摘要數字化背景下,數據是國家之間、企業之間的核心競爭力,數據流動是當今國內國際發展的常態化趨勢,包括國家之間的跨境流動、企業之間的數據開放、企業內部的數據處理以及個人與組織之間的個人信息交互.在數據流動的全流程中,把握數據主權是重中之重.不管是國家層面、企業層面、個人層面,只有掌握數據主權,才能保障國家安全、維護企業利益以及個人的合法權利.數字化轉型時期,如何在數據安全層面對數據主權進行保護,是現有技術手段無法解決的難點.通過數據運營安全的研究,在數據流動中內嵌安全屬性,以數據本體為核心對象,基于人工智能對數據進行風險評估與合規檢查,融合數據沙盒,將數據運營安全技術應用于數據主權保護,從數據安全層面保障數據主權.
關鍵詞數據流動;數據主權;數據運營安全;人工智能;風險評估;合規檢查;數據沙盒
從狹義上來講,數據主權對應的是國家數據主權,從廣義上來講,數據主權可以細分為國家數據主權、企業數據主權、個人數據主權[1].國家數據主權是國家主權在網絡空間的核心表現,關系到數據安全、數字鴻溝、個人隱私[2],這也是事關國家總體安全的關鍵,是國家的核心利益之一[3].企業數據主權是企業組織對所有經營管理過程中產生的各種有價值數據資源的占有、使用、解釋、自我管理、自我保護,并且不受任何組織和個人侵犯的權利[4].個人數據主權是公民因履行數據采集義務而獲得的數據使用權,包括用戶對數據的自決權和自我控制權,涵蓋個人隱私權、生命財產的數據保護、公民在國際社會中的數據保護等內容[2].
數據論文范例: 關于構建數據安全生態圈的研究與實踐
關于個人數據主權,有些觀點是從個人數據權利或者個人數據權益的角度闡述;在本文中,將涉及個人層面的部分按個人數據主權進行闡述.國外為保護數據主權出臺了相關法律法規,從時間線上相比國內的法律法規要早,如美國“FIRRMA”法案及其實施條例、《外國情報監控法》(FISA)、《出口管理條例》《合法使用境外數據明確法》(CLOUD),歐盟的《GDPR》《外資審查條例》等.我國最早在《中華人民共和國國家安全法》[5]對數據主權作了闡述,并在最近幾年持續加快了立法步伐,如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等[6-8]多部法律法規都從保障數據安全、數據控制以及數據占有等方面提供了法律依據和保障.
法律法規的完善使得國家數據主權、企業數據主權、個人數據主權有法可依,這也是維護各個層面數據主權的基礎.當前,我國已進入數字化轉型時期[9],數字化背景下,數據運營是國家、社會、經濟巨大變革的主要模式,也是保障數據主權的主要陣地.國家法律法規提供了掌控數據主權的理論保障,而如何讓數據主權在數據運營中得到落實,是當前數字化背景下的重中之重.針對上述關鍵問題,本文提出了保障數據主權,重塑數據安全的方法,以數據運營安全為核心,從數據安全層面為數據主權提供技術基礎.
1數據主權面臨的技術挑戰
數據主權在國家、企業和個人層面都面臨不同程度的挑戰.在國家層面,在數字化背景下數據跨境流動是必然的,這涉及數據運營組織將境內數據通過網絡傳輸、物理攜帶方式傳到境外或者從境外通過網絡訪問直接獲得境內數據.數據出境審查由國家相關主管部門進行把控,但對于數據運營組織來講,需要主動對數據跨境進行風險與合規檢查,防止因觸犯數據主權相關法律給國家造成損失.
在企業層面,數字化背景下數據運營是企業的主要運作狀態,企業之間的協作已經由以前的業務層面的分工協作轉變為數據層面的協作共享.如何在協作過程中保護企業的數據主權是企業在開展合作業務前必須解決的問題.同時,企業內部的數據處理活動,如果沒有進行相關的安全保障,可能造成數據泄露,而企業卻無法感知,從而造成企業數據主權的損害.保障企業數據主權,需要有完善的數據主權安全防護體系對企業數據運營全流程進行保障.
