本文來(lái)自微信公眾號(hào)“數(shù)字經(jīng)濟(jì)雜志”,作者/艾龍。
一、我國(guó)數(shù)據(jù)要素政策發(fā)展歷程
數(shù)據(jù)作為新型生產(chǎn)要素,是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ),已快速融入生產(chǎn)、分配、流通、消費(fèi)和社會(huì)服務(wù)管理等各環(huán)節(jié),深刻改變著生產(chǎn)方式、生活方式和社會(huì)治理方式。數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國(guó)家發(fā)展和安全大局。
2019年11月5日,黨的十九屆四中全會(huì)發(fā)布《中共中央關(guān)于堅(jiān)持和完善中國(guó)特色社會(huì)主義制度推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化若干重大問(wèn)題的決定》,首次將“數(shù)據(jù)”列為生產(chǎn)要素,提出了“健全勞動(dòng)、資本、土地、知識(shí)、技術(shù)、管理、數(shù)據(jù)等生產(chǎn)要素由市場(chǎng)評(píng)價(jià)貢獻(xiàn)、按貢獻(xiàn)決定報(bào)酬的機(jī)制”。2020年4月9日,中共中央、國(guó)務(wù)院公布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,將數(shù)據(jù)作為與土地、勞動(dòng)力、資本、技術(shù)等傳統(tǒng)要素并列的第五大生產(chǎn)要素,并明確提出“引導(dǎo)培育大數(shù)據(jù)交易市場(chǎng),依法合規(guī)開展數(shù)據(jù)交易”。
2022年12月19日,中共中央、國(guó)務(wù)院對(duì)外公開發(fā)布《數(shù)據(jù)二十條》,明確了堅(jiān)持促進(jìn)數(shù)據(jù)合規(guī)高效流通使用、賦能實(shí)體經(jīng)濟(jì)這一主線,開始形成數(shù)據(jù)產(chǎn)權(quán)、流通、交易、使用、分配、治理、安全等基礎(chǔ)制度的“四梁八柱”,在我國(guó)數(shù)據(jù)要素價(jià)值釋放過(guò)程中具有里程碑意義。
2023年3月7日《國(guó)務(wù)院關(guān)于提請(qǐng)審議國(guó)務(wù)院機(jī)構(gòu)改革方案的議案》中特別提出要組建國(guó)家數(shù)據(jù)局。國(guó)家數(shù)據(jù)局的成立將從國(guó)家層面上協(xié)調(diào)統(tǒng)籌、形成合力,推進(jìn)全國(guó)數(shù)據(jù)要素統(tǒng)一大市場(chǎng)建設(shè)。
緊鑼密鼓出臺(tái)的政策部署標(biāo)志著我國(guó)數(shù)據(jù)要素市場(chǎng)即將步入高速發(fā)展階段,全面深入推進(jìn)數(shù)字化轉(zhuǎn)型、加強(qiáng)市場(chǎng)機(jī)制對(duì)數(shù)據(jù)要素的優(yōu)化配置、打破體制機(jī)制障礙、充分挖掘數(shù)據(jù)要素價(jià)值,將促進(jìn)數(shù)字經(jīng)濟(jì)從以效率提升為目標(biāo)的階段發(fā)展到以實(shí)現(xiàn)數(shù)據(jù)要素價(jià)值最大化的階段。在此局勢(shì)下,探索建立保障數(shù)據(jù)要素流通、交易、共享、應(yīng)用的數(shù)據(jù)安全治理體系,為數(shù)據(jù)要素市場(chǎng)發(fā)展提供牢固基礎(chǔ)時(shí)不我待。
二、數(shù)據(jù)安全的內(nèi)涵與外延在不斷擴(kuò)展
