摘 要
随着科技发展水平的提高,各种各样新技术的应用在给企业、商业带来发展、为人们生活带来便利之外,但是同时也存在着数据安全问题,给人们的隐私以及财产安全等造成了直接威胁。本文通过查阅期刊、文书档案、书籍、报纸、互联网等资源,收集和整理有关大数据信息安全问题的资料文献,确定研究思路;通过对其他国家网络安全管理政策、措施、效果等层面的比较,分析得出各国网络安全管理的普遍规律和特色做法,对加强和改进我国网络安全管理工作,构建新时代网络安全管理模式提供参考;运用所学专业知识及信息技术手段对所得数据进行专业分析和处理,设计得出适合我国现阶段大数据信息保护状况下的防范技术以及加强信息安全管理的对策措施。
关键词:大数据;个人信息;信息安全;网络安全
Abstract
With the improvement of the development level of science and technology, the application of various new technologies not only brings development to enterprises and commerce, but also brings convenience to people's lives, but at the same time, there are data security problems, which give people privacy and property security cause a direct threat. This article by consulting periodicals, documents and archives, books, newspapers, the Internet, and other resources, collecting and collating data and documents related to big data information security issues, and determining research ideas; by comparing and analyzing other countries' network security management policies, measures, and effects obtain the general laws and characteristic practices of cybersecurity management in various countries, provide references for strengthening and improving cybersecurity management in China, and construct a new era cybersecurity management model; use the professional knowledge and information technology to analyze and process the data obtained, Designed to meet the current situation of Chinese current big data information protection technology and strengthen information security management countermeasures.
Key words: big data; personal information; information security; cyber security
自中共十八大以来,国家领导人和政府采取了长远的战略眼光,从各个角度开始重视中国的信息安全问题。国家的经济飞速发展,社会的状态保持稳定,人民的生活安居乐业都与信息安全息息相关。信息的价值进一步凸显,信息已成为企业的重要资产和持续创新的推动力。保障信息在采集、传输、利用和共享等各个环节安全的重要性可想而知。
