查看原文
其他

大数据时代下的《数据安全法》

陈宝剑 中国保密协会科学技术分会 2022-10-02

引    言


2019年全国政协十三届二次会议上,全国政协委员、360集团董事长兼首席执行官周鸿祎在提案里提到了IMABCDE字母歌。IMABCDE每个字母都有所指代,分别是IoT、移动通信、人工智能、区块链、云计算、大数据、边缘计算。周鸿祎通过这样的方式来解读数字经济,加深了人们对这些互联网技术的印象。

随着互联网技术以及信息全球化的发展,数据跨境流动愈加频繁,数据也成为各国博弈的新领域。前有美国《爱国者法》的数据霸权主义,后有《欧盟通用数据保护条例》通过赋予数据主体访问权、更正权、限制处理权、知情权、反对权等权利,防止美国等国家利用数据优势地位威胁欧盟的主权独立和国家安全。

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》。从《数据安全法》的内容可以看到我国在数据安全立法工作层面取得了不错的进展,其中的亮点包括安全发展的思路,数据交易的规范化要求等等。

本文将讨论《数据安全法》的亮点,并分析过程中提出了一些自己的建议,并在文章最后针对数据共享安全的问题提出了一些可以采用的技术,希望对于细化的法规和标准有所帮助。

一、数据安全的意义


随着信息技术的高速发展,大数据正在成为一种全新的国家实力要素。自2015年十八届五中全会首次提出“国家大数据战略”以来,大数据在我国发展迅速,无论是产业界的技术革新,还是政府的制度、法律法规建设和基础设施建设,都取得了卓有成效的进展。

长期以来,中国的互联网企业发展处于一个相对宽松的监管环境,这一定程度上促进了企业的商业模式创新和技术方案的最佳实践,催生了很多新的互联网公司。但是也导致了很多问题,更有企业家说出了“中国人不在乎隐私”这样的话。虽然当下中国网民确实缺乏相应的意识,但是更主要的原因是企业在相对宽松的环境下无所作为。企业除了商业利益,根本不在乎用户的数据安全和隐私安全,肆意践踏还在形成过程中新的互联网社会秩序。针对这样疯狂的个人数据采集行为,公民是否有权说“不”,数据的归属权等等问题亟待解决。

针对这样的问题,2018年5月25日正式生效的《欧盟通用数据保护条例》(GDPR),为我们提供了针对这一系列AI、大数据时代下,企业与个人之间数据立法的借鉴。2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》。该法案明确了数据安全的重要性以及具体的管理办法。数据安全是大数据时代的主题,只有进行科学有效的数据安全治理,才能确保数字经济的持续健康发展,这是我国国民经济和社会发展的重要任务。

图1 数据安全至关重要

二、《数据安全法》的定位


在大数据时代,数据治理主体呈现出多元性的特征,政府、企业和个人都是数据安全治理的直接参与者和主要利益相关方。

《数据安全法》的目的可以概括为“保障数据安全,促进数据开发利用,维护国家主权和安全”。可能有人会好奇《数据安全法》跟《网络安全法》的区别,个人认为数据是网络空间中信息的载体,《网络安全法》规范的是计算的资源与环境安全,而《数据安全法》则聚焦在数据全生命周期的安全,更为广泛,其内容对数据交易/共享这样一个大量信息传输的过程进行了较为严格的规范,包括实施数据交易管理;相比《网络安全法》对于分级数据保护的规定也更加系统和明确。同时,《数据安全法》体现的是国家安全层面的法律,相较于《个人信息保护法》的个体安全,是一种顶层建设。这样,《网络安全法》、《个人信息保护法》、《数据安全法》三法就构成了信息技术领域安全的完整法律框架。相信在不久的将来,会有大量法规对各行各业的数据安全保护做出明确的分级分类标准,促进数据安全的具体实施。

三、《数据安全法》的安全发展思路


以往政府机构的数据治理项目常常失败,各自为政、政出多门、数据封锁等孤立化、碎片化的组织管理体制已经成为阻碍我国政府数据开发利用的主要障碍。北京和无锡这样的数据治理项目起到了很好的带头作用,提升电子政务的服务效能,扩大民主参与,加速大数据时代企业的创新与发展。

我国数据安全的发展思路可以概括为:中国国家安全机构领导数据安全工作,省级政府制定数字经济发展规划,市级政府根据省级规划和自身特点和优势建设大数据基础设施并提供政务数据服务,从而提升数据服务经济社会发展的能力,企业则根据具体的标准和行业法规实施数据保护,并将重要数据上报有关单位。企业内部也应当制定内部数据许可使用政策,强化内部数据的使用规范。

