专家观点 | 数字经济时代的数据安全与个人信息保护
2021-11-19
来源: 中国信息安全
随着人工智能、云计算、大数据、区块链等新技术的发展,数据已成为数字经济时代最有价值的生产要素,是国家经济发展的强大动力,正在深刻改变着人类社会的生产和生活方式。党的十九届四中全会首次增列“数据”为生产要素,近日,习近平总书记在中央政治局第三十四次集体学习时也强调,“充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济”。数据越来越成为国家和社会发展的重要基础,对推动我国经济社会的高质量发展,提升国家治理能力现代化水平具有重要意义。
规范信息保护,扎紧数据安全藩篱
数据天然具有流动、可复制等属性,导致在使用过程中易产生数据泄露、数据滥用等问题,损害企业和个人的利益,严重时甚至危及国家安全。比如,疫情期间患者的个人信息、健康状况等相关信息多次遭到泄露,损害了个人的合法权益。数据安全和个人信息保护,是数字经济发展要解决的基本问题,也是数字经济可持续发展和企业数字化转型成功实施的基本要求。
数据安全和个人信息保护涉及个人、企业、国家多个层面。个人是数据安全和个人信息保护的最广泛参与者,需要加强对个人信息保护,保障个人的合法权益,维护人格尊严;企业是数据安全和个人信息保护的关键主体,保障企业数据安全对于产业健康发展具有重要意义,企业层面要保证合法合规地利用数据,促进产业有序发展;数据安全目前是网络空间安全的焦点,是事关国家安全与经济社会发展的重大问题,在国家层面要保障经济稳定和国家安全,维护国家数据主权。
数字经济时代下,随着新技术、新应用的普及,个人信息泄露、过度收集、大数据杀熟等侵犯个人合法权利的事件屡屡发生,数字经济为个人生活带来极大便利的同时,也需要进行规范和约束。个人信息保护关系到个人的人格权、隐私权、知情权等多种权利,通过规范个人信息的处理活动,明确信息处理者的责任和义务,更全面地保护个人信息安全,维护数字社会中的人格尊严和自由,保障个人合法权利不受侵害。
各行业的经营主体在经营管理活动中积累大量的数据和个人信息,随着数字经济快速发展和数字生态建设,内部用数场景日渐增多,数据边界逐渐模糊,企业作为数据管理的主体首先要从数据的采集、传输、使用等全生命周期管理的视角,保证数据的完整性、保密性、可用性。平台型企业的数据垄断现象日趋明显,超范围收集、大数据杀熟、算法歧视、过度逐利等问题时有发生,影响客户权益和国家利益。此外,数字经济时代的企业之间合作,也会带来跨机构之间的数据安全和个人信息保护问题,需要统筹考虑,加以规范。与此同时,国家制定出台各类法律法规,明确了企业主体的责任和义务,保障不同主体之间公平、公正利用数据,防范不正当竞争和数据垄断,推动数据有序流动。这一系列法律法规和规范为数据合理、合法、合规使用和流通提供了制度和规范基础,对企业的数字化发展具有重要意义。
国家高度重视个人信息保护,积极开展相关立法和标准制定,当前我国已有近40部法律、30余部法规、200多部规章涉及个人信息保护。2021年8月20日,国家出台了《个人信息保护法》,这是我国第一部个人信息保护的专门法律,自此个人信息保护迈入了新的阶段。《个人信息保护法》中规定“根据宪法,制定本法”,充分体现了国家尊重和保障人权,同时更加严格地限制敏感个人信息的处理,规范个人信息自动化决策,加大对侵犯个人信息行为的惩处力度,充分体现了国家对个人信息保护的重视和决心。
