「承澤觀察·平台經濟40評之四」沈豔：資料不用就安全了嗎？

中新經緯5月12日電 題：資料不用就安全了嗎？

作者 沈豔 北京大學國家發展研究院教授、北大數字金融研究中心副主任

導語：中國将成為全球資料最豐富的國家，資料是驅動創新的關鍵要素。目前，部分企業存在為保安全不用資料的傾向，是以政策上亟需明确要以發展促資料安全。同時，對創新帶來的安全問題要在有一定容錯的基礎上完善相關責任機制，既要創新，更要安全，發揮資料核心競争力。

最近，一位在某大平台工作的師妹向我訴苦。她說，她的工作需要公司内另一個部門的資料支援，但是該部門拒絕了她們部門的請求。原因是，隻要資料離開了本部門條線，即便是在同一公司内，也會擔心資料使用導緻的資料安全問題，而《資料安全法》提及的責任該部門承擔不起，索性就不給了。她當然知道資料安全很重要，但她的苦惱是，沒有資料，自己部門的業務怎麼推進？

是不是不用資料，就能保護個人資訊和資料安全？中國要發展數字經濟，這個問題就不能回避。

資料要不要用起來？當然要用。中國的發展戰略對這一問題的态度是明确的。2020年釋出的《中共中央 國務院關于建構更加完善的要素市場化配置體制機制的意見》(以下簡稱《意見》)，明确了資料是新的生産要素。在過去數年間，全球資料量爆發式增長，而中國将成為世界上資料資源最豐富的國家。根據Statista的統計，2016至2019年的全球資料量分别為18ZB、26ZB、33ZB、41ZB(1ZB等于10萬億億位元組)；而國際資料公司(IDC)的白皮書認為，到2025年中國資料量将為全球最大，以48.6ZB的規模，占全球比重的27.8%。如果能将如此龐大的資料資源善加利用，其作為生産要素的價值與土地、資本相比将毫不遜色。中央檔案明确提出要加快培育資料要素市場，推進政府資料開放共享，提升社會資料資源價值，這表明加快資料利用不僅是中國的優勢，也帶有緊迫性。

但是，使用資料這個硬币的另一面是，資料風險如影随形。事實上，目前市值最大的蘋果、微軟、亞馬遜、Alphabet(谷歌)、Meta(臉書)，他們的發展曆程中都不乏資料安全事件。例如，根據網站firewalltimes.com的統計，2021年8月，微軟因第三方公司錯誤配置導緻3800萬條記錄被洩露；2021年9月，一個名為Pegasus(飛馬)的間諜軟體感染了iPhone和其他蘋果裝置，該間諜軟體會記錄電話和資訊，甚至在使用者不知情的情況下打開裝置的攝像頭和麥克風；2021年10月，黑客将亞馬遜旗下的流媒體平台Twitch上125GB的檔案洩露給4chan，而此前數年亞馬遜有多起員工售賣客戶資料、以及第三方公司賄賂員工以獲得資料或者打擊競争對手的事件；谷歌的資料安全問題主要是出在Google+上，如2018年11月的更新産生了一個API(應用程式程式設計接口)錯誤，暴露了5250萬個Google+賬戶的資料；而臉書在2021年4月也發生逾5.3億使用者的個人資料在網上論壇洩露事件。也就是說，資料安全和資料使用之間存在權衡，即便是技術先進的大公司，也沒有辦法完全避免資料相關風險。

那麼，雪藏不用，是不是資料就最安全？事實上，為了保護資料安全而雪藏資料，反而可能是最不安全的安排。至少有如下幾個原因：

第一，如果資料豐富的企業不使用資料，就無法了解資料特征，就不知道資料的缺點、弱點在哪裡。孫子兵法所說的“知己知彼，百戰不殆”，不使用資料，可能連“知己”都做不到，有效防範攻擊也就無從談起。

第二，不使用資料不利于發揮資料豐富企業的自身資料優勢，甚至是放棄了核心競争力。大資料的優勢，不僅在資料量大，也在于次元豐富。資料豐富企業的核心競争力在于通過整合共享不同次元的資料，實作大資料的高維優勢。如果一家大企業内部對《資料安全法》的了解，都導緻人為構築企業内部不同部門之間資料的共通共享，那麼大資料變得支離破碎，資料豐富企業不使用資料，屬于“自廢武功”。

第三，不使用資料難以“知彼”，無法通過實戰學習應對攻擊的措施，并作出有力防範。在“魔高一尺，道高一丈”的鬥争過程中，無論是平台企業還是監管者，都需要通過處理各類安全事件來學習并獲得經驗，進而更能防範未來的安全事件。例如，臉書5.3億賬戶洩露事件的發現者Alon Gal披露了資料售賣過程：2020年初起就有犯罪分子以3萬美元的售價出售5.3億個賬戶資料；之後買家進一步以更低的價格轉手賣出；這樣價格越來越低，直至2021年變成免費洩露。追查資料洩露的原因發現，由于臉書沒有對API實施适當的限制，臉書的聯系人導入功能使黑客能夠在每個API查詢中導入多達5000個電話号碼，并看到與查詢的電話号碼相對應的賬戶。這導緻黑客通過列舉世界上所有的電話号碼對臉書資料庫作查詢的方法，獲得了5.3億使用者的資訊。那麼，為什麼臉書的API會有這個疏漏呢？追究更深層次的原因發現，要讓平台保持快速成長的态勢，臉書就要盡量通過使用者來獲得更多他們的朋友的資訊，而這為黑客獲得更多資訊提供了可趁之機。

