來(lái)源:雷鋒網(wǎng)
所有金融機(jī)構(gòu)、互聯(lián)網(wǎng)公司和數(shù)據(jù)技術(shù)服務(wù)商共同關(guān)心的《數(shù)據(jù)安全法》,近日正式表決通過(guò),今年 9 月 1 日開始施行。去年 7 月和今年 4 月,全國(guó)人大常委對(duì)該法草案進(jìn)行了首次和二次審議。
數(shù)據(jù)被認(rèn)為是繼土地、勞動(dòng)力、資本、技術(shù)之后的第五種生產(chǎn)要素。在數(shù)據(jù)問(wèn)題上,任何一點(diǎn)細(xì)微的處理不當(dāng),都會(huì)牽一發(fā)而動(dòng)全身,因此這部法律的關(guān)注度,說(shuō)是近幾年各類法案中的 " 頂流 " 也不為過(guò)。
這部法案中,到底哪一點(diǎn)最受到大家關(guān)注?數(shù)據(jù)領(lǐng)域千頭萬(wàn)緒,什么環(huán)節(jié)最讓人頭疼?隨著數(shù)據(jù)監(jiān)管逐漸到位,新的市場(chǎng)機(jī)遇和技術(shù)方向是否已經(jīng)浮現(xiàn)?
數(shù)據(jù)分類分級(jí),為什么最受關(guān)注?
業(yè)界討論里,出鏡率最高的一項(xiàng)條款,必然是法案首次提出的數(shù)據(jù)分級(jí)分類:
建立數(shù)據(jù)分類分級(jí)保護(hù)制度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù);并基于數(shù)據(jù)分類分級(jí)確定重要數(shù)據(jù)目錄和國(guó)家核心數(shù)據(jù),進(jìn)行重點(diǎn)保護(hù)。——《數(shù)據(jù)安全法》第二十一條
為何這一點(diǎn)會(huì)受到最多關(guān)注?無(wú)論手握多少數(shù)據(jù),對(duì)外開放交流的 " 溝通成本 ",對(duì)內(nèi)的 " 管理成本 ",幾乎是所有機(jī)構(gòu)最在意的事情。
一位隱私計(jì)算領(lǐng)域的業(yè)內(nèi)人士指出,分級(jí)分類之后,各方才能更容易確定可分享的數(shù)據(jù)部分,在完全開放和完全不開放之間尋求平衡。數(shù)據(jù)如果不做分級(jí)分類,在政務(wù)、金融這類更加傳統(tǒng)嚴(yán)謹(jǐn)?shù)念I(lǐng)域,為求安全,機(jī)構(gòu)往往會(huì)采取一刀切的 " 閉關(guān) " 形式,數(shù)據(jù)的交流合作也就無(wú)從談起。
而在機(jī)構(gòu)內(nèi)部,深信服數(shù)據(jù)安全產(chǎn)品線總經(jīng)理李玉亮就向雷鋒網(wǎng) AI 金融評(píng)論透露," 從以往的合作方反饋來(lái)看,他們也比較關(guān)心數(shù)據(jù)分類分級(jí)的落地。"
他認(rèn)為,目前企業(yè)和組織里的數(shù)據(jù)規(guī)模巨大,但當(dāng)前數(shù)據(jù)分類分級(jí)的主要方式是人工和基于正則表達(dá)式的工具,效率和準(zhǔn)確性都較低,企業(yè)自身也希望擁有更加自動(dòng)化的數(shù)據(jù)分類分級(jí)工具。
