張于喆 王君 黃漢權

在云計算、大數(shù)據(jù)、深度學習算法、人腦芯片等新一代信息技術的催化下，人工智能正以前所未有的速度、廣度和深度融入經(jīng)濟社會的各個方面，正在成為全球新一輪科技革命和產(chǎn)業(yè)變革的著力點。隨著人工智能對生產(chǎn)力體系和社會生產(chǎn)關系的重構，經(jīng)濟社會正在邁入“人工智能時代”。對國家而言，人工智能時代是“數(shù)據(jù)驅(qū)動”的時代，一方面，大數(shù)據(jù)對打造新動能、提升政府治理能力作用日益突出，我們正處在創(chuàng)造著巨大經(jīng)濟價值和社會財富的“最好時代”，另一方面，新技術、新需求和多樣化的應用場景又給數(shù)據(jù)安全防護帶來全新挑戰(zhàn)，也催生著各類社會問題和安全隱患不斷的“最壞時代”。然而，在人工智能日新月異的時代變革中，大數(shù)據(jù)的風險管理總是滯后于技術的發(fā)展。因此，面對人工智能時代，既需要增強風險意識、提高風險管理能力，又不能刻舟求劍、因噎廢食，必須適應十九大的新要求，創(chuàng)制出有利于“數(shù)據(jù)驅(qū)動”發(fā)展的社會規(guī)范體系，降低技術的負面性與風險的不確定性，不斷增強我國經(jīng)濟創(chuàng)新力和競爭力，完善國家公共治理體系。

站在新的歷史起點上，數(shù)據(jù)資源作為“生產(chǎn)資料+生產(chǎn)工具”的集合體，是人工智能時代經(jīng)濟社會發(fā)展的重要生產(chǎn)要素和國家基礎戰(zhàn)略性資產(chǎn)。然而在新的經(jīng)濟環(huán)境和歷史條件下，數(shù)據(jù)治理方面還存在著數(shù)據(jù)量不夠大、格式規(guī)范相對亂、數(shù)據(jù)質(zhì)量相對差、數(shù)據(jù)流動性不足等問題，這些問題背后的原因又體現(xiàn)為數(shù)據(jù)權屬體系不完善、數(shù)據(jù)資源分級分類機制缺失，由此制約了新時代網(wǎng)絡強國戰(zhàn)略的建設。同時，數(shù)據(jù)在網(wǎng)絡空間的快速傳播，使得大數(shù)據(jù)安全問題和數(shù)據(jù)跨境流動安全風險日益加劇。為此，人工智能時代，必須適應時代變遷，以數(shù)據(jù)安全為重要領域，把大數(shù)據(jù)風險管理當作一門科學，并形成一定的行為模式，確保有效識別、計量、監(jiān)測和控制各類風險，特別是迫切需要規(guī)范數(shù)據(jù)權屬和確保應用權限可管可控，進而有效地指導管理實踐，以提高決策的安全性。因而，人工智能時代的大數(shù)據(jù)風險管理，需要從數(shù)據(jù)安全的組織管理、規(guī)程標準、技術手段等角度著手進行風險防范，采取組織控制、制度控制與技術控制的綜合治理機制，形成數(shù)據(jù)安全防護三位一體的閉環(huán)管理鏈條。

