信息化觀察網(wǎng)

摘要

在數(shù)據(jù)要素轉(zhuǎn)化為生產(chǎn)力的過程中，數(shù)據(jù)安全訴求與經(jīng)濟(jì)價(jià)值實(shí)現(xiàn)相伴相隨。本文總結(jié)了要素市場(chǎng)化配置背景下，數(shù)據(jù)安全在架構(gòu)體系、技術(shù)和產(chǎn)業(yè)等方面出現(xiàn)的新趨勢(shì)、新方向和新重點(diǎn)，客觀分析了新要求下數(shù)據(jù)安全在系統(tǒng)架構(gòu)部署、法律法規(guī)制度、技術(shù)研發(fā)應(yīng)用、數(shù)據(jù)安全產(chǎn)業(yè)和企業(yè)等方面面臨的挑戰(zhàn)，并針對(duì)上述四個(gè)方面分別提出了應(yīng)對(duì)策略。

00引言

2020年，國(guó)家層面上加速部署新基建，推動(dòng)數(shù)字化從消費(fèi)層面向生產(chǎn)層面全面深化；中共中央國(guó)務(wù)院出臺(tái)了《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》，要求加快培育數(shù)據(jù)要素市場(chǎng)，推進(jìn)政府?dāng)?shù)據(jù)開放共享，提升社會(huì)數(shù)據(jù)資源價(jià)值，加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)；隨后，中共中央國(guó)務(wù)院又出臺(tái)了《關(guān)于新時(shí)代加快完善社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制的意見》。

緊鑼密鼓出臺(tái)的政策部署標(biāo)志著深入推進(jìn)泛在數(shù)字化、加強(qiáng)市場(chǎng)機(jī)制對(duì)數(shù)據(jù)等生產(chǎn)要素的優(yōu)化配置、打破體制機(jī)制障礙、充分挖掘數(shù)據(jù)價(jià)值，將促進(jìn)數(shù)字經(jīng)濟(jì)從簡(jiǎn)單的信息化以提高工作效率階段發(fā)展到海量數(shù)據(jù)聚合分析以實(shí)現(xiàn)價(jià)值最大化的階段。在此背景下，探索建立保障數(shù)據(jù)流動(dòng)共享、開放交易、聚合分析的數(shù)據(jù)安全體系，為數(shù)字經(jīng)濟(jì)發(fā)展提供堅(jiān)實(shí)基礎(chǔ)亟不可待。

01數(shù)據(jù)要素特征及數(shù)據(jù)安全新特點(diǎn)

1.1數(shù)據(jù)要素顯著特征

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)與土地、勞動(dòng)力、資本和技術(shù)并駕齊驅(qū)成為生產(chǎn)要素之一。作為一種新型生產(chǎn)要素，我們對(duì)數(shù)據(jù)要素市場(chǎng)化配置規(guī)律的認(rèn)識(shí)還處于摸索期，數(shù)據(jù)的產(chǎn)權(quán)界定、市場(chǎng)價(jià)值評(píng)估及交易、安全保護(hù)模式等方面都有待探索。但數(shù)據(jù)要素部分特質(zhì)已顯現(xiàn)并形成共識(shí)。

一是數(shù)據(jù)要素具有邊際效益遞增性，在流動(dòng)共享中實(shí)現(xiàn)價(jià)值倍增。摩爾定律揭示了信息產(chǎn)品生產(chǎn)成本不斷下降的規(guī)律，意味著依托信息技術(shù)和產(chǎn)品進(jìn)行數(shù)據(jù)生產(chǎn)和數(shù)據(jù)加工的成本將持續(xù)下降，與此同時(shí)，海量數(shù)據(jù)共享后，大數(shù)據(jù)和云計(jì)算等支撐挖掘更大數(shù)據(jù)價(jià)值成為現(xiàn)實(shí)。2020年新冠疫情也客觀詮釋數(shù)據(jù)流動(dòng)共享具有更大價(jià)值這一事實(shí)。

