本报记者 王晶晶
离十月底还有一个多月的时间,工业和信息化部对电信和重点互联网企业网络数据资源的调研摸底正在进行,以全力做好新中国成立70周年网络数据安全保障工作。这些工作的进行正缘于今年7月份工业和信息化部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《方案》),《方案》提出,在今年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流APP(手机应用软件)的数据安全检查。
相关业内人士分析指出,当前,我国数据安全管理面临的问题和挑战主要有两方面。一是要平衡处理好发展与安全的关系。面对大数据快速发展带来的新形势新挑战,部分企业为掌握海量数据资源,在数据保护方面存在“重采集,轻保护”的现象,亟须指导督促企业落实数据安全保护责任。二是大数据时代下数据安全面临更多的风险和挑战,传统网络安全监管手段和能力难以有效应对数据作为生产资料无处不在的新环境,需要在实践中不断完善管理方法,进一步加强数据全生命周期保护和管理。
破坏和滥用数据资源有哪些形式
“从全球范围来看,全球数据安全形势日益严峻,在数据安全战场对抗激烈,各种势力受经济利益驱动或出于政治意图,在网络空间大肆攫取、破坏和滥用数据资源,严重损害个人隐私保护,危害社会公共利益乃至国家安全。”国家工信安全中心应急响应所所长、民建北京市委委员汪礼俊日前在接受中国经济时报记者采访时表示,在破坏和滥用数据资源方面,主要有以下三种形式。
首先,勒索病毒形成黑色产业链,制造业成为数据勒索的重灾区。据统计,2018年,勒索病毒攻击同比增长242%,造成8300万美元经济损失。利用勒索病毒非法获利的门槛越来越低,“侠盗”勒索病毒制造者用短短1年时间赚取赎金20亿美元。2019年上半年,全球连续爆出多起制造业巨头遭勒索病毒攻击重大事件,损失巨大。如全球铝业制造巨头挪威海德鲁公司遭攻击后,临时关闭多个工厂,股价下跌约2%,全球铝价格上涨1.2%。美国特种化学品企业瀚森和迈图遭到勒索病毒攻击,大量关键数据丢失。全球飞机零部件供应商巨头阿斯卡公司的比利时工厂遭勒索攻击,导致位于比、德、美、加四国的工厂同期停工。
其次,在未经授权下,大型企业违规收集并滥用用户数据牟利。《华盛顿邮报》研究发现,苹果手机当允许后台应用(APP)刷新时,部分APP因内置隐蔽追踪器会定期向第三方追踪企业发送用户数据,一周时间内共发现5400个隐蔽追踪器,有的APP内置了9个。第三方追踪企业主要为了分析用户行为,精准投放广告。同时,美国四大电信运营商因出售消费者位置数据遭集体起诉。在2018年爆出脸书“数据泄露门”事件中,剑桥分析公司利用获取的5000万条脸书用户数据做政治定向宣传,在2016年美国大选期间,有偿支持特朗普竞选团队预测并影响选民投票意向。
再次,大规模数据泄露成新常态,重要行业数据泄露事件逐渐增多。数据库裸奔是大规模数据泄露的主因,一些搜索引擎可以搜索到大量未受保护的数据库,重要行业大规模数据泄露事件时有发生。
借鉴经验加速我国数据安全立法和落地实施
基于数据安全的严峻态势,各国政府都在加强数据安全治理力度,积极应对日益恶化的数据安全形势。汪礼俊分析,夯实我国数据安全,数据的安全立法和落地实施是关键。
一方面,在立法方面,泰国、新加坡出台本国个人数据保护法律或条例,美国加州颁布《2018年加州消费者隐私法案》,日本修订保护关键行业数据的《建立安全原则指导意见》。
另一方面,在司法方面,俄罗斯要求推特和脸书等外国企业遵守《个人信息保护法》规定,限期将其公民数据存储在境内服务器。日本认定谷歌、脸书等科技巨头非法收集、使用用户信息为违反其《反垄断法》“滥用优势地位”条款。
此外,在国际合作方面,欧盟与日本达成数据保护交换协议,实现数据互通,建立欧日安全数据流动区域。德国、美国、荷兰、欧盟执法机构联合摧毁全球第二大暗网平台“华尔街市场”,与窃取数据、伪造证据和恶意软件相关交易项目超过了6.3万个。
汪礼俊认为,在数据安全保护方面,各国应实施数据保护一致性原则,对数据违规使用者采取警告、宣告申诉、责令合规、罚款等措施,对跨境数据安全案件处理建立互相支援、联合执法、一站式服务的合作机制,并增加人员和经费投入。
“总之,我国应借鉴国外的成功经验,加速推进数据安全立法和落地实施,研究建设网络窃密监测和处置技术手段,推动构建数据安全保护技术体系,健全完善数据安全应急响应机制,保护我国关键数据资源安全。”汪礼俊说。
领取专属 10元无门槛券
私享最新 技术干货