數(shù)據(jù)安全發(fā)展驅動力在哪？

伴隨著國計民生的運行逐步轉移到由數(shù)據(jù)驅動的基礎設施和各類應用上，數(shù)據(jù)安全必然成為事關國家安 全與經(jīng)濟社會發(fā)展的重大問題。

1.我國已逐步完成數(shù)據(jù)安全頂層設計，基本建成政策法規(guī)監(jiān)管體系

1.1 數(shù)據(jù)安全政策法規(guī)密集出臺

2015年7月1日起施行的《國家安全法》規(guī)定：“國家建設網(wǎng)絡與信息安全保障體系，提升網(wǎng)絡與信息安 全保護能力，加強網(wǎng)絡和信息技術的創(chuàng)新研究和開發(fā)應用，實現(xiàn)網(wǎng)絡和信息核心技術、關鍵基礎設施和重要 領域信息系統(tǒng)及數(shù)據(jù)的安全可控”。 2017年6月1日起施行的《網(wǎng)絡安全法》規(guī)定：“國家鼓勵開發(fā)網(wǎng)絡數(shù)據(jù)安全保護和利用技術”，“任何個人 和組織不得從事非法侵入他人網(wǎng)絡、干擾他人網(wǎng)絡正常功能、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的活動”。 2020年3月30日印發(fā)的《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》指出： “制定數(shù)據(jù)隱私保護制度和安全審查制度。推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護制度，加強 對政務數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護。”

2021年9月1日起施行的《數(shù)據(jù)安全法》規(guī)定：“維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù) 據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”該法的起草過程中，明確提出了“沒有數(shù)據(jù)安全就沒有國家安 全”，這在歷史上是首次。《數(shù)據(jù)安全法》還以法律的形式規(guī)定：“中央國家安全領導機構負責國家數(shù)據(jù)安全 工作的決策和議事協(xié)調，研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數(shù)據(jù)安 全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調機制。”目前，國家數(shù)據(jù)安全工作協(xié)調機制已經(jīng)到位， 國家數(shù)據(jù)安全頂層設計基本完成。 2021年11月1日起施行的《個人信息保護法》明確提出“國家建立健全個人信息保護制度，預防和懲治侵 害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業(yè)、相關社會組織、公眾共同參與 個人信息保護的良好環(huán)境。”凸顯個人信息保護不僅針對個人權益而且事關國家安全。 2022年12月2日印發(fā)的《中共中央國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（數(shù)據(jù) 二十條）指出：“完善治理體系，保障安全發(fā)展。統(tǒng)籌發(fā)展和安全，貫徹總體國家安全觀，強化數(shù)據(jù)安全保障 體系建設，把安全貫穿數(shù)據(jù)供給、流通、使用全過程，劃定監(jiān)管底線和紅線。加強數(shù)據(jù)分類分級管理，把該 管的管住、該放的放開，積極有效防范和化解各種數(shù)據(jù)風險，形成政府監(jiān)管與市場自律、法治與行業(yè)自治協(xié) 同、國內與國際統(tǒng)籌的數(shù)據(jù)要素治理結構。”

2023年1月3日印發(fā)的《工業(yè)和信息化部等十六部門關于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導意見》提出到 2025年，數(shù)據(jù)安全產(chǎn)業(yè)基礎能力和綜合實力明顯增強，產(chǎn)業(yè)規(guī)模超過1500億元，年復合增長率超過30%。 到2035年，數(shù)據(jù)安全產(chǎn)業(yè)進入繁榮成熟期。 2023年2月，中共中央、國務院印發(fā)《數(shù)字中國建設整體布局規(guī)劃》提出“要強化數(shù)字中國關鍵能力。筑 牢可信可控的數(shù)字安全屏障。切實維護網(wǎng)絡安全，完善網(wǎng)絡安全法律法規(guī)和政策體系。增強數(shù)據(jù)安全保障能 力，建立數(shù)據(jù)分類分級保護基礎制度，健全網(wǎng)絡數(shù)據(jù)監(jiān)測預警和應急處置工作體系。” 2023年3月，《黨和國家機構改革方案》指出，組建國家數(shù)據(jù)局，負責協(xié)調推進數(shù)據(jù)基礎制度建設，統(tǒng) 籌數(shù)據(jù)資源整合共享和開發(fā)利用，推進數(shù)字中國、數(shù)字經(jīng)濟、數(shù)字社會規(guī)劃和建設等，為數(shù)據(jù)安全治理提供 強力支撐。 2023年4月《商用密碼管理條例》在1999年發(fā)布的24年后重新修訂發(fā)布，旨在規(guī)范商用密碼應用和管 理，鼓勵和促進商用密碼產(chǎn)業(yè)發(fā)展，保障網(wǎng)絡與信息安全，推動商用密碼技術的研發(fā)和應用，促進數(shù)據(jù)安全 產(chǎn)業(yè)的發(fā)展。

