來源：雷鋒網(wǎng)

所有金融機構、互聯(lián)網(wǎng)公司和數(shù)據(jù)技術服務商共同關心的《數(shù)據(jù)安全法》，近日正式表決通過，今年 9 月 1 日開始施行。去年 7 月和今年 4 月，全國人大常委對該法草案進行了首次和二次審議。

數(shù)據(jù)被認為是繼土地、勞動力、資本、技術之后的第五種生產(chǎn)要素。在數(shù)據(jù)問題上，任何一點細微的處理不當，都會牽一發(fā)而動全身，因此這部法律的關注度，說是近幾年各類法案中的 " 頂流 " 也不為過。

這部法案中，到底哪一點最受到大家關注？數(shù)據(jù)領域千頭萬緒，什么環(huán)節(jié)最讓人頭疼？隨著數(shù)據(jù)監(jiān)管逐漸到位，新的市場機遇和技術方向是否已經(jīng)浮現(xiàn)？

數(shù)據(jù)分類分級，為什么最受關注？

業(yè)界討論里，出鏡率最高的一項條款，必然是法案首次提出的數(shù)據(jù)分級分類：

建立數(shù)據(jù)分類分級保護制度，對數(shù)據(jù)實行分類分級保護；并基于數(shù)據(jù)分類分級確定重要數(shù)據(jù)目錄和國家核心數(shù)據(jù)，進行重點保護。——《數(shù)據(jù)安全法》第二十一條

為何這一點會受到最多關注？無論手握多少數(shù)據(jù)，對外開放交流的 " 溝通成本 "，對內(nèi)的 " 管理成本 "，幾乎是所有機構最在意的事情。

一位隱私計算領域的業(yè)內(nèi)人士指出，分級分類之后，各方才能更容易確定可分享的數(shù)據(jù)部分，在完全開放和完全不開放之間尋求平衡。數(shù)據(jù)如果不做分級分類，在政務、金融這類更加傳統(tǒng)嚴謹?shù)念I域，為求安全，機構往往會采取一刀切的 " 閉關 " 形式，數(shù)據(jù)的交流合作也就無從談起。

而在機構內(nèi)部，深信服數(shù)據(jù)安全產(chǎn)品線總經(jīng)理李玉亮就向雷鋒網(wǎng) AI 金融評論透露，" 從以往的合作方反饋來看，他們也比較關心數(shù)據(jù)分類分級的落地。"

他認為，目前企業(yè)和組織里的數(shù)據(jù)規(guī)模巨大，但當前數(shù)據(jù)分類分級的主要方式是人工和基于正則表達式的工具，效率和準確性都較低，企業(yè)自身也希望擁有更加自動化的數(shù)據(jù)分類分級工具。

騰訊安全的數(shù)據(jù)安全專家崔卓也分析稱，對于企業(yè)經(jīng)營人員和安全管理人員來講，首先要做好數(shù)據(jù)資產(chǎn)盤點和數(shù)據(jù)分類分級工作，需要知道企業(yè)當前敏感數(shù)據(jù)分布以及數(shù)據(jù)安全現(xiàn)狀，包括數(shù)據(jù)類型、風險級別如何、當前安全能力等方面。

不過具體應該如何分級分類，什么才是 " 重要數(shù)據(jù) "，現(xiàn)行法案都尚未有明確規(guī)定。結合《數(shù)據(jù)安全法》以及此前發(fā)布的多個相關文件來看，" 重要數(shù)據(jù) " 這個詞似乎更多出于國家安全層面的考量。

《數(shù)據(jù)安全法》中，只注明了主要標準是 " 數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度 "，強調(diào) " 關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)。"

而《數(shù)據(jù)安全管理辦法（征求意見稿）》給出的措辭相對具體一些，稱重要數(shù)據(jù)指的是 " 一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。"

但這個意見稿也指出，重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等，這個標準是否會被沿用到此后的數(shù)據(jù)安全領域，也有待觀察。

