物联网安全：大数据影响巨大立法刻不容缓- 大数跨境

首页

物联网安全：大数据影响巨大立法刻不容缓

物联网安全号

2016-10-07

导读：在互联网乃至物联网时代，如果我们不能很好地解决安全问题，就会影响社会各方面的发展。在发展大数据的同时，还要同步考虑构建大数据安全体系。

点击上方“物联网安全号” 可以订阅哦！

老牌社交网站MySpace被窃取了3.6亿个账户和4.27亿个密码信息，雅虎被攻击导致5亿用户信息被黑客盗去，特朗普酒店被窃取7万名客户的信用卡信息，在维基解密公开的一系列民主党政客的私人邮件。反映出大数据技术给金融信息安全和市场风险带来新挑战，突出表现为出现数据服务商的信息滥用、国外机构的信息监听和日益复杂的数据入侵等威胁。大数据在互联网时代遍地开花的同时，也面临着绕不过去的挑战，那就是安全问题。在互联网乃至物联网时代，如果我们不能很好地解决安全问题，就会影响社会各方面的发展。在发展大数据的同时，还要同步考虑构建大数据安全体系。

大数据对公共利益的影响

今年2月25日,老百姓大药房等19家药店24日状告国家食药总局和阿里健康,涉嫌绑架公权、利用数据牟利。阿里健康介入药品信息监管引发业界诉讼,源于“药品电子监管码”,也就是运用信息技术、网络技术和编码技术,给药品最小包装上印制一个电子监管码,相当于给药品一个合格且独一无二的“身份证”。实施电子监管以后,企业通过电子监管系统上传信息,使得赋码药品不管流通到哪里都能被实时监控追踪,而且消费者也能够通过监管码查询并确认药品的真假。从监管效果看,堪称完美，药品监管形成的数据价值却是不容忽视的，可以通过精确的数据分析得出清晰的结论。但一旦被用以牟利,信息壁垒会形成垄断地位,甚至颠覆行业整体格局。显然,这就是大数据的魔力,谁掌握和利用了这些信息,谁就有可能拥有极具价值的信息资源。

从这个意义上说,阿里健康非官方机构,也不是非营利性社会组织,采集、保有庞大数据,客观上说,就是事实上持有了这些极富价值的信息资源,会不会借数据牟利,始终都难逃瓜田李下之嫌疑。我们可以看到，药品电子监管制度的实施，对打击药品造假、维护人民用药安全等方面发挥了巨大的作用，被实践证明是有效的，美国、日本等发达国家同样建立了药品电子监管制度。这件事其实是暴露出，我国在“互联网+”时代立法的滞后性。

大数据被人们誉为“21世纪的石油”，蕴含的潜力无限、发展势头不可阻挡。然而，如何在充分开发大数据经济价值的同时，保护重要的社会价值，包括保护公民个人数据权利以及保护弱势群体的交易机会，则是立法和实践中都需要小心翼翼去平衡的问题，也是探讨大数据立法首先要解决的问题。

大数据实际上是建立在小数据基础上的，宏观数据是建立在微观数据基础之上的，要重视大数据的开发以及使用过程中的利益冲突。而对于大数据交易能不能形成更大市场，还有难以回避的制约因素，即大数据交易是否侵犯人们的隐私。因为商家需要个人信息来进行精准的广告投放，所以大数据的掌握者往往拥有将数据变现的意愿，这就涉及到潜在的个人隐私泄露。目前，企业都认为在自己的平台上产生的数据归属于企业，但这其中，即包括企业的商业秘密，也有消费者个人的隐私信息。考虑到大数据对公共利益安全的重要性，在大数据转化为商业用途之后，对公共利益的影响，制定法律迫在眉睫。

该如何确保大数据的安全性

而且目前传统的网络安全思路已经无法保障大数据时代的安全，并非是自己购买服务器并搭建独立的机房，安排专门的技术人员就能够保护企业的数据不被泄露，相反这种传统的方法更加容易被不法分子所攻破。传统网络安全的防护思路是划分边界，将内网、外网分开，业务网和公众网分离，用终端设备将潜在风险隔离，通过在每个边界设立网关设备和网络流量设备，来守住“边界”，以期解决安全问题。但随着移动互联网、云服务的出现，移动终端在4G信号、Wi-Fi信号、电缆之间穿梭，网络边界实际上已经在消亡。

