●大數(shù)據(jù)作為資源,只有流通起來才能發(fā)揮價值,怎樣保障流動的數(shù)據(jù)安全,是行業(yè)產業(yè)發(fā)展需重點解決的問題
●首份《數(shù)據(jù)安全能力建設實施指南》征求意見稿發(fā)布,填補業(yè)內數(shù)據(jù)安全能力建設實操指南的空白
●各國陸續(xù)出臺具跨域約束權的專門性法案,產生的“長臂”管轄問題引發(fā)討論
如何切實防范、控制和化解各種數(shù)據(jù)安全與隱私保護的風險,成社交網絡、在線購物、醫(yī)療和移動服務等應用深入的互聯(lián)網行業(yè),面臨的最大安全挑戰(zhàn)。
9月29日,為期三天的2018(第三屆)數(shù)據(jù)安全與隱私保護大會在杭州落下帷幕。來自中國、美國、日本、韓國等國家的70余名專家學者,圍繞上述行業(yè)問題,從數(shù)據(jù)安全及隱私保護的政策法律標準、產業(yè)實踐、前沿技術和全球跨境數(shù)據(jù)流動政策分析等維度,展開深入討論,共議克服挑戰(zhàn)的策略與方案。
29日,阿里巴巴數(shù)據(jù)安全研究院還重磅發(fā)布了業(yè)內首份《數(shù)據(jù)安全能力建設實施指南V1.0》(下稱《指南》)征求意見稿,為組織數(shù)據(jù)安全能力建設提供參考。
作為中國最權威頂級、規(guī)模最大的數(shù)據(jù)安全領域會議,本屆大會以“數(shù)據(jù)安全
隱私保護”為主題,由浙江省互聯(lián)網信息辦公室指導,中國保密協(xié)會隱私保護專委會和中國網絡空間安全協(xié)會網絡治理與國際合作工作委員會主辦,阿里巴巴數(shù)據(jù)安全研究院和貴州大數(shù)據(jù)安全工程研究中心承辦。
28日開幕式當天,浙江省互聯(lián)網信息辦公室副主任王堯祥,中國網絡安全審查技術與認證中心主任魏昊,中國保密協(xié)會常務副會長紀清陽,國家創(chuàng)新與發(fā)展戰(zhàn)略研究會副會長郝葉力,以及中國信息協(xié)會信息安全專委會副主任委員、國家信息技術安全研究中心總師辦專家李京春等嘉賓,也參會致辭和分享。
圖:28日上午,2018數(shù)據(jù)安全與隱私大會在杭州開幕,浙江省互聯(lián)網信息辦公室副主任王堯祥等領導現(xiàn)場發(fā)言致辭。
黑灰產行為成數(shù)據(jù)保護主要威脅
近年,關于公民個人信息案頻發(fā),有數(shù)據(jù)安全專家就指出,數(shù)據(jù)安全和隱私保護的主要威脅,仍在于日益猖獗的黑灰產團伙行為。泄露的數(shù)據(jù)大多會被黑灰產團伙用于詐騙等牟利行為,對個人、社會和國家都產生惡劣危害。
無論是今年8月曝光,牽涉96家互聯(lián)網公司30億條用戶信息泄漏案;還是包括上百萬虛假網絡賬號的國內首例空號短信劫持案,以及華住5億多用戶隱私數(shù)據(jù)泄露案;或是9月爆發(fā),覆蓋山東10市不動產系統(tǒng)遭病毒入侵案等億級信息數(shù)據(jù)泄露案,幕后就都存在黑灰產團伙身影。
公開的行業(yè)報告《國內外敏感信息泄露案例匯總分析》也指出,互聯(lián)網行業(yè)、政府機構和金融、教育與醫(yī)療等行業(yè),是敏感數(shù)據(jù)泄露的重災區(qū)。其中,70%以上個人信息泄露均因黑客入侵等手段導致,另有近兩成是通過安插或買通“內鬼”等非技術手段引發(fā)泄露,此外還有7.87%泄密路徑尚不清楚。
去年3月,公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動,僅4個月就偵破相關案件1800余起,抓獲犯罪嫌疑人4800余名,查獲各類公民個人信息500余億條。
沒有安全防護能力的第三方企業(yè)、機構,都是黑灰產團伙攻擊的主要對象,這些企業(yè)通常擁有大量數(shù)據(jù),但往往缺乏足夠的數(shù)據(jù)安全意識,使得加強互聯(lián)網行業(yè)的整體數(shù)據(jù)安全防護能力,變得迫在眉睫。
阿里發(fā)布業(yè)內首份數(shù)據(jù)安全能力建設實施指南
圖:9月29日,阿里巴巴數(shù)據(jù)安全研究院聯(lián)合多家單位發(fā)布業(yè)內首份《數(shù)據(jù)安全能力實施指南V1.0》征求意見稿。
