一、数据要素已成为数字中国建设最为活跃的新型生产要素
在全球数字化浪潮驱动之下,我国把深化政府数字化转型、打造数字化产业、产业数字化纳入到“十四五”整体战略部署及2035远景规划中,数字化理念、数字化战略、数字化基础设施、数字化产业在各地各行各业开枝散叶、落地实践,其中“数字中国”是总纲,它与“数字政府、数字经济、数字社会、数字生态”共同构筑了中国数字化转型的“一体四翼”。数据是信息化时代最具特征的生产要素,也是“数字经济”的重要资源。数据要素作为兼具优化传统行业生产方式、促进新兴科技行业发展的基础性、战略性资源,已成为各国抢占数字经济发展机遇的重要抓手。在加快数字中国建设的时代背景下,数据作为一种新的生产要素走到台前,数据要素作为基础性和战略性资源,被政府部门和市场主体寄予推动产业升级、优化经济结构和创造经济增长点的厚望。目前,我国80%以上的高价值数据资源掌握在各级政府部门手里,但跨部门、跨区域的共通、共享与共用还存在较大的障碍,数据“画地为牢”现象客观上依然存在。“数字政府”作为“数字中国”建设的先导、基础性工程,是推动数据赋能、应用创新、服务创新、模式创新,发挥数据基础资源作用、创新引擎作用,激活经济发展新动能的关键途径。基于此,为消除各地数据割据,进一步激活数据要素潜能,国家不断强化“数字政府”对跨层级跨部门数据汇聚融合、共享开放和开发利用的引领作用,促进数据依法有序流动、释放政务数据资源价值,鼓励社会主体参与公共数据资源的开发利用、交易流通、价值共创,提升数据资源配置效率,为“数字经济”提供有效支撑。随着2022年10月28日国务院办公厅颁布《全国一体化政务大数据体系建设指南》的通知,标志着我国政府数字化变革进入到“数字政府2.0时代”,国家、省、市将完成政务数据三级对接、三级联动,全国上下政务数据也将全面实现“一本账”。笔者认为在数字政府2.0时代,政务数据除了具备“一体化”特征外,更具有“资源化、中心化、API化、资产化、场景化”显著特点,未来数据资源在共享交换过程中更具“精准、高效、便捷”。从党的十八大以来,我国在数字政府建设中不断进行探索、实践与创新,目前,人口、法人、自然资源、经济等基础库已基本建成,国家政务数据共享交换平台已投入使用,汇聚编制政务数据目录超过300万条、信息项超过2000万个、国务院部门数据共享责任清单5批次共计626项,这些在“一网通办”、“跨省联办”、“一网统管”等创新领域中发挥着重要作用,在优化政务服务、改善营商环境方面同样发挥着重要支撑作用。与此同时,国务院各有关部门、各地政府也在积极推进“医疗健康、社会保障、生态环保、信用体系、安全生产”等领域主题库建设,为“经济运行、政务服务、市场监管、社会治理”等政府高效履职提供有力支撑。
二、“以数据驱动带动业务场景创新”成为新的发展模式
去年国务院印发了《关于加强数字政府建设的指导意见》,对“数字政府”建设要求进一步明确,从政务服务领域,扩大到经济调节、市场监管、社会管理、生态环保等政府履职全范围,强调“以应用场景为牵引、建立健全政务数据供需对接机制”,同时,提出以“数字政府”建设助推“数字经济”发展,要“准确把握行业和企业发展需求,打造主动式、多层次创新服务场景,更好地满足数字经济发展需要”。
(1)经济调节,利用大数据加强经济监测分析,提升研判能力
数字技术在宏观调控决策、经济社会发展分析、投资监管管理、数字经济治理等方面应用持续深化,“数字政府”在经济调节数字化水平逐步提高。各地区运用大数据强化经济监测预警,加强覆盖经济运行全周期的统计监测和综合分析,不断提升对经济运行“形势”的数字化研判。
(2)市场监管,通过数据共享减轻企业负担,提升监管能力
利用前段填报合并、后端数据共享等方式,推进市场监管与人力资源社会保障、海关、银行、商务、税务等部门业务协同,企业年报事项“多表合一、多报合一”,减轻企业负担,阻力优化营商环境。充分利用法人基础信息,支持地方主管部门开展企业违规行为监管、行业动态监测、联合执法以及辅助决策分析,防范企业经营风险。
(3)社会管理,推进城市运行“一网统管”和社会信用体系建设
以大数据算法建模、分析应用为手段,推进城市运行“一网统管”,提高治理能力和水平。通过数据融合支撑突发事件的应急处置,强化预警能力,提升社会治理、应急指挥的效率和质量。同时,推进社会信用体系建设。
(4)公共服务,促进政务服务模式创新,提升办事效率
各地区各部门深入挖掘、充分利用数据资源,深化“一网通办”业务场景,通过流程再造、模式创新,促进政务服务办事方式不断优化、办事效率不断提高。
(5)生态环保,强化环境监测和应急处理能力
归集涵盖环境质量、污染源、环保产业、环保科技等数据,通过不断丰富、优化生态环保主体库,实现跨部门数据共享。同时,通过不断深化数据建模,支撑环境质量监测、突发环境事件多部门协同化应急处置。
