查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《东北师大学报(哲学社会科学版)》
论大数据时代数据安全法律综合保护的完善
【副标题】 以《网络安全法》为视角
【英文标题】 On the Improvement of the Comprehensive Legal Protection of Data Secarity in the Big Data Era
【英文副标题】 From the View of Cyber Security Law【作者】 齐爱民
【作者单位】 广西民族大学法学院【分类】 知识产权法
【中文关键词】 大数据;数据安全;数据保护;《网络安全法》;立法完善
【英文关键词】 Big Data;Data Security;Data Protection;Cyber Security Law;Perfect Legislation
【文章编码】 1001-6201(2017)04-0108-07【文献标识码】 A
【期刊年份】 2017年【期号】 4
【页码】 108
【摘要】

大数据时代,数据安全面临严峻挑战,呈现出动态性、综合性、整体性、风险的高度或然性和无序性等特点。《网络安全法》的颁布迎来了数据安全的春天,这仅是万里长征第一步。为充分应对大数据安全的新形势,须变革思维,秉承发展与安全并重的原则,树立多维立体的风险防控理念,建立关键基础设施数据安全保护法律机制,推进数据本地化立法,加强数据跨境流动监管,建立个人数据保护法律机制,加紧制定《个人数据保护法》,完善数据犯罪法律保护制度,加大对数据违法犯罪行为的打击力度。

【英文摘要】

In the big data era,data security faces severe challenges,which presents some dynamic,comprehensive,integrity,the risk of highly probability and disorder characteristics. The promulgation of Cyber Security Law brings the spring of data security,but it is only the first step. To cope with the new situation of big data security,we must make innovation of thinking,persist in the principle of paying equal attention to development and safety,set up the multi-dimensional three-dimensional concept of risk prevention and control,perfect the legislation of critical infrastructure data security,promote the legislation of data localization,strengthen the supervision of cross-border data flows,make personal data protection law and perfect the criminal law rules.