數(shù)據(jù)從資源形態(tài)通過(guò)價(jià)值釋放轉(zhuǎn)變?yōu)橘Y產(chǎn),通過(guò)不斷地應(yīng)用和流通進(jìn)階為新的生產(chǎn)要素。數(shù)據(jù)要素驅(qū)動(dòng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型已經(jīng)成為全球共識(shí)。隨著數(shù)字技術(shù)與實(shí)體產(chǎn)業(yè)、實(shí)體經(jīng)濟(jì)的不斷融合,各類數(shù)字化技術(shù)對(duì)數(shù)據(jù)充分地開發(fā)和利用,數(shù)字空間正在不斷地影響和改變著我們生產(chǎn)和生活的方方面面。一方面是物理世界對(duì)數(shù)字空間的依存度增加了,另一方面是數(shù)字空間對(duì)物理世界產(chǎn)生的影響、帶來(lái)的安全風(fēng)險(xiǎn)也將會(huì)更大。所以在數(shù)字空間視角下,數(shù)據(jù)安全的內(nèi)涵與外延正在不斷地?cái)U(kuò)展。
三、數(shù)據(jù)要素利用所面臨的多重安全挑戰(zhàn)
數(shù)據(jù)要素在不斷流通、充分釋放價(jià)值的過(guò)程中,隨時(shí)帶來(lái)一系列的安全挑戰(zhàn),主要體現(xiàn)在如下幾個(gè)方面:
一是,數(shù)據(jù)要素底數(shù)和流向不清晰。敏感數(shù)據(jù)分散,使用權(quán)責(zé)不明確,缺乏數(shù)據(jù)分類分級(jí)管理策略,導(dǎo)致數(shù)據(jù)流向及數(shù)據(jù)訪問(wèn)行為難跟蹤、難管控。
二是,數(shù)據(jù)要素風(fēng)險(xiǎn)狀況不明確。數(shù)據(jù)全生命周期各階段存在安全隱患,數(shù)據(jù)泄露、篡改、破壞、非授權(quán)使用及隱私風(fēng)險(xiǎn)等可造成的影響不清晰。
三是,數(shù)據(jù)安全策略及能力不一致。各類數(shù)據(jù)處理主體、場(chǎng)景、環(huán)境的安全策略及能力不統(tǒng)一,數(shù)據(jù)要素?zé)o法在全過(guò)程獲得一致的保護(hù)。
四是,數(shù)據(jù)安全事件處置不聯(lián)動(dòng)。各類行業(yè)、組織對(duì)跨環(huán)節(jié)的數(shù)據(jù)安全事件處置,缺乏統(tǒng)一機(jī)制,缺少應(yīng)急預(yù)案管理和應(yīng)急演練,不具備聯(lián)動(dòng)能力等。
五是,數(shù)據(jù)安全保障水平衡量不統(tǒng)一。缺少標(biāo)準(zhǔn)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、能力評(píng)估方法,沒(méi)有數(shù)據(jù)安全實(shí)戰(zhàn)評(píng)估和驗(yàn)證機(jī)制,缺少數(shù)據(jù)安全技術(shù)檢測(cè)手段,無(wú)法對(duì)數(shù)據(jù)安全能力進(jìn)行一致衡量。
四、基于“六步法”構(gòu)建數(shù)據(jù)安全協(xié)同治理體系
面對(duì)復(fù)雜多變的數(shù)據(jù)要素流通場(chǎng)景和安全挑戰(zhàn),我們需要構(gòu)建一套與業(yè)務(wù)戰(zhàn)略協(xié)同推進(jìn)的立體化、縱深化的數(shù)據(jù)安全體系架構(gòu),既要強(qiáng)化數(shù)據(jù)安全保護(hù),又要充分發(fā)揮數(shù)據(jù)要素價(jià)值。
首先,在戰(zhàn)略層面,我們應(yīng)當(dāng)以充分釋放數(shù)據(jù)要素價(jià)值、保障數(shù)字化轉(zhuǎn)型為首要目標(biāo),從組織層面的建設(shè)整體的安全文化,并結(jié)合業(yè)務(wù)發(fā)展需要和應(yīng)用創(chuàng)新需求來(lái)制定整體的安全戰(zhàn)略。其次,在治理層面,以法律法規(guī)為依據(jù),以監(jiān)管為指引,首先構(gòu)建數(shù)據(jù)要素安全保障的基本防線,從而建立覆蓋全局聯(lián)動(dòng)的數(shù)據(jù)安全治理體系,從組織層面構(gòu)建持續(xù)指導(dǎo)、監(jiān)督、評(píng)價(jià)、溝通的治理機(jī)制。再次,在管控層面,通過(guò)PDCA的閉環(huán)管理思路,結(jié)合行業(yè)經(jīng)驗(yàn)和實(shí)踐,構(gòu)建全局的數(shù)據(jù)安全管理、技術(shù)體系。