知識目標1）熟悉大數(shù)據(jù)的管理維度，了解大數(shù)據(jù)存在的安全問題。2）了解大數(shù)據(jù)的安全體系，熟悉大數(shù)據(jù)的安全要素。3）熟悉大數(shù)據(jù)倫理與法規(guī)要求。學習目標素養(yǎng)目標大數(shù)據(jù)已成為國家關(guān)鍵資產(chǎn)和經(jīng)濟發(fā)展的核心要素。確保大數(shù)據(jù)安全，防止數(shù)據(jù)被非法訪問、竊取或篡改，對于維護國家主權(quán)、確保經(jīng)濟穩(wěn)定、防止關(guān)鍵技術(shù)外泄具有至關(guān)重要的作用。大數(shù)據(jù)安全關(guān)乎技術(shù)進步和經(jīng)濟發(fā)展，更是社會穩(wěn)定和個人權(quán)利保護的基礎(chǔ)，對于構(gòu)建安全可信的數(shù)字生態(tài)環(huán)境具有深遠意義。學習難點1）大數(shù)據(jù)管理維度。2）大數(shù)據(jù)安全體系。學習目標數(shù)據(jù)是一種新型、重要的戰(zhàn)略資源，大數(shù)據(jù)安全與法律的關(guān)系體現(xiàn)在采集、存儲、處理、傳輸、共享、使用和銷毀等全生命周期中的安全管理及其相應(yīng)的法律責任上。隨著大數(shù)據(jù)技術(shù)的發(fā)展與應(yīng)用，數(shù)據(jù)安全問題日益突出，各國政府紛紛出臺法律法規(guī)，以確保數(shù)據(jù)的安全、保護公民隱私權(quán)、維護國家安全和公共利益。項目12大數(shù)據(jù)安全與法律01消費者的隱私權(quán)02大數(shù)據(jù)的安全問題03大數(shù)據(jù)的管理維度04大數(shù)據(jù)的安全體系目錄/CONTENTS05大數(shù)據(jù)倫理與法規(guī)PART01消費者的隱私權(quán)要在業(yè)務(wù)中對大數(shù)據(jù)進行運用，就不可避免地會遇到隱私問題。對Web上的用戶個人信息、行為記錄等進行收集，在未經(jīng)用戶許可的情況下將數(shù)據(jù)轉(zhuǎn)讓給廣告商等第三方，這樣的行為大量出現(xiàn)，因此各國都圍繞著Web上行為記錄的收集展開了激烈的討論與立法。涉及個人及其相關(guān)信息的經(jīng)營者，需要在確定使用目的的基礎(chǔ)上事先征得用戶同意，并在使用目的發(fā)生變化時，以易懂的形式進行告知，這種對透明度的確保今后應(yīng)該會愈發(fā)受到重視。12.1消費者的隱私權(quán)2010年12月，美國商務(wù)部發(fā)表了題為“互聯(lián)網(wǎng)經(jīng)濟中的商業(yè)數(shù)據(jù)隱私與創(chuàng)新：動態(tài)政策框架”的長篇報告，報告指出，為了對線上個人信息的收集進行規(guī)范，需要出臺一部“隱私權(quán)法案”，在隱私問題上對國內(nèi)外的相關(guān)利益方進行協(xié)調(diào)。受這份報告的影響，2012年2月23日，“消費者隱私權(quán)法案”正式頒布。這項法案中，對消費者的權(quán)利進行了如下具體的規(guī)定。12.1消費者的隱私權(quán)1）個人控制：對于企業(yè)可收集哪些個人數(shù)據(jù)，并如何使用這些數(shù)據(jù)，消費者擁有控制權(quán)。對于消費者和他人共享的個人數(shù)據(jù)，以及企業(yè)如何收集、使用、披露這些數(shù)據(jù)，企業(yè)必須向消費者提供適當?shù)目刂剖侄巍榱四軌蜃屜M者做出選擇，企業(yè)需要提供一個可反映企業(yè)收集、使用、披露個人數(shù)據(jù)的規(guī)模、范圍、敏感性，并可由消費者進行訪問且易于使用的機制。12.1消費者的隱私權(quán)例如，通過收集搜索引擎使用記錄、廣告瀏覽記錄、社交網(wǎng)絡(luò)使用記錄等數(shù)據(jù)，就有可能生成包含個人的敏感信息檔案。因此，企業(yè)需要提供一種簡單且醒目的形式，使消費者能夠?qū)€人數(shù)據(jù)的使用和公開范圍進行精細控制。此外，企業(yè)還必須提供同樣的手段，使消費者能夠撤銷曾經(jīng)承諾的許可，或者對承諾的范圍進行限定。12.1消費者的隱私權(quán)2）透明度：對于隱私權(quán)及安全機制的相關(guān)信息，消費者擁有知情、訪問的權(quán)利。知情的價值在于加深消費者對隱私風險的認識并讓風險變得可控。為此，企業(yè)必須明確說明所收集的個人數(shù)據(jù)及其必要性、使用目的、預(yù)計刪除日期、是否與第三方共享以及共享的目的等。12.1消費者的隱私權(quán)此外，企業(yè)還必須以在消費者實際使用的終端上容易閱讀的形式提供關(guān)于隱私政策的告知。特別是在移動終端上，由于屏幕尺寸較小，要全文閱讀隱私政策幾乎是不可能的。因此，必須要考慮移動終端的特點，采取改變顯示尺寸、重點提示移動平臺特有的隱私風險等方式，對最重要的信息予以顯示。12.1消費者的隱私權(quán)3）尊重背景：消費者有權(quán)期望企業(yè)按照與自己提供數(shù)據(jù)時的背景相符的形式對個人信息進行收集、使用和披露。這就要求企業(yè)在收集個人數(shù)據(jù)時必須有特定的目的，企業(yè)對個人數(shù)據(jù)的使用必須僅限于該特定目的的范疇，即基于“公平信息行為原則”的聲明。12.1消費者的隱私權(quán)從原則上說，企業(yè)在使用個人數(shù)據(jù)時，應(yīng)當僅限于與消費者披露個人數(shù)據(jù)時的背景相符的目的。另一方面，也應(yīng)該考慮到，在某些情況下，對個人數(shù)據(jù)的使用和披露可能與當初收集數(shù)據(jù)時所設(shè)想的目的不同，在這樣的情況下，必須用比最開始收集數(shù)據(jù)時更加透明、醒目的方式來將新的目的告知消費者，并由消費者來選擇是允許還是拒絕。12.1消費者的隱私權(quán)4）安全：消費者有權(quán)要求個人數(shù)據(jù)得到安全保障且負責任地被使用。企業(yè)必須對個人數(shù)據(jù)相關(guān)的隱私及安全風險進行評估，并對數(shù)據(jù)遺失、非法訪問和使用、損壞、篡改、不合適的披露等風險維持可控、合理的防御手段。12.1消費者的隱私權(quán)5）訪問與準確性：當出于數(shù)據(jù)敏感性因素，或者當數(shù)據(jù)不準確可能對消費者帶來不良影響的風險時，消費者有權(quán)以適當方式對數(shù)據(jù)進行訪問，以及提出修正、刪除、限制使用等要求。企業(yè)在確定消費者對數(shù)據(jù)的訪問、修正、刪除等手段時，需要考慮所收集的個人數(shù)據(jù)的規(guī)模、范圍、敏感性，以及對消費者造成經(jīng)濟上、物理上損害的可能性等。12.1消費者的隱私權(quán)6）限定范圍收集：對于企業(yè)所收集和持有的個人數(shù)據(jù)，消費者有權(quán)設(shè)置合理限制。