文│ 大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室 唐會(huì)芳 翟婷婷
作為我國(guó)數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律、 國(guó)家安全領(lǐng)域的重要法律,《數(shù)據(jù)安全法》的出臺(tái)體現(xiàn)了當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展對(duì)安全的關(guān)鍵需求,為我國(guó)數(shù)據(jù)安全的發(fā)展之路提供了指引。在數(shù)字經(jīng)濟(jì)發(fā)展的場(chǎng)景下,跨系統(tǒng)、跨域和跨境的數(shù)據(jù)流通共享以及多方的數(shù)據(jù)聯(lián)合計(jì)算將成為常態(tài),數(shù)據(jù)安全將不再是一個(gè)組織內(nèi)部的事情,需要構(gòu)建一個(gè)科學(xué)的數(shù)據(jù)安全治理體系,才能有效地保障數(shù)據(jù)安全,管控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)。而且,數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的關(guān)鍵在于數(shù)據(jù)的安全開(kāi)發(fā)利用,需要數(shù)據(jù)安全和數(shù)據(jù)開(kāi)發(fā)利用兩者的協(xié)調(diào)發(fā)展。
一、建立健全數(shù)據(jù)安全治理體系
治理不同于自上而下的管理,而是基于關(guān)鍵抓手的、能夠充分激發(fā)各相關(guān)方內(nèi)驅(qū)力的多方協(xié)同共治的方式方法。數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素,如果一種數(shù)據(jù)安全治理體系能夠建立起數(shù)據(jù)與數(shù)據(jù)處理方之間的正向驅(qū)動(dòng)關(guān)系,那么這種體系無(wú)疑是非常具有生命力的。
(一)構(gòu)建基于 DSMM 的數(shù)據(jù)安全治理體系
《數(shù)據(jù)安全法》第四條提出:“維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力?!敝卫眢w系的構(gòu)建對(duì)系統(tǒng)性提高國(guó)家的數(shù)據(jù)安全保障能力非常關(guān)鍵,需要找到關(guān)鍵抓手和基本邏輯,來(lái)調(diào)動(dòng)多方力量和資源,發(fā)揮各自?xún)?yōu)勢(shì)形成良性生態(tài),建立適應(yīng)當(dāng)今數(shù)字時(shí)代的協(xié)同治理模式,共同提升全社會(huì)的數(shù)據(jù)安全水平。
國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)是我國(guó)有關(guān)數(shù)據(jù)安全治理的首個(gè)技術(shù)標(biāo)準(zhǔn),提出了數(shù)據(jù)安全能力成熟模型(DSMM)。建立基于 DSMM 的數(shù)據(jù)安全治理體系,以數(shù)據(jù)為中心,能夠系統(tǒng)性提高我國(guó)數(shù)據(jù)安全整體水平。DSMM 在數(shù)據(jù)分類(lèi)分級(jí)的基礎(chǔ)上,從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面,對(duì)組織的數(shù)據(jù)安全能力成熟度進(jìn)行測(cè)評(píng)和等級(jí)劃分,從而在數(shù)據(jù)和組織間建立正向驅(qū)動(dòng)的關(guān)系。根據(jù)組織的數(shù)據(jù)安全能力成熟度等級(jí),可以決定其是否具有處理特定類(lèi)型、特定等級(jí)數(shù)據(jù)的資質(zhì),以實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的科學(xué)管控。這意味著,一個(gè)具有更高數(shù)據(jù)安全能力成熟度等級(jí)的組織,能獲得處理更多數(shù)據(jù)資源的機(jī)會(huì)。該體系將改變過(guò)去“合規(guī) + 處罰”的做法,使組織的數(shù)據(jù)安全水平成為發(fā)展的競(jìng)爭(zhēng)力,從而激發(fā)組織主動(dòng)提升其數(shù)據(jù)安全能力。
(二)數(shù)據(jù)側(cè)以數(shù)據(jù)分類(lèi)分級(jí)為基礎(chǔ)和前提
《數(shù)據(jù)安全法》第二十一條明確提出“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度”,并在此基礎(chǔ)上專(zhuān)門(mén)規(guī)定了對(duì)重要數(shù)據(jù)的保護(hù),要求各地區(qū)、各部門(mén)、各行業(yè)制定各自范圍內(nèi)的“重要數(shù)據(jù)目錄”,并進(jìn)一步指出“關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù),實(shí)行更加嚴(yán)格的管理制度”。
