信息安全保护在数字经济发展中的作用研究

杨海，陈亮

（国家计算机网络应急技术处理协调中心贵州分中心，贵州贵阳 550001）

随着互联网的广泛普及，信息技术快速发展应用，已经改变了人民群众的生产、生活方式，信息技术的快速发展加速了数字经济的发展，特别是在目前全球经济衰退、新冠肺炎疫情的持续影响下，数字经济的发展为我国经济增长提供了有力的驱动力，日益融入经济社会发展各领域的全过程。作为国家安全中的非传统领域，数字化的快速增长，也带来数据安全的挑战，随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的出台实施，在维护数据安全方面提供了具体的实践路径。

1 信息技术的应用发展深刻影响生产、生活方式

随着信息技术的快速发展应用，我国数字建设取得了显着成效。根据《“十四五”国家信息化规划》公布，我国的信息基础设施规模全球领先，截至2020年，我国固定宽带家庭普及率达96%，移动宽带用户普及率达108%，全国行政村、贫困村通光纤和通4G比例均超过98%等，表明我国数字经济实现了跨越式发展。2020年，我国数字经济总量跃居世界第二，数字经济核心产业增加值占GDP比重达到7.8%，电子商务交易额达到37.21万亿元。另一方面，信息惠民便民水平大幅提升。“互联网+政务服务”应用广度和深度快速拓展，国家政务服务平台基本建成并开通服务，全国政府网站集约化水平显着提升。全国电子社保卡签发达3.6亿张，远程医疗协作网覆盖全国所有地市2.4万余家医疗机构和所有国家级贫困县县级医院，全国中小学（含教学点）互联网接入率达100%[1]。信息技术的应用发展深刻影响社会经济发展和人民的生产、生活方式，起到了至关重要的作用。

2 大数据伴随的安全形势更为严峻

信息技术离不开数据采集、流转、应用、迭代等方面，数字经济的发展与作为数据本身密不可分。当前，数据安全已成为事关国家安全与经济社会发展的重大问题。2021年7月，国家网信办发布通报对“滴滴出行”进行网络安全审查，其在收集使用个人信息方面存在严重违法违规问题，对其进行下架和停止新用户注册。同月，“运满满”“货车帮”“BOSS直聘”被实施网络安全审查，期间停止新用户注册[2-3]。2022年2月施行《网络安全审查办法》，明确掌握超过100万用户个人信息的运营者，赴国外上市必须进行网络安全审查。这些事件的发生和产生的影响，也反映了在数字经济快速发展带来时代红利的同时，也伴随着一些安全问题，包括数据信息泄露、滥用数据等情况。

3 常见的网络数据安全风险隐患

常见的网络安全风险隐患主要包括数据泄露、数据贩卖、数据垄断、算法推荐乱象等类型，具体情况如图1。

图1 常见网络数据安全风险

3.1 数据泄露

漏洞隐患是导致数据泄露的主要方式，漏洞隐患不仅存在于硬件，也存在于软件和安全管理中。漏洞更新方面，没有及时更新漏洞补丁是常见的现象，不仅需要及时更新操作系统的补丁，还需要注意如浏览器、办公软件等应用软件，各类运行环境、中间件等。在实际环境使用中，常出现部分系统平台因开发原因，一旦随意更新便会导致系统平台不可用，导致不敢更新、不能更新、无法更新等情况。管理意识不强方面，弱口令依然是多年来最为常见的安全隐患之一，这表明相关人员网络安全意识不到位，安全排查工作不全面。

3.2 数据贩卖

数据贩卖通常伴随着数据泄露，一般有通过“内鬼”盗取、木马病毒窃取、利用漏洞获取等各类违法行为方式。再通过点对点通讯软件、网络加密传输、网站叫卖等各类方式进行售卖，达到非法获利的目的。在暗网中文交易平台就单独开设相关专栏，据统计仅2021年相关售卖事件达2000余起，平均每天约7起数据售卖事件，累计单条事件涉及总额近300万美元，显示完成交易涉及的金额为160余万美元，严重威胁社会秩序和公民的合法利益。2022年1月，公安部公布《公安部公布打击侵犯公民个人信息犯罪十大典型案例》，就有不少数据售卖的典型违法犯罪案例。

3.3 数据垄断

随着网络数据安全内涵的延伸和扩大，对数据合法合规地收集使用也成为数据安全的重要组成部分。当前，由于各互联网平台的业务大都由数据驱动，商业推广、精准营销、产品迭代等业务都离不开个人数据收集这个核心。各个平台利用数据在追求利益最大化的同时，也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。基于数据垄断优势进行“二选一”“大数据杀熟”等侵犯消费者权益的行为也层出不穷。

3.4 算法推荐乱象

在大数据和人工智能领域，算法推荐技术得到广泛应用，提供了对用户多元化、特性化的精准服务，减少了信息传播的成本。算法推荐技术的滥用，也可能造成用户沉迷风险、信息接收局限，造成一定程度信息壁垒和封闭，与此同时，算法应用中存在的违法和不良信息传播、侵害用户权益、操纵社会舆论等乱象问题也屡次出现，也是另一种形式的数据安全风险。2021年12月，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局就联合印发《互联网信息服务算法推荐管理规定》规范互联网信息服务算法推荐活动。

