188、提案第20190188号
案 题:关于管好大数据“出口”,保障信息安全的提案
提 出 人:民革广东省委会(共1名)
分 类:综合
办理类型:主办会办
承办单位:省委网信办,省工业和信息化厅,省市场监管局
内 容:
我国网民数量不断增加,大数据产业规模不断扩大,信息安全面临多重挑战。截至2017年底,中国网民规模达7.72亿人 ,全年月户均移动互联网接入流量达到1775MB/月/户 ,政府部门、互联网企业、大型集团企业积累沉淀了大量的数据资源。数据规模的增长和数据挖掘技术的应用带来了大数据产业的蓬勃发展。据中国信息通信研究院统计,2017年中国大数据产业总体规模为4700亿元人民币,同比增长30.6% 。然而,大数据的挖掘和交易也带来了诸多安全问题。一方面,企业数据、用户数据的集中存储和频繁流动增加了数据泄露的风险;另一方面,传统的安全技术难以解决数据共享中跨组织的数据授权管理和数据流向追踪问题,极易造成数据滥用。特别是,大数据的超强分析能力能够将匿名化处理的数据还原,导致现有数据脱敏技术失灵,存在重大安全隐患。
国家安全方面,在装备制造、能源等重要领域,一些黑客利用大数据平漏洞,窃取了大量机密信息,严重威胁国家信息安全。国家工业信息安全发展研究中心监测数据结果显示,我国3000余个暴露在互联网上的工业控制系统,95%以上都存在漏洞,可轻易被远程控制。企业数据安全方面,重大数据泄漏事件频发。京东试用期员工与网络黑客勾结,盗取客户信息50亿条,然后在网络黑市贩卖。暗网论坛中有人公开出售 AcFun一手用户数据,数量高达 800 万条,而价格仅为12000元。用户个人隐私安全方面,腾讯社会研究中心与DCCI互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》显示,2017年下半年,在用户不知情的情况下,有98.5%的Android应用存在获取用户隐私的行为,iOS应用达到81.9%。手机APP越界获取个人信息已经成为网络诈骗的主要源头。
作为数字经济发展新引擎,大数据正与实体经济深度融合。数据滥用现象频发将直接威胁个人隐私安全,损害企业商业利益,甚至危害国家安全,成为数字经济良性发展的绊脚石。
目前大数据安全存在的问题主要包括:
一是数据获取规避法律法规。部分互联网公司依托自身业务优势,过度采集个人隐私信息,非法对用户进行精准画像。
二是数据存储的高度集中存在风险。在DT时代,各行业各部门之间的数据高度集中。数据资源实现高度共享的同时,遭受恶意攻击的风险也随之增大。如银行业数据高度集中之后,一旦数据中心遭受黑客攻击瘫痪,将面临业务停滞,甚至引起社会动荡。
三是传统的数据安全技术难以适配。大数据的海量、多维、高速和易变造成复杂的数据系统架构和模糊的系统边界,传统安全技术难以保证数据安全。一方面,传统的安检技术难以匹配呈几何式发展的大数据,过多误判导致安检适用性下降。另一方面,传统基于边界的防护手段难以保护大数据场景下存储分散、边界模糊的数据,安防措施失去效果。
四是大数据出口的法律和监管缺失。大数据蕴涵海量的信息和潜在价值,其出口和使用成为黑客攻击的目标。目前唯一和数据立法相关的《网络安全法》强调以数据存储为核心,缺乏对大数据出口的约束。同时,政府层面也缺乏明确的监管机构规范大数据出口。
针对以上问题,建议:
一、建立统一交换平台,强化政府监管角色。建立数据统一共享交换平台,实现信息互联共享。加强对重点互联网企业安全监管,制定工信部对百度云、阿里云、腾讯云等重要数据公司的“大数据最高管辖权”,明确企业日常采集、存储、处理和使用权。
二、建立数据分类制度,甄别数据采集来源,明确数据应用范围边界。对非法采集的数据进行集中打击、销毁;对于合法合规采集的数据,纳入保护监管范围。明确数据采集、存储、使用、传输、共享、销毁等环节的范围边界和具体要求,围绕大数据全生命周期,完善可管、可控、可信的大数据安全保障体系,切实加强对涉及国家利益、商业秘密、个人隐私等数据的保护。
三、设立大数据安全信息归类制度,健全大数据安全技术认证体系。依托国家信息中心,建立专门的数据中心管理涉及军事和高精尖技术机密的大数据。所有数据的存储、处理和使用由国家安全部门负责,并与企业和居民大数据中心实现单向联通。完善大数据安全技术标准,鼓励开展大数据安全产品研发,培养大数据安全创新高层次人才,构建安全标准-安全产品-高层次人才的大数据安全认证体系。
四、严格把控大数据出口,推进大数据出口服务创新。健全法律体系规范大数据出口,从法律法规到部门规章,打好组合拳。明确监管机构统筹协调数据出口,构建涵盖事前、事中、事后的闭环监管体系。对数据的使用进行严格审核,对黑客等人才集中管控,加大泄密罪责力度,搭建出口审核-大数据人才-泄密追责的立体式制度体系。同时,推进大数据出口服务智慧供应链,促进供应链节点企业的交互连接和信息实时共享,形成客观的资金端底层交互和合理的资产端债项结构,实现供应链生态的透明化和智能化。
