查看原文
其他

我国大数据交易安全风险及应对思路

刘婷婷等 数据安全与隐私计算 2022-08-27


随着以人工智能、大数据、物联网、区块链等为代表的新-代信息技术加速突破应用,数据的价值被充分挖掘和释放,大数据交易产业应运而生。大数据交易的本质是买卖数据价值,供需双方交换的不是原始数据,而是经过数据清洗和处理后的数据结果,因此大数据交易以电子交易为主要形式,通过大数据交易中心的信息化平台(以下简称“大数据交易平台”),交易包括API数据接口、解决方案、数据终端等格式的数据。然而我国数据交易产业仍处于初级阶段,大数据交易尚未形成统一规范,大数据交易平台的经营范围无明确规定,大数据交易主体权责不明确,因此数据交易暗藏大量安全风险,需及早研究并加以防范。


以下是由刘婷婷  陈诗洋  郭建南(中国信息通信研究院)所写的《我国大数据交易安全风险及应对思路》,希望此文能够为您带来启发和参考。


以下为文章全文:


我国大数据交易安全风险及应对思路

刘婷婷  陈诗洋  郭建南      中国信息通信研究院北京100191


摘要:在国家大数据战略大背景下,数据交易产业起到了推动数据应用和释放数据价值的重要作用。然而我国大 数据交易产业尚处初级阶段,缺乏全国统一的规范体 系和必要的法律保障,其在发展过程中势必会产生大量安全风险。文章梳理我国大数据交易的监管政策环境和管理现状,分析大数据交易带来的安全风险并给出应对建议。


关键词:大数据: 数据交易:安全


引言:随着以人工智能、大数据、物联网、区块链等为代表的新-代信息技术加速突破应用,数据的价值被充分挖掘和释放,大数据交易产业应运而生。大数据交易包括三类主体[1-2]:数据供方(卖方)、数据需方(买方)、数据交易中间方(交易中介)。其中数据供方是提供数据或原始数据的主体,数据需方是购买或者使用数据的主体,数据交易中间方则为供需双方提供交易的场所或信息化平台,即大数据交易中心。大数据交易的本质是买卖数据价值,供需双方交换的不是原始数据,而是经过数据清洗和处理后的数据结果,因此大数据交易以电子交易为主要形式,通过大数据交易中心的信息化平台(以下简称“大数据交易平台”),交易包括API数据接口、解决方案、数据终端等格式的数据[2-3]。数据来源包括政府开放数据、数据供方提供的数据、互联网爬取的数据和数据交易平台沉淀、产生的数据。数据交易加速了各行业数据的交换和流通,能够激励更深层次数据价值挖掘利用,为基于数据的经济和社会创新发展提供很大便利。然而我国数据交易产业仍处于初级阶段,大数据交易尚未形成统一规范,大数据交易平台的经营范围无明确规定,大数据交易主体权责不明确,因此数据交易暗藏大量安全风险,需及早研究并加以防范。


1 我国大数据 交易政策环境


1.1 国家顶层监管政策

自2008年以来,随着数据价值的重要性日益凸显,我国相继出台了-系列与数据交易相关的政策文件,为推动数据交易产业发展提供了制度依据和政策指引。我国与数据交易相关的政策文件要求及其影响与意义如表1所示。



1.2地方性法监管政策

在数据交易监管政策指引方面,贵州省走在全国前列,浙江、广东等省份也相继出台指引性规定。2014年贵州省出台《关于加快大数据产业发展应用若干政策的意见》指出,要“创新机制培育市场,建设大数据交换平台和数据交易市场,加快数据资源流通”。同年,贵州省发布《贵州省大数据产业发展应用规划纲要》指 出,“建立数据 资产登记制度和数据资产交易规则,推 动形成数据资产交易市场”。《意见》 和《纲要》的发布是贵州省科学规划大数据产业布局的体现,为力保大 数据产业安全发展提供了顶层指导。2016年 贵州省出台《贵州省大数据发展应用促进条例》(以下简称“《条例》”),是全国首部在大数据领域的立法,《条例》从数据采集、数据交易等方面,对各级政府推动大数据产业发展应采取的措施做了明确规定,如推动标准体系建设,规范数据采集,促进数据交易,推动大数据应用 等。《条例》 还从加强政府监管、明确各方主体责任等方面,对数据安全管理作出了规定,包括建立政府安全监管制度、强化有关各方安全管理主体责任和推动安全 管理技术创新。《条例》 为贵州省大数据交易管理作出了宣示性、原则性、概括性和指引性规定。此外,2016年,浙江省和广东省分别发布《浙江省促进大数据发展实施计划》和《广东省促进大数据发展行动计划(2016-2020年)》,探索健全大数据交易产业发展支撑体系,培育数据交易市场,进一步促进全省大数据发展。


