2016-《大数据时代的数据安全挑战与管理》

⼤大数据时代的数据安全挑战与管理    ——“ITValue＋企业信息安全论坛” 谢玮 2016年7⽉月中国信息通信研究院 http://www.caict.ac.cn/ C 主要内容 ontent 1 ⼤大数据时代下的数据安全挑战 2 国内外数据安全⽴立法与监管实践 3 对我国数据安全管理的启⽰示 http://www.caict.ac.cn/ 2 ⼤大数据时代下的数据安全挑战⼤大数据时代的三⼤大特征 p 数据规模进⼊入“PB”时代：越来越多的企业⽣生产⽣生活、个⼈人⽣生活隐私被数字化和⺴⽹网络化，虚拟世界逐步成为物理世界的完整映射； p “⽆无处不在”的数据采集：可穿戴设备、⻋车载设备、监控摄像探头、卫星遥感技术等，带来了更加丰富的数据来源； p 超强的数据关联分析能⼒力：数据不断汇聚、融合，深度挖掘零散数据间的关系，实现更强决策、更深洞察。 3 ⼤大数据时代下的数据安全挑战⼤大数据时代，当我们谈论数据保护，我们想保护什么？⽤用户个⼈人信息保护企业数据资产保护国家数据资产保护 ● ⽤用户个⼈人隐私受到严重威胁 ● 国家间围绕数据资源的争夺⽇日数据安 ● 全挑 ● 战 ● 趋激烈企业⾯面对的数据安全威胁持续升级数据安全管理⾯面临挑战数据跨境流动安全 …… 4 ⽤用户隐私数据泄露事件成倍增加，监管保护亟须加强近年来，⽤用户隐私数据泄露事件成倍增加，事件带来损失不断扩⼤大，⽤用户隐私信息保护已经成为全球各国⺴⽹网络空间安全监管的巨⼤大难题。 ◆ 2015年，全球共发⽣生1673例数据泄露事故，共造成 7.07亿条数据记录外泄。 • Ex.2015年8⽉月，⼤大X⺴⽹网600余万⽤用户账户密码遭到泄露和售卖 • Ex.2015年5⽉月，美国税局遭⺴⽹网络攻击泄露10.4万纳税⼈人信息并损失5000万美元数据来源：Gemalto 恶意⼊入侵意外事故内部⼈人员盗取或操作不当有组织的⿊黑客攻击 5 个⼈人⾝身份数据⾦金融财务数据账号⼝口令数据固定数据资产新型⺴⽹网络攻击不断增加，企业现有保护⼿手段难以抵御近年来，ATP攻击与全球性⾼高危漏洞事件时有发⽣生，新的⺴⽹网络攻击模式不断出现、攻击频率⽇日趋密集、威胁范围不断扩⼤大，⼤大数据、云计算等新兴信息技术⼲⼴广泛应⽤用引⼊入新型数据安全威胁，现有数据安全保护策略已⽆无法有效应对。针对企业数据资源的⺴⽹网络攻击不断增加 ◆ ⾃自2013年以来，数据中⼼心遭遇 DDoS攻击的占⽐比已经达到了 70% 70% ◆ 2014年，索尼影⾳音公司遭遇ATP攻击，硬盘数据被毁坏，⼤大量员⼯工信息及影视拷⻉贝遭泄露。新技术的融合应⽤用易引发新的安全隐患 ◆ ⼤大数据、云计算技术带动信息系统软硬件架构的全新变⾰革，可能在软件、硬件、协议等多⽅方⾯面引⼊入未知的漏洞隐患，现有数据安全保护技术“⽆无能为⼒力”。 6 国际数据资源竞争博弈激烈，数据跨境流动成为关注点随着数据资产战略价值不断攀升，数据跨境流动⽇日趋频繁，各国对数据资源的争夺逐步升级，数据跨境流动监管态度各异，难以形成全球统⼀一规则。 ◆ ⻄西⽅方国家对数据资源已经进⼊入“掠夺”时代 • Ex.美“梯队”项⺫⽬目搜集全球90%通信信息 • Ex.英“颞颥”项⺫⽬目监听承担全球电话和⺴⽹网络流量的光缆系统 ◆ 数据跨境流动客观上加⼤大了国家关键数据资源流失的⻛风险 ◆ “后棱镜”时代，国际⺴⽹网络互信氛围被打破，各国都担⼼心⾃自⾝身数据主权的控制权能和保密权能受到侵害。 ◆ 针对数据跨境流动问题，美国倡导基于“数据共有，⾃自由流动”，与我国等倡导的“数据主权”理念有很⼤大分歧。国际间数据资源流动需求与数据安全保护需求的⽭矛盾已逐渐凸显，如何开展监管，保卫数据主权，已成为各国都需解决的重要课题。 7 趋势变化随着⺴⽹网络数据价值的不断增加，针对⺴⽹网络数据的安全威胁也与⽇日俱增，给数据安全保障带来了严峻的挑战，使很多国家对⺴⽹网空数据的使⽤用从“注重开放”转向“强调保护和治理”。 “棱镜⻔门”事件前，数据开放是趋势，针对跨境流动等的国际合作不断推进。注重开放强调保护各国开始明确并不断强化数据保护责任，⺴⽹网络数据成为重要的国家资源 8 8 C 主要内容 ontent 1 ⼤大数据时代下的数据安全挑战 2 国内外数据安全⽴立法与监管实践 3 对我国数据安全管理的启⽰示 http://www.caict.ac.cn/ 9 全球各国应对⼤大数据时代安全挑战的⽴立法举措 p ⼀一个充满变⾰革的时代： ❑ 欧盟即将实施最为严格的数据保护法规 … ❑ 美国⽤用户隐私保护监管执法持续发⼒力 … ❑ 中国⽤用户个⼈人信息保护法律框架基本成型，各⾏行业监管部⻔门正在制定互补的数据保护法规… 10 欧盟应对⼤大数据时代安全挑战的⽴立法举措今年4⽉月14⽇日，欧盟通过《数据保护总规》（General Data Protection Regulation）， 2018年正式⽣生效 ● ● ● ● ● ● ● 基本原则合法，公平，透明⺫⽬目的限定数据最⼩小化准确有限留存完整，机密责任 ● ● ● ● ● ● ● 数据权利被遗忘权更正权限制处理权数据可携权数据获取权信息知情权知情同意权 ● …… 企业义务严格限制“数据画像”技 ● 设⽴立数据保护官的义务 ● 泄露通知的义务 ● 限制⽤用户画像 ● 限制随意跨境转移术 ——利⽤用⼤大数据技术处理个⼈人数据的活动。 ● ⽤用户充分知情，且明确同意并授权 ● 匿名化处理 ● 分析结果禁⽌止涉及⼉儿童 ● 分析结果不能导致对个⼈人的歧视 ● …… 欧盟的数据泄露通知制度与美国相⽐比更为严格，要求企业在数据泄露事件发⽣生后24⼩小时内向外界通报。如果通知没有在24⼩小时内完成，则应该解释延误原因。 11 美国应对⼤大数据时代安全挑战的⽴立法举措 2014年 2014年5⽉月，美国总统执⾏行办公室（Executive Office of the President）发布2014年全球“⼤大数据”⽩白⽪皮书–《⼤大数据：把握机遇，守护价值》BigData：Seize Opportunities, Preserving Values 核⼼心观点：⼤大数据时代，“告知与同意”的规则更容易被破坏，需要重点关注使⽤用⼀一端，确保数据通过正常合法途径采集的同时，加强数据开发利⽤用过程的安全管理规则构建。 2015年 2015年2⽉月，美国⽩白宫主导的《消费者隐私权利法案》（Consumer Privacy Bill of Right）⽴立法草案提交美国国会审议。草案中制定了消费者隐私保护的7项原则（企业责任），指定FTC作为监管部⻔门加强执法。 2016年美国重新界定⽤用户个⼈人信息，尝试将IP 地址、设备标识纳⼊入保护范围。 