◎盤(pán)冠員

大數(shù)據(jù)被稱(chēng)作“未來(lái)的新石油”，已成為當(dāng)今世界的基礎(chǔ)性戰(zhàn)略資源。我們生活的物理世界和網(wǎng)絡(luò)世界每時(shí)每刻都在產(chǎn)生大量的數(shù)據(jù)，它已成為我們生活中不可分割的一部分。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全不僅關(guān)系國(guó)家安全、公共安全，也關(guān)系到經(jīng)濟(jì)安全和個(gè)人隱私安全。因此，破解數(shù)據(jù)安全隱患，構(gòu)建大數(shù)據(jù)安全保護(hù)體系迫在眉睫。

大數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)

最近媒體曝光的美國(guó)臉譜公司數(shù)據(jù)泄露事件中，“劍橋數(shù)據(jù)分析公司”利用“臉譜網(wǎng)”用戶(hù)數(shù)據(jù)，通過(guò)大數(shù)據(jù)分析技術(shù)對(duì)用戶(hù)進(jìn)行畫(huà)像，精準(zhǔn)投放宣傳資料，在政治選舉活動(dòng)中對(duì)用戶(hù)的判斷和選擇進(jìn)行影響。這起事件表明，數(shù)據(jù)本身不產(chǎn)生社會(huì)安全問(wèn)題，但是數(shù)據(jù)一旦泄露并被非法利用就會(huì)帶來(lái)重大社會(huì)影響。因此，如果對(duì)大數(shù)據(jù)疏于監(jiān)管，對(duì)數(shù)據(jù)安全保護(hù)不力，就會(huì)給國(guó)家安全、公共利益和個(gè)人隱私帶來(lái)危害。當(dāng)前，大數(shù)據(jù)安全風(fēng)險(xiǎn)主要體現(xiàn)在四個(gè)方面：

1.國(guó)家基礎(chǔ)和重要數(shù)據(jù)安全風(fēng)險(xiǎn)突出

涉及國(guó)家利益和公共安全的大數(shù)據(jù)面臨諸多網(wǎng)絡(luò)安全威脅，數(shù)據(jù)主權(quán)容易受到侵犯。一是有國(guó)家力量支持的網(wǎng)絡(luò)攻擊入侵竊密活動(dòng)成為首要威脅。二是由于我國(guó)尚未掌握大數(shù)據(jù)全部核心技術(shù)，因此，難以發(fā)現(xiàn)和證實(shí)境外大數(shù)據(jù)企業(yè)是否存在依托技術(shù)、產(chǎn)品、應(yīng)用和服務(wù)等優(yōu)勢(shì)便利收集我國(guó)基礎(chǔ)和重要數(shù)據(jù)的行為。三是因缺乏有效的數(shù)據(jù)安全監(jiān)管手段，導(dǎo)致我國(guó)重要和敏感數(shù)據(jù)跨境流動(dòng)存在不確定性安全隱患。

2.大數(shù)據(jù)基礎(chǔ)設(shè)施面臨安全威脅

大數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和軟硬件系統(tǒng)安全漏洞時(shí)有發(fā)現(xiàn)，存在被黑客利用來(lái)實(shí)施網(wǎng)絡(luò)攻擊破壞的高危風(fēng)險(xiǎn)。近幾年，云服務(wù)、網(wǎng)絡(luò)社交平臺(tái)等大數(shù)據(jù)基礎(chǔ)設(shè)施發(fā)展迅猛，數(shù)據(jù)高度匯聚集中，風(fēng)險(xiǎn)呈現(xiàn)聚合極化效應(yīng)，一旦被攻破或控制，后果將十分嚴(yán)重。

3.非法泄露和買(mǎi)賣(mài)數(shù)據(jù)活動(dòng)猖厥

近年來(lái)，境內(nèi)外媒體披露曝光的重大數(shù)據(jù)泄露事件越來(lái)越多。從原因看，有的是數(shù)據(jù)系統(tǒng)被黑客入侵竊取，有的是內(nèi)外勾結(jié)盜取，有的是人為操作失誤導(dǎo)致。從渠道看，網(wǎng)絡(luò)平臺(tái)等地下黑市是主要交易途徑。

4.個(gè)人信息安全面臨風(fēng)險(xiǎn)