1.3行业标准和公约

2014年6月,《中关村数海大数据交易平台 规则(征求意见稿)》在中关村大数据交易产业联盟专家顾问委员会宣布成立当天同步推出,是我国第-份大数据交易规则。


2015年5月,贵阳大数据交易所发布《贵阳大数据交易所702公约》,为大数据交易所的性质、目的、交易标的、信息隐私保护等指明了方向。


2016年7月,由工业和信息化部、中央网信办、国家发改委指导,数据中心联盟筹建的“大数据发展促进委员会”成立大会在京召开。中国信息通信研究院、中国电子科学技术研究院、中国联通、中国电信、阿里巴巴、京东.360、世纪互联等多家单位共同发布《数据流通行业自律公约》2.0版,新版公约定位为解决数据流通领域长期缺乏行业规范问题"[4]。


2018年6月7日,中国公布首个国家数据交易标准《信息技术数据交易服务平台交易数据描述》(GB/T36343-2018),该标准从2019年1月1日正式实施。此外,2019年8月,系列标准《信息技术数据交易服务平 台通用功能要求》(GB/T 37728-2019)、《信息 安全技 术数据交易服务安全要求》(GB/T 37932-2019)发布,并于2020年3月1日正式实施,后者系中国首个大数据交易安全标准。


2 国内大数据交 易管理现状


2.1国家监管政策缺少对大数据交易中心权威约束

纵观国内现行法律法规,一方面我国尚无国家顶层大数据交易立法,对大数据交易中心的法律定位、经营 范围、职责权限等没有统一认定,大数据交易中心审批流程缺少权威规定,无法对数据交易行业发挥普遍的法律约束力;另一方面,当前大数据交易管理规范主要依靠行业自律,不同大数据交易中心制定的交易规则出发点不同、颗粒度不同,甚至对大数据交易中心权责的理解和定义不同,显然行业自律并不能对数据交易各环节各主体进行有效约束[2,5]。对比国际方面,2017年1月,欧盟委员会发布了《打造欧洲数据经济数据所有权》的白皮书,指出欧盟现有的数据相关法律框架并不能有效地促进数据的运作,建议未来从法律角度对数据所有权问题进行回应。2018年5月,美国佛蒙特州通过了数据经纪商(大数据交易中介服务的经营主体)专项监管法案,成为美国第一个对数据经纪商进行专项立法的州[6]。但相比国外较为成熟的数据开放、隐私保护等方面的法律体系,在数据交易方面,国外的法律体系仍需健[1,7-100]。


2.2数据确权和隐私保护问题尚无有效解决方案

数据确权问题,尤其是个人数据产权和个人隐私权问题,是大数据产业关注的核心问题。保护个人隐私和个人数据权属是一个问题的两个方面,数据确权后将更有利于个人隐私保护,而明确个人隐私数据共享交易的规范后,更有利于区分数据安全责任。当前,国内尚未形成明确的数据权属规定,数据归属不明确、个人隐私去标识化能否成为企业免责的理由,现行立法对这一问题还没有明确答案[5,8,9,11]因此制定切实有效的个人隐私保护与数据确权相平衡的法律规定,将更有利于大数据交易产业的安全健康发展[12]。


2.3大数据交易安全管理缺少技术保障能力支撑

一方面,大数据交易行业尚未形成标准统一的安全管理技术手段,无法对大数据交易平台的网络安全、信息安全和数据安全保障机制和措施进行有效评估,无法全面掌握大数据的交易类型、交易方式、合规性等基本情况;另一方面,大数据交易安全离不开数据流通各环节的专业化处理,大数据交易行业在数据采集汇聚、非结构化处理、数据清洗、数据建模等环节涉及的技术和工具产业化专业化水平尚待提升。此外,我国缺乏对黑市交易等违法违规交易行为的主动发现技术手段,无法及时发现违法违规数据交易问题或行为,缺乏准确、科学地对疑似违法违规交易事件进行研判的技术能力,一旦遭遇重大数据安全事件,无法及时制止违法行为,制约健康有序的大数据交易产业形成。


