在海量数据时代,数据不仅成为重要的商业资源和生产要素,而且成为国家的基本战略资源。
与此同时,新技术和新应用的迭代更新不断产生新的风险,数据安全风险不断增加,成为构建健康生态系统,保障公共社会保障的局限。国家安全。大数据的安全性已成为超越个人并与国家安全相关的核心联系。本文将从安全角度分析大数据治理的安全性,介绍国内外大数据治理趋势,分析当前互联网数据合规性面临的挑战。中国将为企业合规提供法律,行政和技术方面的服务。全面的建议。
首先,大数据政府的安全性。
从工业社会到信息社会,社会生产力和生产关系发生了很大变化。其中一个重要特征是网络已成为重要的生产工具,数据已成为重要的生产手段。传统的信息安全理论侧重于静态安全性,例如机密性,完整性和数据可用性(即“三”)。主要威胁是数据泄漏,操纵和丢失造成的“三性”破坏。随着信息技术和信息技术的进一步发展,信息社会从小数据时代开始进入更先进的大数据形态。在这个阶段,通过交换和交易,数据的质量和价值得到更大程度的实现和改进,数据的动态使用逐渐正常化和多样化。个人信息的所有权和重要数据的识别问题就变成了这一点。第一阶段的主要争议引发了一系列法律问题,从保护个人信息到保护公司数据,不公平竞争,版权和网络安全(空间)。在2018年,美国的Facebook数据事件扭转了公众对大数据风险的传统看法。大数据风险问题不再仅仅是个人和企业层面的保护主体,而是政治权力的深度参与,直接影响社会稳定和国家政治安全。
总体而言,从静态到使用的安全性的动态变化的安全数据,使数据安全不再只是数据本身保证了保密性,完整性和可用性,同时也承载了主要利益要求个人多,企业和其他国家,有意者治理数据的许多问题,如保护产权,企业知识产权保护,维护市场秩序,工业卫生和环保,公共安全社会保障甚至维护国家安全。
二是安全视野下的大数据管理情况。
近年来,国际社会已进入立法大型数据安全和国民经济水平的快速发展阶段,国家也加强和改进相应的制度建设,加强数据的监督管理生态。
(1)国际形势:规则体系日益复杂。
在20世纪70年代的个人数据保护领域,欧洲和美国为代表的西方发达国家开始了个人数据保护的立法实践。目前,全球已有100多个国家制定了个人数据保护或隐私法,已有40多个国家发布了相应的草案。近年来,随着信息技术的发展,全球领域引发了个人数据保护立法的一波改革浪潮。 2018年,开拓立法正式实施《通用数据保护条例》欧盟(数据保护总条例,被称为“GDPR”)和加利福尼亚州通过《加州消费者隐私法》代表个人数据保护的全球世界上增加,监督水平不断提高。在数据本地化和跨境传输领域,数据本地化和跨境传输已成为全球数据监管的重点,无论是基于执法的适当性还是考虑因素国家安全。除了计算机化水平较低的非洲,大多数国家都实施了不同级别的数据本地化政策。具体而言,欧盟通过GDPR和隐私保护协议建立了基于个人数据保护的跨境数据传输系统。根据GDPR规定,一般而言,个人数据只能传送到欧盟委员会认为“充分保护个人数据”的第三国。在美国方面,美国坚决反对数据的位置,并主张全球市场的数据自由流动。在内部,美国还对某些数据实施位置要求。 2015年,美国国防部UU。它要求所有为该部门提供服务的云计算服务提供商在该国家/地区存储数据。 2016年,美国国税局UU。颁布的法规要求税务信息系统位于美国。
在数据区边境执法,全球犯罪数据存储的趋势已经导致了执法机构的需求不断增长,以获得跨越国界的数据。跨境数据传输执法直接关系到一个国家的数据和司法主权的主权,并已成为制衡和游戏的一个新的重点在几个国家。 2018年三月,美国总统,特朗普签署[0x9A8B(澄清数据的使用在国外的法律,也被称为“云”)。该法适用于长臂管辖权原则,并澄清了美国执法机构。 UU。他们有权直接访问美国境外的数据。除了在美国司法协助的现行程序,法律提出了“执行协议”,允许已经签署了与美国的协定的国家直接由公司在美国获取数据的模型。在2018年4月,为应对云法对保护该地区的人权和司法主权的影响,欧盟委员会表示,它打算制定新的法律对警察和司法当局取证电子产品。与CLOUD方法类似,欧盟不会将数据存储的位置用作管辖权的决定因素。虽然满足相关条件,欧盟成员国的司法和警察当局可以直接适用于欧盟范围内的电子证据服务提供商。
