信息化觀察網(wǎng)

摘要

在數(shù)據(jù)要素轉(zhuǎn)化為生產(chǎn)力的過程中，數(shù)據(jù)安全訴求與經(jīng)濟(jì)價值實現(xiàn)相伴相隨。本文總結(jié)了要素市場化配置背景下，數(shù)據(jù)安全在架構(gòu)體系、技術(shù)和產(chǎn)業(yè)等方面出現(xiàn)的新趨勢、新方向和新重點(diǎn)，客觀分析了新要求下數(shù)據(jù)安全在系統(tǒng)架構(gòu)部署、法律法規(guī)制度、技術(shù)研發(fā)應(yīng)用、數(shù)據(jù)安全產(chǎn)業(yè)和企業(yè)等方面面臨的挑戰(zhàn)，并針對上述四個方面分別提出了應(yīng)對策略。

00引言

2020年，國家層面上加速部署新基建，推動數(shù)字化從消費(fèi)層面向生產(chǎn)層面全面深化；中共中央國務(wù)院出臺了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，要求加快培育數(shù)據(jù)要素市場，推進(jìn)政府?dāng)?shù)據(jù)開放共享，提升社會數(shù)據(jù)資源價值，加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)；隨后，中共中央國務(wù)院又出臺了《關(guān)于新時代加快完善社會主義市場經(jīng)濟(jì)體制的意見》。

緊鑼密鼓出臺的政策部署標(biāo)志著深入推進(jìn)泛在數(shù)字化、加強(qiáng)市場機(jī)制對數(shù)據(jù)等生產(chǎn)要素的優(yōu)化配置、打破體制機(jī)制障礙、充分挖掘數(shù)據(jù)價值，將促進(jìn)數(shù)字經(jīng)濟(jì)從簡單的信息化以提高工作效率階段發(fā)展到海量數(shù)據(jù)聚合分析以實現(xiàn)價值最大化的階段。在此背景下，探索建立保障數(shù)據(jù)流動共享、開放交易、聚合分析的數(shù)據(jù)安全體系，為數(shù)字經(jīng)濟(jì)發(fā)展提供堅實基礎(chǔ)亟不可待。

01數(shù)據(jù)要素特征及數(shù)據(jù)安全新特點(diǎn)

1.1數(shù)據(jù)要素顯著特征

數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)與土地、勞動力、資本和技術(shù)并駕齊驅(qū)成為生產(chǎn)要素之一。作為一種新型生產(chǎn)要素，我們對數(shù)據(jù)要素市場化配置規(guī)律的認(rèn)識還處于摸索期，數(shù)據(jù)的產(chǎn)權(quán)界定、市場價值評估及交易、安全保護(hù)模式等方面都有待探索。但數(shù)據(jù)要素部分特質(zhì)已顯現(xiàn)并形成共識。

一是數(shù)據(jù)要素具有邊際效益遞增性，在流動共享中實現(xiàn)價值倍增。摩爾定律揭示了信息產(chǎn)品生產(chǎn)成本不斷下降的規(guī)律，意味著依托信息技術(shù)和產(chǎn)品進(jìn)行數(shù)據(jù)生產(chǎn)和數(shù)據(jù)加工的成本將持續(xù)下降，與此同時，海量數(shù)據(jù)共享后，大數(shù)據(jù)和云計算等支撐挖掘更大數(shù)據(jù)價值成為現(xiàn)實。2020年新冠疫情也客觀詮釋數(shù)據(jù)流動共享具有更大價值這一事實。

二是數(shù)據(jù)要素承載或所屬主體提出在其生產(chǎn)力轉(zhuǎn)化中需加強(qiáng)安全保護(hù)的訴求。與土地、勞動力、資本和技術(shù)等生產(chǎn)要素相比，數(shù)據(jù)要素映射了不同層面的社會關(guān)系，導(dǎo)致生產(chǎn)要素權(quán)屬人在追逐經(jīng)濟(jì)利益同時訴求對數(shù)據(jù)安全的保護(hù)。如個人數(shù)據(jù)涉及隱私，企業(yè)數(shù)據(jù)涉及競爭或商業(yè)機(jī)密，國家數(shù)據(jù)涉及國家安全和數(shù)字主權(quán)。由此看來，數(shù)據(jù)轉(zhuǎn)化為生產(chǎn)力的同時需解決不同數(shù)據(jù)主體在數(shù)據(jù)保護(hù)方面的權(quán)益訴求。

