǔn)規(guī)范逐年完善，但隨著新興技術(shù)應(yīng)用的發(fā)展，數(shù)據(jù)安全問(wèn)題也正在不斷演進(jìn)，需要有創(chuàng)新的治理模式和方法。

CCIA數(shù)安委副主任何延哲對(duì)2022年數(shù)安委工作進(jìn)行總結(jié)，并匯報(bào)了2023年度工作計(jì)劃。他表示，數(shù)安委通過(guò)開(kāi)展研討活動(dòng)、組織標(biāo)準(zhǔn)制定、搭建知識(shí)平臺(tái)等形式，推動(dòng)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》落地實(shí)施，促進(jìn)標(biāo)準(zhǔn)廣泛應(yīng)用，探索數(shù)據(jù)利用與安全平衡點(diǎn)，期望提高全社會(huì)數(shù)據(jù)安全保護(hù)水平，助力產(chǎn)業(yè)健康發(fā)展。

（文章來(lái)源：21世紀(jì)經(jīng)濟(jì)報(bào)道）

標(biāo)簽：