《資料安全法》背後：聚光燈、新風口與蜀道難

所有金融機構、網際網路公司和資料技術服務商共同關心的《資料安全法》，近日正式表決通過，今年9月1日開始施行。去年7月和今年4月，全國人大常委對該法草案進行了首次和二次審議。

資料被認為是繼土地、勞動力、資本、技術之後的第五種生產要素。在資料問題上，任何一點細微的處理不當，都會牽一髮而動全身，因此這部法律的關注度，說是近幾年各類法案中的「頂流」也不為過。

這部法案中，到底哪一點最受到大家關注？資料領域千頭萬緒，什麼環節最讓人頭疼？隨著資料監管逐漸到位，新的市場機遇和技術方向是否已經浮現？

資料分類分級，為什麼最受關注？

業界討論裡，出鏡率最高的一項條款，必然是法案首次提出的資料分級分類：

建立資料分類分級保護制度，對資料實行分類分級保護；並基於資料分類分級確定重要資料目錄和國家核心資料，進行重點保護。——《資料安全法》第二十一條

為何這一點會受到最多關注？無論手握多少資料，對外開放交流的「溝通成本」，對內的「管理成本」，幾乎是所有機構最在意的事情。

一位隱私計算領域的業內人士指出，分級分類之後，各方才能更容易確定可分享的資料部分，在完全開放和完全不開放之間尋求平衡。資料如果不做分級分類，在政務、金融這類更加傳統嚴謹的領域，為求安全，機構往往會採取一刀切的「閉關」形式，資料的交流合作也就無從談起。

而在機構內部，深信服資料安全產品線總經理李玉亮就向雷鋒網AI金融評論透露，「從以往的合作方反饋來看，他們也比較關心資料分類分級的落地。」

他認為，目前企業和組織裡的資料規模巨大，但當前資料分類分級的主要方式是人工和基於正則表示式的工具，效率和準確性都較低，企業自身也希望擁有更加自動化的資料分類分級工具。

騰訊安全的資料安全專家崔卓也分析稱，對於企業經營人員和安全管理人員來講，首先要做好資料資產盤點和資料分類分級工作，需要知道企業當前敏感資料分佈以及資料安全現狀，包括資料類型、風險級別如何、當前安全能力等方面。

不過具體應該如何分級分類，什麼才是「重要資料」，現行法案都尚未有明確規定。結合《資料安全法》以及此前釋出的多個相關檔案來看，「重要資料」這個詞似乎更多出於國家安全層面的考量。

《資料安全法》中，只註明了主要標準是「資料在經濟社會發展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度」，強調「關係國家安全、國民經濟命脈、重要民生、重大公共利益等資料屬於國家核心資料。」

而《資料安全管理辦法（徵求意見稿）》給出的措辭相對具體一些，稱重要資料指的是「一旦洩露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的資料，如未公開的政府資訊，大面積人口、基因健康、地理、礦產資源等。」

但這個意見稿也指出，重要資料一般不包括企業生產經營和內部管理資訊、個人資訊等，這個標準是否會被沿用到此後的資料安全領域，也有待觀察。

另一個受到各方關注的重點，則是資料流轉的監測和溯源。

「由於當前國家正在推動資料的開放共享，所以組織內部或者跨組織、地區之間的資料流轉非常頻繁，所以存在巨大的資料洩露風險，並且洩露之後無法很好溯源。」李玉亮分析稱。

對於企業而言，資料安全保護義務的規定，也同樣是他們十分關心的問題。

《資料安全法》的第四章，詳細規定了開展資料處理活動需要承擔的資料安全保護義務，包括要明確資料安全負責人、建立健全全流程資料安全保護制度、加強風險監測、定期開展風險評估以及在跨境資料流通、資料交易和資料調取方面需要承擔的義務等。

多位法律界人士也指出，針對這些詳細的合規措施，構建自身的合規體系，將是企業們迫在眉睫的資料任務。

資料確權，難中之最？

《資料安全法》在界定「資料處理」時，也覆蓋了資料的全生命週期，包括資料的確權、收集、儲存、使用、加工、傳輸、提供、公開等環節，不過尚無對各個環節未有深入的處理細則。

