查看原文
其他

专题·网络安全回顾与展望 | 2022年度国内数据安全的现状与发展

The following article is from 中国信息安全 Author 李建彬等

文│华北电力大学 李建彬 李智勇 李诗珂

2022 年 12 月 19 日,中共中央、国务院对外发布了《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》相关链接:重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理四个方面初步搭建我国数据基础制度体系,提出了 20 条政策举措。这一文件的发布,对加快我国数据基础制度建设,推动我国数字经济高质量纵深发展具有划时代的里程碑意义。
随着新一轮科技革命和产业变革深入发展,数据作为关键生产要素的价值日益凸显,深入渗透到经济社会各领域全过程,数字经济成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数据安全作为数字经济发展的基石,其内涵和外延以及发展逻辑正发生着深刻的变化,数据安全风险的危害性已经外溢到政治、科技、经济和社会等多个领域。
2022 年,我国《数据安全法》和《个人信息保护法》颁布施行一周年,这一年里,我国数据安全战略布局初步形成,数据安全标准化工作加速推进,数据安全技术发展方兴未艾,数据安全审查与监管措施逐步完善,数据安全产业发展迅猛,数据安全市场需求旺盛,数据安全管理及个人信息保护认证体系逐步构建,数据安全各项工作都取得长足的进步。但也应看到,随着数字经济规模的快速增长,我们面临的数据安全问题越来越严峻复杂,特别是大规模数据泄漏和勒索软件攻击事件频发,造成的损失规模越来越大,同时由于国家与地区间冲突、网络恐怖主义、全球网络犯罪集团因素的影响,全球数据安全格局正发生着日益深刻的变化。我们必须以全球化的视野,站在国家安全的高度,重新审视数据安全的发展范式,构建适应未来数字经济发展模式的数据安全治理体系,为我国数字经济高质量健康发展保驾护航。

