我國大數據交易安全風險及應對思路

劉婷婷 陳詩洋 郭建南

中國信息通信研究院 北京 100191

引言

隨著以人工智能、大數據、物聯網、區塊鏈等為代表的新一代信息技術加速突破應用，數據的價值被充分挖掘和釋放，大數據交易產業應運而生。大數據交易包括三類主體[1-2]：數據供方(賣方)、數據需方(買方)、數據交易中間方(交易中介)。其中數據供方是提供數據或原始數據的主體，數據需方是購買或者使用數據的主體，數據交易中間方則為供需雙方提供交易的場所或信息化平臺，即大數據交易中心。大數據交易的本質是買賣數據價值，供需雙方交換的不是原始數據，而是經過數據清洗和處理后的數據結果，因此大數據交易以電子交易為主要形式，通過大數據交易中心的信息化平臺(以下簡稱“大數據交易平臺”)，交易包括API數據接口、解決方案、數據終端等格式的數據[2-3]。數據來源包括政府開放數據、數據供方提供的數據、互聯網爬取的數據和數據交易平臺沉淀、產生的數據。數據交易加速了各行業數據的交換和流通，能夠激勵更深層次數據價值挖掘利用，為基于數據的經濟和社會創新發展提供很大便利。然而我國數據交易產業仍處于初級階段，大數據交易尚未形成統一規范，大數據交易平臺的經營范圍無明確規定，大數據交易主體權責不明確，因此數據交易暗藏大量安全風險，需及早研究并加以防范。

1 我國大數據交易政策環境

1.1 國家頂層監管政策

自2008年以來，隨著數據價值的重要性日益凸顯，我國相繼出臺了一系列與數據交易相關的政策文件，為推動數據交易產業發展提供了制度依據和政策指引。我國與數據交易相關的政策文件要求及其影響與意義如表1所示。

表1 國家數據交易相關監管政策

1.2 地方性法監管政策

在數據交易監管政策指引方面，貴州省走在全國前列，浙江、廣東等省份也相繼出臺指引性規定。2014年貴州省出臺《關于加快大數據產業發展應用若干政策的意見》指出，要“創新機制培育市場，建設大數據交換平臺和數據交易市場，加快數據資源流通”。同年，貴州省發布《貴州省大數據產業發展應用規劃綱要》指出，“建立數據資產登記制度和數據資產交易規則，推動形成數據資產交易市場”。《意見》和《綱要》的發布是貴州省科學規劃大數據產業布局的體現，為力保大數據產業安全發展提供了頂層指導。2016年貴州省出臺《貴州省大數據發展應用促進條例》(以下簡稱“《條例》”)，是全國首部在大數據領域的立法，《條例》從數據采集、數據交易等方面，對各級政府推動大數據產業發展應采取的措施做了明確規定，如推動標準體系建設，規范數據采集，促進數據交易，推動大數據應用等。《條例》還從加強政府監管、明確各方主體責任等方面，對數據安全管理作出了規定，包括建立政府安全監管制度、強化有關各方安全管理主體責任和推動安全管理技術創新。《條例》為貴州省大數據交易管理作出了宣示性、原則性、概括性和指引性規定。此外，2016年，浙江省和廣東省分別發布《浙江省促進大數據發展實施計劃》和《廣東省促進大數據發展行動計劃(2016-2020年)》，探索健全大數據交易產業發展支撐體系，培育數據交易市場，進一步促進全省大數據發展。

1.3 行業標準和公約

2014年6月，《中關村數海大數據交易平臺規則(征求意見稿)》在中關村大數據交易產業聯盟專家顧問委員會宣布成立當天同步推出，是我國第一份大數據交易規則。

2015年5月，貴陽大數據交易所發布《貴陽大數據交易所702公約》，為大數據交易所的性質、目的、交易標的、信息隱私保護等指明了方向。

2016年7月，由工業和信息化部、中央網信辦、國家發改委指導，數據中心聯盟籌建的“大數據發展促進委員會”成立大會在京召開。中國信息通信研究院、中國電子科學技術研究院、中國聯通、中國電信、阿里巴巴、京東、360、世紀互聯等多家單位共同發布《數據流通行業自律公約》2.0版，新版公約定位為解決數據流通領域長期缺乏行業規范問題[4]。

