針對全球數據安全領域復雜的國際形勢，中方于2020年9月8日提出《全球數據安全倡議》（以下簡稱《倡議》），為數據安全治理提供藍圖。《倡議》期望通過一系列務實舉措與各方一起共同加強數據安全、個人隱私和國家安全的協調發展，促使各國更加重視網絡安全和數據安全建設，推動全球數字經濟產業的發展與合作。在經濟全球化的背景下，數據共享、流通和交易乃大勢所趨，如何保障數據安全，并以數據安全促進全球數字經濟健康持續發展，值得思考。

　　一、數據和數據安全的內涵與外延正在發生變化在數字經濟時代，數據作為新的生產資料被認為是生產要素和新黃金，其重要性不言而喻。而且，流動和共享成為數據的新特征。數據安全工作從以“系統”為中心的思路逐漸轉變為以“數據”為中心的方法，全球的法律政策也轉變為以個人信息及隱私保護為重點，向全面數據安全治理擴張。

　　應用場景的變化催生了新的數據安全技術。傳統的技術，例如加密、訪問控制、數據庫安全審計、數據庫防火墻和數據防泄露等，只能發揮局部的安全防護作用，無法滿足數據流通、共享、交易等新應用場景的安全需求。為此，安全多方計算（Secure Multi-Party Computation）、數據脫敏（Data Masking）、差分隱私（Differential Privacy）、同態加密（Homomorphic Encryption）、聯邦學習（Federated Learning）、零知識證明（Zero-Knowledge Proof）等新技術，被提出并得到廣泛研究。雖然學術領域對這些技術的研究已有了大量積累，但是，其在現實場景中的實用性和效率問題還有待解決。目前，離這些技術的大范圍普及和落地使用，仍然還有相當的距離。

　　數據蘊含的價值越高就越易遭受到黑客攻擊，攻擊方式也更加復雜多樣。過去幾年，各種數據安全事件頻發，例如某酒店上億客人隱私數據被泄露等，勒索軟件攻擊事件不斷，造成的危害愈發嚴重。這些逐利的不斷變化的數據安全威脅對數字經濟秩序造成了極大的危害，需要強有力的安全防護手段和持續的安全運營，才能有效抵御。

　　二、數據安全已成為數字經濟時代最緊迫和最基礎的安全問題在數字經濟時代，大數據、云計算、人工智能、物聯網等技術廣泛應用所產生的全球數據量呈指數級增長。數據已變成重要的生產要素和基礎的戰略資源，其價值日益凸顯。同時，全球數據安全風險與日俱增，數據安全與隱私保護，數據存儲、使用與跨境流動的風險等問題，對各國數據安全治理能力提出了新的挑戰。

　　（一）大數據技術給數據安全防護帶來改變

　　大數據的“4V特性”，即數據量大（volume）、數據類型多（variety）、處理速度快（velocity）和價值密度低（value），顛覆了傳統的數據管理方式，使傳統的數據安全技術無法有效應對大數據應用場景下新出現的安全問題。從技術維度看，網絡爬蟲、機器學習和人工智能等技術的發展使個人隱私數據的采集與分析變得越來越方便，個人隱私以及國家重要信息泄露，也逐漸成為非常嚴峻的全球問題。從意識維度看，無論是各類企事業單位等組織，還是公民個人，對數據資產的重視程度遠小于對實體資產的重視。可以說，數據安全意識的嚴重缺失，導致對數據資產的保護意識不強，對各類風險隱患的警惕性較低，對安全技術的運用不夠充分，對安全技術發展和管理體系升級的重視程度不夠，這些都使數據安全治理能力存在嚴重不足。

　　（二）數據資產問題影響各類安全主體

　　數據作為一種重要資產，給國家安全、國防安全、社會安全和人身安全等，帶來重要影響。針對大數據進行的網絡攻擊，不僅僅停留在商業竊密，而是以企業重要資產、國家重要機密、重要基礎設施為首要目標，以期干預政治、操控輿論、顛覆政權，甚至破壞或癱瘓電力、交通、能源等關鍵基礎設施，中斷工業生產，影響軍事戰局。

