針對全球數(shù)據(jù)安全領(lǐng)域復(fù)雜的國際形勢，中方于2020年9月8日提出《全球數(shù)據(jù)安全倡議》（以下簡稱《倡議》），為數(shù)據(jù)安全治理提供藍圖。《倡議》期望通過一系列務(wù)實舉措與各方一起共同加強數(shù)據(jù)安全、個人隱私和國家安全的協(xié)調(diào)發(fā)展，促使各國更加重視網(wǎng)絡(luò)安全和數(shù)據(jù)安全建設(shè)，推動全球數(shù)字經(jīng)濟產(chǎn)業(yè)的發(fā)展與合作。在經(jīng)濟全球化的背景下，數(shù)據(jù)共享、流通和交易乃大勢所趨，如何保障數(shù)據(jù)安全，并以數(shù)據(jù)安全促進全球數(shù)字經(jīng)濟健康持續(xù)發(fā)展，值得思考。

　　一、數(shù)據(jù)和數(shù)據(jù)安全的內(nèi)涵與外延正在發(fā)生變化在數(shù)字經(jīng)濟時代，數(shù)據(jù)作為新的生產(chǎn)資料被認(rèn)為是生產(chǎn)要素和新黃金，其重要性不言而喻。而且，流動和共享成為數(shù)據(jù)的新特征。數(shù)據(jù)安全工作從以“系統(tǒng)”為中心的思路逐漸轉(zhuǎn)變?yōu)橐浴皵?shù)據(jù)”為中心的方法，全球的法律政策也轉(zhuǎn)變?yōu)橐詡€人信息及隱私保護為重點，向全面數(shù)據(jù)安全治理擴張。

　　應(yīng)用場景的變化催生了新的數(shù)據(jù)安全技術(shù)。傳統(tǒng)的技術(shù)，例如加密、訪問控制、數(shù)據(jù)庫安全審計、數(shù)據(jù)庫防火墻和數(shù)據(jù)防泄露等，只能發(fā)揮局部的安全防護作用，無法滿足數(shù)據(jù)流通、共享、交易等新應(yīng)用場景的安全需求。為此，安全多方計算（Secure Multi-Party Computation）、數(shù)據(jù)脫敏（Data Masking）、差分隱私（Differential Privacy）、同態(tài)加密（Homomorphic Encryption）、聯(lián)邦學(xué)習(xí)（Federated Learning）、零知識證明（Zero-Knowledge Proof）等新技術(shù)，被提出并得到廣泛研究。雖然學(xué)術(shù)領(lǐng)域?qū)@些技術(shù)的研究已有了大量積累，但是，其在現(xiàn)實場景中的實用性和效率問題還有待解決。目前，離這些技術(shù)的大范圍普及和落地使用，仍然還有相當(dāng)?shù)木嚯x。

　　數(shù)據(jù)蘊含的價值越高就越易遭受到黑客攻擊，攻擊方式也更加復(fù)雜多樣。過去幾年，各種數(shù)據(jù)安全事件頻發(fā)，例如某酒店上億客人隱私數(shù)據(jù)被泄露等，勒索軟件攻擊事件不斷，造成的危害愈發(fā)嚴(yán)重。這些逐利的不斷變化的數(shù)據(jù)安全威脅對數(shù)字經(jīng)濟秩序造成了極大的危害，需要強有力的安全防護手段和持續(xù)的安全運營，才能有效抵御。

　　二、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟時代最緊迫和最基礎(chǔ)的安全問題在數(shù)字經(jīng)濟時代，大數(shù)據(jù)、云計算、人工智能、物聯(lián)網(wǎng)等技術(shù)廣泛應(yīng)用所產(chǎn)生的全球數(shù)據(jù)量呈指數(shù)級增長。數(shù)據(jù)已變成重要的生產(chǎn)要素和基礎(chǔ)的戰(zhàn)略資源，其價值日益凸顯。同時，全球數(shù)據(jù)安全風(fēng)險與日俱增，數(shù)據(jù)安全與隱私保護，數(shù)據(jù)存儲、使用與跨境流動的風(fēng)險等問題，對各國數(shù)據(jù)安全治理能力提出了新的挑戰(zhàn)。

