安得广厦千万间，大庇流转数据俱欢颜 – 作者:观安信息

 

隐私数据泄露

近十几年来，国家互联网产业飞速发展，国内网民数量呈直线上升态势（2015年网民规模已经达到6.88亿），各门各类、大大小小的网站也越来越多（域名总数3102万个）。但是正如你所见，如今的网站数量繁多且类型庞杂，他们都有着一个普遍的特点——安全建设差——与此相对的，则是数量繁多的网站中储藏着更为庞大的个人信息数据。

据不完全统计，迄今为止国内已知的个人信息泄露条数已经达到55.3亿条，平均每人就有四条相关的个人信息泄露，而这些信息多数在黑市中被反复榨取价值，在由个人信息泄露引发的经济损失中，电信诈骗和网银盗刷占据了大半比例。有的个人信息在价值已经被榨干榨净后，甚至被放在网上供人下载观摩。

目前我国个人信息数据主要集中于政府部门、企业和各类金融机构中，这也就意味着他们需承担更大的数据管理责任，面临更大的数据安全风险，如何通过制度、体系、技术创新来充分完尽自身对数据安全的管理责任，将是各个地区和部委网信部门面临的核心问题。企业单位也有责任对采集到的个人信息进行保护，应当严格做到合法授权、合法使用。

2020两会提案

因新冠肺炎疫情影响而延期的2020年全国两会终于在5月21日拉开大幕，每年的两会，各位代表委员们的提案发言总会吸引无数人的关注。今年的两会，政协委员和人大代表们又有哪些和信息安全相关的提案和议案呢？为此，我们对涉及到“安全基建”，“国家数据安全保护”，“强化数据安全立法与执法”，“加强数据安全保护和流通”等关键词的提案做了一个梳理。在梳理中我们也发现了很多有意思的内容，我们先看下代表们的具体提案：

强调数据开放共享的提案

 

一、全国政协委员、港交所行政总裁李小加今年提交了加速数据要素市场培育的提案。

他认为，中国可以凭借强大的数据积累和技术软实力，为下一轮世界经济发展输出“数据能源”。他建议，由中央深改委牵头，由国家发改委组织实施，以具有前瞻性和包容性的视角来加速数据要素市场培育的进程。

二、全国人大代表、浪潮集团董事长孙丕恕在2014年全国“两会”就提出政府数据开放的必要性，并连续多年围绕这一话题提出建议。

近期，他再次提出数据是国家重要的基础性战略资源，充分利用好这些高价值数据，能进一步提升政府的社会治理能力和公共服务水平。

加快数据安全保护立法的提案

 

一、加强数据安全保护与利用

建议：应从全生命周期角度对数据面临的安全问题进行规制；加强企业在数据安全保护方面的意识和管理，以及完善数据控制和流通规则，明确界定数据流通过程中各方的责任和义务，保障数据的有效利用。

二、加快制定“数据安全法”，进一步完善数据治理

建议：一是细化数据安全与隐私保护规则，保护公民合法权益；二是明确数据的权利归属，促进数据的确权、流通、交易和保护；三是建立数据合理使用制度，实现个人与数据使用者之间的利益平衡；四是建立公共数据开放共享规则，促进公共数据的合理利用；五是完整确立我国数据跨境流动制度，应对国际数据竞争。

以上提案同时在强调数据安全立法保护和数据开放共享。我们都知道数据只有在流通过程中才能不断产生价值。这也是近几年各代表们多次提交数据开放共享相关提案的原因，也是目前各地设立大数据中心、大数据局的原因。但是数据加强开放、共享和流通也意味着数据泄露风险的扩大，导致数据非法使用情况的几率提升。因此，数据开放共享的需求给数据的安全、隐私保护又提高了难度。

 

前几年我们都会提到的数据“信息孤岛”的状况，很大一部分原因就在于数据既要开放共享又必须建立在安全管控和防护的基础上。既要满足“铁路警察各管一段”的安全责任，同时又要做到信息共享，责任共担的目标。当前存在的数据壁垒，其产生原因是多方面的，大致可以总结为“不敢开”“不愿开”和“开不了”。

