来源:科技日报
原标题:加强安全防护 促进数字经济有序发展
安全与发展统筹协调是数字经济与实体经济深度融合的内在要求。面对当前仍然突出的安全风险及其与发展的平衡挑战,需要进一步完善制度和安全技术建设,形成制度与技术双驱动,促进数字经济健康发展。
前不久,习近平总书记在主持中共中央政治局第三十四次集体学习时强调,要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度,统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济。
近年来,我国数字经济快速发展,据中国信息通信研究院测算,2021年我国数字经济占比已经达到GDP的38.6%,同比增长2.4个百分点。随着社会经济各领域数字化建设的推进,数据成为我国政府和企业的核心资产。与此同时,数字经济发展中的安全问题也愈发突出,呈现影响大、损失重的特征。2020年全球数据泄露的损失成本高达1145万美元。
统筹协调发展与安全的关系,对促进我国数字经济健康发展至关重要。
安全与发展既对立又统一
数字经济的发展遵循哲学规律,既有拉动经济增长的作用,也带来新的安全隐患和风险,两者既对立又统一。安全问题不处理好,数字经济发展就成了无本之木。
数字化、网络化和智能化将现实世界连接成一个复杂的网络体系,在给社会经济提供便利的同时,也增加了个人隐私和基础设施的暴露风险程度。当前数字经济发展中的安全问题主要集中于数据安全和网络安全。
在数据安全方面,相关事件表现为国家数据主权受侵犯、商业数据泄露和个人隐私侵犯等。国际数据公司(IDC)数据显示,2020年,全球创造了59.0ZB的数据,其中50.4%的数据需要一定程度的保护,尤其是近25%的数据安全级别很高,却缺乏保护,风险隐患极大。我国用于数据保护的投资仅占数据存储投资的8%,数据安全保护仍有待进一步提高。当数据进行跨境流动时,其安全问题甚至上升至国家安全层面。
在网络安全方面,相关事件表现为关键信息基础设施遭攻击等,影响网络体系中软硬件系统的安全、可靠运行。国际上针对国家关键基础设施的软件勒索和病毒勒索案例日益增多,直接危害国家安全。在我国数字经济发展从消费互联网向工业互联网拓展延伸的背景下,海量生产设备接入互联网,网络安全将引发设备被操控、生产数据泄露等问题,威胁产业链、价值链,侵袭工业体系安全运行。
随着智慧城市、数字孪生城市等数字技术应用综合体建设的持续推进,设施安全和数据安全问题交织融合,加剧安全引起的风险问题。目前,全球至少有60个国家正在部署近400个智慧城市项目。今年,荷兰、英国、新加坡等国家放缓了智慧城市建设速度,主要原因之一是相关项目暴露了个人隐私泄露、关键信息基础设施存在被攻击风险等隐患。目前这些国家陆续强化了智慧城市的数据安全管理措施,并将安全原则前置到设计阶段。
鉴于安全形势严峻,国际上已形成了加强数字经济安全防护的共识。目前全球已有近100个国家和地区制定了数字化基础设施安全、数据安全保护的法律,其中欧盟的《通用数据保护条例》(GDPR)已成为全球参考标准,数据安全保护专项立法已成为国际惯例。我国也已陆续出台《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》等法律法规,保护个人信息权益,规范个人信息处理活动,保护关键信息基础设施免受攻击、侵入、干扰和破坏。
完善的数字经济规制的出发点和落脚点都是促进发展,而不是约束发展。《数据安全法》强调,“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”《个人信息保护法》也鼓励对匿名数据的价值挖掘。实际上,在保障数据安全的前提下,我国还持续发布政策鼓励云计算与物联网等数字技术的发展,并推动其在医疗、农业、金融、工业等多领域的应用。
