进入数字经济时代,数据成了至关重要的生产要素,是各类企业的兵家必争之物。但由于新技术发展过快,而相关监管措施的出台又需要一个审慎的过程,因此在一段时间内,关于数据的收集、使用缺乏明确的规范,使得这段时间内隐私泄露、数据滥用等各种乱象层出不穷。
不过,这局面随着《数据安全法》的到来,而正式结束。2021年6月10日,《数据安全法》经人大常委会审议通过,并在当年9月1日正式开始施行。
作为我国第一部针对数据安全的上位法,以及世界上第一部以数据安全为名的专门立法,《数据安全法》为进入数字经济时代后中国的数据安全提供了完整的指导,补强了我国在数字治理的规则体系。
在具体的法律条文上,《数据安全法》涉及到数据安全的多个方面,包括明确了数据安全和发展之间的关系,划分了与数据安全相关角色的职责、明确各自应扮演的角色和应当承担的责任,对数据进行分类管理和保护提供了明确的思路,对数据交易管理、安全评估、安全审查等都做出了较为完善的制度规定,对数据安全保护义务提出了较具体的要求,对数据跨境问题作出了重要的规定,此外,还对政务数据的安全与开放过程中的责任作出了专门的规定,以及对违法所导致的处罚作出了规定等等。
到今年9月,《数据安全法》正式实施一周年。一年以来,中国数字经济领域正酝酿着一场全方位的嬗变。
作为数字经济最重要的生产要素,数据无处不在,且数据的规模还在以指数级增长,这就使得数据安全管理成为一个长期、复杂的系统工程,需要持之以恒、循序渐进,无法毕其功于一役,也没有包治百病的良药。
在《数据安全法》出台之前,《网络安全法》于2017年6月正式实施。而在《数据安全法》实施之后,《个人信息保护法》也在2021年11月正式实施。《网络安全法》《数据安全法》《个人信息保护法》这“三驾马车”构成了我国数据安全领域完整的基础性法律体系,为国家、地方、行业、个人的数据安全保护提供了最重要的法律参考依据。
在“三驾马车”给出方向指引的同时,上到国家、各部委,下到地方、行业也都全面行动,通过更加有针对性的法律、法规、条例等进一步丰富和细化数据安全管理体系,以推动《数据安全法》更加深入地落地执行。其中,国家先后出台《关键信息基础设施安全保护条例》和《网络数据安全管理条例(征求意见稿)》等行政法规,各地方紧随政策,截至今年6月,一共有十八个省市公布了相关数据管理条例;公安部、工信部、发改委、交通运输部、银保监会等部门陆续出台相关行业指导文件、技术标准等。
根据第三方机构的统计,从2021年到2022年上半年,在中国内地,陆续出台的数据安全相关国家法规有8项、重点行业政策26项、地方性政策规章31项、国家技术标准7项及重点领域报告20项。随着这些法律、法规、管理条例的出台,我国迅速形成完善的数据安全法律法规和管理体系。
而随着数据安全法律法规体系的建立和完善,各行各业对于数据安全的合规要求也在发生变化。
过去,企业往往只需从防数据泄露、数据脱敏、安全加密、数据库权限管理等数据防护业务的维度出发,确保自家防火墙不被攻破、系统中的机密数据不被泄露,“守土有责”、做好自己局部的安全就算合规。
但在《数据安全法》出台后,数据安全成为新的技术热点。相比于传统的网络安全、信息安全,数据安全的内涵和外延都有着明显的不同。《数据安全法》明确写道,数据安全指的是通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据有其生命周期,包括采集、传输、存储、处理、交换、销毁这6个主要的阶段。
这就意味着,数据安全合规不仅要确保数据贯穿全生命周期内的安全,以及相关的数据防护过程的安全,而且对安全合规监管的要求也更高了,包括确保数据的机密性、完整性、可用性不受破坏等等。
随着《数据安全法》及相关配套法律法规、条例、标准细则等文件出台,数据安全管理被设置了一道严格的法律红线,不可越雷池半步。企业的数据安全管理必须从过往单点、被动式信息安全或者网络安全防护,转变为全域、主动型、以数据为中心的安全体系建设。
如著名市场调研机构Gartner所说,数据安全是由保护静态或动态敏感信息资产的一系列流程和工具组成。对企业来说,是时候借助一系列技术和产品工具来加强数据安全全生命周期管理、数据安全治理能力建设等,来满足数据安全合规监管要求了。
在互联网早期,数据的流通形态通常是提供方将原始数据或简单预处理后的数据集直接提供给需求方。这种数据流通,大多通过中介或统一平台进行。在这种模式下,数据很容易被二次传播和利用,数据泄露和数据价值减损的风险很高,数据提供方很难保障自己的权益。