目前，多種網(wǎng)絡(luò)應(yīng)用采取免費(fèi)模式，消費(fèi)者在享受“免費(fèi)使用”的同時(shí)，也付出了個(gè)人身份、地理位置及行為軌跡等數(shù)據(jù)被濫采的代價(jià)，這些數(shù)據(jù)多被不法分子用于用戶(hù)畫(huà)像、推送商業(yè)廣告，甚至是實(shí)施網(wǎng)絡(luò)詐騙，進(jìn)而牟取經(jīng)濟(jì)利益。此外，惡意利用社交平臺(tái)技術(shù)和規(guī)則漏洞，收集、挖掘及使用個(gè)人信息情況也很突出。

國(guó)外做法及啟示

1.歐美大數(shù)據(jù)安全保護(hù)立法的啟示

歐美等信息化發(fā)達(dá)國(guó)家和地區(qū)高度重視大數(shù)據(jù)安全問(wèn)題，并從立法、執(zhí)法、技術(shù)和合作等方面加強(qiáng)安全保護(hù)。以近期立法為例，今年5月25日實(shí)施的歐盟《通用數(shù)據(jù)安全保護(hù)條例》（GDPR），圍繞個(gè)人數(shù)據(jù)保護(hù)，明確了個(gè)人數(shù)據(jù)收集處理的基本原則、數(shù)據(jù)主體的權(quán)利和數(shù)據(jù)控制者、處理者的義務(wù)以及個(gè)人數(shù)據(jù)跨境流動(dòng)的規(guī)則，創(chuàng)設(shè)了大數(shù)據(jù)時(shí)代個(gè)人隱私保護(hù)的新制度，具有全球性影響；此外，為增強(qiáng)對(duì)跨境存儲(chǔ)數(shù)據(jù)的訪(fǎng)問(wèn)能力，今年3月23日美國(guó)總統(tǒng)特朗普簽署了《澄清境外數(shù)據(jù)合法使用法案》（又稱(chēng)云法案），賦予美國(guó)執(zhí)法機(jī)構(gòu)收集美企業(yè)境外存儲(chǔ)數(shù)據(jù)的法律權(quán)力。

2.我國(guó)構(gòu)建“四位一體”的大數(shù)據(jù)安全保護(hù)體系的途徑

為構(gòu)建適應(yīng)大數(shù)據(jù)特點(diǎn)的安全保護(hù)體系，要處理好三個(gè)“關(guān)系”：一是產(chǎn)業(yè)發(fā)展與政府監(jiān)管的關(guān)系。谷歌前CEO施密特認(rèn)為，政府要在監(jiān)管和創(chuàng)新之間找到平衡。通過(guò)政府監(jiān)管，有效應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)，促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)健康有序發(fā)展。二是數(shù)據(jù)安全與資源共享的關(guān)系。數(shù)據(jù)安全保護(hù)既要有利于數(shù)據(jù)資源共享，促進(jìn)數(shù)據(jù)經(jīng)濟(jì)發(fā)展，又不能讓數(shù)據(jù)風(fēng)險(xiǎn)演化為社會(huì)政治和公共安全風(fēng)險(xiǎn)。三是公共安全利益與個(gè)人信息保護(hù)的關(guān)系。個(gè)人信息具有公共管理價(jià)值，在用于維護(hù)公共安全利益時(shí)要注意保護(hù)好個(gè)人隱私安全。著手構(gòu)建好四個(gè)“保護(hù)”：

