我国正在开展的全国网络安全执法大检查行动中,首次开展针对大数据安全的整治工作,具体包括大数据的采集、存储、应用、传输、销毁等全生命周期的监管、安全以及保护。
据相关人士透露,大数据安全整治将全面对我国大数据信息内容、存储位置、所涉企业进行摸底。同时,对企业采集信息来源开展执法检查,对数据采集的合法性、应用的范围限制等进行确定。
上述人士表示,大数据安全整治检查中一项重点工作是对合法采集内容与非法采集内容进行分类。其中,对于非法采集信息,将进行集中打击、销毁;对合法、合规采集的信息,则纳入保护监管范围。
公安部网络安全保卫局总工程师郭启全在接受记者采访时表示,大数据安全整治是我国近期正在开展的全国网络安全执法大检查行动中的重要内容,这也是首次将大数据安全纳入检查对象,尤其是针对公民个人信息的保护将是执法的重中之重。
“现阶段大数据安全是网络安全问题中最为突出的,也是与公民个人关系最为紧密的。其不仅会影响国家安全、政治安全、军事安全,还会影响企业商业利益、公民的生命安全。”郭启全说。
当前中国网民规模已达数亿人,大数据的汇集不可避免地加大了公民个人信息和隐私数据信息泄露的风险。这个庞大的网络群体每天在网上买卖商品、缴费、发邮件、聊天、存取资料等等,其中本来很多应是私密信息,但实际上被部分企业或个人采集,甚至关联分析和挖掘出公民个人身份、账户、位置、轨迹等敏感或隐私信息。
郭启全指出,一方面是大数据集中后,给非法势力攻击、窃取大量信息提供了便利,另一方面,则是相关企业打擦边球获得数据,采集公民个人信息,非法对用户精准画像。他举例说,在某平台进行购物,大数据技术会通过人们的网络活动采集信息,如手机用户的身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位以及社交动态等。
随着信息涉网量的增加,数据泄露问题就越发明显。数字安全研究公司金雅拓的数据显示,2017年仅上半年被盗数据多达19亿条,已超过2016年全年被盗数据的总量,平均每天有1050万条记录被盗。
“互联网企业未来也可能成为检查的重点对象。”公安部第一研究所副主任,中央网信办网络应急组专家胡光俊表示,因为互联网企业涉及个人信息越来越多,互联网企业将成“关键信息基础设施”的另一种主体存在。
郭启全表示,在对大数据安全本身进行检查的同时,还需把控信息储存硬件、信息通道等信息集聚资产的安全。
目前,为摸底我国相关信息网络安全情况,我国正开展为期半年的网络安全执法大检查,其中就包括全面排查重要信息系统、关键信息基础设施和大数据安全保护状况,摸清风险,堵塞漏洞,落实责任,深入实施国家网络安全等级保护制度,全面提高网络安全保障能力和防护水平,严厉打击入侵破坏计算机信息系统、侵犯公民个人信息等网络黑产。
胡光俊说,此次检查将借助我国自主研发的D01检查工具箱,可对关键信息基础设施进行快速摸底,包括未管理、无归属的资产与服务,同时进行漏洞的扫描,将本需数天甚至数十天的工作量压缩至数小时内进行,大幅提高效率,实现对风险的精准定位,圈定漏洞影响范围,及时进行通报与处置。
“我们必须认识到,信息泄露不仅仅来自外部攻击,更多的是内部管控存在漏洞。”胡光俊说。金雅拓公司数据显示,2017年因内部恶意泄露、员工疏忽无意泄露的数据占被盗数据的86%。
郭启全建议,除监管部门开展定期检查外,企业自身还需建立具体的网络安全建设方案。该方案需对应信息系统安全级别并符合等级保护标准要求、与公安机关三协同,突出等级保护制度2.0、关键信息基础设施和大数据安全、网络安全综合防御体系建设等。