一、数据安全年度发展

在数字经济时代,建立数据安全治理体系,强化数据安全保护,既是数据安全产业自身发展的主观需要,也是国家监管的客观要求。本节从数据安全战略布局及政策法规、标准化、技术发展与演进、产业发展、评估认证、人才体系建设等六个维度,对 2022 年度数据安全发展进行全面解析。
(一)战略布局及政策法规
当前数据已经成为新型生产要素,是数字经济时代的核心产物,全方位构筑数据安全、为数字经济保驾护航,也被提升到了国家战略的高度。“十四五”规划强调,提高发展数字经济、加快培育发展数据要素市场,应把保障数据安全放到突出位置。在国家数据安全总体战略布局下,近年来我国针对数据安全相继出台了《数据安全法》《个人信息保护法》《网络安全审查办法》以及《数据出境安全评估办法》等一系列的法律法规,发布了《“十四五”大数据产业发展规划》《“十四五”国家信息化规划》以及《“十四五”数字经济发展规划》等政策要求,强调以立法规范为重点,增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。2022 年是党的二十大召开之年,也是实施“十四五”数字经济规划承上启下的重要一年,做好数据安全工作意义重大。
(二)数据安全标准化
数据安全标准体系立足于产业发展,有明显的产业特征,内容多、覆盖率广,不仅要有技术产品、应用方面的标准,还要有产业人才、产业创新载体等方面的标准。我国一直重视数据安全标准化工作,加速推进数据安全产业标准体系设计与研究工作,相关单位机构正在进行标准的规划与研制实施工作。到目前为止,全国信息安全标准化技术委员会已发布数十项数据安全和个人信息保护国家标准,如数据安全能力成熟度、大数据安全、政务数据安全共享开放、个人信息安全等标准,覆盖基础共性、安全技术、安全管理、安全测评和典型应用五大类。同时,国家积极推广大数据安全标准应用,加强大数据安全标准化人才培养以及深度参与大数据安全国际标准制定。
(三)数据安全技术发展与演进
在数字经济时代,数据具有广泛性、分散性、多样性、复杂性的特点,在数据资产发现与梳理、数据分类分级、权限管控、数据合规、数据分析、数据流转等方面均存在技术难点。同时,数据安全审查和监管力度不断加大,对数据合规性提出更高要求,数据安全技术也需要持续地发展和演进。鉴于上述情况,防 SQL 注入、数据库安全防护、认证与访问控制、加密、审计、去标识化等相对成熟的数据安全技术正在加速落地,已形成多样化的产品和服务;面向数据共享、流通和交易过程的隐私计算技术已成为研究热点并开展试点工作,其中包含了密码学为基础的多方安全计算技术、以分布式机器学习为基础的联邦学习技术以及依托于硬件加密的可信执行环境技术等。
(四)数据安全产业发展
近年来,国家注重数据安全产业的整体布局,在国家“十四五”规划、二十大报告等顶层战略的指引下,我国数据安全产业发展逐步形成了以下特点。一是数据安全标准体系框架已经基本形成,规范了数据安全产业的发展。二是国家对技术创新支持力度不断加大,数据安全产业生态稳步推进。三是数字化转型步伐加速,数据规模持续扩大,数据安全市场需求旺盛,各大安全企业引领行业发展。四是我国数据安全产业已初具规模,创新能力不断增强,产品体系逐步建立,需要建立更高水平的公共服务能力。
(五)数据安全评估认证
为全面提升数据安全保障能力、风险发现能力,确保数据安全风险可控,需要开展数据安全风险评估以及数据安全能力评估认证等方面的工作。
从数据安全风险角度看,重点要针对组织数据收集、存储、使用、加工、传输、提供、公开等活动,根据相关法规标准要求,按照风险分析的方法,分析网络运营者的数据相关活动中存在的安全风险。
从数据安全管理角度看,是如何衡量拥有数据的组织的数据安全保护能力,开展数据安全能力评估。我国开展数据安全能力评估重点依据两个标准,分别是《数据管理能力成熟度评估模型》(DCMM)和《数据安全能力成熟度模型》(DSMM),两个标准关注数据安全保护能力的侧重点各有不同。
从数据安全认证角度看,国家市场监督管理总局、国家互联网信息办公室联合发布了《关于开展数据安全管理认证工作的公告》和《关于实施个人信息保护认证的公告》及其实施细则开展数据安全认证相关工作,为相关工作的开展提供了依据。
(六)数据安全人才体系建设
我国数字经济蓬勃发展,数据安全为数字经济发展起到了保驾护航作用,而数据安全人才是支撑数据安全工作的基础,需要从战略、政策、标准、产品、技术、师资等方面做好数据安全人才的培养。
数据安全人才从专业细分的角度应具备 4 个能力。数据安全管理能力,即利用先进的理念和方法来实现数据管理能力;数据安全运营能力,组织内持续性地落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断地调整和优化;数据安全技术能力,需要技术和工具平台的支撑,来实现数据安全能力的建设;数据安全合规能力,准确识别数据合规要求,并能够形成内部规章制度指导合规落地工作。数据安全人才培养要均衡,要形成复合型能力,不仅要具备数据安全技术能力,也要具备数据安全管理及运营能力,同时全面掌握政策要求及数据业务场景。

