人大代表廖仁斌：構建大數據安全監(jiān)管和自律機制

飛象網訊（吉利/文）3月4日消息，全國人大代表、中國電信湖南分公司總經理廖仁斌今年“兩會”帶來了三項提案，其中，在《關于加強大數據安全管理的建議》中，廖仁斌指出，大數據涉及量之大、面之廣、影響之深已成為客觀事實，但大數據發(fā)展與應用在創(chuàng)造價值的同時，也面臨著復雜嚴峻的安全挑戰(zhàn)，比如公民個人信息和隱私安全問題、行業(yè)和企業(yè)數據安全問題，以及行業(yè)和企業(yè)數據安全問題。

為此，廖仁斌表示，在將大數據產業(yè)作為國家戰(zhàn)略發(fā)展，促進經濟繁榮與社會進步的同時，應站在維護國家安全、社會穩(wěn)定和公民權益的高度，統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，加強對大數據的安全管理，讓數據自由安全流動。對此，他建議重點構建大數據安全政府監(jiān)管和行業(yè)自律機制，并建立適應大數據發(fā)展的法律法規(guī)體系，及健全大數據安全技術標準和認證機制。

附：廖仁斌提案

關于加強大數據安全管理的建議

2015年9月，國務院發(fā)布《促進大數據發(fā)展行動綱要》，基于國家戰(zhàn)略的大數據頂層設計，從政府大數據、新興產業(yè)大數據、安全保障體系三個方面著手推進大數據領域十大工程建設，全面促進大數據發(fā)展和應用，加快政府數據開放共享，深化大數據在各行業(yè)的創(chuàng)新應用，通過建設數據強國，提升政府治理能力，推動經濟轉型升級�！毒V要》的發(fā)布意味著中國大數據的建設即將全面提速，中國大數據產業(yè)的蓬勃發(fā)展，將對推進落實“中國制造2025”和“互聯(lián)網+”國家戰(zhàn)略、促進大眾創(chuàng)業(yè)、萬眾創(chuàng)新，推動經濟和社會發(fā)展產生積極的作用。

隨著大數據的發(fā)展，政府與企業(yè)的決策、管理與控制正在從“業(yè)務驅動”轉變?yōu)椤皵祿�驅動”。大數據應用的領域十分廣泛，涵蓋了制造、交通、通信、旅游、醫(yī)療、金融、電力、餐飲、互聯(lián)網、物流等幾乎涉及到社會與生活的全部行業(yè)，同時大數據和各大產業(yè)的結合將更加緊密，成為各大產業(yè)發(fā)展的支撐性戰(zhàn)略資源。

由上可知，大數據涉及量之大、面之廣、影響之深已成為客觀事實，根據IDC和EMC聯(lián)合發(fā)布的“2020年的數字宇宙”報告預測，到2020年全球數字宇宙將會膨脹到40000EB，均攤到每個人身上達到5200GB以上，中國將產生全球21%的數據。2015年9月，中國信息通信研究院發(fā)布了《2015年中國大數據發(fā)展調查報告》，調查報告分別從大數據軟件產值、大數據硬件產值、大數據服務產值幾方面進行分析顯示，其受訪國內企業(yè)中，已有超過55%的企業(yè)部署了大數據應用，2014年中國大數據市場規(guī)模約為84億元，2015年中國大數據市場規(guī)模達到115.9億元，增速達38%，預計2016至2018年中國大數據市場規(guī)模將維持40%左右的高速增長。業(yè)內分析，在未來5到10年，中國大數據產業(yè)將迎來黃金增長期。

然而，不能回避的問題是，大數據發(fā)展與應用在創(chuàng)造價值的同時，也面臨著復雜嚴峻的安全挑戰(zhàn)。當今，大數據安全問題主要歸納為以下三個方面：

一、  公民個人信息和隱私安全問題。大數據的匯集不可避免地加大了公民個人信息和隱私數據信息泄露的風險，在大數據時代，想完全屏蔽外部數據商挖掘個人信息非常困難。目前，電子郵件、微信、微博、視頻發(fā)布、電子商務、科學計算、社交網絡等已成為人們日常數據交流發(fā)布的平臺。而通過數據中大量的個人信息，可以關聯(lián)分析和挖掘出公民個人身份、賬戶、位置、軌跡等敏感或隱私信息，使得對大數據的采集和利用很容易侵犯公民的個人信息和隱私，惡意利用的技術門檻大大降低。

二、行業(yè)和企業(yè)數據安全問題。各個行業(yè)和企業(yè)在利用大數據獲得信息價值的同時，也在不斷的累積風險。大數據通過分布式云化計算，在系統(tǒng)中進行上傳、下載、交換的同時，極易成為黑客與病毒攻擊的對象，大數據平臺和各類應用服務系統(tǒng)一旦被入侵并產生泄密，則會對行業(yè)和相關企業(yè)的信譽、研發(fā)、銷售、服務和品牌等多方面帶來嚴重沖擊，并帶來難以估量的損失。

