文│ 大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室 唐會(huì)芳 翟婷婷

作為我國數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律、 國家安全領(lǐng)域的重要法律，《數(shù)據(jù)安全法》的出臺(tái)體現(xiàn)了當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展對(duì)安全的關(guān)鍵需求，為我國數(shù)據(jù)安全的發(fā)展之路提供了指引。在數(shù)字經(jīng)濟(jì)發(fā)展的場(chǎng)景下，跨系統(tǒng)、跨域和跨境的數(shù)據(jù)流通共享以及多方的數(shù)據(jù)聯(lián)合計(jì)算將成為常態(tài)，數(shù)據(jù)安全將不再是一個(gè)組織內(nèi)部的事情，需要構(gòu)建一個(gè)科學(xué)的數(shù)據(jù)安全治理體系，才能有效地保障數(shù)據(jù)安全，管控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)。而且，數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的關(guān)鍵在于數(shù)據(jù)的安全開發(fā)利用，需要數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用兩者的協(xié)調(diào)發(fā)展。

一、建立健全數(shù)據(jù)安全治理體系

治理不同于自上而下的管理，而是基于關(guān)鍵抓手的、能夠充分激發(fā)各相關(guān)方內(nèi)驅(qū)力的多方協(xié)同共治的方式方法。數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素，如果一種數(shù)據(jù)安全治理體系能夠建立起數(shù)據(jù)與數(shù)據(jù)處理方之間的正向驅(qū)動(dòng)關(guān)系，那么這種體系無疑是非常具有生命力的。

(一)構(gòu)建基于 DSMM 的數(shù)據(jù)安全治理體系

《數(shù)據(jù)安全法》第四條提出：“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”治理體系的構(gòu)建對(duì)系統(tǒng)性提高國家的數(shù)據(jù)安全保障能力非常關(guān)鍵，需要找到關(guān)鍵抓手和基本邏輯，來調(diào)動(dòng)多方力量和資源，發(fā)揮各自優(yōu)勢(shì)形成良性生態(tài)，建立適應(yīng)當(dāng)今數(shù)字時(shí)代的協(xié)同治理模式，共同提升全社會(huì)的數(shù)據(jù)安全水平。

國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)是我國有關(guān)數(shù)據(jù)安全治理的首個(gè)技術(shù)標(biāo)準(zhǔn)，提出了數(shù)據(jù)安全能力成熟模型(DSMM)。建立基于 DSMM 的數(shù)據(jù)安全治理體系，以數(shù)據(jù)為中心，能夠系統(tǒng)性提高我國數(shù)據(jù)安全整體水平。DSMM 在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面，對(duì)組織的數(shù)據(jù)安全能力成熟度進(jìn)行測(cè)評(píng)和等級(jí)劃分，從而在數(shù)據(jù)和組織間建立正向驅(qū)動(dòng)的關(guān)系。根據(jù)組織的數(shù)據(jù)安全能力成熟度等級(jí)，可以決定其是否具有處理特定類型、特定等級(jí)數(shù)據(jù)的資質(zhì)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的科學(xué)管控。這意味著，一個(gè)具有更高數(shù)據(jù)安全能力成熟度等級(jí)的組織，能獲得處理更多數(shù)據(jù)資源的機(jī)會(huì)。該體系將改變過去“合規(guī) + 處罰”的做法，使組織的數(shù)據(jù)安全水平成為發(fā)展的競(jìng)爭(zhēng)力，從而激發(fā)組織主動(dòng)提升其數(shù)據(jù)安全能力。

(二)數(shù)據(jù)側(cè)以數(shù)據(jù)分類分級(jí)為基礎(chǔ)和前提

《數(shù)據(jù)安全法》第二十一條明確提出“國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”，并在此基礎(chǔ)上專門規(guī)定了對(duì)重要數(shù)據(jù)的保護(hù)，要求各地區(qū)、各部門、各行業(yè)制定各自范圍內(nèi)的“重要數(shù)據(jù)目錄”，并進(jìn)一步指出“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度”。

數(shù)據(jù)分類分級(jí)保護(hù)制度作為數(shù)據(jù)安全治理的基礎(chǔ)與前提，將為國家開展“自上而下”的監(jiān)管提供依據(jù)，推動(dòng)建立重要數(shù)據(jù)與國家核心數(shù)據(jù)的統(tǒng)一認(rèn)定標(biāo)準(zhǔn)；同時(shí)，也直接決定了組織對(duì)不同類別與等級(jí)的數(shù)據(jù)在安全上應(yīng)承擔(dān)的保護(hù)義務(wù)，并對(duì)組織自身的數(shù)據(jù)安全能力提出了相應(yīng)的要求。

