2022622日,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》),这是数据要素市场化的纲领性文件,对数据要素市场的建设具有核心引领作用,标志着数据基础制度建设的万里长征走出了第一步。
在数据基础制度构建过程中,安全要贯穿治理全过程。但目前我国数据安全治理面临黑灰产频现、数据要素基础设施屡遭攻击、传统监管力有不逮等问题。数据主权事关国民根本利益,势必要成为数据要素安全治理体系的重中之重。区块链技术大幅改进重要数据的共享和储存模式,通过以链治数”+“以法入链,有效满足链上数据的安全风险防护需求,节约监管成本,提升监管效率。此外,法律+科技双重数据安全治理体系也能够改善传统监管方式缺陷,推动数据要素在良性监管下充分发挥作用。数据脱敏技术可以鼓励用户提供真实信息,兼顾数据安全与数据利用。
数据安全治理面临严峻挑战
第一,数据要素流通交易面临黑灰产频现的问题。我国目前在数据要素流通交易方面以数据交易中心的集中交易模式为主,尚未形成完善的多层次多样化数据市场体系,较高的交易成本催生了大量场外黑灰色数据交易。公安部2021年公示的一起案例显示,犯罪嫌疑人非法搭建对外提供查询服务的数据库,非法获取医疗、出行、快递等公民个人信息数十亿条,并借以出售牟取不法利益。诸如此类的大量黑灰产交易架空了数据集中交易模式建立的合规机制,为数据流通安全带来较大隐患。
第二,数据要素基础设施面临国内外网络攻击的风险。数字时代具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台具有特殊的公共职能,形成了数字时代的基础设施。担当数字市场基础设施的超级平台在数据流通中担任了重要角色,其把控了数据流入通道,掌握了大量互联网用户数据,应当承担保障数据安全的公共义务。此外,超级平台掌握的数据价值巨大,也极易成为被攻击的对象,我国数字市场基础设施面临着国内外不法人员攻击的重大风险。国内曾发生不法公司窃取用户个人信息30亿条,导致全国96家互联网公司的数据被泄露的严重事件。202110月以来,国家计算机网络应急技术处理协调中心监测发现,有境外黑客组织利用SonarQube软件的漏洞,对我国多个企业发起攻击,窃取了我国金融、医疗等重要领域信息系统源代码数据,并在境外互联网进行非法售卖。屡发的数据泄露事件进一步表明数据流通基础设施所面临的内外安全风险。
第三,传统监管难以满足数据协作式流通诉求,造成了数据安全治理与数据高效流通的冲突。数据要素具有跨行业渗透的特点。方面,各方都有保护自己拥有的数据安全的诉求和义务;另一方面,各方又希望有一种高效的合作方式来最大限度地让这些数据变成生产力,从而出现了数据安全和数据流通的矛盾。但传统的条块式基于法规的治理方式难以适应数据流通的跨行业特点,传统的线下监管也不适应数据要素线上线下流通交易的现状,进而难以满足数据协作式流通诉求。
强化数据主权,
完善平台主体责任
在以移动互联网、云计算、大数据、物联网、人工智能等为代表的新一代信息技术蓬勃发展的时代背景下,数据的管辖及控制问题催生了数据主权诉求。数据主权涉及数据的生成、收集、存储、分析、应用等环节,关系到国家、企业和个人的切身利益,是国家主权的重要组成部分,有必要将保护数据安全提升至国家战略高度,强化数据主权,完善数据主体责任。
伴随着数字经济发展,互联网平台越来越广泛地参与到数据要素配置之中,在快速发展的同时,也带来了滥用数据要素、侵犯用户隐私、泄露个人信息等问题。数字时代的超级平台具有特殊性,其制定的规则主导了平台内部的秩序,具有特殊的公共职能。一般来讲,平台扩张的动力是自身利益最大化,但当平台自身利益与公共利益发生冲突时,针对数据安全这个关键议题,超级平台应当让渡部分权利,将核心业务认定为数字时代的新型基础设施,按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规精神落实相应的数据安全保障义务,建立健全数据安全审查与内控机制,对涉及用户个人信息的处理、数据跨境流动,涉及国家和社会公共利益的数据开发行为,必须严格依法依规进行。
建构区块链协同治理体系,
满足数据安全与流通需求
