重磅!赛迪发布《数据安全治理白皮书》(可免费获取)
前言
在数字信息技术日新月异的发展趋势下,数据已成为数字经济发展的核心生产要素,是国家重要资产和基础战略资源。随着数据价值的愈加凸显,数据安全风险与日俱增,数据泄露、数据贩卖等数据安全事件频发,为个人隐私、企业商业秘密、国家重要情报等带来了严重的安全隐患。
当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题,加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。为此,国家高度重视数据安全的顶层设计:在相继发布的《促进大数据发展行动纲要》(2015)、《科学数据管理办法》(2018)、《关于构建更加完善的要素市场化配置体制机制的意见》(2020)以及“十四五”规划(2021)中,均提出发展数字经济、加快培育发展数据要素市场,应把保障数据安全放在突出位置的重要思想内涵。
面对数据安全威胁日益严峻的态势,着力解决数据安全领域的突出问题,有效提升数据安全治理能力迫在眉睫。然而,由于数字技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展,数据安全治理面临多重棘手困境。为此,本白皮书在分析我国数据安全风险、治理现状、治理困境的基础上,从政策、监管、产业生态建设、国际合作等方面提出综合解决路径。
一
数据安全治理概述
(一)关键概念
1.数据
数据,是用来记录客观事物或事件的符号,具体来说,是对客观事物或事件的性质、状态以及相互关系等信息进行记录的物理符号。
2.数据处理活动和数据全生命周期
数据处理活动,包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等,是数据处理者开展数据业务时实施的具体活动,所有数据处理活动环节共同构成了数据全生命周期。
3.数据安全
数据安全,是指通过采取必要措施,确保数据在数据全生命周期中处于有效保护和合法利用的状态,以及保障持续安全状态的能力。
4.数据安全治理
数据安全治理,是指从决策层到技术层,从管理制度到工具支撑,自上而下建立的数据安全保障体系和保护生态,是贯穿整个组织架构的完整链条。
5.数据跨境流动
数据跨境流动,是指数据处理者将国家境内收集和产生的重要数据和个人信息,提供给位于境外的机构、组织、个人。数据跨境流动过程中,数据安全与个人隐私保护成为两大关键要素,世界各国对其进行明确立法的趋势也愈加明显。
6.数据资源、数据资产和数据资本
在数字经济的发展过程中,随着数据要素市场的蓬勃发展,数据价值的发展也分别三个阶段:
一是数据资源阶段,数据是作为记录、反映现实世界的一种资源。
二是数据资产阶段,数据是可创造财富的资产,且随着个人在互联网上活动的增多,积累的数据量越大,数据收益也越大。未来,数据资产可能将成为一种经数据所有者授权后,由数据管理者向使用者提供的一项服务。
三是数据资本阶段,数据的资源和资产特性得到进一步发挥,在全社会形成巨大数据资产的基础上,可使用数据资产进行投资,将数据资产转化为数据资本。
7.数据确权
数据确权,是指在厘清数据用途和流向的基础上,在法律上对数据权利,包括数据所有权、使用权和收益权进行明晰。
(二)数据安全治理本质
数据安全治理本质上包含“理”和“治”两个层面,先“理”后“治”,保障数据资源在安全可控的状态下充分发挥使用价值。
(三)数据安全治理体系
数据安全治理体系包括政策环境、产业生态、监督管理和国际合作,如图1所示。
二
国外数据安全治理现状
(一)数据安全政策环境持续优化
一是加强数据安全顶层设计。
二是强化数据及个人信息保护相关立法。
三是陆续出台数据安全标准指南。
(二)数据安全保护机构设置不断完善
通过完善数据安全监管执法机构设置,提升执法效率,加强数据安全保护治理。
(三)推动企业强化数据安全保护技术手段初见成效
为进一步保障数据安全,各国纷纷采取措施推动企业积极响应当地政策,从数据源头、数据通道、数据运营管理等方面入手,积极运用差分隐私、区块链等技术手段强化数据安全保护,搭建具有鲜明数据安全保护特性的技术架构。
三
国外数据安全治理特色
(一)数据安全上升至国家安全层面
各国政府逐渐意识到,数据已成为与国家安全和国际竞争力紧密关联的一大要素,对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。
(二)对大型互联网平台企业的数据执法力度持续加大
各国对大型互联网企业数据安全违法违规行为的惩治力度不断增强,美国、欧洲等国家和地区均增大了对其单笔处罚金额。
(三)医疗、生物识别等个人特殊敏感数据的专项立法不断推进
