信息安全保護在數(shù)字經(jīng)濟發(fā)展中的作用研究

楊海，陳亮

（國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心貴州分中心，貴州貴陽 550001）

隨著互聯(lián)網(wǎng)的廣泛普及，信息技術快速發(fā)展應用，已經(jīng)改變了人民群眾的生產(chǎn)、生活方式，信息技術的快速發(fā)展加速了數(shù)字經(jīng)濟的發(fā)展，特別是在目前全球經(jīng)濟衰退、新冠肺炎疫情的持續(xù)影響下，數(shù)字經(jīng)濟的發(fā)展為我國經(jīng)濟增長提供了有力的驅(qū)動力，日益融入經(jīng)濟社會發(fā)展各領域的全過程。作為國家安全中的非傳統(tǒng)領域，數(shù)字化的快速增長，也帶來數(shù)據(jù)安全的挑戰(zhàn)，隨著《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)的出臺實施，在維護數(shù)據(jù)安全方面提供了具體的實踐路徑。

1 信息技術的應用發(fā)展深刻影響生產(chǎn)、生活方式

隨著信息技術的快速發(fā)展應用，我國數(shù)字建設取得了顯著成效。根據(jù)《“十四五”國家信息化規(guī)劃》公布，我國的信息基礎設施規(guī)模全球領先，截至2020年，我國固定寬帶家庭普及率達96%，移動寬帶用戶普及率達108%，全國行政村、貧困村通光纖和通4G比例均超過98%等，表明我國數(shù)字經(jīng)濟實現(xiàn)了跨越式發(fā)展。2020年，我國數(shù)字經(jīng)濟總量躍居世界第二，數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重達到7.8%，電子商務交易額達到37.21萬億元。另一方面，信息惠民便民水平大幅提升。“互聯(lián)網(wǎng)+政務服務”應用廣度和深度快速拓展，國家政務服務平臺基本建成并開通服務，全國政府網(wǎng)站集約化水平顯著提升。全國電子社保卡簽發(fā)達3.6億張，遠程醫(yī)療協(xié)作網(wǎng)覆蓋全國所有地市2.4萬余家醫(yī)療機構(gòu)和所有國家級貧困縣縣級醫(yī)院，全國中小學（含教學點）互聯(lián)網(wǎng)接入率達100%[1]。信息技術的應用發(fā)展深刻影響社會經(jīng)濟發(fā)展和人民的生產(chǎn)、生活方式，起到了至關重要的作用。

2 大數(shù)據(jù)伴隨的安全形勢更為嚴峻

信息技術離不開數(shù)據(jù)采集、流轉(zhuǎn)、應用、迭代等方面，數(shù)字經(jīng)濟的發(fā)展與作為數(shù)據(jù)本身密不可分。當前，數(shù)據(jù)安全已成為事關國家安全與經(jīng)濟社會發(fā)展的重大問題。2021年7月，國家網(wǎng)信辦發(fā)布通報對“滴滴出行”進行網(wǎng)絡安全審查，其在收集使用個人信息方面存在嚴重違法違規(guī)問題，對其進行下架和停止新用戶注冊。同月，“運滿滿”“貨車幫”“BOSS直聘”被實施網(wǎng)絡安全審查，期間停止新用戶注冊[2-3]。2022年2月施行《網(wǎng)絡安全審查辦法》，明確掌握超過100萬用戶個人信息的運營者，赴國外上市必須進行網(wǎng)絡安全審查。這些事件的發(fā)生和產(chǎn)生的影響，也反映了在數(shù)字經(jīng)濟快速發(fā)展帶來時代紅利的同時，也伴隨著一些安全問題，包括數(shù)據(jù)信息泄露、濫用數(shù)據(jù)等情況。

3 常見的網(wǎng)絡數(shù)據(jù)安全風險隱患

常見的網(wǎng)絡安全風險隱患主要包括數(shù)據(jù)泄露、數(shù)據(jù)販賣、數(shù)據(jù)壟斷、算法推薦亂象等類型，具體情況如圖1。

圖1 常見網(wǎng)絡數(shù)據(jù)安全風險

3.1 數(shù)據(jù)泄露

漏洞隱患是導致數(shù)據(jù)泄露的主要方式，漏洞隱患不僅存在于硬件，也存在于軟件和安全管理中。漏洞更新方面，沒有及時更新漏洞補丁是常見的現(xiàn)象，不僅需要及時更新操作系統(tǒng)的補丁，還需要注意如瀏覽器、辦公軟件等應用軟件，各類運行環(huán)境、中間件等。在實際環(huán)境使用中，常出現(xiàn)部分系統(tǒng)平臺因開發(fā)原因，一旦隨意更新便會導致系統(tǒng)平臺不可用，導致不敢更新、不能更新、無法更新等情況。管理意識不強方面，弱口令依然是多年來最為常見的安全隱患之一，這表明相關人員網(wǎng)絡安全意識不到位，安全排查工作不全面。

