解读《数据安全法》:最难解决、最受关注、最具潜力的是什么?
作者 | 周蕾
所有金融机构、互联网公司和数据技术服务商共同关心的《数据安全法》,近日正式表决通过,今年9月1日开始施行。去年7月和今年4月,全国人大常委对该法草案进行了首次和二次审议。
数据被认为是继土地、劳动力、资本、技术之后的第五种生产要素。在数据问题上,任何一点细微的处理不当,都会牵一发而动全身,因此这部法律的关注度,说是近几年各类法案中的“顶流”也不为过。
这部法案中,到底哪一点最受到大家关注?数据领域千头万绪,什么环节最让人头疼?随着数据监管逐渐到位,新的市场机遇和技术方向是否已经浮现?
1
数据分类分级,为什么最受关注?
业界讨论里,出镜率最高的一项条款,必然是法案首次提出的数据分级分类:
建立数据分类分级保护制度,对数据实行分类分级保护;并基于数据分类分级确定重要数据目录和国家核心数据,进行重点保护。——《数据安全法》第二十一条
为何这一点会受到最多关注?无论手握多少数据,对外开放交流的“沟通成本”,对内的“管理成本”,几乎是所有机构最在意的事情。
一位隐私计算领域的业内人士指出,分类分级之后,各方才能更容易确定可分享的数据部分,在完全开放和完全不开放之间寻求平衡。数据如果不做分类分级,在政务、金融这类更加传统严谨的领域,为求安全,机构往往会采取一刀切的“闭关”形式,数据的交流合作也就无从谈起。
而在机构内部,深信服数据安全产品线总经理李玉亮就向雷锋网透露,“从以往的合作方反馈来看,他们也比较关心数据分类分级的落地。”
他认为,目前企业和组织里的数据规模巨大,但当前数据分类分级的主要方式是人工和基于正则表达式的工具,效率和准确性都较低,企业自身也希望拥有更加自动化的数据分类分级工具。
腾讯安全的数据安全专家崔卓也分析称,对于企业经营人员和安全管理人员来讲,首先要做好数据资产盘点和数据分类分级工作,需要知道企业当前敏感数据分布以及数据安全现状,包括数据类型、风险级别如何、当前安全能力等方面。
不过具体应该如何分类分级,什么才是“重要数据”,现行法案都尚未有明确规定。结合《数据安全法》以及此前发布的多个相关文件来看,“重要数据”这个词似乎更多出于国家安全层面的考量。
《数据安全法》中,只注明了主要标准是“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”,强调“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据。”
而《数据安全管理办法(征求意见稿)》给出的措辞相对具体一些,称重要数据指的是“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。”
但这个意见稿也指出,重要数据一般不包括企业生产经营和内部管理信息、个人信息等,这个标准是否会被沿用到此后的数据安全领域,也有待观察。
另一个受到各方关注的重点,则是数据流转的监测和溯源。
“由于当前国家正在推动数据的开放共享,所以组织内部或者跨组织、地区之间的数据流转非常频繁,所以存在巨大的数据泄露风险,并且泄露之后无法很好溯源。”李玉亮分析称。
对于企业而言,数据安全保护义务的规定,也同样是他们十分关心的问题。
《数据安全法》的第四章,详细规定了开展数据处理活动需要承担的数据安全保护义务,包括要明确数据安全负责人、建立健全全流程数据安全保护制度、加强风险监测、定期开展风险评估以及在跨境数据流通、数据交易和数据调取方面需要承担的义务等。
多位法律界人士也指出,针对这些详细的合规措施,构建自身的合规体系,将是企业们迫在眉睫的数据任务。
2
数据确权,难中之最?
