加快构建“四位一体”的大数据安全保护体系

◎盘冠员

大数据被称作“未来的新石油”，已成为当今世界的基础性战略资源。我们生活的物理世界和网络世界每时每刻都在产生大量的数据，它已成为我们生活中不可分割的一部分。在大数据时代，数据安全不仅关系国家安全、公共安全，也关系到经济安全和个人隐私安全。因此，破解数据安全隐患，构建大数据安全保护体系迫在眉睫。

大数据安全面临的风险

最近媒体曝光的美国脸谱公司数据泄露事件中，“剑桥数据分析公司”利用“脸谱网”用户数据，通过大数据分析技术对用户进行画像，精准投放宣传资料，在政治选举活动中对用户的判断和选择进行影响。这起事件表明，数据本身不产生社会安全问题，但是数据一旦泄露并被非法利用就会带来重大社会影响。因此，如果对大数据疏于监管，对数据安全保护不力，就会给国家安全、公共利益和个人隐私带来危害。当前，大数据安全风险主要体现在四个方面：

1.国家基础和重要数据安全风险突出

涉及国家利益和公共安全的大数据面临诸多网络安全威胁，数据主权容易受到侵犯。一是有国家力量支持的网络攻击入侵窃密活动成为首要威胁。二是由于我国尚未掌握大数据全部核心技术，因此，难以发现和证实境外大数据企业是否存在依托技术、产品、应用和服务等优势便利收集我国基础和重要数据的行为。三是因缺乏有效的数据安全监管手段，导致我国重要和敏感数据跨境流动存在不确定性安全隐患。

2.大数据基础设施面临安全威胁

大数据网络基础设施和软硬件系统安全漏洞时有发现，存在被黑客利用来实施网络攻击破坏的高危风险。近几年，云服务、网络社交平台等大数据基础设施发展迅猛，数据高度汇聚集中，风险呈现聚合极化效应，一旦被攻破或控制，后果将十分严重。

3.非法泄露和买卖数据活动猖厥

近年来，境内外媒体披露曝光的重大数据泄露事件越来越多。从原因看，有的是数据系统被黑客入侵窃取，有的是内外勾结盗取，有的是人为操作失误导致。从渠道看，网络平台等地下黑市是主要交易途径。

4.个人信息安全面临风险

目前，多种网络应用采取免费模式，消费者在享受“免费使用”的同时，也付出了个人身份、地理位置及行为轨迹等数据被滥采的代价，这些数据多被不法分子用于用户画像、推送商业广告，甚至是实施网络诈骗，进而牟取经济利益。此外，恶意利用社交平台技术和规则漏洞，收集、挖掘及使用个人信息情况也很突出。

国外做法及启示

1.欧美大数据安全保护立法的启示

欧美等信息化发达国家和地区高度重视大数据安全问题，并从立法、执法、技术和合作等方面加强安全保护。以近期立法为例，今年5月25日实施的欧盟《通用数据安全保护条例》（GDPR），围绕个人数据保护，明确了个人数据收集处理的基本原则、数据主体的权利和数据控制者、处理者的义务以及个人数据跨境流动的规则，创设了大数据时代个人隐私保护的新制度，具有全球性影响；此外，为增强对跨境存储数据的访问能力，今年3月23日美国总统特朗普签署了《澄清境外数据合法使用法案》（又称云法案），赋予美国执法机构收集美企业境外存储数据的法律权力。

2.我国构建“四位一体”的大数据安全保护体系的途径

为构建适应大数据特点的安全保护体系，要处理好三个“关系”：一是产业发展与政府监管的关系。谷歌前CEO施密特认为，政府要在监管和创新之间找到平衡。通过政府监管，有效应对数据安全风险挑战，促进大数据产业健康有序发展。二是数据安全与资源共享的关系。数据安全保护既要有利于数据资源共享，促进数据经济发展，又不能让数据风险演化为社会政治和公共安全风险。三是公共安全利益与个人信息保护的关系。个人信息具有公共管理价值，在用于维护公共安全利益时要注意保护好个人隐私安全。着手构建好四个“保护”：

（1）法律政策保护。一是立法完善。加快构建全面系统的数据安全保护法律体系。以已出台的《网络安全法》为基础框架，在《关键信息基础设施安全保护条例（意见征求稿）》《网络安全等级保护条例》等相关配套法规中增加数据安全保护内容。建议制定数据安全保护法，作为数据安全保护的基本法，明确国家基础和重要数据、公共利益数据及个人隐私数据等不同数据的安全管理制度，明确数据主体以及数据控制者、处理者和使用者的权利义务和法律责任，明确数据收集、存储、处理、使用、开放、销毁、交易和跨境流动等各个环节安全保护的法律要求，确保数据整个生命周期的安全。二是政策跟进。立法需要较长过程，与大数据安全保护需求相比，显得有些滞后。因此，建议及时制定出台数据安全保护相关政策文件。如数据安全管理、关键敏感数据保护、数据跨境流动安全保护、数据安全保护人才培养、数据安全产业扶持及数据安全技术研发等方面的政策。三是标准指引。通过制定实施国家相关行业强制性或推荐性技术标准，推动数据安全保护技术规范的落实。

（2）监管执法保护。一是完善监管机制。建议明确相关职能部门的监管边界，建立协作配合机制，加强重要情况的沟通及信息共享，形成监管执法合力。二是探索有效的监管方式。围绕数据全生命周期，在数据的采集、存储、传输、使用、开放及交易等各个环节探索监管办法。三是依法严打犯罪，清理整治和依法查处违反数据安全保护的各种违法违规行为。加大打击黑客、网络诈骗及侵犯公民个人隐私等违法犯罪案件的力度，形成有效震慑。

（3）安全技术保护。一是运用防护监测技术抵挡外部攻击。既要落实安全防护技术，也要运用网络安全监测技术手段，加强安全技术监测，及时发现处置外部网络攻击入侵。二是强化审计监督技术，防止监守自盗。建议强化用户访问、使用数据的安全审计技术和授权功能，加强日常安全巡查和监督检查，防止“内鬼”与运维人员利用工作和服务便利盗卖数据。三是研发运用新型技术扩大保护范围。重点是安全防范、监测预警、追踪溯源和数据加密、解密、脱密、备份与恢复、审计、销毁及完整性验证等数据安全技术的研发及运用。

（4）社会力量保护。一是明确网络企业和机构履行主体防护责任，采取有效措施防止数据泄露和非法利用。二是相关社会组织要指导大数据行业加强行业自律和规范。三是网络用户要增强数据安全与隐私保护意识，掌握个人信息防护技能，积极举报数据违法违规和犯罪行为。