2022年度國內數據安全的現狀與發展
2022 年 12 月 19 日,中共中央、國務院對外發布了《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》,從數據產權、流通交易、收益分配、安全治理四個方面初步搭建我國數據基礎制度體系,提出了 20 條政策舉措。這一文件的發布,對加快我國數據基礎制度建設,推動我國數字經濟高質量縱深發展具有劃時代的里程碑意義。
隨著新一輪科技革命和產業變革深入發展,數據作為關鍵生產要素的價值日益凸顯,深入滲透到經濟社會各領域全過程,數字經濟成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。數據安全作為數字經濟發展的基石,其內涵和外延以及發展邏輯正發生著深刻的變化,數據安全風險的危害性已經外溢到政治、科技、經濟和社會等多個領域。
2022 年,我國《數據安全法》和《個人信息保護法》頒布施行一周年,這一年里,我國數據安全戰略布局初步形成,數據安全標準化工作加速推進,數據安全技術發展方興未艾,數據安全審查與監管措施逐步完善,數據安全產業發展迅猛,數據安全市場需求旺盛,數據安全管理及個人信息保護認證體系逐步構建,數據安全各項工作都取得長足的進步。但也應看到,隨著數字經濟規模的快速增長,我們面臨的數據安全問題越來越嚴峻復雜,特別是大規模數據泄漏和勒索軟件攻擊事件頻發,造成的損失規模越來越大,同時由于國家與地區間沖突、網絡恐怖主義、全球網絡犯罪集團因素的影響,全球數據安全格局正發生著日益深刻的變化。我們必須以全球化的視野,站在國家安全的高度,重新審視數據安全的發展范式,構建適應未來數字經濟發展模式的數據安全治理體系,為我國數字經濟高質量健康發展保駕護航。
一、數據安全年度發展
在數字經濟時代,建立數據安全治理體系,強化數據安全保護,既是數據安全產業自身發展的主觀需要,也是國家監管的客觀要求。本節從數據安全戰略布局及政策法規、標準化、技術發展與演進、產業發展、評估認證、人才體系建設等六個維度,對 2022 年度數據安全發展進行全面解析。
(一)戰略布局及政策法規
當前數據已經成為新型生產要素,是數字經濟時代的核心產物,全方位構筑數據安全、為數字經濟保駕護航,也被提升到了國家戰略的高度。“十四五”規劃強調,提高發展數字經濟、加快培育發展數據要素市場,應把保障數據安全放到突出位置。在國家數據安全總體戰略布局下,近年來我國針對數據安全相繼出臺了《數據安全法》《個人信息保護法》《網絡安全審查辦法》以及《數據出境安全評估辦法》等一系列的法律法規,發布了《“十四五”大數據產業發展規劃》《“十四五”國家信息化規劃》以及《“十四五”數字經濟發展規劃》等政策要求,強調以立法規范為重點,增強網絡安全防護能力、提升數據安全保障水平、切實有效防范各類風險。2022 年是黨的二十大召開之年,也是實施“十四五”數字經濟規劃承上啟下的重要一年,做好數據安全工作意義重大。
(二)數據安全標準化
數據安全標準體系立足于產業發展,有明顯的產業特征,內容多、覆蓋率廣,不僅要有技術產品、應用方面的標準,還要有產業人才、產業創新載體等方面的標準。我國一直重視數據安全標準化工作,加速推進數據安全產業標準體系設計與研究工作,相關單位機構正在進行標準的規劃與研制實施工作。到目前為止,全國信息安全標準化技術委員會已發布數十項數據安全和個人信息保護國家標準,如數據安全能力成熟度、大數據安全、政務數據安全共享開放、個人信息安全等標準,覆蓋基礎共性、安全技術、安全管理、安全測評和典型應用五大類。同時,國家積極推廣大數據安全標準應用,加強大數據安全標準化人才培養以及深度參與大數據安全國際標準制定。
(三)數據安全技術發展與演進