笔者认为,2023年“数字场景应用”赋能“数字政府、数字经济、数字社会、数字生态”等领域的数字化转型作用更加凸显。数字场景需以数据为核心驱动力,需通过数据模型驱动业务主体、服务客体、空间协调联动和融合创新,同时,“数字场景应用”成效还取决于数据开发利用广度和深度。目前,广州、深圳、上海、青岛、宜昌、重庆等城市的数据管理单位(大数据局)已经开始围绕“数字政府2.0”中的城市管理、公共安全、城市交通、生态环境、产业经济、社会服务、卫生健康、政务服务、市场监管、信息安全等应用场景开展规划征集遴选活动。
三、合规升级、监管趋严:数据安全就是国家安全
1. 数据安全就是国家安全
据统计,2020年我国“数字产业化”规模达7.5万亿元,占GDP比重7.3%,“数字经济”规模突破39万亿元,而到2021年底,我国的“数字经济”规模就已增长到45万亿元,占GDP的比重也提升到39.8%,数字经济对我国GDP增长的贡献率达到60%以上。从中我们可以惊讶发现,数据作为新型生产要素,已快速融入生产制造、资源调配、运输物流、生活学习、消费服务、产业升级、科技创新等各环节,深刻改变着生产方式、生活方式和社会治理方式,其发展速度之快、辐射范围之广、影响程度之深前所未有,已是推动我国国民经济发展的核心动力。在我国数字经济和信息产业蓬勃发展的同时,伴随着越来越多的数据产生和流动,数据应用范围更加广阔,应用场景更加丰富,数据安全面临的风险越来越高,数据泄露、数据滥用、数据损毁、数据篡改等威胁日益凸显,有的是个人隐私,泄露后会影响生活甚至生命财产安危;有的是商业秘密,比如技术资料、经营数据、用户数据等,泄露可能让企业研发投资付之东流;有的是国家机密,泄露后甚至会危及国家安全。数据安全现已成为关系个人权益、公共利益和国家安全的重要因素。
与此同时,随着国际形势越发严峻,数据要素价值凸显,境外保护主义盛行,数据安全往往成为部分西方国家打击和遏制我国以数据为核心的数字经济新业态、新模式、新技术创新发展的借口和工具,针对以上情况,国家出台了一系列数据安全相关的法律法规,笔者认为,这些都体现了数据合规升级、数据监管趋严的宏观趋势。
目前,全国31哥省(自治区、直辖市)均已结合政务数据管理和发展要求,制定了数据发展规划和政策措施,同时,组织实时政务数据采集、归集、治理、共享、开放和安全保护等工作,统筹推进数据资源开发利用。
2.数字安全面临七大主要风险
随着数字经济时代的到来,数据资产成为了国家的战略资源和核心资产,数据安全脱离了单独的个人或企业层面,已经涉及影响国家安全的层面。我们在数据释放价值的同时,如何应对严峻的数据安全形势,满足合规监管要求,笔者认为,需要明晰数据安全风险与问题有哪些。
(1)数据资产梳理不清和分级分类不准带来的安全死角问题
参与流通的数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。传统的数据分析方法和工具难以从非结构化数据中识别信息内容和重要程度,在规则制定方面,各地区各部门对数据分类分级制度的定位和规则存在差异,同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。
(2)数据泄露风险是当今突出的数据安全问题
在数据使用过程中,数据泄露风险是目前重要的数据安全问题。在数据大量流动和使用的过程中,可能会因为网络安全漏洞或人为失误而导致数据泄露。例如,黑客或不法分子可能会通过攻击企业的系统窃取企业活动数据和用户数据,并用于恶意目的。对个人来说,数据泄露可能会导致个人信息泄露,个人隐私遭到侵犯;对企业和组织来说,数据泄露可能会导致商业机密和交易数据泄露,进而造成经济损失或声誉损失。
(3)数据滥用风险是急需治理的数据安全问题
数据滥用风险也是当前数字经济发展急需治理的数据安全问题之一。数据滥用风险是数据收集者不当使用所收集的数据的风险。伴随着数字经济逐步渗透至各种生活场景,用户信息被大量收集。数据收集者利用收集的信息进行商业欺诈或不当广告投放,对个人隐私和用户利益造成严重损害,破坏了商业活动规律。
(4)场景化应用的数据安全风险
“场景化业务应用”作为推进数字化变革的重要应用载体,面向企业、大众提供各类服务,在“场景化”开发过程中常会碰到因为安全因素考虑不够周全或者缺失或者存在业务逻辑缺陷等导致的自身安全风险,同时也会带来诸如恶意破解、核心代码被窃取、恶意代码注入、数据泄露、内容篡改、互动关联、认证风险等一些列安全问题。
(5)数据共享交换的数据安全风险
数据要素市场建设加速推动了数据共享、交易和使用,尤其在数字政府建设过程中,数据来源多样、权属不同,且为了实现“让数据多跑腿、百姓少跑路”的目标,对数据共享的需求十分强烈。这导致在数据采集、共享、传输、应用过程中涉及非常多的主体,容易导致数据安全管理责任不清晰。而且由于各个政府部门,特别是基层单位的防护能力参差不齐,在共享过程中一旦薄弱部位被利用,就可能引发全局渗透风险。同时,由于数据流转链路增长,也进一步加大了数据流向和使用追踪难度。
