技术和管理“双管齐下”,解决数据安全保护问题
李新社 工业和信息化部网络安全产业发展中心副主任
刘哲理 南开大学计算机学院副院长、教授、博导
马洁 清华大学数据治理研究中心科研总监、博士
许可 对外经济贸易大学数字经济与法律创新研究中心执行主任
朱克力 国研新经济研究院创始院长、CiNE首席研究员
孙轩 南开大学周恩来政府管理学院副教授,数字城市治理实验室主任
郭亮 蚂蚁集团数据安全总监、蚂蚁安全天堑实验室负责人
数字经济时代,数据安全是一个关乎社会、经济与民生以及国家安全的重要课题。
6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》),将于2021年9月1日起施行。
为此,近日,新京智库举办“大数据时代如何确保数据安全”专题研讨会,邀请专家及企业代表参与,探讨我国数据安全的现状与面临的挑战,以及《数据安全法》出台后对相关产业和企业产生的影响。
《数据安全法》是数据安全基本法
新京智库:我们已经进入大数据时代,当前在数据安全方面的现状是怎样的?有哪些突出问题?
李新社:在《数据安全法》出来之前,一是数据管理呈现出多头管理的状态,没有统一的标准、机构和法规。二是建立的数据系统非常分散。三是没有统一的数据标准和数据系统。四是数据质量参差不齐。五是数据管理不够完善。
虽然现在大家开始重视数据安全,但重视到何种程度,不同企业和机构之间还是有差距。在使用时,这种差距可能更大。尤其是涉及跨境数据流动时,哪些数据在什么样的安全保护措施下可以流动,怎样确保流动过程中不出现安全问题,这些目前都存在问题。
现在《数据安全法》出台了,对责任、要求和保护的范围都做了规定。某种意义上,《数据安全法》可以视为数据安全大法或数据安全基本法。《数据安全法》的出台,将对相关产业具有巨大的促进作用。
马洁:目前,全球数据安全形势不乐观,国外发生多起涉及个人、机构、民生事务的恶性数据安全案件。例如美国东岸油管运营商被勒索,以及水务公司被黑,个人数据大规模泄露。国内其实也有类似案例。这些数据安全问题已经涉及国家安全问题。我国《数据安全法》的出台,会考虑到这方面的因素。
就个人数据安全问题而言,一方面要让现在持有海量数据(603138,股吧)的大型企业机构,担负起相应的责任;同时要发展新技术,把涉及个人的数据控制在个人手中。数据是人产生的,最好由个体保护自己的数据。
许可:数据安全在过去几年里,已经从传统狭义的针对数据本身的可用性、完整性,向非常广泛的国家安全甚至和国家主权有关的安全问题方向演化。
2018年2月美国的《云法案》(Cloud Act),提出关于数据跨境传输、跨境调取的主权问题。2018年3月,美国Facebook出现8700万人的数据泄露事件,这些数据后来被用于美国大选。2018年5月25日,欧盟GDPR(《通用数据保护条例》)提出要基于个人信息保护理由的数据跨境管控。
我国起草《数据安全法》有这些国际背景因素。
可以看到,数据的产业安全、政治安全甚至主权安全已经远远超过传统狭义的数据安全。在这样的背景下,要有效地解决数据安全问题,需要从更加广阔的数据安全视角,从数据安全向数据治理方向延伸。
朱克力:目前,有些地方政府对数据治理存在忧虑,不太愿意共享数据。究其原因,主要有四个方面:一是由数据链条的特点决定的。数据从采集、存储、清洗、分析和处理,最后到应用的链条非常长,需要较多的人员参与,管理成本较高,技术水平也不太足,容易出现安全问题。二是数据保护和使用的边界比较模糊。三是数据来源多元、数据权属不同。地方政府想开放、共享数据,会面临决策流程较长的现实问题。四是数据安全人才较为短缺。这是目前数据安全方面需要突破的瓶颈。
出台《数据安全法》是对野蛮生长市场的规范
新京智库:《数据安全法》出台,以及各地相关法规的出台实施,将对数字经济和相关行业、企业产生怎样的影响?
