当前,数据已经成为新型生产要素。数据产业积厚成势,为产业融合发展、加强宏观调控、保障和改善民生、创新社会治理等提供了有力支撑。
数据作为新的生产要素与之前的生产要素(土地、劳动力、资本、技术)相比有许多新的特点,很多还需要我们进一步深入探讨。例如,数据的分级分类与安全问题,数据资源入表变为数据资产有何前提?数据的权益如何认定等?本期我们采访到国家信息中心信息与网络安全部数据安全处处长魏连,共同探讨交流。
本报记者:以前更多提到的是信息安全、网络安全,现在提出了数据安全,它们有什么区别?为何要对数据进行分类分级的保护?
魏连:信息安全、网络安全和数据安全都是信息安全领域的重要概念,但它们之间存在一些区别和联系。
信息安全是一个广泛的概念,涵盖了信息系统内能够对设施、技术、人员、制度等多个方面进行综合性的保护。信息安全的主要目标是确保信息的保密性、完整性、可用性和可控性,防止信息被泄露、破坏、篡改以及未经授权的访问、使用。信息安全涉及多个方面,包括物理安全、网络安全、数据安全、人员安全等。
网络安全是指保护计算机网络系统不受未经授权的访问,或者破坏、干扰的一系列措施。网络安全的主要目标是确保网络系统的机密性、完整性和可用性。网络安全涉及保护网络基础设施、网络通信、网络设备等方面,旨在防止网络攻击、数据泄露等安全事件的发生。
数据安全则是指保护数据不被泄露、破坏、篡改以及未经授权地访问、使用的一系列措施。数据安全关注的是数据本身的安全性,包括数据存储、数据传输、数据处理等方面。数据安全的主要目标是确保数据的保密性、完整性和可用性。数据安全涉及到数据的加密、访问控制、备份恢复等方面,旨在防止数据被非法获取、篡改或丢失。
总的来说,信息安全是一个综合性的概念,涵盖了多个方面,包括网络安全和数据安全等。网络安全和数据安全都是信息安全的重要组成部分,但它们的关注点不同。网络安全更侧重于保护整个网络系统,而数据安全更侧重于保护数据。因此,在实际应用中,需要根据具体情况选择相应的安全措施来确保信息系统和数据的安全。
对数据进行分类分级的保护主要有以下原因:
首先,数据分类保护有助于将具有共同性质、属性或特征的数据归并在一起,再根据类别纳入不同的保护体系。这样可以更精准地确定哪些数据需要得到特别的关注和保护。从而组织制定更有效的风险管理策略,实现更精细化的数据安全管理。
其次,有助于更好的满足合规性要求。许多行业和地区都有关于数据保护和隐私的法规和标准,如欧盟的GDPR、中国的网络安全法、数据安全法、个人信息保护法、保密法等。通过对数据进行分类分级,采取相应的保护方式,可以更好地符合这些法规和标准要求,避免合规及法律风险。
最后,有效支持业务决策。通过对数据进行分类分级,可以更容易地识别出哪些数据对其业务决策最有价值,同时提高数据的利用效率和组织的协作能力,从而更好地利用数据来支持业务发展和创新。
本报记者:财政部关于印发《企业数据资源相关会计处理暂行规定》的通知,使数据资产有了名副其实的财务意义上的资产属性,如何看待数据安全合规是数据资源入表的前提?
魏连:财政部发布的《企业数据资源相关会计处理暂行规定》明确指出,入表的数据资源应当是“企业合法拥有或控制的、预期会给企业带来经济利益的”。要想实现对数据资源的合法拥有或控制,则必须符合相关法律法规的规定,履行相关信息安全、数据安全义务。这样才能使数据资源具备入表的“资格”。合法持有控制的数据资产才能受到法律的保护,反之则无法保障入表的数据资产能够受到法律的保护。同时,数据资源作为企业财务报表中的资产项,具备了财务意义上资产的属性。作为给企业带来经济利益的资产,其安全性也至关重要,不容受损。所以说数据安全合规是数据资产入表的重要前提之一。
本报记者:数据资源入表制度为数据价值的挖掘提供了重要的政策支撑,但同时数据也需要充分流通才能实现价值。在数据流通过程中,数据的内容和形态会随之发生变化,并出现新的数据要素或产品,同时还有不断新的参与方加入。那么,该如何在动态视角下进行数据权益的认定?
魏连:确实,数据流通过程中,可能会有不同的参与方在不同的阶段介入,同时数据的内容和形态可能会随之变化。对数据权益的认定也会随数据流转、应用的场景的复杂程度而增加认定的难度。需要考虑数据的初始来源、数据采集、加工、存储、传递、验证的全部流程和具体方式,并对数据持有的目的,具体流转、接收和使用的具体场景、使用方式,使用边界进行确定,再结合相关的法律法规进行具体分析。可以通过区块链等技术对数据进行溯源,锁定数据持有主体与数据之间的对应关系,固定数据不同阶段的形态,为数据权益的认定提供有力的依据。
本报记者:区块链作为一种以防篡改为主要特性的技术,很多数据资产登记机构、数据交易所和数据资源持有服务单位,都把区块链作为底层来搭建数据资源沉淀和流通的基础设施,如何看待区块链在数据安全和数据司法权益保护方面的作用?
魏连:区块链作为一种被现有法律框架所认可的证明技术,可以在数据权益保护方面发挥重要作用。然而并非所有区块链技术方案都可以实现司法意义上的证明效力。《最高人民法院关于互联网法院审理案件若干问题的规定》《人民法院在线诉讼规则》等法律法规,都明确指出采用区块链技术作为证明方式是需要有一系列前提条件的。人民法院在审理案件和采信相关证据时要审查是否满足这些法条规定的前提条件。因此国家信息中心电子数据司法鉴定中心为牵头单位在中国信息协会信息安全专业委员会的支持下,联合中国政法大学电子证据研究中心、中金金融认证中心、上海零数众合信息科技有限公司、腾讯云计算(北京)有限责任公司、北京天德科技有限公司、中国科学院国家授时中心等单位共同编制发布了《区块链司法存证技术要求》团体标准,为区块链技术在数据司法权益保护方面发挥作用提供了有力的支撑。同时也为法院审理,司法鉴定机构进行鉴定提供了参考依据和标准。
本报记者:电子数据司法鉴定作为把数据和司法连接起来的一项事务,是一种什么样的司法服务,它在数据资产应用、数据权益保护、涉数据案件上能够起到什么样的作用?
魏连:司法鉴定是指在诉讼活动中,鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断,并提供鉴定意见的活动。包括很多专业领域,从顶层设计来说,法医鉴定、物证鉴定、声像资料鉴定、环境损害鉴定是我们经常提到的“四大类”鉴定,也是管理最为严格的四大类领域。在这些技术性较强的专业领域,实践中往往需要司法鉴定机构出具专业的鉴定意见为司法机关提供技术支持,对证据的真实性、合法性、关联性进行实质性审查。在涉数据方面,《最高人民法院关于互联网法院审理案件若干问题的规定》第十一条指出,互联网法院可以根据当事人申请或者依职权,委托鉴定电子数据的真实性或者调取其他相关证据进行核对。《人民法院在线诉讼规则》第十九条规定,人民法院可以根据当事人申请或者依职权,委托鉴定区块链技术存储电子数据的真实性,或者调取其他相关证据进行核对。因此,在出现涉数据纠纷,数据合法合规判别时,电子数据司法鉴定可以对相关事项进行分析鉴定,出具司法意见书,为厘清案件事实真相提供强有力的保障。
(来源:《中国计算机报》;作者:严威川)