隨著云計算、人工智能、物聯(lián)網(wǎng)等技術(shù)發(fā)展突飛猛進,我國數(shù)字經(jīng)濟發(fā)展進入快車道。根據(jù)中國信息通信研究院《中國數(shù)字經(jīng)濟發(fā)展白皮書(2021)》,2020 年在新冠肺炎疫情沖擊和全球經(jīng)濟下行雙重影響下,我國數(shù)字經(jīng)濟依然保持 9.7% 的高位增長。2020 年 4 月 9 日,《中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》(以下簡稱“意見”)明確提到,數(shù)據(jù)成為新型生產(chǎn)要素。該文件明確要加快培育數(shù)據(jù)要素市場:推進政府?dāng)?shù)據(jù)開放共享,提升社會數(shù)據(jù)資源價值,加強數(shù)據(jù)資源整合和安全保護。數(shù)字經(jīng)濟的發(fā)展和突破,必然需要數(shù)據(jù)這一生產(chǎn)要素實現(xiàn)流通和共享。那么,隨之帶來的數(shù)據(jù)安全問題,將是數(shù)字經(jīng)濟下必須要動態(tài)平衡的關(guān)鍵要點。習(xí)近平總書記強調(diào):“要切實保障國家數(shù)據(jù)安全。要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,強化國家關(guān)鍵數(shù)據(jù)資源保護能力,增強數(shù)據(jù)安全預(yù)警和溯源能力?!本C上,只有解決好數(shù)據(jù)安全和開放共享的關(guān)系,才能為數(shù)字經(jīng)濟下新模式、新業(yè)態(tài)創(chuàng)新發(fā)展提供肥沃土壤。
一、數(shù)字經(jīng)濟發(fā)展對數(shù)據(jù)安全提出更高要求
當(dāng)前,數(shù)據(jù)經(jīng)濟已經(jīng)成為我國落實國家大戰(zhàn)略的關(guān)鍵力量,對創(chuàng)新發(fā)展布局具有戰(zhàn)略意義。近幾年,數(shù)字經(jīng)濟被多個省份和國家關(guān)鍵基礎(chǔ)設(shè)施企業(yè)寫入發(fā)展規(guī)劃,數(shù)字化轉(zhuǎn)型的步伐在加快。數(shù)字經(jīng)濟蓬勃發(fā)展,對數(shù)據(jù)安全提出了更高的要求。
第一,數(shù)據(jù)泄露頻發(fā)給相關(guān)主體帶來巨大損失。數(shù)字經(jīng)濟時代,人類的數(shù)字網(wǎng)絡(luò)和社會網(wǎng)絡(luò)不斷交融,生產(chǎn)生活、社交出行、醫(yī)療教育等社會化數(shù)據(jù)都被數(shù)據(jù)化,并被存儲在廣袤的網(wǎng)絡(luò)空間。這些數(shù)據(jù)一旦泄露,將給企業(yè)以及個人帶來巨大損失,不僅包括經(jīng)濟損失,如 2019 年臉書(Facebook)因其用戶數(shù)據(jù)外泄繳付 50 億美元罰款;也包括聲譽損失,如 2020 年美國多個名人,包括美國前副總統(tǒng)拜登、蘋果公司官方推特、奧巴馬、比爾·蓋茨、埃隆·馬斯克、巴菲特等的推特賬號被黑客攻擊,帶來極大的負面影響。
第二,數(shù)據(jù)跨境流動可能危害國家安全。數(shù)據(jù)流動性越高,其潛在價值就越大。全球化經(jīng)濟下,數(shù)據(jù)跨境流動因商業(yè)擴張和機構(gòu)監(jiān)管而經(jīng)常被提及。如 TikTok 從 2020 年開始,頻繁遭到海外國家相關(guān)機構(gòu)的監(jiān)管和限制。
第三,數(shù)據(jù)安全方面的法制建設(shè)愈發(fā)完善。自2017 年《網(wǎng)絡(luò)安全法》頒布以來,圍繞數(shù)據(jù)安全的立法工作陸續(xù)展開。2019 年的《數(shù)據(jù)安全管理辦法(征求意見稿)》、2020 年頒布的《民法典》《網(wǎng)絡(luò)安全審查辦法》,以及已列入本屆人大立法計劃的《個人信息保護法草案(二次審議稿)》《數(shù)據(jù)安全法草案(二次審議稿)》。這些法律法規(guī)的不斷完善,將會帶來數(shù)據(jù)安全合規(guī)性需求的爆發(fā)。
