大数据和人工智能时代下数据安全的风险及应对策略

大数据和人工智能时代下数据安全的风险及应对策略

张泽旭、张盘龙、王辉

摘要：科学技术的发展，我国的大数据和人工智能技术有了很大进展。目前，为有效应对大数据环境下的数据安全问题，需要进一步分析大数据环境下的数据安全策略。对此，本文首先分析大数据概念以及数据安全风险概论，其次探讨总体国家安全观视域下政府数据安全保护的价值，然后研究大数据时代计算机网络安全面临的威胁，最后就大数据安全风险的应对策略与推进路径进行研究，以此促进数据安全应用和发展，进而为国家的数据信息安全提供可靠保障。

关键词：大数据；人工智能；数据安全；风险；应对策略

引言

数据治理是指数据作为新型生产要素，对其收集、处理和使用等全过程的赋能与规范，数据安全治理则是通过采取必要措施，确保数据本身处于完整性、保密性和可用性的安全状态。因此，数据安全是数据流通的前提，数据安全治理是数据治理本身的基础性任务。从总体国家安全观的视角来看，数据安全具有更为关键和基础性地位。

1大数据概念

“大数据”概念最早由美国未来学家阿尔文·托夫勒于1980 年在其著作《第三次浪潮》中提出。目前学术界对“大数据”的定义还没有统一的说法。著名研究机构 Gartner 给出的定义是：“大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产”。麦肯锡全球研究所给出的定义是：“一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合”。《GB/T 35295-2017 信息技术 大数据 术语》将“大数据”定义为：“具有体量巨大、来源多样、生成极快，且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据”。综合各家观点，笔者认为“大数据”是需要运用云计算等新技术才能有效处理的巨量数据的集合。大数据的价值最终要通过数据挖掘、分析体现出来。随着经济社会飞速发展，海量数据源源不断产生并深刻改变着人们的生产生活，大数据时代已悄然来临。

2数据安全风险概论

    按照工业和信息化部发布的《工业和信息化领域数据安全风险信息报送与共享工作指引 ( 试行 ) （征求意见稿）》，数据安全风险信息是指通过多种手段，如检测、评估、信息搜集以及授权监测等获得的信息，其中包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等多样化的数据安全风险。这些风险种类繁多，呈现出多层次和多维度的特点。根据相关指标计算，可以将数据安全风险分为高危、中危和低危三个级别，这有助于更好地理解和评估不同风险的严重性。据国际数据公司（ IDC ）的测算，预计到 2025年，我国产生的数据总量将达到惊人的 48.6 ZB ，占全球数据总量的 27.8% 。这一庞大的数据基础意味着，我们需要采取切实可行的措施来保护数据的流通和隐私安全，同时也需要深度挖掘这些数据的潜在价值。在如此庞大的数据生态系统中，数据安全已经成为关乎国家安全、经济发展和社会稳定的关键问题。随着数据的快速增长，政府需要制定更加严格的数据安全政策和法规，加强监管和执法力度，确保数据不会被滥用或泄露。

3总体国家安全观视域下政府数据安全保护的价值

（1）确保政治安全是政府数据安全保护的本质价值。党的二十大报告指出，政治安全是国家安全的根本 。从我国的现实出发，政治安全就是维护中国共产党的领导地位以及维护中国特色社会主义制度。数字政府建设是在党中央以及各级党委统筹领导下，为了满足新时代治国理政的现实需求，在“十三五”期间统筹规划并启动实施，在“十四五”期间着力推进并不断完善的重要工作。政府数据是数字政府能够有效运行的基础和保障，对政府数据安全的保护实效决定了数字政府运行的绩效，更能有力推动新时代执政能力和执政水平的稳步提高。（2）实现网络安全是政府数据安全保护的基础价值。政府数据产生于网络、存储于网络、作用于网络同时也深度影响网络。网络安全水平决定政府数据安全水平，政府数据安全水平也必将对于一个国家的网络安全水平起到“排头兵”和“风向标”的作用。因此，要从构建和谐网络生态环境、促进网络安全水平提升的角度，来深化政府数据安全保护的价值认知。数字政府是政府运行和政务服务深度融入互联网发展战略和发展模式中的一种形态，因此网络安全对于政府数据安全保护的价值显现将更加突出，它从理念、技术、设备、体系等多个方面将深度影响和指导政府数据安全，是政府数据安全的基础价值。（3）促进社会安全是政府数据安全保护的直接价值。近年来，一些网络平台偶尔出现信息泄漏、木马植入、恶意篡改的现象，造成了极坏的社会影响，也在一定程度上制约了这些平台用户公信力的提升。而正如前文所论述的，由于数字政府平台中存储的政府数据大多涉及用户的关键数据或隐私数据，一旦政府数据安全存在漏洞，其所造成的社会负面影响也是其他网络平台所不能比拟的。因此，保护存储和应用于数字政府平台的大量、关键、涉及隐私的政府数据，将直接影响到社会的安定团结、人民的安全感提升。