《数据安全法》在界定“数据处理”时,也覆盖了数据的全生命周期,包括数据的确权、收集、存储、使用、加工、传输、提供、公开等环节,不过尚无对各个环节未有深入的处理细则。
而所有环节之中,数据确权可能是任务最艰巨、优先级最高的一环。
“银行对数据确权这方面比较谨慎。”一位来自国有大行科技子公司的业内人士,就向雷锋网强调了这一点。
“因为数据确权是非常复杂的系统性工程,所以《数据安全法》也没有对于数据确权进行明确的规定。”李玉亮也表示,确权应该是目前难度最大的一项。
他指出,从目前来看,数据确权的难度最大——如果数据确权没有完成,后续的数据要素流转就无法很好进行,就无法发挥出来数据要素的价值,数字经济的发展就会受到限制。
而华控清交CEO张旭东此前也向雷锋网提到这样一个观点:
过早、过严、过窄地定义和规定数据的所有权,在法律上可能会制约数据产业和数据生态的发展。
“数据确权的难处,只能点到为止。”他认为,交易和流通需要生态,其中更重要的是,需要数据和资本的结合,才能使数据的交易流通、要素化大规模发展。
也有相关从业者透露了自己的担忧:从确权环节就开始产生的限制,会拖慢业务创新、企业发展的步伐。
“或许这也是为什么近年来国外不再有新的互联网巨头出现。”
张旭东进一步提到,在数据确权相关法律法规还不健全的情况下,是否能让数据进行先期的交易和流通,反过来为数据的确权真正提供有益的实践和探索?
但数据交易的落地同样进展缓慢。数据作为生产要素的特殊性,使得局面陷入泥淖。
“数据的复制成本极低,复制和传播速度也极快;一旦被看见,就可以被无限复制。
“而在简单的经典经济学理论上,供需要有两根曲线相交,才能形成价格。明文数据的特点,使得它的供应和需求都是无限的,供应和需求两根线无法形成一个焦点,很难通过市场供需进行定价,并形成大规模的市场交易流通。”张旭东解释。
这种情形之下,数据拥有方往往缺乏主动发起交易的动力,手握数据而态度保守。
尽管国内目前已有三十多家数据交易中心或交易所,但就发展情况而言,这些交易所也很难不被质疑只是“摆设”。
3
新的风口已经出现
《数据安全法》的出台,其实不只意味着数据领域的监管趋严,在“牢笼”的形态之外,法案也在加速了新风口的诞生,更多前沿技术投入到数据领域的使用。
前述国有大行科技子公司人士强调,最值得关注的市场机遇,一定是MPC(多方安全计算)和联邦学习。“未来这会都是机构的基础设施,是数据流转的标配。”他强调。
李玉亮也表示,隐私计算技术能够实现“数据可用不可见”,典型的技术包括全同态加密、多方安全计算和联邦学习等,能够实现数据在流通过程中的安全,可以大大促进数据的流转和交易。
“不可见是为了数据真正的安全,保证数据不被篡改,不被窃取,承担起信息的存储职能;可用则是为了承担起数据流转的职能。”该业内人士分析称。
隐私计算,包括联邦学习、多方安全计算等技术,在去年突然走红,很大程度上就与当时《数据安全法》草案以及其他隐私保护相关条例有关。在《数据安全法》通过之后,这些新技术相信会进入飞速发展、跑马圈地的阶段,离规模化、商业化落地的目标更近一步。
不过该业内人士也指出,对于隐私计算,银行科技部门还处于初步探索期,工程学上还需要验证,想要正式投产还需要至少一年时间。
而人工智能在数据开发利用和数据安全方向,仍然是不可缺席的“一员大将”。
李玉亮向雷锋网透露,在提高数据分类分级的效率和准确性方面,人工智能和机器学习潜力巨大;深信服也在业界率先推出了基于人工和机器学习的智能数据分类分级平台。
除此之外,区块链和智能合约也是备受看好的技术方向之一。
该银行业内人士表示,信息在流转过程中,要尽可能透明化,同时要保证对客户本人、行为数据存储机构的支付,还有交易记录流转、数据信息利用的效用反馈数据等,智能合约会是兼顾这几大问题的有效手段。
尽管各项执行细则和标准设置得不够具体,但在不少业界人士看来,作为数据安全领域的上位法,《数据安全法》对于数据安全的基本制度、保护义务和责任已经有了比较清晰的规定。各部门随后将出台配套政策,使法律执行更加清晰,降低执行难度。
在期待更多配套法案出台的同时,前沿技术也正在金融、医疗等领域用于数据安全和隐私保护。雷锋网就曾多次详细报道联邦学习等隐私计算技术,多位专家学者也曾与我们以公开课形式深入探讨这一热门技术的研究成果和落地情况。