2020年4月9日，中共中央、國(guó)務(wù)院發(fā)布《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，提出“土地、勞動(dòng)力、資本、技術(shù)和數(shù)據(jù)”五個(gè)要素領(lǐng)域改革方向，明確數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素，參與到社會(huì)生產(chǎn)生活各環(huán)節(jié)。數(shù)據(jù)通過(guò)動(dòng)態(tài)流動(dòng)創(chuàng)造價(jià)值、提高政府治理能力，同時(shí)也面臨數(shù)據(jù)竊取、數(shù)據(jù)泄露、個(gè)人隱私安全等問(wèn)題。為了保障作為生產(chǎn)要素的數(shù)據(jù)安全，需要正確理解認(rèn)識(shí)數(shù)據(jù)特性，把握數(shù)據(jù)安全特點(diǎn)，建設(shè)以數(shù)據(jù)為中心的安全保障體系，切實(shí)保障數(shù)據(jù)參與生產(chǎn)過(guò)程各環(huán)節(jié)安全。

　　一、概述

　　1.數(shù)據(jù)特性

　　在大數(shù)據(jù)時(shí)代，數(shù)據(jù)參與社會(huì)生產(chǎn)過(guò)程，實(shí)現(xiàn)價(jià)值增值，是一種新型生產(chǎn)要素，具有以下特性：

　　（1）增值性。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)可以通過(guò)分析挖掘等手段產(chǎn)生新的數(shù)據(jù)，挖掘新的信息和情報(bào)，生成新的數(shù)據(jù)產(chǎn)品，形成新的數(shù)據(jù)業(yè)務(wù)，實(shí)現(xiàn)價(jià)值的增加。

　?。?）流動(dòng)性。數(shù)據(jù)作為新型生產(chǎn)要素參與社會(huì)生產(chǎn)過(guò)程，需要從一個(gè)系統(tǒng)流動(dòng)到另一個(gè)系統(tǒng)，從一個(gè)網(wǎng)絡(luò)區(qū)域流動(dòng)到另一個(gè)網(wǎng)絡(luò)區(qū)域，從一個(gè)組織流動(dòng)到另一個(gè)組織。數(shù)據(jù)流動(dòng)是實(shí)現(xiàn)價(jià)值增值的前提和基礎(chǔ)。

　　（3）復(fù)雜的權(quán)屬性。在大數(shù)據(jù)時(shí)代，除了數(shù)據(jù)擁有者，還有數(shù)據(jù)主體、數(shù)據(jù)提供者和數(shù)據(jù)消費(fèi)者等角色，不同角色擁有數(shù)據(jù)的不同權(quán)益，如數(shù)據(jù)主體對(duì)數(shù)據(jù)擁有訪問(wèn)權(quán)、更正權(quán)和遺忘權(quán)等。

　　2.數(shù)據(jù)安全特點(diǎn)

　　由于數(shù)據(jù)具有增值性、流動(dòng)性和復(fù)雜的權(quán)屬性等特性，在數(shù)據(jù)安全保護(hù)方面具有以下特點(diǎn)：

　　（1）嚴(yán)格的合規(guī)要求。國(guó)內(nèi)外新增了一系列數(shù)據(jù)安全保護(hù)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，針對(duì)數(shù)據(jù)安全保護(hù)提出嚴(yán)格要求。如歐盟的《通用數(shù)據(jù)保護(hù)條例》，我國(guó)的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法（草案）》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2017）等。同時(shí)，保護(hù)范圍覆蓋全面，涵蓋數(shù)據(jù)采集、存儲(chǔ)、使用、發(fā)布、共享、離境等全生命周期和用戶權(quán)利保護(hù)等內(nèi)容。

　?。?）開(kāi)放的應(yīng)用環(huán)境。作為生產(chǎn)要素的數(shù)據(jù)，為了實(shí)現(xiàn)增值目標(biāo)，需要通過(guò)API接口與第三方系統(tǒng)交換共享數(shù)據(jù)，增加了數(shù)據(jù)暴露面，相對(duì)處于更加開(kāi)放的環(huán)境。

