深认知，强监管，促利用，保安全：数据安全保护体系研究与思考

文丨俞克群 国家信息技术安全研究中心主任

云天百家：中国的网络安全产业经历了多年发展，不断学习和模仿国际先进技术与模式，厚积薄发，已经到了探索独有发展道路的时候。中国的网络安全走向何方，需要众多专家各抒己见。“云天百家”希望为中国网络安全产业的百家争鸣提供一个平台，共同探索未来之路。

数字经济已经成为经济增长的新动力、新引擎和新驱动，深刻地改变人类社会的生产和生活方式。数据是核心生产要素，也是社会运行和治理关键要素，做好数据安全保护工作，关系国计民生，关乎网络空间安全和国家安全。围绕数据保护、流通、共享等规则的话语权已成为世界大国争夺未来发展优势，开展竞争博弈的前沿领域和战略高地。

一、数据的特殊属性及安全保护面临的挑战

与信息系统相比，数据本身具有特殊的属性，从而决定了数据安全保护面临特殊的安全风险。

一是普遍流动。信息系统是静止的，很少发生移动或变动。但数据是流动的，流动是数据的常态，数据因流动而释放价值。数据流动过程中需要加工、处理、复制、共享、传输等一系列具体操作，不仅会在系统内流动，还可能跨系统，甚至跨域的流动，流动路径复杂多样。

二是多种权属。信息系统的权属简单、清晰、明确，但数据权属问题十分复杂。截至目前，数据权属问题仍是业界研究和争论的焦点问题之一，各类数据在权属上时有交叉重叠。比如大规模上云和服务外包场景下的数据所属权、管理权、使用权分离和重叠等。

三是关联延展。信息系统需要关注每一个具体组件的安全风险，任一组件出现安全风险或存在漏洞等都会危及整个系统的安全。但对于数据而言，需要关注的是数据的聚合，数据聚合的信息越多，其关联或延展的价值越大，数据安全风险也会越突出。

四是唯一真实。信息系统可以用不同的架构、设备和流程，通过软硬件的组合实现相同或不同的功能。而数据反映的是特定时空间条件下的真实情况，是唯一且真实的情况，这也是信息系统处理数据的必要条件，否则计算的结果将无法运用。

五是容易复制。信息系统对建设方之外的组织和个人而言难以复制，而数据则完全不同，数据极易被复制。数据容易复制的特点导致数据一旦泄露，其承载的价值信息或被公开、利用，造成难以挽回的损失。

除面临传统的网络安全风险以及攻防对抗的问题之外，数据安全还面临数据违规收集、情报分析难防范以及新技术自身缺陷导致的数据泄露等安全风险。传统的防控理念已难以应对数据安全的需要，现有的防护措施尚无法全面有效地应对数据安全风险。

二、国外数据安全保护体系研究

加强数据安全保护已成为世界主要国家和地区的通行做法和立法工作的重点。据联合国贸易和发展会议统计，截至2020年4月，全球已有130个国家和地区已建立起较为完善的具有自身特色的数据安全监管体系。梳理国外主要国家数据安全保护的主要做法，可以看出重点从以下两个方面实施：一是从政府侧实施监管，欧洲和美国等已建立起较为规范化的制度体系；二是从企业和个人侧实施监管，美国和欧盟对于企业侧监管差别较大，但各俱特色，共同点均重视评估调查。

图 1 面向政府机构欧美数据安全代表性保护体系对比

美国数据监管分为涉密信息、受控非密信息、个人标识信息三大类，监管对象包括所有收集使用个人信息的活动和项目，不限于信息系统；不仅对机构实施监管，同时对为机构提供服务的第三方机构和企业实施监管。对于个人标识信息来说，美国针对政府和企业分别实施数据隐私保护监管，由多个监管部门实施，其中针对政府监管主要通过行政管理和预算局OMB来统筹指导，各部门分别实施的方式来实现的。总的来说，美国是面向政府层面以个人信息保护为代表的监管体系，呈现出法律与政策文件相结合，以统一的标准进行备案公示，核心监管动作步调一致，各部门结合实际严格落实的特色。

图 2 面向企业和机构欧美数据安全代表性保护体系对比

如果说美国面向政府的数据监管体系采用的是评估备案公示事件报告为核心，企业侧则采用的是一事一议的触发式监管工具，强调行业自律和综合执法。行业主管部门包括联邦贸易委员会、联邦通讯委员会、卫生与公共服务部，比较具有代表性的是联邦贸易委员会。触发式的监管工具主要实施调查，调查后与企业签署协议，即和解令。与企业签署协议作为法律规制的有力补充是美国数据监管具体实践的特色之一，有效克服了法律落后于技术和产业发展的不利局面。