另一個受到各方關注的重點，則是數(shù)據(jù)流轉(zhuǎn)的監(jiān)測和溯源。

" 由于當前國家正在推動數(shù)據(jù)的開放共享，所以組織內(nèi)部或者跨組織、地區(qū)之間的數(shù)據(jù)流轉(zhuǎn)非常頻繁，所以存在巨大的數(shù)據(jù)泄露風險，并且泄露之后無法很好溯源。" 李玉亮分析稱。

對于企業(yè)而言，數(shù)據(jù)安全保護義務的規(guī)定，也同樣是他們十分關心的問題。

《數(shù)據(jù)安全法》的第四章，詳細規(guī)定了開展數(shù)據(jù)處理活動需要承擔的數(shù)據(jù)安全保護義務，包括要明確數(shù)據(jù)安全負責人、建立健全全流程數(shù)據(jù)安全保護制度、加強風險監(jiān)測、定期開展風險評估以及在跨境數(shù)據(jù)流通、數(shù)據(jù)交易和數(shù)據(jù)調(diào)取方面需要承擔的義務等。

多位法律界人士也指出，針對這些詳細的合規(guī)措施，構建自身的合規(guī)體系，將是企業(yè)們迫在眉睫的數(shù)據(jù)任務。

數(shù)據(jù)確權，難中之最？

《數(shù)據(jù)安全法》在界定 " 數(shù)據(jù)處理 " 時，也覆蓋了數(shù)據(jù)的全生命周期，包括數(shù)據(jù)的確權、收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)，不過尚無對各個環(huán)節(jié)未有深入的處理細則。

而所有環(huán)節(jié)之中，數(shù)據(jù)確權可能是任務最艱巨、優(yōu)先級最高的一環(huán)。

" 銀行對數(shù)據(jù)確權這方面比較謹慎。" 一位來自國有大行科技子公司的業(yè)內(nèi)人士，就向 AI 金融評論強調(diào)了這一點。

" 因為數(shù)據(jù)確權是非常復雜的系統(tǒng)性工程，所以《數(shù)據(jù)安全法》也沒有對于數(shù)據(jù)確權進行明確的規(guī)定。" 李玉亮也表示，確權應該是目前難度最大的一項。

他指出，從目前來看，數(shù)據(jù)確權的難度最大——如果數(shù)據(jù)確權沒有完成，后續(xù)的數(shù)據(jù)要素流轉(zhuǎn)就無法很好進行，就無法發(fā)揮出來數(shù)據(jù)要素的價值，數(shù)字經(jīng)濟的發(fā)展就會受到限制。

而華控清交 CEO 張旭東此前也向雷鋒網(wǎng) AI 金融評論提到這樣一個觀點：

過早、過嚴、過窄地定義和規(guī)定數(shù)據(jù)的所有權，在法律上可能會制約數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)生態(tài)的發(fā)展。

" 數(shù)據(jù)確權的難處，只能點到為止。" 他認為，交易和流通需要生態(tài)，其中更重要的是，需要數(shù)據(jù)和資本的結合，才能使數(shù)據(jù)的交易流通、要素化大規(guī)模發(fā)展。

也有相關從業(yè)者透露了自己的擔憂：從確權環(huán)節(jié)就開始產(chǎn)生的限制，會拖慢業(yè)務創(chuàng)新、企業(yè)發(fā)展的步伐。

" 或許這也是為什么近年來國外不再有新的互聯(lián)網(wǎng)巨頭出現(xiàn)。"

張旭東進一步提到，在數(shù)據(jù)確權相關法律法規(guī)還不健全的情況下，是否能讓數(shù)據(jù)進行先期的交易和流通，反過來為數(shù)據(jù)的確權真正提供有益的實踐和探索？

但數(shù)據(jù)交易的落地同樣進展緩慢。數(shù)據(jù)作為生產(chǎn)要素的特殊性，使得局面陷入泥淖。

" 數(shù)據(jù)的復制成本極低，復制和傳播速度也極快；一旦被看見，就可以被無限復制。

" 而在簡單的經(jīng)典經(jīng)濟學理論上，供需要有兩根曲線相交，才能形成價格。明文數(shù)據(jù)的特點，使得它的供應和需求都是無限的，供應和需求兩根線無法形成一個焦點，很難通過市場供需進行定價，并形成大規(guī)模的市場交易流通。" 張旭東解釋。