2018年6月7日，中國公布首個國家數據交易標準《信息技術 數據交易服務平臺 交易數據描述》(GB/T 36343-2018)，該標準從2019年1月1日正式實施。此外，2019年8月，系列標準《信息技術 數據交易服務平臺 通用功能要求》(GB/T 37728-2019)、《信息安全技術 數據交易服務安全要求》(GB/T 37932-2019)發布，并于2020年3月1日正式實施，后者系中國首個大數據交易安全標準。

2 國內大數據交易管理現狀

2.1 國家監管政策缺少對大數據交易中心權威約束

縱觀國內現行法律法規，一方面我國尚無國家頂層大數據交易立法，對大數據交易中心的法律定位、經營范圍、職責權限等沒有統一認定，大數據交易中心審批流程缺少權威規定，無法對數據交易行業發揮普遍的法律約束力；另一方面，當前大數據交易管理規范主要依靠行業自律，不同大數據交易中心制定的交易規則出發點不同、顆粒度不同，甚至對大數據交易中心權責的理解和定義不同，顯然行業自律并不能對數據交易各環節各主體進行有效約束[2,5]。對比國際方面，2017年1月，歐盟委員會發布了《打造歐洲數據經濟 數據所有權》的白皮書，指出歐盟現有的數據相關法律框架并不能有效地促進數據的運作，建議未來從法律角度對數據所有權問題進行回應。2018年5月，美國佛蒙特州通過了數據經紀商(大數據交易中介服務的經營主體)專項監管法案，成為美國第一個對數據經紀商進行專項立法的州[6]。但相比國外較為成熟的數據開放、隱私保護等方面的法律體系，在數據交易方面，國外的法律體系仍需健全[1,7-10]。

2.2 數據確權和隱私保護問題尚無有效解決方案

數據確權問題，尤其是個人數據產權和個人隱私權問題，是大數據產業關注的核心問題。保護個人隱私和個人數據權屬是一個問題的兩個方面，數據確權后將更有利于個人隱私保護，而明確個人隱私數據共享交易的規范后，更有利于區分數據安全責任。當前，國內尚未形成明確的數據權屬規定，數據歸屬不明確、個人隱私去標識化能否成為企業免責的理由，現行立法對這一問題還沒有明確答案[5,8,9,11]。因此制定切實有效的個人隱私保護與數據確權相平衡的法律規定，將更有利于大數據交易產業的安全健康發展[12]。

2.3 大數據交易安全管理缺少技術保障能力支撐

一方面，大數據交易行業尚未形成標準統一的安全管理技術手段，無法對大數據交易平臺的網絡安全、信息安全和數據安全保障機制和措施進行有效評估，無法全面掌握大數據的交易類型、交易方式、合規性等基本情況；另一方面，大數據交易安全離不開數據流通各環節的專業化處理，大數據交易行業在數據采集匯聚、非結構化處理、數據清洗、數據建模等環節涉及的技術和工具產業化專業化水平尚待提升。此外，我國缺乏對黑市交易等違法違規交易行為的主動發現技術手段，無法及時發現違法違規數據交易問題或行為，缺乏準確、科學地對疑似違法違規交易事件進行研判的技術能力，一旦遭遇重大數據安全事件，無法及時制止違法行為，制約健康有序的大數據交易產業形成。

3 大數據交易面臨的安全挑戰

3.1 大數據交易關乎國家安全

隨著數據被國家納入生產要素，數據加速在互聯網上的流通與共享，對各行各業發展具有重要激勵作用。交通、電信、金融等國民經濟領域的企業作為數據存儲與處理的第一大主體，承載著影響國計民生的大量行業重要數據，對經濟、社會、國家安全等具有巨大價值，我國陸續制定相關政策推動大數據產業深入發展。但是大數據時代，重要行業數據一旦被非法交易或造成數據泄露甚至非法出境，也可能對國家安全產生重大負面影響。例如，2021年7月，國家網信辦發布對“滴滴出行”等25款APP下架的通報。被通報的企業主要為交通出行、網絡貨運等領域的頭部企業，至少掌握了所屬行業80%以上的深度數據。對這些數據分析挖掘可以直接或間接地反映我國各區域人口分布、商業熱力、道路信息等情況[13]。

