2021年08月04日 星期三
当数据成为新经济“命脉”
第17版:数据安全 2021-07-19

当数据成为新经济“命脉”

王仲昀

作为后发国家,中国不可能完全照搬欧洲严苛的数据新法,主动给正在壮大的数字经济套上枷锁,放弃“弯道超车”的机遇。我们是在提高个人保护水平的前提下,尽力促成大数据作为正规经济部门的“合法兴起”。

扎克伯格的脸书“魔葫”。 漫画/崔泓

记者|王仲昀

2016年4月9日,《经济学人》(The Economist)在杂志封面上对美国社交巨头“脸书”(Facebook)创始人马克·扎克伯格进行了一次经典的形象塑造。

在那张照片中,扎克伯格的头部,被“加冕”在古罗马恺撒大帝的雕像上。他那副原本如机器人般毫无表情的脸庞,因这一“嫁接”,反倒显露出一丝厚重与威严。照片的配文写道:“帝国的野心”。

扎克伯格的“野心”在大数据的收集与泄露上得以体现得淋漓尽致。2018年3月,脸书上超过5000万用户数据被一家名为Cambridge Analytical(剑桥分析)的公司泄露。剑桥分析丑闻在当时引发了媒体和网民对于扎克伯格与脸书的口诛笔伐。公众发现:那些个人数据,被用于预测和影响了2016年美国总统大选的选民投票。在那一刻,数据不再是冰冷的数据,它真正地扮演起“建构”世界的角色,影响到国家运转。

3年后,大数据的影响力在持续增长。在中国,同样是一些互联网企业与数据的新闻,引发更多人对于数据安全的关注与担忧。为什么数据在今天变得如此重要?在高度全球化的背景下,从个人到企业再到国家,我们又该如何保护自己的重要数据?

无穷的财富

现代化社会中,大数据离人很近,人们每天在各种平台上留下浏览痕迹,在社交软件上发布动态,这些都在不经意间产生了数据,汇集起来成为巨大的集合。然而,人们有时候又觉得数据很远,因为习惯使用各种电子设备与互联网的自己,已经对它习以为常。

因此,当数据与安全联系在一起时,很多人最先想到的是自身隐私。前一天在与朋友的聊天中无意提到的商品,第二天就出现在自己购物平台的推荐内容里;上个月刚刚领证结婚,立马接到各种邀约拍摄婚纱照的电话,这些都成为当代人数据泄露的典型,也让人觉得隐私无处安放。

当很多人还在将数据视为隐私时,网络时代数据的重要性早已不停留在“个人隐私”层面。关于这一点,有学者指出,即便是涉及数据问题的国际传播研究,此前也只是将数据看作隐私问题,将数据流动与隐私保护视为对立的两端。但是,脸书的数据泄露丑闻告诉世人,数据甚至能够影响关键的政治选举。而在上海大学中国当代文化研究中心研究员徐偲骕看来,此前人们对于数据的一些看法,忽略了数据已经成为新经济的“命脉”,是近乎于石油的生产性“能源”。“数据恰恰应该被理解为网络时代平台资本主义的‘生产资料’”。人们开始意识到,数据除了通过“数据主权”来影响国家与国家之间的政治博弈,其作为核心动力的数据经济时代全面来临。

据统计,2011年至2016年间,全球移动数据流量增长了18倍。对此,麦肯锡全球研究所在2016年研究估算,各种形式的全球流动至少使全球GDP增长10%(约7.8万亿美元),其中互联网数据流量占2.8万亿美元,且数字贸易和跨境数据流动的增速将超过全球贸易的总体增速。早在2014年,就有数据显示数据流动使得美国的GDP增加了3.4%至4.8%,创造了240万个就业岗位。

在中国,2019年十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》中,首次提出“数据”作为生产要素参与分配。

因此,从宏观而非个人隐私层面看,数据以及数据安全对于企业乃至国家经济发展的重要性不言而喻。那么具体到微观,为何数据能够对现代社会的经济发展产生如此影响?在此前的研究中,徐偲骕提到,如今云技术勃兴,虽然各国政府普遍鼓励企业把数据保存在本地,而不要流向境外,但是借助于云的跨境数据流动,还是一定程度促进了创新的扩散,这催生了新企业,而全球企业和个人又能够共享数据、设计实验和分析结果,这使得人们的工作大大受益,最终创造出无穷的财富。