3 大数据交易面临的安全挑战


3.1大数据交易关乎国家安全

随着数据被国家纳入生产要素,数据加速在互联网上的流通与共享,对各行各业发展具有重要激励作用。交通、电信、金融等国民经济领域的企业作为数据存储与处理的第一大主体,承载着影响国计民生的大量行业重要数据,对经济、社会、国家安全等具有巨大价值,我国陆续制定相关政策推动大数据产业深入发展。但是 大数据时代,重要行业数据一旦被非 法交易或造成数据泄露甚至非法出境,也可能对国家安全产生重大负面影响。例如,2021年7月,国家网信办发布对“滴滴出行”等25款APP下架的通报。被通报的企业主要为交通出行、网络货运等领域的头部企业,至少掌握了所属行业80%以上的深度数据。对这些数据分析挖掘可以直接或间接地反映我国各区域人口分布、商业热力、道路信息等情况[13]。


3.2数据交易过程潜伏隐私泄露危机

根据国际数据公司(IDC)和数据存储公司根据国 际数据公司(IDC) 统计,2020年, 全球数据量达到了60ZB,其中中国数据量增速迅猛,到2025年将增至48.6ZB,也已成为全球瞩目的“数据大国”。中国 2018年约产生7.6 ZB数据,到2025年将增至48.6ZB, 业已成为全球瞩目的“ 数据大国”。大数据交易中心承担着数据和信息存储、处理、交易的重要角色,由于相关数据交易规则不透明、法律法规约束不充分、数据安全防护技术措施不足,海量的数据交易过程必然潜伏隐私泄露危机。-方面滥用信息.倒卖个人数据的情况屡见不鲜,另一方面数据逆向分析等技术给数据脱敏清洗带来更大挑战,即便是经过脱敏、匿名化处理后可视化的数据商品依然存在被关联分析得到原始数据信息的可能性[14]。


3.3数据交易平台易成为网络诈骗犯罪温床

由于国家大数据战略部署的需要,加上近两年准入门槛较低、数据交易安全监管不严或滞后等,大数据交易中心数量暴增。据不完全统计,自2015年第一家大数据交易所成立以来,我国已注册的数据交易中心有60多家[15]。其中不乏某些平台借着大数据交易的名义实际上从事的是圈钱和诈骗等活动,其利用平台发布信息非法收取会员会费等手段进行诈骗后迅速下线,不仅造成个人和企业经济损失,也给国家大数据产业发展带来不良影响[16]。


3.4监管约束不到位易造成数据滥用从而滋生数据黑产

数据采集、流通与共享等环节缺乏个人信息收集使用的规范标准,数据使用主体的权责界定不清,数据安全保障制度与技术措施不完善,容易引发违 规使用个人信息或数据滥用问题。据Dentsu AegisNetwork(电通安吉斯集团)的报告显示,在全球接受调研的4.3万多人中,64%的人对科技类公司的不信任主要源于企业会滥用个人数据。因为数据交易和使用的合法性很难界定,阻碍了数据流通,而面对大数据交易市场数据供求矛盾突出问题,地下数据交易市场规模却不断壮大,针对个人信息的违规收集和恶意利用等行为日益猖獗。


4 对策建议


4.1建立健全安全监管制度机制和责任体系

每个行业的良性发展都离不开清晰明确的监管制度。我国大数据交易产业发展目前主要依靠行业自律,国家层面缺乏专门的监管部门、明晰的管理制度和责任体系。应加快立法明确大数据交易主管部门及监管职责,完善大数据交易安全监管领域政策,明确大数据交易中心数据安全管理主体责任;实施对大数据交易中心运营主体的准入安全审查;指导大数据交易中心做好对数据交易的安全控制和安全审计,做到过程与人员均可控、可追溯:通过定期检查.信用评价、能力评定等方式,督促大数据交易平台运营主体落实配套网络安全和数据安全保障要求。


4.2完善配套合规指引和操作规范

良好的数据交易产业环境需要各参与方共同维护。一方面, 行业管理机构应研究制定完备的大数据交易中心数据安全相关标准。针对大数据交易中心的交易模式,加强对大数据交易中心数据安全管理技术要求、数据安全管理系统接口规范等研究,构建形成面向大数据交易中心的数据安全管理标准体系。另-方面,大数据交易中心等交易中介作为数据流通的媒介,应加强对个人用户、企业用户的操作规范引导,通过协议等方式加强对数据供方的数据权属审定。