总的来说,一些国家的立法规范逐步增加,监督的有效性不断提高。每个国家的立法目标不仅是个人权利的保护,也让游戏和国家主权和在国际舞台上的国家利益的竞争。为了争夺话语数据,扩大国家法律的适用范围,积极推动符合国家利益的社会数据的规则国际体系中的权利,这已经成为当前国际立法趋势。
(二)国内情况:管理体制逐步完善。
目前,在中国安全领域的大数据高级系统的设计已基本完成,该支撑系统不断推进,和执法的做法正在逐渐正常化,以及案件诉讼逐渐丰富。总的来说,中国的大数据安全管理系统正在逐步完善。在立法层面,近年来,中国不断通过修改现有法律或颁布新规,涉及的领域包括保护个人信息,数据传输加强治理生态网络安全跨越国界和本地传播。至于个人信息的保护,自2003年以来,国务院新闻办公室对个人信息保护法进行了立法调查。到2018年,第十三届全国人民代表大会常务委员会正式将《合法使用境外数据明确法》纳入立法计划。中国经历了个人信息保护立法研究。已经15年了在此期间,中国的《个人信息保护法》《全国人大常委会关于加强网络信息保护的决定》《消费者权益保护法》等法律法规已经制定了保护个人信息的规定。 2017年,个人信息的保护包含在《刑法》《民法总则》中。总的来说,中国的个人信息保护立法逐步完善,制度逐步完善,保护已逐步与国际接轨。在位置数据和跨境传输方面,中国《网络安全法》正式成立本地化存储和个人数据,并从立法层面重要的信息基础设施的关键信息的跨国传输的原理,并促进《网络安全法》《个人信息和重要数据出境安全评估办法》等。 。一系列支持规范,以改善此规则的运作。
在适用法律的层面上,“网络安全法”实施后,相关法律的适用得到了充分实施,惩罚案件相继出现。除了经常适用法律外,主管当局还对法律适用情况进行了一系列特别行动和检查。 2017年底,全国人民代表大会常务委员会对“网络安全法”和《信息安全技术数据出境安全评估指南》“一法一决定”进行了执法检查; 2018年,公安部开展了一场专项行动,打击“净网2018”网络犯罪;司法层面,民事诉讼中国先后出现了侵犯朱熹诉的隐私案。百度,周生春诉。阿里巴巴和任家瑜诉。百度。在刑事诉讼中,由于《全国人民代表大会常务委员会关于加强网络信息保护的决定》的实施,公共安全法的各级机构都严厉查处侵犯公民个人信息罪,根据修改后的法律规定,以及数病例显着增加。
第三,在安全愿景下遵守大数据的挑战
无论是在国家层面还是在国际层面,大数据安全的监管趋势都呈现出增长趋势。在这种背景下,大数据安全已成为企业合规的重要组成部分。
(1)新技术影响传统的合规体系。
如今,云计算,物联网和移动互联网等新技术和新应用使数据收集无处不在。通过数据分析和数据提取等信息技术,非个人数据的聚合可以形成歧视性数据,并且可以从分散的和非机密的数据中分析机密信息。您甚至可以分析海量数据的聚合。有关国家安全的信息。这一系列现象导致逐渐消除个人和非个人数据,机密和非机密数据,国家机密和非国家机密之间的界限,并且难以界定合规限制。与传统技术采用的集中式存储不同,云计算和移动互联网采用的分布式存储使传统网络的安全限制模糊。传统网络环境中统一集中的安全管理模式已无法适应新环境。数据安全需求。此外,技术的大数据的发展已经对大数据平台产生的新的先进的网络攻击,以及先进的攻击持续威胁(APT)攻击和分布式拒绝服务大规模(DDoS)攻击,导致传统的检测和防御技术。它无法有效抵御外部攻击。一般而言,新技术和新应用程序一方面会产生新形式的威胁,这会对数据的合规性带来新的风险;另一方面,传统数据合规策略的有效性降低甚至无效。
