按照“有基础、有场景、有需求”的原则，结合各行业发展实际，《“数据要素×”三年行动计划（2024—2026年）》（以下简称“行动计划”）选取了现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域作为重点推进，到2026年底，打造300个以上示范性强、显示度高、带动性广的典型应用场景。

当重点行业加快数据价值释放的同时，如果数据安全保障措施无法及时跟进，数据要素也会面临愈发严重的安全威胁。“行动计划”提出的四项基本原则之一便是数据安全，要求“坚持把安全贯穿数据要素价值创造和实现全过程，严守数据安全底线。”数据要素安全是多方面的，包括存储安全、流转安全、隐私问题、法律规范、数据跨境等等，本文主要从其中的数据要素流通方面探讨一下相关问题。

1.数据要素流通的主要形态

数据流通是数据要素价值释放的核心环节，按照数据要素流通形态可以简单分为原始数据包直接流通、使用API接口流通、“数据可用不可见”（隐私计算）等，其中使用API接口流通是相对成本最低也是最为便捷的数据要素流通形态。

原始数据包直接流通。我国在数据要素方面的“私法”体系不够健全，数据确权问题依旧存在，使得该种流通形态存在较高的风险，难以保证数据所有者的有效权益。同时该种流通形态极易造成数据要素的过度使用，具备一定的法律风险，当然本流通形态同样面临着极为严重的隐私问题。

使用API接口流通。API接口就像是两个应用之间的桥梁，实现应用之间的数据流动与共享，该种模式的优点是成本相对较低，大部分应用有现成的API接口供使用。其带来的风险也是显而易见的，API接口作为数据传输的“桥梁”，同样容易受到外来攻击及由于配置不当造成的数据过度调用。

“数据可见不可用”（隐私计算）。隐私计算是在不暴露数据本身给对方的前提下，让对方实现数据价值的挖掘。其原理是对方预先将编辑好的数据挖掘模型写入隐私计算系统，数据所有者负责将数据输入系统，系统会依据模型自动对数据进行计算处理并输出结果，实现数据价值的输出。其优点是整个过程数据始终未暴露，数据可控性更强，安全性更高。缺点是对人员技术要求高、对系统性能要求高，整个方案体系更重、成本更高，成熟的落地案例相对更少。

2.桥梁攻击与API接口安全

“桥梁攻击”在军事领域主要目标是截断对方的军事运输，如电影《水门桥》。API接口作为连接两个应用之间的桥梁进行数据的调用、传输，同样面临来自攻击者的集中式攻击，不同点在于在API安全领域的主要目标是通过“桥梁攻击”非法获取对方的数据或者渗透进入对方体系内部。其共同特点均为攻击对方“要害部位”，要害部位的攻击往往是牵一发而动全身。

得益于使用API接口流通的便捷性、数据相对可靠性及相对更低的成本等特点，使用API接口流通依旧是最主要的数据流通形态，API接口安全能力在一定程度上会促进数据要素价值的释放。实际上，通过攻击API来破坏信息系统和窃取数据，已成为数字时代黑产活动最集中的方向之一。

3.API接口安全能力建设实践

“网络安全应与信息化同步规划、建设和运营”是一种理想化的信息化建设步骤，数据安全服务商欧美av 曾做过统计，在实际操作中，由于责任人的安全意识及经费等原因，安全建设往往是滞后的，更多的是配合基本的网络安全能力，先期完成业务系统的搭建，回头再逐步完善的相关的安全问题，API的安全与管理问题更甚。尤其是API接口一般涉及到两个或多个程序，其安全责任划分往往同样会给安全建设带来一定的阻力。API接口安全管理建设的首要任务是明确责任划分，然后再从技术手段完成具体的方案建设。

1) 规范API接口编码及安全能力设计。基于威胁建模进行API设计，在API开发阶段就整合安全控制体系编写，强化API自身内在的安全能力，这是比较理想化的一种规避API风险的措施，真正做到“安全同步”。遗憾的是，目前企业已有的大部分API资产内在安全能力较弱，需要第三方的安全基础设施强化其安全能力。

2) 构建持续、动态的识别能力。借助于通过主动及被动方式理清单位内部存在的API资产信息，并对各API资产进行分类，以API资产清单为依据规划重点API资产的防护措施建设。这个过程是持续的一个状态，贯穿整个API管理生命周期，随着新的API的上线及旧的（及影子资产）API的下线，API资产清单也应及时的做出更新。

除API资产本身的识别外，需要同步识别流经API接口的数据信息，依据预置的数据分类分级原则，对其中的敏感数据进行自动化处理，部分特殊数据类型应该默认自动拦截数据的输出，解决可能存在的API接口数据滥用的问题。

3) 构建内治、外防的安全防护体系建设。API接口威胁来自内部威胁及外部攻击两部分，其中内部威胁主要是由于配置不当导致的，如身份认证体系不完善、敏感数据流出控制不足、访问控制配置不当及系统本身存在漏洞等。外部威胁主要是指的外来攻击，如SQL注入、DOS攻击等。借助于第三方安全基础设施强化API接口可能存在的安全弱点，强化API接口抵御外来攻击的能力，同时可引入第三方测评机制，客观的评测API接口安全现状。

4) 建立持续、及时的威胁响应机制。有条件的企业应建立专业的网络安全保障团队，实时关注可能爆出的漏洞信息及威胁预警，做到快速响应、及时处置，做到“有事件，无事故”。没有条件的企业，可以和专业的安全服务商保持“勤沟通”，借助外部力量，及时响应、处置本企业可能存在的安全威胁。

4.我国数据要素市场的机遇与挑战并存

我国目前数据要素价值化阶段数据安全能力建设短板明显，企业面临着“数据想共享创收益，却又不敢共享”的尴尬局面。数据安全应该成为数据要素价值化的基石，而不应该是枷锁，数据安全服务商与数据所有者应本着“安全服务业务”的价值理念完善、落地数据安全体系建设，少一些利益纠葛，少一些假大空，多一些业务数据保障。

2024年开年以来，数据要素市场改革发展正快马加鞭，国家数据局及各地省级数据局先后挂牌成立。2024年也是“行动计划”的开启之年，数据要素市场有望迎来爆发式增长。2024年欧美av 将持续聚焦数据安全领域，在“一英尺宽的领域做到一英里深”，持续在数据安全领域发力，和众多安全服务商共同守护数字中国。