【全文】法宝引证码CLI.A.1228689    
  
  随着信息技术的不断进步,海量数据如潮水般扑面而来,人类开始大步踏入大数据时代。这个堪比石油、黄金的大数据,已成为社会重要财富和国家基础性战略资源。其安全问题不容小觑,如何采取法律措施保障大数据安全问题是我们当前亟待解决的重要课题。2016年11月17日,《中华人民共和国网络安全法》(以下简称《网络安全法》)颁布,可谓迎来了数据安全的春天。虽然该部法律以“网络安全”命名,但数据安全构成其重要组成部分。本文以《网络安全法》为视角探讨大数据时代数据安全的法律保护,以期对大数据产业的发展以及国家的和谐稳定有所裨益。
  一、大数据时代数据安全面临的新挑战
  大数据体量巨大,类型繁多,半结构化、非结构化数据等大量涌现且成为主流,其复杂性使得数据安全所面临的威胁和挑战随着数据规模非线性增长。
  (一)黑客攻击成为大数据安全的重大隐患
  大数据来源广泛,个人、企业、移动智能终端、传感器、可穿戴设备等每天都产生大量数据,这些海量数据具有无限潜在价值;特别是随着数据急剧聚合所形成规模化数据平台或中心的出现,使得大数据对黑客而言诱惑力更大,极易成为攻击对象。2016年1月,媒体与娱乐界巨头美国时代华纳公司(Time Warner Inc.)公开表示旗下近32万用户邮件和密码数据被黑客窃取;全球最大的职业社交网站领英(LinkedIn)于同年5月证实,超过1.67亿个领英用户登录数据(如电子邮件、用户密码等)被黑客组织窃取并在黑市公开售卖{1};同年12月,雅虎自曝遭黑客攻击,超过15亿用户的账户数据被盗,涉及用户名、电子邮件地址、电话号码、出生日期、加密或未加密的安全问题和答案等{2},这可能是单一网站史上规模最大的数据泄露事件。以上仅是冰山之一角,但可以窥见黑客们对大数据的情有独钟,数据安全问题日益突出。
  (二)多样化攻击技术的应用
  大数据时代,黑客常常利用大数据技术发动攻击,攻击方式日趋多元,攻击类型日趋复杂,攻击也更精准。黑客可最大限度地收集一切有用数据为攻击做好准备,进而利用大数据技术操纵僵尸网络(Botnet)中的众多傀儡机同时发起攻击。例如,2016年9月,法国一家拥有分布在16个国家共计超过70万用户的网站托管服务公司OVH遭遇超大型分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,攻击者利用感染僵尸程序的145607个摄像头形成僵尸网络实施攻击,服务器被攻击的峰值达到了每秒1 Tb{3}。此外,大数据也往往被当作高级可持续威胁(Advanced Persistent Threat,APT)的载体,威胁代码隐藏在浩瀚的数据洪流当中,让受害者无从察觉,即使发现,也如大海捞针般难以查找到风险点。例如著名的APT攻击“极光行动”(Operation Aurora),攻击者对谷歌公司(Google Inc.)所用浏览器的漏洞代码进行加密变形,并使用不同的免费二级域名作为跳板远程控制木马发动攻击,导致整个Google网络被多个变种恶意代码渗透数个月,造成各种系统的数据被窃取{4}。无独有偶,索尼影视娱乐公司(Sony Pictures Entertainment)也遭遇重大APT网络攻击,大量商业机密被泄露{5}。
  (三)关键基础设施成为攻击对象
  “大数据堪称智能交通、智能电网、智慧城市等国民经济运行和社会发展高度依赖的信息基础设施‘血液’,这些重要的信息系统、基础设施网络化智能化程度越高,安全也就越脆弱;速度越快,风险也就越大。”{6}近年来,针对关键基础设施的攻击愈来愈频繁,数据安全面临极大考验。例如震惊世界的“震网”(Stuxnet)病毒,作为全球首个定向攻击基础设施的网络“超级破坏性武器”,该高端蠕虫病毒已经感染全球逾45000个网络,其中伊朗核电站遭到的攻击最为严重,所受影响已无法简单用经济损失来衡量{7}。德国RWE电力集团旗下核电站在2016年4月的安全检测中亦发现计算机系统感染病毒,发电厂被迫关闭{8}。同年10月21日,美国域名服务器管理服务供应商Dyn遭遇网络攻击,攻击者利用恶意程序劫持海量物联网设备资源,进而反向攻击关键信息基础设施——域名系统,导致Twitter、Netflix、亚马逊等知名网站在美国东海岸集体宕机超过两个小时{9}。《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》指出,境外黑客组织“海莲花”(Ocean Lotus)一直以来针对我国重要信息系统和关键基础设施进行APT攻击,数据安全态势严峻。
  (四)数据非法跨境流动威胁数据主权
  据麦肯锡研究院报告显示,数据流动在十几年前还很少见,而如今数据跨境流动激增,正在改变全球化的动态发展进程{10}1。随着云计算、大数据时代的接踵而至,数据跨境流动已成常态化,范围愈来愈广,规模愈来愈大,内容愈来愈多,造成的影响也愈来愈深远。数据的跨境流动不仅会削弱数据主体对自身数据的控制权,难以保护自身合法权益,国家关键数据资源的流失还会危及一国数据主权。此外,原始数据从发展中国家流向发达国家,经由这些国家处理、分析后又反馈回输出国,造成发展中国家对发达国家数据产品的依赖,从而造成数据主权的丧失,直接导致一国的经济、文化状况等易被发达国家所掌握,从而影响该国在经贸往来和国际交往中的话语权以及文化发展自主权。
  (五)大数据核心个人数据成为侵犯重点