目前，各地區(qū)、各部門正根據(jù)《數(shù)據(jù)安全法》制定地方或行業(yè)領(lǐng)域的數(shù)據(jù)分類分級(jí)規(guī)范，積極推進(jìn)數(shù)據(jù)分類分級(jí)保護(hù)工作。例如，貴州省率先制定發(fā)布了《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級(jí)指南》，在全國先試先行；工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》，提出對(duì)工業(yè)數(shù)據(jù)的分類和分級(jí)標(biāo)準(zhǔn)；金融行業(yè)發(fā)布了行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù) 安全數(shù)據(jù)安全分級(jí)指南》(JR/T 0197—2020)和《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》(JR/T 0158-2018)。數(shù)據(jù)分類分級(jí)已從探索走向?qū)嵺`，各數(shù)據(jù)安全廠商紛紛發(fā)布創(chuàng)新的數(shù)據(jù)分類分級(jí)產(chǎn)品，敏感數(shù)據(jù)發(fā)現(xiàn)和分類分級(jí)管理的自動(dòng)化工具正在被開發(fā)使用，極大地提升了數(shù)據(jù)安全治理的效率。

(三)處理側(cè)以對(duì)組織的數(shù)據(jù)安全能力成熟度測(cè)評(píng)為抓手

在對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)之后，對(duì)組織的數(shù)據(jù)安全能力成熟度進(jìn)行測(cè)評(píng)成為構(gòu)建治理體系的關(guān)鍵抓手?！稊?shù)據(jù)安全法》第十八條指出“國家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)”。這是對(duì)數(shù)據(jù)安全相關(guān)測(cè)評(píng)特別是 DSMM 測(cè)評(píng)認(rèn)證最好的支持，在法律層面充分肯定了測(cè)評(píng)認(rèn)證專業(yè)機(jī)構(gòu)在帶動(dòng)數(shù)據(jù)安全合規(guī)建設(shè)和服務(wù)發(fā)展方面的積極作用。目前，我國已發(fā)展形成了多個(gè)從事 DSMM 測(cè)評(píng)認(rèn)證的專業(yè)機(jī)構(gòu)。其中，首個(gè)獲得國家認(rèn)監(jiān)委授權(quán)的DSMM認(rèn)證機(jī)構(gòu)貴州大數(shù)據(jù)安全工程研究中心，正在全國范圍內(nèi)推廣實(shí)施 DSMM 測(cè)評(píng)認(rèn)證，并且，已有超過百家組織通過了測(cè)評(píng)。

通過 DSMM 測(cè)評(píng)認(rèn)證的組織能夠獲得全方位的數(shù)據(jù)安全建設(shè)指導(dǎo)性綱要，使其對(duì)自身的數(shù)據(jù)安全建設(shè)充滿信心。對(duì)企業(yè)來說，能夠?qū)ψ陨頂?shù)據(jù)安全整體狀況做到心中有數(shù)，并可將“數(shù)據(jù)安全能力水平”作為宣傳自身品牌的差異化標(biāo)簽。對(duì)政府機(jī)關(guān)、事業(yè)單位來說，除了能及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全短板、查漏補(bǔ)缺之外，還可掌握地方相關(guān)組織、部門的數(shù)據(jù)安全整體水平。與此同時(shí)，各地政府也逐步認(rèn)識(shí)到DSMM 測(cè)評(píng)認(rèn)證的重要性，紛紛出臺(tái)激勵(lì)政策鼓勵(lì)企業(yè)或組織參加 DSMM 測(cè)評(píng)認(rèn)證，對(duì)獲得證書的企業(yè)或組織進(jìn)行補(bǔ)貼，并在一些重要數(shù)據(jù)安全項(xiàng)目招標(biāo)中加入 DSMM 測(cè)評(píng)認(rèn)證的控標(biāo)要求。

二、保障數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的協(xié)調(diào)發(fā)展

數(shù)字經(jīng)濟(jì)已成為支撐我國經(jīng)濟(jì)發(fā)展的重要引擎，數(shù)據(jù)開發(fā)利用則是數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的關(guān)鍵，需將保障數(shù)據(jù)安全貫穿于數(shù)據(jù)開發(fā)利用的全過程，防范和化解影響我國數(shù)字經(jīng)濟(jì)發(fā)展過程中的安全風(fēng)險(xiǎn)，同步提升數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用水平。

