楊海，陳亮

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心貴州分中心，貴州貴陽 550001）

隨著互聯(lián)網(wǎng)的廣泛普及，信息技術(shù)快速發(fā)展應(yīng)用，已經(jīng)改變了人民群眾的生產(chǎn)、生活方式，信息技術(shù)的快速發(fā)展加速了數(shù)字經(jīng)濟(jì)的發(fā)展，特別是在目前全球經(jīng)濟(jì)衰退、新冠肺炎疫情的持續(xù)影響下，數(shù)字經(jīng)濟(jì)的發(fā)展為我國(guó)經(jīng)濟(jì)增長(zhǎng)提供了有力的驅(qū)動(dòng)力，日益融入經(jīng)濟(jì)社會(huì)發(fā)展各領(lǐng)域的全過程。作為國(guó)家安全中的非傳統(tǒng)領(lǐng)域，數(shù)字化的快速增長(zhǎng)，也帶來數(shù)據(jù)安全的挑戰(zhàn)，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的出臺(tái)實(shí)施，在維護(hù)數(shù)據(jù)安全方面提供了具體的實(shí)踐路徑。

1 信息技術(shù)的應(yīng)用發(fā)展深刻影響生產(chǎn)、生活方式

隨著信息技術(shù)的快速發(fā)展應(yīng)用，我國(guó)數(shù)字建設(shè)取得了顯著成效。根據(jù)《“十四五”國(guó)家信息化規(guī)劃》公布，我國(guó)的信息基礎(chǔ)設(shè)施規(guī)模全球領(lǐng)先，截至2020年，我國(guó)固定寬帶家庭普及率達(dá)96%，移動(dòng)寬帶用戶普及率達(dá)108%，全國(guó)行政村、貧困村通光纖和通4G比例均超過98%等，表明我國(guó)數(shù)字經(jīng)濟(jì)實(shí)現(xiàn)了跨越式發(fā)展。2020年，我國(guó)數(shù)字經(jīng)濟(jì)總量躍居世界第二，數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)增加值占GDP比重達(dá)到7.8%，電子商務(wù)交易額達(dá)到37.21萬億元。另一方面，信息惠民便民水平大幅提升。“互聯(lián)網(wǎng)+政務(wù)服務(wù)”應(yīng)用廣度和深度快速拓展，國(guó)家政務(wù)服務(wù)平臺(tái)基本建成并開通服務(wù)，全國(guó)政府網(wǎng)站集約化水平顯著提升。全國(guó)電子社?？ê灠l(fā)達(dá)3.6億張，遠(yuǎn)程醫(yī)療協(xié)作網(wǎng)覆蓋全國(guó)所有地市2.4萬余家醫(yī)療機(jī)構(gòu)和所有國(guó)家級(jí)貧困縣縣級(jí)醫(yī)院，全國(guó)中小學(xué)（含教學(xué)點(diǎn)）互聯(lián)網(wǎng)接入率達(dá)100%[1]。信息技術(shù)的應(yīng)用發(fā)展深刻影響社會(huì)經(jīng)濟(jì)發(fā)展和人民的生產(chǎn)、生活方式，起到了至關(guān)重要的作用。

2 大數(shù)據(jù)伴隨的安全形勢(shì)更為嚴(yán)峻

信息技術(shù)離不開數(shù)據(jù)采集、流轉(zhuǎn)、應(yīng)用、迭代等方面，數(shù)字經(jīng)濟(jì)的發(fā)展與作為數(shù)據(jù)本身密不可分。當(dāng)前，數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大問題。2021年7月，國(guó)家網(wǎng)信辦發(fā)布通報(bào)對(duì)“滴滴出行”進(jìn)行網(wǎng)絡(luò)安全審查，其在收集使用個(gè)人信息方面存在嚴(yán)重違法違規(guī)問題，對(duì)其進(jìn)行下架和停止新用戶注冊(cè)。同月，“運(yùn)滿滿”“貨車幫”“BOSS直聘”被實(shí)施網(wǎng)絡(luò)安全審查，期間停止新用戶注冊(cè)[2-3]。2022年2月施行《網(wǎng)絡(luò)安全審查辦法》，明確掌握超過100萬用戶個(gè)人信息的運(yùn)營(yíng)者，赴國(guó)外上市必須進(jìn)行網(wǎng)絡(luò)安全審查。這些事件的發(fā)生和產(chǎn)生的影響，也反映了在數(shù)字經(jīng)濟(jì)快速發(fā)展帶來時(shí)代紅利的同時(shí)，也伴隨著一些安全問題，包括數(shù)據(jù)信息泄露、濫用數(shù)據(jù)等情況。

