提升我國網絡數據安全能級護航數字化健康發展

王益靜，馮家浩，陳艾華

（1.浙江大學金華研究院；2.浙江數字化發展與治理研究中心；3.浙江大學中國科教戰略研究院；4.浙江理工大學法政學院）

當前，數據已經成為國家發展中質量變革、效率變革、動力變革的新型生產要素，是重要的戰略資源。數據安全對數據要素有序流通、護航數字經濟發展、維護國家安全等意義重大。伴隨以“三法一條例”為基礎的數據安全法律法規、政策、標準的出臺，我國已形成數據安全防護和數據開發利用并重的數據安全監管思路。2022年底，中央全面深化改革委員會審議通過的《關于構建數據基礎制度更好發揮數據要素作用的意見》明確提出，要把安全貫穿數據治理全過程，守住安全底線。然而，即使在數據安全法制化的強監管背景下，數據安全事件仍然頻發，尤其是數字化場景下的新型安全威脅日益嚴峻。在數字產業化以及產業數字化的總體趨勢下，亟待把脈我國數據安全的主要問題，并針對性予以政策性規避與解決。

一、全球網絡數據安全領域發展趨勢

當前，全球數字依賴性不斷加深，網絡威脅格局不斷演變，數字化趨勢勢不可擋，挑戰與風險并存?！度驍底纸洕灼?023年）》顯示，美、中、德、日、韓等5個世界主要國家2022年數字經濟占GDP比重高達58%，數據安全已成為事關國家安全和經濟社會發展的重大議題。網絡數據體系復雜度不斷上升，數據產出、流通和處理能力不斷加強，對傳統生產要素產生了強烈沖擊。在該趨勢下，也暴露了更多潛在的、可能的易受攻擊的位面，網絡數據安全受攻擊造成的影響范圍和破壞程度也隨之增長。

從各國政策來看，近年美、歐、日、韓等國家和組織紛紛推動加強網絡數據安全建設和發展的頂層規劃設計。例如，2023年3月，美國白宮發布《國家網絡安全戰略》，詳細介紹了美國政府如何保護數字生態系統并確保底層數字基礎設施安全和可靠的方法，旨在構建一個彈性與防御性并存的數字生態系統；歐盟成員國修訂的《電子隱私條例》草案，涉及與執法和國家安全為目的相關電子通信數據的處理和保留問題，旨在通過強調匿名化和支持數字信息加密等方式確保個人隱私保護，以提升對數字服務的信任和其本身的安全性；日本內閣網絡安全中心（NISC）發布《網絡安全戰略》，制定了涵蓋全體國民等所有主體的“不落一人的網絡安全”戰略，旨在同時推動數字化改革和網絡安全法規修訂。

從技術發展來看，人工智能、區塊鏈、大數據、物聯網、先進芯片、衛星通信等前沿技術不斷涌現，并競相應用到網絡數據安全領域。例如，以ChatGPT為代表的新一代人工智能引擎已可以輕而易舉地對圖文影音進行深度偽造；以星鏈為代表的新一代衛星通信技術通過強大的寬帶服務和無人機攻擊目標指引，可以對現代戰爭造成重大影響；智能網聯汽車、新能源技術、智慧城市等新興應用場景對區塊鏈、大數據、物聯網安全芯片等前沿技術的需求進一步擴大。

從市場與產業部署來看，全球網絡安全市場規模穩步增長，據《財富》雜志統計和預測，全球網絡數據安全相關產業在2022年營收達到1 560億美元，預計在2029年達到接近4 000億美元的規模。美國微軟、IBM、谷歌、亞馬遜等IT巨頭的網絡安全已形成規?；瘶I務。2021年微軟公司網絡安全營收超過150億美元，同比增長近45%。全球著名信息技術研究分析公司高德納（Gartner）預測，到2025年將有超過半數的企業機構把網絡安全風險作為進行第三方交易和商業往來的一項主要決定因素。

二、我國網絡數據安全領域薄弱與不足

（一）傳統安全措施已無法適配海量、多源、異構、動態的數據安全需求

一是我國當前面臨著網絡信息環境演變導致權限泛濫的問題，數據風險管理范圍亟待擴大。當前，數據系統面臨日益多樣化的終端設備接入，網絡安全邊界范圍由數據中心向云邊端等各級延伸，邊界弱化、應用場景演變導致數據資源暴露面增加。進而導致近年頻發社交軟件、電子銀行、各類應用軟件個人信息大量泄露事件。同時，訪問需求的復雜性擴大了內部資源的暴露面，數據資源面臨更頻繁的訪問，進而引發數據權限管理不清、使用情況不明等問題，造成業務和數據資源違規訪問，釀成數據安全事件。

