于能海
中国科学技术大学网络空间安全学院执行院长、教授。
随着人工智能、大数据等新技术的蓬勃发展,数字化、智能化不仅解放了生产力,释放了技术红利,也带来了数据安全、信息安全等新风险,尤其是生成式人工智能技术的不断突破,给人的主体性带来了新的挑战,也让人们更加关注新技术中的隐私保护环境。数据安全、隐私保护和风险管理齐头并进。 从个人角度来看,数据泄露不仅是一种无形的损失,还会造成财产损失,甚至危及人身安全。 从集团层面来看,大规模的隐私泄露可能会在国家层面引发社会经济风险,甚至***风险。 因此,我们需要从风险管理的角度进一步审视数据安全和隐私保护问题,促进数字技术和产业的健康可持续发展。
在风险感知方面,应科学地看待数据安全、隐私保护与数据要素流动之间的关系
发展壮大数字经济,一方面要促进数据要素的流动,另一方面要高度重视数据安全和隐私保护。 协调风险与流通关系的关键是科学认识数据安全、隐私保护和数据要素流动之间的关系。
首先是数字化转型与数据安全的关系。 两者的关系就像“信息化与网络安全”,应该是“一体两翼、两轮驱动”的关系,数字化和数据安全需要一体化来设计、建设、推广,“安全”不应被视为“发展”的限定词,而应将“安全”视为“发展”的内在禀赋和推动因素。
二是信息生产者和处理者之间的关系。 随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护》等一系列法律法规的出台,对数据安全和隐私保护提出了明确的要求,并基于对“个人与个人信息处理者关系不平等”的理解, 规定了信息处理者的义务,为个人信息安全披上了“铠甲”,为解决数据安全风险中的一系列疑难问题提供了法律保障。
三是技术与管理的关系。 在传统的网络安全观念中,有一个重要原则——“技术三点,管理七点”,即30%的安全问题依靠安全设备和技术支持,70%的安全问题依靠用户安全管理意识的提高和管理模式的更新。 但是,在数据空间风险日益多样化的趋势下,我们不能完全拘泥于传统的“技术管理”理念,而是要强化“用技术管理技术”和“用技术控制风险”的理念,促进技术与管理的协调发展,“双手兼而有之”,特别是要发展“真实”技术和硬技术来维护数据安全,保护个人隐私, 并开发有效和有用的技术。
在风险承担方面,要稳步平衡数码产品制造商、用户、消费者的责任
2022年以来,欧美国家以“数字产品厂商和数字应用开发者应承担更大的安全责任”为核心理念,迅速迭代出台多项战略、法案和法规,推动网络安全和数据安全责任“向左转移(提前处理网络安全问题), 而对于数字产品的消费者来说,“安全不应该是一种奢侈的选择,而是一种用户无需谈判或支付更多费用即可获得的权利”。2023年3月,白宫发布了近五年来首次更新的《国家网络安全战略》,提出重新平衡网络安全责任和风险,赋予最大、最有能力、最有优势的实体更多的安全责任。 2023 年 12 月,欧盟就《网络弹性法案》的技术和政治方面达成一致,该法案一旦生效,将要求进入欧盟市场的数字产品确认其符合欧盟网络安全标准。 最近,Gartner 发布了 2024 年及以后的网络安全技术趋势,指出了将安全要求“集成”到开发实践中的机会,而不是以后“附加”。安全责任的“左移”,体现了“个人”在应对风险中处于弱势地位的基本认识,将“个人”的数据安全责任转移给数字产品开发商、制造商和加工商,让各方各自承担责任。
面对安全风险“左移”的新形势,我国还需要稳步平衡制造端和应用端的网络安全和数据安全责任,在“谁负责运营,谁负责谁负责”的基础上,对数字产品实施“谁设计谁负责”的风险承担模式, 对数字化产品设计商和厂商“选择性忽视”安全问题,不负责任地将产品安全问题转嫁给使用方的现象,采取“零容忍”的态度。根据新的市场和游戏规则,我们将确保设计、制造和服务提供过程履行其对消费者、关键信息基础设施运营者和其他产品用户的法律责任和安全义务,让每个人都能使用更安全的数字产品。
在风险管控方面,大力发展具有“可管”属性的数据安全和隐私保护技术
一般来说,“有系统”可以看作是“有管理”,“系统+技术”可以看作是“可管理”。 就风险管理而言,仅仅拥有一个系统是不够的,还要拥有能够确保系统实施的控制技术。 在数据安全和隐私保护领域,如果没有相应的技术进行监督和控制,相关法规和制度只能停留在“叫”的层面,甚至是“一纸空文”。 目前,应开发四类技术来保护数据安全和隐私。
首先是架构技术。 通过“构建效应”和系统工程方法,可以切断安全风险演化为安全事件的发生路径,在先验知识不足的情况下,仍能有效抑制“未知未知”的安全风险,在“可信度无法保证或存在缺陷”的情况下,构建保障功能安全和数据安全的可信服务体系。
二是密码技术。 本文从隐私保护的角度深入研究区块链、零知识证明、同态加密、隐私计算、可证明安全隐写术等现有技术的缺陷和可能的攻击,从网络层、钱包、轻量级用户等角度建立更有效的隐私保护机制,从而更好地实现个人数据和隐私保护。
