1、大數據時代的數據安全挑戰與管理技術創新，變革未來智慧ITContent 主要內容大數據時代下的數據安全挑戰國內外數據安全立法與監管實踐對我國數據安全管理的啟示3大數據時代下的數據安全挑戰數據規模進入“PB”時代：越來越多的企業生產生活、個人生活隱私被數字化和網絡化，虛擬世界逐步成為物理世界的完整映射； “無處不在”的數據采集：可穿戴設備、車載設 備、監控攝像探頭、衛星遙感技術等，帶來了 更加豐富的數據來源； 超強的數據關聯分析能力：數據不斷匯聚、融 合，深度挖掘零散數據間的關系，實現更強決 策、更深洞察。大數據時代的三大特征大數據時代下的數據安全挑戰大數據時代，當我們談論數據保護，我們想保護什

2、 么？用戶個人隱私受到嚴重威脅國家間圍繞數據資源的爭奪日 趨激烈企業面對的數據安全威脅持續 升級數據安全管理面臨挑戰數據跨境流動安全4國家數據資產 保護企業數據資產 保護數 據 安 全 挑 戰用戶個人信息保護5用戶隱私數據泄露事件成倍增加，監管保護亟須加強惡意入侵 意外事故內部人員盜取或操作不當 有組織的黑客攻擊近年來，用戶隱私數據泄露事件成倍增加，事件帶來損失不斷擴大，用戶隱私信息保 護已經成為全球各國網絡空間安全監管的巨大難題。個人身份數據金融財務數據 賬號口令數據固定數據資產2015年，全球共發生1673例數據泄露事故，共造成 7.07億條數據記錄外泄。Ex.2015年8月，大X網600

3、余萬用戶賬戶密碼遭到泄露和售賣Ex.2015年5月，美國稅局遭網絡攻擊泄露10.4萬納稅人信息并損失5000萬美元數據來源：Gemalto6新型網絡攻擊不斷增加，企業現有保護手段難以抵御近年來，ATP攻擊與全球性高危漏洞事件時有發生，新的網絡攻擊模式不斷出現、攻 擊頻率日趨密集、威脅范圍不斷擴大，大數據、云計算等新興信息技術廣泛應用引入 新型數據安全威脅，現有數據安全保護策略已無法有效應對。自2013年以來，數據中心遭遇 DDoS攻擊的占比已經達到了 70%70%2014年，索尼影音公司遭遇ATP攻擊，硬盤數據被毀壞，大量員工信息及影視拷貝遭泄露。大數據、云計算技術帶動信息系統軟硬件 架構的全

4、新變，可能在軟件、硬件、協議等多方面引入未知的漏洞隱患，現有數據安全保護技術“無能為力”。針對企業數據資源的網絡攻擊不斷增加新技術的融合應用易引發新的安全隱患7國際數據資源競爭博弈激烈，數據跨境流動成為關注點隨著數據資產戰略價值不斷攀升，數據跨境流動日趨頻繁，各國對數據資源的爭奪逐步升級，數據跨境流動監管態度各異，難以形成全球統一規則。數據跨境流動客觀上加大了國家關鍵數據資源流失的風險“后棱鏡”時代，國際網絡互信氛圍被打破，各國都擔心自身數據主 權的控制權能和保密權能受到侵害。國際間數據資源流動需求 與數據安全保護需求的矛 盾已逐漸凸顯，如何開展 監管，保衛數據主權，已 成為各國都需解決的重要

5、 課題。西方國家對數據資源已經進入“掠奪”時代Ex.美“梯隊”項目搜集全球90%通信信息Ex.英“顳颥”項目監聽承擔全球電話和網絡流量的光纜系統針對數據跨境流動問題，美國倡導基于“數據共有，自由流動”，與我國等倡導的“數據主權”理 念有很大分歧。8趨勢變化注重開放強調保護8“棱鏡門”事件前，數 據開放是趨勢，針對 跨境流動等的國際合 作不斷推進。各國開始明確并不 斷強化數據保護責 任，網絡數據成為 重要的國家資源隨著網絡數據價值的不斷增加，針對網絡數據的安全威脅也與日俱增，給數據安 全保障帶來了嚴峻的挑戰，使很多國家對網絡數據的使用從“注重開放”轉向“強調 保護和治理”。Content 主要內

