新年伊始�����,國內外幾場(chǎng)大數據產(chǎn)業(yè)論壇和展會(huì )���,無(wú)一例外地把大數據安全作為一個(gè)重要內容�����!督(jīng)濟參考報》記者采訪(fǎng)獲悉���,當前���,數據采集��、存儲�����、交易等環(huán)節均存在安全隱患���,數據隱私管理法規不健全���,數據產(chǎn)權的立法滯后�����。專(zhuān)家建議��,從技術(shù)創(chuàng )新和完善法制兩方面保障大數據安全���,推動(dòng)大數據產(chǎn)業(yè)發(fā)展��。
黑市個(gè)人信息非法交易活躍
剛剛過(guò)去的一年�,國內外數據之戰頻發(fā)���。國內有菜鳥(niǎo)順豐��、騰訊華為����、微博今日頭條之間的數據爭奪�����,國外有亞馬遜和沃爾瑪零售業(yè)數據糾紛��,這些都表明���,越來(lái)越多的企業(yè)尤其是積累了海量數據的企業(yè)�����,愈發(fā)重視數據資產(chǎn)的價(jià)值�����。
在中國�����,大數據市場(chǎng)早已風(fēng)生水起���。近年來(lái)���,九次方大數據�����、數據堂����、聚合數據等專(zhuān)業(yè)化數據服務(wù)提供商出現在市場(chǎng)����。而貴陽(yáng)大數據交易所的掛牌運營(yíng)�����,帶動(dòng)全國多個(gè)省市建立了自己的大數據交易所��。除了交易所或交易平臺�����,大數據交易市場(chǎng)還有一支中堅力量——電信運營(yíng)商和銀聯(lián)�����。據了解����,中國電信集團2017年大數據交易的KPI(關(guān)鍵績(jì)效指標)是6億元���,已經(jīng)基本完成����;中國聯(lián)通集團大數據KPI是4億元��,據說(shuō)完成得不太好���,其中����,上海聯(lián)通大數據KPI2017年是4000萬(wàn)元�,已經(jīng)完成了3600萬(wàn)元�����。北京移動(dòng)2017年大數據收入有望達到1億元�����。
此外�����,市場(chǎng)上還有一類(lèi)公司專(zhuān)門(mén)為AI(人工智能)公司提供數據清洗�、標注等數據加工服務(wù)�,因為AI算法需要專(zhuān)門(mén)的AI訓練數據�。BAT(百度����、阿里�����、騰訊)每年在數據清洗�����、標注等數據加工服務(wù)方面的支出超過(guò)上億元���。
業(yè)內人士在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)透露�,出于個(gè)性化服務(wù)和精準營(yíng)銷(xiāo)的目的�,企業(yè)大都希望全面了解自己的用戶(hù)�,但每家公司從自有渠道收集的數據都是片面的�����,從而滋生購買(mǎi)數據或與其他公司交換數據的需求�����。據了解�����,除了政府開(kāi)放的數據和企業(yè)自身收集的數據����,市場(chǎng)上交易也是數據的重要來(lái)源���,但這也在某種程度上催生了黑色產(chǎn)業(yè)鏈����。據業(yè)內人士介紹�,正規數據交易市場(chǎng)的交易額約為100億元�,而數據黑市的交易額度則龐大得多�����,盈利狀況也很好�����。
多年來(lái)�����,以販賣(mài)個(gè)人信息為主的地下數據黑產(chǎn)業(yè)鏈十分活躍�����,這在一定程度上制約了合法大數據交易產(chǎn)業(yè)的發(fā)展�����。據了解���,正規交易的數據需要經(jīng)過(guò)采集���、清洗����、脫敏�、脫密��、融合等流程�,保障了數據的合法性�、真實(shí)性和安全性��,成本也相應提高��。但黑市交易的大部分數據多由內鬼或黑客竊取得來(lái)���,幾乎是無(wú)本萬(wàn)利�。比如�,正規渠道的人臉識別數據價(jià)格為每條0.1元�,而黑市上只需花1分錢(qián)就能獲取同樣的數據��。
