大数据发展的全新挑战

大数据战略重点实验室

大数据时代的来临，促使社会治理模式和经济发展方式发生了巨大变化，大数据打通了时空的壁垒，实现了各种资源要素的“聚通用”。从资源的角度来理解，大数据被誉为未来的石油，被作为国家基础性战略资源来管理；从国家治理的角度来看，大数据已经有助于提升治理效率、重构治理模式、破解治理难题；从经济增长的角度来看，大数据已经被作为一个产业来发展，成为经济增长的新动能；从国家安全的角度来看，大数据已经成为一个国家综合实力的重要组成部分。同时，全球数据资源呈现爆发式和多样化的急剧增长，大数据引发的个人信息安全问题已全面爆发，产生的威胁、侵害和影响，已经远超越我们认知的范畴，信息安全与隐私泄露给我们带来了严重困扰。因此，我们既要顺应形势，抢抓机遇，共谋发展，也要高度重视大数据给国家安全、社会稳定以及个人隐私带来的诸多安全挑战和问题。

在此背景下，2016中国大数据产业峰会暨中国电子商务创新发展峰会以《促进大数据发展行动纲要》为基础，为推动大数据的健康发展搭建了数据产业国际化、专业化的交流平台。第二届“中国大数据安全高层论坛，大数据时代的挑战：数据安全与个人隐私保护论坛，中国智慧城市数据安全与产业合作高峰论坛，大数据防范金融风险论坛，大数据风控发展论坛，大数据与网络安全立法高层研讨会”六大高端论坛，邀请了政府、学界、企业的重量级嘉宾，汇聚了互联网业界和法学界的专业人士，围绕互联网金融风险控制、个人隐私保护、数据跨境流动、关键信息基础设施等话题，共同探讨了大数据领域的安全问题，并思考了大数据发展带来的新挑战，一起寻求最大共识。此外，还探索了数据开放和个人隐私保护的平衡之道，为中国智慧城市数据安全建言献策。这对于全球范围内大数据的安全、产业可持续发展具有重要意义。

一、大数据发展与安全治理“并驾齐驱”

如今，人类社会已经进入了大数据时代，数据数量和价值快速攀升，持续创造出巨大的经济和社会价值。当然，这也是个充满挑战和险峻的复杂时代，随着互联网向其他行业的融合发展，大数据将加速从互联网向更广泛的领域渗透，与此同时，大数据安全威胁也将全面辐射到各行各业。

5月25日至27日，在贵阳国际大数据产业博览会暨全球大数据时代贵阳峰会期间，由中国信息安全测评中心、贵阳市人民政府联合主办的“第二届中国大数据安全高层论坛”在贵阳国际生态会议中心举行。论坛开始，贵阳市副市长刘春成和中国信息安全测评中心主任朱胜涛做了会议致辞。接着，中央网信办网络安全协调局副局长卿昱、中国信息安全测评中心专家委员会副主任黄殿中、中国工程院院士倪光南、国防科技大学计算机学院副总工苏金树等专家学者，围绕“数据创新驱动发展、数据治理保障安全”这一主题，从战略、产业、学术、技术、应用等多个视角深入探讨了大数据领域的安全问题，解读了各个领域大数据发展带来的新挑战，并提出用新思维应对大数据安全挑战，以减少大数据时代的隐私泄露风险，提升大数据治理能力，为大数据的发展提供安全保障。万物互联时代，大数据规模空前，数据流动更加频繁，大数据日益成为国家的基础性、战略性资源。从顶层的战略视角来看，国家已经将大数据视为重塑数据新机遇、提升政府治理能力的新途径和引领经济腾飞的新引擎，大数据的价值在于其推动思维方式的改变。中国信息安全测评中心专家委员会副主任黄殿中指出，我国大数据发展呈现3个特点，一是大数据安全面临新挑战，一方面，大数据与国家主权安全紧密结合，威胁挑战日渐增多；另一方面大数据与国家治理体系深度交织，风险冲击日趋复杂。二是大数据安全呈现新特点，数据时代的安全问题纷繁复杂、变化多端。三是大数据治理需要新思维。因此，我们应乘势而上，主动作为，积极借鉴发达国家在大数据安全治理上的经验教训，并从战略设计、政策规划、科研创新、人才培养等方面结合我国大数据安全实际，加强探索创新。

