大数据时代的数据安全挑战与管理.pdf

大数据时代的数据安全挑战与管理 2016年7月2Content 主要内容12 大数据时代下的数据安全挑战 国内外数据安全立法与监管实践3 对我国数据安全管理的启示3大数据时代下的数据安全挑战p数据规模进入“PB”时代：越来越多的企业生产生活、个人生活隐私被数字化和网络化，虚拟世界逐步成为物理世界的完整映射；p“无处不在”的数据采集：可穿戴设备、车载设备、监控摄像探头、卫星遥感技术等，带来了更加丰富的数据来源；p超强的数据关联分析能力：数据不断汇聚、融合，深度挖掘零散数据间的关系，实现更强决策、更深洞察。大数据时代的三大特征4大数据时代下的数据安全挑战大数据时代，当我们谈论数据保护，我们想保护什么？用户个人隐私受到严重威胁国家间围绕数据资源的争夺日趋激烈企业面对的数据安全威胁持续升级数据安全管理面临挑战数据跨境流动安全用户个人信息保护国家数据资产保护企业数据资产保护数据安全挑战5用户隐私数据泄露事件成倍增加，监管保护亟须加强恶意入侵意外事故内部人员盗取或操作不当有组织的黑客攻击近年来，用户隐私数据泄露事件成倍增加，事件带来损失不断扩大，用户隐私信息保护已经成为全球各国网络空间安全监管的巨大难题。2015年，全球共发生1673例数据泄露事故，共造成 7.07亿条数据记录外泄。Ex.2015年8月，大X网600余万用户账户密码遭到泄露和售卖Ex.2015年5月，美国税局遭网络攻击泄露10.4万纳税人信息并损失5000万美元个人身份数据金融财务数据账号口令数据固定数据资产数据来源：Gemalto6新型网络攻击不断增加，企业现有保护手段难以抵御近年来，ATP攻击与全球性高危漏洞事件时有发生，新的网络攻击模式不断出现、攻击频率日趋密集、威胁范围不断扩大，大数据、云计算等新兴信息技术广泛应用引入新型数据安全威胁，现有数据安全保护策略已无法有效应对。自2013年以来，数据中心遭遇DDoS攻击的占比已经达到了70%70%2014年，索尼影音公司遭遇ATP攻击，硬盘数据被毁坏，大量员工信息及影视拷贝遭泄露。针对企业数据资源的网络攻击不断增加 大数据、云计算技术带动信息系统软硬件架构的全新变革，可能在软件、硬件、协议等多方面引入未知的漏洞隐患，现有数据安全保护技术“无能为力”。新技术的融合应用易引发新的安全隐患7国际数据资源竞争博弈激烈，数据跨境流动成为关注点随着数据资产战略价值不断攀升，数据跨境流动日趋频繁，各国对数据资源的争夺逐步升级，数据跨境流动监管态度各异，难以形成全球统一规则。数据跨境流动客观上加大了国家关键数据资源流失的风险“后棱镜”时代，国际网络互信氛围被打破，各国都担心自身数据主权的控制权能和保密权能受到侵害。国际间数据资源流动需求与数据安全保护需求的矛盾已逐渐凸显，如何开展监管，保卫数据主权，已成为各国都需解决的重要课题。西方国家对数据资源已经进入“掠夺”时代Ex.美“梯队”项目搜集全球90%通信信息Ex.英“颞颥”项目监听承担全球电话和网络流量的光缆系统 针对数据跨境流动问题，美国倡导基于“数据共有，自由流动”，与我国等倡导的“数据主权”理念有很大分歧。8趋势变化注重开放强调保护8“棱镜门”事件前，数据开放是趋势，针对跨境流动等的国际合作不断推进。各国开始明确并不断强化数据保护责任，网络数据成为重要的国家资源随着网络数据价值的不断增加，针对网络数据的安全威胁也与日俱增，给数据安全保障带来了严峻的挑战，使很多国家对网空数据的使用从“注重开放”转向“强调保护和治理”。