一场疫情大考,再次倒逼了数字经济的需求风口。在线教育、远程办公、互联网医疗等新消费场景和供给方式层出不穷,我国数字经济的强大韧性和深厚实力展露无遗。
然而,虽然数字化浪潮已在我国社会经济发展各领域深深扎根、开花结果,但我们对于数字经济的引导和规范实际上还处在“摸着石头过河”的阶段。就像那句俗话所说:尺之木必有节目,寸之玉必有瑕瓋。数字经济的辉煌成绩背后,也存在着法学、伦理、信息安全保密等多方面的先天不足。特别是这种新经济形态中暗含的信息安全保密风险,确然牵一发而动全身,绝对不能以“瑕不掩瑜”一笔带过。结合几大焦点问题,记者连线了有关专家学者。
数据为何格外重要
习近平总书记在致2019中国国际数字经济博览会的贺信中指出:“当今世界,科技革命和产业变革日新月异,数字经济蓬勃发展,深刻改变着人类生产生活方式,对各国经济社会发展、全球治理体系、人类文明进程影响深远。中国高度重视发展数字经济,在创新、协调、绿色、开放、共享的新发展理念指导下,中国正积极推进数字产业化、产业数字化,引导数字经济和实体经济深度融合,推动经济高质量发展。”
学界、业界普遍认为,这段论述深刻概括了我国数字经济发展的重要意义、指导思想和主要内涵。虽然目前各界对于数字经济的定义还没有统一,但已公认数字经济具有两大组成部分,即总书记指出的数字产业化和产业数字化。
所谓数字产业化,就是通过现代信息技术的市场化应用,促进信息技术创新和管理创新、商业模式创新融合,不断催生新产业新业态新模式,最终形成数字产业链和产业集群。而所谓产业数字化,就是利用现代信息技术对传统产业进行全方位、全角度、全链条的改造,通过推动互联网、大数据、人工智能等技术与实体经济深度融合,提高全要素生产率。
不难看出,无论是数字产业化还是产业数字化,数字经济的基本逻辑,都是挖掘前沿信息技术的内在价值。而在泛在连接和全面智能化的技术语境下,数据必然成为新的关键生产要素和核心竞争力。数据信息的“保”与“放”,也因此形成了数字经济快速发展的内在动力,构成了数字经济信息安全保密的核心命题。
“共识”与“现实”相距几何
数据共享与数据保护之间的博弈,影响着数字经济的发展走向,更是一个世界性的难题:过分强调共享,必然导致数据滥用,危害公民个人信息安全、社会稳定甚至是国家安全;一味强化监管,则会人为制造隐形的产业“天花板”和贸易壁垒,桎梏数字经济发展。对此,各国的态度差异很大,且在不断调整之中。比如,公认个人数据保护等级最高的欧盟地区,近日也在新冠肺炎疫情防控过程中启用了“灵活的措施”,表示将从各大电信运营商处共享公民手机位置数据。
在我国,学界、业界普遍认为,数据共享和数据保护不应二元对立,而是应“既要金山银山,也要绿水青山”。分级分类的数据共享、保护策略由此成为不二选择。然而海量数据之纷繁复杂,为分级分类的实操带来了困难。
电子商务法的起草者之一、北京师范大学互联网政策与法律研究中心主任薛虹介绍,数字经济中涉及的数据,按照使用主体和使用目的主要可分为两大类。其一是公共信息,落地场景包括信息互换、监管互认、执法互助等;其二是企业采集、管理、共享的各类信息,比较多见的应用场景是工业制造、电子商务、信用信息共享等。在此基础上,中国科学院院士、西安交通大学电子信息工程学院院长管晓宏等提出,不同的时间尺度、空间范围、精准程度的数据之间,显然存在较大差别,必须在实际工作中再对其进行细分。而这种难以“具体化”的问题,只是我国数据管理链条的一个缩影。
“虽然目前有关部门围绕数据共享与保护问题已出台网络安全法、电子商务法及一系列指导文件,在大方向上形成了基本共识,但许多具体性的规范、措施仍然处于缺位状态,指导实践的能力有待增强。”薛虹强调。随着数据环境污染、数据贩卖等乱象在法律和技术的夹缝中“野蛮生长”,有的之矢亟待放出。
数据主权的为什么和怎么办
数据不仅是数字经济的血液,更是国家基础性战略资源,对经济运行机制、国家治理能力、国防和军队建设等意义重大。因此,国际竞争的焦点也日益转向对数据的争夺。在这样的背景下,数据主权的概念呼之欲出。
数据主权是国家主权在网络空间的核心表现之一。主权国家的数字权利具体来说可以分为两方面,即数据管理权和数据控制权。数据管理权,即对本国数据的传出、传入和数据生成、处理、传播、利用、交易、存储的管理权,以及就数据领域发生纠纷所享有的司法管辖权。数据控制权,则是指对本国数据采取保护措施,避免本国数据遭受监视、篡改、伪造、损毁、窃取、泄露等危险的权利,其目标是保障数据的安全性、真实性、完整性和保密性。
