5月18日,第六届中国数据安全治理高峰论坛在京正式举办。此次峰会以“数安新征程 共探治理路”为主题,与会专家学者聚焦数据安全治理新形势下的前瞻话题,展开精彩的分享与讨论,共研数据安全治理新模式、新方法。
中国计算机学会计算机安全专业委员会荣誉主任严明指出,推动全球数据安全治理体系变革,构建新的数据安全国际规则和秩序已成为大势所趋,我国数据安全顶层设计日臻健全,数据安全产业生态环境持续优化,数据安全治理正在不断走实向深。
中国计算机学会计算机安全专业委员会副主任、中国科学院大学密码学院院长荆继武在致辞中表示,我国推进数据安全治理落地面临诸多挑战,必须加快探索构建由政府部门、企业、社会组织、网民等主体共同参与的数据安全协同治理体系,同心协力维护数据安全,夯实数字经济持续健康发展的底座。
(资料图片仅供参考)
01
寻求安全解法 加快构建新发展格局
中国科学院院士冯登国在“网络空间可信身份战略思考”的主题报告中谈到,数字身份是数据安全治理的关键抓手,是网络空间信任体系的核心支撑。全面构建个人、组织、设备、软件、应用/服务、AI实体、数据等数字身份服务是时代发展的迫切需求。实现数字身份服务的自主可控和韧性,才能在遭遇攻击和故障时保障网络信任体系的正常运转。
国家信息技术安全研究中心主任俞克群就新形势下“如何加强数据安全能力”提出了若干建议。数据处理者要充分认识数据安全治理的重要性和特殊性,从数据安全视角重新审视网络安全体系、重视数据安全管理,加强数据资产梳理和可视化,坚持数据安全风险管理思维,强化风险评估。以合规为基础、以能力为手段、以评估为支撑,切实做好数据安全工作,共同维护和促进数据安全有序流动。
中国科学院信息工程研究所副所长王伟平在“人工智能时代,数据安全的挑战与机遇”主题报告中指出,以ChatGPT为代表的生成式人工智能技术掀起了新一轮的技术浪潮。尽管AIGC可能会带来人类生存、国家安全、个人信息保障等多方面威胁,但其多模态数据分析以及逻辑推理能力,在数据安全领域有着良好的应用前景。我们呼吁,各行各业要加强对个人AIGC安全风险意识宣贯,促进AIGC技术和安全防护技术的创新,加快AIGC安全相关法律法规与标准规范制定,为AIGC治理体系的构建提供理论支撑。
国家工业信息安全发展研究中心保障技术所所长李俊对2023年1月1日起实施的“《工业和信息化领域数据安全管理办法(试行)》”进行深度解读,并介绍了工业和信息化领域行业监管已经开展的工作,包括建立工业和信息化领域数据安全工作机制、构建行业数据安全管理政策制度体系、健全完善行业数据安全标准规范,分业开展数据安全监管实践,建设数据安全保障技术能力等。
安华金和创始人兼CEO刘晓韬对本届峰会发布的重要成果——《数据安全治理白皮书5.0》进行介绍。他表示,白皮书对“数据安全治理理念,数据安全治理框架,数据安全技术产品,数据安全治理实践”均做出深度分析。数据安全治理不仅仅是安全保护问题,是数据+安全+治理三个维度的综合性概念,首先要依托国家数据安全法律法规制定数据安全战略,同时要有一体化的治理理念,形成管理体系、技术体系、运营体系三位一体的数据安全综合体系,最终通过监督评价体系持续完善数据安全建设。
02
保障数字经济稳健前行 促进产业高质量发展
工业和信息化部网络安全产业发展中心副主任李新社指出,今年一月份,工业和信息化部、中央网信办等十六部门印发了《关于促进数据安全产业发展的指导意见》,提出提升产业创新能力、壮大数据安全服务等7项任务,该指导意见对夯实我国数字经济发展基础、促进数据安全产业高质量发展具有非常重要的意义。
