隨著云計算、量子計算等新興技術(shù)的發(fā)展以及計算機處理速度的提升，傳統(tǒng)加密算法的效率與強度逐漸難以滿足業(yè)務(wù)需求，被破解失效的風(fēng)險日益升高。

例如在人工智能領(lǐng)域，數(shù)據(jù)安全技術(shù)的應(yīng)用環(huán)境已經(jīng)從傳統(tǒng)的APP、接口等深入到算法層面，該領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險在傳統(tǒng)的數(shù)據(jù)泄露、數(shù)據(jù)破壞等問題之外，還包括了數(shù)據(jù)投毒等新型數(shù)據(jù)安全風(fēng)險。這種變化促使企業(yè)需要緊跟數(shù)據(jù)安全市場的最新需求，結(jié)合區(qū)塊鏈、云計算等新興技術(shù)特點及優(yōu)勢，優(yōu)化數(shù)據(jù)去標識、數(shù)據(jù)匿名等傳統(tǒng)數(shù)據(jù)安全手段，加快差分隱私、同態(tài)加密、秘密分享、不經(jīng)意傳輸?shù)葦?shù)據(jù)安全保護新技術(shù)創(chuàng)新、研發(fā)和落地的速度，更好地實現(xiàn)數(shù)據(jù)要素“安全存儲”“可信傳輸”和“協(xié)同計算”三大核心需求。

一、制約因素分析

1.研發(fā)層面：數(shù)據(jù)安全技術(shù)手段研發(fā)動力不足、方向不明。

一是資金投入不足，中長期的戰(zhàn)略目標不明確。大型數(shù)字科技企業(yè)出于降低運用成本考量，在數(shù)據(jù)安全技術(shù)手段研發(fā)與創(chuàng)新方面投入較少；而針對數(shù)據(jù)安全技術(shù)相關(guān)領(lǐng)域的專門研究機構(gòu)也由于缺少政策層面頂層設(shè)計的引領(lǐng)而缺乏長期專項的課題研究。這就導(dǎo)致不同研究機構(gòu)之間由于具體研究方向的差異、單位體量大小的差異和資金支持力度的差異等各自為戰(zhàn)，無法充分整合利用既有研究資源有針對性地投入到某一具有重大范式突破意義或行業(yè)應(yīng)用價值的數(shù)據(jù)安全技術(shù)領(lǐng)域中。

二是法律法規(guī)要求不明確，技術(shù)手段研發(fā)推動力不足。目前《中華人民共和國網(wǎng)絡(luò)安全法》和《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號)等法律法規(guī)已就數(shù)據(jù)安全和個人信息保護提出部分原則性要求，但尚未明確技術(shù)手段建設(shè)的具體要求與處罰規(guī)則，與數(shù)據(jù)安全技術(shù)相關(guān)的國家標準和行業(yè)標準也尚未形成體系化的建制。就數(shù)據(jù)的分級分類而言，以《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》為代表的國家政策文件已就數(shù)據(jù)分級的基本框架、確定方法和實施流程做出了系統(tǒng)說明，但在“動態(tài)更新情形參考”部分未給出較為詳細的參考規(guī)則。這就導(dǎo)致數(shù)據(jù)安全技術(shù)創(chuàng)新的突破點與風(fēng)險點的區(qū)隔較為模糊，相關(guān)領(lǐng)域技術(shù)研發(fā)與突破的容錯空間具有較大不確定性，最終成為掣肘研究人員展開進一步研究的重要因素。對于聯(lián)邦學(xué)習(xí)、密文檢索、多方安全計算等尚處于萌芽期，但具有巨大現(xiàn)實意義和市場潛力的新興技術(shù)來說，尚無法律法規(guī)對其使用作出詳細規(guī)制。