在個人層面,個人對個人數據享有主權,這主要體現在個人與數據運營組織產生數據交互方面.個人作為數據主體,對個人數據享有知情權、決定權、刪除權等各種權利,一旦組織不能滿足個人作為數據主體的訴求,將面臨違反個人信息保護的風險或處罰傳統的數據安全防護手段誕生于網絡邊界清晰、數據流動頻率較低的需求背景下,這個時期的防護技術主要包括加密、脫敏、傳統DLP、審計等.傳統的防護技術在過去對數據安全起到了一定保護作用,但應對當今以數據化為背景的數據運營的全流程安全,為國家、企業、個人保障數據主權,則無能為力.
主要表現在:1)數字化背景下,數據跨境流動需要對數據進行風險評估、合規保護,傳統防護思路的重點與該領域沒有交集;2)企業之間共享的是符合共享原則的數據,且應持續保證企業對數據的所有權,傳統的防護思路要么完全放棄數據防護,要么阻止數據共享,這不符合企業的真實訴求;3)企業內部的數據處理活動環節很多,每個環節都可能造成數據泄露從而損害數據主權,這就需要對每個環節采取安全措施,傳統的防護技術對數據圍堵攔截,不滿足數據處理活動對數據流動的高要求;4)個人維護個人信息主權,向數據運營者提出知情權、決定權、刪除權等權利要求時,傳統的防護技術僅僅是對數據高度保護,數據運營者不能為個人提供個人數據主權的響應.本文對數據運營安全進行研究,在數據流動中內嵌安全屬性,以數據本體作為核心對象,基于人工智能對數據進行風險評估與合規檢查,融合數據沙盒,將數據運營安全技術應用于數據主權保護,從數據安全層面保障數據主權.
2數據運營安全的技術應用
數據運營安全是數字化背景下,以數據流動作為優先保障條件,根據國家數據主權、企業數據主權、個人數據主權的不同訴求,在數據運營中內嵌安全屬性,重塑數據安全.核心技術包括:1)數據本體為核心對象,多模數據流動的標注追蹤;2)人工智能自動風險評估;3)基于知識庫的合規檢查;4)基于知識圖譜的數據主體權力;5)基于數據沙盒的數據主權保護.
2.1多模數據流動的標注追蹤
數字化背景下,數據運營組織的數據具有多重流動環節,包括組織之間的流動和組織內部的數據處理活動的流動.對不同的流動方式,數據運營安全將安全屬性內嵌于流動過程中,基于多模對數據本體標注追蹤.數據本體在數據運營組織方主要經歷收集、存儲、使用、加工、傳輸、合作、提供、出境、公開等數據處理活動.當數據在不同的工作模式下流動時,對數據進行標注追蹤.
不同的工作模式下的數據流動包含:數據在服務器的數據流動(如數據在私有云、公有云、云計算平臺中的流動)、數據在系統與用戶之間的流動、數據在用戶與用戶之間的流動、數據在系統與系統之間的流動以及數據以API接口方式的流動.多模數據流動的標注追蹤,以數據運營組織作為評估對象,針對上述工作模式對數據的流動進行標注與追蹤,同時也對第三方工作模式下的數據流動進行標注和追蹤.
第三方工作模式下的數據流動包括:數據在系統與第三方系統之間的流動、數據在用戶與第三方用戶之間的流動以及數據跨境時的流動.多模數據流動的標注追蹤對數據運營全流程中的數據流動范疇進行分析,借助不同工作模式下數據流動的標注追蹤,建立基于數據本體的知識圖譜,這也是保護數據主權的基礎和先決條件.