二、数据安全特点与热点

在过去的一年中,我国数字经济呈现蓬勃发展态势,产业规模持续快速增长,也催生了大量的新业态、新模式,数据要素已成为数字经济深化发展的核心引擎,数据安全也成为事关国家安全和经济社会发展的重大议题。本节重点对 2022 年国家在数据安全方面的战略布局、数据安全标准化工作、数据安全技术发展、数据安全产业发展、数据安全市场需求、数据安全审查与监管情况以及数据安全认证认可制度进行分析和阐述,明确现阶段的数据安全问题及风险。
(一)数据安全战略布局初步形成
2022 年以来,数据安全与个人信息保护被提升到前所未有的高度,是支撑建设全域联动、立体高效的国家安全防护体系重要组成。我国数据安全战略布局已初步形成,具体表现在以下五个方面。一是国家在数字经济发展、大数据行动计划等战略性文件中,对数据安全做出了相应的工作部署,数据安全顶层设计初见轮廓。二是在总体国家安全观的指引下,《数据安全法》《个人信息保护法》与《网络安全法》共同构成了我国数据安全立法的基础,数据安全法律框架初步建立。三是网信、公安、市场监管等部门普遍以专项行动为牵引,持续加大对违法违规收集使用个人信息、数据非法获取和交易等重点热点问题整治,数据安全监管实践有序推进。四是数据安全需求全面释放,数据安全产业发展迎来重大机遇,数据安全产品、咨询规划、评估测试等业务增长迅速,数据安全产业发展持续向好。五是做好数据安全相关法规的贯彻落实,配套制定数据分类分级、数据出境管理、数据安全评估等相关法规政策,数据安全配套细则逐步完善。
(二)数据安全标准化工作加速推进
2016 年,全国信安标委(TC260)成立大数据安全标准特别工作组(SWG-BDS),主要围绕数据安全和个人信息保护两个方向研制相关标准,先后发布了《大数据服务安全能力要求》《数据安全能力成熟度模型》《个人信息安全规范》等重要标准。目前,数据安全国家标准体系包括了基础共性、安全技术、安全管理、安全测评和典型应用五大类,包含 50 多项标准。
2022 年,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2022 年第 13 号),全国信息安全标准化技术委员会归口的 14 项网络安全国家标准获批发布,其中 12 项涉及数据安全与个人信息保护,包含步态识别、基因识别、声纹识别、人脸识别、智能汽车、即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车、个人信息安全工程等领域,对数据安全要求做出了详细的说明。
(三)数据安全技术发展方兴未艾
数据安全技术最初是网络安全技术的一个分支,随着数字经济的发展和信息技术的演进,逐渐形成一套独立的技术体系,成为热点研究领域,进入快速发展期。当前,数据安全技术领域不断细分,技术体系不断完善。数据安全技术由早期以数据库安全为核心,逐步发展为数据分级分类、数据安全平台、数据监控与审计技术。现今,隐私计算等技术也开始得到广泛应用。
目前,数据安全技术应用的热点主要集中在数据加密、数据脱敏、数据识别、数据标记、数字水印和隐私计算等方面。数据加密技术从静态数据加密向动态数据加密扩展;数据脱敏技术可以在不泄露敏感信息的前提下保留数据源的可用性,是目前应用最多的数据安全保护技术手段;数据识别技术主要目标是识别和发现敏感数据,从而能够更有效地实施敏感数据保护,是精准数据安全防护的基础;数据标记技术是指对需要保护的数据增加标记信息,是实现数据分类分级安全防护的基础;数字水印技术也逐渐走向实用阶段,其常与密码学相结合以增加安全性;隐私计算是在提供隐私保护的前提下,实现数据价值挖掘的技术。
(四)数据安全审查与监管措施逐步完善
世界各国政府逐渐意识到,数据与国家安全和国际竞争力紧密关联,对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度。数据安全已经成为全球性安全问题,应对数据安全的政策持续得到优化,主要体现在:加强数据安全顶层设计,强化数据及个人信息保护相关立法以及数据安全标准指南,加强数据安全保护治理以提升执法效率。各国持续加大数据安全的治理强度,加大对大型互联网公司的数据监测、治理、执法力度。数据作为国家重要的生产要素和战略资源,其日益频繁的跨境流动带来了较大的安全隐患,开展数据安全审查与监督工作势在必行。