(一)在數(shù)據(jù)安全與發(fā)展之間取得平衡

《數(shù)據(jù)安全法》第二章的主題是數(shù)據(jù)安全與發(fā)展，其第十三條提出：“國家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。該條款的目的是取得數(shù)據(jù)安全與發(fā)展之間的平衡，保障數(shù)據(jù)安全與促進(jìn)數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展是相輔相成的，既不能以發(fā)展之名忽略安全，也不能以安全之名阻礙發(fā)展。數(shù)字經(jīng)濟(jì)需要充分挖掘數(shù)據(jù)的價(jià)值，將數(shù)據(jù)作為生產(chǎn)要素進(jìn)行開發(fā)利用，同時(shí)，在數(shù)據(jù)開發(fā)利用的過程中，又需要充分保障數(shù)據(jù)的安全。

數(shù)據(jù)的開發(fā)利用為數(shù)據(jù)安全提供了技術(shù)支持和概念革新，數(shù)據(jù)安全為數(shù)據(jù)的開發(fā)利用提供了基礎(chǔ)的保障和穩(wěn)固的底盤。數(shù)字經(jīng)濟(jì)時(shí)代與過去不同，在很多場(chǎng)景下會(huì)先有數(shù)據(jù)再有應(yīng)用，基于數(shù)據(jù)的數(shù)字創(chuàng)新應(yīng)用開發(fā)將成為常態(tài)。數(shù)據(jù)安全影響國家發(fā)展與安全，關(guān)系公眾利益和公民個(gè)人權(quán)益，應(yīng)建立數(shù)據(jù)全生命周期安全的概念，關(guān)注數(shù)據(jù)的流通共享，確保以安全為前提進(jìn)行數(shù)據(jù)的開發(fā)利用。

(二)推進(jìn)政務(wù)數(shù)據(jù)安全開發(fā)利用

《數(shù)據(jù)安全法》第五章聚焦的政務(wù)數(shù)據(jù)安全與開放，是數(shù)據(jù)安全開發(fā)利用的一個(gè)特定應(yīng)用場(chǎng)景。它在保障政務(wù)數(shù)據(jù)安全方面，對(duì)國家機(jī)關(guān)收集、使用數(shù)據(jù)的行為和能力提出了要求，嚴(yán)格監(jiān)督可能涉及的第三方;在推動(dòng)政務(wù)數(shù)據(jù)開發(fā)利用方面，明確了以及時(shí)、準(zhǔn)確公開為原則，要求“國家制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺(tái)”，這為政府各部門安全開放數(shù)據(jù)提供了法律支持和行動(dòng)指導(dǎo)，為我國數(shù)字政府和智慧城市建設(shè)鋪平了道路。

國家在“十四五”規(guī)劃進(jìn)程中將大力推進(jìn)電子政務(wù)建設(shè)，政務(wù)數(shù)據(jù)開放將進(jìn)一步提升政府工作效能。政務(wù)數(shù)據(jù)在采集、存儲(chǔ)、加工過程中的安全非常關(guān)鍵，需要被合理、合法、安全地使用。在智慧城市應(yīng)用場(chǎng)景下，跨域數(shù)據(jù)的流通共享與聯(lián)合計(jì)算需求日益增多，政務(wù)數(shù)據(jù)開放平臺(tái)和基于隱私計(jì)算技術(shù)的數(shù)據(jù)協(xié)同應(yīng)用平臺(tái)將得到廣泛應(yīng)用。利用可信執(zhí)行環(huán)境、聯(lián)邦學(xué)習(xí)、安全多方計(jì)算、同態(tài)加密和差分隱私等技術(shù)搭建隱私計(jì)算平臺(tái)，可實(shí)現(xiàn)多方數(shù)據(jù)的協(xié)同安全計(jì)算，它與政務(wù)數(shù)據(jù)開放平臺(tái)一起，能夠打破數(shù)據(jù)孤島，聯(lián)通政務(wù)數(shù)據(jù)和各行業(yè)領(lǐng)域數(shù)據(jù)，從而促進(jìn)政務(wù)數(shù)據(jù)的安全開發(fā)利用，充分挖掘政務(wù)數(shù)據(jù)的價(jià)值。