随着互联网技术的发展,通过API接口成为主流的数据流通形态。在这种形态下,提供方开始由直接交付原始数据转变为提供数据查询或处理分析的结果。这种控制输出内容和调用次数、时限的方式,虽然在一定程度上保护了原始数据的隐私和安全,但仍无法避免调用结果被获取方缓存后进行的二次传播和加工利用。即使在实践中,数据供需方大多会在合作协议中约定不可缓存数据的条款,但因为缺少独立的监控与审计,数据提供方的权益仍然无法得到完全保障。
不光如此,以API接口为代表的传统大数据技术对数据在机构间的流通场景缺乏支撑,导致对外的数据融合应用与对内的数据安全保护总是难以兼顾。当侧重数据应用时,黑市交易猖獗、个人信息外泄的情况严重;而当侧重数据保护时,可流通的数据范围和数据对象受到限制,数据的价值便难以发挥。
如今,在数据安全“三驾马车”的就位,尤其是《数据安全法》的出台后,数据全生命周期管理有了全新的要求。这也倒逼企业不断升级数据流通技术。而能够帮助数据实现“可用不可见”效果的隐私计算技术,随之异军突起,被认为是最有希望解决跨机构间数据有序流通问题的一类关键技术。
咨询机构Gartner就将隐私计算列为2021年值得企业机构关注的九大重要战略科技之一,并预测到2024年,隐私驱动的数据保护和合规技术支出将在全球突破150亿美元,即达到千亿元人民币以上。
图片来自:Gartner
政府等部门发文支持鼓励发展和应用隐私计算技术,相关产品和项目迅猛增长,纷纷在一级市场获得投资,并深入到金融风控、数字政务、互联网营销、智慧医疗等数据强监管行业场景之中,为这些行业的数据合规监管和价值释放提供赋能。
尽管隐私计算技术的的确确帮助客户更好地保护了数据隐私的安全,但一方面,如前文所述,数据安全不仅仅只有隐私的保护,还包括分级分类、存证留痕等,另外一方面,在数字经济时代,数据不光要安全,还也需要得到更高效地流通,从而全面释放价值,进而推动数字经济的发展。
因此,仅依靠隐私计算这一项技术,并不足以完全适应数字经济安全与发展的需求。这也是为什么,市场上诸多著名的隐私计算厂商都在转型为数据解决方案提供商。
而作为国内领先的可信数据基础提供商,八分量深耕可信计算、区块链、隐私计算等技术多年,自主研发出了能妥善解决数据安全与发展的可信数据基础设施系列产品——企业数据可信基础设施、行业数据可信基础设施、全域产业数据可信基础设施,为企业、产业等提供包括数据安全与降本增效在内的全场景数据解决方案。
这些产品,凭借着创新技术和实用价值,已经在金融、工农业、政务等行业落地。
以八分量行业数据可信基础设施为例,这是一款基于八分量和北京大学共同研发的异构共识技术而打造的联盟链产品,可同时无缝支持异构多条联盟链的协同工作,实现10万级别的TPS(每秒处理的消息数),同时容错和抗冗余攻击率高达90。
八分量行业数据可信基础设施依靠可信计算、区块链、人工智能等技术,打通产业链上下游数据,为产业链打造可信数字经济平台,助力上下游企业降本增效、金融服务效率提升,最终推动区域数字经济的发展。
在浙江玉环,八分量行业数据可信基础设施协助当地水暖阀门行业建立“玉环市智联阀门产业互联网平台”。截至2021年5月,该平台已服务超过850家小微阀门企业,累计贸易额达到18亿元,使企业原材料采购成本每吨降低100到300元,有效防范原料价格波动风险,同时企业利润提升20以上。目前,该平台已升级为中小企业公共服务示范平台,获得平台的认可。
八分量依托其与牛津、北大等国内外一流高校建立的校级联合实验室,研发出了全域产业数据可信基础设施,不仅充分满足了数据安全相关法律对信息隐私、数据安全的合规要求,也解决了现代供应链环境对数据可信性、可用性的需求。目前,八分量全域产业数据可信基础设施已在金融、征信、政务等数据安全合规强监管场景落地应用。
基于可信数据基础设施,八分量不仅仅能够为企业、产业链等各类客户提供数据安全服务,能够助力数据价值的释放和地方数字经济的发展。也正是因为在上述方面所取得成就,八分量获得了一系列数字经济领域的奖项,包括“国家高新技术企业”“北京专精特新企业”“2022中国数字经济产业百强”、中国人民银行2020年度金融科技发展奖三等奖等。
2017年,《经济学人》杂志在封面文章中写道,数据将取代石油成为新时代最重要的资源。
《经济学人》20170509
在工业时代,全球的政治经济格局基于最重要的资源——石油而建立。那些掌握着石油的企业,不仅能够创造巨大的财富,在国际竞争中往往也拥有更大的话语权。
而如今,当人类进入数字经济时代,世界的秩序势必由要围绕着数据而构建,包括美国、欧盟和中国在内的国家或者地区先后出台数据安全相关的法律法规体系。
如果说,未来,国与国之间的较量是数据安全与数据价值释放能力的比拼的话,那么对中国的企业来说,谁能成为数据安全与高效流通的基础设施,谁就能真正在未来的企业竞争中立于不败之地。