1.2數(shù)據(jù)安全新特點(diǎn)

在數(shù)字化初期階段，數(shù)據(jù)安全的關(guān)注點(diǎn)聚焦于對數(shù)字化產(chǎn)生的數(shù)據(jù)進(jìn)行安全存儲或傳輸；當(dāng)進(jìn)入市場化配置階段，大量數(shù)據(jù)將通過市場機(jī)制進(jìn)行規(guī)模化流動和深度聚合處理，對數(shù)據(jù)安全的保護(hù)提出了更高要求。此時，數(shù)據(jù)安全呈現(xiàn)出新的變化特點(diǎn)。

一是以數(shù)據(jù)為中心成為安全部署新趨勢。云計算及移動互聯(lián)網(wǎng)廣泛使用導(dǎo)致原有的網(wǎng)絡(luò)邊界模糊化，加上數(shù)字經(jīng)濟(jì)發(fā)展推動網(wǎng)絡(luò)運(yùn)營業(yè)務(wù)以數(shù)據(jù)為中心，兩方面因素導(dǎo)致傳統(tǒng)上以網(wǎng)絡(luò)為中心的安全架構(gòu)、基于信息化系統(tǒng)部署的外掛安全工具和手段已無法滿足數(shù)據(jù)安全實際需要。以數(shù)據(jù)為中心、零信任安全為理念，將數(shù)據(jù)安全內(nèi)化為信息化系統(tǒng)的重要組成部分并同步建設(shè)成為發(fā)展趨勢[1]。

二是動態(tài)主動防御成為安全布局新方向。數(shù)據(jù)安全形勢日益嚴(yán)峻，傳統(tǒng)基于數(shù)據(jù)庫加密、數(shù)據(jù)庫防火墻等靜態(tài)被動防御面臨失效風(fēng)險。能實現(xiàn)主動分析、溯源、應(yīng)急處理的態(tài)勢感知、威脅情報系統(tǒng)等成為市場新需求;針對業(yè)務(wù)場景建模，發(fā)現(xiàn)異常并及時處理的動態(tài)主動防御體系成為數(shù)據(jù)安全布局新方向。

三是數(shù)據(jù)處理和共享成為安全保障新重點(diǎn)。大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等支撐數(shù)據(jù)分析和共享交易以實現(xiàn)數(shù)據(jù)價值最大化，對數(shù)字化、信息化后的數(shù)據(jù)以存儲和傳輸為重點(diǎn)的安全保障已滯后。針對數(shù)據(jù)交易共享引發(fā)的流動性安全保障、數(shù)據(jù)聚合分析引發(fā)的融合性安全需求等都提出了新需求。以數(shù)據(jù)處理、共享環(huán)節(jié)為重點(diǎn)建立全生命周期安全保障成為必然選擇。

02要素市場化配置背景下數(shù)據(jù)安全面臨的挑戰(zhàn)

要素市場化配置要求數(shù)據(jù)安全能力順應(yīng)提升，但我國數(shù)據(jù)安全基于原有信息安全系統(tǒng)強(qiáng)化完善，信息安全的分散化和孤立性將妨礙數(shù)據(jù)安全整體布局；安全保障制度不完善導(dǎo)致數(shù)據(jù)流動共享困難重重;安全技術(shù)研發(fā)和應(yīng)用不力致使數(shù)據(jù)安全滯后數(shù)字經(jīng)濟(jì)發(fā)展更加凸顯;缺乏內(nèi)生發(fā)展機(jī)制的薄弱產(chǎn)業(yè)無法提供有效的安全解決方案等現(xiàn)狀，意味著數(shù)據(jù)安全面臨艱巨挑戰(zhàn)。

2.1以數(shù)據(jù)為中心部署內(nèi)生安全系統(tǒng)推進(jìn)難度大

一是以系統(tǒng)為中心部署調(diào)整升級為以數(shù)據(jù)為中心的數(shù)據(jù)安全進(jìn)展緩慢。傳統(tǒng)的數(shù)據(jù)安全作為信息安全的一部分，以信息化系統(tǒng)為中心部署的靜態(tài)化安全策略重點(diǎn)保護(hù)存儲和傳輸;數(shù)字經(jīng)濟(jì)要求從靜態(tài)和動態(tài)兩方面部署數(shù)據(jù)全生命周期安全，但基于原有安全系統(tǒng)調(diào)整升級的投入成本和協(xié)調(diào)難度大，加上技術(shù)力量等儲備不足，導(dǎo)致進(jìn)展緩慢。

