去年8月,國務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,總體部署大數(shù)據(jù)發(fā)展,并將健全大數(shù)據(jù)安全保障體系作為重要任務(wù)。在大數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源的今天,我國大數(shù)據(jù)安全卻面臨著嚴(yán)峻挑戰(zhàn):數(shù)據(jù)主權(quán)問題突出,政府、金融等領(lǐng)域關(guān)鍵數(shù)據(jù)泄露嚴(yán)重,開放共享與數(shù)據(jù)安全矛盾凸顯。
去年8月,國務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,總體部署大數(shù)據(jù)發(fā)展,并將健全大數(shù)據(jù)安全保障體系作為重要任務(wù)。在大數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源的今天,我國大數(shù)據(jù)安全卻面臨著嚴(yán)峻挑戰(zhàn):數(shù)據(jù)主權(quán)問題突出,政府、金融等領(lǐng)域關(guān)鍵數(shù)據(jù)泄露嚴(yán)重,開放共享與數(shù)據(jù)安全矛盾凸顯。目前各國政府紛紛出臺(tái)政策、采取措施,開展大數(shù)據(jù)安全保障實(shí)踐,為大數(shù)據(jù)發(fā)展保駕護(hù)航。我國該如何健全大數(shù)據(jù)安全保障體系,值得深思。
我國大數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)
數(shù)據(jù)主權(quán)問題突出。隨著世界各國對數(shù)據(jù)的依賴程度快速上升,國際競爭焦點(diǎn)從對資本、土地、資源的爭奪轉(zhuǎn)向?qū)?shù)據(jù)的爭奪,維護(hù)數(shù)據(jù)主權(quán)成為國家主權(quán)的重要內(nèi)容。當(dāng)前我國對數(shù)據(jù)的掌控力正面臨著不小的威脅。一方面,美國等國家利用其信息技術(shù)優(yōu)勢監(jiān)控我國網(wǎng)絡(luò),采取多種手段竊取我國核心要害部門機(jī)密信息,并從海量數(shù)據(jù)中挖掘我國社會(huì)、經(jīng)濟(jì)、軍事等重要情報(bào)信息,嚴(yán)重威脅我國國家安全;另一方面,隨著云計(jì)算等新一代信息技術(shù)的加速應(yīng)用普及,我國重要領(lǐng)域數(shù)據(jù)、公民身份數(shù)據(jù)等關(guān)鍵數(shù)據(jù)存儲(chǔ)在國外服務(wù)器上,這些數(shù)據(jù)有可能按照存儲(chǔ)國家的法律規(guī)定提供給該國國家安全等執(zhí)法部門,安全性無法得到保障。
關(guān)鍵數(shù)據(jù)泄露嚴(yán)重。政府、金融等重要領(lǐng)域和行業(yè)信息基礎(chǔ)設(shè)施承載著大量的業(yè)務(wù)數(shù)據(jù)和用戶數(shù)據(jù),近年來頻遭高強(qiáng)度、高復(fù)雜度的黑客攻擊,數(shù)據(jù)丟失和泄露事件時(shí)有發(fā)生,遭泄露數(shù)據(jù)規(guī)模大。例如,2014年12月,12306網(wǎng)站遭遇黑客“撞庫”攻擊,13萬用戶賬號(hào)、明文密碼、身份證、手機(jī)、郵箱等信息被泄露;去年4月,超30個(gè)省市社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等曝出高危安全漏洞,僅社保類安全漏洞就達(dá)5279萬條,數(shù)千萬人的個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息泄露;唯品會(huì)、當(dāng)當(dāng)網(wǎng)、國美在線等電子商務(wù)平臺(tái)更是黑客攻擊的重要目標(biāo),均曾遭遇過大規(guī)模信息泄露。