而所有環節之中，資料確權可能是任務最艱鉅、優先順序最高的一環。

「銀行對資料確權這方面比較謹慎。」一位來自國有大行科技子公司的業內人士，就向AI金融評論強調了這一點。

「因為資料確權是非常複雜的系統性工程，所以《資料安全法》也沒有對於資料確權進行明確的規定。」李玉亮也表示，確權應該是目前難度最大的一項。

他指出，從目前來看，資料確權的難度最大——如果資料確權沒有完成，後續的資料要素流轉就無法很好進行，就無法發揮出來資料要素的價值，數字經濟的發展就會受到限制。

而華控清交CEO張旭東此前也向雷鋒網AI金融評論提到這樣一個觀點：

過早、過嚴、過窄地定義和規定資料的所有權，在法律上可能會制約資料產業和資料生態的發展。

「資料確權的難處，只能點到為止。」他認為，交易和流通需要生態，其中更重要的是，需要資料和資本的結合，才能使資料的交易流通、要素化大規模發展。

也有相關從業者透露了自己的擔憂：從確權環節就開始產生的限制，會拖慢業務創新、企業發展的步伐。

「或許這也是為什麼近年來國外不再有新的網際網路巨頭出現。」

張旭東進一步提到，在資料確權相關法律法規還不健全的情況下，是否能讓資料進行先期的交易和流通，反過來為資料的確權真正提供有益的實踐和探索？

但資料交易的落地同樣進展緩慢。資料作為生產要素的特殊性，使得局面陷入泥淖。

「資料的複製成本極低，複製和傳播速度也極快；一旦被看見，就可以被無限複製。

「而在簡單的經典經濟學理論上，供需要有兩根曲線相交，才能形成價格。明文資料的特點，使得它的供應和需求都是無限的，供應和需求兩根線無法形成一個焦點，很難通過市場供需進行定價，並形成大規模的市場交易流通。」張旭東解釋。

這種情形之下，資料擁有方往往缺乏主動發起交易的動力，手握資料而態度保守。

儘管國內目前已有三十多家資料交易中心或交易所，但就發展情況而言，這些交易所也很難不被質疑只是「擺設」。

新的風口已經出現

《資料安全法》的出臺，其實不只意味著資料領域的監管趨嚴，在「牢籠」的形態之外，法案也在加速了新風口的誕生，更多前沿技術投入到資料領域的使用。

前述國有大行科技子公司人士強調，最值得關注的市場機遇，一定是MPC（多方安全計算）和聯邦學習。「未來這會都是機構的基礎設施，是資料流轉的標配。」他強調。

李玉亮也表示，隱私計算技術能夠實現「資料可用不可見」，典型的技術包括全同態加密、多方安全計算和聯邦學習等，能夠實現資料在流通過程中的安全，可以大大促進資料的流轉和交易。

「不可見是為了資料真正的安全，保證資料不被篡改，不被竊取，承擔起資訊的儲存職能；可用則是為了承擔起資料流轉的職能。」該業內人士分析稱。

隱私計算，包括聯邦學習、多方安全計算等技術，在去年突然走紅，很大程度上就與當時《資料安全法》草案以及其他隱私保護相關條例有關。在《資料安全法》通過之後，這些新技術相信會進入飛速發展、跑馬圈地的階段，離規模化、商業化落地的目標更近一步。

不過該業內人士也指出，對於隱私計算，銀行科技部門還處於初步探索期，工程學上還需要驗證，想要正式投產還需要至少一年時間。

而人工智慧在資料開發利用和資料安全方向，仍然是不可缺席的「一員大將」。

李玉亮向AI金融評論透露，在提高資料分類分級的效率和準確性方面，人工智慧和機器學習潛力巨大；深信服也在業界率先推出了基於人工和機器學習的智慧資料分類分級平臺。

除此之外，區塊鏈和智慧合約也是備受看好的技術方向之一。

該銀行業內人士表示，資訊在流轉過程中，要儘可能透明化，同時要保證對客戶本人、行為資料儲存機構的支付，還有交易記錄流轉、資料資訊利用的效用反饋資料等，智慧合約會是兼顧這幾大問題的有效手段。

儘管各項執行細則和標準設定得不夠具體，但在不少業界人士看來，作為資料安全領域的上位法，《資料安全法》對於資料安全的基本制度、保護義務和責任已經有了比較清晰的規定。各部門隨後將出臺配套政策，使法律執行更加清晰，降低執行難度。

在期待更多配套法案出臺的同時，前沿技術也正在金融、醫療等領域用於資料安全和隱私保護。雷鋒網AI金融評論就曾多次詳細報道聯邦學習等隱私計算技術，多位專家學者也曾與我們以公開課形式深入探討這一熱門技術的研究成果和落地情況，部分精華內容一併整理在本文最後，以饗讀者。