大数据安全的挑战和对策
当前,随着互联网+、大数据、云计算、移动互联网等新技术兴起,特别是大数据技术创新应用,使我们具备了对海量数据的处理和分析能力,数据驱动的时代已经来临。与此同时,数据汇聚、数据分析等带来的安全问题也给我们带来前所未有的挑战。
从国家层面而言,大数据已经影响到国家安全的方方面面。比如,通过对人口健康数据、基因数据的挖掘可以得出国民身体健康的趋势,通过对移动支付的数据挖掘可以得出精准的国民消费等金融数据,通过对文化大数据分析可以得出国民的文化喜好和心理意识等,这些数据可能会影响到国家各个领域的安全。最近,脸书(Facebook)超5000万条数据被泄露分析,类似安全事件的发生给国家安全敲响了警钟。
从个人层面而言,首先,给不法分子盗取个人信息提供了可乘之机,由于利益驱动,个人信息的非法获取、交易和利用已经形成了完整的黑色产业链条。个人信息泄露,轻则造成财产受损,重则可能会影响到个人的身心健康和人身安全。其次,个人信息被广泛收集利用,包括我们的行为、习惯、社交关系等均被记录下来,最了解我们本人的已经不是我们自己,而是掌握这些数据的机构,通过分析个人信息,互联网商家可以给每个用户定向提供搜索结果,例如:屡禁不止的虚假广告、最近被爆出的“大数据杀熟”等现象。在目前相关数据保护法律和监管要求不明确、不完善的情况下,只通过社会责任感、行业自律来要求这些掌握着大数据资源的企业不作恶是很困难的。
数据只有在充分流动、共享和交换下才能实现其最大价值,国家高度重视数据资源在新时代背景下推动国家现代化建设的基础性、战略性作用,提出了“实施国家大数据战略”,“加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”因此,要用辩证的眼光看待大数据发展带来的正面和负面影响,一方面,最大限度促进大数据的发展,让大数据这座金矿创造更大价值;另一方面,加强数据安全保护,完善法律法规和标准,明确数据安全合规的边界,保证数据的合法利用。
目前,我国在数据安全保护方面已经出台或正在研究制定多项法律规章标准。包括:在2017年6月1日实施的《网络安全法》中提出了网络运营者“维护网络数据的完整性、保密性和可用性”、“防止网络数据泄露或者被窃取、篡改”等责任义务,以及个人信息和重要数据出境安全评估、网络信息安全保护等方面要求。2017年12月,网络安全国家标准《信息安全技术个人信息安全规范》获批发布,明确了个人信息保护中诸多技术细节和实操层面的要求。尽管这是一部推荐性国家标准,不具有强制力,但对收集使用个人信息的企业、机构等具有很强的指引作用。2017年7月,中央网信办等四部门组织评审京东商城、航旅纵横、滴滴出行、携程网、淘宝网、高德地图、新浪微博、支付宝、腾讯微信、百度地图等十款常用网络产品和服务的隐私条款,有力推动了企业加强对用户个人信息的保护。
基于目前我国大数据安全保护现状,以及大数据面临的安全风险挑战,笔者提出以下几方面建议对策:
一是进一步加强顶层设计。在《网络安全法》的基础上,完善数据安全保护的规章制度,明确数据在收集、使用、处理、交易、出境等各环节的安全要求。完善数据安全保护的网络安全国家标准,充分发挥标准的指导和引领作用,提升数据保护能力和水平。
二是加强重要数据基础设施保护。建立大数据分类分级安全保护机制,结合各行业数据的敏感程度、数据脱敏与否、数据可用性要求等对大数据资产进行分类分级,采取不同级别的安全防护策略。
三是落实网络安全责任制。明确大数据管理者和运营者的法律责任与义务。加强监督管理和风险评估,提升数据保护能力。对掌控大数据资源的单位进行大数据业务上线前安全评估,对重点产品进行在线安全监测,开展定期的检查和不定期的抽查,发现问题及时督促整改。
四是加强网络安全宣传。通过国家网络安全宣传周等活动,普及网络安全知识,加强网络安全教育,提升广大网民网络安全意识和防护技能,推动形成全社会重视数据安全的良好氛围。
(作者:公安部第一研究所 韩煜)
责任编辑:陈近梅