当前，我国全面步入数字经济时代，经济由高速增长转向高质量发展。国研中心相关数据表明，2022年我国数字经济规模超过50万亿，占GDP比重超过40%，继续保持在10%的高位增长速度，成为稳定经济增长的关键动力。

(资料图片仅供参考)

随着数字经济的高速发展和移动互联网的普及，数据成为了一种基本生产要素和国家核心战略资源，数据已无所不包，应用无处不在。数据安全和个人信息保护由此成了事关国家安全、经济社会发展和个人切身利益的重大问题。

3月28日，由中国网络安全产业联盟主办的2023年CCIA网络安全技术应用专题研讨会在北京召开。来自学界、研究机构、数据安全服务商、产业界的代表共同就“数据安全和个人信息保护”议题分享了自己的见解或实践经验。

关系型治理成数据安全治理新挑战

近年来，网络安全相关法律陆续出台，为数据安全和个人信息保护的工作实施指明了方向。“数据二十条”的颁布，则详细地梳理了数据要素在产权、流通交易、收益分配、安全治理等方面如何合规高效流动使用，强化数据安全保障体系建设，充分发挥数据要素价值。

北京理工大学法学院教授洪延青从法律的角度切入，他指出，从《网络安全法》到《数据安全法》和《个人信息保护法》，不同法律对“数据安全”的认知和定义发生了较大的变化，这也反映出了我国数据安全的内涵和发展在不断扩张。如今在“数据二十条”的背景下，对安全的定义又有了一次新扩张，除了安全之外还要合法、充分利用。

那么，“数据二十条”背景下，对安全提出什么样的新要求？洪延青表示，从早期的边界防护，如防火墙、堡垒机等，更注重网络载体的安全；到大家开始关注到App数据收集工作，如强调透明自主选择、隐私政策、必要信息范围等，扩张到了合规的概念；到如今，随着数据的流动愈加频繁，在流动的过程中数据安全问题怎么去保障成了新的问题？

具体的，洪延青以数据出境为例分析道，当数据从一个相对已知的环境内到另外一个未知的环境内时，现阶段多数厂商的思路是通过隐私计算或数据脱敏的方式进行处理，不希望在未知环境有所作为，未知环境始终保持未知，只希望在有价值的数据流到未知环境过程中，尽量少的信息量和内容流出去。而“数据二十条”中对数据的流通和交易有了更高的要求，提出了培育数据要素流通和交易服务生态，这些方式的使用场景都是相对有限的。

“我自己把它界定为‘关系型的安全治理’”，洪延青说道，不能再让未知环境始终处于未知环境状态下，要把安全措施伸到未知环境中去，使那个环境变得相对可控、可知。

他进一步指出，数据交易所、快消品行业里的联合计算、欧洲的数据空间，都是一种“关系型治理模式”，通过可靠的第三方将未知环境变成相对可知的环境。

“关系型治理除了管理规则之外，更重要的是技术支撑管理规则的落地以及管理规则的可视、可控、可干预，接下来产业界会有更大的作用。如果能做到这一点，安全相关的很多产品或解决方案都能跟业务、社会贴近在一起。”洪延青说道。

从生产安全角度发力数据安全治理

全知科技CEO方兴从技术的角度切入，分享了数据安全行业的建设思考。他指出，原来讲的数据安全是高价值信息在数据载体上的安全，随着大数据、AI技术的发展，不需靠人推导，靠机器就可以从数据当中挖掘知识和情报。对数据的保护也应该从一个资产层的角度向生产层转变，由已获高价值信息的防御性保护转向全流程保护，特别当今数据已成为生产要素，加速流通的背景下。

“针对生产要素去进行保护，实际上比资产层面保护要困难得多。这是我理解为什么现在要把数据安全单独拿出来跟原来的网络安全并列，因为它产生了完全不同的视角。”方兴说道，这种数据既有价值，但是对它处理不善可能带来危害，变成了生产安全的视角，这是我理解的数据安全为什么在这个时代这么重要。

生产者要考虑生产过程效率的平衡，要关注全流程，而数据却如此庞大和繁杂，在流通环节，落地《数据安全法》和数据安全成了极具挑战的事情。

“在这个当中，从数据的资产认定到数据在什么地方暴露，要形成数据暴露面的概念，数据暴露面在整个数据处理活动又会产生什么样的数据活动，数据又能流向到哪里，数据采集了之后用到什么场景等等。如果这些东西都刻画不清楚，我认为一个企业它是做不好数据安全的。”

据了解，数据暴露面，指数据形成了哪些可以被其他责任主体获取的访问点/暴露面，数据的暴露面是分析数据各种脆弱性风险的关键环节。方兴表示，这需要重新构建一个数据流动的体系模型，解决“看清”数据的问题，搞清楚到底有哪些资产，这些资产到底在怎样流通，到底去了哪里。

方兴进一步指出，监管需要细化数据安全的管理要求，指导各行各业制定相应的重要数据目录。有了明确的管理细则，企业才能更好地去执行和落地；拥有数据清晰或范围明确的目录，则有利于数据安全工作的开展。

“我们帮客户发现了很多风险，抓到的人移交给公安，反倒他成了公安重点关注对象，成了高风险的企业。”方兴指出，“这里存在导向协同的问题，导致大家不愿意建立自己发现风险的能力，不愿意把风险事件化解。”

为此，他建议，国家应牵头成立数据风险监测和预警体系，包括对积极发现风险、处置风险的单位给予更多正向的激励，而不是反向的打击。各界通过协同构建数据安全合作生态，及时发现风险，并快速响应、处理风险，守护数据安全。

此外，本次会议上，电子标准院党委书记、副院长，中国网络安全产业联盟秘书长杨建军指出，数据安全和个人信息保护法律法规、政策文件、标准规范逐年完善，但随着新兴技术应用的发展，数据安全问题也正在不断演进，需要有创新的治理模式和方法。

CCIA数安委副主任何延哲对2022年数安委工作进行总结，并汇报了2023年度工作计划。他表示，数安委通过开展研讨活动、组织标准制定、搭建知识平台等形式，推动《数据安全法》和《个人信息保护法》落地实施，促进标准广泛应用，探索数据利用与安全平衡点，期望提高全社会数据安全保护水平，助力产业健康发展。

（文章来源：21世纪经济报道）

标签：