推动数据安全产业发展,认证、评估是重要的抓手。2022年,国家网信办会同市场监管总局推出了数据安全管理认证及个人信息保护认证;近日,全国信安标委秘书处组织对《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》面向社会公开征求意见,受到业界的广泛关注。国家信息技术安全研究中心主任俞克群表示,认证、评估和审计,属于质量体系、质量保证的组成部分,并不是数据安全独有的。在数据安全领域,认证是对运营单位在数据处理活动中的标准、规范的遵从情况进行评价;审计是对组织能力的评价,它更强调在法律要求框架下,是否构建了一个规范的体系,以及是否按照规范的体系、制度在运行。相对来说评估更偏重于技术层面,在执行数据处理活动中,技术体系和技术系统是否存在风险,这个风险可能带来的损失情况。数据处理者可以结合实际需要选择应用。实施层面,认证和审计均由第三方有资质的机构实施。对于风险评估而言,数据处理者自身是风险评估的责任主体,可以自行实施,也可以请专业机构实施。
数据安全产业是我国数字经济的重要基础,目前数据安全产业发展尚处于起步推进阶段,如何加快推进数据安全产业发展是需要研究的重要课题。中国科学院信息工程研究所副所长王伟平表示,首先,国家和行业管理部门要加强合规牵引,引导各行业各领域加大数据安全投入力度,为产业发展创造一个良好的市场环境。第二,要大力发展数据安全技术,特别是加强基础理论研究,以及与AI等新技术的结合。第三,产学研机构应加强合作,加大数据安全人才的培养和供给。科技+人才是整个产业良性发展的必要条件。华北电力大学能源电力大数据研究院院长李建彬表示,促进数据安全产业发展须在原有的产业规模基础之上寻求新的更广阔的发展空间。在数据要素化战略驱动下,未来在数据安全领域,数据要素保护将成为新的发展空间。围绕数据的交易、共享、流通而引发的数据安全的产品形态,服务形态,运营形态,都在前所未有的快速发展;其次随着数据安全政策的逐步完善,如何帮助数据处理者在达到合规要求的前提下降低成本,这也是数据安全产业发展的新空间;第三,数据安全保险是推动整个数据安全产业发展的重要抓手。
数据安全产业发展中数据安全治理是重要环节,针对如何解决目前行业落地数据安全治理的困境,安华金和创始人兼CEO刘晓韬认为,数据安全治理强调多元共治。从行业管理部门的维度,建议抓紧研究出台数据分类分级的具体标准规范;其次,结合数据生命周期和场景应用需求,制定相应的数据安全建设指导意见;第三,研究编制行业数据安全评估检查指标体系,这将对行业的数据安全工作起到扎实的推进作用。从国家数据安全管理部门的维度,希望加大监管力度,加快推进评估、认证、审计等制度的宣贯及实施推进,避免形式化,并且进一步加强执法的力度,促使全社会各行业各领域提高数据安全风险意识,重视数据安全工作;从产业供给侧,数据安全企业要修炼内功,坚持专业化发展,将技术能力、产品能力、服务能力融入到用户的业务和数据管理过程中;同时,一些新型技术需要企业与科研院校深度合作对接,加强科研创新成果转化,这都将有力促进整个产业的发展进步。
03
探索最佳实践 完善治理路径
国家计算机网络应急技术处理协调中心高级工程师林星辰在“数据安全风险评估实践初探”主题报告中表示,开展数据安全评估及数据安全保护,归根结底是为了促进数据要素有效流动、促进数据的开发和利用。开展数据安全评估首先要识别数据与数据处理活动,其次要发现数据安全的风险问题,最后分析数据安全的风险并进行判断,在此过程中也会用到风险分析工具、数据资产探测工具、数据分类分级工具、数据接口探测工具、个人信息去标识化效果检测工具等。中国软件评测中心政务数据安全合规联合实验室副主任白惠文博士对公共数据分类分级管理给出了实践案例参考。可以分为七个步骤,即资产梳理、数据分类、数据分级、标识审核、分级管控、成效评价,最后进行动态更新反馈到分类分级,再进行重新的循环管理,从而形成闭环。其中分类可以用融合叠加或标签映射的方法,分级采取矩阵映射方式,分级管控要同时考虑管理和技术两方面,通过更加可靠的手段保障公共数据安全。
