从《全球数据安全倡议》看数据安全
2021-01-07
来源: 中国信息安全
针对全球数据安全领域复杂的国际形势,中方于2020年9月8日提出《全球数据安全倡议》(以下简称《倡议》),为数据安全治理提供蓝图。《倡议》期望通过一系列务实举措与各方一起共同加强数据安全、个人隐私和国家安全的协调发展,促使各国更加重视网络安全和数据安全建设,推动全球数字经济产业的发展与合作。在经济全球化的背景下,数据共享、流通和交易乃大势所趋,如何保障数据安全,并以数据安全促进全球数字经济健康持续发展,值得思考。
一、数据和数据安全的内涵与外延正在发生变化在数字经济时代,数据作为新的生产资料被认为是生产要素和新黄金,其重要性不言而喻。而且,流动和共享成为数据的新特征。数据安全工作从以“系统”为中心的思路逐渐转变为以“数据”为中心的方法,全球的法律政策也转变为以个人信息及隐私保护为重点,向全面数据安全治理扩张。
应用场景的变化催生了新的数据安全技术。传统的技术,例如加密、访问控制、数据库安全审计、数据库防火墙和数据防泄露等,只能发挥局部的安全防护作用,无法满足数据流通、共享、交易等新应用场景的安全需求。为此,安全多方计算(Secure Multi-Party Computation)、数据脱敏(Data Masking)、差分隐私(Differential Privacy)、同态加密(Homomorphic Encryption)、联邦学习(Federated Learning)、零知识证明(Zero-Knowledge Proof)等新技术,被提出并得到广泛研究。虽然学术领域对这些技术的研究已有了大量积累,但是,其在现实场景中的实用性和效率问题还有待解决。目前,离这些技术的大范围普及和落地使用,仍然还有相当的距离。
数据蕴含的价值越高就越易遭受到黑客攻击,攻击方式也更加复杂多样。过去几年,各种数据安全事件频发,例如某酒店上亿客人隐私数据被泄露等,勒索软件攻击事件不断,造成的危害愈发严重。这些逐利的不断变化的数据安全威胁对数字经济秩序造成了极大的危害,需要强有力的安全防护手段和持续的安全运营,才能有效抵御。
二、数据安全已成为数字经济时代最紧迫和最基础的安全问题在数字经济时代,大数据、云计算、人工智能、物联网等技术广泛应用所产生的全球数据量呈指数级增长。数据已变成重要的生产要素和基础的战略资源,其价值日益凸显。同时,全球数据安全风险与日俱增,数据安全与隐私保护,数据存储、使用与跨境流动的风险等问题,对各国数据安全治理能力提出了新的挑战。
(一)大数据技术给数据安全防护带来改变
大数据的“4V特性”,即数据量大(volume)、数据类型多(variety)、处理速度快(velocity)和价值密度低(value),颠覆了传统的数据管理方式,使传统的数据安全技术无法有效应对大数据应用场景下新出现的安全问题。从技术维度看,网络爬虫、机器学习和人工智能等技术的发展使个人隐私数据的采集与分析变得越来越方便,个人隐私以及国家重要信息泄露,也逐渐成为非常严峻的全球问题。从意识维度看,无论是各类企事业单位等组织,还是公民个人,对数据资产的重视程度远小于对实体资产的重视。可以说,数据安全意识的严重缺失,导致对数据资产的保护意识不强,对各类风险隐患的警惕性较低,对安全技术的运用不够充分,对安全技术发展和管理体系升级的重视程度不够,这些都使数据安全治理能力存在严重不足。
(二)数据资产问题影响各类安全主体
数据作为一种重要资产,给国家安全、国防安全、社会安全和人身安全等,带来重要影响。针对大数据进行的网络攻击,不仅仅停留在商业窃密,而是以企业重要资产、国家重要机密、重要基础设施为首要目标,以期干预政治、操控舆论、颠覆政权,甚至破坏或瘫痪电力、交通、能源等关键基础设施,中断工业生产,影响军事战局。
此外,针对开放的海量数据的关联分析,也可能引发商业机密甚至国家战略性重要数据资源的泄露。数据的开放流通可用增加数据资源的商业价值和社会价值,但是,大数据融合开放也使数据权属关系将变得更为复杂,在开放流通的各个环节都可能产生用户数据滥用等法律风险。
(三)有组织的网络攻击背景强大、难以发现
有组织有背景的恶意网络攻击是数据泄露的主要原因之一,也成为全球数据安全的主要风险。由于新冠肺炎疫情的影响,远程办公模式增加了数据被恶意攻击的可能性。这类攻击者大都是有组织、集团化的犯罪团伙,甚至是具有国家背景的黑客团队和网络战部队。大量APT攻击、勒索软件攻击等,都是由以国家为背景的力量发起的。这些国家级网络攻击者利用大数据技术扩大攻击效果,发起大规模数量级的僵尸网络攻击,通过控制关键节点放大攻击效果。大数据的价值密度低,使黑客可将攻击隐藏在大数据中,使安全分析工具难以实现挖掘和分析的效力。
(四)数据共享与流通带来的安全挑战
在数字经济时代的应用场景下,数据将会频繁地跨系统、跨组织甚至跨境流动,特别是在数据共享环节,传统的数据访问控制技术无法解决跨组织的数据授权管理和数据流向追踪问题,仅靠书面合同或协议难以实现对数据接收方的数据处理活动进行实时监控和审计,极易造成数据泄露和数据滥用的风险。因为安全恐慌而不敢流通和使用数据的情况,将使许多部门对可能关系到公共安全、社会稳定和公共利益的数据,能不共享就尽量不共享,能不公开就尽量不公开,甚至搞“一刀切”,影响了数据效用的发挥。此外,国际数据跨境流动可能引发用户数据被泄露、滥用和误用等问题,也可能会给企业和国家带来技术管理、资产管理和组织管理方面的挑战。而且,跨境数据的承载介质多样、呈现形态各异、应用较为广泛,数据所在国的政策和法律又存在差异,这导致数据所有者和使用者的权限模糊,数据的应用开发存在数据被滥用等风险。