大数据环境下，不同行业的企业对于数据安全的实际需求发生了重大改变。随着企业数据资源的进一步增长和集中，这一完整链条中的数据安全受到了来自各个方面的威胁，对数据安全隐私的有效保护也变得日益困难。公安部网络安全保卫局副局长赵林认为，要解决好开放机制和安全责任的问题，才能够保证大数据安全有序和广泛的开放。在数据获取、存储和应用的过程中，数据的采集能力、存储能力、应用能力、传输交换能力和安全能力，构成大数据处理能力的五个方面。在大数据的发展过程中，首先关注数据来源——数据每天都在爆发式产生，由无数网民、无数单位产生。这些数据具有多元、异构、高速、海量等一系列特点，造成传统的数据获取和数据处理方式难以适应，所以要把住数据的入口，“不仅要敞开口子让数据进来，更要把好口子让数据更有质量地进来。”政府要建立一个开放的机制，通过合理的设计保障大数据安全有序和更大的开放。

在经济、社会、安全等领域，基于数据决策将会逐步取代基于经验的决策，这些特性使得大数据成为将传统安全与非传统安全深度融合的媒介，固有的安全风险和新型安全威胁挑战因为数据时代的到来而面临着更复杂的问题，以信息为基础的现代社会由此步入了一个风险多样、挑战多变的新阶段。中国电子科技网络信息安全有限公司董事长李成刚认为，目前我国大数据处于发展初期，解决开放融合条件下的数据安全问题、建立安全监管机制、完善大数据安全配套措施，是最核心、最迫切的发展需求。此外他还提出，目前发展大数据有四个方面的安全问题需要解决，一是在政府数据开放过程中，由于规范及保护措施缺乏，导致各委办局采用禁止敏感数据流通的保守方式进行数据保护，严重阻碍了数据的公开、共享与流通；二是在大众数据开放过程中，数据非法利用面临舆情监管的困难；三是在行业数据融合过程中，数据挖掘泄露了敏感及隐私信息；四是在配套措施中，标准与法规欠缺，人才需求缺口较大。

对于一个大型网络，在网络安全层面，除了访问控制、入侵检测、身份识别等基础技术手段，需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。国家密码管理局商用密码管理办公室副主任安晓龙认为，要大力推进密码应用，保障大数据安全。数据安全威胁着国家网络空间安全，密码是保障大数据安全的有效手段，密码技术与核技术、航天技术一直被视作国家安全的三大支撑技术，在身份认证、安全隔离、信息加密等方面它有着独特的、不可替代的作用，采用密码技术对大数据进行安全保护大有用武之地，社会各界应知行合一地推动密码应用，保障大数据安全。随着大数据的发展，密码技术被赋予了更重要的内涵，国家密码管理局正在全面深入贯彻落实中央要求，引导密码研究，包括产业的推进、加固基础设施、规范密码服务、健全密码应用安全性审查评估机制，推进密码标准应用和国际化，大力推进密码应用保障大数据安全。

二、开放与保护：“数据天平”的两端

随着大数据时代的到来，人们的衣食住行、健康医疗等信息被数字化，可以随时随地通过海量的传感器、智能处理设备等终端进行收集和使用，实现物与物、物与人、人与人等之间在任何时间、任何地点的有效连接。然而，在享受大数据挖掘得到的各种各样有价值的信息给生产、生活带来便利的同时，也不可避免地泄露了人们的隐私。因此保护人们的隐私是大数据时代急需解决的重要问题。

5月25日至27日，在贵阳国际大数据产业博览会暨全球大数据时代贵阳峰会期间，由中国互联网协承办、阿里巴巴集团协办的“大数据时代的挑战：数据安全与个人隐私保护论坛”，在贵阳国际生态会议中心召开。论坛主题聚焦于数据安全与隐私保护的产业实践，既包含企业内部数据安全实践，又包含政府与企业合作的模式探索，主要面对大数据产业生态各相关方，政府部门相关领导、高校及科研单位、法学界等单位专业从业人员。论坛上，中国互联网协会理事长邬贺铨院士、北京航空航天大学法学院院长龙卫球、阿里集团安全部技术副总裁杜跃进等与会嘉宾围绕如何在全面推动数据开放、应用、共享的同时，完善产业标准体系，有效保护公民、企业隐私，让各类市场主体公平分享大数据带来的技术、制度和创新活力进行了交流。嘉宾们站在不同的角度分析大数据产业面临的威胁和挑战，探索数据开放与个人隐私保护的平衡之道等一系列重要问题。

