新華網北京3月4日電 全國人大代表、中國電信湖南公司總經理廖仁斌在今年兩會上重點關注大數據安全管理,並提出了相關建議。廖仁斌表示,隨著大數據的發展,政府與企業的決策、管理與控制正在從「業務驅動」轉變為「數據驅動」,並在未來5到10年,中國大數據產業將迎來黃金增長期。
但他認為,大數據發展與應用在創造價值的同時,也面臨著複雜嚴峻的安全挑戰。如公民個人信息和隱私數據信息洩露的風險大大增加;各個行業和企業在利用大數據獲得信息價值時也在不斷的累積風險;各個國家在海量大數據的採集、傳輸、存儲、處理過程中,增加了遭受信息攻擊的可能性。
廖仁斌代表建議,在將大數據產業作為國家戰略發展,促進經濟繁榮與社會進步的同時,站在維護國家安全、社會穩定和公民權益的高度,統一謀劃、統一部署、統一推進、統一實施,加強對大數據的安全管理,讓數據自由安全流動。廖仁斌代表提出了五條建議,即構建大數據安全政府監管和行業自律機制;建立適應大數據發展的法律法規體系;健全大數據安全技術標準和認證機制;推動大數據安全產業和人才培養同步蓬勃發展;加強大數據安全保護的宣傳教育。
全國人大代表、中國電信湖南公司總經理廖仁斌。新華網發
以下為廖仁斌建議全文:
關於加強大數據安全管理的建議
2015年9月,國務院發布《促進大數據發展行動綱要》,基於國家戰略的大數據頂層設計,從政府大數據、新興產業大數據、安全保障體系三個方面著手推進大數據領域十大工程建設,全面促進大數據發展和應用,加快政府數據開放共享,深化大數據在各行業的創新應用,通過建設數據強國,提升政府治理能力,推動經濟轉型升級。《綱要》的發布意味著中國大數據的建設即將全面提速,中國大數據產業的蓬勃發展,將對推進落實「中國製造2025」和「網際網路+」國家戰略、促進大眾創業、萬眾創新,推動經濟和社會發展產生積極的作用。
隨著大數據的發展,政府與企業的決策、管理與控制正在從「業務驅動」轉變為「數據驅動」。大數據應用的領域十分廣泛,涵蓋了製造、交通、通信、旅遊、醫療、金融、電力、餐飲、網際網路、物流等幾乎涉及到社會與生活的全部行業,同時大數據和各大產業的結合將更加緊密,成為各大產業發展的支撐性戰略資源。
由上可知,大數據涉及量之大、面之廣、影響之深已成為客觀事實,根據IDC和EMC聯合發布的「2020年的數字宇宙」報告預測,到2020年全球數字宇宙將會膨脹到40000EB,均攤到每個人身上達到5200GB以上,中國將產生全球21%的數據。2015年9月,中國信息通信研究院發布了《2015年中國大數據發展調查報告》,調查報告分別從大數據軟體產值、大數據硬體產值、大數據服務產值幾方面進行分析顯示,其受訪國內企業中,已有超過55%的企業部署了大數據應用,2014年中國大數據市場規模約為84億元,2015年中國大數據市場規模達到115.9億元,增速達38%,預計2016至2018年中國大數據市場規模將維持40%左右的高速增長。業內分析,在未來5到10年,中國大數據產業將迎來黃金增長期。
然而,不能迴避的問題是,大數據發展與應用在創造價值的同時,也面臨著複雜嚴峻的安全挑戰。當今,大數據安全問題主要歸納為以下三個方面:
一、公民個人信息和隱私安全問題。大數據的匯集不可避免地加大了公民個人信息和隱私數據信息洩露的風險,在大數據時代,想完全屏蔽外部數據商挖掘個人信息非常困難。目前,電子郵件、微信、微博、視頻發布、電子商務、科學計算、社交網絡等已成為人們日常數據交流發布的平臺。而通過數據中大量的個人信息,可以關聯分析和挖掘出公民個人身份、帳戶、位置、軌跡等敏感或隱私信息,使得對大數據的採集和利用很容易侵犯公民的個人信息和隱私,惡意利用的技術門檻大大降低。
二、行業和企業數據安全問題。各個行業和企業在利用大數據獲得信息價值的同時,也在不斷累積風險。大數據通過分布式雲化計算,在系統中進行上傳、下載、交換的同時,極易成為黑客與病毒攻擊的對象,大數據平臺和各類應用服務系統一旦被入侵並產生洩密,則會對行業和相關企業的信譽、研發、銷售、服務和品牌等多方面帶來嚴重衝擊,並帶來難以估量的損失。