李新社:《数据安全法》的出台,可以说是对野蛮生长、管理不善的市场进行了一次规范。其使得企业、政府等相关单位对于存储数据、提供数据、使用数据,或者是用数据再产生数据、再产生决策的时候,有了基本的准则和法律依据,对那些不按照法律依据做事情的企业、单位有了执法依据。
朱克力:我国数字产业发展较快,已经形成相对完整的产业链,涉及数据的收集、存储、加工、使用、交付、流通等全环节和全流程。因此,《数据安全法》的出台,有助于解决法律法规相对滞后的问题。对于整个行业,包括让数据流动和整合更有序,更好地赋能实体经济,《数据安全法》相当于明确了红线,使得数据活动有了可遵循的章法。这对大数据和整个产业安全来讲,将带来非常显而易见的利好。
《数据安全法》将约束数据的滥用和非法的采集,无论是对于数据的供给方,还是对于大众而言,可以说提供了一个双向的保护和可持续的标尺。从而对于实现数据的价值更大化,以及让数据成为数字经济真正意义上的关键生产要素,都是最具基础性的法治保障。
许可:《数据安全法》的出台,对整个数据安全领域将起到一个基础性的作用,因为《数据安全法》是数据安全领域的基本法,是数据安全领域的基础性制度,做好数据安全保护工作还有赖于监管机构的严格执行。
孙轩:《数据安全法》在对数字城市、数字运营、数字管理起到约束作用的同时,也起到了一定促进作用。未来随着智慧城市的进一步发展,包括数字社会、数字政府的发展,数据将是自动化流通。此时,数据流通的标准、尺度是什么?这些需要《数据安全法》来明确。
马洁:除了人产生的数据,还有传感器产生的数据,如工业大数据中用的数据、物联网中应用的数据、监测江河湖海传感器采集的数据,这些数据的安全也非常重要,甚至涉及国防安全,《数据安全法》明确了规则后,也将有利于让这些数据充分发挥其促进我国经济发展的作用。
许可:《数据安全法》对企业的影响,不能简单地说增加了企业的合规成本或者说运行成本。《数据安全法》很重要的一点是需要协同治理,即数据安全不仅仅是政府的事,同时也需要企业、行业组织共同参与,共同完成。
《数据安全法》也将给从事数据相关业务的企业带来新的机会。比如,数据安全技术的研发和应用将会形成巨大商机。对不是从事数据业务的企业也带来了新商机。数据安全的实施,离不开数据技术的提升,那么基础设施的建设等也将产生一些新商机。
朱克力:《数据安全法》对从事数据处理服务类型的企业提出了非常硬性的门槛,规定提供在线数据处理的服务商必须取得相关的经营业务许可和备案。对数据交易中介服务机构在提供相关的中介服务时也做了明确规定。从数据交易的体系和制度上来说,这比过去更加严苛。
从行业视角来看,《数据安全法》的出台对于不同的行业,影响程度也不一样。其中受影响最大的一个行业,可能会是金融行业。短期内,在金融行业或将出现一些被处罚的案例。长远看,这有利于保护公众的金融数据安全,而且可能会降低金融机构因数据安全带来的潜在风险和损失。当然,也不排除会引起一次金融行业的局部洗牌。
李新社:这将是产业、企业开展创新的非常好的契机。比如,政府开放数据共享之后,谁使用数据,谁可以共享数据进行二次开发、三次开发等,从而创造更大价值,《数据安全法》都提供了法律层面的保护依据。
郭亮:对企业来说,短期内会增加数据使用合规的压力,企业需要投入更多的资金、人力等成本,包括一些技术能力层面的建设。长期来说,《数据安全法》将引导我国数据安全体系在未来有一个相对清晰的演进路线,可以帮助企业合规、合法使用大数据,同时又保护用户的个人利益。
数据安全保护更需要在技术方面的突破
新京智库:如何强化数据安全保护,避免出现相关企业滥用、泄露数据等问题?