3 常見的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患

常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患主要包括數(shù)據(jù)泄露、數(shù)據(jù)販賣、數(shù)據(jù)壟斷、算法推薦亂象等類型，具體情況如圖1。

圖1 常見網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)

3.1 數(shù)據(jù)泄露

漏洞隱患是導(dǎo)致數(shù)據(jù)泄露的主要方式，漏洞隱患不僅存在于硬件，也存在于軟件和安全管理中。漏洞更新方面，沒有及時(shí)更新漏洞補(bǔ)丁是常見的現(xiàn)象，不僅需要及時(shí)更新操作系統(tǒng)的補(bǔ)丁，還需要注意如瀏覽器、辦公軟件等應(yīng)用軟件，各類運(yùn)行環(huán)境、中間件等。在實(shí)際環(huán)境使用中，常出現(xiàn)部分系統(tǒng)平臺(tái)因開發(fā)原因，一旦隨意更新便會(huì)導(dǎo)致系統(tǒng)平臺(tái)不可用，導(dǎo)致不敢更新、不能更新、無法更新等情況。管理意識(shí)不強(qiáng)方面，弱口令依然是多年來最為常見的安全隱患之一，這表明相關(guān)人員網(wǎng)絡(luò)安全意識(shí)不到位，安全排查工作不全面。

3.2 數(shù)據(jù)販賣

數(shù)據(jù)販賣通常伴隨著數(shù)據(jù)泄露，一般有通過“內(nèi)鬼”盜取、木馬病毒竊取、利用漏洞獲取等各類違法行為方式。再通過點(diǎn)對(duì)點(diǎn)通訊軟件、網(wǎng)絡(luò)加密傳輸、網(wǎng)站叫賣等各類方式進(jìn)行售賣，達(dá)到非法獲利的目的。在暗網(wǎng)中文交易平臺(tái)就單獨(dú)開設(shè)相關(guān)專欄，據(jù)統(tǒng)計(jì)僅2021年相關(guān)售賣事件達(dá)2000余起，平均每天約7起數(shù)據(jù)售賣事件，累計(jì)單條事件涉及總額近300萬美元，顯示完成交易涉及的金額為160余萬美元，嚴(yán)重威脅社會(huì)秩序和公民的合法利益。2022年1月，公安部公布《公安部公布打擊侵犯公民個(gè)人信息犯罪十大典型案例》，就有不少數(shù)據(jù)售賣的典型違法犯罪案例。

3.3 數(shù)據(jù)壟斷

隨著網(wǎng)絡(luò)數(shù)據(jù)安全內(nèi)涵的延伸和擴(kuò)大，對(duì)數(shù)據(jù)合法合規(guī)地收集使用也成為數(shù)據(jù)安全的重要組成部分。當(dāng)前，由于各互聯(lián)網(wǎng)平臺(tái)的業(yè)務(wù)大都由數(shù)據(jù)驅(qū)動(dòng)，商業(yè)推廣、精準(zhǔn)營(yíng)銷、產(chǎn)品迭代等業(yè)務(wù)都離不開個(gè)人數(shù)據(jù)收集這個(gè)核心。各個(gè)平臺(tái)利用數(shù)據(jù)在追求利益最大化的同時(shí)，也引發(fā)了個(gè)人信息濫采濫用程度加重、數(shù)據(jù)壟斷亂象頻發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)?；跀?shù)據(jù)壟斷優(yōu)勢(shì)進(jìn)行“二選一”“大數(shù)據(jù)殺熟”等侵犯消費(fèi)者權(quán)益的行為也層出不窮。

3.4 算法推薦亂象

在大數(shù)據(jù)和人工智能領(lǐng)域，算法推薦技術(shù)得到廣泛應(yīng)用，提供了對(duì)用戶多元化、特性化的精準(zhǔn)服務(wù)，減少了信息傳播的成本。算法推薦技術(shù)的濫用，也可能造成用戶沉迷風(fēng)險(xiǎn)、信息接收局限，造成一定程度信息壁壘和封閉，與此同時(shí)，算法應(yīng)用中存在的違法和不良信息傳播、侵害用戶權(quán)益、操縱社會(huì)輿論等亂象問題也屢次出現(xiàn)，也是另一種形式的數(shù)據(jù)安全風(fēng)險(xiǎn)。2021年12月，國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家市場(chǎng)監(jiān)督管理總局就聯(lián)合印發(fā)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》規(guī)范互聯(lián)網(wǎng)信息服務(wù)算法推薦活動(dòng)。