二是數(shù)據(jù)要素承載或所屬主體提出在其生產(chǎn)力轉(zhuǎn)化中需加強(qiáng)安全保護(hù)的訴求。與土地、勞動(dòng)力、資本和技術(shù)等生產(chǎn)要素相比，數(shù)據(jù)要素映射了不同層面的社會(huì)關(guān)系，導(dǎo)致生產(chǎn)要素權(quán)屬人在追逐經(jīng)濟(jì)利益同時(shí)訴求對(duì)數(shù)據(jù)安全的保護(hù)。如個(gè)人數(shù)據(jù)涉及隱私，企業(yè)數(shù)據(jù)涉及競(jìng)爭(zhēng)或商業(yè)機(jī)密，國(guó)家數(shù)據(jù)涉及國(guó)家安全和數(shù)字主權(quán)。由此看來，數(shù)據(jù)轉(zhuǎn)化為生產(chǎn)力的同時(shí)需解決不同數(shù)據(jù)主體在數(shù)據(jù)保護(hù)方面的權(quán)益訴求。

1.2數(shù)據(jù)安全新特點(diǎn)

在數(shù)字化初期階段，數(shù)據(jù)安全的關(guān)注點(diǎn)聚焦于對(duì)數(shù)字化產(chǎn)生的數(shù)據(jù)進(jìn)行安全存儲(chǔ)或傳輸；當(dāng)進(jìn)入市場(chǎng)化配置階段，大量數(shù)據(jù)將通過市場(chǎng)機(jī)制進(jìn)行規(guī)?；鲃?dòng)和深度聚合處理，對(duì)數(shù)據(jù)安全的保護(hù)提出了更高要求。此時(shí)，數(shù)據(jù)安全呈現(xiàn)出新的變化特點(diǎn)。

一是以數(shù)據(jù)為中心成為安全部署新趨勢(shì)。云計(jì)算及移動(dòng)互聯(lián)網(wǎng)廣泛使用導(dǎo)致原有的網(wǎng)絡(luò)邊界模糊化，加上數(shù)字經(jīng)濟(jì)發(fā)展推動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)業(yè)務(wù)以數(shù)據(jù)為中心，兩方面因素導(dǎo)致傳統(tǒng)上以網(wǎng)絡(luò)為中心的安全架構(gòu)、基于信息化系統(tǒng)部署的外掛安全工具和手段已無法滿足數(shù)據(jù)安全實(shí)際需要。以數(shù)據(jù)為中心、零信任安全為理念，將數(shù)據(jù)安全內(nèi)化為信息化系統(tǒng)的重要組成部分并同步建設(shè)成為發(fā)展趨勢(shì)[1]。

二是動(dòng)態(tài)主動(dòng)防御成為安全布局新方向。數(shù)據(jù)安全形勢(shì)日益嚴(yán)峻，傳統(tǒng)基于數(shù)據(jù)庫(kù)加密、數(shù)據(jù)庫(kù)防火墻等靜態(tài)被動(dòng)防御面臨失效風(fēng)險(xiǎn)。能實(shí)現(xiàn)主動(dòng)分析、溯源、應(yīng)急處理的態(tài)勢(shì)感知、威脅情報(bào)系統(tǒng)等成為市場(chǎng)新需求;針對(duì)業(yè)務(wù)場(chǎng)景建模，發(fā)現(xiàn)異常并及時(shí)處理的動(dòng)態(tài)主動(dòng)防御體系成為數(shù)據(jù)安全布局新方向。

三是數(shù)據(jù)處理和共享成為安全保障新重點(diǎn)。大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等支撐數(shù)據(jù)分析和共享交易以實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化，對(duì)數(shù)字化、信息化后的數(shù)據(jù)以存儲(chǔ)和傳輸為重點(diǎn)的安全保障已滯后。針對(duì)數(shù)據(jù)交易共享引發(fā)的流動(dòng)性安全保障、數(shù)據(jù)聚合分析引發(fā)的融合性安全需求等都提出了新需求。以數(shù)據(jù)處理、共享環(huán)節(jié)為重點(diǎn)建立全生命周期安全保障成為必然選擇。