在數字經濟時代,數據具有廣泛性、分散性、多樣性、復雜性的特點,在數據資產發現與梳理、數據分類分級、權限管控、數據合規、數據分析、數據流轉等方面均存在技術難點。同時,數據安全審查和監管力度不斷加大,對數據合規性提出更高要求,數據安全技術也需要持續地發展和演進。鑒于上述情況,防 SQL 注入、數據庫安全防護、認證與訪問控制、加密、審計、去標識化等相對成熟的數據安全技術正在加速落地,已形成多樣化的產品和服務;面向數據共享、流通和交易過程的隱私計算技術已成為研究熱點并開展試點工作,其中包含了密碼學為基礎的多方安全計算技術、以分布式機器學習為基礎的聯邦學習技術以及依托于硬件加密的可信執行環境技術等。
(四)數據安全產業發展
近年來,國家注重數據安全產業的整體布局,在國家“十四五”規劃、二十大報告等頂層戰略的指引下,我國數據安全產業發展逐步形成了以下特點。一是數據安全標準體系框架已經基本形成,規范了數據安全產業的發展。二是國家對技術創新支持力度不斷加大,數據安全產業生態穩步推進。三是數字化轉型步伐加速,數據規模持續擴大,數據安全市場需求旺盛,各大安全企業引領行業發展。四是我國數據安全產業已初具規模,創新能力不斷增強,產品體系逐步建立,需要建立更高水平的公共服務能力。
(五)數據安全評估認證
為全面提升數據安全保障能力、風險發現能力,確保數據安全風險可控,需要開展數據安全風險評估以及數據安全能力評估認證等方面的工作。
從數據安全風險角度看,重點要針對組織數據收集、存儲、使用、加工、傳輸、提供、公開等活動,根據相關法規標準要求,按照風險分析的方法,分析網絡運營者的數據相關活動中存在的安全風險。
從數據安全管理角度看,是如何衡量擁有數據的組織的數據安全保護能力,開展數據安全能力評估。我國開展數據安全能力評估重點依據兩個標準,分別是《數據管理能力成熟度評估模型》(DCMM)和《數據安全能力成熟度模型》(DSMM),兩個標準關注數據安全保護能力的側重點各有不同。
從數據安全認證角度看,國家市場監督管理總局、國家互聯網信息辦公室聯合發布了《關于開展數據安全管理認證工作的公告》和《關于實施個人信息保護認證的公告》及其實施細則開展數據安全認證相關工作,為相關工作的開展提供了依據。
(六)數據安全人才體系建設
我國數字經濟蓬勃發展,數據安全為數字經濟發展起到了保駕護航作用,而數據安全人才是支撐數據安全工作的基礎,需要從戰略、政策、標準、產品、技術、師資等方面做好數據安全人才的培養。
數據安全人才從專業細分的角度應具備 4 個能力。數據安全管理能力,即利用先進的理念和方法來實現數據管理能力;數據安全運營能力,組織內持續性地落實數據安全的相關制度和流程,并基于組織的業務變化和技術發展不斷地調整和優化;數據安全技術能力,需要技術和工具平臺的支撐,來實現數據安全能力的建設;數據安全合規能力,準確識別數據合規要求,并能夠形成內部規章制度指導合規落地工作。數據安全人才培養要均衡,要形成復合型能力,不僅要具備數據安全技術能力,也要具備數據安全管理及運營能力,同時全面掌握政策要求及數據業務場景。
二、數據安全特點與熱點
在過去的一年中,我國數字經濟呈現蓬勃發展態勢,產業規模持續快速增長,也催生了大量的新業態、新模式,數據要素已成為數字經濟深化發展的核心引擎,數據安全也成為事關國家安全和經濟社會發展的重大議題。本節重點對 2022 年國家在數據安全方面的戰略布局、數據安全標準化工作、數據安全技術發展、數據安全產業發展、數據安全市場需求、數據安全審查與監管情況以及數據安全認證認可制度進行分析和闡述,明確現階段的數據安全問題及風險。
(一)數據安全戰略布局初步形成
