大数据时代如何保护数据安全与数据隐私？ - 168大数据

General Data Protection Regulation （GDPR）即《通用数据保护法案》将在2018年5月25日正式生效。该法案针对数据安全和隐私保护问题，强调数据隐私是公民的基本权利，企业有责任部署数据隐私策略积极确保数据安全，并需在设计之初考虑数据隐私的问题……

大数据时代的到来，数据无疑是企业和个人最重要的资产。特别是对个人而言，它不仅是数字环境中的个人信息收集、使用、整理、处理或共享，更关系到个人在数字世界中的存在，在互联网的急剧发展下，数据安全和隐私边界等也愈加重要。

数据隐私方面，互联网公司则通过《用户协议》，让用户允许公开自己更多的数据，尝试从用户信息中挖掘出商机，同时尽可能地避免法律责任。与此同时，在数据安全上，不论是互联网巨头Facebook，还是打车应用 Uber、美国信用服务公司 Equifax 都曾爆出客户数据遭到窃取的事件……随着各国对大数据安全重要性认识的不断加深，包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护。

例如欧盟的GDPR，不仅扩大了个人数据（Personal data）的含义，并引入假名数据（Pseudonimised data）的概念，并就数据许可（Consent）、默认隐私保护（Privacy by Design, PrivacybyDefault）、彻底遗忘权（Rght tobeforgotten）等权利内容作出了明确规范，同时为此规定了严厉的违规处罚，罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%。

国内方面，《中华人民共和国网络安全法》自2017年6月1日起施行，今年5月1日，《信息安全技术个人信息安全规范》也已正式实施，其主要内容要素包括个人信息及其相关术语基本定义,个人信息安全基本原则,个人信息收集、保存、使用以及处理等流转环节以及个人信息安全事件处置和组织管理要求等。对于厘清隐私保护的边界以及个人数据的归属权的问题，我国初步建立起对隐私保护的三层立法模式：

第一层，自然人的姓名、身份证件号码、电话号码等敏感的身份信息是法律保护最高等级，任何人触犯都将受到刑事法律最严格的处罚。未经用户允许不得采集、使用和处分具有可识别性的身份信息；第二层，对于除个人身份信息之外的不可识别的数据信息，按照商业规则和惯例，以“合法性、正当性和必要性”的基本原则进行处理。支付宝年度账单事件即是对“个人金融信息收集不符合最少、必需原则”的违背；第三层，明确个人数据控制权，保证用户充分享有对自己数据的知情权、退出权和控制权，《网络安全法》明确规定数据控制权是人格权的重要基础性权利。

在互联网重塑世界，ABC、共享经济等新技术和新商业模式深刻影响生活方式的背景下，法律不仅为公民提供更多使用自己的个人资料的权力，也在加强数字服务提供者与他们所服务的人之间的信任。

几乎所有行业都会面对数据安全与数据隐私的问题，特别是电商、健康医疗、教育、通讯等领域，这些行业企业直接面对C端人群，对于个人隐私和数据安全等问题的处理更加敏感。很多企业正在通过技术手段实现对数据安全和隐私的保护。

以中国移动为例，为应对大数据应用服务过程中数据滥用和个人隐私安全风险，其大数据安全保障体系涉及安全策略、安全管理、安全运营、安全技术、合规评测、服务支撑等六大体系，在对用户个人信息的各个处理环节施行严格规定与落实：

同时通过大数据安全管理平台，实现数据的统一认证、集中细粒度授权、审计监控、数据脱敏以及异常行为检测告警，可对数据进行全方位安全管控，做到事前可管、事中可控、事后可查。

尽管很多企业在技术平台和数据应用上都面临着许多实现难题，如传统安全措施难以适配、平台安全机制亟待改进、应用访问控制愈加复杂，或是数据安全保护难度加大、个人信息泄漏风险加剧、数据真实性保障更加困难、数据所有者权益难以保障等问题，但目前，这些以科技为先的企业，不仅对数据的规范使用的规范使用越加重视，对网络安全的潜在威胁反应也越来越敏捷。

随着国内《网络安全法》、《信息安全技术个人信息安全规范》等法律规范的正式颁布和实施，将催生不断扩大的网络安全市场空间，产业投入和建设也将进入继续稳定的发展轨道。网络安全产业正在迎来新一轮的发展的良好时机，政策红利正在不断释放……