张于喆 王君 黄汉权
在云计算、大数据、深度学习算法、人脑芯片等新一代信息技术的催化下,人工智能正以前所未有的速度、广度和深度融入經济社会的各个方面,正在成为全球新一轮科技革命和产业变革的着力点。随着人工智能对生产力体系和社会生产关系的重构,经济社会正在迈入“人工智能时代”。对国家而言,人工智能时代是“数据驱动”的时代,一方面,大数据对打造新动能、提升政府治理能力作用日益突出,我们正处在创造着巨大经济价值和社会财富的“最好时代”,另一方面,新技术、新需求和多样化的应用场景又给数据安全防护带来全新挑战,也催生着各类社会问题和安全隐患不断的“最坏时代”。然而,在人工智能日新月异的时代变革中,大数据的风险管理总是滞后于技术的发展。因此,面对人工智能时代,既需要增强风险意识、提高风险管理能力,又不能刻舟求剑、因噎废食,必须适应十九大的新要求,创制出有利于“数据驱动”发展的社会规范体系,降低技术的负面性与风险的不确定性,不断增强我国经济创新力和竞争力,完善国家公共治理体系。
站在新的历史起点上,数据资源作为“生产资料+生产工具”的集合体,是人工智能时代经济社会发展的重要生产要素和国家基础战略性资产。然而在新的经济环境和历史条件下,数据治理方面还存在着数据量不够大、格式规范相对乱、数据质量相对差、数据流动性不足等问题,这些问题背后的原因又体现为数据权属体系不完善、数据资源分级分类机制缺失,由此制约了新时代网络强国战略的建设。同时,数据在网络空间的快速传播,使得大数据安全问题和数据跨境流动安全风险日益加剧。为此,人工智能时代,必须适应时代变迁,以数据安全为重要领域,把大数据风险管理当作一门科学,并形成一定的行为模式,确保有效识别、计量、监测和控制各类风险,特别是迫切需要规范数据权属和确保应用权限可管可控,进而有效地指导管理实践,以提高决策的安全性。因而,人工智能时代的大数据风险管理,需要从数据安全的组织管理、规程标准、技术手段等角度着手进行风险防范,采取组织控制、制度控制与技术控制的综合治理机制,形成数据安全防护三位一体的闭环管理链条。
信息和数据是进行国家公共治理的基础,在经济社会发展中的基础性、战略性、先导性地位也日益突出。鉴于信息和数据容量、复杂性和战略意义的提升,为加强党的领导、强化政府统领作用,有效解决数据治理中战略导向缺失、数据权属体系不完善、分级分类机制缺失等问题,实现数据安全防护总体目标,建议实施全面风险管理体制改革,提升政府的数据治理能力。打造“集中式”的风险管理组织架构,围绕大数据市场准入的风险屏障与防范、生产使用过程中的风险监控和管制以及风险预警和化解等关键环节,成立统一的大数据管理部门(或中央级的领导小组),负责组织领导、统筹协调全国大数据发展和具体的风险防范管控以及发生重大事故时的危机管理,落实数据安全实践工作。大数据管理部门主要是扮演数据采集、数据维护、数据分析和风险管理以及数据政策主导者的角色,将主要开展跨区域、跨部门、跨层级的大数据交换共享,以及数据关联、比对、清洗、安全防护等治理工作,需要具备包括数据的收集能力、数据的解读能力、专业的判断能力、专业的辅导能力等方面的专业能力,通过加强数据资源的建设、管理和开发,满足监管、隐私保护和安全等方面的要求,保证数据安全管理方针、策略、制度的统一制定和有效实施。
推进国家公共治理数字化基础设施的建设,构建一个可扩展性强、高度可靠的以互联网为基础的数字平台,负责管理基础数据资源的安全性,并成为新时代中国经济发展的新引擎。搭建“数据资源服务施政平台”,充分发挥平台组织协调和快速部署数据安全措施的作用,开展数据技术、政策、应用等基础架构方面的探索和实践,着力提升风险管理有效性。构建“安全即服务”的新模式,采用包括情报数据分析、响应措施等在内的动态化手段,推进数据资源的整合共享、统一管理、主动防护,力争将原本分散存储在不同部门、行业的数据信息孤岛连接成一个互联互通的新价值网络,形成传统以控制为核心的安全模式和新型的主动性数据安全模式相互支撑、协同发挥作用的数据风险防范体系。
数据的可流动性有助于加速资源的优化组合,有助于价值沉淀与管理创新,有助于重塑社会运行系统和规则,最终实现在流动中增值和能量释放,为建设网络强国、数字中国、智慧社会提供有力支撑。为确保数据风险管理工作的“有规可依”,建议构建与现代化经济体系和国家治理能力现代化相适应的风险管理制度环境,努力将保护数据信息资产的措施融入现代化经济体系建设、国家治理体系及人工智能时代的大环境,探索一条以控制功能和主动保护共同落实数据安全管理责任的发展模式和路径,推动构建以“数据驱动”的现代化经济体系和国家治理体系。
一是强化顶层设计,打造全方位的安全保障体系。在大数据市场准入的风险屏障与防范方面,积极落实《中华人民共和国网络安全法》,在国家法律法规层面进一步完善包括数据权属、数据管理、关键基础设施、稳定性保障、数据安全等在内的相关专门性法律,推动技术创新和经济社会发展。