　?。ㄒ唬┐髷?shù)據(jù)技術(shù)給數(shù)據(jù)安全防護帶來改變

　　大數(shù)據(jù)的“4V特性”，即數(shù)據(jù)量大（volume）、數(shù)據(jù)類型多（variety）、處理速度快（velocity）和價值密度低（value），顛覆了傳統(tǒng)的數(shù)據(jù)管理方式，使傳統(tǒng)的數(shù)據(jù)安全技術(shù)無法有效應(yīng)對大數(shù)據(jù)應(yīng)用場景下新出現(xiàn)的安全問題。從技術(shù)維度看，網(wǎng)絡(luò)爬蟲、機器學(xué)習(xí)和人工智能等技術(shù)的發(fā)展使個人隱私數(shù)據(jù)的采集與分析變得越來越方便，個人隱私以及國家重要信息泄露，也逐漸成為非常嚴(yán)峻的全球問題。從意識維度看，無論是各類企事業(yè)單位等組織，還是公民個人，對數(shù)據(jù)資產(chǎn)的重視程度遠(yuǎn)小于對實體資產(chǎn)的重視。可以說，數(shù)據(jù)安全意識的嚴(yán)重缺失，導(dǎo)致對數(shù)據(jù)資產(chǎn)的保護意識不強，對各類風(fēng)險隱患的警惕性較低，對安全技術(shù)的運用不夠充分，對安全技術(shù)發(fā)展和管理體系升級的重視程度不夠，這些都使數(shù)據(jù)安全治理能力存在嚴(yán)重不足。

　?。ǘ?shù)據(jù)資產(chǎn)問題影響各類安全主體

　　數(shù)據(jù)作為一種重要資產(chǎn)，給國家安全、國防安全、社會安全和人身安全等，帶來重要影響。針對大數(shù)據(jù)進行的網(wǎng)絡(luò)攻擊，不僅僅停留在商業(yè)竊密，而是以企業(yè)重要資產(chǎn)、國家重要機密、重要基礎(chǔ)設(shè)施為首要目標(biāo)，以期干預(yù)政治、操控輿論、顛覆政權(quán)，甚至破壞或癱瘓電力、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施，中斷工業(yè)生產(chǎn)，影響軍事戰(zhàn)局。

　　此外，針對開放的海量數(shù)據(jù)的關(guān)聯(lián)分析，也可能引發(fā)商業(yè)機密甚至國家戰(zhàn)略性重要數(shù)據(jù)資源的泄露。數(shù)據(jù)的開放流通可用增加數(shù)據(jù)資源的商業(yè)價值和社會價值，但是，大數(shù)據(jù)融合開放也使數(shù)據(jù)權(quán)屬關(guān)系將變得更為復(fù)雜，在開放流通的各個環(huán)節(jié)都可能產(chǎn)生用戶數(shù)據(jù)濫用等法律風(fēng)險。

　?。ㄈ┯薪M織的網(wǎng)絡(luò)攻擊背景強大、難以發(fā)現(xiàn)

　　有組織有背景的惡意網(wǎng)絡(luò)攻擊是數(shù)據(jù)泄露的主要原因之一，也成為全球數(shù)據(jù)安全的主要風(fēng)險。由于新冠肺炎疫情的影響，遠(yuǎn)程辦公模式增加了數(shù)據(jù)被惡意攻擊的可能性。這類攻擊者大都是有組織、集團化的犯罪團伙，甚至是具有國家背景的黑客團隊和網(wǎng)絡(luò)戰(zhàn)部隊。大量APT攻擊、勒索軟件攻擊等，都是由以國家為背景的力量發(fā)起的。這些國家級網(wǎng)絡(luò)攻擊者利用大數(shù)據(jù)技術(shù)擴大攻擊效果，發(fā)起大規(guī)模數(shù)量級的僵尸網(wǎng)絡(luò)攻擊，通過控制關(guān)鍵節(jié)點放大攻擊效果。大數(shù)據(jù)的價值密度低，使黑客可將攻擊隱藏在大數(shù)據(jù)中，使安全分析工具難以實現(xiàn)挖掘和分析的效力。

　?。ㄋ模?shù)據(jù)共享與流通帶來的安全挑戰(zhàn)

　　在數(shù)字經(jīng)濟時代的應(yīng)用場景下，數(shù)據(jù)將會頻繁地跨系統(tǒng)、跨組織甚至跨境流動，特別是在數(shù)據(jù)共享環(huán)節(jié)，傳統(tǒng)的數(shù)據(jù)訪問控制技術(shù)無法解決跨組織的數(shù)據(jù)授權(quán)管理和數(shù)據(jù)流向追蹤問題，僅靠書面合同或協(xié)議難以實現(xiàn)對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進行實時監(jiān)控和審計，極易造成數(shù)據(jù)泄露和數(shù)據(jù)濫用的風(fēng)險。因為安全恐慌而不敢流通和使用數(shù)據(jù)的情況，將使許多部門對可能關(guān)系到公共安全、社會穩(wěn)定和公共利益的數(shù)據(jù)，能不共享就盡量不共享，能不公開就盡量不公開，甚至搞“一刀切”，影響了數(shù)據(jù)效用的發(fā)揮。此外，國際數(shù)據(jù)跨境流動可能引發(fā)用戶數(shù)據(jù)被泄露、濫用和誤用等問題，也可能會給企業(yè)和國家?guī)砑夹g(shù)管理、資產(chǎn)管理和組織管理方面的挑戰(zhàn)。而且，跨境數(shù)據(jù)的承載介質(zhì)多樣、呈現(xiàn)形態(tài)各異、應(yīng)用較為廣泛，數(shù)據(jù)所在國的政策和法律又存在差異，這導(dǎo)致數(shù)據(jù)所有者和使用者的權(quán)限模糊，數(shù)據(jù)的應(yīng)用開發(fā)存在數(shù)據(jù)被濫用等風(fēng)險。