騰訊安全的數(shù)據(jù)安全專家崔卓也分析稱,對(duì)于企業(yè)經(jīng)營(yíng)人員和安全管理人員來(lái)講,首先要做好數(shù)據(jù)資產(chǎn)盤點(diǎn)和數(shù)據(jù)分類分級(jí)工作,需要知道企業(yè)當(dāng)前敏感數(shù)據(jù)分布以及數(shù)據(jù)安全現(xiàn)狀,包括數(shù)據(jù)類型、風(fēng)險(xiǎn)級(jí)別如何、當(dāng)前安全能力等方面。
不過(guò)具體應(yīng)該如何分級(jí)分類,什么才是 " 重要數(shù)據(jù) ",現(xiàn)行法案都尚未有明確規(guī)定。結(jié)合《數(shù)據(jù)安全法》以及此前發(fā)布的多個(gè)相關(guān)文件來(lái)看," 重要數(shù)據(jù) " 這個(gè)詞似乎更多出于國(guó)家安全層面的考量。
《數(shù)據(jù)安全法》中,只注明了主要標(biāo)準(zhǔn)是 " 數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度 ",強(qiáng)調(diào) " 關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)。"
而《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》給出的措辭相對(duì)具體一些,稱重要數(shù)據(jù)指的是 " 一旦泄露可能直接影響國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù),如未公開的政府信息,大面積人口、基因健康、地理、礦產(chǎn)資源等。"
但這個(gè)意見(jiàn)稿也指出,重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營(yíng)和內(nèi)部管理信息、個(gè)人信息等,這個(gè)標(biāo)準(zhǔn)是否會(huì)被沿用到此后的數(shù)據(jù)安全領(lǐng)域,也有待觀察。
另一個(gè)受到各方關(guān)注的重點(diǎn),則是數(shù)據(jù)流轉(zhuǎn)的監(jiān)測(cè)和溯源。
" 由于當(dāng)前國(guó)家正在推動(dòng)數(shù)據(jù)的開放共享,所以組織內(nèi)部或者跨組織、地區(qū)之間的數(shù)據(jù)流轉(zhuǎn)非常頻繁,所以存在巨大的數(shù)據(jù)泄露風(fēng)險(xiǎn),并且泄露之后無(wú)法很好溯源。" 李玉亮分析稱。
對(duì)于企業(yè)而言,數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定,也同樣是他們十分關(guān)心的問(wèn)題。
《數(shù)據(jù)安全法》的第四章,詳細(xì)規(guī)定了開展數(shù)據(jù)處理活動(dòng)需要承擔(dān)的數(shù)據(jù)安全保護(hù)義務(wù),包括要明確數(shù)據(jù)安全負(fù)責(zé)人、建立健全全流程數(shù)據(jù)安全保護(hù)制度、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)、定期開展風(fēng)險(xiǎn)評(píng)估以及在跨境數(shù)據(jù)流通、數(shù)據(jù)交易和數(shù)據(jù)調(diào)取方面需要承擔(dān)的義務(wù)等。
多位法律界人士也指出,針對(duì)這些詳細(xì)的合規(guī)措施,構(gòu)建自身的合規(guī)體系,將是企業(yè)們迫在眉睫的數(shù)據(jù)任務(wù)。
數(shù)據(jù)確權(quán),難中之最?
