近年来,随着我国数字化发展步伐加快,如何在保证数据安全的前提下促进数据要素有效流动和高效释放,成为数字中国建设中必须突破的核心问题。
近日,在2022中国互联网大会数据安全论坛上,中国信息通信研究院副院长魏亮介绍了数据流通包括的流通数据、流通活动、流通设施三个层次,并聚焦三个层次分析了当前数据流通安全面临的挑战,最后提出业界应聚焦以上三个层次的数据流通安全保障需求,多方协同,持续健全完善数据安全保障体系。
“当前,数据被赋予生产要素的新内涵,数据到数据要素经历了资源化、资产化和资本化的三级演进。”魏亮讲道。他认为在数据流通的过程中,数据安全的内涵也不断拓展,数据安全保护的对象也从传统的数据安全拓展到三个层次。
●数据本身的安全,即通过对数据本身采取分类分级、加密脱敏等措施,保护数据及承载信息的可用性、完整性、保密性;
●数据流通活动的安全,即通过规范各类市场主体在数据开放、共享和交易等流通活动行为,保障数据流通过程安全可控、可追溯;
●数据流通设施的安全,即保护数据流通所涉及的平台设施安全,防止其承载的海量数据丢失、泄露,保障业务在线、可追溯。
数据流通安全之路依旧考验重重
针对以上数据流通的三个层次,魏亮指明我国数据流通安全依旧面临以下挑战。
在流通数据层面:参与流通的数据形态日益丰富,数据资产梳理和分类分级难度加大。
首先,对于大中型企业而言,承载企业数据的底层平台种类多,数据体量庞大,类型丰富,增加了内容自动化识别难度和成本。其次,数据形态、内容、场景的变化影响数据分类分级的策略,据调查研究发现,41.7%的企业认为数据一直处于动态变化,数据分类分级难以保持。最后,在规则制定和落地实施方面,各地区、部门数据分类分级制度的定位和规则理解存在差异,企业平衡业务发展和安全的思路方式有待探索。
在流通活动层面,数据资源高度集中,日趋复杂的新技术、新应用、新场景引发数据滥用、数据污染等问题。
首先,数据流通属于典型的卖方市场,一些平台企业借助“数据+算法”强化对用户锁定和设计平台之间互通障碍,甚至滥用数据,不利于数据要素价值的充分释放。其次,人工智能在深度学习过程中,需要大量数据样本和算法练习,存在数据被污染而导致误判危险。再次,数据流通市场化建设推动数据加速从企业内部流通延伸至外部共享、交易和使用,也增加了数据要素流通的后链路风险。最后,数据流通涉及多类多个主体,从供需双方扩展到数据提供方、使用方、平台管理方、服务提供方,致使传统谁运营谁负责的原则难以适应第三方。
在流通设施层面,数据流通设施平台开放互动增强,数据安全防护压力加大。
首先,算力泛在化演进和协同调度导致数据暴露面增加,从端侧看,终端设备类型复杂,难以采用统一的安全防护措施;从边侧看,边缘计算节点能够获取并存储用户大量原始敏感数据,但安全防护措施受限;从调度方式看,算力网络中存在跨系统、使用数据流转路径和目标算力节点安全状态不可控。其次,数据高度汇聚集中,极易引发数据大规模泄露。最后,平台接口应用多样化、复杂化导致安全风险敞口增大。
多方协同、共创数据流通治理格局
魏亮表示,围绕以上提到的数据流通三个层次的安全保障需要,应充分发挥政府、行业、企业各方资源和技术优势,推动形成多方协同、齐抓共管的治理格局。
政府部门应通过政策引领等方式,在流通数据层,明确各类各级数据差异化的流通条件和安全要求,并结合流通利用和安全保护需求制定流通数据负面清单;在流通活动层,探索分级分层市场准入、“沙盒”监管等创新机制,适度给予创新容错空间;在流通设施层,建立交易平台准入评估机制,探索建设跨区域一体化数据流通平台、“数据银行”等基础设施,搭建安全流通环境。
行业机构应结合各领域特点,在流通数据层,加快制定数据分类分级标准规范,开展非结构化数据、重要数据自动识别、分析、达标等技术攻关;在流通活动层,开展安全多方计算、联邦计算、数据水印等流通安全技术攻关;在流通设施层,大力发展面向流通需求的安全检测、评估、认证等专业服务。
企业主体应全面落实国家和行业数据分类分级管理要求,在流通数据层,积极应对新技术提升数据分类分级的及时性和准确度;在流通活动层,建设内部数据流通安全一体化管理平台,强化政企协同联动;在流通设施层,定期开展流通设施安全监测评估,持续提升安全保护能力。