企業(yè)必須遵循第三條“尊重背景”的原則，在目的明確的前提下對必需的個人數(shù)據(jù)進行收集。此外，除非需要履行法律義務(wù)，否則當不再需要時，必須對個人數(shù)據(jù)進行安全銷毀，或者對這些數(shù)據(jù)進行身份不可識別處理。12.1消費者的隱私權(quán)7）說明責任：消費者有權(quán)將個人數(shù)據(jù)交給為遵守“消費者隱私權(quán)法案”具備適當保障措施的企業(yè)。企業(yè)必須保證員工遵守這些原則，為此，必須根據(jù)上述原則對涉及個人數(shù)據(jù)的員工進行培訓，并定期評估執(zhí)行情況。在有必要的情況下，還必須進行審計。12.1消費者的隱私權(quán)在上述7項權(quán)利中，對于準備運用大數(shù)據(jù)的經(jīng)營者來說，第3條“尊重背景”尤為重要。例如，如果將在線廣告商以更個性化的廣告投放為目的收集的個人數(shù)據(jù)，用于招聘、信用調(diào)查、保險資格審查等目的的話，就會產(chǎn)生問題。此外，微信、臉書等社交網(wǎng)絡(luò)服務(wù)中的個人檔案和活動等信息，如果用于其自身的服務(wù)改善以及新服務(wù)的開發(fā)是沒有問題的。但是，如果要向第三方提供這些信息，則必須以醒目易懂的形式對用戶進行告知，并讓用戶有權(quán)拒絕向第三方披露信息。12.1消費者的隱私權(quán)PART02大數(shù)據(jù)的安全問題傳統(tǒng)的信息安全側(cè)重于信息內(nèi)容（信息資產(chǎn)）的管理，更多地將信息作為企業(yè)/機構(gòu)的自有資產(chǎn)進行相對靜態(tài)的管理，不能適應(yīng)實時動態(tài)的大規(guī)模數(shù)據(jù)流轉(zhuǎn)和大量用戶數(shù)據(jù)處理的特點。大數(shù)據(jù)的特性和新的技術(shù)架構(gòu)顛覆了傳統(tǒng)的數(shù)據(jù)管理方式，在數(shù)據(jù)來源、數(shù)據(jù)處理、數(shù)據(jù)使用和數(shù)據(jù)思維等方面帶來革命性的變化，這給大數(shù)據(jù)的安全防護帶來了嚴峻的挑戰(zhàn)。大數(shù)據(jù)的安全不僅是大數(shù)據(jù)平臺的安全，而是以數(shù)據(jù)為核心，在全生命周期各階段流轉(zhuǎn)過程中，在數(shù)據(jù)采集匯聚、數(shù)據(jù)存儲處理、數(shù)據(jù)共享使用等方面都面臨新的安全挑戰(zhàn)。12.2大數(shù)據(jù)的安全問題云計算、社交網(wǎng)絡(luò)和移動互聯(lián)網(wǎng)的興起，對數(shù)據(jù)存儲的安全性要求隨之增加。各種在線應(yīng)用大量數(shù)據(jù)共享的一個潛在問題就是信息安全。雖然信息安全技術(shù)發(fā)展迅速，然而企圖破壞和規(guī)避信息保護的各種網(wǎng)絡(luò)犯罪的手段有也在發(fā)展中，更加不易追蹤和防范。數(shù)據(jù)安全的另一方面是管理。在加強技術(shù)保護的同時，加強全民的信息安全意識，完善信息安全的政策和流程至關(guān)重要。12.2大數(shù)據(jù)的安全問題根據(jù)工業(yè)和信息化部（網(wǎng)安局）的相關(guān)定義，所謂數(shù)據(jù)安全風險信息，主要是通過檢測、評估、信息搜集、授權(quán)監(jiān)測等手段獲取的，包括如下。1）數(shù)據(jù)泄露，數(shù)據(jù)被惡意獲取，或轉(zhuǎn)移、發(fā)布至不安全環(huán)境等相關(guān)風險。2）數(shù)據(jù)篡改，造成數(shù)據(jù)破壞的修改、增加、刪除等相關(guān)風險。3）數(shù)據(jù)濫用，數(shù)據(jù)超范圍、超用途、超時間使用等相關(guān)風險。4）違規(guī)傳輸，數(shù)據(jù)未按照有關(guān)規(guī)定擅自進行傳輸?shù)认嚓P(guān)風險。12.2大數(shù)據(jù)的安全問題5）非法訪問，數(shù)據(jù)遭未授權(quán)訪問等相關(guān)風險。6）流量異常，數(shù)據(jù)流量規(guī)模異常、流量內(nèi)容異常等相關(guān)風險。此外，數(shù)據(jù)安全風險還包括由相關(guān)政府部門組織授權(quán)監(jiān)測的暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)庫、大數(shù)據(jù)平臺等數(shù)據(jù)資產(chǎn)信息等。12.2大數(shù)據(jù)的安全問題大數(shù)據(jù)環(huán)境下，隨著物聯(lián)網(wǎng)特別是5G技術(shù)的發(fā)展，出現(xiàn)了各種不同的終端接入方式和各種各樣的數(shù)據(jù)應(yīng)用。來自大量終端設(shè)備和應(yīng)用的超大規(guī)模數(shù)據(jù)源輸入，對鑒別大數(shù)據(jù)源頭的真實性提出了挑戰(zhàn)，數(shù)據(jù)來源是否可信，源數(shù)據(jù)是否被篡改都是需要防范的風險。數(shù)據(jù)傳輸需要各種協(xié)議相互配合，有些協(xié)議缺乏專業(yè)的數(shù)據(jù)安全保護機制，從數(shù)據(jù)源到大數(shù)據(jù)平臺的數(shù)據(jù)傳輸可能帶來安全風險。12.2.1采集匯聚安全數(shù)據(jù)采集過程中存在的誤差會造成數(shù)據(jù)本身的失真和偏差，數(shù)據(jù)傳輸過程中的泄漏、破壞或攔截會帶來隱私泄露、謠言傳播等安全管理失控的問題。因此，大數(shù)據(jù)傳輸中信道安全、數(shù)據(jù)防破壞、防篡改和設(shè)備物理安全等幾個方面都需要考慮。12.2.1采集匯聚安全大數(shù)據(jù)平臺處理數(shù)據(jù)的模式與傳統(tǒng)信息系統(tǒng)不同。傳統(tǒng)數(shù)據(jù)的產(chǎn)生、存儲、計算、傳輸都對應(yīng)明確界限的實體，可以清晰地通過拓撲結(jié)構(gòu)表示，這種處理信息方式用邊界防護相對有效。圖12-1大數(shù)據(jù)安全事故分析12.2.2存儲處理安全但在大數(shù)據(jù)平臺上，采用新的處理范式和數(shù)據(jù)處理方式（如MapReduce、列存儲等），存儲平臺同時也是計算平臺，應(yīng)用分布式存儲、分布式數(shù)據(jù)庫、NewSQL、NoSQL、分布式并行計算、流式計算等技術(shù)，一個平臺內(nèi)可以同時具有多種數(shù)據(jù)處理模式，完成多種業(yè)務(wù)處理，導致邊界模糊，傳統(tǒng)的安全防護方式難以奏效。12.2.2存儲處理安全1）大數(shù)據(jù)平臺的分布式計算涉及多臺計算機和多條通信鏈路，一旦出現(xiàn)多點故障，容易導致分布式系統(tǒng)出現(xiàn)問題。此外，分布式計算涉及的組織較多，在安全攻擊和非授權(quán)訪問防護方面比較脆弱。