王益靜，馮家浩，陳艾華

（1.浙江大學金華研究院；2.浙江數(shù)字化發(fā)展與治理研究中心；3.浙江大學中國科教戰(zhàn)略研究院；4.浙江理工大學法政學院）

當前，數(shù)據(jù)已經(jīng)成為國家發(fā)展中質(zhì)量變革、效率變革、動力變革的新型生產(chǎn)要素，是重要的戰(zhàn)略資源。數(shù)據(jù)安全對數(shù)據(jù)要素有序流通、護航數(shù)字經(jīng)濟發(fā)展、維護國家安全等意義重大。伴隨以“三法一條例”為基礎的數(shù)據(jù)安全法律法規(guī)、政策、標準的出臺，我國已形成數(shù)據(jù)安全防護和數(shù)據(jù)開發(fā)利用并重的數(shù)據(jù)安全監(jiān)管思路。2022年底，中央全面深化改革委員會審議通過的《關(guān)于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》明確提出，要把安全貫穿數(shù)據(jù)治理全過程，守住安全底線。然而，即使在數(shù)據(jù)安全法制化的強監(jiān)管背景下，數(shù)據(jù)安全事件仍然頻發(fā)，尤其是數(shù)字化場景下的新型安全威脅日益嚴峻。在數(shù)字產(chǎn)業(yè)化以及產(chǎn)業(yè)數(shù)字化的總體趨勢下，亟待把脈我國數(shù)據(jù)安全的主要問題，并針對性予以政策性規(guī)避與解決。

一、全球網(wǎng)絡數(shù)據(jù)安全領(lǐng)域發(fā)展趨勢

當前，全球數(shù)字依賴性不斷加深，網(wǎng)絡威脅格局不斷演變，數(shù)字化趨勢勢不可擋，挑戰(zhàn)與風險并存?！度驍?shù)字經(jīng)濟白皮書（2023年）》顯示，美、中、德、日、韓等5個世界主要國家2022年數(shù)字經(jīng)濟占GDP比重高達58%，數(shù)據(jù)安全已成為事關(guān)國家安全和經(jīng)濟社會發(fā)展的重大議題。網(wǎng)絡數(shù)據(jù)體系復雜度不斷上升，數(shù)據(jù)產(chǎn)出、流通和處理能力不斷加強，對傳統(tǒng)生產(chǎn)要素產(chǎn)生了強烈沖擊。在該趨勢下，也暴露了更多潛在的、可能的易受攻擊的位面，網(wǎng)絡數(shù)據(jù)安全受攻擊造成的影響范圍和破壞程度也隨之增長。

從各國政策來看，近年美、歐、日、韓等國家和組織紛紛推動加強網(wǎng)絡數(shù)據(jù)安全建設和發(fā)展的頂層規(guī)劃設計。例如，2023年3月，美國白宮發(fā)布《國家網(wǎng)絡安全戰(zhàn)略》，詳細介紹了美國政府如何保護數(shù)字生態(tài)系統(tǒng)并確保底層數(shù)字基礎設施安全和可靠的方法，旨在構(gòu)建一個彈性與防御性并存的數(shù)字生態(tài)系統(tǒng)；歐盟成員國修訂的《電子隱私條例》草案，涉及與執(zhí)法和國家安全為目的相關(guān)電子通信數(shù)據(jù)的處理和保留問題，旨在通過強調(diào)匿名化和支持數(shù)字信息加密等方式確保個人隱私保護，以提升對數(shù)字服務的信任和其本身的安全性；日本內(nèi)閣網(wǎng)絡安全中心（NISC）發(fā)布《網(wǎng)絡安全戰(zhàn)略》，制定了涵蓋全體國民等所有主體的“不落一人的網(wǎng)絡安全”戰(zhàn)略，旨在同時推動數(shù)字化改革和網(wǎng)絡安全法規(guī)修訂。

從技術(shù)發(fā)展來看，人工智能、區(qū)塊鏈、大數(shù)據(jù)、物聯(lián)網(wǎng)、先進芯片、衛(wèi)星通信等前沿技術(shù)不斷涌現(xiàn)，并競相應用到網(wǎng)絡數(shù)據(jù)安全領(lǐng)域。例如，以ChatGPT為代表的新一代人工智能引擎已可以輕而易舉地對圖文影音進行深度偽造；以星鏈為代表的新一代衛(wèi)星通信技術(shù)通過強大的寬帶服務和無人機攻擊目標指引，可以對現(xiàn)代戰(zhàn)爭造成重大影響；智能網(wǎng)聯(lián)汽車、新能源技術(shù)、智慧城市等新興應用場景對區(qū)塊鏈、大數(shù)據(jù)、物聯(lián)網(wǎng)安全芯片等前沿技術(shù)的需求進一步擴大。