二、開放共享是數(shù)據(jù)生產(chǎn)要素發(fā)揮價值的前提
數(shù)據(jù)作為一種新型生產(chǎn)要素,其真正價值在于如何合法合規(guī)的充分利用。意見明確提到,推進政府?dāng)?shù)據(jù)開放共享,提升社會數(shù)據(jù)資源價值。如何將數(shù)據(jù)轉(zhuǎn)化為價值,一些領(lǐng)域和行業(yè)的實踐值得借鑒。
第一,政務(wù)數(shù)據(jù)共享,旨在解決政務(wù)信息化建設(shè)中“各自為政、信息孤島”的問題。例如,當(dāng)前各級政府或相關(guān)機關(guān)可以通過共享各自區(qū)域的居民數(shù)據(jù),實現(xiàn)信息的互聯(lián)互通,這樣有利于優(yōu)化辦事流程,提高政府單位的辦事效率。通過讓數(shù)據(jù)在政府不同部門的系統(tǒng)中自由有序地流動,從而實現(xiàn)由數(shù)據(jù)跑路代替群眾跑腿。
第二,醫(yī)療數(shù)據(jù)共享,旨在支撐科學(xué)診斷、治療以及安全用藥等需求。患者的門急診病歷記錄、出入院記錄、化驗報告、醫(yī)學(xué)影像檢查報告等信息,通過在類似于區(qū)域醫(yī)療信息平臺的系統(tǒng)中共享,從而有效減少候診時間、簡化就診流程、避免重復(fù)用藥和藥物相互作用、提高急診和 ICU 救治效率。醫(yī)療數(shù)據(jù)共享,實現(xiàn)分級診療制度和遠程醫(yī)療工作開展的必要基礎(chǔ)。
第三,科研數(shù)據(jù)共享,對于加速科研創(chuàng)新、成果應(yīng)用等起到非常重要的作用。例如,在暴發(fā)大規(guī)模流行病時,人們可以通過分享科研數(shù)據(jù),幫助其他機構(gòu)或其他國家有效地應(yīng)對流行病的防治,同時加快疫苗的研制進程。從今天的視角可以發(fā)現(xiàn),新冠肺炎疫情暴發(fā)開始至今一直在進行的科研數(shù)據(jù)共享,對于全球人民有效抗擊疫情,起到了決定性的重要作用。
三、安全和共享需要通盤考慮
數(shù)據(jù)開放共享是大勢所趨,但在一定程度上也會埋下數(shù)據(jù)安全隱患。尤其在國內(nèi)數(shù)據(jù)安全法制建設(shè)和監(jiān)管不斷強化的背景下,相關(guān)責(zé)任主體如何在保護好數(shù)據(jù)的前提下,通過安全的開放共享,創(chuàng)造出更多的經(jīng)濟效益、體現(xiàn)出更優(yōu)的社會效益,是亟待厘清和解決的問題。為了能在安全和共享之間實現(xiàn)動態(tài)平衡,相關(guān)責(zé)任主體需要從以下三個方面著手規(guī)劃和建設(shè)。
第一,堅持以數(shù)據(jù)為中心,以風(fēng)險為驅(qū)動的工作機制。
以數(shù)據(jù)為中心。根據(jù)業(yè)務(wù)要求,標準規(guī)范等法律法規(guī),以數(shù)據(jù)生命周期各個環(huán)節(jié)為核心,以基礎(chǔ)安全防護體系,密碼基礎(chǔ)設(shè)施等網(wǎng)絡(luò)安全防護為支撐,以組織建設(shè),人員能力等數(shù)據(jù)安全管理為保障,實現(xiàn)數(shù)據(jù)全生命周期的安全防護,確保采集安全,傳輸安全,存儲安全,處理安全,交換安全和銷毀安全。同時,由于數(shù)據(jù)的采集粒度與時效性、存儲方式、整合狀況、可視化程度、分析的深度和應(yīng)用銜接程度的不同,往往需針對數(shù)據(jù)生命周期各個階段的特點采取不同的管理方法和控制手段。例如,為了確保采集安全,需要采取全鏈路數(shù)據(jù)追蹤,數(shù)據(jù)源鑒別,元數(shù)據(jù)管理等措施。