6、容大數據時代下的數據安全挑戰國內外數據安全立法與監管實踐對我國數據安全管理的啟示10全球各國應對大數據時代安全挑戰的立法舉措一個充滿變的時代：歐盟即將實施最為嚴格的數據保護法規 美國用戶隱私保護監管執法持續發力 中國用戶個人信息保護法律框架基本成型，各行業監管部門正在制定互補的數據保護法規11歐盟應對大數據時代安全挑戰的立法舉措今年4月14日，歐盟通過數據保護總規（General Data Protection Regulation），2018年正式生效基本原則合法，公平，透 明目的限定 數據最小化 準確有限留存 完整，機密 責任數據權利被遺忘權更正權限制處理權數據可攜權數據獲取權信息知情權知

7、情同意權嚴格限制“數據畫像”技 術利用大數據技術處 理個人數據的活動。企業義務設立數據保護官的 義務泄露通知的義務限制用戶畫像限制隨意跨境轉移用戶充分知情，且 明確同意并授權 匿名化處理分析結果禁止涉及兒童分析結果不能導致 對個人的歧視歐盟的數據泄露通知制度與美國相比更為嚴格，要求企業 在數據泄露事件發生后24小時內向外界通報。如果通知沒有在24小時內完成，則應該解釋延誤原因。美國應對大數據時代安全挑戰的立法舉措2015年2015年2月，美國白宮主導的消費者隱私權利法案（Consumer Privacy Bill of Right）立法草案提交美國國會審議。草案中制定了消費者 隱私保護的7項原

8、則（企業責任），指定FTC作為監管部門加強執法。2016年美國重新界定用戶個人信息，嘗試將IP 地址、設備 標識納入保護范圍。2016年5月，葉爾紹夫（Yershov）起訴美國報業集團甘乃特（Gannett）案例中，美國聯邦第一巡 回法庭判定設備標識結合地理位置信息能夠關聯到個人，應當視為個人可識別信息并予以保護。此前 聯邦貿易委員會已在兒1童2 在線隱私保護規則2013修訂案中擴展了個人可識別信息的定義2014年 2014年5月，美國總統執行辦公室（Executive Office of the President）發布2014年全球“大數 據”白皮書大數據：把握機遇，守護價值BigData

9、：Seize Opportunities, Preserving Values核心觀點：大數據時代，“告知與同意”的規則更容易被破壞，需要重點關注使用一端，確保數 據通過正常合法途徑采集的同時，加強數據開發利用過程的安全管理規則構建。1313各國針對數據跨境流動安全的立法嘗試數據跨境流動涉及公民信息的數據應境內存儲俄羅斯2015年起實行新法，規定收集俄公民信息的互聯網公司都應將這些數據存儲在俄羅斯國內。歐盟最新通過的數據保護總規（GDPR）中規定：除非符合歐盟法律及相關 國際條約或協定,否則任何公司不得將歐盟公民的數據信息與歐盟之外的第三國分 享。2013年新加坡正式實施的個人資料保護法令明確

10、規定機構不得將個人數據轉移至境外除非依據本法的相關要求，確保機構能夠提供符合本法要求的個人數據保護水平。巴西總統推進一項將巴西民眾的信息儲存在國內信息儲存中心的法案，并建議鋪設直通歐洲的海底光纜，免受美國監控。此法案一旦通過將會迫使谷歌等公司在巴西建立服務器。1414各國針對數據安全的監管實踐數據安全調查和政府干預機制隨著數據侵權案件的飆升，美國聯邦貿易委員會（FTC）加強了對不嚴格保護消費者信 息安全的企業的調查。自2002起，FTC調查了許多公司的數據保護工作情況，并對50多家公司采取了執法行動，對涉事企業處以高額罰款并向社會公示。2012年美國谷歌公司因違反隱私保護規則被FTC判罰225