三、國家安全威脅問題。各個國家在信息設施和重要機構以及能源、交通、金融、商業(yè)等重要基礎設施與軍事設備等方面都依賴信息網絡，海量大數據的采集、傳輸、存儲、處理過程中，增加了遭受信息攻擊的可能性，信息設施和重要機構等都可能成為攻擊目標，國家安全甚至可能受到信息戰(zhàn)的威脅。若數據管理和技術防范不當，大數據還可能為網絡恐怖主義提供新的利用資源，網絡恐怖主義可通過分析工具竊取無所不在的數據資源，獲取情報，進而威脅國家安全。

綜上所述，大數據雖然以一種全新的模式給社會生活增添色彩，給產業(yè)發(fā)展增加動力，但是由于數據體量大、類型繁雜、價值密度低、分步式快速處理等特點，也給我們帶來了前所未有的數據安全威脅和挑戰(zhàn)，2013年的美國“棱鏡門”事件和2014年國內“攜程網”數據泄露事件就是典型的案例，這警示我們必須高度重視大數據安全問題�？梢�，大數據安全是制約大數據產業(yè)發(fā)展的主要障礙，若大數據安全不能保障，公民將不愿貢獻個人數據，各個行業(yè)將會減少大數據平臺和應用的部署和共享，一個原本快速增長的大數據產業(yè)，將會在數據安全的威脅中失去活力，國家也會失去發(fā)展大數據的機會，從而直接影響國家經濟與社會發(fā)展。

為積極應對日益凸顯的大數據安全問題，世界主要國家和地區(qū)從法律規(guī)制、政策監(jiān)管、技術標準和人才培養(yǎng)等方面全方位探索并形成了一攬子安全管理舉措和經驗，如美國頒布了《2014年國家網絡安全保護法案》、積極推動出臺《網絡安全信息共享法案》，國家標準與技術研究院（NIST）發(fā)布了用戶身份識別指南，在《大數據研究和發(fā)展計劃》提出要擴大大數據數據科學家和工程師等所需人才的供給；歐盟通過了新版《數據保護法》，強調本地存儲和禁止跨國分享；俄羅斯2015年開始實行互聯(lián)網企業(yè)要將收集的俄羅斯公民信息存儲在俄羅斯國內等管理制度；英國在《開放大數據白皮書》中專門針對個人隱私保護進行規(guī)范，在《英國數據能力發(fā)展戰(zhàn)略規(guī)劃》中對人才的培養(yǎng)做出了專項部署；日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數據和大數據保護的國家戰(zhàn)略。

因此，在將大數據產業(yè)作為國家戰(zhàn)略發(fā)展，促進經濟繁榮與社會進步的同時，建議站在維護國家安全、社會穩(wěn)定和公民權益的高度，統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，加強對大數據的安全管理，讓數據自由安全流動。對此提出以下建議：

一、構建大數據安全政府監(jiān)管和行業(yè)自律機制。由于大數據安全立法有一定的滯后性，建議首先重點構建政府監(jiān)管和行業(yè)自律機制。一是加強統(tǒng)籌協(xié)調和組織保障，建議在中央網絡安全和信息化領導小組的統(tǒng)籌領導下，構建國家部委行業(yè)監(jiān)管和行政區(qū)域監(jiān)管的矩陣式監(jiān)管體系，督促大數據運營單位落實建立安全組織機構，層層落實安全管理責任。二是加強分類分級管理，實施大數據等級保護制度，按照行業(yè)領域、數據價值、數據特征等屬性進行分類管理，嚴格實施大數據基礎平臺建設和數據應用的“事前”審批制度，強化落實數據脫敏、信息定密、風險評估、數據流控、事態(tài)預警和應急處置等“事中、事后”監(jiān)管措施，建立健全大數據保護的考核評估機制，將數據采集、存儲、分析、挖掘、使用、傳輸、開放等全生命周期的關鍵環(huán)節(jié)納入監(jiān)管范圍，對涉及國家利益、國防安全、公共安全、公民人身安全等關鍵行業(yè)領域的大數據，建議在有關部門內部設置專門的管理機構進行集中監(jiān)管，確保數據在規(guī)定的范圍進行使用和傳播。三是充分發(fā)揮行業(yè)自律作用，建議政府監(jiān)管部門主動鼓勵和引導各行業(yè)組織積極制定大數據安全行規(guī)行約，鼓勵成立行業(yè)或區(qū)域性的大數據安全聯(lián)盟等組織，建立行業(yè)內互相監(jiān)督機制，實現(xiàn)自律約束、自律管理和自律懲戒，做到政府監(jiān)管和行業(yè)自律相互協(xié)同、形成合力。