三是數(shù)據(jù)安全技術(shù)所涉及的交叉復(fù)合型學(xué)科研究和相關(guān)基礎(chǔ)學(xué)科的專項研究之間的關(guān)系有待進一步理順。例如隱私計算技術(shù)能夠幫助數(shù)據(jù)提供方在不泄露敏感數(shù)據(jù)的前提下，分析計算數(shù)據(jù)并驗證計算結(jié)果，安全地實現(xiàn)數(shù)據(jù)價值。但它并不是單個傳統(tǒng)學(xué)科研究的對象，而是依賴于包含人工智能、密碼學(xué)、數(shù)據(jù)科學(xué)等多學(xué)科的綜合性技術(shù)體系。如何在夯實基礎(chǔ)學(xué)科的前提下集合不同學(xué)科資源平臺共同服務(wù)于市場需求，目前尚且缺乏系統(tǒng)的學(xué)理探討和實踐案例可供借鑒。

2.應(yīng)用層面：數(shù)據(jù)安全技術(shù)研發(fā)起步較晚，技術(shù)落地應(yīng)用條件尚不成熟。

一是部分數(shù)據(jù)安全技術(shù)尚不具備統(tǒng)一和成熟的落地應(yīng)用條件。數(shù)據(jù)安全技術(shù)作為新興技術(shù)領(lǐng)域，發(fā)展時間尚短，部分技術(shù)手段與解決方案正處在研究發(fā)展階段，缺乏應(yīng)用實踐，無法有效保障數(shù)據(jù)安全。以數(shù)據(jù)脫敏技術(shù)為例，目前國內(nèi)對于數(shù)據(jù)脫敏的方法、流程以及效果等均未形成統(tǒng)一的標準，各企業(yè)對該技術(shù)的使用方法和使用效果也都存在著一定偏差。再如數(shù)字血緣追蹤技術(shù)、數(shù)據(jù)字段打標簽技術(shù)等目前尚不成熟，對業(yè)務(wù)運營的影響有待進一步研究，大規(guī)模落地應(yīng)用尚需時日。此外，當前數(shù)據(jù)安全技術(shù)復(fù)雜度的增長速度遠超安全廠商整合和集成各類新興技術(shù)的速度，數(shù)據(jù)安全技術(shù)應(yīng)用的技術(shù)門檻也越來越高。

二是數(shù)據(jù)安全管理起步較晚，企業(yè)經(jīng)驗不足。部分企業(yè)對于既有業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全改造的問題感到無所適從，尤其對于如何科學(xué)利用數(shù)據(jù)安全技術(shù)欠缺系統(tǒng)了解。一方面，企業(yè)內(nèi)部各業(yè)務(wù)系統(tǒng)數(shù)據(jù)的字段名稱不統(tǒng)一，類型龐雜，對數(shù)據(jù)資產(chǎn)進行梳理的難度較大，這就導(dǎo)致數(shù)據(jù)安全技術(shù)手段缺乏前期的基礎(chǔ)工作；另一方面，數(shù)據(jù)加解密和脫敏等技術(shù)可能會占用系統(tǒng)資源，從而影響系統(tǒng)性能和用戶體驗。企業(yè)為了降低成本投入，往往不會在數(shù)據(jù)安全技術(shù)方面實施軟硬件升級舉措。此外，還有部分企業(yè)未能意識到創(chuàng)新數(shù)據(jù)安全技術(shù)的重要性和必要性。目前，數(shù)據(jù)安全托管、數(shù)據(jù)安全運維、數(shù)據(jù)安全測評和數(shù)據(jù)安全防護能力評定等服務(wù)開展較少。其中一個重要原因在于數(shù)據(jù)安全服務(wù)應(yīng)用方對數(shù)據(jù)安全服務(wù)的認識不準確，認為通過傳統(tǒng)網(wǎng)絡(luò)安全的防護系統(tǒng)，即“硬件設(shè)備＋專用軟件”的模式就可以解決數(shù)據(jù)安全的問題，對軟性的數(shù)據(jù)安全服務(wù)認可度不高。