二是融合邊界和業(yè)務(wù)建立內(nèi)生數(shù)據(jù)安全系統(tǒng)難度大。新形勢下，數(shù)據(jù)安全需融合成信息化系統(tǒng)的“內(nèi)生能力”，但聚合信息化系統(tǒng)與安全系統(tǒng)、業(yè)務(wù)數(shù)據(jù)與安全數(shù)據(jù)、IT人才和安全人才等多要素的新思維、新模式、新技術(shù)和新方法既缺乏理論上的指引也缺乏實踐經(jīng)驗積累。

2.2適應(yīng)動態(tài)主動防御的數(shù)據(jù)安全技術(shù)研發(fā)滯后

一是數(shù)據(jù)安全技術(shù)研發(fā)滯后無法滿足動態(tài)主動防御需求。數(shù)據(jù)安全預(yù)警、異常行為檢測技術(shù)積累薄弱，無法滿足監(jiān)測、預(yù)警、定位、處置等安全風(fēng)險防范要求；以數(shù)字水印和數(shù)據(jù)血緣技術(shù)為代表的數(shù)據(jù)流動追蹤溯源技術(shù)仍處于研究驗證階段，難以滿足數(shù)據(jù)量級大、流動速度快場景下的安全保護(hù)需求。

二是數(shù)據(jù)安全技術(shù)不成熟導(dǎo)致數(shù)據(jù)流動場景中安全保障難。保障數(shù)據(jù)共享使用安全的同態(tài)加密、安全多方計算、聯(lián)邦學(xué)習(xí)等新興技術(shù)手段均處于初步發(fā)展階段，鮮有應(yīng)用案例。針對融合性業(yè)務(wù)復(fù)雜多源數(shù)據(jù)場景的數(shù)據(jù)脫敏、防泄露等解決方案不成熟。綜合性安全技術(shù)區(qū)塊鏈成本高導(dǎo)致應(yīng)用進(jìn)展緩慢，人工智能安全隱患致使應(yīng)用推廣難。

2.3為數(shù)據(jù)交易共享提供安全保障的法律法規(guī)缺失

一是個人信息保護(hù)制度不健全導(dǎo)致數(shù)據(jù)紅利難以充分釋放。我國尚未建立個人信息跨部門監(jiān)管機(jī)制，目前依托國家網(wǎng)信主管部門統(tǒng)籌協(xié)調(diào)下的行業(yè)分治模式，對融合性業(yè)務(wù)數(shù)據(jù)安全監(jiān)管乏力。在《個人信息保護(hù)法》和《數(shù)據(jù)安全法》均未出臺的情況下，數(shù)據(jù)主體心存擔(dān)憂、數(shù)據(jù)接收方和處理方既想利用數(shù)據(jù)伺機(jī)牟利又唯恐有失，導(dǎo)致數(shù)據(jù)價值無法充分合理挖掘、數(shù)據(jù)紅利難以釋放。

二是數(shù)據(jù)跨境流動制度不完善導(dǎo)致數(shù)據(jù)價值難以最大化。我國《網(wǎng)絡(luò)安全法》明確了數(shù)據(jù)出境安全評估的基本要求，但《個人信息出境安全評估辦法》尚處于征求意見中，與歐盟、美國等國家相比，我國數(shù)據(jù)出境制度尚處于探索階段，擬采取單一的安全評估方式無法滿足市場主體屬性差異大和出境場景復(fù)雜的需求，數(shù)據(jù)無法實現(xiàn)跨境流動共享，無法正常發(fā)揮在對外開放合作促進(jìn)經(jīng)濟(jì)發(fā)展中的作用。