一、完善組織管理，有效統(tǒng)籌數(shù)據(jù)資源和風險管理

信息和數(shù)據(jù)是進行國家公共治理的基礎，在經(jīng)濟社會發(fā)展中的基礎性、戰(zhàn)略性、先導性地位也日益突出。鑒于信息和數(shù)據(jù)容量、復雜性和戰(zhàn)略意義的提升，為加強黨的領導、強化政府統(tǒng)領作用，有效解決數(shù)據(jù)治理中戰(zhàn)略導向缺失、數(shù)據(jù)權屬體系不完善、分級分類機制缺失等問題，實現(xiàn)數(shù)據(jù)安全防護總體目標，建議實施全面風險管理體制改革，提升政府的數(shù)據(jù)治理能力。打造“集中式”的風險管理組織架構，圍繞大數(shù)據(jù)市場準入的風險屏障與防范、生產(chǎn)使用過程中的風險監(jiān)控和管制以及風險預警和化解等關鍵環(huán)節(jié)，成立統(tǒng)一的大數(shù)據(jù)管理部門（或中央級的領導小組），負責組織領導、統(tǒng)籌協(xié)調(diào)全國大數(shù)據(jù)發(fā)展和具體的風險防范管控以及發(fā)生重大事故時的危機管理，落實數(shù)據(jù)安全實踐工作。大數(shù)據(jù)管理部門主要是扮演數(shù)據(jù)采集、數(shù)據(jù)維護、數(shù)據(jù)分析和風險管理以及數(shù)據(jù)政策主導者的角色，將主要開展跨區(qū)域、跨部門、跨層級的大數(shù)據(jù)交換共享，以及數(shù)據(jù)關聯(lián)、比對、清洗、安全防護等治理工作，需要具備包括數(shù)據(jù)的收集能力、數(shù)據(jù)的解讀能力、專業(yè)的判斷能力、專業(yè)的輔導能力等方面的專業(yè)能力，通過加強數(shù)據(jù)資源的建設、管理和開發(fā)，滿足監(jiān)管、隱私保護和安全等方面的要求，保證數(shù)據(jù)安全管理方針、策略、制度的統(tǒng)一制定和有效實施。

推進國家公共治理數(shù)字化基礎設施的建設，構建一個可擴展性強、高度可靠的以互聯(lián)網(wǎng)為基礎的數(shù)字平臺，負責管理基礎數(shù)據(jù)資源的安全性，并成為新時代中國經(jīng)濟發(fā)展的新引擎。搭建“數(shù)據(jù)資源服務施政平臺”，充分發(fā)揮平臺組織協(xié)調(diào)和快速部署數(shù)據(jù)安全措施的作用，開展數(shù)據(jù)技術、政策、應用等基礎架構方面的探索和實踐，著力提升風險管理有效性。構建“安全即服務”的新模式，采用包括情報數(shù)據(jù)分析、響應措施等在內(nèi)的動態(tài)化手段，推進數(shù)據(jù)資源的整合共享、統(tǒng)一管理、主動防護，力爭將原本分散存儲在不同部門、行業(yè)的數(shù)據(jù)信息孤島連接成一個互聯(lián)互通的新價值網(wǎng)絡，形成傳統(tǒng)以控制為核心的安全模式和新型的主動性數(shù)據(jù)安全模式相互支撐、協(xié)同發(fā)揮作用的數(shù)據(jù)風險防范體系。

二、推動相關法律和規(guī)則的制定落實，強化數(shù)據(jù)安全的制度保障

數(shù)據(jù)的可流動性有助于加速資源的優(yōu)化組合，有助于價值沉淀與管理創(chuàng)新，有助于重塑社會運行系統(tǒng)和規(guī)則，最終實現(xiàn)在流動中增值和能量釋放，為建設網(wǎng)絡強國、數(shù)字中國、智慧社會提供有力支撐。為確保數(shù)據(jù)風險管理工作的“有規(guī)可依”，建議構建與現(xiàn)代化經(jīng)濟體系和國家治理能力現(xiàn)代化相適應的風險管理制度環(huán)境，努力將保護數(shù)據(jù)信息資產(chǎn)的措施融入現(xiàn)代化經(jīng)濟體系建設、國家治理體系及人工智能時代的大環(huán)境，探索一條以控制功能和主動保護共同落實數(shù)據(jù)安全管理責任的發(fā)展模式和路徑，推動構建以“數(shù)據(jù)驅(qū)動”的現(xiàn)代化經(jīng)濟體系和國家治理體系。

一是強化頂層設計，打造全方位的安全保障體系。在大數(shù)據(jù)市場準入的風險屏障與防范方面，積極落實《中華人民共和國網(wǎng)絡安全法》，在國家法律法規(guī)層面進一步完善包括數(shù)據(jù)權屬、數(shù)據(jù)管理、關鍵基礎設施、穩(wěn)定性保障、數(shù)據(jù)安全等在內(nèi)的相關專門性法律，推動技術創(chuàng)新和經(jīng)濟社會發(fā)展。

