如何切实防范、控制和化解各种数据安全与隐私保护的风险,成社交网络、在线购物、医疗和移动服务等应用深入的互联网行业,面临的最大安全挑战。
9月29日,为期三天的2018(第三届)数据安全与隐私保护大会在杭州落下帷幕。来自中国、美国、日本、韩国等国家的70余名专家学者,围绕上述行业问题,从数据安全及隐私保护的政策法律标准、产业实践、前沿技术和全球跨境数据流动政策分析等维度,展开深入讨论,共议克服挑战的策略与方案。
29日,阿里巴巴数据安全研究院重磅发布了业内首份《数据安全能力建设实施指南V1.0》(下称《指南》)征求意见稿,为组织数据安全能力建设提供参考。
作为中国最权威顶级、规模最大的数据安全领域会议,本届大会以“数据安全 隐私保护”为主题,由浙江省互联网信息办公室指导,中国保密协会隐私保护专委会和中国网络空间安全协会网络治理与国际合作工作委员会主办,阿里巴巴数据安全研究院和贵州大数据安全工程研究中心承办。
28日开幕式当天,浙江省互联网信息办公室副主任王尧祥,中国网络安全审查技术与认证中心主任魏昊,中国保密协会常务副会长纪清阳,国家创新与发展战略研究会副会长郝叶力,以及中国信息协会信息安全专委会副主任委员、国家信息技术安全研究中心总师办专家李京春等嘉宾,也参会致辞和分享。
图说:28日上午,2018数据安全与隐私大会在杭州开幕,浙江省互联网信息办公室副主任王尧祥等领导现场发言致辞。
黑灰产行为成数据保护主要威胁
近年,关于公民个人信息案频发,有数据安全专家就指出,数据安全和隐私保护的主要威胁,仍在于日益猖獗的黑灰产团伙行为。泄露的数据大多会被黑灰产团伙用于诈骗等牟利行为,对个人、社会和国家都产生恶劣危害。
无论是今年8月曝光,牵涉96家互联网公司30亿条用户信息泄漏案;还是包括上百万虚假网络账号的国内首例空号短信劫持案,以及华住5亿多用户隐私数据泄露案;或是9月爆发,覆盖山东10市不动产系统遭病毒入侵案等亿级信息数据泄露案,幕后就都存在黑灰产团伙身影。
公开的行业报告《国内外敏感信息泄露案例汇总分析》也指出,互联网行业、政府机构和金融、教育与医疗等行业,是敏感数据泄露的重灾区。其中,70%以上个人信息泄露均因黑客入侵等手段导致,另有近两成是通过安插或买通“内鬼”等非技术手段引发泄露,此外还有7.87%泄密路径尚不清楚。
去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
没有安全防护能力的第三方企业、机构,都是黑灰产团伙攻击的主要对象,这些企业通常拥有大量数据,但往往缺乏足够的数据安全意识,使得加强互联网行业的整体数据安全防护能力,变得迫在眉睫。
阿里发布业内首份数据安全能力建设实施指南
图说:9月29日,阿里巴巴数据安全研究院联合多家单位发布业内首份《数据安全能力实施指南V1.0》征求意见稿。
就目前行业整体数据安全能力水位不高,面临数据业务持续发展、数据泄露事件频发等现状,29日上午,阿里巴巴数据安全研究院联合多家单位公开发布了业内首份《数据安全能力建设实施指南V1.0》征求意见稿。
这是针对组织的数据安全能力建设提出的系统性和专门性实操方案。《指南》征求意见稿填补了数据安全能力建设实操指南的空白,是从0到1的突破。作为数据安全能力成熟度模型(DSMM)配套文档,该《指南》由阿里巴巴数据安全研究院联合中国电子技术标准化研究院、杭州数梦工场、杭州安恒信息、蚂蚁金服和阿里云等单位共同起草。
《指南》以充分定义级(3级成熟度)为目标,结合数据安全合规要求和组织的业务发展需求,从组织建设、制度流程、技术工具和人员能力等四个方面整体框架设计和规划入手,对DSMM的安全域设置目的和要求进行详细解读,并辅以实践案例,为各行各业具体组织的数据安全能力建设提供实践参考。
阿里巴巴集团技术副总裁杜跃进分析称,探索保障数据为中心的安全,需要做到“融合”,打通政策法律、产业实践和学术研究;同时需要掌握“平衡”,保证数据流动发挥价值,还要防止在流通过程中危害到个人及企业自身利益;另需学会“创新”,在新领域积极探索,不再基于传统经验制定未来解决方案;最后是需持续“改进”,先立初步标准,再不断打磨优化。
图说:28日上午,阿里巴巴集团技术副总裁杜跃进在数据安全与隐私大会上指出,探索以数据为中心的安全出路,需做到融合、平衡、创新和持续改进。
“在数据安全保护方面,我们积累了丰富的实践经验,除了搭建御城河系统为商家保护数据安全,我们还与生态合作伙伴发起电子商务生态安全联盟(SAEE),之后又沉淀经验总结出以DSMM为核心的数据安全治理体系,为整个社会全行业赋能。”杜跃进介绍,阿里目前还有云壳、钱盾、PC安全保镖等11项自主创新科技,在为经济体的数据安全护航。
警惕“长臂”管辖 中国需有适合自己的数据安全标准
北京大学法治与发展研究院院长王锡锌在大会主题发言时,则从数据的私权、公权和主权博弈三个维度进行分析。他指出,各国意识到数据保护的重要性,开始陆续基于自身视角出台具有跨域约束权的专门性法案(如GDPR),使得其他国家及企业,在走向全球化过程中遇到了数据使用的限制,影响到企业长远发展。中国及其他国家都应警惕这类法案的‘长臂管辖’现象。
“各国出台了法案,但在法律之下还需要技术层面的标准,这是目前缺失的。”与会嘉宾中国信息协会信息安全专委会副主任委员李京春表示,如果这个标准中国有,且是国际化标准,那各企业遵守起来可减少一些国际上的冲突和矛盾。
多名与会专家都认为,中国需要自主创新寻找数据安全发展的解决方案。“国家政府可以通过主权方式出台相应法案或标准,来对企业走出去发展提供合法保护。”王锡锌表示。
图说:28日,来自中、美、韩等国行业专家,讨论未来数据安全保护创新方案。
28日当天,包括美利坚大学华盛顿法学院法律系副教授、美国司法部国家安全局原首席检察官助理律师Jennifer Daskal,美国智库国际战略研究中心技术政策研究组高级研究员谭珊珊(SammSacks),日本中央大学的法律副教授、日本原总理内阁府首任国际关系隐私官Hiroshi Miyashita,韩国高丽大学法学院院长、网络法中心主任Nohyoung Park,印度尼西亚巴查查兰大学法学院法学副教授Sinta Dewi Rosadi(辛塔·德薇·罗萨迪)等,来自6国的学者专家也都参会,并分别从各自研究领域发表了前沿性研究观点。
(END)
杭州市卫生信息中心
微信号:zjhzhic