《中国信通院:数据要素流通视角下数据安全保障研究报告(2022年)(38页).pdf》由会员分享,可在线阅读,更多相关《中国信通院:数据要素流通视角下数据安全保障研究报告(2022年)(38页).pdf(38页珍藏版)》请在三个皮匠报告上搜索。
1、中国信息通信研究院安全研究所 2022年12月 数据要素流通视角下数据安数据要素流通视角下数据安全保障研究报告全保障研究报告 (20222022 年年)版权声明版权声明 本报告版权属于中国信息通信研究院,并受法律保本报告版权属于中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明点的,应注明“来源:中国信息通信研究院来源:中国信息通信研究院”。违反上述。违反上述声明者,本院将追究其相关法律责任。声明者,本院将追究其相关法律责任。前前 言言 数据已成为重要的国家战略资源和推动经济发展质量变革、效率变革、动力变革
2、的新型生产要素,数据安全对数据要素有序流通、护航数字经济发展、维护国家安全意义重大。从数据要素流通视角看,数据通过规模流通和深度融合处理,数据安全保护的对象、模式、技术和场景呈现出新特点。数据安全保护对象从静态的数据存储系统向动态的数据流转全生命周期转变,数据共享、交易和处理等环节成为安全保障新重点。数据安全保护模式从场景化保护向体系化融合演进,大规模的数据共享、业务协同、信息系统互联互通对安全保护提出了新要求。数据安全保护技术从保障价值到创造价值转变,联邦学习、多方安全计算等技术为解决数据利用与数据保护之间的矛盾提供了新的解决方案。数据安全保护场景从单点向产业链扩展,数据要素交易、共享使数据
3、从企业内部的业务系统流向外部系统、边缘节点、云端平台、大数据中心等。数据要素流通视角下数据安全保护新特点对安全保障提出了新要求。典型国家积极加强数据要素流通安全领域的前瞻性战略布局,在原有较为成熟的数据安全保障体系基础上,明确敏感数据流通利用安全要求,细化数据流通重点环节及典型场景制度规则,搭建数据安全流通基础设施,大力发展数据安全技术,化解数据流通与安全的矛盾,积极寻求实现数据安全保护与流通利用的动态平衡。今年,国家紧锣密鼓地出台了要素市场 化配置综合改革试点总体方案“十四五”数字经济发展规划关于构建数据基础制度更好发挥数据要素作用的意见等一系列政策文件,加快培育数据要素市场,同时强调要加强
4、数据安全保护。中国信息通信研究院安全研究所基于数据要素流通视角下的数据安全需求,研提健全完善我国数据安全保障体系的推进思路,并从分类分级、流通环境、安全技术、协同共治等方面提出措施建议,为完善我国数据要素流通视角下数据安全保障提供有益参考与借鉴。目目 录录 一、数据要素流通相关概念.1(一)数据要素流通的内涵及特点.1(二)数据安全内涵不断延展.3 二、数据要素流通现状.5(一)流通数据现状.5(二)流通活动现状.7(三)流通设施现状.11 三、数据安全保障面临的挑战.13(一)流通数据层面:流通数据形态逐步拓展,数据资产梳理和分类分级难度加大.13(二)流通活动层面:数据流转路径复杂、主体多
5、样,数据安全风险控制及责任划分难度加大.14(三)流通设施层面:基础设施平台开放互动增强,数据安全防护压力加大.17 四、国内外数据要素流通安全管理实践探索.19(一)国外数据要素安全流通管理实践和特点.19(二)国内数据要素流通安全保障现状.22 五、安全保障思路和措施建议.25(一)体系视图.25(二)推进思路.27(三)措施建议.29 图图 目目 录录 图 1 数据安全保护对象总体视图.5 图 2 企业间数据流通主要类型及占比.8 图 3 我国数据交易的主要模式及占比.10 图 4 数据安全保障体系视图.26 表表 目目 录录 表 1 数据共享的典型场景及实例.8 表 2 数据交易的模式
6、及特点.10 数据要素流通视角下数据安全保障研究报告(2022 年)1 一、数据要素流通相关概念一、数据要素流通相关概念(一)数据要素流通的内涵及特点(一)数据要素流通的内涵及特点 1.数据要素的内涵特点 在数据要素提出之前,业界已有数据资源和数据资产两个概念提法。数据资源是数据的自然维度,把数据看成一种宝贵的资源。类比石油、土地等资源的特点和管理特性,数据资源有采集、存储、传输、使用、加工、提供、销毁等生命周期过程。数据资产是数据的经济维度,并非所有的数据都构成数据资产,数据资产是能够为组织产生价值的数据资源。2020 年 4 月 9 日,中共中央、国务院发布关于构建更加完善的要素市场化配置
7、体制机制的意见,首次明确将数据纳入生产要素范围,并提出加快培育数据要素市场。总体来看,数据资源、数据资产、数据要素,有其产生的特定背景。三个概念反映的是不同视角下对数据的不同认知,但是也具有统一性,其内核都是数据,都强调了数据的重要性。同时从数据到数据资源、到数据资产、再到数据要素的概念变化,也体现了对数据价值定位的认识不断深化,和数据价值化的路径。从生产要素视角看,数据要素与传统生产要素相比主要存在三方面不同的特征。一是数据要素在获取和使用上具有非稀缺性和非排他性。数据每天都在源源不断地产生,可以不断复制、共享、再生,也可以多方多次使用且不会产生有形的损耗,而土地、劳动力、资本、技术等往往具
8、有单一归属。二是数据要素形态多样且价值很难精准衡量。土地、劳动力、资本等在要素市场里都有统一的形态,数据形态数据要素流通视角下数据安全保障研究报告(2022 年)2 则更为多样,比如根据加工程度的高低,可分为原始数据、加工数据集和数据计算结果。而且对于不同主体和不同场景而言,同样体量类型的数据价值和收益也截然不同。三是数据要素流通涉及个人隐私及安全。与土地、劳动力、资本和技术等生产要素相比,数据要素映射了不同层面的生产关系,在数据要素转化为生产力的同时,需要解决不同数据主体在数据安全保护方面的诉求。如个人数据涉及隐私,企业数据涉及竞争或商业机密,重要数据及核心数据涉及国家安全和公共利益。2.数
9、据要素流通的内涵 要素市场化配置是我国经济体制改革的重点,数据作为新型生产要素,加快完善数据要素市场化配置,已成为推动数字化高质量发展的必由之路。北京大学光华管理学院翁翕教授在“十四五”数字经济发展规划解读中提出,数据要素市场化建设就是将尚未完全由市场配置的数据要素转向由市场配置的动态过程,形成以市场为根本的数据资源体系,实现以数据流促进生产、分配、流通、消费各个环节高效贯通。其中,数据流通是数据要素市场化建设的核心环节。数据流通是指以数据作为流通对象,按照一定规则从数据提供方传递到数据需求方的过程1。从流通方式来看,包括数据开放、共享和交易;从流通形态来看,包括原始数据包直接流通、使用 AP
