信息安全保護在數字經濟發展中的作用研究

楊海，陳亮

（國家計算機網絡應急技術處理協調中心貴州分中心，貴州貴陽 550001）

隨著互聯網的廣泛普及，信息技術快速發展應用，已經改變了人民群眾的生產、生活方式，信息技術的快速發展加速了數字經濟的發展，特別是在目前全球經濟衰退、新冠肺炎疫情的持續影響下，數字經濟的發展為我國經濟增長提供了有力的驅動力，日益融入經濟社會發展各領域的全過程。作為國家安全中的非傳統領域，數字化的快速增長，也帶來數據安全的挑戰，隨著《網絡安全法》《數據安全法》《個人信息保護法》等法律法規的出臺實施，在維護數據安全方面提供了具體的實踐路徑。

1 信息技術的應用發展深刻影響生產、生活方式

隨著信息技術的快速發展應用，我國數字建設取得了顯著成效。根據《“十四五”國家信息化規劃》公布，我國的信息基礎設施規模全球領先，截至2020年，我國固定寬帶家庭普及率達96%，移動寬帶用戶普及率達108%，全國行政村、貧困村通光纖和通4G比例均超過98%等，表明我國數字經濟實現了跨越式發展。2020年，我國數字經濟總量躍居世界第二，數字經濟核心產業增加值占GDP比重達到7.8%，電子商務交易額達到37.21萬億元。另一方面，信息惠民便民水平大幅提升。“互聯網+政務服務”應用廣度和深度快速拓展，國家政務服務平臺基本建成并開通服務，全國政府網站集約化水平顯著提升。全國電子社保卡簽發達3.6億張，遠程醫療協作網覆蓋全國所有地市2.4萬余家醫療機構和所有國家級貧困縣縣級醫院，全國中小學（含教學點）互聯網接入率達100%[1]。信息技術的應用發展深刻影響社會經濟發展和人民的生產、生活方式，起到了至關重要的作用。

2 大數據伴隨的安全形勢更為嚴峻

信息技術離不開數據采集、流轉、應用、迭代等方面，數字經濟的發展與作為數據本身密不可分。當前，數據安全已成為事關國家安全與經濟社會發展的重大問題。2021年7月，國家網信辦發布通報對“滴滴出行”進行網絡安全審查，其在收集使用個人信息方面存在嚴重違法違規問題，對其進行下架和停止新用戶注冊。同月，“運滿滿”“貨車幫”“BOSS直聘”被實施網絡安全審查，期間停止新用戶注冊[2-3]。2022年2月施行《網絡安全審查辦法》，明確掌握超過100萬用戶個人信息的運營者，赴國外上市必須進行網絡安全審查。這些事件的發生和產生的影響，也反映了在數字經濟快速發展帶來時代紅利的同時，也伴隨著一些安全問題，包括數據信息泄露、濫用數據等情況。

3 常見的網絡數據安全風險隱患

常見的網絡安全風險隱患主要包括數據泄露、數據販賣、數據壟斷、算法推薦亂象等類型，具體情況如圖1。

圖1 常見網絡數據安全風險

3.1 數據泄露

漏洞隱患是導致數據泄露的主要方式，漏洞隱患不僅存在于硬件，也存在于軟件和安全管理中。漏洞更新方面，沒有及時更新漏洞補丁是常見的現象，不僅需要及時更新操作系統的補丁，還需要注意如瀏覽器、辦公軟件等應用軟件，各類運行環境、中間件等。在實際環境使用中，常出現部分系統平臺因開發原因，一旦隨意更新便會導致系統平臺不可用，導致不敢更新、不能更新、無法更新等情況。管理意識不強方面，弱口令依然是多年來最為常見的安全隱患之一，這表明相關人員網絡安全意識不到位，安全排查工作不全面。

3.2 數據販賣

數據販賣通常伴隨著數據泄露，一般有通過“內鬼”盜取、木馬病毒竊取、利用漏洞獲取等各類違法行為方式。再通過點對點通訊軟件、網絡加密傳輸、網站叫賣等各類方式進行售賣，達到非法獲利的目的。在暗網中文交易平臺就單獨開設相關專欄，據統計僅2021年相關售賣事件達2000余起，平均每天約7起數據售賣事件，累計單條事件涉及總額近300萬美元，顯示完成交易涉及的金額為160余萬美元，嚴重威脅社會秩序和公民的合法利益。2022年1月，公安部公布《公安部公布打擊侵犯公民個人信息犯罪十大典型案例》，就有不少數據售賣的典型違法犯罪案例。

3.3 數據壟斷

隨著網絡數據安全內涵的延伸和擴大，對數據合法合規地收集使用也成為數據安全的重要組成部分。當前，由于各互聯網平臺的業務大都由數據驅動，商業推廣、精準營銷、產品迭代等業務都離不開個人數據收集這個核心。各個平臺利用數據在追求利益最大化的同時，也引發了個人信息濫采濫用程度加重、數據壟斷亂象頻發的數據安全風險。基于數據壟斷優勢進行“二選一”“大數據殺熟”等侵犯消費者權益的行為也層出不窮。