9Content 主要内容12 大数据时代下的数据安全挑战 国内外数据安全立法与监管实践3 对我国数据安全管理的启示10全球各国应对大数据时代安全挑战的立法举措p 一个充满变革的时代：欧盟即将实施最为严格的数据保护法规 美国用户隐私保护监管执法持续发力 中国用户个人信息保护法律框架基本成型，各行业监管部门正在制定互补的数据保护法规11欧盟应对大数据时代安全挑战的立法举措今年4月14日，欧盟通过数据保护总规（General Data Protection Regulation），2018年正式生效基本原则合法，公平，透明目的限定数据最小化准确有限留存完整，机密责任数据权利被遗忘权更正权限制处理权数据可携权数据获取权信息知情权知情同意权企业义务设立数据保护官的义务泄露通知的义务限制用户画像限制随意跨境转移严格限制“数据画像”技术利用大数据技术处理个人数据的活动。用户充分知情，且明确同意并授权匿名化处理分析结果禁止涉及儿童分析结果不能导致对个人的歧视欧盟的数据泄露通知制度与美国相比更为严格，要求企业在数据泄露事件发生后24小时内向外界通报。如果通知没有在24小时内完成，则应该解释延误原因。12美国应对大数据时代安全挑战的立法举措2015年2015年2月，美国白宫主导的消费者隐私权利法案（Consumer Privacy Bill of Right）立法草案提交美国国会审议。草案中制定了消费者隐私保护的7项原则（企业责任），指定FTC作为监管部门加强执法。2014年2016年美国重新界定用户个人信息，尝试将IP 地址、设备标识纳入保护范围。2016年5月，叶尔绍夫（Yershov）起诉美国报业集团甘乃特（Gannett）案例中，美国联邦第一巡回法庭判定设备标识结合地理位置信息能够关联到个人，应当视为个人可识别信息并予以保护。此前联邦贸易委员会已在儿童在线隐私保护规则2013修订案中扩展了个人可识别信息的定义2014年5月，美国总统执行办公室（Executive Office of the President）发布2014年全球“大数据”白皮书大数据：把握机遇，守护价值BigData：Seize Opportunities,Preserving Values核心观点：大数据时代，“告知与同意”的规则更容易被破坏，需要重点关注使用一端，确保数据通过正常合法途径采集的同时，加强数据开发利用过程的安全管理规则构建。1313各国针对数据跨境流动安全的立法尝试 数据跨境流动涉及公民信息的数据应境内存储 俄罗斯2015年起实行新法，规定收集俄公民信息的互联网公司都应将这些数据存储在俄罗斯国内。欧盟最新通过的数据保护总规（GDPR）中规定：除非符合欧盟法律及相关国际条约或协定,否则任何公司不得将欧盟公民的数据信息与欧盟之外的第三国分享。2013年新加坡正式实施的个人资料保护法令明确规定机构不得将个人数据转移至境外除非依据本法的相关要求，确保机构能够提供符合本法要求的个人数据保护水平。巴西总统推进一项将巴西民众的信息储存在国内信息储存中心的法案，并建议铺设直通欧洲的海底光缆，免受美国监控。此法案一旦通过将会迫使谷歌等公司在巴西建立服务器。1414各国针对数据安全的监管实践 数据安全调查和政府干预机制 随着数据侵权案件的飙升，美国联邦贸易委员会（FTC）加强了对不严格保护消费者信息安全的企业的调查。自2002起，FTC调查了许多公司的数据保护工作情况，并对50多家公司采取了执法行动，对涉事企业处以高额罚款并向社会公示。2012年美国谷歌公司因违反隐私保护规则被FTC判罚2250万美元，2014年GMR公司因泄露15,000份敏感个人信息（包括消费者的姓名、生日和医疗记录）被FTC提起数据安全执法诉讼。