開放共享與數(shù)據(jù)安全矛盾凸顯。大數(shù)據(jù)具有巨大價(jià)值,但只有開放、讓數(shù)據(jù)真正流動(dòng)起來,才能釋放大數(shù)據(jù)的價(jià)值。美國、英國等國家政府已經(jīng)出臺(tái)了政府?dāng)?shù)據(jù)開放計(jì)劃,谷歌等企業(yè)也實(shí)施大數(shù)據(jù)開放項(xiàng)目。但在數(shù)據(jù)開放過程中,如何保護(hù)數(shù)據(jù)安全成為核心問題。由于缺乏大數(shù)據(jù)管理和安全保障機(jī)制,一些通信、互聯(lián)網(wǎng)企業(yè)出于政治、經(jīng)濟(jì)等各種目的,利用自身便利非法獲取并使用用戶信息。同時(shí),在利益的驅(qū)使下,針對網(wǎng)絡(luò)數(shù)據(jù)的非法收集、竊取、販賣和利用行為日漸猖獗,已形成黑色地下產(chǎn)業(yè)鏈,規(guī)模十分巨大。
各國政府建立大數(shù)據(jù)安全保障體系的主要舉措
將數(shù)據(jù)安全提升到國家戰(zhàn)略高度。2012年英國發(fā)布《開放數(shù)據(jù)白皮書》,明確要對個(gè)人數(shù)據(jù)進(jìn)行保護(hù)規(guī)范,提出設(shè)立隱私保護(hù)專家,執(zhí)行隱私影響評(píng)估機(jī)制等措施,并規(guī)定政府日常業(yè)務(wù)中收集的大數(shù)據(jù)可以開放,而個(gè)人數(shù)據(jù)不開放。2013年日本《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護(hù)的國家戰(zhàn)略。2014年美國發(fā)布《大數(shù)據(jù):把握機(jī)遇、維護(hù)價(jià)值》報(bào)告,提出發(fā)展大數(shù)據(jù)與安全保障的具體舉措。2014年,德國在《2014—2017年數(shù)字議程》中提出打造“數(shù)字強(qiáng)國”,并提出將出臺(tái)《信息保護(hù)級(jí)基本條例》加強(qiáng)大數(shù)據(jù)時(shí)代的安全保障。
圍繞數(shù)據(jù)主權(quán)加強(qiáng)法律法規(guī)建設(shè)。歐盟通過新版《數(shù)據(jù)保護(hù)法》,強(qiáng)調(diào)本地存儲(chǔ)和禁止跨國分享,歐洲法院根據(jù)此法,于2015年10月宣判歐美《安全港協(xié)議》無效。俄羅斯從2015年起實(shí)行新法規(guī)定,互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲(chǔ)在俄羅斯國內(nèi),禁止公民數(shù)據(jù)存儲(chǔ)在國外服務(wù)器上。巴西2014年通過《互聯(lián)網(wǎng)民法》,要求跨國互聯(lián)網(wǎng)公司在國外存儲(chǔ)巴西公民信息時(shí),應(yīng)作出承諾,遵守巴相關(guān)法律,以防這些信息被竊取。
制定以安全為前提的數(shù)據(jù)共享政策。2013年,奧巴馬簽署13642總統(tǒng)令,對聯(lián)邦大數(shù)據(jù)管理提出新準(zhǔn)則,在保護(hù)隱私安全與機(jī)密性的同時(shí),將數(shù)據(jù)公開化納入政府的義務(wù)范圍。2013年澳大利亞《公共服務(wù)大數(shù)據(jù)戰(zhàn)略》強(qiáng)調(diào)推動(dòng)公共行業(yè)利用大數(shù)據(jù)分析進(jìn)行服務(wù)改革的同時(shí)保護(hù)公民隱私。印度2012年批準(zhǔn)國家數(shù)據(jù)共享和開放政策,但同時(shí)列出非共享數(shù)據(jù)清單,包括保護(hù)國家安全、隱私、機(jī)密、商業(yè)秘密和知識(shí)產(chǎn)權(quán)等數(shù)據(jù)安全。
