人工智能時代大數據風險管理的建議

張于喆 王君 黃漢權

在云計算、大數據、深度學習算法、人腦芯片等新一代信息技術的催化下，人工智能正以前所未有的速度、廣度和深度融入經濟社會的各個方面，正在成為全球新一輪科技革命和產業變革的著力點。隨著人工智能對生產力體系和社會生產關系的重構，經濟社會正在邁入“人工智能時代”。對國家而言，人工智能時代是“數據驅動”的時代，一方面，大數據對打造新動能、提升政府治理能力作用日益突出，我們正處在創造著巨大經濟價值和社會財富的“最好時代”，另一方面，新技術、新需求和多樣化的應用場景又給數據安全防護帶來全新挑戰，也催生著各類社會問題和安全隱患不斷的“最壞時代”。然而，在人工智能日新月異的時代變革中，大數據的風險管理總是滯后于技術的發展。因此，面對人工智能時代，既需要增強風險意識、提高風險管理能力，又不能刻舟求劍、因噎廢食，必須適應十九大的新要求，創制出有利于“數據驅動”發展的社會規范體系，降低技術的負面性與風險的不確定性，不斷增強我國經濟創新力和競爭力，完善國家公共治理體系。

站在新的歷史起點上，數據資源作為“生產資料+生產工具”的集合體，是人工智能時代經濟社會發展的重要生產要素和國家基礎戰略性資產。然而在新的經濟環境和歷史條件下，數據治理方面還存在著數據量不夠大、格式規范相對亂、數據質量相對差、數據流動性不足等問題，這些問題背后的原因又體現為數據權屬體系不完善、數據資源分級分類機制缺失，由此制約了新時代網絡強國戰略的建設。同時，數據在網絡空間的快速傳播，使得大數據安全問題和數據跨境流動安全風險日益加劇。為此，人工智能時代，必須適應時代變遷，以數據安全為重要領域，把大數據風險管理當作一門科學，并形成一定的行為模式，確保有效識別、計量、監測和控制各類風險，特別是迫切需要規范數據權屬和確保應用權限可管可控，進而有效地指導管理實踐，以提高決策的安全性。因而，人工智能時代的大數據風險管理，需要從數據安全的組織管理、規程標準、技術手段等角度著手進行風險防范，采取組織控制、制度控制與技術控制的綜合治理機制，形成數據安全防護三位一體的閉環管理鏈條。

一、完善組織管理，有效統籌數據資源和風險管理

信息和數據是進行國家公共治理的基礎，在經濟社會發展中的基礎性、戰略性、先導性地位也日益突出。鑒于信息和數據容量、復雜性和戰略意義的提升，為加強黨的領導、強化政府統領作用，有效解決數據治理中戰略導向缺失、數據權屬體系不完善、分級分類機制缺失等問題，實現數據安全防護總體目標，建議實施全面風險管理體制改革，提升政府的數據治理能力。打造“集中式”的風險管理組織架構，圍繞大數據市場準入的風險屏障與防范、生產使用過程中的風險監控和管制以及風險預警和化解等關鍵環節，成立統一的大數據管理部門（或中央級的領導小組），負責組織領導、統籌協調全國大數據發展和具體的風險防范管控以及發生重大事故時的危機管理，落實數據安全實踐工作。大數據管理部門主要是扮演數據采集、數據維護、數據分析和風險管理以及數據政策主導者的角色，將主要開展跨區域、跨部門、跨層級的大數據交換共享，以及數據關聯、比對、清洗、安全防護等治理工作，需要具備包括數據的收集能力、數據的解讀能力、專業的判斷能力、專業的輔導能力等方面的專業能力，通過加強數據資源的建設、管理和開發，滿足監管、隱私保護和安全等方面的要求，保證數據安全管理方針、策略、制度的統一制定和有效實施。

