浅谈北京市数据安全管理

张伯旭

北京市人大常委会财政经济委员会

随着大数据快速演进和广泛应用，越来越多的数据安全问题涌现出来，《中华人民共和国数据安全法》的出台表明数据安全已成为事关国家安全与经济社会发展的重大问题，而如何加强数据安全管理，推进数字产业化和产业数字化健康、高速发展，保障政府、企业、公民的合法权益也成为了政府管理者面临的最紧迫问题。作者以北京市为例，介绍了北京市在数据安全管理方面的历程与经验，分析了当前形势下存在的数据安全管理问题，并提出了针对性的建议，为城市管理者、立法者在开展相关工作时提供参考。

(大数据；数据安全；数据安全管理；立法)

With the rapid evolution and wide application of big data,more and more data security problems have emerged.Data Security Law of the People’s Republic of China shows that data security has become a major issue related to national security and economic and social development.Effective data security management can promote the healthy and rapid development of digital industrialization and industrial digitalization,and ensure the rights of governments enterprises and citizens.And how to strengthen data security management has become the most urgent problem facing government managers.Taking Beijing as an example,the author introduces the process and experience of data security management,analyzes the problems of data security management under the current situation,and puts forward targeted suggestions,so as to provide reference for urban managers and legislators in carrying out relevant work.

（Big Data;Data Security;Data Security Management;Legislation）

0 引言

习近平总书记强调，要把握数字经济发展趋势和规律推动我国数字经济健康发展。数字经济时代，数据作为关键生产要素，在商业模式创新、产业数字化转型、经济高质量发展、治理能力现代化进程中发挥举足轻重的作用。与此同时，越来越多的数据安全问题也涌现出来，数据窃取、破坏、勒索、钓鱼等网络攻击，以及数据非法交易、数据滥用、数据泄露等管理应用安全风险已成为事关国家安全与经济社会发展的问题，数据的安全管理也已超出个人、企业防护范畴。2021 年9 月，《数据安全法》[1]的正式实施进一步将数据安全纳入到国家安全体系中。

当前，对于数据的安全管理的研究虽然仍处于初步阶段[2]，但北京作为我国的首都和科技创新中心，数据技术、产业、应用走在全国前列，对于数据安全的管理也有更加丰富的经验，以北京市为研究对象，通过梳理近年来数据安全管理的历程与现状，分析当前管理的需求与问题，对于下一步北京市及其他地方政府开展数据安全管理具有重要的参考意义。

1 递进发展的三个阶段

从北京市数据管理与应用历程来看，早期的数据安全以信息安全的概念呈现，在十五、十一五期间主要布局了很多重大工程支持数据的汇聚共享，随着对数据安全认识和管理的不断加深，北京市积极探索提升数据安全保护能力，采用更多手段应对大数据时代的数据安全风险。北京市大数据安全管理大概可以分为三个阶段。

1.1 敢为人先的起步探索阶段（1990-2008 年）

本阶段是北京市以电子政务系统为重点构建信息安全管理框架的阶段。一是提出了信息安全保障体系框架。“十五期间”发布《北京市信息安全保障体系框架》，提出了由组织管理、公共基础设施等六部分组成的信息安全保障体系。推动信息安全保障能力的全面提升，促进首都经济与城市建设。二是初步建立了信息安全管理机制。发布《北京市党政机关计算机网络与信息安全管理办法》《关于加强信息安全保障工作的实施意见》，要求各级党政机关建立计算机网络与信息安全管理工作领导小组，落实电子政务信息安全责任制。三是不断完善信息安全标准化建设。陆续发布《政务公开网站通用安全技术要求》《党政机关信息系统安全测评规范》《信息系统工程监理规范》等多部电子政务信息安全地方标准，有力保障了电子政务信息安全建设的有序和高效开展。

