【中國(guó)智能制造網(wǎng) 名家論壇】數(shù)據(jù)安全問題一直是亟需解決的難題，未來數(shù)據(jù)是一種資產(chǎn)，一種虛擬的礦產(chǎn)資源，將發(fā)揮著巨大的作用，因此數(shù)據(jù)安全監(jiān)管應(yīng)被重視。以下是謝瑋在ITValue 企業(yè)信息安全論壇上的演講：　　大數(shù)據(jù)到底給我們帶來了什么樣的變化，直觀的其實(shí)是量的變化，數(shù)據(jù)的規(guī)模在激增，早在幾年之前就已經(jīng)到了以PB計(jì)數(shù)的時(shí)代，量上的變化之后就是價(jià)值的挖掘和倍增，數(shù)據(jù)的價(jià)值早就已經(jīng)不再局限于元數(shù)據(jù)本身的價(jià)值，而是它在不停的在開發(fā)、利用、轉(zhuǎn)售和共享過程中還會(huì)被不斷的增值，數(shù)據(jù)的“倍增效應(yīng)”會(huì)更加凸顯。
　　
　　未來數(shù)據(jù)也是一種資產(chǎn)，一種虛擬的礦產(chǎn)資源，這在業(yè)界已經(jīng)達(dá)成共識(shí)，后就是大數(shù)據(jù)應(yīng)用在向社會(huì)領(lǐng)域廣泛擴(kuò)散中也是在逐漸推動(dòng)產(chǎn)業(yè)創(chuàng)新和變革，一些新的產(chǎn)業(yè)業(yè)態(tài)不斷在生成。
　　
　　大數(shù)據(jù)給我們帶來不斷的創(chuàng)新，未來還會(huì)有更多新的變革出現(xiàn)，那么這些創(chuàng)新和變革也會(huì)帶來問題，具體到數(shù)據(jù)安全，在大數(shù)據(jù)時(shí)代怎么樣去做數(shù)據(jù)安全管理？我們到底要保護(hù)什么？
　　
　　數(shù)據(jù)的主體其實(shí)就包括用戶、用戶的個(gè)人隱私，企業(yè)、企業(yè)的數(shù)據(jù)資源，還有國(guó)家的數(shù)據(jù)資源，他們所面臨的環(huán)境上是怎么樣的？外界的安全危險(xiǎn)到底包括什么？
　　
　　1、數(shù)據(jù)跨境流動(dòng)監(jiān)管是各國(guó)的難題
　　
　　常規(guī)傳統(tǒng)的隱私數(shù)據(jù)安全威脅包括泄露、盜取、入侵等等，除了這些，我想說的是關(guān)于數(shù)據(jù)保護(hù)中，以前比較忽視的“濫用”問題。數(shù)據(jù)盜取大家會(huì)有各種各樣的技術(shù)手段去防范，但是“濫用”呢？基本上大家就只能看著，沒辦法。
　　
　　比如過渡收集、售賣，還有未經(jīng)允許的任意流轉(zhuǎn)等等，你根本不知道你的個(gè)人隱私數(shù)據(jù)信息到底被企業(yè)拿走了之后，做了多少次的處理和使用，應(yīng)該沒有人會(huì)關(guān)注，即便有人關(guān)注但也沒有人會(huì)知道其中的細(xì)節(jié)。
　　
　　對(duì)企業(yè)來講，隨著數(shù)據(jù)資源資產(chǎn)的不斷增值和擴(kuò)張，安全防護(hù)的形勢(shì)是“道高一尺魔高一丈”，無論怎么保護(hù)，肯定會(huì)有更好、更新、更強(qiáng)大的攻擊工具讓你繼續(xù)陷入矛盾和困惑中。
　　
　　回到國(guó)家層面，數(shù)據(jù)可以類比成一種礦產(chǎn)資源，國(guó)家的資源礦產(chǎn)是戰(zhàn)略資源，所以圍繞著對(duì)數(shù)據(jù)資源的國(guó)與國(guó)之間資源爭(zhēng)奪已經(jīng)非常顯現(xiàn)了。斯諾登事件曝光了很多美國(guó)以及其盟友已經(jīng)或正在部署各種計(jì)劃，所有的這些計(jì)劃表面上看起來是用于安全、情報(bào)目的，背后也都體現(xiàn)著另外一種目的，就是對(duì)于其他國(guó)家數(shù)據(jù)資源資產(chǎn)的爭(zhēng)奪，因?yàn)榉凑蠖伎赡軙?huì)變成有價(jià)值的資產(chǎn)，對(duì)方又沒有更好的手段去防范，為什么不去拿？
　　
　　另外還有一個(gè)非常大的難題就是跨境，互聯(lián)網(wǎng)就是一點(diǎn)接入、服務(wù)一種具有這種天然屬性的網(wǎng)絡(luò)，所以在互聯(lián)網(wǎng)上數(shù)據(jù)跨境流動(dòng)是天生的，而且是他的基本需求。