　?。ㄎ澹?shù)據(jù)安全成為國際性、整體性問題

　　一些國家以地緣政治和意識形態(tài)先行，用數(shù)字安全的名義發(fā)展自身數(shù)字攻防能力，擾亂全球數(shù)字經(jīng)濟規(guī)則，同時，以各種理由阻礙聯(lián)合國制定網(wǎng)絡(luò)空間規(guī)則，又利用自身在網(wǎng)絡(luò)空間的優(yōu)勢地位，以單邊主義的方法，對非本國數(shù)字經(jīng)濟企業(yè)積極實施打壓，破壞全球供應(yīng)鏈安全。而且，這些國家通過“長臂管轄”制度，違規(guī)獲取他國用戶數(shù)據(jù)。

　　此外，針對有關(guān)數(shù)據(jù)安全的全球性法律可能會沖擊各國執(zhí)法機構(gòu)的執(zhí)法效力。例如，由于GDPR的長臂管轄原則，使很多企業(yè)被納入其管轄范圍之內(nèi)，且該條例實質(zhì)上擴大了歐盟監(jiān)管機構(gòu)對中國企業(yè)的影響。

　　三、加強數(shù)據(jù)安全治理的對策建議

　　鑒于上述數(shù)據(jù)安全現(xiàn)狀、存在問題和面臨的挑戰(zhàn)，應(yīng)該從法規(guī)標(biāo)準(zhǔn)、技術(shù)平臺、產(chǎn)業(yè)發(fā)展、能力建設(shè)、解決方案和國際合作等方面綜合應(yīng)對。

　?。ㄒ唬┴酱晟茢?shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范和實施細(xì)則

　　我國高度重視數(shù)據(jù)安全，諸多法律、政策和標(biāo)準(zhǔn)先后發(fā)布或立項。2020年7月3日，《數(shù)據(jù)安全法（草案）》公開征求意見，明確了應(yīng)采用數(shù)據(jù)安全治理的方法，為數(shù)據(jù)安全治理實踐提供法律支撐?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法（草案）》和《個人信息保護法（草案）》等上位法，給出了通用的數(shù)據(jù)安全原則和基本方法。接下來，各行業(yè)各領(lǐng)域和企業(yè)組織需要根據(jù)自己的實際情況和安全需求，制定包括個人信息、重要數(shù)據(jù)、數(shù)據(jù)跨境等方面的管理、技術(shù)標(biāo)準(zhǔn)與實施細(xì)則，內(nèi)容覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全要求，包括分類分級、去標(biāo)識化、風(fēng)險評估等內(nèi)容，指導(dǎo)數(shù)據(jù)安全治理的具體實踐，使數(shù)據(jù)安全治理措施落實到位，有法可依，有規(guī)可循。這方面的工作，急需政產(chǎn)學(xué)研用各方緊密協(xié)同，加快推進相關(guān)標(biāo)準(zhǔn)規(guī)范和條令條例的制定。

　?。ǘ┙⒕哂姓帕Φ臄?shù)據(jù)安全服務(wù)、監(jiān)管與審計平臺需要建立具有政府公信力的權(quán)威大數(shù)據(jù)平臺，提供專門的數(shù)據(jù)安全服務(wù)、監(jiān)管和審計業(yè)務(wù)。例如，建立個人信息大數(shù)據(jù)平臺，并采取加密、匿名化、訪問控制和數(shù)據(jù)脫敏等安全保障措施，為需要使用個人信息的應(yīng)用或組織安全地提供數(shù)據(jù)；當(dāng)各類應(yīng)用平臺服務(wù)商需要使用個人信息時，只能向個人信息大數(shù)據(jù)平臺提出申請，這樣就將個人信息的使用模式從目前的多點訪問模式轉(zhuǎn)變成集中訪問模式，為個人信息保護提供切實的安全保障。在監(jiān)管層面，通過這樣的權(quán)威大數(shù)據(jù)平臺，可建立國家級的數(shù)據(jù)安全監(jiān)管與審計體系，支持對數(shù)據(jù)流通的路徑溯源和安全審計，以及實現(xiàn)對數(shù)據(jù)主權(quán)的確權(quán)。

