近日,在2022中國互聯(lián)網(wǎng)大會(huì )數據安全論壇上,中國信息通信研究院副院長(cháng)魏亮介紹了數據流通包括的流通數據、流通活動(dòng)、流通設施三個(gè)層次,并聚焦三個(gè)層次分析了當前數據流通安全面臨的挑戰,最后提出業(yè)界應聚焦以上三個(gè)層次的數據流通安全保障需求,多方協(xié)同,持續健全完善數據安全保障體系。
“當前,數據被賦予生產(chǎn)要素的新內涵,數據到數據要素經(jīng)歷了資源化、資產(chǎn)化和資本化的三級演進(jìn)。”魏亮講道。他認為在數據流通的過(guò)程中,數據安全的內涵也不斷拓展,數據安全保護的對象也從傳統的數據安全拓展到三個(gè)層次。
●數據本身的安全,即通過(guò)對數據本身采取分類(lèi)分級、加密脫敏等措施,保護數據及承載信息的可用性、完整性、保密性;
●數據流通活動(dòng)的安全,即通過(guò)規范各類(lèi)市場(chǎng)主體在數據開(kāi)放、共享和交易等流通活動(dòng)行為,保障數據流通過(guò)程安全可控、可追溯;
●數據流通設施的安全,即保護數據流通所涉及的平臺設施安全,防止其承載的海量數據丟失、泄露,保障業(yè)務(wù)在線(xiàn)、可追溯。
數據流通安全之路依舊考驗重重
針對以上數據流通的三個(gè)層次,魏亮指明我國數據流通安全依舊面臨以下挑戰。
在流通數據層面
首先,對于大中型企業(yè)而言,承載企業(yè)數據的底層平臺種類(lèi)多,數據體量龐大,類(lèi)型豐富,增加了內容自動(dòng)化識別難度和成本。其次,數據形態(tài)、內容、場(chǎng)景的變化影響數據分類(lèi)分級的策略,據調查研究發(fā)現,41.7%的企業(yè)認為數據一直處于動(dòng)態(tài)變化,數據分類(lèi)分級難以保持。最后,在規則制定和落地實(shí)施方面,各地區、部門(mén)數據分類(lèi)分級制度的定位和規則理解存在差異,企業(yè)平衡業(yè)務(wù)發(fā)展和安全的思路方式有待探索。
在流通活動(dòng)層面,數據資源高度集中,日趨復雜的新技術(shù)、新應用、新場(chǎng)景引發(fā)數據濫用、數據污染等問(wèn)題。
首先,數據流通屬于典型的賣(mài)方市場(chǎng),一些平臺企業(yè)借助“數據+算法”強化對用戶(hù)鎖定和設計平臺之間互通障礙,甚至濫用數據,不利于數據要素價(jià)值的充分釋放。其次,人工智能在深度學(xué)習過(guò)程中,需要大量數據樣本和算法練習,存在數據被污染而導致誤判危險。再次,數據流通市場(chǎng)化建設推動(dòng)數據加速從企業(yè)內部流通延伸至外部共享、交易和使用,也增加了數據要素流通的后鏈路風(fēng)險。最后,數據流通涉及多類(lèi)多個(gè)主體,從供需雙方擴展到數據提供方、使用方、平臺管理方、服務(wù)提供方,致使傳統誰(shuí)運營(yíng)誰(shuí)負責的原則難以適應第三方。
在流通設施層面,數據流通設施平臺開(kāi)放互動(dòng)增強,數據安全防護壓力加大。
首先,算力泛在化演進(jìn)和協(xié)同調度導致數據暴露面增加,從端側看,終端設備類(lèi)型復雜,難以采用統一的安全防護措施;從邊側看,邊緣計算節點(diǎn)能夠獲取并存儲用戶(hù)大量原始敏感數據,但安全防護措施受限;從調度方式看,算力網(wǎng)絡(luò )中存在跨系統、使用數據流轉路徑和目標算力節點(diǎn)安全狀態(tài)不可控。其次,數據高度匯聚集中,極易引發(fā)數據大規模泄露。最后,平臺接口應用多樣化、復雜化導致安全風(fēng)險敞口增大。
多方協(xié)同、共創(chuàng )數據流通治理格局
魏亮表示,圍繞以上提到的數據流通三個(gè)層次的安全保障需要,應充分發(fā)揮政府、行業(yè)、企業(yè)各方資源和技術(shù)優(yōu)勢,推動(dòng)形成多方協(xié)同、齊抓共管的治理格局。
政府部門(mén)應通過(guò)政策引領(lǐng)等方式,在流通數據層,明確各類(lèi)各級數據差異化的流通條件和安全要求,并結合流通利用和安全保護需求制定流通數據負面清單;在流通活動(dòng)層,探索分級分層市場(chǎng)準入、“沙盒”監管等創(chuàng )新機制,適度給予創(chuàng )新容錯空間;在流通設施層,建立交易平臺準入評估機制,探索建設跨區域一體化數據流通平臺、“數據銀行”等基礎設施,搭建安全流通環(huán)境。
行業(yè)機構應結合各領(lǐng)域特點(diǎn),在流通數據層,加快制定數據分類(lèi)分級標準規范,開(kāi)展非結構化數據、重要數據自動(dòng)識別、分析、達標等技術(shù)攻關(guān);在流通活動(dòng)層,開(kāi)展安全多方計算、聯(lián)邦計算、數據水印等流通安全技術(shù)攻關(guān);在流通設施層,大力發(fā)展面向流通需求的安全檢測、評估、認證等專(zhuān)業(yè)服務(wù)。
企業(yè)主體應全面落實(shí)國家和行業(yè)數據分類(lèi)分級管理要求,在流通數據層,積極應對新技術(shù)提升數據分類(lèi)分級的及時(shí)性和準確度;在流通活動(dòng)層,建設內部數據流通安全一體化管理平臺,強化政企協(xié)同聯(lián)動(dòng);在流通設施層,定期開(kāi)展流通設施安全監測評估,持續提升安全保護能力。