2023年12月國家數(shù)據(jù)局發(fā)布《“數(shù)據(jù)要素×”三年行動計劃（2024—2026年）（征求意見稿）》推動數(shù) 據(jù)要素在智能制造、智慧農(nóng)業(yè)、商貿(mào)流通等十二個事關國計民生的領域的重點行動。 伴隨著一系列圍繞數(shù)據(jù)安全的頂層政策法規(guī)的密集出臺，以及主管單位組織架構的完善，細分領域和地 方性的實施細則、標準和創(chuàng)新試點紛紛涌現(xiàn)。據(jù)不完全統(tǒng)計，僅2023年上半年就有91項網(wǎng)絡與數(shù)據(jù)安全相關 文件發(fā)布，包括13項國家政策法規(guī)、10項重點行業(yè)政策、21項地方政策規(guī)章、31項國家技術標準、16項重點 領域報告。

1.2 數(shù)據(jù)安全治理制度的頂層設計基本確立

目前，通過法律法規(guī)和政策文件，我國確立了以下主要的數(shù)據(jù)安全制度： 一是數(shù)據(jù)交易管理制度。用以規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場。從事數(shù)據(jù)交易中介服務的機構提 供服務，應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核資料、交易記錄。下一步將 出臺專門管理辦法，對數(shù)據(jù)交易機構的設立條件、運行規(guī)則、監(jiān)管要求等予以明確。 二是數(shù)據(jù)分類分級制度。按照《數(shù)據(jù)安全法》規(guī)定，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦 遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危 害程度，對數(shù)據(jù)實行分類分級保護。國家已明確數(shù)據(jù)分為三級：一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，后兩者直 接關系國家安全。各地區(qū)和各部門可根據(jù)實際情況，明確本地區(qū)、本部門的數(shù)據(jù)分類分級方法，對重要數(shù)據(jù) 和核心數(shù)據(jù)進行重點保護。

三是數(shù)據(jù)安全審查制度。對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。為了落實這 一制度，國家網(wǎng)信辦等十三個部委聯(lián)合公布了修訂后的《網(wǎng)絡安全審查辦法》，于2022年2月15日起施行。 該辦法將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動納入審查范圍，防范核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊 取、泄露、毀損以及非法利用、非法出境的風險。審查制度還明確要求對國內企業(yè)赴國外上市活動進行審 查，以防范上市企業(yè)存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控 制、惡意利用的風險，以及網(wǎng)絡信息安全風險。 四是數(shù)據(jù)出境安全管理制度。鑒于數(shù)據(jù)安全的重要性，主權國家應當對數(shù)據(jù)出境實施安全管理。為此， 我國對兩類數(shù)據(jù)建立了出境安全評估制度，一類是重要數(shù)據(jù)，另一類是批量個人信息以及關鍵信息基礎設施 運營者掌握的個人信息。2022年9月1日起，《數(shù)據(jù)出境安全評估辦法》正式實施。對個人信息出境，我國探 索設立了認證途徑和標準合同途徑。當今世界，所有跨境貿(mào)易的實質都是數(shù)據(jù)跨境流動，故該議題已成為國際貿(mào)易規(guī)則重構的焦點，各國高度關注卻遠未達成共識，今后的國際博弈將更加激烈。