三、國家安全威脅問題。各個國家在信息設施和重要機構以及能源、交通、金融、商業等重要基礎設施與軍事設備等方面都依賴信息網絡,海量大數據的採集、傳輸、存儲、處理過程中,增加了遭受信息攻擊的可能性,信息設施和重要機構等都可能成為攻擊目標,國家安全甚至可能受到信息戰的威脅。若數據管理和技術防範不當,大數據還可能為網絡恐怖主義提供新的利用資源,網絡恐怖主義可通過分析工具竊取無所不在的數據資源,獲取情報,進而威脅國家安全。
綜上所述,大數據雖然以一種全新的模式給社會生活增添色彩,給產業發展增加動力,但是由於數據體量大、類型繁雜、價值密度低、分步式快速處理等特點,也給我們帶來了前所未有的數據安全威脅和挑戰,2013年的美國「稜鏡門」事件和2014年國內「攜程網」數據洩露事件就是典型的案例,這警示我們必須高度重視大數據安全問題。可見,大數據安全是制約大數據產業發展的主要障礙,若大數據安全不能保障,公民將不願貢獻個人數據,各個行業將會減少大數據平臺和應用的部署和共享,一個原本快速增長的大數據產業,將會在數據安全的威脅中失去活力,國家也會失去發展大數據的機會,從而直接影響國家經濟與社會發展。
為積極應對日益凸顯的大數據安全問題,世界主要國家和地區從法律規制、政策監管、技術標準和人才培養等方面全方位探索並形成了一攬子安全管理舉措和經驗,如美國頒布了《2014年國家網絡安全保護法案》、積極推動出臺《網絡安全信息共享法案》,國家標準與技術研究院(NIST)發布了用戶身份識別指南,在《大數據研究和發展計劃》提出要擴大大數據數據科學家和工程師等所需人才的供給;歐盟通過了新版《數據保護法》,強調本地存儲和禁止跨國分享;俄羅斯2015年開始實行網際網路企業要將收集的俄羅斯公民信息存儲在俄羅斯國內等管理制度;英國在《開放大數據白皮書》中專門針對個人隱私保護進行規範,在《英國數據能力發展戰略規劃》中對人才的培養做出了專項部署;日本2013年《創建最尖端IT戰略》明確闡述了開放公共數據和大數據保護的國家戰略。
因此,在將大數據產業作為國家戰略發展,促進經濟繁榮與社會進步的同時,建議站在維護國家安全、社會穩定和公民權益的高度,統一謀劃、統一部署、統一推進、統一實施,加強對大數據的安全管理,讓數據自由安全流動。對此提出以下建議:
一、構建大數據安全政府監管和行業自律機制。由於大數據安全立法有一定的滯後性,建議首先重點構建政府監管和行業自律機制。一是加強統籌協調和組織保障,建議在中央網絡安全和信息化領導小組的統籌領導下,構建國家部委行業監管和行政區域監管的矩陣式監管體系,督促大數據運營單位落實建立安全組織機構,層層落實安全管理責任。二是加強分類分級管理,實施大數據等級保護制度,按照行業領域、數據價值、數據特徵等屬性進行分類管理,嚴格實施大數據基礎平臺建設和數據應用的「事前」審批制度,強化落實數據脫敏、信息定密、風險評估、數據流控、事態預警和應急處置等「事中、事後」監管措施,建立健全大數據保護的考核評估機制,將數據採集、存儲、分析、挖掘、使用、傳輸、開放等全生命周期的關鍵環節納入監管範圍,對涉及國家利益、國防安全、公共安全、公民人身安全等關鍵行業領域的大數據,建議在有關部門內部設置專門的管理機構進行集中監管,確保數據在規定的範圍進行使用和傳播。三是充分發揮行業自律作用,建議政府監管部門主動鼓勵和引導各行業組織積極制定大數據安全行規行約,鼓勵成立行業或區域性的大數據安全聯盟等組織,建立行業內互相監督機制,實現自律約束、自律管理和自律懲戒,做到政府監管和行業自律相互協同、形成合力。