3.2 數(shù)據(jù)販賣

數(shù)據(jù)販賣通常伴隨著數(shù)據(jù)泄露，一般有通過“內(nèi)鬼”盜取、木馬病毒竊取、利用漏洞獲取等各類違法行為方式。再通過點對點通訊軟件、網(wǎng)絡加密傳輸、網(wǎng)站叫賣等各類方式進行售賣，達到非法獲利的目的。在暗網(wǎng)中文交易平臺就單獨開設相關專欄，據(jù)統(tǒng)計僅2021年相關售賣事件達2000余起，平均每天約7起數(shù)據(jù)售賣事件，累計單條事件涉及總額近300萬美元，顯示完成交易涉及的金額為160余萬美元，嚴重威脅社會秩序和公民的合法利益。2022年1月，公安部公布《公安部公布打擊侵犯公民個人信息犯罪十大典型案例》，就有不少數(shù)據(jù)售賣的典型違法犯罪案例。

3.3 數(shù)據(jù)壟斷

隨著網(wǎng)絡數(shù)據(jù)安全內(nèi)涵的延伸和擴大，對數(shù)據(jù)合法合規(guī)地收集使用也成為數(shù)據(jù)安全的重要組成部分。當前，由于各互聯(lián)網(wǎng)平臺的業(yè)務大都由數(shù)據(jù)驅(qū)動，商業(yè)推廣、精準營銷、產(chǎn)品迭代等業(yè)務都離不開個人數(shù)據(jù)收集這個核心。各個平臺利用數(shù)據(jù)在追求利益最大化的同時，也引發(fā)了個人信息濫采濫用程度加重、數(shù)據(jù)壟斷亂象頻發(fā)的數(shù)據(jù)安全風險。基于數(shù)據(jù)壟斷優(yōu)勢進行“二選一”“大數(shù)據(jù)殺熟”等侵犯消費者權(quán)益的行為也層出不窮。

3.4 算法推薦亂象

在大數(shù)據(jù)和人工智能領域，算法推薦技術得到廣泛應用，提供了對用戶多元化、特性化的精準服務，減少了信息傳播的成本。算法推薦技術的濫用，也可能造成用戶沉迷風險、信息接收局限，造成一定程度信息壁壘和封閉，與此同時，算法應用中存在的違法和不良信息傳播、侵害用戶權(quán)益、操縱社會輿論等亂象問題也屢次出現(xiàn)，也是另一種形式的數(shù)據(jù)安全風險。2021年12月，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局就聯(lián)合印發(fā)《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》規(guī)范互聯(lián)網(wǎng)信息服務算法推薦活動。

4 數(shù)據(jù)安全風險來源

數(shù)字經(jīng)濟發(fā)展的過程中，網(wǎng)絡安全人才的配備和網(wǎng)絡安全防護工作的短板也逐漸凸顯。

“人防”方面，存在對數(shù)據(jù)安全工作重視程度不夠，認為數(shù)據(jù)安全是相關主管監(jiān)管部門的事、專業(yè)部門的事，同自己部門無關，對數(shù)據(jù)安全工作責任制落實不到位、不徹底，數(shù)據(jù)安全制度建立不完善，責任不明確。部分單位在相關網(wǎng)絡安全方面未配備專職人員，甚至沒有配置管理人員的情況時常出現(xiàn)，即使有相關的安全管理工作人員，也存在安全意識不強的問題。在遇到安全事件發(fā)生時，甚至出現(xiàn)用斷網(wǎng)關機這樣的手段來解決問題，這恰恰會助力某些網(wǎng)絡病毒的傳播，造成更大的影響和危害。同時，由于販賣數(shù)據(jù)的地下黑色產(chǎn)業(yè)鏈的形成，非法獲取數(shù)據(jù)進行販賣，獲得巨額利益的誘惑，也致使相關人員鋌而走險。

“物防”方面，不管是計算機軟硬件，還是網(wǎng)絡系統(tǒng)或應用程序，都是由人為編程而來，難免會存在網(wǎng)絡安全漏洞隱患，漏洞隱患會導致數(shù)據(jù)安全泄露等事件的發(fā)生。有的部門依然存在未定期排查系統(tǒng)風險隱患、未及時更新補丁、未按照要求及時開展國產(chǎn)化替代工作、采購的云計算服務未通過安全評估等情況。有的部門未按要求配置專業(yè)的網(wǎng)絡數(shù)據(jù)安全防護產(chǎn)品，導致重要信息系統(tǒng)能被輕易攻破，存在嚴重的網(wǎng)絡安全隱患。特別是在數(shù)據(jù)的產(chǎn)生和應用過程中，涉及面廣、參與環(huán)節(jié)多，存在安全隱患的風險點多，沒有完整的、關聯(lián)的安全防護體系，有可能由點及面，導致系統(tǒng)性的風險，進而導致數(shù)據(jù)安全威脅。

