莊嘉

編者按：大數(shù)據(jù)時代，數(shù)據(jù)安全的“脆弱性”逐漸凸顯，數(shù)據(jù)泄露、監(jiān)控、破壞事件頻發(fā)，令用戶隱私受到極大威脅。大數(shù)據(jù)安全防護儼然成為愈來愈緊迫的社會問題。設(shè)置數(shù)據(jù)安全防護的屏障，不僅要從源頭上斬斷數(shù)據(jù)泄露的利益鏈，完善信息安全防護的法律法規(guī)，亦需各級監(jiān)管部門、企業(yè)和社會組織協(xié)同共治，促成對數(shù)據(jù)泄露的綜合監(jiān)管。

大數(shù)據(jù)應(yīng)用的迅速崛起與數(shù)據(jù)的安全防護

隨著“互聯(lián)網(wǎng)+”的興起，大數(shù)據(jù)應(yīng)用逐漸步入人們的視野。誠如中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓所言，“‘互聯(lián)網(wǎng)+促使傳統(tǒng)行業(yè)被逐步數(shù)據(jù)化，產(chǎn)生了巨量的連接和數(shù)據(jù)”。時下，世界正步入大數(shù)據(jù)應(yīng)用的時代?！秶鴦?wù)院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016—2020年）》等一系列重磅政策的陸續(xù)出臺，預(yù)示著我國越發(fā)重視大數(shù)據(jù)的開發(fā)與利用。據(jù)貴陽大數(shù)據(jù)交易所發(fā)布的《2016年中國大數(shù)據(jù)交易產(chǎn)業(yè)白皮書》，“我國的大數(shù)據(jù)產(chǎn)業(yè)市場在未來五年將保持高速增長。2016年年末，市場規(guī)模將達2485億元。伴隨各項政策的配套落實及推進，至2020年，我國大數(shù)據(jù)產(chǎn)業(yè)規(guī)?；蜻_13626億元的高點，大數(shù)據(jù)將在經(jīng)濟發(fā)展、社會治理、市場監(jiān)管等諸多領(lǐng)域得到更廣泛的應(yīng)用”。

作為最早洞見大數(shù)據(jù)時代發(fā)展趨勢的數(shù)據(jù)科學(xué)家，維克托·邁爾·舍恩伯格在《大數(shù)據(jù)時代》一書中曾預(yù)言，“大數(shù)據(jù)在未來商業(yè)應(yīng)用層面有巨大的價值，人類生活可能被大數(shù)據(jù)主宰，但不能忽視其中的風(fēng)險”。在我國，因數(shù)據(jù)安全問題引發(fā)的電信與網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、敲詐勒索等違法犯罪案件及各種民事糾紛時有發(fā)生，“數(shù)據(jù)信息安全”已成為大數(shù)據(jù)時代下亟待破解的難題。

表1中一連串涉及數(shù)據(jù)安全問題的事件告誡我們：數(shù)據(jù)安全問題已經(jīng)成為我國大數(shù)據(jù)發(fā)展的痛點！據(jù)中國青年政治學(xué)院互聯(lián)網(wǎng)法治研究中心于2016年11月21日發(fā)布的《中國個人信息安全和隱私保護報告》，“超七成的受訪者認為個人信息泄露問題嚴重；26%的受訪者每天收到兩條以上的垃圾短信；20%的人每天收到兩個以上的騷擾電話；多達81%的參與調(diào)研者經(jīng)歷過熟知自己姓名、單位等個人信息的陌生來電；53%的人因網(wǎng)頁搜索、瀏覽后泄露個人信息，被某類廣告持續(xù)騷擾；租房、購房、購車等信息泄露后被營銷騷擾或詐騙的高達36%……”。數(shù)據(jù)安全防護的缺失導(dǎo)致信息泄露已經(jīng)達到了觸目驚心的地步，因而引起民眾的普遍關(guān)注和擔(dān)憂。而就在2017年伊始，廣東警方主辦的“颶風(fēng)1號個人信息泄露專案”“58同城簡歷數(shù)據(jù)泄露”等數(shù)據(jù)安全事件又警示我們：數(shù)據(jù)威脅就在我們的身邊！

數(shù)據(jù)安全的監(jiān)管困境

當(dāng)前，我國網(wǎng)絡(luò)空間正面臨著前所未有的巨大挑戰(zhàn)與威脅。盡管國內(nèi)的大數(shù)據(jù)平臺，數(shù)據(jù)、內(nèi)容的供應(yīng)商，政府相關(guān)職能部門愈發(fā)重視對數(shù)據(jù)安全的防護，開發(fā)了一些大數(shù)據(jù)安全產(chǎn)品，但作為新生事物的大數(shù)據(jù)安全產(chǎn)業(yè)還只是處于起步階段。我國數(shù)據(jù)安全的監(jiān)管層面主要存在兩方面困境——