以風(fēng)險為驅(qū)動,實施數(shù)據(jù)安全風(fēng)險測評和評估。首先識別敏感數(shù)據(jù)暴露面并評估脆弱性風(fēng)險,通過對數(shù)據(jù)流動的監(jiān)測,發(fā)現(xiàn)敏感數(shù)據(jù)的使用和流動風(fēng)險,針對發(fā)現(xiàn)的風(fēng)險,結(jié)合企業(yè)需求選擇有針對性的保護與控制策略,以有效控制敏感數(shù)據(jù)的使用、共享、發(fā)布風(fēng)險。這樣建立以數(shù)據(jù)為中心,風(fēng)險為驅(qū)動的工作機制,實現(xiàn)對數(shù)據(jù)的全面保護。
第二,落實分權(quán)限、分等級、分階段的數(shù)據(jù)安全建設(shè)工作。
分級分類是根本。相關(guān)責(zé)任主體應(yīng)根據(jù)國家相應(yīng)的標準和自身的安全規(guī)范,按照數(shù)據(jù)敏感度、重要級別等對數(shù)據(jù)資產(chǎn)進行嚴格的分級分類,聯(lián)合各方一同建立、發(fā)布和遵守統(tǒng)一的標準(包括數(shù)據(jù)分類、分級和標識等),并采取對應(yīng)級別的保護措施,能夠顯著的保護數(shù)據(jù),有效規(guī)避數(shù)據(jù)泄露風(fēng)險,有利于組織快速安全地訪問和共享數(shù)據(jù)資產(chǎn)。
訪問控制是手段。數(shù)據(jù)分類分級標準規(guī)范,全面厘清數(shù)據(jù)資產(chǎn),建立不同類別和級別的數(shù)據(jù)訪問授權(quán)規(guī)則和授權(quán)流程,明確誰申請、誰授權(quán)、誰審批、誰使用、誰監(jiān)管。利用統(tǒng)一的訪問控制平臺,對數(shù)據(jù)的訪問權(quán)限建立集中的身份管理和權(quán)限控制等保護措施,確保所有的數(shù)據(jù)訪問過程都是可視、可信的。例如利用安全云桌面技術(shù)保障相關(guān)方的數(shù)據(jù)不在運營方和其他相關(guān)方落地。
分段建設(shè)是保障。數(shù)據(jù)安全和共享的相關(guān)建設(shè)工作不是一蹴而就的,需要采取分階段規(guī)劃和建設(shè)的步驟來不斷探索和實踐。綜合業(yè)界經(jīng)驗,以及數(shù)據(jù)分級分類和“數(shù)據(jù)生命周期”的規(guī)范,通常建議從三個階段開展建設(shè)。第一階段,建設(shè)“數(shù)據(jù)凈室”。即在隔離、可控的環(huán)境下,建設(shè)數(shù)據(jù)集中匯聚和獨立存儲的基礎(chǔ)設(shè)施,以支撐數(shù)據(jù)資產(chǎn)盤點的數(shù)據(jù)管理場景。在本階段,數(shù)據(jù)安全治理工作重點是數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)權(quán)限控制和數(shù)據(jù)分類分級;數(shù)據(jù)安全防護重點集中在數(shù)據(jù)采集、傳輸和存儲環(huán)節(jié)。第二階段,建設(shè)“數(shù)據(jù)前置區(qū)”。即在完成數(shù)據(jù)分類分級工作之后,在受控環(huán)境下搭建“數(shù)據(jù)前置區(qū)”,按照分級分類標準,從“數(shù)據(jù)凈室”采集可控數(shù)據(jù),并利用安全鏈路單向傳輸至“數(shù)據(jù)前置區(qū)”。內(nèi)部用戶的相關(guān)應(yīng)用系統(tǒng)可以利用該區(qū)數(shù)據(jù)完成相關(guān)畫像的分析和呈現(xiàn)。在本階段,數(shù)據(jù)安全治理工作重點是數(shù)據(jù)分類分級和數(shù)據(jù)權(quán)限控制;數(shù)據(jù)安全防護手段重點關(guān)注數(shù)據(jù)傳輸、處理、交換、銷毀環(huán)節(jié)。第三階段,建設(shè)“數(shù)據(jù)開放區(qū)”。即按照分級分類標準,根據(jù)外部用戶的數(shù)據(jù)需求,從“數(shù)據(jù)前置區(qū)”單向傳輸數(shù)據(jù)至“數(shù)據(jù)開放區(qū)”,繼而供外部用戶訪問和使用。在本階段,數(shù)據(jù)安全防護手段重點關(guān)注數(shù)據(jù)傳輸、處理、交換、銷毀環(huán)節(jié)。
