【環(huán)球新要聞】數(shù)據(jù)安全亟需細化管理要求 專家：應(yīng)從生產(chǎn)安全角度發(fā)力治理

當(dāng)前，我國全面步入數(shù)字經(jīng)濟時代，經(jīng)濟由高速增長轉(zhuǎn)向高質(zhì)量發(fā)展。國研中心相關(guān)數(shù)據(jù)表明，2022年我國數(shù)字經(jīng)濟規(guī)模超過50萬億，占GDP比重超過40%，繼續(xù)保持在10%的高位增長速度，成為穩(wěn)定經(jīng)濟增長的關(guān)鍵動力。

隨著數(shù)字經(jīng)濟的高速發(fā)展和移動互聯(lián)網(wǎng)的普及，數(shù)據(jù)成為了一種基本生產(chǎn)要素和國家核心戰(zhàn)略資源，數(shù)據(jù)已無所不包，應(yīng)用無處不在。數(shù)據(jù)安全和個人信息保護由此成了事關(guān)國家安全、經(jīng)濟社會發(fā)展和個人切身利益的重大問題。

(相關(guān)資料圖)

3月28日，由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟主辦的2023年CCIA網(wǎng)絡(luò)安全技術(shù)應(yīng)用專題研討會在北京召開。來自學(xué)界、研究機構(gòu)、數(shù)據(jù)安全服務(wù)商、產(chǎn)業(yè)界的代表共同就“數(shù)據(jù)安全和個人信息保護”議題分享了自己的見解或?qū)嵺`經(jīng)驗。

關(guān)系型治理成數(shù)據(jù)安全治理新挑戰(zhàn)

近年來，網(wǎng)絡(luò)安全相關(guān)法律陸續(xù)出臺，為數(shù)據(jù)安全和個人信息保護的工作實施指明了方向。“數(shù)據(jù)二十條”的頒布，則詳細地梳理了數(shù)據(jù)要素在產(chǎn)權(quán)、流通交易、收益分配、安全治理等方面如何合規(guī)高效流動使用，強化數(shù)據(jù)安全保障體系建設(shè)，充分發(fā)揮數(shù)據(jù)要素價值。

北京理工大學(xué)法學(xué)院教授洪延青從法律的角度切入，他指出，從《網(wǎng)絡(luò)安全法》到《數(shù)據(jù)安全法》和《個人信息保護法》，不同法律對“數(shù)據(jù)安全”的認知和定義發(fā)生了較大的變化，這也反映出了我國數(shù)據(jù)安全的內(nèi)涵和發(fā)展在不斷擴張。如今在“數(shù)據(jù)二十條”的背景下，對安全的定義又有了一次新擴張，除了安全之外還要合法、充分利用。

那么，“數(shù)據(jù)二十條”背景下，對安全提出什么樣的新要求？洪延青表示，從早期的邊界防護，如防火墻、堡壘機等，更注重網(wǎng)絡(luò)載體的安全；到大家開始關(guān)注到App數(shù)據(jù)收集工作，如強調(diào)透明自主選擇、隱私政策、必要信息范圍等，擴張到了合規(guī)的概念；到如今，隨著數(shù)據(jù)的流動愈加頻繁，在流動的過程中數(shù)據(jù)安全問題怎么去保障成了新的問題？

具體的，洪延青以數(shù)據(jù)出境為例分析道，當(dāng)數(shù)據(jù)從一個相對已知的環(huán)境內(nèi)到另外一個未知的環(huán)境內(nèi)時，現(xiàn)階段多數(shù)廠商的思路是通過隱私計算或數(shù)據(jù)脫敏的方式進行處理，不希望在未知環(huán)境有所作為，未知環(huán)境始終保持未知，只希望在有價值的數(shù)據(jù)流到未知環(huán)境過程中，盡量少的信息量和內(nèi)容流出去。而“數(shù)據(jù)二十條”中對數(shù)據(jù)的流通和交易有了更高的要求，提出了培育數(shù)據(jù)要素流通和交易服務(wù)生態(tài)，這些方式的使用場景都是相對有限的。

“我自己把它界定為‘關(guān)系型的安全治理’”，洪延青說道，不能再讓未知環(huán)境始終處于未知環(huán)境狀態(tài)下，要把安全措施伸到未知環(huán)境中去，使那個環(huán)境變得相對可控、可知。

他進一步指出，數(shù)據(jù)交易所、快消品行業(yè)里的聯(lián)合計算、歐洲的數(shù)據(jù)空間，都是一種“關(guān)系型治理模式”，通過可靠的第三方將未知環(huán)境變成相對可知的環(huán)境。

“關(guān)系型治理除了管理規(guī)則之外，更重要的是技術(shù)支撐管理規(guī)則的落地以及管理規(guī)則的可視、可控、可干預(yù)，接下來產(chǎn)業(yè)界會有更大的作用。如果能做到這一點，安全相關(guān)的很多產(chǎn)品或解決方案都能跟業(yè)務(wù)、社會貼近在一起。”洪延青說道。