　　
　　從監(jiān)管角度和國(guó)家政府安全的角度，域外監(jiān)管怎么做？幾乎所有的國(guó)家都面臨這個(gè)監(jiān)管難題。但各個(gè)國(guó)家的想法和思路都不一樣，尤其是像美國(guó)和中國(guó)之間會(huì)有根本理念上的分歧，所以寄希望于在近期內(nèi)達(dá)成所謂的統(tǒng)一規(guī)則或協(xié)定，但協(xié)定這在現(xiàn)階段是根本不可能的。
　　
　　隨著數(shù)據(jù)價(jià)值的攀升，從國(guó)家立法層面看，很多國(guó)家的監(jiān)管策略在悄悄轉(zhuǎn)變。
　　
　　在“斯諾登事件”以前，很多國(guó)家在出臺(tái)政府戰(zhàn)略時(shí)都強(qiáng)調(diào)開放、共享、自由流動(dòng)，而在這兩年，各國(guó)都在不斷的出臺(tái)一系列的相關(guān)法令、法規(guī)、監(jiān)管政策，更多的會(huì)注重相關(guān)資源和用戶信息的保護(hù)和企業(yè)治理以及企業(yè)數(shù)據(jù)保護(hù)的責(zé)任。
　　
　　這種悄悄的改變?cè)诰唧w的立法和監(jiān)管的實(shí)踐當(dāng)中也有很多的體現(xiàn)，其中兩個(gè)非常典型的例子，一個(gè)是歐盟，一個(gè)是美國(guó)。
　　
　　2、歐盟的信息保護(hù)律法：嚴(yán)密、細(xì)致、重罰
　　
　　今年4月14號(hào)，歐盟通過一個(gè)新法令叫“數(shù)據(jù)保護(hù)總規(guī)”，它脫胎于1995年歐盟的一個(gè)類似用戶信息保護(hù)的法定，在2012年時(shí)在那個(gè)法定基礎(chǔ)上進(jìn)行了修訂，終在今年正式出臺(tái)，它所謂的“嚴(yán)密”主要體現(xiàn)在四個(gè)層面：
　　
　　首先是更嚴(yán)格的法律適用范圍，它在法律適用范圍上，對(duì)于跨境提供服務(wù)的企業(yè)，哪怕你在歐盟境內(nèi)沒有相關(guān)實(shí)體也一樣必須遵守這部法律；
　　
　　第二是增強(qiáng)了數(shù)據(jù)主體的控制權(quán)，這個(gè)數(shù)據(jù)主體包括企業(yè)、用戶等數(shù)據(jù)擁有者的所有控制權(quán)利，在那個(gè)厚厚的法律文本里列舉了一大堆，包括數(shù)據(jù)主體擁有被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、限制處理權(quán)等等不一而足。
　　
　　所有的這些權(quán)利對(duì)應(yīng)的都是企業(yè)必須要承擔(dān)的數(shù)據(jù)保護(hù)義務(wù)，所有的義務(wù)都很有可能增加企業(yè)的運(yùn)營(yíng)成本，都是錢，比如“數(shù)據(jù)保護(hù)官”，企業(yè)必須要配備這樣的一個(gè)職位，還有就是數(shù)據(jù)泄露通知義務(wù)，前兩天我們國(guó)家網(wǎng)絡(luò)安全法草案在第二次征求意見，其中有非常類似的條款，不過歐盟的法律相比要嚴(yán)格，它要求24小時(shí)內(nèi)必須向外界以及向上級(jí)主管部門報(bào)告，同時(shí)還要在毫不延遲的場(chǎng)景下，通知可能受損的用戶；
　　
　　還有一點(diǎn)是嚴(yán)格限制對(duì)用戶畫像技術(shù)的使用。在大數(shù)據(jù)時(shí)代下，用戶畫像是非常普遍的一種技術(shù)使用和業(yè)務(wù)拓展行為，比如這個(gè)用戶喜歡買什么，這個(gè)用戶喜歡逛什么樣類型的網(wǎng)站，可以利用用戶畫像技術(shù)獲得，但歐盟的法律對(duì)此進(jìn)行了一系列紅線限制，比如不允許分析結(jié)果涉及兒童，不允許分析結(jié)果導(dǎo)致對(duì)某些個(gè)人的歧視，不允許分析結(jié)果可能產(chǎn)生某種法律上的偏向性的建議等等，對(duì)這種行為有很嚴(yán)格的限制。
　　
　　第四個(gè)特點(diǎn)就是嚴(yán)厲的懲罰，在法律條款當(dāng)中，對(duì)于違法企業(yè)的罰款高可以達(dá)到100萬歐元或者企業(yè)當(dāng)年銷售額的2%，如果更嚴(yán)重可以追究刑責(zé)。