　?。?）復(fù)雜的應(yīng)用場(chǎng)景。數(shù)據(jù)在參與生產(chǎn)過(guò)程中，存在數(shù)據(jù)在組織內(nèi)部進(jìn)行匯聚融合、向監(jiān)管單位提供數(shù)據(jù)、與第三方交換共享數(shù)據(jù)、數(shù)據(jù)服務(wù)外包、數(shù)據(jù)跨境傳輸?shù)葢?yīng)用場(chǎng)景，不同的應(yīng)用場(chǎng)景可能帶來(lái)新的安全風(fēng)險(xiǎn)，增加了數(shù)據(jù)安全保護(hù)的難度。

　?。?）多維的關(guān)聯(lián)分析。不同來(lái)源、不同類別的數(shù)據(jù)匯聚融合后，可以從多個(gè)維度對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，產(chǎn)生新的、更有價(jià)值的數(shù)據(jù)。這些新產(chǎn)生的數(shù)據(jù)在帶來(lái)新的價(jià)值的同時(shí)，也可能產(chǎn)生未知安全風(fēng)險(xiǎn)，如泄露個(gè)人隱私、組織秘密和國(guó)家機(jī)密等。

　　二、數(shù)據(jù)安全保護(hù)面臨的問(wèn)題

　　根據(jù)數(shù)據(jù)安全具有的特點(diǎn)，從認(rèn)知觀念、標(biāo)準(zhǔn)規(guī)范和生產(chǎn)過(guò)程等方面對(duì)數(shù)據(jù)安全保護(hù)面臨的問(wèn)題進(jìn)行分析。

　　1.對(duì)數(shù)據(jù)安全的認(rèn)知觀念存在誤區(qū)

　　目前，對(duì)數(shù)據(jù)安全的認(rèn)知存在誤區(qū)，主要體現(xiàn)在以下幾個(gè)方面：（1）數(shù)據(jù)安全保護(hù)理念落后。認(rèn)為傳統(tǒng)的信息安全保障思路仍然能夠解決目前數(shù)據(jù)安全遇到的問(wèn)題，忽視了數(shù)據(jù)是新型生產(chǎn)要素，沒(méi)有把握住數(shù)據(jù)動(dòng)態(tài)流動(dòng)等特點(diǎn)，缺乏以數(shù)據(jù)為中心的安全保護(hù)理念。（2）窄化數(shù)據(jù)安全保護(hù)目標(biāo)。認(rèn)為數(shù)據(jù)安全保護(hù)就是保障數(shù)據(jù)機(jī)密性、完整性和可用性，忽視了數(shù)據(jù)具有權(quán)屬性，保護(hù)數(shù)據(jù)相關(guān)角色的權(quán)益也是數(shù)據(jù)安全保護(hù)的目標(biāo)之一。（3）簡(jiǎn)化數(shù)據(jù)安全保護(hù)手段。認(rèn)為數(shù)據(jù)安全保護(hù)就是區(qū)域邊界防護(hù)，只需在區(qū)域邊界采取身份鑒別、訪問(wèn)控制、安全審計(jì)等技術(shù)手段，忽視了數(shù)據(jù)具有流動(dòng)性，在流動(dòng)過(guò)程中更需要通過(guò)數(shù)據(jù)脫敏、數(shù)據(jù)溯源分析、數(shù)據(jù)安全持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)等技術(shù)手段。