10、I 接口流通、“数据可用不可见”等;从流通范围来看,可以分为内部不同部门之间的流动、跨组织的 1 中国信息通信研究院,大数据白皮书(2021 年)数据要素流通视角下数据安全保障研究报告(2022 年)3 业务生态体系内的流动、跨组织无业务生态关联;从流通参与主体来看,包括数据提供方、数据使用方、平台管理方、第三方服务提供方等多类市场主体,构成了数据要素市场中的主要经济关系。从流通载体来看,数据流通设施是数据要素流通活动的主要载体。流通设施是传统 IT 基础设施的延伸,以数据为中心,服务于数据,最大化数据价值。具体来说,包括传输数据的基础通信网络,存储、计算数据的基础物理设施如数据中心、数据湖、
11、数据仓等,提供数据共享、交易、分析和管理的信息化平台,如数据交易平台、大数据分析平台等。(二)数据安全内涵不断延展(二)数据安全内涵不断延展 数据安全保护相关工作在国外已经有长达 30-40 年的发展历程,起初国际上都是采用“信息安全”的概念。ISO(国际标准化组织)将其定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。随着形势的发展,美国国防部和国家安全局开始使用“信息保障(IA,Information Assurance)2”,安全属性也扩展到保密性、完整性、可用性、真实性和不可抵赖性。国内对于数据安全的定义较
12、为统一,中华人民共和国数据安全法第三条中明确提出,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据安全是数据流通的生命线,随着数据跃升为新型生产要素,数据与千行百业应用场景深度融合,数据安全治理的核心目标就是要 2 美国国家安全局“信息保障技术框架(IATF)”和美国国家标准与技术研究院制定的 NIST 800 系列标准 数据要素流通视角下数据安全保障研究报告(2022 年)4 促进数据有序流动和安全应用,同时保障数据的可用可管、完整准确、安全可信,以安全促发展。数据安全内涵逐步演变扩展,概括起来可以包含为三个层次:第一层是保护数据载体上
13、的信息安全,与传统信息安全的目标完全一致,就是确保数据或者信息的保密性、完整性、可用性。第二层是对数据承载的个人权益、产业利益和国家利益的安全保护,比如个人信息安全保护、海量个人信息汇聚甚至融合分析后形成的数据安全保护、涉及国家经济社会运行的重要数据安全保护、以及数据出境场景下的国家安全、社会公共利益等安全保障。第三层是通过数据安全保护促进数据合法有序开发利用,护航国家数字经济高质量发展。结合数据要素流通的内涵,数据安全保护对象可以拆解为三个部分:一是数据本身的安全,即通过对数据本身采取分类分级、加密脱敏等一系列防护措施,保护数据及数据承载的信息的可用性(破坏)、完整性(更改)、保密性(暴露)
14、。从数据类型来看,因涉及个人权益、产业利益和国家利益,个人信息和重要数据等特殊类型的安全保护需求最为突出;二是数据流通活动的安全,即规范数据提供方、数据使用方、平台管理方、第三方服务提供方等各类市场主体,在数据开放、共享和交易等流通活动中的行为,保障数据流通过程安全可控、可追溯,维护数据要素市场安全;三是数据流通设施的安全,即保护数据处理活动所涉及的网络、平台和物理设施的安全,防止数据基础设施上承载的海量数据丢失、泄露、被篡改,保障业务在线和可追溯。数据要素流通视角下数据安全保障研究报告(2022 年)5 来源:中国信息通信研究院 图 1 数据安全保护对象总体视图 二、数据要素流通现状二、数据
15、要素流通现状(一)流通数据现状(一)流通数据现状 在政策和市场的牵引下,数据要素流通正迎来加速期,来源多样、类型丰富、形态复杂的数据投入生产和服务,数据价值加速释放。在数据流通利用过程中,海量、多元、非结构化数据成常态,数据融合汇聚更为频繁,引发数据类别、级别、形态发生新变化,流通数据的开发程度更高。一是非结构化数据占比高、增速快、价值高,逐渐成为数据要素流通的重要对象。据国际数据公司(IDC)预测,到 2025 年全球数据量复合增长率达到 27%,其中超过 80%数据由各类音视频、日志、文档等非结构化数据构成,且分散在不同的数据载体和系统中。非结构化数据所包含的部门管理数据、行业应用数据和新
16、兴业务数据等蕴含巨大价值。国际知名调查机构 Igneous 发布的 2022 年数字经济报数据要素流通视角下数据安全保障研究报告(2022 年)6 告显示,三分之二的非结构化数据被认为具有中等到较高的价值。非结构化数据潜在价值使其逐步成为数据流通重要对象。中国信息通信研究院安全研究所调研3显示,高达 52.2%的被调研企业已经进行了非结构化数据的流通。二是数据集中、整合、流通引发数据融合汇聚。数据融合已成为弥补数据割裂性,充分释放数据新价值的必然选择。在数据要素流通的背景下,多领域、多部门、不同子系统之间的制造数据、用户数据、技术数据、流程数据等通过集中、整合、共享进行关联互补,有效支撑企业推
17、进生产智能化、服务多元化、产品定制化。例如,用户上网数据、通信数据、身份特征、行为偏好、社交关系等生活类数据组合形成征信报告;金融数据和通信行业数据汇聚分析判定黑名单用户等。在数据融合汇聚的场景下,原本由各种应用系统管理和控制的低敏感程度数据经过组合、关联和分析后,可能产生敏感个人数据、重要数据、核心数据等高敏感度数据。三是模型化数据、人工智能化数据参与数要素流通,数据开发层级更加丰富。在原始数据、脱敏数据流通的基础上,数据与服务、算法等结合形成模型化数据、人工智能化数据,形成“数据+服务”、“数据+算法+算力”等数据要素形态参与流通,成为典型的数据要素流通形态。模型化数据在原始数据基础上,结
18、合用户需求进行模型化开发。例如,互联网企业用于精准营销的用户画像“标签”。人工智能化数据一般是在原始数据、脱敏数据、模型化数据之上,结合机器学习等技 3 2022 年 7-10 月,课题组围绕企业数据流通基本情况、安全保障难点,面向通信、金融、信息服务等领域的企业进行调研及统计分析 数据要素流通视角下数据安全保障研究报告(2022 年)7 术形成的智能化能力,比如人脸识别、语言识别等,其主要依托海量数据实现。模型化数据、人工智能化数据的数据交易流通场景实际上是“数据+算法+算力”的综合体流通,数据流通与算力、算法结合更为紧密4。(二)流通活动现状 数据流通实现数据从数据供应方到数据需求方的传递