　　此外，針對開放的海量數據的關聯分析，也可能引發商業機密甚至國家戰略性重要數據資源的泄露。數據的開放流通可用增加數據資源的商業價值和社會價值，但是，大數據融合開放也使數據權屬關系將變得更為復雜，在開放流通的各個環節都可能產生用戶數據濫用等法律風險。

　　（三）有組織的網絡攻擊背景強大、難以發現

　　有組織有背景的惡意網絡攻擊是數據泄露的主要原因之一，也成為全球數據安全的主要風險。由于新冠肺炎疫情的影響，遠程辦公模式增加了數據被惡意攻擊的可能性。這類攻擊者大都是有組織、集團化的犯罪團伙，甚至是具有國家背景的黑客團隊和網絡戰部隊。大量APT攻擊、勒索軟件攻擊等，都是由以國家為背景的力量發起的。這些國家級網絡攻擊者利用大數據技術擴大攻擊效果，發起大規模數量級的僵尸網絡攻擊，通過控制關鍵節點放大攻擊效果。大數據的價值密度低，使黑客可將攻擊隱藏在大數據中，使安全分析工具難以實現挖掘和分析的效力。

　　（四）數據共享與流通帶來的安全挑戰

　　在數字經濟時代的應用場景下，數據將會頻繁地跨系統、跨組織甚至跨境流動，特別是在數據共享環節，傳統的數據訪問控制技術無法解決跨組織的數據授權管理和數據流向追蹤問題，僅靠書面合同或協議難以實現對數據接收方的數據處理活動進行實時監控和審計，極易造成數據泄露和數據濫用的風險。因為安全恐慌而不敢流通和使用數據的情況，將使許多部門對可能關系到公共安全、社會穩定和公共利益的數據，能不共享就盡量不共享，能不公開就盡量不公開，甚至搞“一刀切”，影響了數據效用的發揮。此外，國際數據跨境流動可能引發用戶數據被泄露、濫用和誤用等問題，也可能會給企業和國家帶來技術管理、資產管理和組織管理方面的挑戰。而且，跨境數據的承載介質多樣、呈現形態各異、應用較為廣泛，數據所在國的政策和法律又存在差異，這導致數據所有者和使用者的權限模糊，數據的應用開發存在數據被濫用等風險。

　　（五）數據安全成為國際性、整體性問題

　　一些國家以地緣政治和意識形態先行，用數字安全的名義發展自身數字攻防能力，擾亂全球數字經濟規則，同時，以各種理由阻礙聯合國制定網絡空間規則，又利用自身在網絡空間的優勢地位，以單邊主義的方法，對非本國數字經濟企業積極實施打壓，破壞全球供應鏈安全。而且，這些國家通過“長臂管轄”制度，違規獲取他國用戶數據。

　　此外，針對有關數據安全的全球性法律可能會沖擊各國執法機構的執法效力。例如，由于GDPR的長臂管轄原則，使很多企業被納入其管轄范圍之內，且該條例實質上擴大了歐盟監管機構對中國企業的影響。

　　三、加強數據安全治理的對策建議

　　鑒于上述數據安全現狀、存在問題和面臨的挑戰，應該從法規標準、技術平臺、產業發展、能力建設、解決方案和國際合作等方面綜合應對。

　　（一）亟待完善數據安全標準規范和實施細則

　　我國高度重視數據安全，諸多法律、政策和標準先后發布或立項。2020年7月3日，《數據安全法（草案）》公開征求意見，明確了應采用數據安全治理的方法，為數據安全治理實踐提供法律支撐。《網絡安全法》《數據安全法（草案）》和《個人信息保護法（草案）》等上位法，給出了通用的數據安全原則和基本方法。接下來，各行業各領域和企業組織需要根據自己的實際情況和安全需求，制定包括個人信息、重要數據、數據跨境等方面的管理、技術標準與實施細則，內容覆蓋數據全生命周期的數據安全要求，包括分類分級、去標識化、風險評估等內容，指導數據安全治理的具體實踐，使數據安全治理措施落實到位，有法可依，有規可循。這方面的工作，急需政產學研用各方緊密協同，加快推進相關標準規范和條令條例的制定。

