数据是信息化时代重要的生产要素和社会财富。大数据被称作“新型石油”,已成为当今世界的基础性战略资源。
大数据时代,国家之间博弈空间、方式被重新定义,经济社会运行模式受到冲击,国家主权和安全利益面临新挑战。大数据时代,人们的思维理念需要更新,社会治理架构和模式需要改变。谁掌握大数据,谁就能在未来竞争中占据优势、掌握主动。
公安部网络安全保卫局处长盘冠员
党中央、国务院高度重视大数据发展应用,做出一系列重大战略部署。2015年8月,国务院印发《促进大数据发展行动纲要》,全面部署大数据发展应用;2015年10月,党的十八届五中全会审议通过《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》,提出“实施国家大数据战略,推进数据资源开放共享”;2016年12月, 国务院印发《“十三五”国家信息化规划》,提出“建立统一开放的大数据体系”;2017年10月,党的十九大报告明确提出要推进大数据和实体经济深度融合。2017年12月,中共中央政治局就实施国家大数据战略进行第二次集体学习,习近平总书记强调“推动实施国家大数据战略,加快建设数字中国”;2018年4月,全国网络安全和信息化工作会议对包括大数据产业在内的信息化发展战略进行全面部署。
大数据时代,数据安全面临诸多风险挑战。美国脸谱公司数据泄露事件中,“剑桥数据分析公司”利用脸谱网用户数据,通过对用户的大数据分析,对用户进行画像,精准投放宣传资料,影响选举活动。事件表明,如果对大数据疏于监管,对数据安全保护不力,会对国家安全、公共利益和个人隐私带来危害。未来,大数据与人工智能深度融合,将产生不可低估的能量。数据本身不产生安全问题,数据泄露并被非法利用才带来安全问题。数据安全关系国家安全、公共安全、财产安全和个人隐私安全。
1.国家基础和敏感数据安全风险突出。涉及国家利益和公共安全的大数据面临网络安全威胁。有国家背景的网络攻击入侵窃密活跃。境外企业和机构依托产品、技术、应用、服务等渠道收集我基础数据和敏感信息。重要和敏感数据跨境数据流动缺乏有效安全监管。
2.大数据基础设施面临安全威胁。网络软硬件系统安全漏洞时有发现,大数据基础设施面临黑客攻击破坏的高危风险。云服务、网络社交平台等大数据高度集中,风险呈现聚合极化效应。
3.非法泄露和非法买卖数据活动猖厥。近年来,媒体披露曝光的重大数据泄露事件越来越多,有的是系统被黑客入侵窃取,有的是人为操作失误导致,有的是内外勾结盗取。境内网络大数据黑市买卖交易猖厥,有报告称2017年黑市数据交易额估算达500亿元人民币。
4.个人隐私安全面临风险。各种网络应用滥采滥用个人身份信息、生理特征、地理位置、活动轨迹等,这些数据被非法交易用于用户画像、推送商业广告。消费者从“免费使用”商业模式中受益,但这种“免费”服务是有代价的。此外,恶意利用社交平台技术和规则漏洞,收集、挖掘、使用个人信息情况也很突出。
大数据时代,各国从立法、政策、监管、技术、合作等方面加强对大数据安全保护。立法方面,今年5月25日实施的欧盟《通用数据安全保护条例》( GDPR,共10章91条 ),创设了大数据时代数据安全和个人隐私保护的新制度,具有全球性影响。媒体称,为规避该法,美国《洛杉矶时报》《纽约每日新闻》等媒体网站拒绝或暂时拒绝欧洲访客,屏蔽了五亿欧洲网民。《今日美国》甚至专门制作了欧洲版本。今年3月美国总统特朗普签署的《澄清境外数据的合法使用法案》( Cloud法案),赋予美国执法机构收集美企业境外存储数据的法律权力。
保护好大数据安全,首先要处理好三个关系:
一是产业发展与政府监管的关系。谷歌前CEO施密特认为,政府要在监管和创新之间找到平衡,因为这些规定往往会使现有的企业受益。通过政府监管,处理好数据安全风险挑战,促进大数据产业健康发展。二是数据安全与资源共享的关系。三是公共安全利益与个人信息保护的关系。“力争把风险化解在源头”、“不让经济风险演化为社会政治风险”
更重要的是,要加快构建“四位一体”全链条的数据安全保护体系。
一、法律政策保护。
(一)立法完善。以《网络安全法》为基础框架,加快制定完善数据安全保护相关配套法规,构建全面系统的数据安全保护法律体系。制定《数据安全保护法》,明确国家基础数据、公共利益数据、个人隐私数据等不同数据的安全管理制度,明确数据主体以及数据控制者、处理者、使用者的权利义务和法律责任。明确数据收集、存储、处理、使用、销毁、交易、跨境等各个环节安全保护的法律要求,确保数据整个生命周期的安全。
(二)政策跟进。制定出台数据安全保护相关政策文件。如数据安全管理政策,关键敏感数据保护政策,数据跨境流动安全保护政策,数据安全科研和人才培养政策,数据安全产业扶持政策,数据安全技术研发政策等。
(三)标准指引。通过制定实施相关国家、行业技术标准,推动数据安全保护措施的规范和落实。
二、监管执法保护。
(一)明确监管边界,完善监管机制。各职能部门各负其职,加强监督检查。同时建立协作配合机制,加强情况问题的沟通,形成监管执法合力。
(二)创新数据安全监管方式,不留监管空白。在数据资源的采集、传输、存储、使用和开放等全生命周期、各个环节形成有效监管。
(三)严格行政执法,依法严打犯罪。依法查处违反数据安全保护的各种违法违规行为。加大打击黑客犯罪、网络诈骗、侵犯公民个人隐私等犯罪的力度。
三、安全技术保护。
一是保护大数据基础设施安全。安全防护技术和安全技术检测都要重视。在落实安全技术防护措施的同时,建立网络安全监测技术手段,及时发现处置外部网络攻击入侵。
二是严防“内鬼”。加强授权用户访问使用数据的安全技术审计,防止“内鬼”利用工作之便盗卖数据。加强日常安全监控巡查、监督检查,防止运维人员利用服务便利窃取数据。
三是运用新型数据安全保护技术。重点是安全防范技术、监测预警技术、追踪溯源技术和数据加解密、脱密、备份与恢复、审计、销毁、完整性验证等数据安全技术的研发及应用。
四、社会力量保护。
(一)网络企业和机构履行主体防护责任,守网有责。
(二)相关社会组织加强行业规范和自律。
(三)网民用户增强数据保护意识,掌握个人信息防护技能,积极积极举报数据违法违规和犯罪行为。