周园 王涛 曾海燕
滁州学院 计算机与信息工程学院 安徽 滁州 239000
数字经济是这样的一种新的经济形态,它是以数据资源为核心要素,以现代信息网络为主要载体,以信息通信技术的综合应用和各种要素的数字化转型为重要驱动力,促进社会的团结、公平和高效[1]。数字经济的迅猛发展、广度扩散和前所未有的深刻影响正在推动生产方式、生活方式和治理方式发生深刻变化。目前,数字经济已成为重构全球经济要素资源、重塑全球经济结构、变革全球竞争格局的关键性的力量。
数字经济其核心是数据。数据量的增加,促使大数据相关技术应运而生。随着大数据技术应用的蓬勃发展(中国大数据产业规模的增长如图1所示),对数据安全的威胁在同步快速上升。随着近些年“互联网+”行动的实践,大数据会加快从Internet领域渗透到其他的不同的领域。数据本身的安全威胁也会随之深入各行各业。用户信息泄露、黑客攻击频发等数据安全事件再次为我们敲响了数据资源安全严峻挑战的警钟。
图1 中国大数据产业规模
在这样的形势下,挑战与机遇共同存在。面对新的数据安全的挑战,我们要做的是让数据安全与经济社会发展并重,建构我国数据安全管理的钢铁长城,保卫我国的数据主权和人民的数据隐私。
通过对大数据相关文献的调查,我们获知大数据目前有着比较公认的定义。Hu等人认为大数据指的不仅是数据量大,还包括多样性及速度等其他特征[2]。美国国家标准与技术研究院(NIST)对大数据进行相关定义如下:大数据指的是数据的数量、数据采集的速度和数据的表示,限制了使用传统关系数据库方法进行有效分析的能力。因而需要使用具有良好可伸缩性的新方法来有效地处理大数据[3]。
综合以上定义,目前认为大数据具有5个特征,即5V:价值密度相对低(Value)、处理速度要求快(Velocity)、数据类型各种各样(Variety)、数据量非常大(Volume),以及新提出的特征,即准确性要求较高(Veracity)。这些特征是评判大数据性能的指标,很多针对大数据技术及其分析的研究[4-6]也利用到了5V特征来对大数据的质量进行评判。
工信部最近发布了《工作指引》,指出数据的安全风险信息指的是通过检测、评估、收集、授权监控等方式,获取的数据的安全风险,包括但不限于数据泄露、数据篡改、数据滥用、非法传输、非法访问、异常流量等数据安全风险[7]。基于此,可以大体归纳一下目前大数据安全面临的形势。
首先,由于数据基础设施经常受到攻击,数据泄漏、丢失、篡改等安全风险增加。数据中心和移动智能终端承载着大量重要的业务数据和用户个人信息,其安全状况日益突出。然而,近年来,针对IDC的攻击不断增加。2014年12月,阿里云表示遭遇了全球最大的DDoS攻击。2014年,被安全企业监控的恶意程序感染的安卓用户达到3.19亿,平均每天感染的恶意程序数量达到87.5万。图2为网络犯罪的几种基本类型。
图2 网络犯罪的基本类型
然后,随着数据需求的日趋强烈,导致数据的开放性、共享性与数据安全形成矛盾。随着智慧城市的建设和发展以及城市化和城市化融合的深化,经济和以人为本的数据开放共享需求日益强烈。例如,交通、旅游和其他机构需要人口分布和流动数据来优化服务。商业客户需要用户行为特征数据,为产品定制和精准营销提供决策支持,但这都会导致严重的数据安全问题。当前,数据资源开放共享缺乏全面有效的管理和安全保障,国家数据资源的开放共享和安全保护成为长期存在的矛盾。
同时,旺盛的数据需求,导致地下数据交易活动猖獗,需要长期、大力治理。在利益链条的驱动下,非法收集、盗窃、贩运和使用用户信息的行为日益猖獗。中国用于用户信息转售的地下产业链总规模估测已超过100亿。为防控黑客地下产业链,工信部开展了专项行动,取得了一定成效。
最后,数据安全还面临许多新的挑战,如技术手段的多样化、所涉及的链接增加以及更大的隐蔽性。数据跨境流动也使得国家的数据监管机制面临深层次挑战。互联网及移动数据,在全球各个地方的无障碍流动已成为经济增长、创造就业和社会福利的重要推动力。与此同时,这种数据跨境流动也日益成为对数据主权、知识产权和公民数据隐私的重要威胁。因此,数据治理还有很长的路要走。