4 數(shù)據(jù)安全風(fēng)險(xiǎn)來源

數(shù)字經(jīng)濟(jì)發(fā)展的過程中，網(wǎng)絡(luò)安全人才的配備和網(wǎng)絡(luò)安全防護(hù)工作的短板也逐漸凸顯。

“人防”方面，存在對(duì)數(shù)據(jù)安全工作重視程度不夠，認(rèn)為數(shù)據(jù)安全是相關(guān)主管監(jiān)管部門的事、專業(yè)部門的事，同自己部門無關(guān)，對(duì)數(shù)據(jù)安全工作責(zé)任制落實(shí)不到位、不徹底，數(shù)據(jù)安全制度建立不完善，責(zé)任不明確。部分單位在相關(guān)網(wǎng)絡(luò)安全方面未配備專職人員，甚至沒有配置管理人員的情況時(shí)常出現(xiàn)，即使有相關(guān)的安全管理工作人員，也存在安全意識(shí)不強(qiáng)的問題。在遇到安全事件發(fā)生時(shí)，甚至出現(xiàn)用斷網(wǎng)關(guān)機(jī)這樣的手段來解決問題，這恰恰會(huì)助力某些網(wǎng)絡(luò)病毒的傳播，造成更大的影響和危害。同時(shí)，由于販賣數(shù)據(jù)的地下黑色產(chǎn)業(yè)鏈的形成，非法獲取數(shù)據(jù)進(jìn)行販賣，獲得巨額利益的誘惑，也致使相關(guān)人員鋌而走險(xiǎn)。

“物防”方面，不管是計(jì)算機(jī)軟硬件，還是網(wǎng)絡(luò)系統(tǒng)或應(yīng)用程序，都是由人為編程而來，難免會(huì)存在網(wǎng)絡(luò)安全漏洞隱患，漏洞隱患會(huì)導(dǎo)致數(shù)據(jù)安全泄露等事件的發(fā)生。有的部門依然存在未定期排查系統(tǒng)風(fēng)險(xiǎn)隱患、未及時(shí)更新補(bǔ)丁、未按照要求及時(shí)開展國(guó)產(chǎn)化替代工作、采購(gòu)的云計(jì)算服務(wù)未通過安全評(píng)估等情況。有的部門未按要求配置專業(yè)的網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)產(chǎn)品，導(dǎo)致重要信息系統(tǒng)能被輕易攻破，存在嚴(yán)重的網(wǎng)絡(luò)安全隱患。特別是在數(shù)據(jù)的產(chǎn)生和應(yīng)用過程中，涉及面廣、參與環(huán)節(jié)多，存在安全隱患的風(fēng)險(xiǎn)點(diǎn)多，沒有完整的、關(guān)聯(lián)的安全防護(hù)體系，有可能由點(diǎn)及面，導(dǎo)致系統(tǒng)性的風(fēng)險(xiǎn)，進(jìn)而導(dǎo)致數(shù)據(jù)安全威脅。

“技防”方面，有的部門在信息化項(xiàng)目建設(shè)時(shí)，未保證安全技術(shù)措施“同步規(guī)劃、同步建設(shè)、同步使用”，甚至在網(wǎng)絡(luò)安全方面零投入。有的部門在重要信息系統(tǒng)維護(hù)方面主要依靠第三方服務(wù)機(jī)構(gòu)，喪失對(duì)系統(tǒng)防護(hù)的技術(shù)主動(dòng)性。有的部門由于技術(shù)力量有限，在處置安全事件時(shí)，只能處置被通報(bào)的事件，而不能發(fā)現(xiàn)存在的其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，導(dǎo)致連續(xù)發(fā)生網(wǎng)絡(luò)安全事件。特別在保護(hù)重要數(shù)據(jù)、重要資產(chǎn)環(huán)節(jié)時(shí)，過于依賴第三方，導(dǎo)致風(fēng)險(xiǎn)隱患不自知，“就事論事”處置事件，在獨(dú)立、自主的專業(yè)能力方面存在不足。