上面的例子表明，資料風險也帶來了寶貴的學習機會。無論是企業還是監管者，通過對資料風險事件的梳理，可以對資料被出售的方式、資料風險犯罪手法和企業發展政策等方面的問題均有更全面的了解。這些資訊都是未來防範新的風險事件的抓手。

第四，即便不使用資料保障了資料安全，但有資料生産要素卻不運用的代價是無法通過發展擷取數字紅利。如果企業内部、企業和企業之間、企業和政府相關部門之間無法有效共通共享資料，那麼保護資料安全的初衷可能帶來資料無法使用的結局。北京大學國發院副院長黃益平在《應加強而不是削弱平台經濟創新能力》一文中列舉的，印度新興獨角獸公司數量已經超越中國，成為僅次于美國的第二大國的現象，再次提醒我們，資料生産要素如果沒有利用好，将不利于中國數字經濟發展大局，并最終導緻中國平台企業失去國際競争力。

那麼，到底應該怎麼保障資料安全？事實上，無論是《意見》還是《資料安全法》，指出的方向都是“以發展促安全”，而不是“為安全不發展”。例如，《意見》強調了要“加強資料資源整合和安全保護”。通讀之下可以看出在安全的基礎上充分運用、進而充分盤活資料資源價值，是對待資料這一生産要素的大方向。而《資料安全法》第十三條明确發展和資料安全之間的關系是“國家統籌發展和安全，堅持以資料開發利用和産業發展促進資料安全，以資料安全保障資料開發利用和産業發展”。第七條也明确，“國家保護個人、組織與資料有關的權益，鼓勵資料依法合理有效利用，保障資料依法有序自由流動，促進以資料為關鍵要素的數字經濟發展。”是以，對《意見》、對《資料安全法》的了解，都不應泛化成為不使用資料。

究竟應當如何實作以發展促安全呢？培育市場、完善制度、發展風險可控的資料、開發共享工具是重點。當然，要系統化實作以發展促安全目标，可能需要成立一個高規格的資料治理委員會，統籌資料政策，包括制定資料生産要素的交易範圍、算法治理和個人資訊保護與資料安全等方面的指南；執行資料牌照的申請、稽核、發放、限制使用和吊銷，并知道相應資料安全問題的應對措施。

例如，資料安全中的常見問題是資料被洩露或者濫用。這一問題的産生與資料特征分不開。資料作為準公共品的非競争性和部分排他性等特征，導緻資料産品存在價格趨于零和确權難、交易不積極等問題；這讓傳統的先确權再交易的方式不完全适用于資料産品，進而存在資料供給不足的問題。解決問題的一個途徑，是推動公共資料有序開放共享和安全利用，使資料需求方無需或僅支付成本價格，進而降低交易成本和合規成本。目前，地方層面已在探索出台公共資料條例。增加更多公共資料，也能讓《資料安全法》第三十二條“任何組織、個人收集資料，應當采取合法、正當的方式，不得竊取或者以其他非法方式擷取資料”更容易落地。

又如，随着移動網際網路和雲計算技術的迅猛發展，越來越多的資料在雲環境下進行存儲、共享和計算，雲環境下的資料安全問題也成為熱點。從技術上解決安全問題，實作“資料可用不可見”，一種思路是采用基于密碼算法及協定的隐私保護技術，另一種思路則是建構可信執行環境(Trusted execution environment，TEE)，實作基于硬體安全的記憶體隔離的安全計算，以解決上述隐私保護計算的實作依賴于大量複雜計算的問題。

再如，資料安全和隐私保護的挑戰中，防止使用者資料被濫用甚至被出售的問題，可以通過推動算法審計來緩解。可以要求平台明确對不同利益相關方的由算法所展現的利益配置設定機制，并要求平台報告對算法訓練和算法評估及選擇中用到的資料來源和品質、算法預測或優化目标、算法使用的技術、算法運作效果等。通過對算法的評估，在風險到來之前對于平台企業算法的安全性有更全面的掌握。

最後，以發展促資料安全，在激勵機制上，需要有一定的容錯率，但需要從機制上明确相關主體責任，盡量避免資料安全漏洞和風險。不能以保障資料安全為由而固步自封，也不能因鼓勵創新而疏于監管機制建設和模糊責任擔當。隻有這樣，才能既發揮資料優勢，又讓中國數字經濟的發展成為國際競争力的重要展現和保障。(中新經緯APP)

本文由中新經緯研究院選編，因選編産生的作品中新經緯版權所有，未經書面授權，任何機關及個人不得轉載、摘編或以其它方式使用。選編内容涉及的觀點僅代表原作者，不代表中新經緯觀點。

責任編輯：宋亞芬