资讯中心

　　【中国智能制造网 名家论坛】数据安全问题一直是亟需解决的难题，未来数据是一种资产，一种虚拟的矿产资源，将发挥着巨大的作用，因此数据安全监管应被重视。以下是谢玮在ITValue 企业信息安全论坛上的演讲：　　大数据到底给我们带来了什么样的变化，直观的其实是量的变化，数据的规模在激增，早在几年之前就已经到了以PB计数的时代，量上的变化之后就是价值的挖掘和倍增，数据的价值早就已经不再局限于元数据本身的价值，而是它在不停的在开发、利用、转售和共享过程中还会被不断的增值，数据的“倍增效应”会更加凸显。
　　
　　未来数据也是一种资产，一种虚拟的矿产资源，这在业界已经达成共识，后就是大数据应用在向社会领域广泛扩散中也是在逐渐推动产业创新和变革，一些新的产业业态不断在生成。
　　
　　大数据给我们带来不断的创新，未来还会有更多新的变革出现，那么这些创新和变革也会带来问题，具体到数据安全，在大数据时代怎么样去做数据安全管理？我们到底要保护什么？
　　
　　数据的主体其实就包括用户、用户的个人隐私，企业、企业的数据资源，还有国家的数据资源，他们所面临的环境上是怎么样的？外界的安全危险到底包括什么？
　　
　　1、数据跨境流动监管是各国的难题
　　
　　常规传统的隐私数据安全威胁包括泄露、盗取、入侵等等，除了这些，我想说的是关于数据保护中，以前比较忽视的“滥用”问题。数据盗取大家会有各种各样的技术手段去防范，但是“滥用”呢？基本上大家就只能看着，没办法。
　　
　　比如过渡收集、售卖，还有未经允许的任意流转等等，你根本不知道你的个人隐私数据信息到底被企业拿走了之后，做了多少次的处理和使用，应该没有人会关注，即便有人关注但也没有人会知道其中的细节。
　　
　　对企业来讲，随着数据资源资产的不断增值和扩张，安全防护的形势是“道高一尺魔高一丈”，无论怎么保护，肯定会有更好、更新、更强大的攻击工具让你继续陷入矛盾和困惑中。
　　
　　回到国家层面，数据可以类比成一种矿产资源，国家的资源矿产是战略资源，所以围绕着对数据资源的国与国之间资源争夺已经非常显现了。斯诺登事件曝光了很多美国以及其盟友已经或正在部署各种计划，所有的这些计划表面上看起来是用于安全、情报目的，背后也都体现着另外一种目的，就是对于其他国家数据资源资产的争夺，因为反正后都可能会变成有价值的资产，对方又没有更好的手段去防范，为什么不去拿？
　　
　　另外还有一个非常大的难题就是跨境，互联网就是一点接入、服务一种具有这种天然属性的网络，所以在互联网上数据跨境流动是天生的，而且是他的基本需求。
　　
　　从监管角度和国家政府安全的角度，域外监管怎么做？几乎所有的国家都面临这个监管难题。但各个国家的想法和思路都不一样，尤其是像美国和中国之间会有根本理念上的分歧，所以寄希望于在近期内达成所谓的统一规则或协定，但协定这在现阶段是根本不可能的。
　　
　　随着数据价值的攀升，从国家立法层面看，很多国家的监管策略在悄悄转变。
　　
　　在“斯诺登事件”以前，很多国家在出台政府战略时都强调开放、共享、自由流动，而在这两年，各国都在不断的出台一系列的相关法令、法规、监管政策，更多的会注重相关资源和用户信息的保护和企业治理以及企业数据保护的责任。
　　
　　这种悄悄的改变在具体的立法和监管的实践当中也有很多的体现，其中两个非常典型的例子，一个是欧盟，一个是美国。
　　
　　2、欧盟的信息保护律法：严密、细致、重罚
　　
　　今年4月14号，欧盟通过一个新法令叫“数据保护总规”，它脱胎于1995年欧盟的一个类似用户信息保护的法定，在2012年时在那个法定基础上进行了修订，终在今年正式出台，它所谓的“严密”主要体现在四个层面：
　　
　　首先是更严格的法律适用范围，它在法律适用范围上，对于跨境提供服务的企业，哪怕你在欧盟境内没有相关实体也一样必须遵守这部法律；
　　
　　第二是增强了数据主体的控制权，这个数据主体包括企业、用户等数据拥有者的所有控制权利，在那个厚厚的法律文本里列举了一大堆，包括数据主体拥有被遗忘权、数据可携带权、限制处理权等等不一而足。
　　
　　所有的这些权利对应的都是企业必须要承担的数据保护义务，所有的义务都很有可能增加企业的运营成本，都是钱，比如“数据保护官”，企业必须要配备这样的一个职位，还有就是数据泄露通知义务，前两天我们国家网络安全法草案在第二次征求意见，其中有非常类似的条款，不过欧盟的法律相比要严格，它要求24小时内必须向外界以及向上级主管部门报告，同时还要在毫不延迟的场景下，通知可能受损的用户；
　　
　　还有一点是严格限制对用户画像技术的使用。在大数据时代下，用户画像是非常普遍的一种技术使用和业务拓展行为，比如这个用户喜欢买什么，这个用户喜欢逛什么样类型的网站，可以利用用户画像技术获得，但欧盟的法律对此进行了一系列红线限制，比如不允许分析结果涉及儿童，不允许分析结果导致对某些个人的歧视，不允许分析结果可能产生某种法律上的偏向性的建议等等，对这种行为有很严格的限制。
　　
　　第四个特点就是严厉的惩罚，在法律条款当中，对于违法企业的罚款高可以达到100万欧元或者企业当年销售额的2%，如果更严重可以追究刑责。