干货 | 郭晓雷：数智安全监管机制研究与思考

数据派THU

发布于 2023-08-03 20:22:58

3750

发布于 2023-08-03 20:22:58

文章被收录于专栏：数据派THU数据派THU

作者：郭晓雷本文约4300字，建议阅读8分钟本文报告的主要内容关于数据安全，从学术或者技术的角度，更多地认为人工智能是数据处理的新技术，其应用会产生更加丰富的数据处理活动场景。

郭晓雷：今天报告的主要内容关于数据安全，从学术或者技术的角度，更多地认为人工智能是数据处理的新技术，其应用会产生更加丰富的数据处理活动场景。

一、引言

引言部分主要说明我国数据安全战略和数据安全监管的基本思路。

《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》以及相关法律法规正逐步构建起我国数据安全监管保护机制。《数据安全法》确立了以安全促发展的原则，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。同时，《数安法》确立了一系列层面的数据安全管理机制，提出了开展数据处理活动应当承担的数据安全保护责任与义务，明确了违法行为的法律责任。有关主管和监管部门在遵循《数据安全法》的基础上，不断充实和完善数据安全管理机制，开展数据安全监管活动。作为数据处理者，应当把遵守《数据安全法》和相关法律法规作为组织或企业经营活动的底线。

二、数据安全相关概念

（一）数据、数据处理、数据处理者

数据在两法一条例中关于数据和个人信息的定义均采用了“对信息的记录”，我个人的理解，两法中所给出的定义更多地体现了对数据在经济社会发展中的价值和对国家安全、公共利益或个人、组织合法权益危害与影响的关注，所以两法中所称的“数据”并不是指所有物理意义上的数据。

数据处理采用列举加兜底的方式定义，把数据从产生到销毁整个生命周期中的主要活动进行了列举。数据处理活动和数据生命周期是不同范畴的概念，生命周期更注重生命价值的产生、成长、鼎盛、衰落、消亡以及再生的过程。

数据处理者在数安法中虽然没有明确给出，但是在个保法和条例中均给出一致的定义，其中“自主决定”应是在合法、正当、必要诚信的原则下，是在承担、履行法定责任和义务的前提下的自主。

（二）数据安全

从法律层面，数据安全在《数据安全法》中对数据处理者具体而言体现在：第一，承担数据安全的责任；第二，履行数据安全的义务；第三，配合数据安全的监管；第四，参照国家标准开展相关能力的建设。

从学术层面，各国对数据安全认识都是在信息安全三要素基础上或之外提出，我国主要聚焦合理性和适当性，更加强调数据安全所要实现的状态效果，不再仅强调传统信息安全中所关注的完整性、保密性和可用性，而是要求实现数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

（三）数据安全的特殊性

相对传统信息安全，数据本身具有五类特殊属性：

第一，普遍流动性。与信息系统不同，数据本身是流动的。一方面，数据源唯一，但是在流动过程中，经过加工处理，复制后的传播路径众多。另一方面，数据在流动过程中，跨主体、跨系统流动。

第二，多重权属性。信息系统权属相对比较简单明确，属于建设者与运营者，从监管的角度，更容易用“谁主管谁负责，谁运营谁负责”的理念来压实安全管理的责任。但是数据不同，个人信息、海量的个人信息、海量的去标识个人信息，以及业务数据等，仍然有交叉重复的内容，权属边界不清晰的问题也就带来责任边界模糊不清的问题，这是我们在开展数据保护工作中重点思考的问题。

第三，关联性和延展性。信息系统的每一个组件都具有确定的价值，而且每一个组件的网络安全风险、存在的漏洞后门以及脆弱性都应该得到重视。但是对于数据来说，单一原子项的存在并没有明显意义，比如“1234567890”这组数字单独看起来并没有任何意义，随着关联和延展信息越多，数据聚合的价值就越高。

第四，唯一性和真实性。信息系统要实现某些功能，可以用不同的架构、不同品牌的产品和不同的组件去实现。但是对数据来讲，它反映的是某一个时间或者空间条件下的真实情况，也就是唯一情况。比如生物特征、环境信息是唯一真实的，一旦我们的生物特征识别信息等敏感个人信息泄露，损失和影响是没有办法挽回的。

第五，易复制性。对于信息系统来讲，建设方之外的组织和个人难以复制。但是数据易于复制，可以采用多种方式，比如复制、拍照，甚至听和记的方式都可以获得相关数据。

此外，数据是核心生产要素战略资源，我们要利用好它，促进它产生价值，如何在保障数据安全的前提下最大限度的发挥数据资源的价值，这是一项挑战。

在信息系统方面，往往要从芯片、板卡、升级固件、操作系统、中间件、应用软件、应用系统以及网络流量等多层面考虑安全技术的问题。在数据安全方面，反倒聚焦，目前需要解决好三类问题：