当前,在全球范围内,作为新兴“生产资料”的数据,影响着政治与经济领域人类社会的运转。这种影响持续不断,悄无声息,但影响力超乎大部分人的想象。

无法避免的矛盾

数据在今天能够创造巨大财富,自然也会因为利益而引发各种矛盾和争议。一方面,经济全球化,以及数据流动并不需要太多成本,这些使“数据全球化”变得愈发不可逆;另一方面,由于“数据主权”与数据生产带来的经济价值,各国近年来纷纷采取技术手段、出台政策法规,希望尽可能地由自己去掌握数据,而不是将公民的数据都上交给全球范围内的互联网巨头企业,即实现“数据本土化”。

因此,跨境数据流动与“数据本土化”之间的矛盾便不可避免地形成了。不过,有学者指出,这对矛盾双方并非不可调节的完全对立。如果能够构建适合自身国情的数据跨境流动相关制度,那么还是可以实现自由流动与数据安全之间的平衡。

目前看来,如何保护数据安全这一议题对于各国来说,受制于政治经济文化等因素的多样性,还没有“标准答案”,更多的是一种自发行为。这些自发行为,又映射出不同国家对于这一矛盾的不同态度。

从市场价值来看,美国的互联网企业无疑处于领先地位。然而,从2013年“棱镜门”事件再到2018年脸书的数据丑闻,这些都使得走在网络时代前列的美国,在数据安全领域的措施与法规备受关注。国内已有学者指出,在特朗普担任美国总统期间颁布的“云法案”(The Cloud Act),“是美国为建立全球数据霸权所采取的一项重要措施,直接服务于美国‘无限的数据饥渴’”。

具体来说,“云法案”为美国联邦调查局(FBI)等情报调查机构调取境外数据提供了法律依据,如果企业不提供相应内容则属于违法。而“云法案”只允许“符合资格的”且与美国政府签订行政协议的外国政府向美国境内组织发出协助调查、调取数据的请求。

“美国主张互联网自由,但他这种自由并不是真正对等的自由。美国希望自由地调取外国企业在美国境内的数据,但对于自身并没有统一这种要求。”徐偲骕告诉《新民周刊》。

与美国不同,欧盟于2018年5月25日正式实施通过的《通用数据保护条例》(GDPR)提供了另一种国家层面保护数据安全的路径。这份条例被视为“史上最严格的个人信息保护规范”,其范围不仅涵盖欧盟全境,而且对与欧盟相关的、但不在欧盟境内的第三国企业和机构同样具有法律效力。

GDPR实施后,由于中国并不在其第三国“白名单”之中,所以对国内那些在欧洲也拥有广泛用户的互联网企业带来了巨大压力。部分企业开始成立专门的应对团队,尽快使自己符合GDPR的数据传输要求。

此外,在GDPR的影响下,很多非欧盟国家据此修改了自身的数据保护法,以与欧盟标准保持一致。欧盟在与其他国家之间的跨境数据流动文本通常也是由欧盟起草,这些迹象都显示出欧盟在国际上数据安全领域的话语权。

对于这种限制,中国应该如何应对?2019年6月,《个人信息出境安全评估办法(征求意见稿)》全面加强了我国个人数据出境的保护。而就在2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,其中第七条提出:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”而第八条提出:“履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”

再加上《网络安全法》等法规,可以说中国目前在数据保护方面走在了亚洲前列。在徐偲骕看来,国内目前面对数据安全与自由的矛盾,正在找到一种自己的模式。“作为后发国家,中国不可能完全照搬欧洲严苛的数据新法,主动给正在壮大的数字经济套上枷锁,放弃‘弯道超车’的机遇。我们是在提高个人保护水平的前提下,尽力促成大数据作为正规经济部门的‘合法兴起’”。

无形的战斗

除了政府有关部门对于数据安全的保护,目前国内也有不少专注网络安全的企业在贡献自己的力量。创立于2007年的知道创宇,就是其中之一。从国家重大活动的网络保障,到打击网络诈骗,再到保护企业数据安全,近年来知道创宇在应对数据安全威胁中积累出自己的“心得”。

