杨海,陈亮
(国家计算机网络应急技术处理协调中心贵州分中心,贵州贵阳 550001)
随着互联网的广泛普及,信息技术快速发展应用,已经改变了人民群众的生产、生活方式,信息技术的快速发展加速了数字经济的发展,特别是在目前全球经济衰退、新冠肺炎疫情的持续影响下,数字经济的发展为我国经济增长提供了有力的驱动力,日益融入经济社会发展各领域的全过程。作为国家安全中的非传统领域,数字化的快速增长,也带来数据安全的挑战,随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的出台实施,在维护数据安全方面提供了具体的实践路径。
随着信息技术的快速发展应用,我国数字建设取得了显著成效。根据《“十四五”国家信息化规划》公布,我国的信息基础设施规模全球领先,截至2020年,我国固定宽带家庭普及率达96%,移动宽带用户普及率达108%,全国行政村、贫困村通光纤和通4G比例均超过98%等,表明我国数字经济实现了跨越式发展。2020年,我国数字经济总量跃居世界第二,数字经济核心产业增加值占GDP比重达到7.8%,电子商务交易额达到37.21万亿元。另一方面,信息惠民便民水平大幅提升。“互联网+政务服务”应用广度和深度快速拓展,国家政务服务平台基本建成并开通服务,全国政府网站集约化水平显著提升。全国电子社保卡签发达3.6亿张,远程医疗协作网覆盖全国所有地市2.4万余家医疗机构和所有国家级贫困县县级医院,全国中小学(含教学点)互联网接入率达100%[1]。信息技术的应用发展深刻影响社会经济发展和人民的生产、生活方式,起到了至关重要的作用。
信息技术离不开数据采集、流转、应用、迭代等方面,数字经济的发展与作为数据本身密不可分。当前,数据安全已成为事关国家安全与经济社会发展的重大问题。2021年7月,国家网信办发布通报对“滴滴出行”进行网络安全审查,其在收集使用个人信息方面存在严重违法违规问题,对其进行下架和停止新用户注册。同月,“运满满”“货车帮”“BOSS直聘”被实施网络安全审查,期间停止新用户注册[2-3]。2022年2月施行《网络安全审查办法》,明确掌握超过100万用户个人信息的运营者,赴国外上市必须进行网络安全审查。这些事件的发生和产生的影响,也反映了在数字经济快速发展带来时代红利的同时,也伴随着一些安全问题,包括数据信息泄露、滥用数据等情况。
常见的网络安全风险隐患主要包括数据泄露、数据贩卖、数据垄断、算法推荐乱象等类型,具体情况如图1。
图1 常见网络数据安全风险
漏洞隐患是导致数据泄露的主要方式,漏洞隐患不仅存在于硬件,也存在于软件和安全管理中。漏洞更新方面,没有及时更新漏洞补丁是常见的现象,不仅需要及时更新操作系统的补丁,还需要注意如浏览器、办公软件等应用软件,各类运行环境、中间件等。在实际环境使用中,常出现部分系统平台因开发原因,一旦随意更新便会导致系统平台不可用,导致不敢更新、不能更新、无法更新等情况。管理意识不强方面,弱口令依然是多年来最为常见的安全隐患之一,这表明相关人员网络安全意识不到位,安全排查工作不全面。
数据贩卖通常伴随着数据泄露,一般有通过“内鬼”盗取、木马病毒窃取、利用漏洞获取等各类违法行为方式。再通过点对点通讯软件、网络加密传输、网站叫卖等各类方式进行售卖,达到非法获利的目的。在暗网中文交易平台就单独开设相关专栏,据统计仅2021年相关售卖事件达2000余起,平均每天约7起数据售卖事件,累计单条事件涉及总额近300万美元,显示完成交易涉及的金额为160余万美元,严重威胁社会秩序和公民的合法利益。2022年1月,公安部公布《公安部公布打击侵犯公民个人信息犯罪十大典型案例》,就有不少数据售卖的典型违法犯罪案例。
随着网络数据安全内涵的延伸和扩大,对数据合法合规地收集使用也成为数据安全的重要组成部分。当前,由于各互联网平台的业务大都由数据驱动,商业推广、精准营销、产品迭代等业务都离不开个人数据收集这个核心。各个平台利用数据在追求利益最大化的同时,也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。基于数据垄断优势进行“二选一”“大数据杀熟”等侵犯消费者权益的行为也层出不穷。