3.2 數據交易過程潛伏隱私泄露危機

根據國際數據公司(IDC)和數據存儲公司根據國際數據公司（IDC）統計，2020年，全球數據量達到了60ZB，其中中國數據量增速迅猛，到2025年將增至48.6ZB，也已成為全球矚目的“數據大國”。中國2018年約產生7.6 ZB數據，到2025年將增至48.6ZB，業已成為全球矚目的“數據大國”。大數據交易中心承擔著數據和信息存儲、處理、交易的重要角色，由于相關數據交易規則不透明、法律法規約束不充分、數據安全防護技術措施不足，海量的數據交易過程必然潛伏隱私泄露危機。一方面濫用信息、倒賣個人數據的情況屢見不鮮，另一方面數據逆向分析等技術給數據脫敏清洗帶來更大挑戰，即便是經過脫敏、匿名化處理后可視化的數據商品依然存在被關聯分析得到原始數據信息的可能性[14]。

3.3 數據交易平臺易成為網絡詐騙犯罪溫床

由于國家大數據戰略部署的需要，加上近兩年準入門檻較低、數據交易安全監管不嚴或滯后等，大數據交易中心數量暴增。據不完全統計，自2015年第一家大數據交易所成立以來，我國已注冊的數據交易中心有60多家[15]。其中不乏某些平臺借著大數據交易的名義實際上從事的是圈錢和詐騙等活動，其利用平臺發布信息非法收取會員會費等手段進行詐騙后迅速下線，不僅造成個人和企業經濟損失，也給國家大數據產業發展帶來不良影響[16]。

3.4 監管約束不到位易造成數據濫用從而滋生數據黑產

數據采集、流通與共享等環節缺乏個人信息收集使用的規范標準，數據使用主體的權責界定不清，數據安全保障制度與技術措施不完善，容易引發違規使用個人信息或數據濫用問題。據Dentsu Aegis Network(電通安吉斯集團)的報告顯示，在全球接受調研的4.3萬多人中，64%的人對科技類公司的不信任主要源于企業會濫用個人數據。因為數據交易和使用的合法性很難界定，阻礙了數據流通，而面對大數據交易市場數據供求矛盾突出問題，地下數據交易市場規模卻不斷壯大，針對個人信息的違規收集和惡意利用等行為日益猖獗。

4 對策建議

4.1 建立健全安全監管制度機制和責任體系

每個行業的良性發展都離不開清晰明確的監管制度。我國大數據交易產業發展目前主要依靠行業自律，國家層面缺乏專門的監管部門、明晰的管理制度和責任體系。應加快立法明確大數據交易主管部門及監管職責，完善大數據交易安全監管領域政策，明確大數據交易中心數據安全管理主體責任；實施對大數據交易中心運營主體的準入安全審查；指導大數據交易中心做好對數據交易的安全控制和安全審計，做到過程與人員均可控、可追溯；通過定期檢查、信用評價、能力評定等方式，督促大數據交易平臺運營主體落實配套網絡安全和數據安全保障要求。

4.2 完善配套合規指引和操作規范

良好的數據交易產業環境需要各參與方共同維護。一方面，行業管理機構應研究制定完備的大數據交易中心數據安全相關標準。針對大數據交易中心的交易模式，加強對大數據交易中心數據安全管理技術要求、數據安全管理系統接口規范等研究，構建形成面向大數據交易中心的數據安全管理標準體系。另一方面，大數據交易中心等交易中介作為數據流通的媒介，應加強對個人用戶、企業用戶的操作規范引導，通過協議等方式加強對數據供方的數據權屬審定。

4.3 加強大數據交易安全評估和自評估

一是作為行業監管機構，相關部門應加強對大數據交易安全的第三方評估。將大數據交易平臺的數據安全作為安全評估工作的一部分，加強對其安全風險巡查和問題清理，對發現的違規或異常數據交易行為督促其依法清理處置。二是作為數據交易中介，大數據交易平臺應加大數據安全自評估和防護力度，避免企業內部安全管理不善帶來的安全隱患。三是作為數據交易的需求方，個人和企業用戶在選擇數據交易媒介時應加強甄別，在獲取數據信息后做好數據安全保護，維護好個人和企業權益。

4.4 創新大數據交易安全管理技術手段

增強大數據交易平臺自身安全防護水平，提升大數據交易過程的安全保障技術能力，確保大數據使用權與大數據所有權分離，打造安全可靠、權責清晰的大數據交易環境，制定覆蓋“數據采集、數據存儲、數據處理、數據傳輸、數據使用”全生命周期的安全保障技術措施；同時圍繞大數據交易的交易主體、交易方式、交易范圍、交易事件、交易對象等形成大數據交易管理技術體系，助力形成大數據交易事中監測和事后追責技術能力；建立對未經許可成立的大數據交易中心的主動發現能力，通過與大數據交易平臺的技術聯動管理，實現對大數據交易安全事件的實時監測、異常預警和溯源處置。