數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度作為數(shù)據(jù)安全治理的基礎(chǔ)與前提,將為國(guó)家開(kāi)展“自上而下”的監(jiān)管提供依據(jù),推動(dòng)建立重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)的統(tǒng)一認(rèn)定標(biāo)準(zhǔn);同時(shí),也直接決定了組織對(duì)不同類(lèi)別與等級(jí)的數(shù)據(jù)在安全上應(yīng)承擔(dān)的保護(hù)義務(wù),并對(duì)組織自身的數(shù)據(jù)安全能力提出了相應(yīng)的要求。
目前,各地區(qū)、各部門(mén)正根據(jù)《數(shù)據(jù)安全法》制定地方或行業(yè)領(lǐng)域的數(shù)據(jù)分類(lèi)分級(jí)規(guī)范,積極推進(jìn)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)工作。例如,貴州省率先制定發(fā)布了《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類(lèi)分級(jí)指南》,在全國(guó)先試先行;工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》,提出對(duì)工業(yè)數(shù)據(jù)的分類(lèi)和分級(jí)標(biāo)準(zhǔn);金融行業(yè)發(fā)布了行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù) 安全數(shù)據(jù)安全分級(jí)指南》(JR/T 0197—2020)和《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》(JR/T 0158-2018)。數(shù)據(jù)分類(lèi)分級(jí)已從探索走向?qū)嵺`,各數(shù)據(jù)安全廠商紛紛發(fā)布創(chuàng)新的數(shù)據(jù)分類(lèi)分級(jí)產(chǎn)品,敏感數(shù)據(jù)發(fā)現(xiàn)和分類(lèi)分級(jí)管理的自動(dòng)化工具正在被開(kāi)發(fā)使用,極大地提升了數(shù)據(jù)安全治理的效率。
(三)處理側(cè)以對(duì)組織的數(shù)據(jù)安全能力成熟度測(cè)評(píng)為抓手
在對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)之后,對(duì)組織的數(shù)據(jù)安全能力成熟度進(jìn)行測(cè)評(píng)成為構(gòu)建治理體系的關(guān)鍵抓手?!稊?shù)據(jù)安全法》第十八條指出“國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專(zhuān)業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)”。這是對(duì)數(shù)據(jù)安全相關(guān)測(cè)評(píng)特別是 DSMM 測(cè)評(píng)認(rèn)證最好的支持,在法律層面充分肯定了測(cè)評(píng)認(rèn)證專(zhuān)業(yè)機(jī)構(gòu)在帶動(dòng)數(shù)據(jù)安全合規(guī)建設(shè)和服務(wù)發(fā)展方面的積極作用。目前,我國(guó)已發(fā)展形成了多個(gè)從事 DSMM 測(cè)評(píng)認(rèn)證的專(zhuān)業(yè)機(jī)構(gòu)。其中,首個(gè)獲得國(guó)家認(rèn)監(jiān)委授權(quán)的DSMM認(rèn)證機(jī)構(gòu)貴州大數(shù)據(jù)安全工程研究中心,正在全國(guó)范圍內(nèi)推廣實(shí)施 DSMM 測(cè)評(píng)認(rèn)證,并且,已有超過(guò)百家組織通過(guò)了測(cè)評(píng)。
通過(guò) DSMM 測(cè)評(píng)認(rèn)證的組織能夠獲得全方位的數(shù)據(jù)安全建設(shè)指導(dǎo)性綱要,使其對(duì)自身的數(shù)據(jù)安全建設(shè)充滿(mǎn)信心。對(duì)企業(yè)來(lái)說(shuō),能夠?qū)ψ陨頂?shù)據(jù)安全整體狀況做到心中有數(shù),并可將“數(shù)據(jù)安全能力水平”作為宣傳自身品牌的差異化標(biāo)簽。對(duì)政府機(jī)關(guān)、事業(yè)單位來(lái)說(shuō),除了能及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全短板、查漏補(bǔ)缺之外,還可掌握地方相關(guān)組織、部門(mén)的數(shù)據(jù)安全整體水平。與此同時(shí),各地政府也逐步認(rèn)識(shí)到DSMM 測(cè)評(píng)認(rèn)證的重要性,紛紛出臺(tái)激勵(lì)政策鼓勵(lì)企業(yè)或組織參加 DSMM 測(cè)評(píng)認(rèn)證,對(duì)獲得證書(shū)的企業(yè)或組織進(jìn)行補(bǔ)貼,并在一些重要數(shù)據(jù)安全項(xiàng)目招標(biāo)中加入 DSMM 測(cè)評(píng)認(rèn)證的控標(biāo)要求。
二、保障數(shù)據(jù)安全與數(shù)據(jù)開(kāi)發(fā)利用的協(xié)調(diào)發(fā)展