2.2人工智能自動風險評估
由人工智能驅動的自動風險評估,以全類型的政務數據、商業數據以及個人信息作為評估對象,將多模數據標注流動所建立的知識圖譜和數據本體可能影響的數據主權的對象作為風險評估的輸入,建立風險評估模型,對數據處理活動進行全流程的梳理與評估.人工智能自動風險評估以深度識別為基礎,從數據的本體特征、行業特性等角度,對數據進行深度識別與梳理;基于人工智能和不同行業的數據特征,選取風險評估的標準和模型,對流動于各處的數據特征進行智能識別和風險分析,綜合網絡上下文、數據上下文、環境上下文以及第三方系統日志情報形成風險特征,為進一步采取保護措施提供依據.
2.3基于知識庫的合規檢查數據運營安全對數據本體的合規檢查,以國家法律法規、國家標準、行業標準以及企業自身要求為合規依據,將數據主權作為合規檢查的標準點,將上述理論知識轉為數據運營安全技術可計算的知識庫,綜合多模數據標注流動所建立的知識圖譜、數據本體可能影響的數據主權的對象、影響的嚴重程度,對數據流動可能引起的數據主權違規風險進行智能分析.知識庫的建立以國內外的法律法規及標準為基礎,細化至同一國家不同地區的合規要求,以及同一行業不同數據運營組織的詳細合規點,對數據出境、企業之間的數據共享,企業內部的數據處理以及數據運營組織對個人信息的處理進行合規檢查,形成保護數據主權的決策依據.
2.4基于知識圖譜的數據主體權利通過多模數據標注流動建立的數據知識圖譜,個人信息以一種虛擬化的數據方式,建立了涵蓋全數據、全業務的個人信息視圖.通過知識圖譜掌握個人信息,在數據主體行使個人數據主權時,如提出查詢個人信息、更新個人信息、刪除個人信息等要求時,準確、及時地提供響應.基于人工智能,自動檢索所有與當前個人信息特征相關聯的數據,包括但不限于個人信息控制者持有的個人信息相關數據、個人信息處理者持有的個人信息相關數據以及隨業務流動與數據運營業務融合交錯的個人信息,并對數據主體的要求執行相應的響應.
2.5基于數據沙盒的數據主權保護數據運營安全在多模數據標注流動、人工智能風險評估以及基于知識庫的合規檢查的基礎上,形成數據主權保護的方法.不管是國家數據主權、企業數據主權還是個人數據主權,其關鍵節點都與數據運營組織有關.數據運營組織所對應的主體可能是企業、政府機關及各種社會團體.數據運營組織如何保護各方數據主權是解決問題的關鍵.
3結語
數字化轉型是未來10年社會經濟發展的主旋律,國家之爭、企業之爭的根本是數據主權之爭.數據主權相關法律法規的完善,在國家層面上,有助于提升數字化背景下我國與國際數據主權的博弈能力;在企業層面上,為企業的發展以及企業間的競爭向健康的方向推進提供法律保障;在個人層面上,為數據主體訴求獲得合法的響應提供支撐.
數據運營安全以國家法律法規、國家標準、行業標準以及企業自身要求為依據,重塑數據安全,為國家數據主權、企業數據主權、個人數據主權提供技術支撐.隨著國際形勢、社會以及數字經濟本身的發展,合規要求、數據主權的保護力度都會隨新形勢的變化而變化.數據運營安全應在人工智能模型、數據主權風險分析模型等方面繼續研究和跟進,與時俱進,為數據主權的保護持續提供技術支撐.
參考文獻:
[1]王永剛.專家觀點:完善立法,明確網絡主權、控制數據主權[EB?OL].2015[2021-09-09].
[2]張曉君.數據主權規則建設的模式與借鑒———兼論中國數據主權的規則構建[J].現代法學,42(6):136149
[3]石純民.數字化時代,亟須捍衛“數據主權”[EB?OL].2018[2021-08-28].
[4]王琳,朱克西.數據主權立法研究[J].云南農業大學學報:社會科學版,2016(6):6265
[5]中華人民共和國第七屆全國人民代表大會常務委員會.中華人民共和國國家安全法[EB?OL].1993[2021-08-28].
[6]中華人民共和國第十二屆全國人民代表大會常務委員會.中華人民共和國網絡安全法[EB?OL].2017[2021-08-28].
作者:王文宇
相關閱讀