当前,全球个人医疗数据泄露事件频发,人脸识别等新技术滥用导致个人生物信息长期处于高泄露风险状态,针对个人特殊敏感数据日益严峻的风险威胁,日本、美国等国家偏向于针对不同特征的个人数据采取精细化治理模式。
四
我国数据安全面临七大挑战
(一)数据贩卖严重侵害个人隐私
近些年,移动互联网技术的大力发展生产出海量数据资源,然而,大数据行业繁荣与隐忧始终并存,其中最为恶劣的影响即是数据交易地下黑色产业链的形成。
一是外部攻击者利用爬虫等技术窃取并倒卖个人数据。
二是“内鬼”常成为非法数据交易链源头。
三是平台之间实施暗箱操作,通过数据兜售进行数据商业变现。
(二)数据跨境流动带来国家安全隐患
一是流转到境外的情报数据更易被外国政府获取。
二是我国战略动作易被预测,陷入政策被动。
三是我国以数据为驱动的新兴技术领域竞争优势将被削弱。
(三)高价值特殊敏感数据泄露风险加剧
一是政务数据具有极高的社会和经济价值,黑客将其作为攻击目标可获得更高的利益回报。
二是健康医疗数据具有高度隐私性和稀缺性,成为攻击者的关注重点。
三是生物识别数据具有易采集和特征敏感性,成为攻击者的主要目标。
(四)重要数据安全面临外来攻击威胁加大
一是具有政治背景的境外黑客逐渐加大对我国关键信息基础设施攻击力度,试图获取我国机密重要数据。
二是美国出台的“分层威慑战略”政策直指中国。
(五)新技术新应用催生新型数据安全风险
新技术新应用在极大促进生产力发展和人民生活便利同时,也带来了安全方面的不确定性。
(六)互联网平台企业滥采滥用个人信息并实施数据垄断
随着数据安全内涵的延伸和扩大,除了机密性、完整性和可用性等数据本身的安全之外,对数据合法合规的收集使用也成为了数据安全的重要组成。
(七)国际数据规则制定话语权与我国互联网应用领先地位严重不匹配
通过对近期美国发布的系列报告和政策文件分析,拜登政府意欲通过与理念相近国家组成“共同体”,构建网络安全联盟,掌控数据安全规则制定主导权。
五
国内数据安全治理现状
(一)数据安全政策持续加码
一是,目前我国已出台《网络安全法》、《民法典》、《数据安全法(草案)》和《个人信息保护法(草案)》四部数据安全保护基本法律框架。
二是,围绕基本法制定的配套法规制度也在加快制定出台。
三是,数据安全相关国家标准密集出炉,包括数据跨境流动、个人信息保护、新技术新应用数据安全防范、重点领域数据安全保护等方面。
(二)数据安全执法监督机制不断完善
数据安全监管机构机制初步明确。当前,我国数据安全监管正从各部门分散监管向以中央网信部门统筹协调,行业主管部门、公安机关等部门各司其职的监管模式转变。
(三)数据安全产业生态建设稳步推进
积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。
六
我国数据安全治理面临的困境
(一)法律革新缓慢,数据行为秩序难规制
一方面,企业利用技术壁垒和快速革新优势,试图钻法律空子以脱离规制范围。
另一方面,现有的法律制度难以对企业的数据商业使用行为进行有效的规制。
(二)数据权属争议大,数据产权难确立
具体来说,不同类型的数据在权利内容上存在差异,且数据全生命周期链条上参与者众多,数据权利不完全归属于同一个主体,数据主体的不同导致利益诉求的差异性,从而引发数据权利的冲突。
(三)数据活动场景复杂,数据安全监管效能难提升
一是互联网技术日新月异,实现数据安全监管全覆盖难度大。
二是数据处理环节繁杂众多,进行数据安全监管定责难度大。
三是跨境监管没有统一国际标准,开展数据跨境流动安全监管难度大。
七
对我国数据安全治理建议
(一)完善数据安全法制建设,奠定数据安全保护基础
针对数据安全治理领域的痛点、难点问题,加快健全数据安全法律法规制度。
(二)全面加强数据安全监督管理,促进制度落实执行
一方面,建议进一步探索建立分级分类监管机制,构建中央和地方分类监管、分级负责、权责一致的监管格局。
另一方面,在完善监管组织和机构职能的基础上,建议积极主动进行监管方法和流程的创新,将可能的风险点纳入监管范围,以适应复杂多变的数据活动场景。
(三)建立平台企业数据业务有序发展机制,保障数据合法合规使用
一是压实平台企业数据主体的管理责任。
二是增强平台企业数据处理规则制定的外部参与性。
三是鼓励企业提高数据安全竞争性。
(四)推动数据安全产业发展,构建全方位数据安全保护生态
一是鼓励数据安全保护技术研究。
二是进一步推动数据安全产品落地推广。
三是培育数据安全培训、测评、认证等公共服务。
(五)推进全球数据安全治理,提升国际话语权
一是积极参与并推动数字领域国际规则制定和完善。
二是加强数据安全国际治理的影响力输出。
三是鼓励企业参与国际竞争合作。
以上是部分内容,完整白皮书,点击文章左下角“阅读原文”查看
来源丨赛迪智库
编辑丨办公室