“技防”方面，有的部門在信息化項目建設時，未保證安全技術措施“同步規(guī)劃、同步建設、同步使用”，甚至在網(wǎng)絡安全方面零投入。有的部門在重要信息系統(tǒng)維護方面主要依靠第三方服務機構(gòu)，喪失對系統(tǒng)防護的技術主動性。有的部門由于技術力量有限，在處置安全事件時，只能處置被通報的事件，而不能發(fā)現(xiàn)存在的其他網(wǎng)絡安全風險隱患，導致連續(xù)發(fā)生網(wǎng)絡安全事件。特別在保護重要數(shù)據(jù)、重要資產(chǎn)環(huán)節(jié)時，過于依賴第三方，導致風險隱患不自知，“就事論事”處置事件，在獨立、自主的專業(yè)能力方面存在不足。

5 數(shù)據(jù)安全監(jiān)督管理依據(jù)不斷完善

最早施行的《網(wǎng)絡安全法》，到2021年施行的《數(shù)據(jù)安全法》《個人信息保護法》，從數(shù)據(jù)的產(chǎn)生直到數(shù)據(jù)的運用各個環(huán)節(jié)，以及數(shù)據(jù)安全管理和責任義務均有明確的要求，對各類角色不履行數(shù)據(jù)安全保護義務情形，明確了違法違規(guī)的具體規(guī)定，根據(jù)不同程度和違反不同條款，進行治安處罰或刑事追究[4]。

5.1 網(wǎng)絡數(shù)據(jù)安全保護框架

《數(shù)據(jù)安全法》中網(wǎng)絡數(shù)據(jù)安全保護，明確由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)監(jiān)督管理[5]。網(wǎng)絡數(shù)據(jù)安全保護框架與《網(wǎng)絡安全法》中所明確的保護框架一致，在電信、公安等各個主管監(jiān)管部門對各自職權(quán)范圍內(nèi)開展監(jiān)督管理的基礎上，由網(wǎng)信部門統(tǒng)籌協(xié)調(diào)并進行有關的監(jiān)督管理[6]。數(shù)據(jù)安全和網(wǎng)絡安全的主要監(jiān)督管理部門的工作，各自側(cè)重，也有各相互支撐，組成了一個完整的體系，網(wǎng)絡數(shù)據(jù)安全保護主要部門牽頭管理分工如表1。

表1 網(wǎng)信、公安、工信主要牽頭管理內(nèi)容

5.2 相關關系與關聯(lián)

網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法三大法律，從頒布、論證、起草、出臺，速度均很快，其重要性、緊迫性不言而喻，與互聯(lián)網(wǎng)的快速發(fā)展，信息技術的深層運用，網(wǎng)絡空間領域的安全風險緊密結(jié)合，三部法律對于維護網(wǎng)絡空間的國家安全、社會秩序、公民合法權(quán)益有著重要的推動作用。三部法律的側(cè)重有所不同，但也相互關聯(lián)、互相支撐，形成一個整體的監(jiān)管框架。

6 結(jié)束語

雖然國家和地方出臺相關數(shù)據(jù)安全保護的法律法規(guī)、部門規(guī)章制度，但具體在執(zhí)行層面、明確細致的規(guī)范標準方面，還需要有進一步的工作。如《數(shù)據(jù)安全法》中規(guī)定了數(shù)據(jù)交易的相關內(nèi)容，但在實際工作中，有關數(shù)據(jù)權(quán)屬、數(shù)據(jù)定價機制等問題仍未完全明確[9]。又如《數(shù)據(jù)安全法》中強調(diào)了要建立數(shù)據(jù)分類分級的有關內(nèi)容，但在針對性地開展此項工作中，會面臨涉及各行業(yè)各領域，數(shù)據(jù)的類型不同、影響不同、來源不同、格式不同等，在如何界定數(shù)據(jù)的類型和重要性，如何進行統(tǒng)一標準掌握，還需進一步加快研究落地[10]。同時，數(shù)據(jù)安全技術尚需繼續(xù)進步，部分場景面對挑戰(zhàn)[11]。如加密技術的快速發(fā)展，一方面保護了數(shù)據(jù)傳輸過程的安全問題，另一方面也對數(shù)據(jù)非法傳輸提供了保護能力。又如各類數(shù)據(jù)的大量收集和匯聚，也加大了數(shù)據(jù)資產(chǎn)梳理難度，影響系統(tǒng)性能，擴大了安全風險來源渠道等，傳統(tǒng)技術還需進一步優(yōu)化、升級，才能滿足當下日益增長爆發(fā)的數(shù)據(jù)存儲、更新、應用、監(jiān)管、安全保護等場景。