數(shù)字經(jīng)濟(jì)已成為支撐我國(guó)經(jīng)濟(jì)發(fā)展的重要引擎,數(shù)據(jù)開(kāi)發(fā)利用則是數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的關(guān)鍵,需將保障數(shù)據(jù)安全貫穿于數(shù)據(jù)開(kāi)發(fā)利用的全過(guò)程,防范和化解影響我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展過(guò)程中的安全風(fēng)險(xiǎn),同步提升數(shù)據(jù)安全和數(shù)據(jù)開(kāi)發(fā)利用水平。
(一)在數(shù)據(jù)安全與發(fā)展之間取得平衡
《數(shù)據(jù)安全法》第二章的主題是數(shù)據(jù)安全與發(fā)展,其第十三條提出:“國(guó)家統(tǒng)籌發(fā)展和安全,堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。該條款的目的是取得數(shù)據(jù)安全與發(fā)展之間的平衡,保障數(shù)據(jù)安全與促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展是相輔相成的,既不能以發(fā)展之名忽略安全,也不能以安全之名阻礙發(fā)展。數(shù)字經(jīng)濟(jì)需要充分挖掘數(shù)據(jù)的價(jià)值,將數(shù)據(jù)作為生產(chǎn)要素進(jìn)行開(kāi)發(fā)利用,同時(shí),在數(shù)據(jù)開(kāi)發(fā)利用的過(guò)程中,又需要充分保障數(shù)據(jù)的安全。
數(shù)據(jù)的開(kāi)發(fā)利用為數(shù)據(jù)安全提供了技術(shù)支持和概念革新,數(shù)據(jù)安全為數(shù)據(jù)的開(kāi)發(fā)利用提供了基礎(chǔ)的保障和穩(wěn)固的底盤(pán)。數(shù)字經(jīng)濟(jì)時(shí)代與過(guò)去不同,在很多場(chǎng)景下會(huì)先有數(shù)據(jù)再有應(yīng)用,基于數(shù)據(jù)的數(shù)字創(chuàng)新應(yīng)用開(kāi)發(fā)將成為常態(tài)。數(shù)據(jù)安全影響國(guó)家發(fā)展與安全,關(guān)系公眾利益和公民個(gè)人權(quán)益,應(yīng)建立數(shù)據(jù)全生命周期安全的概念,關(guān)注數(shù)據(jù)的流通共享,確保以安全為前提進(jìn)行數(shù)據(jù)的開(kāi)發(fā)利用。
(二)推進(jìn)政務(wù)數(shù)據(jù)安全開(kāi)發(fā)利用
《數(shù)據(jù)安全法》第五章聚焦的政務(wù)數(shù)據(jù)安全與開(kāi)放,是數(shù)據(jù)安全開(kāi)發(fā)利用的一個(gè)特定應(yīng)用場(chǎng)景。它在保障政務(wù)數(shù)據(jù)安全方面,對(duì)國(guó)家機(jī)關(guān)收集、使用數(shù)據(jù)的行為和能力提出了要求,嚴(yán)格監(jiān)督可能涉及的第三方;在推動(dòng)政務(wù)數(shù)據(jù)開(kāi)發(fā)利用方面,明確了以及時(shí)、準(zhǔn)確公開(kāi)為原則,要求“國(guó)家制定政務(wù)數(shù)據(jù)開(kāi)放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)”,這為政府各部門(mén)安全開(kāi)放數(shù)據(jù)提供了法律支持和行動(dòng)指導(dǎo),為我國(guó)數(shù)字政府和智慧城市建設(shè)鋪平了道路。
國(guó)家在“十四五”規(guī)劃進(jìn)程中將大力推進(jìn)電子政務(wù)建設(shè),政務(wù)數(shù)據(jù)開(kāi)放將進(jìn)一步提升政府工作效能。政務(wù)數(shù)據(jù)在采集、存儲(chǔ)、加工過(guò)程中的安全非常關(guān)鍵,需要被合理、合法、安全地使用。在智慧城市應(yīng)用場(chǎng)景下,跨域數(shù)據(jù)的流通共享與聯(lián)合計(jì)算需求日益增多,政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)和基于隱私計(jì)算技術(shù)的數(shù)據(jù)協(xié)同應(yīng)用平臺(tái)將得到廣泛應(yīng)用。利用可信執(zhí)行環(huán)境、聯(lián)邦學(xué)習(xí)、安全多方計(jì)算、同態(tài)加密和差分隱私等技術(shù)搭建隱私計(jì)算平臺(tái),可實(shí)現(xiàn)多方數(shù)據(jù)的協(xié)同安全計(jì)算,它與政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)一起,能夠打破數(shù)據(jù)孤島,聯(lián)通政務(wù)數(shù)據(jù)和各行業(yè)領(lǐng)域數(shù)據(jù),從而促進(jìn)政務(wù)數(shù)據(jù)的安全開(kāi)發(fā)利用,充分挖掘政務(wù)數(shù)據(jù)的價(jià)值。
(三)為數(shù)據(jù)安全開(kāi)發(fā)利用培養(yǎng)足夠的專(zhuān)業(yè)人才