在生產(chǎn)使用過程中的風險監(jiān)控和管制方面，聚焦大數(shù)據(jù)領域的技術研究與應用，推進大數(shù)據(jù)采集、管理、共享、交易等標準規(guī)范的制定實施，研究制定一批基礎共性、重點應用和關鍵技術標準。不斷完善行業(yè)監(jiān)管、加強行業(yè)自律，加強行業(yè)政策、標準、法規(guī)等方面的研究，保障信息安全和個人隱私，促進數(shù)據(jù)資源有序流動與規(guī)范利用，為人工智能時代的跨越發(fā)展提供有力支撐。建立健全內(nèi)部制度體系和工作體制機制，明確對大數(shù)據(jù)安全和數(shù)據(jù)跨境流動的管理規(guī)范，將風險管理措施嵌入大數(shù)據(jù)應用的全流程管理，實現(xiàn)以規(guī)范化的流程指導數(shù)據(jù)安全管理工作具體落實的目標。

在風險預警和化解方面，大數(shù)據(jù)風險管理作為人工智能時代的重要內(nèi)容和管理行為，在確保大數(shù)據(jù)法律性開放的基礎上，必須要加強風險管理流程、授權管理制度、風險限額管理、風險評價考核、風險獎懲處罰、風險責任約束、風險決策報告等方面的建設，構建全面數(shù)據(jù)風險管理的體系架構。

同時，我們必須牢記的是，人工智能時代的大數(shù)據(jù)風險管理機制并非設計好之后就一成不變，而是需要隨著外部環(huán)境變化、技術變化而不斷優(yōu)化和重構。

二是明確相關部門和人員責任，構建風險管理體制機制。在大數(shù)據(jù)市場準入的風險屏障與防范方面，明確數(shù)據(jù)系統(tǒng)權限和數(shù)據(jù)管理相關責任部門，制定數(shù)據(jù)系統(tǒng)權限及數(shù)據(jù)管理辦法，規(guī)范政府部門數(shù)據(jù)系統(tǒng)權限申請及數(shù)據(jù)管理流程，形成數(shù)據(jù)安全實踐工作的制度保障。建立完善數(shù)據(jù)服務、網(wǎng)絡安全防護和信息安全等級保護等相關制度。

在生產(chǎn)使用過程中的風險監(jiān)控和管制方面，有必要針對大數(shù)據(jù)安全可能引發(fā)的負面影響，編制數(shù)據(jù)管理制度和規(guī)程文件，避免實際業(yè)務流程的“無規(guī)可依”。根據(jù)不同場景設計、配置、設定標準操作規(guī)程以及高級安全訪問權限，細化辦事規(guī)程、責任劃分和行動準則，確保規(guī)程要求的清晰易懂，降低數(shù)據(jù)驅(qū)動發(fā)展的制度性成本。明確相關部門數(shù)據(jù)安全責任人的權限、例外情況和獎懲措施，數(shù)據(jù)安全負責人具體負責數(shù)據(jù)訪問權限審批、異常行為告警處置、覆蓋數(shù)據(jù)功能的禁用和禁止等數(shù)據(jù)安全日常運營工作，要能做到對“操作者”“操作時間”“新值”“舊值”“修改原因”的全面追溯追蹤，以降低數(shù)據(jù)被“干預”“操縱”的風險。要針對關鍵數(shù)據(jù)信息基礎設施的安全保障，制定信息系統(tǒng)、基礎設施、云平臺和網(wǎng)絡通信等領域數(shù)據(jù)安全規(guī)范，建立數(shù)據(jù)災備、安全管理和應急處理制度。

在風險預警和化解方面，政府部門必須適應風險管理從靜態(tài)數(shù)據(jù)向動態(tài)數(shù)據(jù)的轉(zhuǎn)化、從人為判斷向模型分析的轉(zhuǎn)化、從零散管理向體系管理的轉(zhuǎn)化，加強數(shù)據(jù)安全事件監(jiān)測和事態(tài)發(fā)展信息搜集工作，積極開展應急處置、風險評估和安全控制的能力建設，提升基于持續(xù)檢測、態(tài)勢感知和及時響應處置的數(shù)據(jù)安全能力，釋放數(shù)據(jù)活力。

三是加快建立數(shù)據(jù)信息資源目錄體系，滿足技術性開放的數(shù)據(jù)安全要求。立足我國政府數(shù)據(jù)開放的實際情況和發(fā)展階段，根據(jù)數(shù)據(jù)應用的差異化需求和不同場景，在大數(shù)據(jù)市場準入的風險屏障方面，明確數(shù)據(jù)信息資源目錄的管理者、提供者和使用者的不同角色和職責，按照管理范圍和職責權限，落實數(shù)據(jù)資源的編目、注冊、發(fā)布和維護。