  大数据的“原材料”中大部分来自于人和传感器,包括用户上网购物、搜索并浏览网站留下的数据印迹、微博、微信等社交工具中的评论、传感器数据、监视数据等等。这些碎片化数据若经过技术处理可形成完整的“人格拼图”,使人们无所遁形。大数据时代,人们变得越来越透明,而数据的权利界限却越发模糊,个人数据成为侵权的重灾区。许多企业、组织或个人基于大数据价值的驱动,过度收集、肆意处理并不加限制地使用和发布个人数据,还有相当多大企业之间或企业与第三方之间“共享”用户数据{11}230,导致个人数据的“暴露面”无限扩大,严重侵犯公民个人数据权。近年来愈演愈烈的电信诈骗案背后凸显的就是个人数据安全问题。
  二、大数据时代数据安全的特点
  大数据时代是一个最好的时代,也是一个最坏的时代。在这个时代,大数据把网络空间与现实社会紧密地联结在一起,给人类生产和生活带来极大便利的同时,也将传统安全问题与非传统安全问题糅杂为一体,使数据安全以一个全新姿态跃然而出。
  (一)大数据安全的动态性
  大数据本身并不是一个静态的概念,其处于实时高速流动之中,相应的,大数据安全也处于一个动态过程,其中涉及数据的收集、处理、存储等各个环节的安全以及数据处理平台的安全等。从个人数据安全问题就可见一斑。传统安全语境中,个人数据处于一种分散、孤立的静止状态,单一地考量某些个人数据可能无法关联到公民个人,而大数据具有数量和范围的无限性以及动态挖掘的可能性,那些在过去看似无用的碎片数据在汇集、处理之后有可能识别出公民个人身份甚至还原出其完整的人格原貌。此外,大数据时代,数据安全的威胁来源和攻击手段亦处在不断变化之中,传统的数据安全保护措施已无法满足现代形势的发展要求。
  (二)大数据安全的综合性此人家庭地位极低
  大数据时代,数据之所以大,主要在于人类记录范围的不断扩大{12}258。源于此“大记录”,大数据之上承载了人格、财产、社会安全、国家安全等不同性质的利益{13}69,数据安全问题也已远远超出技术安全、系统保护的范畴,发展成为涉及政治、经济、文化、社会、军事等领域的综合安全。例如,2016年美国大选之季,民主党全国委员会、筹款委员会、总统候选人希拉里竞选团队的计算机网络接连被黑客攻击{14},近2万封邮件被披露,该“邮件门”事件折射出数据安全已向政治领域渗透。又如,在军事领域,国防建设数据、军事数据等的窃密将直接威胁国家军事安全;现代数据化战争的决胜关键已不是消灭敌人有生力量的多少,而是能否在大数据这个无硝烟的战场之上首先抢占制数据权{15}110。在经济领域,雅虎自2016年12月14日曝出用户数据被窃之后,公司股票在当天下午盘后交易中下跌2.5%,其将被美国电信巨头威瑞森(Verizon)以48亿美元价格收购的计划也将搁浅{2}。
  (三)大数据安全的整体性
  随着技术的更迭,大数据与互联网、云计算、基础设施等融合为深度关联、相互依赖的整体,在这个生态空间中,数据安全问题可谓牵一发而动全身。以云计算为例,云计算是一种独立而灵活的计算资源获取平台和数据处理模式{16}70,如果没有云计算这条高速公路的支撑,大数据这辆汽车就只能停留在“价值可能性”的状态,毫无用武之地。云计算中数据采用分布式存储,具体存储位置不断变化,这种存储的分散性和多变性导致用户数据安全面临一系列潜在威胁{16}71-72。此外,以云计算架构平台为目标的攻击,致使其上的大数据资源也被牵连其中。可见,大数据安全远非局部问题这么简单,已上升为全局性战略问题。
  (四)大数据安全风险的高度或然性与无序性
  大数据时代,数据安全从计算数据延伸到互联网、物联网、可移动便携设备等终端数据甚至云端,每一个数据源的出现都会成为潜在的受攻击点;加之大数据与云计算、互联网、物联网等深度融合,致使数据安全风险大大提升。大数据安全体现出幂律分布的特点,若遭遇威胁,数据源头分散的微小攻击虽然频繁但是单次攻击的涉及面并不广,而针对云端或拥有海量数据的大型企业的攻击,仅仅一次就有可能造成难以估量的大范围损失。信息技术的日新月异导致数据安全的威胁与日俱增并溢出其控制能力之外,该种安全威胁伴随着迸发的不确定性,这种流动的充满不确定性的数据体系极好地诠释了大数据安全风险的高度或然性。此外,由于大数据的泛在性以及网络的公开性和网络节点的巨量性,攻击者可以在任何时间对任意节点发起攻击,数据安全的无序性致使人们难以在攻击发动前进行预测,也无从在攻击发生后彻底查明。
  三、大数据时代数据安全的法律综合保护
  大数据时代开启了一次重大的时代转型,社会将经历类似的地壳运动{17}9,219,法律也将与时俱进。关于信息和数据规范的立法[1],目前主要集中在个人信息保护领域,且都是零敲碎打式,位阶总体不高。《网络安全法》的出台可谓是对大数据时代数据安全的有力回应。下文将以《网络安全法》为视角,提出完善我国大数据安全保护的法律对策。
  (一)建立关键基础设施数据安全保护法律机制
  随着大数据战略和“互联网+”行动计划的全面铺开,我国关键基础设施与大数据、互联网的深度融合势如破竹。关键基础设施作为大数据赖以存续的载体,如若遭遇威胁,数据安全将面临重大挑战。我国《网络安全法》第三十一条划定了关键信息基础设施的范围,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施;并用一节的篇幅明确了关键信息基础设施运行安全具体保护要求,分别从国家、行业、运营者三个维度划定了相关各方的职责与义务。国家网信部门负责总的统筹协调工作,开展安全风险抽查检测,定期组织网络安全应急演练,推动相关主体之间共享网络安全信息,并在网络功能恢复以及应急处置方面给予协助和技术支持。关键领域和重要行业主管部门分别负责编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。关键信息基础设施的运营者除须履行网络安全等级保护制度要求的安全保护义务,还应设置专门安全管理机构和安全管理负责人,对从业人员实施定期的网络安全教育、技术培训并进行相应的技能考核;制定应急预案并定