02要素市場(chǎng)化配置背景下數(shù)據(jù)安全面臨的挑戰(zhàn)

要素市場(chǎng)化配置要求數(shù)據(jù)安全能力順應(yīng)提升，但我國(guó)數(shù)據(jù)安全基于原有信息安全系統(tǒng)強(qiáng)化完善，信息安全的分散化和孤立性將妨礙數(shù)據(jù)安全整體布局；安全保障制度不完善導(dǎo)致數(shù)據(jù)流動(dòng)共享困難重重;安全技術(shù)研發(fā)和應(yīng)用不力致使數(shù)據(jù)安全滯后數(shù)字經(jīng)濟(jì)發(fā)展更加凸顯;缺乏內(nèi)生發(fā)展機(jī)制的薄弱產(chǎn)業(yè)無法提供有效的安全解決方案等現(xiàn)狀，意味著數(shù)據(jù)安全面臨艱巨挑戰(zhàn)。

2.1以數(shù)據(jù)為中心部署內(nèi)生安全系統(tǒng)推進(jìn)難度大

一是以系統(tǒng)為中心部署調(diào)整升級(jí)為以數(shù)據(jù)為中心的數(shù)據(jù)安全進(jìn)展緩慢。傳統(tǒng)的數(shù)據(jù)安全作為信息安全的一部分，以信息化系統(tǒng)為中心部署的靜態(tài)化安全策略重點(diǎn)保護(hù)存儲(chǔ)和傳輸;數(shù)字經(jīng)濟(jì)要求從靜態(tài)和動(dòng)態(tài)兩方面部署數(shù)據(jù)全生命周期安全，但基于原有安全系統(tǒng)調(diào)整升級(jí)的投入成本和協(xié)調(diào)難度大，加上技術(shù)力量等儲(chǔ)備不足，導(dǎo)致進(jìn)展緩慢。

二是融合邊界和業(yè)務(wù)建立內(nèi)生數(shù)據(jù)安全系統(tǒng)難度大。新形勢(shì)下，數(shù)據(jù)安全需融合成信息化系統(tǒng)的“內(nèi)生能力”，但聚合信息化系統(tǒng)與安全系統(tǒng)、業(yè)務(wù)數(shù)據(jù)與安全數(shù)據(jù)、IT人才和安全人才等多要素的新思維、新模式、新技術(shù)和新方法既缺乏理論上的指引也缺乏實(shí)踐經(jīng)驗(yàn)積累。

2.2適應(yīng)動(dòng)態(tài)主動(dòng)防御的數(shù)據(jù)安全技術(shù)研發(fā)滯后

一是數(shù)據(jù)安全技術(shù)研發(fā)滯后無法滿足動(dòng)態(tài)主動(dòng)防御需求。數(shù)據(jù)安全預(yù)警、異常行為檢測(cè)技術(shù)積累薄弱，無法滿足監(jiān)測(cè)、預(yù)警、定位、處置等安全風(fēng)險(xiǎn)防范要求；以數(shù)字水印和數(shù)據(jù)血緣技術(shù)為代表的數(shù)據(jù)流動(dòng)追蹤溯源技術(shù)仍處于研究驗(yàn)證階段，難以滿足數(shù)據(jù)量級(jí)大、流動(dòng)速度快場(chǎng)景下的安全保護(hù)需求。

二是數(shù)據(jù)安全技術(shù)不成熟導(dǎo)致數(shù)據(jù)流動(dòng)場(chǎng)景中安全保障難。保障數(shù)據(jù)共享使用安全的同態(tài)加密、安全多方計(jì)算、聯(lián)邦學(xué)習(xí)等新興技術(shù)手段均處于初步發(fā)展階段，鮮有應(yīng)用案例。針對(duì)融合性業(yè)務(wù)復(fù)雜多源數(shù)據(jù)場(chǎng)景的數(shù)據(jù)脫敏、防泄露等解決方案不成熟。綜合性安全技術(shù)區(qū)塊鏈成本高導(dǎo)致應(yīng)用進(jìn)展緩慢，人工智能安全隱患致使應(yīng)用推廣難。

