淺談北京市數據安全管理

張伯旭

北京市人大常委會財政經濟委員會

隨著大數據快速演進和廣泛應用，越來越多的數據安全問題涌現出來，《中華人民共和國數據安全法》的出臺表明數據安全已成為事關國家安全與經濟社會發展的重大問題，而如何加強數據安全管理，推進數字產業化和產業數字化健康、高速發展，保障政府、企業、公民的合法權益也成為了政府管理者面臨的最緊迫問題。作者以北京市為例，介紹了北京市在數據安全管理方面的歷程與經驗，分析了當前形勢下存在的數據安全管理問題，并提出了針對性的建議，為城市管理者、立法者在開展相關工作時提供參考。

(大數據；數據安全；數據安全管理；立法)

With the rapid evolution and wide application of big data,more and more data security problems have emerged.Data Security Law of the People’s Republic of China shows that data security has become a major issue related to national security and economic and social development.Effective data security management can promote the healthy and rapid development of digital industrialization and industrial digitalization,and ensure the rights of governments enterprises and citizens.And how to strengthen data security management has become the most urgent problem facing government managers.Taking Beijing as an example,the author introduces the process and experience of data security management,analyzes the problems of data security management under the current situation,and puts forward targeted suggestions,so as to provide reference for urban managers and legislators in carrying out relevant work.

（Big Data;Data Security;Data Security Management;Legislation）

0 引言

習近平總書記強調，要把握數字經濟發展趨勢和規律推動我國數字經濟健康發展。數字經濟時代，數據作為關鍵生產要素，在商業模式創新、產業數字化轉型、經濟高質量發展、治理能力現代化進程中發揮舉足輕重的作用。與此同時，越來越多的數據安全問題也涌現出來，數據竊取、破壞、勒索、釣魚等網絡攻擊，以及數據非法交易、數據濫用、數據泄露等管理應用安全風險已成為事關國家安全與經濟社會發展的問題，數據的安全管理也已超出個人、企業防護范疇。2021 年9 月，《數據安全法》[1]的正式實施進一步將數據安全納入到國家安全體系中。

當前，對于數據的安全管理的研究雖然仍處于初步階段[2]，但北京作為我國的首都和科技創新中心，數據技術、產業、應用走在全國前列，對于數據安全的管理也有更加豐富的經驗，以北京市為研究對象，通過梳理近年來數據安全管理的歷程與現狀，分析當前管理的需求與問題，對于下一步北京市及其他地方政府開展數據安全管理具有重要的參考意義。

1 遞進發展的三個階段

從北京市數據管理與應用歷程來看，早期的數據安全以信息安全的概念呈現，在十五、十一五期間主要布局了很多重大工程支持數據的匯聚共享，隨著對數據安全認識和管理的不斷加深，北京市積極探索提升數據安全保護能力，采用更多手段應對大數據時代的數據安全風險。北京市大數據安全管理大概可以分為三個階段。

1.1 敢為人先的起步探索階段（1990-2008 年）

本階段是北京市以電子政務系統為重點構建信息安全管理框架的階段。一是提出了信息安全保障體系框架。“十五期間”發布《北京市信息安全保障體系框架》，提出了由組織管理、公共基礎設施等六部分組成的信息安全保障體系。推動信息安全保障能力的全面提升，促進首都經濟與城市建設。二是初步建立了信息安全管理機制。發布《北京市黨政機關計算機網絡與信息安全管理辦法》《關于加強信息安全保障工作的實施意見》，要求各級黨政機關建立計算機網絡與信息安全管理工作領導小組，落實電子政務信息安全責任制。三是不斷完善信息安全標準化建設。陸續發布《政務公開網站通用安全技術要求》《黨政機關信息系統安全測評規范》《信息系統工程監理規范》等多部電子政務信息安全地方標準，有力保障了電子政務信息安全建設的有序和高效開展。