19、,是数据价值实现的基本方式。根据产业实践可将数据要素的流动路径划分为数据共享、数据开放、数据交易三类。目前我国的数据开放主要集中于公共数据开放,是行政主体向社会公众提供数据的数据资源单向流通5。本报告中的数据流通活动主要探讨企业间基于市场机制的数据共享与数据交易。在上述活动中,各类数据将流出组织机构内部。数据流通主体从供需双方扩大至数据提供方、数据使用方、平台管理方、服务提供方等。人工智能、隐私计算等新技术也从理论认知走向规模应用的阶段。一是数据共享是企业参与数据流通的主要路径,以场景化的“企业间数据合作”形式开展。数据共享通常指企业间的数据交换,即不同企业能够读取对方数据并进行各种操作运算和
20、分析。包括提供数据以及被授予访问数据的两方主体6。数据共享可充分使用已有数据资源,减少数据采集等重复劳动,实现数据资源的双向置换,释放更大 4 王璟璇、窦悦、黄倩倩等,全国一体化大数据中心引领下超大规模数据要素市场的体系架构与推进路径,载于电子政务2021 年第 6 期。5 王新明,桓德铭,邹敏,朱效民.我国公共数据开放现状及对策研究J.江苏科技信息,2021,38(25):40-43.6 GDPR 委托咨询公司 Everis 编制的欧洲内公司间数据共享研究(Study on data sharing between companies in Europe)。数据要素流通视角下数据安全保障研究
21、报告(2022 年)8 的数据价值,数据共享的程度也反映了信息化发展水平。中国信息通信研究院安全研究所调研显示,七成以上企业表示数据共享是其数据流通的主要路径(详见图 2),其中,有 47.8%的数据共享以“企业间数据合作”形式开展,其典型场景包括三类:数据开发服务、联合数据服务和数据业务推广(详见表 1)。在这些场景中,企业之间通过计算结果、分析结果、数据建模、运行环境、联合推广等方式,实现各方数据的交换、转移与融合,探索开发新业务模式、产品或服务的可能性是企业数据共享的主要驱动力。来源:中国信息通信研究院根据调研问卷整理 图 2 企业间数据流通主要类型及占比 表 1 数据共享的典型场景及实
22、例 典型场景典型场景 具体描述具体描述 实例实例 数据开发服务数据开发服务 由本单位提供数据开发平台,为合作方提供数据及运行环境或模型服务的合作。合作方在进行数据建模和运行过程中,需要接触到本单位数据进行模型设计、训练和运行。某运营商能力开放平台基于租户隔离的方式,提供数据开发环境和工具,研发大数据产品。目标客户为政府部门或银行、互联网、教育等行业客户。联合数据服务联合数据服务 企业之间基于各方所有数据的种类、特征、标签、时间等特点,针对各方业务需求,共同进行数据和技术的合作,联合实现数据某运营商隐私计算平台,以“数据可用不可见”的方式,与外部机构合作形成数据融合,为金融、政25%70.83%
23、25%0%20%40%60%80%数据开放数据共享数据交易数据要素流通视角下数据安全保障研究报告(2022 年)9 的计算、分析、建模等活动,并提供一方或多方进行计算结果、分析结果、模型的使用。府、电商等行业客户实现数据融合协同应用,提供跨行业的联合营销、联合风控、联合科研等业务。数据业务推广数据业务推广 各方联合开展数据和技术合作,共同进行相关的产品或相应的服务的分析、设计、开发,合作成果由本单位与合作方共享,共同对外进行产品和服务的推广。合作过程中,各方需要进行深入的数据和技术融合,需接触对方数据。多见于拥有数据的组织机构之间,以及拥有数据的组织机构和技术公司之间,如运营商和科技公司联合开
24、发对外的黑名单服务等。来源:中国信息通信研究院 二是数据交易尚处于探索和培育期,数据交易模式逐渐成型。数据交易是指数据供方和需方之间以合同约定的数据处理权益为交易对象、以货币为媒介的价值交换过程7。数据交易是市场经济框架下影响数据要素参与分配的关键流通路径。囿于数据权属、定价、技术保障等瓶颈,我国数据成交率不高,数据交易市场规模在大数据产业规模中占比不足 4%8,数据交易市场尚处于培育阶段。在国家政策的积极引导下,各地政府、企业开展新一轮数据交易实践,大致形成直接交易、单边交易和多边交易三种典型交易模式(详见图 3、表 2)。在调研中,33%的企业选择了简单透明的一对一直接交易模式;45%的企
25、业选择有利于数据的专业化开发和规模化应用的单边交易模式;通过平台交易的数据产品开发程度有限,场内交易不活跃,25%的企业选择该模式。7 可信数据服务数据交易合同示范文本。8 根据工信部数据,2021 年我国大数据产业规模突破 1.3 万亿元,根据前瞻研究院、中国信通院等研究机构估算,2021 年我国数据交易市场规模在 450-500 亿左右。数据要素流通视角下数据安全保障研究报告(2022 年)10 来源:中国信息通信研究院调研统计结果 图 3 我国数据交易的主要模式及占比 表 2 数据交易的模式及特点 交易模式交易模式 具体描述具体描述 典型场景典型场景 直接交易直接交易 数据产品根据市场需
26、求生成,交易内容与形式较为开放,数据类型、购买期限、使用方式、转让条件等均由供需双方自行商定,属于“一对一”的交易方式。此模式简单直接,但数据交易不透明、对数据也较少进行脱敏处理,容易滋生数据贩卖等黑市交易。某数据服务机构根据企业需求,收集大量的语音、图像与文本数据,为客户提供数据标注与数据定制服务。单边交易单边交易 数据交易机构以数据服务商身份,对自身拥有的数据或通过购买、网络爬虫等收集来的数据,进行分类、汇总、归档等初加工,将原始数据变成标准化的数据包或数据库再进行出售,一般采用会员制、云账户等方式,为客户提供数据包(集)、数据调用接口(API 接口)、数据报告或数据应用服务等。这种模式有
27、利于数据的专业化开发和规模化应用,也相对便于监管,是当前最主流的数据交易模式。淘宝基于对自身数据的分析,打造了“生意参谋”数据库,为淘宝内的商家提供有偿服务。通过生意参谋,淘宝内的商家可以看到口径标准统一、计算全面准确的店铺数据和行业数据,进而为企业决策提供参谋。多边交易多边交易 数据交易机构作为完全独立的第三方,为数据供应方、需求方提供撮合服务:一种是平台仅提供供需撮合服务,不存储和分析数据,仅对数据进行必要的实时脱北京国际大数据交易所与国网北京市电力公司完成全国能源行业的首笔线上数据交易,国网北京将在北数所登记其开数据要素流通视角下数据安全保障研究报告(2022 年)11 敏、清洗、审核和
