庄嘉
编者按:大数据时代,数据安全的“脆弱性”逐渐凸显,数据泄露、监控、破坏事件频发,令用户隐私受到极大威胁。大数据安全防护俨然成为愈来愈紧迫的社会问题。设置数据安全防护的屏障,不仅要从源头上斩断数据泄露的利益链,完善信息安全防护的法律法规,亦需各级监管部门、企业和社会组织协同共治,促成对数据泄露的综合监管。
大数据应用的迅速崛起与数据的安全防护
随着“互联网+”的兴起,大数据应用逐渐步入人们的视野。诚如中国互联网协会理事长邬贺铨所言,“‘互联网+促使传统行业被逐步数据化,产生了巨量的连接和数据”。时下,世界正步入大数据应用的时代。《国务院关于印发促进大数据发展行动纲要的通知》《大数据产业发展规划(2016—2020年)》等一系列重磅政策的陆续出台,预示着我国越发重视大数据的开发与利用。据贵阳大数据交易所发布的《2016年中國大数据交易产业白皮书》,“我国的大数据产业市场在未来五年将保持高速增长。2016年年末,市场规模将达2485亿元。伴随各项政策的配套落实及推进,至2020年,我国大数据产业规模或达13626亿元的高点,大数据将在经济发展、社会治理、市场监管等诸多领域得到更广泛的应用”。
作为最早洞见大数据时代发展趋势的数据科学家,维克托·迈尔·舍恩伯格在《大数据时代》一书中曾预言,“大数据在未来商业应用层面有巨大的价值,人类生活可能被大数据主宰,但不能忽视其中的风险”。在我国,因数据安全问题引发的电信与网络诈骗、网络盗窃、敲诈勒索等违法犯罪案件及各种民事纠纷时有发生,“数据信息安全”已成为大数据时代下亟待破解的难题。
表1中一连串涉及数据安全问题的事件告诫我们:数据安全问题已经成为我国大数据发展的痛点!据中国青年政治学院互联网法治研究中心于2016年11月21日发布的《中国个人信息安全和隐私保护报告》,“超七成的受访者认为个人信息泄露问题严重;26%的受访者每天收到两条以上的垃圾短信;20%的人每天收到两个以上的骚扰电话;多达81%的参与调研者经历过熟知自己姓名、单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;租房、购房、购车等信息泄露后被营销骚扰或诈骗的高达36%……”。数据安全防护的缺失导致信息泄露已经达到了触目惊心的地步,因而引起民众的普遍关注和担忧。而就在2017年伊始,广东警方主办的“飓风1号个人信息泄露专案”“58同城简历数据泄露”等数据安全事件又警示我们:数据威胁就在我们的身边!
数据安全的监管困境
当前,我国网络空间正面临着前所未有的巨大挑战与威胁。尽管国内的大数据平台,数据、内容的供应商,政府相关职能部门愈发重视对数据安全的防护,开发了一些大数据安全产品,但作为新生事物的大数据安全产业还只是处于起步阶段。我国数据安全的监管层面主要存在两方面困境——
困境一:数据威胁的黑色产业链已形成,但技术壁垒滞后
当前,数据威胁事件的日益增多与地下黑色产业链的发展有着直接的关联。在数据威胁的黑色产业链中,存在着数据提供方、数据中间商以及数据购买者三个核心角色。大数据时代从某种意义上是通过大规模收集数据信息创造新价值的时代。而在黑色产业链的各方看来,这种新价值最直接的表现形式就是“直接的获利”。
在笔者看来,获利的数据来源主要分为两种。首先是内鬼倒卖数据。例如在2016年12月发生的“京东12G用户数据疑似泄露事件”中,卖掉9313条京东用户信息的3个前京东员工共非法获利近4万元。其次就是黑客利用系统漏洞获取数据。比如2017年3月爆出的58同城简历数据因遭黑客使用恶意爬虫软件而泄露,造成部分买家仅花费人民币700元就可买下全国简历的荒唐事件。
这从侧面印证了我国数据平台(如银行,房地产、保险、快递公司,P2P平台,网络卖家,电信、移动、联通运营商)掌握了大量的数据信息,但对于海量数据的管理存在盲区,令内鬼可轻易得手,从中牟利。另一方面,物联网、云计算等智能化发展趋势,造就了更为复杂的数据安全问题。我国数据平台的技术壁垒滞后,难以招架黑客的新型安全攻击方式,这就为黑色产业链的发展壮大提供了空间和土壤。
