來源:雷鋒網(wǎng)
所有金融機(jī)構(gòu)、互聯(lián)網(wǎng)公司和數(shù)據(jù)技術(shù)服務(wù)商共同關(guān)心的《數(shù)據(jù)安全法》,近日正式表決通過,今年 9 月 1 日開始施行。去年 7 月和今年 4 月,全國人大常委對該法草案進(jìn)行了首次和二次審議。
數(shù)據(jù)被認(rèn)為是繼土地、勞動力、資本、技術(shù)之后的第五種生產(chǎn)要素。在數(shù)據(jù)問題上,任何一點細(xì)微的處理不當(dāng),都會牽一發(fā)而動全身,因此這部法律的關(guān)注度,說是近幾年各類法案中的 " 頂流 " 也不為過。
這部法案中,到底哪一點最受到大家關(guān)注?數(shù)據(jù)領(lǐng)域千頭萬緒,什么環(huán)節(jié)最讓人頭疼?隨著數(shù)據(jù)監(jiān)管逐漸到位,新的市場機(jī)遇和技術(shù)方向是否已經(jīng)浮現(xiàn)?
數(shù)據(jù)分類分級,為什么最受關(guān)注?
業(yè)界討論里,出鏡率最高的一項條款,必然是法案首次提出的數(shù)據(jù)分級分類:
建立數(shù)據(jù)分類分級保護(hù)制度,對數(shù)據(jù)實行分類分級保護(hù);并基于數(shù)據(jù)分類分級確定重要數(shù)據(jù)目錄和國家核心數(shù)據(jù),進(jìn)行重點保護(hù)。——《數(shù)據(jù)安全法》第二十一條
為何這一點會受到最多關(guān)注?無論手握多少數(shù)據(jù),對外開放交流的 " 溝通成本 ",對內(nèi)的 " 管理成本 ",幾乎是所有機(jī)構(gòu)最在意的事情。
一位隱私計算領(lǐng)域的業(yè)內(nèi)人士指出,分級分類之后,各方才能更容易確定可分享的數(shù)據(jù)部分,在完全開放和完全不開放之間尋求平衡。數(shù)據(jù)如果不做分級分類,在政務(wù)、金融這類更加傳統(tǒng)嚴(yán)謹(jǐn)?shù)念I(lǐng)域,為求安全,機(jī)構(gòu)往往會采取一刀切的 " 閉關(guān) " 形式,數(shù)據(jù)的交流合作也就無從談起。
而在機(jī)構(gòu)內(nèi)部,深信服數(shù)據(jù)安全產(chǎn)品線總經(jīng)理李玉亮就向雷鋒網(wǎng) AI 金融評論透露," 從以往的合作方反饋來看,他們也比較關(guān)心數(shù)據(jù)分類分級的落地。"
他認(rèn)為,目前企業(yè)和組織里的數(shù)據(jù)規(guī)模巨大,但當(dāng)前數(shù)據(jù)分類分級的主要方式是人工和基于正則表達(dá)式的工具,效率和準(zhǔn)確性都較低,企業(yè)自身也希望擁有更加自動化的數(shù)據(jù)分類分級工具。
騰訊安全的數(shù)據(jù)安全專家崔卓也分析稱,對于企業(yè)經(jīng)營人員和安全管理人員來講,首先要做好數(shù)據(jù)資產(chǎn)盤點和數(shù)據(jù)分類分級工作,需要知道企業(yè)當(dāng)前敏感數(shù)據(jù)分布以及數(shù)據(jù)安全現(xiàn)狀,包括數(shù)據(jù)類型、風(fēng)險級別如何、當(dāng)前安全能力等方面。
不過具體應(yīng)該如何分級分類,什么才是 " 重要數(shù)據(jù) ",現(xiàn)行法案都尚未有明確規(guī)定。結(jié)合《數(shù)據(jù)安全法》以及此前發(fā)布的多個相關(guān)文件來看," 重要數(shù)據(jù) " 這個詞似乎更多出于國家安全層面的考量。
《數(shù)據(jù)安全法》中,只注明了主要標(biāo)準(zhǔn)是 " 數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度 ",強調(diào) " 關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)。"
而《數(shù)據(jù)安全管理辦法(征求意見稿)》給出的措辭相對具體一些,稱重要數(shù)據(jù)指的是 " 一旦泄露可能直接影響國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù),如未公開的政府信息,大面積人口、基因健康、地理、礦產(chǎn)資源等。"
但這個意見稿也指出,重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等,這個標(biāo)準(zhǔn)是否會被沿用到此后的數(shù)據(jù)安全領(lǐng)域,也有待觀察。
另一個受到各方關(guān)注的重點,則是數(shù)據(jù)流轉(zhuǎn)的監(jiān)測和溯源。
" 由于當(dāng)前國家正在推動數(shù)據(jù)的開放共享,所以組織內(nèi)部或者跨組織、地區(qū)之間的數(shù)據(jù)流轉(zhuǎn)非常頻繁,所以存在巨大的數(shù)據(jù)泄露風(fēng)險,并且泄露之后無法很好溯源。" 李玉亮分析稱。
對于企業(yè)而言,數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定,也同樣是他們十分關(guān)心的問題。
《數(shù)據(jù)安全法》的第四章,詳細(xì)規(guī)定了開展數(shù)據(jù)處理活動需要承擔(dān)的數(shù)據(jù)安全保護(hù)義務(wù),包括要明確數(shù)據(jù)安全負(fù)責(zé)人、建立健全全流程數(shù)據(jù)安全保護(hù)制度、加強風(fēng)險監(jiān)測、定期開展風(fēng)險評估以及在跨境數(shù)據(jù)流通、數(shù)據(jù)交易和數(shù)據(jù)調(diào)取方面需要承擔(dān)的義務(wù)等。
多位法律界人士也指出,針對這些詳細(xì)的合規(guī)措施,構(gòu)建自身的合規(guī)體系,將是企業(yè)們迫在眉睫的數(shù)據(jù)任務(wù)。
數(shù)據(jù)確權(quán),難中之最?