有業(yè)內人士估算�,目前黑市交易可能是中國數據交易的主流����。據不完全統計�,國內個(gè)人信息泄露數達55.3億條左右�����,平均每人就有4條相關(guān)的個(gè)人信息被泄露�����,這些信息在黑市中反復被倒手����。其中��,80%的數據泄露自企業(yè)內部人��,黑客占20%���。
據外媒報道�,日本數字貨幣交易所Coincheck最近對外宣布��,其系統遭遇黑客攻擊�����,共丟失價(jià)值5.3億美元的新經(jīng)幣���。資料顯示�,新經(jīng)幣目前是全球第八大數字貨幣��,市值達93.95億美元����。此次失竊事件發(fā)布之后��,該幣值一度上漲超30%�。而此次事件也成為自2009年數字貨幣問(wèn)世以來(lái)最大的失竊案之一�����。
幾年前���,全球最大的電子郵件營(yíng)銷(xiāo)公司艾司��。‥psilon)發(fā)生了史上最嚴重的黑客入侵事件��,主要的企業(yè)客戶(hù)名單以及電子郵件地址因此外泄��,受害企業(yè)包括摩根大通�、第一資本集團�、萬(wàn)豪酒店��、美國銀行���、花旗銀行及電視購物網(wǎng)絡(luò )等�。而就在不到一個(gè)月時(shí)間的同年4月底����,索尼公司遭到黑客攻擊��,泄露了一億份賬戶(hù)資料�����,其Play Station網(wǎng)絡(luò )和Qriocity流媒體服務(wù)不得不關(guān)閉將近一個(gè)月�。索尼公司因此花費了約1.71億美元來(lái)彌補這個(gè)損失�。
兩大核心技術(shù)保障數據安全
我國《大數據產(chǎn)業(yè)發(fā)展規劃2016-2020年》提出���,大數據產(chǎn)業(yè)要安全規范發(fā)展�����,必須“堅持發(fā)展與安全并重�����,增強信息安全技術(shù)保障能力���,建立健全安全防護體系����,保障信息安全和個(gè)人隱私��。加強行業(yè)自律���,完善行業(yè)監管����,促進(jìn)數據資源有序流動(dòng)與規范利用”����。例如�,貴州省作為全國首個(gè)大數據綜合試驗區��,高度重視大數據安全產(chǎn)業(yè)發(fā)展�����,建設大數據安全靶場(chǎng)和大數據安全產(chǎn)業(yè)園����,并設立“貴陽(yáng)市大數據信息安全產(chǎn)業(yè)創(chuàng )業(yè)投資基金”�。
據記者觀(guān)察���,隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》及相關(guān)配套細則的正式實(shí)施���,大數據安全的市場(chǎng)空間得到進(jìn)一步釋放��,政府和企業(yè)在大數據安全技術(shù)����、產(chǎn)品和服務(wù)創(chuàng )新方面的投入正進(jìn)一步加大���。
業(yè)內人士表示���,無(wú)論是國內還是國外��,大數據交易均面臨數據產(chǎn)品未授權復制��,數據被泄密��、偽造和篡改��,交易行為抵賴(lài)等安全威脅��,而密碼技術(shù)和人工智能技術(shù)是保障大數據交易安全的核心和關(guān)鍵����。
國家密碼管理局商用密碼管理辦公室副主任安曉龍說(shuō)�����,大數據安全與國家網(wǎng)絡(luò )空間安全密切相關(guān)�。大數據具有數量龐大���、處理迅速���、類(lèi)型多樣���、高價(jià)值等特點(diǎn)�����,數據在集聚過(guò)程中由量變產(chǎn)生質(zhì)變���,集聚程度越高����,其重要性和價(jià)值性就越高�����,安全保障的任務(wù)也會(huì )越來(lái)越重����!懊艽a技術(shù)是保障大數據安全最可靠����、最經(jīng)濟�、最有效的手段��,應積極推進(jìn)密碼技術(shù)應用��,切實(shí)保障大數據安全���。密碼技術(shù)作為國家安全的三大支撐技術(shù)之一���,是保障大數據安全的可靠方法�������!
