“数据是21世纪的石油。”海量的数据资源与流动规模推动数字经济的蓬勃发展,也带来巨大的安全隐患。从个人隐私防护到国家关键数据信息保护,数据安全已成为数字经济时代最紧迫、最基础的安全问题,加强数据安全治理已成为维护国家安全和国家竞争力的战略要求。
习主席强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”今年9月1日起施行的《中华人民共和国数据安全法》是我国首部独立将数据作为保护对象的基础性法律,该法与网络安全法以及即将施行的个人信息保护法一起,搭建起我国数据安全治理与保护的“四梁八柱”。
从“附加题”到“必答题”
法制体系撑起数据安全的“防护罩”
刷脸支付、刷脸过闸机……人脸识别技术的商业化应用越来越普遍,在给人们日常生活带来便捷的同时,背后的安全风险也不容忽视。今年央视“3·15”晚会曝光,部分门店通过布局人脸识别摄像头,在未告知消费者的情况下采集人脸信息,以此对客户进行分类,进而采取不同的营销策略精准促销。
不断进步与创新的科学技术本身是无害的,但若缺乏完善的制度与强有力的监管,就会越过边界带来危害。与有形的资产相比,规模不断扩大的无形数据更易陷入“灰色地带”。今年7月,在第二十届中国互联网大会数据安全论坛上,中国信息通信研究院安全所信息安全部主任魏薇表示,据统计,2020年全球数据泄露的数量已经超过过去15年的总和,数据安全风险的影响范围从个人、企业逐步辐射到产业甚至国家,问题非常突出。
数字经济的“巨轮”行稳致远,离不开数据安全这块“压舱石”,近年来,国家相关领域法律法规相继出台。2018年9月,全国人大常委会将数据安全法列入立法规划;2020年6月,初稿提交全国人大常委会审议;2021年6月,最终稿表决通过;9月1日,数据安全法正式施行。这部法律的出台,为国家重要数据保护和各行业数据安全监管提供了依据,标志着我国在数据安全领域有法可依。
数据安全法的亮点之一就是建立数据分类分级保护制度,“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”其中,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
专家认为,作为该领域的基础性法律,数据安全法从顶层设计的角度提出数据分类分级,成为今后维持数据保护和利用之间平衡的一个重要依据,为细化政务数据、企业数据、工业数据和个人数据的保护措施奠定法律基础。未来将对数据全生命周期状态进行梳理,根据不同的数据敏感等级以及数据使用状态,统筹规划相应数据保护策略,确保数据安全全程可控。
“可用不可见”
推动关键技术创新自主可控
早在20世纪80年代,中国科学院院士姚期智曾提出一个著名的“百万富翁”设想:两位百万富翁在街头相遇,他们想比一比谁更有钱,但是出于隐私,都不想让对方知道自己到底拥有多少财富。如何在不借助第三方力量的情况下,让他们知道谁更有钱?
这个看似无解的难题,反映了数据使用权和所有权之间的矛盾。经过近40年的发展,由这个设想搭建的理论框架逐步变为现实,使用加密处理、多方计算等方法来处理用户隐私数据的计算方式——隐私计算,助力实现数据“可用不可见”,目前已应用于政务服务、金融、医疗等领域。
数据安全防护关键技术是数据安全和隐私保护的基础。从软件到硬件,从互联网边界到内部,从事先防范到事后追溯,数据安全防护的全流程和全领域都离不开关键技术的应用与突破。
走进超市,进口冰激凌、奶酪等销售专区都贴上了“北京冷链”专属二维码。消费者扫描二维码,可以查询进口冷链食品的质量安全和产品追溯信息,入境货物检验检疫证明、核酸检测报告、消毒信息等内容一目了然,为新冠肺炎疫情常态化防控增添一重保障。
今年1月,北京市开始发放首套电子印章。新开办企业在获得电子执照的同时,可以免费获得包括法定名称章、发票专用章、财务专用章等在内的一套电子印章,与实物印章具有同等法律效力,实现签章应用信息可查、可控、可追溯。
这些场景的应用都依托国内首个自主可控区块链技术体系——“长安链”,目前支持食品安全链、电子印章、碳交易等200余个应用场景。值得一提的是,“长安链”已实现软硬件全部由国内自主研发。
数据安全产品的核心技术是数据安全的“砝码”。数据安全法的正式施行,有利于推动数据安全防护技术的研究和应用,推动数据基础设施的基础软件自主可控,拿出数据安全的中国方案。
从安全产品的简单堆砌到数据安全的全流程治理,从提供产品到提供服务,不仅需要技术手段创新,更离不开专业化技术人才队伍。统计显示,未来10年间我国信息安全人才总需求量为140万人,而当前人工智能、密码学等相关领域高校毕业生仅3万余人,人才缺口高达98%。近年来,我国各部门正通过设立相关学科与研究院、开展培训考核、建设大数据安全人才培养基地等方式,加强数据安全人才队伍建设。
行业风口已现
我国数据安全产业链初步形成
如果将数据安全治理手段组合成金字塔状的稳定结构,相关领域的法律法规就像塔尖,从顶层设计的角度对应用数据要素的各项行为加以规范;不断突破和创新的关键技术可以实现数据全生命周期的防护,为数据搭建起完备坚固的“金钟罩”;作为金字塔最坚实、面积最大的地基,则应是数据安全的产业基础。
“加强数据安全的意义是让数据要素在全生命周期得到保护,最终实现价值变现,促进数字经济健康发展。”不少专家表示,没有安全健康的产业基础作为支撑,数据要素和数字经济就是空中楼阁,数据安全就失去了依托。
数据资源的价值通过数据的流通与交易实现,这是数字经济发展的基础。而在此过程中,数据使用又必须明确数据保护的责任,特别是对个人信息的保护。为此,数据安全法将数据安全与发展放在同等重要的位置:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”
近年间,企业数据安全产品和解决方案在行业场景和新基建中的应用不断落地,数据安全防护在政务、金融、交通、医疗等各行各业都逐渐得到广泛应用。
2018年,贵州省贵阳经济技术开发区创建全国首个“大数据安全认证示范区”,截至2020年,全区已聚集大数据安全企业和相关机构约120家,初步构建起产业发展生态体系。工业和信息化部数据显示,到2023年,我国网络安全产业规模将超过2500亿元,年复合增长率超过15%。
可见,我国数据安全产业链已初步形成,随着数据安全法的颁布实施,产业链将朝着更高阶段迈进。专家认为,这势必要求打通数据孤岛,构筑开放、公正、安全、合作的产业生态,促进数字经济健康发展。