如何實(shí)現(xiàn)數(shù)據(jù)“可用不可見(jiàn)”的安全目標(biāo)？

范淵

2021年6月10日，《數(shù)據(jù)安全法》經(jīng)十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議通過(guò)，并將于2021年9月1日起施行。本法是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，也是國(guó)家安全領(lǐng)域的一部重要法律。

隨著經(jīng)濟(jì)數(shù)字化、政府?dāng)?shù)字化、企業(yè)數(shù)字化的建設(shè)，數(shù)據(jù)已經(jīng)成為我國(guó)政府和企業(yè)最核心的資產(chǎn)。隨著合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷，數(shù)據(jù)開(kāi)始在企業(yè)與企業(yè)之間、政府與企業(yè)之間以及國(guó)與國(guó)之間流轉(zhuǎn)、融合、使用。

與此同時(shí)，數(shù)據(jù)泄露也成為一大隱患。據(jù)公開(kāi)報(bào)道，2020年全球數(shù)據(jù)泄露的平均損失成本為1145萬(wàn)美元，2019年數(shù)據(jù)泄露事件達(dá)到7098起，涉及151億條數(shù)據(jù)記錄，比2018年增長(zhǎng)284%。

數(shù)據(jù)泄露事件影響大、損失重。數(shù)據(jù)掌控、利用以及保護(hù)能力，既是確保廣大人民群眾在數(shù)字化發(fā)展中獲得更多幸福感、安全感，也是提升國(guó)家競(jìng)爭(zhēng)力的核心要素。

《數(shù)據(jù)安全法》的出臺(tái)標(biāo)志著我國(guó)將數(shù)據(jù)安全保護(hù)的政策要求，通過(guò)法律文本的形式進(jìn)行了明確和強(qiáng)化。

《數(shù)據(jù)安全法》出臺(tái)背景：外力驅(qū)動(dòng)和內(nèi)部需求

先看外力驅(qū)動(dòng)。2018年3月23日，時(shí)任美國(guó)總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》，法案要求對(duì)危害美國(guó)國(guó)家安全的犯罪、嚴(yán)重刑事犯罪等重大案件，無(wú)論服務(wù)提供者的通信、記錄或其他信息是否存儲(chǔ)在美國(guó)境內(nèi)，要求服務(wù)商根據(jù)該法案進(jìn)行調(diào)取并提供相關(guān)證據(jù)。

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）正式實(shí)施。GDPR法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對(duì)數(shù)據(jù)實(shí)施長(zhǎng)臂管理。

目前全球已有近100個(gè)國(guó)家和地區(qū)制定了數(shù)據(jù)安全保護(hù)的法律，數(shù)據(jù)安全保護(hù)專(zhuān)項(xiàng)立法已成為國(guó)際慣例。

歐美國(guó)家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界，將會(huì)直接影響到第三方國(guó)家的主權(quán)。面對(duì)數(shù)據(jù)跨境流動(dòng)愈加頻繁，必須盡快完善我國(guó)相關(guān)法律法規(guī)，保護(hù)我國(guó)國(guó)家利益、跨國(guó)公司以及公民個(gè)人利益。

再看內(nèi)部需求。2020年全球新冠肺炎疫情給經(jīng)濟(jì)帶來(lái)了沉重的打擊，當(dāng)前全球經(jīng)濟(jì)特別是傳統(tǒng)經(jīng)濟(jì)增長(zhǎng)緩慢，迫切需要通過(guò)新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)拉動(dòng)內(nèi)需，增加就業(yè)，而數(shù)字經(jīng)濟(jì)正是切入點(diǎn)和發(fā)動(dòng)機(jī)，國(guó)家將發(fā)展數(shù)字經(jīng)濟(jì)提升到國(guó)家戰(zhàn)略高度也是恰逢其時(shí)。

近年來(lái)數(shù)字經(jīng)濟(jì)增速證明了數(shù)字經(jīng)濟(jì)發(fā)展空間巨大，數(shù)字經(jīng)濟(jì)已成為我國(guó)國(guó)民經(jīng)濟(jì)增長(zhǎng)要素的重要一員。中國(guó)信息通信研究院發(fā)布的《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展白皮書(shū)》數(shù)據(jù)顯示，我國(guó)數(shù)字經(jīng)濟(jì)的總體規(guī)模已從2005年的2.62萬(wàn)億元增長(zhǎng)至2019年的35.84萬(wàn)億元，數(shù)字經(jīng)濟(jì)總體規(guī)模占GDP的比重從2005年的14.2%提升至2019年的36.2%。

《數(shù)據(jù)安全法》正式出臺(tái)之前，國(guó)務(wù)院已發(fā)布多個(gè)相關(guān)政策規(guī)定：2015年發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，2018年發(fā)布《科學(xué)數(shù)據(jù)管理辦法》，2020年發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》。2021年3月12日，《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》發(fā)布。這充分體現(xiàn)了數(shù)據(jù)安全政策導(dǎo)向明確，國(guó)家數(shù)據(jù)戰(zhàn)略清晰。

在此背景下，出臺(tái)《數(shù)據(jù)安全法》，維護(hù)了我國(guó)的數(shù)據(jù)主權(quán)，保障了國(guó)家的安全、促進(jìn)了經(jīng)濟(jì)健康發(fā)展，為中國(guó)數(shù)字經(jīng)濟(jì)的安全發(fā)展保駕護(hù)航。

數(shù)據(jù)安全建設(shè)的幾點(diǎn)建議

作為數(shù)據(jù)安全管理的基本大法，《數(shù)據(jù)安全法》實(shí)施后，單位和個(gè)人收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)數(shù)據(jù)資源，都應(yīng)當(dāng)依法建立健全數(shù)據(jù)安全管理制度，采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全。