在生產(chǎn)使用過程中的風險監(jiān)控和管制方面，加快建立統(tǒng)一的數(shù)據(jù)標準體系并制定數(shù)據(jù)安全策略，通過數(shù)據(jù)鏈的標準化和主動性數(shù)據(jù)安全模式，確保數(shù)據(jù)的清晰可溯，確保相關機構和個人最大程度自由安全獲取和利用數(shù)據(jù)。積極開展基于數(shù)據(jù)鏈的數(shù)據(jù)導入接口規(guī)范、元數(shù)據(jù)管理、主數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量評價、敏感數(shù)據(jù)使用規(guī)則等技術和數(shù)據(jù)交換標準以及操作規(guī)程規(guī)范的編制，規(guī)定各方承擔的職責、履行的義務，保證數(shù)據(jù)信息資源的可管可控。梳理、規(guī)劃數(shù)據(jù)資源公開與共享的內(nèi)容和目錄，通過目錄服務規(guī)范實現(xiàn)物理接口、數(shù)據(jù)格式和數(shù)據(jù)互操作過程中的一致性、兼容性和擴展性，助推跨類別數(shù)據(jù)交易商業(yè)模式的創(chuàng)新發(fā)展。

三、加強數(shù)據(jù)安全防范技術的研究，有效抵御數(shù)據(jù)安全威脅

大數(shù)據(jù)作為一門以數(shù)據(jù)及數(shù)據(jù)處理技術為研究對象的科學，有效的技術保障是保障大數(shù)據(jù)安全可靠、提升數(shù)據(jù)治理能力的關鍵。為健全數(shù)據(jù)價值流通體系、提升數(shù)據(jù)開發(fā)利用的社會價值和科技價值，相關部門需要以技術創(chuàng)新為牽引，加強數(shù)據(jù)安全防范技術研究，打造“智能化、規(guī)范化”的風險管控核心技術，為數(shù)據(jù)安全工作提供技術支撐。

一是加強政策引導，不斷提升技術能力。借助技術構建全面風險管理體系架構，促進“數(shù)據(jù)驅(qū)動”經(jīng)濟社會健康發(fā)展，是人工智能時代大數(shù)據(jù)風險管理的必要內(nèi)容。推動大數(shù)據(jù)領域產(chǎn)學研的協(xié)同創(chuàng)新合作，加強大數(shù)據(jù)風險管理核心技術的聯(lián)合攻關，增強防范和處置數(shù)據(jù)安全事件的技術支撐能力。重點支持網(wǎng)絡安全監(jiān)測預警、預防防護、處置救援、應急服務等方向，包括但不限于身份認證、訪問控制、安全審計、異常行為監(jiān)測預警、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏等數(shù)據(jù)安全技術，以核心技術的突破和發(fā)展，有效降低大數(shù)據(jù)的安全風險。

二是建立數(shù)據(jù)安全防范數(shù)據(jù)庫，加強數(shù)據(jù)共享。鼓勵以大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟、相關行業(yè)協(xié)會等組織為依托，在大數(shù)據(jù)生產(chǎn)使用過程中的風險監(jiān)控和管制以及風險預警和化解方面，建立一個共享的數(shù)據(jù)安全防范數(shù)據(jù)庫，促進數(shù)據(jù)安全防范信息和修復舉措的收集和共享，低成本、高質(zhì)量、高頻度地生產(chǎn)、使用數(shù)據(jù)安全防范相關知識。在數(shù)據(jù)產(chǎn)生/采集、傳輸、存儲、使用、共享、銷毀等數(shù)據(jù)生命周期的關鍵環(huán)節(jié)，梳理總結數(shù)據(jù)安全防護所需具備的技術手段和工具，并將技術清單及時共享，確保各方在發(fā)現(xiàn)安全漏洞或潛在威脅時具備迅速找到類似技術的能力，以正確應對并降低潛在危害。充分利用先進的自動化工具、信息采集和智能分析等現(xiàn)代化技術手段，探索建設機器學習型智能模型風險管理平臺，識別數(shù)據(jù)管理中的薄弱環(huán)節(jié)并自動發(fā)出提示，提高風險監(jiān)測、反饋、防護和應對的效率。

（作者單位：中國宏觀經(jīng)濟研究院產(chǎn)業(yè)所）