美国联邦通信委员会（FCC）规范互联网接入服务商收集、使用用户信息的行为2015年4月美国联邦通信委员会(FCC)针对美国第二大电信运营商AT&T数据泄露事件进行处罚。英德等国家也在法律中明确赋予政府针对网络攻击的投诉进行调查的权利。15中国应对大数据时代安全挑战的立法举措效力层级法律名称法律刑法修正案；民法通则；侵权责任法；治安管理处罚法；全国人大关于加强网络信息保护的决定；全国人大常委会关于维护互联网安全的决定行政法规中华人民共和国电信条例；计算机信息系统安全保护条例部门规章互联网电子公告服务管理规定；规范互联网信息服务市场秩序若干规定；个人信用信息基础数据库管理暂行办法；计算机信息网络国际联网管理暂行规定实施办法；计算机信息网络国际联网安全保护管理办法；互联网电子邮件服务管理办法；互联网安全保护技术措施规定；规范互联网信息服务市场秩序若干规定；电信和互联网个人信息保护规定金融、保险、医疗健康等行业在数据本地化存储、数据跨境流动等方面做出了行业内规定电信和互联网行业正在制定适应大数据发展需求的网络数据保护规则p 我国尚未制定专门、统一的个人信息保护法；p 现有立法对通过人格尊严、个人隐私、个人秘密、保障信息安全等实现对个人信息的直接或间接保护；p 近年来各行业法律法规针对“个人信息保护”进行规定的趋势日渐明显。16我国应对大数据时代安全挑战的立法举措我国在用户个人信息保护方面基本上采用了“告知与同意”保护框架，但是法律规定过于原则，对如何利用大数据对用户个人信息进行处理分析、数据共享合作过程中的用户个人信息保护等问题缺少统一法律或规范性要求。保护范围基本原则具体规范处罚量刑“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”全国人大常务委员会关于加强网络信息保护的决定“应当遵循合法、正当、必要的原则”全国人大常务委员会关于加强网络信息保护的决定知情同意明示收集、使用信息的目的、方式和范围，并经被收集者同意禁止出售不得出售或者非法向他人提供公民个人电子信息刑七引入“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”；刑九进一步加强了对个人信息违法行为的刑事责任追究。17Content 主要内容12 大数据时代下的数据安全挑战 国内外数据安全立法与监管实践3 对我国数据安全管理的启示对我国数据安全保护管理的启示为有效应对大数据时代针对数据安全的全新挑战，需要建立统一、完整的国家数据安全保护管理体系；企业应重点关注用户个人信息保护、数据共享合作、数据跨境流动等关键问题的安全管理。加强用户个人信息使用管理对用户个人信息进行关联分析应仅限于提供服务的目的；脱敏后的用户个人信息应进行可恢复性评估；未脱敏的用户个人信息不应用于业务系统开发测试；MAC、IP地址等可能涉及用户敏感信息的数据慎重使用 数据泄露通知机制涉事主体在发生用户个人信息泄露事件后应通知受影响用户，提醒其采取防范措施。p 加强用户个人信息保护 加强数据处理外包服务管理防范外包服务人员违规获取数据；加强对数据合作方的管理签订安全协议；数据提供方应能够证明数据合作方对共享数据的保护水平不低于原有数据保护水平。p 加强数据共享合作管理 建立数据跨境流动数据安全评估机制明确责任部门、评估流程、评估标准p 加强数据跨境流动监管1919结 语数据规模化生产、分享、应用的时代已然来临，数据资源和公民信息的安全保障和治理已成为各国网络空间博弈的新焦点。面对新形势新问题，坚持安全与开放并重，责任与发展兼顾，通过业界联合、政企联动等途径，共同完善网络空间安全保障体系，为国家数据资源和公民信息提供全方位的保护已成未来发展的共识和方向。感谢聆听Thanks