统筹安全与发展面临诸多挑战
安全与发展是辩证的两个方面,既要保护数字经济发展安全,更要在安全的前提下促进数据的有序流动,激发数字经济潜能。当前,我国在协调数字经济安全与发展时,仍面临如何有效平衡以下两大问题的挑战。
一是关键基础设施数字化改造和安全保障之间的平衡挑战。在大举推进新基建背景下,大数据中心、工业互联网等新型基础设施在建设之初就对安全问题有了较为完整的考虑,但相对而言,传统基础设施的数字化改造面临较大的挑战。一方面能源、电力、交通、制造等传统行业基础设施改造需求强烈;但另一方面大量的老旧系统、设备在设计中缺乏通信保护、数据加密等安全考量,导致在连接泛在、环境开放、应用复杂性激增时,暴露出大量安全隐患。近几年,针对工业网络领域的攻击事件频频发生,航空、能源、电力、制造等众多企业在勒索攻击面前纷纷沦陷。勒索软件和病毒攻击成为关键基础设施的头号威胁,现有的黑客技术已经超过了传统的专网安全防护能力。2020年,国家工业信息安全发展研究中心共跟踪公开发布的工业信息安全事件274件,其中勒索软件攻击共92件,占比33.6%,涉及20余个国家的多个重点行业。因此,如何在完备关键基础设施保护的前提下,实现对传统基础设施的数字化改造,发展融合型新基建,需要统筹协调。
二是数据本地化与跨境数据流动之间的平衡挑战。当前,全球各国普遍认识到数据作为国家战略性资源的重要性,对数据保护的重视程度前所未有。数据本地化成为全球跨境数据流动的主要趋势,采取此类政策的国家从2017年的35个增加到2021年的62个。数据本地化政策的总数也从2017年的67项增加到2021年的144项。此外,世界各国正在提议或起草另外38项数据本地化政策。但是,单一数据包含的信息密度很低,只有大规模、高维度、及时性很强的“大数据”才能有效发挥规模经济和范围经济效应,此时数据才具有经济价值。因此,在安全的前提下,数据的跨境流动是数字贸易背景下不可回避的现实问题。在这方面,以美国、欧盟为首的发达国家正积极促进安全保障前提下的数据跨境流动,今年4月,七国集团在数字和技术部长会议上建立了数据信任自由流动合作方案,英国、日本和欧盟将率先使用该方案,以确保跨境数据自由流动满足一定的安全和隐私标准。商务部发布的《中国数字贸易发展报告2020》显示,2020年,我国数字贸易额达2947.6亿美元,较2015年增长47.4%。未来,数字贸易市场前景广阔,寻找跨境数据流动中安全与发展的平衡点需求迫切。
多管齐下夯实数字经济发展基础
第一,要持续完善并强化落实数字经济安全防护相关法律法规,打造安全可靠的数字经济发展环境。一是进一步推进《网络安全法》《数据保护法》《个人信息保护法》等法律法规的宣传和落实。二是坚持国内国际双循环新发展格局,加强数据跨境流动规则的研究和制定,推进试点工作开展,探索与国际规则对接机制,助力构建数字经济双循环格局。
第二,要将安全防护制度与技术相结合,夯实关键基础设施的安全根基。一是加强关键基础设施监管,依据基础设施等级保护要求,努力实现资产可见、配置可靠、漏洞可管、补丁可用,打好工业网络信息系统可管理、可防御的坚实基础。二是强化安全技术攻防演练,完善关键信息基础设施实战化、体系化、常态化的安全防护机制。
第三,要促进数字经济和技术发展,增强安全防护能力。一是规范使用数据规则和权属关系,探索有效数据确权机制,推进数据资产交易制度建设,充分发挥数据生产要素作用,推动经济增长。二是依靠数字经济发展带动网络安全产业增长,加强数据保护和监管的技术能力建设和研发投入。三是鼓励企业建立隐私策略框架,加强对国际标准化组织有关框架标准的研究和应用。四是加强数字技术人才培养和使用,增强全民数字素养,提升国家网络和数据安全防护能力。
(刘昌新系中国科学院科技战略咨询研究院副研究员,吴静系中国科学院科技战略咨询研究院研究员)
责任编辑:王后