◎盘冠员
大数据被称作“未来的新石油”,已成为当今世界的基础性战略资源。我们生活的物理世界和网络世界每时每刻都在产生大量的数据,它已成为我们生活中不可分割的一部分。在大数据时代,数据安全不仅关系国家安全、公共安全,也关系到经济安全和个人隐私安全。因此,破解数据安全隐患,构建大数据安全保护体系迫在眉睫。
最近媒体曝光的美国脸谱公司数据泄露事件中,“剑桥数据分析公司”利用“脸谱网”用户数据,通过大数据分析技术对用户进行画像,精准投放宣传资料,在政治选举活动中对用户的判断和选择进行影响。这起事件表明,数据本身不产生社会安全问题,但是数据一旦泄露并被非法利用就会带来重大社会影响。因此,如果对大数据疏于监管,对数据安全保护不力,就会给国家安全、公共利益和个人隐私带来危害。当前,大数据安全风险主要体现在四个方面:
涉及国家利益和公共安全的大数据面临诸多网络安全威胁,数据主权容易受到侵犯。一是有国家力量支持的网络攻击入侵窃密活动成为首要威胁。二是由于我国尚未掌握大数据全部核心技术,因此,难以发现和证实境外大数据企业是否存在依托技术、产品、应用和服务等优势便利收集我国基础和重要数据的行为。三是因缺乏有效的数据安全监管手段,导致我国重要和敏感数据跨境流动存在不确定性安全隐患。
大数据网络基础设施和软硬件系统安全漏洞时有发现,存在被黑客利用来实施网络攻击破坏的高危风险。近几年,云服务、网络社交平台等大数据基础设施发展迅猛,数据高度汇聚集中,风险呈现聚合极化效应,一旦被攻破或控制,后果将十分严重。
近年来,境内外媒体披露曝光的重大数据泄露事件越来越多。从原因看,有的是数据系统被黑客入侵窃取,有的是内外勾结盗取,有的是人为操作失误导致。从渠道看,网络平台等地下黑市是主要交易途径。
目前,多种网络应用采取免费模式,消费者在享受“免费使用”的同时,也付出了个人身份、地理位置及行为轨迹等数据被滥采的代价,这些数据多被不法分子用于用户画像、推送商业广告,甚至是实施网络诈骗,进而牟取经济利益。此外,恶意利用社交平台技术和规则漏洞,收集、挖掘及使用个人信息情况也很突出。
欧美等信息化发达国家和地区高度重视大数据安全问题,并从立法、执法、技术和合作等方面加强安全保护。以近期立法为例,今年5月25日实施的欧盟《通用数据安全保护条例》(GDPR),围绕个人数据保护,明确了个人数据收集处理的基本原则、数据主体的权利和数据控制者、处理者的义务以及个人数据跨境流动的规则,创设了大数据时代个人隐私保护的新制度,具有全球性影响;此外,为增强对跨境存储数据的访问能力,今年3月23日美国总统特朗普签署了《澄清境外数据合法使用法案》(又称云法案),赋予美国执法机构收集美企业境外存储数据的法律权力。
为构建适应大数据特点的安全保护体系,要处理好三个“关系”:一是产业发展与政府监管的关系。谷歌前CEO施密特认为,政府要在监管和创新之间找到平衡。通过政府监管,有效应对数据安全风险挑战,促进大数据产业健康有序发展。二是数据安全与资源共享的关系。数据安全保护既要有利于数据资源共享,促进数据经济发展,又不能让数据风险演化为社会政治和公共安全风险。三是公共安全利益与个人信息保护的关系。个人信息具有公共管理价值,在用于维护公共安全利益时要注意保护好个人隐私安全。着手构建好四个“保护”:
(1)法律政策保护。一是立法完善。加快构建全面系统的数据安全保护法律体系。以已出台的《网络安全法》为基础框架,在《关键信息基础设施安全保护条例(意见征求稿)》《网络安全等级保护条例》等相关配套法规中增加数据安全保护内容。建议制定数据安全保护法,作为数据安全保护的基本法,明确国家基础和重要数据、公共利益数据及个人隐私数据等不同数据的安全管理制度,明确数据主体以及数据控制者、处理者和使用者的权利义务和法律责任,明确数据收集、存储、处理、使用、开放、销毁、交易和跨境流动等各个环节安全保护的法律要求,确保数据整个生命周期的安全。二是政策跟进。立法需要较长过程,与大数据安全保护需求相比,显得有些滞后。因此,建议及时制定出台数据安全保护相关政策文件。如数据安全管理、关键敏感数据保护、数据跨境流动安全保护、数据安全保护人才培养、数据安全产业扶持及数据安全技术研发等方面的政策。三是标准指引。通过制定实施国家相关行业强制性或推荐性技术标准,推动数据安全保护技术规范的落实。
(2)监管执法保护。一是完善监管机制。建议明确相关职能部门的监管边界,建立协作配合机制,加强重要情况的沟通及信息共享,形成监管执法合力。二是探索有效的监管方式。围绕数据全生命周期,在数据的采集、存储、传输、使用、开放及交易等各个环节探索监管办法。三是依法严打犯罪,清理整治和依法查处违反数据安全保护的各种违法违规行为。加大打击黑客、网络诈骗及侵犯公民个人隐私等违法犯罪案件的力度,形成有效震慑。
(3)安全技术保护。一是运用防护监测技术抵挡外部攻击。既要落实安全防护技术,也要运用网络安全监测技术手段,加强安全技术监测,及时发现处置外部网络攻击入侵。二是强化审计监督技术,防止监守自盗。建议强化用户访问、使用数据的安全审计技术和授权功能,加强日常安全巡查和监督检查,防止“内鬼”与运维人员利用工作和服务便利盗卖数据。三是研发运用新型技术扩大保护范围。重点是安全防范、监测预警、追踪溯源和数据加密、解密、脱密、备份与恢复、审计、销毁及完整性验证等数据安全技术的研发及运用。
(4)社会力量保护。一是明确网络企业和机构履行主体防护责任,采取有效措施防止数据泄露和非法利用。二是相关社会组织要指导大数据行业加强行业自律和规范。三是网络用户要增强数据安全与隐私保护意识,掌握个人信息防护技能,积极举报数据违法违规和犯罪行为。