回顾已经过去的2019年那一年,经常发生大规模数据泄露事件,且发生的数量呈爆炸式增长的趋势。据安全情报供应商Risk Based Security (RBS) 的2019年Q3季度的报告,结果显示2019年1月1日至2019年9月30日,全球披露的数据泄露事件有5183起,有79.95亿条数据记录被盗、丢失或泄露。为了展示趋势,RBS列举前7年数据泄露情况 (如图1-1所示)。从数据泄露数量的角度来看,总体趋势是上升的,与2018年(3886)相比,2019年(5183)的泄漏量增加了33.3%。可以看到涉及数据泄露的记录数量 在2017年至2019年的三年均在一个高点,2019年的泄漏数量与2017年接近,并且2019年的泄漏记录数量(79.95亿)比2018年(37.66亿)增加了112%。
![](https://wkrtcs.bdimg.com/rtcs/image?w=549.79&md5sum=62e410aa240850f44f0aa77f41606f43&sign=2dcc127358&rtcs_flag=2&rtcs_ver=4&l=webapp&bucketNum=702&ipr={"t":"img","r":"r_9","w":"549.79","h":"205.00","dataType":"png","c":"word/media/image1.png","imgOriW":1023,"imgOriH":382})
图1-1 2019年Q3季度前全球数据泄露事件数量概览[1]
从数据泄露事件数量来看,当前信息安全面临的状况仍然不容乐观。数据泄露影响与危害,一方面给受害企业带来直接和间接的经济损失(违法巨额的罚款(如GDPR)、事后处理成本和名誉损失恢复成本);另一方面发生大规模事件中绝大部分包括个人信息以及敏感数据,这给涉及的用户个人信息与隐私安全带来潜在的危害。
历史上对于信息安全保护的概念并没有很早的提出,最先而是以隐私权来以偏概全。隐私权是近几年才为大家所熟悉的概念,但是即便在西方,隐私权这一概念的出现也只有一百多年的历史。
1890年,美国的两位法学家布兰蒂斯和沃伦在哈佛大学《法学评论》上发表了一篇题为《隐私权》的文章,并在该文中使用了“隐私权”一词,被公认为隐私权概念的首次出现。
2009年,David Laser认为,世界上的国家在处理信息安全问题的方式方法会有所不同,所以社会的稳定程度高低就会随着处理方式的变化而改变[2]。
2012年,Colin Tankard 指出企业在发展的过程当中,往往会为了客户需求等方面去搜集大量的个人信息,从而使企业无法避免遇到黑客的攻击。垃圾短信,骚扰电话和APP捆绑木马等都使公民得到了不必要的打扰[3]。
2013年,维克多·迈耶·申伯格则更重视知情权,他总结了信息安全问题的潜在威胁,并且认为新时代是否能够成功转型的关键在于对数据的应用[4]。
网络信息安全的技术研究层面则是国外相对于国内而言的主要研究集中所在,如布赖恩·切斯与雅各布·韦斯特合作编写的一本书就是主要研究信息安全问题的技术著作。
2002年,胡敏洁和刘雪在《网络发展与隐私权的保护》一文中提出从法律与道德并济和加强网络管制两个方面分析,得出结论实践是检验真理的唯一标准,只有参考国外的经验教训,不断地在实践中进行探讨,隐私权才可以得到真正的保护[5]。
2008年,田尧和王丽萍发表的一文中认为,个人网络隐私在行业自律保护下有三种模式,应该如何完善这三种模式也提出了行政监管,行业自律和完善立法这三个建议 [6]。
2012年,秦尘发表《大互联网时代的隐私保护》一文,从互联网提供商的角度提出了相应的个人信息安全保护原则[7]。
2016年,张恩典发表了《大数据时代的被遗忘权之争》文章提到大数据时代的到来,给人类生活、工作和思维带来了巨大变革,此外也给个人隐私带来严重威胁,使人们置身于“数字化圆形监狱”而无处遁逃。所以人们应该适时选择遗忘不正确的信息,留下值得欣赏的美好[8]。
2017年,张里安和韩旭至发表了一篇文章,他们提出我国应抓住历史机遇,尽快构建符合大数据时代技术发展挑战和中国国情的个人信息保护制度[9]。
大数据一词由美国数据科学家维克托·迈尔·舍恩伯格提出,并且在《大数据时代》时提到:“大数据的核心就是预测,大数据将为人类的生活创造前所未有的可量化的维度。大数据已经成为了新发明和新服务的源泉,而更多的改变正蓄势待发。”[10]。国外学者Michael Sherman提出大数据描述了承诺实现信息系统研究的基本原则的技术,即在适当的时间以适当的容量和质量向正确的接收者提供正确的信息[11]。
大数据即指在某个时间段内,无法通过常规模式对其进行处理的数据集合。大数据相比于传统的数据模型,更加注重处理数据信息的效率和质量,会略有不同[12]。
由于计算机网络的开放性,也极大地影响了计算机的信息安全[13]。
信息一词最早出现在1948年美国数学家香农的《通信的数学理论》中,该文提到“信息是用来消除随机不定性的东西。”,在英语,法语和西班牙语等中信息为“information”,日语称之为“情报”,而在我国古代则是用“消息”代之。
信息,指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。人们通过得到的不同信息来识别世间万物,从而认知这个世界并改造它,所以信息是这个世界组成的最基本单位。在通讯系统中,信息也是进行交流的一种普遍形式。
(1)主体性
毋庸置疑,个人信息的主体是人,而对于人的定义,历来有两种说法,一种是德国、英国等国家立法规定的自由人,只为自由人,另一种为丹麦、奥地利等国家规定的自由人和法人,前者认为法人是由法律定义的概念,没有自然人的个人信息安全等问题,所以个人信息安全的权利主体应该只限于自然人,后者认为法人的定义是由自然人的概念引申而来,与自然人的本质有很多相同点,具有民事权利能力和民事行为能力,应同样具有自然人的权利,因为隐私权是自然人的一种基本人格权利。
(2)可识别性
可识别性即为有些信息特征为主体的特征,把这些特征归纳总结并且梳理出来就可以辨别出不同的信息对应的主体。辨别信息的方式分为两种。一种是直接识别,另一种是间接识别,前者指通过主体的身份证号码,DNA和指纹等,只通过唯一信息,不用其他辅助性方法,单独推断出某一特定主体。后者则指主体和信息并不能一下子识别出来并且对号入座,而是需要一些其他信息作为辅助才可以完成识别功能,例如学号,地址,职业等。
(3)支配性
主体有权支配其个人信息,意为主体有权决定自己信息的使用方式或者选择是否对外公布等等。
(4)可处理性
信息本身的存在过于庞大,在这个集合中但并不是每一条信息都是有用的,只有通过一定的技术手段进行处理,信息才能够很好地被利用,从而展现出它的利用价值并能够在不同媒体之间传播。
(5)时效性
并非所有的个人资料都是有效的,某些个人资料会随着时间的推移而改变,例如阅读资料、工作资料、住址资料、流动电话号码等,如果工作变动或者家庭变动甚至个人变动,都会导致资料失效,超过期限后,信息需要及时更新,原始信息也失去了有效性。
(6)财产属性
由于个人信息是主体的专属属性,因此个人信息可以反映个人的个性并具有人格属性。因为主体有了人格属性,他的信息在不同媒介之间传播,一旦被使用就能够创造出一定的经济效益,所以这时也就具备了财产属性。
由于随着越来越多的有价值和高度敏感的信息在互联网上传播,当计算机出现一定的安全问题时,将严重损害国家安全和公共利益,造成无价的损失[14]。
(1)希拉里邮件门事件
2018年1月20日,据路透社报道,美国共和党一位参议员称,由于美国联邦调查局(FBI)技术故障,没能保存希拉里“邮件门”和特朗普“通俄门”的两名调查人员——律师佩奇(Lisa Page)和经纪人斯特佐克(Peter Strzok)之间自2016年12月中旬至2017年5月中旬的短信联系数据。
(2)教育数据泄露事件
从2018年12月开始,一个不知名的外部实体(黑客)进入了格鲁吉亚理工大学(Georgia Tech University)维护的一个中央数据库。该数据库包含了学校现任和前任学生、教职员工和工作人员的姓名、地址、社会保险号码和出生日期。佐治亚理工大学表示,130万人的信息可能在此次事件中被泄露。
(3)Indane网站漏洞事件
2019年2月,据报道,法国安全研究员发现,印度国有天然气公司Indane,由于存在“绕过登陆页面,直接获得对经销商数据库的自有访问权限”的漏洞,暴露了数以百万计的 Aadhaar 生物识别数据库信息,预计泄露总人数可能超过670万客户,其中包括客户的姓名、地址、以及隐藏在每条记录链接中的身份Aadhaar ID号码。
(4)Orvibo数据库泄露事件
2019年7月,据vpnMentor研究人员发现,中国智能家居公司欧瑞博(Orvibo)的产品数据库暴露在互联网上,该数据库无任何密码保护,运行在物联网(IoT)管理平台。该数据库超过20亿条日志,包括了从用户名、Email地址、密码到精确位置等内容。从数据泄露记录来看,20亿级别记录,为本年度报道的国内外最大数据泄露数量事件。
(5)全球医疗数据泄露事件
2019年9月,据国外专门报道网络安全媒体Securityaffairs称,来自德国漏洞分析和管理公司Greenbone Networks的研究人员发现,600台未受保护的服务器暴露于互联网,其中,中国拥有14个未受保护的PACS服务器系统,导致近28万余条数据记录泄漏。这些患者数据记录非常详细,大多包括以下个人和医疗细节:姓名、出生日期、检查日期、主治医师和生成的图像数量等。Greenbone的报告写道,“这些患者数据中有超过 7.37 亿个医学放射图像,其中大约有 4 亿个放射图像可以访问,或者能从互联网上轻松下载。”
(6)Elasticsearch服务器暴露事件
2019年10月,据报道,研究人员Bob Diachenko和Vinny Troia发现了暴露的Elasticsearch服务器,里面包含了超过4TB的数据,存储了近12亿人的私人和社交信息。从数据泄露记录来看,12亿级别,为本年度报道的国外最大数据泄露事件。
(1)案例数量分析
从案例来看,2019年的数据泄露事件甚至更加严重,在8次大型大规模泄漏中,泄漏的累积数量超过60亿。回顾2019年,大规模数据泄露事件屡屡发生。在已知的19个数据泄露中,有2起在中国处于上亿等级,有6起在国外处于上亿等级。这8起事件泄漏的数据累积超过80亿。从数量上看,情况比往年更加严重。
![](https://wkrtcs.bdimg.com/rtcs/image?w=445.01&md5sum=62e410aa240850f44f0aa77f41606f43&sign=2dcc127358&rtcs_flag=2&rtcs_ver=4&l=webapp&bucketNum=702&ipr={"t":"img","w":"445.01","h":"246.67","dataType":"png","c":"word/media/image2_1.png","imgOriW":443,"imgOriH":246})
图3-1亿级别数据泄露
(2)案例类型分析
从公开的数据类型来看,最常见的数据泄露类型是个人基本信息,包括姓名,地址,出生日期,身份证号码和电话号码等,有一半(53%)的事件涉及;第二种是用户账号和密码信息等;最后三类是敏感信息的三种类型:包括收入敏感信息,医疗敏感信息和生物识别敏感信息。敏感的生物特征信息是一种新型数据,诸如面部识别,虹膜和指纹之类的信息,这些信息与人工智能安全在后者中的广泛推广和应用相关。而新兴的泄漏趋势(如IOT日志和面部图像)同样值得我们关注。
![](https://wkrtcs.bdimg.com/rtcs/image?w=504.78&md5sum=62e410aa240850f44f0aa77f41606f43&sign=2dcc127358&rtcs_flag=2&rtcs_ver=4&l=webapp&bucketNum=702&ipr={"t":"img","w":"504.78","h":"302.67","dataType":"png","c":"word/media/image3_1.png","imgOriW":503,"imgOriH":302})
图3-2数据泄露类型分布
(3)案例原因分析
从数据泄漏的原因来看,服务器暴露于Internet和配置问题是主要原因,它们也是大规模数据泄漏的主要原因。其中,绝大多数事件与现阶段在企业中流行的MongoDB和ElasticSearch服务器有关,云服务器暴露和配置问题同样也不容忽视。在清单事件中,就有一起事件与IOT服务器的暴露有关,物联网安全的重要性逐渐变得越来越明显。除此之外,服务器漏洞也是导致数据泄漏和黑客窃取数据的重要原因。企业应注意重点服务器的安全保护功能,并采取安全措施,例如及时更新补丁,定期对漏洞进行扫描和检查等。
![](https://wkrtcs.bdimg.com/rtcs/image?w=495.49&md5sum=62e410aa240850f44f0aa77f41606f43&sign=2dcc127358&rtcs_flag=2&rtcs_ver=4&l=webapp&bucketNum=702&ipr={"t":"img","w":"495.49","h":"265.33","dataType":"png","c":"word/media/image4_1.png","imgOriW":494,"imgOriH":265})
图3-3数据泄露原因分析
随着以人工智能,大数据和物联网(IOT)为代表的信息技术革命的发展,数据的价值变得越来越重要,数据已经成为了企业的重要资产和不断创新的驱动力。因此,在收集,传输,使用和共享等所有方面确保数据安全的重要性显而易见。对于数据泄露的影响和危险,一方面导致受害公司遭受直接和间接的经济损失(巨额的违法罚款(例如GDPR),事后处理成本以及从中收回损失的名声成本); 另一方面发生的大多数大规模事件中,涉及到很多个人信息和敏感数据,这些都会带来一定的个人信息损害和影响用户的隐私。
在中国,数据泄露事件并不像世界其他国家那样令人震惊。中国人民目前正在使用面部识别系统进行支付,而公安部已经宣布打算实施覆盖范围的“天网”系统全国100%的重点公共场所。中国警方也一直在利用面部识别眼镜这是根据犯罪嫌疑人的数据库对人们进行检查的,甚至学校也在使用类似的系统来跟踪学生并监控他们的出勤率。由此可见,网络信息安全的规范管理,对于维护网络信息的安全是十分重要的一项措施[15]。
在当今社会,智能手机的普及越来越广泛,主流的手机操作系统有Android和ios两种,而Android更是作为大多数用户的选择。与此同时它的开放性和访问权限问题也使得此平台上的恶意软件规模不断扩大,更有甚者可以通过正规渠道进行传播,造成严重的影响。
2019年,威胁到用户的恶意软件依旧以广告类APP为主,包括一些敏感操作的风险软件也占据了很大的比例。剩余的恶意软件,例如银行木马、勒索软件和挖矿模块等虽然数量并没有那么多,但是依旧具有高危险性且长期存在,其中不乏大量的老牌家族。
按照投递方式,广告软件可以分为以下几类:
(1)捆绑型。
该广告软件的制作者通过解包合法的APP,在其中添加广告模块,再打包上架到第三方应用市场。典型软件为Ewind。
(2)伪装型
该广告软件的制作者通过混淆视听的方式,即以与流行APP的样式相同或相似的图标和名称作为伪装,上架到第三方应用市场。典型软件为MobiDash。
(3)软件开发工具包(简称SDK)型
该广告软件开发商已经获得了合法身份,并以SDK的形式向合作伙伴推广他们的广告软件,使用其SDK的APP将加入广告推送模块,展示广告并产生收入。典型软件为AirPush。
尽管投递方式不同,但是这些软件都给用户带来了糟糕的体验,这些软件程序通常会设置一个延迟机制,直到软件安装数小时甚至数天后才会发布广告,这大大增加了用户和监管者的辨识难度。
Wroba、SvPeng、Asacub等银行木马在国际上非常活跃。
Wroba是主要攻击韩国用户的老牌银行木马。它通过钓鱼网站或链接,伪装成韩国市场上常见的银行类APP(韩亚银行、乐天集团等)进行分发。该木马的主要功能是从受害者的手机中窃取APP信息,通话记录,短信内容和其他信息,通过伪造页面收集用户银行账户信息,并发送到指定的C&C服务器。
Svpeng是主要攻击俄罗斯用户的银行木马,它通常伪装成Flash Player,流行游戏和其他APP,并在APP市场中分发。其主要功能是从设备上收集短信、通话、键盘记录和获取管理员权限以实现持久化等,同时通过伪造的添加信用卡页面收集用户的信用卡信息。值得注意的事,有一部分Svpeng木马还带有勒索功能,在收集有关用户地信息时,还会通过勒索直接获取利益。
Asacub同样是主要攻击俄罗斯用户的老牌银行木马。近年来,它已逐渐从一种窃取秘密的工具上变成了功能齐全的远程控制木马。Asacub木马的基本版本体积非常小,仅包含窃取用户短信信息的功能。Asacub的复杂版本包括查看银行网络钓鱼页面、执行命令行命令和屏幕截图等功能。通过从用户设备中转移信息功能,Asacub可以使用社交工作内容来实现快速传播。
有一部分Svpeng银行木马具有勒索功能。它是最古老的锁定屏幕式勒索软件,也是2019年度勒索软件家族中数量最多的一个。此类软件的目标主要是伪装成成人内容APP,针对美国手机用户,执行后将使用高级特殊权限窗口占据屏幕,并会阻止除电源按钮以外的按键使用,并指控用户的手机包含非法内容,以此类行为勒索赎金。
这类勒索软件在我国也非常活跃。由于此类程序所需的编程技能水平较低,因此吸引了众多犯罪分子的注意。这些人经常活跃在各种QQ群组中,通过收取进入群组的费用和出手自制勒索软件等方式来获取利益。由于这些“开发人员”相互竞争,因此针对中国用户的勒索软件数量巨大,风格款式多种多样,声势浩大。
幸运的是,勒索软件的投递方式一直缺乏新思路。只要用户注意避开非正规的软件下载平台,就可以避免陷入被勒索软件纠缠的困扰。
现今在移动平台上,活跃的恶意软件分发的主要渠道还是第三方应用市场和非法链接。尽管在技术水平上这些恶意软件并未取得较大的提高,但银行木马和勒索软件等已变得更加精通社会工程学,用极具误导性的内容进行攻击。在灰色产业方面,通过非法使用或开发人员蓄意所为,使一般的APP被捆绑恶意功能或模块的情况成为普遍现象。
对于不了解安全性的普通用户来说,尽管随着系统和市场的发展,恶意软件的顽固性已经减弱,但这些恶意软件仍将严重影响用户的使用体验,甚至造成财产损失。用户应该牢记,及时进行系统更新,并且从正规渠道获取内容,以免遭到犯罪分子的攻击和利用。虽然存在着各种各样的方式可以威胁到用户的信息安全问题,但并不是无法战胜这些问题。
在技术创新和经济发展的过程中,美国非常注重信息在其中的起到的作用。自然而然他们会赋予企业和市场更多的自主权,并积极鼓励他们参与市场标准的制定,从而促进信息在各行各业中自由“行走”。美国的行业自我监管主要是敦促企业在市场经济活动中以两种形式遵循隐私精神,包括行业协会,提出建设性的行业指导和隐私认证计划。
1974年,为保障公民的自由美国通过了《隐私权法》,该法规定了信息主体对于公开保留修改个人信息的基本权利是必要的,同时美国已经建立了由宪法,普通法和其他法律构成的全面法律网络,并且直接负责公民个人信息的安全[16]。
1995年,美国出台了一份关于个人信息使用和提供原则的文件,从此奠定了美国行业自我监管的基础,这份文件主要是美国政府隐私保护组对于个人信息自我监管提出的一套规范准则。从“信息战概念”颁发开始,围绕网络空间安全的攻防能力,在二十多年间更新和新增了许多政策法规和条例。
1997年6月10日,TRUSTe组织成立。该组织是美国最著名的一家非盈利的信息保护机构。迄今为止TRUSTe已经为上千家网站提供认证,包括苹果公司、IBM公司、甲骨文公司、Zoho、Intuit和eBay和WeChat等 。TRUSTe还提供其他的专业服务,例如假设某网站的声誉遭到了一定的破坏,TRUSTe会对这个网站进行专业的管理措施,以保证其正常运行;或者在某软件购买东西后,消费者的隐私通过该软件泄露出去,TRUSTe会对此争议进行专业的解决措施。
1998年6月22日,美国在线隐私联盟(OPA, online privacy alliances)公布了它的在线隐私指引。
2016年8月1日,美国政府与欧盟达成了被称为“隐私盾”(Privacy Shield)的数据传输机制。目的是为大西洋两岸的公司提供一种机制,在将个人数据从欧盟和瑞士转移到美国以支持跨大西洋贸易时,遵守数据保护要求。
2017年12月18日,美国特朗普政府发布《国家安全战略报告》,随后2018年9月18日发布《国防部网络战略》,9月20日又发布《国家网络战略》报告,连续三项战略诠释了特朗普政府的“美国优先”战略,强调“网络威慑”和“以实力促和平”,突出强调网络战的重要性,将“军事和武力”作用置于外交和国务之前,强调保护美国基础设施以确保美国的持续繁荣,同时强调人工智能(AI)对于经济增长重要性。
从上述信息可以看出,美国对于信息保护的起步还是较早的,经过二十多年的不断发展和改进已经逐步趋于完善。伴随着互联网的迅速发展,美国政府根据国家条件积极应对个人信息保护方面存在的威胁。在监管立法,促进行业自律和加强各领域之间的合作方面的经验值得借鉴。
欧洲国家对于信息的保护在信息时代来临之前已初见雏形。
1950年,在罗马签署《欧洲人权公约》,这是历史上第一个在特定范围内成立的人权条约。它的出现保障并且使另一个宣言中规定的某些权利以及公民的基本自由得到了实施。
1973年,瑞典颁布了世界上第一部国家层面的数据保护法《瑞典数据法》,该法律规定,消费者有要求信息公开透明的权利,并且明确了这是受到法律保护的权利,同时也是被宪法保护的作为一名公民的权利。这部法律的出现更是确定了公民对于个人信息的控制和支配权。
1995年,欧盟颁布《数据保护指令》, 该指令有两个目标:一个是在会员国中促进保护个人信息的基本权利的实施,另一个是根据法律保障会员国之间信息的自由传输。
1997年,德国的《多元媒体法》(Multimedia-Gesetz)是世界第一部对网络应用及行为规范提出法律架构的成文法,该法包括新制定的三部法:《电信服务使用法》,《电信服务信息保护法》和《数字签名法》。
1998年,英国颁布《数据保护法案》,该法规定公民有修改自身错误信息的权利,并且对个人信息有获得的合法权利,除涉及到国家安全等必要场合,企业等应该保护公民的个人信息,不对外泄露。
2018年5月25日,《通用数据保护条例》(General Data Protection Regulation)正式生效。这是一耗费了数千名律师心血,花了数年时间规划的条例,该法传开后,被大部分公民认为是欧盟自古以来最严谨且苛刻的网络数据管理条例。随着该法在欧盟成员国及欧洲经济区内正式启用执行,截止至2019年9月24日,22家欧洲数据监管机构对共87件案件做出了总计3.7亿欧元的行政处罚决定。继此条例正式实施之后。
2019年3月,欧盟正式通过《欧盟网络安全法案》,构建通用的网络安全认证框架,同年4月北约举办代号为“锁盾”的网络安全实战演习,目的增强各国在军事领域和民用领域的网络安全合作。
2019年4月9日,欧盟理事会通过《网络安全法案》,授权欧盟网络与信息安全局(ENISA)解决欧盟各国网络安全机构协调问题,阻止并处理网络袭击和威胁。7月2日和3日,欧盟网络、信息安全局、欧盟委员会和23个成员国在巴黎首次举行了Blue OLEx 2019欧洲网络危机演戏,以资源合作和信息交换为协作方式,提高欧盟成员国的协作治理能力,共同应对欧盟的网络危机。
在大数据时代的不断发展的背景下,保护个人信息逐渐变得越来越困难。为此,随着时间的推移,欧盟在电子指令中的技术保护措施也在不断发展,改变并适应大数据的需求。
根据目前我国大数据技术的发展水平以及人民群众对于个人信息安全的迫切需求来说,在我国并没有一个完整的法律法规对我国的信息安全进行保护,仅有的保护都是由各项零散的法律规定拼凑而成,单通过加强数据保护技术来保护个人信息安全是远远不足以达到目的的。技术不会替代法律的作用,法律法规作为道德的底线,对于规范不同利益相关者的行为方面具有权威性作用。在如今大数据信息时代,信息安全问题层出不穷,因此需要出台一套成熟的个人信息安全保护法,维护个人信息的权益[17]。尽管《个人信息保护法》在2013年已经被提上议事议程,但至今为止并没有出台。可以看出我国关于个人信息保护法的研究工作己经展开,但是我们也应该看到法律制定的前进的步伐较为缓慢[18]。应该在结合我国国情的基础上建立属于我们自己国家的关于信息保护的法律法规。
与此同时,专门的信息保护机构也应该建立起来。目前为止,关于信息保护的各项权利正分散在国家的各个部门,这就会导致在处理问题上责任不清,分头管理,效率低下等问题。或者当国民个人权利受到侵害时,我们并不知道该去哪个机构寻求保护与帮助,也不知道该怎么去维护自己的权利,只能像无头苍蝇般乱撞。因此建立一个专门的信息保护机构是很有必要的。
自律即为自我监管,约束之意。行业自律即为企业之间互相督促,在使用信息时第一要做到合理合法,不能违反法律规定过度采集或使用用户信息;第二要做到主动明示,在使用信息过程之前,要用简单易懂的语言主动告知用户,该信息被采集后的用途,做到不瞒报,私自滥用等,确保用户的知情权;第三要做到自主原则,在采集一些隐私信息时,应该充分尊重用户个人意愿即是否愿意该信息被采集使用,赋予用户自主选择是否接受的权利,保障用户对于信息的参与性;第四要做到相关原则,在采集信息的过程中不可以采集与服务无关的信息,也不可以讲用户的信息用到其他无关的事项尤其将用户信息转卖即非法泄露。
行业内应该建立和完善信息资源管理机制,使数据的使用和管理都具有相应的规章制度,在流程操作上确保数据的安全性[19]。也可以对用户信息的保护程度做到“陟罚臧否,不宜异同”,对于保护程度较为出色的企业,我们需要让其树立良好的企业形象并以此作为基准,并且呼吁其他企业向这些企业学习,行业协会也可以进行一定的嘉奖;反之则可以进行一定的惩罚,形成业内的互相监督机制。
很多公民不知道大数据是什么,也不清楚在大数据时代信息安全存在的问题。自从20世纪八十年代我国进入信息时代以来,信息产生的速度正在与日俱增。但是人们往往对于公用的无线网络缺乏一定的防范保护意识,例如在进行敏感信息处理等危险操作时会在公共场合使用公用网络,这都容易成为网络攻击的目标从而被迫造成损失[20]。人们需要对信息安全有一定的了解,而提高公民的信息安全素养需要对公民进行信息安全教育,有关政府应该借助各种宣传工具,提高国民对于信息安全的重视,使国民对于信息安全有一定的认知,加强对信息安全的学习,从根源上保护公民的信息安全。如果公民了解信息网络安全知识,接受过信息安全教育,知道信息安全保护方法,那么就会有较理想的信息保护意识,较强的个人信息保护能力[21]。
公民应该养成良好的绿色上网习惯,不去浏览不知名网站,不随便下载未知文件,尽量去官方认证的网站或者软件;在注册软件时要仔细阅读隐私条例,如果忽略了隐私条款的具体内容,就容易导致自己泄漏了自己的隐私[22],应该减少使用隐私条例不明确的软件;不要轻信各类中奖信息,尤其需要填写个人信息,例如姓名,身份证号码和邮箱等的诈骗消息;可以定期清除网页浏览历史和cookie,以此避免被人追踪;不随便在公共场合连接不明WiFi浏览不法网站,防止不法分子盗取个人信息;在手机和电脑上安装正规的安全卫士,定期体检扫描杀毒,及时处理出现的漏洞。
大数据作为当下的一个新兴产物,随着社会的发展而逐渐发展,不知不觉已经和大家的生活密不可分,虽然给我们带来了一定的机遇,但挑战也随着而来。所谓有利必有弊,伴随着人们对大数据的深入探究,了解到大数据的价值体现,不得不将目光转向信息安全问题。近年来,个人信息惨遭各种泄露,黑客非法入侵,服务器不配适等问题接踵而来,人们的合法权益受到了侵害,因此,只有完善法律法规,加强行业自律,提高安全意识,才能更好的保护信息安全,这样我们国家的信息安全也可以得到更好的保障。
想要解决大数据信息安全问题并非短时间内就可以完成的事情,但也同样刻不容缓,它需要国家,企业和国民三方协作配合。在数字经济飞速发展的背景下,各行各业的专业领域研究人员应该找到更符合中国国情的治理方案,使企业的发展和国家的社会治理水平保持齐头并进的步伐。网络从业人员应当加强网络安全技术的研究,以确保网络安全和有序的运行,从而使计算机网络能够更好地服务于社会发展和人们的生产生活[23]。
本文来源:https://www.2haoxitong.net/k/doc/289582cc7b563c1ec5da50e2524de518964bd3a4.html
文档为doc格式