《“十四五”国家信息化规划》(以下简称《规划》)的出台,对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。

《规划》重视数据安全发展

《规划》十分重视网络安全和数据安全,不仅在指导思想中提出“统筹发展和安全”,还将“坚持安全和发展并重”作为基本原则之一,强调“树立科学的网络安全观,切实守住网络安全底线,以安全保发展、以发展促安全,推动网络安全与信息化发展协调一致、齐头并进,统筹提升信息化发展水平和网络安全保障能力”。

在《规划》部署的10项重大任务之一“建立高效利用的数据要素资源体系”部分,提出了提升数据资源开发利用水平和加强数据安全保障:

加强数据治理。强化国家数据治理协同,健全数据资源治理制度体系。深化数据资源调查,推进数据标准规范体系建设,制定数据采集、存储、加工、流通、交易、衍生产品等标准规范,提高数据质量和规范性。建立完善数据管理国 家标准体系和数据治理能力评估体系。规范计量数据使用,开展国家计量数据建设和应用试点。聚焦数据管理、共享开放、数据应用、授权许可、安全和隐私保护、风险管控等方面,探索多主体协同治理机制。

强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用。强化平台企业数据安全保护责任。加强数据交易安全管理与监督保障,强化执法能力建设,严厉打击窃取或者以其他非法方式获取、非法出售或者非法向他人提供数据行为。建立健全数据出境安全管理制度,开展数据出境安全评估试点。

在十七项重点工程中,两项重点工程重点提及数据安全相关工作:

全国一体化大数据中心体系建设工程:建设基础网络、数据中心、云、数据、应用等一体协同的安全保障体系。开展通信网络安全防护,研究完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、 数据加密保护机制及相关技术检测手段。

数据要素市场培育工程:建立健全数据有效流动制度体系。加快建立数据资源产权、 交易流通、跨境传输和安全保护等基础制度和标准规范。探索建立统一规范的数据管理制度,制定数据登记、评估、定价、交易跟踪和安全审查机制。

从《规划》看数据安全未来重点发展机遇

2020年我国数字经济规模达到39.2万亿元,占GDP 比重达38.6%(数据来源:《中国互联网发展报告 2021》)。新业态新技术在推动经济转型升级的同时,数据规模不断扩大,数据泄露、滥用等风险日益凸显,防范数据安全风险、构建数据安全保护体系成为各方共识。

没有数据安全就没有国家安全,数据安全风险日益成为影响网络安全甚至国家安全的重要因素。信息化、数字化对经济社会和国家治理有着深远的影响。在过去传统的农业社会里,土地是最重要的战略资源。到了工业社会,石油成为最重要的战略资源。现在进入数字时代,数据就成为最重要的战略资源,特别是通过大数据、云计算等工具,数据能够产生极大的效益。未来的前景在于数据本身从资源变成资产的价值化过程,这个过程中,数据确权、数据安全保障等给网络安全带来新的任务。在数据确权方面,运用区块链技术进行数据资产登记后,还涉及到侵权行为的取证,这方面需要如隐写、加密、认证等技术的结合和创新;在数据安全保障方面,网络安全企业应当积极参与国家制度体系建设,在数据安全相关的法律法规、标准规范制定时多多献计献策;在数据安全技术方面,以数据为核心,围绕数据要素在全生命周期中的安全需求,对数据实施识别、变形、标记、计算等操作的技术集合,包括采集阶段的数据识别、分类分级标记,存储与应用阶段的加密、脱敏、去标识化,以及共享流通阶段的隐私计算、数据水印等技术实现数据安全保护、安全检测/监测、隐私保护、追踪溯源等应用场景下的数据安全功能。

在对《规划》进行学习后,结合我国数据安全发展现状,梳理了几点数据安全未来发展重点,以供各方参考:

(一)完善数据治理,提升数据要素质量

数据治理是释放数据价值的首要环节,准确及时、完整一致的数据资源是数据要素价值释放的重要前提。随着数字经济发展,当今社会的数据量越来越大,但数据价值密度的高低与数据总量的大小一般成反比,数据价值密度越高,数据总量越小;数据价值密度越低,数据总量越大。任何有价值的信息的提取依托的都是海量的基础数据。大数据时代,由于不再拘泥于特定的数据收集模式,数据类型之多使数据来自多维空间,各种非结构化的数据和结构化数据混杂在一起,造成了数据质量低下。高质量的数据应具有准确性、完整性、一致性、及时性。如何通过数据治理更科学的提高数据质量、利用开发数据,将数据价值应用于数字经济领域,是未来数据安全发展的一项重要工作。

(二)实现数据安全流通,激活数据要素价值

从数据自身的特征——瞬时性、价值的低密度性以及复用性,以及数字经济——特别是人工智能经济发展的长期需求看,数据必须得以安全高效的流通和复用才能地更好实现数据的价值挖掘与创新,才能真正推动数字经济的高质量发展。数据保护不是最终目的,只是经由高水平的数据保护推动高效能的数据共享,实现数据价值的再挖掘、数据技术的再创新,以更高的数据利用促进数字经济更快更好更安全的发展,加快数字经济向更高阶的人工智能经济的升级,最终实现人类经济社会的奇点式发展。

人们对数据流通内涵理解不一致,特别是组织单位的数据政策制定者在理解上存在差异,也导致数据流通难度大。同时社会机构面向政府开放的数据也非常有限,企业与企业之间的数据共享更是处于“冰冻状态”。

应综合应用安全计算沙箱,联邦学习,区块链,密文计算等多种前沿技术,配合关键行为数字验签和全业务流程追踪审计技术,实现共享数据的所有权和使用权分离,确保原始数据的“可用不可见”,保障数据共享交换过程的可靠、可控和可溯。

数据流通场景示例

(三)构建数据安全保障体系,防范数据安全风险

安恒信息首席科学家刘博曾提出,企业和机构需要考虑建设体系化的数据安全能力,重视数据安全的体系规划。建议从“管理、技术、运营”三个维度开展,建立相应的管理体系、技术保障以及常态化的数据安全运营,以实现利用数据安全技术更好地开展业务。

AiGuard数据安全保护体系框架逻辑图

1) 建立健全管理体系

数据安全管理的成败,主要取决主要领导是否重视?意识是否提升?全员是否参与?是否建立了一套完善数据安全管理体系?

为更好的制定和执行数据安全相关要求,需要设计成立数据安全组织,按照“边界分明、权责清晰”原则进一步明确数据安全各相关方职责,形成部门横向协同有力的工作机制。

数据安全组织架构图

同时应当配套建设相关的数据安全管理制度和规范,以支撑本单位的数据安全治理工作。相关数据安全管理制度和规范可以参考以下几个方面:

表1 数据安全制度文件示例

文件分级

定义

适用范围

管理/使用对象

示例

一级文件

纲领性文件

全公司

不针对具体单位或人,是安全管理的纲领性文件

《数据安全管理制度》

二级文件

流程性文件

全公司

以业务流程为主线,按照安全域划分

《数据分类分级管理办法》

三级文件

作业指导书

一级部门、直属公司等

管理对象是人,按照角色划分。实现一个角色,一件事,只对应一个文件

《数据安全违规行为处罚细则》

四级文件

记录

各业务部门

不单独成文,根据需要随时发布

《敏感数据资产台帐》

2) 建立完善的数据安全技术体系和落地

同时,对于掌握100万用户个人信息的网络平台运营者而言,由于历史数据的累计,导致数据安全治理以及数据安全合规是一项繁重而庞杂的工作。

在继续做好业务安全的基础之上,通过建设智能化数据安全管理平台,以实现相关数据安全治理流程的自动化。在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力4大核心能力的建设,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理,最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。

3) 建立常态化的数据安全运营体系

常态化的数据安全运营是对企业数据安全能力建设成果是否具备持续生命力的有效支撑,是企业是否持续合规的最有效的保障。在整体安全运营中,通过对安全组织、制度、技术、培训、检查、合规等各子模块的不断研究、建设、服务和优化,形成一个完整的循环体系,以全面提升企业数据安全管理能力,常态化的满足数据合规要求。

安全运营示例

(本文作者:安恒信息副总裁、首席网信专家 魏晓雷,高级产品经理 郭志攀)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。