12.2.2存儲處理安全2）分布式存儲由于數(shù)據(jù)被分塊存儲在各個數(shù)據(jù)節(jié)點，傳統(tǒng)的安全防護在分布式存儲方式下很難奏效，其面臨的主要安全挑戰(zhàn)是數(shù)據(jù)丟失和數(shù)據(jù)泄露。①數(shù)據(jù)的安全域劃分無效。②細粒度的訪問存儲與控制不健全，用作服務(wù)器軟件的NoSQL沒有足夠的安全訪問控制措施，以致客戶端應(yīng)用程序需要內(nèi)建安全措施，產(chǎn)生授權(quán)過程身份驗證和輸入驗證等安全問題。12.2.2存儲處理安全③分布式節(jié)點之間的傳輸網(wǎng)絡(luò)易受到攻擊、劫持和破壞使得存儲數(shù)據(jù)的完整性、機密性難以保證。④數(shù)據(jù)分布式存儲增大了各個存儲節(jié)點暴露的風險，在開放的網(wǎng)絡(luò)化社會，攻擊者更容易找到侵入點，以相對較低的成本就可以獲得“滾雪球”的收益，一旦遭受攻擊，失竊的數(shù)據(jù)量和損失是十分巨大的。⑤傳統(tǒng)的數(shù)據(jù)存儲加密技術(shù)在性能效率上面很難滿足高速、大容量數(shù)據(jù)的加密要求。12.2.2存儲處理安全3）大數(shù)據(jù)平臺訪問控制的安全隱患主要體現(xiàn)在：用戶多樣性和業(yè)務(wù)場景多樣性帶來的權(quán)限控制多樣性和精細化要求，超過了平臺自身訪問控制能夠?qū)崿F(xiàn)的安全級別，策略控制無法滿足權(quán)限的動態(tài)性需求，傳統(tǒng)的角色訪問控制不能將角色、活動和權(quán)限有效地對應(yīng)起來。因此，在大數(shù)據(jù)架構(gòu)下的訪問控制機制需要對這些新問題進行分析和探索。12.2.2存儲處理安全4）針對大數(shù)據(jù)的新型安全攻擊中最具代表性的是高級持續(xù)性攻擊，由于其潛伏性和低頻活躍性，使持續(xù)性成為一個不確定的實時過程，產(chǎn)生的異常行為不易被捕獲。傳統(tǒng)的基于內(nèi)置攻擊事件庫的特征實時匹配檢測技術(shù)對檢測這種攻擊無效。大數(shù)據(jù)應(yīng)用為入侵者實施可持續(xù)的數(shù)據(jù)分析和攻擊提供了極好的隱藏環(huán)境，一旦攻擊得手，失竊的信息量甚至是難以估量的。12.2.2存儲處理安全5）基礎(chǔ)設(shè)施安全的核心是數(shù)據(jù)中心的設(shè)備安全問題。傳統(tǒng)的安全防范手段如網(wǎng)絡(luò)防DDoS分布式拒絕服務(wù)攻擊（指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊）、存儲加密、容災(zāi)備份、服務(wù)器安全加固、防病毒、接入控制、自然環(huán)境安全等。這些安全問題主要來自大數(shù)據(jù)服務(wù)所依賴的云計算技術(shù)引起的風險，包括虛擬化軟件安全、虛擬服務(wù)器安全、容器安全，以及由于云服務(wù)引起的商業(yè)風險等。12.2.2存儲處理安全6）服務(wù)接口安全。由于大數(shù)據(jù)業(yè)務(wù)應(yīng)用的多樣性，使得對外提供的服務(wù)接口千差萬別，給攻擊者帶來機會。因此，如何保證不同的服務(wù)接口安全是大數(shù)據(jù)平臺的又一巨大挑戰(zhàn)。7）數(shù)據(jù)挖掘分析使用安全。大數(shù)據(jù)的應(yīng)用核心是數(shù)據(jù)挖掘，從數(shù)據(jù)中挖掘出高價值信息為企業(yè)所用，是大數(shù)據(jù)價值的體現(xiàn)。然而使用數(shù)據(jù)挖掘技術(shù)，為企業(yè)創(chuàng)造價值的同時，容易產(chǎn)生隱私泄露的問題。12.2.2存儲處理安全互聯(lián)網(wǎng)給人們生活帶來方便，同時也使得個人信息的保護變得更加困難。1）數(shù)據(jù)的保密問題。頻繁的數(shù)據(jù)流轉(zhuǎn)和交換使得數(shù)據(jù)泄露不再是一次性的事件，眾多非敏感的數(shù)據(jù)可以通過二次組合形成敏感的數(shù)據(jù)。通過大數(shù)據(jù)的聚合分析能形成更有價值的衍生數(shù)據(jù)，如何更好地在數(shù)據(jù)使用過程中對敏感數(shù)據(jù)進行加密、脫敏、管控、審查等，阻止外部攻擊者采取數(shù)據(jù)竊密、數(shù)據(jù)挖掘、根據(jù)算法模型參數(shù)梯度分析對訓練數(shù)據(jù)的特征進行逆向工程推導等攻擊行為，避免隱私泄露，仍然是大數(shù)據(jù)環(huán)境下的巨大挑戰(zhàn)。12.2.3共享使用安全2）數(shù)據(jù)保護策略問題。大數(shù)據(jù)環(huán)境下，匯聚不同渠道、不同用途和不同重要級別的數(shù)據(jù)，通過大數(shù)據(jù)融合技術(shù)形成不同的數(shù)據(jù)產(chǎn)品，使大數(shù)據(jù)成為有價值的知識，發(fā)揮巨大作用。如何對這些數(shù)據(jù)進行保護，以支撐不同用途、不同重要級別、不同使用范圍的數(shù)據(jù)充分共享、安全合規(guī)的使用，確保大數(shù)據(jù)環(huán)境下高并發(fā)多用戶使用場景中數(shù)據(jù)不被泄露、不被非法使用，是大數(shù)據(jù)安全的又一個關(guān)鍵性問題。12.2.3共享使用安全3）數(shù)據(jù)的權(quán)屬問題。大數(shù)據(jù)場景下，數(shù)據(jù)的擁有者、管理者和使用者與傳統(tǒng)的數(shù)據(jù)資產(chǎn)不同，傳統(tǒng)的數(shù)據(jù)是屬于組織和個人的，而大數(shù)據(jù)具有不同程度的社會性。一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有被明確界定，很多基于大數(shù)據(jù)的分析都未考慮到其中涉及的隱私問題。在防止數(shù)據(jù)丟失、被盜取、被濫用和被破壞上存在一定的技術(shù)難度，傳統(tǒng)的安全工具不再像以前那么有用。如何管控大數(shù)據(jù)環(huán)境下數(shù)據(jù)流轉(zhuǎn)、權(quán)屬關(guān)系、使用行為和追溯敏感數(shù)據(jù)資源流向，解決數(shù)據(jù)權(quán)屬關(guān)系不清、數(shù)據(jù)越權(quán)使用等問題是一個巨大的挑戰(zhàn)。12.2.3共享使用安全PART03大數(shù)據(jù)的管理維度數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，建立健全大數(shù)據(jù)安全保障體系，對大數(shù)據(jù)的平臺及服務(wù)進行安全評估，是推進大數(shù)據(jù)產(chǎn)業(yè)化工作的重要基礎(chǔ)任務(wù)。中國《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》《數(shù)據(jù)安全管理辦法》等法律法規(guī)的陸續(xù)實施，對大數(shù)據(jù)運營商提出了諸多合規(guī)要求。如何應(yīng)對大數(shù)據(jù)安全風險，確保其符合網(wǎng)絡(luò)安全法律法規(guī)政策，成為急需解決的問題。大數(shù)據(jù)管理具有分布式、無中心、多組織協(xié)調(diào)等特點。12.3大數(shù)據(jù)的管理維度因此，有必要從數(shù)據(jù)語義、生命周期和信息技術(shù)（IT）三個維度去認識數(shù)據(jù)管理技術(shù)涉及的數(shù)據(jù)內(nèi)涵，分析和理解數(shù)據(jù)管理過程中需要采用的IT安全技術(shù)及其管控措施和機制。

