隨著云計(jì)算、量子計(jì)算等新興技術(shù)的發(fā)展以及計(jì)算機(jī)處理速度的提升，傳統(tǒng)加密算法的效率與強(qiáng)度逐漸難以滿足業(yè)務(wù)需求，被破解失效的風(fēng)險(xiǎn)日益升高。

例如在人工智能領(lǐng)域，數(shù)據(jù)安全技術(shù)的應(yīng)用環(huán)境已經(jīng)從傳統(tǒng)的APP、接口等深入到算法層面，該領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)在傳統(tǒng)的數(shù)據(jù)泄露、數(shù)據(jù)破壞等問題之外，還包括了數(shù)據(jù)投毒等新型數(shù)據(jù)安全風(fēng)險(xiǎn)。這種變化促使企業(yè)需要緊跟數(shù)據(jù)安全市場的最新需求，結(jié)合區(qū)塊鏈、云計(jì)算等新興技術(shù)特點(diǎn)及優(yōu)勢，優(yōu)化數(shù)據(jù)去標(biāo)識、數(shù)據(jù)匿名等傳統(tǒng)數(shù)據(jù)安全手段，加快差分隱私、同態(tài)加密、秘密分享、不經(jīng)意傳輸?shù)葦?shù)據(jù)安全保護(hù)新技術(shù)創(chuàng)新、研發(fā)和落地的速度，更好地實(shí)現(xiàn)數(shù)據(jù)要素“安全存儲”“可信傳輸”和“協(xié)同計(jì)算”三大核心需求。

一、制約因素分析

1.研發(fā)層面：數(shù)據(jù)安全技術(shù)手段研發(fā)動力不足、方向不明。

一是資金投入不足，中長期的戰(zhàn)略目標(biāo)不明確。大型數(shù)字科技企業(yè)出于降低運(yùn)用成本考量，在數(shù)據(jù)安全技術(shù)手段研發(fā)與創(chuàng)新方面投入較少；而針對數(shù)據(jù)安全技術(shù)相關(guān)領(lǐng)域的專門研究機(jī)構(gòu)也由于缺少政策層面頂層設(shè)計(jì)的引領(lǐng)而缺乏長期專項(xiàng)的課題研究。這就導(dǎo)致不同研究機(jī)構(gòu)之間由于具體研究方向的差異、單位體量大小的差異和資金支持力度的差異等各自為戰(zhàn)，無法充分整合利用既有研究資源有針對性地投入到某一具有重大范式突破意義或行業(yè)應(yīng)用價(jià)值的數(shù)據(jù)安全技術(shù)領(lǐng)域中。

二是法律法規(guī)要求不明確，技術(shù)手段研發(fā)推動力不足。目前《中華人民共和國網(wǎng)絡(luò)安全法》和《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》(工業(yè)和信息化部令第24號)等法律法規(guī)已就數(shù)據(jù)安全和個人信息保護(hù)提出部分原則性要求，但尚未明確技術(shù)手段建設(shè)的具體要求與處罰規(guī)則，與數(shù)據(jù)安全技術(shù)相關(guān)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)也尚未形成體系化的建制。就數(shù)據(jù)的分級分類而言，以《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》為代表的國家政策文件已就數(shù)據(jù)分級的基本框架、確定方法和實(shí)施流程做出了系統(tǒng)說明，但在“動態(tài)更新情形參考”部分未給出較為詳細(xì)的參考規(guī)則。這就導(dǎo)致數(shù)據(jù)安全技術(shù)創(chuàng)新的突破點(diǎn)與風(fēng)險(xiǎn)點(diǎn)的區(qū)隔較為模糊，相關(guān)領(lǐng)域技術(shù)研發(fā)與突破的容錯空間具有較大不確定性，最終成為掣肘研究人員展開進(jìn)一步研究的重要因素。對于聯(lián)邦學(xué)習(xí)、密文檢索、多方安全計(jì)算等尚處于萌芽期，但具有巨大現(xiàn)實(shí)意義和市場潛力的新興技術(shù)來說，尚無法律法規(guī)對其使用作出詳細(xì)規(guī)制。