五是出口管制制度。國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施 出口管制。這一規(guī)定具有重大意義，是我國《出口管制法》在數(shù)據(jù)領域的落實。 六是對等反制制度。我國法律規(guī)定，任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術等有關的投資、貿(mào) 易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情 況對該國家或者地區(qū)對等采取措施。目前美西方國家以數(shù)據(jù)安全為由，全方位對我國圍追堵截，遏制我國高 新技術發(fā)展，故這一制度有著重要的現(xiàn)實意義。 七是跨境數(shù)據(jù)司法調取審批制度。美國《澄清境外合法使用數(shù)據(jù)法案》規(guī)定，在美國政府執(zhí)法、司法機 構提出要求時，任何美國企業(yè)在他國收集存儲的數(shù)據(jù)都要交給美國政府。這種“長臂管轄”是對他國司法主權 的嚴重侵犯。為維護我國國家安全利益，《數(shù)據(jù)安全法》規(guī)定，非經(jīng)中華人民共和國主管機關批準，境內的 組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)。

1.3 數(shù)據(jù)安全落地實施的國家標準體系不斷完善

數(shù)據(jù)安全國家標準是開展數(shù)據(jù)安全監(jiān)管，規(guī)范行業(yè)數(shù)據(jù)安全要求，指導網(wǎng)絡運營者提升數(shù)據(jù)安全能力的 重要抓手，對促進數(shù)據(jù)應用規(guī)范化、提升數(shù)據(jù)活動安全性有著重要意義。目前，全國信息安全標準化技術委 員會（SAC/TC260，簡稱“信安標委”）已開展9項數(shù)據(jù)安全標準研制項目，其中，已發(fā)布標準4項，在研標準 5項。

分類分級保護是數(shù)據(jù)安全治理工作的第一步，《網(wǎng)絡數(shù)據(jù)分類分級要求》在2022年9月14日公開征求意 見，數(shù)據(jù)分類分級工作首先要參考這個國標，在識別和保護重要數(shù)據(jù)方面，也要參考《重要數(shù)據(jù)識別指南》 和《重要數(shù)據(jù)處理要求》。 涉及使用和處理大量個人信息的企業(yè)或組織要參考GB/T35273-2020《個人信息安全規(guī)范》和 GB/T41391-2020《移動互聯(lián)網(wǎng)應用程序（APP）收集個人信息基本要求》。

數(shù)據(jù)安全系列國家標準分為三個類別：安全要求類標準、實施指南類標準和檢測評估類標準，企業(yè)或組 織參考標準的重點和階段不同。 安全要求類標準：GB/T35274《大數(shù)據(jù)服務安全能力要求》修訂中，GB/T37932-2019《數(shù)據(jù)交易服務 安全要求》，GB/T39477-2020《政務信息共享數(shù)據(jù)安全技術要求》； 實施指南類標準：GB/T27973-2019《大數(shù)據(jù)安全管理指南》，GB/T39725-2020《健康醫(yī)療數(shù)據(jù)安全 指南》，《電信領域大數(shù)據(jù)安全防護實現(xiàn)指南》。 檢測評估類標準：GB/T37988-2019《數(shù)據(jù)安全能力成熟度模型》，GB/T41479-2022《網(wǎng)絡數(shù)據(jù)處理 安全要求》。 數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用自由而安全”為愿景，旨在安全有序推動數(shù)據(jù)流動，平衡數(shù)據(jù)發(fā)展與數(shù)據(jù) 安全，其方法論的核心內容包括： ·滿足數(shù)據(jù)安全保護（Protection）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive management） 三個需求目標； ·以數(shù)據(jù)為中心的分類分級安全治理內容包括：分類分級（Classifying）、角色授權（Privilege）、風 險評估（Assessment）、場景化安全（Scene）； ·數(shù)據(jù)安全治理的建設步驟包括：組織構建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善； ·核心安全框架為數(shù)據(jù)安全人員組織（Person）、數(shù)據(jù)安全使用的策略和流程（Policy&Process）、數(shù) 據(jù)安全技術支撐（Technology）三大部分。 隨著國家標準體系的逐步完善，組織在全流程的數(shù)據(jù)安全治理過程中，要更多地參照國標要求，應對數(shù)據(jù) 安全挑戰(zhàn)，形成一套包括組織、制度、技術和運營四個方面，貫穿整個組織架構的數(shù)據(jù)安全規(guī)劃和平臺建設。

