七、展望及倡议
随着数字经济发展,不断产生的海量数据将成为国家战略支撑点。为了确保数据战略安全健康实施,护航经济发展,需要从政府、科研、产业界、学术界、行业应用等多方面加强对数据产业、数据安全的支撑。可以预见,《数据安全法》出台在即,将推动落实与数据安全保护相关的一系列措施,各行业宜围绕国家数据安全战略,提升数据安全产业基础能力,加快研究和应用数据安全防护技术,健全完善数据安全法律规范与标准,构筑数据安全战略国际领先,向国际推出数据安全中国方案。
7.1 提升数据安全产业基础能力
7.1.1 加大普及全闪存数据中心力度
全闪存已成为产业共识,加速“磁退硅进”已成为业界趋势。越来越多的新建数据基础设施已经开始大规模采用全闪存技术,配合全IP化高速互联系统架构及高速数据中心网络,建设全闪存数据中心。通过建设全闪存数据中心,一方面提升数据中心的性能、服务响应速度和并发能力,另一方面降低数据中心能耗,用绿色的数据发展绿色的经济,用绿色的经济再反哺绿色的技术,实现“数字经济”的健康循环发展。
结合我国目前全闪存数据中心发展现状,建议在十四五期间,我国分阶段按行业普及全闪存数据中心:阶段一(2021年~2023年):关系国计民生行业(如:政务、金融、电信、能源、交通、医疗等行业)的关键信息基础设施所在数据中心升级为全闪存数据中心,鼓励云服务提供商商普及全闪存数据中心。阶段二(2024年~2025年):其他行业新建及改造数据中心全面普及全闪存数据中心。
7.1.2 强化基础软件技术自主创新能力
数据基础设施的基础软件应自主可控,建议积极推动软件产业自主创新,鼓励国内数据软件厂商自主研发,掌握核心软件技术,推动数据软件产业高质量、安全发展。
软件系统性安全应经过可信设计和验证,以确保数据基础设施的安全可靠,排除安全隐患,特别是类似超算中心、人工智能中心等国之重器的基础软件系统,更应该确保高可靠、自主创新,建议国家建立软件安全可信标准的认证实验室,确保系统软件安全可信。
7.1.3 促进数据产业绿色节能、高效发展
绿色节能是国家战略发展方向,政府应加快整合数据相关全产业链基础设施,以PUE、WUE、机架利用率等指标为牵引,统一节能目标,制定节能措施,在鼓励采用风能、光能等绿色新能源的同时,还要采用高效节能的产品和技术。
数据中心、人工智能中心、超算中心等数据基础设施是耗能大户,2019年全国数据中心耗电量达1608亿度,超过三峡+葛洲坝总发电量,也超过了整个上海市全年用电量,应加快绿色节能转变进程,鼓励采用半导体闪存介质。半导体全闪存能耗仅为机械硬盘1/3,加快全闪存、高密度等高效、节能技术的发展和应用,可以有效实现绿色节能,确保数据能源安全,助力3060碳达峰、碳中和的社会整体目标。
7.1.4 提升数据在产业应用中的价值变现能力,促进数据安全流通与治理
当前各国纷纷从国家安全和产业应用角度,意识到数据作为生产要素和国家资源的重要性。对企业而言,虽然大数据业务场景众多,但尚未充分释放出应有的商业价值,数据变现能力亟待提升。
一要厘清自身拥有数据资源的价值。以电信运营商为例,一类是与用户行为息息相关的数据信息,包括用户浏览网页、网购等行为产生的数据等;另一类是在物联网场景下产生的数据,比如传感器收集的气候、污染数据、资产货运的跟踪数据等,也包括与智慧穿戴设备的大数据,如人体健康、生活习惯或运动等方面的数据。这些数据既是提升大数据变现能力的基础,也是其大数据变现的关键所在。
二要树立生态意识,推进数据产业发展。要实现海量数据更好地发挥价值,生态合作变得至关重要。企业要依托对自有数据、安全能力以及对开放运营的支撑,致力于让生态圈地。完善数据安全防护体系,通过对数据资产要素进行分类和分级保护,并通过更多合作伙伴一起做创新应用,将不同来源的数据进行整合、叠加,引入多维度智能分析,真正发挥大数据的商业价值。
三要重点防范数据安全风险,切实做好数据安全数据梳理、数据血缘分析、数据流转和跨境数据监测、权限控制、数据保护、安全审计、追踪溯源等综合技术保障。持续提升我国数据生产要素的全生命周期安全水平,使数据的全生命周期管理融入安全基因。关系国家民生、经济、文化等领域的企事业单位,应参与提升保障数据安全能力,助力关键信息基础设施和数据资产的安全建设中。
7.2 加快数据安全防护技术研究与应用
7.2.1 强化数据安全领域关键基础技术的研究与应用
建议政府、科研、产业、学术、行业应用等政产学研用把数据产业作为基础性和战略性产业。围绕数据全生命周期,构筑技术领先的、自主创新的数据基座,并坚持数据产业向安全可靠、绿色节能等方向发展,确保数据产业关键技术的可获得。
在芯片、操作系统、人工智能等方面,培养头部企业,推动在各行业和场景中广泛应用,形成良性的产业循环,最终从国家输血转变为造血。
加强密码技术基础研究,积极开展商用密码技术创新,促进密码技术的成果转化,缩小商用密码技术与国际先进密码技术(比如后量子密码)之间的技术差距。