三是安全风险度量技术。 着力解决数字化产品质量“网络安全、信息安全、数据安全”难以衡量的问题,为数字化产品的安全性提供标准化的“维度”,使数字化产品的安全能力“看得见”、“看得见”,并能给数字化产品贴上“安全”的标签,为我国数字产业的结构性升级和数字化发展提供国际公信的质量保障经济。
第四,数字水印技术。 以大语言模型为代表的人工智能技术的快速发展,使得数据容易被未经授权的用户窃取、篡改和出售,因此有必要发展数字水印技术来维护数据权益、验证数据完整性、跟踪风险**和进行数字内容认证等,并不断提升数据管理水平, 流通和可追溯性。目前,在发展传统数字水印技术的同时,一方面需要开发一种新的跨媒体数字水印技术,以提高水印在屏幕摄影“光电摄影”和录音“声电”等实际泄漏场景中的溯源能力。 另一方面,需要开发一种基于人工智能模型的新型数字水印技术,借助深度神经网络的失真拟合能力和数据记忆能力,提高数字水印的保真度、嵌入性、鲁棒性、隐蔽性和通用性,验证数字水印在隐私保护和事件溯源方面的有效性。 “黑匣子”模型和“无盒子模型”。
在风险分散方面,推动建立面向数据空间和数字生态的金融保险机制
近年来,网络安全保险作为一种新型业务形式呈现出蓬勃发展的态势。 正是因为有风险,才有保险。 面对数据安全和隐私保护的新需求,亟需开发数据安全保险、数字安全保险等新业态。 金融保险机构在可衡量的安全指标的基础上,为数字产品提供保险服务,为可能出现的数据安全问题提供经济支持和风险分散。 目前,保险业对数据安全行业的主要担忧是“不清楚”、“不准确”、“负担不起”,核心担忧是数据安全风险的不确定性太大、涉及的关系太复杂、人为因素影响太强、技术可控性太低、产品安全性无法衡量、 而且可追溯性很困难。因此,有必要从三个方面加快推进。
一是推动数据安全技术创新。 可衡量的网络安全功能、可衡量的网络风险概率和数字产品的可估计损失是可保性的首要条件,数据安全保险的发展应首先从技术角度探索和解决“可保性”和“自证无罪”的问题,创新数据安全技术范式,实现安全能力可定制, 可衡量和可验证。
二是建立数据安全保险技术生态圈。 借鉴传统车险理念,打造“数据安全4S店”,整合数据系统建设、核心设备配置、数据安全服务、质量信息反馈“四位一体”服务链条,构建基于新一代数据安全技术的“保险+风险管理+服务”融合新生态。
三是推动数字安全保险行业创新。 未来,基于人工智能的新兴技术将快速迭代,网络收藏、生物人类化身、人形机器人、数字遗产等形式将逐步形成。 可前瞻性设计数字平台及系统产品安全保险、数字空间数据安全保险,包括个人生物数据、数字资产财产保险、数字空间“孪生”人身安全保险、数据安全服务保险等。
在风险防范方面,鼓励和支持全民提高数字素养和网络安全意识
防范数据安全风险,加强个人隐私保护,要推动全面提升人民群众的数字素养和网络安全意识,特别是提高公众的数字安全能力,能够识别电信网络欺诈,保护数字环境中的个人隐私和信息安全,遵守法律, 法规和道德规范,形成正确的数字价值观、道德和法治。
近年来,中国通过举办“全国网络安全宣传周”、“全国数字素养与技能提升月”等活动,建设“全国数字素养与技能培训基地”,显著提高了公众的网络安全意识和个人信息隐私保护意识。 未来,要进一步加强科普建设,不断提高全民数字素养的整体水平。
2023年9月11日,2023全国网络安全宣传周网络安全博览会在福建省福州市举行。 网络诱骗邮件、密码泄露、网络诱骗**等网络不安全案例,已成为网络安全公司提升客户安全意识体验的关键领域。 首先,要把数据安全作为提高全民数字素养的重中之重。 数字素养是数字社会公民在生产生活中应具备的数字知识、能力、素质、伦理道德等一系列要素的集合,其中数据安全和隐私保护应成为数字素养的基础必修课。 电信网络诈骗、“大数据杀”、“信息茧”等新的社会问题层出不穷,其原因在于公众对网络安全风险的认知不够强,对数据处理者、数码产品制造商的安全责任和义务认识不到位。
二是加强重点人群的风险教育和意识普及。 聚焦“银发网友”、青年网友、大学生网友等特殊群体,根据各类特殊人群特点设计科普内容和场景,将最需要的知识和技能传递给最需要的群体。 例如,推动在校园内建立网络安全和数据安全培训室,设置数据安全科学班和实践课程,让数字安全能力的培养走进校园和青少年。
三是充分发挥国家网络安全科技场馆的作用。 2020年全国网络安全宣传周期间,中国首个国家网络安全科技馆落成,构建了百校创新教育服务体系,打造百家企事业单位数字技能培训平台,形成了百市数据安全意识教育网络, 实现了覆盖百万人的网络和数据安全科普教育。
未来,进一步发挥国家网络安全科技馆等各类平台的联动效应,构建数据安全隐私保护科普矩阵,通过专业化、基地化、场景化科普,推动全民数字素养全面提升。
*:中国互联网信息(CNC)2024年第1期。