困境二:法制保障滞后,行业监管和社会监督缺位
在我国,对数据安全保护的法律法规不在少数。比如,《刑法修正案(七)》(2009年)增设了“出售、非法提供公民个人信息”“非法获取公民个人信息”的罪名。《刑法修正案(九)》(2015年)取消上述罪名,并以“侵犯公民个人信息罪”取而代之。《网络安全法》(2016年)则在第四章明文规定“网络信息安全”,对网络运营者提出明确要求,标明处罚标准……此外,银监会、工信部、保监会等监管部门亦对个人信息保护发布了不少规章制度。可见我国近年来在立法层面正逐步重视对数据威胁的规制。
但是,法律法规数量不少,却缺乏系统性、可操作性(如《网络安全法》无配套的司法解释及实施细则),在重要罚则环节上仍存空窗,造成现有法制难以契合实践需要。且目前的规定多为事后角度对数据威胁提供罚则保护,缺乏事前制约机制。一旦遭遇数据泄露,受害方需支付高额的维权成本,难以从根本上遏制数据信息的非法使用。正如中国青年政治学院互联网法治研究中心执行主任刘晓春所言,“刑法对侵犯个人信息的罪犯的量刑规定不高(一至两年的刑罚已算严惩),在实践中震慑力有限”。
与此同时,行业监管部门更重视运营商的绩效考核,对数据安全欠缺真正的监督。出现内鬼后,个人往往被追责,但所在企业未受严厉的连带责任追究,缺乏对企业追责的抓手。同时,我国尚无专门的数据信息协调、保护、监督组织,无法动员社会力量打击数据泄露、攻击的行为。由于缺乏专业的维权力量的帮助,受损方往往难以追责、要求停止侵害并获得赔偿。
构筑大数据安全防护三维体系
在大数据时代,数据安全本身恰恰是一个动态调整的过程,没有一招制敌的方案,必须紧跟时代步伐,多管齐下。
立法控制:从法律上斩断黑色产业链
在个人逐渐被数据化的时代,尽管我国于2016年底颁布了《网络安全法》,对数据采集、使用等方面做出明确规定,但是《网络安全法》在具体落实层面却遭遇到冷遇。全国人大代表、上海经济和信息化委员会副主任邵志清认为,“目前,公共数据资源主要集中在政府部门、公用事业单位和国有企业,数据开放程度不够。同时,现阶段金融、商贸、交通、医疗、先进制造、能源等行业缺乏应用。立法可以明确数据各类主体的责任义务,规范数据采集、流通与使用,保护数据产权、安全和隐私,采取数据分级管理的方式”。这些均需要相关司法解释或者实施意见予以真正落地。
未来企业对个人数据的使用限制将越来越多,政府数据立法开放和各地数据交易平台的建立让数据获取逐步纳入法制轨道。要想真正避免数据安全事件的关键,在于斩断侵犯数据信息的利益链,从法律上解决违法犯罪成本过低的顽疾。立足于法律修改、司法解释等形式,提高针对数据信息的违法犯罪成本,如此才能从源头上遏制买卖数据信息获利的现象。
技术控制:从技术上建立分级的数据安全防护系统
不管是数据被恶意代码破坏,还是被黑客监控,最終都使得安全问题落在了安全技术这个点位上。因此,从技术角度建立分级的数据安全防护系统才能应对众多黑客的新型攻击手段。中国工程院院士沈昌祥曾发表对建立分级安全防护的看法,他认为“一方面要通过由低到高(自主级、审计级、安全标识保护级、结构化保护级、访问验证保护级)多层次的数据防护体系建立分级管理;另一方面要采取多重防护体系,包括加大数据资源、环境、系统保护,加强处理流程控制,加强全局层面安全机制,加强技术平台支持下的安全管理。这样才能真正从技术上构建多层次、高质量的多重防御大数据防护体系”。
意识控制:从制度上夯实社会共治的监管体系
在我国,数据信息泄漏的源头精准地指向拥有信息的“有关部门和企业”。例如,网购收货地址对应的是“电商”,手机号码对应的是“移动、电信、联通等运营商”。诚然,不能保护信息,就无资格收集信息。自己手上的信息既是资源,更是责任。正如刘晓春所言,“要提升信息安全,单凭一己之力不够,需要监管部门、产业链各方通力合作,才能逐步遏制信息泄露带来的负能量”。
编辑:黄灵 yeshzhwu@foxmail.com