因此，用大数据技术来解决大数据时代的安全问题十分必要，这就必须建立“数据驱动安全”的思维，搭建全新的互联网安全体系—“传统安全＋互联网＋大数据”。另外，基于强大的大数据库、利用先进的大数据技术和广泛的用户覆盖率，提前感知网络威胁态势，为大众提供未知威胁的发现与回溯功能并进行有效防护。

面对大数据安全这一普遍性问题，许多国家已有应对之策。例如美国就颁布了《2014年国家网络安全保护法案》，积极推动出台《网络安全信息共享法案》；欧盟通过了新版《数据保护法》，强调本地存储和禁止跨国分享；日本在2013年制定的《创建最尖端IT战略》，也明确阐述了开放公共数据和大数据保护的国家战略。

我国大可从三方面采取措施。

首先，为从数据角度维护金融安全提供法律基础和依据。目前我国金融大数据的产权不明晰、交易不畅通，因此应通过立法等形式，将大数据确认为一种财产，并规定大数据的产权如何产生、转移和终结，对黑客攻击、信息监听等侵害大数据财产权的行为，制定相应的量刑和处罚标准。同时，通过制定行业标准、设置行业门槛等制度措施，设立金融企业和数据服务商在数据使用和算法开发中的国家安全标准，引导金融行业正确使用大数据技术，减少相应风险。

其次，支持本国信息产业发展，培养自主数据服务商和第三方数据审查机构。提升本国在软硬件领域的自主技术水平和市场竞争力，就能减少在银行数据中心等关键领域对国外厂商和技术的依赖，降低被信息监听和数据入侵的风险。而发展本国数据服务商可打破国外数据终端的垄断，降低遭到信息滥用的可能性，也能降低大数据技术的应用成本。另外，考虑到政府直接管制可能干扰企业正常运营，政府可授权培育一批第三方大数据审查机构，为企业和数据服务商提供数据和算法的合规性审核，就像会计事务所审计公司财务信息一样。大数据审查机构和审查师可由政府按特定程序考核，并授予其营业资格。

同时，将大数据技术本身应用于市场监管，推进监管自动化，使依靠人力的事后监管向依靠技术的预警性监管转变。美国全国证券交易商协会用SONAR自动化监管系统，监测证券市场内幕交易和欺诈行为，准确度达到原来的三倍。自动化监管不仅能降低成本，而且通过实时指数进行监控和风险预警，在鲁莽行为造成危害前及时发现和阻断，从而降低实际损失，保障中国金融体系的安全。

去年9月，国务院发布《促进大数据发展行动纲要》，已经从政府大数据、新兴产业大数据、安全保障体系三个方面着手推进大数据领域十大工程建设，也意味着中国大数据建设的全面提速。随着大数据的发展，政府与企业的决策、管理与控制正在从“业务驱动”转变为“数据驱动”。

对中国而言，站在维护国家安全、社会稳定和公民权益的高度，将大数据产业作为国家战略进行统一谋划、统一部署、统一推进、统一实施，已显得十分必要而紧迫，为大数据“立法”是当务之急。一方面是要加快立法调研，并由此搭建大数据法律法规的基础框架，另一方面则应加大对数据滥用、侵犯个人隐私乃至危害国家安全等网络侵权行为的打击力度。另外，要积极融入国际大数据安全规则的制定，谋求建立一个尊重主权的国际网络秩序。与此同时，还应强化大数据安全体系的建设，建立起政府主管、社会参与、企业为主的数据监管与行业自律机制。

然而，对付大数据时代的数据安全问题，防止信息泄露，除了完善相关法制法规，还需要云平台的防护技术，结合大数据技术来应对数据安全。在国家层面上，政府部门也逐渐开始构建起人才战略的网络，为大数据安全提供强大的人力支撑和保障。未来，还需多方从监管、标准、自律等方面共同努力，共建互联网安全产业链生态，来应对大数据时代的安全风险，使大数据安全产业发展迈过关键门槛。