困境一：數(shù)據(jù)威脅的黑色產(chǎn)業(yè)鏈已形成，但技術(shù)壁壘滯后

當(dāng)前，數(shù)據(jù)威脅事件的日益增多與地下黑色產(chǎn)業(yè)鏈的發(fā)展有著直接的關(guān)聯(lián)。在數(shù)據(jù)威脅的黑色產(chǎn)業(yè)鏈中，存在著數(shù)據(jù)提供方、數(shù)據(jù)中間商以及數(shù)據(jù)購買者三個核心角色。大數(shù)據(jù)時代從某種意義上是通過大規(guī)模收集數(shù)據(jù)信息創(chuàng)造新價值的時代。而在黑色產(chǎn)業(yè)鏈的各方看來，這種新價值最直接的表現(xiàn)形式就是“直接的獲利”。

在筆者看來，獲利的數(shù)據(jù)來源主要分為兩種。首先是內(nèi)鬼倒賣數(shù)據(jù)。例如在2016年12月發(fā)生的“京東12G用戶數(shù)據(jù)疑似泄露事件”中，賣掉9313條京東用戶信息的3個前京東員工共非法獲利近4萬元。其次就是黑客利用系統(tǒng)漏洞獲取數(shù)據(jù)。比如2017年3月爆出的58同城簡歷數(shù)據(jù)因遭黑客使用惡意爬蟲軟件而泄露，造成部分買家僅花費人民幣700元就可買下全國簡歷的荒唐事件。

這從側(cè)面印證了我國數(shù)據(jù)平臺（如銀行，房地產(chǎn)、保險、快遞公司，P2P平臺，網(wǎng)絡(luò)賣家，電信、移動、聯(lián)通運營商）掌握了大量的數(shù)據(jù)信息，但對于海量數(shù)據(jù)的管理存在盲區(qū)，令內(nèi)鬼可輕易得手，從中牟利。另一方面，物聯(lián)網(wǎng)、云計算等智能化發(fā)展趨勢，造就了更為復(fù)雜的數(shù)據(jù)安全問題。我國數(shù)據(jù)平臺的技術(shù)壁壘滯后，難以招架黑客的新型安全攻擊方式，這就為黑色產(chǎn)業(yè)鏈的發(fā)展壯大提供了空間和土壤。

困境二：法制保障滯后，行業(yè)監(jiān)管和社會監(jiān)督缺位

在我國，對數(shù)據(jù)安全保護的法律法規(guī)不在少數(shù)。比如，《刑法修正案（七）》（2009年）增設(shè)了“出售、非法提供公民個人信息”“非法獲取公民個人信息”的罪名。《刑法修正案（九）》（2015年）取消上述罪名，并以“侵犯公民個人信息罪”取而代之?！毒W(wǎng)絡(luò)安全法》（2016年）則在第四章明文規(guī)定“網(wǎng)絡(luò)信息安全”，對網(wǎng)絡(luò)運營者提出明確要求，標(biāo)明處罰標(biāo)準(zhǔn)……此外，銀監(jiān)會、工信部、保監(jiān)會等監(jiān)管部門亦對個人信息保護發(fā)布了不少規(guī)章制度?？梢娢覈陙碓诹⒎▽用嬲鸩街匾晫?shù)據(jù)威脅的規(guī)制。

但是，法律法規(guī)數(shù)量不少，卻缺乏系統(tǒng)性、可操作性（如《網(wǎng)絡(luò)安全法》無配套的司法解釋及實施細則），在重要罰則環(huán)節(jié)上仍存空窗，造成現(xiàn)有法制難以契合實踐需要。且目前的規(guī)定多為事后角度對數(shù)據(jù)威脅提供罰則保護，缺乏事前制約機制。一旦遭遇數(shù)據(jù)泄露，受害方需支付高額的維權(quán)成本，難以從根本上遏制數(shù)據(jù)信息的非法使用。正如中國青年政治學(xué)院互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春所言，“刑法對侵犯個人信息的罪犯的量刑規(guī)定不高（一至兩年的刑罰已算嚴懲），在實踐中震懾力有限”。

