新年伊始,國內外幾場大數據產業論壇和展會,無一例外地把大數據安全作為一個重要內容。《經濟參考報》記者采訪獲悉,當前,數據采集、存儲、交易等環節均存在安全隱患,數據隱私管理法規不健全,數據產權的立法滯后。專家建議,從技術創新和完善法制兩方面保障大數據安全,推動大數據產業發展。
黑市個人信息非法交易活躍
剛剛過去的一年,國內外數據之戰頻發。國內有菜鳥順豐、騰訊華為、微博今日頭條之間的數據爭奪,國外有亞馬遜和沃爾瑪零售業數據糾紛,這些都表明,越來越多的企業尤其是積累了海量數據的企業,愈發重視數據資產的價值。
在中國,大數據市場早已風生水起。近年來,九次方大數據、數據堂、聚合數據等專業化數據服務提供商出現在市場。而貴陽大數據交易所的掛牌運營,帶動全國多個省市建立了自己的大數據交易所。除了交易所或交易平臺,大數據交易市場還有一支中堅力量——電信運營商和銀聯。據了解,中國電信集團2017年大數據交易的KPI(關鍵績效指標)是6億元,已經基本完成;中國聯通集團大數據KPI是4億元,據說完成得不太好,其中,上海聯通大數據KPI2017年是4000萬元,已經完成了3600萬元。北京移動2017年大數據收入有望達到1億元。
此外,市場上還有一類公司專門為AI(人工智能)公司提供數據清洗、標注等數據加工服務,因為AI算法需要專門的AI訓練數據。BAT(百度、阿里、騰訊)每年在數據清洗、標注等數據加工服務方面的支出超過上億元。
業內人士在接受《經濟參考報》記者采訪時透露,出于個性化服務和精準營銷的目的,企業大都希望全面了解自己的用戶,但每家公司從自有渠道收集的數據都是片面的,從而滋生購買數據或與其他公司交換數據的需求。據了解,除了政府開放的數據和企業自身收集的數據,市場上交易也是數據的重要來源,但這也在某種程度上催生了黑色產業鏈。據業內人士介紹,正規數據交易市場的交易額約為100億元,而數據黑市的交易額度則龐大得多,盈利狀況也很好。
多年來,以販賣個人信息為主的地下數據黑產業鏈十分活躍,這在一定程度上制約了合法大數據交易產業的發展。據了解,正規交易的數據需要經過采集、清洗、脫敏、脫密、融合等流程,保障了數據的合法性、真實性和安全性,成本也相應提高。但黑市交易的大部分數據多由內鬼或黑客竊取得來,幾乎是無本萬利。比如,正規渠道的人臉識別數據價格為每條0.1元,而黑市上只需花1分錢就能獲取同樣的數據。
有業內人士估算,目前黑市交易可能是中國數據交易的主流。據不完全統計,國內個人信息泄露數達55.3億條左右,平均每人就有4條相關的個人信息被泄露,這些信息在黑市中反復被倒手。其中,80%的數據泄露自企業內部人,黑客占20%。
據外媒報道,日本數字貨幣交易所Coincheck最近對外宣布,其系統遭遇黑客攻擊,共丟失價值5.3億美元的新經幣。資料顯示,新經幣目前是全球第八大數字貨幣,市值達93.95億美元。此次失竊事件發布之后,該幣值一度上漲超30%。而此次事件也成為自2009年數字貨幣問世以來最大的失竊案之一。
幾年前,全球最大的電子郵件營銷公司艾司隆(Epsilon)發生了史上最嚴重的黑客入侵事件,主要的企業客戶名單以及電子郵件地址因此外泄,受害企業包括摩根大通、第一資本集團、萬豪酒店、美國銀行、花旗銀行及電視購物網絡等。而就在不到一個月時間的同年4月底,索尼公司遭到黑客攻擊,泄露了一億份賬戶資料,其Play Station網絡和Qriocity流媒體服務不得不關閉將近一個月。索尼公司因此花費了約1.71億美元來彌補這個損失。
兩大核心技術保障數據安全