從市場與產(chǎn)業(yè)部署來看，全球網(wǎng)絡安全市場規(guī)模穩(wěn)步增長，據(jù)《財富》雜志統(tǒng)計和預測，全球網(wǎng)絡數(shù)據(jù)安全相關(guān)產(chǎn)業(yè)在2022年營收達到1 560億美元，預計在2029年達到接近4 000億美元的規(guī)模。美國微軟、IBM、谷歌、亞馬遜等IT巨頭的網(wǎng)絡安全已形成規(guī)?；瘶I(yè)務。2021年微軟公司網(wǎng)絡安全營收超過150億美元，同比增長近45%。全球著名信息技術(shù)研究分析公司高德納（Gartner）預測，到2025年將有超過半數(shù)的企業(yè)機構(gòu)把網(wǎng)絡安全風險作為進行第三方交易和商業(yè)往來的一項主要決定因素。

二、我國網(wǎng)絡數(shù)據(jù)安全領(lǐng)域薄弱與不足

（一）傳統(tǒng)安全措施已無法適配海量、多源、異構(gòu)、動態(tài)的數(shù)據(jù)安全需求

一是我國當前面臨著網(wǎng)絡信息環(huán)境演變導致權(quán)限泛濫的問題，數(shù)據(jù)風險管理范圍亟待擴大。當前，數(shù)據(jù)系統(tǒng)面臨日益多樣化的終端設備接入，網(wǎng)絡安全邊界范圍由數(shù)據(jù)中心向云邊端等各級延伸，邊界弱化、應用場景演變導致數(shù)據(jù)資源暴露面增加。進而導致近年頻發(fā)社交軟件、電子銀行、各類應用軟件個人信息大量泄露事件。同時，訪問需求的復雜性擴大了內(nèi)部資源的暴露面，數(shù)據(jù)資源面臨更頻繁的訪問，進而引發(fā)數(shù)據(jù)權(quán)限管理不清、使用情況不明等問題，造成業(yè)務和數(shù)據(jù)資源違規(guī)訪問，釀成數(shù)據(jù)安全事件。

二是數(shù)據(jù)高度集中帶來巨大泄露和供給側(cè)濫用風險。工業(yè)和信息化部數(shù)據(jù)表明，我國2022年移動互聯(lián)網(wǎng)接入流量已達2 618億GB，同比增長18.1%，且大量數(shù)據(jù)集中在電信金融、公共事務、互聯(lián)網(wǎng)零售等領(lǐng)域。另據(jù)中國信息通信研究院公布的數(shù)據(jù)，截至2021年底，我國大型以上數(shù)據(jù)中心機架規(guī)模占比達到80%，超大型數(shù)據(jù)中心不斷涌現(xiàn)。同時，傳統(tǒng)企業(yè)數(shù)據(jù)和業(yè)務“上云”進程加快，數(shù)據(jù)倉、數(shù)據(jù)迭代演進并廣泛應用；過去幾年，我國工業(yè)制造、汽車、軌道交通、醫(yī)療等云市場呈現(xiàn)爆發(fā)式增長態(tài)勢。因此，海量數(shù)據(jù)加速集群融合、共享與應用，來自內(nèi)外部的數(shù)據(jù)安全威脅呈指數(shù)級增長，數(shù)據(jù)“一失萬無”風險急劇增加。

三是與世界各發(fā)達國家類似，我國的平臺應用接口日益多樣化、復雜化帶來敞口環(huán)節(jié)風險。API作為最重要的數(shù)據(jù)傳輸方式之一，其應用接口防護缺失成為數(shù)據(jù)安全最大風險敞口。美國通信網(wǎng)絡公司康普（CommScope）發(fā)布的報告《企業(yè)API安全調(diào)查》（Enterprise API Security Survey）顯示，內(nèi)部API的使用程度最高達到71%，這意味著其訪問控制可能較為寬松、更易被操縱控制。同時，隨著業(yè)務場景逐漸多元化，API的協(xié)議和格式也逐漸變化，然而當前大部分企業(yè)及各類機構(gòu)對API數(shù)據(jù)的管理還未足夠重視，API安全思維和安全架構(gòu)仍待構(gòu)建。