這種情形之下，數(shù)據(jù)擁有方往往缺乏主動發(fā)起交易的動力，手握數(shù)據(jù)而態(tài)度保守。

盡管國內(nèi)目前已有三十多家數(shù)據(jù)交易中心或交易所，但就發(fā)展情況而言，這些交易所也很難不被質(zhì)疑只是 " 擺設 "。

新的風口已經(jīng)出現(xiàn)

《數(shù)據(jù)安全法》的出臺，其實不只意味著數(shù)據(jù)領域的監(jiān)管趨嚴，在 " 牢籠 " 的形態(tài)之外，法案也在加速了新風口的誕生，更多前沿技術投入到數(shù)據(jù)領域的使用。

前述國有大行科技子公司人士強調(diào)，最值得關注的市場機遇，一定是 MPC（多方安全計算）和聯(lián)邦學習。" 未來這會都是機構的基礎設施，是數(shù)據(jù)流轉(zhuǎn)的標配。" 他強調(diào)。

李玉亮也表示，隱私計算技術能夠?qū)崿F(xiàn) " 數(shù)據(jù)可用不可見 "，典型的技術包括全同態(tài)加密、多方安全計算和聯(lián)邦學習等，能夠?qū)崿F(xiàn)數(shù)據(jù)在流通過程中的安全，可以大大促進數(shù)據(jù)的流轉(zhuǎn)和交易。

" 不可見是為了數(shù)據(jù)真正的安全，保證數(shù)據(jù)不被篡改，不被竊取，承擔起信息的存儲職能；可用則是為了承擔起數(shù)據(jù)流轉(zhuǎn)的職能。" 該業(yè)內(nèi)人士分析稱。

隱私計算，包括聯(lián)邦學習、多方安全計算等技術，在去年突然走紅，很大程度上就與當時《數(shù)據(jù)安全法》草案以及其他隱私保護相關條例有關。在《數(shù)據(jù)安全法》通過之后，這些新技術相信會進入飛速發(fā)展、跑馬圈地的階段，離規(guī)模化、商業(yè)化落地的目標更近一步。

不過該業(yè)內(nèi)人士也指出，對于隱私計算，銀行科技部門還處于初步探索期，工程學上還需要驗證，想要正式投產(chǎn)還需要至少一年時間。

而人工智能在數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全方向，仍然是不可缺席的 " 一員大將 "。

李玉亮向 AI 金融評論透露，在提高數(shù)據(jù)分類分級的效率和準確性方面，人工智能和機器學習潛力巨大；深信服也在業(yè)界率先推出了基于人工和機器學習的智能數(shù)據(jù)分類分級平臺。

除此之外，區(qū)塊鏈和智能合約也是備受看好的技術方向之一。

該銀行業(yè)內(nèi)人士表示，信息在流轉(zhuǎn)過程中，要盡可能透明化，同時要保證對客戶本人、行為數(shù)據(jù)存儲機構的支付，還有交易記錄流轉(zhuǎn)、數(shù)據(jù)信息利用的效用反饋數(shù)據(jù)等，智能合約會是兼顧這幾大問題的有效手段。

盡管各項執(zhí)行細則和標準設置得不夠具體，但在不少業(yè)界人士看來，作為數(shù)據(jù)安全領域的上位法，《數(shù)據(jù)安全法》對于數(shù)據(jù)安全的基本制度、保護義務和責任已經(jīng)有了比較清晰的規(guī)定。各部門隨后將出臺配套政策，使法律執(zhí)行更加清晰，降低執(zhí)行難度。

在期待更多配套法案出臺的同時，前沿技術也正在金融、醫(yī)療等領域用于數(shù)據(jù)安全和隱私保護。雷鋒網(wǎng) AI 金融評論就曾多次詳細報道聯(lián)邦學習等隱私計算技術，多位專家學者也曾與我們以公開課形式深入探討這一熱門技術的研究成果和落地情況，部分精華內(nèi)容一并整理在本文最后，以饗讀者。