新的发展形势下,数据安全作为网络空间安全的焦点,而网络空间安全又是国家安全的重要组成部分,已成为事关国家安全与经济社会发展的重大问题。《网络安全法》《数据安全法》《个人信息保护法》等法律对数据安全、数据分类分级保护、关键信息基础设施等提出了要求,充分体现了国家对于数据安全和个人信息保护的重视,做好数据安全工作对于维护人民群众的合法权益、推动数字经济健康发展、保障国家安全具有重要意义。
全面统筹管理,夯实数据治理基座
工商银行始终坚持发展和安全并重,积极落实国家法律法规要求,在全集团数据治理框架内,全面做好数据安全管理和个人信息保护,充分激发数据要素的内在价值,防范金融风险、优化业务流程、提升客户体验,推动数字化转型发展。工商银行主要从组织保障、业务管理、技术体系、隐私计算等四个方面加强统筹管理。
在组织保障方面,工商银行已明确顶层设计,构建了决策、管理、执行、监督四位一体的组织架构,决策机构、管理机构、执行机构、监管机构协调联动,共同保障全行数据安全。同时工商银行遵循“依法合规、分级管理”及“谁主管、谁负责”“谁使用、谁负责”的原则,对数据及数据归属系统的安全进行全面审慎管理。
在业务管理方面,工商银行从制度建设、管理机制、个人信息保护、大数据安全等领域统筹开展工作,一是结合国家法律法规和监管要求,持续完善行内数据安全制度体系,出台了相关的管理制度、规定、办法等。二是建立健全业务管理机制,不断提升个人客户信息、征信信息等领域的安全管控能力。三是持续加强个人信息、大数据等方面的安全保护,完善个人信息保护政策和产品服务协议,构建大数据服务云安全管理体系,为全行业务管理提供安全保障。
在技术体系方面,工商银行结合国家标准DSMM模型,从企业级视角规划建立了多层次、立体化的数据安全技术体系架构,以数据资产安全为核心出发点,强化数据全生命周期技术管控,并结合行内的基础安全和监测响应手段,为全行数据安全管理和运营提供技术支撑。目前已建设加密服务平台、电子文件安全控制系统、客户端安全管理系统、云文档平台、安全运营平台等,提供统一加密服务、电子文件安全管控、终端安全管控等多种安全技术支撑能力,多措并举,全面加强数据安全防护,为全行数据安全管控保驾护航。
为了更安全地使用数据,工商银行积极探索多方安全计算、联邦学习、同态加密等新技术的使用,统筹规划建设企业级的隐私计算平台,目前已在行内多个场景开展试点工作,积极推广隐私保护计算技术的业务场景落地。比如,基于地产数据利用联邦学习模型进行企业贷中监测,与某金控公司合作,在银行原有的企业贷款数据相关特征基础上,引入了金控公司的地产特征,在两方原始数据不出库的前提下,构建贷中预警监测模型,显著提升风险监测业务能力,在“数据可用不可见”的前提下,提升了工行贷中管理能力,支撑了企业信用风险的分析工作和企业贷款的良性运转。
强化协同发力,护航数字经济发展
数据作为关键生产要素,其核心价值体现在使用过程中,应在数据流动中实施动态数据安全与个人信息保护。在充分保障安全的前提下,各方应协同发力,用好数据要素,助力数字经济健康发展。
一是积极探索特定领域的跨机构合作,建议大型金融机构可先行开展金融领域数据要素市场化试点,探索相应的定价、运营和风控机制,同时充分利用隐私计算等新技术,促进数据跨机构流通,解决数据孤岛、数据垄断等问题。
二是促进公共数据安全合规使用,加快建立规范化的数据交易市场,以负面清单制度作为数据交易的原则之一,对于涉及国家安全、经济安全、社会稳定、公共健康的数据要禁止交易,或由特定主体交易,更好促进公共数据安全合规使用。
三是研究数据跨境安全流动的机制,目前各个国家数据主权意识越来越强,在基于开放条件的双循环经济格局背景下,数据跨境流动不可避免,建议在现有法律法规的框架内,与其他国家和地区探索双边合作机制,保障数据安全、有序、可控流动,更好服务“双循环”发展格局。