推進國家公共治理數字化基礎設施的建設，構建一個可擴展性強、高度可靠的以互聯網為基礎的數字平臺，負責管理基礎數據資源的安全性，并成為新時代中國經濟發展的新引擎。搭建“數據資源服務施政平臺”，充分發揮平臺組織協調和快速部署數據安全措施的作用，開展數據技術、政策、應用等基礎架構方面的探索和實踐，著力提升風險管理有效性。構建“安全即服務”的新模式，采用包括情報數據分析、響應措施等在內的動態化手段，推進數據資源的整合共享、統一管理、主動防護，力爭將原本分散存儲在不同部門、行業的數據信息孤島連接成一個互聯互通的新價值網絡，形成傳統以控制為核心的安全模式和新型的主動性數據安全模式相互支撐、協同發揮作用的數據風險防范體系。

二、推動相關法律和規則的制定落實，強化數據安全的制度保障

數據的可流動性有助于加速資源的優化組合，有助于價值沉淀與管理創新，有助于重塑社會運行系統和規則，最終實現在流動中增值和能量釋放，為建設網絡強國、數字中國、智慧社會提供有力支撐。為確保數據風險管理工作的“有規可依”，建議構建與現代化經濟體系和國家治理能力現代化相適應的風險管理制度環境，努力將保護數據信息資產的措施融入現代化經濟體系建設、國家治理體系及人工智能時代的大環境，探索一條以控制功能和主動保護共同落實數據安全管理責任的發展模式和路徑，推動構建以“數據驅動”的現代化經濟體系和國家治理體系。

一是強化頂層設計，打造全方位的安全保障體系。在大數據市場準入的風險屏障與防范方面，積極落實《中華人民共和國網絡安全法》，在國家法律法規層面進一步完善包括數據權屬、數據管理、關鍵基礎設施、穩定性保障、數據安全等在內的相關專門性法律，推動技術創新和經濟社會發展。

在生產使用過程中的風險監控和管制方面，聚焦大數據領域的技術研究與應用，推進大數據采集、管理、共享、交易等標準規范的制定實施，研究制定一批基礎共性、重點應用和關鍵技術標準。不斷完善行業監管、加強行業自律，加強行業政策、標準、法規等方面的研究，保障信息安全和個人隱私，促進數據資源有序流動與規范利用，為人工智能時代的跨越發展提供有力支撐。建立健全內部制度體系和工作體制機制，明確對大數據安全和數據跨境流動的管理規范，將風險管理措施嵌入大數據應用的全流程管理，實現以規范化的流程指導數據安全管理工作具體落實的目標。

在風險預警和化解方面，大數據風險管理作為人工智能時代的重要內容和管理行為，在確保大數據法律性開放的基礎上，必須要加強風險管理流程、授權管理制度、風險限額管理、風險評價考核、風險獎懲處罰、風險責任約束、風險決策報告等方面的建設，構建全面數據風險管理的體系架構。

同時，我們必須牢記的是，人工智能時代的大數據風險管理機制并非設計好之后就一成不變，而是需要隨著外部環境變化、技術變化而不斷優化和重構。

二是明確相關部門和人員責任，構建風險管理體制機制。在大數據市場準入的風險屏障與防范方面，明確數據系統權限和數據管理相關責任部門，制定數據系統權限及數據管理辦法，規范政府部門數據系統權限申請及數據管理流程，形成數據安全實踐工作的制度保障。建立完善數據服務、網絡安全防護和信息安全等級保護等相關制度。

在生產使用過程中的風險監控和管制方面，有必要針對大數據安全可能引發的負面影響，編制數據管理制度和規程文件，避免實際業務流程的“無規可依”。根據不同場景設計、配置、設定標準操作規程以及高級安全訪問權限，細化辦事規程、責任劃分和行動準則，確保規程要求的清晰易懂，降低數據驅動發展的制度性成本。明確相關部門數據安全責任人的權限、例外情況和獎懲措施，數據安全負責人具體負責數據訪問權限審批、異常行為告警處置、覆蓋數據功能的禁用和禁止等數據安全日常運營工作，要能做到對“操作者”“操作時間”“新值”“舊值”“修改原因”的全面追溯追蹤，以降低數據被“干預”“操縱”的風險。要針對關鍵數據信息基礎設施的安全保障，制定信息系統、基礎設施、云平臺和網絡通信等領域數據安全規范，建立數據災備、安全管理和應急處理制度。

