共研數(shù)據(jù)安全治理新模式，共創(chuàng)數(shù)據(jù)安全發(fā)展新格局_當前聚焦

5月18日，第六屆中國數(shù)據(jù)安全治理高峰論壇在京正式舉辦。此次峰會以“數(shù)安新征程 共探治理路”為主題，與會專家學者聚焦數(shù)據(jù)安全治理新形勢下的前瞻話題，展開精彩的分享與討論，共研數(shù)據(jù)安全治理新模式、新方法。

中國計算機學會計算機安全專業(yè)委員會榮譽主任嚴明指出，推動全球數(shù)據(jù)安全治理體系變革，構(gòu)建新的數(shù)據(jù)安全國際規(guī)則和秩序已成為大勢所趨，我國數(shù)據(jù)安全頂層設計日臻健全，數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)環(huán)境持續(xù)優(yōu)化，數(shù)據(jù)安全治理正在不斷走實向深。

中國計算機學會計算機安全專業(yè)委員會副主任、中國科學院大學密碼學院院長荊繼武在致辭中表示，我國推進數(shù)據(jù)安全治理落地面臨諸多挑戰(zhàn)，必須加快探索構(gòu)建由政府部門、企業(yè)、社會組織、網(wǎng)民等主體共同參與的數(shù)據(jù)安全協(xié)同治理體系，同心協(xié)力維護數(shù)據(jù)安全，夯實數(shù)字經(jīng)濟持續(xù)健康發(fā)展的底座。

(資料圖片僅供參考)

01

尋求安全解法 加快構(gòu)建新發(fā)展格局

中國科學院院士馮登國在“網(wǎng)絡空間可信身份戰(zhàn)略思考”的主題報告中談到，數(shù)字身份是數(shù)據(jù)安全治理的關鍵抓手，是網(wǎng)絡空間信任體系的核心支撐。全面構(gòu)建個人、組織、設備、軟件、應用/服務、AI實體、數(shù)據(jù)等數(shù)字身份服務是時代發(fā)展的迫切需求。實現(xiàn)數(shù)字身份服務的自主可控和韌性，才能在遭遇攻擊和故障時保障網(wǎng)絡信任體系的正常運轉(zhuǎn)。

國家信息技術安全研究中心主任俞克群就新形勢下“如何加強數(shù)據(jù)安全能力”提出了若干建議。數(shù)據(jù)處理者要充分認識數(shù)據(jù)安全治理的重要性和特殊性，從數(shù)據(jù)安全視角重新審視網(wǎng)絡安全體系、重視數(shù)據(jù)安全管理，加強數(shù)據(jù)資產(chǎn)梳理和可視化，堅持數(shù)據(jù)安全風險管理思維，強化風險評估。以合規(guī)為基礎、以能力為手段、以評估為支撐，切實做好數(shù)據(jù)安全工作，共同維護和促進數(shù)據(jù)安全有序流動。

中國科學院信息工程研究所副所長王偉平在“人工智能時代，數(shù)據(jù)安全的挑戰(zhàn)與機遇”主題報告中指出，以ChatGPT為代表的生成式人工智能技術掀起了新一輪的技術浪潮。盡管AIGC可能會帶來人類生存、國家安全、個人信息保障等多方面威脅，但其多模態(tài)數(shù)據(jù)分析以及邏輯推理能力，在數(shù)據(jù)安全領域有著良好的應用前景。我們呼吁，各行各業(yè)要加強對個人AIGC安全風險意識宣貫，促進AIGC技術和安全防護技術的創(chuàng)新，加快AIGC安全相關法律法規(guī)與標準規(guī)范制定，為AIGC治理體系的構(gòu)建提供理論支撐。