強(qiáng)化關(guān)鍵數(shù)據(jù)保護(hù)技術(shù)手段建設(shè),開展數(shù)據(jù)安全評(píng)估。圍繞數(shù)據(jù)采集、存儲(chǔ)、挖掘和發(fā)布等關(guān)鍵環(huán)節(jié),各國加快發(fā)展數(shù)字加密和數(shù)據(jù)恢復(fù)、基于生物特征等的身份認(rèn)證和強(qiáng)制訪問控制、基于日志的安全審計(jì)和數(shù)字水印等溯源、數(shù)據(jù)防泄露等技術(shù)手段。
美國、歐盟等還開展了數(shù)據(jù)安全評(píng)估工作,如美國TRUSTe隱私認(rèn)證得到全球很多國家消費(fèi)者的認(rèn)可和信賴,歐盟數(shù)據(jù)跨境流動(dòng)安全評(píng)估成為評(píng)判數(shù)據(jù)能否轉(zhuǎn)移的重要依據(jù)。
健全我國大數(shù)據(jù)安全保障體系的幾點(diǎn)思考
以維護(hù)數(shù)據(jù)主權(quán)為重點(diǎn),建立健全大數(shù)據(jù)安全法律法規(guī)。在維護(hù)數(shù)據(jù)主權(quán)方面,我國已出臺(tái)一些政策,如《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》中明確,黨政部門數(shù)據(jù)歸屬關(guān)系不變,敏感信息不出境。鑒于大數(shù)據(jù)資源的戰(zhàn)略地位,有必要建立和完善大數(shù)據(jù)安全法律法規(guī)體系,針對國內(nèi)數(shù)據(jù)的所有權(quán)、自由流動(dòng)、出境限制等問題,制定相應(yīng)的法律法規(guī),同時(shí)加強(qiáng)大數(shù)據(jù)開放共享的制度建設(shè),明確政府共享數(shù)據(jù)和非共享數(shù)據(jù)清單,對數(shù)據(jù)的收集使用和處理予以規(guī)范,切實(shí)保護(hù)大數(shù)據(jù)安全。
強(qiáng)化制度建設(shè),加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管。在大型數(shù)據(jù)中心、重點(diǎn)領(lǐng)域和行業(yè)信息系統(tǒng)深入落實(shí)等級(jí)保護(hù)制度,開展信息安全風(fēng)險(xiǎn)評(píng)估,并部署基于主動(dòng)防御理念的技術(shù)防護(hù)手段和措施。做好大數(shù)據(jù)平臺(tái)及服務(wù)商的可靠性及安全性評(píng)測、應(yīng)用安全評(píng)測、監(jiān)測預(yù)警和風(fēng)險(xiǎn)評(píng)估。利用大數(shù)據(jù)技術(shù)建立網(wǎng)絡(luò)安全監(jiān)測體系,實(shí)時(shí)監(jiān)測和感知網(wǎng)絡(luò)安全威脅,防御網(wǎng)絡(luò)攻擊,提升對大規(guī)模網(wǎng)絡(luò)攻擊威脅的發(fā)現(xiàn)和應(yīng)對能力。強(qiáng)化數(shù)據(jù)安全相關(guān)檢測與評(píng)估,推動(dòng)開展數(shù)據(jù)跨境流動(dòng)安全評(píng)估。
加強(qiáng)大數(shù)據(jù)安全技術(shù)研發(fā),建立完善大數(shù)據(jù)全過程安全標(biāo)準(zhǔn)體系。加強(qiáng)大數(shù)據(jù)安全技術(shù)的研發(fā),將安全技術(shù)融于新大數(shù)據(jù)技術(shù)中,提升大數(shù)據(jù)基礎(chǔ)設(shè)施關(guān)鍵設(shè)備、平臺(tái)、產(chǎn)品和服務(wù)的安全性能。研究制定數(shù)據(jù)采集、整合、提煉、挖掘、處理等全過程安全標(biāo)準(zhǔn),制定從安全態(tài)勢判斷、安全分析、安全檢測到發(fā)現(xiàn)威脅的相關(guān)標(biāo)準(zhǔn),有效防止數(shù)據(jù)丟失、泄露、被越權(quán)訪問、被篡改,保護(hù)國家核心數(shù)據(jù)、商業(yè)機(jī)密和用戶隱私等內(nèi)容。
京公網(wǎng)安備 11010502049343號(hào)