28、安全测试;另一种是不仅提供撮合服务,还会根据不同用户需求,围绕数据资源进行分析、建模、可视化等操作,为需求方提供定制化的数据产品或服务,实现交易流程管理。发的对外电力数据服务产品,并通过北数所进行流通交易。(三)流通设施现状(三)流通设施现状 数据流通设施承载汇聚各方数据,为数据要素提供“采、存、算、管、用”全生命周期的支撑能力,是数据要素存得了、流得动、用得好的基础保障9。从对数据流通的功能来看,数据流通设施可以分为流通基础设施和流通服务设施。流通基础设施是指为流通数据提供存储、计算、传输等功能的信息基础设施,主要包括 5G、物联网、工业互联网等通信网络设施以及数据中心、超级计算中心、智能计
29、算中心等算力设施;流通服务设施主要是指支撑数据共享、交易、分析和管理的信息化管理平台等设施,主要包括数据交易服务平台、数据空间等。一是新型算力网络体系加速建设,助力数据要素跨行业、跨层次、跨区域流动。在数据要素流通背景下,数据存储、计算和应用对算力需求愈发迫切,对网络时延和隐私保护提出更高要求,但算力资源分布不均、算力利用效率低以及单点算力存在性能极限等问题,导致算力供需不平衡,不协调的矛盾突出,制约数据要素大规模流通应用,迫切需要加强“云-边-端”多级异构算力的互联互通、统筹调度、优化配置,构建新型算力网络体系。目前,我国积极推进算力网络建设,启动“东数西算”工程,在京津冀、长三角、粤港澳大
30、湾区、成渝、内 9 中国信息通信研究院、华为数据基础设施白皮书 2019 数据要素流通视角下数据安全保障研究报告(2022 年)12 蒙古、贵州、甘肃、宁夏等 8 地布局建设国家算力枢纽节点,规划了10 个国家数据中心集群,引导大型、超大型数据中心向枢纽内集聚,支持海量数据集中处理和高频实时交互数据处理。算力枢纽之间,打通数据高速传输网络,强化云网融合、多云协同,实现东西部算力高效互补和协同联动,助力我国跨行业、跨层次、跨区域的数据要素流动,支撑数据要素市场化配置改革纵深推进。二是数据流通服务设施探索发展,聚焦数据价值安全转化。随着数据要素市场迎来快速发展阶段,可信、安全、透明、可计量的数据共
31、享、流通、交换和交易已成共识,而“数据包传输”、“API 调用”等传统数据流通方式,在数据安全性、数据的使用深度、应用成本和协同等方面存在诸多问题,迫切需构建新型可信数据流通方式10。数据交易平台、数据空间等数据流通服务设施应运而生。数据流通服务设施提供数据出域流通整体方案设计,通过构建安全的数据存储、访问、交易系统平台,建立虚拟架构强化用户对流通数据管控等方式,保障数据价值安全转化。北京、上海、江苏等地数据交易机构搭建具备多种功能的综合数据交易平台以实现可信数据流通。如北京国际大数据交易所自研的 IDeX 系统提供了数据资产登记、发布、交易、支付、结算等交易功能,推出了保障数据交易真实、可追
32、溯的“数字交易合约”。部分科技企业积极探索建立可信数据空间,为数据拥有者提供相关控制能力,为数据处理者提供日志存证,实现数据资源有效管理,并为供需双方提供中间服务,促进工业等重点领域数据要素资源价值 10 工业互联网产业联盟、中国信息通信研究院可信工业数据空间系统架构 1.0。数据要素流通视角下数据安全保障研究报告(2022 年)13 互换。三、数据安全保障面临的挑战三、数据安全保障面临的挑战(一)流通数据层面:流通数据形态逐步拓展,数据资(一)流通数据层面:流通数据形态逐步拓展,数据资产梳理和分类分级难度加大产梳理和分类分级难度加大 一是数据资产梳理和分类分级存在技术难点。尤其对于大中型企业
33、而言,承载企业数据的底层平台种类繁多,包括传统数据库、大数据平台、消息队列等,数据体量庞大,类型丰富,图片、音视频、文件等非结构化数据多,增加内容自动化识别难度和成本。传统的数据分析方法和工具难以从非结构化数据中识别信息内容和重要程度,数据资产梳理和分类分级难度增大,极易产生安全死角。中国信息通信研究院安全研究所调研显示,37.5%的被调研企业认为非结构化数据增加了数据识别难度。二是数据的类别级别需要结合业务场景进行动态调整。数据流动就意味着变化,形态的变化、内容的变化、场景的变化都会影响数据分类分级的策略。同一个数据字段在不同场景下的等级认定以及相应的管控或处理技术可能不同,如手机号码等账号
34、信息在市场营销推广和用户投诉处理场景下安全级别存在明显差异,需要采取不同的管控策略,以单字段数据作为对象的分类分级在实践过程中存在适用性问题。传统的静态标定敏感度模式无法在数据共享和流通环节准确评估融合数据集的敏感性的动态变化,难以准确描述融合后的具体数据的敏感性,数据分类分级的持续性难以保持。中国信息通信研究院安全研究所调研显示,41.7%的被调研企业认为数据一直处于动态变化,数据要素流通视角下数据安全保障研究报告(2022 年)14 数据分类分级的持续性差。三是数据分类分级制度定位和规则理解存在差异。在规则制定方面,各地区各部门对数据分类分级制度的定位和规则存在差异,例如上海、辽宁等地数据
35、条例立足数据安全视角,根据安全影响程度制定分类分级规则,广东等地则是立足数字经济发展视角,提出聚焦数据相关行为,加强产业数据分类分级管理,以此推动发展数据驱动的生产经营模式11。置于国家统一大市场背景下,可能增加数据要素在地区间流通的制度成本。在落地实施方面,数据分类分级涉及企业运营全过程,需要各业务部门协同配合,各部门基于各自职责和需求,对分类分级管理的出发点和规则理解同样存在差异,且在确定分类维度,理顺数据梳理和分类分级流程环节,建立后续有效监督管理等方面缺乏成熟的实操经验,平衡业务发展与安全运营的思路方法有待探索。(二)流通活动层面:数据流转路径复杂、主体多样,(二)流通活动层面:数据流
36、转路径复杂、主体多样,数据安全风险控制及责任划分难度加大数据安全风险控制及责任划分难度加大 数据需要在流动中实现功能和价值。根据中国信息通信研究院安全研究所调研显示,超 80%的安全风险发生在数据的流通环节。随着数据要素市场化发展提速,数据资源高度集中,数据流通链条的增长和参与主体的多样化,以及日趋复杂的新技术新应用场景,给数据安全带来数据滥用、数据流向难追踪、安全责任难界定、数据污染等新挑战,影响了数据流通的效果和价值释放。一是数据高度集中于供给侧引发数据滥用。作为一种要素资源,11 广东省数字经济促进条例 数据要素流通视角下数据安全保障研究报告(2022 年)15 数据量级越大、价值越高。