我國《大數據產業發展規劃2016-2020年》提出,大數據產業要安全規范發展,必須“堅持發展與安全并重,增強信息安全技術保障能力,建立健全安全防護體系,保障信息安全和個人隱私。加強行業自律,完善行業監管,促進數據資源有序流動與規范利用”。例如,貴州省作為全國首個大數據綜合試驗區,高度重視大數據安全產業發展,建設大數據安全靶場和大數據安全產業園,并設立“貴陽市大數據信息安全產業創業投資基金”。
據記者觀察,隨著《中華人民共和國網絡安全法》及相關配套細則的正式實施,大數據安全的市場空間得到進一步釋放,政府和企業在大數據安全技術、產品和服務創新方面的投入正進一步加大。
業內人士表示,無論是國內還是國外,大數據交易均面臨數據產品未授權復制,數據被泄密、偽造和篡改,交易行為抵賴等安全威脅,而密碼技術和人工智能技術是保障大數據交易安全的核心和關鍵。
國家密碼管理局商用密碼管理辦公室副主任安曉龍說,大數據安全與國家網絡空間安全密切相關。大數據具有數量龐大、處理迅速、類型多樣、高價值等特點,數據在集聚過程中由量變產生質變,集聚程度越高,其重要性和價值性就越高,安全保障的任務也會越來越重。“密碼技術是保障大數據安全最可靠、最經濟、最有效的手段,應積極推進密碼技術應用,切實保障大數據安全。密碼技術作為國家安全的三大支撐技術之一,是保障大數據安全的可靠方法。”
近年來,為了發展國家密碼技術,國家密碼管理局相繼頒布了從SM1到SM9的自主研發密碼算法,這些算法基于現代密碼學的原理,逐漸成為我國信息安全保護的核心手段。SM9算法是一種新型的基于標識的密碼算法,使用用戶的標識(如郵箱地址、手機號碼)作為公鑰,大大地簡化了傳統公鑰密碼體系中密鑰和證書管理的復雜性,使安全性和易用性得到完美的結合,非常適用于基于互聯網、大數據、云計算等各種新興應用的安全保障。
作為SM9算法發起人之一,奧聯首席技術官程朝輝表示,在大數據已經上升為國家戰略、密碼算法成大數據安全核心機制的當下,國密算法SM9的推廣和普及顯得尤為迫切,亟須政府部門、機構、企業等多方力量的共同推進。
此外,國內外廠商也正在研究利用機器學習和人工智能技術來提升網絡和數據安全。亞信網絡安全產業技術研究院正在從反思Wanna Cry蠕蟲勒索病毒出發,回顧數據統計及機器學習技術應用于網絡安全的歷史,并圍繞機器學習來驅動網絡安全發展。
根據美國韋克菲爾德研究中心和網絡安全廠商Webroo最近對400名安全專家的查詢,99%的受訪者認為選用人工智能在總體上可以改進其組織的網絡安全。87%的受訪者表明他們的組織已將人工智能作為其網絡安全策略的一部分。實際上,美國74%的網絡安全專業人士認為,在未來三年內,假設沒有人工智能,他們的公司將無法保護數字資產的安全。
美國網絡安全廠商Imperva公司首席技術官Terry Ray說:“人工智能可以做到這一點。它們了解數據中心的遵循性,然后調整并編寫一個新的防火墻規則來恢復它。具體來說,人工智能選擇一個需要在一系列條件下進行保護的新程序,并自動編寫所需的防火墻規則以強化這個新程序從一個數據中心移動到另一個數據中心。當然,也可以在同一個數據中心內搬家。”
網絡安全廠商FireMon公司總監Josh Mayfield表示,當數據中心需要改動時,人為更改防火墻規則顯得很凌亂。而憑借虛擬機、微分段和按需核算,將比作業人員處理的速度更快。
據記者了解,國內有關機構和公司也正在廣拓思路,尋找更多更有效的技術措施來保障大數據安全。目前公安部第三研究所網絡身份技術事業部正與上海數據交易中心共研共建“數據流通xID標記技術”,以實現個人數據去標識化,保證流通安全。
北京衛達信息CEO張長河說,“隨著網絡安全面臨的威脅日益增多,傳統的防御手段存在過于被動等缺陷,可能因一個漏洞就毀于一旦。衛達信息正在研究目前的先進技術——基于動態變化的動態防御。”
數據確權是大數據立法關鍵