关于如何保障数据流通安全,中国信息安全测评中心高松博士谈到,解决数据泄漏问题的主要思路是管理+技术+运营,技术包括分类分级、数据风险评估、数据安全监测等。数据流通安全保障技术还在不断发展,需要加强核心技术攻关,包括优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术,加强隐私计算、数据流分析等关键技术攻关。研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术。此外,还需进一步发展构建数据安全产品体系,推出一些具有行业领域特色需求的精细化、专业型数据安全产品;布局新兴领域融合创新,加快数据安全技术与人工智能、车联网,包括ChatGPT等进行融合创新,不断赋能数据安全技术。
当下,各行业各领域数据安全治理依然面临巨大挑战,数据安全治理工作任重道远。北京市政务信息安全保障中心高级工程师李媛对政务数据安全治理思路和实践做出分享,她表示,要想做好政务数据的发展应用需要解决三方面问题,一是要做到数据汇聚和共享开放,需要通过平台化的方式让数据进行流通;二是做好数据应用,真正发挥数据的价值,提升政府精细化治理;第三个方面也是最重要的,一定要把数据在共享开放和应用过程中安全保障的措施做到位,并对数据本身和数据权益方面进行相应的保护和合理应用。国家金融科技测评中心陈聪博士强调,金融机构开展数据安全保护的出发点首先是符合监管要求,其次机构自身提高用数赋能、提升服务能力、促进机构数字化转型都有数据治理的需求,因此大家进行了非常积极的探索。在实践中,首先做好数据资产梳理、数据分类分级,理清机构现有的数据管控能力,在此基础上建立未来的整体数据安全规划,通过建设实施、运营推广、绩效评估、改进优化,最终形成包括管理体系、技术体系和运营体系在内的系统科学的数据安全治理体系。
国网智能电网研究院有限公司数字化所副所长张涛表示,我国正在大力推进新型电力系统的建设,新型电力系统是一个具有海量数据的复杂系统,需要保护的对象包括工业控制终端、融合终端等存在差异,防护手段千差万别,面临的数据安全挑战巨大。电力数据安全治理的目标是促进数据流通共享,从管理措施、技防措施和支撑保障三个维度开展安全建设,同时遵循依法合规、可视可控、智能协调、动态演进四项原则;按照“业务场景全覆盖、安全管控全流程、人员管控全到位、安全防护全周期,业务过程全监测”的五全思路,针对数据采集、传输、存储、处理、共享、销毁六个阶段采取不同的管控技术,完成治理的实施。
暨南大学网络空间安全学院副院长裴廷睿表示,当前,教育行业落地数据安全法律法规政策要求不足、数据安全意识有待全面提升、数据安全防护体系不够完善、安全事件屡有发生。教育行业主管部门、地方主管部门、招考部门、高校和教培机构的系统和数据具有不同的特点,防护的重点也不同。开展数据安全工作应逐步建立完善、细化的适应机构发展的数据安全管理制度和数据分类分级管理机制,并通过相应的数据安全管控体系进行落地。首先进行分类分级标识、定期对数据库等重要防护对象开展安全风险评估;其次要主动防护、保证底线防守、进行事后审计,对数据运维工作做到有效管控。
天翼安全科技有限公司产品总监张鑫表示,电信领域是业内发布数据安全行业规范标准较早的行业,当前面临着安全合规、分类分级、防护思路、新型业务、支撑服务五大挑战。应对这些挑战,中国电信通过制定行之有效的数据安全制度规范、开展全员数据安全赋能与专业人才培养、建立长期动态的数据安全能力设施开展了积极的实践。中国电信将不断强化自身的数据安全治理水平,持续推动数据安全技术创新,建立覆盖全场景的数据安全能力体系,积极推进数据安全规范标准制定,打造数据安全协同生态,共筑数字化时代的数据安全。
