查看原文
其他

【议彩纷呈】大数据安全开放的“度与管”

赛迪智库 2022-08-09

本文作者:赛迪智库信息安全研究所 闫晓丽

随着移动互联网、云计算、物联网的飞速发展和创新应用,大数据深入渗透到经济社会各领域,成为战略性资产。政府、企业等纷纷强化大数据处理能力,我国也提出要扩大政府数据资源向社会开放,探索大数据应用服务。但同时,窃取商业秘密、泄露个人信息等行为也相伴而生,大数据安全面临威胁。开放与安全仿若是硬币的两面,我国有必要明确大数据安全开放的度,并强化数据行为监管,以有效降低风险、实现大数据价值最大化。


一、开放是释放大数据价值的必然途径

大数据带来巨大价值,正在引发经济社会领域新的变革和创新。信息技术的深入应用和广泛渗透,使人与人、人与物、物与物实现互联,产生了海量数据。对这些数据进行采集、存储和关联性分析,并提取有价值的信息,将极大地提高决策能力和水平,推动制造、金融等经济社会各领域的变革和创新。例如,在工业制造领域,通过监控、采集和分析生产过程中产生的大量数据,工业企业可对产品从设计到销售的全生命周期进行最优化管理,并创新产品研发和生产模式;在金融领域,通过多渠道收集借方的信用数据,如通过电商平台收集卖方的交易量、库存、现金流等数据,金融机构可有效管理风险,提供快速便捷的金融服务。

开放释放大数据价值,政府、企业等都在加快数据开放的步伐。数据已经成为战略性资产,开放数据、让数据真正流动起来,才能真正释放大数据的价值。为此,美国2009年提出“开放政府计划”,设立政府数据开放门户网站,并在2013年发布政府数据开放的行政命令,推动社会力量对政府持有数据的加工利用;英国、法国、德国、日本等国家也纷纷提出开放数据计划,旨在通过挖掘公共数据的价值,改进城市管理、社会保障等公共服务,促进经济社会发展。谷歌、百度、亚马逊、阿里巴巴等企业也在加快大数据挖掘和共享,纷纷推出大数据项目和产品,如谷歌的健康基因项目、百度旅游等。

安全问题与数据开放相伴而生,安全是数据开放绕不开的“坎”。一方面,大数据价值日益凸显,使其成为了不法分子的重要目标。近年来针对大型互联网企业、零售企业,以及金融、医疗、社保等机构的数据窃取屡见不鲜,如12306网站13万用户信息泄露、美国Anthem公司1100万用户信息泄露。另一方面,由于缺乏数据采集、利用等方面的制度,一些政府、企业存在过度采集用户数据并非法使用行为,如苹果公司IOS收集用户位置信息,记录用户经常活动的地点、活动的时间、活动的频率等,并对信息加密存储;某些政府机构在执法等过程中也会要求其他政府或企业开放共享超出其执法目的的相关数据等。

二、大数据开放必须把握好安全的度

大数据使数据更易被关联,必须区分公共数据和敏感数据,明确相应的采集、开放等规则。大数据本质上是对数据价值的挖掘利用,通过对海量数据尤其是非结构化数据的挖掘分析,可以获得某些敏感的关键数据,或者使已经去除身份信息的数据重新获得身份属性,如将已去除姓名、性别等信息的匿名搜索数据,通过多渠道关联,找出发起搜索的个人。因此,大数据时代必须区分公共数据和敏感数据,明确哪些数据能开放、哪些不能开放、开放到何种程度、开放者和使用者承担何种责任等。如欧盟数据保护相关指令规定,GPS位置信息是敏感数据,不允许采集;美国联邦贸易委员会提出,企业将去除识别信息的数据提供给第三方,应当在合同中禁止第三方再次对数据进行识别。

大数据时代数据的跨境流动更为频繁,必须从国家数据主权高度对数据跨境流动作出限制。数据是一种重要的战略资产,掌控大数据资源的能力是一国综合竞争力的重要体现。新一代信息技术的应用以及经济全球化,使得数据的跨境流动十分频繁,在优化资源配置的同时,也加重了数据主体面临的各种威胁,更可能威胁国家信息安全。对于国家、企业、个人等拥有的数据,都应当纳入国家主权范畴考虑,明确数据的权利归属以及是否允许数据跨境流动。如欧盟数据保护指令明确,禁止将个人数据传输到欧盟以外的国家,除非经安全评估该国能提供与欧盟同等程度的数据保护水平;俄罗斯2014年通过法律,要求所有收集俄罗斯公民数据的互联网公司都应当将数据存储在俄罗斯境内。

大数据交易渐成趋势,必须建立数据交换交易机制,并明确确保数据安全的措施。目前很多机构、企业都占有、掌握了大量数据,但由于缺乏共享形成了众多的“数据孤岛”,大数据价值大打折扣。此外,据国外数据专家称,目前商业企业只存储15%的业务数据,其余85%数据都存储在外部公司。因此,建立大数据交换交易机制,推动大数据的整合和共享十分重要。大数据交换交易机制涉及数据资产确权、资产评估、资产定价、数据安全等。资产确权涉及数据归谁所有、数据上有哪些权利、交换交易的是数据何种权利;资产评估和资产定价涉及资产的价值评估;数据安全涉及如何采用技术手段对数据脱敏、采取哪些措施保障数据安全等。目前国内外都在进行此方面的探索。

三、我国应加强对大数据安全开放的监管

加强立法完善数据安全开放法律制度。修订《政府信息公开条例》,进一步厘清“公开”与“保密”的界限,明确政府可开放的公共数据范围,明确开放程序、标准等事项,清晰界定政府等各方的权利义务和法律责任。借鉴美国《经济间谍法》,在国家安全相关法律中对商业秘密进行较广泛的界定,并在刑法中增设经济间谍犯罪的新罪名,从国家安全高度保护商业秘密。在《网络安全法》中设专章规定个人信息保护,明确个人信息含义,确立判断个人信息的基本规则,明确个人信息权利及信息采集使用和安全保护要求,并参考国外立法确立数据泄露通知制度。

加快建立大数据安全开放的监管制度。制定大数据采集、传输、存储、使用和跨境流动的规则,明确安全保护技术措施。特别地,针对电子商务、金融、教育、医疗等相关行业实际,出台个人网络信息保护的具体规则,并按照现有法律法规确立的保护框架,从技术研发、内部管理、用户使用等环节出发,探索建立商业秘密、专利等企业敏感数据的安全保护规则和实践。制定政府数据开放政策,探索大数据交换交易政策和规则。

强化对重点行业和领域数据和网络安全的监管。在大型数据中心、重点行业和领域信息系统深入落实等级保护制度,开展信息安全风险评估,并部署基于主动防御理念的技术防护手段和措施。开展信息技术产品和服务审查,引导企业加强信息技术产品供应链管理,有效降低使用国外产品和服务而可能导致的数据泄露风险。加强大数据等数据分析技术研发,运用大数据技术实时监测和感知网络安全威胁,提升对大规模网络攻击威胁的发现和应对能力。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存