查看原文
其他

专访李京春——数据分类分级需要同时考虑分类安全与发展两个视角

何妨 数字生产力研究 2022-09-24



编者按:已然来临的数字时代,数据是核心驱动要素。围绕数据的开发利用,一场新的生产与认知革命正在展开。想要了解这个时代,必须要先认识数据。21世纪经济报道准备了数据要素市场系列报道,以期为行业和社会公众提供理解数据的敲门砖。



当数据确权的讨论还在学术理论界争执不下时,数据分类分级的实践早已在各行各业遍地开花。

早在2017年,《网络安全法》已经提出了“数据分类”的要求,在“网络安全等级保护制度”的基础上实施重点保护和应用。数据安全需要采用分类分级安全管理,按重要级别备份/恢复,按数据类别进行强制访问控制、身份识别等密码措施加以保护。同时,为保证数据的充分利用,行业在实践中则加入了数据业务发展的视角,将数据按照业务场景、需求等进行了更适应大数据应用、机器学习、人工智能、区块链等数字时代发展需要的分类分级方式。

随着数据被认定为新的生产资料,市场成为数据分类分级中新的场景与变量,数据分类分级的方式将会有何变化?当面向市场时,数据分类分级目的与原则是什么?会出现哪些新的特点与问题?21世纪经济报道就此专访了国家信息技术安全研究中心总师组专家李京春。


21世纪:我们从前在谈分类分级的时候,主要是在安全的语境下,现在如果把它放在一个让数据有序流动的场景里,数据分类分级还是不是同一件事,它会相应变化吗?

李京春:原始数据不便于安全管理和共享利用,如果有人说原始数据能利用,也只能说是很初级、少量的共享利用,数据越多越容易碎片化,无法有序管理,最终成为数据“垃圾场”。为保证数据质量和高效利用,数据本身必须治理,数据分类分级就是数据治理的重要内容,需要站在不同的视角多维度管理和利用。比如,监管部门或数据安全企业可能会更多地关注在数据处理活动当中是否合法、正当、必要,是否合规。毕竟数据关乎国家安全和经济发展,关乎公共利益,关乎我们每个人的隐私安全,所以说安全是数据分类分级需要考虑的重要因素。

同时,当我们回顾历史发展的进程,从工业革命时代到信息化时代,其实我们都在做一件事,就是数字化转型。早期人们把模拟数字信号转换成数字信号、把机器字符转换成数字字符,从此数字可以识别、传输、存储、计算了;人们再把数字和数据(数字集合)转换成信息,人们便可以理解信息内容了。后来这些承载着信息的字符、数字、数据不但可以科学计算、信息处理、自动控制,人们采用统计分析、综合研究后,便成为了一种新的知识。人类生产生活进入到信息时代,这个时代的数字化转型也叫半自动化转型,是不彻底的。

我们今天在做的数字化转型是全自动化转型和智能化转型。实际上是因为数据量已经足够大了,可以作为一种生产要素来驱动经济发展,包括物理世界和虚拟世界,数据打通和互操作,有人叫它“元宇宙”。未来需要打通这两个世界,海量数据改变了我们现在的消费模式、生产方式、出行样式,分类分级的数据在两个世界中流动、加工利用,驱动着物理实体经济和网络虚拟经济的发展,这充分说明数据的价值如同“石油”一样重要,成为新动能,成为新资源,成为世界各国、各企业关注的焦点和掠夺的对象。

数据有了价值,对价值的追求就会伴随而生,不择手段。有的人在追求的道路上走错了方向,突破了法律的边界,突破了道德的底线,物理世界和虚拟世界都会充斥着掠夺、偷盗等犯罪活动。比如对个人信息的非法占有,对重要数据的贩卖,对核心数据的窃取,各类数据在互联网上泄露,在暗网上非法交易等等。数据安全的问题成为世界性难题,成为各国保护的对象。

所以,信息安全和信息化,无论是物理世界还是虚拟网络世界,它都不是绝对孤立的,它都是相伴而生的,相互作用的,数据分类分级需要同时考虑到安全与发展,两个视角观察世界。

21世纪:数据分类分级的标准和方法主要是考虑到了哪些因素?安全和发展哪一个因素会考虑更多?

李京春:实际上分类分级无论对于数据安全的场景,还是对于信息化发展的场景,都是非常重要的。从数据利用和信息化发展的角度看,数据分类分级很容易理解,数据分类便于大数据分析、区块链处理、人工智能应用,数据分级能保证在不同的范围内提供数据资源,数据共享是有规则的。从数据安全的角度来说,数据分类分级可以便于安全管理、分类施策、分级保护。

目前,法规中把数据分为三级,包括核心数据、重要数据以及一般数据。其中核心数据是关系到国家安全的数据,是不能够对外公开的数据,保护中需要做标记、标签、水印等处理,实行强制访问控制;重要数据是那些对于数据主体重要敏感的数据,这其中当然也包括批量个人信息,它可以在互联网上流动,但是必须要加以密码保护、安全保护,不能泄露;还有一些数据是公开数据或脱敏的、匿名的数据,它是可以参与到数据加工处理和共享流通中去的,因此,数据分类分级的标准必须健全,从识别、采集、传输、存储、加工、处理、提供、公开、销毁等全过程加以规范,数据分类分级是前提,是基础。