在大数据和人工智能领域,算法推荐技术得到广泛应用,提供了对用户多元化、特性化的精准服务,减少了信息传播的成本。算法推荐技术的滥用,也可能造成用户沉迷风险、信息接收局限,造成一定程度信息壁垒和封闭,与此同时,算法应用中存在的违法和不良信息传播、侵害用户权益、操纵社会舆论等乱象问题也屡次出现,也是另一种形式的数据安全风险。2021年12月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局就联合印发《互联网信息服务算法推荐管理规定》规范互联网信息服务算法推荐活动。
数字经济发展的过程中,网络安全人才的配备和网络安全防护工作的短板也逐渐凸显。
“人防”方面,存在对数据安全工作重视程度不够,认为数据安全是相关主管监管部门的事、专业部门的事,同自己部门无关,对数据安全工作责任制落实不到位、不彻底,数据安全制度建立不完善,责任不明确。部分单位在相关网络安全方面未配备专职人员,甚至没有配置管理人员的情况时常出现,即使有相关的安全管理工作人员,也存在安全意识不强的问题。在遇到安全事件发生时,甚至出现用断网关机这样的手段来解决问题,这恰恰会助力某些网络病毒的传播,造成更大的影响和危害。同时,由于贩卖数据的地下黑色产业链的形成,非法获取数据进行贩卖,获得巨额利益的诱惑,也致使相关人员铤而走险。
“物防”方面,不管是计算机软硬件,还是网络系统或应用程序,都是由人为编程而来,难免会存在网络安全漏洞隐患,漏洞隐患会导致数据安全泄露等事件的发生。有的部门依然存在未定期排查系统风险隐患、未及时更新补丁、未按照要求及时开展国产化替代工作、采购的云计算服务未通过安全评估等情况。有的部门未按要求配置专业的网络数据安全防护产品,导致重要信息系统能被轻易攻破,存在严重的网络安全隐患。特别是在数据的产生和应用过程中,涉及面广、参与环节多,存在安全隐患的风险点多,没有完整的、关联的安全防护体系,有可能由点及面,导致系统性的风险,进而导致数据安全威胁。
“技防”方面,有的部门在信息化项目建设时,未保证安全技术措施“同步规划、同步建设、同步使用”,甚至在网络安全方面零投入。有的部门在重要信息系统维护方面主要依靠第三方服务机构,丧失对系统防护的技术主动性。有的部门由于技术力量有限,在处置安全事件时,只能处置被通报的事件,而不能发现存在的其他网络安全风险隐患,导致连续发生网络安全事件。特别在保护重要数据、重要资产环节时,过于依赖第三方,导致风险隐患不自知,“就事论事”处置事件,在独立、自主的专业能力方面存在不足。
最早施行的《网络安全法》,到2021年施行的《数据安全法》《个人信息保护法》,从数据的产生直到数据的运用各个环节,以及数据安全管理和责任义务均有明确的要求,对各类角色不履行数据安全保护义务情形,明确了违法违规的具体规定,根据不同程度和违反不同条款,进行治安处罚或刑事追究[4]。
《数据安全法》中网络数据安全保护,明确由国家网信部门负责统筹协调监督管理[5]。网络数据安全保护框架与《网络安全法》中所明确的保护框架一致,在电信、公安等各个主管监管部门对各自职权范围内开展监督管理的基础上,由网信部门统筹协调并进行有关的监督管理[6]。数据安全和网络安全的主要监督管理部门的工作,各自侧重,也有各相互支撑,组成了一个完整的体系,网络数据安全保护主要部门牵头管理分工如表1。
表1 网信、公安、工信主要牵头管理内容
网络安全法、数据安全法、个人信息保护法三大法律,从颁布、论证、起草、出台,速度均很快,其重要性、紧迫性不言而喻,与互联网的快速发展,信息技术的深层运用,网络空间领域的安全风险紧密结合,三部法律对于维护网络空间的国家安全、社会秩序、公民合法权益有着重要的推动作用。三部法律的侧重有所不同,但也相互关联、互相支撑,形成一个整体的监管框架。
虽然国家和地方出台相关数据安全保护的法律法规、部门规章制度,但具体在执行层面、明确细致的规范标准方面,还需要有进一步的工作。如《数据安全法》中规定了数据交易的相关内容,但在实际工作中,有关数据权属、数据定价机制等问题仍未完全明确[9]。又如《数据安全法》中强调了要建立数据分类分级的有关内容,但在针对性地开展此项工作中,会面临涉及各行业各领域,数据的类型不同、影响不同、来源不同、格式不同等,在如何界定数据的类型和重要性,如何进行统一标准掌握,还需进一步加快研究落地[10]。同时,数据安全技术尚需继续进步,部分场景面对挑战[11]。如加密技术的快速发展,一方面保护了数据传输过程的安全问题,另一方面也对数据非法传输提供了保护能力。又如各类数据的大量收集和汇聚,也加大了数据资产梳理难度,影响系统性能,扩大了安全风险来源渠道等,传统技术还需进一步优化、升级,才能满足当下日益增长爆发的数据存储、更新、应用、监管、安全保护等场景。