4 数据安全风险来源

数字经济发展的过程中，网络安全人才的配备和网络安全防护工作的短板也逐渐凸显。

“人防”方面，存在对数据安全工作重视程度不够，认为数据安全是相关主管监管部门的事、专业部门的事，同自己部门无关，对数据安全工作责任制落实不到位、不彻底，数据安全制度建立不完善，责任不明确。部分单位在相关网络安全方面未配备专职人员，甚至没有配置管理人员的情况时常出现，即使有相关的安全管理工作人员，也存在安全意识不强的问题。在遇到安全事件发生时，甚至出现用断网关机这样的手段来解决问题，这恰恰会助力某些网络病毒的传播，造成更大的影响和危害。同时，由于贩卖数据的地下黑色产业链的形成，非法获取数据进行贩卖，获得巨额利益的诱惑，也致使相关人员铤而走险。

“物防”方面，不管是计算机软硬件，还是网络系统或应用程序，都是由人为编程而来，难免会存在网络安全漏洞隐患，漏洞隐患会导致数据安全泄露等事件的发生。有的部门依然存在未定期排查系统风险隐患、未及时更新补丁、未按照要求及时开展国产化替代工作、采购的云计算服务未通过安全评估等情况。有的部门未按要求配置专业的网络数据安全防护产品，导致重要信息系统能被轻易攻破，存在严重的网络安全隐患。特别是在数据的产生和应用过程中，涉及面广、参与环节多，存在安全隐患的风险点多，没有完整的、关联的安全防护体系，有可能由点及面，导致系统性的风险，进而导致数据安全威胁。

“技防”方面，有的部门在信息化项目建设时，未保证安全技术措施“同步规划、同步建设、同步使用”，甚至在网络安全方面零投入。有的部门在重要信息系统维护方面主要依靠第三方服务机构，丧失对系统防护的技术主动性。有的部门由于技术力量有限，在处置安全事件时，只能处置被通报的事件，而不能发现存在的其他网络安全风险隐患，导致连续发生网络安全事件。特别在保护重要数据、重要资产环节时，过于依赖第三方，导致风险隐患不自知，“就事论事”处置事件，在独立、自主的专业能力方面存在不足。

5 数据安全监督管理依据不断完善

最早施行的《网络安全法》，到2021年施行的《数据安全法》《个人信息保护法》，从数据的产生直到数据的运用各个环节，以及数据安全管理和责任义务均有明确的要求，对各类角色不履行数据安全保护义务情形，明确了违法违规的具体规定，根据不同程度和违反不同条款，进行治安处罚或刑事追究[4]。

5.1 网络数据安全保护框架

《数据安全法》中网络数据安全保护，明确由国家网信部门负责统筹协调监督管理[5]。网络数据安全保护框架与《网络安全法》中所明确的保护框架一致，在电信、公安等各个主管监管部门对各自职权范围内开展监督管理的基础上，由网信部门统筹协调并进行有关的监督管理[6]。数据安全和网络安全的主要监督管理部门的工作，各自侧重，也有各相互支撑，组成了一个完整的体系，网络数据安全保护主要部门牵头管理分工如表1。

表1 网信、公安、工信主要牵头管理内容

5.2 相关关系与关联

网络安全法、数据安全法、个人信息保护法三大法律，从颁布、论证、起草、出台，速度均很快，其重要性、紧迫性不言而喻，与互联网的快速发展，信息技术的深层运用，网络空间领域的安全风险紧密结合，三部法律对于维护网络空间的国家安全、社会秩序、公民合法权益有着重要的推动作用。三部法律的侧重有所不同，但也相互关联、互相支撑，形成一个整体的监管框架。

6 结束语

虽然国家和地方出台相关数据安全保护的法律法规、部门规章制度，但具体在执行层面、明确细致的规范标准方面，还需要有进一步的工作。如《数据安全法》中规定了数据交易的相关内容，但在实际工作中，有关数据权属、数据定价机制等问题仍未完全明确[9]。又如《数据安全法》中强调了要建立数据分类分级的有关内容，但在针对性地开展此项工作中，会面临涉及各行业各领域，数据的类型不同、影响不同、来源不同、格式不同等，在如何界定数据的类型和重要性，如何进行统一标准掌握，还需进一步加快研究落地[10]。同时，数据安全技术尚需继续进步，部分场景面对挑战[11]。如加密技术的快速发展，一方面保护了数据传输过程的安全问题，另一方面也对数据非法传输提供了保护能力。又如各类数据的大量收集和汇聚，也加大了数据资产梳理难度，影响系统性能，扩大了安全风险来源渠道等，传统技术还需进一步优化、升级，才能满足当下日益增长爆发的数据存储、更新、应用、监管、安全保护等场景。