最后,在運(yùn)營(yíng)層面,建立持續(xù)改進(jìn)的運(yùn)行機(jī)制,通過(guò)數(shù)據(jù)安全的持續(xù)建設(shè)及常態(tài)運(yùn)營(yíng),不斷提高數(shù)據(jù)安全的能力與效用。需要重點(diǎn)關(guān)注的持續(xù)改進(jìn)內(nèi)容如:持續(xù)開展數(shù)據(jù)安全能力建設(shè),不斷細(xì)化數(shù)據(jù)安全管控粒度;持續(xù)優(yōu)化安全運(yùn)維管理,實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的實(shí)時(shí)監(jiān)測(cè)、管理和響應(yīng),及時(shí)發(fā)現(xiàn)和處置數(shù)據(jù)安全事件,保障系統(tǒng)和數(shù)據(jù)的持續(xù)可靠運(yùn)行;持續(xù)優(yōu)化數(shù)據(jù)安全評(píng)價(jià)機(jī)制,從數(shù)據(jù)要素價(jià)值、安全威脅及風(fēng)險(xiǎn)、業(yè)務(wù)關(guān)聯(lián)及影響、合規(guī)遵從及履責(zé)等角度對(duì)數(shù)據(jù)安全的投入和實(shí)際效益進(jìn)行評(píng)估,讓數(shù)據(jù)安全建設(shè)的效果及價(jià)值做到量化控制。
數(shù)據(jù)安全治理涉及領(lǐng)域廣、環(huán)節(jié)多,是一項(xiàng)系統(tǒng)工程。在建設(shè)過(guò)程中,需要步步推進(jìn)、層層深入,采用“六步走”數(shù)據(jù)安全保障體系建設(shè)思路。通過(guò)明確數(shù)據(jù)保護(hù)范圍及數(shù)據(jù)安全風(fēng)險(xiǎn)、定義數(shù)據(jù)安全權(quán)責(zé)邊界,建設(shè)可執(zhí)行、可落地的管理制度手段以及長(zhǎng)期、持續(xù)的數(shù)據(jù)安全運(yùn)營(yíng)過(guò)程,在長(zhǎng)效、流程化的數(shù)據(jù)安全監(jiān)管手段指導(dǎo)下,賦能各個(gè)行業(yè)客戶、各種新型場(chǎng)景下的數(shù)據(jù)安全。
第一步:數(shù)據(jù)安全治理評(píng)估方面,首先應(yīng)當(dāng)對(duì)業(yè)務(wù)應(yīng)用現(xiàn)狀進(jìn)行調(diào)研分析,確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問(wèn)路徑、數(shù)據(jù)操作、數(shù)據(jù)流向及演變過(guò)程,找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運(yùn)營(yíng)風(fēng)險(xiǎn),為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供依據(jù)。同時(shí)可針對(duì)管理制度、組織架構(gòu)、技術(shù)措施、業(yè)務(wù)場(chǎng)景及數(shù)據(jù)資產(chǎn)全面開展評(píng)估梳理工作,為客戶數(shù)據(jù)安全體系化建設(shè)提供基礎(chǔ)支撐。
第二步:數(shù)據(jù)安全組織架構(gòu)建設(shè)方面,數(shù)據(jù)安全建設(shè)是一項(xiàng)多方協(xié)同的復(fù)合型工作,在開展組織架構(gòu)建設(shè)時(shí),需考慮組織層面實(shí)體的管理以及執(zhí)行團(tuán)隊(duì)、虛擬聯(lián)動(dòng)小組等各方面,所有涉及部門均需參與其中??梢詮臎Q策層、管理層、執(zhí)行層、參與層、監(jiān)督層幾個(gè)層次來(lái)構(gòu)建數(shù)據(jù)安全的基本防線。
第三步:數(shù)據(jù)安全管理制度建設(shè)方面,通過(guò)明確目標(biāo)和要求來(lái)管人,通過(guò)細(xì)化方法和流程來(lái)理事。數(shù)據(jù)安全管理制度建設(shè)從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制及合規(guī)性要求等方面進(jìn)行梳理,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、制度等。
