筑牢數(shù)據(jù)安全治理能力基礎(chǔ)

邱林

推動《數(shù)據(jù)安全法》全面施行并發(fā)揮作用，需要做的工作很多。其中非常重要的一項就是構(gòu)建數(shù)據(jù)安全技術(shù)體系。這需要持續(xù)探索、跟蹤數(shù)據(jù)安全技術(shù)應(yīng)用及其發(fā)展，筑牢數(shù)據(jù)安全治理能力的基礎(chǔ)。充分了解數(shù)據(jù)安全領(lǐng)域的新興技術(shù)，也有助于完善相關(guān)人才培養(yǎng)機制。

數(shù)據(jù)安全保護體系中，最為引人關(guān)注的新興技術(shù)是區(qū)塊鏈技術(shù)。

一是要推進區(qū)塊鏈技術(shù)在數(shù)據(jù)安全治理方面的應(yīng)用。逐年增加的跨組織間數(shù)據(jù)流動，在提升政務(wù)、商業(yè)、生產(chǎn)、生活效率的同時，也蘊含著日益增多的數(shù)據(jù)盜用、濫用、篡改等問題，數(shù)據(jù)安全治理難度持續(xù)升級。

區(qū)塊鏈技術(shù)是一種去中心化的分布式賬本技術(shù)，具有加密性、可溯源性和不可篡改性等特質(zhì)。區(qū)塊鏈的分布式記賬特點滿足了安全儲存數(shù)據(jù)且難以被篡改的要求;區(qū)塊鏈上，每個節(jié)點都有各自的私鑰，雖然利用計算機破解私鑰不是不可能，但具有極大的難度。通過加密技術(shù)在區(qū)塊鏈上的應(yīng)用，可以有效預(yù)防數(shù)據(jù)被盜用、濫用等。因此，區(qū)塊鏈技術(shù)可以為數(shù)據(jù)安全治理提供行之有效的解決方案。

二是要推進區(qū)塊鏈在數(shù)據(jù)確權(quán)方面的應(yīng)用?！稊?shù)據(jù)安全法》明確提出：“國家將建立起健全的數(shù)據(jù)交易制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場。數(shù)據(jù)確權(quán)是數(shù)據(jù)交易的基礎(chǔ)，建立數(shù)據(jù)交易市場首先要解決數(shù)據(jù)確權(quán)問題?！?/p>

區(qū)塊鏈利用其去中心化和不可篡改的特質(zhì)，能夠很好地扮演為數(shù)據(jù)確權(quán)進行信用背書的角色。一方面，區(qū)塊鏈可以部署可編程的智能合約，在數(shù)據(jù)上傳到區(qū)塊鏈的同時，可以隨附數(shù)據(jù)的權(quán)屬信息，與數(shù)據(jù)一起安全地儲存于區(qū)塊鏈上;另一方面，區(qū)塊鏈上將如實記錄數(shù)據(jù)被上傳、下載、訪問、傳輸?shù)男袨榕c次數(shù)，即可以得出一個明確而可靠的數(shù)據(jù)流轉(zhuǎn)軌跡，對于確認數(shù)據(jù)的權(quán)屬也有很大的助力。

區(qū)塊鏈本身只是一項技術(shù)，并不能直接從法律層面對數(shù)據(jù)進行定性和確權(quán)。在數(shù)據(jù)權(quán)屬的區(qū)分上，包括原始數(shù)據(jù)、經(jīng)過脫敏清洗的數(shù)據(jù)以及經(jīng)過加工分析的數(shù)據(jù)，其所有權(quán)和使用權(quán)的歸屬和確認問題，《數(shù)據(jù)安全法》并未給出直接的答案，有待法律人進一步研究和探索。

密碼是目前世界上公認的，保障網(wǎng)絡(luò)與數(shù)據(jù)安全最有效、最可靠、最經(jīng)濟的關(guān)鍵技術(shù)。現(xiàn)代密碼不僅可以實現(xiàn)對數(shù)據(jù)的加密保護，還可以很好地實現(xiàn)對實體身份和數(shù)據(jù)來源的安全認證。

訪問控制是實現(xiàn)數(shù)據(jù)安全共享的重要技術(shù)。在當(dāng)前的大數(shù)據(jù)時代，傳統(tǒng)的訪問控制技術(shù)在授權(quán)管理、策略描述、細粒度控制、隱私保護、實施架構(gòu)等方面都面臨新的挑戰(zhàn)，同時促進了訪問控制技術(shù)的新發(fā)展。角色訪問控制、風(fēng)險訪問控制、結(jié)構(gòu)化數(shù)據(jù)的訪問控制、針對隱私保護的訪問控制、基于密碼學(xué)的訪問控制等都得以改進和創(chuàng)新。

匿名化技術(shù)通過對數(shù)據(jù)的隱藏和泛化等操作來保護隱私。經(jīng)典匿名化技術(shù)包括在發(fā)布的數(shù)據(jù)中加入隨機化的干擾數(shù)據(jù)，在保留統(tǒng)計性質(zhì)的同時對原始數(shù)據(jù)進行隱藏。匿名化技術(shù)可以在效率和數(shù)據(jù)的準確性之間實現(xiàn)平衡，既具有可用性，又能防止數(shù)據(jù)的丟失。

數(shù)據(jù)脫敏即數(shù)據(jù)漂白，其核心在于脫敏規(guī)則、敏感數(shù)據(jù)以及使用環(huán)境。脫敏規(guī)則中包括“可恢復(fù)”的選項，即脫敏后采用一定方法可以恢復(fù)敏感數(shù)據(jù)。

差分隱私作為一種新型隱私保護框架，越來越多地應(yīng)用于數(shù)據(jù)隱私保護領(lǐng)域。該技術(shù)通過添加噪聲使敏感數(shù)據(jù)失真，但同時能夠保持數(shù)據(jù)的原始特性以用于發(fā)布和分析。差分隱私是一個相對“年輕”的技術(shù)領(lǐng)域，在理論和應(yīng)用上還存在著一些需要解決的問題。它在保證隱私數(shù)據(jù)安全的同時，也會制約數(shù)據(jù)的可用性。因此，如何兼顧隱私安全和數(shù)據(jù)可用性，是差分隱私技術(shù)的研究重點。

編輯：姚志剛 winter-yao@163.com