引言
在数字化浪潮席卷全球的当下,数据已成为关键生产要素,深度融入经济社会发展的各个领域。2020年,国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据确立为新型生产要素。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确指出,“要建立健全数据要素市场规则体系,加快构建数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。”自2023年3月国家数据局正式成立以来,先后发布《“数据要素×”三年行动计划(2024—2026年)》《可信数据空间发展行动计划(2024—2028年)》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》等重要文件,旨在持续优化数据流通安全治理机制,推动数据要素合规高效流通,加速数据要素市场化、价值化进程。破解流通困局、筑牢安全防线、促进跨主体数据融合应用,充分释放数据价值,是统筹数据发展与安全的核心要求。必须将安全治理置于突出位置,助力数据经济高质量发展。
01 数据安全治理现状
数据安全治理作为数字经济时代的核心议题,需从合规驱动、风险管控、主动防御、价值释放等维度统筹推进制度创新、技术突破与实践落地。
第一,全球数据安全治理法规日益完善,逐步向合规落地推进。一是国际政策显现差异化与竞争性。欧盟以《通用数据保护条例》为核心,强调“个人数据主权”,要求数据控制者承担严格责任,并通过“数据本地化”限制跨境流动;美国主张数据自由流动,通过《澄清境外数据合法使用法案》强化企业合规义务;俄罗斯、印度等国家从发展本国技术和产业、维护国家安全的考量出发,实行相对保守的数据跨境流动政策,探索本土化数据治理路径。二是我国已形成《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》“三法两条例”框架,明确了数据分类分级、安全评估、跨境流动等制度,为数据的合法收集、安全存储、规范使用、有序流动提供了全方位的法律保障,助力数据要素价值充分释放。此外,地方实践创新涌现,江苏率先推出全国首个省级可信数据空间方案,通过“两级主体、分级授权”模式规范公共数据运营,平衡开放与安全;深圳、天津等地探索地方性数据条例,强化数据流动监管。
第二,风险管控趋于技术融合、智能监测、跨域协作,以应对日益复杂的安全威胁。一是国内外均强调人工智能技术在风险监测中的核心作用,如深度学习模型用于异常检测,自动化响应系统实现威胁处置的“秒级响应”。二是国际研究注重多维度监测,涵盖网络流量、主机、应用程序等全层面数据,并结合威胁情报分析提升预警准确性。如美国企业通过整合威胁情报平台(如MITRE ATT&CK框架),实现攻击模式的动态识别。三是国内研究聚焦于系统框架设计与技术应用,如基于日志分析、异常行为检测的系统模型,结合数据挖掘技术实现威胁识别,同时强调动态风险评估与快速响应,如通过构建风险评估指标体系,结合定量与定性分析,实现风险等级划分。
第三,全球主动防御手段逐渐从单一行为分析向多维度协同防御体系演进。一是国际研究移动目标防御技术,通过动态改变网络配置(如IP地址、服务端口)迷惑攻击者,美国“爱因斯坦计划”第三阶段已实现自动化入侵防御;研究零信任架构,基于“永不信任,持续验证”原则,结合微隔离和动态访问控制技术,成为主流防御框架。二是国内厂商如华为,提供集成防火墙、审计和加密技术的云数据库安全服务,覆盖结构化数据全流程防护;方滨兴院士团队提出“护卫模式”,通过设陷探查、关联研判和协同拦截实现主动防御,成功应用于冬奥会等重大活动保障。
第四,从封闭管控转向“安全可控—价值释放”,助力全球数字经济发展。一是各国在加快构建自身数据跨境流动规则的同时,也在积极探索数据流通合作模式。例如,美国与欧盟发布《欧盟—美国数据隐私框架》,达成“隐私盾2.0”协议框架;与英国通过“数据桥”实现数据流通,欧盟利用“数据空间”计划推动工业数据共享,并与新加坡签订《数据流动协议》,简化合规流程。二是我国陆续出台《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南》和《促进和规范数据跨境流动规定》等制度,为各部门、行业、数据主体对个人信息及重要数据的跨境传输提供了实践路径。此外,国内通过加速建设公共数据授权运营与数据交易所,推动数据要素市场化改革。
02 痛点问题剖析
当前我国数据安全治理在合规保障、风险管控、主动防御、全球化治理等方面面临诸多挑战,制约着数据要素市场化进程。