2016年5⽉月，叶尔绍夫（Yershov）起诉美国报业集团⽢甘乃特（Gannett）案例中，美国联邦第⼀一巡回法庭判定设备标识结合地理位置信息能够关联到个⼈人，应当视为个⼈人可识别信息并予以保护。此前 12 联邦贸易委员会已在《⼉儿童在线隐私保护规则》 2013修订案中扩展了个⼈人可识别信息的定义各国针对数据跨境流动安全的⽴立法尝试 • 数据跨境流动——涉及公民信息的数据应境内存储 • 俄罗斯2015年起实⾏行新法，规定收集俄公民信息的互联⺴⽹网公司都应将这些数据存储在俄罗斯国内。 • 欧盟最新通过的《数据保护总规（GDPR）》中规定：除⾮非符合欧盟法律及相关国际条约或协定,否则任何公司不得将欧盟公民的数据信息与欧盟之外的第三国分享。 • 2013年新加坡正式实施的《个⼈人资料保护法令》明确规定机构不得将个⼈人数据转移⾄至境外除⾮非依据本法的相关要求，确保机构能够提供符合本法要求的个⼈人数据保护⽔水平。 • 巴⻄西总统推进⼀一项将巴⻄西民众的信息储存在国内信息储存中⼼心的法案，并建议铺设直通欧洲的海底光缆，免受美国监控。此法案⼀一旦通过将会迫使⾕谷歌等公司在巴⻄西建⽴立服务器。 13 13 各国针对数据安全的监管实践 • 数据安全调查和政府干预机制 • 随着数据侵权案件的飙升，美国联邦贸易委员会（FTC）加强了对不严格保护消费者信息安全的企业的调查。⾃自2002起，FTC调查了许多公司的数据保护⼯工作情况，并对50 多家公司采取了执法⾏行动，对涉事企业处以⾼高额罚款并向社会公⽰示。 • 2012年美国⾕谷歌公司因违反隐私保护规则被FTC判罚2250万美元， • 2014年GMR公司因泄露15,000份敏感个⼈人信息（包括消费者的姓名、⽣生⽇日和医疗记录）被 FTC提起数据安全执法诉讼。 • 美国联邦通信委员会（FCC）规范互联⺴⽹网接⼊入服务商收集、使⽤用⽤用户信息的⾏行为 • 2015年4⽉月美国联邦通信委员会(FCC)针对美国第⼆二⼤大电信运营商AT&T数据泄露事件进⾏行处罚。 • 英德等国家也在法律中明确赋予政府针对⺴⽹网络攻击的投诉进⾏行调查的权利。 14 14 中国应对⼤大数据时代安全挑战的⽴立法举措 p 我国尚未制定专⻔门、统⼀一的个⼈人信息保护法； p 现有⽴立法对通过⼈人格尊严、个⼈人隐私、个⼈人秘密、保障信息安全等实现对个⼈人信息的直接或间接保护； p 近年来各⾏行业法律法规针对“个⼈人信息保护”进⾏行规定的趋势⽇日渐明显。效⼒力层级法律名称法律《刑法修正案》；《民法通则》；《侵权责任法》；《治安管理处罚法》；《全国⼈人⼤大关于加强⺴⽹网络信息保护的决定》；《全国⼈人⼤大常委会关于维护互联⺴⽹网安全的决定》⾏行政法规部⻔门规章《中华⼈人民共和国电信条例》；《计算机信息系统安全保护条例》《互联⺴⽹网电⼦子公告服务管理规定》；《规范互联⺴⽹网信息服务市场秩序若干规定》；《个⼈人信⽤用信息基础数据库管理暂⾏行办法》；《计算机信息⺴⽹网络国际联⺴⽹网管理暂⾏行规定实施办法》；《计算机信息⺴⽹网络国际联⺴⽹网安全保护管理办法》；《互联⺴⽹网电⼦子邮件服务管理办法》；《互联⺴⽹网安全保护技术措施规定》；《规范互联⺴⽹网信息服务市场秩序若干规定》；《电信和互联⺴⽹网个⼈人信息保护规定》 15 ⾦金融、保险、医疗健康等⾏行业在数据本地化存储、数据跨境流动等⽅方⾯面做出了⾏行业内规定电信和互联⺴⽹网⾏行业正在制定适应⼤大数据发展需求的⺴⽹网络数据保护规则我国应对⼤大数