李明魯

據(jù)美國(guó)個(gè)人信息失竊資源中心（Identity Theft Resource Center）發(fā)布的調(diào)查研究顯示，2015年美國(guó)醫(yī)保公司數(shù)據(jù)泄露占美國(guó)所有行業(yè)的35.5%，僅次于商業(yè)部門。[1]醫(yī)療行業(yè)的信息系統(tǒng)與政府部門和金融行業(yè)相比，安全防護(hù)能力較弱，容易成為黑客攻擊的目標(biāo)。黑客往往利用信息系統(tǒng)存在的漏洞，竊取患者的醫(yī)療信息，還會(huì)對(duì)與互聯(lián)網(wǎng)連接的醫(yī)療設(shè)備進(jìn)行破壞性攻擊。一旦醫(yī)療信息被非法獲取，不法分子很可能利用這些信息進(jìn)行違法犯罪活動(dòng)，例如假冒患者身份領(lǐng)取管制藥物、通過信用卡信息進(jìn)行金融詐騙等。

一、大數(shù)據(jù)背景下公民信息的安全風(fēng)險(xiǎn)

人們每天用微信記錄心情，用微博分享視頻，用高德地圖定位地點(diǎn)坐標(biāo)……我們的日常生活已經(jīng)與數(shù)據(jù)密不可分，數(shù)據(jù)無處不在。大數(shù)據(jù)時(shí)代已悄然來臨，大數(shù)據(jù)之“大”體現(xiàn)在數(shù)據(jù)的數(shù)量大、種類多以及蘊(yùn)含的價(jià)值大。大數(shù)據(jù)是一塊寶藏，蘊(yùn)含著豐富的潛能正等待人們?nèi)ネ诰蚺c開發(fā)，在社會(huì)的進(jìn)步和發(fā)展中起到的作用是不言而喻的。數(shù)據(jù)可以被用來預(yù)測(cè)和偵查犯罪，例如美國(guó)洛杉磯警察局對(duì)已發(fā)生的犯罪案件進(jìn)行數(shù)據(jù)分析，推測(cè)出犯罪的高發(fā)地區(qū)，從而加大對(duì)該地區(qū)的巡邏密度，以減少犯罪的發(fā)生。但是社會(huì)行業(yè)的信息化發(fā)展在為公民、企業(yè)和政府部門帶來便利的同時(shí)，也伴隨產(chǎn)生了一系列數(shù)據(jù)信息的安全隱患。金融、教育、醫(yī)療等組織機(jī)構(gòu)為了向公眾提供更優(yōu)質(zhì)的服務(wù)，同時(shí)也是加強(qiáng)自身管理的需要，會(huì)向用戶收集涉及個(gè)人隱私的數(shù)據(jù)信息。數(shù)據(jù)被收集后形成數(shù)據(jù)庫，在接下來的數(shù)據(jù)存儲(chǔ)、處理和使用過程中，數(shù)據(jù)存在被非法訪問或竊取的風(fēng)險(xiǎn)，個(gè)人隱私泄露的事件頻繁發(fā)生。

事實(shí)上，在大數(shù)據(jù)時(shí)代，我們的個(gè)人信息幾乎全部都被存儲(chǔ)和收錄在網(wǎng)絡(luò)中，利用這些數(shù)據(jù)信息，商家可以實(shí)施精準(zhǔn)營(yíng)銷，通過消費(fèi)者的消費(fèi)足跡判斷其消費(fèi)需求，從而有針對(duì)性地推送一些商品。在大數(shù)據(jù)起步的初期，各行各業(yè)只看到了數(shù)據(jù)帶來的機(jī)遇和便利，而對(duì)數(shù)據(jù)信息帶來的隱私風(fēng)險(xiǎn)卻缺乏足夠的關(guān)注。公民個(gè)人信息安全面臨的最為嚴(yán)峻的挑戰(zhàn)便是數(shù)據(jù)泄露。在美國(guó)醫(yī)療數(shù)據(jù)泄露案中，黑客發(fā)現(xiàn)了醫(yī)療信息系統(tǒng)的安全漏洞，入侵網(wǎng)絡(luò)服務(wù)器，竊取了上千萬份電子醫(yī)療記錄和用戶的基本信息資料。公民隱私信息的泄露將造成無法預(yù)計(jì)的損失，不僅個(gè)人的生活受到影響，嚴(yán)重者還會(huì)危及生命健康，而且還會(huì)進(jìn)一步影響社會(huì)治安。數(shù)據(jù)泄露往往會(huì)引發(fā)電信詐騙等違法犯罪案件。2016年8月的山東省學(xué)生徐玉玉電信詐騙案，就是由于考生的信息被泄露，騙子才能取得被害人的信任，騙得錢款，最后釀成被害人因被騙而猝死的悲劇。

