俞克群：数据安全保护体系研究与思考

文丨俞克群 国家信息技术安全研究中心主任

一、 数据安全保护的特殊性及挑战

围绕数据保护、流通、共享等规则的话语权成为大国博弈的重要领域。数据作为网络数据时代的核心生产要素，通过个人、企业、政府掌握的数据量反映出其在网络空间中的影响力，掌握的量越大对数据控制能力越强，从而映射到现实社会中的安全问题，发挥更多价值。

数据安全保护区别于信息系统保护要求，针对信息系统或信息处理系统数据本身的特殊属性有五点。

一是普遍流动。数据本身是流动的，流动过程中需要加工、处理、复制等操作，会产生大量不同传播路径。

二是多种权属。各类数据在从权属上仍有交叉重叠，比如大规模上云和服务外包场景下的所属权、管理权、使用权分离和重叠。

三是关联延展。信息系统每一个组件关联性和延展性越多，数据聚合价值越高，体现在关键属性和关联关系上，密度体现在关系关联的层次多管。

四是唯一真实。可以用不同的架构、设备和流程，通过软件去实现某个功能信息系统，而数据是反映某一时间和空间条件下真实情况且唯一情况，具有相对唯一性和相对真实性，这也是信息系统处理数据的一个条件，否则计算的结果将无法运用。

五是容易复制。信息系统对建设方之外的组织和个人是难以复制的，我构造一个系统有我的思路和方法，从理论上来说我们的相似性还是存在的，数据容易复制这个特性带来一个挑战，数据一旦泄露代表着我们的价值被别人掌握，情况完全暴露，损失是难以挽回的。

除了传统的网络安全以及攻防对抗的问题，数据安全方面还面临数据违规收集和情报分析难以防范等问题。现在获取数据的手段很多，多手段挖掘信息、登记、申报、各类的活动暴露了大量信息，以及新技术自身缺陷导致的数据泄露。传统的防控理念难以应对数据泄露的风险，现有的防护措施还没有对这方面提出足够的保障。

二、 国外数据安全保护体系研究与启示

根据联合国贸易和发展会统计，截至2020年4月，全球共有130多个国家和地区制定了数据和隐私保护的法律，世界各国都在加强保护立法工作。国外主要国家对数据安全保护体系的一些做法，可以从两个层面来看，一是政府侧，欧洲和美国对政府侧的监管相对来说比较规范化；二是企业和个人侧，美国和欧盟对于企业侧监管差别还是比较大的，各有特色，共同点是做评估调查。

图1 面向政府机构欧美数据安全代表性保护体系对比

美国数据监管分为涉密信息、受控非密信息、个人标识信息三大类，监管对象不仅仅是信息系统，包括所有收集使用个人信息的活动和项目，不仅仅是对机构的监管，也包括为机构提供服务的第三方服务商和企业。对于个人标识信息来说，美国针对政府和企业分别实施数据隐私保护监管，由多个监管部门实施，其中针对政府监管是通过行政管理和预算局OMB来统筹指导，各部门分别实施的方式来实现的。总的来说，美国是面向政府层面以个人信息保护为代表的监管体系特色，法律与政策文件相结合，以统一的标准进行备案公示，核心监管动作步调一致，各部门结合实际严格落实。

图2 面向企业和机构欧美数据安全代表性保护体系对比

如果说美国面向政府的数据监管体系采用的是评估备案公示事件报告为核心，企业侧则采用的是一事一议触发式监管工具，强调行业自立和综合执法，行业主管部门包括联邦贸易委员会、联邦通讯委员会、卫生与公共服务服务部，比较具有代表性的是联邦贸易委员会FTC，触发式的监管工具主要实施是调查，调查后与企业签署协议，也叫和解令。与企业签署协议作为法律规制细节覆盖不到的有力补充，这是美国实践中的一个特色，可以有效克服法律落后于技术和产业发展。