7.2.2 重视核心业务数据的安全保护,确保数据高可靠、高可用
建议优化和提升《 GB/T 20988—2007 信息安全技术 信息系统灾难恢复规范》标准,对于关系到国计民生的核心业务,如政府机关、委办局、政务云、智慧城市、一体化大数据中心、人工智能试验区、国家实验室、省市区县公安、交警系统、金融和参考《 GB/T 20988—2007 信息安全技术 信息系统灾难恢复规范》和《GB/T 22239-2019 信息安全技术 网络安全等级保护基础要求》,推荐采用以下灾备标准建设:
核心关键业务系统:从网络层、应用层、计算层和存储层等构建高可用能力,任一层故障的情况下,保证核心业务的同城或本地业务极致连续性,满足RPO=0、RTO<15min。同时可以支持扩展构建异地灾备中心,在发生区域灾难时,通过异地灾备中心恢复核心关键业务。
要业务系统:构建存储层高可用能力,保证重要业务数据零丢失。同时可以支持扩展构建异地灾备中心,在发生区域灾难时,通过异地灾备中心恢复重要业务。
普通业务系统:支持扩展构建异地灾备中心,在发生区域灾难时,通过异地灾备中心恢复重要业务
所有业务系统均建设本地备份系统,核心关键业务数据归档做长期留存,同时核心关键和重要业务系统的备份数据可扩展复制到异地灾备中心。
7.2.3 培养储备高素质数据安全人才队伍
根据数据统计显示,未来十年我国信息安全人才总需求量为140万人,而当前仅仅有3万毕业生,人才缺口高达 98%,比如数据新介质领域、人工智能领域、密码学领域等,人才数量与质量、结构比例与市场需求不匹配。
针对数据产业人才总量缺口大,地域和行业分布差异大等问题,建议进一步完善数据产业人才培养机制。一是研究制定数据产业人才体系的发展规划,建立多层次、多元化的人才培养目标。二是鼓励高等院校科学设置课程体系,注重学科间的交叉融合,鼓励跨学科选修数据类课程,探索与产业机构建立联合培养机制,培养兼具专业理论与行业知识的复合型人才。三是进一步推动人事制度改革,鼓励地方政府引导企业完善人才激励机制,通过优化工资待遇、设置奖励基金等方式引进和留住高端专业人才,优化人才的地域和行业布局。四是鼓励地方政府、数据产业龙头企业、各行业协会搭建平台开展社会化培训,组织跨机构之间的人才交流机制,探索建立人才储备机制。
7.3 强化法律法规在数据安全主权方面的支撑保障作用
未来通过“三驾马车”的模式,从网络空间层面、个人数据层面和数据本身层面构建数据安全治理的基本制度框架。随着相关制度的逐步建立,从科学立法的角度需要关注以下几个方面的问题,保障法律法规的有效支撑。
首先,在立法层面,厘清“数据”“个人信息”“网络数据”等基本概念,并构建清晰关系是建立有效支撑的基础。在具体实践中,各部法律所涵盖的范围可能出现部分重叠,例如个人数据跨境,《数据安全法》《网络安全法》《个人信息保护法》都有相关规定,明确何种场景适用哪一部法律将对各种数据处理活动产生重大影响。
其次,在促进层面,除了《数据安全法》提出促进数字经济发展的大政方针外,还需要其他民事、商事法律的配套推进。如需要在《民法》层面厘清数字交易相关的法律关系。在《反不正当竞争法》《反垄断法》需对数据垄断等问题进行治理。在安全层面,相关的管制和管理措施的界限也需要进一步明确,例如在《数据安全法》中明确相关司法协助的要求后,是否会对我国企业“走出去”参与国际竞争产生影响,是否会引起对于侵犯个人权利的担忧。
再次,针对数据安全相关法律法规所引入的如数据分级分类制度、境外执法机关调取境内数据的报告制度、部分数据出口管制制度、外国歧视性措施的反制措施等制度,需要进一步细化相关制度和联动机制。建立一个统一的协调统筹机构,对相关制度进行统筹管理和执行。《数据安全法(草案)》第六条规定了“中央国家安全领导机构负责数据安全工作的决策和统筹协调”,因此相关部门的尽快建立相关举措细则,是在未来《数据安全法》颁布后亟需解决的问题。
最后,标准和指南作为法律法规和具体实践的重要桥梁,有望解决前述的基本概念厘清、配套制度建立以及相关举措细则确定等问题。在安全标准层面,通用的数据安全治理要求、个人信息保护相关标准已基本完备,但在一些数据安全关键治理环节、关键业务场景、关键网络产品和服务还有待进一步细化规范,提出数据安全实施指南或提出数据安全评价指标。例如,对网络存储设备提出相应的数据可靠性、可用性、保密性方面的数据安全评价指标,对云服务数据安全提出安全要求或实施指南。在具体产业政策的层面,鼓励相关产业政策的出台也有利于相关产业的发展,例如对相关数据安全基础设施产业进行扶持,推动各地政府就数据安全和可信产业项目进行实践探索,进一步推进相关数据安全法律法规落地实施,为相关行业发展树立标杆。
此外,作为践行《全球数据安全倡议》的重要内容,推动构建数据安全国际对话机制,建立全球性和区域性的数据安全合作体系,确立数据安全保护的国际标准和良好国际实践,探索数据安全全球治理和协调机制,也将有利于向世界贡献数据安全保护的中国方案。