三是數(shù)據(jù)安全技術(shù)所涉及的交叉復(fù)合型學(xué)科研究和相關(guān)基礎(chǔ)學(xué)科的專項(xiàng)研究之間的關(guān)系有待進(jìn)一步理順。例如隱私計(jì)算技術(shù)能夠幫助數(shù)據(jù)提供方在不泄露敏感數(shù)據(jù)的前提下，分析計(jì)算數(shù)據(jù)并驗(yàn)證計(jì)算結(jié)果，安全地實(shí)現(xiàn)數(shù)據(jù)價(jià)值。但它并不是單個傳統(tǒng)學(xué)科研究的對象，而是依賴于包含人工智能、密碼學(xué)、數(shù)據(jù)科學(xué)等多學(xué)科的綜合性技術(shù)體系。如何在夯實(shí)基礎(chǔ)學(xué)科的前提下集合不同學(xué)科資源平臺共同服務(wù)于市場需求，目前尚且缺乏系統(tǒng)的學(xué)理探討和實(shí)踐案例可供借鑒。

2.應(yīng)用層面：數(shù)據(jù)安全技術(shù)研發(fā)起步較晚，技術(shù)落地應(yīng)用條件尚不成熟。

一是部分?jǐn)?shù)據(jù)安全技術(shù)尚不具備統(tǒng)一和成熟的落地應(yīng)用條件。數(shù)據(jù)安全技術(shù)作為新興技術(shù)領(lǐng)域，發(fā)展時(shí)間尚短，部分技術(shù)手段與解決方案正處在研究發(fā)展階段，缺乏應(yīng)用實(shí)踐，無法有效保障數(shù)據(jù)安全。以數(shù)據(jù)脫敏技術(shù)為例，目前國內(nèi)對于數(shù)據(jù)脫敏的方法、流程以及效果等均未形成統(tǒng)一的標(biāo)準(zhǔn)，各企業(yè)對該技術(shù)的使用方法和使用效果也都存在著一定偏差。再如數(shù)字血緣追蹤技術(shù)、數(shù)據(jù)字段打標(biāo)簽技術(shù)等目前尚不成熟，對業(yè)務(wù)運(yùn)營的影響有待進(jìn)一步研究，大規(guī)模落地應(yīng)用尚需時(shí)日。此外，當(dāng)前數(shù)據(jù)安全技術(shù)復(fù)雜度的增長速度遠(yuǎn)超安全廠商整合和集成各類新興技術(shù)的速度，數(shù)據(jù)安全技術(shù)應(yīng)用的技術(shù)門檻也越來越高。

二是數(shù)據(jù)安全管理起步較晚，企業(yè)經(jīng)驗(yàn)不足。部分企業(yè)對于既有業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全改造的問題感到無所適從，尤其對于如何科學(xué)利用數(shù)據(jù)安全技術(shù)欠缺系統(tǒng)了解。一方面，企業(yè)內(nèi)部各業(yè)務(wù)系統(tǒng)數(shù)據(jù)的字段名稱不統(tǒng)一，類型龐雜，對數(shù)據(jù)資產(chǎn)進(jìn)行梳理的難度較大，這就導(dǎo)致數(shù)據(jù)安全技術(shù)手段缺乏前期的基礎(chǔ)工作；另一方面，數(shù)據(jù)加解密和脫敏等技術(shù)可能會占用系統(tǒng)資源，從而影響系統(tǒng)性能和用戶體驗(yàn)。企業(yè)為了降低成本投入，往往不會在數(shù)據(jù)安全技術(shù)方面實(shí)施軟硬件升級舉措。此外，還有部分企業(yè)未能意識到創(chuàng)新數(shù)據(jù)安全技術(shù)的重要性和必要性。目前，數(shù)據(jù)安全托管、數(shù)據(jù)安全運(yùn)維、數(shù)據(jù)安全測評和數(shù)據(jù)安全防護(hù)能力評定等服務(wù)開展較少。其中一個重要原因在于數(shù)據(jù)安全服務(wù)應(yīng)用方對數(shù)據(jù)安全服務(wù)的認(rèn)識不準(zhǔn)確，認(rèn)為通過傳統(tǒng)網(wǎng)絡(luò)安全的防護(hù)系統(tǒng)，即“硬件設(shè)備＋專用軟件”的模式就可以解決數(shù)據(jù)安全的問題，對軟性的數(shù)據(jù)安全服務(wù)認(rèn)可度不高。