2022 年以來,數據安全與個人信息保護被提升到前所未有的高度,是支撐建設全域聯動、立體高效的國家安全防護體系重要組成。我國數據安全戰略布局已初步形成,具體表現在以下五個方面。一是國家在數字經濟發展、大數據行動計劃等戰略性文件中,對數據安全做出了相應的工作部署,數據安全頂層設計初見輪廓。二是在總體國家安全觀的指引下,《數據安全法》《個人信息保護法》與《網絡安全法》共同構成了我國數據安全立法的基礎,數據安全法律框架初步建立。三是網信、公安、市場監管等部門普遍以專項行動為牽引,持續加大對違法違規收集使用個人信息、數據非法獲取和交易等重點熱點問題整治,數據安全監管實踐有序推進。四是數據安全需求全面釋放,數據安全產業發展迎來重大機遇,數據安全產品、咨詢規劃、評估測試等業務增長迅速,數據安全產業發展持續向好。五是做好數據安全相關法規的貫徹落實,配套制定數據分類分級、數據出境管理、數據安全評估等相關法規政策,數據安全配套細則逐步完善。
(二)數據安全標準化工作加速推進
2016 年,全國信安標委(TC260)成立大數據安全標準特別工作組(SWG-BDS),主要圍繞數據安全和個人信息保護兩個方向研制相關標準,先后發布了《大數據服務安全能力要求》《數據安全能力成熟度模型》《個人信息安全規范》等重要標準。目前,數據安全國家標準體系包括了基礎共性、安全技術、安全管理、安全測評和典型應用五大類,包含 50 多項標準。
2022 年,國家市場監督管理總局、國家標準化管理委員會發布中華人民共和國國家標準公告(2022 年第 13 號),全國信息安全標準化技術委員會歸口的 14 項網絡安全國家標準獲批發布,其中 12 項涉及數據安全與個人信息保護,包含步態識別、基因識別、聲紋識別、人臉識別、智能汽車、即時通信、快遞物流、網上購物、網絡支付、網絡音視頻、網絡預約汽車、個人信息安全工程等領域,對數據安全要求做出了詳細的說明。
(三)數據安全技術發展方興未艾
數據安全技術最初是網絡安全技術的一個分支,隨著數字經濟的發展和信息技術的演進,逐漸形成一套獨立的技術體系,成為熱點研究領域,進入快速發展期。當前,數據安全技術領域不斷細分,技術體系不斷完善。數據安全技術由早期以數據庫安全為核心,逐步發展為數據分級分類、數據安全平臺、數據監控與審計技術。現今,隱私計算等技術也開始得到廣泛應用。
目前,數據安全技術應用的熱點主要集中在數據加密、數據脫敏、數據識別、數據標記、數字水印和隱私計算等方面。數據加密技術從靜態數據加密向動態數據加密擴展;數據脫敏技術可以在不泄露敏感信息的前提下保留數據源的可用性,是目前應用最多的數據安全保護技術手段;數據識別技術主要目標是識別和發現敏感數據,從而能夠更有效地實施敏感數據保護,是精準數據安全防護的基礎;數據標記技術是指對需要保護的數據增加標記信息,是實現數據分類分級安全防護的基礎;數字水印技術也逐漸走向實用階段,其常與密碼學相結合以增加安全性;隱私計算是在提供隱私保護的前提下,實現數據價值挖掘的技術。
(四)數據安全審查與監管措施逐步完善
世界各國政府逐漸意識到,數據與國家安全和國際競爭力緊密關聯,對數據安全的認知也已從傳統的個人隱私保護上升到維護國家安全的高度。數據安全已經成為全球性安全問題,應對數據安全的政策持續得到優化,主要體現在:加強數據安全頂層設計,強化數據及個人信息保護相關立法以及數據安全標準指南,加強數據安全保護治理以提升執法效率。各國持續加大數據安全的治理強度,加大對大型互聯網公司的數據監測、治理、執法力度。數據作為國家重要的生產要素和戰略資源,其日益頻繁的跨境流動帶來了較大的安全隱患,開展數據安全審查與監督工作勢在必行。
2022 年 2 月 15 日,國家互聯網信息辦公室會同國家發展改革委、公安部、工業和信息化部等十三個部門聯合發布的《網絡安全審查辦法》正式施行,推動國家數據安全治理進入新階段。2022 年 7 月 7 日,國家互聯網信息辦公室正式發布《數據出境安全評估辦法》,重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,并對在此之前發生的數據出境活動設置六個月的整改期。
(五)數據安全產業發展迅猛