圖12-2大數(shù)據(jù)管理的三個維度12.3大數(shù)據(jù)的管理維度從大數(shù)據(jù)運營者的角度看，大數(shù)據(jù)生態(tài)系統(tǒng)應(yīng)提供包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理和大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理等業(yè)務(wù)安全功能，因此大數(shù)據(jù)業(yè)務(wù)目標應(yīng)包括這5個方面。12.3大數(shù)據(jù)的管理維度在2020全國大數(shù)據(jù)標準化工作會議上發(fā)布了《大數(shù)據(jù)標準化白皮書（2020版）》。白皮書指出了目前大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展面臨的安全挑戰(zhàn)，包括法律法規(guī)與相關(guān)標準的挑戰(zhàn)、數(shù)據(jù)安全和個人信息保護的挑戰(zhàn)、大數(shù)據(jù)技術(shù)和平臺安全的挑戰(zhàn)。針對這些挑戰(zhàn)，我國已經(jīng)在大數(shù)據(jù)安全指引、國家標準及法律法規(guī)建設(shè)方面取得階段性成果，但大數(shù)據(jù)運營過程中的大數(shù)據(jù)平臺安全機制不足、傳統(tǒng)安全措施難以適應(yīng)大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)應(yīng)用訪問控制困難、基礎(chǔ)密碼技術(shù)及密鑰操作性等信息技術(shù)安全問題仍急待解決。12.3大數(shù)據(jù)的管理維度PART04大數(shù)據(jù)的安全體系在大數(shù)據(jù)時代，如何確保網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性，不受信息泄漏和非法篡改等安全威脅影響，已成為政府機構(gòu)、事業(yè)單位信息化健康發(fā)展要考慮的核心問題。12.4大數(shù)據(jù)的安全體系根據(jù)對大數(shù)據(jù)環(huán)境下安全問題和挑戰(zhàn)進行的分析，提出基于大數(shù)據(jù)分析和威脅情報共享為基礎(chǔ)的大數(shù)據(jù)協(xié)同安全防護體系，將大數(shù)據(jù)安全技術(shù)框架、數(shù)據(jù)安全治理、安全測評和運維管理相結(jié)合，在數(shù)據(jù)分類分級和全生命周期安全的基礎(chǔ)上，體系性的解決大數(shù)據(jù)不同層次的安全問題。

圖12-3大數(shù)據(jù)安全保障框架12.4大數(shù)據(jù)的安全體系大數(shù)據(jù)的安全技術(shù)體系是以大數(shù)據(jù)安全管理、安全運行的技術(shù)保障。以密碼基礎(chǔ)設(shè)施、認證基礎(chǔ)設(shè)施、可信服務(wù)管理、密鑰管理設(shè)施、安全監(jiān)測預(yù)警等五大安全基礎(chǔ)設(shè)施為支撐服務(wù)，結(jié)合大數(shù)據(jù)、人工智能和分布式計算存儲能力，解決傳統(tǒng)安全解決方案中數(shù)據(jù)離散、單點計算能力不足、信息孤島和無法聯(lián)動的問題。

圖12-4大數(shù)據(jù)安全技術(shù)框架12.4.1大數(shù)據(jù)安全治理大數(shù)據(jù)安全治理的目標是確保大數(shù)據(jù)“合法合規(guī)”安全流轉(zhuǎn)，在保障大數(shù)據(jù)安全的前提下，實現(xiàn)其價值最大化，以支撐企業(yè)的業(yè)務(wù)目標。大數(shù)據(jù)安全治理體系建設(shè)過程中行使數(shù)據(jù)的安全管理、運行監(jiān)管和效能評估的職能。主要內(nèi)容包括：1）構(gòu)架大數(shù)據(jù)安全治理的治理流程、治理組織結(jié)構(gòu)、治理策略和確保數(shù)據(jù)在流轉(zhuǎn)過程中的訪問控制、安全保密和安全監(jiān)管等安全保障機制。2）制定數(shù)據(jù)治理過程中的安全管理架構(gòu)，包括人員組成，角色分配、管理流程和對大數(shù)據(jù)的安全管理策略等。12.4.1大數(shù)據(jù)安全治理3）明確大數(shù)據(jù)安全治理中元數(shù)據(jù)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)血緣、主數(shù)據(jù)管理和數(shù)據(jù)全生命周期安全治理方式，包括安全治理標準、治理方式、評估標準、異常和應(yīng)急處置措施以及元數(shù)據(jù)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標準等。4）對大數(shù)據(jù)環(huán)境下數(shù)據(jù)主要參與者，包括數(shù)據(jù)提供者（數(shù)據(jù)源）、大數(shù)據(jù)平臺、數(shù)據(jù)管理者和數(shù)據(jù)使用者制定明確的安全治理目標，規(guī)劃安全治理策略。12.4.1大數(shù)據(jù)安全治理大數(shù)據(jù)安全測評是安全地提供大數(shù)據(jù)服務(wù)的支撐保障，目標是驗證評估所有保護大數(shù)據(jù)的安全策略、安全產(chǎn)品和安全技術(shù)的有效性和性能等。確保所使用的安全防護手段都能滿足主要參與者安全防護的需求。主要內(nèi)容包括：1）構(gòu)建大數(shù)據(jù)安全測評的組織結(jié)構(gòu)、人員組成、責任分工和安全測評需要達到的目標等。2）明確大數(shù)據(jù)場景下安全測評的標準、范圍、計劃、流程、策略和方式等，大數(shù)據(jù)環(huán)境下的安全分析按評估方法包括基于場景的數(shù)據(jù)流安全評估、基于利益攸關(guān)者的需求安全評估等。12.4.2大數(shù)據(jù)安全測評3）制定評估標準，明確各個安全防護手段需要達到的安全防護效能，包括功能、性能、可靠性、可用性、保密性、完整性等。