第三,強調(diào)技管并重、持續(xù)監(jiān)測的數(shù)據(jù)安全運營理念。
隨著科學(xué)技術(shù)的不斷發(fā)展,各種數(shù)據(jù)安全技術(shù)層出不窮,并且越來越成熟,人們對技術(shù)的依賴也越來越大的同時,也慢慢忽略數(shù)據(jù)安全管理。從“三分技術(shù),七分管理”的說法,可見安全管理在數(shù)據(jù)安全方面也發(fā)揮著重要作用,在引進先進技術(shù)的同時,也要構(gòu)建并完善組織機構(gòu),提高相關(guān)人員數(shù)據(jù)安全管理、數(shù)據(jù)安全運營、數(shù)據(jù)安全技術(shù)等相關(guān)能力,并且不斷完善自己的制度流程,構(gòu)建設(shè)備、數(shù)據(jù)和人員組成的全方位體系協(xié)同。
當(dāng)前,數(shù)據(jù)安全面臨著持續(xù)化和專業(yè)化的威脅,網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)呈現(xiàn)出模糊化和動態(tài)化的特點,這就意味著數(shù)據(jù)安全并不是一蹴而就的事情,這就需要對數(shù)據(jù)資產(chǎn)進行持續(xù)風(fēng)險監(jiān)測,實現(xiàn)持續(xù)性攻擊的發(fā)現(xiàn)、預(yù)警和響應(yīng),實現(xiàn)對全網(wǎng)數(shù)據(jù)安全態(tài)勢感知,對重點區(qū)域和關(guān)鍵數(shù)據(jù)資源風(fēng)險的重點監(jiān)控,對日常數(shù)據(jù)運營狀態(tài)的全面監(jiān)控。通過“盡早發(fā)現(xiàn),有效處理,事后總結(jié)”這一螺旋式的響應(yīng)機制,不斷完善自己的風(fēng)險監(jiān)測體系。
四、新技術(shù)的應(yīng)用可以適度兼容安全和共享
近幾年來,一些諸如區(qū)塊鏈、安全多方計算、同態(tài)加密等技術(shù),在醫(yī)療、保險、金融等行業(yè)有了不少落地經(jīng)驗,這些技術(shù)在一定程度上兼容了數(shù)據(jù)安全和共享交換,給數(shù)據(jù)經(jīng)濟下?lián)碛写罅繑?shù)據(jù)的責(zé)任主體帶來了一些參考和示范。以醫(yī)療數(shù)據(jù)為例:
第一,區(qū)塊鏈技術(shù)可保證醫(yī)療數(shù)據(jù)的隱私和確權(quán)。醫(yī)療數(shù)據(jù)共享上鏈后,醫(yī)療機構(gòu)只能看到這個數(shù)據(jù),但不一定知道誰共享了這個數(shù)據(jù);區(qū)塊鏈的透明性和不可篡改性,保證了醫(yī)療數(shù)據(jù)的權(quán)威性和真實性。
第二,安全多方計算可解決各醫(yī)療機構(gòu)的信任問題。醫(yī)療機構(gòu)借助于安全多方計算,可以對醫(yī)療數(shù)據(jù)進行安全查詢、計算等操作,醫(yī)療機構(gòu)使用安全多方計算能保證僅得到約定的結(jié)果,但對數(shù)據(jù)庫其他記錄信息不可知。同時,擁有醫(yī)療數(shù)據(jù)庫的一方,不知道來自具體那個醫(yī)療機構(gòu)的查詢或計算請求。
第三,同態(tài)加密技術(shù)可實現(xiàn)醫(yī)療數(shù)據(jù)交換與共享過程中的數(shù)據(jù)隱私保護。各醫(yī)療機構(gòu)對醫(yī)療數(shù)據(jù)加密后,對醫(yī)療數(shù)據(jù)(密文)相互交換和共享,數(shù)據(jù)交換和共享過程中采用同態(tài)加密技術(shù)對數(shù)據(jù)進行處理,得到各自需要的數(shù)據(jù)或處理結(jié)果,實現(xiàn)數(shù)據(jù)交換和共享的同時保護患者的隱私。