2018年初,對大數據時代個人隱私安全的擔憂再度升級:微信官方表示,不會將用戶任何聊天內容用于大數據分析;支付寶因用戶查看年度賬單時“被同意”收集個人信息,被國家網信辦約談;百度則回應江蘇消協稱,旗下手機應用沒有能力、也從來不會申請監聽用戶電話。
業內專家表示,隨著云計算、物聯網和移動互聯網等新一代信息技術的飛速發展,大數據應用規模日趨擴大,在數據采集、存儲、開放共享等方面均存在安全隱患。由于數據隱私管理法規不健全,數據產權立法滯后,缺乏推動各個部門數據交換和共享的制度、規范和標準,公民隱私得不到合法保護,與此同時,社交網站的隱私數據也可能被不法商家利用,這些都給數據安全帶來了巨大的挑戰。
大數據和信息安全方面的專家表示,我國應盡快推進大數據安全的法律建設。首先是個人信息安全與隱私權保護問題、數據權屬及應用中的法律問題;第二是人工智能、區塊鏈等新興產業中的數據應用法律問題;第三是行業內部大數據的法治問題。
中國政法大學副校長時建中表示,“數據安全應成為大數據行業立法的重點。”他說,法的價值一般包括安全、公正和效率。其中,安全應是第一位和基礎性的價值,沒有安全,公正與效率便是奢談。因此,數據生產、采集、存儲、加工、分析、服務等相關經濟活動中如何確保數據安全,應該是立法的重點,是規范數據行為和促進數據行業發展的法治需求。
隨著2017年6月1日《網絡安全法》和《最高人民法院、最高人民檢察院關于辦理侵犯個人信息刑事案件適用法律若干問題的解釋》的出臺,從事黑灰色數據交易的法律風險陡然增大,非法數據買賣和提供達到50條就能入刑,公安部門與監管部門亦聯手對大數據行業進行排查整頓。
“現階段,數據黑市問題嚴重,這反映出《網絡安全法》落實尚未到位,在制度上、人員上、技術防控上還有很大差距。立法不代表問題完全解決,還要加大力度、嚴格執行法律法規。”中國政法大學傳播法研究中心副主任朱巍說。
業內人士認為,去年10月1日起施行的《中華人民共和國民法總則》明確了互聯網數據權屬于民事權利的一部分,體現出了相當的時代性,適應了互聯網融入民事生活的社會現狀。然而,數據權和信息權的屬性定位尚不清晰。個人信息通常被認為屬于隱私權的保護范圍,但其實際的權利范圍遠遠不止于此,可能還涉及延伸的財產權利。
在法律專家看來,數據確權是個新興法律課題,挑戰巨大。例如,數據的采集、加工、控制、利用、交易等環節可能有多個參與方,什么情況下什么類型的參與方可以獲得數據的權利,所擁有的權利中哪些是排他性的權利(即絕對禁止他人抄襲和模仿)等,每一步設計都關系到多種利益的博弈和平衡,在實踐中尚無形成共識和慣例。
法律專家建議,各種法律法規還可進一步銜接,以更加系統化。例如,消費者權益保護法、身份證法、未成年人保護法等都涉及個人信息保護,還需要進一步銜接整合,為未來我國個人信息保護法出臺做好充分準備。
大數據流通與交易技術國家工程實驗室大數據政策法律研究中心主任高富平指出,應當建立民事、行政和刑事多種手段,國家法治和行業自治協同的全面的個人信息保護體系,在保護個人權益的前提下規范、安全、有序地利用個人信息,釋放大數據的紅利。
一些律師表示,2017年5月,兩高出臺了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,對于一些高度敏感信息,如行蹤信息、財產信息、通話內容等,入罪標準設定為50條,對于一般敏感信息和其他信息分別設置了500條、5000條的入罪標準。從嚴設置定罪量刑標準,降低入罪門檻,體現了從嚴懲處的精神,明確規定了信息數量的計算規則能有效指導司法實踐,增強可操作性。不過,通常非法獲取、出售、提供公民個人信息,都有其他違法犯罪的用途,定罪量刑不能僅僅以信息類型標準,還應對信息的用途、數量進行綜合判斷。