大數據安全防護的痛點

莊嘉

編者按：大數據時代，數據安全的“脆弱性”逐漸凸顯，數據泄露、監控、破壞事件頻發，令用戶隱私受到極大威脅。大數據安全防護儼然成為愈來愈緊迫的社會問題。設置數據安全防護的屏障，不僅要從源頭上斬斷數據泄露的利益鏈，完善信息安全防護的法律法規，亦需各級監管部門、企業和社會組織協同共治，促成對數據泄露的綜合監管。

大數據應用的迅速崛起與數據的安全防護

隨著“互聯網+”的興起，大數據應用逐漸步入人們的視野。誠如中國互聯網協會理事長鄔賀銓所言，“‘互聯網+促使傳統行業被逐步數據化，產生了巨量的連接和數據”。時下，世界正步入大數據應用的時代。《國務院關于印發促進大數據發展行動綱要的通知》《大數據產業發展規劃（2016—2020年）》等一系列重磅政策的陸續出臺，預示著我國越發重視大數據的開發與利用。據貴陽大數據交易所發布的《2016年中國大數據交易產業白皮書》，“我國的大數據產業市場在未來五年將保持高速增長。2016年年末，市場規模將達2485億元。伴隨各項政策的配套落實及推進，至2020年，我國大數據產業規模或達13626億元的高點，大數據將在經濟發展、社會治理、市場監管等諸多領域得到更廣泛的應用”。

作為最早洞見大數據時代發展趨勢的數據科學家，維克托·邁爾·舍恩伯格在《大數據時代》一書中曾預言，“大數據在未來商業應用層面有巨大的價值，人類生活可能被大數據主宰，但不能忽視其中的風險”。在我國，因數據安全問題引發的電信與網絡詐騙、網絡盜竊、敲詐勒索等違法犯罪案件及各種民事糾紛時有發生，“數據信息安全”已成為大數據時代下亟待破解的難題。

表1中一連串涉及數據安全問題的事件告誡我們：數據安全問題已經成為我國大數據發展的痛點！據中國青年政治學院互聯網法治研究中心于2016年11月21日發布的《中國個人信息安全和隱私保護報告》，“超七成的受訪者認為個人信息泄露問題嚴重；26%的受訪者每天收到兩條以上的垃圾短信；20%的人每天收到兩個以上的騷擾電話；多達81%的參與調研者經歷過熟知自己姓名、單位等個人信息的陌生來電；53%的人因網頁搜索、瀏覽后泄露個人信息，被某類廣告持續騷擾；租房、購房、購車等信息泄露后被營銷騷擾或詐騙的高達36%……”。數據安全防護的缺失導致信息泄露已經達到了觸目驚心的地步，因而引起民眾的普遍關注和擔憂。而就在2017年伊始，廣東警方主辦的“颶風1號個人信息泄露專案”“58同城簡歷數據泄露”等數據安全事件又警示我們：數據威脅就在我們的身邊！

數據安全的監管困境

當前，我國網絡空間正面臨著前所未有的巨大挑戰與威脅。盡管國內的大數據平臺，數據、內容的供應商，政府相關職能部門愈發重視對數據安全的防護，開發了一些大數據安全產品，但作為新生事物的大數據安全產業還只是處于起步階段。我國數據安全的監管層面主要存在兩方面困境——

困境一：數據威脅的黑色產業鏈已形成，但技術壁壘滯后

當前，數據威脅事件的日益增多與地下黑色產業鏈的發展有著直接的關聯。在數據威脅的黑色產業鏈中，存在著數據提供方、數據中間商以及數據購買者三個核心角色。大數據時代從某種意義上是通過大規模收集數據信息創造新價值的時代。而在黑色產業鏈的各方看來，這種新價值最直接的表現形式就是“直接的獲利”。

在筆者看來，獲利的數據來源主要分為兩種。首先是內鬼倒賣數據。例如在2016年12月發生的“京東12G用戶數據疑似泄露事件”中，賣掉9313條京東用戶信息的3個前京東員工共非法獲利近4萬元。其次就是黑客利用系統漏洞獲取數據。比如2017年3月爆出的58同城簡歷數據因遭黑客使用惡意爬蟲軟件而泄露，造成部分買家僅花費人民幣700元就可買下全國簡歷的荒唐事件。

這從側面印證了我國數據平臺（如銀行，房地產、保險、快遞公司，P2P平臺，網絡賣家，電信、移動、聯通運營商）掌握了大量的數據信息，但對于海量數據的管理存在盲區，令內鬼可輕易得手，從中牟利。另一方面，物聯網、云計算等智能化發展趨勢，造就了更為復雜的數據安全問題。我國數據平臺的技術壁壘滯后，難以招架黑客的新型安全攻擊方式，這就為黑色產業鏈的發展壯大提供了空間和土壤。