二、建立適應大數據發(fā)展的法律法規(guī)體系。大數據在虛擬化的網絡空間流動，但運用大數據的主體是現(xiàn)實中的產業(yè)鏈參與者，建議國家加快實施統(tǒng)一立法工作，明確各方權利義務，讓數據資產歸屬者的主權受到法律保障。一是加快立法調研工作，建立由政府牽頭，企業(yè)、法律、科研等方面專業(yè)人員組成的大數據法律法規(guī)調研組織，在已有的網絡與信息安全相關行政法規(guī)的基礎上，結合大數據產業(yè)發(fā)展的特征，開展大數據安全管理方面的立法調研工作。二是在調研的基礎上制定適應我國大數據發(fā)展的法律法規(guī)，搭建大數據法律法規(guī)保護的基礎框架，界定數據采集、處理、存儲、分析和傳播的范圍和方式，明確大數據產業(yè)鏈參與者的相關主體權利、責任和義務，對非法行為制定處罰標準。三是加大對數據濫用、侵犯個人隱私、惡意利用數據危害社會穩(wěn)定和國家安全等行為的打擊和懲戒力度，提升犯罪門檻和違法成本，形成震懾效應，提升大數據生態(tài)的法律治理能力。四是積極參與國際大數據安全規(guī)則和標準的制定，建構一個尊重主權的大數據網絡空間秩序，為我國大數據發(fā)展爭取良好的國際環(huán)境。

三、  健全大數據安全技術標準和認證機制。當前，行業(yè)領域和行政區(qū)域已逐步建立自身的大數據平臺，未來幾年，大數據基礎平臺和數據應用的數量將爆炸性增長，迫切需要健全完善大數據安全技術標準和認證機制。一是建議從國家層面盡快制定統(tǒng)一的大數據安全技術標準，綜合行業(yè)和區(qū)域的共性特點，針對信息保密、權限控制、可信性甄別、安全防護、攻擊溯源、數據災備和應急處置等方面形成基本的安全規(guī)范。二是各行業(yè)領域和行政區(qū)域的管理部門根據自身大數據業(yè)務應用特征和安全防護需要，在國家統(tǒng)一大數據技術標準上，深入制定行業(yè)和區(qū)域的技術規(guī)范和防護標準，進一步保證本行業(yè)和本區(qū)域大數據的規(guī)范應用。三是實施大數據安全認證機制，建立健全我國大數據安全認證體系，成立專門認證機構對數據平臺和數據應用開展安全認證，任何單位、企業(yè)和個人要建立大數據平臺和運營大數據業(yè)務必須要先通過本行業(yè)、本區(qū)域指定的大數據安全認證組織的評估認證。

四、推動大數據安全產業(yè)和人才培養(yǎng)同步蓬勃發(fā)展。強大的大數據產業(yè)離不開安全產業(yè)和人才培養(yǎng)的同步繁榮發(fā)展。一是通過加大資金投入、設立國家大數據安全基金等方式推動大數據安全技術研發(fā)，將核心軟硬件技術研究納入國產自主化國家工程，集國家力量進行重點攻堅，抓緊推進可信計算和加密算法等安全技術研究，積極開展數據接口、傳輸、存儲、脫敏、溯源和審計等數據應用的安全技術開發(fā)，加強與國際安全技術和應用成果的交流和合作，鼓勵國內機構參與制定國際大數據安全標準；二是助推大數據安全產品和服務產業(yè)創(chuàng)新發(fā)展，政府部門搭好平臺促進安全企業(yè)、數據運營單位、科研機構和高等院校合作開展大數據安全產品研發(fā)，通過加大政策和資金的扶持和引導力度，鼓勵網絡安全企業(yè)開展數據訪問、數據流控制、數據庫安全和數字水印等大數據安全產品研發(fā)和創(chuàng)新，支持有條件的地區(qū)設立大數據安全創(chuàng)業(yè)科技園，推動傳統(tǒng)網絡安全服務企業(yè)向大數據安全服務轉型，建設一批大數據應用安全方面的示范項目。對于國產化的大數據安全產品和服務，各級政府部門要實施首購制度，尤其是對實現(xiàn)國產自主化的軟硬件設備要進行全面替代推廣。三是建議國家實施大數據安全人才戰(zhàn)略，將培養(yǎng)引進高層次大數據安全創(chuàng)新創(chuàng)業(yè)人才納入“國家高層次人才特殊支持計劃”，采取在高等院校設立大數據安全專業(yè)學科、在科研機構設立大數據安全研究部門或實驗室、在安全企業(yè)和大數據運營企業(yè)建立專門人才隊伍等方式培養(yǎng)杰出人才、領軍人才、青年拔尖人才，積極引進海外高層次人才，吸引海外人才回歸報國，通過高層次人才進一步培訓和帶動一批基礎研究型和技能操作型人才，形成人才梯隊，為我國大數據安全發(fā)展提供強大的人才支撐和保障。

五、加強大數據安全保護的宣傳教育。一是通過各種渠道對公眾開展個人信息安全和隱私保護教育，推廣面向個人的安全技術防護工具，使公民可以自主控制提供的個人信息量，提高公民的風險防范意識、責任自律意識和安全防范技能。二是對大數據平臺單位相關人員加強職業(yè)道德和法律法規(guī)等方面的教育，讓“誰運營誰負責、誰使用誰負責、誰主管誰負責”的責任意識深入人心。三是國家設立大數據安全日，對廣大民眾、單位團體進行普遍性的數據安全保護宣傳和教育。四是建立大數據安全申訴渠道和舉報機制，鼓勵和動員公民個人、新聞媒體、認證服務機構等社會各界監(jiān)督和曝光數據安全違法行為，形成共享共治、齊抓共管的良好社會氛圍。