（二）數(shù)據(jù)安全體系不成熟，監(jiān)管力度亟待加強

現(xiàn)階段，我國的數(shù)據(jù)安防技術(shù)在網(wǎng)絡數(shù)據(jù)安全發(fā)展各環(huán)節(jié)中捉襟見肘，數(shù)據(jù)類別級別與業(yè)務場景相匹配的數(shù)據(jù)防護手段仍然落后。傳統(tǒng)的靜態(tài)標定敏感度模式無法在數(shù)據(jù)共享和流通環(huán)節(jié)中準確評估融合數(shù)據(jù)集敏感性的動態(tài)變化，導致數(shù)據(jù)分類分級的持續(xù)性難以保持。此外，我國數(shù)據(jù)安全產(chǎn)品提供的技術(shù)防護手段如數(shù)據(jù)分類分級、認證及訪問控制、加密、審計、脫敏等還比較單一，“頭痛醫(yī)頭，腳痛醫(yī)腳”現(xiàn)象嚴重，暫時沒有圍繞數(shù)據(jù)全生命周期的整體防護結(jié)構(gòu)。

同時，對數(shù)據(jù)流通中新技術(shù)的數(shù)據(jù)可用性、可信性風險把控還存在缺失。我國數(shù)據(jù)量正邁向全球第一，擁有巨大的數(shù)據(jù)潛力，而當前以深度學習為代表的新一代人工智能技術(shù)正需要大量數(shù)據(jù)樣本訓練算法模型，一旦出現(xiàn)“數(shù)據(jù)污染”則會導致訓練成本增加甚至白費，若有蓄意“數(shù)據(jù)投毒”也會導致模型出現(xiàn)致命錯誤，引發(fā)決策嚴重偏差。此外，隱私計算在解決市場主體數(shù)據(jù)合規(guī)難題和實現(xiàn)數(shù)據(jù)融合“可用不可見”的同時，也面臨算法協(xié)議安全等新挑戰(zhàn)。

另外，網(wǎng)絡安全的可持續(xù)發(fā)展體系尚不健全，在普遍的數(shù)據(jù)流通領(lǐng)域中，對流通鏈路、數(shù)據(jù)流向和使用的追蹤仍然低效。由于數(shù)據(jù)快速流轉(zhuǎn)，追蹤監(jiān)督需進一步關(guān)注流轉(zhuǎn)過程中安全屬性面臨的安全域、數(shù)據(jù)載體、數(shù)據(jù)主體等多種快速變化，而傳統(tǒng)數(shù)據(jù)訪問控制技術(shù)一旦面臨數(shù)據(jù)集交付或接口調(diào)用結(jié)束，僅憑協(xié)議難以進行有效約束和監(jiān)督。進而導致監(jiān)管主體難以清晰地梳理數(shù)據(jù)與訪問主體、傳輸鏈路、承載環(huán)境、安全策略等之間的系統(tǒng)關(guān)系，在數(shù)據(jù)安全建設時也不能根本性解決風險問題。

（三）數(shù)據(jù)安全管理能級不足，政策環(huán)境亟待優(yōu)化

一方面，我國數(shù)據(jù)資產(chǎn)梳理和分類分級標準尚未統(tǒng)一。目前國家和行業(yè)配套的標準體系仍在制定過程中，細則尚未成形，不足以支撐數(shù)據(jù)分類分級工作在全行業(yè)落地。對中大型企業(yè)而言，承載企業(yè)數(shù)據(jù)的底層平臺種類繁多，內(nèi)容自動識別難度和成本較高，使數(shù)據(jù)基礎制度深入改革阻力重重。中國信息通信研究院《數(shù)據(jù)要素流通視角下數(shù)據(jù)安全保障研究報告》顯示，部分企業(yè)擔心自己尚未發(fā)布的數(shù)據(jù)分類分級標準不符合后期發(fā)布的行業(yè)標準，也潛在抑制了其對數(shù)據(jù)分類分級工作的積極性。