1.2 全面部署的战略确立阶段（2009-2015 年）

此阶段，北京市在鼓励IT 领域新技术新应用的发展和突破的同时，也高度重视数据和信息安全保障工作，为国民经济和社会信息化发展保驾护航。一是从战略层面关注信息安全。《北京市“十二五”时期城市信息化及重大信息基础设施建设规划》明确提出“提升信息安全保障能力，构筑城市安全屏障”，积极布局城市信息安全基础设施建设、信息安全体系建设、广播电视网络安全保障建设等工作。二是提升信息安全监测与应急保障能力。2015 年印发《关于加快应急产业发展的实施意见》，重点发展高级可持续威胁监测、网络安全态势感知，以及针对工业控制网络、移动互联网、智慧城市的信息安全监测产品和设备，进一步提高了信息安全应急保障能力。

1.3 持续创新的引领突破阶段（2016 年至今）

面对数据安全防护新要求和数据滥用、数据跨境安全的新挑战，北京市积极探索运用新技术手段提升安全保护能力。一是完善数字政府可信基础设施。积极利用大数据、区块链等信息技术手段，完善数字政府可信基础设施，研究并制定了《北京市5G 及未来基础设施专项规划（2019 年-2035年）》《北京市区块链创新发展行动计划（2020-2022 年）》等相关产业发展规划，提出建设数字政府安全可信可控基础设施体系。二是研究推进数据跨境流动安全管理试点工作。2020年9 月在服贸会北京市促进经济发展政策新闻发布会上[3]，发布了《北京市关于打造数字贸易试验区实施方案》《北京国际大数据交易所设立工作实施方案》及北京市数据跨境流动安全管理试点相关工作安排，提出针对商业存在、跨境交付、境外消费等形态涉及的数据跨境流动、数据保护能力认证等内容，研究推进数据跨境流动安全管理试点工作。

2 不可回避的管理挑战

2.1 管理手段匮乏是最突出挑战

数据管理是安全管控的核心，数据在生产、存储、使用、传输、共享、销毁等全生命周期的各个管理流程暴露出的安全问题，成为制约大数据应用发展的瓶颈，是其面临的最现实突出风险。数据存储策略、分级分类管理、访问控制、安全审计等技术手段运用不足，难以保证数据的完整性、保密性和可用性。

如未对原始数据开展有效的分类分级管理，导致敏感数据存在泄漏篡改风险；缺乏对留存数据的安全保护机制，数据本地收集终端留存的数据不及时处理；数据管理权限混乱，缺乏身份认证等，一旦大数据遭到篡改、泄露，将会对政府办公、企业生产、经营管理造成恶劣影响。

2.2 信息系统漏洞成为黑客攻击突破口

数据多是依存于计算机网络系统、基于相关软硬件运行储存的各类数据信息，网络设备、操作系统、数据库软件等任一层面存在的安全漏洞均会影响大数据的安全。利用网络设备漏洞可导致数据在传输过程被窃取，利用操作系统漏洞可获取系统级别的增删改查权限，利用大数据软件漏洞会最直接泄漏大数据信息。近年来，软件系统安全漏洞数量亦不断飙升，大数据系统各暴露面风险点交叉影响，为不法分子实施攻击提供了大量突破口。

2.3 传统安全防护手段难以满足安全需求

数据平台具有服务用户众多、数据海量多源、场景多样等特点，传统安全机制的性能效果难以满足需求。一是大数据平台的大规模分布式存储和计算模式导致安全配置难度成倍增长，对安全运维人员的技术要求高；二是针对大数据平台网络攻击手段呈现新特点，黑客可借助大数据的价值低密度性实施更具隐蔽性的攻击，传统安全分析工具难以聚焦在价值点上，安全策略检测存在较大困难；三是数据流动路径的复杂化导致追踪溯源变得异常困难，特别是数据溯源中数据标记的可信性、数据标记与数据内容之间捆绑的安全性等问题更加突出。