國家戰略全面布局,政策法規多方引導,都凸顯了數據安全的重要性,提升了社會各界對數據安全和個人信息保護重視程度,成為數據安全產業快速發展的重要前提。具體體現在以下四個方面。一是數據安全產業布局更加合理,國家統籌布局數據開發利用和大數據產業發展。二是數據安全產品與服務發展迅速,數據資產管理、分類分級、安全監測等產品形態多樣,數據庫安全、數據脫敏、數據防泄漏產品相對成熟,數據安全合規評估、數據安全規劃咨詢、數據安全治理以及數據安全防護能力評定等方面的服務持續開展。三是數據安全產業發展環境不斷優化,數據安全國家標準相繼出臺,有力支撐相關法律法規的落地實施,各行業數據安全標準陸續發布,有效指導行業數據安全實踐工作。四是數據安全產業發展驅動力強勁,數據安全重視程度持續提升,數據安全合規性需求不斷擴大,產業數字化強力推動,新興領域技術發展引領。
(六)數據安全市場需求旺盛
目前,我國數據安全行業市場規模增長的主要推動力來自各行業需求量的快速增長,主要包括政府、金融、電信等政企用戶,并逐步發展到醫療、交通、能源等各領域。從政府行業需求分析,2021 年 12 月《“十四五”數字經濟發展規劃》發布,深化政務數據的有序共享、開發利用和數據安全成為政府行業數字化工作的重點。從電信行業需求分析,2021 年 11 月 16 日工信部公布《“十四五”信息通信行業發展規劃》,明確建立健全數據分級分類、重要數據保護、數據跨境流動等數據安全管理制度,加快構建數據安全風險技術監測體系,大力發展應用網絡和數據安全先進適用技術。從金融行業需求分析,2022 年 1 月 12 日央行印發《金融科技發展規劃(2022—2025 年)》,數據要素成為新增核心內容,被升級成為金融業的生產要素。從醫療衛生行業需求分析,伴隨醫療衛生數據應用、“互聯網+醫療健康”和智慧醫療的蓬勃發展,各種新業務、新應用不斷出現,醫療衛生數據在全生命周期各階段均面臨著越來越多的安全挑戰,衛健委和醫保局相繼出臺數據安全相關指南和管理辦法。
(七)數據安全問題依然嚴峻復雜
在數據時代,通過漏洞利用、防護繞過等手段侵入企業或組織的內部網絡,實現數據竊取或破壞的安全事件時有發生,新的攻擊和外部數據安全威脅層出不窮。數據安全問題嚴峻復雜,主要集中在以下六個方面。一是非法販賣數據已成為灰色地帶,個人信息被瘋狂倒賣,給個人人身、財產、生命安全帶來了較大危害。二是數據作為國家重要的生產要素和戰略資源,其日益頻繁的跨境流動帶來了潛在的國家安全隱患。三是金融、能源、醫療生物等高價值特殊敏感數據泄露風險正在加劇。四是國家行為、有政治背景的境外黑客組織逐漸加大對我國關鍵信息基礎設施攻擊力度,試圖獲取機密重要數據。五是人工智能、生命科學等新技術的快速發展和廣泛應用,加劇了隱私暴露、數據泄漏的風險。六是數據成為互聯網平臺企業發展和盈利的核心引擎,由此也引發了個人信息濫采濫用程度加重、數據壟斷亂象頻發的數據安全風險。
(八)數據安全管理及個人信息保護認證體系逐步構建
我國數據安全認證體系正在逐步構建和完善,已經建立了 App 個人信息保護認證、數據安全管理認證、個人信息保護認證等 3 種數據安全認證制度,較好補充了我國數據安全認證認可制度的不足,推動建立更加科學高效的數據安全治理體系。
2022 年 6 月 9 日,國家市場監督管理總局、國家互聯網信息辦公室發布《關于開展數據安全管理認證工作的公告》及實施規則,決定開展數據安全管理認證工作,鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護。數據安全管理認證的認證模式為:技術驗證+現場審核+獲證后監督。
2022 年 11 月 4 日,國家市場監督管理總局、國家互聯網信息辦公室發布了《關于實施個人信息保護認證的公告》及實施規則,這是我國史上首個關于個人信息保護認證的專項制度,確立了個人信息保護認證在我國個人信息保護法律體系當中的正式地位。個人信息保護認證的認證模式為:技術驗證+現場審核+獲證后監督。
三、重點關注的幾個問題