近年來(lái)�����,為了發(fā)展國家密碼技術(shù)�����,國家密碼管理局相繼頒布了從SM1到SM9的自主研發(fā)密碼算法����,這些算法基于現代密碼學(xué)的原理���,逐漸成為我國信息安全保護的核心手段����。SM9算法是一種新型的基于標識的密碼算法��,使用用戶(hù)的標識(如郵箱地址��、手機號碼)作為公鑰����,大大地簡(jiǎn)化了傳統公鑰密碼體系中密鑰和證書(shū)管理的復雜性���,使安全性和易用性得到完美的結合���,非常適用于基于互聯(lián)網(wǎng)���、大數據��、云計算等各種新興應用的安全保障���。
作為SM9算法發(fā)起人之一�����,奧聯(lián)首席技術(shù)官程朝輝表示��,在大數據已經(jīng)上升為國家戰略�����、密碼算法成大數據安全核心機制的當下�����,國密算法SM9的推廣和普及顯得尤為迫切�����,亟須政府部門(mén)��、機構��、企業(yè)等多方力量的共同推進(jìn)����。
此外����,國內外廠(chǎng)商也正在研究利用機器學(xué)習和人工智能技術(shù)來(lái)提升網(wǎng)絡(luò )和數據安全�����。亞信網(wǎng)絡(luò )安全產(chǎn)業(yè)技術(shù)研究院正在從反思Wanna Cry蠕蟲(chóng)勒索病毒出發(fā)��,回顧數據統計及機器學(xué)習技術(shù)應用于網(wǎng)絡(luò )安全的歷史����,并圍繞機器學(xué)習來(lái)驅動(dòng)網(wǎng)絡(luò )安全發(fā)展�。
根據美國韋克菲爾德研究中心和網(wǎng)絡(luò )安全廠(chǎng)商Webroo最近對400名安全專(zhuān)家的查詢(xún)�����,99%的受訪(fǎng)者認為選用人工智能在總體上可以改進(jìn)其組織的網(wǎng)絡(luò )安全���。87%的受訪(fǎng)者表明他們的組織已將人工智能作為其網(wǎng)絡(luò )安全策略的一部分��。實(shí)際上��,美國74%的網(wǎng)絡(luò )安全專(zhuān)業(yè)人士認為���,在未來(lái)三年內��,假設沒(méi)有人工智能��,他們的公司將無(wú)法保護數字資產(chǎn)的安全��。
美國網(wǎng)絡(luò )安全廠(chǎng)商Imperva公司首席技術(shù)官Terry Ray說(shuō):“人工智能可以做到這一點(diǎn)�。它們了解數據中心的遵循性��,然后調整并編寫(xiě)一個(gè)新的防火墻規則來(lái)恢復它��。具體來(lái)說(shuō)��,人工智能選擇一個(gè)需要在一系列條件下進(jìn)行保護的新程序���,并自動(dòng)編寫(xiě)所需的防火墻規則以強化這個(gè)新程序從一個(gè)數據中心移動(dòng)到另一個(gè)數據中心��。當然����,也可以在同一個(gè)數據中心內搬家�����!
網(wǎng)絡(luò )安全廠(chǎng)商FireMon公司總監Josh Mayfield表示�,當數據中心需要改動(dòng)時(shí)�����,人為更改防火墻規則顯得很凌亂���。而憑借虛擬機����、微分段和按需核算��,將比作業(yè)人員處理的速度更快�����。
據記者了解���,國內有關(guān)機構和公司也正在廣拓思路����,尋找更多更有效的技術(shù)措施來(lái)保障大數據安全����。目前公安部第三研究所網(wǎng)絡(luò )身份技術(shù)事業(yè)部正與上海數據交易中心共研共建“數據流通xID標記技術(shù)”��,以實(shí)現個(gè)人數據去標識化�����,保證流通安全���。
北京衛達信息CEO張長(cháng)河說(shuō)�����,“隨著(zhù)網(wǎng)絡(luò )安全面臨的威脅日益增多��,傳統的防御手段存在過(guò)于被動(dòng)等缺陷�����,可能因一個(gè)漏洞就毀于一旦�。衛達信息正在研究目前的先進(jìn)技術(shù)——基于動(dòng)態(tài)變化的動(dòng)態(tài)防御���������!