2.3為數(shù)據(jù)交易共享提供安全保障的法律法規(guī)缺失

一是個(gè)人信息保護(hù)制度不健全導(dǎo)致數(shù)據(jù)紅利難以充分釋放。我國(guó)尚未建立個(gè)人信息跨部門監(jiān)管機(jī)制，目前依托國(guó)家網(wǎng)信主管部門統(tǒng)籌協(xié)調(diào)下的行業(yè)分治模式，對(duì)融合性業(yè)務(wù)數(shù)據(jù)安全監(jiān)管乏力。在《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》均未出臺(tái)的情況下，數(shù)據(jù)主體心存擔(dān)憂、數(shù)據(jù)接收方和處理方既想利用數(shù)據(jù)伺機(jī)牟利又唯恐有失，導(dǎo)致數(shù)據(jù)價(jià)值無法充分合理挖掘、數(shù)據(jù)紅利難以釋放。

二是數(shù)據(jù)跨境流動(dòng)制度不完善導(dǎo)致數(shù)據(jù)價(jià)值難以最大化。我國(guó)《網(wǎng)絡(luò)安全法》明確了數(shù)據(jù)出境安全評(píng)估的基本要求，但《個(gè)人信息出境安全評(píng)估辦法》尚處于征求意見中，與歐盟、美國(guó)等國(guó)家相比，我國(guó)數(shù)據(jù)出境制度尚處于探索階段，擬采取單一的安全評(píng)估方式無法滿足市場(chǎng)主體屬性差異大和出境場(chǎng)景復(fù)雜的需求，數(shù)據(jù)無法實(shí)現(xiàn)跨境流動(dòng)共享，無法正常發(fā)揮在對(duì)外開放合作促進(jìn)經(jīng)濟(jì)發(fā)展中的作用。

2.4為數(shù)據(jù)安全提供支撐的企業(yè)弱、產(chǎn)業(yè)基礎(chǔ)差

一是數(shù)據(jù)安全企業(yè)競(jìng)爭(zhēng)力弱、產(chǎn)業(yè)規(guī)模小導(dǎo)致產(chǎn)品生態(tài)體系無法構(gòu)建。我國(guó)數(shù)據(jù)安全產(chǎn)品主要由網(wǎng)絡(luò)安全企業(yè)附帶經(jīng)營(yíng)，僅有少數(shù)從信息安全轉(zhuǎn)型的專業(yè)公司，與國(guó)際企業(yè)相比，競(jìng)爭(zhēng)力弱。起步較晚的產(chǎn)業(yè)基礎(chǔ)薄弱，據(jù)中國(guó)信息通信研究院測(cè)算，2019年我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模占全球的比重7.4%[2]，數(shù)據(jù)安全產(chǎn)業(yè)作為網(wǎng)絡(luò)安全產(chǎn)業(yè)的少部分，尚處于初始發(fā)展階段，未形成產(chǎn)品生態(tài)體系。

二是缺乏持續(xù)激勵(lì)機(jī)制導(dǎo)致安全產(chǎn)業(yè)內(nèi)生增長(zhǎng)機(jī)制無法形成。數(shù)據(jù)安全產(chǎn)業(yè)受政府政策影響大，但歐洲、美國(guó)、以色列等國(guó)家經(jīng)歷了政府主導(dǎo)階段后已形成了市場(chǎng)主導(dǎo)、政策制度激勵(lì)的產(chǎn)業(yè)發(fā)展機(jī)制，我國(guó)尚處于政府階段性政策主導(dǎo)、企業(yè)被動(dòng)投入的階段，2019年全球網(wǎng)絡(luò)安全在IT產(chǎn)業(yè)支出中的占比平均為3.7%，美國(guó)為4.8%，而我國(guó)僅為1.1%[3]。加上我國(guó)數(shù)據(jù)安全產(chǎn)業(yè)基礎(chǔ)和企業(yè)實(shí)力較差，基于市場(chǎng)需求驅(qū)動(dòng)發(fā)展的內(nèi)生機(jī)制無法啟動(dòng)。

