数据要素流通视角下数据安全保障研究报告 (2022年) 中国信息通信研究院安全研究所 2022年12月 版权声明 本报告版权属于中国信息通信研究院,并受法律保 护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院”。违反上述声明者,本院将追究其相关法律责任。 前言 数据已成为重要的国家战略资源和推动经济发展质量变革、效率变革、动力变革的新型生产要素,数据安全对数据要素有序流通、护航数字经济发展、维护国家安全意义重大。 从数据要素流通视角看,数据通过规模流通和深度融合处理,数据安全保护的对象、模式、技术和场景呈现出新特点。数据安全保护对象从静态的数据存储系统向动态的数据流转全生命周期转变,数据共享、交易和处理等环节成为安全保障新重点。数据安全保护模式从场景化保护向体系化融合演进,大规模的数据共享、业务协同、信息系统互联互通对安全保护提出了新要求。数据安全保护技术从保障价值到创造价值转变,联邦学习、多方安全计算等技术为解决数据利用与数据保护之间的矛盾提供了新的解决方案。数据安全保护场景从单点向产业链扩展,数据要素交易、共享使数据从企业内部的业务系统流向外部系统、边缘节点、云端平台、大数据中心等。数据要素流通视角下数据安全保护新特点对安全保障提出了新要求。典型国家积极加强数据要素流通安全领域的前瞻性战略布 局,在原有较为成熟的数据安全保障体系基础上,明确敏感数据流通利用安全要求,细化数据流通重点环节及典型场景制度规则,搭建数据安全流通基础设施,大力发展数据安全技术,化解数据流通与安全的矛盾,积极寻求实现数据安全保护与流通利用的动态平衡。今年,国家紧锣密鼓地出台了《要素市场 化配置综合改革试点总体方案》《“十四五”数字经济发展规划》 《关于构建数据基础制度更好发挥数据要素作用的意见》等一系列政策文件,加快培育数据要素市场,同时强调要加强数据安全保护。 中国信息通信研究院安全研究所基于数据要素流通视角下的数据安全需求,研提健全完善我国数据安全保障体系的推进思路,并从分类分级、流通环境、安全技术、协同共治等方面提出措施建议,为完善我国数据要素流通视角下数据安全保障提供有益参考与借鉴。 一、数据要素流通相关概念1 (一)数据要素流通的内涵及特点1 (二)数据安全内涵不断延展3 二、数据要素流通现状5 (一)流通数据现状5 (二)流通活动现状7 (三)流通设施现状11 三、数据安全保障面临的挑战13 (一)流通数据层面:流通数据形态逐步拓展,数据资产梳理和分类分级难度加大13 (二)流通活动层面:数据流转路径复杂、主体多样,数据安全风险控制及责任划分难度加大14 (三)流通设施层面:基础设施平台开放互动增强,数据安全防护压力加大17 四、国内外数据要素流通安全管理实践探索19 (一)国外数据要素安全流通管理实践和特点19 (二)国内数据要素流通安全保障现状22 五、安全保障思路和措施建议25 (一)体系视图25 (二)推进思路27 (三)措施建议29 图1数据安全保护对象总体视图5 图2企业间数据流通主要类型及占比8 图3我国数据交易的主要模式及占比10 图4数据安全保障体系视图26 表目录 表1数据共享的典型场景及实例8 表2数据交易的模式及特点10 一、数据要素流通相关概念 (一)数据要素流通的内涵及特点 1.数据要素的内涵特点 在数据要素提出之前,业界已有数据资源和数据资产两个概念提法。数据资源是数据的自然维度,把数据看成一种宝贵的资源。类比石油、土地等资源的特点和管理特性,数据资源有采集、存储、传输、使用、加工、提供、销毁等生命周期过程。数据资产是数据的经济维度,并非所有的数据都构成数据资产,数据资产是能够为组织产生价值的数据资源。2020年4月9日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次明确将数据纳入生产要素范围,并提出加快培育数据要素市场。