第四步:數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)方面,技術(shù)是管理的延續(xù),數(shù)據(jù)安全應(yīng)遵循“三同步”原則進(jìn)行體系化構(gòu)建,并且從環(huán)境安全、業(yè)務(wù)安全、訪問(wèn)安全、傳輸安全及安全管理等多個(gè)維度提升數(shù)據(jù)生命周期處理活動(dòng)的安全防護(hù)能力。同時(shí),還要關(guān)注各業(yè)務(wù)活動(dòng)中的場(chǎng)景偏好,從而基于業(yè)務(wù)場(chǎng)景與特征進(jìn)行自身業(yè)務(wù)技術(shù)防護(hù)框架、數(shù)據(jù)安全技術(shù)框架的設(shè)計(jì)并建設(shè)。
第五步:數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)方面,首先應(yīng)建立完善的數(shù)據(jù)安全運(yùn)營(yíng)團(tuán)隊(duì),負(fù)責(zé)進(jìn)行數(shù)據(jù)安全管控措施策略和配置的優(yōu)化;制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,在發(fā)生數(shù)據(jù)安全事件時(shí),可采取應(yīng)急處置措施,并定期對(duì)應(yīng)急預(yù)案和處置流程優(yōu)化完善;建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和安全事件通報(bào)制度,對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)及時(shí)上報(bào);在數(shù)據(jù)安全事件發(fā)生后,可依據(jù)數(shù)據(jù)安全審計(jì)記錄進(jìn)行追蹤溯源,并及時(shí)改進(jìn)優(yōu)化數(shù)據(jù)安全防護(hù)策略。構(gòu)建一體化的“建、管、用”運(yùn)營(yíng)能力的同時(shí),基于數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)調(diào)整、響應(yīng)與處置等,最終形成數(shù)據(jù)安全防護(hù)閉環(huán)。
第六步:數(shù)據(jù)安全監(jiān)管建設(shè)方面,數(shù)據(jù)安全建設(shè)是一個(gè)復(fù)雜且持續(xù)的過(guò)程,需要全面符合數(shù)據(jù)安全相關(guān)的監(jiān)管要求,離不開安全監(jiān)管機(jī)構(gòu)、行業(yè)主管單位、數(shù)據(jù)使用單位等多方協(xié)同,共同促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)建設(shè)。
五、總結(jié)與展望
加強(qiáng)數(shù)據(jù)安全治理,已經(jīng)成為推動(dòng)數(shù)據(jù)經(jīng)濟(jì)發(fā)展、維護(hù)國(guó)家安全的戰(zhàn)略需要,過(guò)程中,我們不僅要協(xié)同安全監(jiān)管、行業(yè)主管、數(shù)據(jù)責(zé)任單位、使用單位及運(yùn)營(yíng)單位力量等多方角色,還需要協(xié)同產(chǎn)業(yè)中業(yè)務(wù)系統(tǒng)開發(fā)商、技術(shù)研發(fā)單位、數(shù)據(jù)治理單位、安全治理咨詢企業(yè)、運(yùn)維服務(wù)企業(yè)等多方力量,共同營(yíng)造產(chǎn)業(yè)合作生態(tài)。持續(xù)堅(jiān)持技術(shù)創(chuàng)新,積極探索新技術(shù)新架構(gòu),不斷將人工智能、機(jī)器學(xué)習(xí)、區(qū)塊鏈等技術(shù)與數(shù)據(jù)安全相結(jié)合,相融共創(chuàng),構(gòu)建我國(guó)數(shù)據(jù)安全協(xié)同共治的治理格局。