全球各个国家对数据安全重要性认识已经得到加深。世界主要国家在法律法规、战略、政策、技术手段、标准评估等方面开展了数据安全保障实践,各国将数据安全作为国家战略的重要组成部分,并分别解释了各自的数据安全政策。
由于跨境数据流动可能导致国家关键数据资源流失,各国高度重视数据跨境流动监管的国际问题。美国颁布了《国家网络安全保护法》,积极推动颁布《网络安全信息共享法》,并敦促私营企业与政府共享网络安全信息。欧盟通过《一般数据保护条例》(GDPR)建立了严格的个人数据保护法律框架,采取了将主权内化于私权的方式间接保护个人数据安全,并在此框架下力图推进数据的跨境流动,达成二者之间的平衡。俄罗斯将数据本地化作为基本原则,要求数据回流,通过不断地修正和颁布法令加强对数据流动的管控。不过,当前时间仍然缺乏公认的标准规则和国际规范来指导数据跨境流动的监管。
全球各国的数据安全技术涵盖数据收集、存储、挖掘和发布等关键环节。它们具有保护数据安全的通用技术手段,如传输安全、SSL/VPN技术、数字加密和数据恢复技术,并得到广泛应用。尽管如此,更多的国家仍在努力开发新的数据安全技术。例如,基于生物特征的身份认证和强制性访问控制技术,以及基于日志、数字水印和其他可追踪技术的安全审计。此外,数据防泄漏(DLP)技术、云平台数据安全等特殊数据安全防护技术的开发和应用也在加快。
各国与国际标准组织发布了与数据安全相关的标准和指南。国家标准与技术研究所(NIST)发布了用户识别指南。ISO/IEC制定了公共云计算服务数据保护控制措施的实用规则。
与此同时,数据安全评估和相关认证体系也日趋成熟。欧盟委员会对跨境数据流的安全评估已成为判断数据能否传输的重要依据。美国信托隐私认证已得到全球许多国家消费者的认可和信任。国际安全港认证、合同模板和公司约束规则等实践促进了数据安全保护措施的改进。
我国向来重视数据安全。国家各部委先后颁行《全国人民代表大会常务委员会关于加强网络信息保护的决定》[8]、《电信和互联网用户个人信息保护规定》[9]等规定和《中华人民共和国数据安全法》[10]等法律法规(表1为数据违法处罚规定(节选))。各部委颁行了与个人网络信息保护相关的相关数据保护法规,和相关的国家及行业标准,在国家和行业层面开展了以数据安全为关键点的专项安全检查。
表1 数据违法处罚规定(节选)
然而,总体而言,我国的数据安全立法仍然匮乏,数据保护技术仍然不足,数据安全保障能力有待进一步提高。因此,应从当前数据安全挑战的方面涉入。通过采取各种新的措施,构建更为全面的数据安全保障体系,努力提升数据安全保障能力。
那么面对如此严峻的数据安全形式,我们应该怎样应对呢?
完善我国数据安全标准和评价体系。大力推进数据安全新技术创新。协调制定数据安全相关标准。积极开展数据安全通用标准和专用标准的研发工作。加强数据安全测试评估,推动跨境数据流安全评估发展。
制定我们的数据安全保护战略,稳步前进。从国家安全和国家战略资源的角度思考。定位数据安全,加强数据战略规划。制定银行、电信等重点产业关键数据和用户信息跨境流动监管政策,推进公民个人信息境内存储监管立法。积极参与国际规则制定,提高中国在数据保护领域的话语权,从而为中国数据安全保护创造良好的国际环境。
根据国家战略,继续推进数据安全保护立法进程。加快数据安全立法,明确数据保护的对象、范围和责任,制定开放数据共享、跨境交通监管等法律法规。同时,将法律调整范围扩大到物联网、云计算等新技术应用场景的数据保护。
正是因为无穷无尽的新数据威胁,数据保护技术必须创新。新数据威胁的技术复杂性和隐蔽性越来越高,危害范围不断扩大。同时,在政策法律层面,应该健全数据保护法律体系保障信息安全,并且构建多层次的数据跨境流动监管秩序,加强国际合作,应对日趋严峻的数据安全形式。