數據確權是大數據立法關(guān)鍵
2018年初��,對大數據時(shí)代個(gè)人隱私安全的擔憂(yōu)再度升級:微信官方表示���,不會(huì )將用戶(hù)任何聊天內容用于大數據分析�;支付寶因用戶(hù)查看年度賬單時(shí)“被同意”收集個(gè)人信息��,被國家網(wǎng)信辦約談���;百度則回應江蘇消協(xié)稱(chēng)���,旗下手機應用沒(méi)有能力����、也從來(lái)不會(huì )申請監聽(tīng)用戶(hù)電話(huà)�。
業(yè)內專(zhuān)家表示�,隨著(zhù)云計算�、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展�����,大數據應用規模日趨擴大����,在數據采集�、存儲��、開(kāi)放共享等方面均存在安全隱患���。由于數據隱私管理法規不健全��,數據產(chǎn)權立法滯后�����,缺乏推動(dòng)各個(gè)部門(mén)數據交換和共享的制度�����、規范和標準��,公民隱私得不到合法保護���,與此同時(shí)��,社交網(wǎng)站的隱私數據也可能被不法商家利用�����,這些都給數據安全帶來(lái)了巨大的挑戰�。
大數據和信息安全方面的專(zhuān)家表示�����,我國應盡快推進(jìn)大數據安全的法律建設��。首先是個(gè)人信息安全與隱私權保護問(wèn)題���、數據權屬及應用中的法律問(wèn)題��;第二是人工智能��、區塊鏈等新興產(chǎn)業(yè)中的數據應用法律問(wèn)題�����;第三是行業(yè)內部大數據的法治問(wèn)題�����。
中國政法大學(xué)副校長(cháng)時(shí)建中表示���,“數據安全應成為大數據行業(yè)立法的重點(diǎn)�������!彼f(shuō)�����,法的價(jià)值一般包括安全��、公正和效率��。其中���,安全應是第一位和基礎性的價(jià)值���,沒(méi)有安全�����,公正與效率便是奢談���。因此����,數據生產(chǎn)���、采集���、存儲��、加工����、分析�、服務(wù)等相關(guān)經(jīng)濟活動(dòng)中如何確保數據安全���,應該是立法的重點(diǎn)��,是規范數據行為和促進(jìn)數據行業(yè)發(fā)展的法治需求����。
隨著(zhù)2017年6月1日《網(wǎng)絡(luò )安全法》和《最高人民法院�����、最高人民檢察院關(guān)于辦理侵犯個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》的出臺����,從事黑灰色數據交易的法律風(fēng)險陡然增大���,非法數據買(mǎi)賣(mài)和提供達到50條就能入刑��,公安部門(mén)與監管部門(mén)亦聯(lián)手對大數據行業(yè)進(jìn)行排查整頓�����。
“現階段�����,數據黑市問(wèn)題嚴重����,這反映出《網(wǎng)絡(luò )安全法》落實(shí)尚未到位�,在制度上����、人員上�����、技術(shù)防控上還有很大差距���。立法不代表問(wèn)題完全解決�����,還要加大力度����、嚴格執行法律法規����!敝袊ù髮W(xué)傳播法研究中心副主任朱巍說(shuō)�。
業(yè)內人士認為�,去年10月1日起施行的《中華人民共和國民法總則》明確了互聯(lián)網(wǎng)數據權屬于民事權利的一部分�����,體現出了相當的時(shí)代性���,適應了互聯(lián)網(wǎng)融入民事生活的社會(huì )現狀�。然而��,數據權和信息權的屬性定位尚不清晰��。個(gè)人信息通常被認為屬于隱私權的保護范圍���,但其實(shí)際的權利范圍遠遠不止于此��,可能還涉及延伸的財產(chǎn)權利��。
在法律專(zhuān)家看來(lái)����,數據確權是個(gè)新興法律課題�����,挑戰巨大����。例如�,數據的采集�、加工���、控制�����、利用�����、交易等環(huán)節可能有多個(gè)參與方��,什么情況下什么類(lèi)型的參與方可以獲得數據的權利�����,所擁有的權利中哪些是排他性的權利(即絕對禁止他人抄襲和模仿)等��,每一步設計都關(guān)系到多種利益的博弈和平衡����,在實(shí)踐中尚無(wú)形成共識和慣例��。
法律專(zhuān)家建議�����,各種法律法規還可進(jìn)一步銜接���,以更加系統化�。例如�����,消費者權益保護法����、身份證法�、未成年人保護法等都涉及個(gè)人信息保護��,還需要進(jìn)一步銜接整合�����,為未來(lái)我國個(gè)人信息保護法出臺做好充分準備��。
大數據流通與交易技術(shù)國家工程實(shí)驗室大數據政策法律研究中心主任高富平指出����,應當建立民事���、行政和刑事多種手段�����,國家法治和行業(yè)自治協(xié)同的全面的個(gè)人信息保護體系�,在保護個(gè)人權益的前提下規范�����、安全��、有序地利用個(gè)人信息��,釋放大數據的紅利���。
一些律師表示���,2017年5月���,兩高出臺了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》���,對于一些高度敏感信息��,如行蹤信息�、財產(chǎn)信息�、通話(huà)內容等�����,入罪標準設定為50條��,對于一般敏感信息和其他信息分別設置了500條����、5000條的入罪標準��。從嚴設置定罪量刑標準��,降低入罪門(mén)檻����,體現了從嚴懲處的精神���,明確規定了信息數量的計算規則能有效指導司法實(shí)踐��,增強可操作性��。不過(guò)����,通常非法獲取�、出售�、提供公民個(gè)人信息�,都有其他違法犯罪的用途�,定罪量刑不能僅僅以信息類(lèi)型標準��,還應對信息的用途�、數量進(jìn)行綜合判斷�����。
手機看中經(jīng)
經(jīng)濟日報微信
中經(jīng)網(wǎng)微信