二是數據高度集中帶來巨大泄露和供給側濫用風險。工業和信息化部數據表明，我國2022年移動互聯網接入流量已達2 618億GB，同比增長18.1%，且大量數據集中在電信金融、公共事務、互聯網零售等領域。另據中國信息通信研究院公布的數據，截至2021年底，我國大型以上數據中心機架規模占比達到80%，超大型數據中心不斷涌現。同時，傳統企業數據和業務“上云”進程加快，數據倉、數據迭代演進并廣泛應用；過去幾年，我國工業制造、汽車、軌道交通、醫療等云市場呈現爆發式增長態勢。因此，海量數據加速集群融合、共享與應用，來自內外部的數據安全威脅呈指數級增長，數據“一失萬無”風險急劇增加。

三是與世界各發達國家類似，我國的平臺應用接口日益多樣化、復雜化帶來敞口環節風險。API作為最重要的數據傳輸方式之一，其應用接口防護缺失成為數據安全最大風險敞口。美國通信網絡公司康普（CommScope）發布的報告《企業API安全調查》（Enterprise API Security Survey）顯示，內部API的使用程度最高達到71%，這意味著其訪問控制可能較為寬松、更易被操縱控制。同時，隨著業務場景逐漸多元化，API的協議和格式也逐漸變化，然而當前大部分企業及各類機構對API數據的管理還未足夠重視，API安全思維和安全架構仍待構建。

（二）數據安全體系不成熟，監管力度亟待加強

現階段，我國的數據安防技術在網絡數據安全發展各環節中捉襟見肘，數據類別級別與業務場景相匹配的數據防護手段仍然落后。傳統的靜態標定敏感度模式無法在數據共享和流通環節中準確評估融合數據集敏感性的動態變化，導致數據分類分級的持續性難以保持。此外，我國數據安全產品提供的技術防護手段如數據分類分級、認證及訪問控制、加密、審計、脫敏等還比較單一，“頭痛醫頭，腳痛醫腳”現象嚴重，暫時沒有圍繞數據全生命周期的整體防護結構。

同時，對數據流通中新技術的數據可用性、可信性風險把控還存在缺失。我國數據量正邁向全球第一，擁有巨大的數據潛力，而當前以深度學習為代表的新一代人工智能技術正需要大量數據樣本訓練算法模型，一旦出現“數據污染”則會導致訓練成本增加甚至白費，若有蓄意“數據投毒”也會導致模型出現致命錯誤，引發決策嚴重偏差。此外，隱私計算在解決市場主體數據合規難題和實現數據融合“可用不可見”的同時，也面臨算法協議安全等新挑戰。

另外，網絡安全的可持續發展體系尚不健全，在普遍的數據流通領域中，對流通鏈路、數據流向和使用的追蹤仍然低效。由于數據快速流轉，追蹤監督需進一步關注流轉過程中安全屬性面臨的安全域、數據載體、數據主體等多種快速變化，而傳統數據訪問控制技術一旦面臨數據集交付或接口調用結束，僅憑協議難以進行有效約束和監督。進而導致監管主體難以清晰地梳理數據與訪問主體、傳輸鏈路、承載環境、安全策略等之間的系統關系，在數據安全建設時也不能根本性解決風險問題。

（三）數據安全管理能級不足，政策環境亟待優化

一方面，我國數據資產梳理和分類分級標準尚未統一。目前國家和行業配套的標準體系仍在制定過程中，細則尚未成形，不足以支撐數據分類分級工作在全行業落地。對中大型企業而言，承載企業數據的底層平臺種類繁多，內容自動識別難度和成本較高，使數據基礎制度深入改革阻力重重。中國信息通信研究院《數據要素流通視角下數據安全保障研究報告》顯示，部分企業擔心自己尚未發布的數據分類分級標準不符合后期發布的行業標準，也潛在抑制了其對數據分類分級工作的積極性。

另一方面，數據流通參與主體的安全責任劃分仍待明確。由于數據所有權與控制權分離，一旦脫離供需雙方控制范圍被第三方獲取，則可能會引發違規使用或數據泄露問題。由于《數據安全法》《個人信息保護法》施行不久，關于數據收集、使用、管理流程等方面的具體落地細則還不完善，如數據和網絡安全防護體系的有機融合不夠，各主體的數據安全評估不對等、多主體間數據流轉風險分配規則尚未形成等。同時，由于我國數據環境更加復雜多變，且較之歐盟、美國等國家的數據所有權及使用權界定不同，使我國難以完全借鑒相關國際經驗。

此外，國內外數據共享與流通協同仍困難重重。目前國內各地區、省、市、部門對數據分類分級制度的定位和規則存在差異，數據要素在地區間流通的制度成本仍較高。數據跨境流動法律體系還未完善，已有的條例實施難度大，公眾對數據跨境流動法律規定的認知仍有不足，涉及國際貿易的產業數據流通仍存在壁壘及安全性挑戰。同時，美國等國家意圖把我國排除在國際數據安全治理體系之外，極大限制了我國數據流通與交易相關的各類經濟活動，未來很可能會助推有損我國數據安全的敵對行為，數據的國際主權問題需要持續重點關注。