三是企業(yè)在進(jìn)行數(shù)據(jù)安全技術(shù)改造的過程中風(fēng)險(xiǎn)較大。數(shù)據(jù)安全防護(hù)技術(shù)的改造往往伴隨著核心系統(tǒng)的改造，具有較高的風(fēng)險(xiǎn)系數(shù)。同時(shí)，數(shù)據(jù)安全技術(shù)改造屬于新興技術(shù)領(lǐng)域，目前企業(yè)可參考的成熟技術(shù)方案及實(shí)踐案例較少，在具體應(yīng)用場景中的不確定性較高。

二、政策建議

1.加快出臺試點(diǎn)地方性數(shù)據(jù)安全法律法規(guī)，明確提出數(shù)據(jù)安全技術(shù)手段研發(fā)和應(yīng)用的相關(guān)要求，并予以適當(dāng)?shù)恼邇A斜。

一是在數(shù)據(jù)分級分類、數(shù)據(jù)加密、個人信息去標(biāo)識化等重點(diǎn)領(lǐng)域加快起草制定相關(guān)標(biāo)準(zhǔn)規(guī)范，細(xì)化明確分級分類規(guī)則、加密算法強(qiáng)度、去標(biāo)識化算法及應(yīng)用場景等，為技術(shù)產(chǎn)品研發(fā)提供支撐。數(shù)據(jù)安全體系建設(shè)需要頂層設(shè)計(jì)思路，要在組織建設(shè)、制度流程、技術(shù)工具和人員能力四個領(lǐng)域同時(shí)開展建設(shè)工作。

二是加大政策支持力度，通過簡化審批流程、增大資金支持、健全行政管理等方式匯聚高水平科研中心和數(shù)據(jù)安全技術(shù)供給側(cè)的龍頭企業(yè)中的研究團(tuán)體。以高水平科研人才體系促進(jìn)數(shù)據(jù)安全技術(shù)體系的發(fā)展，完善數(shù)據(jù)安全人才的管理和培養(yǎng)機(jī)制。在實(shí)際研發(fā)的過程中支持自主探索型和市場應(yīng)用型技術(shù)并重，既要保障兩者之間相對獨(dú)立的發(fā)展空間，又要搭建和保留其相互溝通與反饋的常態(tài)機(jī)制。

三是進(jìn)一步細(xì)化數(shù)據(jù)安全保護(hù)規(guī)則，推動數(shù)據(jù)安全產(chǎn)品向?qū)I(yè)化、體系化方向邁進(jìn)。應(yīng)基于企業(yè)數(shù)據(jù)安全建設(shè)的具體應(yīng)用場景，鼓勵數(shù)據(jù)安全技術(shù)研發(fā)企業(yè)增加以“需求定制”為驅(qū)動的專業(yè)性產(chǎn)品供給。例如在用戶隱私數(shù)據(jù)安全合規(guī)方面重點(diǎn)關(guān)注差分隱私技術(shù)；在企業(yè)內(nèi)部數(shù)據(jù)安全治理方面重點(diǎn)關(guān)注智能敏感數(shù)據(jù)識別和數(shù)據(jù)脫敏風(fēng)險(xiǎn)評估；在企業(yè)間數(shù)據(jù)共享與計(jì)算方面重點(diǎn)關(guān)注數(shù)據(jù)匿名、同態(tài)加密和聯(lián)邦學(xué)習(xí)等。對于大部分中小企業(yè)來說，應(yīng)引導(dǎo)數(shù)據(jù)安全技術(shù)的供給側(cè)在采購、租賃云化部署的數(shù)據(jù)安全一站式建設(shè)方面提供更多優(yōu)質(zhì)的產(chǎn)品和服務(wù)。