第一,合规治理成本高、情况复杂、规范性不足。一是合规治理成本与时效矛盾凸显。高标准的合规性要求企业在数据采集、存储、处理和使用等环节严格遵循复杂的法律法规,导致合规评估过程复杂、耗时,评估周期冗长,合规成本居高不下,严重延缓数据从原始资源到生产要素的转化时效,企业可能会减少数据共享和流通,限制数据的使用场景和范围,进而抑制数据作为生产要素的流动性。二是合规要求标准因行业不同呈现碎片化特征。例如,金融行业需应对高频交易场景下的实时防护需求,制造业更关注工业控制系统数据的完整性保护。碎片化特征使得通用型合规框架难以落地,形成“千行千面”的治理困境。三是合规评估体系化、规范性不足。各行业缺少数据流通合规评估系统技术要求等技术标准,缺乏对数据加密强度、去标识化程度的量化评估指标。第三方评估机构的能力参差不齐,部分机构缺乏对行业特定场景的深入理解,合规报告形式化严重。
第二,安全事件频发、风险复杂多样、行业差异显著。一是数据泄露事件频发。例如,某国内咨询公司608万余条用户信息(含姓名、邮箱等)遭非法售卖,伊朗3600条关键基础设施和战略位置数据(含地址、图片等)在暗网流通。二是合规风险叠加安全威胁。企业在进行数据处理活动时,可能存在不符合国家法律法规的行为,产生合规风险。如在数据跨境传输场景中,企业一般要求不对传输具体内容进行分析,可能非法夹带重要数据或敏感数据出境,危害国家或行业的发展。三是新兴技术催生复杂风险场景。人工智能、量子计算、6G通信等新技术推动数据应用创新,但伴随的新型攻击手段(如深度伪造、量子计算破解加密算法)和数据滥用模式,增加了安全风险危害程度,迫使企业采取过度保守策略,抑制数据流通效能。四是行业安全风险差异显著。例如,金融领域高频交易数据易遭定向窃取,政务系统敏感信息面临高级持续性威胁(APT)攻击,医疗数据则需重点防范内部人员违规访问。
第三,主动防御不够高效、协同能力不足、技术能力需持续提升。一是现有技术难以兼顾安全与效率。例如,零信任架构的高资源消耗、隐私计算的低算力支持等技术瓶颈,阻碍了数据要素市场化进程。过度强调安全防护(如高强度加密、严格访问控制等)必然导致数据使用受限、计算性能损耗,削弱其生产要素属性;而片面追求开发利用效率,又会引发隐私泄露、数据滥用等风险,损害长期价值。二是技术架构与工具体系因行业不同存在结构性矛盾。传统医疗信息系统与工业物联网在数据协议、存储架构上的异构性,导致跨行业数据共享需高昂的协议转换成本;安全工具碎片化亦加剧统一管理难度。三是安全技术能力难以满足实际需求。对人工智能生成内容(AIGC)的版权归属争议、量子计算对传统加密算法的威胁等新兴风险尚未形成有效防护机制,新场景引入的新型风险防护能力不足。在工业级加密通信协议等领域的自主研发能力难以满足低空经济等新兴场景的定制化需求,安全能力的场景适配能力弱。
第四,全球化数据安全治理规则难协调、监管难度大、整体防护有待加强。一是全球规则协调困境凸显。数据主权与跨境流动成为地缘政治博弈焦点,各国基于主权安全、产业发展等多元目标,构建差异化数据跨境流动规则体系,规则冲突性导致跨境数据流动面临合法性困境,削弱全球数据要素市场协同效应。二是数据跨境流动监管难度大。数据跨境流动深植于国际贸易和交往互动中,涉及多方参与,数据跨境行为隐蔽性高。数据跨境量级庞大、格式混杂且价值不同,分类监管困难。三是数据跨境安全防护能力不足。国内各行业对数据跨境风险认知不够全面和深入,数据流转的实时变化增加风险判定难度等问题制约着安全防护能力部署的完备性。脱敏、加密等通用安全技术的缺失或低效,将加剧数据在跨境传输过程中被泄露的风险。当前,数据跨境安全防护聚焦于基于流量分析的违规传输行为检测,且缺少行业标杆案例,整体安全防护能力需进一步提升。
03
发展建议与未来展望
数据安全治理需遵循以数据为中心、多元化主体共同参与、兼顾发展与安全等数据安全治理原则,以满足合规要求、治理数据安全风险、促进数据要素价值释放为目标[1],构建系统性、动态化、前瞻性的数据安全治理框架。面对当前存在的痛点问题,亟需通过制度重构、技术创新与生态协同的深度融合,破解安全与发展的二元对立,实现数据要素价值的高效释放。
第一,建立权责明晰的多元共治体系。政府应主导构建跨部门、跨区域的协同机制,明确数据提供方、处理方、使用方在数据全生命周期中的责任边界,通过立法完善数据主权界定与流转规则。企业需健全覆盖数据采集、存储、处理、共享的全流程安全管理体系,将安全能力深度嵌入业务流程。行业组织应制定跨领域技术标准与安全互认机制,降低异质性场景下的协作成本。公众参与方面,需强化数据主体权利保障机制,建立透明化的知情同意与异议申诉通道,形成政府监管、企业履责、行业自律、公众监督的立体化治理格局。
第二,推动静态合规向动态治理转型。一是推进监管科技应用,加速对现行法律法规进行系统性分析,提炼数据处理的关键环节合规性指标,构建完备的策略定义空间,引入策略定义语言(Policy Definition Language, PDL)实现策略的动态更新和灵活定制,利用人工智能等技术实现智能化合规评估,显著提升合规治理效能。二是建立“风险分级—场景分类—主体分层”的三维评估模型,针对金融、医疗等高敏感行业实施穿透式监管,对中小微企业提供轻量化合规工具包;完善数据分类分级制度,细化重要数据与核心数据的识别标准,构建差异化的安全防护策略。
