沈艷:數據不用就安全了嗎?
中國將成為全球數據最豐富的國家,數據是驅動創新的關鍵要素。當前,部分企業存在為保安全不用數據的傾向,因此政策上亟需明確要以發展促數據安全。同時,對創新帶來的安全問題要在有一定容錯的基礎上完善相關責任機制,既要創新,更要安全,發揮數據核心競爭力。
——沈艷 中國金融四十人論壇(CF40)特邀成員、北京大學國家發展研究院教授、北大數字金融研究中心副主任
* 文章僅代表作者個人觀點。”
最近,一位在某大平臺工作的師妹向我訴苦。她說,她的工作需要公司內另一個部門的數據支持,但是該部門拒絕了她們部門的請求。原因是,只要數據離開了本部門條線,即便是在同一公司內,也會擔心數據使用導致的數據安全問題,而《數據安全法》提及的責任該部門承擔不起,索性就不給了。她當然知道數據安全很重要,但她的苦惱是,沒有數據,自己部門的業務怎么推進?
是不是不用數據,就能保護個人信息和數據安全?中國要發展數字經濟,這個問題就不能回避。
數據要不要用起來?當然要用。中國的發展戰略對這一問題的態度是明確的。2020年發布的《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱《意見》),明確了數據是新的生產要素。在過去數年間,全球數據量爆發式增長,而中國將成為世界上數據資源最豐富的國家。
根據Statista的統計,2016至2019年的全球數據量分別為18ZB、26ZB、33ZB、41ZB(1ZB等于10萬億億字節);而國際數據公司(IDC)的白皮書認為,到2025年中國數據量將為全球最大,以48.6ZB的規模,占全球比重的27.8%。如果能將如此龐大的數據資源善加利用,其作為生產要素的價值與土地、資本相比將毫不遜色。
中央文件明確提出要加快培育數據要素市場,推進政府數據開放共享,提升社會數據資源價值,這表明加快數據利用不僅是中國的優勢,也帶有緊迫性。
但是,使用數據這個硬幣的另一面是,數據風險如影隨形。
事實上,目前市值最大的蘋果、微軟、亞馬遜、Alphabet(谷歌)、Meta(臉書),他們的發展歷程中都不乏數據安全事件。例如,根據網站firewalltimes.com的統計,2021年8月,微軟因第三方公司錯誤配置導致3800萬條記錄被泄露;2021年9月,一個名為Pegasus(飛馬)的間諜軟件感染了iPhone和其他蘋果設備,該間諜軟件會記錄電話和信息,甚至在用戶不知情的情況下打開設備的攝像頭和麥克風;2021年10月,黑客將亞馬遜旗下的流媒體平臺Twitch上125GB的文件泄露給4chan,而此前數年亞馬遜有多起員工售賣客戶數據、以及第三方公司賄賂員工以獲得數據或者打擊競爭對手的事件;谷歌的數據安全問題主要是出在Google+上,如2018年11月的更新產生了一個API(應用程序編程接口)錯誤,暴露了5250萬個Google+賬戶的數據;而臉書在2021年4月也發生逾5.3億用戶的個人資料在網上論壇泄露事件。
也就是說,數據安全和數據使用之間存在權衡,即便是技術先進的大公司,也沒有辦法完全避免數據相關風險。
那么,雪藏不用,是不是數據就最安全?事實上,為了保護數據安全而雪藏數據,反而可能是最不安全的安排。至少有如下幾個原因:
第一,如果數據豐富的企業不使用數據,就無法了解數據特征,就不知道數據的缺點、弱點在哪里。孫子兵法所說的“知己知彼,百戰不殆”,不使用數據,可能連“知己”都做不到,有效防范攻擊也就無從談起。
第二,不使用數據不利于發揮數據豐富企業的自身數據優勢,甚至是放棄了核心競爭力。大數據的優勢,不僅在數據量大,也在于維度豐富。數據豐富企業的核心競爭力在于通過整合共享不同維度的數據,實現大數據的高維優勢。如果一家大企業內部對《數據安全法》的理解,都導致人為構筑企業內部不同部門之間數據的共通共享,那么大數據變得支離破碎,數據豐富企業不使用數據,屬于“自廢武功”。
第三,不使用數據難以“知彼”,無法通過實戰學習應對攻擊的措施,并作出有力防范。在“魔高一尺,道高一丈”的斗爭過程中,無論是平臺企業還是監管者,都需要通過處理各類安全事件來學習并獲得經驗,從而更能防范未來的安全事件。
例如,臉書5.3億賬戶泄露事件的發現者Alon Gal披露了數據售賣過程:2020年初起就有犯罪分子以3萬美元的售價出售5.3億個賬戶數據;之后買家進一步以更低的價格轉手賣出;這樣價格越來越低,直至2021年變成免費泄露。追查數據泄露的原因發現,由于臉書沒有對API實施適當的限制,臉書的聯系人導入功能使黑客能夠在每個API查詢中導入多達5000個電話號碼,并看到與查詢的電話號碼相對應的賬戶。這導致黑客通過列舉世界上所有的電話號碼對臉書數據庫作查詢的方法,獲得了5.3億用戶的信息。