2.4為數(shù)據(jù)安全提供支撐的企業(yè)弱、產(chǎn)業(yè)基礎(chǔ)差

一是數(shù)據(jù)安全企業(yè)競爭力弱、產(chǎn)業(yè)規(guī)模小導(dǎo)致產(chǎn)品生態(tài)體系無法構(gòu)建。我國數(shù)據(jù)安全產(chǎn)品主要由網(wǎng)絡(luò)安全企業(yè)附帶經(jīng)營，僅有少數(shù)從信息安全轉(zhuǎn)型的專業(yè)公司，與國際企業(yè)相比，競爭力弱。起步較晚的產(chǎn)業(yè)基礎(chǔ)薄弱，據(jù)中國信息通信研究院測算，2019年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模占全球的比重7.4%[2]，數(shù)據(jù)安全產(chǎn)業(yè)作為網(wǎng)絡(luò)安全產(chǎn)業(yè)的少部分，尚處于初始發(fā)展階段，未形成產(chǎn)品生態(tài)體系。

二是缺乏持續(xù)激勵機(jī)制導(dǎo)致安全產(chǎn)業(yè)內(nèi)生增長機(jī)制無法形成。數(shù)據(jù)安全產(chǎn)業(yè)受政府政策影響大，但歐洲、美國、以色列等國家經(jīng)歷了政府主導(dǎo)階段后已形成了市場主導(dǎo)、政策制度激勵的產(chǎn)業(yè)發(fā)展機(jī)制，我國尚處于政府階段性政策主導(dǎo)、企業(yè)被動投入的階段，2019年全球網(wǎng)絡(luò)安全在IT產(chǎn)業(yè)支出中的占比平均為3.7%，美國為4.8%，而我國僅為1.1%[3]。加上我國數(shù)據(jù)安全產(chǎn)業(yè)基礎(chǔ)和企業(yè)實力較差，基于市場需求驅(qū)動發(fā)展的內(nèi)生機(jī)制無法啟動。

03“以數(shù)據(jù)為中心”的數(shù)據(jù)安全建設(shè)策略

數(shù)據(jù)安全是數(shù)據(jù)要素市場化配置的生命線，要堅持以安全促發(fā)展的理念，健全數(shù)據(jù)安全和個人信息保護(hù)制度、完善大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護(hù)制度、探索建立“以數(shù)據(jù)為中心”的安全保障體系、建立數(shù)據(jù)安全技術(shù)和產(chǎn)業(yè)生態(tài)，為數(shù)據(jù)有序流動、有效交易、安全利用和價值釋放提供安全保障。在我國數(shù)據(jù)安全建設(shè)起步晚、數(shù)字經(jīng)濟(jì)發(fā)展速度快、安全保障需求不斷提高的情況下，提升數(shù)據(jù)安全能力任重道遠(yuǎn)。

本文就此提出如下對策建議。

3.1健全數(shù)據(jù)安全法律法規(guī)管理制度

一是明確融合性業(yè)務(wù)數(shù)據(jù)安全監(jiān)管職能分工，積極探索融合監(jiān)管模式;強(qiáng)化行業(yè)管理部門對分管行業(yè)的數(shù)據(jù)安全監(jiān)管能力。

二是推進(jìn)《個人信息保護(hù)法》《數(shù)據(jù)安全法》及配套法律法規(guī)制度出臺，明確數(shù)據(jù)安全管理紅線，為數(shù)據(jù)流動創(chuàng)造條件。

三是完善跨境數(shù)據(jù)管理制度，推動《個人信息出境安全評估辦法》盡快出臺，在部分自有貿(mào)易區(qū)開展數(shù)據(jù)跨境試點(diǎn)，積極探索除安全評估外的數(shù)據(jù)跨境途徑。

四是推動數(shù)據(jù)分類分級、安全評估、重要數(shù)據(jù)識別等標(biāo)準(zhǔn)制定，為建立全生命周期數(shù)據(jù)安全提供支撐。

3.2探索建立以數(shù)據(jù)為中心的安全保障體系

一是數(shù)據(jù)安全管理部門協(xié)同組織推進(jìn)構(gòu)建貫穿基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心、云平臺、數(shù)據(jù)和應(yīng)用等一體化協(xié)同防范體系，并明確分工加強(qiáng)落實。

二是在部分行業(yè)率先開展數(shù)據(jù)安全治理工作，指導(dǎo)企業(yè)開展數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流向盤點(diǎn)，按照分級分類標(biāo)準(zhǔn)標(biāo)識數(shù)據(jù)，建立數(shù)據(jù)倉庫并部署安全策略。