03“以數(shù)據(jù)為中心”的數(shù)據(jù)安全建設(shè)策略

數(shù)據(jù)安全是數(shù)據(jù)要素市場(chǎng)化配置的生命線，要堅(jiān)持以安全促發(fā)展的理念，健全數(shù)據(jù)安全和個(gè)人信息保護(hù)制度、完善大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)安全保護(hù)制度、探索建立“以數(shù)據(jù)為中心”的安全保障體系、建立數(shù)據(jù)安全技術(shù)和產(chǎn)業(yè)生態(tài)，為數(shù)據(jù)有序流動(dòng)、有效交易、安全利用和價(jià)值釋放提供安全保障。在我國(guó)數(shù)據(jù)安全建設(shè)起步晚、數(shù)字經(jīng)濟(jì)發(fā)展速度快、安全保障需求不斷提高的情況下，提升數(shù)據(jù)安全能力任重道遠(yuǎn)。

本文就此提出如下對(duì)策建議。

3.1健全數(shù)據(jù)安全法律法規(guī)管理制度

一是明確融合性業(yè)務(wù)數(shù)據(jù)安全監(jiān)管職能分工，積極探索融合監(jiān)管模式;強(qiáng)化行業(yè)管理部門對(duì)分管行業(yè)的數(shù)據(jù)安全監(jiān)管能力。

二是推進(jìn)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》及配套法律法規(guī)制度出臺(tái)，明確數(shù)據(jù)安全管理紅線，為數(shù)據(jù)流動(dòng)創(chuàng)造條件。

三是完善跨境數(shù)據(jù)管理制度，推動(dòng)《個(gè)人信息出境安全評(píng)估辦法》盡快出臺(tái)，在部分自有貿(mào)易區(qū)開展數(shù)據(jù)跨境試點(diǎn)，積極探索除安全評(píng)估外的數(shù)據(jù)跨境途徑。

四是推動(dòng)數(shù)據(jù)分類分級(jí)、安全評(píng)估、重要數(shù)據(jù)識(shí)別等標(biāo)準(zhǔn)制定，為建立全生命周期數(shù)據(jù)安全提供支撐。

3.2探索建立以數(shù)據(jù)為中心的安全保障體系

一是數(shù)據(jù)安全管理部門協(xié)同組織推進(jìn)構(gòu)建貫穿基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心、云平臺(tái)、數(shù)據(jù)和應(yīng)用等一體化協(xié)同防范體系，并明確分工加強(qiáng)落實(shí)。

二是在部分行業(yè)率先開展數(shù)據(jù)安全治理工作，指導(dǎo)企業(yè)開展數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流向盤點(diǎn)，按照分級(jí)分類標(biāo)準(zhǔn)標(biāo)識(shí)數(shù)據(jù)，建立數(shù)據(jù)倉(cāng)庫(kù)并部署安全策略。

三是鼓勵(lì)部分行業(yè)探索將建立數(shù)據(jù)全生命周期安全保障體系納入數(shù)據(jù)安全合規(guī)重點(diǎn)內(nèi)容，并通過評(píng)估、安全監(jiān)測(cè)和專項(xiàng)治理等手段，強(qiáng)化企業(yè)貫徹落實(shí)。

四是建立數(shù)據(jù)流動(dòng)軌跡和交易鏈條的安全風(fēng)險(xiǎn)監(jiān)測(cè)追溯與綜合管理平臺(tái)，實(shí)時(shí)監(jiān)測(cè)風(fēng)險(xiǎn)態(tài)勢(shì)并進(jìn)行異常預(yù)警和溯源處置，強(qiáng)化流動(dòng)共享數(shù)據(jù)安全保障。