李新社:首先要做好数据的分级分类管理,对不同的数据可以采取不同的安全防护技术。比如,对于比较重要的、敏感的数据,可以采取特殊的措施,更好地进行保护。其次,在数据的全生命周期内,要做好数据的安全保护。从管理角度来看,要梳理好数据管理的风险点;从技术角度来看,从数据的收集、使用、存储到运输的各个环节,都要采取有针对性的保护方式。
再次,要建立整套数据安全保护技术规范,既不能过度防护,也不能缺失防护。
最后,从推动数据安全的保护角度来讲,要加强数据安全保护技术的创新,政府应给予数据安全企业更大的鼓励和扶持,共同推动数据安全产业发展。
郭亮:目前企业中存在的数据安全问题,主要表现在数据的滥用、内部员工有意无意的数据泄露,以及外部的黑客攻击等,这对国家安全、公共利益和消费者个人权益都会带来较大的影响。
同时,数据安全体系却缺少量化评估机制,会导致后续的持续优化、迭代缺少一定的目标和方向。
对此,蚂蚁金服成立了专职的数据安全团队,将数据安全看作是企业的核心战略,向数据安全领域投入了更多的资源和人力。
该数据安全团队为蚂蚁金服建立一套更加完善的数据安全体系。一方面为进行相关数据安全培训,加强相关监管政策和法律法规的解读和宣导,增强员工的数据安全意识。
另一方面,在实践过程中建立了一套数据安全的度量体系,通过数据化的方式让员工理解自己从事的数据相关工作是否达到要求。并且,通过相关策略和模型,再参考相关安全基线,可以帮助企业快速发现异常风险。
马洁:其实,我国在信息安全、网络安全方面已经出台了一系列的法律法规。因此,要强化数据安全保护,一定要与执法方面配合起来,尤其对那些经常违规的企业,没有数据安全保护意识的企业,一定要重罚。只有这样,全社会才能形成良好的数据保护氛围。
刘哲理:关于如何强化数据安全保护,除了《数据安全法》等相关法律法规约束外,更需要在技术方面的突破。现在数据安全问题还存在于技术方面,不能完全满足解决数据隐私方面的各种需求。因此,这就需要不断完善相关标准,推动技术的发展,才可能有效解决数据安全相关问题。
许可:解决数据安全问题的路径可以从几个方面来思考,一是要赋予企业对数据的权益。二是,传统的数据安全问题是静态的,而现在的数据更大价值在于数据的共享和融合。因此,未来在数据安全的保护机制设计方面,要更注重通过数据的共享来促进数据的安全,在数据流动过程中保护数据安全。
朱克力:强化数据安全保护方面,一是需要加强培养数据安全人才。在数据安全领域尤其需要复合型人才,要求对安全、信息和技术方面都有所涉猎和掌握。
二是虽然现在已经出台了数据安全相关法律,但还应进一步完善数据安全相关的法律法规和相关配套政策。比如进一步明确数据分类确权的监管思路、政府的责任边界、数据安全保护的标准等。
三是需要进一步强化数据安全监管体系。比如完善分级分类的监管方式,探索不同层级的数据安全监管机构,并明确它们的责任划分。
四是从技术层面来看,需要寻求相关数据安全的技术突破。包括区块链、隐私计算等相关技术,进而提升企业的数据安全能力。
孙轩:加强数据安全保护主要从技术和管理两个层面入手。从管理层面来看,现在出台了《数据安全法》,完善了数据安全保护体系的相关法律法规和规章制度,整体上进一步提升了我国的数据安全防护能力。
在技术层面,从最底层的网络安全,到数据传输安全,再到平台安全,最后到应用安全,都应通过使用相关技术,比如加密、身份认证等技术,来确保数据安全。
国外有哪些做法值得借鉴
新京智库:对数据安全的立法和保护,是当前一个全球性议题。欧盟等地区在数据安全方面有哪些经验教训值得我们借鉴?