與此同時，行業(yè)監(jiān)管部門更重視運營商的績效考核，對數(shù)據(jù)安全欠缺真正的監(jiān)督。出現(xiàn)內(nèi)鬼后，個人往往被追責(zé)，但所在企業(yè)未受嚴厲的連帶責(zé)任追究，缺乏對企業(yè)追責(zé)的抓手。同時，我國尚無專門的數(shù)據(jù)信息協(xié)調(diào)、保護、監(jiān)督組織，無法動員社會力量打擊數(shù)據(jù)泄露、攻擊的行為。由于缺乏專業(yè)的維權(quán)力量的幫助，受損方往往難以追責(zé)、要求停止侵害并獲得賠償。

構(gòu)筑大數(shù)據(jù)安全防護三維體系

在大數(shù)據(jù)時代，數(shù)據(jù)安全本身恰恰是一個動態(tài)調(diào)整的過程，沒有一招制敵的方案，必須緊跟時代步伐，多管齊下。

立法控制：從法律上斬斷黑色產(chǎn)業(yè)鏈

在個人逐漸被數(shù)據(jù)化的時代，盡管我國于2016年底頒布了《網(wǎng)絡(luò)安全法》，對數(shù)據(jù)采集、使用等方面做出明確規(guī)定，但是《網(wǎng)絡(luò)安全法》在具體落實層面卻遭遇到冷遇。全國人大代表、上海經(jīng)濟和信息化委員會副主任邵志清認為，“目前，公共數(shù)據(jù)資源主要集中在政府部門、公用事業(yè)單位和國有企業(yè)，數(shù)據(jù)開放程度不夠。同時，現(xiàn)階段金融、商貿(mào)、交通、醫(yī)療、先進制造、能源等行業(yè)缺乏應(yīng)用。立法可以明確數(shù)據(jù)各類主體的責(zé)任義務(wù)，規(guī)范數(shù)據(jù)采集、流通與使用，保護數(shù)據(jù)產(chǎn)權(quán)、安全和隱私，采取數(shù)據(jù)分級管理的方式”。這些均需要相關(guān)司法解釋或者實施意見予以真正落地。

未來企業(yè)對個人數(shù)據(jù)的使用限制將越來越多，政府?dāng)?shù)據(jù)立法開放和各地數(shù)據(jù)交易平臺的建立讓數(shù)據(jù)獲取逐步納入法制軌道。要想真正避免數(shù)據(jù)安全事件的關(guān)鍵，在于斬斷侵犯數(shù)據(jù)信息的利益鏈，從法律上解決違法犯罪成本過低的頑疾。立足于法律修改、司法解釋等形式，提高針對數(shù)據(jù)信息的違法犯罪成本，如此才能從源頭上遏制買賣數(shù)據(jù)信息獲利的現(xiàn)象。

技術(shù)控制：從技術(shù)上建立分級的數(shù)據(jù)安全防護系統(tǒng)

不管是數(shù)據(jù)被惡意代碼破壞，還是被黑客監(jiān)控，最終都使得安全問題落在了安全技術(shù)這個點位上。因此，從技術(shù)角度建立分級的數(shù)據(jù)安全防護系統(tǒng)才能應(yīng)對眾多黑客的新型攻擊手段。中國工程院院士沈昌祥曾發(fā)表對建立分級安全防護的看法，他認為“一方面要通過由低到高（自主級、審計級、安全標(biāo)識保護級、結(jié)構(gòu)化保護級、訪問驗證保護級）多層次的數(shù)據(jù)防護體系建立分級管理；另一方面要采取多重防護體系，包括加大數(shù)據(jù)資源、環(huán)境、系統(tǒng)保護，加強處理流程控制，加強全局層面安全機制，加強技術(shù)平臺支持下的安全管理。這樣才能真正從技術(shù)上構(gòu)建多層次、高質(zhì)量的多重防御大數(shù)據(jù)防護體系”。

意識控制：從制度上夯實社會共治的監(jiān)管體系

在我國，數(shù)據(jù)信息泄漏的源頭精準(zhǔn)地指向擁有信息的“有關(guān)部門和企業(yè)”。例如，網(wǎng)購收貨地址對應(yīng)的是“電商”，手機號碼對應(yīng)的是“移動、電信、聯(lián)通等運營商”。誠然，不能保護信息，就無資格收集信息。自己手上的信息既是資源，更是責(zé)任。正如劉曉春所言，“要提升信息安全，單憑一己之力不夠，需要監(jiān)管部門、產(chǎn)業(yè)鏈各方通力合作，才能逐步遏制信息泄露帶來的負能量”。

編輯：黃靈 yeshzhwu@foxmail.com