1.2 全面部署的戰略確立階段（2009-2015 年）

此階段，北京市在鼓勵IT 領域新技術新應用的發展和突破的同時，也高度重視數據和信息安全保障工作，為國民經濟和社會信息化發展保駕護航。一是從戰略層面關注信息安全。《北京市“十二五”時期城市信息化及重大信息基礎設施建設規劃》明確提出“提升信息安全保障能力，構筑城市安全屏障”，積極布局城市信息安全基礎設施建設、信息安全體系建設、廣播電視網絡安全保障建設等工作。二是提升信息安全監測與應急保障能力。2015 年印發《關于加快應急產業發展的實施意見》，重點發展高級可持續威脅監測、網絡安全態勢感知，以及針對工業控制網絡、移動互聯網、智慧城市的信息安全監測產品和設備，進一步提高了信息安全應急保障能力。

1.3 持續創新的引領突破階段（2016 年至今）

面對數據安全防護新要求和數據濫用、數據跨境安全的新挑戰，北京市積極探索運用新技術手段提升安全保護能力。一是完善數字政府可信基礎設施。積極利用大數據、區塊鏈等信息技術手段，完善數字政府可信基礎設施，研究并制定了《北京市5G 及未來基礎設施專項規劃（2019 年-2035年）》《北京市區塊鏈創新發展行動計劃（2020-2022 年）》等相關產業發展規劃，提出建設數字政府安全可信可控基礎設施體系。二是研究推進數據跨境流動安全管理試點工作。2020年9 月在服貿會北京市促進經濟發展政策新聞發布會上[3]，發布了《北京市關于打造數字貿易試驗區實施方案》《北京國際大數據交易所設立工作實施方案》及北京市數據跨境流動安全管理試點相關工作安排，提出針對商業存在、跨境交付、境外消費等形態涉及的數據跨境流動、數據保護能力認證等內容，研究推進數據跨境流動安全管理試點工作。

2 不可回避的管理挑戰

2.1 管理手段匱乏是最突出挑戰

數據管理是安全管控的核心，數據在生產、存儲、使用、傳輸、共享、銷毀等全生命周期的各個管理流程暴露出的安全問題，成為制約大數據應用發展的瓶頸，是其面臨的最現實突出風險。數據存儲策略、分級分類管理、訪問控制、安全審計等技術手段運用不足，難以保證數據的完整性、保密性和可用性。

如未對原始數據開展有效的分類分級管理，導致敏感數據存在泄漏篡改風險；缺乏對留存數據的安全保護機制，數據本地收集終端留存的數據不及時處理；數據管理權限混亂，缺乏身份認證等，一旦大數據遭到篡改、泄露，將會對政府辦公、企業生產、經營管理造成惡劣影響。

2.2 信息系統漏洞成為黑客攻擊突破口

數據多是依存于計算機網絡系統、基于相關軟硬件運行儲存的各類數據信息，網絡設備、操作系統、數據庫軟件等任一層面存在的安全漏洞均會影響大數據的安全。利用網絡設備漏洞可導致數據在傳輸過程被竊取，利用操作系統漏洞可獲取系統級別的增刪改查權限，利用大數據軟件漏洞會最直接泄漏大數據信息。近年來，軟件系統安全漏洞數量亦不斷飆升，大數據系統各暴露面風險點交叉影響，為不法分子實施攻擊提供了大量突破口。

2.3 傳統安全防護手段難以滿足安全需求

數據平臺具有服務用戶眾多、數據海量多源、場景多樣等特點，傳統安全機制的性能效果難以滿足需求。一是大數據平臺的大規模分布式存儲和計算模式導致安全配置難度成倍增長，對安全運維人員的技術要求高；二是針對大數據平臺網絡攻擊手段呈現新特點，黑客可借助大數據的價值低密度性實施更具隱蔽性的攻擊，傳統安全分析工具難以聚焦在價值點上，安全策略檢測存在較大困難；三是數據流動路徑的復雜化導致追蹤溯源變得異常困難，特別是數據溯源中數據標記的可信性、數據標記與數據內容之間捆綁的安全性等問題更加突出。