因为相关法律法规、政策制度和技术标准的不完善，掌握数据的机关部门不知道哪些数据可以开放哪些可以使用，特别是近两年来，相关部门针对个人信息保护领域的监管不断加强，一些不当获取和使用的信息技术企业受到处罚。这种情况下，掌握数据的部门因为担心不当开放和使用数据，造成违法违规，因此很难主动推进数据市场化。

一位金融科技公司人士表示，由于没有明确的法律法规细则，相关主体实际上并不知道信息保护和合规使用的边界在哪里。这种情况下，不管是数据的使用者还是提供者，都不敢“轻举妄动”。

如何“庇护”？

国家信息中心信息与网络安全处刘蓓处长曾提出如下建设意见：

o 要加快数据资产保护相关法律法规的立法工作；

o 要加快制定数据共享安全的管理制度和流程规范；

o 要制定数据共享安全的一些支撑性的标准；

o 要加快研发和应用大数据安全保障的新技术。

我们说的共享是政府部门之间的协同、政府和单位之间的合作，而开放是数据面向社会公开。数据共享安全需要依赖国家立法为前提，依赖法律法规层面的标准明确。对现阶段来说，更多的还是需要从技术手段去研究如何最大程度避免在数据安全共享下的非法使用和泄露的风险。

数据共享和开放在面对不同的场景时，对数据的原始程度要求不同，所以不能只考虑敏感数据脱敏防护而影响了数据的使用性需求。

国外一家安全公司Bitglass此前做了一个实验：创建一个带水印的虚构数据文件投入数据黑市来测试到底是什么人在翻阅这份文件。12天之后，这份文件流转过5大洲22个国家及地区，包括美国、俄罗斯、巴西、尼日利亚、西班牙、德国等。

该数据共计被浏览1081次，含47次下载，其中访问最频繁的是尼日利亚、俄罗斯和巴西。

数字水印技术不能预防你的数据被盗，但能大幅缩短发现数据被盗的时间，比传统企业发现数据泄露平均耗时的7个月短多了。

Bitglass的口号是：数据泄露不可预防，但可以被发现。

数字水印技术很好的解决了数据外发过程中的监控和溯源问题，但也存在有法律风险：它会导致用户电脑执行一些自身不会下达的指令（信息回传）；

对于如何使用数字水印技术来防护数据共享外发下的泄露风险，可以分以下几个场景来探讨：

在政府部门内部、大数据中心或大型企业客户内部等内部共享场景下，可以考虑统一部署数据文件流转监控工具。严格控制内部员工的数据非法泄露等行为。

对于外部共享场景，上述流转监控就不是很合适。只需要建立统一的外发管控流程和管控平台，在数据外发前统一操作，统一审批，添加外发水印才允许进行外部共享。一旦发生数据泄露，拿到疑似泄露文件后进行溯源，明确泄露责任人。

对于数据方的检查场景，可定期对数据共享使用方进行飞行检查扫描，检查使用方数据是否按规定定期删除。

数字水印技术也可通过提供能力的方式，与用户的应用系统集成，在原有的数据资产管理流程中添加水印信息，提升数据外发防护能力。

数字水印技术覆盖知识产权领域，在图片、视频、文章甚至软件中添加隐藏水印信息，可有效保护版权利益，在存在版权纠纷时，可以水印信息作为证据提交法庭。

针对不同的文件格式和使用需求可采用不同的水印应用方式，比如隐藏水印、文件水印、脱敏水印和网页水印等。数字水印技术在数据分发和共享的过程中让分发者“手里有据”，让使用者“心中敬畏”，尽最大可能减少数据外发过程的泄露面和损失量，并以此作为法律武器的使用凭证来捍卫自身利益，及时定源定责，及时止损。

随着立法、“数据安全基建”的建设推进，数据安全标准的逐步规范、统一，相信在不久的将来，数据资产作为国家战略资源也必将有属于自己的统一“身份认证”。个人的数据资产也必将实现“安得广厦千万间，大庇流转数据俱欢颜”的理想状态。

记住，能够撕裂黑暗的，是黎明的那道曙光！

 

作者：男猿北折

职业：观安信息·数据安全产品经理

来源：freebuf.com 2020-05-29 16:49:41 by: 观安信息