3.3逐步建立數(shù)據(jù)安全技術(shù)生態(tài)體系

一是數(shù)據(jù)安全相關(guān)管理部門聯(lián)合研判數(shù)據(jù)安全關(guān)鍵技術(shù)，確定技術(shù)戰(zhàn)略路線圖，明確重要技術(shù)研發(fā)及應(yīng)用推廣階段性目標(biāo)和推進(jìn)措施。

二是依托企業(yè)或研究機(jī)構(gòu)建立若干國(guó)家級(jí)數(shù)據(jù)安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，建立技術(shù)研發(fā)及推廣應(yīng)用機(jī)制。

三是支持一批關(guān)鍵技術(shù)研發(fā)，主要包括同態(tài)加密、安全多方計(jì)算等加密技術(shù)；脫敏和匿名化、聯(lián)邦學(xué)習(xí)等數(shù)據(jù)處理安全技術(shù)；數(shù)字水印、數(shù)據(jù)血緣、區(qū)塊鏈等數(shù)據(jù)共享安全技術(shù)等。

四是定期評(píng)選若干優(yōu)秀數(shù)據(jù)安全產(chǎn)品和解決方案，激勵(lì)并推動(dòng)研發(fā)成果應(yīng)用推廣。

3.4創(chuàng)新推動(dòng)數(shù)據(jù)安全產(chǎn)業(yè)園區(qū)建設(shè)

一是以產(chǎn)業(yè)園區(qū)為集聚地，加大數(shù)據(jù)安全投資，鼓勵(lì)大型國(guó)企入駐數(shù)據(jù)安全市場(chǎng)，引導(dǎo)企業(yè)加大數(shù)據(jù)安全投資。

二是鼓勵(lì)企業(yè)通過并購(gòu)整合，投資入股等方式與以色列等國(guó)家優(yōu)秀安全企業(yè)開展合作。

三是布局新興領(lǐng)域數(shù)據(jù)安全產(chǎn)業(yè)，重點(diǎn)發(fā)展數(shù)據(jù)安全保險(xiǎn)、數(shù)據(jù)安全審計(jì)、安全態(tài)勢(shì)感知、數(shù)據(jù)安全情報(bào)分析等服務(wù)業(yè)態(tài)。

四是培育數(shù)據(jù)安全骨干企業(yè)，場(chǎng)景化設(shè)計(jì)數(shù)據(jù)安全產(chǎn)品線，重構(gòu)數(shù)據(jù)安全產(chǎn)業(yè)鏈，促進(jìn)產(chǎn)業(yè)鏈良性互動(dòng)發(fā)展以逐步啟動(dòng)產(chǎn)業(yè)內(nèi)生增長(zhǎng)機(jī)制。

04結(jié)語(yǔ)

數(shù)據(jù)要素市場(chǎng)化配置下的數(shù)字經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)信息安全突出表現(xiàn)為數(shù)據(jù)安全。其與傳統(tǒng)網(wǎng)絡(luò)信息安全雜糅交織，呈現(xiàn)出新的特點(diǎn)。建設(shè)以數(shù)據(jù)為中心的安全架構(gòu)體系，既需要在技術(shù)手段上加強(qiáng)部署，也需要在法律制度和管理上深入研究，以切實(shí)保障數(shù)據(jù)安全，為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。

參考文獻(xiàn)：

沈昌祥《用主動(dòng)免疫可信計(jì)算構(gòu)筑新型基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系[J].網(wǎng)信軍民融合,2020(4):10-13.

中國(guó)信息通信研究院安全研究所《網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》北京中國(guó)信息通信研究院,2019.

高健鈞.網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻北京加快推進(jìn)國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)建設(shè)[EB/OL].(2019-01-16)[2020-05-20]

http://www.xinhuanet.com/2019-01/16/c_1123999790.htm.