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}2016年十大数据泄露事件:社交网络成泄露重灾区[EB/OL].[2016-12-09].http://www.raincent.com/content-10-8087-2.html.

{2}雅虎自曝遭黑客攻击超15亿用户账号信息被盗[EB/OL].[2016-12-15].http://www.chinanews.com/gj/2016/12-15/8094535.shtml.

{3}1Tbs!OVH遭遇史上最大DDOS攻击[EB/OL].[2016-09-27].http://mt.sohu.com/20160927/n469328292.shtml.

{4} 极光行动[EB/OL].[2016-04-18].http://baike.baidu.com/link?url=R9fvv6IqituHYkwqyakaxSO9U_diDV V5a4-eiOFq-L3J_2XoXi3nj1fy6pJj0 L3YvihHa8vRQy QE_2jBQ__rcrRozpRExtHZN7NstWRgWsmxepuoD4D Sg8hfUmrkM2vJ.

{5}索尼影视遭遇重大APT网络攻击大量商业机密遭泄露[EB/OL].[2014-12-10].http://www.doit.com.cn/p/224887.html.

{6}吴世忠.大数据时代安全风险及政策选择[EB/OL].[2013-08-14].http://www.71.cn/2013/0814/727984.shtml.

{7}震网病毒[EB/OL].[2016-11-01].http://baike.baidu.com/link?url=WLuY79ejupdOhGd8xNpstrF9xfNI 7qpEQYeS1_o4lz1FnN54Yr5-FfTXZOc6fTSV20TDb Bu8-Mdc-Hc8nxlyBGMUrBqcXK2AoFGxXjU9gdMe 3YlLAMzok7fBZXUkSZr1.

{8}胡若愚.德国一核电站“惊”染电脑病毒[EB/OL].[2016-04-28].http://news.xinhuanet.com/world/2016-04/28/c_128940554.htm.

{9}网络空间治理创新:2016全球网络空间安全大事记(事件篇)[EB/OL].[2017-01-07].http://mp.weixin.qq.com/s/AXHJWPDwY0T9B3WJW40pOw.

{10} Mckinsey Global Institute. Digital Globalization: The New Era of Global Flow[R].March,2016.离婚不离婚是人家自己的事

{11}刘雅辉,张铁赢,靳小龙,等.大数据时代的个人隐私保护[J].计算机研究与发展,2015,52(1).

{12}涂子沛.数据之巅[M].北京:中信出版社,2014.

{13}齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015(1).

{14}希拉里团队电脑系统疑遭俄黑客攻击安全部门调查[EB/OL].[2016-08-01].http://www.chinanews.com/gj/2016/08-01/7957605.shtml.

{15}于志刚,李源粒.大数据时代数据犯罪的制裁思路[J].中国社会科学,2014(10).

{16}金华,陈平凡,等.云计算法律问题研究[M].北京:法律出版社,2012.

{17}维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013.

{18}王玥,马民虎.“互联网+”时代关键基础设施信息安全法律保护研究[J].西北大学学报(哲学社会科学版),2016(9).

{19}齐爱民.个人信息开发利用与人格权保护之衡平[J].社会科学家,2007(3).

{20}齐爱民,盘佳.大数据安全法律保障机制研究[J].重庆邮电大学学报(社会科学版),2015(3).

{21}卢风.人类增强与人权[J].广西大学学报(哲学社会科学版),2016(3).

{22}于志刚,李源粒.大数据时代数据犯罪的类型化与制裁思路[J].政治与法律,2016(9).

{23}大数据安全是一场必要的斗争[EB/OL].[2014-01-27].http://news.xinhuanet.com/info/2014-01/27/c_133077141.htm.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1228689      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多