在全球数据洪流中捍卫国家数据主权安全,已成为各国信息安全保密领域的重要发力点。相比之下,我国对于数据主权的保护政策较为滞后。2019年,我国出台了《个人信息出境安全评估办法》,对具有中国特色的个人信息出境安全管理路径进行了初步探索。但由于网络信息流动性、分散性、碎片化等特征造成的产权确定困难,长久以来网络空间自规制传统的“遗风”,数据主权的界定和相关生产链条上的主体责任认定很难有效开展。加之各国相关协同制度的匮乏、数字保护主义的悄然抬头,要想顺畅安全地实现国际间数据流通认证困难重重。
对此,有学者提出,维护数据主权可以相对主权为治理尺度,从绝对的竞争走向一定程度的合作。南京邮电大学数字经济研究所所长姚国章进一步指出,要维护我国数据主权,就必须抓住主要矛盾,在网络空间全球治理的大框架下对数据的出入境等进行管理。一方面,要积极鼓励那些有利于促进我国经济社会发展、扩大开放、增进交流、增强合作的数据入境,并为其更好地开发利用提供支持和保障。另一方面,要从大数据等技术应用角度出发,更新对国家秘密、敏感信息的认识,从而更好地实现数据安全评估、搭建有针对性的法律法规体系和技术监管措施。
传统的安全防护手段失败了吗
数字经济重新定义了信息安全的内涵。因此早有专家断言:“传统的安全防护手段已经失败。”然而在另一些学者看来,这句话只说对了一半。
暨南大学信息科学技术学院、网络空间安全学院执行院长翁健解释道,数字经济环境中,个人的信息安全新问题主要源自使用新型数字经济产品和服务时产生的个人信息泄露;企业的信息安全新问题则包括新技术的使用扩展了网络攻击的方式和空间,数字经济交易过程中产生大量关联数据为数据管理维护带来挑战,企业对于知识产权和核心技术的保护意识薄弱等;就国家层面来说,未来的信息安全挑战主要表现在建设和使用物联网、5G、人工智能等“新型基础设施”时带来的风险,其中工业物联网首当其冲。虽然传统的安全防护手段正在一定程度上被消解,但仍然不可或缺。
“未来的安全防护,一定是传统技术与新技术的有机结合。后者并不能完全替代前者。”翁健说。比如口令认证技术,虽然已被使用数十年,但它成本低廉、用户体验好等特性,仍然具有吸引力。因此,不妨寻找新技术在传统安全防护场景中的应用,在新安全防护场景中利用传统技术进行加固,通过发掘传统技术与新技术的结合点,加强信息安全防护技术的整体标准建设,从而形成两者间的生态合力。
信息安全行业发展如何变轨
与以往的经济形态不同,数字经济与信息技术手段可谓相伴相生。数字经济时代的产业升级转型、新旧动能转换,更需要信息安全行业密切跟进。
对比其他国家,我国信息安全行业的知识体系、人才结构和核心技术主要以密码学为主,系统安全方面由于发展较晚,相对比较薄弱。在实际操作层面,可应用的核心技术较少,难以实现自主可控。此外,高水平专业人才较为短缺,难以满足行业发展需要。针对这些问题,推动我国信息安全行业健康发展必须从以下几个方面努力。
构建新型安全防护机制。实现数字产业化和产业数字化,都需要以实战能力为核心,构建智能、敏捷的网络安全防护机制和应急响应机制。尝试结合区块链、人工智能、5G等新兴技术,构建跨应用、跨平台、跨场景的多维度安全技术防护体系或将成为破局关键。
强化发展我国信息安全核心技术。近年来,我国在信息安全技术方面的投入不断加大,根据《普华永道全球信息安全状况调查》显示,我国在网络安全方面的平均投入比全球数值高出23.5%。其中,高新网络安全技术备受青睐。对于最近大热的5G“新基建”,不少学者指出,要充分发挥我国在这方面的技术优势,进一步对其中蕴含的重点信息安全保密问题进行深挖,争取占据国际主导地位。也有学者持保守观点,警告对于尚停留在理论阶段的技术,可以展开试点工作,但要尽量避免其大规模应用在核心产业中。
加大人才培养。到今年,我国信息安全人才缺口将达到140万。虽然政府近年来正在不断改进相关人才培养和引进体系,重点建设了网络空间安全等学科,完善了人才培养理论体系,但要完全满足信息安全行业发展需要,仍然任重而道远。可以预见,随着数字经济的迅猛发展,信息安全人才战略将加速推出,成为该领域的新增长点。
总而言之,面对数字经济带来的信息安全保密问题,我们的未知远远大于已知。要想持续发展数字经济及其催生的新业态、新模式,还需把握好“包容审慎”的主基调,做好重塑行政监管、技术防护、行业发展等多方面逻辑的准备。
(转载自《保密工作》杂志2020年第5期,本文有删改)