大数据风险管理不容忽视
当前,我国信息化快速发展,人工智能正以前所未有的速度、广度和深度融入经济社会各个方面,大数据风险管理的重要性和紧迫性日益凸显。对此,我们必须与时俱进,切实重视数据安全问题,从组织管理、规程标准、技术手段等多角度着手进行风险防范,围绕大数据市场准入的风险屏障与防范、生产使用过程中的风险监控和管制,以及风险预警和化解等关键环节,采取组织控制、制度控制与技术控制的综合治理机制,形成数据安全防护“三位一体”的闭环管理链条。
信息和数据是进行国家公共治理的基础,在经济社会发展中的基础性、战略性、先导性地位日益突出。随着信息和数据容量、复杂性和战略意义的提升,如何更为有效地化解数据治理中战略导向缺失、数据权属体系不完善、分级分类机制缺失等难题,是当前需要研究的课题。要实现数据安全防护总体目标,就必须更好实施全面风险管理体制改革,有效统筹数据资源和风险管理,切实提升我国数据治理能力。
完善组织管理
应着力打造“集中式”风险管理组织架构,围绕大数据市场准入的风险屏障与防范、生产使用过程中的风险监控和管制,以及风险预警和化解等关键环节,成立统一的大数据管理部门,负责组织领导、统筹协调全国大数据发展和具体的风险防范管控,以及发生重大事故时的危机管理。
具体来看,大数据管理部门应做好数据采集、数据维护、数据分析和风险管理以及数据政策的主导者,将主要开展跨区域、跨部门、跨层级的大数据交换共享,以及数据关联、比对、清洗、安全防护等治理工作,需要具备包括数据收集能力、数据解读能力、判断能力和辅导能力等方面的专业能力,通过加强数据资源的建设、管理和开发,满足监管、隐私保护和安全等方面的要求,保证数据安全管理方针、策略、制度的统一制定和有效实施。
同时,推进国家公共治理数字化基础设施的建设,构建一个扩展性强、高度可靠的,以互联网为基础的数字平台,负责管理基础数据资源安全。搭建“数据资源服务施政平台”,充分发挥平台组织协调和快速部署数据安全措施的作用。构建“安全即服务”的新模式,推进数据资源的整合共享、统一管理、主动防护,力争将原本分散存储在不同部门、行业的数据信息孤岛连接成一个互联互通的新价值网络,形成传统以控制为核心的安全模式和新型的主动性数据安全模式相互支撑、协同发挥作用的数据风险防范体系。
强化制度规范
为确保数据风险管理工作有规可依,建议构建与现代化经济体系和国家治理能力现代化相适应的风险管理制度环境,努力将保护数据信息资产的措施融入现代化经济体系建设、国家治理体系建设,探索出一条以控制功能和主动保护双管齐下、共同落实数据安全管理责任的发展模式和路径。
一是强化顶层设计,打造全方位的安全保障体系。应在国家法律法规层面,进一步完善包括数据权属、数据管理、关键基础设施、稳定性保障、数据安全等在内的相关专门性法律。同时,在生产使用过程中的风险监控和管制方面,应聚焦大数据领域的技术研究与应用,推进大数据采集、管理、共享、交易等标准规范的制定和实施,研究制定一批基础共性、重点应用和关键技术标准;在风险预警和化解方面,应在确保大数据法律性开放的基础上,加强风险管理流程、授权管理制度、风险限额管理、风险评价考核、风险奖惩处罚、风险责任约束、风险决策报告等方面的建设,构建全面数据风险管理的体系架构。
二是明确相关部门和人员责任,完善风险管理体制机制。在大数据市场准入的风险屏障与防范方面,明确数据系统权限和数据管理相关责任部门,制定数据系统权限及数据管理办法,规范政府部门数据系统权限申请及数据管理流程,形成数据安全实践工作的制度保障。建立完善数据服务、网络安全防护和信息安全等级保护等相关制度。在生产使用过程中的风险监控和管制方面,有必要针对大数据安全可能引发的负面影响,编制数据管理制度和规程文件。在风险预警和化解方面,相关部门必须适应风险管理从静态数据向动态数据的转化、从人为判断向模型分析的转化、从零散管理向体系管理的转化,加强数据安全事件监测和事态发展信息搜集工作,积极开展应急处置、风险评估和安全控制的能力建设,提升基于持续检测、态势感知和及时响应处置的数据安全保障能力,释放数据活力。
三是加快建立数据信息资源目录体系,满足技术性开放的数据安全要求。立足实际情况,根据数据应用的差异化需求和不同场景,明确数据信息资源目录的管理者、提供者和使用者的不同角色和职责,按照管理范围和职责权限,落实数据资源的编目、注册、发布和维护。在生产使用过程中也要加快建立统一的数据标准体系并制定数据安全策略,通过数据链的标准化和主动性数据安全模式,确保数据的清晰可溯,确保相关机构和个人最大程度地自由安全获取和利用数据。
加强技术保障
有效的技术保障,是保障大数据安全、提升数据治理能力的关键。
一是加强政策引导,不断提升技术能力。推动大数据领域产学研协同创新合作,加强大数据风险管理核心技术的联合攻关,增强防范和处置数据安全事件的技术支撑能力。重点支持网络安全监测预警、处置救援、应急服务等,以核心技术的突破和发展,有效降低大数据的安全风险。
二是建立数据安全防范数据库,加强数据共享。鼓励以大数据产业联盟、相关行业协会等组织为依托,在大数据生产使用过程中的风险监控和管制,以及风险预警和化解方面,建立一个共享的数据安全防范数据库,促进数据安全防范信息和修复举措的收集和共享,低成本、高质量、高频度地生产、使用数据安全防范相关知识。
(作者单位:中国宏观经济研究院产业所)