另一方面，數(shù)據(jù)流通參與主體的安全責任劃分仍待明確。由于數(shù)據(jù)所有權(quán)與控制權(quán)分離，一旦脫離供需雙方控制范圍被第三方獲取，則可能會引發(fā)違規(guī)使用或數(shù)據(jù)泄露問題。由于《數(shù)據(jù)安全法》《個人信息保護法》施行不久，關(guān)于數(shù)據(jù)收集、使用、管理流程等方面的具體落地細則還不完善，如數(shù)據(jù)和網(wǎng)絡安全防護體系的有機融合不夠，各主體的數(shù)據(jù)安全評估不對等、多主體間數(shù)據(jù)流轉(zhuǎn)風險分配規(guī)則尚未形成等。同時，由于我國數(shù)據(jù)環(huán)境更加復雜多變，且較之歐盟、美國等國家的數(shù)據(jù)所有權(quán)及使用權(quán)界定不同，使我國難以完全借鑒相關(guān)國際經(jīng)驗。

此外，國內(nèi)外數(shù)據(jù)共享與流通協(xié)同仍困難重重。目前國內(nèi)各地區(qū)、省、市、部門對數(shù)據(jù)分類分級制度的定位和規(guī)則存在差異，數(shù)據(jù)要素在地區(qū)間流通的制度成本仍較高。數(shù)據(jù)跨境流動法律體系還未完善，已有的條例實施難度大，公眾對數(shù)據(jù)跨境流動法律規(guī)定的認知仍有不足，涉及國際貿(mào)易的產(chǎn)業(yè)數(shù)據(jù)流通仍存在壁壘及安全性挑戰(zhàn)。同時，美國等國家意圖把我國排除在國際數(shù)據(jù)安全治理體系之外，極大限制了我國數(shù)據(jù)流通與交易相關(guān)的各類經(jīng)濟活動，未來很可能會助推有損我國數(shù)據(jù)安全的敵對行為，數(shù)據(jù)的國際主權(quán)問題需要持續(xù)重點關(guān)注。

三、提升我國網(wǎng)絡數(shù)據(jù)安全能級的對策建議

（一）聚焦關(guān)鍵環(huán)節(jié)，夯實數(shù)據(jù)安全治理基礎

一是在數(shù)據(jù)分類分級環(huán)節(jié)，針對性健全數(shù)據(jù)管理制度并提供技術(shù)指導。首先，加快健全關(guān)鍵環(huán)節(jié)數(shù)據(jù)分類分級管理制度，明確數(shù)據(jù)共享、交易和分析處理等環(huán)節(jié)的流通條件、流程規(guī)范及安全管理措施。其次，分層次提升數(shù)據(jù)安全重點技術(shù)產(chǎn)品供給，引導企業(yè)開展非結(jié)構(gòu)化數(shù)據(jù)和重要數(shù)據(jù)自動識別、分析、打標等重點技術(shù)攻關(guān)。最后，逐步提升數(shù)據(jù)分類分級準確性，建立覆蓋運營全過程的數(shù)據(jù)分類分級管理制度，保障管理的及時性和精準度。

二是在市場流通環(huán)節(jié)，建立健全包容有韌性的數(shù)據(jù)流通安全環(huán)境。首先，細化數(shù)據(jù)流通安全基線要求，推動數(shù)據(jù)要素安全監(jiān)管模式創(chuàng)新；探索數(shù)據(jù)要素監(jiān)管“沙盒模式”，并給予適當容錯空間。其次，統(tǒng)籌設計提升數(shù)據(jù)流通標準化服務，加強數(shù)據(jù)流通安全自律，形成重要數(shù)據(jù)目錄和數(shù)據(jù)流通“負面清單”，引導企業(yè)依法依規(guī)進行數(shù)據(jù)采集、流向管控和數(shù)據(jù)保護等活動。最后，逐步建立完善數(shù)據(jù)交易平臺準入評估機制，統(tǒng)籌構(gòu)建跨層級、跨機構(gòu)、跨行業(yè)的一體化數(shù)據(jù)安全流通平臺。