37、目前我国移动互联网接入流量高达 2216亿 GB12,大量数据集中在互联网,电信金融、公共事务等领域。数据流通属于典型的“卖方市场”,互联网巨头是数据收集和使用的重要主体,但缺乏动力出售数据。一些平台企业借助“数据+算法”强化对用户锁定和设置平台间互通障碍,未经授权收集个人信息、基于授权的数据进行违规操作,开展与业务目标不相关的分析挖掘等数据滥用现象,损害用户与中小企业的利益,不利于数据要素价值的充分释放。二是数据流通链路增长,加大数据流向和使用追踪难度。数据要素市场化建设推动数据加速从企业内部流通延伸至外部共享、交易和使用,也增加了数据要素流通的“后链路风险”。传统数据访问控制技术无法解决跨
38、组织的数据授权管理和数据流向追踪问题,一旦数据集交付或接口调用结束,仅凭协议很难有效约束和监督需求方对数据的后续处理行为。需求方可能改变原有授权许可的数据处理目的,引发数据非法披露、未授权二次转移等数据滥用风险。比如,需求方可能违约通过复制、截屏、打印等方式将数据再次流转、非法转售,或者被黑客窃取转售,数据实际流转轨迹难以预估。据国外机构SecureLink 和 Ponemon 研究所报告显示,51%的组织经历过由第三方造成的数据泄露。加之,数据水印、血缘等技术尚未大规模应用,一旦发生数据泄露难以溯源,导致企业不敢共享和流通数据。三是数据流通参与主体增加,安全责任划分难界定。数据流通涉及多类多
39、个主体,从供需双方扩大至数据提供方、数据使用方、平台 12 数据源自工信部2021 年通信业统计公报。数据要素流通视角下数据安全保障研究报告(2022 年)16 管理方、服务提供方。以电子商务场景为例,企业为完成订单履约,需向商家店铺、支付机构、物流机构甚至第三方外包服务商等共享用户账户、订单、物流等数据。由于数据所有权与控制权分离,一旦脱离供需双方控制范围被第三方获取,引发违规使用行为或数据泄露事件,传统“谁运营谁负责”的安全责任原则便难以适用。在因数据使用行为引发的司法纠纷中,一些平台企业很难控制第三方非法获取和使用该平台用户数据等行为。多主体间数据流转风险分配规则尚未形成,影响市场主体参
40、与数据流通的积极性。四是数据流通的新技术应用面临数据可用性、可信性风险。以人工智能为代表的新技术应用在深度学习过程中,需要大量数据样本和算法练习,“数据污染”可能导致算法模型训练成本增加甚至失效,“数据投毒”也会破坏原有训练数据而导致模型输出错误结果,引发人工智能的决策偏差或误判。有汽车厂商的自动驾驶系统曾因无法识别蓝天背景下的白色货车,导致交通事故。此外,作为数据流通的重要技术,隐私计算在解决市场主体数据合规难题和实现数据融合“可用不可见”的同时,也面临算法协议安全等新挑战。一方面,隐私计算产品的算法协议差异化较大,执行环境则更多依赖于硬件厂商的安全技术,难以形成统一的算法安全基础。另一方面
41、,由于不同的隐私计算平台是基于各自特定的算法原理和系统设计实现的,平台之间互联互通的壁垒成为了隐私计算面临的新挑战。数据要素流通视角下数据安全保障研究报告(2022 年)17(三)流通设施层面:基础设施平台开放互动增强(三)流通设施层面:基础设施平台开放互动增强,数,数据安全防护压力加大据安全防护压力加大 在算力网络、数据交易平台、数据湖等数据流通设施中,数据跨域流通频繁、汇集数据类型多元、流通路径复杂、开放接口爆发式增长,将对数据安全保护提出更大挑战。一是算力泛在化演进和协同调度导致数据暴露面增加。算力不再集中在数据中心,而是广泛地分布在边缘或者端侧的任何位置。从端侧看,终端设备一般无法采用
42、复杂的安全防护措施,易成为安全短板。同时,终端设备类型复杂多样、部署环境各异,灵活的组网方式以及多样的接入方式导致难以采用统一的安全防护措施。从边侧看,边缘计算节点能够获取并存储用户大量原始敏感数据,若缺乏有效的数据加密、备份、恢复等措施,数据被窃取、泄露、损毁等风险加剧。从云侧看,云平台架构的虚拟机逃逸、资源滥用、横向穿透等新安全问题不断显现,数据被违规获取、篡改等安全风险加剧。从调度方式看,算力网络中数据将脱离所有者的控制,在多个目标算力节点间传递,存在跨系统、跨域甚至跨境等多种场景,数据流转路径及目标算力节点安全状态不可控,数据在流转过程中可能被窃取、篡改,数据流转信息及计算状态信息可能
43、被伪造等安全风险加剧。二是数据高度汇聚集中极易引发数据大规模泄露。一方面,算力网络赋能千行百业,其编排管理层汇聚并处理了各行业高价值数据和用户敏感数据。另一方面,超大型、大型数据中心集聚发展布局加速落地,据中国信息通信研究院公布数据显示,截止到 2021 年底我国数据要素流通视角下数据安全保障研究报告(2022 年)18 大型以上数据中心占比达到 80%;与此同时,传统企业数据和业务上云进程加快,数据仓、数据湖迭代演进并广泛应用,海量数据加速集群融合、共享与应用,来自内、外部的数据安全威胁呈指数级增长。从外部来看,云平台、大数据中心等海量数据汇聚节点易成为网络攻击的新标靶,数据“一失万无”风险
44、急剧增加。与此同时,内部因素导致数据泄露也将远高于过往的分散存储,近年来因服务器配置错误导致的云平台数据泄露事件频发,影响范围从企业逐步向行业、国家乃至全球范围扩展。三是平台接口应用多样化复杂化导致安全风险敞口增大。API 作为能够支撑线上应用连接和数据传输重任的一种轻量化技术,其应用越来越普遍。在算力网络中,边缘节点与海量终端设备通过 API 接口进行交互,企业数据中台、数据交易平台则主要通过 API 接口向用户提供数据服务,据国际分析公司 Imavision 统计,全球企业与外部传输数据的接口使用率高达 63%。与此同时,由于承载的数据价值更大、窃取数据隐蔽性强、成本较低,通过攻击 API
45、 非法获取数据的数量激增。数据显示,2022 年第二季度被攻击的 API 数量月均超过 25 万13。调研发现,多数平台存在一个 API 接口同时面向多个第三方,API接口日调用量可达到上亿次,对企业接口统一管控和授权、单个接口多用户细粒度授权管理和溯源、快速识别接口传输数据内容,以及与其他系统联动发现违规行为并实施阻断等能力提出更高要求。13永安在线,2022 年 Q2 API 安全研究报告。数据要素流通视角下数据安全保障研究报告(2022 年)19 四、国内外数据要素流通安全管理实践探索四、国内外数据要素流通安全管理实践探索(一)国外数据要素流通(一)国外数据要素流通安全安全管理管理动向动