　?。ㄈ┮哉咭龑?dǎo)數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新布局

　　通過政策指導(dǎo)、項目扶持、需求牽引等方式相結(jié)合，引導(dǎo)企業(yè)加強數(shù)據(jù)安全保護產(chǎn)品和解決方案的創(chuàng)新研發(fā)。建議國家各部委、地方政府在設(shè)立科研與產(chǎn)業(yè)化項目、應(yīng)用示范項目時，重點支持?jǐn)?shù)據(jù)分類分級、數(shù)據(jù)共享安全監(jiān)測、細(xì)粒度數(shù)據(jù)資源訪問控制、共享數(shù)據(jù)脫敏及去標(biāo)識化、跨域多模式網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)標(biāo)記及追蹤溯源、數(shù)據(jù)安全威脅監(jiān)控等技術(shù)的研發(fā)、成果轉(zhuǎn)化和應(yīng)用示范。而且，需要發(fā)展數(shù)據(jù)安全測評、培訓(xùn)、認(rèn)證產(chǎn)業(yè)，為企業(yè)或組織提供數(shù)據(jù)安全能力成熟度評估支撐，特別是在大數(shù)據(jù)開發(fā)利用的相關(guān)政策中，明確采集和處理不同數(shù)據(jù)所需要的數(shù)據(jù)安全能力成熟度等級要求，并將相關(guān)企業(yè)或組織納入測評范圍。

　　（四）讓數(shù)據(jù)安全成為組織的競爭力

　　在數(shù)據(jù)安全領(lǐng)域，通過建立科學(xué)的治理模式，讓一個組織能處理的數(shù)據(jù)類型和規(guī)模，與其數(shù)據(jù)安全能力水平掛鉤。例如，健康醫(yī)療行業(yè)迫切需要利用大數(shù)據(jù)技術(shù)大幅提升技術(shù)和業(yè)務(wù)水平，而這類數(shù)據(jù)敏感程度高，因而，行業(yè)主管部門可以規(guī)定，哪些組織可以處理哪些類型的數(shù)據(jù)，或能夠處理何種規(guī)模數(shù)據(jù)的組織必須證明其達到了相應(yīng)的數(shù)據(jù)安全能力級別要求。這樣，當(dāng)一個組織想要使用健康醫(yī)療數(shù)據(jù)開展研究或拓展業(yè)務(wù)之前，需要先具備相應(yīng)的數(shù)據(jù)安全能力。因此，數(shù)據(jù)安全能力越高的企業(yè)，就意味著有越大的機會處理更多類型和數(shù)量的數(shù)據(jù)，而不是增加成本。通過這樣的治理方式，引導(dǎo)企業(yè)或組織積極提升自己的數(shù)據(jù)安全能力，實現(xiàn)業(yè)務(wù)競爭力與安全的正向掛鉤，從而帶動整個數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展水平逐漸提高。

　　（五）從合規(guī)與運營兩個維度打造數(shù)據(jù)安全解決方案打造“合規(guī)+運營”雙輪驅(qū)動的數(shù)據(jù)安全解決方案。一方面，根據(jù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)，通過支持?jǐn)?shù)據(jù)全生命周期安全保障的大數(shù)據(jù)平臺或安全組件，為大數(shù)據(jù)、數(shù)字經(jīng)濟應(yīng)用場景特別是數(shù)據(jù)的跨系統(tǒng)、跨組織、跨境的共享、流通和交易的應(yīng)用場景，從合規(guī)維度提供完備的數(shù)據(jù)安全保障能力。

　　另一方面，通過大數(shù)據(jù)安全分析能力的本地化賦能，以安全運營或安全服務(wù)中心為載體，從運營維度抵御持續(xù)變化的高級安全威脅，特別是針對數(shù)據(jù)的安全威脅，大幅度降低數(shù)據(jù)被竊取的安全風(fēng)險。

　　（六）全球視角下的數(shù)據(jù)安全治理需要弘揚多邊主義全球數(shù)字經(jīng)濟浪潮下，數(shù)據(jù)安全問題沒有國界，沒有一個國家能夠置之度外、獨善其身。各國需要普遍參與并討論出一套普適性的規(guī)則，以開放包容的姿態(tài)，管控分歧，不斷增進彼此信任，建立數(shù)據(jù)安全治理國際合作機制，為全球數(shù)字經(jīng)濟發(fā)展?fàn)I造公平的競爭環(huán)境。我國可以在政策、法規(guī)、標(biāo)準(zhǔn)和技術(shù)等多方面積極主導(dǎo)和參與，構(gòu)建和壯大自己的數(shù)據(jù)流通“朋友圈”，只有各國共商、共建、共享，才是解決全球數(shù)據(jù)安全問題的正確路徑。