2.4 个人信息过度收集等安全问题多发

在大数据时代，从收集环节来看，个人信息过度收集[4]主要体现在以下几方面：未经被收集者同意，随意收集、存贮、使用个人信息；收集的个人信息明显超过正当和必要范围；收集和控制的个人信息，未经被收集者同意，用于其他用途；未经被收集者同意，公开其个人信息，尤其是敏感信息；个人信息的收集和控制者，没有尽到个人信息安全保护主体责任。在疫情防控常态化的大背景下，利用大数据开展联防联控已成工作常态，如何平衡公共利益与公民个人信息保护，兼顾社会治理安全与效率，确保公民个人信息安全，成为大数据安全应用的新挑战。

3 值得期待的生态建设

3.1 多举并用巩固数据管理高地

在国家十四五规划中，数据安全建设已融入到各个篇章中，提出加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护，完善适用于大数据环境下的数据分类分级保护制度。北京市作为国家的首都和科技创新中心，未来也将重点在《数据安全法》及十四五规划指导和要求下，推动数据安全立法、分级分类、有序开放，安全防护等工作。

（1）加快推动大数据治理体系建设。

一是完善大数据法规政策体系。加快推动大数据立法工作，明确大数据权属、政府职责、交易、跨境、隐私保护、安全防护等一般范围、概念与要求，营造大数据发展环境，统领北京市大数据法规政策体系建设可以按照“急用先行”的原则，以推动破除公共数据“孤岛”，强化北京市各级行政机关及公共服务企业产生数据的聚集、开放管理为目标，优先出台北京市公共大数据管理办法》。

二是健全大数据管理工作机制，在政府部门间，以现有大数据工作推进小组为基础，建立集中领导、统一协调、协同调度、广泛参与、职责明确的扁平弹性的大数据管理工作组织机构，进一步强化大数据主管部门的权力并细化相应的责任；在政府与非政府间，建立政府、企业、高校、科研机构、联盟协会共同参与的大数据应用工作机制，加强政产学研用的广泛合作，助力实现跨层级、跨领域、跨业务的大数据融合应用模式。

三是加强大数据治理基础支撑平台建设。推动建设集约型、计算型的新型数据中心，鼓励数据中心高端替换、重组整合、优化服务，推动政府部门各小规模、分散化的数据中心转移，实现北京市政务大数据的统一存储，集中应用。同时创新大数据交易基础设施，依托数字贸易试验区建设工作，建成国内领先的创新大数据交易基础设施，形成权威的数据信息登记平台、数据交易平台、数据运营管理服务平台、金融创新服务平台和数据金融科技平台。

（2）持续完善大数据安全防护体系。

一是重点保护数据安全与隐私。建设完善安全的政务大数据管理平台，建立数据防泄漏、安全审计、安全事件溯源与取证、大数据安全态势分析等多维度技术防护体系和运维管理制度；加强对数据安全的监管保护，鼓励企业加强工业数据分类分级管理，细化数据安全管理要求，预防数据过度采集，保护数据所有者合法权益；发展一批聚焦行业大数据测试评估、监测预警、安全咨询等的第三方服务机构，及时发现企业存在的数据安全风险，帮助企业建设完备的数据安全保护方案。

二是完善安全可靠及防护技术产品体系。重点支持大数据信创产业发展，开发自主的计算平台框架、商业智能、数据分析挖掘、语义搜索等关键技术产品；面向交通、能源、工业等重点行业应用需求，积极推动大数据技术在关键信息基础设施安全防护中的应用，保障重要信息系统安全；加强大数据隐私保护、访问控制、安全匿名等产品的开发和应用，实现数据的安全共享、交易与应用。

三是建设新型网络安全公共服务平台。深入落实《北京市加快新型基础设施建设行动方案（2020-2022 年）》，建设一批新型网络安全公共服务平台。建设网络信息安全态势感知大数据平台，综合运用多源数据，加强大数据挖掘分析，增强网络信息安全态势感知、风险评估、通报预警、应急处置能力；建设数据交易区块链支撑服务平台，结合自由贸易试验区建设，支撑开展电子商务、电子交易以及跨境数字贸易的区块链应用，提高各类交易和数据流通的安全可信度；建设工业互联网监测预警平台，围绕工业互联网各环节，面向平台、数据、网络、控制、设备等方面的安全需求，建设统一高效、协同联动的工业互联网安全风险报告、情报共享和研判处置体系。