那么,為什么臉書的API會有這個疏漏呢?追究更深層次的原因發現,要讓平臺保持快速成長的態勢,臉書就要盡量通過用戶來獲得更多他們的朋友的信息,而這為黑客獲得更多信息提供了可趁之機。
上面的例子表明,數據風險也帶來了寶貴的學習機會。無論是企業還是監管者,通過對數據風險事件的梳理,可以對數據被出售的方式、數據風險犯罪手法和企業發展策略等方面的問題均有更全面的了解。這些信息都是未來防范新的風險事件的抓手。
第四,即便不使用數據保障了數據安全,但有數據生產要素卻不運用的代價是無法通過發展獲取數字紅利。如果企業內部、企業和企業之間、企業和政府相關部門之間無法有效共通共享數據,那么保護數據安全的初衷可能帶來數據無法使用的結局。北京大學國發院副院長黃益平在《應加強而不是削弱平臺經濟創新能力》一文中列舉的,印度新興獨角獸公司數量已經超越中國,成為僅次于美國的第二大國的現象,再次提醒我們,數據生產要素如果沒有利用好,將不利于中國數字經濟發展大局,并最終導致中國平臺企業失去國際競爭力。
那么,到底應該怎么保障數據安全?
事實上,無論是《意見》還是《數據安全法》,指出的方向都是“以發展促安全”,而不是“為安全不發展”。
例如,《意見》強調了要“加強數據資源整合和安全保護”。通讀之下可以看出在安全的基礎上充分運用、從而充分盤活數據資源價值,是對待數據這一生產要素的大方向。
而《數據安全法》第十三條明確發展和數據安全之間的關系是“國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”。第七條也明確,“國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。”
因此,對《意見》、對《數據安全法》的理解,都不應泛化成為不使用數據。
究竟應當如何實現以發展促安全呢?
培育市場、完善制度、發展風險可控的數據、開發共享工具是重點。當然,要系統化實現以發展促安全目標,可能需要成立一個高規格的數據治理委員會,統籌數據政策,包括制定數據生產要素的交易范圍、算法治理和個人信息保護與數據安全等方面的指南;執行數據牌照的申請、審核、發放、限制使用和吊銷,并知道相應數據安全問題的應對措施。
例如,數據安全中的常見問題是數據被泄露或者濫用。這一問題的產生與數據特征分不開。數據作為準公共品的非競爭性和部分排他性等特征,導致數據產品存在價格趨于零和確權難、交易不積極等問題;這讓傳統的先確權再交易的方式不完全適用于數據產品,從而存在數據供給不足的問題。
解決問題的一個途徑,是推動公共數據有序開放共享和安全利用,使數據需求方無需或僅支付成本價格,從而降低交易成本和合規成本。目前,地方層面已在探索出臺公共數據條例。增加更多公共數據,也能讓《數據安全法》第三十二條“任何組織、個人收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據”更容易落地。
又如,隨著移動互聯網和云計算技術的迅猛發展,越來越多的數據在云環境下進行存儲、共享和計算,云環境下的數據安全問題也成為熱點。從技術上解決安全問題,實現“數據可用不可見”,一種思路是采用基于密碼算法及協議的隱私保護技術,另一種思路則是構建可信執行環境(Trusted execution environment,TEE),實現基于硬件安全的內存隔離的安全計算,以解決上述隱私保護計算的實現依賴于大量復雜計算的問題。
再如,數據安全和隱私保護的挑戰中,防止用戶數據被濫用甚至被出售的問題,可以通過推動算法審計來緩解。可以要求平臺明確對不同利益相關方的由算法所體現的利益分配機制,并要求平臺報告對算法訓練和算法評估及選擇中用到的數據來源和質量、算法預測或優化目標、算法使用的技術、算法運行效果等。通過對算法的評估,在風險到來之前對于平臺企業算法的安全性有更全面的掌握。
最后,以發展促數據安全,在激勵機制上,需要有一定的容錯率,但需要從機制上明確相關主體責任,盡量避免數據安全漏洞和風險。不能以保障數據安全為由而固步自封,也不能因鼓勵創新而疏于監管機制建設和模糊責任擔當。只有這樣,才能既發揮數據優勢,又讓中國數字經濟的發展成為國際競爭力的重要體現和保障。