三是企業(yè)在進行數(shù)據(jù)安全技術(shù)改造的過程中風(fēng)險較大。數(shù)據(jù)安全防護技術(shù)的改造往往伴隨著核心系統(tǒng)的改造，具有較高的風(fēng)險系數(shù)。同時，數(shù)據(jù)安全技術(shù)改造屬于新興技術(shù)領(lǐng)域，目前企業(yè)可參考的成熟技術(shù)方案及實踐案例較少，在具體應(yīng)用場景中的不確定性較高。

二、政策建議

1.加快出臺試點地方性數(shù)據(jù)安全法律法規(guī)，明確提出數(shù)據(jù)安全技術(shù)手段研發(fā)和應(yīng)用的相關(guān)要求，并予以適當?shù)恼邇A斜。

一是在數(shù)據(jù)分級分類、數(shù)據(jù)加密、個人信息去標識化等重點領(lǐng)域加快起草制定相關(guān)標準規(guī)范，細化明確分級分類規(guī)則、加密算法強度、去標識化算法及應(yīng)用場景等，為技術(shù)產(chǎn)品研發(fā)提供支撐。數(shù)據(jù)安全體系建設(shè)需要頂層設(shè)計思路，要在組織建設(shè)、制度流程、技術(shù)工具和人員能力四個領(lǐng)域同時開展建設(shè)工作。

二是加大政策支持力度，通過簡化審批流程、增大資金支持、健全行政管理等方式匯聚高水平科研中心和數(shù)據(jù)安全技術(shù)供給側(cè)的龍頭企業(yè)中的研究團體。以高水平科研人才體系促進數(shù)據(jù)安全技術(shù)體系的發(fā)展，完善數(shù)據(jù)安全人才的管理和培養(yǎng)機制。在實際研發(fā)的過程中支持自主探索型和市場應(yīng)用型技術(shù)并重，既要保障兩者之間相對獨立的發(fā)展空間，又要搭建和保留其相互溝通與反饋的常態(tài)機制。

三是進一步細化數(shù)據(jù)安全保護規(guī)則，推動數(shù)據(jù)安全產(chǎn)品向?qū)I(yè)化、體系化方向邁進。應(yīng)基于企業(yè)數(shù)據(jù)安全建設(shè)的具體應(yīng)用場景，鼓勵數(shù)據(jù)安全技術(shù)研發(fā)企業(yè)增加以“需求定制”為驅(qū)動的專業(yè)性產(chǎn)品供給。例如在用戶隱私數(shù)據(jù)安全合規(guī)方面重點關(guān)注差分隱私技術(shù)；在企業(yè)內(nèi)部數(shù)據(jù)安全治理方面重點關(guān)注智能敏感數(shù)據(jù)識別和數(shù)據(jù)脫敏風(fēng)險評估；在企業(yè)間數(shù)據(jù)共享與計算方面重點關(guān)注數(shù)據(jù)匿名、同態(tài)加密和聯(lián)邦學(xué)習(xí)等。對于大部分中小企業(yè)來說，應(yīng)引導(dǎo)數(shù)據(jù)安全技術(shù)的供給側(cè)在采購、租賃云化部署的數(shù)據(jù)安全一站式建設(shè)方面提供更多優(yōu)質(zhì)的產(chǎn)品和服務(wù)。