未來(lái)如何做好數(shù)據(jù)安全建設(shè)？概括來(lái)說(shuō)，政企在進(jìn)行數(shù)據(jù)安全能力建設(shè)時(shí)，需要考慮數(shù)據(jù)安全、訪問(wèn)控制以及數(shù)據(jù)保護(hù)三個(gè)層面。

數(shù)據(jù)安全的首要目標(biāo)是需要找數(shù)據(jù)在哪里？數(shù)據(jù)的主體是誰(shuí)？訪問(wèn)控制是目前主流的數(shù)據(jù)安全能力之一，首要目標(biāo)是數(shù)據(jù)使用者如何證明具備相應(yīng)的數(shù)據(jù)權(quán)限？數(shù)據(jù)保護(hù)是更高層面的建設(shè)框架，首要目標(biāo)是組織或個(gè)人如何確保數(shù)據(jù)已經(jīng)被保護(hù)好了？

對(duì)于IT和信息安全從業(yè)人員來(lái)說(shuō)，數(shù)據(jù)安全能力建設(shè)是最艱巨的任務(wù)之一。數(shù)據(jù)安全能力的建設(shè)，在業(yè)務(wù)層面，應(yīng)當(dāng)考慮建設(shè)包含預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全體系;在技術(shù)層面，應(yīng)當(dāng)考慮建設(shè)數(shù)據(jù)風(fēng)險(xiǎn)核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護(hù)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力四大核心數(shù)據(jù)能力;最終建立“數(shù)據(jù)安全運(yùn)營(yíng)”的全過(guò)程自適應(yīng)安全支撐能力，直至達(dá)到整體智治的安全目標(biāo)。

第一，建立健全管理組織體系和組織架構(gòu)。企業(yè)數(shù)據(jù)安全管理的成敗，主要取決于主要領(lǐng)導(dǎo)是否重視？意識(shí)是否提升？全員是否參與？是否建立了一套完善的數(shù)據(jù)安全管理組織？這是數(shù)據(jù)安全的重要保障。要形成“管理層重視、一把手負(fù)責(zé)、全員參與”的管理模式。

第二，建立完善的數(shù)據(jù)安全技術(shù)體系和落地。傳統(tǒng)方式已經(jīng)無(wú)法適應(yīng)新時(shí)代數(shù)據(jù)安全需要，面臨安全的新態(tài)勢(shì)、新要求，在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過(guò)智能化管理平臺(tái)，在技術(shù)層面實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)核查（Check）能力、數(shù)據(jù)梳理（Assort）能力、數(shù)據(jù)保護(hù)（Protect）能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）能力四大核心能力的建設(shè)，在業(yè)務(wù)層面，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀全生命周期的管理。

第三，引進(jìn)下一代技術(shù)，實(shí)現(xiàn)流程自動(dòng)化。人工智能和機(jī)器學(xué)習(xí)將是未來(lái)數(shù)據(jù)安全工作的關(guān)鍵，目前，多數(shù)大型企業(yè)正在尋求使某些法規(guī)遵從流程自動(dòng)化，包括數(shù)據(jù)定位和提取。自動(dòng)化是大型企業(yè)保持對(duì)大量存儲(chǔ)在數(shù)據(jù)中心和云中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)兼容的唯一方式。對(duì)于數(shù)據(jù)安全能力建設(shè)較為薄弱的企業(yè)，建議考慮零信任模式作為一種安全策略，有了“零信任”，企業(yè)將著眼于數(shù)據(jù)管理的整個(gè)生命周期，并將關(guān)注點(diǎn)從數(shù)據(jù)安全本身擴(kuò)展到企業(yè)整體信息安全框架。

第四，政府需落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，推動(dòng)政務(wù)數(shù)據(jù)開(kāi)放利用。政務(wù)數(shù)據(jù)安全與開(kāi)發(fā)作為《數(shù)據(jù)安全法》的獨(dú)立章節(jié)，要求我國(guó)政府在落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任的同時(shí)，推動(dòng)政務(wù)數(shù)據(jù)開(kāi)放利用。但是如何才能實(shí)現(xiàn)數(shù)據(jù)要素安全、高效的共享開(kāi)放？數(shù)據(jù)要素市場(chǎng)化與個(gè)人隱私保護(hù)、敏感數(shù)據(jù)使用、數(shù)據(jù)確權(quán)等如何兼顧？可行的方法是通過(guò)引入“數(shù)據(jù)安全島”模式，利用安全計(jì)算沙箱、安全多方計(jì)算、區(qū)塊鏈等技術(shù)，實(shí)現(xiàn)原始數(shù)據(jù)不出本地，只交換計(jì)算結(jié)果，做到數(shù)據(jù)共享的“可用不可見(jiàn)”，解決數(shù)據(jù)信任和隱私保護(hù)、溯源等難題，讓流動(dòng)的數(shù)據(jù)成為驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的新動(dòng)能。

《數(shù)據(jù)安全法》是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后，我國(guó)在數(shù)據(jù)安全立法層面的又一個(gè)重大里程碑，是中國(guó)數(shù)字經(jīng)濟(jì)高速發(fā)展的壓艙石和定海神針。相信隨著《數(shù)據(jù)安全法》的出臺(tái)和落地實(shí)施，數(shù)據(jù)要素安全管控和市場(chǎng)化將同步提升，數(shù)據(jù)資源將會(huì)迸發(fā)出更大的活力，數(shù)字經(jīng)濟(jì)將在“十四五”時(shí)期更加蓬勃發(fā)展。