提升我国网络数据安全能级护航数字化健康发展

王益静，冯家浩，陈艾华

（1.浙江大学金华研究院；2.浙江数字化发展与治理研究中心；3.浙江大学中国科教战略研究院；4.浙江理工大学法政学院）

当前，数据已经成为国家发展中质量变革、效率变革、动力变革的新型生产要素，是重要的战略资源。数据安全对数据要素有序流通、护航数字经济发展、维护国家安全等意义重大。伴随以“三法一条例”为基础的数据安全法律法规、政策、标准的出台，我国已形成数据安全防护和数据开发利用并重的数据安全监管思路。2022年底，中央全面深化改革委员会审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》明确提出，要把安全贯穿数据治理全过程，守住安全底线。然而，即使在数据安全法制化的强监管背景下，数据安全事件仍然频发，尤其是数字化场景下的新型安全威胁日益严峻。在数字产业化以及产业数字化的总体趋势下，亟待把脉我国数据安全的主要问题，并针对性予以政策性规避与解决。

一、全球网络数据安全领域发展趋势

当前，全球数字依赖性不断加深，网络威胁格局不断演变，数字化趋势势不可挡，挑战与风险并存。《全球数字经济白皮书（2023年）》显示，美、中、德、日、韩等5个世界主要国家2022年数字经济占GDP比重高达58%，数据安全已成为事关国家安全和经济社会发展的重大议题。网络数据体系复杂度不断上升，数据产出、流通和处理能力不断加强，对传统生产要素产生了强烈冲击。在该趋势下，也暴露了更多潜在的、可能的易受攻击的位面，网络数据安全受攻击造成的影响范围和破坏程度也随之增长。

从各国政策来看，近年美、欧、日、韩等国家和组织纷纷推动加强网络数据安全建设和发展的顶层规划设计。例如，2023年3月，美国白宫发布《国家网络安全战略》，详细介绍了美国政府如何保护数字生态系统并确保底层数字基础设施安全和可靠的方法，旨在构建一个弹性与防御性并存的数字生态系统；欧盟成员国修订的《电子隐私条例》草案，涉及与执法和国家安全为目的相关电子通信数据的处理和保留问题，旨在通过强调匿名化和支持数字信息加密等方式确保个人隐私保护，以提升对数字服务的信任和其本身的安全性；日本内阁网络安全中心（NISC）发布《网络安全战略》，制定了涵盖全体国民等所有主体的“不落一人的网络安全”战略，旨在同时推动数字化改革和网络安全法规修订。

从技术发展来看，人工智能、区块链、大数据、物联网、先进芯片、卫星通信等前沿技术不断涌现，并竞相应用到网络数据安全领域。例如，以ChatGPT为代表的新一代人工智能引擎已可以轻而易举地对图文影音进行深度伪造；以星链为代表的新一代卫星通信技术通过强大的宽带服务和无人机攻击目标指引，可以对现代战争造成重大影响；智能网联汽车、新能源技术、智慧城市等新兴应用场景对区块链、大数据、物联网安全芯片等前沿技术的需求进一步扩大。

从市场与产业部署来看，全球网络安全市场规模稳步增长，据《财富》杂志统计和预测，全球网络数据安全相关产业在2022年营收达到1 560亿美元，预计在2029年达到接近4 000亿美元的规模。美国微软、IBM、谷歌、亚马逊等IT巨头的网络安全已形成规模化业务。2021年微软公司网络安全营收超过150亿美元，同比增长近45%。全球著名信息技术研究分析公司高德纳（Gartner）预测，到2025年将有超过半数的企业机构把网络安全风险作为进行第三方交易和商业往来的一项主要决定因素。

二、我国网络数据安全领域薄弱与不足

（一）传统安全措施已无法适配海量、多源、异构、动态的数据安全需求

一是我国当前面临着网络信息环境演变导致权限泛滥的问题，数据风险管理范围亟待扩大。当前，数据系统面临日益多样化的终端设备接入，网络安全边界范围由数据中心向云边端等各级延伸，边界弱化、应用场景演变导致数据资源暴露面增加。进而导致近年频发社交软件、电子银行、各类应用软件个人信息大量泄露事件。同时，访问需求的复杂性扩大了内部资源的暴露面，数据资源面临更频繁的访问，进而引发数据权限管理不清、使用情况不明等问题，造成业务和数据资源违规访问，酿成数据安全事件。