　　2.數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)規(guī)范不健全

　　由于數(shù)據(jù)安全事件頻發(fā)，為了控制數(shù)據(jù)安全風(fēng)險(xiǎn)，保護(hù)個(gè)人的合法權(quán)益，維護(hù)國(guó)家安全，我國(guó)十分重視數(shù)據(jù)安全立法工作。在《網(wǎng)絡(luò)安全法》中提出了“國(guó)家鼓勵(lì)開(kāi)發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)”“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或被竊取、篡改”等要求；在《數(shù)據(jù)安全法（草案）》中提出了“國(guó)家對(duì)數(shù)據(jù)實(shí)行分級(jí)分類保護(hù)”“開(kāi)展數(shù)據(jù)活動(dòng)必須履行數(shù)據(jù)安全保護(hù)義務(wù)，承擔(dān)社會(huì)責(zé)任”等，具體包括建立健全數(shù)據(jù)安全治理體系，建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全應(yīng)急處置機(jī)制，建立數(shù)據(jù)安全審查等數(shù)據(jù)安全管理制度，實(shí)現(xiàn)數(shù)據(jù)自由安全流動(dòng)。在《全球數(shù)據(jù)安全倡議》中呼吁各國(guó)秉持發(fā)展和安全并重的原則，平衡處理技術(shù)進(jìn)步、經(jīng)濟(jì)發(fā)展與保護(hù)國(guó)家安全和社會(huì)公共利益的關(guān)系。但是，目前缺乏與《數(shù)據(jù)安全法（草案）》《全球數(shù)據(jù)安全倡議》等配套的實(shí)施細(xì)則與標(biāo)準(zhǔn)規(guī)范，數(shù)據(jù)安全保護(hù)工作難以達(dá)到預(yù)期效果。

　　3.數(shù)據(jù)參與生產(chǎn)過(guò)程帶來(lái)安全風(fēng)險(xiǎn)

　　由于數(shù)據(jù)具有流動(dòng)性等特性，數(shù)據(jù)安全具有嚴(yán)格的合規(guī)要求、開(kāi)放的應(yīng)用環(huán)境和復(fù)雜的應(yīng)用場(chǎng)景等特點(diǎn)，數(shù)據(jù)在存儲(chǔ)訪問(wèn)、分析挖掘、開(kāi)放共享、交易流通和數(shù)據(jù)產(chǎn)品使用等生產(chǎn)過(guò)程中存在一定的安全風(fēng)險(xiǎn)。

　?。?）存儲(chǔ)訪問(wèn)過(guò)程安全風(fēng)險(xiǎn)

　　由于數(shù)據(jù)具有海量規(guī)模，存儲(chǔ)數(shù)據(jù)的平臺(tái)以分布式大數(shù)據(jù)系統(tǒng)為主。當(dāng)前，建設(shè)大數(shù)據(jù)系統(tǒng)主要采用基于開(kāi)源產(chǎn)品搭建、開(kāi)源產(chǎn)品二次封裝、采購(gòu)國(guó)外產(chǎn)品等方式。以上三種模式的核心還是離不開(kāi)開(kāi)源產(chǎn)品和國(guó)外產(chǎn)品，關(guān)鍵技術(shù)不能安全可控，數(shù)據(jù)在存儲(chǔ)和訪問(wèn)過(guò)程中面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)。根據(jù)國(guó)家漏洞庫(kù)（CNNVD）統(tǒng)計(jì)數(shù)據(jù)顯示，截至今年9月底，Hadoop存在權(quán)限控制、輸入驗(yàn)證、目錄遍歷、信息泄露等27個(gè)漏洞，Spark存在權(quán)限控制、跨站腳本等45個(gè)漏洞，MongoDB存在訪問(wèn)控制等26個(gè)漏洞。因安全漏洞導(dǎo)致大量數(shù)據(jù)丟失和數(shù)據(jù)泄露，如2019年5月，MongoDB因安全漏洞導(dǎo)致超過(guò)1.2萬(wàn)個(gè)數(shù)據(jù)庫(kù)被攻擊者刪除。2020年9月，微軟的Elasticsearch數(shù)據(jù)庫(kù)因存在身份認(rèn)證缺陷，數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)上，導(dǎo)致1億多條數(shù)據(jù)泄露。

　?。?）分析挖掘過(guò)程安全風(fēng)險(xiǎn)

　　在分析挖掘過(guò)程中存在以下安全問(wèn)題：1）泄露用戶隱私信息。通過(guò)知識(shí)挖掘、機(jī)器學(xué)習(xí)、人工智能等技術(shù)，將過(guò)去分離的信息進(jìn)行關(guān)聯(lián)、碰撞和整合，可以重新刻畫(huà)用戶的興趣愛(ài)好、政治傾向和人格特征等，使原始數(shù)據(jù)中被隱藏的信息再次顯現(xiàn)出來(lái)，甚至分析挖掘后得到的信息遠(yuǎn)遠(yuǎn)大于原始數(shù)據(jù)所擁有的信息；2）人工智能技術(shù)帶來(lái)數(shù)據(jù)安全問(wèn)題。因人工智能學(xué)習(xí)框架和組件存在安全漏洞，導(dǎo)致訓(xùn)練數(shù)據(jù)存在竊取和泄露風(fēng)險(xiǎn)。某安全團(tuán)隊(duì)在一個(gè)月的時(shí)間里發(fā)現(xiàn)了數(shù)十個(gè)深度學(xué)習(xí)框架及其依賴庫(kù)存在內(nèi)存訪問(wèn)越界、空指針引用、整數(shù)溢出、除零異常等漏洞，使深度學(xué)習(xí)應(yīng)用存在數(shù)據(jù)泄露、數(shù)據(jù)污染等安全風(fēng)險(xiǎn)。3）數(shù)據(jù)濫用。數(shù)據(jù)分析人員在開(kāi)展業(yè)務(wù)的過(guò)程中，沒(méi)有嚴(yán)格按照業(yè)務(wù)目標(biāo)和業(yè)務(wù)要求進(jìn)行數(shù)據(jù)分析和挖掘，基于授權(quán)的數(shù)據(jù)進(jìn)行違規(guī)操作，開(kāi)展與業(yè)務(wù)目標(biāo)不相關(guān)的分析挖掘，導(dǎo)致用戶隱私泄露。如某電子商務(wù)網(wǎng)站要求基于用戶的購(gòu)買(mǎi)歷史數(shù)據(jù)和查看商品記錄預(yù)測(cè)用戶感興趣的商品，業(yè)務(wù)目標(biāo)是對(duì)用戶可能購(gòu)買(mǎi)的商品進(jìn)行自動(dòng)推薦。但是，數(shù)據(jù)分析員可以基于這些數(shù)據(jù)對(duì)用戶的職業(yè)、興趣愛(ài)好等進(jìn)行分析，導(dǎo)致用戶隱私泄漏。4）侵犯數(shù)據(jù)主體權(quán)益。按照《數(shù)據(jù)安全法（草案）》等要求，需要采取特定技術(shù)手段對(duì)數(shù)據(jù)主體提供訪問(wèn)權(quán)、控制權(quán)、更正權(quán)等權(quán)益保護(hù)，使數(shù)據(jù)主體能夠及時(shí)了解、掌握自身數(shù)據(jù)參與數(shù)據(jù)分析挖掘的業(yè)務(wù)過(guò)程和參與程度。如數(shù)據(jù)在做某種用途的分析時(shí)，數(shù)據(jù)主體提出異議，需要能立即把相關(guān)數(shù)據(jù)從分析作業(yè)中刪除。但是，目前并沒(méi)有相應(yīng)的生產(chǎn)流程和技術(shù)系統(tǒng)能夠滿足數(shù)據(jù)主體權(quán)益保護(hù)要求。5）產(chǎn)生不可預(yù)知的安全風(fēng)險(xiǎn)。大數(shù)據(jù)分析是一把雙刃劍，分析結(jié)果除了能夠?qū)崿F(xiàn)正常的業(yè)務(wù)目標(biāo)外，還可能產(chǎn)生其他難以預(yù)料的結(jié)果。如2016年劍橋分析事件，通過(guò)調(diào)查問(wèn)卷收集美國(guó)選民所關(guān)注的問(wèn)題，對(duì)這些數(shù)據(jù)進(jìn)行分析后居然能夠得知每個(gè)選民的政治傾向，然后投放有針對(duì)性的廣告來(lái)引導(dǎo)他們的投票結(jié)果，最終達(dá)到干擾政治選舉的目的。

　　（3）開(kāi)放共享過(guò)程安全風(fēng)險(xiǎn)

　　首先，由于海量數(shù)據(jù)治理困難，以及對(duì)分析過(guò)程中新產(chǎn)生的數(shù)據(jù)很難及時(shí)制定開(kāi)放共享策略，使開(kāi)放共享過(guò)程中存在不合規(guī)的開(kāi)放和共享，導(dǎo)致數(shù)據(jù)泄漏。其次，在共享過(guò)程中，數(shù)據(jù)已經(jīng)脫離所有者的控制，數(shù)據(jù)追蹤溯源技術(shù)并不成熟，無(wú)法跟蹤數(shù)據(jù)的最終去向和使用情況，使數(shù)據(jù)處于失控狀態(tài)。再次，由于數(shù)據(jù)脫敏技術(shù)不成熟，脫敏后的數(shù)據(jù)會(huì)改變數(shù)據(jù)間原有的關(guān)系，降低數(shù)據(jù)價(jià)值。部分組織為了實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化，在未脫敏或脫敏不夠的情況下共享數(shù)據(jù)，導(dǎo)致數(shù)據(jù)面臨泄露的安全風(fēng)險(xiǎn)。最后，由于數(shù)據(jù)融合技術(shù)的發(fā)展，不同來(lái)源、不同維度的數(shù)據(jù)經(jīng)過(guò)匯聚融合后，很可能把脫敏前的原始數(shù)據(jù)還原出來(lái)。

　?。?）交易流通過(guò)程安全風(fēng)險(xiǎn)

　　交易流通是數(shù)據(jù)價(jià)值體現(xiàn)的基本途徑，更是盤(pán)活數(shù)據(jù)、用好數(shù)據(jù)的關(guān)鍵環(huán)節(jié)。目前，典型的數(shù)據(jù)交易模式是代理商模式，由數(shù)據(jù)提供者、數(shù)據(jù)代理商（中介）和數(shù)據(jù)消費(fèi)者等三個(gè)角色組成。數(shù)據(jù)提供者擁有數(shù)據(jù)資源，把數(shù)據(jù)賣給數(shù)據(jù)代理商。數(shù)據(jù)代理商既可以把交易的原始數(shù)據(jù)賣給數(shù)據(jù)消費(fèi)者，又可以把基于原始數(shù)據(jù)進(jìn)行挖掘分析得到價(jià)值更高的分析結(jié)果數(shù)據(jù)賣給數(shù)據(jù)消費(fèi)者。在數(shù)據(jù)交易流通過(guò)程中，一方面，數(shù)據(jù)提供者主要通過(guò)爬蟲(chóng)等技術(shù)采集數(shù)據(jù)，可能侵犯用戶個(gè)人隱私。2019年9月，魔蝎科技和同盾科技等多家第三方大數(shù)據(jù)公司因非法采集和向金融機(jī)構(gòu)提供用戶數(shù)據(jù)，侵犯用戶個(gè)人隱私而被公安機(jī)關(guān)調(diào)查。另一方面，數(shù)據(jù)已經(jīng)脫離數(shù)據(jù)擁有者的掌控，數(shù)據(jù)代理商取代數(shù)據(jù)擁有者，成為數(shù)據(jù)的掌控者。因此，數(shù)據(jù)代理商等第三方的數(shù)據(jù)安全防護(hù)能力和安全管理力度決定數(shù)據(jù)的安全性。根據(jù)美國(guó)銀行信用卡發(fā)行商TCM Bank公開(kāi)消息，由于第三方供應(yīng)商管理的網(wǎng)站存在配置錯(cuò)誤問(wèn)題，導(dǎo)致信用卡申請(qǐng)人數(shù)據(jù)在2017年3月至2018年7月期間暴露在互聯(lián)網(wǎng)上長(zhǎng)達(dá)16個(gè)月。

　?。?）數(shù)據(jù)產(chǎn)品使用過(guò)程安全風(fēng)險(xiǎn)

　　目前，隨著信息系統(tǒng)整合共享等一系列舉措的實(shí)施和推進(jìn)，海量數(shù)據(jù)資源進(jìn)一步共享和匯聚，為數(shù)據(jù)產(chǎn)品的開(kāi)發(fā)打好了堅(jiān)實(shí)的基礎(chǔ)，數(shù)據(jù)的下一站即是數(shù)據(jù)應(yīng)用——數(shù)據(jù)產(chǎn)品。但是，數(shù)據(jù)產(chǎn)品可能給個(gè)人、組織和國(guó)家?guī)?lái)安全風(fēng)險(xiǎn)。一方面，由于數(shù)據(jù)產(chǎn)品是基于用戶個(gè)人信息或者其它社會(huì)數(shù)據(jù)等開(kāi)發(fā)出來(lái)的，目前既缺乏相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范對(duì)數(shù)據(jù)產(chǎn)品的開(kāi)發(fā)進(jìn)行指導(dǎo)和約束，又缺乏數(shù)據(jù)產(chǎn)品相關(guān)的檢測(cè)評(píng)估機(jī)構(gòu)和檢測(cè)技術(shù)手段，在數(shù)據(jù)產(chǎn)品上市交易前沒(méi)辦法對(duì)其可能帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。另一方面，由于數(shù)據(jù)產(chǎn)品作為商品在交易過(guò)程中存在再次轉(zhuǎn)手交易的情況，以及數(shù)據(jù)產(chǎn)品具有易復(fù)制、修改等特點(diǎn)，使數(shù)據(jù)產(chǎn)品在使用、流通過(guò)程中面臨被非法復(fù)制、非法傳播、非法篡改和知識(shí)產(chǎn)權(quán)竊取等安全風(fēng)險(xiǎn)。

　　三、建議

　　針對(duì)數(shù)據(jù)安全保護(hù)存在的問(wèn)題，需要結(jié)合數(shù)據(jù)安全特點(diǎn)，提高對(duì)數(shù)據(jù)安全的理解認(rèn)識(shí)，完善數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范，建設(shè)以數(shù)據(jù)為中心的安全保障體系。

　　1.正確理解認(rèn)識(shí)數(shù)據(jù)安全保護(hù)

　　一方面，需要把握數(shù)據(jù)的本質(zhì)特征。數(shù)據(jù)不僅是資產(chǎn)，更是一種生產(chǎn)要素，通過(guò)對(duì)數(shù)據(jù)進(jìn)行分析挖掘，能夠產(chǎn)生新的數(shù)據(jù)，得到新的數(shù)據(jù)產(chǎn)品。通過(guò)共享和交易，數(shù)據(jù)在碰撞、關(guān)聯(lián)和比對(duì)等過(guò)程中能夠最大化數(shù)據(jù)的價(jià)值。而數(shù)據(jù)在分析挖掘、共享交易等動(dòng)態(tài)流轉(zhuǎn)過(guò)程中，更容易面臨隱私泄漏、數(shù)據(jù)竊取、數(shù)據(jù)誤用和濫用等安全風(fēng)險(xiǎn)。另一方面，需要轉(zhuǎn)變數(shù)據(jù)安全保護(hù)理念。數(shù)據(jù)使用場(chǎng)景多而復(fù)雜，應(yīng)用環(huán)境開(kāi)放，傳統(tǒng)的安全防護(hù)措施難以適應(yīng)新的應(yīng)用場(chǎng)景。需要結(jié)合數(shù)據(jù)安全具有的新特點(diǎn)，以數(shù)據(jù)為核心，以生產(chǎn)過(guò)程中用戶對(duì)數(shù)據(jù)的操作、訪問(wèn)行為和被訪問(wèn)的數(shù)據(jù)為分析對(duì)象，建立風(fēng)險(xiǎn)控制模型，對(duì)數(shù)據(jù)的流向、數(shù)據(jù)訪問(wèn)頻次和數(shù)據(jù)體量等持續(xù)進(jìn)行安全風(fēng)險(xiǎn)監(jiān)測(cè)，實(shí)現(xiàn)數(shù)據(jù)安全、自由流動(dòng)。

　　2.加快完善數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范

　　一方面，在全球?qū)用嫘枰y(tǒng)籌制定全球數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范。依據(jù)《全球數(shù)據(jù)安全倡議》提出的原則和內(nèi)容，聯(lián)合世界其他國(guó)家簽訂雙邊或多邊承諾協(xié)議，在普遍參與的基礎(chǔ)上達(dá)成國(guó)際共識(shí)，制定相關(guān)標(biāo)準(zhǔn)規(guī)范。另一方面，在國(guó)家層面需要制定與數(shù)據(jù)安全法等配套的標(biāo)準(zhǔn)規(guī)范與實(shí)施細(xì)則。需要以《數(shù)據(jù)安全法（草案）》為指導(dǎo)，統(tǒng)籌考慮現(xiàn)有數(shù)據(jù)安全標(biāo)準(zhǔn)，查漏補(bǔ)缺。組織數(shù)據(jù)提供者、數(shù)據(jù)代理商（中介）和數(shù)據(jù)消費(fèi)者等數(shù)據(jù)參與單位，規(guī)劃涵蓋數(shù)據(jù)生產(chǎn)全生命周期的安全標(biāo)準(zhǔn)體系，加快研制數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全審計(jì)和數(shù)據(jù)安全應(yīng)急響應(yīng)等重點(diǎn)標(biāo)準(zhǔn)，支撐《數(shù)據(jù)安全法（草案）》的落地與實(shí)施。

　　3.建設(shè)以數(shù)據(jù)為中心的安全保障體系

　　針對(duì)數(shù)據(jù)安全面臨的問(wèn)題，需要構(gòu)建以數(shù)據(jù)為中心的動(dòng)態(tài)安全防控體系，通過(guò)數(shù)據(jù)治理、安全防護(hù)措施、風(fēng)險(xiǎn)識(shí)別和審計(jì)溯源等手段重點(diǎn)識(shí)別和控制數(shù)據(jù)訪問(wèn)、應(yīng)用和流轉(zhuǎn)等動(dòng)態(tài)過(guò)程中的安全風(fēng)險(xiǎn)。第一、數(shù)據(jù)治理。通過(guò)大數(shù)據(jù)治理實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)、數(shù)據(jù)溯源，能夠從全域的角度“看得見(jiàn)、看得清”所有的數(shù)據(jù)，包括數(shù)據(jù)存儲(chǔ)、使用流轉(zhuǎn)情況和對(duì)應(yīng)的數(shù)據(jù)安全策略。掌握數(shù)據(jù)流動(dòng)情況，包括表與表之間的流動(dòng)、系統(tǒng)之間的流動(dòng)、部門(mén)之間的流動(dòng)、單位之間的流動(dòng)等等；第二、部署安全防護(hù)措施。在大數(shù)據(jù)基礎(chǔ)設(shè)施、數(shù)據(jù)挖掘分析和共享交易等方面采取安全防護(hù)措施，保障數(shù)據(jù)安全；第三、主動(dòng)識(shí)別和控制風(fēng)險(xiǎn)。通過(guò)收集基礎(chǔ)設(shè)施、用戶操作、數(shù)據(jù)流轉(zhuǎn)等方面的日志數(shù)據(jù)，重點(diǎn)識(shí)別用戶對(duì)數(shù)據(jù)的異常操作風(fēng)險(xiǎn)和數(shù)據(jù)的異常流動(dòng)風(fēng)險(xiǎn)；第四、安全審計(jì)與溯源分析。通過(guò)細(xì)粒度的數(shù)據(jù)行為審計(jì)與溯源能力建設(shè)，形成事后可審計(jì)、可溯源、可追責(zé)的威懾體系。

（本文刊登于《中國(guó)信息安全》雜志2020年第11期）