3.4 算法推薦亂象

在大數據和人工智能領域，算法推薦技術得到廣泛應用，提供了對用戶多元化、特性化的精準服務，減少了信息傳播的成本。算法推薦技術的濫用，也可能造成用戶沉迷風險、信息接收局限，造成一定程度信息壁壘和封閉，與此同時，算法應用中存在的違法和不良信息傳播、侵害用戶權益、操縱社會輿論等亂象問題也屢次出現，也是另一種形式的數據安全風險。2021年12月，國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局就聯合印發《互聯網信息服務算法推薦管理規定》規范互聯網信息服務算法推薦活動。

4 數據安全風險來源

數字經濟發展的過程中，網絡安全人才的配備和網絡安全防護工作的短板也逐漸凸顯。

“人防”方面，存在對數據安全工作重視程度不夠，認為數據安全是相關主管監管部門的事、專業部門的事，同自己部門無關，對數據安全工作責任制落實不到位、不徹底，數據安全制度建立不完善，責任不明確。部分單位在相關網絡安全方面未配備專職人員，甚至沒有配置管理人員的情況時常出現，即使有相關的安全管理工作人員，也存在安全意識不強的問題。在遇到安全事件發生時，甚至出現用斷網關機這樣的手段來解決問題，這恰恰會助力某些網絡病毒的傳播，造成更大的影響和危害。同時，由于販賣數據的地下黑色產業鏈的形成，非法獲取數據進行販賣，獲得巨額利益的誘惑，也致使相關人員鋌而走險。

“物防”方面，不管是計算機軟硬件，還是網絡系統或應用程序，都是由人為編程而來，難免會存在網絡安全漏洞隱患，漏洞隱患會導致數據安全泄露等事件的發生。有的部門依然存在未定期排查系統風險隱患、未及時更新補丁、未按照要求及時開展國產化替代工作、采購的云計算服務未通過安全評估等情況。有的部門未按要求配置專業的網絡數據安全防護產品，導致重要信息系統能被輕易攻破，存在嚴重的網絡安全隱患。特別是在數據的產生和應用過程中，涉及面廣、參與環節多，存在安全隱患的風險點多，沒有完整的、關聯的安全防護體系，有可能由點及面，導致系統性的風險，進而導致數據安全威脅。

“技防”方面，有的部門在信息化項目建設時，未保證安全技術措施“同步規劃、同步建設、同步使用”，甚至在網絡安全方面零投入。有的部門在重要信息系統維護方面主要依靠第三方服務機構，喪失對系統防護的技術主動性。有的部門由于技術力量有限，在處置安全事件時，只能處置被通報的事件，而不能發現存在的其他網絡安全風險隱患，導致連續發生網絡安全事件。特別在保護重要數據、重要資產環節時，過于依賴第三方，導致風險隱患不自知，“就事論事”處置事件，在獨立、自主的專業能力方面存在不足。

5 數據安全監督管理依據不斷完善

最早施行的《網絡安全法》，到2021年施行的《數據安全法》《個人信息保護法》，從數據的產生直到數據的運用各個環節，以及數據安全管理和責任義務均有明確的要求，對各類角色不履行數據安全保護義務情形，明確了違法違規的具體規定，根據不同程度和違反不同條款，進行治安處罰或刑事追究[4]。

5.1 網絡數據安全保護框架

《數據安全法》中網絡數據安全保護，明確由國家網信部門負責統籌協調監督管理[5]。網絡數據安全保護框架與《網絡安全法》中所明確的保護框架一致，在電信、公安等各個主管監管部門對各自職權范圍內開展監督管理的基礎上，由網信部門統籌協調并進行有關的監督管理[6]。數據安全和網絡安全的主要監督管理部門的工作，各自側重，也有各相互支撐，組成了一個完整的體系，網絡數據安全保護主要部門牽頭管理分工如表1。

表1 網信、公安、工信主要牽頭管理內容

5.2 相關關系與關聯

網絡安全法、數據安全法、個人信息保護法三大法律，從頒布、論證、起草、出臺，速度均很快，其重要性、緊迫性不言而喻，與互聯網的快速發展，信息技術的深層運用，網絡空間領域的安全風險緊密結合，三部法律對于維護網絡空間的國家安全、社會秩序、公民合法權益有著重要的推動作用。三部法律的側重有所不同，但也相互關聯、互相支撐，形成一個整體的監管框架。

6 結束語

雖然國家和地方出臺相關數據安全保護的法律法規、部門規章制度，但具體在執行層面、明確細致的規范標準方面，還需要有進一步的工作。如《數據安全法》中規定了數據交易的相關內容，但在實際工作中，有關數據權屬、數據定價機制等問題仍未完全明確[9]。又如《數據安全法》中強調了要建立數據分類分級的有關內容，但在針對性地開展此項工作中，會面臨涉及各行業各領域，數據的類型不同、影響不同、來源不同、格式不同等，在如何界定數據的類型和重要性，如何進行統一標準掌握，還需進一步加快研究落地[10]。同時，數據安全技術尚需繼續進步，部分場景面對挑戰[11]。如加密技術的快速發展，一方面保護了數據傳輸過程的安全問題，另一方面也對數據非法傳輸提供了保護能力。又如各類數據的大量收集和匯聚，也加大了數據資產梳理難度，影響系統性能，擴大了安全風險來源渠道等，傳統技術還需進一步優化、升級，才能滿足當下日益增長爆發的數據存儲、更新、應用、監管、安全保護等場景。