一、项目背景 随着数据技术和应用的不断发展,数据作为国家基础性战略资源得到越来越广泛的重视。我国拥有海量的数据资源和丰富的应用场景,具备大数据发展的先天优势,在政策和需求等多种因素的驱动下,近年来数据公司得到蓬勃发展,并进一步促进了人工智能、云计算等技术和产业的发展。然而,由于法律、管理和技术等方面的问题,近年来数据安全事件频发。因此,项目组承担了《上海数据安全标准化路径研究》项目,分析数据安全技术特点,研究国内外欧美、ISO等发达国家和组织运用法律法规和标准等方法开展数据安全治理的经验和做法,结合本市数据产业发展情况及重点领域场景应用情况,在此基础上提炼本市数据安全标准建设需求,研究推动本市数据安全标准化建设的实现机制和技术路径,为服务国家战略、保护公民隐私提供技术支撑,提升我国在全球数据安全规则的话语权和主导权,现将分析内容形成专报如下。 二、研究内容 (一)国内外数据安全治理现状 在数据安全保护的策略上,欧洲倾向于采用立法等手段进行数据安全保护,相对来说比较保守,属于防守型。这是因为对于大数据、云技术、人工智能等数据技术而言,欧洲在技术、应用场景等方面不占优势,企业的技术实力也不够强,无法与美国、中国等进行竞争,由于技术上的劣势,导致欧洲采用防守的策略,试图以法律手段,对本土产业进行保护,但是采用这种策略存在的问题在于极大增加了企业的合规成本,本意是保护公民隐私,但同时抑制了数据技术的发展,使得本来已经薄弱的技术竞争力进一步弱化。而美国属于进攻性,由于技术实力雄厚,倾向于倡导数据自由流通,降低数据跨境的门槛,但是这种策略对于技术实力较弱的国家而言,却未必可取。 从国内来看,当前我国对于数据权的保护已经制定了包括网络安全法、数据安全法、个人信息保护法等在内的多项国家法律法规。在地方层面,上海、深圳等地对于数据的财产权、数据交易、数据跨境流动等进行了进一步的明确和细化。但是总体还存在处罚力度较弱、规定比较笼统较难执行、数据市场和数据出境等标准缺失等问题,需要相关标准、指南进一步明确要求。全国信息安全标准化技术委员会等技术机构为落实数据安全法等相关法律法规的要求,研制了《网络数据分类分级要求》等标准。但是在数据财产权的界定、数据质量控制、数据交易的可追溯、智能化背景下特殊人群的需求等方面,还亟需标准规范。 (二)本市数据产业情况及面临的机遇和挑战 从行业分布来看,上海市优质大数据企业主要集中在科学研究和技术服务业、信息传输、软件和信息技术服务业,租赁和商务服务等,其中排名第一行业领域为科学研究和技术服务业,企业数量达817家,占比达49%。从企业发展质量来看,上海市处在高质量发展阶段的企业数量达1361家,占比约82%,超过全国平均水平(75%)。面临的挑战,一是核心数据软件和技术由国外主导。在数据产业发展的原创性理论、重要的数据技术和工具等方面,我国的数据产业发展还有较大的提升空间,对欧美等发达国家的依存度比较大。二是数据管理规范仍有大量空白。在数据管理主体方面,存在多头管理、责任不明的问题。在数据安全监管检查手段方面,缺乏有效的事中监管手段。在构建数据市场机制方面,一系列法律、规范和标准问题有待解决。三是数据安全外部形势严峻。一方面,美国对我国数据安全理念持续抹黑;另一方面,国际上对我国数据安全规则的认同不足。 三、数据安全标准化建设路径对策研究 (一)加强法律法规顶层设计 从法律层面加强数据资源的概念边界所有权界定。探索数据分类确权制度,探索数据在产生、加工、使用过程中增值过程的权益归属确权制度,为数据市场的定价、交易、核算等过程提供法律依据。二是探索建立数据补偿、援助和救济机制。在市民隐私受到侵犯时,加强公益援助,弥补技术不对称下的维权困难。三是明确数据市场监管主体和监管责任。 (二)促进数据交易市场发展 一是在数据权属、流通和安全等领域,构建与世界接轨的规则、标准、平台。二是针对不同行业特点,尽快细分、填补和完善相适应的数据价值评估方法和体系。三是加大反垄断审查,维护市场秩序和消费者权益。 (三)加强重点领域数据标准体系建设 加快城市数字化转型、公共数据、数据交易等重点领域、产业的数据安全标准体系建设,研制重点亟需标准。在基础共性标准方面,研制数据质量、数据定价、数据目录等基础共性标准。在信息和数据方面,研制可靠性评估等检验检测方法标准。在应用和管理方面,研制数据开放规范、数据分级标准、数据发展及使用的责任与权益等大数据发展应用过程中的必需标准规范。 (四)加快新技术转化为技术标准 一是研制新型零信任标准。运用隐私计算、联邦学习、新型密码技术等前沿科技,提升数据流通交易的安全性、稳定性和便捷性。二是完善运行监测技术手段和相关标准,健全不良信息发现机制。三是鼓励数据行业领头企业将新技术转化为技术标准。 (五)输出数据安全规则主张 一是加快临港新片区数据跨境规则探索。抓住《上海市数据条例》赋予临港新片区先行先试的机会,尽快提出包含隐私安全、跨境执法协调等在内的数据跨境解决方案。推进数据跨境传输安全管理试点,在“压力测试”中完善规则。二是双多边协议作为突破口,为跨境数据流动规则主张“增容扩圈”。按照关系密切度、数字贸易潜力、影响力等维度,逐步扩大数据互认“朋友圈”。三是结合技术应用优势推动数据安全标准国际化。发挥我国技术应用市场、产业链和数据规模优势,跟踪、引领当前主流国际标准化组织的重点标准研制方向,积极推进我国数据安全、人工智能标准转化国际标准。
| 
