从国家安全、商业机密、到个人信息，数据安全问题无处不在。

近日，某婚恋网站2.2亿会员隐私“裸奔”，网站后台可随意查看用户信息（包括会员浏览的异性照片记录、聊天记录等），让数据安全再次成为公众关注的焦点。

为推动相关产业快速健康发展，我国出台多项举措保护信息数据安全。9月1日，《中华人民共和国数据安全法》施行；11月1日，《中华人民共和国个人信息保护法》正式实施；11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》，以规范网络数据处理活动，保障数据安全，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益。

专家认为，密集出台多项保护举措，标志着我国信息数据安全保护进入新阶段，需要在法律法规框架下，让行业标准、管理机制和技术措施匹配起来，多管齐下才能保障相关产业健康快速发展。

数据保护进入新阶段

近年来，全球数据安全问题花样百出、愈演愈烈。进入2021年，微软、安卓、大众、奥迪、Twitter、Facebook, Instagram、LinkedIn和Robinhood（美国股票交易和行情App）都遭遇过数据安全事故。

随着数据规模呈几何级数高速成长，我国已成为全球第一的数据大国。《中国互联网发展报告2021》显示，2020年中国数字经济规模达39.2万亿元，占GDP比重为38.6%，增速为9.7%；中国数字产品化规模为7.5万亿元。

大规模的存量与增量数据，也伴随着数据安全风险增加。中国国家互联网应急中心发布的数据显示，2021年10月，网站安全方面，中国境内被篡改网站数量为9532个，较9月增长近3成；境内被植入后门的网站数量为2932个，较9月增长2.4%。按网站类型统计，被植入后门数量最多的是.COM域名类网站。

11月16日，在工业和信息化部举办的《“十四五”信息通信行业发展规划》发布会上，工业和信息化部网络安全管理局副局长杜广达表示，数据已成为新型生产要素，加强数据治理、保护数据安全事关国家安全和人民权益。工信部将一方面加强政策标准建设，研究制定40余项行业亟需重点标准。另一方面狠抓合规管理，督促电信和重点互联网企业深入开展数据安全合规评估，指导中国互联网协会成立数据治理工作委员会加强行业自律。

当前，数据安全不仅受到学术界重视，也引起工业界及企业、个人的高度关注。大数据行业专家、北京融信数联科技有限公司CEO于笑博认为，一系列数据安全法律法规“重拳”出击，为行业提供了更加细致可操作的法律依据和行为规则，标志着我国个人信息数据安全保护迈入了新阶段。

标准和技术的“互动”

在国家层面立法保护数据安全之后，如何在保证企业正常生产经营的基础上，确保数据安全是个值得思考的问题。

“在信息分级的基础上谈安全才有意义。”北京并行科技超算云服务团队负责人宋志方对《中国科学报》说，“信息安全的分级，应该以信息或数据的不同而划分，在云计算、车联网、大数据、人工智能等各领域、信息安全等级不尽相同，所以，分级分类也让数据保护有了更细致的操作依据。”

中国社会科学院财经战略研究院研究员李勇坚认为，《网络数据安全管理条例（征求意见稿）》对数据安全保护的整体操作性层面进行了规定，从而使相关法律在具体执行方面更具有可操作性。其中数据分级分类保护制度、对数据“出海”的规定、对平台规则、隐私政策的修订，将使行业、平台在规则制定方面更加规范。

专家认为，数据安全问题是当前行业标准、技术手段不适应数据产业发展需求的结果，所以需要建立一些标准和防控机制。而在数据存储、密码攻防领域，技术可以做更多的事情，可更多利用技术手段，保障用更好的技术保障数据安全。

比如，利用同态加密技术，将数据加密后存于服务器端，相关企业可以利用这些数据去做相应的分析处理，然后将处理结果反馈给用户。如果将同态加密技术应用于报税系统，第三方机构可以拿到数据、使用数据，但只能用来计算报税额度，其他相关数据，甚至具体的报税额度是多少第三方机构的员工也无法看到。

在第五代移动通信技术（5G）网络安全领域，国际标准组织3GPP曾引入公钥密码技术来加密移动用户标识符，以防范攻击者窃听无线信道。后来人们发现，公钥密码技术在隐私保护方面仍然存在安全缺陷。日前，中科院软件所研究员张振峰团队以标准兼容方式，解决了当前5G认证密钥协商协议(5G-AKA)隐私安全问题，为移动通信用户安全接入提供了新一代核心技术。

“我国正处于数字经济高速发展的过程中，但目前数据治理水平滞后于数字产业发展。”于笑博说，以前的行业标准大多数依赖以前的技术，随着新技术的出现，亟须新的行业标准与之“匹配”。

宋志方认为，信息安全标准有可能随技术发展而变化，在保障数据安全过程中，技术不但能在密码攻防等方面起着重要作用，还会和行业标准有相互促进的“互动”过程。

找到应用和监管的平衡

遏制数据使用乱象，保护个人隐私，同时又不排斥新技术带来的高效和便利，这需要我们在具体应用中进一步检验、完善和补充。

“在行业应用上，一是存在技术方面的问题，二是存在合规的问题。”中国信通院云计算与大数据研究所人工智能部副主任石霖告诉《中国科学报》，“比如在人脸识别方面，首先我们要制定这个行业的标准和规范，人脸识别要达到什么样的安全防御能力，然后是企业在合规的情况下，如何采集和使用人脸信息。”

石霖介绍说，“护脸计划”是中国信通院倡议发起，旨在人脸识别技术大规模应用的时代背景下，通过标准制定、测试评估、行业自律等手段，以应对层出不穷的隐私泄露、技术滥用、偏见歧视等问题，从而促进人工智能产业健康发展。

“数据安全问题，应该从使用和保护结合的角度去探索解决方案。”石霖说，“如果不允许使用，那就谈不上保护，我们需要找到这种技术落地应用和有效监管治理的平衡点。”

目前，“护脸计划”首批成员单位已有65家。成员单位已开始制定行业的标准和规范，通过技术的方式进行相关的测试，引导企业提升自己的这个安全和合规的这样一个能力，并在法律的指引下，起草企业处理人脸信息的合规操作指南。

“在不同业务点上，保护数据安全有很多具体的细节。比如，有财产安全、隐私保护方面的要求，有使用中简单便捷的要求。”石霖说，“这就需要有更多的研究机构、产业界、法律界都参与进来，共同推动相关产业健康发展。”