困境二：法制保障滯后，行業監管和社會監督缺位

在我國，對數據安全保護的法律法規不在少數。比如，《刑法修正案（七）》（2009年）增設了“出售、非法提供公民個人信息”“非法獲取公民個人信息”的罪名。《刑法修正案（九）》（2015年）取消上述罪名，并以“侵犯公民個人信息罪”取而代之。《網絡安全法》（2016年）則在第四章明文規定“網絡信息安全”，對網絡運營者提出明確要求，標明處罰標準……此外，銀監會、工信部、保監會等監管部門亦對個人信息保護發布了不少規章制度。可見我國近年來在立法層面正逐步重視對數據威脅的規制。

但是，法律法規數量不少，卻缺乏系統性、可操作性（如《網絡安全法》無配套的司法解釋及實施細則），在重要罰則環節上仍存空窗，造成現有法制難以契合實踐需要。且目前的規定多為事后角度對數據威脅提供罰則保護，缺乏事前制約機制。一旦遭遇數據泄露，受害方需支付高額的維權成本，難以從根本上遏制數據信息的非法使用。正如中國青年政治學院互聯網法治研究中心執行主任劉曉春所言，“刑法對侵犯個人信息的罪犯的量刑規定不高（一至兩年的刑罰已算嚴懲），在實踐中震懾力有限”。

與此同時，行業監管部門更重視運營商的績效考核，對數據安全欠缺真正的監督。出現內鬼后，個人往往被追責，但所在企業未受嚴厲的連帶責任追究，缺乏對企業追責的抓手。同時，我國尚無專門的數據信息協調、保護、監督組織，無法動員社會力量打擊數據泄露、攻擊的行為。由于缺乏專業的維權力量的幫助，受損方往往難以追責、要求停止侵害并獲得賠償。

構筑大數據安全防護三維體系

在大數據時代，數據安全本身恰恰是一個動態調整的過程，沒有一招制敵的方案，必須緊跟時代步伐，多管齊下。

立法控制：從法律上斬斷黑色產業鏈

在個人逐漸被數據化的時代，盡管我國于2016年底頒布了《網絡安全法》，對數據采集、使用等方面做出明確規定，但是《網絡安全法》在具體落實層面卻遭遇到冷遇。全國人大代表、上海經濟和信息化委員會副主任邵志清認為，“目前，公共數據資源主要集中在政府部門、公用事業單位和國有企業，數據開放程度不夠。同時，現階段金融、商貿、交通、醫療、先進制造、能源等行業缺乏應用。立法可以明確數據各類主體的責任義務，規范數據采集、流通與使用，保護數據產權、安全和隱私，采取數據分級管理的方式”。這些均需要相關司法解釋或者實施意見予以真正落地。

未來企業對個人數據的使用限制將越來越多，政府數據立法開放和各地數據交易平臺的建立讓數據獲取逐步納入法制軌道。要想真正避免數據安全事件的關鍵，在于斬斷侵犯數據信息的利益鏈，從法律上解決違法犯罪成本過低的頑疾。立足于法律修改、司法解釋等形式，提高針對數據信息的違法犯罪成本，如此才能從源頭上遏制買賣數據信息獲利的現象。

技術控制：從技術上建立分級的數據安全防護系統

不管是數據被惡意代碼破壞，還是被黑客監控，最終都使得安全問題落在了安全技術這個點位上。因此，從技術角度建立分級的數據安全防護系統才能應對眾多黑客的新型攻擊手段。中國工程院院士沈昌祥曾發表對建立分級安全防護的看法，他認為“一方面要通過由低到高（自主級、審計級、安全標識保護級、結構化保護級、訪問驗證保護級）多層次的數據防護體系建立分級管理；另一方面要采取多重防護體系，包括加大數據資源、環境、系統保護，加強處理流程控制，加強全局層面安全機制，加強技術平臺支持下的安全管理。這樣才能真正從技術上構建多層次、高質量的多重防御大數據防護體系”。

意識控制：從制度上夯實社會共治的監管體系

在我國，數據信息泄漏的源頭精準地指向擁有信息的“有關部門和企業”。例如，網購收貨地址對應的是“電商”，手機號碼對應的是“移動、電信、聯通等運營商”。誠然，不能保護信息，就無資格收集信息。自己手上的信息既是資源，更是責任。正如劉曉春所言，“要提升信息安全，單憑一己之力不夠，需要監管部門、產業鏈各方通力合作，才能逐步遏制信息泄露帶來的負能量”。

編輯：黃靈 yeshzhwu@foxmail.com