數據成為國家基礎性戰略資源,價值與安全威脅同步顯現。我國加快數據安全建設具有三方面背景:1)數字經濟蓬勃發展。數字經濟以數據為關鍵生產要素,產業數字化、數字產業化趨勢正在加快,《“十四五”數字經濟發展規劃》提出,到 2025 年,數字經濟核心產業增加值占 GDP 比重達到 10%。2)數據安全威脅多發。數據具有可復制、可無限供給等屬性,伴隨各類數據迅猛增長,數據安全問題由沖擊個人隱私、商業秘密上升至損害國家利益;根據 Risk Based Security 統計,2021 年全球公開披露數據泄露事件 4145起,共導致超 220 億條數據泄露。3)數據主權博弈顯現。經濟全球化推動各國經濟貿易與技術交流,大量數據在全球范圍內跨境流動,或導致國家關鍵數據資源流失,美國、歐盟等頒布法案并進行數據安全“長臂管轄”,各國數據博弈緊張化。
《數據安全法》、《個人信息保護法》落地,數據安全上升至國家安全層面,“十四五”期間將加快建設。《數據安全法》首次獨立將數據作為保護對象,明確由“中央國家安全領導機構負責國家數據安全工作的決策和議事協調”;《個人信息保護法》專門針對個人信息處理活動進行規范;《“十四五”數字經濟發展規劃》將數據安全作為數字經濟安全體系的一環,要求建立健全數據安全治理體系。伴隨數據安全“五法一典”出齊,2021 年成為我國數據安全元年,各地、各行業加快數據安全政策體系完善與落地執行,政企機構強化數據安全建設,共同助力網絡安全行業高景氣度維系。2022 年 12 月,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》強調加快構建數據基礎制度,提出“強化數據安全保障體系建設,把安全貫穿數據供給、流通、使用全過程”。2023 年 1月,工信部等十六部門聯合印發《關于促進數據安全產業發展的指導意見》,提出到 2025年,數據安全產業基礎能力和綜合實力明顯增強,產業規模超過 1500 億元,到 2035 年,數據安全產業進入繁榮成熟期。
數據安全是數據開發利用和產業發展之基,政企機構具有數據安全保護義務。我國數據安全政策的安全主線體現在:1)與等保、關基銜接。《網絡安全法》對等保、關基對象已提出數據安全要求,《數據安全法》進行銜接,要求利用網絡開展數據處理活動,應當在等保基礎上履行數據安全保護義務。2)貫穿數據全生命周期。在數據采集、傳輸、存儲、處理、共享、銷毀等各階段,政企均需進行安全防護。3)數據分類分級保護。不同類型、不同級別的數據,重要程度、可能造成的危害程度不同,應當匹配不同的保護措施;《數據安全法》要求建立數據分類分級保護制度,《網絡數據安全管理條例(征求意見稿)》將數據分為一般/重要/核心數據,身份信息、隱私信息、生物特征信息等也成為政策關注點。4)“管理+技術+運營”體系建設。數據安全不僅是技術問題,更是管理問題;《數據安全法》規定,數據處理者要建立數據安全管理制度,也要采取技術措施保障數據安全,還要加強風險監測;《個人信息保護法》也在管理、技術、運營等方面提出要求。