《數(shù)據(jù)安全法》在界定 " 數(shù)據(jù)處理 " 時(shí),也覆蓋了數(shù)據(jù)的全生命周期,包括數(shù)據(jù)的確權(quán)、收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等環(huán)節(jié),不過(guò)尚無(wú)對(duì)各個(gè)環(huán)節(jié)未有深入的處理細(xì)則。
而所有環(huán)節(jié)之中,數(shù)據(jù)確權(quán)可能是任務(wù)最艱巨、優(yōu)先級(jí)最高的一環(huán)。
" 銀行對(duì)數(shù)據(jù)確權(quán)這方面比較謹(jǐn)慎。" 一位來(lái)自國(guó)有大行科技子公司的業(yè)內(nèi)人士,就向 AI 金融評(píng)論強(qiáng)調(diào)了這一點(diǎn)。
" 因?yàn)閿?shù)據(jù)確權(quán)是非常復(fù)雜的系統(tǒng)性工程,所以《數(shù)據(jù)安全法》也沒(méi)有對(duì)于數(shù)據(jù)確權(quán)進(jìn)行明確的規(guī)定。" 李玉亮也表示,確權(quán)應(yīng)該是目前難度最大的一項(xiàng)。
他指出,從目前來(lái)看,數(shù)據(jù)確權(quán)的難度最大——如果數(shù)據(jù)確權(quán)沒(méi)有完成,后續(xù)的數(shù)據(jù)要素流轉(zhuǎn)就無(wú)法很好進(jìn)行,就無(wú)法發(fā)揮出來(lái)數(shù)據(jù)要素的價(jià)值,數(shù)字經(jīng)濟(jì)的發(fā)展就會(huì)受到限制。
而華控清交 CEO 張旭東此前也向雷鋒網(wǎng) AI 金融評(píng)論提到這樣一個(gè)觀點(diǎn):
過(guò)早、過(guò)嚴(yán)、過(guò)窄地定義和規(guī)定數(shù)據(jù)的所有權(quán),在法律上可能會(huì)制約數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)生態(tài)的發(fā)展。
" 數(shù)據(jù)確權(quán)的難處,只能點(diǎn)到為止。" 他認(rèn)為,交易和流通需要生態(tài),其中更重要的是,需要數(shù)據(jù)和資本的結(jié)合,才能使數(shù)據(jù)的交易流通、要素化大規(guī)模發(fā)展。
也有相關(guān)從業(yè)者透露了自己的擔(dān)憂:從確權(quán)環(huán)節(jié)就開始產(chǎn)生的限制,會(huì)拖慢業(yè)務(wù)創(chuàng)新、企業(yè)發(fā)展的步伐。
" 或許這也是為什么近年來(lái)國(guó)外不再有新的互聯(lián)網(wǎng)巨頭出現(xiàn)。"
張旭東進(jìn)一步提到,在數(shù)據(jù)確權(quán)相關(guān)法律法規(guī)還不健全的情況下,是否能讓數(shù)據(jù)進(jìn)行先期的交易和流通,反過(guò)來(lái)為數(shù)據(jù)的確權(quán)真正提供有益的實(shí)踐和探索?
但數(shù)據(jù)交易的落地同樣進(jìn)展緩慢。數(shù)據(jù)作為生產(chǎn)要素的特殊性,使得局面陷入泥淖。
" 數(shù)據(jù)的復(fù)制成本極低,復(fù)制和傳播速度也極快;一旦被看見(jiàn),就可以被無(wú)限復(fù)制。
" 而在簡(jiǎn)單的經(jīng)典經(jīng)濟(jì)學(xué)理論上,供需要有兩根曲線相交,才能形成價(jià)格。明文數(shù)據(jù)的特點(diǎn),使得它的供應(yīng)和需求都是無(wú)限的,供應(yīng)和需求兩根線無(wú)法形成一個(gè)焦點(diǎn),很難通過(guò)市場(chǎng)供需進(jìn)行定價(jià),并形成大規(guī)模的市場(chǎng)交易流通。" 張旭東解釋。
這種情形之下,數(shù)據(jù)擁有方往往缺乏主動(dòng)發(fā)起交易的動(dòng)力,手握數(shù)據(jù)而態(tài)度保守。
盡管國(guó)內(nèi)目前已有三十多家數(shù)據(jù)交易中心或交易所,但就發(fā)展情況而言,這些交易所也很難不被質(zhì)疑只是 " 擺設(shè) "。