國家工業(yè)信息安全發(fā)展研究中心保障技術所所長李俊對2023年1月1日起實施的“《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》”進行深度解讀，并介紹了工業(yè)和信息化領域行業(yè)監(jiān)管已經(jīng)開展的工作，包括建立工業(yè)和信息化領域數(shù)據(jù)安全工作機制、構(gòu)建行業(yè)數(shù)據(jù)安全管理政策制度體系、健全完善行業(yè)數(shù)據(jù)安全標準規(guī)范，分業(yè)開展數(shù)據(jù)安全監(jiān)管實踐，建設數(shù)據(jù)安全保障技術能力等。

安華金和創(chuàng)始人兼CEO劉曉韜對本屆峰會發(fā)布的重要成果——《數(shù)據(jù)安全治理白皮書5.0》進行介紹。他表示，白皮書對“數(shù)據(jù)安全治理理念，數(shù)據(jù)安全治理框架，數(shù)據(jù)安全技術產(chǎn)品，數(shù)據(jù)安全治理實踐”均做出深度分析。數(shù)據(jù)安全治理不僅僅是安全保護問題，是數(shù)據(jù)+安全+治理三個維度的綜合性概念，首先要依托國家數(shù)據(jù)安全法律法規(guī)制定數(shù)據(jù)安全戰(zhàn)略，同時要有一體化的治理理念，形成管理體系、技術體系、運營體系三位一體的數(shù)據(jù)安全綜合體系，最終通過監(jiān)督評價體系持續(xù)完善數(shù)據(jù)安全建設。

02

保障數(shù)字經(jīng)濟穩(wěn)健前行 促進產(chǎn)業(yè)高質(zhì)量發(fā)展

工業(yè)和信息化部網(wǎng)絡安全產(chǎn)業(yè)發(fā)展中心副主任李新社指出，今年一月份，工業(yè)和信息化部、中央網(wǎng)信辦等十六部門印發(fā)了《關于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導意見》，提出提升產(chǎn)業(yè)創(chuàng)新能力、壯大數(shù)據(jù)安全服務等7項任務，該指導意見對夯實我國數(shù)字經(jīng)濟發(fā)展基礎、促進數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展具有非常重要的意義。

推動數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展，認證、評估是重要的抓手。2022年，國家網(wǎng)信辦會同市場監(jiān)管總局推出了數(shù)據(jù)安全管理認證及個人信息保護認證；近日，全國信安標委秘書處組織對《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)安全風險評估實施指引（征求意見稿）》面向社會公開征求意見，受到業(yè)界的廣泛關注。國家信息技術安全研究中心主任俞克群表示，認證、評估和審計，屬于質(zhì)量體系、質(zhì)量保證的組成部分，并不是數(shù)據(jù)安全獨有的。在數(shù)據(jù)安全領域，認證是對運營單位在數(shù)據(jù)處理活動中的標準、規(guī)范的遵從情況進行評價；審計是對組織能力的評價，它更強調(diào)在法律要求框架下，是否構(gòu)建了一個規(guī)范的體系，以及是否按照規(guī)范的體系、制度在運行。相對來說評估更偏重于技術層面，在執(zhí)行數(shù)據(jù)處理活動中，技術體系和技術系統(tǒng)是否存在風險，這個風險可能帶來的損失情況。數(shù)據(jù)處理者可以結(jié)合實際需要選擇應用。實施層面，認證和審計均由第三方有資質(zhì)的機構(gòu)實施。對于風險評估而言，數(shù)據(jù)處理者自身是風險評估的責任主體，可以自行實施，也可以請專業(yè)機構(gòu)實施。