大數(shù)據(jù)中蘊(yùn)含著巨大價(jià)值，在利益的驅(qū)動(dòng)下，數(shù)據(jù)很容易成為不法之徒的攻擊目標(biāo)，數(shù)據(jù)安全面臨著前所未有的危機(jī)。美國(guó)的“棱鏡門”事件令世界一片嘩然，斯諾登披露了美國(guó)國(guó)家安全局對(duì)客戶通信和文件資料進(jìn)行秘密監(jiān)聽的陰謀，并且美國(guó)政府通過電信公司掌握了數(shù)百萬用戶的私密電話記錄。在美國(guó)政府的監(jiān)視計(jì)劃下，公民個(gè)人的數(shù)據(jù)信息一覽無余，我們?cè)诰W(wǎng)絡(luò)上進(jìn)行的一切搜索和所有網(wǎng)絡(luò)社交資料都會(huì)成為被監(jiān)視的對(duì)象。美國(guó)大規(guī)模監(jiān)控計(jì)劃的丑聞曝光之后，越來越多的網(wǎng)民開始重視自己的隱私是否被泄露，政府和相關(guān)行業(yè)也在重新審視數(shù)據(jù)的安全問題。

二、美國(guó)安瑟姆公司醫(yī)療數(shù)據(jù)泄露案[2]

美國(guó)前總統(tǒng)奧巴馬在任職期間大力推行醫(yī)療改革，讓沒有醫(yī)療保險(xiǎn)的美國(guó)公民都能獲得醫(yī)療保障。美國(guó)政府劃撥了數(shù)百億的預(yù)算用于扶植醫(yī)療保障行業(yè)，推行電子醫(yī)療記錄以便所有醫(yī)療機(jī)構(gòu)的信息共享。但在醫(yī)療行業(yè)信息化的快速發(fā)展過程中，醫(yī)療信息安全的建設(shè)沒有跟上，相應(yīng)的風(fēng)險(xiǎn)管理和安全保障措施還相對(duì)落后。正是因?yàn)獒t(yī)療信息安全沒有受到政府應(yīng)有的重視，并且在維護(hù)醫(yī)療信息安全方面的預(yù)算也不足，美國(guó)醫(yī)療數(shù)據(jù)泄露事件才頻頻發(fā)生。

安瑟姆（Anthem）公司是美國(guó)第二大醫(yī)療保險(xiǎn)公司，約九分之一的美國(guó)人都是該醫(yī)保公司的用戶。安瑟姆公司此次數(shù)據(jù)泄露事件是美國(guó)近年來發(fā)生的最嚴(yán)重的醫(yī)療數(shù)據(jù)泄露事件之一。2015年2月，美國(guó)安瑟姆醫(yī)療保險(xiǎn)公司的信息系統(tǒng)遭遇黑客攻擊，共7880萬條醫(yī)療數(shù)據(jù)遭泄露，受害者包括現(xiàn)在和之前的保險(xiǎn)公司員工和用戶，數(shù)據(jù)內(nèi)容包括用戶姓名、出生日期、家庭住址、電子郵箱、工作單位以及收入情況等。安瑟姆公司發(fā)現(xiàn)系統(tǒng)被黑客攻破之后快速封鎖了安全漏洞，并將數(shù)據(jù)泄露情況通知了美國(guó)聯(lián)邦調(diào)查局，另外協(xié)同曼迪特（Mandiant）和克勞德（CrowdStrike）兩家公司進(jìn)行緊急調(diào)查。安瑟姆公司首席執(zhí)行官發(fā)表聲明，指出這次數(shù)據(jù)泄露是受到了外部的網(wǎng)絡(luò)攻擊，目的是竊取醫(yī)療數(shù)據(jù)。黑客在2015年1月30日實(shí)施了惡意網(wǎng)絡(luò)攻擊活動(dòng)，通過一封釣魚郵件入侵并控制了安瑟姆公司一個(gè)具有管理者權(quán)限的賬戶的電腦系統(tǒng)。黑客通過遠(yuǎn)程控制等技術(shù)操作，進(jìn)一步滲透進(jìn)安瑟姆公司的網(wǎng)絡(luò)平臺(tái)，控制和利用至少50名安瑟姆公司的員工賬戶和90臺(tái)電腦系統(tǒng)，最終入侵并掌握了安瑟姆公司存儲(chǔ)的用戶個(gè)人信息的數(shù)據(jù)庫。