李新社:2018年,欧盟出台了GDPR(《通用数据保护条例》)。经过两三年的运作,欧盟已经在这个方面积累了经验。
从其运作的角度来讲,首先是执法严格,不管是多大的公司,该罚就罚。强监管或用更强有力的手段进行监管,严格执行,这是我们值得借鉴和吸收的重要内容。
数据保护方面,我们可以借鉴欧盟在执行过程中采用了哪些方法,运用了哪些手段,进行了哪些数据和证据的固定,也包括检测运用了哪些技术。
其次,欧盟推动了区域的立法。这种小范围的数据安全立法和条例值得参考。
这些,也是我们在数据安全方面下一步需要注意的。
马洁:美国是以各州立法为主的,这种做法值得参考。我们国家很多地方都有自己的立法权,这些地方可以先行先试,形成一个良好的数据安全环境,然后鼓励相应的产业蓬勃发展,为我国在这方面的需求提供更好的供给。
许可:欧盟的一些做法值得我们学习。GDPR之所以能够出台,一个很重要的原因是统一欧盟各地的、各国的个人信息保护标准。数据本身不是一个本地化的事项,一开始就是全国性的事项,甚至是国际性、全球性的事项,如果各个地方都有自己的一套数据保护规则,会产生执法冲突的问题。欧盟在数据安全方面一个重要贡献,就是避免不同国家的执法冲突。对于这个问题,我国相关地方出台数据条例时,要引起高度重视。
欧盟没有一个所谓的数据安全条例的规定,我们看到的GDPR,实际上是个人数据保护。欧盟通过不同的法律来解决数据引发的一系列问题,比如说和个人有关的,会通过GDPR来解决,和个人没有关系的数据,通过非个人数据的条例来解决。所以欧盟是采取多部法律来应对数据安全问题,这是值得我们认真思考的。
郭亮:我们在前几年也对国外特别是欧美一些国家比较领先的公司做了数据安全方面的调研。整体上欧美国家这些公司对于数据安全是非常重视的,有专职的团队,也有相关技术的储备。这其实是值得中国很多企业学习的,蚂蚁在前几年开始大规模加大这方面的团队建设,也是其中一个因素。
另外,他们也会有一些技术上的创新,用技术创新去解决数据安全问题,平衡业务发展和安全合规的要求,这方面他们的经验应该也是比较多的。
目前,一些新技术,包括一些新的大数据场景等方面,其实中国和美国的公司能够齐头并进了。在数据安全、隐私计算等相关领域上,我们也很有机会在全球能够做到更领先的位置。
孙轩:我之前在英国访学过一段时间,发现欧洲特别注重个人隐私数据的保护。当时,我们要做一个研究,需要做社会调查,即使不涉及大规模的数据收集,仅仅是问卷调查,也要面临多方面审查,包括伦理性审查,程序特别严格、要求较多。
整个欧洲对数据,包括权利、义务,以及相关敏感数据可能带来一系列的问题,都特别重视。这个在GDPR里面也体现得很明显。
但与此同时,很多欧洲的公司、企业抱怨很多,因为法律条文过于严格,各个方面的约束特别多,需要去尽量保护每一个隐私主体相应的权益,还有特别严格的流程。
所以说,欧盟整体上对数据的权利义务的规定是比较明晰的,这块确实值得我们借鉴。
李新社:具体说来,数据安全方面,我国要做好以下这几件事:
第一,要加强监管和执法力度。《数据安全法》已经出台了,相关机构要在数据安全保护、数据收集应用等方面担起责任来,加强监管和执法。同时,不管是企业也好,政府部门也好,要提高数据管理的水平和能力。因为我们面对的是一个新事物。
第二,企业要加强自律。企业合规成本支出不是强加的,而是必要的,因为野蛮生长的时代已经结束了。
第三,全社会要提高对数据安全的认识。目前,不同的人、企业、机构、组织,对数据安全的认识差距很大。
第四,对新技术要加强研究,既能推动产业发展,又有利于数据保护。当然,也可鼓励相关城市、地区,出台适合自己的安全保护条例或管理办法。
马洁:我国在数据安全这方面的法律法规相对来说已经比较完善,接下来,是要真正地执法,要避免选择性执法。
孙轩:我国《数据安全法》制定了一个框架,这个框架可能没有那么细,很多地方还可以进一步细化明确。现在许多地方出台了一些数据管理的规范,我觉得这很好。但是需要统一协调。
当然,对于数据而言,也不能够控制得特别死,否则会影响创新,影响价值挖掘。需要反思的是,怎么样在保证数据安全的过程中给予其足够的自由度去挖掘、分析、创新产生价值。这不仅仅是一个技术问题,也是一个管理问题。
怎样在安全可控的环境下实现数据高效流动,这是我们需要思考的。
本文系作者授权本站发表,未经许可,不得转载。