二、建立適應大數據發展的法律法規體系。大數據在虛擬化的網絡空間流動,但運用大數據的主體是現實中的產業鏈參與者,建議國家加快實施統一立法工作,明確各方權利義務,讓數據資產歸屬者的主權受到法律保障。一是加快立法調研工作,建立由政府牽頭,企業、法律、科研等方面專業人員組成的大數據法律法規調研組織,在已有的網絡與信息安全相關行政法規的基礎上,結合大數據產業發展的特徵,開展大數據安全管理方面的立法調研工作。二是在調研的基礎上制定適應我國大數據發展的法律法規,搭建大數據法律法規保護的基礎框架,界定數據採集、處理、存儲、分析和傳播的範圍和方式,明確大數據產業鏈參與者的相關主體權利、責任和義務,對非法行為制定處罰標準。三是加大對數據濫用、侵犯個人隱私、惡意利用數據危害社會穩定和國家安全等行為的打擊和懲戒力度,提升犯罪門檻和違法成本,形成震懾效應,提升大數據生態的法律治理能力。四是積極參與國際大數據安全規則和標準的制定,建構一個尊重主權的大數據網絡空間秩序,為我國大數據發展爭取良好的國際環境。
三、健全大數據安全技術標準和認證機制。當前,行業領域和行政區域已逐步建立自身的大數據平臺,未來幾年,大數據基礎平臺和數據應用的數量將爆炸性增長,迫切需要健全完善大數據安全技術標準和認證機制。一是建議從國家層面儘快制定統一的大數據安全技術標準,綜合行業和區域的共性特點,針對信息保密、權限控制、可信性甄別、安全防護、攻擊溯源、數據災備和應急處置等方面形成基本的安全規範。二是各行業領域和行政區域的管理部門根據自身大數據業務應用特徵和安全防護需要,在國家統一大數據技術標準上,深入制定行業和區域的技術規範和防護標準,進一步保證本行業和本區域大數據的規範應用。三是實施大數據安全認證機制,建立健全我國大數據安全認證體系,成立專門認證機構對數據平臺和數據應用開展安全認證,任何單位、企業和個人要建立大數據平臺和運營大數據業務必須要先通過本行業、本區域指定的大數據安全認證組織的評估認證。
四、推動大數據安全產業和人才培養同步蓬勃發展。強大的大數據產業離不開安全產業和人才培養的同步繁榮發展。一是通過加大資金投入、設立國家大數據安全基金等方式推動大數據安全技術研發,將核心軟硬體技術研究納入國產自主化國家工程,集國家力量進行重點攻堅,抓緊推進可信計算和加密算法等安全技術研究,積極開展數據接口、傳輸、存儲、脫敏、溯源和審計等數據應用的安全技術開發,加強與國際安全技術和應用成果的交流和合作,鼓勵國內機構參與制定國際大數據安全標準;二是助推大數據安全產品和服務產業創新發展,政府部門搭好平臺促進安全企業、數據運營單位、科研機構和高等院校合作開展大數據安全產品研發,通過加大政策和資金的扶持和引導力度,鼓勵網絡安全企業開展數據訪問、數據流控制、資料庫安全和數字水印等大數據安全產品研發和創新,支持有條件的地區設立大數據安全創業科技園,推動傳統網絡安全服務企業向大數據安全服務轉型,建設一批大數據應用安全方面的示範項目。對於國產化的大數據安全產品和服務,各級政府部門要實施首購制度,尤其是對實現國產自主化的軟硬體設備要進行全面替代推廣。三是建議國家實施大數據安全人才戰略,將培養引進高層次大數據安全創新創業人才納入「國家高層次人才特殊支持計劃」,採取在高等院校設立大數據安全專業學科、在科研機構設立大數據安全研究部門或實驗室、在安全企業和大數據運營企業建立專門人才隊伍等方式培養傑出人才、領軍人才、青年拔尖人才,積極引進海外高層次人才,吸引海外人才回歸報國,通過高層次人才進一步培訓和帶動一批基礎研究型和技能操作型人才,形成人才梯隊,為我國大數據安全發展提供強大的人才支撐和保障。
五、加強大數據安全保護的宣傳教育。一是通過各種渠道對公眾開展個人信息安全和隱私保護教育,推廣面向個人的安全技術防護工具,使公民可以自主控制提供的個人信息量,提高公民的風險防範意識、責任自律意識和安全防範技能。二是對大數據平臺單位相關人員加強職業道德和法律法規等方面的教育,讓「誰運營誰負責、誰使用誰負責、誰主管誰負責」的責任意識深入人心。三是國家設立大數據安全日,對廣大民眾、單位團體進行普遍性的數據安全保護宣傳和教育。四是建立大數據安全申訴渠道和舉報機制,鼓勵和動員公民個人、新聞媒體、認證服務機構等社會各界監督和曝光數據安全違法行為,形成共享共治、齊抓共管的良好社會氛圍。