以链治数的监管模式可以满足链上数据的安全风险防护需求。传统中心化的数据存储模式将数据集中在一个数据处理与存储核心上,具有架构简单、不易延迟的优点,但相应地会造成行业壁垒增高、运营商可扩展性下降等问题。更严重的是,中央机构系统整体或构件缺失会增加数据丢失或泄露风险,进而威胁数据应用安全性。与之相反,去中心化的存储模式能够有效提升数据存储、应用的容错率与可靠性。将区块链应用到核心数据储存中有助于在信息对称的基础上实现信任对称,助力数据高质量运用,进而保障数据流通安全。同时,区块链作为具有防篡改等特性的新兴技术手段,将大幅改进重要数据的共享和储存模式。区块链技术不可篡改和安全追溯的特征,也提升了数据安全,为数据实时高质量应用提供可靠保证。
以法入链的智能化监管,可以节约监管成本及提升监管效率。虽然区块链技术能够极大地提升数据运用效率与治理安全,但互联网跨链技术在促使区块链技术向更高维度演进的同时,也暴露了区块链技术的弊端,带来了私钥泄露、签名伪造等风险。针对区块链生态中存在的安全风险和多维监管需求,建立协同监管技术框架、共性安全风险指标体系极为必要。例如,利用Petri网等形式化方法构建监管法规的形式化表征机制,并通过智能合约或共识机制映射到监管链,生成具有精确性、一致性和完备性的监管合约或协议,实现监管法规的以法入链以法入链的本质在于将监管法律法规语言转换为计算机可识别的代码,并建立监管法规代码化的精确性、一致性和完备性校验机制,为实现区块链安全风险合规监管提供业务支撑。
应用法律+科技双重监管,
降低数据流通安全隐忧
从历史发展来看,治理体系呈现规则治理、原则治理、科技治理的脉络,与规则治理相比,原则治理强调对期望的治理结果的一般和抽象的指导原则,从而使治理目标更易于实现,但原则的模糊性和弹性可以导致多重解读,因此有必要引入科技治理,实现双重治理。
在双重数据安全治理体系中,“隐私计算是降低数据流通安全隐忧的重要工具。隐私计算也称隐私增强技术,是隐私信息所有权、管理权和使用权三权分离时,关于隐私度量、隐私泄露代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。从产业角度分析,隐私计算可广泛应用于不同领域的各种场景,确保数据安全,促进数据流通,释放数据要素价值。隐私计算在金融领域有很大的应用空间,包括银行风险控制、信贷业务和反欺诈。同时,医疗的辅助诊断、政务数据开放、智慧城市和物联网等多种场景也是隐私计算常见的应用领域。从社会角度分析,隐私计算可解决数据孤岛问题。数据治理面临着数据共享与融合挑战,一方面这些数据包含大量的个人信息和敏感数据,数据安全与隐私法规不允许直接共享;另一方面数据分布在各个系统、各个行业和各个企业,数据孤岛成为普遍现象。而隐私计算技术能够帮助不同领域主体实现数据共享,填补信任鸿沟,推动数据进入流通经营环节,实现更优的数据协作。
数据脱敏减少用户隐私顾虑,
增进数据真实性
研究表明,一些用户受隐私顾虑影响,往往向互联网平台提供虚假个人信息,尤其是数字技能更高的用户具备更多隐私保护意识,更愿意选择提供虚假信息这一成本最小且收益最大的策略。因此,应当为用户提供更多隐私保护措施,避免由于用户担心数据泄露而出现的寒蝉效应
数据脱敏,指对某些敏感信息通过脱敏规则进行数据变形,涉及客户安全数据或者一些商业性敏感数据时,在不违反系统规则前提下,对真实数据进行改造并提供测试使用,如对身份证号、手机号、卡号等个人信息进行匿名化处理,以实现敏感隐私数据的可靠保护。数据脱敏有助于鼓励个人提供真实有效信息,将原始数据转变为可投入生产的数据资源和数据要素,既满足了数据要素安全治理要求,也增加了数据要素整体质量,兼顾数据安全、数据保护与数据流通的整体目标。
(吴守安为中国人民大学元宇宙研究中心助理研究员。杨东为教育部长江学者特聘教授,教育部创新创业教育指导委员会委员、教育部人工智能高层次人才培养专家委员会委员。中国人民大学交叉科学研究院院长、区块链研究院执行院长。本文系研究阐释党的十九届五中全会精神国家社科基金重大项目在法治轨道上促进平台经济、共享经济健康发展研究21ZDA025)阶段性成果)
本文刊载于《金融博览》2023年第10期
投稿邮箱
[email protected]
订阅方式:
1. 邮局订阅:邮发代号22-488
2. 电话订阅:010-6326 5031
继续阅读
阅读原文