【中國智能制造網(wǎng) 名家論壇】數(shù)據(jù)安全問題一直是亟需解決的難題，未來數(shù)據(jù)是一種資產，一種虛擬的礦產資源，將發(fā)揮著巨大的作用，因此數(shù)據(jù)安全監(jiān)管應被重視。以下是謝瑋在ITValue 企業(yè)信息安全論壇上的演講：　　大數(shù)據(jù)到底給我們帶來了什么樣的變化，直觀的其實是量的變化，數(shù)據(jù)的規(guī)模在激增，早在幾年之前就已經到了以PB計數(shù)的時代，量上的變化之后就是價值的挖掘和倍增，數(shù)據(jù)的價值早就已經不再局限于元數(shù)據(jù)本身的價值，而是它在不停的在開發(fā)、利用、轉售和共享過程中還會被不斷的增值，數(shù)據(jù)的“倍增效應”會更加凸顯。
　　
　　未來數(shù)據(jù)也是一種資產，一種虛擬的礦產資源，這在業(yè)界已經達成共識，后就是大數(shù)據(jù)應用在向社會領域廣泛擴散中也是在逐漸推動產業(yè)創(chuàng)新和變革，一些新的產業(yè)業(yè)態(tài)不斷在生成。
　　
　　大數(shù)據(jù)給我們帶來不斷的創(chuàng)新，未來還會有更多新的變革出現(xiàn)，那么這些創(chuàng)新和變革也會帶來問題，具體到數(shù)據(jù)安全，在大數(shù)據(jù)時代怎么樣去做數(shù)據(jù)安全管理？我們到底要保護什么？
　　
　　數(shù)據(jù)的主體其實就包括用戶、用戶的個人隱私，企業(yè)、企業(yè)的數(shù)據(jù)資源，還有國家的數(shù)據(jù)資源，他們所面臨的環(huán)境上是怎么樣的？外界的安全危險到底包括什么？
　　
　　1、數(shù)據(jù)跨境流動監(jiān)管是各國的難題
　　
　　常規(guī)傳統(tǒng)的隱私數(shù)據(jù)安全威脅包括泄露、盜取、入侵等等，除了這些，我想說的是關于數(shù)據(jù)保護中，以前比較忽視的“濫用”問題。數(shù)據(jù)盜取大家會有各種各樣的技術手段去防范，但是“濫用”呢？基本上大家就只能看著，沒辦法。
　　
　　比如過渡收集、售賣，還有未經允許的任意流轉等等，你根本不知道你的個人隱私數(shù)據(jù)信息到底被企業(yè)拿走了之后，做了多少次的處理和使用，應該沒有人會關注，即便有人關注但也沒有人會知道其中的細節(jié)。
　　
　　對企業(yè)來講，隨著數(shù)據(jù)資源資產的不斷增值和擴張，安全防護的形勢是“道高一尺魔高一丈”，無論怎么保護，肯定會有更好、更新、更強大的攻擊工具讓你繼續(xù)陷入矛盾和困惑中。
　　
　　回到國家層面，數(shù)據(jù)可以類比成一種礦產資源，國家的資源礦產是戰(zhàn)略資源，所以圍繞著對數(shù)據(jù)資源的國與國之間資源爭奪已經非常顯現(xiàn)了。斯諾登事件曝光了很多美國以及其盟友已經或正在部署各種計劃，所有的這些計劃表面上看起來是用于安全、情報目的，背后也都體現(xiàn)著另外一種目的，就是對于其他國家數(shù)據(jù)資源資產的爭奪，因為反正后都可能會變成有價值的資產，對方又沒有更好的手段去防范，為什么不去拿？
　　
　　另外還有一個非常大的難題就是跨境，互聯(lián)網(wǎng)就是一點接入、服務一種具有這種天然屬性的網(wǎng)絡，所以在互聯(lián)網(wǎng)上數(shù)據(jù)跨境流動是天生的，而且是他的基本需求。
　　
　　從監(jiān)管角度和國家政府安全的角度，域外監(jiān)管怎么做？幾乎所有的國家都面臨這個監(jiān)管難題。但各個國家的想法和思路都不一樣，尤其是像美國和中國之間會有根本理念上的分歧，所以寄希望于在近期內達成所謂的統(tǒng)一規(guī)則或協(xié)定，但協(xié)定這在現(xiàn)階段是根本不可能的。
　　
　　隨著數(shù)據(jù)價值的攀升，從國家立法層面看，很多國家的監(jiān)管策略在悄悄轉變。
　　
　　在“斯諾登事件”以前，很多國家在出臺政府戰(zhàn)略時都強調開放、共享、自由流動，而在這兩年，各國都在不斷的出臺一系列的相關法令、法規(guī)、監(jiān)管政策，更多的會注重相關資源和用戶信息的保護和企業(yè)治理以及企業(yè)數(shù)據(jù)保護的責任。
　　
　　這種悄悄的改變在具體的立法和監(jiān)管的實踐當中也有很多的體現(xiàn)，其中兩個非常典型的例子，一個是歐盟，一個是美國。
　　
　　2、歐盟的信息保護律法：嚴密、細致、重罰
　　
　　今年4月14號，歐盟通過一個新法令叫“數(shù)據(jù)保護總規(guī)”，它脫胎于1995年歐盟的一個類似用戶信息保護的法定，在2012年時在那個法定基礎上進行了修訂，終在今年正式出臺，它所謂的“嚴密”主要體現(xiàn)在四個層面：
　　
　　首先是更嚴格的法律適用范圍，它在法律適用范圍上，對于跨境提供服務的企業(yè)，哪怕你在歐盟境內沒有相關實體也一樣必須遵守這部法律；
　　
　　第二是增強了數(shù)據(jù)主體的控制權，這個數(shù)據(jù)主體包括企業(yè)、用戶等數(shù)據(jù)擁有者的所有控制權利，在那個厚厚的法律文本里列舉了一大堆，包括數(shù)據(jù)主體擁有被遺忘權、數(shù)據(jù)可攜帶權、限制處理權等等不一而足。
　　
　　所有的這些權利對應的都是企業(yè)必須要承擔的數(shù)據(jù)保護義務，所有的義務都很有可能增加企業(yè)的運營成本，都是錢，比如“數(shù)據(jù)保護官”，企業(yè)必須要配備這樣的一個職位，還有就是數(shù)據(jù)泄露通知義務，前兩天我們國家網(wǎng)絡安全法草案在第二次征求意見，其中有非常類似的條款，不過歐盟的法律相比要嚴格，它要求24小時內必須向外界以及向上級主管部門報告，同時還要在毫不延遲的場景下，通知可能受損的用戶；
　　
　　還有一點是嚴格限制對用戶畫像技術的使用。在大數(shù)據(jù)時代下，用戶畫像是非常普遍的一種技術使用和業(yè)務拓展行為，比如這個用戶喜歡買什么，這個用戶喜歡逛什么樣類型的網(wǎng)站，可以利用用戶畫像技術獲得，但歐盟的法律對此進行了一系列紅線限制，比如不允許分析結果涉及兒童，不允許分析結果導致對某些個人的歧視，不允許分析結果可能產生某種法律上的偏向性的建議等等，對這種行為有很嚴格的限制。
　　
　　第四個特點就是嚴厲的懲罰，在法律條款當中，對于違法企業(yè)的罰款高可以達到100萬歐元或者企業(yè)當年銷售額的2%，如果更嚴重可以追究刑責。