(6)数据API化的数据安全风险
在共同建设信息基础设施、融合基础设施及创新基础设施的背景下,需要连通不同类型的设施和应用,使得各类数据、算力和功能够在不同的区间内,形成高效共享,API作为能够支撑线上应用连接和数据传输重任的一种轻量化技术,其应用越来越普遍。由API传输的核心业务数据、个人身份信息等数据的流动性,大大增强,因此这些数据面临着较大的泄漏和滥用风险,成为数据保护的薄弱一环,外部恶意攻击者会利用API接口批量获取敏感数据。从“数字生态”角度看,目前数据的交互、传输、共享等往往有多方参与,涉及到用户、应用方、关联方等多个主体,由此使得数据泄露风险点激增,风险环境愈发复杂。
(7)新技术应用的数据安全风险
由于AI技术的普及、算法的滥用和深度伪造等新技术带来的大量真假难辨的新闻事件,增加了辨别网络舆情真伪的困难度,增加了侵权案件、隐私泄露事件的发生,降低了恶意攻击成本、增加了隐蔽性,同时,增加了政府管理难度、危害国家社会民众利益。
四、夯实数字化时代数据安全防护体系的思考与建议
针对上述数据安全风险和问题,如何管好数据、用好数据、治理好数据,平衡好数据应用和安全防护,激发数据应用潜能,是我们夯实数字化时代数据安全防护体系的初衷,我们需要从传统以数据承载环境为中心的“系统视角”向以数据全生命周期流转为中心的“业务视角”转变;我们需要从强调技术手段向 “技术”与“管理”并重思路转变,把“技术”作为“管理”的延续,进而制定相应的管理机制;我们需要从静态防护转向结合具体场景、行业特性、数据属性等,综合制定数据安全目标和工作任务。
首先,先理后治、补短固底。“盘家底、补短板”,是数据安全的当务之急,是数据安全防护体系建设的基础。
(1)区别于合规要求的网络安全建设,数据安全防护体系应建立在事实依据的基础上,才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决,所以第一步,即开展数据风险发现过程-数据安全治理评估。
(2)通过数据安全治理专家团队,从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。
(3)集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。
(4)围绕“重要数据资产”建立“高防区”,做访问控制设计、堡垒机、特权账号管理(含密码保险箱)、API安全、数据库审计、数据安全态势感知、终端管控等,形成“急用先行”的落地方案,守住数据安全的第一道关口。
其次,系统治理、体系规划。开展数据安全治理和分类分级,建立制度、流程、规范等,以分类分级为基础,进行数据安全管理体系、技术防护体系、运营体系的规划和设计。
(1)数据分类分级的梳理是数据安全治理工作的核心,通过对数据资产进行分类和安全等级定义,支撑全生命周期过程、各业务场景下数据差异化的安全策略设置。基于分类分级结果并结合业务逻辑、数据流转,根据数据级别制定相应的分级管控与防护策略,包括管理策略和技术防护策略。
(2)数据安全防护体系的规划需要从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
(3)数据安全管理机制的设计是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。
三,有序建设、持续运营。依据整体规划和设计、分步骤分阶段有序开展建设,持续运营,保障数据持续安全状态,包括数据资产安全运营、数据安全策略运营、数据安全事件运营和数据安全风险运营。
(1)依托专业业务团队+数据安全技术团队+平台支撑工具+数据运营流程+制度机制保障,构建“数据归心”的一体化数据安全运营体系,通过梳理明晰数据资源、实现数据资源资产可用、数据共享交换可信、数据传输环境可靠。
(2)针对公共服务数据、重要应用数据、关键基础设施数据在业务应用中的共享交换与流通,依托数据共享交换清单、权限管理、数据审计、数据安全态势感知平台、API调用过程监测和数据安全运营团队,确保数据交换过程中的真实性、完整性、保密性,数据共享交换主体的专业与合规,以及实现全程可追溯和可审计。
关 于 作 者
奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,深入调研网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。
奇安信集团产品战略市场部,负责管理数据安全产品市场、制定产品战略,负责管理各类市场专班、落实产品战略执行。
陈华平:奇安信集团副总裁,产业发展研究中心负责人。
刘前伟:奇安信集团数据安全副总工,产品战略市场部负责人
杜勇:奇安信集团高级咨询顾问,主要负责数字政府行业研究。