黑客之所以能侵入醫(yī)療信息系統(tǒng)，經(jīng)調(diào)查是因?yàn)榘采饭緵]有設(shè)置嚴(yán)密的訪問控制，這是歷史上最嚴(yán)重的安全失誤。如果該公司一開始對(duì)其數(shù)據(jù)庫設(shè)置了訪問限制，那么黑客根本不可能僅憑一個(gè)登錄口令就能獲得管理員的身份權(quán)限，進(jìn)而訪問整個(gè)數(shù)據(jù)庫。另外一個(gè)安全失誤是沒有采取數(shù)據(jù)加密。在缺少訪問控制的情況下，如果對(duì)數(shù)據(jù)庫進(jìn)行了數(shù)據(jù)加密，那么黑客即便取得了管理者權(quán)限，也無法識(shí)別和利用數(shù)據(jù)信息。所以數(shù)據(jù)加密和訪問控制這兩大安全技術(shù)措施的欠缺是安瑟姆公司被黑客竊取數(shù)據(jù)的主要原因。

事件發(fā)生后，安瑟姆公司通過郵件、媒體和網(wǎng)站告知受影響的個(gè)人用戶和公眾，向每位信息遭泄露的用戶發(fā)送泄露情況的通知，承諾免費(fèi)提供身份保護(hù)和信用監(jiān)控服務(wù)，并且積極與受影響的個(gè)人簽訂了為期兩年的信用保護(hù)協(xié)議。但是包括康涅狄格州在內(nèi)的美國(guó)9個(gè)州都對(duì)該公司的通知延遲表示不滿?？的腋裰菘倷z察長(zhǎng)向安瑟姆公司致信，表明由于向用戶發(fā)送的數(shù)據(jù)泄露通知太晚，這種不合理的做法對(duì)已經(jīng)受害的用戶造成了又一次困擾。

事實(shí)上，安瑟姆公司并不是第一次遭遇黑客攻擊。早在2010年，該公司就曾因61.2萬人的數(shù)據(jù)被盜被處以170萬美元的罰款。據(jù)加利福尼亞州保險(xiǎn)部對(duì)外發(fā)布的調(diào)查聲明顯示，安瑟姆公司為此次數(shù)據(jù)泄露事件已經(jīng)付出了沉重的代價(jià)，其中包括1億1500萬美元改進(jìn)安全設(shè)備的費(fèi)用、3100萬美元向受影響機(jī)構(gòu)和個(gè)人通知的費(fèi)用、250萬美元聘請(qǐng)專家顧問的費(fèi)用，以及為受影響用戶提供的1億1200萬美元信用保護(hù)的費(fèi)用。為了防范數(shù)據(jù)泄露，加強(qiáng)對(duì)患者的隱私保護(hù)，安瑟姆公司目前在所有遠(yuǎn)程訪問系統(tǒng)中都實(shí)施了雙要素認(rèn)證措施，采取了特權(quán)賬戶管理和行為審計(jì)方案，還對(duì)所有特權(quán)賬戶密碼進(jìn)行了重置，暫停和關(guān)閉了所有未采取雙要素認(rèn)證的遠(yuǎn)程訪問行為和賬號(hào)，并且創(chuàng)建了新的網(wǎng)絡(luò)管理員。在未來，安瑟姆公司宣稱還將構(gòu)建關(guān)鍵數(shù)據(jù)庫的安全監(jiān)控和審計(jì)技術(shù)。