　　（二）建立具有政府公信力的數據安全服務、監管與審計平臺需要建立具有政府公信力的權威大數據平臺，提供專門的數據安全服務、監管和審計業務。例如，建立個人信息大數據平臺，并采取加密、匿名化、訪問控制和數據脫敏等安全保障措施，為需要使用個人信息的應用或組織安全地提供數據；當各類應用平臺服務商需要使用個人信息時，只能向個人信息大數據平臺提出申請，這樣就將個人信息的使用模式從目前的多點訪問模式轉變成集中訪問模式，為個人信息保護提供切實的安全保障。在監管層面，通過這樣的權威大數據平臺，可建立國家級的數據安全監管與審計體系，支持對數據流通的路徑溯源和安全審計，以及實現對數據主權的確權。

　　（三）以政策引導數據安全產業創新布局

　　通過政策指導、項目扶持、需求牽引等方式相結合，引導企業加強數據安全保護產品和解決方案的創新研發。建議國家各部委、地方政府在設立科研與產業化項目、應用示范項目時，重點支持數據分類分級、數據共享安全監測、細粒度數據資源訪問控制、共享數據脫敏及去標識化、跨域多模式網絡身份認證、數據標記及追蹤溯源、數據安全威脅監控等技術的研發、成果轉化和應用示范。而且，需要發展數據安全測評、培訓、認證產業，為企業或組織提供數據安全能力成熟度評估支撐，特別是在大數據開發利用的相關政策中，明確采集和處理不同數據所需要的數據安全能力成熟度等級要求，并將相關企業或組織納入測評范圍。

　　（四）讓數據安全成為組織的競爭力

　　在數據安全領域，通過建立科學的治理模式，讓一個組織能處理的數據類型和規模，與其數據安全能力水平掛鉤。例如，健康醫療行業迫切需要利用大數據技術大幅提升技術和業務水平，而這類數據敏感程度高，因而，行業主管部門可以規定，哪些組織可以處理哪些類型的數據，或能夠處理何種規模數據的組織必須證明其達到了相應的數據安全能力級別要求。這樣，當一個組織想要使用健康醫療數據開展研究或拓展業務之前，需要先具備相應的數據安全能力。因此，數據安全能力越高的企業，就意味著有越大的機會處理更多類型和數量的數據，而不是增加成本。通過這樣的治理方式，引導企業或組織積極提升自己的數據安全能力，實現業務競爭力與安全的正向掛鉤，從而帶動整個數據安全產業發展水平逐漸提高。

　　（五）從合規與運營兩個維度打造數據安全解決方案打造“合規+運營”雙輪驅動的數據安全解決方案。一方面，根據網絡安全和數據安全相關標準，通過支持數據全生命周期安全保障的大數據平臺或安全組件，為大數據、數字經濟應用場景特別是數據的跨系統、跨組織、跨境的共享、流通和交易的應用場景，從合規維度提供完備的數據安全保障能力。

　　另一方面，通過大數據安全分析能力的本地化賦能，以安全運營或安全服務中心為載體，從運營維度抵御持續變化的高級安全威脅，特別是針對數據的安全威脅，大幅度降低數據被竊取的安全風險。

　　（六）全球視角下的數據安全治理需要弘揚多邊主義全球數字經濟浪潮下，數據安全問題沒有國界，沒有一個國家能夠置之度外、獨善其身。各國需要普遍參與并討論出一套普適性的規則，以開放包容的姿態，管控分歧，不斷增進彼此信任，建立數據安全治理國際合作機制，為全球數字經濟發展營造公平的競爭環境。我國可以在政策、法規、標準和技術等多方面積極主導和參與，構建和壯大自己的數據流通“朋友圈”，只有各國共商、共建、共享，才是解決全球數據安全問題的正確路徑。