第一类，数据违规收集。目前国家已经从法律、政策、标准和专项活动上，重点针对此类问题进行约束，取得明显成效。

第二类，数据滥用。这类问题最复杂，由数据关联性和延展性所带来的高价值造成。例如，通过业务数据关联关系，使用画像实现千人千面，进一步形成千人千价这种差别定价现象。再例如，剑桥分析事件利用用户的日常喜好、性格特点以及行为特征，预测他们的政治倾向，并定向投放广告和新闻进行潜移默化的政治宣传，这是延展性非常具象的案例。

第三类，数据失序传递。这类问题涉及到多个视角，由数据的易复制性所导致，比如违规的跨境传输、违规共享、违法交易、数据窃取，以及数据暴露。

这三类特殊安全问题的共性，每一类都由价值驱动，而且大多数都能够直接或者间接的产生经济效益、社会效益，甚至政治效益。

数据安全事件不同于信息系统的安全事件，它不仅影响到系统和业务本身，而且非常容易直接引发关联影响，各个主要国家地区对这一点的认识基本一致。

三、数据安全监管机制研究

（一）数安法规定的监管责任

在《数据安全法》中的第五条和第六条中，构建了我们的国家、各地区、各部门、行业、领域主管部门的数据安全责任体系。

总览两法一条例中的监管责任，在《网络数据安全管理条例》中还进一步对主管部门在本行业和本领域的数据监管工作进行了细化。

（二）数据安全社会共治

数据安全治理不仅是政府的责任，也是社会各方的责任，对开展数据处理活动的组织和个人而言，应当守法尊德，尊重社会公德和伦理，遵守商业道德和职业道德，同时要诚信，履行数据安全保护的责任和义务。

（三）数安法规定的数据安全保护制度

数据实施分类分级保护制度，是建立数据安全监管机制的基础环节，是实施数据处理活动安全保护的重要基础。

分类保护与分级保护，实际上是保护制度中的两大维度，二者相辅相成，分类主要是把具有共同属性和特征数据归并为类别的集合之中。

风险监测预警机制规定，数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分，在《国家安全法》中也提出，建立风险预防、评估预警的相关制度，国家制定完善应对各领域国家安全风险预案。

数据安全事件应急预案应当按照紧急程度、发展态势和可能造成的危害程度进行等级分类，一般分为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。

数据安全审查制度与网络安全法、密码法中所要求的安全审查制度同为国家安全审查制度的组成部分，同时也明确了数据安全审查的范围。

（四）数安法规定的数据安全保护责任和义务

在当前数据时代下，关于数据的利用，特别是大数据和人工智能技术为代表的数据新技术的应用，为当今社会带来巨大的商业价值和社会效益。同时，也会对社会道德和伦理带来新的挑战，所以应该高度重视社会公德和伦理的问题，比如数据样本的选择、算法设计以及产品开发等重要环节，应该增加审查机制，避免出现严重的问题。

（五）数安法的其他相关要求

四、数据安全监管举措

联邦数据，主要从美国数据战略发展的角度所出，从监管角度，主要有政府测、市场测和地方部门，也包括个人标识信息的监管。

监管沙箱，主要是针对新技术的一项监管措施，目的是针对基础应用，特别从设计阶段就开展相关监管和指导活动，这也是值得我们借鉴的一个具体做法。

国际标准化的发展趋势主要三类：

第一，世界各国，尤其发达国家高度重视国际标准化。

第二，国际标准不断向社会各个领域拓展，由ISO先后制定社会责任、组织自理、政府效能、城市可持续发展、反贿赂、审计管理，以及劳工权益保护等领域的一些国际标准。我们国家相关部门对国际标准在社会领域拓展的态势也十分重视，相关部门联合参与关于社会责任标准的制定，其中包括中纪委牵头参与反贿赂标准的制定，审计署主导制定审计管理方面的国际标准。

第三，国际标准更加关注新兴产业的发展，特别在智能制造方面，几大标准组织都做了深度参与，目前多个标准化组织在数据安全领域，特别围绕着大数据安全风险以及对个人信息保护都推出了一系列的国际标准。

这是SC27的基本架构，从2008年开始，我们国家的专家在SC27开始担任国际标准自修订项目编辑、常设文件编辑、研究项目报告人以及联络官等职位。我国也参与和主导SC27数据安全研究项目，以数据安全为核心，覆盖网络空间安全、数据安全和隐私保护等领域的内容，主要明确数据安全的概念、相关风险、标准化的需求，并提出数据安全标准化工作的路线图。