4大数据安全风险的应对策略与推进路径

4.1在维护数据主权完整上，增强我国数据安全的秩序保障能力

营造规范的数据秩序环境。一方面，积极发展本国信息产业，加大国家对数据安全治理体系和治理能力建设的投入，在扩大对信息占有量的同时，提升筛选高质量信息的能力，增强国家数据安全的防范意识和应对举措，加大推进数据立法的落地，避免数据跨境流动带来的消极影响。另一方面，正视全球数据开放的挑战，同时抓住数据开放带来的机遇，积极参与国际数据安全治理，拓展国际合作，为制定国际统一的数据协议建言献策，为推进全球数据安全治理贡献中国智慧和中国方案。

4.2数据安全制度建构的理论分野

在数字经济全球化的背景下，数据安全制度构建需要统筹国际和国内两个大局，以更好地应对数字时代数据安全的变革。外部视角在一定程度上是“数据主权论”的衍生和发展，以应对和适应国际法中关于数据安全制度和实践的相关挑战，力求形成体系化、系统性、全面性的数据安全治理观。从国际法视角看，WTO 安全例外条款基于国家主权原理，赋予国家在维护“基本安全利益”与“自由贸易”中寻找平衡的机会。《塔林手册 2. 0》中通过法律文本明确规定“国家主权原则适用于网络空间”，数据主权作为网络主权的一个子项，自然属于国家主权。从对既有文献的梳理来看，学界基本认可国家在安全层面上对数据所享有的独立且排他性主权。从国际法中数据安全例外条款的适用方面来看，有学者认为成员国要合理合法地援引安全例外条款，而非将其认定为纯粹的经济制裁或贸易保护。第一步应当证明因跨境数据造成的基本安全利益损害与产生的国际关系紧急情况存在关联度，第二步还需要证明成员国采取的措施与基本安全利益具有必要性。由于“国际关系紧急情况”边界的不确定性和程度的难以估量性，其判断便存在一定的主观性和模糊性，导致有些国家更容易以此为借口挥舞制裁大棒。同时，信息技术的不平等往往会造成数据由弱势国家流向强势国家，大量涉及国民与国家的信息一旦在境外控者的有意操纵下流出本地存储范围，其数据安全风险必然陡增。因此，纯粹的经济损失并不涉及国家安全，而数据一旦被视为一种战略资源，与国家利益交织在一起便涉及国家安全，更需通过系统性、分层分级的方式加以保护。

4.3构建政府数据安全预警体系，完善应急响应机制

党的二十大报告指出，“完善风险监测预警体系、国家应急管理体系，完善重点领域安全保障体系和重要专项协调指挥体系”，并特别强调了网络安全保障体系的建设。具体到政府数据安全保护工作中，立足于防就要构建政府数据安全预警体系；有效处置风险就要完善应急响应机制。首先，对于政府数据安全可能存在的风险，能够采取有效、及时的预防措施是最理想的选择。因此要构建政府数据安全预警体系，通过将入侵侦测和防火墙确定为技术基础，以建设政府数据运行实时管控专班为人力基础，以舆情和行业趋势追踪为辅助措施，将政府数据可能出现的安全风险及时预警。其次，完善应急响应机制，一旦数字政府平台出现政府数据被篡改、窃取、泄漏等安全风险，应及时启动应急响应，通过调整数据分布、架构以及物理隔离等措施避免更大风险和不良后果出现。即使政府数据安全不存在显著的风险，一旦信息化行业里出现重大数据安全风险，也应启动次级应急响应机制，避免政府数据受到波及。最后，要将预防与处置政府数据安全风险这两项重要的工作方向通盘考虑、同等看待、协同推进，要避免在具体工作中过度侧重于其中一个方向。这是由于如果只考虑通过安全预警来预防风险，那将使政府数据安全防范体系过于刚性，不能及时有效应对难以预料的“黑天鹅”式政府数据风险；如果只考虑通过应急响应来处置风险，势必在一个时间段内出现或大或小的损失，从而提高政府数据安全保护的总体成本。

4.4建立跨组织的数据共享和合作机制

首先，制定合适的数据共享协议是实现跨组织数据共享的关键。数据共享协议应明确共享的目的、范围、权限、责任和义务等内容。协议应确保共享数据的合法性和合规性，同时明确数据使用的限制和约束，以保护数据的隐私和安全。协议还应明确数据的所有权和知识产权等法律事项，为数据共享提供法律保障。其次，建立安全保障机制是确保跨组织数据共享的重要措施。安全机制应包括数据加密、访问控制、审计和监控等方面。数据在传输和存储过程中应进行加密，以防止未经授权的访问和数据泄漏。访问控制机制应确保只有经过授权的用户才能访问共享数据，限制其权限和操作范围。审计和监控机制可以记录和跟踪数据共享的活动，及时发现异常行为并采取相应措施。此外，隐私保护和数据匿名化是实现跨组织数据共享的重要手段。在共享敏感数据之前，应对数据进行适当的匿名化处理，确保个人隐私得到有效保护。数据匿名化的方法包括去标识化、泛化、聚合等，以降低数据被还原或关联的风险。同时，应遵守相关法律法规和隐私政策，确保数据共享符合合规要求，保护数据主体的权益。