4）按照《大數(shù)據(jù)安全能力成熟度模型》評估安全態(tài)勢并形成相關(guān)的大數(shù)據(jù)安全評估報告等，作為大數(shù)據(jù)安全建設(shè)能夠投入應(yīng)用的依據(jù)。12.4.2大數(shù)據(jù)安全測評大數(shù)據(jù)的安全運維主要確保大數(shù)據(jù)系統(tǒng)平臺能安全持續(xù)穩(wěn)定可靠運行，在大數(shù)據(jù)系統(tǒng)運行過程中行使資源調(diào)配、系統(tǒng)升級、服務(wù)啟停、容災(zāi)備份、性能優(yōu)化、應(yīng)急處置、應(yīng)用部署和安全管控等職能。具體的職責包括：1）構(gòu)建大數(shù)據(jù)安全運維體系的組織形式、運維架構(gòu)、安全運維策略、權(quán)限劃分等。2）制定不同安全運維流程和運維的重點方向等，包括基礎(chǔ)設(shè)施安全管控、病毒防護、平臺調(diào)優(yōu)、資源分配和系統(tǒng)部署、應(yīng)用和數(shù)據(jù)的容災(zāi)備份等業(yè)務(wù)流程。12.4.3大數(shù)據(jù)安全運維3）明確安全運維的標準規(guī)范和規(guī)章制度，由于運維人員具有較大的操作權(quán)限，為防范內(nèi)部人員風險，要對大數(shù)據(jù)環(huán)境的核心關(guān)鍵部分、對危險行為做到事前、事中和事后有記錄、可跟蹤和能審計。12.4.3大數(shù)據(jù)安全運維基于威脅情報共享和采用大數(shù)據(jù)分析技術(shù)的大數(shù)據(jù)安全防護技術(shù)體系，可以實現(xiàn)大數(shù)據(jù)安全威脅的快速響應(yīng)，集安全態(tài)勢感知、監(jiān)測預(yù)警、快速響應(yīng)和主動防御為一體，基于數(shù)據(jù)分級分類實施不同的安全防護策略，形成協(xié)同安全防護體系。圍繞以數(shù)據(jù)為核心，以安全機制為手段，以涉及數(shù)據(jù)的承載主體為目標，以數(shù)據(jù)參與者為關(guān)注點，構(gòu)建大數(shù)據(jù)安全協(xié)同主動防護體系。

圖12-5以數(shù)據(jù)為中心的安全防護要素12.4.4以數(shù)據(jù)為中心的安全要素1）數(shù)據(jù)是指需要防護的大數(shù)據(jù)對象，包括大數(shù)據(jù)流轉(zhuǎn)的各個階段，即采集、傳輸、存儲、處理、共享、使用和銷毀。2）安全策略是指對大數(shù)據(jù)對象進行安全防護的流程、策略、配置和方法等，如根據(jù)數(shù)據(jù)的不同安全等級和防護需求，實施主動防御、訪問控制、授權(quán)、隔離、過濾、加密、脫敏等。3）安全產(chǎn)品指在對大數(shù)據(jù)進行安全防護時使用的具體產(chǎn)品，如數(shù)據(jù)庫防火墻、審計、主動防御系統(tǒng)、APT檢測、高速密碼機、數(shù)據(jù)脫敏系統(tǒng)、云密碼資源池、數(shù)據(jù)分級分類系統(tǒng)等。12.4.4以數(shù)據(jù)為中心的安全要素4）防護主體是指需要防護的承載大數(shù)據(jù)流轉(zhuǎn)過程的軟硬件載體，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備，大數(shù)據(jù)平臺、應(yīng)用系統(tǒng)等。5）參與者是指參與大數(shù)據(jù)流轉(zhuǎn)過程中的改變大數(shù)據(jù)狀態(tài)和流轉(zhuǎn)過程的主體，主要包括大數(shù)據(jù)提供者、管理者、使用者和大數(shù)據(jù)平臺等。12.4.4以數(shù)據(jù)為中心的安全要素傳統(tǒng)的安全防護技術(shù)注重某一個階段或者某一個點的安全防護，在大數(shù)據(jù)環(huán)境下需要構(gòu)建具有主動防御能力的大數(shù)據(jù)協(xié)同安全防護體系，在總體上達到“協(xié)同聯(lián)動，體系防御”的安全防御效果。大數(shù)據(jù)協(xié)同安全防護體系必須具備威脅的自動發(fā)現(xiàn)、策略決策的智能分析、防御策略的全局協(xié)同、安全資源的自動控制調(diào)度以及安全執(zhí)行效果的綜合評估等特征。其中威脅的自動發(fā)現(xiàn)和防御策略的全局協(xié)同是實現(xiàn)具有主動防御能力大數(shù)據(jù)協(xié)同安全防護體系的基礎(chǔ)。12.4.5主動防御協(xié)同體系大數(shù)據(jù)的安全應(yīng)該以數(shù)據(jù)生命周期為主線，兼顧滿足各個參與者的安全訴求。

圖12-6主動防御的大數(shù)據(jù)協(xié)同安全防護體系12.4.5主動防御協(xié)同體系大數(shù)據(jù)協(xié)同安全防護強調(diào)的是安全策略全局調(diào)配的協(xié)同性和安全防護手段的主動性，以威脅的自動發(fā)現(xiàn)和風險的智能分析為前提，采用大數(shù)據(jù)分析技術(shù)，通過安全策略的全局自動調(diào)配和防護手段的全局聯(lián)動來實施。具有主動防御能力的大數(shù)據(jù)協(xié)同安全防護流程如圖所示。圖12-7大數(shù)據(jù)協(xié)同安全防護流程12.4.6協(xié)同安全防護流程PART05大數(shù)據(jù)倫理與法規(guī)人們逐漸認識到，為了讓網(wǎng)絡(luò)與信息技術(shù)長遠地造福于社會，就必須規(guī)范對網(wǎng)絡(luò)的訪問和使用，這就對政府、學術(shù)界和法律界提出了挑戰(zhàn)。人們面臨的一個難題就是如何制訂和完善網(wǎng)絡(luò)法規(guī)，具體地說，就是如何在計算機空間里保護公民的隱私，規(guī)范網(wǎng)絡(luò)言論，保護電子知識產(chǎn)權(quán)以及保障網(wǎng)絡(luò)安全等。12.5大數(shù)據(jù)倫理與法規(guī)大數(shù)據(jù)產(chǎn)業(yè)面臨的倫理問題正日益成為阻礙其發(fā)展的瓶頸。這些問題主要包括數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)問題、隱私權(quán)和自主權(quán)的侵犯問題、數(shù)據(jù)利用失衡問題。這三個問題影響了大數(shù)據(jù)的生產(chǎn)、采集、存儲、交易流轉(zhuǎn)和開發(fā)使用全過程。12.5.1大數(shù)據(jù)的倫理問題1.數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)問題由于跨境數(shù)據(jù)流動劇增、數(shù)據(jù)經(jīng)濟價值凸顯、個人隱私危機爆發(fā)等多方面因素，數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)已成為大數(shù)據(jù)產(chǎn)業(yè)發(fā)展遭遇的關(guān)鍵問題。