社会关注并讨论已久的《数据安全法(草案)》正式向公众公开征求意见,数据安全与网络安全问题再次成为各行业关注的焦点。
数字经济时代,作为核心生产要素,数据驱动增长正在成为企业发展的重要理念,成为经济转型和创新发展的新引擎。在新一轮的产业变革中,物理世界和网络空间加速融合,为社会经济生活的发展带来利好的同时,因网络攻击、数据泄漏在办公、居家、出行、通信乃至日常生活中所产生的风险事件时有发生,埋下了极大的安全隐患。
数据安全和个人隐私的保护需要全社会给与更多的关注,加强行业内关键信息技术基础设施的保护和数据治理、数据安全的合作,构建数据的立体化信息安全保障体系迫在眉睫。
政策护航数据安全治理
数字经济的发展离不开有效的数据治理,如何治理日趋复杂的数据生态系统,确保在发挥数据潜力的基础上恰当管理其风险,已经成为一大挑战。在毕马威日前发布的《数据大治理》报告中指出,数字经济是新的经济形态,对原有生产方式和社会分工方式进行了重新定义,目前各国对于数据治理和数据安全领域的立法都还处于摸索状态。
从其他国家落地的法规看,APEC去年出台了《新金融服务数据生态发展路线图》,欧盟在2018年颁布了《通用数据保护条例》,对个人数据收集、处理和存储,特别是针对数据泄露问题,提出了严格的责任要求。
事实上,自2012年“大数据元年”以来,国家对网络安全、数据安全的重视程度逐渐增强,围绕加强信息安全保护和个人信息保护,近些年陆续颁布了《网络安全法》、《密码法》等,同时也明确了网络安全等级保护制度2.0标准。
而在数据应用最为广泛、深入的金融领域,央行在去年发布的《金融科技发展规划(2019-2021)》中也要求,加强金融网络安全风险的管控,加大对金融信息保护的力度,做好新技术金融应用风险防范;提出“健全全流程、全链条的网络安全技术防护体系,加快制定并组织实施金融业关键软硬信息基础设施安全规划”“完善网络安全技术体系建设,健全金融网络安全应急管理体系”等多项举措。
国务院参事室金融研究中心秘书长张韶华认为,在个人隐私保护方面,国内已经制定了相关法律加以维护,但在未来可以进一步设置统一的专门保护部门,明确个人信息、个人金融信息等概念,实现更为严格的保护和监管。而在数据安全方面,大众对数据安全的担忧主要集中在数据垄断和数据共享两个方面,要在安全立法的过程中更加开放,通过脱敏和去标识化,利用安全运算、联邦学习等技术帮助保护隐私。
实现数据全生命周期安全
网络安全与数据安全归根结底是要确保通信链路、数据传递和使用安全。
先进且完善的系统架构是保障数据安全的基础。目前,已有不少科技企业将终端操作系统的升级视为提升数据安全的一个切入点,以构建更加安全的体系架构。比如,神州网信就在Win10技术的基础上,进行了本地化的定制开发,加强了对数据外发的管控,对重要的安全模块组件进行替换,包括数字签名、国内算法、安全网关、安全管理、杀毒等。
然而,仅在操作终端加强数据的保护是远远不够的,需要确保数据的全生命周期安全,以数据全生命周期为核心实现数据安全的全方位治理。
就金融行业而言,能够看到,金融机构一般获取数据主要有三个来源,自己采集、征信数据和第三方提供的数据,其中第三方提供的数据类型更丰富,占比也相对最高。
对于不同来源的数据,其背后的监管和保护力度存在差异。世界银行集团国际金融公司(IFC)高级金融部门专家黄琳直言,目前对于征信数据的监管规划框架和治理结构已经基本清晰。而第三方的数据服务为金融机构乃至其他行业的机构提供数据服务时,理应在个人数据保护和个人数据隐私方面受到行业监管当局的监管,但目前对于第三方数据市场的监管,从全球的情况来看仍普遍较弱。
值得注意的是,对于第三方数据机构的市场监管问题,去年,央行曾全面排查银行与第三方数据公司开展合作的情况,存在违规行为的第三方数据服务商成为监管重点关注的对象。而在网信办颁布的《数据安全管理办法(征求意见稿)》第十条中也提出,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。
推动技术安全合规应用
随着云计算、大数据等信息技术的持续发展以及在各行业、产业的深度应用,安全问题始终是悬在数字化技术应用之上的核心问题。从另一个角度看,数字技术的持续迭代升级,也为数据治理、个人隐私保护提供了技术层面的支撑。
例如,针对客户身份、个人资产信息、交易关系等个人隐私数据的保护,香港应用科技研究院高级总监张伟伦认为,可以在不同的隐私保护场景配合不同的技术,包括零知识证明、差分隐私、同态加密、安全多方计算、联邦学习、可信执行环境等。
这些技术的应用也需要考量其安全性与合规性。能够看到,对于合法合规的运用信息技术保障数据安全,行业自律组织也在积极行动。中国互联网金融协会副秘书长杨农在近日召开的金融数据融合的法律规制专题线上研讨会上也表示,中国互联网金融协会将凝聚产学研用各方力量,共同推动探索多方安全计算、联邦学习等技术在金融数据融合领域的安全合规应用,在依法合规、充分保护个人信息和隐私的前提下,更好地实现金融数据的经济社会价值。