3.2 乐观自信畅想北京蓝图

随着政策法规的不断完善和、技术产品的升级和服务能力的提升，未来，北京市数据安全保障体系、技术、平台的日趋完善，城市免疫系统的安全韧性将不断提高，有效遏制大数据发展带来的风险。

（1）完善的数据法律法规体系与管理机制。大数据法律法规体系建设日趋完善，顶层设计目标明确、统揽全局，实施细则分类指导、操作性强，为北京优化营商环境，开展大数据管理和应用提供坚实的制度保障。数据商用有序推广，数据流通规则制度明晰，在明确数据权属、保障数据安全、个人隐私方面的融合应用成效全国领先，数据产业链上各方主体权益清晰。数据分类分级安全保护制度建立完善，对政府数据、企业商业秘密和个人数据的保护力度显著增强。数据隐私保护制度和安全审查制度制定实施。大数据监管机制通畅，部门权责清晰，政产学研用沟通顺畅，政务数据“开放共享”、“共用共治”生态环境蔚然成风。

（2）丰富的安全防护技术产品。大数据技术支撑防护技术产品体系在安全可靠方面日益成熟。一是安全可控大数据产品研发应用逐步落地。大数据信创产业发展得到重点支持，开发完成的自主的计算平台框架、新型数据库、商业智能、数据分析挖掘、数据交互感知、语义搜索等关键技术产品得到有效应用。二是研发出具有行业特征的基于大数据的新型信息安全产品。能够满足面向交通、能源、工业等重点行业应用需求，积极推动大数据技术在关键信息基础设施安全防护中的应用，保障重要信息系统安全。三是大数据通用安全技术产品研发不断加强。结合人工智能、区块链、云计算等新一代信息技术，研究零信任安全、拟态安全、可信计算等在大数据的应用，研发大数据通用保护产品和解决方案。四是大数据安全开源生态建设完善。相关单位参与开源社区生态系统的构建理论研究、支撑平台建设以及运营模式探索，为我国开源社区和生态系统建设贡献北京力量。

（3）成熟的安全服务能力。形成覆盖终端、用户、网络、云、数据、应用的多层级纵深防御、安全威胁精准识别和高效联动的安全服务能力。一是云平台虚拟机安全技术、虚拟化网络安全技术、云安全审计技术、云平台安全统一管理技术等大数据安全支撑技术研发及产业化不断提升，云计算、大数据基础软件系统漏洞挖掘和加固不断加强。二是网络安全产业集聚发展，培育形成一批拥有网络安全核心技术和服务能力的优质企业，支持操作系统安全、新一代身份认证、终端安全接入等新型产品服务研发和产业化。三是集网络安全态势感知、风险评估、通报预警、应急处置和联动指挥为一体的新型网络安全运营服务平台建设完善，新型基础设施建设的安全保障能力大幅提升。

（4）城市免疫系统安全韧性不断提高。“韧性”和“韧性城市”[5]是目前国际社会在防灾减灾领域使用频率较高的概念，在提升城市面对风险的快速应对能力、适应能力和恢复能力中发挥重要作用。北京市作为国家安全示范城市，能够更加从容的应对安全风险与考验，有效抵御、吸收和化解外界影响，从灾害中快速恢复，保持城市功能正常运行。在应急管理创新发展方面，大数据分析、人工智能、5G、物联网等新技术获得广泛运用，形成高度智能化、自我进化的应急管理信息化新生态，实现应急管理全方位感知、动态性监测、智能化预警、扁平化指挥、快速处理和精准管控。大数据分析在防灾减灾方面的作用充分发挥，实现互联网、物联网重大危险源进行的精准标识和动态监管，并与自然灾害监测、疫情防控等大数据进行关联分析，识别耦合规律，有效预防突发事件。