46、向 在数据要素成为数字经济深化发展核心引擎的背景下,欧美等国家通过加强法律顶层设计、开放数据市场、打造数据空间、设立数据银行等多种举措促进数据要素有效利用的同时,以原有数据安全治理体系为基础,持续构建完善与数据要素流通相适应的安全规则与措施,平衡数据安全保护与流通利用。1.明确敏感数据流通利用安全要求,廓清数据流通利用范围 一是细化敏感数据流通利用的安全要求。生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感数据关系自然人的人格尊严及人身、财产安全,对敏感数据实施更为严格的保护已成为全球共识。欧盟数据保护委员会(EDPB)明确了位置数据和健康数据的使用处理条件和原则。美国拟制定健
47、康和位置数据保护法,禁止数据经纪人出售美国人的位置和健康数据。二是实施“列表”“清单”管理。数据“列表”“清单”式管理具备明确具体、简明扼要、便于操作、可检验性强等特点,能够将原则、抽象的数据安全规则转化为易于理解和实操的流程与标准,欧美等国家将“列表”“清单”式管理作为指引落实数据安全要求的通行做法,有效提升数据安全管理的透明度,指引各类数据处理者把握数据流通利用的权责边界。美国梳理汇编形成“受管控非秘数据列表”,将国家经济数据、政府管理数据、敏感技术数据等视为重要数据,采取严格安全管理措施,限制流通共享;数据要素流通视角下数据安全保障研究报告(2022 年)20 界定敏感个人数据的行业、领
48、域范围以及数据的类别、级别、量级,制定可识别数据目录并实施动态管理,提升数据安全审查透明度。2.细化数据流通重点环节及典型场景制度规则,规范数据处理活动 数据流通利用涉及主体多元、场景复杂、环节众多,原则性保护要求难以完全满足实操需求。以欧美为代表的典型国家围绕数据处理角色权责、处理环节及典型场景等制定配套指南指引,细化数据流通重点环节及典型场景制度规则,进一步为数据共享、交易等流通活动提供实操指引。一是明确数据处理角色权责。欧盟数据保护委员会、法国数据保护机构CNIL通过详细阐释数据控制者、数据处理者概念,区分数据控制者、数据处理者和联合控制者三重角色并确定责任性质和程度,明晰数据处理链条的
49、权责边界。英国拟通过数据保护法改革,定义详尽的数据控制者正当利益清单,简化人工智能等尖端技术研发数据使用规定。二是制定数据共享合规指引。英国、法国等数据保护机构通过推动组织间开展数据保护影响评估(DPIA)、订立数据共享协议来落实企业、组织的数据保护主体责任,明确数据共享各方的责任与义务,要求安全措施必须与数据处理的性质、范围、背景和目的以及对个人权利和自由构成的风险相适应,并考虑最新技术和实施成本。3.搭建完善数据基础设施并明确运行要求,构建安全的数据流通环境 日本、英国、德国等典型国家建立完善数据交易平台、数据银行、数据要素流通视角下数据安全保障研究报告(2022 年)21 数据空间等基础
50、设施,构建安全可信的数据流通环境。一是构建利于数据安全存储、访问、共享的数据基础设施。数据银行、数据空间作为新型数据流通设施,能够形成安全的数据存储、访问系统和虚拟架构,实现对数据的安全监控,成为日本、韩国、欧盟等国家和地区升级数据安全管理模式的重要方式。二是实施基础设施认证,及时掌握安全风险。日本通过 IT 团体联盟和数据流通推进协会对数据交易平台和数据银行进行认证,评估相关企业的安全风险。德国对数据空间进行联合评估,确保为参与者提供安全、可信的共享交易空间。三是赋权数据控制者或者用户实施数据基础设施内的交易管理。日本普遍给予数据银行中数据控制者选择数据接收方的权利,实现数据所有者对数据交易
51、的安全管理。德国建立的数据空间允许用户决定谁拥有访问其专有数据的权利并提供访问目的,从而实现对其数据的监督管理和持续控制。4.积极利用数据安全技术化解数据要素流通与安全的矛盾 目前,世界主要国家及代表性企业多措并举推进数据安全核心技术的研发应用,以防止数据泄露,丢失,滥用,保障数据安全流通共享与流通。一是将数据安全技术应用提升到战略高度。2022 年 4 月 6日,欧盟出台数据治理法案(Data Governance Act),提出通过匿名化、数据池等技术解决方案以及重用者的合法绑定协议等技术方案实现数据安全共享。2022 年 5 月,美国专门制定促进数字隐私技术法案,大力支持隐私增强技术研究
52、和促进负责任数据使用。二是数据要素流通视角下数据安全保障研究报告(2022 年)22 代表性企业积极利用数据安全技术,促进数据安全流通利用。Facebook、苹果、亚马逊、新西兰邮政等利用开源差分隐私库、模糊定位技术、区块链等数据安全技术加强数据安全保障,通过提升人工智能训练样本隐私性,限制地理位置获取,实现数据加密传输和追踪溯源等,有效平衡数据流通利用与安全保护。(二)国内数据要素流通安全(二)国内数据要素流通安全管理管理现状现状 近年来,我国高度重视数据安全工作,已初步建立以数据资源安全保护为核心的管理体系,在此基础上,围绕战略规划、法律制度、管理机制和技术产业方面综合发力,对数据要素流通
53、安全进行了前瞻性部署和积极实践探索。1以数据分类分级保护为基础,设置差异化数据流通管理要求 在数据安全法正式出台前,金融、工信等信息化程度较高、对数据的互联互通需求迫切的行业,率先开展数据流通安全保护先行先试,探索以数据分类分级为基础,设置差异化管理要求,以促进数据在机构间、行业间的安全共享,推动数据流通与价值挖掘。如金融行业制定了金融数据安全 数据安全分级指南,按照数据安全性遭受到破坏后的影响对象和所造成的影响程度,将数据安全级别划分为五级,并结合具体数据级别,指导组织机构围绕业务需求与安全保护平衡设置不同的侧重点,例如,二级数据优先考虑业务需求,四级数据优先考虑安全需求,并规定四级及以上的