5 數(shù)據(jù)安全監(jiān)督管理依據(jù)不斷完善

最早施行的《網(wǎng)絡(luò)安全法》，到2021年施行的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，從數(shù)據(jù)的產(chǎn)生直到數(shù)據(jù)的運(yùn)用各個(gè)環(huán)節(jié)，以及數(shù)據(jù)安全管理和責(zé)任義務(wù)均有明確的要求，對(duì)各類角色不履行數(shù)據(jù)安全保護(hù)義務(wù)情形，明確了違法違規(guī)的具體規(guī)定，根據(jù)不同程度和違反不同條款，進(jìn)行治安處罰或刑事追究[4]。

5.1 網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)框架

《數(shù)據(jù)安全法》中網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)，明確由國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)監(jiān)督管理[5]。網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)框架與《網(wǎng)絡(luò)安全法》中所明確的保護(hù)框架一致，在電信、公安等各個(gè)主管監(jiān)管部門對(duì)各自職權(quán)范圍內(nèi)開展監(jiān)督管理的基礎(chǔ)上，由網(wǎng)信部門統(tǒng)籌協(xié)調(diào)并進(jìn)行有關(guān)的監(jiān)督管理[6]。數(shù)據(jù)安全和網(wǎng)絡(luò)安全的主要監(jiān)督管理部門的工作，各自側(cè)重，也有各相互支撐，組成了一個(gè)完整的體系，網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)主要部門牽頭管理分工如表1。

表1 網(wǎng)信、公安、工信主要牽頭管理內(nèi)容

5.2 相關(guān)關(guān)系與關(guān)聯(lián)

網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法三大法律，從頒布、論證、起草、出臺(tái)，速度均很快，其重要性、緊迫性不言而喻，與互聯(lián)網(wǎng)的快速發(fā)展，信息技術(shù)的深層運(yùn)用，網(wǎng)絡(luò)空間領(lǐng)域的安全風(fēng)險(xiǎn)緊密結(jié)合，三部法律對(duì)于維護(hù)網(wǎng)絡(luò)空間的國(guó)家安全、社會(huì)秩序、公民合法權(quán)益有著重要的推動(dòng)作用。三部法律的側(cè)重有所不同，但也相互關(guān)聯(lián)、互相支撐，形成一個(gè)整體的監(jiān)管框架。

6 結(jié)束語

雖然國(guó)家和地方出臺(tái)相關(guān)數(shù)據(jù)安全保護(hù)的法律法規(guī)、部門規(guī)章制度，但具體在執(zhí)行層面、明確細(xì)致的規(guī)范標(biāo)準(zhǔn)方面，還需要有進(jìn)一步的工作。如《數(shù)據(jù)安全法》中規(guī)定了數(shù)據(jù)交易的相關(guān)內(nèi)容，但在實(shí)際工作中，有關(guān)數(shù)據(jù)權(quán)屬、數(shù)據(jù)定價(jià)機(jī)制等問題仍未完全明確[9]。又如《數(shù)據(jù)安全法》中強(qiáng)調(diào)了要建立數(shù)據(jù)分類分級(jí)的有關(guān)內(nèi)容，但在針對(duì)性地開展此項(xiàng)工作中，會(huì)面臨涉及各行業(yè)各領(lǐng)域，數(shù)據(jù)的類型不同、影響不同、來源不同、格式不同等，在如何界定數(shù)據(jù)的類型和重要性，如何進(jìn)行統(tǒng)一標(biāo)準(zhǔn)掌握，還需進(jìn)一步加快研究落地[10]。同時(shí)，數(shù)據(jù)安全技術(shù)尚需繼續(xù)進(jìn)步，部分場(chǎng)景面對(duì)挑戰(zhàn)[11]。如加密技術(shù)的快速發(fā)展，一方面保護(hù)了數(shù)據(jù)傳輸過程的安全問題，另一方面也對(duì)數(shù)據(jù)非法傳輸提供了保護(hù)能力。又如各類數(shù)據(jù)的大量收集和匯聚，也加大了數(shù)據(jù)資產(chǎn)梳理難度，影響系統(tǒng)性能，擴(kuò)大了安全風(fēng)險(xiǎn)來源渠道等，傳統(tǒng)技術(shù)還需進(jìn)一步優(yōu)化、升級(jí)，才能滿足當(dāng)下日益增長(zhǎng)爆發(fā)的數(shù)據(jù)存儲(chǔ)、更新、應(yīng)用、監(jiān)管、安全保護(hù)等場(chǎng)景。