拿什么来保护数据安全?基层数据安全体系建设待提升

织密数据安全网,护航数字经济发展

数据安全面临三大挑战:一是数据安全面临着越来越复杂的网络环境。万物互联之下,节点越来越多。二是互联网反追溯的难度正在加大。三是各国数据安全立法的进度参差不齐,给跨国犯罪提供了土壤。

◎本报记者 何星辉

日前,国务院印发《“十四五”数字经济发展规划》,以“健全完善数字经济治理、着力强化数字经济安全体系”为保障手段,构建形成推动数字经济健康发展的“四梁八柱”。

近年来,随着数字经济的崛起,数据安全风险和威胁也随之蔓延、扩散甚至叠加。

数据安全牵一发而动全身,只有筑牢数据安全基石,才能护航数字经济高质量发展。

我们拿什么来保护数据安全?

基层数据安全体系建设有待提升

“十三五”时期,我国深入实施数字经济发展战略,不断完善数字基础设施,加快培育新业态新模式,在数字产业化和产业数字化方面均取得积极成效。数据显示,2020年,我国数字经济核心产业增加值占GDP比重达到7.8%,数字经济为经济社会持续健康发展提供了强大动力。

随着新一轮科技革命和产业变革的到来,发展数字经济已经成为大势所趋。

国务院印发的《“十四五”数字经济发展规划》,对“十四五”时期我国数字经济发展作出了整体性部署。其中提出,到2025年,数字经济迈向全面扩展期,数字经济核心产业增加值占GDP比重达到10%。同时明确着力强化数字经济安全体系,有效防范各类风险。

“监管层面越来越重视顶层战略设计和整体策略方针,这次规划提出着力强化数字经济安全体系,强调要增强网络安全防护能力,提升数据安全保障水平,有效防范各类风险,进一步从规范化、法治化、精细化的层面出发,为我国数字化转型和数字经济健康发展提供更有力的法治保障及政策依据。”国研新经济研究院创始院长、新经济智库首席研究员朱克力认为,从当前国内整体情况来看,随着数字产业化和产业数字化的推进,从商业和市场到政务和社会正全面加快数字化发展,数据日益成为数字经济的关键生产要素。在此背景下,强化数据治理,保障数据安全,筑牢数字经济持续健康发展的安全屏障,是保障数据安全的客观需要。

工信部信息通信经济专家委员会委员、中南财经政法大学数字经济研究院执行院长盘和林认为,国内数据安全立法体系已经日渐完善,但基层的数据安全体系建设尚有很大提升空间,一方面是缺乏网络安全防护能力,另一方面是缺乏数据安全保障能力。“所以要从数据安全角度着手,提出未来数据安全防护能力和保障能力的建设要求。”盘和林说。

数据安全面临三大挑战

据媒体报道,日前,浙江省温州市一家超市收银台的储值卡电脑管理系统遭“比特币勒索病毒”攻击,无法使用已逾半月,商家被要求支付比特币后才能恢复。警方已介入调查。

近年来,以比特币为首的加密资产在全球范围内快速发展,值得警惕的是,越来越多的犯罪分子利用加密资产开展新型网络犯罪,犯罪类型也日益呈现多样化特点。新型网络犯罪利用加密资产,导致办案人员在侦破案件时遇到诸多困难,一方面加密资产具有匿名性,交易地址拥有者的身份难以被确定,并且资产可以轻松实现跨国交易和变现,这大大增加了追踪的难度;另一方面办案人员缺少针对加密资产的调查工具,调查难、取证难、溯源难,办案周期往往持续较长。

这对数据安全构成了新挑战。

朱克力表示,近年来,我国数据安全治理呈现规范化、法治化、精细化趋势,包括数据安全法、关键信息基础设施安全保护条例、个人信息保护法等在内的法律法规陆续施行,监管层面依法依规构建数据安全管理体系,明晰数据责任主体,安全基础得以不断夯实,国家扎实推进防范治理电信网络诈骗、个人信息保护和数据安全管理。

但是,数据安全形势依旧严峻。在盘和林看来,数据安全面临三大挑战。一是数据安全面临着越来越复杂的网络环境。万物互联之下,节点越来越多,数据安全不仅仅是互联网的问题,未来由于工业互联网和消费互联网的接入,将更加深入地关系到人们生活的方方面面。二是互联网反追溯的难度正在加大。诸如加密技术等增加了对互联网犯罪追溯的难度。三是各国数据安全立法的进度参差不齐,给跨国犯罪提供了土壤。

盘和林认为,要通过提升数据安全防护的方式,建立一套完善的体制机制,将风险挡在网络之外。

加强数据安全需要多策并举

中国信通院发布的《中国网络安全产业白皮书》显示,2020年我国网络安全产业规模达到1729.3亿元,较2019年增长10.6%,2021年市场快速复苏,预计产业规模约为2002.5亿元,增速约为15.8%。

数字化程度越高,安全风险就越大。新近勃兴的元宇宙,更是将虚拟和现实的风险推向了极致。

1月26日,360集团创始人周鸿祎发出内部全员信,宣布2022年360将开启数字安全元年,并全面转型为数字安全公司。周鸿祎称,互联网进入下半场,数字经济已成为国家战略,各级政府和传统企业将成为数字化的主角,所有的行业都值得用数字化技术复现,所有企业也都会是数字化企业。

周鸿祎认为,安全行业应该被重新定义,网络安全要升维到数字安全,才能助力产业数字化战略,才能匹配国家数字经济发展,才能护航人类的数字文明。

对此,朱克力表示,数据安全面临的挑战,从技术上看,主要来自数据大规模集中存储增加的数据泄露风险、海量数据开放共享可能带来的数据滥用风险、数据资产安全运营风险以及人工智能安全威胁等。从监管上看,面临如何平衡和处理好安全与发展二者间的关系。一方面数据安全监管是数字经济健康发展和高质量发展的必由之路,另一方面它会在短期内增加企业合规成本,甚而引发行业局部洗牌的风险。由于相关法律衔接与嵌套区分不甚明确,现实中可能产生的“重复管理”以及“长臂管辖”等风险也在所难免。

“要系统性地迎接并化解这些挑战,需统筹运用市场机制、监管智慧和社会力量,在多方协同中寻求安全与发展的最大公约数,形成多元共建风险共治的数据安全治理模式,让网络安全真正为数字经济保驾护航。”朱克力说。

朱克力认为,加强数据安全,需要多策并举、多管齐下。首先还是要从技术上扎牢安全藩篱,不断加固防火墙,在基础保护技术的研发和推广应用、基础保护技术体系的建设和实施、关键信息基础设施的安全防护等方面持续强化。其次要开展数据安全流动的风险评估和安全认证活动,督促行业企业做好自我约束工作,构筑与建设科技强国相匹配的“科技向善”规则与伦理体系。此外,需要尽可能采用安全可信的产品和服务,提升基础设施关键设备的安全可靠水平,提升重大网络安全事件应急处理的能力和风险识别能力。

“在这个过程中不仅需要技术升级,更需要法治护航,监管层面要重点做好数据分类分级,明确数据采集、传输、存储、使用、开放等环节,保障网络安全的范围边界、责任主体和具体要求,切实加强涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产的信息的保护。”朱克力认为,“生态共治”至关重要。现下,数据安全不再是单个企业或某个领域的事情,各机构、各领域间协同合作,才能织好数据安全的“防护网”。不过,一方面数据安全标准目前还缺乏体系性,另一方面具体领域政策法规也亟待制定。