英国在数据安全保护实践方面主要采取以下措施：一是加强立法和执法。英国根据GDPR出台新版《数据保护法》并加强执法力度。作为英国数据安全监管领域的执法机构，信息专员办公室依据《数据保护法》维护公民和消费者利益，被赋予调查权、民事处罚权、刑事处罚权以及保护违法行为举报人等权力。2019年，英国航空公司因在2018年泄露约50万名乘客的个人数据被信息专员办公室开出1.83亿英镑巨额罚单（最终罚款2000万英镑）。二是创设监管沙箱计划。作为政府官方实施指导的专用计划，以“使用个人数据开发具有明显公共利益的创新产品和服务的组织”为监管对象，以个人数据（Personal Data）为监管数据对象，以“让产品和服务以创新且安全的方式利用个人数据”为目标，其特色在于在产品和服务的开发设计阶段即可进行指导；非强制性，组织自愿申请；重点面向生物识别、物联网、可穿戴技术等新兴技术领域；以数据保护影响评估(DPIA)为重要评估内容等。

三、关于我国数据安全保护的布局与思考建议

党的十八大以来，以习总书记为核心的党中央全面实施网络强国战略和大数据战略，全力推进数字中国建设，数据安全保护等工作取得了历史性的成就。数据安全保护的顶层架构不断完善，法律法规体系不断夯实，标准指南相继落地，数据有效监管和保护的良好氛围日渐浓厚，同时各地方也在推动相关立法工作，进一步推动我国数据安全保护工作走深走实。

图 3 政策法规与专项行动

国家关于数据安全监管保护的战略布局，充分体现了保护数据安全，保障个人信息合法权益，促进数据合理、有序利用的意志和决心。随着《数据安全法》《个人信息保护》等一批数据安全保护等基础性、支撑性法律法规的相继实施，我国必将迎来数据安全保护的崭新时代。结合当前及今后一个时期的数据安全保护工作实际和需要，笔者建议还应从以下方面加大工作力度。

一是备案。监管层面建立国家统筹的数据运营备案体系，全面准确地握各组织收集、使用数据的详实情况，以利于国家建立数据资产台账，摸清数据资产底数，为更好地开展数据安全保护奠定坚实的基础。

二是评估。建立健全针对数据安全的常态化、体系化的评估机制，在风险评估层面结合数据的特殊属性和风险，从风险识别、管理、影响视角分析，从替代方案角度考虑预防或者处置措施，将数据来源、数据处理活动的目的性和合规性，以及技术安全性等作为评估重点。

三是检查调查。建立完善检查调查机制，预防事件发生和事件发生后的督促整改，对保护措施落实情况的监督指导为目的，明确处罚条件、流程，具有一定效力的协议等关键事项作为法律和政策文件手段的一种补充。

四是事件报告和披露。建立事件报告和披露机制，数据处理者应第一时间向指定机构上报数据安全事件情况，同时鼓励第三方机构、科研院所等积极参与进来，进一步开展追踪溯源，以防止危害扩大化，及时阻断和处理造成的影响，把损失降到最低。

五是安全审查。我国《数据安全法》明确规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行网络安全审查。为此，应进一步明晰“数据从哪里来、数据到哪里去、用来干什么”。安全审查作为重要的监管工具，应有别于评估和检查，特别是在国际博弈的大背景下，对危害国家安全的数据行为，应采取更严格的办法实施。

加强数据保护，同时还要发挥市场化的数据安全认证作用，形成标准引领下的兼具合规性和技术安全性的保护体系。需从产业和技术发展层面支持合规性的自动化处理技术、数据开发利用环节的适应性保护技术、针对不同范围内数据治理的体系化管控技术和大数据环境下的针对性防护技术等的发展和应用。

未来，数据的全局性、基础性和战略性作用将进一步凸显，数据面临的各类安全威胁和风险也将进一步增加。严峻的安全形势也意味着数据安全保护更大的发展机遇，我们需要加强数据安全保护的全方位认知，主动配合国家开展监管行动，服务好国家发展大局，在促进数据开放、共享、加工、利用的前提下，最大限度做好数据安全保护工作，为网络强国建设、数字中国建设提供有力支撑。

声明：本文来自路云天网络安全研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。