2.聯(lián)合高校、政府、社會上的相關(guān)研究機(jī)構(gòu)，形成數(shù)據(jù)安全技術(shù)發(fā)展的統(tǒng)一戰(zhàn)線。目前上海市已經(jīng)建立起首個數(shù)據(jù)安全專業(yè)組織，即上海市信息安全行業(yè)協(xié)會數(shù)據(jù)安全與隱私計(jì)算專業(yè)委員會。建議進(jìn)一步明確和優(yōu)化其職能職責(zé)和分工架構(gòu)，并與數(shù)據(jù)交易所等相關(guān)機(jī)構(gòu)協(xié)調(diào)聯(lián)動，為數(shù)據(jù)安全技術(shù)“產(chǎn)學(xué)研”結(jié)合搭建常態(tài)化的交流平臺和溝通機(jī)制。應(yīng)充分利用上海市數(shù)字科技產(chǎn)業(yè)發(fā)達(dá)、數(shù)字安全技術(shù)研發(fā)資源豐沛的優(yōu)勢，通過舉行周期性的綜合論壇和座談會議，聚集來自學(xué)界和業(yè)界相關(guān)領(lǐng)域的專業(yè)人士，不斷就學(xué)術(shù)研究成果、產(chǎn)業(yè)應(yīng)用需求和未來發(fā)展前景等問題進(jìn)行交流和討論。關(guān)于其中在數(shù)字科技產(chǎn)業(yè)發(fā)展中具有直接現(xiàn)實(shí)意義的知識成果，應(yīng)在整合之后通過宣傳教育和人員培訓(xùn)等方式向更多相關(guān)從業(yè)人員進(jìn)行普及，提高其安全意識、技術(shù)能力和業(yè)務(wù)水平。

3.加快形成凝聚各方共識的數(shù)據(jù)安全技術(shù)產(chǎn)品體系總體視圖，推動宏觀政策文件的解讀進(jìn)一步精細(xì)化和通俗化。一方面，應(yīng)在宏觀層面明確數(shù)據(jù)安全技術(shù)進(jìn)行數(shù)據(jù)防護(hù)的方式、類型、性能以及應(yīng)用場景和邊界等，指引需求側(cè)企業(yè)開展數(shù)據(jù)安全技術(shù)能力建設(shè)，增強(qiáng)數(shù)據(jù)安全綜合保障能力。同時(shí)，發(fā)布權(quán)威數(shù)據(jù)安全技術(shù)產(chǎn)品市場報(bào)告，就我國數(shù)據(jù)安全技術(shù)產(chǎn)品供需關(guān)系情況、成熟度情況、技術(shù)薄弱環(huán)節(jié)等問題作出更為清晰和系統(tǒng)的說明，支持供給側(cè)企業(yè)開展數(shù)據(jù)安全技術(shù)手段研發(fā)投入。此外，建議逐步建立和完善數(shù)據(jù)安全委員會，積極與中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)進(jìn)行對接與溝通，進(jìn)一步明確地方如何落實(shí)中央的有關(guān)要求部署。

另一方面，應(yīng)在微觀層面聚焦重要行業(yè)和關(guān)鍵領(lǐng)域，有針對性地推動數(shù)據(jù)安全技術(shù)發(fā)展。以金融行業(yè)為例，確保金融數(shù)據(jù)的安全是上海建設(shè)全球金融中心的前提和保障。人工智能一方面在營銷、風(fēng)控、產(chǎn)品創(chuàng)新等業(yè)務(wù)領(lǐng)域帶來了新機(jī)遇，但也帶來了數(shù)據(jù)投毒、模型逆向攻擊等攻擊方式的新威脅。對此，應(yīng)通過系列激勵政策和配套措施積極引導(dǎo)企業(yè)和金融機(jī)構(gòu)將隱私計(jì)算平臺作為與外部交互的可信安全計(jì)算平臺，從數(shù)據(jù)邊界上守護(hù)好數(shù)據(jù)安全端口。

（本文系復(fù)旦大學(xué)發(fā)展研究院《數(shù)據(jù)跨境流動、個人信息保護(hù)與數(shù)字韌性建設(shè)》課題系列成果。報(bào)告主編：江天驕系復(fù)旦大學(xué)發(fā)展研究院副教授、金磚國家研究中心副主任，姚旭系復(fù)旦大學(xué)發(fā)展研究院青年副研究員、上海數(shù)據(jù)研究院特聘研究員，報(bào)告行業(yè)導(dǎo)師：陳文昊系植德律師事務(wù)所數(shù)據(jù)合規(guī)業(yè)務(wù)合伙人、合規(guī)部負(fù)責(zé)人，報(bào)告組成員：金子韞、吳致遠(yuǎn)、邢嘉耀、姚媛、馬怡寧、陳梓培、郎瑾怡、張桐語均來自復(fù)旦大學(xué)）