从早年互联网普及开始,网络病毒与黑客攻击对于中国的网友已经不是什么新鲜事。不过在如今大数据时代,黑客的攻击手段不断升级,而大数据安全企业的应对同样在不停地更迭。接受《新民周刊》采访时,知道创宇防御产品线总经理张永波提到一个显著的变化是:用大数据来保护大数据本身,正在成为常态。

“过去可能是遭受黑客攻击,数据安全受到威胁之后我们去弥补;现在我们会借助大数据监控,提前发现黑客的行为,比如窃取数据,篡改信息,大规模的数据爬取。对此,我们有一套完整的黑客攻击捕获方案,然后建立大数据威胁情报库,最终实现做到提前预知。”张永波说道。

数据安全变得愈发重要,对于掌握大量数据的企业也提出了更高要求。张永波告诉新民周刊:“过去企业发现自己的数据被窃取,会觉得自己是受害者。但现在数据经济如此发达,企业的社会责任也就相应变大。如果不能保护好自己的关键数据,可能还要承担相应的责任。”

2020年10月,在桔视上线3周年之后,滴滴地图事业部在中国测绘学会年会上公布了一组数据:滴滴地图基础数据准确率已经超过95%,而且每天新增轨迹数据超108TB。此外,5.5亿乘客,每天还会上报数十万量级的路况事件。1000多万滴滴车辆,每天通过桔视,成为滴滴的街景实时测绘车,并成为掌握我国城乡高精测绘数据的重要平台。一旦这些数据都被美国拿到,国家安全势必面临极大的危机。

美国2020年颁布了外国公司问责法案(HFCA),要求赴美企业必须接受公众公司会计监督委员会的会计底稿审查。这成为美国证监会SEC与中国证监会CRSC的交锋焦点。审计底稿之所以重要,是因为审计报告里面包含了公司的重要商业秘密。包括客户和用户数据、董事会、中高层之间的会议纪要、内外部重要业务和经营方面的沟通文件、问题汇总、程序表格,甚至包括往来的电子邮件。所以不难理解,为什么企业对于聘请会计师事务所进行审计的时候,会对事务所的声誉有着严格要求。对于赴美上市的中国企业,很多都是各个行业中的领军企业。就像滴滴、boss直聘、运满满、货车帮等,一旦美方通过SEC,拿到了这些企业的所有审计底稿,就可以去分析出中国城乡消费能力,进而推导中国的经济实力,更不用说对于重要部门、国家安全产生的影响,因为这些可以利用关联分析,倒推出很多的数据。

作为手握巨大基础数据的互联网公司,怎么保护自身数据安全?出席2021世界人工智能大会安全高端对话的相关专家建议:

一是做好数据分类分级管控。互联网公司应该将涉及国家安全、国民经济命脉、重要民生、重大公共利益的重要数据和核心数据;涉及平台业务的公共数据、涉及大量个人隐私的用户数据,进行数据资产分类分级管理。并利用数据标识工具,针对上述数据进行自动化打标,并结合分级保护策略,对于公司的海量数据进行“合法、合规、合理”的自动化、精细化安全管控。

二是管控数据全生命周期安全。针对不同安全级别的数据,明确其在采集、传输、存储、使用、删除等数据生命周期各个环节的安全防护要求。

三是建立完善的数据安全监测预警机制。通过建设数据安全风险监控平台,预警响应数据安全风险。基于敏感数据、策略、数据流转基线等多维度,对数据的生产流转、数据操作进行监控、审计、分析,及时发现异常数据流向、异常数据操作行为,并进行告警,输出报告。对人员、业务、系统、合作伙伴进行全面布控,进行风险识别与预警,有效提高风险预警能力和风险运营能力,以实现数据全生命周期各阶段的数据安全风险防控。

无形的战斗在庞大的数据世界里已然打响。那些威胁到数据安全的行为,越来越难以辨认,国家行为与黑客自发组织的界限变得模糊。可以预见的是:保护数据安全,在未来必将会是一个频繁被讨论的话题。

放大

缩小

上一版

下一版

下载

读报纸首页