從生產(chǎn)安全角度發(fā)力數(shù)據(jù)安全治理

全知科技CEO方興從技術(shù)的角度切入，分享了數(shù)據(jù)安全行業(yè)的建設(shè)思考。他指出，原來講的數(shù)據(jù)安全是高價值信息在數(shù)據(jù)載體上的安全，隨著大數(shù)據(jù)、AI技術(shù)的發(fā)展，不需靠人推導(dǎo)，靠機器就可以從數(shù)據(jù)當(dāng)中挖掘知識和情報。對數(shù)據(jù)的保護也應(yīng)該從一個資產(chǎn)層的角度向生產(chǎn)層轉(zhuǎn)變，由已獲高價值信息的防御性保護轉(zhuǎn)向全流程保護，特別當(dāng)今數(shù)據(jù)已成為生產(chǎn)要素，加速流通的背景下。

“針對生產(chǎn)要素去進行保護，實際上比資產(chǎn)層面保護要困難得多。這是我理解為什么現(xiàn)在要把數(shù)據(jù)安全單獨拿出來跟原來的網(wǎng)絡(luò)安全并列，因為它產(chǎn)生了完全不同的視角?！狈脚d說道，這種數(shù)據(jù)既有價值，但是對它處理不善可能帶來危害，變成了生產(chǎn)安全的視角，這是我理解的數(shù)據(jù)安全為什么在這個時代這么重要。

生產(chǎn)者要考慮生產(chǎn)過程效率的平衡，要關(guān)注全流程，而數(shù)據(jù)卻如此龐大和繁雜，在流通環(huán)節(jié)，落地《數(shù)據(jù)安全法》和數(shù)據(jù)安全成了極具挑戰(zhàn)的事情。

“在這個當(dāng)中，從數(shù)據(jù)的資產(chǎn)認定到數(shù)據(jù)在什么地方暴露，要形成數(shù)據(jù)暴露面的概念，數(shù)據(jù)暴露面在整個數(shù)據(jù)處理活動又會產(chǎn)生什么樣的數(shù)據(jù)活動，數(shù)據(jù)又能流向到哪里，數(shù)據(jù)采集了之后用到什么場景等等。如果這些東西都刻畫不清楚，我認為一個企業(yè)它是做不好數(shù)據(jù)安全的?！?/p>

據(jù)了解，數(shù)據(jù)暴露面，指數(shù)據(jù)形成了哪些可以被其他責(zé)任主體獲取的訪問點/暴露面，數(shù)據(jù)的暴露面是分析數(shù)據(jù)各種脆弱性風(fēng)險的關(guān)鍵環(huán)節(jié)。方興表示，這需要重新構(gòu)建一個數(shù)據(jù)流動的體系模型，解決“看清”數(shù)據(jù)的問題，搞清楚到底有哪些資產(chǎn)，這些資產(chǎn)到底在怎樣流通，到底去了哪里。

方興進一步指出，監(jiān)管需要細化數(shù)據(jù)安全的管理要求，指導(dǎo)各行各業(yè)制定相應(yīng)的重要數(shù)據(jù)目錄。有了明確的管理細則，企業(yè)才能更好地去執(zhí)行和落地；擁有數(shù)據(jù)清晰或范圍明確的目錄，則有利于數(shù)據(jù)安全工作的開展。

“我們幫客戶發(fā)現(xiàn)了很多風(fēng)險，抓到的人移交給公安，反倒他成了公安重點關(guān)注對象，成了高風(fēng)險的企業(yè)?！狈脚d指出，“這里存在導(dǎo)向協(xié)同的問題，導(dǎo)致大家不愿意建立自己發(fā)現(xiàn)風(fēng)險的能力，不愿意把風(fēng)險事件化解?！?/p>

為此，他建議，國家應(yīng)牽頭成立數(shù)據(jù)風(fēng)險監(jiān)測和預(yù)警體系，包括對積極發(fā)現(xiàn)風(fēng)險、處置風(fēng)險的單位給予更多正向的激勵，而不是反向的打擊。各界通過協(xié)同構(gòu)建數(shù)據(jù)安全合作生態(tài)，及時發(fā)現(xiàn)風(fēng)險，并快速響應(yīng)、處理風(fēng)險，守護數(shù)據(jù)安全。

此外，本次會議上，電子標(biāo)準(zhǔn)院黨委書記、副院長，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟秘書長楊建軍指出，數(shù)據(jù)安全和個人信息保護法律法規(guī)、政策文件、標(biāo)準(zhǔn)規(guī)范逐年完善，但隨著新興技術(shù)應(yīng)用的發(fā)展，數(shù)據(jù)安全問題也正在不斷演進，需要有創(chuàng)新的治理模式和方法。

CCIA數(shù)安委副主任何延哲對2022年數(shù)安委工作進行總結(jié)，并匯報了2023年度工作計劃。他表示，數(shù)安委通過開展研討活動、組織標(biāo)準(zhǔn)制定、搭建知識平臺等形式，推動《數(shù)據(jù)安全法》和《個人信息保護法》落地實施，促進標(biāo)準(zhǔn)廣泛應(yīng)用，探索數(shù)據(jù)利用與安全平衡點，期望提高全社會數(shù)據(jù)安全保護水平，助力產(chǎn)業(yè)健康發(fā)展。

（文章來源：21世紀(jì)經(jīng)濟報道）

標(biāo)簽：