4.3加强大数据交易安全评估和自评估

一是作为行业监管机构,相关部门应加强对大数据交易安全的第三方评估。将大数据交易平台的数据安全作为安全评估工作的一部分,加强对其安全风险巡查和问题清理,对发现的违规或异常数据交易行为督促其依法清理处置。二是作为数据交易中介,大数据交易平台应加大数据安全自评估和防护力度,避免企业内部安全管理不善带来的安全隐患。三是作为数据交易的需求方,个人和企业用户在选择数据交易媒介时应加强甄别,在获取数据信息后做好数据安全保护,维护好个人和企业权益。


4.4创新大数据交易安全管理技术手段

增强大数据交易平台自身安全防护水平,提升大数据交易过程的安全保障技术能力,确保大数据使用权与大数据所有权分离,打造安全可靠、权责清晰的大数据交易环境,制定覆盖“数据采集、数据存储、数据处理、数据传输、数据使用”全生命周期的安全保障技术措施;同时围绕大数据交易的交易主体、交易方式、交易范围、交易事件、交易对象等形成大数据交易管理技术体系,助力形成大数据交易事中监测和事后追责技术能力:建立对未经许可成立的大数据交易中心的主动发现能力,通过与大数据交易平台的技术联动管理,实现对大数据交易安全事件的实时监测、异常预警和溯源处置。


参考文献:


[1]张敏.交易安全视域 下我国大数据交易的法律监管[J].情报杂志2017,36(2):127-133


[2] 张敏,朱雪燕.我国大数据交易的立法思考[J].学习与实践,2018(7):60-70


[3] 王卫,张梦君,王晶.国内外大数据交易平台调研分析[J]情报杂志,2019,38(2):181-186,194


[4] 刘长秋,马彦.软法视野下的《数据流通行业自律公约》研究[J].科技与法律, 2018(4);11-17


[5] 茶洪旺,袁航.中国大数据交易发展的问题及对策研究[J].区域经济评论,2018(4):95-101


[6] 彭星,万雨娇.美国佛蒙特州数据经纪商法案浅析及启示[J].武汉金融,2019(2):46-50


[7]李爱君,张珺.数据安全与监管[C]/新时代大数据法治峰 会一大数据、 新增长点、新动能、新秩序论文集.2017 


[8]闫树.行业 自律促进大数据交易发展的几点思考[J].互联网天地,2017(2):58-60


[9] 彭云.大数据环境下数据确权问题研究[J].现代电信科技,2016,46(5):17-20


[10]史宇航.数据交易法律问题研究[D].上海:上海交通大学.2017


[11]何培育,王潇睿我国大数据交易平台的现实困境及对策研究[J].现代情报,2017,37(8):98-105,153


[12]顾钊铨,张尼,李树栋等.大数据产业现状和挑战[J].信息技术与网络安全,2018(4);:3-6


[13]李云舒.深度关注|数据安全关乎国家安全[EB/OL].[2021- 07-07].https://www.ccdi. gov.cn/yaowen/2021071 t20210707 _245653.html


[14]何培育,王潇睿.我国大数据交易平台的现实困境及对策研究[J]现代情报,2017(8):98-105


[15]雷震文,以平台为中心的大数据交易监管制度构想[J].现代管理科学,2018(9):21-23


[16]朱梁双,孙志鹏.现货交易平台诈骗犯罪的取证指引[J].西部学刊,2019(5):87-89


作者简介


刘婷婷:博士,工程师,主要从事数据和信息安全管理、数据安全治理技术等方面研究工作。


陈诗洋:硕士,工程师,主要从事数据和信息安全等方面研究工作。


郭建南:硕士,工程师,研究方向为互联网新技术新业务安全评估及数据安全,牵头研制《互联网 新技术新业务信 息安全评估要求互联网资源协作服务》《电 信网和互联网数据安全评估规范》《电信网和互联网数据安全通用 要求》《互联网新技术新业 务安全评估指南》等标准。


来源:中国信息通信研究院

申明:转载文章仅为学习分享,若有不当,请联系我们处理。







END


河南印发《河南省政务数据安全管理暂行办法》,为政务数据上“安全锁”

武汉发布数字经济发展规划,探索数据价值化实现路径

庄荣文:统筹数据开发利用、隐私保护和公共安全,强化个人信息保护

汤珂:数据交易的难点与解决之道


欢迎投稿

邮箱:kedakeyin@openmpc.com

参与更多讨论,请添加小编微信加入交流群


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存