2015年8月,国务院发布《促进大数据发展行动纲要》,总体部署大数据发展,并将健全大数据安全保障体系作为重要任务。在大数据成为国家基础性战略资源的今天,我国大数据安全却面临着严峻挑战:数据主权问题突出,政府、金融等领域关键数据泄露严重,开放共享与数据安全矛盾凸显。目前各国政府纷纷出台政策、采取措施,开展大数据安全保障实践,为大数据发展保驾护航。我国该如何健全大数据安全保障体系,值得深思。
我国大数据安全面临严峻挑战
数据主权问题突出。随着世界各国对数据的依赖程度快速上升,国际竞争焦点从对资本、土地、资源的争夺转向对数据的争夺,维护数据主权成为国家主权的重要内容。当前我国对数据的掌控力正面临着不小的威胁。一方面,美国等国家利用其信息技术优势监控我国网络,采取多种手段窃取我国核心要害部门机密信息,并从海量数据中挖掘我国社会、经济、军事等重要情报信息,严重威胁我国国家安全;另一方面,随着云计算等新一代信息技术的加速应用普及,我国重要领域数据、公民身份数据等关键数据存储在国外服务器上,这些数据有可能按照存储国家的法律规定提供给该国国家安全等执法部门,安全性无法得到保障。
关键数据泄露严重。政府、金融等重要领域和行业信息基础设施承载着大量的业务数据和用户数据,近年来频遭高强度、高复杂度的黑客攻击,数据丢失和泄露事件时有发生,遭泄露数据规模大。例如,2014年12月,12306网站遭遇黑客“撞库”攻击,13万用户账号、明文密码、身份证、手机、邮箱等信息被泄露;去年4月,超30个省市社保系统、户籍查询系统、疾控中心、医院等曝出高危安全漏洞,仅社保类安全漏洞就达5279万条,数千万人的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露;唯品会、当当网、国美在线等电子商务平台更是黑客攻击的重要目标,均曾遭遇过大规模信息泄露。
开放共享与数据安全矛盾凸显。大数据具有巨大价值,但只有开放、让数据真正流动起来,才能释放大数据的价值。美国、英国等国家政府已经出台了政府数据开放计划,谷歌等企业也实施大数据开放项目。但在数据开放过程中,如何保护数据安全成为核心问题。由于缺乏大数据管理和安全保障机制,一些通信、互联网企业出于政治、经济等各种目的,利用自身便利非法获取并使用用户信息。同时,在利益的驱使下,针对网络数据的非法收集、窃取、贩卖和利用行为日渐猖獗,已形成黑色地下产业链,规模十分巨大。
各国政府建立大数据安全保障体系的主要举措
将数据安全提升到国家战略高度。2012年英国发布《开放数据白皮书》,明确要对个人数据进行保护规范,提出设立隐私保护专家,执行隐私影响评估机制等措施,并规定政府日常业务中收集的大数据可以开放,而个人数据不开放。2013年日本《创建最尖端IT战略》明确阐述了开放公共数据和大数据保护的国家战略。2014年美国发布《大数据:把握机遇、维护价值》报告,提出发展大数据与安全保障的具体举措。2014年,德国在《2014—2017年数字议程》中提出打造“数字强国”,并提出将出台《信息保护级基本条例》加强大数据时代的安全保障。
围绕数据主权加强法律法规建设。欧盟通过新版《数据保护法》,强调本地存储和禁止跨国分享,欧洲法院根据此法,于2015年10月宣判欧美《安全港协议》无效。俄罗斯从2015年起实行新法规定,互联网企业需将收集的俄罗斯公民信息存储在俄罗斯国内,禁止公民数据存储在国外服务器上。巴西2014年通过《互联网民法》,要求跨国互联网公司在国外存储巴西公民信息时,应作出承诺,遵守巴相关法律,以防这些信息被窃取。
制定以安全为前提的数据共享政策。2013年,奥巴马签署13642总统令,对联邦大数据管理提出新准则,在保护隐私安全与机密性的同时,将数据公开化纳入政府的义务范围。2013年澳大利亚《公共服务大数据战略》强调推动公共行业利用大数据分析进行服务改革的同时保护公民隐私。印度2012年批准国家数据共享和开放政策,但同时列出非共享数据清单,包括保护国家安全、隐私、机密、商业秘密和知识产权等数据安全。
强化关键数据保护技术手段建设,开展数据安全评估。围绕数据采集、存储、挖掘和发布等关键环节,各国加快发展数字加密和数据恢复、基于生物特征等的身份认证和强制访问控制、基于日志的安全审计和数字水印等溯源、数据防泄露等技术手段。
美国、欧盟等还开展了数据安全评估工作,如美国TRUSTe隐私认证得到全球很多国家消费者的认可和信赖,欧盟数据跨境流动安全评估成为评判数据能否转移的重要依据。
健全我国大数据安全保障体系的几点思考
以维护数据主权为重点,建立健全大数据安全法律法规。在维护数据主权方面,我国已出台一些政策,如《关于加强党政部门云计算服务网络安全管理的意见》中明确,党政部门数据归属关系不变,敏感信息不出境。鉴于大数据资源的战略地位,有必要建立和完善大数据安全法律法规体系,针对国内数据的所有权、自由流动、出境限制等问题,制定相应的法律法规,同时加强大数据开放共享的制度建设,明确政府共享数据和非共享数据清单,对数据的收集使用和处理予以规范,切实保护大数据安全。
强化制度建设,加强重点领域和行业关键数据的安全监管。在大型数据中心、重点领域和行业信息系统深入落实等级保护制度,开展信息安全风险评估,并部署基于主动防御理念的技术防护手段和措施。做好大数据平台及服务商的可靠性及安全性评测、应用安全评测、监测预警和风险评估。利用大数据技术建立网络安全监测体系,实时监测和感知网络安全威胁,防御网络攻击,提升对大规模网络攻击威胁的发现和应对能力。强化数据安全相关检测与评估,推动开展数据跨境流动安全评估。
加强大数据安全技术研发,建立完善大数据全过程安全标准体系。加强大数据安全技术的研发,将安全技术融于新大数据技术中,提升大数据基础设施关键设备、平台、产品和服务的安全性能。研究制定数据采集、整合、提炼、挖掘、处理等全过程安全标准,制定从安全态势判断、安全分析、安全检测到发现威胁的相关标准,有效防止数据丢失、泄露、被越权访问、被篡改,保护国家核心数据、商业机密和用户隐私等内容。