中国工程院院士、中国互联网协会理事长邬贺铨认为，大数据意味着海量数据的汇集，很容易引来潜在攻击者，为了避免黑客入侵，企业的大数据最好采用分布式存储。国家“十三五”规划着重提到了大数据安全技术，提出要加快海量数据的采集、存储、清洗、分析、发掘、可视化、安全与隐私保护等关键技术攻关，集中力量突破信息管理、信息保护、安全检查和基础支撑关键技术，提高自主保障能力，加强关键信息基础等方面的建设。此外，不少涉及国家利益、国家安全的数据都掌握在互联网企业手里，这不仅是信息社会的热点，也是信息安全博弈的焦点，企业有责任通过提升技术、管理等来保障这些数据的安全。

大数据本身的安全属于信息安全的范畴，当然，它也与运营管理有关，因此就涉及法规、标准、制度、管理等方面的问题。由于大数据是新事物，因此相应的法规、标准、制度等必然落后于实践。中国互联网协会秘书长卢卫在会上强调，我国在大数据发展和应用方面已具备一定基础，拥有市场优势和发展潜力，但也存在数据开放共享不足、产业基础薄弱、法律法规建设滞后等问题亟待解决。他呼吁，应尽快完善大数据相关的法律法规，营造互联网数据产业发展的法治环境；互联网企业要切实履行社会责任，共同促进大数据产业持续健康发展；网民要加强个人隐私保护意识，培养健康安全的网络使用习惯。

如何在不泄露用户隐私的前提下，提高大数据的利用率，挖掘大数据的价值，是目前大数据研究领域的关键问题。这个问题将直接关系到大数据的民众接受程度和进一步发展趋势。阿里集团安全部技术副总裁杜跃进在论坛上表示，为保护数据安全、用户隐私以及数据的合规使用，阿里巴巴内部已经投入一支近百人的团队来建设一套完整的大数据安全管理规范。他介绍，作为一家数据公司，阿里巴巴很早就着手建设针对数据的安全管理规范，这套规范基于企业自身的数据安全实践，借鉴国际上成熟的度量模型，围绕数据生产、存储、使用、传输、共享到销毁的全生命周期，覆盖组织建设、人员能力、制度流程、技术工具四个能力维度。

当今时代，大数据分析带来的隐私泄露问题日趋严重，如何在利用大数据为各行各业服务的同时，保护好隐私数据，防止敏感信息泄露，这已成为新的挑战。华盛顿大学教授陈一昕认为，数据安全是确保数据不因偶然和恶意的原因遭到破坏、更改、丢失和泄露，数据隐私保护是防止敏感数据遭到有意或无意的泄露或盗窃。他结合医疗大数据分析提出了基于加密技术的个人隐私保护和基于隐藏数据技术的多机构间的知识共享理论方案。

三、风控为互联网金融数据披上“安全外衣”

近年来，随着产业信息化、数字化、网络化进程的加速，互联网、云计算、大数据带来更新式革命，推动互联网与金融快速融合，提高了金融资源配置效率，“互联网+金融”成为传统金融行业转型“触电”的新模式。同时，互联网金融行业也饱受黑客攻击的困扰，一些技术安全防范较低的平台因此造成系统瘫痪，用户信息泄露甚至资金损失的困境，诸如此前芝麻金融被爆出8000多名用户资料遭泄露、红岭创投受攻击一度网站停摆等，数据安全成了互联网金融发展中的“绊脚石”。