在生产使用过程中的风险监控和管制方面,聚焦大数据领域的技术研究与应用,推进大数据采集、管理、共享、交易等标准规范的制定实施,研究制定一批基础共性、重点应用和关键技术标准。不断完善行业监管、加强行业自律,加强行业政策、标准、法规等方面的研究,保障信息安全和个人隐私,促进数据资源有序流动与规范利用,为人工智能时代的跨越发展提供有力支撑。建立健全内部制度体系和工作体制机制,明确对大数据安全和数据跨境流动的管理规范,将风险管理措施嵌入大数据应用的全流程管理,实现以规范化的流程指导数据安全管理工作具体落实的目标。
在风险预警和化解方面,大数据风险管理作为人工智能时代的重要内容和管理行为,在确保大数据法律性开放的基础上,必须要加强风险管理流程、授权管理制度、风险限额管理、风险评价考核、风险奖惩处罚、风险责任约束、风险决策报告等方面的建设,构建全面数据风险管理的体系架构。
同时,我们必须牢记的是,人工智能时代的大数据风险管理机制并非设计好之后就一成不變,而是需要随着外部环境变化、技术变化而不断优化和重构。
二是明确相关部门和人员责任,构建风险管理体制机制。在大数据市场准入的风险屏障与防范方面,明确数据系统权限和数据管理相关责任部门,制定数据系统权限及数据管理办法,规范政府部门数据系统权限申请及数据管理流程,形成数据安全实践工作的制度保障。建立完善数据服务、网络安全防护和信息安全等级保护等相关制度。
在生产使用过程中的风险监控和管制方面,有必要针对大数据安全可能引发的负面影响,编制数据管理制度和规程文件,避免实际业务流程的“无规可依”。根据不同场景设计、配置、设定标准操作规程以及高级安全访问权限,细化办事规程、责任划分和行动准则,确保规程要求的清晰易懂,降低数据驱动发展的制度性成本。明确相关部门数据安全责任人的权限、例外情况和奖惩措施,数据安全负责人具体负责数据访问权限审批、异常行为告警处置、覆盖数据功能的禁用和禁止等数据安全日常运营工作,要能做到对“操作者”“操作时间”“新值”“旧值”“修改原因”的全面追溯追踪,以降低数据被“干预”“操纵”的风险。要针对关键数据信息基础设施的安全保障,制定信息系统、基础设施、云平台和网络通信等领域数据安全规范,建立数据灾备、安全管理和应急处理制度。
在风险预警和化解方面,政府部门必须适应风险管理从静态数据向动态数据的转化、从人为判断向模型分析的转化、从零散管理向体系管理的转化,加强数据安全事件监测和事态发展信息搜集工作,积极开展应急处置、风险评估和安全控制的能力建设,提升基于持续检测、态势感知和及时响应处置的数据安全能力,释放数据活力。
三是加快建立数据信息资源目录体系,满足技术性开放的数据安全要求。立足我国政府数据开放的实际情况和发展阶段,根据数据应用的差异化需求和不同场景,在大数据市场准入的风险屏障方面,明确数据信息资源目录的管理者、提供者和使用者的不同角色和职责,按照管理范围和职责权限,落实数据资源的编目、注册、发布和维护。
在生产使用过程中的风险监控和管制方面,加快建立统一的数据标准体系并制定数据安全策略,通过数据链的标准化和主动性数据安全模式,确保数据的清晰可溯,确保相关机构和个人最大程度自由安全获取和利用数据。积极开展基于数据链的数据导入接口规范、元数据管理、主数据管理、数据质量评价、敏感数据使用规则等技术和数据交换标准以及操作规程规范的编制,规定各方承担的职责、履行的义务,保证数据信息资源的可管可控。梳理、规划数据资源公开与共享的内容和目录,通过目录服务规范实现物理接口、数据格式和数据互操作过程中的一致性、兼容性和扩展性,助推跨类别数据交易商业模式的创新发展。
大数据作为一门以数据及数据处理技术为研究对象的科学,有效的技术保障是保障大数据安全可靠、提升数据治理能力的关键。为健全数据价值流通体系、提升数据开发利用的社会价值和科技价值,相关部门需要以技术创新为牵引,加强数据安全防范技术研究,打造“智能化、规范化”的风险管控核心技术,为数据安全工作提供技术支撑。
一是加强政策引导,不断提升技术能力。借助技术构建全面风险管理体系架构,促进“数据驱动”经济社会健康发展,是人工智能时代大数据风险管理的必要内容。推动大数据领域产学研的协同创新合作,加强大数据风险管理核心技术的联合攻关,增强防范和处置数据安全事件的技术支撑能力。重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向,包括但不限于身份认证、访问控制、安全审计、异常行为监测预警、数据加密、数据脱敏、数据防泄漏等数据安全技术,以核心技术的突破和发展,有效降低大数据的安全风险。
二是建立数据安全防范数据库,加强数据共享。鼓励以大数据产业联盟、相关行业协会等组织为依托,在大数据生产使用过程中的风险监控和管制以及风险预警和化解方面,建立一个共享的数据安全防范数据库,促进数据安全防范信息和修复举措的收集和共享,低成本、高质量、高频度地生产、使用数据安全防范相关知识。在数据产生/采集、传输、存储、使用、共享、销毁等数据生命周期的关键环节,梳理总结数据安全防护所需具备的技术手段和工具,并将技术清单及时共享,确保各方在发现安全漏洞或潜在威胁时具备迅速找到类似技术的能力,以正确应对并降低潜在危害。充分利用先进的自动化工具、信息采集和智能分析等现代化技术手段,探索建设机器学习型智能模型风险管理平台,识别数据管理中的薄弱环节并自动发出提示,提高风险监测、反馈、防护和应对的效率。
(作者单位:中国宏观经济研究院产业所)