4.5构建政府数据安全预警体系，完善应急响应机制

首先，对于政府数据安全可能存在的风险，能够采取有效、及时的预防措施是最理想的选择。因此要构建政府数据安全预警体系，通过将入侵侦测和防火墙确定为技术基础，以建设政府数据运行实时管控专班为人力基础，以舆情和行业趋势追踪为辅助措施，将政府数据可能出现的安全风险及时预警。其次，完善应急响应机制，一旦数字政府平台出现政府数据被篡改、窃取、泄漏等安全风险，应及时启动应急响应，通过调整数据分布、架构以及物理隔离等措施避免更大风险和不良后果出现。即使政府数据安全不存在显著的风险，一旦信息化行业里出现重大数据安全风险，也应启动次级应急响应机制，避免政府数据受到波及。最后，要将预防与处置政府数据安全风险这两项重要的工作方向通盘考虑、同等看待、协同推进，要避免在具体工作中过度侧重于其中一个方向。这是由于如果只考虑通过安全预警来预防风险，那将使政府数据安全防范体系过于刚性，不能及时有效应对难以预料的“黑天鹅”式政府数据风险；如果只考虑通过应急响应来处置风险，势必在一个时间段内出现或大或小的损失，从而提高政府数据安全保护的总体成本。因此，责任领导和具体实施部门一定要做到安全预警与应急响应同等对待且常抓不懈，方为政府数据安全保护的稳妥之策。

4.6通过协同论解决“如何治理”的问题

首先，认知协同机制主要包括两个方面: 一方面，不同节点对其参与数据安全治理的自身定位、权力责任/权利义务等有清晰的认知; 另一方面，建立了不同节点的横向纵向认知联动以及对外在安全风险的动态感知机制。对于政府部门和数据信息业者，其感知数据安全风险的方式主要通过数据风险评估和技术风险评估。对于人民个体，其感知数据安全风险的方式为技术经验。这些数据安全风险会通过议题的形式沿着纵向和横向的节点联动进行扩散和分配，因而必须建立畅通的议题联动渠道和议题解决反馈机制，避免出现前文提到的渠道窄化和主观选择偏好等问题。其次，技术协同机制是指不同的节点根据其分工不同掌握不同的技术，这种技术水平和能力取决于该节点自身的属性以及在数据生命周期所处的阶段。对于人民个体的技术能力并不在于其本身掌握的专业知识，而在于其能否通过较为专业化的技术路径维护自身权益，如向法院起诉、平台申诉或参加听证等方式。再次，资源协同机制是指不同节点在数据安全治理中获取、整合、运用资源的能力不同，该资源主要指经济资源、社会资源、文化资源等，需要不同节点之间搭建资源的协同机制。重点在于政府和数据信息业者的动员能力以及人民参与数据安全治理的积极性，主要包括国家对数据安全以及数据产业的支持程度和政策导向、关键技术和基础设施的投入、数据安全和数据安全法相关知识的普及、数据信息业者的社会责任感等。最后，制度协同机制是指控制不同节点在合理限度内的行为方式和关联方式，形成数据安全治理的相对稳定、有序结构，进而形成层级分明、内容完备的融贯性制度体系。制度协同需要从三个方面入手: ①协调和完善数据安全与数据流通的立法体系，尤其是制定数据流动相关的制度体系，健全数据产权和流通规则; ②通过制度明确不同节点的权利义务/权利责任以及不同节点的联动方式和落实机制，推动各节点在制度的框架下有序运行; ③区隔不同算法或场景下不同节点的行为和关联方式，建立基本的节点行为方式和操作规范，保障基本的数据安全需求。

结论与展望

综上所述，在数字时代，数据安全治理已然成为国家安全治理中的重要方面，数据安全是数据流通的前提，数据流通是数据安全的保障，需要兼顾数据安全与流通，而非一刀切地偏重某一方面。总体国家安全观为数据安全治理提供了基本指导原则，数字领域的“节点论”“数据生命周期论”“协同论”又与总体国家安全观的价值、实践一脉相承。因此，在理论上进行守成的同时，需要不断深化数字领域的理论创新与应用，寻求数据安全治理的第三条路径。未来还应当探寻现实化的路径，在新理论指导下构建数据安全治理机制，将数据安全治理的理论优势转化为治理效能，开辟数字时代具有中国特色的数据安全治理之路。

参考文献

[1]郭启全.网络安全法与网络安全等级保护制度（2018版）[M].北京：电子工业出版社，2018：33-39.

[2]朱莉.计算机网络安全技术及防火墙技术的分析[J].电子技术与软件工程，2021（012）：251-252.

[3]何力.大数据云计算和人工智能等新技术应用带来的网络安全风险[J].中国新通信，2020（22）：155-156.

[4]周晓晶.大数据环境下计算机网络安全研究[J].中国科技信息，2021（19）：46-47.

[5]宋阳,张嵛,张志勇,等.物联网+大数据环境下个人信息安全防范与保护措施研究[J].情报科学,2020,38(07):93-99.

[6]封国栋,闫汝静,张文山,等.大数据环境下的电力转移终端安全接入系统的设计与实现[J].自动化与仪器仪表,2019(10):94-97.