2022 年 2 月 15 日,国家互联网信息办公室会同国家发展改革委、公安部、工业和信息化部等十三个部门联合发布的《网络安全审查办法》正式施行,推动国家数据安全治理进入新阶段。2022 年 7 月 7 日,国家互联网信息办公室正式发布《数据出境安全评估办法》,重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并对在此之前发生的数据出境活动设置六个月的整改期。
(五)数据安全产业发展迅猛
国家战略全面布局,政策法规多方引导,都凸显了数据安全的重要性,提升了社会各界对数据安全和个人信息保护重视程度,成为数据安全产业快速发展的重要前提。具体体现在以下四个方面。一是数据安全产业布局更加合理,国家统筹布局数据开发利用和大数据产业发展。二是数据安全产品与服务发展迅速,数据资产管理、分类分级、安全监测等产品形态多样,数据库安全、数据脱敏、数据防泄漏产品相对成熟,数据安全合规评估、数据安全规划咨询、数据安全治理以及数据安全防护能力评定等方面的服务持续开展。三是数据安全产业发展环境不断优化,数据安全国家标准相继出台,有力支撑相关法律法规的落地实施,各行业数据安全标准陆续发布,有效指导行业数据安全实践工作。四是数据安全产业发展驱动力强劲,数据安全重视程度持续提升,数据安全合规性需求不断扩大,产业数字化强力推动,新兴领域技术发展引领。
(六)数据安全市场需求旺盛
目前,我国数据安全行业市场规模增长的主要推动力来自各行业需求量的快速增长,主要包括政府、金融、电信等政企用户,并逐步发展到医疗、交通、能源等各领域。从政府行业需求分析,2021 年 12 月《“十四五”数字经济发展规划》发布,深化政务数据的有序共享、开发利用和数据安全成为政府行业数字化工作的重点。从电信行业需求分析,2021 年 11 月 16 日工信部公布《“十四五”信息通信行业发展规划》,明确建立健全数据分级分类、重要数据保护、数据跨境流动等数据安全管理制度,加快构建数据安全风险技术监测体系,大力发展应用网络和数据安全先进适用技术。从金融行业需求分析,2022 年 1 月 12 日央行印发《金融科技发展规划(2022—2025 年)》,数据要素成为新增核心内容,被升级成为金融业的生产要素。从医疗卫生行业需求分析,伴随医疗卫生数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展,各种新业务、新应用不断出现,医疗卫生数据在全生命周期各阶段均面临着越来越多的安全挑战,卫健委和医保局相继出台数据安全相关指南和管理办法。
(七)数据安全问题依然严峻复杂
在数据时代,通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络,实现数据窃取或破坏的安全事件时有发生,新的攻击和外部数据安全威胁层出不穷。数据安全问题严峻复杂,主要集中在以下六个方面。一是非法贩卖数据已成为灰色地带,个人信息被疯狂倒卖,给个人人身、财产、生命安全带来了较大危害。二是数据作为国家重要的生产要素和战略资源,其日益频繁的跨境流动带来了潜在的国家安全隐患。三是金融、能源、医疗生物等高价值特殊敏感数据泄露风险正在加剧。四是国家行为、有政治背景的境外黑客组织逐渐加大对我国关键信息基础设施攻击力度,试图获取机密重要数据。五是人工智能、生命科学等新技术的快速发展和广泛应用,加剧了隐私暴露、数据泄漏的风险。六是数据成为互联网平台企业发展和盈利的核心引擎,由此也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。
(八)数据安全管理及个人信息保护认证体系逐步构建
我国数据安全认证体系正在逐步构建和完善,已经建立了 App 个人信息保护认证、数据安全管理认证、个人信息保护认证等 3 种数据安全认证制度,较好补充了我国数据安全认证认可制度的不足,推动建立更加科学高效的数据安全治理体系。
2022 年 6 月 9 日,国家市场监督管理总局、国家互联网信息办公室发布《关于开展数据安全管理认证工作的公告》及实施规则,决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。数据安全管理认证的认证模式为:技术验证+现场审核+获证后监督。
2022 年 11 月 4 日,国家市场监督管理总局、国家互联网信息办公室发布了《关于实施个人信息保护认证的公告》及实施规则,这是我国史上首个关于个人信息保护认证的专项制度,确立了个人信息保护认证在我国个人信息保护法律体系当中的正式地位。个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。