总体来看,数据资源、数据资产、数据要素,有其产生的特定背景。三个概念反映的是不同视角下对数据的不同认知,但是也具有统一性,其内核都是数据,都强调了数据的重要性。同时从数据到数据资源、到数据资产、再到数据要素的概念变化,也体现了对数据价值定位的认识不断深化,和数据价值化的路径。 从生产要素视角看,数据要素与传统生产要素相比主要存在三方面不同的特征。一是数据要素在获取和使用上具有非稀缺性和非排他性。数据每天都在源源不断地产生,可以不断复制、共享、再生,也可以多方多次使用且不会产生有形的损耗,而土地、劳动力、资本、技术等往往具有单一归属。二是数据要素形态多样且价值很难精准衡量。土地、劳动力、资本等在要素市场里都有统一的形态,数据形态 则更为多样,比如根据加工程度的高低,可分为原始数据、加工数据集和数据计算结果。而且对于不同主体和不同场景而言,同样体量类型的数据价值和收益也截然不同。三是数据要素流通涉及个人隐私及安全。与土地、劳动力、资本和技术等生产要素相比,数据要素映射了不同层面的生产关系,在数据要素转化为生产力的同时,需要解决不同数据主体在数据安全保护方面的诉求。如个人数据涉及隐私,企业数据涉及竞争或商业机密,重要数据及核心数据涉及国家安全和公共利益。 2.数据要素流通的内涵 要素市场化配置是我国经济体制改革的重点,数据作为新型生产要素,加快完善数据要素市场化配置,已成为推动数字化高质量发展的必由之路。北京大学光华管理学院翁翕教授在《“十四五”数字经济发展规划》解读中提出,数据要素市场化建设就是将尚未完全由市场配置的数据要素转向由市场配置的动态过程,形成以市场为根本的数据资源体系,实现以数据流促进生产、分配、流通、消费各个环节高效贯通。其中,数据流通是数据要素市场化建设的核心环节。数据流通是指以数据作为流通对象,按照一定规则从数据提供方传递到数据需求方的过程1。 从流通方式来看,包括数据开放、共享和交易;从流通形态来看,包括原始数据包直接流通、使用API接口流通、“数据可用不可见”等;从流通范围来看,可以分为内部不同部门之间的流动、跨组织的 1中国信息通信研究院,大数据白皮书(2021年) 业务生态体系内的流动、跨组织无业务生态关联;从流通参与主体来看,包括数据提供方、数据使用方、平台管理方、第三方服务提供方等多类市场主体,构成了数据要素市场中的主要经济关系。从流通载体来看,数据流通设施是数据要素流通活动的主要载体。流通设施是传统IT基础设施的延伸,以数据为中心,服务于数据,最大化数据价值。具体来说,包括传输数据的基础通信网络,存储、计算数据的基础物理设施如数据中心、数据湖、数据仓等,提供数据共享、交易、分析和管理的信息化平台,如数据交易平台、大数据分析平台等。 (二)数据安全内涵不断延展 数据安全保护相关工作在国外已经有长达30-40年的发展历程,起初国际上都是采用“信息安全”的概念。ISO(国际标准化组织)将其定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。随着形势的发展,美国国防部和国家安全局开始使用“信息保障(IA,InformationAssurance)2”,安全属性也扩展到保密性、完整性、可用性、真实性和不可抵赖性。国内对于数据安全的定义较为统一,《中华人民共和国数据安全法》第三条中明确提出,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 数据安全是数据流通的生命线,随着数据跃升为新型生产要素,数据与千行百业应用场景深度融合,数据安全治理的核心目标就是要 2美国国家安全局“信息保障技术框架(IATF)”和美国国家标准与技术研究院制定的NIST800系列标准 促进数据有序流动和安全应用,同时保障数据的可用可管、完整准确、安全可信,以安全促发展。数据安全内涵逐步演变扩展,概括起来可以包含为三个层次:第一层是保护数据载体上的信息安全,与传统信息安全的目标完全一致,就是确保数据或者信息的保密性、完整性、可用性。