5月25日至27日，在贵阳国际大数据产业博览会暨全球大数据时代贵阳峰会期间，“大数据防范金融风险论坛”“大数据风控发展论坛”相继在贵阳国际生态会议中心召开。中国电子学会副理事长兼秘书长徐晓兰、中国产学研合作促进会执行副会长兼秘书长王建华、电子科技大学大数据研究中心主任周涛、中国科学院自动化研究所复杂系统管理与控制国家重点实验室主任王飞跃等国内外政企产学研用的专家学者，一起就如何利用大数据技术创新互联网金融监管方式；如何有效预防系统性和区域性金融风险的发生；如何立竿见影打造更加健康合理的互联网金融环境等互联网金融监管领域的问题进行了深入交流，为数控金融领域的可持续发展贡献大量有建设性的意见与建议。建立健全针对互联网金融的制度和法规，建立大数据监管平台，通过数据、技术结合，对互联网金融企业进行全过程动态监管，以保障金融数据的安全变得尤为重要。中国中小企业协会副会长、金电联行董事长兼总裁范晓忻认为，在互联网金融监管上，随着互联网金融火热的同时，风险也如影随形，金电联行和贵阳市通过数据与技术的结合，对互联网金融的新兴业态进行全过程动态风控监管。首先是建立健全互联网金融方面的制度和法规，通过分类梳理互联网金融风险从制度层面规范金融业态，贯彻执行中央的相关文件精神。其次是建立大数据监管平台，监管互联网金融企业全生命过程，通过对互联网金融企业进行动态监管，对不符合市场准入条件的企业阻止其进入市场或者是淘汰，保障广大互联网金融参与者的利益。

范晓忻进一步指出，大数据监管平台可以对资金流向、参与主体进行监管，一方面对互联网金融业务的过程进行监管，比如是否违规建立资金池和服务是否合格；另一方面对关联责任人进行监管，敦促其向处于市场弱势的投资人群体进行完整的信息披露。范晓忻强调，我们正在与贵阳市开展合作，利用大数据对互联网金融进行监管，这一监管模式在全国是首创，将为整个互联网金融行业的监管提供重要借鉴。

当前，依托先进的计算机和互联网技术，金融机构采集海量的个人和企业信息，如信贷信息、信用交易信息、公共事业缴费信息、经营与决策信息、行政处罚信息等，建立起规模庞大的信息系统，涉及信息主体生活的方方面面。而与之相对应的是尚未建立起相应的信息安全网络监测系统，对于信息安全保密控制等缺乏相应制约。国家工商总局企业监督管理局副局长洪丹认为，要在法律框架下，将不涉及个人隐私、商业秘密的数据向各个行业协会公开，让行业协会发挥作用，行业协会再和会员共享这些数据，这些做法会更加可行。其次，在数据推送方面，要结合我国国情，由行业协会或者是行业内有影响力的龙头企业或者专家学者组织讨论制定规范标准，明确数据公开范围、条件。

确保金融数据的安全采集、安全存储、安全传输和安全处理，是金融信息系统建设面临的重要挑战。中国投资协会会长张汉亚认为，大数据将在金融风险控制上发挥重要作用。大数据的处理和收集技术应用，可以为金融产业提供精准营销和贷前贷后管理服务，降低金融企业业务风险，提升整体金融企业经营管理水平。同时，他指出金融业最关注的就是信用评估问题。

大数据是信息革命中非常前沿且快速发展的技术，依托大数据技术能较好地解决传统信贷风险管理中的信息不对称难题，提升贷前风险判断和贷后风险预警能力，实现风险管理的精确化和前瞻性。贵阳银行股份有限公司行长、董事李忠祥指出，第一，因为小微企业的信息不对称，造成传统银行无法解决小微客户的风险问题；第二，银行业的平衡已经被大数据风控技术打破，必将对传统小微风控模式造成冲击；第三，大数据金融是一片蓝海，是金融的高端形态，大数据将占领小微金融市场，其运用最有价值的部分就在于大数据金融；第四，大数据金融是一次红利。充分利用大数据，轻资产融资难问题、扶贫问题、金融成本高等问题将得到解决。

随着金融信息化的加速，将使金融信息系统的规模逐步扩大，同时金融信息资产的数量也将急剧增加，如何对这些大量的信息资产进行有效管理，使不同程度的信息资产都能得到不同级别的安全保护，将是金融信息系统安全管理面临的巨大挑战。中国中科金财股份有限公司董事长朱烨东认为，当前互联网金融面临的核心风险，可以从资产端用大数据做信用风险的预测和判断，平台端通过区块链技术做证据的保存和托管、登记，可以从资金端用大数据做预测风险的管控。他还介绍了央行、清算协会和中科金财一起研发的行业风险信息共享平台。平台包括行业信息共享系统、风险事件协查系统、银行卡收单业务系统。