三、重点关注的几个问题

随着数据基础制度的逐步建立,数据安全问题更多地集中在了数据要素流通交易领域,这种情况下,数据安全势必会产生新的问题、新的形态和新的模式,我们应顺势而为,着手构建新形势下数据安全治理体系。为了构建新形势下数据安全治理体系,除了要充分考虑数据要素流通中数据交换、数据集成、数据存储、数据资产管理等方面安全风险,还要重点关注数据安全合规治理、数据供应链安全、数据安全保险、新型数据安全产业生态等四个方面的问题。
(一)数据安全合规治理
2022 年 7 月 21 日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币 80.26 亿元罚款,这一数据安全领域标志性事件使得数据安全合规一时成为该领域的热门话题。数据安全是一项复杂的系统性工程,涉及法律法规和标准规范众多,数据安全标准解析与落实难度大。为化解新形势下数据安全系统性风险,应从制度、技术和管理三个方面构建立体化数据安全合规治理体系,使得合规行为成为组织运营的有机组成部分。
(二)数据供应链安全
数据要素流通交易带来的最直接的安全风险就是不论数据供应链哪个环节出现问题,都会引发以数据为驱动力的业务和以数据为原材料的产品的安全风险。因此,加强数据供应链安全问题研究,构建数据供应链的安全保障体系,化解数据供应链安全风险,成为新形势下数据安全领域的一项需要优先解决的问题。数据供应链安全应以数据生命周期为基础,从组织建设管理、制度保障管理、技术支撑管理、人员执行管理等维度构建保障框架,对供应方、合作方、集成方、服务支撑方等相关方,从组织建设、制度流程、技术防护、人员能力等四个方面进行要求,尽可能确保数据供应链安全。
(三)数据安全保险
网络安全保险作为风险转移的重要手段,在转移残余风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用,可以有效聚合各方力量,共同提升网络安全风险治理水平。随着数据要素定价确权以及授权制度的逐步完善,数据安全保险作为网络安全保险的一个重要组成部分,基本具备了先行先试的条件。通过完善数据安全保险体制机制,可有效提升全社会数据安全风险管理水平和能力,降低社会总成本,落实组织在数据安全方面的社会责任。
(四)新型数据安全产业生态
随着数据要素市场的逐步形成,亟需构建保障要素市场安全稳定运行的新型数据安全基础设施。作为平衡数据流通与安全的重要工具,隐私计算正在成为数字经济的底层基础设施,为各行各业搭建坚实的数据应用基础。随着政策与需求的双重驱动,隐私计算技术和产品的成熟度快速提升,在金融、通信、政务、医疗等行业的应用加速落地。但由于标准滞后,政策不明朗,目前隐私计算在互联互通、性能效率和业务价值体现等方面仍存在较大障碍。为了充分发挥隐私计算等新型数字经济基础设施的作用,保障数字经济健康稳定发展,应围绕隐私计算等以密码技术为基础的数据安全基础设施建设,尽快形成新型数据安全产业生态,加快这一生态体系的政策法规、技术标准、运营体系、市场规制等方面的建设。

四、结 语

随着我国数据基础制度体系的逐步完善,数据要素市场逐步构建,数据安全将越来越注重数据要素价值的保护,2022 年数据安全的发展充分印证了这一点。基于要素价值保护的数据安全,在传统数据安全基础上将演进出新的技术形态和产业生态,也将衍生出新的需要攻关的科学问题。同时,随着一系列数据安全相关的政策法规和标准规范出台,无论对数据安全的供给者,还是需求者,抑或监管者都带来了一系列亟须解决的新问题。
未来,我们应从法律法规体系成熟度、行业及技术标准完备性、技术持续创新能力以及数据安全人才梯队培养的均衡性等方向,使数据安全逐步从粗放式向精细化演进、从合规驱动向合规治理发展,逐步构建适应新形势的新型数据安全治理体系,形成以数据要素价值保护为目标、以能力建设为导向、以风险管理为主线、以合规治理为抓手、以新型数据安全基础设施为支撑的全新发展模式,打造成熟的数据安全全新生态,为更好发挥数据要素作用,促进数据要素市场的健康发展创造一个良性治理环境。





END


2023年中央一号文件:加强农业信用信息共享!

总投资50亿!这个基地在渝落户

广东2023年将从五大方面发力数字政府建设!

涉及个人金融信息保护等23项违法行为,厦门银行被罚764万元

欢迎投稿

邮箱:kedakeyin@openmpc.com

参与更多讨论,请添加小编微信加入交流群

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存