三、安瑟姆案的啟示：公民信息安全的保護(hù)機(jī)制

任何情況下“預(yù)防”都比“治療”更有效也更重要，對(duì)數(shù)據(jù)安全的保護(hù)工作也是一樣，重視數(shù)據(jù)安全的預(yù)防，防患于未然，公民的個(gè)人信息安全才能得到切實(shí)保障。在大數(shù)據(jù)時(shí)代背景下，信息化發(fā)展已呈不可逆轉(zhuǎn)之勢(shì)，為了讓大數(shù)據(jù)更好地服務(wù)于大眾，服務(wù)于社會(huì)，應(yīng)當(dāng)從技術(shù)層面和制度層面進(jìn)行綜合完善。數(shù)據(jù)安全在技術(shù)層面應(yīng)該從以下三個(gè)方面進(jìn)行改進(jìn)，包括數(shù)據(jù)安全評(píng)估、數(shù)據(jù)脫敏以及數(shù)據(jù)加密和訪問控制措施；在制度層面應(yīng)對(duì)數(shù)據(jù)分級(jí)保護(hù)、加強(qiáng)及時(shí)告知制度。

第一，數(shù)據(jù)安全評(píng)估。美國(guó)醫(yī)療數(shù)據(jù)大規(guī)模泄露，黑客能夠侵入醫(yī)療信息系統(tǒng)，其主要原因是醫(yī)療數(shù)據(jù)庫存在安全漏洞。據(jù)統(tǒng)計(jì)，美國(guó)醫(yī)療機(jī)構(gòu)普遍不重視對(duì)數(shù)據(jù)安全的定期檢查與評(píng)估，87%的醫(yī)療機(jī)構(gòu)基本上一年或者兩年才對(duì)其醫(yī)療信息系統(tǒng)檢查一次。醫(yī)療設(shè)施一旦被攻擊和控制，后果不堪設(shè)想。著名黑客巴納比·杰克就發(fā)現(xiàn)了麥德尼克（Medtronic）公司生產(chǎn)的胰島素注射機(jī)存在的安全漏洞，而通過遠(yuǎn)程控制這臺(tái)機(jī)器便可以操縱和改變胰島素的注射劑量。網(wǎng)絡(luò)數(shù)據(jù)安全的威脅正與日俱增，方式也在推陳出新，但企業(yè)的安全防護(hù)水平卻沒有相應(yīng)提高，落后的防護(hù)措施已經(jīng)不足以和復(fù)雜高端的安全風(fēng)險(xiǎn)相抗衡。定期對(duì)醫(yī)療信息系統(tǒng)的基礎(chǔ)設(shè)施進(jìn)行安全評(píng)估和漏洞檢查，可以事先預(yù)測(cè)在現(xiàn)有環(huán)境下數(shù)據(jù)庫所存在的安全風(fēng)險(xiǎn)，不給黑客以可乘之機(jī)。

第二，數(shù)據(jù)脫敏。大數(shù)據(jù)時(shí)代的特點(diǎn)之一在于信息共享，但在對(duì)用戶數(shù)據(jù)的使用和共享過程中，可能會(huì)發(fā)生數(shù)據(jù)的無意泄露，隱私信息的保護(hù)問題也隨之產(chǎn)生。比如醫(yī)療機(jī)構(gòu)為了評(píng)估診斷結(jié)果向調(diào)查員分享病人的數(shù)據(jù)，企業(yè)允許系統(tǒng)管理員拷貝生產(chǎn)數(shù)據(jù)用來進(jìn)行系統(tǒng)的測(cè)試與開發(fā)。但這些數(shù)據(jù)一經(jīng)流入非生產(chǎn)環(huán)境，則很容易成為被竊取或泄露的目標(biāo)。一方面要實(shí)現(xiàn)數(shù)據(jù)共享的高效運(yùn)轉(zhuǎn)，同時(shí)要確保敏感數(shù)據(jù)信息不被泄露，有必要對(duì)數(shù)據(jù)進(jìn)行脫敏處理。對(duì)于個(gè)人或企業(yè)的敏感數(shù)據(jù)，如身份證號(hào)碼、手機(jī)號(hào)碼、銀行卡卡號(hào)等信息，采取匿名化處理、數(shù)據(jù)擾動(dòng)、差分隱私等技術(shù)方法進(jìn)行數(shù)據(jù)變形，在盡可能保留數(shù)據(jù)分析價(jià)值的前提下，同時(shí)實(shí)現(xiàn)對(duì)用戶敏感數(shù)據(jù)的最大化保護(hù)，從而控制數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)。如果在數(shù)據(jù)傳輸之前進(jìn)行數(shù)據(jù)脫敏處理，那么即便攻擊者非法獲取了數(shù)據(jù)資料，也難以推測(cè)出敏感信息的具體內(nèi)容。