三、提升我國網絡數據安全能級的對策建議

（一）聚焦關鍵環節，夯實數據安全治理基礎

一是在數據分類分級環節，針對性健全數據管理制度并提供技術指導。首先，加快健全關鍵環節數據分類分級管理制度，明確數據共享、交易和分析處理等環節的流通條件、流程規范及安全管理措施。其次，分層次提升數據安全重點技術產品供給，引導企業開展非結構化數據和重要數據自動識別、分析、打標等重點技術攻關。最后，逐步提升數據分類分級準確性，建立覆蓋運營全過程的數據分類分級管理制度，保障管理的及時性和精準度。

二是在市場流通環節，建立健全包容有韌性的數據流通安全環境。首先，細化數據流通安全基線要求，推動數據要素安全監管模式創新；探索數據要素監管“沙盒模式”，并給予適當容錯空間。其次，統籌設計提升數據流通標準化服務，加強數據流通安全自律，形成重要數據目錄和數據流通“負面清單”，引導企業依法依規進行數據采集、流向管控和數據保護等活動。最后，逐步建立完善數據交易平臺準入評估機制，統籌構建跨層級、跨機構、跨行業的一體化數據安全流通平臺。

（二）強化技術手段，突出創新技術的破局作用

一是謀劃網絡數據安全前沿方向布局，加快面向應用場景的核心技術突破。首先，從底層出發支撐技術攻關，重點突破國產芯片軟硬件融合安全架構與技術、高性能隱私計算技術、自主可控系統形式化驗證理論與分析技術。其次，結合應用場景推動前沿技術研究，通過人工智能多樣化的攻擊手段訓練并突破人工智能系統安全防御與驗證評測技術；利用全維度圖音視數據深度偽造與檢測技術，以“AI反制AI”對網絡上偽造的合成內容進行精準鑒別與打擊；開發跨模態身份智能感知與認證技術應用于元宇宙、Web3.0、智慧城市、智能家居等領域，并在數字孿生、虛實共生等新型應用模式中建立信任生態；在多種語言生態軟件供應鏈全景分析背景下，突破軟件供應鏈安全分析與防護技術，提升我國關鍵信息基礎設施安全水平。最后，進一步拓展權限界定、價值挖掘和創新應用等核心技術，形成更加豐富的解決方案，平衡數據開發利用與安全防護。

二是加大對核心技術與產業的支持力度，激發創新生態動能。首先，積極構建安全合規的數據要素生態，不斷優化創新模式，針對性積極培育創新主體，尤其是具有“高精度”優勢和特色的領軍企業。其次，支持企業運用新技術提升數據流通管理能力，建設安全可控的數據要素流通環境。最后，鼓勵企業在區塊鏈、隱私計算、數據沙箱等核心技術領域深耕，積極建設數據流通安全一體化管理平臺，并加快推廣優秀的解決方案和試點示范。

（三）完善網絡數據生態政策體系，保障行業可持續發展

一是構建產學研用一體化生態，完善網絡數據安全人才發展體系。首先，加強各數據服務相關機構合作方案的滲透，推動產學研一體化閉環的數據安全服務鏈升級，并針對企業實際應用需求，鼓勵打造具有針對性的協作框架。其次，協同各類科研院所與企業共設具有國際領先水平的創新平臺，促進網絡空間安全領域的產學研國際戰略合作，持續提升我國數據安全國際話語權。最后，鼓勵科研院所、權威培訓機構與行業聯合開展數據安全人才培養計劃。在頂層設計、政策供給和機制建設基礎上，建立有層次、標準統一的人才發展體系，開展全民數據安全意識教育和培訓，進行國家層面的資質認定；重點儲備網絡空間安全與法學的復合型人才資源，籌備具有戰略科學家思維和技術能力的高精尖人才隊伍，保障數據安全治理體系長遠、有效運行。

二是鼓勵數據安全相關產業聯盟關注行業內安全問題，完善網絡數據安全法律體系。首先，支持產業聯盟牽頭發布行業相關標準，保證行業內對數據安全相關問題解讀的一致性，建立“標準/定制”、“現場/遠程”的立體化數據安全服務體系。其次，聯動產業外相關機構和部門，共同對數據安全相關前沿信息開展一定范圍的深入宣貫和研討，做好應對預案和謀劃。最后，完善與關鍵信息基礎設施相關的法律制度體系，并建立專門保護制度（重點針對通信網絡、云計算服務、大數據平臺等），堅持綜合協調、分工負責、依法保護的原則，明確各方責任并確定運營者的主體責任。