2.4 個人信息過度收集等安全問題多發

在大數據時代，從收集環節來看，個人信息過度收集[4]主要體現在以下幾方面：未經被收集者同意，隨意收集、存貯、使用個人信息；收集的個人信息明顯超過正當和必要范圍；收集和控制的個人信息，未經被收集者同意，用于其他用途；未經被收集者同意，公開其個人信息，尤其是敏感信息；個人信息的收集和控制者，沒有盡到個人信息安全保護主體責任。在疫情防控常態化的大背景下，利用大數據開展聯防聯控已成工作常態，如何平衡公共利益與公民個人信息保護，兼顧社會治理安全與效率，確保公民個人信息安全，成為大數據安全應用的新挑戰。

3 值得期待的生態建設

3.1 多舉并用鞏固數據管理高地

在國家十四五規劃中，數據安全建設已融入到各個篇章中，提出加快推進數據安全、個人信息保護等領域基礎性立法，強化數據資源全生命周期安全保護，完善適用于大數據環境下的數據分類分級保護制度。北京市作為國家的首都和科技創新中心，未來也將重點在《數據安全法》及十四五規劃指導和要求下，推動數據安全立法、分級分類、有序開放，安全防護等工作。

（1）加快推動大數據治理體系建設。

一是完善大數據法規政策體系。加快推動大數據立法工作，明確大數據權屬、政府職責、交易、跨境、隱私保護、安全防護等一般范圍、概念與要求，營造大數據發展環境，統領北京市大數據法規政策體系建設可以按照“急用先行”的原則，以推動破除公共數據“孤島”，強化北京市各級行政機關及公共服務企業產生數據的聚集、開放管理為目標，優先出臺北京市公共大數據管理辦法》。

二是健全大數據管理工作機制，在政府部門間，以現有大數據工作推進小組為基礎，建立集中領導、統一協調、協同調度、廣泛參與、職責明確的扁平彈性的大數據管理工作組織機構，進一步強化大數據主管部門的權力并細化相應的責任；在政府與非政府間，建立政府、企業、高校、科研機構、聯盟協會共同參與的大數據應用工作機制，加強政產學研用的廣泛合作，助力實現跨層級、跨領域、跨業務的大數據融合應用模式。

三是加強大數據治理基礎支撐平臺建設。推動建設集約型、計算型的新型數據中心，鼓勵數據中心高端替換、重組整合、優化服務，推動政府部門各小規模、分散化的數據中心轉移，實現北京市政務大數據的統一存儲，集中應用。同時創新大數據交易基礎設施，依托數字貿易試驗區建設工作，建成國內領先的創新大數據交易基礎設施，形成權威的數據信息登記平臺、數據交易平臺、數據運營管理服務平臺、金融創新服務平臺和數據金融科技平臺。

（2）持續完善大數據安全防護體系。

一是重點保護數據安全與隱私。建設完善安全的政務大數據管理平臺，建立數據防泄漏、安全審計、安全事件溯源與取證、大數據安全態勢分析等多維度技術防護體系和運維管理制度；加強對數據安全的監管保護，鼓勵企業加強工業數據分類分級管理，細化數據安全管理要求，預防數據過度采集，保護數據所有者合法權益；發展一批聚焦行業大數據測試評估、監測預警、安全咨詢等的第三方服務機構，及時發現企業存在的數據安全風險，幫助企業建設完備的數據安全保護方案。

二是完善安全可靠及防護技術產品體系。重點支持大數據信創產業發展，開發自主的計算平臺框架、商業智能、數據分析挖掘、語義搜索等關鍵技術產品；面向交通、能源、工業等重點行業應用需求，積極推動大數據技術在關鍵信息基礎設施安全防護中的應用，保障重要信息系統安全；加強大數據隱私保護、訪問控制、安全匿名等產品的開發和應用，實現數據的安全共享、交易與應用。

三是建設新型網絡安全公共服務平臺。深入落實《北京市加快新型基礎設施建設行動方案（2020-2022 年）》，建設一批新型網絡安全公共服務平臺。建設網絡信息安全態勢感知大數據平臺，綜合運用多源數據，加強大數據挖掘分析，增強網絡信息安全態勢感知、風險評估、通報預警、應急處置能力；建設數據交易區塊鏈支撐服務平臺，結合自由貿易試驗區建設，支撐開展電子商務、電子交易以及跨境數字貿易的區塊鏈應用，提高各類交易和數據流通的安全可信度；建設工業互聯網監測預警平臺，圍繞工業互聯網各環節，面向平臺、數據、網絡、控制、設備等方面的安全需求，建設統一高效、協同聯動的工業互聯網安全風險報告、情報共享和研判處置體系。