11、0萬美元，2014年GMR公司因泄露15,000份敏感個人信息（包括消費者的姓名、生日和醫療記錄）被FTC提起數據安全執法訴訟。美國聯邦通信委員會（FCC）規范互聯網接入服務商收集、使用用戶信息的行為2015年4月美國聯邦通信委員會(FCC)針對美國第二大電信運營商AT&T數據泄露事件進行處罰。英德等國家也在法律中明確賦予政府針對網絡攻擊的投訴進行調查的權利。15中國應對大數據時代安全挑戰的立法舉措效力層級法律名稱法律刑法修正案；民法通則；侵權責任法；治安管理處罰法；全國人大關于加強網絡信息保護的決定；全國人大常委會關于維護互聯網安全的決定行政法規中華人民共和國電信條例；計算機信息系統安全保護

12、條例部門規章互聯網電子公告服務管理規定；規范互聯網信息服務市場秩序若干規定；個人信用信息基礎數 據庫管理暫行辦法；計算機信息網絡國際聯網管理暫行規定實施辦法；計算機信息網絡國際聯網 安全保護管理辦法；互聯網電子郵件服務管理辦法；互聯網安全保護技術措施規定；規范互 聯網信息服務市場秩序若干規定；電信和互聯網個人信息保護規定金融、保險、醫療健康等行業在數據本地化存儲、數據跨境流動等方面做出了行業內規定 電信和互聯網行業正在制定適應大數據發展需求的網絡數據保護規則我國尚未制定專門、統一的個人信息保護法；現有立法對通過人格尊嚴、個人隱私、個人秘密、保障信息安全等實現對個人信息的直接或間接保護；近年來各

13、行業法律法規針對“個人信息保護”進行規定的趨勢日漸明顯。我國應對大數據時代安全挑戰的立法舉措我國在用戶個人信息保護方面基本上采用了“告知與同意”保護框架，但是法律規定過 于原則，對如何利用大數據對用戶個人信息進行處理分析、數據共享合作過程中的用 戶個人信息保護等問題缺少統一法律或規范性要求。保護范圍基本原則具體規范處罰量刑“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”全國人大常務委員會關于加強網絡信息保護的決定“應當遵循合法、正當、必要的原則”全國人大常務委員會關于加強網絡信息保護的決定知情同意明示收集、使用信息的目的、方式和范圍，并經被收集者同意 禁止出售不得出售或者非法向他人

14、提供公民個人電子信息刑七引入“出售、非法提供公民個人信息罪”與“非法獲16取公民個人信息 罪”；刑九進一步加強了對個人信息違法行為的刑事責任追究。Content 主要內容大數據時代下的數據安全挑戰國內外數據安全立法與監管實踐對我國數據安全管理的啟示對我國數據安全保護管理的啟示為有效應對大數據時代針對數據安全的全新挑戰，需要建立統一、完整的國家數據安 全保護管理體系；企業應重點關注用戶個人信息保護、數據共享合作、數據跨境流動 等關鍵問題的安全管理。加強用戶個人信息使用管理對用戶個人信息進行關聯分析應僅限于提供服務的目的；脫敏后的用戶個人信息應進行可恢復性評估；未脫敏的用戶個人信息不應用于業務系統開 發測試；MAC、IP地址等可能涉及用戶敏感信息的數 據慎重使用數據泄露通知機制涉事主體在發生用戶個人信息泄露事件后應 通知受影響用戶，提醒其采取防范措施。加強用戶個人信息保護加強數據處理外包服務管理防范外包服務人員違規獲取數據；加強對數據合作方的管理簽訂安全協議；數據提供方應能夠證明數據合作