[原载:《新华社经济参考报》][原文链接]
新华社北京7月2日电 《经济参考报》7月2日刊发题为《数据安全保护管理基本制度呼之欲出》的报道。文章称,当前,数据安全已经成为事关国家安全与经济社会发展的重大问题,制定一部数据安全领域的基础性法律十分必要。6月28日,数据安全法草案初次提请十三届全国人大常委会第二十次会议审议。
草案主要内容包括:确立数据安全保护管理各项基本制度,规定支持、促进数据安全与发展的举措,落实数据活动主体的安全保护义务与责任,大力推进政务数据资源开放和开发利用,等等。业内人士和专家学者在接受记者采访时表示,数据是新的生产要素,是国家基础性资源和战略性资源。数据安全问题影响国家发展与安全,关系公众利益和公民个人权益,在法律层面对数据安全保护作出规范实属必要。数据安全保护管理基本制度的立法确立,有望成为数据流通和商业机会落地的加速器,将对蓬勃发展的信息化和数字化起到极大推动作用。
网络空间从单一安全逐步走向总体安全
志翔科技联合创始人伍海桑认为,数据安全法的立法举措,表明在网络空间安全方面,国家的法律法规越来越全面,监管越来越完善,市场越来越规范,正从单一安全逐步走向总体安全。
数据安全法草案是把数据主权上升到国家法律层面,明确数据是事关国家安全的非传统领域,是维护国家主权、安全和发展利益的重要领域,体现了我国在构建网络空间命运共同体过程中的担当和责任。
伍海桑表示,数据只有在交换和使用中才能产生价值。数据安全法草案权衡了发展和安全的辩证关系,强调要坚持安全与发展并重,明确了发展是安全的目的。既然安全不是绝对的,就不去绝对地追求安全,而是在大力发展安全机制的前提下,让信息网络助力各行各业转型和创新发展。更有远见的监管,以及包容、开放、创新的行业生态体现,有助于净化竞争环境,促进优胜劣汰,鼓励技术与应用创新,这对于数据安全行业和数据安全厂商都是利好消息。未来数据安全法将对蓬勃发展的信息化和数字化起到极大推动作用。
赋能数据流通和商业机会落地
专家表示,这次从国家层面对数据安全进行立法,是继《中华人民共和国网络安全法》等一系列涉及数据安全的法律法规实施以来,尤其是今年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式将数据纳入生产要素范围以来的又一大举措。
贵阳大数据交易所总裁、九次方大数据执行总裁王叁寿表示,数据安全保护管理基本制度的确立将对行业产生多方面影响:其一,数据安全保护管理基本制度是政务数据流通的加速器;其二,个人及企业作为数据的拥有者,将切实得到经济价值;其三,数据安全保护管理基本制度是国家大基建之大数据产业的制度基石,让产业公司放开手脚,明确有可为有不为。在保障国家安全、公民和组织权益的同时,对于政务数据的管理和开放利用,建议考虑分为红、黄、蓝三类:红色部分关乎国家安全,绝对不可触及;黄色部分作为有价值的数据,可有条件向社会提供服务;蓝色部分是可以免费向社会大众、各行业提供的数据类型。
据王叁寿介绍,作为大数据服务公司,九次方大数据积极参与大数据产业“十三五”发展规划和国家大数据交易标准及政务数据技术、安全、应用标准等国家政策标准的起草工作,对数据确权、数据交易、数据溯源领域的关键核心技术展开深入研究。
数据分级分类为精细化安全管控提供依据
天融信科技集团副总裁陈兴跃认为,数据安全法草案首次对数据的分级分类管理以及风险评估做出明确要求,这对于指导和落实数据安全保护工作具有重要意义。
随着大数据技术的快速推广以及与云计算、物联网、5G等新技术融合发展,数据集中成为大趋势。而数据作为特殊的生产要素,其价值体现需要经过数据流动,即对数据的流转、分享和使用。数据在流动过程中被不断加工和使用,大数据的价值因而得到放大。数据安全是大数据产业健康发展的前提和基本保障,需要在数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等数据全生命周期关注并切实落实安全保障。数据的分级分类管理是实施数据全生命周期安全保护的重要基础,只有在科学、规范的分类分级管理基础上,才能够有效平衡数据的安全要求与使用需求,才能够较好地实现数据的风险管理成本与利用效益的平衡,从而为数据产业的快速健康可持续发展奠定基础。
数据的分级分类不仅是数据安全治理过程中至关重要的环节,也为数据精细化安全管控提供了依据。从管理角度看,数据安全的管理制度、保障措施、岗位职责等需要依托数据分级分类进行编制;从技术实现角度看,不同类别和级别的数据需采取不同的安全防护措施,从而实现安全保护与实际业务需求的有效协同。例如,高级别的数据需要实现数据加密、脱敏、防泄漏等多种防护手段,而低级别的数据则实现审计即可。
数据安全利用应坚持管理和技术双管齐下
绿盟科技副总裁李晨表示,在大数据时代,政务、社会、城市数字化发展成为趋势,数据安全与数据利用应建立在数据安全管理制度和数据开放利用的规则之上,充分利用和发挥好各种关键技术的作用,管理和技术双管齐下,在安全的同时让数据价值最大化。近几年,国内市场涌现出各类数据安全产品,在局部起到一定作用。但从总体看,还存在数据安全体系建设不完整、建设目标模糊、建设步骤不清晰等问题,导致人员、产品、应用、环境和数据之间脱节,使数据安全防护出现隐患。绿盟科技建议以数据安全防护为中心,在组织建设、制度流程、技术工具及人员能力四个层面同时开展数据安全建设工作,按照“知”、“识”、“控”、“察”、“行”五个步骤实现能力落地,从而确立数据安全管理制度,提升数据安全治理与开发利用的技术水平。
为信息主权和用户隐私筑起法律防线
颐信科技有限公司董事长黄劲认为,数据安全法的制订为我国信息主权和用户隐私筑起法律防线,为数据的合法合理有效利用提供安全环境,无疑将有力整顿国内数据市场,为数字经济发展提供有效保障。
数据安全保护和数据产业发展息息相关,如何在保护数据安全的同时平衡数据利用对于数据行业的利益,是一个长期难题。黄劲认为,数据安全法的目的应当在于为数据利用提供可靠环境,以发展为目标保障安全,以切实发挥数据要素对其他要素效率的倍增作用,驱动经济发展。
政务数据作为数据要素市场化的重要主体,应当发挥其在数据安全和开放共享的先锋作用。黄劲认为,在落实政务数据安全保护责任的同时,要积极响应国家大力推进政务数据资源开放和开发利用的号召,鼓励无歧视、无差别、无限制公开,降低利益冲突和寻租机会;鼓励社会力量参与政务数据价值挖掘,通过新技术、新应用、新模式推动其发展,数据红利普惠公众,实现要素配置的效益最大化和效率最优化。
另一方面,开源网络数据作为大数据的绝对主体,正在成为新一轮国际竞争的重要战略资源,并广泛应用于国防安全领域。黄劲认为,在加强互联网数据保护的同时,也要注重发挥开源网络数据价值,利用相关方法手段,维护网络空间安全和国家安全。