英国在数据安全的落地实践的特点，一个是根据GDPR出台了数据保护法，信息专员办公室ICO是英国数据安全监管领域的执法机构，依据英国数据保护法，其有权维护公民和消费者利益，包括调查权、民事处罚权、刑事处罚权以及保护违法行为举报人。比如2019年，对英国航空公司因在2018年泄露约50万名乘客的个人数据开出1.83亿英镑巨额罚单(最终罚款2000万英镑)。二是创设了监管沙箱计划，以“使用个人数据开发具有明显公共利益的创新产品和服务的组织”为监管对象，以个人数据为监管数据对象，以“让产品和服务以创新且安全的方式利用个人数据”为目标，政府官方实施指导的专用计划，其特色在于在产品和服务的开发设计阶段即可进行指导；非强制性，组织自愿申请；重点面向生物识别、物联网、可穿戴技术等新兴技术领域；以数据保护影响评估(DPIA)为重要评估内容等。

三、 我国数据安全保护布局与思考建议

我国在数据安全方面制定了系列的法律法规和政策文件，逐步完善顶层设计；开展了违法违规收集使用个人信息专项治理行动，为数据有效监管和个人数据保护提供了依据，全面构建数据安全领域的顶层架构；各地方也在推动相关立法工作，比如深圳数据条例；国家正在制定在技术方面落地实施的标准，涉及到数据安全、个人信息保护、移动智能终端等等方面展开。

图3 政策法规与专项行动

国家在数据安全监管保护的战略布局，体现了国家对保障数据安全和加强个人信息保护的意志和决心。

一是备案。监管层面建立国家统筹的数据运营备案体系，掌握各组织收集使用数据的情况，有利于我国建立数据资产台账，摸清数据资产底数，采取进一步规划和行动。

二是评估。建立健全针对数据安全的常态化和体系化的评估机制，在风险评估层面结合数据的特殊属性和风险，从风险识别和管理影响的视角去分析，从替代方案角度考虑预防或者防止措施，数据来源和数据处理活动的目的性和合规性，以及处理技术安全性等作为评估的重点。

三是检查调查。建立完善检查调查机制，预防事件发生和事件发生后的督促整改，对保护措施落实情况的监督指导为目的，明确处罚条件、流程，具有一定效力的协议等关键事项作为法律和政策文件手段的一种补充。

四是事件报告和披露。建立事件报告和披露机制，数据处理者应第一时间向指定机构上报数据安全事件情况，保证数据认定和可能发生事件，鼓励第三方机构科研院所参与进来，进一步开展追踪溯源，防止危害扩大化，在造成更大范围影响之前进行阻断和处理，有利于主管部门及时掌握情况，把损失降到最低。

五是数据安全审查。网络安全法明确规定，国家建立数据安全审查制度对影响或者可能影响国家安全的数据处理活动进行网络安全审查。在保护层面，我们要搞清楚数据从哪里来和拿出去干什么，涉及到数据保护的点。数据采集国家已经制订了多部法规，也有相应检查制度，但还有很多工作要深化，比如数据分级分类具体规则还没有出台，影响技术层面具体落实。

加强数据保护，同时发挥市场化的数据安全认证作用，形成标准引领下的兼具合规性和技术安全性的保护体系。从产业和技术发展层面，一是希望支撑合规性的自动化处理技术，二是数据开发利用环节的适应性保护技术，三是针对不同范围内数据治理的体系化管控技术，四是大数据环境下的针对性防护技术。

数据全局性基础性和战略性将进一步凸显，围绕数据基础的信息安全威胁风险将进一步加强，严峻的安全形势也面临更大的发展机遇，我们需要加强对数据安全保护全方位认识，配合国家开展系列监管行动，服务好国家战略发展大局，在促进数据开放、共享、加工利用的前提下，最大限度保障重要数据、核心数据的安全和人民群众的利益。归结为几点就是：深认知，强监管，促利用，保安全。

声明：本文来自路云天网络安全研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。