1.4 數(shù)據(jù)安全監(jiān)管體系構建完成

在最高層級方面，中央國家安全領導機構負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調，研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安 全工作協(xié)調機制。 在監(jiān)管層級方面，明確各行業(yè)監(jiān)管部門均負有數(shù)據(jù)安全管理職責，確定各部門、各地區(qū)分工負責的管理 模式。具體為國家網(wǎng)信部門負責統(tǒng)籌網(wǎng)絡數(shù)據(jù)安全監(jiān)管，公安機關、國家安全機關在職責范圍內承擔數(shù)據(jù)安 全監(jiān)管職責，工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域 數(shù)據(jù)安全監(jiān)管職責。 在監(jiān)管實施方面，明確各行業(yè)監(jiān)管要求和監(jiān)管內容，包括： 1.數(shù)據(jù)分級分類要求：要求通過數(shù)據(jù)的分類分級，明確不同數(shù)據(jù)的管理權限，對于不同類型和等級的數(shù) 據(jù)，企業(yè)在數(shù)據(jù)處理、數(shù)據(jù)出境時將遵循不同的程序要求，履行相應的批準程序。 2.建立重要數(shù)據(jù)的保護制度：形成國家級的重要數(shù)據(jù)目錄以及各地區(qū)、各部門將確定本地區(qū)、本部門以 及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，圍繞目錄建立重要數(shù)據(jù)保護制度。

3.要求明確開展數(shù)據(jù)處理活動的安全保護義務，落實等級保護管理工作： • 數(shù)據(jù)資產(chǎn)、數(shù)據(jù)流轉和數(shù)據(jù)風險梳理； • 建立健全全流程數(shù)據(jù)安全管理制度； • 組織開展數(shù)據(jù)安全教育培訓； • 采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全； • 利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行數(shù)據(jù)安全保 護義務； 進行數(shù)據(jù)安全風險評估及應對，及時應對處理安全事件； 采取合法、正當方式收集數(shù)據(jù)，并在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數(shù)據(jù)，不得超過 必要限度等。 4.明確向境外提供數(shù)據(jù)的監(jiān)管適用情形，禁止未經(jīng)批準向境外提供境內個人信息和重要數(shù)據(jù)信息：數(shù)據(jù) 處理者在申報數(shù)據(jù)出境安全評估前，應當開展數(shù)據(jù)出境風險自評估，對于國家網(wǎng)信部門規(guī)定的需要申報的數(shù) 據(jù)出境安全評估情形應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。 5.要求數(shù)據(jù)中介服務機構的數(shù)據(jù)交易行為需持牌經(jīng)營，合規(guī)經(jīng)營：將數(shù)據(jù)中介服務商納入規(guī)范范疇，明 確中介機構應要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。提供數(shù)據(jù)處理 相關服務應當取得行政許可的，服務提供者應當依法取得許可。