三是鼓勵部分行業(yè)探索將建立數(shù)據(jù)全生命周期安全保障體系納入數(shù)據(jù)安全合規(guī)重點(diǎn)內(nèi)容，并通過評估、安全監(jiān)測和專項治理等手段，強(qiáng)化企業(yè)貫徹落實。

四是建立數(shù)據(jù)流動軌跡和交易鏈條的安全風(fēng)險監(jiān)測追溯與綜合管理平臺，實時監(jiān)測風(fēng)險態(tài)勢并進(jìn)行異常預(yù)警和溯源處置，強(qiáng)化流動共享數(shù)據(jù)安全保障。

3.3逐步建立數(shù)據(jù)安全技術(shù)生態(tài)體系

一是數(shù)據(jù)安全相關(guān)管理部門聯(lián)合研判數(shù)據(jù)安全關(guān)鍵技術(shù)，確定技術(shù)戰(zhàn)略路線圖，明確重要技術(shù)研發(fā)及應(yīng)用推廣階段性目標(biāo)和推進(jìn)措施。

二是依托企業(yè)或研究機(jī)構(gòu)建立若干國家級數(shù)據(jù)安全技術(shù)重點(diǎn)實驗室，建立技術(shù)研發(fā)及推廣應(yīng)用機(jī)制。

三是支持一批關(guān)鍵技術(shù)研發(fā)，主要包括同態(tài)加密、安全多方計算等加密技術(shù)；脫敏和匿名化、聯(lián)邦學(xué)習(xí)等數(shù)據(jù)處理安全技術(shù)；數(shù)字水印、數(shù)據(jù)血緣、區(qū)塊鏈等數(shù)據(jù)共享安全技術(shù)等。

四是定期評選若干優(yōu)秀數(shù)據(jù)安全產(chǎn)品和解決方案，激勵并推動研發(fā)成果應(yīng)用推廣。

3.4創(chuàng)新推動數(shù)據(jù)安全產(chǎn)業(yè)園區(qū)建設(shè)

一是以產(chǎn)業(yè)園區(qū)為集聚地，加大數(shù)據(jù)安全投資，鼓勵大型國企入駐數(shù)據(jù)安全市場，引導(dǎo)企業(yè)加大數(shù)據(jù)安全投資。

二是鼓勵企業(yè)通過并購整合，投資入股等方式與以色列等國家優(yōu)秀安全企業(yè)開展合作。

三是布局新興領(lǐng)域數(shù)據(jù)安全產(chǎn)業(yè)，重點(diǎn)發(fā)展數(shù)據(jù)安全保險、數(shù)據(jù)安全審計、安全態(tài)勢感知、數(shù)據(jù)安全情報分析等服務(wù)業(yè)態(tài)。

四是培育數(shù)據(jù)安全骨干企業(yè)，場景化設(shè)計數(shù)據(jù)安全產(chǎn)品線，重構(gòu)數(shù)據(jù)安全產(chǎn)業(yè)鏈，促進(jìn)產(chǎn)業(yè)鏈良性互動發(fā)展以逐步啟動產(chǎn)業(yè)內(nèi)生增長機(jī)制。

04結(jié)語

數(shù)據(jù)要素市場化配置下的數(shù)字經(jīng)濟(jì)時代，網(wǎng)絡(luò)信息安全突出表現(xiàn)為數(shù)據(jù)安全。其與傳統(tǒng)網(wǎng)絡(luò)信息安全雜糅交織，呈現(xiàn)出新的特點(diǎn)。建設(shè)以數(shù)據(jù)為中心的安全架構(gòu)體系，既需要在技術(shù)手段上加強(qiáng)部署，也需要在法律制度和管理上深入研究，以切實保障數(shù)據(jù)安全，為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。

參考文獻(xiàn)：

沈昌祥《用主動免疫可信計算構(gòu)筑新型基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系[J].網(wǎng)信軍民融合,2020(4):10-13.

中國信息通信研究院安全研究所《網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》北京中國信息通信研究院,2019.

高健鈞.網(wǎng)絡(luò)安全形勢嚴(yán)峻北京加快推進(jìn)國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)建設(shè)[EB/OL].(2019-01-16)[2020-05-20]

http://www.xinhuanet.com/2019-01/16/c_1123999790.htm.