第三，數(shù)據(jù)加密和訪問控制。數(shù)據(jù)加密技術(shù)是專門對(duì)抗數(shù)據(jù)泄露、防止攻擊者竊取、篡改數(shù)據(jù)信息，用來保護(hù)敏感數(shù)據(jù)的一種可靠方法。數(shù)據(jù)經(jīng)過密碼技術(shù)進(jìn)行加密，會(huì)以密文的形式存在，這樣數(shù)據(jù)即使流入外部也無法進(jìn)行識(shí)別和使用，以此達(dá)到信息隱蔽的效果。但是數(shù)據(jù)加密僅能對(duì)抗外部人員的入侵，對(duì)企業(yè)內(nèi)部人員的泄密卻無能為力。為了防范“內(nèi)鬼”將數(shù)據(jù)流入外界，通過訪問控制技術(shù)對(duì)內(nèi)部人員分別設(shè)置不同的訪問權(quán)限，并將訪問記錄納入安全審計(jì)范圍，根據(jù)審計(jì)日志可以快速精準(zhǔn)地找到泄露人員。如果把數(shù)據(jù)比作寶藏，那么數(shù)據(jù)加密技術(shù)就好比把寶藏鎖進(jìn)保險(xiǎn)箱里，而訪問控制就像給堆放保險(xiǎn)箱的倉庫安裝了一扇防盜門。訪問控制技術(shù)作為非法侵入數(shù)據(jù)庫系統(tǒng)的第一道防線，能夠識(shí)別并攔截批量下載用戶數(shù)據(jù)信息等相關(guān)竊取數(shù)據(jù)的行為。美國(guó)安瑟姆公司沒有做好訪問控制這一防護(hù)措施，讓黑客入侵了醫(yī)療信息系統(tǒng)，用戶的醫(yī)療數(shù)據(jù)流入外部，同時(shí)第二道防線數(shù)據(jù)加密也不牢固，才最終導(dǎo)致用戶的敏感信息被不法之徒輕易地獲取和利用。

第四，數(shù)據(jù)分級(jí)保護(hù)制度。大數(shù)據(jù)時(shí)代下的數(shù)據(jù)浩繁龐雜，如果不對(duì)其劃分安全保護(hù)等級(jí)，對(duì)所有需要和不需要高標(biāo)準(zhǔn)保護(hù)的數(shù)據(jù)均采用相同的保護(hù)力度，在資源有限的前提下不利于對(duì)重要數(shù)據(jù)進(jìn)行充分保護(hù)。事實(shí)上，價(jià)值越高的數(shù)據(jù)面臨的被竊取或泄露的風(fēng)險(xiǎn)也就越高，因此需要依靠更高級(jí)別的防護(hù)措施來確保數(shù)據(jù)安全。為了提高數(shù)據(jù)管理的效率，加強(qiáng)對(duì)關(guān)鍵領(lǐng)域和重點(diǎn)行業(yè)數(shù)據(jù)的安全保障，有必要根據(jù)機(jī)關(guān)層級(jí)、所屬類別、對(duì)數(shù)據(jù)信息權(quán)利人可能產(chǎn)生的影響等多種因素對(duì)數(shù)據(jù)信息進(jìn)行安全保護(hù)等級(jí)分類。數(shù)據(jù)從宏觀角度可以分為政府開放共享的數(shù)據(jù)、商業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)，再進(jìn)一步細(xì)分，商業(yè)數(shù)據(jù)又可以分為商業(yè)秘密和普通商業(yè)數(shù)據(jù)信息，而個(gè)人數(shù)據(jù)則分為個(gè)人隱私信息和公開信息兩類。其中對(duì)商業(yè)秘密和個(gè)人隱私信息，企業(yè)在進(jìn)行數(shù)據(jù)收集、存儲(chǔ)、處理和使用的過程中，必須提供嚴(yán)格的安全保障。數(shù)據(jù)的保護(hù)和數(shù)據(jù)的利用本身是一對(duì)矛盾體，強(qiáng)調(diào)保護(hù)數(shù)據(jù)信息權(quán)利人的權(quán)利則意味著數(shù)據(jù)的利用和共享會(huì)受到限制，數(shù)據(jù)分類保護(hù)運(yùn)用科學(xué)合理的分析，讓信息安全得到應(yīng)有的保障，同時(shí)數(shù)據(jù)也能得到最大程度的利用，緩和這兩者之間的沖突。

