对我国大数据安全问题的研究

中国信息通信研究院产业与规划所所长　胡坚波

各位尊敬的领导，各位嘉宾：

大家下午好！

很高兴在这里跟大家分享我们在大数据方面的研究情况。大数据安全问题伴随着大数据的发展取得了很大的进展，网络安全法目前正在征求意见，我们在执法中主要把《全国人大关于加强网络信息保护》当成执法依据，贵州作为地方也开展了很多立法实践，这是我们看到的情况。贵州作为大的综合试验区，从三部委的批复来看，明确提出了贵州在开展大数据综合试验区的时候要保障网络安全、数据安全、国家安全、隐私保护等。也就是说，贵州需要逐步探索和解决这些问题，为全国先行先试探索出一条路来。

我们建立了一个数据所有权多维图，包括个人数据、企业数据，还有国家层面的数据。我们围绕相关的管理维度，包括安全法规、安全规范、安全政策、安全产业、安全技术等问题进行分析。我们同时也从数据处理的角度，包括数据收集、存储、开放、交换、利用等进行相关的分析。还有就是从数据应用的领域，包括政务和民生等领域，尽量挑出一些重要的问题来研究。

我们总结了十个问题来和大家分享：

问题一：个人信息频繁泄漏。有大量数据显示，63.4%的网民通话记录、网页上面的购物记录等网上活动信息遭到泄漏，78.2%的网民个人身份信息曾被泄漏。我们也看到了大规模的数据泄漏事件，互联网应用蓬勃发展，用户个人信息云上聚集，个人信息泄漏问题触动公众神经。用户个人信息泄漏的主要渠道包括黑客窃取等，因此我们还要考虑个人信息安全保护法的问题。

问题二：大数据立法亟须加快。实践证明，大数据立法还面临很多挑战，包括大数据资源开发利用界限问题、跨境数据流动问题、隐私保护问题等。在大数据环境下用告知的方式很难成立，原来我们通过清洗来屏蔽个人信息，但这往往不可靠，因为通过一些非关联信息可以很快获得相关信息。还有数据权属问题以及数据交易地下产业链问题。

问题三：大数据开放安全法规不明晰。当前总体来看安全法规还是不够明晰，比如关于开放数据的安全分类、分级标准缺失。数据是要分级的，不能所有的数据都一样，有很多的分类方式，政府有很多实践，贵州也谈到了。数据开放面临的情况比较复杂，如果没有明晰的分类方式，操作起来是有问题的。还有就是责任问题，数据开放责任，过去是谁开放，谁负责，开放度马上大幅度下降，我少开放至少不需要负安全责任。数据开放以后，相关环节出现问题怎么追责？《促进大数据发展行动纲要》中也提出修改《政府信息公开条例》。发达国家在战略层面或政策层面都明确提出要促进政府数据的开放。

问题四：大数据安全顶层设计缺失。由于长期的思维惯性等很多原因，导致了我们全盘考虑下一步具体工作还有所欠缺，无论是方向也好，前瞻性也好。现在的顶层设计也说得比较多，很多行业都搞顶层设计，但顶层设计在落地的时候有很多问题。大数据有很多新技术的迭代，在顶层设计的时候，要考虑数据迭代情况的使用。

问题五：大数据交易安全第三方监督缺位。安全监督对整个产业的发展非常必要。安全监督有利于消除公众的担忧，绝非发展的绊脚石，而是发展的一个助力器。我们看到现在有很多具体的行动在出现，但在具体的执行中，大数据安全面临监督缺失、评估缺失，包括事后追责制度的缺失。贵州省发布的702公约，以及我们联合发布的一个自律公约，对下一步推动第三方监督机制的到位有很大的帮助。

问题六：工业大数据安全将成为新问题。现在工业互联网非常重要，导致我们的数据边界比较模糊，未来万物互联必然会增加数据。有数据显示，超过80%的涉及民生的国家关键基础设施是依靠工控系统自动化作业，工控系统已经成为国家关键基础设施的重要组成部分，工控领域正成为国际网络空间对抗的主战场。

工业大数据带动各系统广泛互联，数据更易泄漏，传统工业领域现有的设施很难承载应对措施，而且工控安全设备处理海量数据实属困难，如何面对新型的API攻击，也是我们需要考虑的新问题。

问题七：数据遗痕风险水涨船高。以前说人要流芳百世很难，现在在互联网上要流芳百世很容易，你的痕迹永远被保留下来，遗忘已经变成了例外，而记忆却变成了常态。被遗忘权可作为一项人格权，是一项个人信息自决权，即数据主体有权要求数据控制者清除与他们相关的个人信息，并不得对这些信息再次传播。对合法收集的海量信息，用户几乎无法删除。我国地下产业链里非法收集的数亿条个人信息，被保存了下来，这些也无法删除。被遗忘权的问题，在未来也是需要去考虑的。

问题八：需要建立传统的安全防评体系。大数据安全防评体系显然不能适应需要，在当前的环境下还很难发现、防御、处置、溯源。各部门建立的安全防御系统和信息系统，实际上也没有相关的安全防御机制，在国家层面尚未建立大数据安全评估相关的制度要求和管理机制，建立大数据防评体系有待加大投入。

问题九：大数据安全意识薄弱。我国的网络与信息安全教育普及率较低，大部分公民缺乏网络信息安全意识，特别是大数据安全意识，而这是最大的安全隐患。国家历次网络安全检查结果表明，安全意识薄弱是造成相关技术和管理要求落实不到位的主要原因之一。忽略各类网站、软件收集信息的协议内容，公共网络连接中的个人隐私信息保护意识弱，45.29%的网民连接公共免费Wi-Fi浏览网页并使用即时通信工具。我们在社交媒体中的个人信息发布比较随意，这些信息很容易形成交叉信息，形成你的画像。

问题十：跨境数据流动挑战监控能力。跨境数据有一些相关的规定，这是我们国家规定的，为政府机关提供服务的数据中心、云计算服务平台等要设在境内，对跨境提供服务但收集我国境内数据，或境内提供服务但关键数据流到境外等行为没有明确的管理要求和技术标准。我国目前受限于检测手段，对大数据跨境流动难看清，难阻止。跨境电商和微信走向海外，包括国有企业走向海外，必然面对跨境数据流动问题，数据流动必然会带来一些安全、隐私保护、知识产权保护等问题。

这是我们总结的十大问题，也是前期的一些研究，不一定十分正确。最后给出一个简单的总结，当前是大数据发展最好的时机，也是大数据安全发展最好的时机。总书记谈到要依法加强对大数据的管理，一些涉及国家利益、国家安全的数据，很多掌握在互联网企业手里，企业要保证这些数据安全，企业要重视数据安全。大数据安全是全世界共同面对的难题，未来还有很长的路要走。

我的报告就到这里。

谢谢大家！