加快構建“四位一體”的大數據安全保護體系

◎盤冠員

大數據被稱作“未來的新石油”，已成為當今世界的基礎性戰略資源。我們生活的物理世界和網絡世界每時每刻都在產生大量的數據，它已成為我們生活中不可分割的一部分。在大數據時代，數據安全不僅關系國家安全、公共安全，也關系到經濟安全和個人隱私安全。因此，破解數據安全隱患，構建大數據安全保護體系迫在眉睫。

大數據安全面臨的風險

最近媒體曝光的美國臉譜公司數據泄露事件中，“劍橋數據分析公司”利用“臉譜網”用戶數據，通過大數據分析技術對用戶進行畫像，精準投放宣傳資料，在政治選舉活動中對用戶的判斷和選擇進行影響。這起事件表明，數據本身不產生社會安全問題，但是數據一旦泄露并被非法利用就會帶來重大社會影響。因此，如果對大數據疏于監管，對數據安全保護不力，就會給國家安全、公共利益和個人隱私帶來危害。當前，大數據安全風險主要體現在四個方面：

1.國家基礎和重要數據安全風險突出

涉及國家利益和公共安全的大數據面臨諸多網絡安全威脅，數據主權容易受到侵犯。一是有國家力量支持的網絡攻擊入侵竊密活動成為首要威脅。二是由于我國尚未掌握大數據全部核心技術，因此，難以發現和證實境外大數據企業是否存在依托技術、產品、應用和服務等優勢便利收集我國基礎和重要數據的行為。三是因缺乏有效的數據安全監管手段，導致我國重要和敏感數據跨境流動存在不確定性安全隱患。

2.大數據基礎設施面臨安全威脅

大數據網絡基礎設施和軟硬件系統安全漏洞時有發現，存在被黑客利用來實施網絡攻擊破壞的高危風險。近幾年，云服務、網絡社交平臺等大數據基礎設施發展迅猛，數據高度匯聚集中，風險呈現聚合極化效應，一旦被攻破或控制，后果將十分嚴重。

3.非法泄露和買賣數據活動猖厥

近年來，境內外媒體披露曝光的重大數據泄露事件越來越多。從原因看，有的是數據系統被黑客入侵竊取，有的是內外勾結盜取，有的是人為操作失誤導致。從渠道看，網絡平臺等地下黑市是主要交易途徑。

4.個人信息安全面臨風險

目前，多種網絡應用采取免費模式，消費者在享受“免費使用”的同時，也付出了個人身份、地理位置及行為軌跡等數據被濫采的代價，這些數據多被不法分子用于用戶畫像、推送商業廣告，甚至是實施網絡詐騙，進而牟取經濟利益。此外，惡意利用社交平臺技術和規則漏洞，收集、挖掘及使用個人信息情況也很突出。

國外做法及啟示

1.歐美大數據安全保護立法的啟示

歐美等信息化發達國家和地區高度重視大數據安全問題，并從立法、執法、技術和合作等方面加強安全保護。以近期立法為例，今年5月25日實施的歐盟《通用數據安全保護條例》（GDPR），圍繞個人數據保護，明確了個人數據收集處理的基本原則、數據主體的權利和數據控制者、處理者的義務以及個人數據跨境流動的規則，創設了大數據時代個人隱私保護的新制度，具有全球性影響；此外，為增強對跨境存儲數據的訪問能力，今年3月23日美國總統特朗普簽署了《澄清境外數據合法使用法案》（又稱云法案），賦予美國執法機構收集美企業境外存儲數據的法律權力。

2.我國構建“四位一體”的大數據安全保護體系的途徑

為構建適應大數據特點的安全保護體系，要處理好三個“關系”：一是產業發展與政府監管的關系。谷歌前CEO施密特認為，政府要在監管和創新之間找到平衡。通過政府監管，有效應對數據安全風險挑戰，促進大數據產業健康有序發展。二是數據安全與資源共享的關系。數據安全保護既要有利于數據資源共享，促進數據經濟發展，又不能讓數據風險演化為社會政治和公共安全風險。三是公共安全利益與個人信息保護的關系。個人信息具有公共管理價值，在用于維護公共安全利益時要注意保護好個人隱私安全。著手構建好四個“保護”：

（1）法律政策保護。一是立法完善。加快構建全面系統的數據安全保護法律體系。以已出臺的《網絡安全法》為基礎框架，在《關鍵信息基礎設施安全保護條例（意見征求稿）》《網絡安全等級保護條例》等相關配套法規中增加數據安全保護內容。建議制定數據安全保護法，作為數據安全保護的基本法，明確國家基礎和重要數據、公共利益數據及個人隱私數據等不同數據的安全管理制度，明確數據主體以及數據控制者、處理者和使用者的權利義務和法律責任，明確數據收集、存儲、處理、使用、開放、銷毀、交易和跨境流動等各個環節安全保護的法律要求，確保數據整個生命周期的安全。二是政策跟進。立法需要較長過程，與大數據安全保護需求相比，顯得有些滯后。因此，建議及時制定出臺數據安全保護相關政策文件。如數據安全管理、關鍵敏感數據保護、數據跨境流動安全保護、數據安全保護人才培養、數據安全產業扶持及數據安全技術研發等方面的政策。三是標準指引。通過制定實施國家相關行業強制性或推薦性技術標準，推動數據安全保護技術規范的落實。

（2）監管執法保護。一是完善監管機制。建議明確相關職能部門的監管邊界，建立協作配合機制，加強重要情況的溝通及信息共享，形成監管執法合力。二是探索有效的監管方式。圍繞數據全生命周期，在數據的采集、存儲、傳輸、使用、開放及交易等各個環節探索監管辦法。三是依法嚴打犯罪，清理整治和依法查處違反數據安全保護的各種違法違規行為。加大打擊黑客、網絡詐騙及侵犯公民個人隱私等違法犯罪案件的力度，形成有效震懾。

（3）安全技術保護。一是運用防護監測技術抵擋外部攻擊。既要落實安全防護技術，也要運用網絡安全監測技術手段，加強安全技術監測，及時發現處置外部網絡攻擊入侵。二是強化審計監督技術，防止監守自盜。建議強化用戶訪問、使用數據的安全審計技術和授權功能，加強日常安全巡查和監督檢查，防止“內鬼”與運維人員利用工作和服務便利盜賣數據。三是研發運用新型技術擴大保護范圍。重點是安全防范、監測預警、追蹤溯源和數據加密、解密、脫密、備份與恢復、審計、銷毀及完整性驗證等數據安全技術的研發及運用。

（4）社會力量保護。一是明確網絡企業和機構履行主體防護責任，采取有效措施防止數據泄露和非法利用。二是相關社會組織要指導大數據行業加強行業自律和規范。三是網絡用戶要增強數據安全與隱私保護意識，掌握個人信息防護技能，積極舉報數據違法違規和犯罪行為。