(三)為數(shù)據(jù)安全開發(fā)利用培養(yǎng)足夠的專業(yè)人才

數(shù)據(jù)安全開發(fā)利用離不開相關(guān)專業(yè)人才的支撐，《數(shù)據(jù)安全法》第二十條明確提出“國家支持教育、科研機(jī)構(gòu)和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才，促進(jìn)人才交流?！边@體現(xiàn)了國家對(duì)培養(yǎng)數(shù)據(jù)安全專業(yè)人才的重視，鼓勵(lì)企業(yè)與高等院校聯(lián)合，從多個(gè)渠道培養(yǎng)數(shù)據(jù)開發(fā)利用和安全人才。企業(yè)也能夠從教育培訓(xùn)等領(lǐng)域?qū)ふ易陨砩虡I(yè)機(jī)會(huì)，帶動(dòng)數(shù)字產(chǎn)業(yè)的發(fā)展與創(chuàng)新。通過專業(yè)的培訓(xùn)，能夠提高組織人員的數(shù)據(jù)安全技能，為數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展和數(shù)字經(jīng)濟(jì)發(fā)展注入強(qiáng)大的人才動(dòng)力。

經(jīng)過多年的發(fā)展，我國在網(wǎng)絡(luò)安全領(lǐng)域已建立起較為完善的人才培養(yǎng)體系，網(wǎng)絡(luò)安全也成為一級(jí)學(xué)科。在數(shù)據(jù)安全領(lǐng)域，人才的培養(yǎng)還沒有上升到數(shù)字經(jīng)濟(jì)所要求的高度，相關(guān)的培訓(xùn)內(nèi)容還不夠完善。對(duì)于數(shù)據(jù)安全，既需要擁有了解組織數(shù)據(jù)安全戰(zhàn)略規(guī)劃的數(shù)據(jù)安全管理專家，也需要懂具體業(yè)務(wù)場(chǎng)景，掌握相關(guān)數(shù)據(jù)安全技術(shù)的數(shù)據(jù)安全工程師。

三、對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行嚴(yán)格安全審查

《數(shù)據(jù)安全法》第二十四條明確提出：“國家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查”，包含對(duì)數(shù)據(jù)跨境流動(dòng)的安全審查。該法第三十一條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡(luò)安全法》的規(guī)定，其他主體重要數(shù)據(jù)的出境則適用于國家網(wǎng)信部門會(huì)同國務(wù)院制定的管理辦法。通過區(qū)分主體的監(jiān)管思路，進(jìn)一步明確補(bǔ)充了對(duì)重要數(shù)據(jù)出境的規(guī)定，也使數(shù)據(jù)分類分級(jí)保護(hù)制度能夠更好地與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求相協(xié)調(diào)。此外，法案第三十六條針對(duì)外國司法或執(zhí)法機(jī)構(gòu)調(diào)取我國數(shù)據(jù)的情況進(jìn)行了規(guī)定，即非經(jīng)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)組織、個(gè)人不得擅自提供境內(nèi)的數(shù)據(jù)，此舉是依法應(yīng)對(duì)域外“長臂管轄”所作出的防御性措施。

在當(dāng)前全球尚未形成共識(shí)的數(shù)據(jù)安全治理體系框架條件下，數(shù)據(jù)的跨境流動(dòng)帶來了敏感數(shù)據(jù)泄露、授權(quán)管理、數(shù)據(jù)權(quán)屬、流向追蹤和法律風(fēng)險(xiǎn)等系列問題，并難以對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)控和審計(jì)。因此，對(duì)于涉及國家、公民的敏感數(shù)據(jù)，要嚴(yán)格遵守“非必要不出境”原則，盡量做到數(shù)據(jù)在本地存儲(chǔ)、分析和利用。確需出境的數(shù)據(jù)，需經(jīng)過匿名化、去標(biāo)識(shí)化和脫敏處理，并對(duì)跨境數(shù)據(jù)進(jìn)行嚴(yán)格的安全審查，杜絕敏感信息外泄。對(duì)于關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益的國家核心數(shù)據(jù)，應(yīng)嚴(yán)禁跨境流動(dòng)并防范潛在數(shù)據(jù)跨境風(fēng)險(xiǎn)，防止中國擁有大量核心數(shù)據(jù)企業(yè)赴美國上市類似事件的發(fā)生。

(本文刊登于《中國信息安全》雜志2021年第7期)

來源：中國信息安全