第二层是对数据承载的个人权益、产业利益和国家利益的安全保护,比如个人信息安全保护、海量个人信息汇聚甚至融合分析后形成的数据安全保护、涉及国家经济社会运行的重要数据安全保护、以及数据出境场景下的国家安全、社会公共利益等安全保障。第三层是通过数据安全保护促进数据合法有序开发利用,护航国家数字经济高质量发展。 结合数据要素流通的内涵,数据安全保护对象可以拆解为三个部分:一是数据本身的安全,即通过对数据本身采取分类分级、加密脱敏等一系列防护措施,保护数据及数据承载的信息的可用性(破坏)、完整性(更改)、保密性(暴露)。从数据类型来看,因涉及个人权益、产业利益和国家利益,个人信息和重要数据等特殊类型的安全保护需求最为突出;二是数据流通活动的安全,即规范数据提供方、数据使用方、平台管理方、第三方服务提供方等各类市场主体,在数据开放、共享和交易等流通活动中的行为,保障数据流通过程安全可控、可追溯,维护数据要素市场安全;三是数据流通设施的安全,即保护数据处理活动所涉及的网络、平台和物理设施的安全,防止数据基础设施上承载的海量数据丢失、泄露、被篡改,保障业务在线和可追溯。 来源:中国信息通信研究院 图1数据安全保护对象总体视图 二、数据要素流通现状 (一)流通数据现状 在政策和市场的牵引下,数据要素流通正迎来加速期,来源多样、类型丰富、形态复杂的数据投入生产和服务,数据价值加速释放。在数据流通利用过程中,海量、多元、非结构化数据成常态,数据融合汇聚更为频繁,引发数据类别、级别、形态发生新变化,流通数据的开发程度更高。 一是非结构化数据占比高、增速快、价值高,逐渐成为数据要素流通的重要对象。据国际数据公司(IDC)预测,到2025年全球数据量复合增长率达到27%,其中超过80%数据由各类音视频、日志、文档等非结构化数据构成,且分散在不同的数据载体和系统中。非结构化数据所包含的部门管理数据、行业应用数据和新兴业务数据等蕴含巨大价值。国际知名调查机构Igneous发布的2022年数字经济报 告显示,三分之二的非结构化数据被认为具有中等到较高的价值。非结构化数据潜在价值使其逐步成为数据流通重要对象。中国信息通信研究院安全研究所调研3显示,高达52.2%的被调研企业已经进行了非结构化数据的流通。 二是数据集中、整合、流通引发数据融合汇聚。数据融合已成为弥补数据割裂性,充分释放数据新价值的必然选择。在数据要素流通的背景下,多领域、多部门、不同子系统之间的制造数据、用户数据、技术数据、流程数据等通过集中、整合、共享进行关联互补,有效支撑企业推进生产智能化、服务多元化、产品定制化。例如,用户上网数据、通信数据、身份特征、行为偏好、社交关系等生活类数据组合形成征信报告;金融数据和通信行业数据汇聚分析判定黑名单用户等。在数据融合汇聚的场景下,原本由各种应用系统管理和控制的低敏感程度数据经过组合、关联和分析后,可能产生敏感个人数据、重要数据、核心数据等高敏感度数据。 三是模型化数据、人工智能化数据参与数要素流通,数据开发层级更加丰富。在原始数据、脱敏数据流通的基础上,数据与服务、算法等结合形成模型化数据、人工智能化数据,形成“数据+服务”、“数据+算法+算力”等数据要素形态参与流通,成为典型的数据要素流通形态。模型化数据在原始数据基础上,结合用户需求进行模型化开发。例如,互联网企业用于精准营销的用户画像“标签”。人工智能化数据一般是在原始数据、脱敏数据、模型化数据之上,结合机器学习等技 32022年7-10月,课题组围绕企业数据流通基本情况、安全保障难点,面向通信、金融、信息服务等领域的企业进行调研及统计分析 术形成的智能化能力,比如人脸识别、语言识别等,其主要依托海量数据实现。模型化数据、人工智能化数据的数据交易流通场景实际上是“数据+算法+算力”的综合体流通,数据流通与算力、算法结合更为紧密4。 (二)流通活动现状 数据流通实现数据从数