當前,我國全面步入數字經濟時代,經濟由高速增長轉向高質量發展。國研中心相關數據表明,2022年我國數字經濟規模超過50萬億,占GDP比重超過40%,繼續保持在10%的高位增長速度,成為穩定經濟增長的關鍵動力。
隨著數字經濟的高速發展和移動互聯網的普及,數據成為了一種基本生產要素和國家核心戰略資源,數據已無所不包,應用無處不在。數據安全和個人信息保護由此成了事關國家安全、經濟社會發展和個人切身利益的重大問題。
(相關資料圖)
3月28日,由中國網絡安全產業聯盟主辦的2023年CCIA網絡安全技術應用專題研討會在北京召開。來自學界、研究機構、數據安全服務商、產業界的代表共同就“數據安全和個人信息保護”議題分享了自己的見解或實踐經驗。
關系型治理成數據安全治理新挑戰
近年來,網絡安全相關法律陸續出臺,為數據安全和個人信息保護的工作實施指明了方向。“數據二十條”的頒布,則詳細地梳理了數據要素在產權、流通交易、收益分配、安全治理等方面如何合規高效流動使用,強化數據安全保障體系建設,充分發揮數據要素價值。
北京理工大學法學院教授洪延青從法律的角度切入,他指出,從《網絡安全法》到《數據安全法》和《個人信息保護法》,不同法律對“數據安全”的認知和定義發生了較大的變化,這也反映出了我國數據安全的內涵和發展在不斷擴張。如今在“數據二十條”的背景下,對安全的定義又有了一次新擴張,除了安全之外還要合法、充分利用。
那么,“數據二十條”背景下,對安全提出什么樣的新要求?洪延青表示,從早期的邊界防護,如防火墻、堡壘機等,更注重網絡載體的安全;到大家開始關注到App數據收集工作,如強調透明自主選擇、隱私政策、必要信息范圍等,擴張到了合規的概念;到如今,隨著數據的流動愈加頻繁,在流動的過程中數據安全問題怎么去保障成了新的問題?
具體的,洪延青以數據出境為例分析道,當數據從一個相對已知的環境內到另外一個未知的環境內時,現階段多數廠商的思路是通過隱私計算或數據脫敏的方式進行處理,不希望在未知環境有所作為,未知環境始終保持未知,只希望在有價值的數據流到未知環境過程中,盡量少的信息量和內容流出去。而“數據二十條”中對數據的流通和交易有了更高的要求,提出了培育數據要素流通和交易服務生態,這些方式的使用場景都是相對有限的。
“我自己把它界定為‘關系型的安全治理’”,洪延青說道,不能再讓未知環境始終處于未知環境狀態下,要把安全措施伸到未知環境中去,使那個環境變得相對可控、可知。
他進一步指出,數據交易所、快消品行業里的聯合計算、歐洲的數據空間,都是一種“關系型治理模式”,通過可靠的第三方將未知環境變成相對可知的環境。
“關系型治理除了管理規則之外,更重要的是技術支撐管理規則的落地以及管理規則的可視、可控、可干預,接下來產業界會有更大的作用。如果能做到這一點,安全相關的很多產品或解決方案都能跟業務、社會貼近在一起。”洪延青說道。
從生產安全角度發力數據安全治理
全知科技CEO方興從技術的角度切入,分享了數據安全行業的建設思考。他指出,原來講的數據安全是高價值信息在數據載體上的安全,隨著大數據、AI技術的發展,不需靠人推導,靠機器就可以從數據當中挖掘知識和情報。對數據的保護也應該從一個資產層的角度向生產層轉變,由已獲高價值信息的防御性保護轉向全流程保護,特別當今數據已成為生產要素,加速流通的背景下。
“針對生產要素去進行保護,實際上比資產層面保護要困難得多。這是我理解為什么現在要把數據安全單獨拿出來跟原來的網絡安全并列,因為它產生了完全不同的視角。”方興說道,這種數據既有價值,但是對它處理不善可能帶來危害,變成了生產安全的視角,這是我理解的數據安全為什么在這個時代這么重要。
生產者要考慮生產過程效率的平衡,要關注全流程,而數據卻如此龐大和繁雜,在流通環節,落地《數據安全法》和數據安全成了極具挑戰的事情。
“在這個當中,從數據的資產認定到數據在什么地方暴露,要形成數據暴露面的概念,數據暴露面在整個數據處理活動又會產生什么樣的數據活動,數據又能流向到哪里,數據采集了之后用到什么場景等等。如果這些東西都刻畫不清楚,我認為一個企業它是做不好數據安全的。”
據了解,數據暴露面,指數據形成了哪些可以被其他責任主體獲取的訪問點/暴露面,數據的暴露面是分析數據各種脆弱性風險的關鍵環節。方興表示,這需要重新構建一個數據流動的體系模型,解決“看清”數據的問題,搞清楚到底有哪些資產,這些資產到底在怎樣流通,到底去了哪里。
方興進一步指出,監管需要細化數據安全的管理要求,指導各行各業制定相應的重要數據目錄。有了明確的管理細則,企業才能更好地去執行和落地;擁有數據清晰或范圍明確的目錄,則有利于數據安全工作的開展。
“我們幫客戶發現了很多風險,抓到的人移交給公安,反倒他成了公安重點關注對象,成了高風險的企業。”方興指出,“這里存在導向協同的問題,導致大家不愿意建立自己發現風險的能力,不愿意把風險事件化解。”
為此,他建議,國家應牽頭成立數據風險監測和預警體系,包括對積極發現風險、處置風險的單位給予更多正向的激勵,而不是反向的打擊。各界通過協同構建數據安全合作生態,及時發現風險,并快速響應、處理風險,守護數據安全。
此外,本次會議上,電子標準院黨委書記、副院長,中國網絡安全產業聯盟秘書長楊建軍指出,數據安全和個人信息保護法律法規、政策文件、標準規范逐年完善,但隨著新興技術應用的發展,數據安全問題也正在不斷演進,需要有創新的治理模式和方法。
CCIA數安委副主任何延哲對2022年數安委工作進行總結,并匯報了2023年度工作計劃。他表示,數安委通過開展研討活動、組織標準制定、搭建知識平臺等形式,推動《數據安全法》和《個人信息保護法》落地實施,促進標準廣泛應用,探索數據利用與安全平衡點,期望提高全社會數據安全保護水平,助力產業健康發展。
(文章來源:21世紀經濟報道)
標簽:
