周一至周五 | 9:00—22:00

大数据与云计算环境下个人信息安全协同保护研究

作者: 张新刚 于波 程新党 王保平

  摘要:大数据与云计算环境下,个人信息安全问题越来越受到人们的重视。首先阐述了我国个人信息安全保护存在的问题,分析了其成因,接着介绍了国外个人信息安全保护的典型经验和做法,最后从管理机制、法律体系、技术研发、监管自律、人才队伍、宣传教育等六个方面提出了构建个人信息安全立体协同保护体系的方案。
  关键词:大数据;云计算;信息安全;协同保护
  中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)03-0053-03
  随着云计算、物联网、移动互联网和智慧城市的快速发展,全球数据量呈现爆发式、多样化、指数级的增长,大数据时代已经到来,成为继云计算之后信息技术领域新的产业增长点。然而,在大数据和云计算产业蓬勃发展的同时,个人信息及隐私数据泄露事件层出不穷,“12306用户数据泄露”、“支付宝安全门”等事件为大数据与云计算环境下个人信息安全保护敲响了警钟,提出了新挑战。日益严峻的个人信息安全问题不仅威胁和侵害了巨大用户的利益,还关系到经济健康发展、社会稳定和国家安全。
  1 我国个人信息安全保护存在的问题及成因
  1.1 大数据与云计算环境下的新应用带来新的安全风险
  大数据与云计算时代,经济社会信息化程度越来越高,针对个人信息采集的范围日趋广泛,涉及诸多个人隐私信息,除了基本的身份信息外,还包括金融交易类数据、社交网络数据、地理位置数据、网络言论等,通过对这些数据的关联、聚合可以挖掘还原出个人社会生活的概况。当采集的数据量达到一定规模时还将会产生巨大的经济效益[1]。在巨大的经济利益驱动下,针对个人信息的采集、处理、应用等都成为非法分子的攻击利用目标。大数据与云计算环境下的信息安全呈现出了一些新特性,包括隐蔽关联性、集群风险性、泛在模糊性、跨域渗透性和交叉复杂性,这些新特性给个人信息安全保护带来了新挑战[2]。
  1.2 个人信息安全保护法律体系有待完善
  我国的个人信息保护法律体系还处于初期阶段,虽然制定了一些与信息安全相关的法律,但与欧盟、美国相比,缺乏个人信息保护系统化的法律体系,立法进程还需要进一步推进[3]。2012年12月,全国人大常委会出台了《关于加强网络信息保护的决定》,强化了以法律形式保护个人信息安全,规定了个人信息保护的基本原则,但是可操作性不强,还需要操作性强的配套实施细则。2013年2月,我国第一个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,明确规定了个人敏感信息在收集和利用之前,必须获得个人信息主体的授权。但在实施过程中政府还应出台相应的激励政策,促进行业主体自觉遵守。
  1.3 传统的安全技术难以适应大数据云计算时代的新要求
  传统的信息安全技术不能完全照搬应用到新兴的大数据领域,云计算、移动互联网等新技术的发展为大数据的采集、处理等提出了新的安全挑战。一是我国大数据、云计算所使用的主流操作系统、存储系统等都严重依赖国外,存在被植入后门的风险。二是传统的信息安全防护体系难以大数据云计算时代的新要求。传统的安全防护技术适用于某个环节,而大数据云计算时代要求做到个人信息安全保护实现全流程、全生命周期的立体化纵深防御。
  1.4 个人信息安全统一监管和行业自律亟待加强
  随着大数据、云计算在经济社会生活各方面的日益广泛应用,当前对于个人信息安全的政府监管和行业自律显得滞后,不能较好地适应大数据、云计算的发展需求。一是在国家层面还没有建立统一、高效的针对个人信息安全的监管体系,普遍处于多头监管、无序监管、监管不力的状态;二是没有建立有效的行业自律机制。针对大数据、云计算环境下的个人信息安全保护,各个行业缺乏个人信息安全保护的主动性,自律意识不强,没有制定本行业的信息保护标准和相关制度,行业自律缺失。
  1.5 信息安全人才培养质量有待提高
  我国十分重视信息安全的人才培养,基本形成了信息安全本科、硕士、博士完整的人才培养体系。据统计,全国有100余所高校设立了信息安全专业,每年培养数以万计的信息安全人才。教育部成立了“高等学校信息安全专业教学指导委员会”负责对信息安全专业建设发展的宏观指导。
  但目前信息安全人才培养也存在一些问题。一是由于2015年以前信息安全不是一级学科,普遍挂靠在其他学科之下,导致管理体制不顺,不利于学科建设和人才培养。二是一些高校的信息安全师资队伍力量薄弱。这就导致部分高校信息安全专业的有些课程没有开设。再加上一些高校缺乏必要的信息安全实验条件,影响了学生的动手实践能力的培养,这样就导致一些高校信息安全人才培养的质量很难得到有效保障[4]。
  2 国外个人信息安全保护典型经验和做法
  2.1 美国、欧盟等建立较为完善的信息安全保护法律体系
  美国制定了一系列信息安全保护的法律,加强个人信息安全保护。1966年美国国会颁布了《信息自由法》,这是美国在信息安全领域立法的起点。1974年出台的《隐私权法》明确规定了信息公开与隐私保护的处理规则。1986年出台的《电子通信隐私法》对政府拦截监听通信信号的范围与标准等做了相关规定。之后美国先后制定了《计算机安全法》(1987年)、《通信净化法》(1996年)、《数据保密法》(1997年)、《网络电子安全法案》(1999年)、《网络安全信息法》(2000年)、《网络安全法案》(2009年)等20余部法律,以上这些法律均由美国最高立法机关国会制定,构成了美国最基本的信息安全法律体系框架[5]。
  欧盟在欧洲议会、欧盟理事会和成员国的共同努力下,不断制定和完善信息安全法律法规体系。例如,1981年通过了《有关个人资料自动化处理保护个人公约》,1995年欧盟制定了《个人数据保护指令》以保护个人数据及其自由流动,2002年通过了《关于电子通信行业个人数据处理与个人隐私保护指令》等,此外还出台了一系列指令、决定、决议和公约。   2.2 美、英、日、德等国普遍建立信息安全国家战略
  美国:美国在全球互联网领域拥有绝对的控制权和主导权。2009年发布了《网络空间政策评估---保障可信和强健的信息和通信基础设施》,2011年发布了《网络空间国际战略》进一步确立了其战略意图。
  英国:英国于2009年颁布了《英国网络安全战略》,着眼于从宏观长远角度加强网络安全建设,维护本国网络安全。
  日本:日本于2005年组建了跨越陆海空的“网络战部队”。2006年、2009年先后发布了《第一个国家信息安全战略》、《第二个国家信息安全战略》,2011年发布了《保护国民信息安全战略》,2013年制定了《网络安全战略》,同时组建了“网络防卫队”。
  德国:作为欧洲信息技术最为发达的德国,高度重视网络信息安全建设。1997年就发布了世界上第一部计算机网络服务方面的单行法律---《多媒体法》,2011年发布了《德国网络安全战略》,成立了国家网络防御中心,建立了国家网络安全委员会[6]。
  2.3 美国在互联网领域具有领先的技术和产品优势
  美国在互联网领域具有独特的优势,在全球13个根域名服务器中占据了3个,拥有全球最大的网络带宽,拥有最大用户数量的信息服务以及领先的软硬件核心技术。以Microsoft、IBM、Apple、Google、Intel、Oracle、Cisco等为代表的信息巨头公司在全球信息安全产业中占据着基础性的关键支撑作用,改变着全球用户的工作和生活方式。以Symantec、Trend micro等为代表的信息安全产业巨头引领着全球信息安全产业发展[7]。
  3 构建个人信息安全立体协同保护体系
  新技术、新应用的快速发展带来诸多新的安全威胁,传统的安全防御手段难以适应新环境下的新要求,大数据与云计算环境下个人信息安全保护面临许多新挑战,亟须从管理机制、法律体系、技术产业、监管自律、人才培养、宣传教育等方面着手建立体协同的个人信息安全协同保护体系。
  3.1 加强顶层设计,建立综合协同的信息安全管理机制
  2014年成立了中央网络安全和信息化领导小组办公室,习近平总书记担任组长,体现了我国保障网络安全、推动信息化发展的强大决心。作为全球网络攻击的主要受害国,我国应因势而谋,顺势而为,从全球化的视角审视我国信息安全形势,加快制定国家信息安全战略,主动提升我国在信息安全领域的战略威慑能力。同时地方各部门也应加强网络安全建设,做好顶层设计。打破传统上“九龙治水”的管理格局,克服多头管理、职能交叉的弊端,成立对应的信息安全管理机构,跨部门、跨行业的综合协同管理机制。
  3.2 建立健全个人信息安全保护的法律体系
  加快出台个人信息安全保护的相关法律法规,进一步规范政府、企业和相关机构对个人信息采集、保存和使用的行为,依法惩处信息安全违法行为,确保个人信息安全。同时进一步完善现有的信息安全法律法规,配套设施细则,增强法律执行的可操作性,严厉打击个人信息安全保护中的违法行为,提高违法成本,保障个人信息安全,逐步建立健全个人信息安全保护法律体系。
  3.3 加强个人信息安全保护技术研发,推动信息安全产业发展
  技术层面。加大政策资金的扶持力度,积极鼓励科研机构、高校、企业等共同加强对信息安全保护相关技术的研发和创新,从技术层面保障个人信息安全。加大对个人隐私保护相关技术的研发,包括数据发布匿名保护技术、数据水印技术、数据溯源技术等关键技术,提高对个人隐私信息的保护能力。
  产业层面。我国在互联网领域的核心技术自主可控水平较低,应下大力气加强关键技术研发,开发出性能先进、自由可控、安全可靠的国产化核心技术替代产品,摆脱长期以来严重依赖国外信息技术产品的尴尬局面,从源头上增强信息安全保障能力,大力发展信息安全产业,建造大数据与云计算环境下我国信息安全防范的新长城[8]。
  3.4 构建个人信息安全统一监管和行业自律体系
  推动建立大数据、云计算环境下个人信息安全的政府统一监管体系,建立自上而下统一的监管机构,加强行业监管,开展对个人信息安全保护“事前、事中、事后”全生命周期监测,制定相关的认证标准和流程,鼓励建立第三方评估监测机构,加强动态评估和绩效评估。另外,积极推动行业自律,充分发挥行业组织的行业自律和相互监督,引导各行业制定本行业的个人信息安全保护行业标准和规范,形成自我监督、自我完善的机制。
  3.5 构建网络信息安全创新人才培养体系
  经过多年来对信息安全人才培养的探索实践,2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,这对于加强信息安全学科建设,提高信息安全人才培养质量具有十分深远的意义。另外,需要加大对信息安全师资的培养、培训力度,构建良好的实验条件,加强实践环节训练,切实提高信息安全人才的实战能力。还可以通过举办各种形式的信息安全比赛,不断发现和培养信息安全人才。
  3.6 加强宣传教育,提高公众的信息安全保护意识
  借助国家网络安全宣传周等活动,通过新媒体、电视、广播等多种形式,加强对公众的个人信息安全知识的宣传教育,提高公众的个人信息安全保护意识。同时,完善个人信息安全的监督体系,利用新媒体等多种形式曝光个人信息安全违法行为案例,畅通对个人信息安全违法行为的举报渠道,在全社会形成共同保护个人信息安全的良好氛围。
  4 结语
  大数据与云计算环境下的个人信息安全面临着严峻的挑战,日益受到人们的重视和关注,如何构建信息安全协同保护体系成为我们面临的重要课题。本文首先从大数据与云计算环境下的新应用带来的安全风险、个人信息安全保护法律体系不完善、传统的信息安全技术滞后、信息安全监管和行业自律亟待加强、信息安全人才培养质量有待提高等五个方面具体分析了当前个人信息安全保护存在的问题及成因,然后介绍了美国、欧盟等国家个人信息安全保护的典型经验和做法,结合我国实际情况,从管理机制、法律体系、技术产业、监管自律、人才培养、宣传教育等六个方面构建了个人信息安全协同保护体系,从而在大数据与云计算环境下更好地保障个人信息安全。
  参考文献:
  [1] 惠志斌.大数据时代个人信息安全保护[J].社会科学报,2013-4-11(3).
  [2] 王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015(3):72-84.
  [3] 马民虎,张敏.信息安全与网络社会法律治理:空间、战略、权利、能力[J].西安交通大学学报(社会科学版),2015(2):92-97.
  [4] 张焕国.信息安全人才培养现状与问题[J].中国教育网络,2014(9):41-43.
  [5] 孙成相.中美网络安全法律体系比较研究[J].保密科学技术,2013(1):46-50.
  [6] 方兴东.棱镜门事件与全球网络空间安全战略研究[J].现代传播,2014(1):115-122.
  [7] 肖新光.大战略基石―美国信息安全产业格局的解析[J].中国信息安全,2014(4):41-49.
  [8] 陈左宁.大数据安全与自主可控[J].科学通报,2015(6):427-432.


常见问题解答