在風險預警和化解方面，政府部門必須適應風險管理從靜態數據向動態數據的轉化、從人為判斷向模型分析的轉化、從零散管理向體系管理的轉化，加強數據安全事件監測和事態發展信息搜集工作，積極開展應急處置、風險評估和安全控制的能力建設，提升基于持續檢測、態勢感知和及時響應處置的數據安全能力，釋放數據活力。

三是加快建立數據信息資源目錄體系，滿足技術性開放的數據安全要求。立足我國政府數據開放的實際情況和發展階段，根據數據應用的差異化需求和不同場景，在大數據市場準入的風險屏障方面，明確數據信息資源目錄的管理者、提供者和使用者的不同角色和職責，按照管理范圍和職責權限，落實數據資源的編目、注冊、發布和維護。

在生產使用過程中的風險監控和管制方面，加快建立統一的數據標準體系并制定數據安全策略，通過數據鏈的標準化和主動性數據安全模式，確保數據的清晰可溯，確保相關機構和個人最大程度自由安全獲取和利用數據。積極開展基于數據鏈的數據導入接口規范、元數據管理、主數據管理、數據質量評價、敏感數據使用規則等技術和數據交換標準以及操作規程規范的編制，規定各方承擔的職責、履行的義務，保證數據信息資源的可管可控。梳理、規劃數據資源公開與共享的內容和目錄，通過目錄服務規范實現物理接口、數據格式和數據互操作過程中的一致性、兼容性和擴展性，助推跨類別數據交易商業模式的創新發展。

三、加強數據安全防范技術的研究，有效抵御數據安全威脅

大數據作為一門以數據及數據處理技術為研究對象的科學，有效的技術保障是保障大數據安全可靠、提升數據治理能力的關鍵。為健全數據價值流通體系、提升數據開發利用的社會價值和科技價值，相關部門需要以技術創新為牽引，加強數據安全防范技術研究，打造“智能化、規范化”的風險管控核心技術，為數據安全工作提供技術支撐。

一是加強政策引導，不斷提升技術能力。借助技術構建全面風險管理體系架構，促進“數據驅動”經濟社會健康發展，是人工智能時代大數據風險管理的必要內容。推動大數據領域產學研的協同創新合作，加強大數據風險管理核心技術的聯合攻關，增強防范和處置數據安全事件的技術支撐能力。重點支持網絡安全監測預警、預防防護、處置救援、應急服務等方向，包括但不限于身份認證、訪問控制、安全審計、異常行為監測預警、數據加密、數據脫敏、數據防泄漏等數據安全技術，以核心技術的突破和發展，有效降低大數據的安全風險。

二是建立數據安全防范數據庫，加強數據共享。鼓勵以大數據產業聯盟、相關行業協會等組織為依托，在大數據生產使用過程中的風險監控和管制以及風險預警和化解方面，建立一個共享的數據安全防范數據庫，促進數據安全防范信息和修復舉措的收集和共享，低成本、高質量、高頻度地生產、使用數據安全防范相關知識。在數據產生/采集、傳輸、存儲、使用、共享、銷毀等數據生命周期的關鍵環節，梳理總結數據安全防護所需具備的技術手段和工具，并將技術清單及時共享，確保各方在發現安全漏洞或潛在威脅時具備迅速找到類似技術的能力，以正確應對并降低潛在危害。充分利用先進的自動化工具、信息采集和智能分析等現代化技術手段，探索建設機器學習型智能模型風險管理平臺，識別數據管理中的薄弱環節并自動發出提示，提高風險監測、反饋、防護和應對的效率。

（作者單位：中國宏觀經濟研究院產業所）