數(shù)據(jù)的跨境流動是不可避免的，但這也給國家安全帶來了威脅，數(shù)據(jù)的主權(quán)問題由此產(chǎn)生。數(shù)據(jù)主權(quán)是指國家對其政權(quán)管轄地域內(nèi)的數(shù)據(jù)享有生成、傳播、管理、控制和利用的權(quán)力。數(shù)據(jù)主權(quán)是國家主權(quán)在信息化、數(shù)字化和全球化發(fā)展趨勢下新的表現(xiàn)形式，是各國在大數(shù)據(jù)時代維護國家主權(quán)和獨立，反對數(shù)據(jù)壟斷和霸權(quán)主義的必然要求。數(shù)據(jù)主權(quán)是國家安全的保障。12.5.1大數(shù)據(jù)的倫理問題數(shù)據(jù)權(quán)包括機構(gòu)數(shù)據(jù)權(quán)和個人數(shù)據(jù)權(quán)。機構(gòu)數(shù)據(jù)權(quán)是企業(yè)和其他機構(gòu)對個人數(shù)據(jù)的采集權(quán)和使用權(quán)。個人數(shù)據(jù)權(quán)是指個人擁有對自身數(shù)據(jù)的控制權(quán)，以保護自身隱私信息不受侵犯的權(quán)利。數(shù)據(jù)權(quán)是企業(yè)的核心競爭力，數(shù)據(jù)權(quán)也是個人的基本權(quán)利，個人在互聯(lián)網(wǎng)上產(chǎn)生了大量的數(shù)據(jù)，這些數(shù)據(jù)與個人的隱私密切相關(guān)，個人也擁有對這些數(shù)據(jù)的財產(chǎn)權(quán)。12.5.1大數(shù)據(jù)的倫理問題數(shù)據(jù)財產(chǎn)權(quán)是數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)的核心內(nèi)容。以大數(shù)據(jù)為主的信息技術(shù)賦予了數(shù)據(jù)以財產(chǎn)屬性，數(shù)據(jù)財產(chǎn)是指將數(shù)據(jù)符號固定于介質(zhì)之上，具有一定的價值，能夠為人們所感知和利用的一種新型財產(chǎn)。數(shù)據(jù)財產(chǎn)包含形式要素和實質(zhì)要素兩個部分，數(shù)據(jù)符號所依附的介質(zhì)為其形式要素，數(shù)據(jù)財產(chǎn)所承載的有價值的信息為其實質(zhì)要素。12.5.1大數(shù)據(jù)的倫理問題2001年世界經(jīng)濟論壇將個人數(shù)據(jù)指定為“新資產(chǎn)類別”。數(shù)據(jù)成為一種資產(chǎn)，并且像商品一樣被交易。然而，數(shù)據(jù)權(quán)屬問題目前還沒有得到徹底解決，數(shù)據(jù)主權(quán)的爭奪也日益白熱化。數(shù)據(jù)權(quán)屬不明的直接后果就是國家安全受到威脅，數(shù)據(jù)交易活動存在法律風險和利益沖突，個人的隱私和利益受到侵犯。12.5.1大數(shù)據(jù)的倫理問題2.隱私權(quán)和自主權(quán)的侵犯問題數(shù)據(jù)的使用和個人的隱私保護是大數(shù)據(jù)產(chǎn)業(yè)發(fā)展面臨的一大沖突。在大數(shù)據(jù)環(huán)境下，個人在互聯(lián)網(wǎng)上的任何行為都會變成數(shù)據(jù)被沉淀下來，而這些數(shù)據(jù)的匯集都可能最終導致個人隱私的泄露。絕大多數(shù)互聯(lián)網(wǎng)企業(yè)通過記錄用戶不斷產(chǎn)生的數(shù)據(jù)，監(jiān)控用戶在互聯(lián)網(wǎng)上所有的行為，互聯(lián)網(wǎng)公司據(jù)此對用戶進行畫像，分析其興趣愛好、行為習慣，對用戶做各種分類，然后以精準廣告的形式給用戶提供符合其偏好的產(chǎn)品或服務(wù)。12.5.1大數(shù)據(jù)的倫理問題另外，互聯(lián)網(wǎng)公司還可以通過消費數(shù)據(jù)等分析評估消費者的信用，從而提供精準的金融服務(wù)進行盈利。在這兩種商業(yè)模式中，用戶成為被觀察、分析和監(jiān)測的對象，這是用個人生活和隱私來成全的商業(yè)模式。12.5.1大數(shù)據(jù)的倫理問題3.數(shù)據(jù)利用的失衡問題數(shù)據(jù)利用的失衡主要體現(xiàn)在兩個方面。第一，數(shù)據(jù)的利用率較低。隨著移動互聯(lián)網(wǎng)的發(fā)展，每天都有海量的數(shù)據(jù)產(chǎn)生，全球數(shù)據(jù)規(guī)模實現(xiàn)指數(shù)級增長，但是福瑞斯特研究對大型企業(yè)的調(diào)研結(jié)果顯示，企業(yè)大數(shù)據(jù)的利用率僅在12%左右。就掌握大量數(shù)據(jù)的政府而言，數(shù)據(jù)的利用率更低。第二，數(shù)字鴻溝現(xiàn)象日益顯著。數(shù)字鴻溝束縛數(shù)據(jù)流通，導致數(shù)據(jù)利用水平較低。大數(shù)據(jù)的“政用”“民用”和“工用”，相對于大數(shù)據(jù)在商用領(lǐng)域的發(fā)展，無論技術(shù)、人才還是數(shù)據(jù)規(guī)模都有巨大的差距。12.5.1大數(shù)據(jù)的倫理問題現(xiàn)階段，我國大數(shù)據(jù)應(yīng)用較為成熟的行業(yè)是電商、電信和金融領(lǐng)域，醫(yī)療、能源、教育等領(lǐng)域則處于起步階段。由于大數(shù)據(jù)在電商、電信、金融等商用領(lǐng)域產(chǎn)生巨大利益，數(shù)據(jù)資源、社會資源、人才資源均往這些領(lǐng)域傾斜，涉及政務(wù)、民生、工業(yè)等經(jīng)濟利益較弱的領(lǐng)域，市場占比很少。在“商用”領(lǐng)域內(nèi)，優(yōu)勢的行業(yè)或優(yōu)勢的企業(yè)也往往占據(jù)了大量的大數(shù)據(jù)資源。例如，大型互聯(lián)網(wǎng)公司的大數(shù)據(jù)發(fā)展指數(shù)對比中小企業(yè)的就呈現(xiàn)碾壓態(tài)勢。12.5.1大數(shù)據(jù)的倫理問題大數(shù)據(jù)的“政用”“民用”和“工用”對于改善民生、輔助政府決策、提升工業(yè)信息化水平、推動社會進步可以起到巨大的作用，因此大數(shù)據(jù)的發(fā)展應(yīng)該更加均衡，這也符合國家大數(shù)據(jù)戰(zhàn)略中服務(wù)經(jīng)濟社會發(fā)展和人民生活改善的方向。12.5.1大數(shù)據(jù)的倫理問題為了有效保護個人數(shù)據(jù)權(quán)利，促進數(shù)據(jù)的共享流通，世界各國對大數(shù)據(jù)產(chǎn)業(yè)發(fā)展提出了各自的倫理和法律規(guī)制方案。