第五，及時(shí)告知制度。在發(fā)生數(shù)據(jù)泄露事件后，出于對(duì)用戶知情權(quán)的保護(hù)，為了讓用戶對(duì)個(gè)人信息提高安全警惕，防止數(shù)據(jù)泄露的危害進(jìn)一步擴(kuò)大，被泄露的企業(yè)和單位應(yīng)當(dāng)及時(shí)告知用戶其信息泄露的相關(guān)情況，具體包括所泄露的數(shù)據(jù)種類、泄露的可能原因以及下一步計(jì)劃采取的措施。如果企業(yè)向用戶隱瞞了信息被泄露的事實(shí)，已經(jīng)竊取或者以其他非法手段獲取了用戶個(gè)人信息的行為人將肆無忌憚地實(shí)施接下來的詐騙等一系列違法犯罪行為，而不知自己的信息被泄露的受害人極易受騙上當(dāng)，以致財(cái)產(chǎn)或者人身遭到損害。如果企業(yè)及時(shí)通知了用戶其數(shù)據(jù)被泄露的消息，用戶可以通過修改賬戶密碼等補(bǔ)救措施將危害降到最低，而且對(duì)于陌生電話的騙術(shù)也會(huì)更加謹(jǐn)慎。但是許多企業(yè)在數(shù)據(jù)泄露事件中選擇了封鎖消息，不及時(shí)告知甚至隱瞞真相，包括美國(guó)安瑟姆公司也因沒有將醫(yī)療數(shù)據(jù)泄露的消息及時(shí)告知用戶而受到9個(gè)州的指責(zé)。因?yàn)橐噪娮余]件或電話逐個(gè)告知受影響的用戶會(huì)產(chǎn)生巨大的成本費(fèi)用，而且一旦將數(shù)據(jù)泄露的問題公之于眾，勢(shì)必會(huì)對(duì)企業(yè)的聲譽(yù)造成不利的影響。基于商業(yè)性企業(yè)趨利避害的本性，數(shù)據(jù)信息權(quán)利人的權(quán)益將被置于險(xiǎn)境，所以及時(shí)通知制度既是為了在發(fā)生數(shù)據(jù)泄露事件后對(duì)數(shù)據(jù)安全的補(bǔ)救，也能夠迫使企業(yè)提高自身的信息保護(hù)能力，預(yù)防用戶個(gè)人信息泄露的發(fā)生。

四、小結(jié)

大數(shù)據(jù)的潛在價(jià)值不可估量，搜索引擎可以通過搜索記錄挖掘數(shù)據(jù)的二次利用價(jià)值，網(wǎng)上交易平臺(tái)可以根據(jù)消費(fèi)者的瀏覽歷史和購(gòu)買記錄有針對(duì)性地推薦商品。大數(shù)據(jù)是一種產(chǎn)業(yè)，同時(shí)也是人們生活中不可缺失的一部分。人們的衣食住行和社交活動(dòng)都與數(shù)據(jù)緊密相連。大數(shù)據(jù)在方便人們的生產(chǎn)和生活的同時(shí)，也帶來了許多信息安全方面的困擾。幾乎人人都收到過詐騙電話和保險(xiǎn)推銷短信，人們的電話號(hào)碼、姓名和家庭住址等個(gè)人信息被泄露，甚至成為交易的對(duì)象。在大數(shù)據(jù)時(shí)代，個(gè)人的信息以電子數(shù)據(jù)的形式存儲(chǔ)在云端，云端存儲(chǔ)可以使數(shù)據(jù)的訪問不受地理位置的約束，也減輕了本地服務(wù)器存儲(chǔ)的硬盤負(fù)擔(dān)，但是云端存儲(chǔ)的數(shù)據(jù)可控性很弱，數(shù)據(jù)泄露也是最大的安全隱患。

