在第十三届中国信息港论坛“大数据与网络安全”专题峰会上,中国信息通信研究院总工程师余晓晖就大数据发展与安全的立法问题发表演讲。余晓晖认为,数字经济、“互联网+”的基础是数据的充分流动和利用,数据安全至关重要。
“2015年,全球共发生1673例数据泄露事故,共造成 7.07亿条数据记录外泄。2013年以来,数据中心遭遇DDoS攻击的占比已经达到了70%。”余晓晖认为,大数据带来经济增长的同时,面临很大的安全风险。要理解并处理好数据开放带来的社会利益与个人或组织对数据开放合理担忧间的平衡问题。
个人数据边界模糊,潜在范围无限扩展,同时难以彻底去识别,数据利用及流转的复杂性使用户知情同意权难以有效行使,数据多方流转和后续利用无法保证遵循原始收集时的特定目的,流转及交易牵涉多方主体,数据保护责任难以清晰界定……余晓晖认为,在个人数据保护方面,传统个人信息保护制度已经无法适应大数据时代的发展需求。
余晓晖介绍了国际上大数据安全立法经验。欧盟已通过《数据保护总规》,2018年正式生效,明确了数据的被遗忘权、更正权、限制处理权、数据可携权、数据获取权、信息知情权、知情同意权等规则和企业设立数据保护官、通知、限制用户画像、限制随意跨境转移等义务。美国白宫两度发布大数据报告,探讨大数据时代的数据保护及数据伦理,推动个人数据保护综合性立法,推动个人数据保护领域性立法,并颁布个人数据保护操作指南。日本修订了《个人信息保护法(PIPA)》,扩张个人数据定义及法律适用范围,增加敏感数据、匿名化等条款,建立统一的个人数据保护委员会等。
余晓晖解释了数据流动中的数据管控和授权相关问题。他说,调查显示,数据流通面临的主要问题为“难以管控数据在允许范围内流动”。数据安全面临的主要问题为“难以界定数据授权信息”。跨境数据流动管理成为影响国家网络信息安全以及相关行业发展的重要问题。一方面,信息社会发展需要促进数据全球流动;另一方面,数据安全事故频发引发安全担忧,客观要求在一定程度上限制跨境数据流动。
余晓晖表示,我国大数据发展中的产业诉求是法律法规和标准规范。参与调查的单位最希望政府(第三方机构)提供法律保障及技术标准。而大数据立法面临四大挑战:分别是个人数据保护、政府数据开放、数据流通与交易、数据跨境流动。推进我国的大数据立法,应该坚持安全与发展并重、促进与规范并举的原则,重点促进网络基础设施的发展;加强网络安全与隐私保护;开放数据资源,加强政府和公共部门的数据开放;针对数据的收集、存储和使用等全环节建立数据安全与保护的规则;明确大数据生态中各不同主体的责任。
在网络安全方面,推进《网络安全法》尽快出台;应对大数据等新技术新业务带来的网络安全问题;与实体经济安全相结合进行统筹处理;建立关键信息基础设施安全管理制度;对互联网平台的责任予以明确。在数据安全方面,建立对数据安全风险的评估机制;从关注数据本身,到数据资源整体的安全;加强对处理数据主体的关注,限制特定类型的主体从事相关数据分析。