歐盟在2018年5月起正式實施《通用數(shù)據(jù)保護條例》（GDPR），也成為世界各國在個人數(shù)據(jù)立法方面的重要參考。GDPR充分保障數(shù)據(jù)主權(quán)，其地域適用范圍可適用于歐盟境外的企業(yè)。GDPR將“同意”作為數(shù)據(jù)處理的法律基礎(chǔ)，由“同意”來行使個人數(shù)據(jù)權(quán)利，相應(yīng)地體現(xiàn)透明機制。12.5.2大數(shù)據(jù)的倫理規(guī)則GDPR建立有效的問責機制和懲罰機制，高額的罰款讓企業(yè)不得不進行數(shù)據(jù)合規(guī)。規(guī)模以上企業(yè)應(yīng)設(shè)立數(shù)據(jù)保護專員（DPO），DPO機制就相當于內(nèi)審機制，企業(yè)可以專業(yè)地、實時地進行內(nèi)審合規(guī)。GDPR的立法理念和部分條款值得我們參考，我們可以結(jié)合我國大數(shù)據(jù)產(chǎn)業(yè)現(xiàn)狀，建立起一套符合我國大數(shù)據(jù)產(chǎn)業(yè)的倫理規(guī)制體系和法律保障體系，為我國大數(shù)據(jù)戰(zhàn)略實施保駕護航。12.5.2大數(shù)據(jù)的倫理規(guī)則大數(shù)據(jù)戰(zhàn)略已經(jīng)成為我國的國家戰(zhàn)略，從國家到地方都紛紛出臺大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展規(guī)劃和政策條例。2013年2月1日正式頒布并實施《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，2016年實施《中華人民共和國網(wǎng)絡(luò)安全法》。12.5.2大數(shù)據(jù)的倫理規(guī)則1）建立規(guī)范的數(shù)據(jù)共享機制和數(shù)據(jù)共享標準。以開放共享的倫理精神為指導，建立規(guī)范的數(shù)據(jù)共享機制，解決目前大數(shù)據(jù)產(chǎn)業(yè)由于開放共享倫理的缺位和泛濫而導致的數(shù)據(jù)孤島、共享缺失、權(quán)力極化、資源危機，以及數(shù)據(jù)濫用、共享濫用、權(quán)力濫用、侵犯人權(quán)兩類極端的問題。同時針對不同的數(shù)據(jù)類型和不同行業(yè)領(lǐng)域的數(shù)據(jù)價值開發(fā)，制定合理的數(shù)據(jù)共享標準。最終達到維護國家數(shù)據(jù)主權(quán)保障機構(gòu)和個人的數(shù)據(jù)權(quán)利，優(yōu)化大數(shù)據(jù)產(chǎn)業(yè)結(jié)構(gòu)，保障大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展的目標。12.5.2大數(shù)據(jù)的倫理規(guī)則2）尊重個人的數(shù)據(jù)權(quán)利，提高國民大數(shù)據(jù)素養(yǎng)。大數(shù)據(jù)技術(shù)創(chuàng)新、研發(fā)和應(yīng)用的目的是促進人的幸福和提高人生活質(zhì)量，任何行動都應(yīng)根據(jù)不傷害人和有益于人的倫理原則給予評價。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展應(yīng)當以尊重和保護個人的數(shù)據(jù)權(quán)利為前提，個人的數(shù)據(jù)權(quán)利主要包括訪問權(quán)、修改權(quán)、刪除或遺忘權(quán)、可攜帶權(quán)、決定權(quán)。隨著社會各界越來越關(guān)注個人的數(shù)據(jù)權(quán)利，我國不僅在大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展中應(yīng)尊重個人的數(shù)據(jù)權(quán)利，在國家立法層面也應(yīng)逐步完善保護個人信息的立法。12.5.2大數(shù)據(jù)的倫理規(guī)則相對于機構(gòu)，個人處于弱勢，國民應(yīng)提高大數(shù)據(jù)素養(yǎng)，主動維護自身的數(shù)據(jù)權(quán)利。因此，我們應(yīng)普及大數(shù)據(jù)倫理的宣傳和教育，專家學者要從多方面向企業(yè)、政府和公眾開展大數(shù)據(jù)講座，幫助群眾提升大數(shù)據(jù)素養(yǎng)，以縮小甚至消除個人數(shù)據(jù)權(quán)利和機構(gòu)數(shù)據(jù)權(quán)力的失衡。12.5.2大數(shù)據(jù)的倫理規(guī)則3）建立大數(shù)據(jù)算法的透明審查機制。大數(shù)據(jù)算法是大數(shù)據(jù)管理的核心主題，大數(shù)據(jù)的處理、分析、應(yīng)用都是由其算法來支撐和實現(xiàn)的。隨著大數(shù)據(jù)“殺熟”、算法歧視等事件的出現(xiàn)，社會對大數(shù)據(jù)算法“黑盒子”問題質(zhì)疑增多。企業(yè)和政府在使用數(shù)據(jù)的過程中，必須提高對公眾的透明度，將選擇權(quán)回歸個人。例如，應(yīng)該建立大數(shù)據(jù)算法的透明審查機制，向社會公布大數(shù)據(jù)算法的“說明書”。12.5.2大數(shù)據(jù)的倫理規(guī)則4）建立大數(shù)據(jù)行業(yè)的道德自律機制和監(jiān)督平臺。企業(yè)在大數(shù)據(jù)產(chǎn)業(yè)中占主導地位，建立行業(yè)的道德自律對于解決大數(shù)據(jù)產(chǎn)業(yè)的倫理問題有積極作用，也是大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展的重要保障，因此應(yīng)建立大數(shù)據(jù)行業(yè)的道德自律機制和共同監(jiān)督平臺。在目前相關(guān)倫理規(guī)范相對滯后的發(fā)展階段，如果不加強道德自律建設(shè)，大數(shù)據(jù)技術(shù)就有可能會引發(fā)災(zāi)難性的后果，因此加強道德自律建設(shè)必須從現(xiàn)在開始。12.5.2大數(shù)據(jù)的倫理規(guī)則為了加強對大數(shù)據(jù)安全的法律規(guī)制，《中華人民共和國數(shù)據(jù)安全法》（簡稱《數(shù)據(jù)安全法》）于2021年9月1日起正式施行。這部法律包括以下核心要點。1）明確數(shù)據(jù)定義與適用范圍：《數(shù)據(jù)安全法》規(guī)定了數(shù)據(jù)是指任何形式的電子化信息記錄，并強調(diào)對各類數(shù)據(jù)處理活動的合法合規(guī)性要求。