数据要素流通使用的安全风险分析及应对策略

最新推荐文章于 2024-09-16 23:17:14 发布

唐名威

最新推荐文章于 2024-09-16 23:17:14 发布

阅读量890

点赞数

文章标签：安全大数据人工智能

本文链接：https://blog.csdn.net/weixin_45585364/article/details/130818144

版权

数据要素流通使用的安全风险分析及应对策略

刘业政^1,2, 宗兰芳¹, 金斗¹，袁昆^1,2

1 合肥工业大学管理学院，安徽合肥 230009

2 大数据流通与交易技术国家工程实验室，上海 201203

摘要：系统地分析了数据要素流通使用过程中存在的安全风险问题，在总结国内外数据交易制度与规范、理论与技术的基础上，构建了事前-事中-事后全链路数据要素流通使用安全风险应对策略，提出了管理与技术相互协同的数据要素流通使用安全可信体系建设方案，为实现“数据来源可确认，使用范围可界定，流通过程可追溯，安全风险可防范”的可信可控数据交易提供借鉴，促进数据交易市场平稳持续发展。

关键词：数据要素流通 ; 数据要素使用 ; 安全风险分析 ; 安全风险管理 ; 安全风险技术

论文引用格式：

刘业政, 宗兰芳, 金斗, 等. 数据要素流通使用的安全风险分析及应对策略[J]. 大数据, 2023, 9(2): 79-98.

LIU Y Z, ZONG L F, JIN D, et al. Security risk analysis and countermeasures in the circulation and use of data factors[J]. Big Data Research, 2023, 9(2): 79-98.

0 引言

数据作为数字经济新型生产要素，是数字化、网络化、智能化的基础。数据要素流通使用有助于促进数据融合和资源整合，激活数据潜能，做强做优做大数字经济。然而，数据要素流通使用环境复杂，涉及多方主体、多个环节，同时数据产品具有极易复制、非排他性、难追溯等特征，均使数据流通使用面临安全风险、隐私泄漏挑战等问题。这不仅威胁国家数据安全，也不利于企业和个人数字权益的保护，严重阻碍数据要素流通使用市场化配置。国家出台了一系列政策文件，统筹推进数据要素安全可信、集约高效的流通使用。2022年12月2日，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确指出，数据安全是数据要素流通交易的底线和红线，是开展数据流通交易的首要条件，要求统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，将安全贯穿数据供给、流通、使用全过程。同时，《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等多部国家法律法规相继出台，对数据要素流通使用过程中的数据安全与隐私保护作出了相关规定。为了保障数据安全可信、集约高效的流通使用，识别数据要素流通使用全过程中的安全风险管理需求，构建有效的安全风险管理应对策略，成为学术界和产业界关注的热点问题。

目前数据要素流通使用的安全风险管理研究主要从管理制度建设和安全技术保障两方面独立展开：一方面通过法规、制度、标准的制定明确数据交易安全风险需求及保障要求，另一方面通过技术手段解决数据交易安全风险管控问题。在安全风险管理制度建设方面，国家先后出台《数据安全法》《个人信息保护法》等多部法律法规，各级地方政府也制定相关制度，例如《上海市数据交易场所管理实施办法（征求意见稿）》《天津市数据交易管理暂行办法》。另外，国家标准《信息安全技术-数据交易服务安全要求》从数据交易参与方安全、交易对象安全和数据交易过程安全3个角度规范数据交易中的安全风险管理需求。学者重点关注数据分级分类、数据脱敏、数据存储、交易主体资质审核与交易流程安全审计等机制问题。在安全风险应对技术方面，围绕数据流通交易的访问权限控制、防篡改、可追溯等安全需求，目前学者主要探索区块链、联邦学习、数字水印、数据加密等技术在数据流通交易市场的应用。凡航等人以去中心化、多方监督的技术思路，将多方安全计算与区块链智能合约结合，提出了一种数据流通使用安全可控的“计算合约”，实现“用途可控可计量”。Thapa C等人提出区块链中可以用同态加密、零知识证明等技术对隐私数据进行加密以达到保护隐私数据的目的。

总体来看，数据要素流通使用安全风险的研究工作既包含数据流通全流程的管理机制设计，将数据交易安全风险管理从交易对象扩展到交易主体和交易流程，又包含支撑数据要素流通使用的安全技术与算法模型。但结合数据流通使用实践经验来看，当前国内数据交易服务机构存在应用场景多元不确定、技术架构单一不灵活、技术与场景不适配等问题，导致数据要素安全可信流通使用的安全风险需求内涵不清晰、应对策略不明确。另外，管理制度建设与安全技术研究相割裂，特别是数据要素合规可信流通交易中技术和管理作用的边界尚不清晰，技术与管理未形成合力。

本文总体结构框架如图1所示，系统分析了数据要素流通使用过程中存在的安全风险问题，在总结国内外数据交易安全风险管理制度与规范、理论与技术的基础上，提出了管理与技术相互协同的数据流通使用全链路安全风险管理策略，为保障数据要素市场公平高效与安全有序提供借鉴。

图1 本文总体结构框架

1 数据要素流通使用的安全风险分析

相比普通商品，数据要素具有固定成本高、边际成本低、产权不清、来源多样、结构多变等特征，在流通使用过程中涉及的范围更广泛、主体更多元、过程更复杂。因此，数据要素相比普通商品流通交易更加困难，数据要素价值释放过程中存在更多安全风险。基于国内外相关研究，从业务生命周期、数据生命周期、流通使用环境3个视角系统、全面地分析数据要素流通使用的安全风险，为构建数据要素流通使用安全可信体系奠定需求基础。

1.1 业务生命周期视角的安全风险分析

业务生命周期指数据要素流通使用的全过程，本文根据参考文献将数据要素业务生命周期划分为交易申请、交易撮合、交易实施和交易结束4个阶段。

交易申请阶段的安全风险可归纳为交易主体资质安全风险、数据准入安全风险和产品质量风险。数据要素流通使用过程涉及供方、需方、交易服务机构等多方主体，主体资质直接关系到数据来源和流通使用的合法合规性，肖建华等人认为不同交易主体应有不同的资质审核要求。对于法人主体，交易平台需要审核其法人信息、营业执照、税务信息等；对于个人主体，交易平台需要审核其身份信息、交易目的、数据使用范围等，确保数据交易参与主体不存在法律、法规禁止或限制的任何情形。数据是流通与使用的标的物，如果不合规的数据流入市场有可能严重影响个人隐私安全、商业安全和国家安全，数据准入安全风险需重点关注数据产品是否包括禁止交易数据、未授权的个人数据、商业机密数据等。参与流通使用的数据要素除需满足准入的安全要求外，还要考虑数据质量风险。若因审核不严而上线伪造或错误的数据，可能导致基于数据的分析结果无效，给需方造成巨大损失。

交易撮合阶段主要存在供需匹配风险、交易公平风险和交易透明风险。在供需匹配上，数据市场中充斥着大量的数据，面对丰富的、不同规模、不同重点的数据供给，如何找到最满足需求的数据非常困难，匹配在时间和质量上能否契合成为供需匹配的最大风险。在交易公平性上，由于大多数的数据流通使用通过既充当交易的组织者又充当裁判的数据交易平台进行，如果交易平台与买方或卖方合谋，交易的公平性将难以保证，此外，由于数据产品边际成本接近零&#