數(shù)據(jù)安全開(kāi)發(fā)利用離不開(kāi)相關(guān)專(zhuān)業(yè)人才的支撐,《數(shù)據(jù)安全法》第二十條明確提出“國(guó)家支持教育、科研機(jī)構(gòu)和企業(yè)等開(kāi)展數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn),采取多種方式培養(yǎng)數(shù)據(jù)開(kāi)發(fā)利用技術(shù)和數(shù)據(jù)安全專(zhuān)業(yè)人才,促進(jìn)人才交流。”這體現(xiàn)了國(guó)家對(duì)培養(yǎng)數(shù)據(jù)安全專(zhuān)業(yè)人才的重視,鼓勵(lì)企業(yè)與高等院校聯(lián)合,從多個(gè)渠道培養(yǎng)數(shù)據(jù)開(kāi)發(fā)利用和安全人才。企業(yè)也能夠從教育培訓(xùn)等領(lǐng)域?qū)ふ易陨砩虡I(yè)機(jī)會(huì),帶動(dòng)數(shù)字產(chǎn)業(yè)的發(fā)展與創(chuàng)新。通過(guò)專(zhuān)業(yè)的培訓(xùn),能夠提高組織人員的數(shù)據(jù)安全技能,為數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展和數(shù)字經(jīng)濟(jì)發(fā)展注入強(qiáng)大的人才動(dòng)力。
經(jīng)過(guò)多年的發(fā)展,我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域已建立起較為完善的人才培養(yǎng)體系,網(wǎng)絡(luò)安全也成為一級(jí)學(xué)科。在數(shù)據(jù)安全領(lǐng)域,人才的培養(yǎng)還沒(méi)有上升到數(shù)字經(jīng)濟(jì)所要求的高度,相關(guān)的培訓(xùn)內(nèi)容還不夠完善。對(duì)于數(shù)據(jù)安全,既需要擁有了解組織數(shù)據(jù)安全戰(zhàn)略規(guī)劃的數(shù)據(jù)安全管理專(zhuān)家,也需要懂具體業(yè)務(wù)場(chǎng)景,掌握相關(guān)數(shù)據(jù)安全技術(shù)的數(shù)據(jù)安全工程師。
三、對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行嚴(yán)格安全審查
《數(shù)據(jù)安全法》第二十四條明確提出:“國(guó)家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查”,包含對(duì)數(shù)據(jù)跨境流動(dòng)的安全審查。該法第三十一條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定,其他主體重要數(shù)據(jù)的出境則適用于國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院制定的管理辦法。通過(guò)區(qū)分主體的監(jiān)管思路,進(jìn)一步明確補(bǔ)充了對(duì)重要數(shù)據(jù)出境的規(guī)定,也使數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度能夠更好地與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求相協(xié)調(diào)。此外,法案第三十六條針對(duì)外國(guó)司法或執(zhí)法機(jī)構(gòu)調(diào)取我國(guó)數(shù)據(jù)的情況進(jìn)行了規(guī)定,即非經(jīng)主管機(jī)關(guān)批準(zhǔn),境內(nèi)組織、個(gè)人不得擅自提供境內(nèi)的數(shù)據(jù),此舉是依法應(yīng)對(duì)域外“長(zhǎng)臂管轄”所作出的防御性措施。
在當(dāng)前全球尚未形成共識(shí)的數(shù)據(jù)安全治理體系框架條件下,數(shù)據(jù)的跨境流動(dòng)帶來(lái)了敏感數(shù)據(jù)泄露、授權(quán)管理、數(shù)據(jù)權(quán)屬、流向追蹤和法律風(fēng)險(xiǎn)等系列問(wèn)題,并難以對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)控和審計(jì)。因此,對(duì)于涉及國(guó)家、公民的敏感數(shù)據(jù),要嚴(yán)格遵守“非必要不出境”原則,盡量做到數(shù)據(jù)在本地存儲(chǔ)、分析和利用。確需出境的數(shù)據(jù),需經(jīng)過(guò)匿名化、去標(biāo)識(shí)化和脫敏處理,并對(duì)跨境數(shù)據(jù)進(jìn)行嚴(yán)格的安全審查,杜絕敏感信息外泄。對(duì)于關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益的國(guó)家核心數(shù)據(jù),應(yīng)嚴(yán)禁跨境流動(dòng)并防范潛在數(shù)據(jù)跨境風(fēng)險(xiǎn),防止中國(guó)擁有大量核心數(shù)據(jù)企業(yè)赴美國(guó)上市類(lèi)似事件的發(fā)生。
(本文刊登于《中國(guó)信息安全》雜志2021年第7期)
來(lái)源:中國(guó)信息安全