四、立法：创新引领大数据顶层设计

随着大数据的深入应用，大数据涉及的个人信息保护、企业数据产权与安全、国家数据主权与安全等问题日益突出，相关法律问题引起社会高度关注。目前，对于大数据的采集、交易、安全等问题，国内没有统一的标准和规则，也缺少完善的法律支撑。近几年来，美欧各国都在加紧相关法律法规的研究和调整。所以，加大数据与网络空间的相关立法，以此保障数据安全，促进产业发展显得十分重要和紧迫。

5月26日，“大数据与网络安全立法高层研讨会”在贵阳生态会议中心举行。研讨会由中国信息通信研究院承办，中国信息通信研究院政策与经济研究所所长鲁春丛、贵州省人大常委会党组书记张群山、中央网信办政策法规局副处长唐磊、西安交通大学信息安全法律研究中心主任、中国网络空间安全协会副理事长马民虎等专家学者，围绕大数据应用相关的个人隐私保护、数据跨境流动、关键信息基础设施等问题进行了探讨，还针对数据主权、数据交易和数据权属问题进行了积极的讨论，寻求最大共识。

互联网不是法外之地，我们在分享互联网带来的巨大便捷和服务的同时，有义务、有责任用法治思维和法治方式守护好我们共同的家园，保护网络空间良好的生态，实现网络世界山清水秀，促进互联网持续健康有序的发展。西安交通大学信息安全法律研究中心主任、中国网络空间安全协会副理事长马民虎提出，当前的安全边界不再清晰，需要“全方位”威胁态势感知，建立第二道法律防线。他认为，“数据依赖”已经变为一种新的威胁，要加强数据的加密存储和通信，以及通过信息披露弥补数据完整性的安全短板。他指出，立法不应当回避本地化需求，应当调整关于内容安全的思维，以舆论宣传理念进行网络安全法的制度设计。

数据主权的保卫能力决定了我们未来的命运，大数据时代的到来造成了国家权力和个人隐私的新冲突，在推动大数据发展战略中，应把数据立法放在重要位置。中国信息通信研究院互联网法律研究中心主任李海英认为，安全原则的框架包括三个层面：一是国家层面，要平衡经济发展与安全之间的关系；二是个人层面，要平衡个人数据安全和商业利用之间的关系；三是企业层面，企业既有维护国家安全的责任，也有维护个人数据安全的责任。她提出，在数据发展过程中核心技术、自主技术能够维护自身数据主权，并指出数据主权具有资源维度、技术维度和法制维度。

大数据日益对全球生产要素的流通、分配以及经济运行机制、人的生活方式和国家治理能力产生重要的影响，对传统法律治理带来挑战，技术发展与网络安全屏障的脆弱性威胁着数据的保密性、完整性、可用性，同时也给国家安全、公共安全、个人隐私及产业发展造成威胁与挑战。中国法学会法律信息部副研究员刘金瑞认为，网络安全立法和关键基础设施网络立法都要从国家安全高度把握关键基础设施范围，规划设计多层次法律规范，避免重复规定。同时，应坚持国内经验总结和国外经验借鉴相结合原则，协调信息安全等级保护与关键基础设施保护制度的关系。

大数据交易在我国越来越普遍，交易数额越来越大。亟须立法予以明确数据权属和规范交易秩序，要尽快启动数据开放相关立法工作，建立数据开放标准，明确数据开放进程和范围边界、使用方式，以及明确政府统筹利用市场主体的大数据使用权限和范围，为数据开放共享建立制度基础。中国信息通信研究院博士韩涵提出，数据使用亟待突破基本理论问题，包括数据的资产属性、权利归属、利益分配和责任等问题。第三方标准符合性审查是保障数据安全的有效手段。而对于数据利益的分配，他认为，公共数据资源适用于成本法，由国家财政给予补贴，非公共数据资源适用于市场法、收益法，应该由市场的手段获取收益。