(五)数据安全成为国际性、整体性问题
一些国家以地缘政治和意识形态先行,用数字安全的名义发展自身数字攻防能力,扰乱全球数字经济规则,同时,以各种理由阻碍联合国制定网络空间规则,又利用自身在网络空间的优势地位,以单边主义的方法,对非本国数字经济企业积极实施打压,破坏全球供应链安全。而且,这些国家通过“长臂管辖”制度,违规获取他国用户数据。
此外,针对有关数据安全的全球性法律可能会冲击各国执法机构的执法效力。例如,由于GDPR的长臂管辖原则,使很多企业被纳入其管辖范围之内,且该条例实质上扩大了欧盟监管机构对中国企业的影响。
三、加强数据安全治理的对策建议
鉴于上述数据安全现状、存在问题和面临的挑战,应该从法规标准、技术平台、产业发展、能力建设、解决方案和国际合作等方面综合应对。
(一)亟待完善数据安全标准规范和实施细则
我国高度重视数据安全,诸多法律、政策和标准先后发布或立项。2020年7月3日,《数据安全法(草案)》公开征求意见,明确了应采用数据安全治理的方法,为数据安全治理实践提供法律支撑。《网络安全法》《数据安全法(草案)》和《个人信息保护法(草案)》等上位法,给出了通用的数据安全原则和基本方法。接下来,各行业各领域和企业组织需要根据自己的实际情况和安全需求,制定包括个人信息、重要数据、数据跨境等方面的管理、技术标准与实施细则,内容覆盖数据全生命周期的数据安全要求,包括分类分级、去标识化、风险评估等内容,指导数据安全治理的具体实践,使数据安全治理措施落实到位,有法可依,有规可循。这方面的工作,急需政产学研用各方紧密协同,加快推进相关标准规范和条令条例的制定。
(二)建立具有政府公信力的数据安全服务、监管与审计平台需要建立具有政府公信力的权威大数据平台,提供专门的数据安全服务、监管和审计业务。例如,建立个人信息大数据平台,并采取加密、匿名化、访问控制和数据脱敏等安全保障措施,为需要使用个人信息的应用或组织安全地提供数据;当各类应用平台服务商需要使用个人信息时,只能向个人信息大数据平台提出申请,这样就将个人信息的使用模式从目前的多点访问模式转变成集中访问模式,为个人信息保护提供切实的安全保障。在监管层面,通过这样的权威大数据平台,可建立国家级的数据安全监管与审计体系,支持对数据流通的路径溯源和安全审计,以及实现对数据主权的确权。
(三)以政策引导数据安全产业创新布局
通过政策指导、项目扶持、需求牵引等方式相结合,引导企业加强数据安全保护产品和解决方案的创新研发。建议国家各部委、地方政府在设立科研与产业化项目、应用示范项目时,重点支持数据分类分级、数据共享安全监测、细粒度数据资源访问控制、共享数据脱敏及去标识化、跨域多模式网络身份认证、数据标记及追踪溯源、数据安全威胁监控等技术的研发、成果转化和应用示范。而且,需要发展数据安全测评、培训、认证产业,为企业或组织提供数据安全能力成熟度评估支撑,特别是在大数据开发利用的相关政策中,明确采集和处理不同数据所需要的数据安全能力成熟度等级要求,并将相关企业或组织纳入测评范围。
(四)让数据安全成为组织的竞争力
在数据安全领域,通过建立科学的治理模式,让一个组织能处理的数据类型和规模,与其数据安全能力水平挂钩。例如,健康医疗行业迫切需要利用大数据技术大幅提升技术和业务水平,而这类数据敏感程度高,因而,行业主管部门可以规定,哪些组织可以处理哪些类型的数据,或能够处理何种规模数据的组织必须证明其达到了相应的数据安全能力级别要求。这样,当一个组织想要使用健康医疗数据开展研究或拓展业务之前,需要先具备相应的数据安全能力。因此,数据安全能力越高的企业,就意味着有越大的机会处理更多类型和数量的数据,而不是增加成本。通过这样的治理方式,引导企业或组织积极提升自己的数据安全能力,实现业务竞争力与安全的正向挂钩,从而带动整个数据安全产业发展水平逐渐提高。
(五)从合规与运营两个维度打造数据安全解决方案打造“合规+运营”双轮驱动的数据安全解决方案。一方面,根据网络安全和数据安全相关标准,通过支持数据全生命周期安全保障的大数据平台或安全组件,为大数据、数字经济应用场景特别是数据的跨系统、跨组织、跨境的共享、流通和交易的应用场景,从合规维度提供完备的数据安全保障能力。
另一方面,通过大数据安全分析能力的本地化赋能,以安全运营或安全服务中心为载体,从运营维度抵御持续变化的高级安全威胁,特别是针对数据的安全威胁,大幅度降低数据被窃取的安全风险。
(六)全球视角下的数据安全治理需要弘扬多边主义全球数字经济浪潮下,数据安全问题没有国界,没有一个国家能够置之度外、独善其身。各国需要普遍参与并讨论出一套普适性的规则,以开放包容的姿态,管控分歧,不断增进彼此信任,建立数据安全治理国际合作机制,为全球数字经济发展营造公平的竞争环境。我国可以在政策、法规、标准和技术等多方面积极主导和参与,构建和壮大自己的数据流通“朋友圈”,只有各国共商、共建、共享,才是解决全球数据安全问题的正确路径。