（1）法律政策保護(hù)。一是立法完善。加快構(gòu)建全面系統(tǒng)的數(shù)據(jù)安全保護(hù)法律體系。以已出臺(tái)的《網(wǎng)絡(luò)安全法》為基礎(chǔ)框架，在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（意見(jiàn)征求稿）》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等相關(guān)配套法規(guī)中增加數(shù)據(jù)安全保護(hù)內(nèi)容。建議制定數(shù)據(jù)安全保護(hù)法，作為數(shù)據(jù)安全保護(hù)的基本法，明確國(guó)家基礎(chǔ)和重要數(shù)據(jù)、公共利益數(shù)據(jù)及個(gè)人隱私數(shù)據(jù)等不同數(shù)據(jù)的安全管理制度，明確數(shù)據(jù)主體以及數(shù)據(jù)控制者、處理者和使用者的權(quán)利義務(wù)和法律責(zé)任，明確數(shù)據(jù)收集、存儲(chǔ)、處理、使用、開(kāi)放、銷(xiāo)毀、交易和跨境流動(dòng)等各個(gè)環(huán)節(jié)安全保護(hù)的法律要求，確保數(shù)據(jù)整個(gè)生命周期的安全。二是政策跟進(jìn)。立法需要較長(zhǎng)過(guò)程，與大數(shù)據(jù)安全保護(hù)需求相比，顯得有些滯后。因此，建議及時(shí)制定出臺(tái)數(shù)據(jù)安全保護(hù)相關(guān)政策文件。如數(shù)據(jù)安全管理、關(guān)鍵敏感數(shù)據(jù)保護(hù)、數(shù)據(jù)跨境流動(dòng)安全保護(hù)、數(shù)據(jù)安全保護(hù)人才培養(yǎng)、數(shù)據(jù)安全產(chǎn)業(yè)扶持及數(shù)據(jù)安全技術(shù)研發(fā)等方面的政策。三是標(biāo)準(zhǔn)指引。通過(guò)制定實(shí)施國(guó)家相關(guān)行業(yè)強(qiáng)制性或推薦性技術(shù)標(biāo)準(zhǔn)，推動(dòng)數(shù)據(jù)安全保護(hù)技術(shù)規(guī)范的落實(shí)。

（2）監(jiān)管執(zhí)法保護(hù)。一是完善監(jiān)管機(jī)制。建議明確相關(guān)職能部門(mén)的監(jiān)管邊界，建立協(xié)作配合機(jī)制，加強(qiáng)重要情況的溝通及信息共享，形成監(jiān)管執(zhí)法合力。二是探索有效的監(jiān)管方式。圍繞數(shù)據(jù)全生命周期，在數(shù)據(jù)的采集、存儲(chǔ)、傳輸、使用、開(kāi)放及交易等各個(gè)環(huán)節(jié)探索監(jiān)管辦法。三是依法嚴(yán)打犯罪，清理整治和依法查處違反數(shù)據(jù)安全保護(hù)的各種違法違規(guī)行為。加大打擊黑客、網(wǎng)絡(luò)詐騙及侵犯公民個(gè)人隱私等違法犯罪案件的力度，形成有效震懾。

（3）安全技術(shù)保護(hù)。一是運(yùn)用防護(hù)監(jiān)測(cè)技術(shù)抵擋外部攻擊。既要落實(shí)安全防護(hù)技術(shù)，也要運(yùn)用網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)手段，加強(qiáng)安全技術(shù)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)處置外部網(wǎng)絡(luò)攻擊入侵。二是強(qiáng)化審計(jì)監(jiān)督技術(shù)，防止監(jiān)守自盜。建議強(qiáng)化用戶(hù)訪(fǎng)問(wèn)、使用數(shù)據(jù)的安全審計(jì)技術(shù)和授權(quán)功能，加強(qiáng)日常安全巡查和監(jiān)督檢查，防止“內(nèi)鬼”與運(yùn)維人員利用工作和服務(wù)便利盜賣(mài)數(shù)據(jù)。三是研發(fā)運(yùn)用新型技術(shù)擴(kuò)大保護(hù)范圍。重點(diǎn)是安全防范、監(jiān)測(cè)預(yù)警、追蹤溯源和數(shù)據(jù)加密、解密、脫密、備份與恢復(fù)、審計(jì)、銷(xiāo)毀及完整性驗(yàn)證等數(shù)據(jù)安全技術(shù)的研發(fā)及運(yùn)用。

（4）社會(huì)力量保護(hù)。一是明確網(wǎng)絡(luò)企業(yè)和機(jī)構(gòu)履行主體防護(hù)責(zé)任，采取有效措施防止數(shù)據(jù)泄露和非法利用。二是相關(guān)社會(huì)組織要指導(dǎo)大數(shù)據(jù)行業(yè)加強(qiáng)行業(yè)自律和規(guī)范。三是網(wǎng)絡(luò)用戶(hù)要增強(qiáng)數(shù)據(jù)安全與隱私保護(hù)意識(shí)，掌握個(gè)人信息防護(hù)技能，積極舉報(bào)數(shù)據(jù)違法違規(guī)和犯罪行為。