《數(shù)據(jù)安全法》在界定 " 數(shù)據(jù)處理 " 時,也覆蓋了數(shù)據(jù)的全生命周期,包括數(shù)據(jù)的確權(quán)、收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié),不過尚無對各個環(huán)節(jié)未有深入的處理細(xì)則。
而所有環(huán)節(jié)之中,數(shù)據(jù)確權(quán)可能是任務(wù)最艱巨、優(yōu)先級最高的一環(huán)。
" 銀行對數(shù)據(jù)確權(quán)這方面比較謹(jǐn)慎。" 一位來自國有大行科技子公司的業(yè)內(nèi)人士,就向 AI 金融評論強調(diào)了這一點。
" 因為數(shù)據(jù)確權(quán)是非常復(fù)雜的系統(tǒng)性工程,所以《數(shù)據(jù)安全法》也沒有對于數(shù)據(jù)確權(quán)進(jìn)行明確的規(guī)定。" 李玉亮也表示,確權(quán)應(yīng)該是目前難度最大的一項。
他指出,從目前來看,數(shù)據(jù)確權(quán)的難度最大——如果數(shù)據(jù)確權(quán)沒有完成,后續(xù)的數(shù)據(jù)要素流轉(zhuǎn)就無法很好進(jìn)行,就無法發(fā)揮出來數(shù)據(jù)要素的價值,數(shù)字經(jīng)濟(jì)的發(fā)展就會受到限制。
而華控清交 CEO 張旭東此前也向雷鋒網(wǎng) AI 金融評論提到這樣一個觀點:
過早、過嚴(yán)、過窄地定義和規(guī)定數(shù)據(jù)的所有權(quán),在法律上可能會制約數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)生態(tài)的發(fā)展。
" 數(shù)據(jù)確權(quán)的難處,只能點到為止。" 他認(rèn)為,交易和流通需要生態(tài),其中更重要的是,需要數(shù)據(jù)和資本的結(jié)合,才能使數(shù)據(jù)的交易流通、要素化大規(guī)模發(fā)展。
也有相關(guān)從業(yè)者透露了自己的擔(dān)憂:從確權(quán)環(huán)節(jié)就開始產(chǎn)生的限制,會拖慢業(yè)務(wù)創(chuàng)新、企業(yè)發(fā)展的步伐。
" 或許這也是為什么近年來國外不再有新的互聯(lián)網(wǎng)巨頭出現(xiàn)。"
張旭東進(jìn)一步提到,在數(shù)據(jù)確權(quán)相關(guān)法律法規(guī)還不健全的情況下,是否能讓數(shù)據(jù)進(jìn)行先期的交易和流通,反過來為數(shù)據(jù)的確權(quán)真正提供有益的實踐和探索?