（二）強化技術(shù)手段，突出創(chuàng)新技術(shù)的破局作用

一是謀劃網(wǎng)絡數(shù)據(jù)安全前沿方向布局，加快面向應用場景的核心技術(shù)突破。首先，從底層出發(fā)支撐技術(shù)攻關(guān)，重點突破國產(chǎn)芯片軟硬件融合安全架構(gòu)與技術(shù)、高性能隱私計算技術(shù)、自主可控系統(tǒng)形式化驗證理論與分析技術(shù)。其次，結(jié)合應用場景推動前沿技術(shù)研究，通過人工智能多樣化的攻擊手段訓練并突破人工智能系統(tǒng)安全防御與驗證評測技術(shù)；利用全維度圖音視數(shù)據(jù)深度偽造與檢測技術(shù)，以“AI反制AI”對網(wǎng)絡上偽造的合成內(nèi)容進行精準鑒別與打擊；開發(fā)跨模態(tài)身份智能感知與認證技術(shù)應用于元宇宙、Web3.0、智慧城市、智能家居等領(lǐng)域，并在數(shù)字孿生、虛實共生等新型應用模式中建立信任生態(tài)；在多種語言生態(tài)軟件供應鏈全景分析背景下，突破軟件供應鏈安全分析與防護技術(shù)，提升我國關(guān)鍵信息基礎設施安全水平。最后，進一步拓展權(quán)限界定、價值挖掘和創(chuàng)新應用等核心技術(shù)，形成更加豐富的解決方案，平衡數(shù)據(jù)開發(fā)利用與安全防護。

二是加大對核心技術(shù)與產(chǎn)業(yè)的支持力度，激發(fā)創(chuàng)新生態(tài)動能。首先，積極構(gòu)建安全合規(guī)的數(shù)據(jù)要素生態(tài)，不斷優(yōu)化創(chuàng)新模式，針對性積極培育創(chuàng)新主體，尤其是具有“高精度”優(yōu)勢和特色的領(lǐng)軍企業(yè)。其次，支持企業(yè)運用新技術(shù)提升數(shù)據(jù)流通管理能力，建設安全可控的數(shù)據(jù)要素流通環(huán)境。最后，鼓勵企業(yè)在區(qū)塊鏈、隱私計算、數(shù)據(jù)沙箱等核心技術(shù)領(lǐng)域深耕，積極建設數(shù)據(jù)流通安全一體化管理平臺，并加快推廣優(yōu)秀的解決方案和試點示范。

（三）完善網(wǎng)絡數(shù)據(jù)生態(tài)政策體系，保障行業(yè)可持續(xù)發(fā)展

一是構(gòu)建產(chǎn)學研用一體化生態(tài)，完善網(wǎng)絡數(shù)據(jù)安全人才發(fā)展體系。首先，加強各數(shù)據(jù)服務相關(guān)機構(gòu)合作方案的滲透，推動產(chǎn)學研一體化閉環(huán)的數(shù)據(jù)安全服務鏈升級，并針對企業(yè)實際應用需求，鼓勵打造具有針對性的協(xié)作框架。其次，協(xié)同各類科研院所與企業(yè)共設具有國際領(lǐng)先水平的創(chuàng)新平臺，促進網(wǎng)絡空間安全領(lǐng)域的產(chǎn)學研國際戰(zhàn)略合作，持續(xù)提升我國數(shù)據(jù)安全國際話語權(quán)。最后，鼓勵科研院所、權(quán)威培訓機構(gòu)與行業(yè)聯(lián)合開展數(shù)據(jù)安全人才培養(yǎng)計劃。在頂層設計、政策供給和機制建設基礎上，建立有層次、標準統(tǒng)一的人才發(fā)展體系，開展全民數(shù)據(jù)安全意識教育和培訓，進行國家層面的資質(zhì)認定；重點儲備網(wǎng)絡空間安全與法學的復合型人才資源，籌備具有戰(zhàn)略科學家思維和技術(shù)能力的高精尖人才隊伍，保障數(shù)據(jù)安全治理體系長遠、有效運行。

二是鼓勵數(shù)據(jù)安全相關(guān)產(chǎn)業(yè)聯(lián)盟關(guān)注行業(yè)內(nèi)安全問題，完善網(wǎng)絡數(shù)據(jù)安全法律體系。首先，支持產(chǎn)業(yè)聯(lián)盟牽頭發(fā)布行業(yè)相關(guān)標準，保證行業(yè)內(nèi)對數(shù)據(jù)安全相關(guān)問題解讀的一致性，建立“標準/定制”、“現(xiàn)場/遠程”的立體化數(shù)據(jù)安全服務體系。其次，聯(lián)動產(chǎn)業(yè)外相關(guān)機構(gòu)和部門，共同對數(shù)據(jù)安全相關(guān)前沿信息開展一定范圍的深入宣貫和研討，做好應對預案和謀劃。最后，完善與關(guān)鍵信息基礎設施相關(guān)的法律制度體系，并建立專門保護制度（重點針對通信網(wǎng)絡、云計算服務、大數(shù)據(jù)平臺等），堅持綜合協(xié)調(diào)、分工負責、依法保護的原則，明確各方責任并確定運營者的主體責任。