二是数据高度集中带来巨大泄露和供给侧滥用风险。工业和信息化部数据表明，我国2022年移动互联网接入流量已达2 618亿GB，同比增长18.1%，且大量数据集中在电信金融、公共事务、互联网零售等领域。另据中国信息通信研究院公布的数据，截至2021年底，我国大型以上数据中心机架规模占比达到80%，超大型数据中心不断涌现。同时，传统企业数据和业务“上云”进程加快，数据仓、数据迭代演进并广泛应用；过去几年，我国工业制造、汽车、轨道交通、医疗等云市场呈现爆发式增长态势。因此，海量数据加速集群融合、共享与应用，来自内外部的数据安全威胁呈指数级增长，数据“一失万无”风险急剧增加。

三是与世界各发达国家类似，我国的平台应用接口日益多样化、复杂化带来敞口环节风险。API作为最重要的数据传输方式之一，其应用接口防护缺失成为数据安全最大风险敞口。美国通信网络公司康普（CommScope）发布的报告《企业API安全调查》（Enterprise API Security Survey）显示，内部API的使用程度最高达到71%，这意味着其访问控制可能较为宽松、更易被操纵控制。同时，随着业务场景逐渐多元化，API的协议和格式也逐渐变化，然而当前大部分企业及各类机构对API数据的管理还未足够重视，API安全思维和安全架构仍待构建。

（二）数据安全体系不成熟，监管力度亟待加强

现阶段，我国的数据安防技术在网络数据安全发展各环节中捉襟见肘，数据类别级别与业务场景相匹配的数据防护手段仍然落后。传统的静态标定敏感度模式无法在数据共享和流通环节中准确评估融合数据集敏感性的动态变化，导致数据分类分级的持续性难以保持。此外，我国数据安全产品提供的技术防护手段如数据分类分级、认证及访问控制、加密、审计、脱敏等还比较单一，“头痛医头，脚痛医脚”现象严重，暂时没有围绕数据全生命周期的整体防护结构。

同时，对数据流通中新技术的数据可用性、可信性风险把控还存在缺失。我国数据量正迈向全球第一，拥有巨大的数据潜力，而当前以深度学习为代表的新一代人工智能技术正需要大量数据样本训练算法模型，一旦出现“数据污染”则会导致训练成本增加甚至白费，若有蓄意“数据投毒”也会导致模型出现致命错误，引发决策严重偏差。此外，隐私计算在解决市场主体数据合规难题和实现数据融合“可用不可见”的同时，也面临算法协议安全等新挑战。

另外，网络安全的可持续发展体系尚不健全，在普遍的数据流通领域中，对流通链路、数据流向和使用的追踪仍然低效。由于数据快速流转，追踪监督需进一步关注流转过程中安全属性面临的安全域、数据载体、数据主体等多种快速变化，而传统数据访问控制技术一旦面临数据集交付或接口调用结束，仅凭协议难以进行有效约束和监督。进而导致监管主体难以清晰地梳理数据与访问主体、传输链路、承载环境、安全策略等之间的系统关系，在数据安全建设时也不能根本性解决风险问题。

（三）数据安全管理能级不足，政策环境亟待优化

一方面，我国数据资产梳理和分类分级标准尚未统一。目前国家和行业配套的标准体系仍在制定过程中，细则尚未成形，不足以支撑数据分类分级工作在全行业落地。对中大型企业而言，承载企业数据的底层平台种类繁多，内容自动识别难度和成本较高，使数据基础制度深入改革阻力重重。中国信息通信研究院《数据要素流通视角下数据安全保障研究报告》显示，部分企业担心自己尚未发布的数据分类分级标准不符合后期发布的行业标准，也潜在抑制了其对数据分类分级工作的积极性。

另一方面，数据流通参与主体的安全责任划分仍待明确。由于数据所有权与控制权分离，一旦脱离供需双方控制范围被第三方获取，则可能会引发违规使用或数据泄露问题。由于《数据安全法》《个人信息保护法》施行不久，关于数据收集、使用、管理流程等方面的具体落地细则还不完善，如数据和网络安全防护体系的有机融合不够，各主体的数据安全评估不对等、多主体间数据流转风险分配规则尚未形成等。同时，由于我国数据环境更加复杂多变，且较之欧盟、美国等国家的数据所有权及使用权界定不同，使我国难以完全借鉴相关国际经验。

此外，国内外数据共享与流通协同仍困难重重。目前国内各地区、省、市、部门对数据分类分级制度的定位和规则存在差异，数据要素在地区间流通的制度成本仍较高。数据跨境流动法律体系还未完善，已有的条例实施难度大，公众对数据跨境流动法律规定的认知仍有不足，涉及国际贸易的产业数据流通仍存在壁垒及安全性挑战。同时，美国等国家意图把我国排除在国际数据安全治理体系之外，极大限制了我国数据流通与交易相关的各类经济活动，未来很可能会助推有损我国数据安全的敌对行为，数据的国际主权问题需要持续重点关注。