04
体系化建设数据安全 有效提升治理水平
数据安全治理的核心思路是机构组织从战略层面由上而下达成数据安全目标共识,关注数据全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势动态变化,对数据安全体系进行持续优化。数据安全风险评估是《数据安全法》确定的数据安全保障基础制度之一,也是发现风险、确定分类分级保护要求、落实整改要求、促进数据合规的重要基础,是数据安全体系化建设的重要一环。
国家计算机网络应急技术处理协调中心高级工程师林星辰表示,数据的重要性,也就是分类分级,是数据安全风险评估首要关注的重点,评估的目的是为了促进数据的有序安全流动,发现风险,知道风险是什么才可以去制定相应的管控措施,并且分类分级、风险评估的结果一定要和后续的管控策略挂钩。数据安全体系建设面临的最大挑战,归纳起来就是一个关键词,数据素养,亟须全方位提升各行业各领域对数据安全工作的认识。
北京市政务信息安全保障中心高级工程师李媛表示,目前风险评估工作中遇到的最大问题就是对评估对象认识不清,区别于传统的风险评估,数据安全风险评估的对象是数据及数据处理活动。在政务领域开展数据安全评估工作,首先要帮助被评估单位梳理数据流图,针对不同的数据处理环节,梳理清楚主要的资产及访问控制措施,从而形成可视化的动态数据流动路径;然后基于路径分析可能面临的风险和合规问题,这是比较体系化的评估思路。数据安全体系建设的初期,就应考虑建立一种考核、评价、检查的机制,从外部促进数据安全体系的逐步完善。
国家金融科技测评中心陈聪博士表示,金融数据安全评估要做到向上衔接、向下兼容。与上位法做好衔接,同时要兼容考虑金融机构的性质、业务场景的特性等,结合场景对数据做深入的分析。要想做好数据安全治理工作,建立良好的组织协调机制必须先行,这会使得项目推进更加顺畅,也会有更好的起点。
国网智能电网研究院有限公司数字化所副所长张涛表示,风险评估从管理维度上,要关注数据安全规章制度是否健全,数据的研发单位、数据使用、数据运维等职责是否明确;在技术维度,要关注数据流转过程,关注数据和应用的接口。目前,数据安全技术和业务的融合还存在差距,如何把数据安全新技术新产品与业务场景紧密结合,而不是外挂式的安全,实现保障业务安全稳定运行的同时促进数据流通,这是目前面临的一大挑战,也是未来的发展方向。
山东财经大学网络信息中心主任李德生表示,高校的风险评估工作处于摸索阶段。由于高校的数据类别大同小异,建议行业管理部门牵头成立专门的团队,真正把高校数据面临的风险、业务流程梳理清楚,借助国家评估机构的力量提升数据安全评估效率。此外,教育数据安全治理落地较为滞后,数据安全重视程度不足、指导分类分级、风险评估等具体工作的行业标准规范尚未出台,人才培养短缺,我们呼吁把数据安全体系建设以及评估结果纳入高校综合考核指标里,这将极大促进教育行业数据安全治理工作的落地。
本届峰会由中国计算机学会计算机安全专业委员会、工业信息安全产业发展联盟、中国网络安全产业联盟数据安全工作委员会、中关村网络安全与信息化产业联盟、中国信息产业商会信息安全产业分会、北京工业互联网技术创新与产业发展联盟主办,国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、中国软件评测中心支持,北京安华金和科技有限公司、中关村网络安全与信息化产业联盟数据安全治理专业委员会承办,天融信科技集团协办。