就目前行業(yè)整體數(shù)據(jù)安全能力水位不高,面臨數(shù)據(jù)業(yè)務持續(xù)發(fā)展、數(shù)據(jù)泄露事件頻發(fā)等現(xiàn)狀,29日上午,阿里巴巴數(shù)據(jù)安全研究院聯(lián)合多家單位公開發(fā)布了業(yè)內首份《數(shù)據(jù)安全能力建設實施指南V1.0》征求意見稿。
這是針對組織的數(shù)據(jù)安全能力建設提出的系統(tǒng)性和專門性實操方案。《指南》征求意見稿填補了數(shù)據(jù)安全能力建設實操指南的空白,是從0到1的突破。作為數(shù)據(jù)安全能力成熟度模型(DSMM)配套文檔,該《指南》由阿里巴巴數(shù)據(jù)安全研究院聯(lián)合中國電子技術標準化研究院、杭州數(shù)夢工場、杭州安恒信息、螞蟻金服和阿里云等單位共同起草。
《指南》以充分定義級(3級成熟度)為目標,結合數(shù)據(jù)安全合規(guī)要求和組織的業(yè)務發(fā)展需求,從組織建設、制度流程、技術工具和人員能力等四個方面整體框架設計和規(guī)劃入手,對DSMM的安全域設置目的和要求進行詳細解讀,并輔以實踐案例,為各行各業(yè)具體組織的數(shù)據(jù)安全能力建設提供實踐參考。
阿里巴巴集團技術副總裁杜躍進分析稱,探索保障數(shù)據(jù)為中心的安全,需要做到“融合”,打通政策法律、產業(yè)實踐和學術研究;同時需要掌握“平衡”,保證數(shù)據(jù)流動發(fā)揮價值,還要防止在流通過程中危害到個人及企業(yè)自身利益;另需學會“創(chuàng)新”,在新領域積極探索,不再基于傳統(tǒng)經驗制定未來解決方案;最后是需持續(xù)“改進”,先立初步標準,再不斷打磨優(yōu)化。
圖:28日上午,阿里巴巴集團技術副總裁杜躍進在數(shù)據(jù)安全與隱私大會上指出,探索以數(shù)據(jù)為中心的安全出路,需做到融合、平衡、創(chuàng)新和持續(xù)改進。
“在數(shù)據(jù)安全保護方面,我們積累了豐富的實踐經驗,除了搭建御城河系統(tǒng)為商家保護數(shù)據(jù)安全,我們還與生態(tài)合作伙伴發(fā)起電子商務生態(tài)安全聯(lián)盟(SAEE),之后又沉淀經驗總結出以DSMM為核心的數(shù)據(jù)安全治理體系,為整個社會全行業(yè)賦能。”杜躍進介紹,阿里目前還有云殼、錢盾、PC安全保鏢等11項自主創(chuàng)新科技,在為經濟體的數(shù)據(jù)安全護航。
警惕“長臂”管轄 中國需有適合自己的數(shù)據(jù)安全標準
圖:北京大學法治與發(fā)展研究院院長王錫鋅,從私權、公權和主權三重博弈關系,分析各國數(shù)據(jù)治理思路。
北京大學法治與發(fā)展研究院院長王錫鋅在大會主題發(fā)言時,則從數(shù)據(jù)的私權、公權和主權博弈三個維度進行分析。他指出,各國意識到數(shù)據(jù)保護的重要性,開始陸續(xù)基于自身視角出臺具有跨域約束權的專門性法案(如GDPR),使得其他國家及企業(yè),在走向全球化過程中遇到了數(shù)據(jù)使用的限制,影響到企業(yè)長遠發(fā)展。中國及其他國家都應警惕這類法案的‘長臂管轄’現(xiàn)象。
“各國出臺了法案,但在法律之下還需要技術層面的標準,這是目前缺失的。”與會嘉賓中國信息協(xié)會信息安全專委會副主任委員李京春表示,如果這個標準中國有,且是國際化標準,那各企業(yè)遵守起來可減少一些國際上的沖突和矛盾。
多名與會專家都認為,中國需要自主創(chuàng)新尋找數(shù)據(jù)安全發(fā)展的解決方案。“國家政府可以通過主權方式出臺相應法案或標準,來對企業(yè)走出去發(fā)展提供合法保護。”王錫鋅表示。
圖:28日,來自中、美、韓等國行業(yè)專家,討論未來數(shù)據(jù)安全保護創(chuàng)新方案。
28日當天,包括美利堅大學華盛頓法學院法律系副教授、美國司法部國家安全局原首席檢察官助理律師Jennifer
Daskal,美國智庫國際戰(zhàn)略研究中心技術政策研究組高級研究員譚珊珊(SammSacks),日本中央大學的法律副教授、日本原總理內閣府首任國際關系隱私官Hiroshi
Miyashita,韓國高麗大學法學院院長、網絡法中心主任Nohyoung Park,印度尼西亞巴查查蘭大學法學院法學副教授Sinta Dewi
Rosadi(辛塔·德薇·羅薩迪)等,來自6國的學者專家也都參會,并分別從各自研究領域發(fā)表了前沿性研究觀點。
附:
(《數(shù)據(jù)安全能力建設實施指南V1.0》征求意見稿,可掃描下載)