三、提升我国网络数据安全能级的对策建议

（一）聚焦关键环节，夯实数据安全治理基础

一是在数据分类分级环节，针对性健全数据管理制度并提供技术指导。首先，加快健全关键环节数据分类分级管理制度，明确数据共享、交易和分析处理等环节的流通条件、流程规范及安全管理措施。其次，分层次提升数据安全重点技术产品供给，引导企业开展非结构化数据和重要数据自动识别、分析、打标等重点技术攻关。最后，逐步提升数据分类分级准确性，建立覆盖运营全过程的数据分类分级管理制度，保障管理的及时性和精准度。

二是在市场流通环节，建立健全包容有韧性的数据流通安全环境。首先，细化数据流通安全基线要求，推动数据要素安全监管模式创新；探索数据要素监管“沙盒模式”，并给予适当容错空间。其次，统筹设计提升数据流通标准化服务，加强数据流通安全自律，形成重要数据目录和数据流通“负面清单”，引导企业依法依规进行数据采集、流向管控和数据保护等活动。最后，逐步建立完善数据交易平台准入评估机制，统筹构建跨层级、跨机构、跨行业的一体化数据安全流通平台。

（二）强化技术手段，突出创新技术的破局作用

一是谋划网络数据安全前沿方向布局，加快面向应用场景的核心技术突破。首先，从底层出发支撑技术攻关，重点突破国产芯片软硬件融合安全架构与技术、高性能隐私计算技术、自主可控系统形式化验证理论与分析技术。其次，结合应用场景推动前沿技术研究，通过人工智能多样化的攻击手段训练并突破人工智能系统安全防御与验证评测技术；利用全维度图音视数据深度伪造与检测技术，以“AI反制AI”对网络上伪造的合成内容进行精准鉴别与打击；开发跨模态身份智能感知与认证技术应用于元宇宙、Web3.0、智慧城市、智能家居等领域，并在数字孪生、虚实共生等新型应用模式中建立信任生态；在多种语言生态软件供应链全景分析背景下，突破软件供应链安全分析与防护技术，提升我国关键信息基础设施安全水平。最后，进一步拓展权限界定、价值挖掘和创新应用等核心技术，形成更加丰富的解决方案，平衡数据开发利用与安全防护。

二是加大对核心技术与产业的支持力度，激发创新生态动能。首先，积极构建安全合规的数据要素生态，不断优化创新模式，针对性积极培育创新主体，尤其是具有“高精度”优势和特色的领军企业。其次，支持企业运用新技术提升数据流通管理能力，建设安全可控的数据要素流通环境。最后，鼓励企业在区块链、隐私计算、数据沙箱等核心技术领域深耕，积极建设数据流通安全一体化管理平台，并加快推广优秀的解决方案和试点示范。

（三）完善网络数据生态政策体系，保障行业可持续发展

一是构建产学研用一体化生态，完善网络数据安全人才发展体系。首先，加强各数据服务相关机构合作方案的渗透，推动产学研一体化闭环的数据安全服务链升级，并针对企业实际应用需求，鼓励打造具有针对性的协作框架。其次，协同各类科研院所与企业共设具有国际领先水平的创新平台，促进网络空间安全领域的产学研国际战略合作，持续提升我国数据安全国际话语权。最后，鼓励科研院所、权威培训机构与行业联合开展数据安全人才培养计划。在顶层设计、政策供给和机制建设基础上，建立有层次、标准统一的人才发展体系，开展全民数据安全意识教育和培训，进行国家层面的资质认定；重点储备网络空间安全与法学的复合型人才资源，筹备具有战略科学家思维和技术能力的高精尖人才队伍，保障数据安全治理体系长远、有效运行。

二是鼓励数据安全相关产业联盟关注行业内安全问题，完善网络数据安全法律体系。首先，支持产业联盟牵头发布行业相关标准，保证行业内对数据安全相关问题解读的一致性，建立“标准/定制”、“现场/远程”的立体化数据安全服务体系。其次，联动产业外相关机构和部门，共同对数据安全相关前沿信息开展一定范围的深入宣贯和研讨，做好应对预案和谋划。最后，完善与关键信息基础设施相关的法律制度体系，并建立专门保护制度（重点针对通信网络、云计算服务、大数据平台等），坚持综合协调、分工负责、依法保护的原则，明确各方责任并确定运营者的主体责任。