四、《数据安全法》中数据交易平台的规范化


为了打破数据孤岛问题,国家做出了很多努力。《数据安全法》中提到将建立健全数据交易管理制度,极有可能以后在数据交易行业实行牌照制度,将数据交易纳入许可经营范围中,合法合规企业才能开展此业务,这有利于数据的安全交易、推动大数据的发展。这也是《数据安全法》的一大特色,将数据传输这一信息技术的核心纳入进来,有利于促进信息价值的扩大化,实现更高层次的数据价值。

我国当前有很多政策引导、地方政府和产业界建设的大数据交易平台,如上海数据交易中心,贵阳大数据交易所。这些大数据交易平台是就2015年《促进大数据发展行动纲要》提出的数据交易市场试点的积极响应。

同时,考虑到国家安全因素,国家层面可以采取跟水电燃等关键基础设施一样的措施,在数据交易经营许可上排除具有外资背景的企业,并严格对相关企业开展的活动进行严格的安全审查。

五、《数据安全法》缺乏对具有“外部效应”数据的保护


数据安全分级一般有三种级别,重要数据、敏感数据、一般数据。但是在具体实施过程中,除了对特别数据和敏感数据进行管制之外,还应该积极吸收剑桥分析丑闻给予的警示作用。该事件中,Facebook疏于对第三方进行数据收集行为的管理,导致大量个人数据被收集并用于剑桥分析公司的数据分析,该公司产出了关于英国脱欧以及美国特朗普大选的重要报告,并对后期事态的发展起到了重要的作用。2020年4月23日,美国联邦法院批准了Facebook与美国联邦贸易委员会就剑桥分析丑闻的50亿美元和解协议。

图二 剑桥分析丑闻事件

这些“普通”的数据,却对政治大事件产生了如此重要的影响,充分体现了数据的溢出效应。在当前的《数据安全法》草案中尚缺乏对于这一类具有“外部性”的特性数据更高水平的安全保护。当前情况下,我们应该采取更为严格的措施对可能产生“外部效应”的舆情数据进行监管保护,积极建设社交媒体的舆情监管机制,要求企业充分明确自身在舆情过程的引导作用,加强自身对于数据爬取等方面的技术限制,避免发生类似的事情,避免境外势力利用这些数据影响我国舆情,从而充分保护国家安全。

六、《数据安全法》亟需的法规和标准、技术补充


数据安全涉及到很多方面,其中最难解决的就是安全共享的问题。数据传输可以使用加密等方式,但是无法保障接收方在数据处理过程中对数据的使用不超过某种限度。更为细化的法规和产业标准应该及时并充分合理的考虑这些因素,并根据分级分类的办法对企业进行相关措施落实的监管。

传统的数据匿名化、数据脱敏并不能完全保障敏感信息,关联攻击可以通过关联一些相关数据,从其他数据中关联获取匿名化的数据。所以在详细的标准中应该充分考虑这些问题。

同态加密可以解决数据共享的问题,但是计算效率较低,因为全同态加密仅支持加法同态、乘法同态这两种线性运算,对于复杂的运算需要使用泰勒公式进行展开近似,存在一定的误差。这种计算成本高昂的技术适合用于我国当前未公开的国家数据在政府部门之间的流转计算使用,避免数据的直接暴露。

区块链技术可以很好地解决数据安全问题,实现加密和追溯,可用于一些场景的多参与方的数据共享。也可以用于关键信息基础设施,如自由的根CA建设,避免供应链攻击导致的数据泄露。

联邦学习技术可以避免敏感数据的直接暴露,可以用于规范企业对于个人数据最小限度使用,让企业无法直接获取用户的个人数据。同样,联邦学习也可以用于企业对于多个下级政府数据的汇总使用过程。

差分隐私、安全多方计算等技术都可以起到一定的保护作用,具体的标准需要针对行业和特定应用场景设计相关标准。

参考| 文献

[1]中国人大网.数据安全法( 草案) 征求意见[EB /OL].[2020- 07-04].http: / /www .npc.gov.cn.

[2]马忠法,胡玲.论我国数据安全保护法律制度的完善[J].科技与法律(中英文),2021(02):1-7+75.

[3]周若涵. 数据安全风险对国家安全的挑战及法律应对[A]. 上海市法学会.《上海法学研究》集刊(2021年第1卷 总第49卷)——上海市法学会国家安全法治研究小组文集[C].:上海市法学会,2021:8.

[4]胡键.基于大数据的国家实力:内涵及其评估[J].中国社会科学,2018(06):183-192.

中国保密协会

科学技术分会

长按扫码关注我们

作者:陈宝剑

责编:夏璐璐

2020年精彩文章| TOP5回顾

从使馆焚烧文件说说碎纸及复原技术

从一场全球关注的涉密会议谈起光纤窃听与防护美国应对新冠病毒在关键基础设施安全方面的建议信息产业自主生态建设综述

近期精彩| 文章回顾

天基系统安全威胁及各国应对措施
主动学习在网络攻击识别中的应用简介
网络动态风险评估框架
浅谈无人机威胁与脆弱性评估
恶意UAS活动威胁防护措施

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存