隨著數據基礎制度的逐步建立,數據安全問題更多地集中在了數據要素流通交易領域,這種情況下,數據安全勢必會產生新的問題、新的形態和新的模式,我們應順勢而為,著手構建新形勢下數據安全治理體系。為了構建新形勢下數據安全治理體系,除了要充分考慮數據要素流通中數據交換、數據集成、數據存儲、數據資產管理等方面安全風險,還要重點關注數據安全合規治理、數據供應鏈安全、數據安全保險、新型數據安全產業生態等四個方面的問題。
(一)數據安全合規治理
2022 年 7 月 21 日,國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣 80.26 億元罰款,這一數據安全領域標志性事件使得數據安全合規一時成為該領域的熱門話題。數據安全是一項復雜的系統性工程,涉及法律法規和標準規范眾多,數據安全標準解析與落實難度大。為化解新形勢下數據安全系統性風險,應從制度、技術和管理三個方面構建立體化數據安全合規治理體系,使得合規行為成為組織運營的有機組成部分。
(二)數據供應鏈安全
數據要素流通交易帶來的最直接的安全風險就是不論數據供應鏈哪個環節出現問題,都會引發以數據為驅動力的業務和以數據為原材料的產品的安全風險。因此,加強數據供應鏈安全問題研究,構建數據供應鏈的安全保障體系,化解數據供應鏈安全風險,成為新形勢下數據安全領域的一項需要優先解決的問題。數據供應鏈安全應以數據生命周期為基礎,從組織建設管理、制度保障管理、技術支撐管理、人員執行管理等維度構建保障框架,對供應方、合作方、集成方、服務支撐方等相關方,從組織建設、制度流程、技術防護、人員能力等四個方面進行要求,盡可能確保數據供應鏈安全。
(三)數據安全保險
網絡安全保險作為風險轉移的重要手段,在轉移殘余風險、優化資源配置、保障組織財務穩定性和業務連續性等方面發揮著重要作用,可以有效聚合各方力量,共同提升網絡安全風險治理水平。隨著數據要素定價確權以及授權制度的逐步完善,數據安全保險作為網絡安全保險的一個重要組成部分,基本具備了先行先試的條件。通過完善數據安全保險體制機制,可有效提升全社會數據安全風險管理水平和能力,降低社會總成本,落實組織在數據安全方面的社會責任。
(四)新型數據安全產業生態
隨著數據要素市場的逐步形成,亟需構建保障要素市場安全穩定運行的新型數據安全基礎設施。作為平衡數據流通與安全的重要工具,隱私計算正在成為數字經濟的底層基礎設施,為各行各業搭建堅實的數據應用基礎。隨著政策與需求的雙重驅動,隱私計算技術和產品的成熟度快速提升,在金融、通信、政務、醫療等行業的應用加速落地。但由于標準滯后,政策不明朗,目前隱私計算在互聯互通、性能效率和業務價值體現等方面仍存在較大障礙。為了充分發揮隱私計算等新型數字經濟基礎設施的作用,保障數字經濟健康穩定發展,應圍繞隱私計算等以密碼技術為基礎的數據安全基礎設施建設,盡快形成新型數據安全產業生態,加快這一生態體系的政策法規、技術標準、運營體系、市場規制等方面的建設。
四、結 語
隨著我國數據基礎制度體系的逐步完善,數據要素市場逐步構建,數據安全將越來越注重數據要素價值的保護,2022 年數據安全的發展充分印證了這一點。基于要素價值保護的數據安全,在傳統數據安全基礎上將演進出新的技術形態和產業生態,也將衍生出新的需要攻關的科學問題。同時,隨著一系列數據安全相關的政策法規和標準規范出臺,無論對數據安全的供給者,還是需求者,抑或監管者都帶來了一系列亟須解決的新問題。
未來,我們應從法律法規體系成熟度、行業及技術標準完備性、技術持續創新能力以及數據安全人才梯隊培養的均衡性等方向,使數據安全逐步從粗放式向精細化演進、從合規驅動向合規治理發展,逐步構建適應新形勢的新型數據安全治理體系,形成以數據要素價值保護為目標、以能力建設為導向、以風險管理為主線、以合規治理為抓手、以新型數據安全基礎設施為支撐的全新發展模式,打造成熟的數據安全全新生態,為更好發揮數據要素作用,促進數據要素市場的健康發展創造一個良性治理環境。