數(shù)據(jù)的利用與保護(hù)如同硬幣的正反兩面，利用數(shù)據(jù)意味著數(shù)據(jù)的安全將受到威脅，而對(duì)數(shù)據(jù)安全的保護(hù)又會(huì)限制數(shù)據(jù)的充分利用。在保障數(shù)據(jù)安全的前提下使用和發(fā)展數(shù)據(jù)，才是保證數(shù)據(jù)產(chǎn)業(yè)可持續(xù)發(fā)展的方法。數(shù)據(jù)安全的保護(hù)工作應(yīng)該與數(shù)據(jù)的開發(fā)利用同步進(jìn)行，所以在軟件設(shè)計(jì)和開發(fā)之初就應(yīng)該把數(shù)據(jù)安全的保護(hù)理念嵌入其中，使數(shù)據(jù)安全從被動(dòng)的補(bǔ)救轉(zhuǎn)變?yōu)橹鲃?dòng)的維護(hù)。強(qiáng)調(diào)數(shù)據(jù)安全的預(yù)防，在技術(shù)方面可以采取數(shù)據(jù)安全評(píng)估、數(shù)據(jù)脫敏以及數(shù)據(jù)加密和訪問控制等措施，注重個(gè)人隱私保護(hù)技術(shù)的研發(fā)。另外，數(shù)據(jù)泄露事件一旦發(fā)生后，及時(shí)告知制度可以盡可能地保障受影響用戶的權(quán)益，將損害降到最低。數(shù)據(jù)安全是網(wǎng)絡(luò)安全的核心，而數(shù)據(jù)資產(chǎn)是企業(yè)資產(chǎn)的核心，在大數(shù)據(jù)時(shí)代，對(duì)數(shù)據(jù)的管理成為企業(yè)的核心競(jìng)爭(zhēng)力。數(shù)據(jù)分類保護(hù)制度可以提高數(shù)據(jù)管理的效率，更有效地應(yīng)對(duì)大數(shù)據(jù)帶來的挑戰(zhàn)。

整體而言，我國(guó)的數(shù)據(jù)安全保護(hù)依然較為薄弱，相關(guān)的保護(hù)工作尚處在起步和探索階段，保護(hù)水平尚未跟上數(shù)據(jù)產(chǎn)業(yè)發(fā)展的速度。個(gè)人信息在“互聯(lián)網(wǎng)+”的背景下會(huì)遭遇各種不可控的風(fēng)險(xiǎn)，但是為了個(gè)人隱私的絕對(duì)安全而全面否定大數(shù)據(jù)的價(jià)值，同樣不可取。筆者認(rèn)為信息安全不是僅憑一家之力就能實(shí)現(xiàn)的，由于技術(shù)門檻高、投入成本大，需要組織相關(guān)部門共同努力，形成全面完善的數(shù)據(jù)安全解決方案，構(gòu)筑牢固的數(shù)據(jù)安全防火墻。

注釋：

[1]參見美國(guó)個(gè)人信息失竊資源中心報(bào)告，網(wǎng)址：http：//www.idtheftcenter.org/Data-Breaches/2015databreaches.html，訪問日期：2017年2月18日。

[2]參見物聯(lián)網(wǎng)安全《美國(guó)保監(jiān)部門重啟調(diào)查：確定Anthem網(wǎng)絡(luò)攻擊是國(guó)家支持黑客所為》，網(wǎng)址：http：//www.wulianaq.com/articles/804，訪問日期：2017年2月18日。