數(shù)據(jù)安全產(chǎn)業(yè)是我國數(shù)字經(jīng)濟的重要基礎，目前數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展尚處于起步推進階段，如何加快推進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展是需要研究的重要課題。中國科學院信息工程研究所副所長王偉平表示，首先，國家和行業(yè)管理部門要加強合規(guī)牽引，引導各行業(yè)各領域加大數(shù)據(jù)安全投入力度，為產(chǎn)業(yè)發(fā)展創(chuàng)造一個良好的市場環(huán)境。第二，要大力發(fā)展數(shù)據(jù)安全技術，特別是加強基礎理論研究，以及與AI等新技術的結(jié)合。第三，產(chǎn)學研機構(gòu)應加強合作，加大數(shù)據(jù)安全人才的培養(yǎng)和供給?？萍?人才是整個產(chǎn)業(yè)良性發(fā)展的必要條件。華北電力大學能源電力大數(shù)據(jù)研究院院長李建彬表示，促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展須在原有的產(chǎn)業(yè)規(guī)?；A之上尋求新的更廣闊的發(fā)展空間。在數(shù)據(jù)要素化戰(zhàn)略驅(qū)動下，未來在數(shù)據(jù)安全領域，數(shù)據(jù)要素保護將成為新的發(fā)展空間。圍繞數(shù)據(jù)的交易、共享、流通而引發(fā)的數(shù)據(jù)安全的產(chǎn)品形態(tài)，服務形態(tài)，運營形態(tài)，都在前所未有的快速發(fā)展；其次隨著數(shù)據(jù)安全政策的逐步完善，如何幫助數(shù)據(jù)處理者在達到合規(guī)要求的前提下降低成本，這也是數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的新空間；第三，數(shù)據(jù)安全保險是推動整個數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的重要抓手。

數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展中數(shù)據(jù)安全治理是重要環(huán)節(jié)，針對如何解決目前行業(yè)落地數(shù)據(jù)安全治理的困境，安華金和創(chuàng)始人兼CEO劉曉韜認為，數(shù)據(jù)安全治理強調(diào)多元共治。從行業(yè)管理部門的維度，建議抓緊研究出臺數(shù)據(jù)分類分級的具體標準規(guī)范；其次，結(jié)合數(shù)據(jù)生命周期和場景應用需求，制定相應的數(shù)據(jù)安全建設指導意見；第三，研究編制行業(yè)數(shù)據(jù)安全評估檢查指標體系，這將對行業(yè)的數(shù)據(jù)安全工作起到扎實的推進作用。從國家數(shù)據(jù)安全管理部門的維度，希望加大監(jiān)管力度，加快推進評估、認證、審計等制度的宣貫及實施推進，避免形式化，并且進一步加強執(zhí)法的力度，促使全社會各行業(yè)各領域提高數(shù)據(jù)安全風險意識，重視數(shù)據(jù)安全工作；從產(chǎn)業(yè)供給側(cè)，數(shù)據(jù)安全企業(yè)要修煉內(nèi)功，堅持專業(yè)化發(fā)展，將技術能力、產(chǎn)品能力、服務能力融入到用戶的業(yè)務和數(shù)據(jù)管理過程中；同時，一些新型技術需要企業(yè)與科研院校深度合作對接，加強科研創(chuàng)新成果轉(zhuǎn)化，這都將有力促進整個產(chǎn)業(yè)的發(fā)展進步。

03

探索最佳實踐 完善治理路徑

國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心高級工程師林星辰在“數(shù)據(jù)安全風險評估實踐初探”主題報告中表示，開展數(shù)據(jù)安全評估及數(shù)據(jù)安全保護，歸根結(jié)底是為了促進數(shù)據(jù)要素有效流動、促進數(shù)據(jù)的開發(fā)和利用。開展數(shù)據(jù)安全評估首先要識別數(shù)據(jù)與數(shù)據(jù)處理活動，其次要發(fā)現(xiàn)數(shù)據(jù)安全的風險問題，最后分析數(shù)據(jù)安全的風險并進行判斷，在此過程中也會用到風險分析工具、數(shù)據(jù)資產(chǎn)探測工具、數(shù)據(jù)分類分級工具、數(shù)據(jù)接口探測工具、個人信息去標識化效果檢測工具等。

