在當前信息技術變革浪潮中,數據資源正在朝著生產要素的形態不斷演進。近期,《中共中央、國務院關於構建更加完善的要素市場化配置體制機制的意見》(以下簡稱“《意見》”)正式發佈,《意見》將數據列為五大要素領域之一,明確了完善要素市場化配置的具體舉措。為實現數據要素價格市場決定、流動自主有序、配置高效公平的目標,尚需要解決數據確權、數據安全、隱私保護等諸多問題,在此過程中數據分類分級管理體系的構建能夠發揮重要支撐推動作用。
一、數據要素已經成為經濟發展新動能
近年來,國家高度重視數據在新常態中推動國家現代化建設的基礎性、戰略性作用。2015年9月國務院印發的《促進大數據發展行動綱要》已經明確指出,“數據已成為國家基礎性戰略資源,大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。”2016年,習近平總書記在網絡安全和信息化工作座談會上的講話再一次強調,“以信息流帶動技術流、資金流、人才流、物資流,促進資源配置優化,促進全要素生產率提升,為推動創新發展、轉變經濟發展方式、調整經濟結構發揮積極作用。”由此觀之,數據作為一種新型生產要素,對其他要素分配效率具有倍增作用,加快培育數據要素市場,將對推動我國經濟高質量轉型、數字經濟創新發展注入新動能。
《意見》在數據要素部分,明確提出推進政府數據開放共享、提升社會數據資源價值,通過制定出臺新一批數據共享責任清單、支持構建多領域數據開放利用場景、探索建立統一的數據管理制度,全面提升數據要素價值。同時,在“穩中求進,循序漸進”基本原則指引下,堅持安全可控,制定數據隱私保護制度和安全審查制度,完善適用於大數據環境下的數據分類分級安全保護制度。
二、實施數據分類分級安全管理的重要意義
(一) 數據分類分級安全管理是推進政務信息共享開放的重要保障
依託政務數據共享開放推進政府數字化轉型、提升政府公共服務水平、促進大數據產業發展,已經成為全球共識。2016年開始,我國頒佈了《政務信息資源共享管理暫行辦法》、《公共信息資源開放試點工作方案》等一系列文件,開啟了政務數據共享開放進程。由於政務數據自身特性,在開放和流通過程面臨著各種不確定安全風險,出於維護國家安全、社會公共利益的考慮,目前我國政務數據向公眾開放的程度相對有限。為促進政務數據進一步融入要素市場,釋放政府數據可開發、可利用的潛能,需要在已建立的政務信息資源目錄基礎上,制定更加細化的數據分類分級規則,通過配套差異化的安全控制措施,保障政務數據在共享開放過程中的可監測、可追溯。
(二) 數據分類分級安全管理是培育數字經濟新業態新模式的助推利器
運用5G、物聯網、人工智能等信息技術,創新農業、工業、交通、教育、安防、城市管理、公共資源交易等領域的數據開發利用場景,是培育數字經濟新產業、新業態、新模式的重要引擎。而數據開發利用活動越活躍,數據洩露、濫用的安全風險越高,特別是對個人信息安全的影響越大。為數據開發利用活動配備高水平安全措施,又必然增加市場參與主體的經營成本。因此,健全完善社會數據資源分類分級管理制度,鼓勵掌握數據資源的市場參與主體構建數據分類分級安全管理體系,以風險防控為工作導向,對高安全等級數據的開發利用活動,配套相應的安全風險控制措施,是能夠充分釋放數據資源價值潛能,又能夠有效控制成本投入的最佳路徑。
(三) 數據分類分級安全管理是促進大數據流動與交易的基礎前提
相對於其他工業產品,數據要素與傳統生產要素在本質上有巨大差異,數據產品具有可複製性、生產門檻低、時間敏感性等特點。市場各方在推動大數據流動與交易的同時,需要解決數據確權、數據安全、隱私保護等諸多問題。引入數據分類分級這一基礎性數據安全管理方法,綜合考慮數據屬性、特點、數量、質量、格式、重要性、敏感程度等因素,對數據資源進行分類分級,梳理出非敏感、低風險等級、權屬相對明確的數據資源,以要素形式優先進入數據交易市場,同時明確在市場交易過程中應配備的安全保護措施,可以在最大限度釋放數據價值的同時,又兼顧數據安全和對個人隱私的保護。
(四) 數據分類分級安全管理是新一代數據資產管理理念的核心思想
數字經濟的發展以數據資產作為核心生產要素,目前以網絡和系統為中心的安全防護模式下,安全措施與防護目標不能精確匹配,無法達成預期的防護效果。新一代數據資產管理理念從組織的高層業務風險分析出發,以數據資產分類分級為核心,對組織業務中的各個數據集進行識別、分類和分級安全管理,針對數據集的數據流和數據分析庫的機密性、完整性、可用性、可控性需求創建安全策略,根據策略落實安全管理措施和部署安全技術產品,同時對業務風險進行優先級排列,採取適當的安全措施對業務風險進行控制。從而實現數據資產安全管理從以網絡和系統為中心向以數據資產為中心的安全保護模式轉變。
三、推進數據分類分級安全管理工作的建議
一是健全數據分類分級安全管理制度。健全完善適應於大數據環境下的數據分類分級安全管理制度,需要涵蓋參與要素市場的各方主體,包括但不限於政府部門、掌握數據資源的企業及組織、第三方專業數據服務機構,明確各方數據分類分級安全管理主體責任。同時,需要根據各行業各領域數據資源屬性特點,分業施策,制定適應於本行業本領域數據資源開發利用及流通需求的數據分類分級安全管理規則。
二是加快制定數據分類分級標準。研究5G、物聯網、人工智能等新技術背景下新業務的數據形態、特點、流通場景、重要性、敏感程度等關鍵因素,深入調研行業、企業數據安全管理現狀,鼓勵企業參加標準的編制工作,明確標準應解決的實際問題,編制適合數字經濟新產業、新業態、新應用模式的數據分類分級標準,為企業數據安全管理和安全資源配置提供指導。
三是提高數據分類分級優質產品供給。扶持技術實力強的數據安全產品與服務企業加大數據分類分級產品研發投入,同時引導數據交易各方積極參與數據分類分級產品的應用創新,通過引領和示範作用帶動數據分類分級產品的落地實施,加速數據安全產品和技術的成熟和更新迭代,為參與要素市場的各方主體賦能,提升其數據分類分級安全管理能力,為數據要素市場的活躍與發展提供安全保障。
陳湉,中國信息通信研究院安全研究所數據安全研究部副主任(主持工作),高級工程師,長期從事數據安全、個人信息保護等領域的政府決策監管支撐、科研及標準化工作。
聯繫方式:[email protected]
劉明輝, 中國信息通信研究院安全研究所數據安全研究部高級工程師,長期從事大數據安全、數據安全技術研究、監管支撐及標準化工作。
聯繫方式:[email protected]