针对数据分类分级的原则,需要在几个方面加以关注。

一是“合法合规”的原则,也就是在你采集数据时,应当遵守相关法律法规和监管部门的要求;

二是“分级明确”的原则,这是便于数据安全保护,涉及到相关的数据,就按照各自的级别权限进行处理。

三是“分类多维”的原则,这是从数据管理的角度来考虑的,数据不分类不便于利用和管理;

四是“就高从严”的原则,这涉及到不同级别的数据混在一起使用,里面同时有高安全级别和低安全级别的数据,需要就高不就低从严处理。

五是“动态调整”的原则,在数据类型和级别随时间、政策等发生变化的时候,数据级别和相关的属性都会发生一些变化,需要重新调整。

六是“自主细化”的原则,我们现在这些分类分级的要求都是从顶层设计的角度来说的,但是行业和领域应用时,可能有更细的分类分级要求,有的行业分级就不只是3级了,可能有核心数据、重要数据、一般数据(公开数据、内部数据、敏感数据)等5级或者更多,需要地方、行业标准进一步细化。

21世纪:在我们进行数据分类的时候,是否会出现一些边界交叉的情况,或者是难以界定类别或级别的情况?

李京春:首先从管理的视角上看,主要是分为个人数据、企业数据、政务数据等等。我们以企业数据为例,它不可避免会涉及到收集一部分的个人信息,也会涉及到一部分公共的数据,当然也包括公司自己的数据。但我们不能简单认为这些数据被采集后,就认为这些数据是企业自己的了,这一点必须要搞清楚。

比如智能网联汽车企业采集的地图数据,你能说这些数据完全属于企业自己的吗?虽然说企业对这些数据进行了处理和加工,进行了数据的算法学习等等,但这里无疑涉及了国家重要的地理信息。如果你要对一个车企进行数据服务或跨境服务,要让对方的算法在重要数据中机器学习,虽然存在市场交易,算法学习完成以后,结果是否涉及到了国家重要甚至核心数据?再回过头来看,这些数据究竟是属于谁的?花钱了也不能随便占有国家重要数据,这些很细的问题都需要进一步明确,还要有相应的监管部门加以严格管理。所以说从管理的视角,分类是很复杂,是会涉及到很多交叉细化的问题的,包括技术性和非技术性问题,需要同时考虑到安全和发展两方面的因素。

21世纪:在我们提到企业数据的时候,更多的是希望它能流动起来,而提及政府数据的时候,我们似乎谈到开放共享比较多,政府数据会涉及到交易吗?

李京春:原则上来说,政府和政府之间的数据是共享交换,我们叫G to G,它不存在交易的问题。所以我们在前几年主要是做政府数据的整合共享这件事,让数据多跑路,群众少跑腿,现在来看很多城市办事都容易了很多,就是我们常说的“最多跑一次”,让人民群众有更多的获得感、幸福感和安全感。

但是在这里有一个问题,政府的数据在实践中很多是原始数据。数据是需要治理的,需要依据法规标准分类分级,打标签,再加工的,政府原始数据已经被数据交易所或数据服务企业进行加工、排序、分类、分级、脱敏、匿名等处理成为成品数据了,在数据治理的过程中,还要共享使用的数据进行编目,而且这个目录还要随着数据的变化能及时变更新增,保证数据质量和流通便捷性。

一般来说,这些工作主要由城市的数据交易所或数据服务企业来做,这其中一部分开放的数据经过加工脱敏之后就有可能参与到数据流通当中,这时它是可以评估、计价、交易的,但是这种数据交易不是随意的,要符合国家政策,符合当地政策。

21世纪:那是否会涉及到企业与政府之间的数据交易?

李京春:政府数据就是需要公开、分类分级利用和安全保护的,政府数据肯定会参与市场流动,政府不会收费,政府各部门会关注数据流动和交易的合法合规性,税务部门肯定会依法征税,金融部门会关注金融安全、金融合规、公安会关注其中的非法犯罪,工信会关注产业健康发展,而网信部门会协调其中的信息化发展和信息安全。未来国家还要推动的全国一体化的政务大数据建设,其中会涉及到更多、更大范围的数据整合共享,它的开放程度更高, 还要实现政府与企业数据的对接,也就是我们说的G to X。在这个过程中就一定会产生交易,让数据产生新价值,让数据赋能,让数据产生GDP。

同时,地方的数据交易所需要很全面的数据目录,政府数据目录、企业数据目录、跨境数据备案等等,在大数据局等政府部门管理下,形成数据交易“集市”,监督管理,需要统一合规的交易流程。而不是说两方企业签个合同交个钱,交易这就算合规合法了,不是这样的。所以说,我们的数据交易所、交易中心在政府部门的监管下,一定要承担起社会责任,保证企业利益、公民利益和国家利益。(文/何妨)


END










您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存