(2)全球化监管带来了合规问题。
从全国来看,虽然高层次的系统在中国网络安全设计已经基本完成网络安全的法律的制定也已经在很大程度上填补了立法空白,但仍然有足够的法律在安全领域控制论,就像个人一样。保护信息在具体实施方面,该系统支持法律网络安全作为网络安全的基本规律还不够完善,和可操作性仍有待加强。此外,作为一项新实施的法律,“网络安全法”的执法案例仍然不足,执法规则仍需要探索和统一。一般而言,不完善规则的设计和实施机制难以为企业数据的合规性提供有效的指导。
在国际一级,考虑到国际立法的趋势,不难发现数据已成为国际空间竞争的战略资源。许多国家和地区,如美国和欧洲,已经采取措施,利用制定国际空间数据规则和建立国家或地区利益的权利。数据规则的中央系统。随着国际游戏的激化,国际法律冲突逐渐恢复正常。网络和数据的跨境性质通常使公司有必要解决对不同规则系统的遵守情况,这极大地增加了公司合规性的复杂性。在国际法律冲突的情况下,公司合规将陷入两难境地。例如,欧盟的GDPR,美国的CLOUD法之间的冲突。 UU。中国网络安全法第37条可能会导致公司在数据输出方面遇到巨大的合规困难。
第四,安全愿景下的大数据合规响应
面对遵守大数据安全的挑战,企业必须从法律,行政和法律三个方面建立以法律为基础,以管理为核心,以技术为基础的综合数据安全合规体系。技术。
(1)法律层面:加强国内和国际立法研究。
目前,中国正处于数据安全立法和实践快速发展的时期,也是一个探索时期。在此阶段,制定或引入了一系列与数据安全和支持系统相关的法律。为了迅速有效地做出回应,公司必须继续监督相关的立法发展。同时,我们将关注和研究相关的执法案例,加强与行业部门和监管部门的沟通与协作,我们将准确理解关键立法点和合规要点。此外,随着全球范围内数据的自由流动,通过原来的地域管辖权削减数据的监管已成为国际立法趋势。数据保护不再是单一的国家立法问题。对于许多有兴趣提供国际数据服务的跨国公司或公司而言,数据合规工作不仅应侧重于国家立法,还应侧重于具有全球视野的国际法的动态和趋势,以及提前做出立法决定和商业处置。
(2)管理水平:完善数据安全内部控制机制
强大的内部控制机制是数据安全合规性的重要组成部分。公司必须建立一个可靠的标准化数据安全管理机制,涵盖数据的整个生命周期。
首先,要注意数据本身的安全性。数据的安全性不仅包括数据的静态安全性,还包括数据的动态安全性。因此,公司必须建立监控,审计和评估机制,以便在整个生命周期中使用数据。根据不同类型的数据,重要性,敏感性,风险程度等,对数据的分类和分类采取相应的安全措施;建立健全的应急响应机制,及时有效地应对数据安全事件。
其次,要注意系统的安全性和供应链的安全性。数据安全不仅包括数据本体的安全性,还包括系统和供应链的安全性将直接影响系统中数据的安全性。公司必须在系统设计开始时或采集过程中考虑数据安全因素。
此外,还强调了人们在数据安全管理中的重要性。无论是最近的腾讯云数据丢失事件和中国人寿集团数据泄露事件,还是京东内部数据泄露事件,都不难发现很多数据安全事件都是由此引起的受人为因素影响。员工合规意识是决定公司合规成败的关键。从上到下,以人为本和数据安全管理,人是最大的风险和最好的衡量标准。因此,在管理机制,数据安全建设,企业应加强管理权限,明确管理数据安全性的角色和职责,加强对安全意识的员工培训数据等,建立健全的数据安全组织机制和人事管理机制。
(3)技术水平:提高数据安全保护能力
鉴于快速更新迭代的新技术,传统的数据安全措施暴露了不足之处。为了有效应对,公司必须加强对最先进数据保护技术的研究和开发。加强防病毒,防攻击,防渗漏,数据加密,脱敏,检测漏洞和补丁,提高网络安全态势感知,加强防灾系统的网络功能缓解和恢复,并建立一套技术手段。有效保护平台数据,从操作安全性到数据安全性。
中文
电话咨询
微信咨询
公众号