中國軟件評測中心政務數(shù)據(jù)安全合規(guī)聯(lián)合實驗室副主任白惠文博士對公共數(shù)據(jù)分類分級管理給出了實踐案例參考?？梢苑譃槠邆€步驟，即資產(chǎn)梳理、數(shù)據(jù)分類、數(shù)據(jù)分級、標識審核、分級管控、成效評價，最后進行動態(tài)更新反饋到分類分級，再進行重新的循環(huán)管理，從而形成閉環(huán)。其中分類可以用融合疊加或標簽映射的方法，分級采取矩陣映射方式，分級管控要同時考慮管理和技術兩方面，通過更加可靠的手段保障公共數(shù)據(jù)安全。

關于如何保障數(shù)據(jù)流通安全，中國信息安全測評中心高松博士談到，解決數(shù)據(jù)泄漏問題的主要思路是管理+技術+運營，技術包括分類分級、數(shù)據(jù)風險評估、數(shù)據(jù)安全監(jiān)測等。數(shù)據(jù)流通安全保障技術還在不斷發(fā)展，需要加強核心技術攻關，包括優(yōu)化升級數(shù)據(jù)識別、分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)權限管理等共性基礎技術，加強隱私計算、數(shù)據(jù)流分析等關鍵技術攻關。研究大數(shù)據(jù)場景下輕量級安全傳輸存儲、隱私合規(guī)檢測、數(shù)據(jù)濫用分析等技術。此外，還需進一步發(fā)展構(gòu)建數(shù)據(jù)安全產(chǎn)品體系，推出一些具有行業(yè)領域特色需求的精細化、專業(yè)型數(shù)據(jù)安全產(chǎn)品；布局新興領域融合創(chuàng)新，加快數(shù)據(jù)安全技術與人工智能、車聯(lián)網(wǎng)，包括ChatGPT等進行融合創(chuàng)新，不斷賦能數(shù)據(jù)安全技術。

當下，各行業(yè)各領域數(shù)據(jù)安全治理依然面臨巨大挑戰(zhàn)，數(shù)據(jù)安全治理工作任重道遠。北京市政務信息安全保障中心高級工程師李媛對政務數(shù)據(jù)安全治理思路和實踐做出分享，她表示，要想做好政務數(shù)據(jù)的發(fā)展應用需要解決三方面問題，一是要做到數(shù)據(jù)匯聚和共享開放，需要通過平臺化的方式讓數(shù)據(jù)進行流通；二是做好數(shù)據(jù)應用，真正發(fā)揮數(shù)據(jù)的價值，提升政府精細化治理;第三個方面也是最重要的，一定要把數(shù)據(jù)在共享開放和應用過程中安全保障的措施做到位，并對數(shù)據(jù)本身和數(shù)據(jù)權益方面進行相應的保護和合理應用。

國家金融科技測評中心陳聰博士強調(diào)，金融機構(gòu)開展數(shù)據(jù)安全保護的出發(fā)點首先是符合監(jiān)管要求，其次機構(gòu)自身提高用數(shù)賦能、提升服務能力、促進機構(gòu)數(shù)字化轉(zhuǎn)型都有數(shù)據(jù)治理的需求，因此大家進行了非常積極的探索。在實踐中，首先做好數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級，理清機構(gòu)現(xiàn)有的數(shù)據(jù)管控能力，在此基礎上建立未來的整體數(shù)據(jù)安全規(guī)劃，通過建設實施、運營推廣、績效評估、改進優(yōu)化，最終形成包括管理體系、技術體系和運營體系在內(nèi)的系統(tǒng)科學的數(shù)據(jù)安全治理體系。

國網(wǎng)智能電網(wǎng)研究院有限公司數(shù)字化所副所長張濤表示，我國正在大力推進新型電力系統(tǒng)的建設，新型電力系統(tǒng)是一個具有海量數(shù)據(jù)的復雜系統(tǒng)，需要保護的對象包括工業(yè)控制終端、融合終端等存在差異，防護手段千差萬別，面臨的數(shù)據(jù)安全挑戰(zhàn)巨大。電力數(shù)據(jù)安全治理的目標是促進數(shù)據(jù)流通共享，從管理措施、技防措施和支撐保障三個維度開展安全建設，同時遵循依法合規(guī)、可視可控、智能協(xié)調(diào)、動態(tài)演進四項原則；按照“業(yè)務場景全覆蓋、安全管控全流程、人員管控全到位、安全防護全周期，業(yè)務過程全監(jiān)測”的五全思路，針對數(shù)據(jù)采集、傳輸、存儲、處理、共享、銷毀六個階段采取不同的管控技術，完成治理的實施。