2.聯(lián)合高校、政府、社會上的相關(guān)研究機構(gòu)，形成數(shù)據(jù)安全技術(shù)發(fā)展的統(tǒng)一戰(zhàn)線。目前上海市已經(jīng)建立起首個數(shù)據(jù)安全專業(yè)組織，即上海市信息安全行業(yè)協(xié)會數(shù)據(jù)安全與隱私計算專業(yè)委員會。建議進一步明確和優(yōu)化其職能職責(zé)和分工架構(gòu)，并與數(shù)據(jù)交易所等相關(guān)機構(gòu)協(xié)調(diào)聯(lián)動，為數(shù)據(jù)安全技術(shù)“產(chǎn)學(xué)研”結(jié)合搭建常態(tài)化的交流平臺和溝通機制。應(yīng)充分利用上海市數(shù)字科技產(chǎn)業(yè)發(fā)達、數(shù)字安全技術(shù)研發(fā)資源豐沛的優(yōu)勢，通過舉行周期性的綜合論壇和座談會議，聚集來自學(xué)界和業(yè)界相關(guān)領(lǐng)域的專業(yè)人士，不斷就學(xué)術(shù)研究成果、產(chǎn)業(yè)應(yīng)用需求和未來發(fā)展前景等問題進行交流和討論。關(guān)于其中在數(shù)字科技產(chǎn)業(yè)發(fā)展中具有直接現(xiàn)實意義的知識成果，應(yīng)在整合之后通過宣傳教育和人員培訓(xùn)等方式向更多相關(guān)從業(yè)人員進行普及，提高其安全意識、技術(shù)能力和業(yè)務(wù)水平。

3.加快形成凝聚各方共識的數(shù)據(jù)安全技術(shù)產(chǎn)品體系總體視圖，推動宏觀政策文件的解讀進一步精細化和通俗化。一方面，應(yīng)在宏觀層面明確數(shù)據(jù)安全技術(shù)進行數(shù)據(jù)防護的方式、類型、性能以及應(yīng)用場景和邊界等，指引需求側(cè)企業(yè)開展數(shù)據(jù)安全技術(shù)能力建設(shè)，增強數(shù)據(jù)安全綜合保障能力。同時，發(fā)布權(quán)威數(shù)據(jù)安全技術(shù)產(chǎn)品市場報告，就我國數(shù)據(jù)安全技術(shù)產(chǎn)品供需關(guān)系情況、成熟度情況、技術(shù)薄弱環(huán)節(jié)等問題作出更為清晰和系統(tǒng)的說明，支持供給側(cè)企業(yè)開展數(shù)據(jù)安全技術(shù)手段研發(fā)投入。此外，建議逐步建立和完善數(shù)據(jù)安全委員會，積極與中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)進行對接與溝通，進一步明確地方如何落實中央的有關(guān)要求部署。

另一方面，應(yīng)在微觀層面聚焦重要行業(yè)和關(guān)鍵領(lǐng)域，有針對性地推動數(shù)據(jù)安全技術(shù)發(fā)展。以金融行業(yè)為例，確保金融數(shù)據(jù)的安全是上海建設(shè)全球金融中心的前提和保障。人工智能一方面在營銷、風(fēng)控、產(chǎn)品創(chuàng)新等業(yè)務(wù)領(lǐng)域帶來了新機遇，但也帶來了數(shù)據(jù)投毒、模型逆向攻擊等攻擊方式的新威脅。對此，應(yīng)通過系列激勵政策和配套措施積極引導(dǎo)企業(yè)和金融機構(gòu)將隱私計算平臺作為與外部交互的可信安全計算平臺，從數(shù)據(jù)邊界上守護好數(shù)據(jù)安全端口。

（本文系復(fù)旦大學(xué)發(fā)展研究院《數(shù)據(jù)跨境流動、個人信息保護與數(shù)字韌性建設(shè)》課題系列成果。報告主編：江天驕系復(fù)旦大學(xué)發(fā)展研究院副教授、金磚國家研究中心副主任，姚旭系復(fù)旦大學(xué)發(fā)展研究院青年副研究員、上海數(shù)據(jù)研究院特聘研究員，報告行業(yè)導(dǎo)師：陳文昊系植德律師事務(wù)所數(shù)據(jù)合規(guī)業(yè)務(wù)合伙人、合規(guī)部負責(zé)人，報告組成員：金子韞、吳致遠、邢嘉耀、姚媛、馬怡寧、陳梓培、郎瑾怡、張桐語均來自復(fù)旦大學(xué)）