2.數(shù)字化生存環(huán)境威脅之下，數(shù)據(jù)安全成為機構運營安全的內生需求

2023年全球數(shù)字化生存環(huán)境面臨更為嚴峻的威脅形勢，據(jù)相關研究機構統(tǒng)計2023年全球由于網(wǎng)絡安全 造成的經(jīng)濟損失預計將超過8萬億美元，并將在今后的幾年內保持兩位數(shù)的高速增長。 針對數(shù)據(jù)的勒索軟件仍然是2023年的頭號網(wǎng)絡安全威脅。勒索軟件是最危險的黑客攻擊類型之一，因為 它實施起來相對容易且成本低廉。在平均每10秒發(fā)生一次的勒索軟件攻擊之下，全球71%的組織都遭受過不 同程度的傷害，將近一半的網(wǎng)絡攻擊都針對小型企業(yè)。60%遭受勒索軟件攻擊的企業(yè)會支付贖金以取回數(shù) 據(jù)，許多人支付不止一次。據(jù)IBM發(fā)布的《2023年數(shù)據(jù)泄露成本報告》，數(shù)據(jù)泄露的平均成本在2023年達 到歷史新高，為445萬美元，比2022年的435萬美元增加了2.3%，從長期來看，平均成本比2020年報告中 的386萬美元增加了15.3%。其中，醫(yī)療保健行業(yè)是數(shù)據(jù)泄露的重災區(qū)，連續(xù)3年位居榜首，平均成本為1093 萬美元，相比2020年成本上升了53.3%。值得關注的是，所有的數(shù)據(jù)泄露事件中，80%是有組織犯罪。

據(jù)2023年度IBM發(fā)布的《IBMX-Force威脅情報指數(shù)報告》，在X-Force2022年所監(jiān)測到的所有網(wǎng)絡攻 擊中，亞洲遭受的攻擊占了近三分之一，超過其他任何地區(qū)，其中，在亞洲地區(qū)所觀察到的所有攻擊案例 中，制造業(yè)占了近一半。另據(jù)全球領先的網(wǎng)絡安全解決方案提供商CheckPoint軟件技術有限公司發(fā)布的 2023年第一季度全球網(wǎng)絡攻擊形勢報告的數(shù)據(jù)，亞太地區(qū)每個機構平均每周受到1835次攻擊，僅次于非洲 地區(qū)的1983次，同比增幅最大、攀升16%。在實施勒索計劃時，網(wǎng)絡犯罪分子往往會瞄準最脆弱的行業(yè)、企 業(yè)和地區(qū)，并施加巨大的心理壓力，迫使受害者支付贖金。鑒于對停工時間的容忍度極低，制造業(yè)已連續(xù)兩 年成為遭受勒索攻擊最多的行業(yè)，作為制造業(yè)大國的我國，正在面臨嚴峻威脅。根據(jù)國家信息安全漏洞庫 （CNNVD）收錄情況，2023年上半年新增漏洞12361個，高危和超危漏洞占比超過50%，漏洞危害程度趨 向高危化，極易被病毒、木馬、黑客利用，導致系統(tǒng)安全風險加大。據(jù)相關平臺統(tǒng)計，2023年上半年我國遭 受惡意軟件攻擊總次數(shù)接近150億次，受攻擊的重點目標行業(yè)包括醫(yī)療、科研教育、政府、金融和制造業(yè)等， 受攻擊的重點區(qū)域有廣東省、浙江省、上海市、江蘇省、山東省和北京市等。2023年上半年累計發(fā)現(xiàn)涉及我 國的重要數(shù)據(jù)泄露事件超過100起，政府和教育行業(yè)是數(shù)據(jù)泄露的重災區(qū)，兩個行業(yè)數(shù)據(jù)泄露占比超過 60%。2023年上半年，有超過30家國內企業(yè)被國際勒索組織公開泄露數(shù)據(jù)，主要包括賬號憑證、API接口權 限、網(wǎng)絡訪問權限、個人敏感信息、企業(yè)隱私數(shù)據(jù)等。

在越來越惡劣的數(shù)字化生存環(huán)境下，數(shù)據(jù)安全是當今組織的首要考慮因素。雖然數(shù)據(jù)可以是組織最大的 資產(chǎn)之一（幫助做出更好的決策、實施戰(zhàn)略計劃以及建立更牢固的客戶和合作伙伴關系），但如果不采取措 施保護數(shù)據(jù)，它也可能成為組織最大的負債之一。例如，威脅到數(shù)十億客戶機密信息的數(shù)據(jù)泄露事件不僅會 給組織帶來經(jīng)濟損失，還將降低品牌價值并侵蝕客戶信任。隨著黑客變得越來越老練，組織采用更先進的技 術和方法來保護數(shù)據(jù)安全的需求變得越來越主動和迫切。數(shù)據(jù)安全毫無疑問的成為了保障組織運營安全最重 要的內生需求。