新的風(fēng)口已經(jīng)出現(xiàn)
《數(shù)據(jù)安全法》的出臺(tái),其實(shí)不只意味著數(shù)據(jù)領(lǐng)域的監(jiān)管趨嚴(yán),在 " 牢籠 " 的形態(tài)之外,法案也在加速了新風(fēng)口的誕生,更多前沿技術(shù)投入到數(shù)據(jù)領(lǐng)域的使用。
前述國(guó)有大行科技子公司人士強(qiáng)調(diào),最值得關(guān)注的市場(chǎng)機(jī)遇,一定是 MPC(多方安全計(jì)算)和聯(lián)邦學(xué)習(xí)。" 未來(lái)這會(huì)都是機(jī)構(gòu)的基礎(chǔ)設(shè)施,是數(shù)據(jù)流轉(zhuǎn)的標(biāo)配。" 他強(qiáng)調(diào)。
李玉亮也表示,隱私計(jì)算技術(shù)能夠?qū)崿F(xiàn) " 數(shù)據(jù)可用不可見(jiàn) ",典型的技術(shù)包括全同態(tài)加密、多方安全計(jì)算和聯(lián)邦學(xué)習(xí)等,能夠?qū)崿F(xiàn)數(shù)據(jù)在流通過(guò)程中的安全,可以大大促進(jìn)數(shù)據(jù)的流轉(zhuǎn)和交易。
" 不可見(jiàn)是為了數(shù)據(jù)真正的安全,保證數(shù)據(jù)不被篡改,不被竊取,承擔(dān)起信息的存儲(chǔ)職能;可用則是為了承擔(dān)起數(shù)據(jù)流轉(zhuǎn)的職能。" 該業(yè)內(nèi)人士分析稱。
隱私計(jì)算,包括聯(lián)邦學(xué)習(xí)、多方安全計(jì)算等技術(shù),在去年突然走紅,很大程度上就與當(dāng)時(shí)《數(shù)據(jù)安全法》草案以及其他隱私保護(hù)相關(guān)條例有關(guān)。在《數(shù)據(jù)安全法》通過(guò)之后,這些新技術(shù)相信會(huì)進(jìn)入飛速發(fā)展、跑馬圈地的階段,離規(guī)模化、商業(yè)化落地的目標(biāo)更近一步。
不過(guò)該業(yè)內(nèi)人士也指出,對(duì)于隱私計(jì)算,銀行科技部門還處于初步探索期,工程學(xué)上還需要驗(yàn)證,想要正式投產(chǎn)還需要至少一年時(shí)間。
而人工智能在數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全方向,仍然是不可缺席的 " 一員大將 "。
李玉亮向 AI 金融評(píng)論透露,在提高數(shù)據(jù)分類分級(jí)的效率和準(zhǔn)確性方面,人工智能和機(jī)器學(xué)習(xí)潛力巨大;深信服也在業(yè)界率先推出了基于人工和機(jī)器學(xué)習(xí)的智能數(shù)據(jù)分類分級(jí)平臺(tái)。
除此之外,區(qū)塊鏈和智能合約也是備受看好的技術(shù)方向之一。
該銀行業(yè)內(nèi)人士表示,信息在流轉(zhuǎn)過(guò)程中,要盡可能透明化,同時(shí)要保證對(duì)客戶本人、行為數(shù)據(jù)存儲(chǔ)機(jī)構(gòu)的支付,還有交易記錄流轉(zhuǎn)、數(shù)據(jù)信息利用的效用反饋數(shù)據(jù)等,智能合約會(huì)是兼顧這幾大問(wèn)題的有效手段。
盡管各項(xiàng)執(zhí)行細(xì)則和標(biāo)準(zhǔn)設(shè)置得不夠具體,但在不少業(yè)界人士看來(lái),作為數(shù)據(jù)安全領(lǐng)域的上位法,《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)安全的基本制度、保護(hù)義務(wù)和責(zé)任已經(jīng)有了比較清晰的規(guī)定。各部門隨后將出臺(tái)配套政策,使法律執(zhí)行更加清晰,降低執(zhí)行難度。
在期待更多配套法案出臺(tái)的同時(shí),前沿技術(shù)也正在金融、醫(yī)療等領(lǐng)域用于數(shù)據(jù)安全和隱私保護(hù)。雷鋒網(wǎng) AI 金融評(píng)論就曾多次詳細(xì)報(bào)道聯(lián)邦學(xué)習(xí)等隱私計(jì)算技術(shù),多位專家學(xué)者也曾與我們以公開課形式深入探討這一熱門技術(shù)的研究成果和落地情況,部分精華內(nèi)容一并整理在本文最后,以饗讀者。
