目前上海市公共数据治理与应用总体架构已经搭建完成。而随着数据被定位为“新型生产要素”,需要“流动起来”创造价值,流动起来的数据的安全就不再是传统的数据安全问题,不再能用传统的技术手段解决。
“要实现’让数据供得出、流得动、用得好’这个目标,因为数据是流动的,那么数据的‘绝对安全’已经做不到了,只能兼顾发展与安全的平衡。
【编者按】数据,是继土地、劳动力、资本、技术四大生产要素之后的第五大生产要素,中国政府已提出要加快培育数据要素市常随着人工智能技术的飞速发展,大模型的开发更离不开高质量的数据支持。在此背景下,澎湃科技(www.thepaper.cn)推出“第五要素上海市数据科学重点实验室数据要素产业化系列报道”,关注由上海市数据科学重点实验室策划的数据要素产业化系列论坛。第三期数据要素安全合规论坛旨在探讨数据安全领域最新研究进展和业务实践。
在近日举办的数据要素产业化系列论坛第三期数据要素安全合规论坛上,上海市大数据中心数据安全部副部长梁满详细介绍了上海市公共数据治理的顶层规划,他概括称,上海市的城市数字化转型经过几年的建设,目前初步形成了‘1+1+3+3’的政策框架。”
前两个“1”分别为在2021年7月推出的《关于全面推进上海城市数字化转型的意见》及在当年10月推出的《上海市全面推进城市数字化转型“十四五”规划》。第一个“3”指的是3个行动方案:《推进治理数字化转型实现高效能治理行动方案》、《推进上海经济数字化转型 赋能高质量发展行动方案(2021-2023年)》、《推进上海生活数字化转型 构建高品质数字生活行动方案(2021-2023年)》。第二个“3”指的是《上海市数据条例》、配套促进政策措施、上海数据交易所。
上海市公共数据治理与应用总体架构。
据梁满介绍,目前上海市公共数据治理与应用总体架构已经搭建完成(如上图)。而随着数据被定位为“新型生产要素”,需要“流动起来”创造价值,流动起来的数据的安全就不再是传统的数据安全问题,不再能用传统的技术手段解决。
“这是一个新安全问题,必须得想新的办法。”梁满说,“以前的数据是静止的,我们只需要把它圈起来,把防控机制做好,让‘墙足够高’,就可以完成基于边界的安全防护。而就像国家数据局局长刘烈宏最近提出的‘让数据供得出、流得动、用得好’,要完成这个目标,因为数据是流动的,那么数据的‘绝对安全’已经做不到了,只能兼顾发展与安全的平衡。”那么新的办法是什么?梁满将其描述为“以数据为中心的,多元化主体共同参与的,兼顾发展与安全的”安全治理理念。
怎么理解?根据梁满的阐释,首先,因为数据流动“墙”不再存在,数据安全治理就不再能以系统为核心,而必须以数据为核心。数据流到哪里,就以其为核心,围绕数据来组织安全防护措施。第二,数据在流动过程中要经过不同的主体,比如数据从国家流到市流到各街道,这个过程一定是多元主体共同参与。第三,兼顾发展与安全。数据流出的目的是发展,作为生产要素本质也是为了发展,在这个过程中一定要保证安全,两者只能兼顾。
上海市公共数据安全“制度防火墙”。
“大家已经意识到,数字经济最紧要最基础的问题,就是加强数据安全治理,统筹发展与安全,推动数据依法地合理地被有效利用。为此,国家出台了两部法律,一部是《中华人民共和国数据安全法》,一部是《中华人民共和国个人信息保护法》。如果仔细研究就会发现,这两部法律讲的都是如何兼顾发展与安全。上海大数据中心作为一个数据管理部门,我们必须要回答的问题即,作为一个组织,如何兼顾发展与安全的平衡问题,什么时候以安全为主,什么时候以发展为主?”梁满说。
如何解决发展与安全的平衡问题?梁满表示上海大数据中心构建了3道防火墙:
“制度防火墙”。
制度防火墙有4个部门级的管理制度文件:一二级文件指的是顶层规划和通用管理制度,三级文件则包含实施细则与流程,比如二级文件列备份要求,三级文件就要规定谁来备份,对什么系统备份,备份形成什么。第四级文件指记录表单报告,即整个管理制度运行过程中形成的各种记录表单和证明材料。
“技术防火墙”。
技术防火墙方面,首先要做的是集约建设安全工具箱,其依托市电子政务云集约化部署安全能力池,向全市400多个信息系统提供安全能力赋能,目的是实现安全能力的统一共用。梁满说,“同时,我们正在探索如何为作为生产要素的公共数据,在全市范围内构建一个安全可信的流通环境。我们希望能够引入像安全多方计算、联邦学习、隐私计算、区块链等相关技术,使用方只拿走计算结果,而不是原始数据。最终实现数据‘可用不可见’,为公共数据流通提供必要技术支撑。”
“管理防火墙”。
在管理防火墙方面,“我们目前已经完成由被动的安全运维向主动安全运营的转变。在这样的过程中,我们建立了一个一体化安全运营管理中心,其目的即通过对安全数据的全量采集和全程管控,对‘网、云、数、用、端’的基础设施及5个分中心、5个部门进行全面纳管,完成身份管理、统一认证、监测预警、流程管理、资产运营、运营分析、安全预案、应急响应这些工作。通过建立一体化的安全运营机制,形成持续的动态的闭环管理。”梁满表示这是目前应对公共数据出现的新安全问题的思考和实践。
在公共数据归集治理、应用的整个过程中,还有一个必须解决的问题公共数据标准。“由此,我们在2020年1月成立了上海市公共数据标准化技术委员会,到了2022年正式更名为上海市数据标准化技术委员会。这个委员会的主要目的就是初步构建本市公共数据标准框架体系,聚焦数据安全管理,会同上海市信息安全标准化技术委员会加强数据安全管理标准建设。”据梁满透露,已研制完成或正在研制中的地方新标准规范达60余项。目前数标委会同高校、科研机构、相关企业正在制定本市公共数据隐私计算技术规范的地方标准。
本期数据要素安全合规论坛由上海市数据科学重点实验室主办,上海市计算机学会信息安全专委会、第伍要素(上海)数据科技有限公司、澎湃新闻和DataFun社区提供支持。出品人分别为复旦大学计算机科学技术学院教授韩伟力,上海市数据科学重点实验室主任、复旦大学计算机科学技术学院教授肖仰华。