54、数据不应对外传输、汇聚融合、共享和委托处理。工信领域则发布了工业数据分类分级指南数据要素流通视角下数据安全保障研究报告(2022 年)23(试行),鼓励企业在做好数据管理的前提下适当共享一、二级数据,三级数据原则上不共享,进一步划定了流通数据的安全红线。随着 数据安全法正式确立了数据分类分级保护制度,并对重要数据的、核心数据规定了“增强型”的保护义务。各行业各领域积极对照数据安全法要求加快制修订相关政策标准,推动数据分类分级保护要求落地实施。如工信行业正在研制工业和信息化领域数据安全管理办法(试行),将工信领域数据分为一般数据、重要数据和核心数据三级,并对重要数据和核心数据使用加工、提供、跨主
55、体处理等行为,提出了加强访问控制、开展安全风险评估等要求。2.以数据流通关键环节和主体为中心,明确数据流通安全规则 在我国数据安全法等国家立法的基础上,各地区纷纷出台承接性法律政策,进一步细化数据流通参与主体、重点环节制度规则,为数据流通活动提供实操指引。一是明确数据交易中介、数据处理服务提供者等数据流通活动参与主体的数据安全义务。数据安全法聚焦数据交易活动核心主体,明确数据交易中介服务机构“数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”等安全义务,并对数据处理服务设定了市场准入许可。广东印发广东省企业首席数据官建设指南,首创数据经纪人制度,提出数据经纪人在数据流通交易过程
56、中起到中介担保作用,加强数据安全交易风险控制。贵州发布了数据商准入及运行管理指南对数据商主要业务范围、资质要求、准入和退出机制等予以规定,明确违反交易平台管数据要素流通视角下数据安全保障研究报告(2022 年)24 理规定和协议并造成严重影响的情形需被强制退出。二是细化数据交易等重点环节数据安全规则。贵阳抢抓国家推动数据价值化新机遇,大力培育数据要素市场,推动贵阳大数据交易所创新性发布了全国首套数据交易规则体系,其中数据交易安全评估指南明确要求按照国家相关法律法规要求,“一主体一审查”、“一产品一审查”、“一交易一审查”,开展上架、交易、跟踪全过程审查,保障场内交易的合规性。3.以构建安全可信
57、数据流通设施为依托,促进数据要素有序流通与高效释放 近年来,各地区各行业积极探索构建数字空间、数字金库、数据交易平台等安全可信的数据流通基础设施,助力数据要素安全有序流通。上海打造数据流通“安全屋”,通过数据所有权与使用权分离,实现数据“可用不可见”,全方位保证数据开放共享安全。广东首创数字空间,通过创新用数模式构建数据流通安全环境,支持企业合规、便捷、安全地获取、开发、利用数据。中国信通院提出建立“可信工业数据空间”,联合多家企业搭建“面向 3D 模型可信共享流通的工业数据空间测试床”,针对实际应用场景和技术路径进行了验证,取得了良好的效果。贵州等多个省份的大数据交易平台充分利用云计算、区块
58、链、联邦学习、多方安全计算等先进技术,搭建安全可信的数据流通交易平台,实现原始数据“可用不可见”、数据产品“可控可计量”、流通行为“可信可追溯”,打造国家数据要素流通核心枢纽。中国电子信息产业集团有限公司和清华大学联合开发了数据金库,提出了以物数据要素流通视角下数据安全保障研究报告(2022 年)25 理隔离、数据托管和模型转换实现数据存用分离的破题思路。浙江 数据交易平台架构指南则基于区块链、隐私计算等技术进一步提出了新型数据交易平台的架构及功能要求。4.以数据流通安全技术创新为支撑,探索数据要素价值安全释放的“技术解”近年来,我国通过出台政策文件、开展试点示范等方式,积极引导隐私计算、区块
59、链、零信任等数据流通安全技术的研发应用。“十四五”大数据产业发展规划明确提出加强隐私计算、数据脱敏、密码等数据安全技术与产品研发应用。在大数据产业发展、网络安全技术应用等试点示范项目中,也将促进数据有序流通安全解决方案作为重点遴选方向。从技术产业发展现状来看,隐私计算被视为当下数据要素价值安全释放的最佳技术解,已形成了多条技术路线,包括:以安全多方计算为代表的基于密码学的隐私计算技术、以联邦学习为代表的人工智能与隐私保护技术融合衍生的技术、以可信执行环境为代表的基于可信硬件的隐私计算技术。我国隐私计算技术产业化在2018年后开始进入快速启动阶段,技术逐步走向成熟、应用场景快速扩充,已经形成了一
60、定的竞争优势,并有望在国际竞争中占据有利地位。目前隐私计算在金融、政务、医疗、互联网等数据密集型行业开展了应用,据IDC报告显示,2021 年中国隐私计算市场规模突破了 8.6 亿元,未来有望达到 110%以上的市场增长率。五、安全保障思路和措施建议五、安全保障思路和措施建议(一)体系视图(一)体系视图 从生产要素演进的历史观和全球经济发展的大局观出发,我国数数据要素流通视角下数据安全保障研究报告(2022 年)26 字经济在经历了一段时间的蓬勃发展之后,正处于推动数据从资源化利用阶段迈向要素化配置阶段的重大变革期。中央全面深化改革委员会日前审议通过的 关于构建数据基础制度更好发挥数据要素作用
61、的意见,明确提出要把安全贯穿数据治理全过程,守住安全底线。在这一时期,围绕流通数据、流通活动、流通设施三个层次的安全保障需求,逐步探索建立与数据要素规模化流通相适应的数据安全保障体系(如图 4),对保障数据有序流动、合理交易和安全应用,护航数字经济健康快速发展具有重大意义。来源:中国信通院 图 4 数据安全保障体系视图 在数据要素流通视角下,数据安全保障的核心目标是要实现数据资产可用、数据流通可信和流通设施可靠。其中,数据资产可用,主要是指对数据进行全盘梳理和分类分级,明确数据资产数量、数据类型级别、数据资产权限,为数据流通利用和安全保护奠定基础。数据流通可信,主要是指数据流通过程中确保数据的
62、真实性和可靠性,数数据要素流通视角下数据安全保障研究报告(2022 年)27 据流通主体的专业与合规,以及全程可追溯和可审计。流通设施可靠,主要是指可有效防范对承载数据流通活动的基础设施的攻击、干扰、破坏、非法使用和意外事故,保障设施安全可靠、稳定运行,以及所承载数据的完整性、保密性和可用性。为此,应研究建立以制度规则为准绳、机制手段为抓手、技术产业为支撑、生态建设为导向的数据安全保障体系。制度规则为数据要素市场主体明确数据安全规则要求和细化指引。机制建设为主管部门督促企业落实数据安全要求和引导企业提升数据安全保护能力提供重要抓手。而技术手段是发现和防范风险的必要能力,产业发展是数据要素安全保