2）數(shù)據(jù)安全與發(fā)展原則：確立數(shù)據(jù)安全總體國家安全觀，強調(diào)數(shù)據(jù)安全與發(fā)展并重，既要保障數(shù)據(jù)利用效率，又要防止數(shù)據(jù)濫用和泄露風險。3）數(shù)據(jù)安全制度建設(shè)：構(gòu)建數(shù)據(jù)分類分級保護體系，明確數(shù)據(jù)安全保護義務(wù)，建立健全數(shù)據(jù)安全風險評估、監(jiān)測預(yù)警和應(yīng)急處置機制。12.5.3數(shù)據(jù)安全法4）數(shù)據(jù)主體權(quán)益保護：強化對個人信息和重要數(shù)據(jù)的保護，規(guī)定數(shù)據(jù)處理者應(yīng)當遵循合法、正當、必要原則，尊重和保護個人隱私，不得非法收集、使用、加工、傳輸他人數(shù)據(jù)。5）國家安全與公共利益保護：對境內(nèi)和境外數(shù)據(jù)處理活動進行了明確規(guī)定，特別是針對可能損害中國國家安全、公共利益或者公民、組織合法權(quán)益的行為，設(shè)定了相應(yīng)的法律責任。12.5.3數(shù)據(jù)安全法6）數(shù)據(jù)跨境流動監(jiān)管：對數(shù)據(jù)的跨境傳輸實行安全評估和必要的管控措施，確保數(shù)據(jù)跨境流動符合中國的法律法規(guī)和國際條約。7）政務(wù)數(shù)據(jù)安全與開放：規(guī)范政務(wù)數(shù)據(jù)的管理和開放，確保政務(wù)數(shù)據(jù)在提高公共服務(wù)效能的同時，也要遵守嚴格的安全管理制度。通過以上法律條款，中國建立了較為完善的數(shù)據(jù)安全法律框架，引導和規(guī)范了大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，同時也體現(xiàn)了對全球數(shù)據(jù)治理規(guī)則的積極參與和貢獻。企業(yè)和組織在進行大數(shù)據(jù)活動時，必須嚴格遵守這些法律規(guī)定，否則將面臨法律責任追究。12.5.3數(shù)據(jù)安全法在我國，網(wǎng)絡(luò)立法已經(jīng)受到有關(guān)方面的高度重視，出臺了多部有關(guān)網(wǎng)絡(luò)使用規(guī)范、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的規(guī)定。如1997年5月20日修正的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》，2000年發(fā)布的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《中文域名注冊管理辦法（試行）》《教育網(wǎng)站和網(wǎng)校暫行管理辦法》《計算機病毒防治管理辦法》《關(guān)于音像制品網(wǎng)上經(jīng)營活動有關(guān)問題的通知》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》和《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》等，這些管理規(guī)定的制訂標志著我國網(wǎng)絡(luò)法規(guī)的起步。12.5.4大數(shù)據(jù)安全法規(guī)鑒于大數(shù)據(jù)的戰(zhàn)略意義，我國高度重視大數(shù)據(jù)安全問題，發(fā)布了一系列大數(shù)據(jù)安全相關(guān)的法律法規(guī)和政策。2012年，云安全聯(lián)盟（CSA）成立大數(shù)據(jù)工作組，旨在尋找大數(shù)據(jù)安全和隱私問題的解決方案。2013年7月，工業(yè)和信息化部公布了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，明確電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個人信息的規(guī)則和信息安全保障措施要求。12.5.4大數(shù)據(jù)安全法規(guī)2015年8月，國務(wù)院印發(fā)了《促進大數(shù)據(jù)發(fā)展行動綱要》，提出要健全大數(shù)據(jù)安全保障體系，完善法律法規(guī)制度和標準體系。2016年3月，第十二屆全國全國人民代表大會第四次會議表決通過了《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》，提出把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源，明確指出要建立大數(shù)據(jù)安全管理制度，實行數(shù)據(jù)資源分類分級管理，保障安全、高效、可信。12.5.4大數(shù)據(jù)安全法規(guī)2016年，全國信息安全標準化技術(shù)委員會正式成立大數(shù)據(jù)安全標準特別工作組，負責大數(shù)據(jù)和云計算相關(guān)的安全標準化研制工作。在標準化方面，國家層面制定了《大數(shù)據(jù)服務(wù)安全能力要求》《大數(shù)據(jù)安全管理指南》《大數(shù)據(jù)安全能力成熟度模型》等數(shù)據(jù)安全標準。12.5.4大數(shù)據(jù)安全法規(guī)由于數(shù)據(jù)與業(yè)務(wù)關(guān)系緊密，各行業(yè)也紛紛出臺了各自的數(shù)據(jù)安全分級分類標準，典型的如《銀行數(shù)據(jù)資產(chǎn)安全分級標準與安全管理體系建設(shè)方法》《電信和互聯(lián)網(wǎng)大數(shù)據(jù)安全管控分類分級實施指南》《JR/T0158—2018證券期貨業(yè)數(shù)據(jù)分類分級指引》等，對各自業(yè)務(wù)領(lǐng)域的敏感數(shù)據(jù)按業(yè)務(wù)線條進行分類，按敏感等級（數(shù)據(jù)泄漏后造成的影響）進行數(shù)據(jù)分級。安全防護系統(tǒng)可以根據(jù)相應(yīng)級別的數(shù)據(jù)采用不同嚴格程度的安全措施和防護策略。在大數(shù)據(jù)安全產(chǎn)品領(lǐng)域，形成了平臺廠商和第三方安全廠商的兩類發(fā)展模式。12.5.4大數(shù)據(jù)安全法規(guī)我國的一些新的與大數(shù)據(jù)等信息技術(shù)相關(guān)的法律法規(guī)，例如：·國家新一代人工智能治理專業(yè)委員會：《新一代人工智能倫理規(guī)范》（2021年9月25日）。·網(wǎng)信辦：《關(guān)于進一步壓實網(wǎng)站平臺信息內(nèi)容主體責任的意見》（2021年9月15日）?！揖W(wǎng)信辦等九部門：《關(guān)于加強互聯(lián)網(wǎng)信息服務(wù)算法綜合治理的指導意見》（國信辦發(fā)文〔2021〕7號）（2021年9月17日）。12.5.4大數(shù)據(jù)安全法規(guī)·國家新聞出版署：《