但數(shù)據(jù)交易的落地同樣進(jìn)展緩慢。數(shù)據(jù)作為生產(chǎn)要素的特殊性,使得局面陷入泥淖。
" 數(shù)據(jù)的復(fù)制成本極低,復(fù)制和傳播速度也極快;一旦被看見,就可以被無限復(fù)制。
" 而在簡單的經(jīng)典經(jīng)濟(jì)學(xué)理論上,供需要有兩根曲線相交,才能形成價格。明文數(shù)據(jù)的特點,使得它的供應(yīng)和需求都是無限的,供應(yīng)和需求兩根線無法形成一個焦點,很難通過市場供需進(jìn)行定價,并形成大規(guī)模的市場交易流通。" 張旭東解釋。
這種情形之下,數(shù)據(jù)擁有方往往缺乏主動發(fā)起交易的動力,手握數(shù)據(jù)而態(tài)度保守。
盡管國內(nèi)目前已有三十多家數(shù)據(jù)交易中心或交易所,但就發(fā)展情況而言,這些交易所也很難不被質(zhì)疑只是 " 擺設(shè) "。
新的風(fēng)口已經(jīng)出現(xiàn)
《數(shù)據(jù)安全法》的出臺,其實不只意味著數(shù)據(jù)領(lǐng)域的監(jiān)管趨嚴(yán),在 " 牢籠 " 的形態(tài)之外,法案也在加速了新風(fēng)口的誕生,更多前沿技術(shù)投入到數(shù)據(jù)領(lǐng)域的使用。
前述國有大行科技子公司人士強調(diào),最值得關(guān)注的市場機(jī)遇,一定是 MPC(多方安全計算)和聯(lián)邦學(xué)習(xí)。" 未來這會都是機(jī)構(gòu)的基礎(chǔ)設(shè)施,是數(shù)據(jù)流轉(zhuǎn)的標(biāo)配。" 他強調(diào)。
李玉亮也表示,隱私計算技術(shù)能夠?qū)崿F(xiàn) " 數(shù)據(jù)可用不可見 ",典型的技術(shù)包括全同態(tài)加密、多方安全計算和聯(lián)邦學(xué)習(xí)等,能夠?qū)崿F(xiàn)數(shù)據(jù)在流通過程中的安全,可以大大促進(jìn)數(shù)據(jù)的流轉(zhuǎn)和交易。
" 不可見是為了數(shù)據(jù)真正的安全,保證數(shù)據(jù)不被篡改,不被竊取,承擔(dān)起信息的存儲職能;可用則是為了承擔(dān)起數(shù)據(jù)流轉(zhuǎn)的職能。" 該業(yè)內(nèi)人士分析稱。
隱私計算,包括聯(lián)邦學(xué)習(xí)、多方安全計算等技術(shù),在去年突然走紅,很大程度上就與當(dāng)時《數(shù)據(jù)安全法》草案以及其他隱私保護(hù)相關(guān)條例有關(guān)。在《數(shù)據(jù)安全法》通過之后,這些新技術(shù)相信會進(jìn)入飛速發(fā)展、跑馬圈地的階段,離規(guī)模化、商業(yè)化落地的目標(biāo)更近一步。
不過該業(yè)內(nèi)人士也指出,對于隱私計算,銀行科技部門還處于初步探索期,工程學(xué)上還需要驗證,想要正式投產(chǎn)還需要至少一年時間。
而人工智能在數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全方向,仍然是不可缺席的 " 一員大將 "。
李玉亮向 AI 金融評論透露,在提高數(shù)據(jù)分類分級的效率和準(zhǔn)確性方面,人工智能和機(jī)器學(xué)習(xí)潛力巨大;深信服也在業(yè)界率先推出了基于人工和機(jī)器學(xué)習(xí)的智能數(shù)據(jù)分類分級平臺。
除此之外,區(qū)塊鏈和智能合約也是備受看好的技術(shù)方向之一。
該銀行業(yè)內(nèi)人士表示,信息在流轉(zhuǎn)過程中,要盡可能透明化,同時要保證對客戶本人、行為數(shù)據(jù)存儲機(jī)構(gòu)的支付,還有交易記錄流轉(zhuǎn)、數(shù)據(jù)信息利用的效用反饋數(shù)據(jù)等,智能合約會是兼顧這幾大問題的有效手段。
盡管各項執(zhí)行細(xì)則和標(biāo)準(zhǔn)設(shè)置得不夠具體,但在不少業(yè)界人士看來,作為數(shù)據(jù)安全領(lǐng)域的上位法,《數(shù)據(jù)安全法》對于數(shù)據(jù)安全的基本制度、保護(hù)義務(wù)和責(zé)任已經(jīng)有了比較清晰的規(guī)定。各部門隨后將出臺配套政策,使法律執(zhí)行更加清晰,降低執(zhí)行難度。
在期待更多配套法案出臺的同時,前沿技術(shù)也正在金融、醫(yī)療等領(lǐng)域用于數(shù)據(jù)安全和隱私保護(hù)。雷鋒網(wǎng) AI 金融評論就曾多次詳細(xì)報道聯(lián)邦學(xué)習(xí)等隱私計算技術(shù),多位專家學(xué)者也曾與我們以公開課形式深入探討這一熱門技術(shù)的研究成果和落地情況,部分精華內(nèi)容一并整理在本文最后,以饗讀者。
