吕归亚、吕本富:把好数据安全关,关键在一“进”一“出”

近日,国家安全部发文披露,某境外企业通过与我国具有测绘资质的公司合作,以开展汽车智能驾驶研究为掩护,在我国内非法开展地理信息测绘活动。消息一经发布,引发了网民关于“谁是间谍”的猜想,极氪、特斯拉等公司迅速发文澄清,作出合规经营的承诺。

测绘数据的安全问题引起如此关注理所当然。数据资源对国家经济社会发展具有重要价值,而测绘数据更是与国土安全、军事安全、生态安全等国家安全重点领域息息相关。单看一个点的测绘数据可能没什么用,但如果测得上百万点的数据,就可以把点连成线、织成网,量变引起质变。这个连的过程,就是“绘”。绘制出的地图有等高线图、地质图甚至军事地图等多种表现形式,因此大多数国家对在本国开展测绘活动都有严格法律限制。

按照我国相关规定,在资质许可方面,个人不允许开展测绘工作,公司也需要申请测绘资质。比如手机内置的地图软件,因为多数手机厂商在国内并没有测绘资质,所以使用的是高德、百度等地图软件的数据。而在数据管理方面,根据自然资源部规定,智能网联汽车采集到的地理信息数据必须存储于境内,向国外转移需要严格的审核申请流程,不得非法出境。通告中的境外企业不仅涉嫌冒用资质盗测我国地理信息,还将数据非法传输出境,性质十分恶劣。

多数人对测绘数据的重要性缺少直观感受。事实上,测绘以及地图信息自古便有着重要的战略价值。冷战时期,苏联政府就对地理信息高度保密,苏联精确的地理数据掌握在军事地形测绘局手中,而公开发布的民用地图都经过了一定的处理或简化。英苏两国专家共同撰写的《苏联秘密地图》一书中就曾详细探讨苏联时期秘密地图和公开地图间的差异,如公开地图会故意在一些街道、河流和建筑物的位置上进行微调,有时甚至添加不存在的建筑物,或故意删减敏感设施的信息。这些“错误”有时非常细微,普通人难以察觉,但对军事规划或间谍活动而言,这些细微差异可能带来重大影响。

非法测绘造成的关键敏感数据外流,其危害在战争愈发数字化的今天远超过往。一方面,卫星在采集地面测绘数据方面存在诸多限制,如阴影、高度、大气等干扰,不足以绘制出精确地图。而地面测绘则不同,无论是依靠自动驾驶汽车上的高精度摄像头、雷达和超声波传感器等专业测绘设备获得的实时数据,还是来自移动设备的位置信息和行车记录等用户生成数据,都将使地图的精度大幅提高。如果这些信息未经审查和管理,可能会无意中记录和传输涉及军事设施、政府办公大楼、电力设施、通信网络中心等敏感地点与桥梁、隧道等基础设施的地理数据,造成敏感地点暴露在威胁中。

另一方面,技术发展也让非法测绘的隐蔽性和危害量级大大增加。如测绘用智能网联汽车,非法测绘设备可能隐藏在其他设备内部,难以察觉;而小体积、高存储量的载体也让单次外流即可泄露大量的敏感数据,造成巨大危害。

在大数据时代,数据收集的深度和广度得到显著提升,许多曾被忽视的数据如今已极具敏感性。这主要归因于现代技术能通过整合和分析大量数据,推断出极为精确的结论和信息。数据分析能力的提升使得原本不具备直接威胁的数据,如交通流量、商业活动等,经过复杂的模型推演后可能推算出国家的经济状况、社会运行模式以及战略弱点,对国家安全构成潜在风险。随着我国在自动驾驶、物联网等高度依赖数据的产业领域不断深耕,数据收集与管理的相关监督机制亟待落实。

要杜绝非法测绘数据外流的国家安全威胁,关键在于一“进”一“出”。“进”指的是继续强化现阶段已十分严格的测绘资质管理,重点针对类似这起事件中的冒名测绘等新手段,总结非法测绘打法并制定对策,把好准入关。“出”指的是严格督促涉数据企业落实数据保密管理与本地化储存,严抓非法数据流动。结合近年来各国的司法实践,数据安全合规有明显的从形式合规向实质合规迈进的趋势。新的阶段可采取引入数据安全管理认证、重点数据加密或屏蔽、内嵌追踪码等方式强化管理与追溯,锁死数据非法流动的渠道。

随着科技与产业的发展,数据的价值正不断刷新人们的认知。对于测绘、金融等各个方面的重要数据,从行业到有关部门都必须提起重视,建立起更严格更完善的安全和监管机制,防止数据滥采、滥用或外流造成的隐患。对于一般民众和中小型企业,也要绷紧数据安全这根弦,了解数据问题重要性,避免犯法而不自知,沦为协助海外企业非法采集数据的帮凶。(作者分别是奇安信集团职员,中国国家创新与发展战略研究会副会长)