暨南大學網(wǎng)絡空間安全學院副院長裴廷睿表示，當前，教育行業(yè)落地數(shù)據(jù)安全法律法規(guī)政策要求不足、數(shù)據(jù)安全意識有待全面提升、數(shù)據(jù)安全防護體系不夠完善、安全事件屢有發(fā)生。教育行業(yè)主管部門、地方主管部門、招考部門、高校和教培機構(gòu)的系統(tǒng)和數(shù)據(jù)具有不同的特點，防護的重點也不同。開展數(shù)據(jù)安全工作應逐步建立完善、細化的適應機構(gòu)發(fā)展的數(shù)據(jù)安全管理制度和數(shù)據(jù)分類分級管理機制，并通過相應的數(shù)據(jù)安全管控體系進行落地。首先進行分類分級標識、定期對數(shù)據(jù)庫等重要防護對象開展安全風險評估；其次要主動防護、保證底線防守、進行事后審計，對數(shù)據(jù)運維工作做到有效管控。

天翼安全科技有限公司產(chǎn)品總監(jiān)張鑫表示，電信領域是業(yè)內(nèi)發(fā)布數(shù)據(jù)安全行業(yè)規(guī)范標準較早的行業(yè)，當前面臨著安全合規(guī)、分類分級、防護思路、新型業(yè)務、支撐服務五大挑戰(zhàn)。應對這些挑戰(zhàn)，中國電信通過制定行之有效的數(shù)據(jù)安全制度規(guī)范、開展全員數(shù)據(jù)安全賦能與專業(yè)人才培養(yǎng)、建立長期動態(tài)的數(shù)據(jù)安全能力設施開展了積極的實踐。中國電信將不斷強化自身的數(shù)據(jù)安全治理水平，持續(xù)推動數(shù)據(jù)安全技術創(chuàng)新，建立覆蓋全場景的數(shù)據(jù)安全能力體系，積極推進數(shù)據(jù)安全規(guī)范標準制定，打造數(shù)據(jù)安全協(xié)同生態(tài)，共筑數(shù)字化時代的數(shù)據(jù)安全。

04

體系化建設數(shù)據(jù)安全 有效提升治理水平

數(shù)據(jù)安全治理的核心思路是機構(gòu)組織從戰(zhàn)略層面由上而下達成數(shù)據(jù)安全目標共識，關注數(shù)據(jù)全生命周期安全，重視管理與技術措施并舉，并能夠根據(jù)安全形勢、技術發(fā)展和演進趨勢動態(tài)變化，對數(shù)據(jù)安全體系進行持續(xù)優(yōu)化。數(shù)據(jù)安全風險評估是《數(shù)據(jù)安全法》確定的數(shù)據(jù)安全保障基礎制度之一，也是發(fā)現(xiàn)風險、確定分類分級保護要求、落實整改要求、促進數(shù)據(jù)合規(guī)的重要基礎，是數(shù)據(jù)安全體系化建設的重要一環(huán)。

國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心高級工程師林星辰表示，數(shù)據(jù)的重要性，也就是分類分級，是數(shù)據(jù)安全風險評估首要關注的重點，評估的目的是為了促進數(shù)據(jù)的有序安全流動，發(fā)現(xiàn)風險，知道風險是什么才可以去制定相應的管控措施，并且分類分級、風險評估的結(jié)果一定要和后續(xù)的管控策略掛鉤。數(shù)據(jù)安全體系建設面臨的最大挑戰(zhàn)，歸納起來就是一個關鍵詞，數(shù)據(jù)素養(yǎng)，亟須全方位提升各行業(yè)各領域?qū)?shù)據(jù)安全工作的認識。

北京市政務信息安全保障中心高級工程師李媛表示，目前風險評估工作中遇到的最大問題就是對評估對象認識不清，區(qū)別于傳統(tǒng)的風險評估，數(shù)據(jù)安全風險評估的對象是數(shù)據(jù)及數(shù)據(jù)處理活動。在政務領域開展數(shù)據(jù)安全評估工作，首先要幫助被評估單位梳理數(shù)據(jù)流圖，針對不同的數(shù)據(jù)處理環(huán)節(jié)，梳理清楚主要的資產(chǎn)及訪問控制措施，從而形成可視化的動態(tài)數(shù)據(jù)流動路徑；然后基于路徑分析可能面臨的風險和合規(guī)問題，這是比較體系化的評估思路。數(shù)據(jù)安全體系建設的初期，就應考慮建立一種考核、評價、檢查的機制，從外部促進數(shù)據(jù)安全體系的逐步完善。

國家金融科技測評中心陳聰博士表示，金融數(shù)據(jù)安全評估要做到向上銜接、向下兼容。與上位法做好銜接，同時要兼容考慮金融機構(gòu)的性質(zhì)、業(yè)務場景的特性等，結(jié)合場景對數(shù)據(jù)做深入的分析。要想做好數(shù)據(jù)安全治理工作，建立良好的組織協(xié)調(diào)機制必須先行，這會使得項目推進更加順暢，也會有更好的起點。

國網(wǎng)智能電網(wǎng)研究院有限公司數(shù)字化所副所長張濤表示，風險評估從管理維度上，要關注數(shù)據(jù)安全規(guī)章制度是否健全，數(shù)據(jù)的研發(fā)單位、數(shù)據(jù)使用、數(shù)據(jù)運維等職責是否明確；在技術維度，要關注數(shù)據(jù)流轉(zhuǎn)過程，關注數(shù)據(jù)和應用的接口。目前，數(shù)據(jù)安全技術和業(yè)務的融合還存在差距，如何把數(shù)據(jù)安全新技術新產(chǎn)品與業(yè)務場景緊密結(jié)合，而不是外掛式的安全，實現(xiàn)保障業(yè)務安全穩(wěn)定運行的同時促進數(shù)據(jù)流通，這是目前面臨的一大挑戰(zhàn)，也是未來的發(fā)展方向。

山東財經(jīng)大學網(wǎng)絡信息中心主任李德生表示，高校的風險評估工作處于摸索階段。由于高校的數(shù)據(jù)類別大同小異，建議行業(yè)管理部門牽頭成立專門的團隊，真正把高校數(shù)據(jù)面臨的風險、業(yè)務流程梳理清楚，借助國家評估機構(gòu)的力量提升數(shù)據(jù)安全評估效率。此外，教育數(shù)據(jù)安全治理落地較為滯后，數(shù)據(jù)安全重視程度不足、指導分類分級、風險評估等具體工作的行業(yè)標準規(guī)范尚未出臺，人才培養(yǎng)短缺，我們呼吁把數(shù)據(jù)安全體系建設以及評估結(jié)果納入高校綜合考核指標里，這將極大促進教育行業(yè)數(shù)據(jù)安全治理工作的落地。

本屆峰會由中國計算機學會計算機安全專業(yè)委員會、工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟、中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全工作委員會、中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟、中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會、北京工業(yè)互聯(lián)網(wǎng)技術創(chuàng)新與產(chǎn)業(yè)發(fā)展聯(lián)盟主辦，國家工業(yè)信息安全發(fā)展研究中心、中國電子技術標準化研究院、中國信息安全測評中心、國家信息技術安全研究中心、中國軟件評測中心支持，北京安華金和科技有限公司、中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會承辦，天融信科技集團協(xié)辦。