63、障能力的基础支撑。同时,还应鼓励和支持社会各方开展多方协同,构建政府监督指导,企业主体履责,行业自律引导、国际交流合作的数据安全保障生态。(二)推进思路(二)推进思路 面对数据要素安全保障提出的新问题、新挑战,结合已有实践经验,建议结合国家大数据战略的整体谋划和实施路线图,坚持数据安全与数据开发利用动态平衡,面向数据流通活动涉及的全链条各主体,以数据分类分级保护为基础、创新管理机制为抓手、提升技术能力为支撑,推动建立面向数据要素全流程全环节的安全管理制度体系和技术能力,分步有序地构建数据要素安全保障体系。一是坚持包容审慎、综合施策。正确把握安全与发展的关系,坚持包容审慎监管,给予市场主体适当试
64、错空间,同时技管结合、多措并举,筑牢安全底线。着力完善数据安全管理制度机制,一方面综合数据要素流通视角下数据安全保障研究报告(2022 年)28 平衡各类主体的多元利益诉求,明确数据要素流通的安全基线要求和责任划分,另一方面探索更具弹性的监管容错机制,提升市场主体参与数据流通的积极性;着力提升数据安全技术能力,一方面加快构建数据流通全链条的风险监测能力,及时发现和防范风险;另一方面大力推进以安全多方计算、同态加密、差分隐私等数据安全技术的发展和应用,促进数据安全有序流通。二是坚持政府主导、社会共治。推进数据要素安全保障体系建设,要用好“看得见的手”和“看不见的手”,共同打造齐抓共管、协同联动的
65、数据安全工作格局。一方面,发挥好政府的组织、监管和服务作用。在重要数据和个人信息保护等问题以及负责的权责划分方面,进一步建立健全数据安全制度和监管能力,压紧压实各环节主体责任,强化数据安全风险应对。另一方面,发挥好市场主体的主观能动性、资源配置高效性和灵活性。充分发挥头部企业的示范引领作用,带动企业进一步提升数据安全保障能力。积极培育一批数据安全技术企业,积极开展科技创新,全面提升数据安全产业整体供给能力。三是坚持远近结合、分步实施。近期(1-3 年),同步统筹数据要素市场体系与数据要素安全保障体系建设,以 个人数据保护法 数据安全法等国家数据安全顶层立法为引领,围绕关键制度机制与重点要求制定
66、实施一揽子可操作性强的标准法规,进一步明确数据要素流动安全基线要求,在顶层设计和法律规则层面为数据要素安全提供保障。中长期(3-5 年),实现政府高效监管、行业严格自律、社会服务健全的高水平的数据要素安全评估和治理体系,充分释放数据要素数据要素流通视角下数据安全保障研究报告(2022 年)29 价值,激活数据要素潜能。数据要素安全保障能力持续提升,数字信任环境初步形成。(三)措施建议(三)措施建议 为顺应数据要素流通的发展趋势,未来应在政府监督指导下,充分引入企业、研究机构、行业组织、安全服务机构等各类主体共同参与,以数据分类分级保护为基础,建立面向数据要素全流程全环节的数据安全治理体系,为数
67、字经济高质量发展提供坚实保障。1.落实数据分类分级要求,夯实数据要素流通安全基础 一是健全完善数据分类分级管理制度,明确各类各级数据差异化的流通安全要求。相关政府部门根据数据资源特点、流通场景,加快制定适应本行业本领域数据流通和开发利用需求的数据分类分级标准,形成重要数据目录和数据流通“负面清单”。针对不同类别级别数据,明确数据共享、交易和分析处理等重点流通活动的流通条件、流程规范及安全管理措施,分类分级、分步有序推动部分领域率先开展数据流通应用。二是加快制定数据分类分级标准规范,提升数据安全重点技术产品供给。行业机构紧密结合行业特点,参与、组织数据分类分级标准的制修订及推广应用工作。引导企业
68、开展非结构化数据和重要数据自动识别、分析、打标等重点技术攻关,发展面向不同行业需求的定制化、精细化数据安全产品和服务。三是充分落实数据安全分类分级管理要求,提升数据分类分级准确性。密切跟踪数据分类分级政策标准,及时深化对规则的理解认识,全面梳理自身数据类型及流通利用的主要场景,建立覆盖运营全过程的数据分类分级管理制度,数据要素流通视角下数据安全保障研究报告(2022 年)30 积极应用新技术提升数据分类分级的及时性和准确度。2.创新数据流通安全机制,打造包容有弹性的市场环境 一是明确细化数据流通安全基线要求,推动数据要素安全监管模式创新。政府部门通过制定政策规范、合同模板等方式明确参与各方对流
69、通数据的使用权限、使用范围、使用方式和安全责任,实施分层分级市场准入管理,根据企业安全保障能力等级确定其可流通的数据类型和规模。避免数据提供方责任过重。探索数据要素监管“沙盒模式”,鼓励基础条件较好的地区和企业,开展数据要素交易流通和安全管理模式创新,给予适当容错空间。二是发展数据流通标准服务,加强数据流通安全自律。行业机构引导发展面向流通需求的安全服务,参与、组织研发多方计算、联邦学习、数据水印等国家标准和行业标准,做好数据流通方面的技术标准支撑,建立行业数据流通安全自律机制,引导企业依法依规进行数据采集、流向管控和数据保护等活动。三是运用新技术提升数据流通管理能力,建设安全可控的数据要素流
70、通环境。企业积极运用区块链、隐私计算、数据沙箱等技术,建设内部数据流通安全一体化管理平台,应用安全多方计算、联邦学习、数据水印等技术,保障多源多方数据融合和计算的可靠、可控和可溯,做好数据流通方面的技术标准支撑。3.坚持安全措施“三同步”,提升流通设施安全保障能力 一是强化流通相关基础设施数据安全保障能力建设。政府部门建立数据交易平台准入评估机制,将数据安全纳入评估指标,对相关主体定期开展动态评估和检测认证,指导企业体系化部署数据安全措施。数据要素流通视角下数据安全保障研究报告(2022 年)31 统筹构建跨层级、跨机构、跨行业的一体化数据安全流通平台,为各行业各领域数据共享提供安全的环境,针
71、对个人生物特征等敏感数据,探索建立国家“数据银行”实施集中统一管理,严格按需提供数据应用,从源头防范滥采滥用。二是明确流通设施安全要求,推动检测认证服务发展。行业机构参与、组织研究制定算力网络、数据交易平台等设施数据安全标准,明确和细化全生命周期安全保护、权限控制、接口安全、行为审计、容灾备份等数据安全保障要求。发展流通设施安全检测、评估、认证等专业服务,提升流通利用与安全保护平衡能力。三是落实“三同步”要求,积极开展检测评估。企业在业务系统上线、运营中,落实“三同步”要求,同步规划、同步建设、同步运行数据安全保障措施,定期开展流通设施安全检测评估,提升安全保障能力。中国信息通信研究院中国信息通信研究院 安全研究所安全研究所 地址:北京市海淀区花园北路地址:北京市海淀区花园北路 52 号号 邮编:邮编:100191 电话:电话:010-62305970 传真:传真:010-62304980 网址:网址: