在以往的普遍定義中,主要的生產要素包括勞動力、土地、資本等。但在 2020 年4 月中共中央、國務院發(fā)布的《關于構建更加完善的要素市場化配置體制機制的意見》中,明確要進行市場化配置的要素主要有五種:土地、勞動力、資本、技術、數據??梢?,數據作為生產要素,其在國民生產中的價值越來越重要。
一、數據作為生產要素的新風險
在這一時代背景下,如何認知作為生產要素的數據安全體系?和傳統的信息作為數據載體的數據安全又有什么區(qū)別?
傳統的數據安全是把信息當作一種具備所有權的資產。因此,傳統的數據安全,基本延伸了信息安全的幾個核心原則:信息的保密性、真實性、完整性(CIA 三要素)。但是,數據作為生產要素,還會產生新的、傳統的數據安全體系難以覆蓋的情形:
市場化機制下,會發(fā)生數據的所有權和使用開發(fā)權分離的情形,帶來數據安全的嚴峻性。例如用戶為了使用廠商的服務,只能授權廠商采集自己的數據。廠商使用這些數據還可以用于其他的各項可以獲得利益的數據活動,甚至可以售賣用戶的數據給其他組織與機構而獲得收益,但作為數據的所有者用戶,并不能分享這些收益,甚至可能因為這些數據活動導致個人的隱私權被侵犯。但由于這些損失并非采集了數據的數據控制方的利益損失,對這些數據實施保護,會成為數據控制方的成本,甚至影響數據控制方的利益,因此數據控制方自身并無積極動力去實施數據安全保護。所以,一方面需要法律做出明確的,對數據控制者需要負擔的從其他數據主體采集和獲取的數據的安全保護義務,同時又需要鼓勵數據通過市場化進行資源配置發(fā)揮其價值,這需要法律界定好各類數據的權屬與利益分配機制。
壟斷了大量數據生產要素的企業(yè)或組織,可能會利用其數據帶來的市場優(yōu)勢地位,對個體或小作坊為主的用戶、員工、其他資源提供方進行不公平的市場活動,特別是平臺型企業(yè)的大數據殺熟,強制要求商家進行二選一等壟斷行為。新形勢下,如何限制平臺型巨頭企業(yè)濫用數據,已成為國家治理的重要部分。
數據作為生產要素會廣泛流通,但如果不加以控制,有可能導致數據被敵對勢力獲取。這些數據可能被敵對勢力用于多種可能損壞我們國家安全利益的用途:如根據數據研發(fā)競爭的互聯網產品、通過數據進行特定領域的情報挖掘、基因數據用于生物戰(zhàn)研究、通過分析大量群體的個人偏好選擇進行特定的內容投遞來影響這些群體的政治偏好等,例如劍橋分析事件。必須考慮如何在促進生產力發(fā)展的同時,控制好數據出境的風險。
因此,政府相關部門一直在推動各種數據安全相關的立法活動。2021 年 4 月 26 日,全國人大第二次審議的個人信息保護法草案,站在數據主體的權利保護和隱私安全的角度,對數據控制者提出了相應的要求,而數據安全法草案則站在國家安全和社會安全角度,對數據的出境、數據活動的一系列安全保障措施如數據風險評估、數據風險監(jiān)測、數據風險事件的應急響應,對數據控制者提出了相應的要求。
雖然法律上逐步在明確數據控制者的責任和義務,保護數據所有者的各項權益。但是數據在流轉遷移過程中衍生出來的各種數據的復雜權屬關系,目前在法律上還是很難界定。另外,即使是明確了權屬的數據安全保護,在現實中需要保護和控制的環(huán)境或場景,都是發(fā)生在數據被開發(fā)利用、業(yè)務流通和共享交換的環(huán)節(jié)上。傳統的數據安全體系,因為受限于以往數據安全是敏感信息在數據載體上的安全視角,大多是在數據載體這一層(數據存儲層),圍繞著數據庫或終端提供數據安全解決方案。但隨著數據應用的發(fā)展,很多的數據處理活動會在業(yè)務應用系統以及大數據平臺上展開。因此,傳統的數據安全方案,難以滿足在這些數據活動中,實施相應的數據安全的動態(tài)保護;具體而言,就是按照數據安全法草案里提到的,除了對數據實施分類分級保護外,還需要建立起圍繞著數據活動場景的數據風險的評估、監(jiān)測體系。
二、新形勢下數據安全的核心場景
因此,在數據作為生產要素的背景下,可以把新形勢下的數據安全劃分為五個核心場景:
1. 數據的采集安全。這是近年來國家 App 治理的重點。主要通過規(guī)范 App 廠商隱私政策,通過信息明示和主體授權,約束 App 廠商的濫采和承諾對個人數據的保護義務,保障數據主體的權益。
2. 數據在存儲載體上的安全。即數據在非使用流轉狀態(tài)中的安全,其數據安全的風險重點是對數據的非授權訪問。除了傳統數據安全體系的數據加密、脫敏、對數據的訪問控制,對數據載體的非法外發(fā)的控制外,還需要實施數據本體資產的分類分級,以數據分類分級實施訪問控制策略,同時圍繞合規(guī)要求和隱私政策進行增強性數據保護:如對數據的跨境存儲、個人數據的保存時限、生物識別數據的保護上進行管理和技術上的加強。
3. 數據在業(yè)務過程中使用和流轉的安全。一方面,數據被各種業(yè)務應用以及相關的業(yè)務參與方基于各類業(yè)務需求進行訪問,很難通過嚴格的訪問措施實施數據層面細粒度的保護策略,另一方面,由于業(yè)務變動較快,需要通過自動化的數據風險監(jiān)測和測評手段,來實現對動態(tài)數據流轉中的數據風險控制。首先,需要將數據本體的分類分級進一步映射到業(yè)務應用涉及的涉敏業(yè)務和系統、涉敏暴露面上,才能更好地發(fā)現保護缺失的地方和映射相應的數據安全保護策略。然后,結合具體業(yè)務活動使用的數據類型、敏感級別、量級、脆弱性風險、合規(guī)要求、網絡環(huán)境、數據流向和數據訪問行為,通過風險分析模型,自動化發(fā)現、評估和持續(xù)監(jiān)測數據風險并做出進一步的響應。
4. 企業(yè)將來自自身各個業(yè)務系統甚至合作伙伴的大量數據打通匯集之后,可以依據這些數據本身作為業(yè)務,在大數據平臺以及相關的終端上,展開數據分析、挖掘和建?;顒印_@一類數據活動的數據安全,除了傳統的數據操作行為審計外,會產生幾個新的數據安全場景:一是數據匯集與融合時,需要遵循各類合規(guī)性要求,如按照主體的授權進行數據相關處理的管控。二是對數據模型進行深度的審計,數據模型接觸和使用的數據,是否符合模型相關的安全等級策略和主體授權要求。而在數據融合、衍生、分析建模中,共享導出和出境,如確需未授權的數據參與運算,應做到數據的匿名化。
5. 對個人主體數據進行歸一化的處理。按照個人信息保護法草案,個人數據主體被法定了包括知情權、決定權、查詢權、更正權、刪除權等權益。采集了個人數據的機構,需要依法保障個人數據主體對自身數據的權益主張,機構需要設立相應的組織響應個人用戶的權益要求,并按相關要求對其個人數據進行相應的處理。這要求相關組織能對個人主體數據進行歸一化的處理,并明確了解這些數據的采集和授權情況、數據實際用途、數據共享給第三方的情況,才能滿足機構個人信息保護的義務。
三、新形勢下數據安全新的技術方向
圍繞著以上的場景,數據安全新的技術方向有以下幾種。
1. 數據自動化識別和分類分級技術
行業(yè)越來越認識到數據分類分級工作的迫切性,但是由于不同行業(yè)的業(yè)務差異性帶來數據的差異性,目前數據識別主要還依賴于人工,基于 AI 的自動化學習面臨較大的挑戰(zhàn)。特別是數據庫的結構化數據,由于業(yè)務邏輯和存儲邏輯的分離,在數據庫中缺乏背景信息數據,導致目前還沒有通用的自動化數據識別技術。同時,每個行業(yè)對數據類別的安全級別,字段組合風險也有較大差異。如果沒有自動化的數據識別和分類分級技術和產品,數據從分類分級開始做起的現實阻力就會比較大。
2. 數據主體歸集和授權映射技術
目前數據安全法草案和個人信息保護法草案都強調了數據分類分級,其實數據分類分級是站在數據泄露風險視角的。但是數據權益保護,特別是個人數據主體權益保護,數據分類分級并非是其基礎,而是數據主體歸集。一個企業(yè)的數據來源多樣,首先需要識別不同的數據主體,然后將各種來源的數據歸集到每個數據主體之下,并映射各種來源的數據對應的用戶授權信息,才能面向數據主體提供權益保護。針對這點,目前國內無論是技術還是創(chuàng)新產品都鮮有提及,但卻是未來數據權益保護的基礎。
3. 基于數據可用的數據匿名化技術
傳統在數據本體上的保護技術是加密和脫敏,但是站在個人數據保護角度,更需要的是匿名化技術。匿名化技術目的是切斷數據和數據主體關系,個人信息保護法草案里也明確匿名化后的數據可以不再視為個人數據。目前雖然個人信息保護法草案中提到了匿名化,但在個人信息安全規(guī)范里,只推進了去標識技術(標識是可以直接關聯到個人的唯一識別數據,如身份證號、手機號等)。但是去標識技術并不能很好切斷個人與數據的關系,因為還有很多與個人有關的屬性數據,如身高、民族、年齡、膚色,如果透露出了足夠多的屬性數據,攻擊者可以通過屬性關聯技術用一系列的屬性鎖定唯一的數據主體。匿名化技術不僅針對標識數據,還針對屬性數據進行模糊化,如 k- 匿名 (k-anonymity)技術,通過對屬性數據的處理,確保任何屬性形成的組合查詢,滿足查詢條件的返回記錄不低于 k 個,來確保切斷數據與數據主體的關聯性。但是匿名化技術由于無差別地對屬性數據進行處理,極大地降低了數據的可用性,需要進一步研究數據可用性更高的匿名化技術。
4. 融合和計算衍生數據血緣關系圖譜
數據通過融合和計算后,會產生新的衍生數據,這些數據與原來數據的權屬關系如何,既是一個法律問題,也是一個技術問題,需要研究能追溯不斷衍生后的數據原始數據來源的技術。
5. 數據使用流轉關系映射
數據不僅僅存在于數據庫,也會被業(yè)務應用提供給業(yè)務人員和用戶使用,與外部系統進行數據交換和提供基于數據的服務。站在數據分類分級管理視角,需要了解數據最后被使用和外發(fā)的應用暴露面,進行相應的數據安全管控。站在數據主體權益保護視角,則需要了解主體數據用于業(yè)務用途中與誰進行了數據交換與服務,當用戶更新授權或提出異議是否能按數據主體要求進行數據流阻斷和控制。
6. 數據關聯資產識別與數據風險模型
按照數據安全法草案要求,需要建立數據風險評估、監(jiān)測能力;需要在數據流動過程中,自動識別數據關聯的資產,如涉敏數據暴露面,涉敏存儲服務器與目錄等,并結合敏感數據流動狀態(tài),數據流動場景環(huán)境,數據關聯賬號與數據訪問行為,自動化識別數據風險。
綜上所述,在數據日益成為生產要素的形勢下,對數據安全的需求逐步從傳統的載體層安全走到了數據在業(yè)務使用和流通共享過程中的安全,安全問題從機構自身上升到涉及數據主體權益、社會發(fā)展與穩(wěn)定、國家安全層面。無論立法和監(jiān)管,還是行業(yè)和機構,要充分認識到這一變化,并做出相應的措施,采取新的技術手段,滿足新形勢下的數據安全的要求,確保數據作為生產要素在社會生產中成為生產力的核心引擎的同時,合理控制其可能帶來的各種重大安全風險。