3.2 樂觀自信暢想北京藍圖

隨著政策法規的不斷完善和、技術產品的升級和服務能力的提升，未來，北京市數據安全保障體系、技術、平臺的日趨完善，城市免疫系統的安全韌性將不斷提高，有效遏制大數據發展帶來的風險。

（1）完善的數據法律法規體系與管理機制。大數據法律法規體系建設日趨完善，頂層設計目標明確、統攬全局，實施細則分類指導、操作性強，為北京優化營商環境，開展大數據管理和應用提供堅實的制度保障。數據商用有序推廣，數據流通規則制度明晰，在明確數據權屬、保障數據安全、個人隱私方面的融合應用成效全國領先，數據產業鏈上各方主體權益清晰。數據分類分級安全保護制度建立完善，對政府數據、企業商業秘密和個人數據的保護力度顯著增強。數據隱私保護制度和安全審查制度制定實施。大數據監管機制通暢，部門權責清晰，政產學研用溝通順暢，政務數據“開放共享”、“共用共治”生態環境蔚然成風。

（2）豐富的安全防護技術產品。大數據技術支撐防護技術產品體系在安全可靠方面日益成熟。一是安全可控大數據產品研發應用逐步落地。大數據信創產業發展得到重點支持，開發完成的自主的計算平臺框架、新型數據庫、商業智能、數據分析挖掘、數據交互感知、語義搜索等關鍵技術產品得到有效應用。二是研發出具有行業特征的基于大數據的新型信息安全產品。能夠滿足面向交通、能源、工業等重點行業應用需求，積極推動大數據技術在關鍵信息基礎設施安全防護中的應用，保障重要信息系統安全。三是大數據通用安全技術產品研發不斷加強。結合人工智能、區塊鏈、云計算等新一代信息技術，研究零信任安全、擬態安全、可信計算等在大數據的應用，研發大數據通用保護產品和解決方案。四是大數據安全開源生態建設完善。相關單位參與開源社區生態系統的構建理論研究、支撐平臺建設以及運營模式探索，為我國開源社區和生態系統建設貢獻北京力量。

（3）成熟的安全服務能力。形成覆蓋終端、用戶、網絡、云、數據、應用的多層級縱深防御、安全威脅精準識別和高效聯動的安全服務能力。一是云平臺虛擬機安全技術、虛擬化網絡安全技術、云安全審計技術、云平臺安全統一管理技術等大數據安全支撐技術研發及產業化不斷提升，云計算、大數據基礎軟件系統漏洞挖掘和加固不斷加強。二是網絡安全產業集聚發展，培育形成一批擁有網絡安全核心技術和服務能力的優質企業，支持操作系統安全、新一代身份認證、終端安全接入等新型產品服務研發和產業化。三是集網絡安全態勢感知、風險評估、通報預警、應急處置和聯動指揮為一體的新型網絡安全運營服務平臺建設完善，新型基礎設施建設的安全保障能力大幅提升。

（4）城市免疫系統安全韌性不斷提高。“韌性”和“韌性城市”[5]是目前國際社會在防災減災領域使用頻率較高的概念，在提升城市面對風險的快速應對能力、適應能力和恢復能力中發揮重要作用。北京市作為國家安全示范城市，能夠更加從容的應對安全風險與考驗，有效抵御、吸收和化解外界影響，從災害中快速恢復，保持城市功能正常運行。在應急管理創新發展方面，大數據分析、人工智能、5G、物聯網等新技術獲得廣泛運用，形成高度智能化、自我進化的應急管理信息化新生態，實現應急管理全方位感知、動態性監測、智能化預警、扁平化指揮、快速處理和精準管控。大數據分析在防災減災方面的作用充分發揮，實現互聯網、物聯網重大危險源進行的精準標識和動態監管，并與自然災害監測、疫情防控等大數據進行關聯分析，識別耦合規律，有效預防突發事件。