数据安全怎么保障
9 月25 日,观众在中国电信展台体验5G智慧矿山电铲驾驶座舱 黄宗治摄/ 本刊
➤坚持党管互联网、党管数据,以总体国家安全观为指导,筑牢数据安全屏障
➤保障数据安全要从数据的收集、挖掘、使用、监管等的全链条进行保障,通过提前规划、技术创新和监管,建立数据可信可用可管的治理体系
文 |《瞭望》新闻周刊记者 扈永顺
进入数字经济时代,数据成为一种重要生产要素,是国家核心战略资源和社会重要财富。
2021年世界互联网大会乌镇峰会发布的《中国互联网发展报告2021》显示,2020年中国数字经济规模达到39.2万亿元,占GDP比重达38.6%,保持9.7%的高位增长速度,成为稳定经济增长的关键动力。
在数字经济时代,安全是前提,更是基座。
当前,数据安全仍存风险隐患。《2020年中国互联网网络安全报告》显示,2020年,我国捕获的攻击国家关键数据和涉及国计民生重要数据的恶意程序样本数量,超过4200万个。
确保数据安全成为进一步激发数字经济活力、保障数字经济健康发展的基础手段。
中国网络空间安全协会秘书长李欲晓表示,9月1日正式实施的《中华人民共和国数据安全法》,为有效解决目前我国数据安全面临的问题奠定了法律基础。在数据安全立法的同时,也需要在实践中有相应的治理支撑,需要社会各个方面、社会各类主体共同参与到数据安全保障行动中来。
立法在前 保障数据不再“裸奔”
近年,我国已经建构起国家数据安全保护体系架构的四梁八柱,以保障数据不再“裸奔”。
“过去一段时间中国网络空间立法特别是在数据安全领域、个人信息保护领域的立法进展迅速。如果说五年之前很多方面是在向世界各国学习,那么今天在很多方面应该说快速赶了上来。”李欲晓说。
据了解,我国自2017年6月施行《中华人民共和国网络安全法》后,今年9月正式实施《中华人民共和国数据安全法》,并将在今年11月正式施行《中华人民共和国个人信息保护法》。
“这三部法律与此前出台的《中华人民共和国国家安全法》《中华人民共和国反间谍法》,以及正在修订中的《个人信息出境安全评估办法》、正在征求意见的《网络安全审查办法(修订草案征求意见稿)》,共同构成了我国数据安全保护的一体化法律体系。”国家互联网应急中心党委副书记卢卫介绍。
在卢卫看来,这些法律体系的指导思想一脉相承,可归纳成4个特点:第一,必须旗帜鲜明毫不动摇地坚持党管互联网,加强党对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进;第二,坚持党管数据,坚持以总体国家安全观为指导,筑牢数据安全屏障,切实保障数据安全;第三,坚持以人民为中心,网络安全为人民,网络安全靠人民;第四,激发数据经济活力,让数字文明造福各国,推动构建人类命运共同体。
专家认为,当前很多企业的数字化转型尚未完成,相关数据安全法、个人信息保护法等就已出台,跟以前先发展再治理区别非常大。“这意味着企业数字化转型还没完成甚至尚未开始就有了法律保障。”
这样的法律保障非常及时。在网络安全公司奇安信科技集团总裁吴云坤看来,如果说数字化转型是一个从落后生产力到先进生产力转化的过程,那么网络安全尤其数据安全往往成为一种砝码,是决定从落后生产力到先进生产力转化的非常重要的因素。
做到全链条、全生命周期、全场景保护
随着数字化转型深入,政企机构的大数据应用中数据量大、应用多、数据流动复杂,安全风险加大。保障数据安全,就是要使数据持续处于有效保护和合法利用状态。
首先,转变观念,用对待生产资料的方式来管理数据。专家分析,数据流动在不同的信息系统平台,是一种生产资料。管理数据,不能像过去管理信息系统,而要像对待生产资料的方式来管理数据。这就需要用到新的系统工程方法,确保在可信的前提下实现数据的价值创造,相应的技术要求较高。
再者,保障数据安全是在原来的网络安全实体防护基础上的跃迁,需体系化满足新的技术需求。数据不像网络中静止的信息系统,随着数字化业务的开展,数据由静止转向流动,其采集、传输、分析、利用、流转等每个环节可能产生新的威胁,数据安全保护的难度加大,需要体系化的数据安全治理来应对数据安全挑战。
而且,随着数字经济的发展,数据在各行各业都有不同应用,各类应用场景复杂。特别是非敏感数据的存储、汇集和关联分析等,也可能衍生形成敏感数据。因此,数据的保护既有全链条、全生命周期的特点,又要求全场景保护。
多措并举保障数据安全
专家建议,保障数据安全要从数据的收集、挖掘、使用、监管等的全链条进行保障,通过提前规划、技术创新和监管,建立数据可信可用可管的治理体系。
在规划层面,专家提出,现在数字化快速发展,需更有前瞻性地做出数据安全发展规划。
在技术层面,专家介绍,目前面临的技术性挑战,不单纯是黑客、漏洞或者攻防问题,更多涉及的是数据共享、交易、流通中的安全。数据安全领域需要全新的系统工程方法,需要覆盖数据安全保障全链条的体系化技术,或者说是技术体系。
具体而言,中科曙光高级副总裁任京暘表示,在基础层,要确保核心元器件及整机系统安全可信;在平台层,要构建全栈自主可信的信创云平台、AI计算平台、大数据平台、计算服务平台;在应用层,数据应用厂商和网络安全开发厂商要同步发展、同步建设。
吴云坤认为,应基于数据全生命周期及应用场景开展防护工作,保障大数据采集、存储、传输、处理、使用、共享开放、销毁安全。保护数据安全需重点落实五大关键举措:数据安全治理、精准防控、基于数据流转的数据安全防护、数据交易安全和数据安全运行等。
还有专家分析,数据分级分类能为精细化安全管控提供依据。不同类别和级别的数据需采取不同安全防护措施,从而实现安全保护与实际业务需求的有效协同。例如,高级别的数据需要实现数据加密、脱敏、防泄露等多种防护手段,低级别的数据则实现审计即可。
在法律层面,专家建议要确保监管部门能够对数据资源进行动态高效核查,实时、精准掌握网络数据分布,深度追踪数据资源违规流转,及时发现并阻断失泄密的违规行为,实现敏感数据实时监测、集中检查和统一分析及处置。
法律的落地需要具体的支撑举措。卢卫说,国家互联网应急中心将在数据安全法的基础上,积极落实好相关细则、规范、标准的工作。比如参与制定分级分类标准、重要数据识别指南等,并进一步做好对数据安全事件的检测预警、分析处置,做好政府的业务和技术工作支撑。□