·目前上海市公共數據治理與套用總體架構已經搭建完成。而隨著數據被定位為「新型生產要素」,需要「流動起來」創造價值,流動起來的數據的安全就不再是傳統的數據安全問題,不再能用傳統的技術手段解決。
·「要實作’讓數據供得出、流得動、用得好’這個目標,因為數據是流動的,那麽數據的‘絕對安全’已經做不到了,只能兼顧發展與安全的平衡。
【編者按】數據,是繼土地、勞動力、資本、技術四大生產要素之後的第五大生產要素,中國政府已提出要加快培育數據要素市場。隨著人工智慧技術的飛速發展,大模型的開發更離不開高品質的數據支持。在此背景下,澎湃科技(www.thepaper.cn)推出「第五要素——上海市數據科學重點實驗室數據要素產業化系列報道」,關註由上海市數據科學重點實驗室策劃的數據要素產業化系列論壇。第三期數據要素安全合規論壇旨在探討數據安全領域最新研究進展和業務實踐。
在近日舉辦的數據要素產業化系列論壇第三期——數據要素安全合規論壇上,上海市大數據中心數據安全部副部長梁滿詳細介紹了上海市公共數據治理的頂層規劃,他概括稱,上海市的城市數位化轉型經過幾年的建設,目前初步形成了‘1+1+3+3’的政策框架。」
前兩個「1」分別為在2021年7月推出的【關於全面推進上海城市數位化轉型的意見】及在當年10月推出的【上海市全面推進城市數位化轉型「十四五」規劃】。第一個「3」指的是3個行動方案:【推進治理數位化轉型實作高效能治理行動方案】、【推進上海經濟數位化轉型 賦能高品質發展行動方案(2021-2023年)】、【推進上海生活數位化轉型 構建高品質數位生活行動方案(2021-2023年)】。第二個「3」指的是【上海市數據條例】、配套促進政策措施、上海數據交易所。
上海市公共數據治理與套用總體架構。
據梁滿介紹,目前上海市公共數據治理與套用總體架構已經搭建完成(如上圖)。而隨著數據被定位為「新型生產要素」,需要「流動起來」創造價值,流動起來的數據的安全就不再是傳統的數據安全問題,不再能用傳統的技術手段解決。
「這是一個新安全問題,必須得想新的辦法。」梁滿說,「以前的數據是靜止的,我們只需要把它圈起來,把防控機制做好,讓‘墻足夠高’,就可以完成基於邊界的安全防護。而就像國家數據局局長劉烈宏最近提出的‘讓數據供得出、流得動、用得好’,要完成這個目標,因為數據是流動的,那麽數據的‘絕對安全’已經做不到了,只能兼顧發展與安全的平衡。」那麽新的辦法是什麽?梁滿將其描述為「以數據為中心的,多元化主體共同參與的,兼顧發展與安全的」安全治理理念。
怎麽理解?根據梁滿的闡釋,首先,因為數據流動「墻」不再存在,數據安全治理就不再能以系統為核心,而必須以數據為核心。數據流到哪裏,就以其為核心,圍繞數據來組織安全防護措施。第二,數據在流動過程中要經過不同的主體,比如數據從國家流到市流到各街道,這個過程一定是多元主體共同參與。第三,兼顧發展與安全。數據流出的目的是發展,作為生產要素本質也是為了發展,在這個過程中一定要保證安全,兩者只能兼顧。
上海市公共數據安全「制度防火墻」。
「大家已經意識到,數位經濟最緊要最基礎的問題,就是加強數據安全治理,統籌發展與安全,推動數據依法地合理地被有效利用。為此,國家出台了兩部法律,一部是【中華人民共和國數據安全法】,一部是【中華人民共和國個人資訊保護法】。如果仔細研究就會發現,這兩部法律講的都是如何兼顧發展與安全。上海大數據中心作為一個數據管理部門,我們必須要回答的問題即,作為一個組織,如何兼顧發展與安全的平衡問題,什麽時候以安全為主,什麽時候以發展為主?」梁滿說。
如何解決發展與安全的平衡問題?梁滿表示上海大數據中心構建了3道防火墻:
「制度防火墻」。
制度防火墻有4個部門級的管理制度檔:一二級檔指的是頂層規劃和通用管理制度,三級檔則包含實施細則與流程,比如二級檔列備份要求,三級檔就要規定誰來備份,對什麽系統備份,備份形成什麽。第四級檔指記錄表單報告,即整個管理制度執行過程中形成的各種記錄表單和證明材料。
「技術防火墻」。
技術防火墻方面,首先要做的是集約建設安全工具箱,其依托市電子政務雲集約化部署安全能力池,向全市400多個資訊系統提供安全能力賦能,目的是實作安全能力的統一共用。梁滿說,「同時,我們正在探索如何為作為生產要素的公共數據,在全市範圍內構建一個安全可信的流通環境。我們希望能夠引入像安全多方計算、聯邦學習、私密計算、區塊鏈等相關技術,使用方只拿走計算結果,而不是原始數據。最終實作數據‘可用不可見’,為公共數據流通提供必要技術支撐。」
「管理防火墻」。
在管理防火墻方面,「我們目前已經完成由被動的安全運維向主動安全營運的轉變。在這樣的過程中,我們建立了一個一體化安全營運管理中心,其目的即透過對安全數據的全量采集和全程管控,對‘網、雲、數、用、端’的基礎設施及5個分中心、5個部門進行全面納管,完成身份管理、統一認證、監測預警、流程管理、資產營運、營運分析、安全預案、應急響應這些工作。透過建立一體化的安全營運機制,形成持續的動態的閉環管理。」梁滿表示這是目前應對公共數據出現的新安全問題的思考和實踐。
在公共數據歸集治理、套用的整個過程中,還有一個必須解決的問題——公共數據標準。「由此,我們在2020年1月成立了上海市公共數據標準化技術委員會,到了2022年正式更名為上海市數據標準化技術委員會。這個委員會的主要目的就是初步構建本市公共數據標準框架體系,聚焦數據安全管理,會同上海市資訊保安標準化技術委員會加強數據安全管理標準建設。」據梁滿透露,已研制完成或正在研制中的地方新標準規範達60余項。目前數標委會同高校、科研機構、相關企業正在制定本市公共數據私密計算技術規範的地方標準。
本期數據要素安全合規論壇由上海市數據科學重點實驗室主辦,上海市電腦學會資訊保安專委會、第伍要素(上海)數據科技有限公司、澎湃新聞和DataFun社群提供支持。出品人分別為復旦大學電腦科學技術學院教授韓偉力,上海市數據科學重點實驗室主任、復旦大學電腦科學技術學院教授肖仰華。
(本文來自澎湃新聞,更多原創資訊請下載「澎湃新聞」APP)