第三,建立新型风险应对范式。一是构建威胁情报共享平台,整合多方安全数据资源,提升对勒索攻击、APT攻击等高级威胁的协同防御能力。二是强化人工智能等新技术在漏洞检测、风险监测、态势感知等研究方向的技术攻关。三是完善数据安全事件应急响应体系,建立覆盖监测预警、溯源分析、损失评估的全链条处置机制,明确各环节责任主体与响应时限。四是推动安全技术与保险金融融合创新,开发数据安全责任险等风险对冲工具,形成市场化风险分散机制,降低企业安全投入成本。
第四,构建轻量化、高安全的主动防御体系。一是加强数据加密、数据脱敏、数据合成、数据溯源等技术攻关,攻克瓶颈问题,优化安全原子能力,降低防御手段的性能损耗。二是综合运用动态访问控制、隐私计算[2-3]、区块链[4-5]、可信数据空间等技术,构建可信数据流通基础设施,保证数据的身份可信、存储可信、计算可信、传输可信,规避数据隐私泄露、违规滥用等风险,为各类数据流通行为提供底层环境支撑。三是针对量子计算、人工智能等新兴技术带来的安全威胁,前瞻布局抗量子密码算法、深度伪造检测等防御技术研发,应对技术演进带来的安全挑战。四是挖掘高价值场景,加速推进数据安全精细化治理。选择适配的技术系统,采用低成本、轻量化技术方案并持续迭代,推动数据安全治理在重点行业和典型场景的应用示范。
第五,强化面向全球化的数据安全治理建设,推动数字产业国际化发展。一是积极参与国际规则制定,推动建立包容性数据流动机制。对内健全数据要素市场化配置体系,完善数据交易平台功能,培育数据资产评估、合规审计等配套服务。对外深化数字基础设施互联互通,倡导建立基于互认原则的跨境数据流通圈,探索建立区域性数据流通协定框架,通过“白名单”认证与风险评估机制,平衡数据自由流动与国家安全诉求。通过双边、多边合作机制,探索数据主权协商、司法协助等制度创新,逐步破解规则碎片化困局。二是完善数据跨境安全防护能力建设。持续深入探索数据跨境风险,形成并完善行业数据跨境安全风险库,辅助防护能力建设。强化数据跨境全层级、全链条防护,在基础设施层,提升数据中心、智算中心、国际镜像站、路由器等硬件设备,系统、平台等软件以及传输网络等本身安全性;在传输层,针对数据敏感程度,制定差异化安全传输机制;在应用层,数据提供企业和数据接收企业需强化身份认证、权限分级等机制。
展望未来,数据安全治理应以高水平的法治体系为根基,以系统化、产业化、市场化、国际化为四维支撑,构建技术攻关、产品创新、生态培育、规则协同的“四梁八柱”。要坚持多维协同治理理念,在核心技术攻关、产品服务升级、产业生态构建、国际规则对接等关键领域系统推进,护航数据要素安全有序流动。通过体系化建设,可形成数据安全治理的“中国方案”,为数字经济高质量发展筑牢安全屏障,为中国式现代化进程注入强劲动能,推动实现安全与发展并重的战略目标。
04 参考文献
[1] 数据安全推进计划.数据安全治理实践指南(4.0)[R].北京:中国通信标准化协会大数据技术标准推进委员会, 2024
[2] NIKOLAJ Volgushev, MALTE Schwarzkopf, BEN Getchell, et al.Conclave: secure multi-party computation on big data[J].EuroSys, 2019
[3] YUAN Boshi , YANG Shixuan , ZHANG Yongxiang, et al.MD-ML: super fast privacy-preserving machine learning for malicious security with a dishonest majority[J].USENIX Security,2024
[4] ZHANG Jianting,CHEN Wuhui,LUO Sifu,et al. Front-running Attack in Sharded Blockchains and Fair Cross-shard Consensus[J].NDSS, 2024
[5] HUANG H,LIN Y,ZHANG Z,et al.Account Migration across Blockchain Shards using Fine-tuned Lock Mechanism[C]//IEEE INFOCOM, 2024
温馨提示
如您需要引用本文,参考文献写法为:叶晓煜, 聂晓帆. 数据安全治理体系思考与展望[J]. 信息通信技术, 2025, 19(01):4-7
声明:本文来自中国联通研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
