大數(shù)據(jù)與云計算環(huán)境下個人信息安全協(xié)同保護(hù)研究

張新剛　于波　程新黨　王保平

摘要：大數(shù)據(jù)與云計算環(huán)境下，個人信息安全問題越來越受到人們的重視。首先闡述了我國個人信息安全保護(hù)存在的問題，分析了其成因，接著介紹了國外個人信息安全保護(hù)的典型經(jīng)驗和做法，最后從管理機制、法律體系、技術(shù)研發(fā)、監(jiān)管自律、人才隊伍、宣傳教育等六個方面提出了構(gòu)建個人信息安全立體協(xié)同保護(hù)體系的方案。

關(guān)鍵詞：大數(shù)據(jù)；云計算；信息安全；協(xié)同保護(hù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）03-0053-03

隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和智慧城市的快速發(fā)展，全球數(shù)據(jù)量呈現(xiàn)爆發(fā)式、多樣化、指數(shù)級的增長，大數(shù)據(jù)時代已經(jīng)到來，成為繼云計算之后信息技術(shù)領(lǐng)域新的產(chǎn)業(yè)增長點。然而，在大數(shù)據(jù)和云計算產(chǎn)業(yè)蓬勃發(fā)展的同時，個人信息及隱私數(shù)據(jù)泄露事件層出不窮，“12306用戶數(shù)據(jù)泄露”、“支付寶安全門”等事件為大數(shù)據(jù)與云計算環(huán)境下個人信息安全保護(hù)敲響了警鐘，提出了新挑戰(zhàn)。日益嚴(yán)峻的個人信息安全問題不僅威脅和侵害了巨大用戶的利益，還關(guān)系到經(jīng)濟(jì)健康發(fā)展、社會穩(wěn)定和國家安全。

1 我國個人信息安全保護(hù)存在的問題及成因

1.1 大數(shù)據(jù)與云計算環(huán)境下的新應(yīng)用帶來新的安全風(fēng)險

大數(shù)據(jù)與云計算時代，經(jīng)濟(jì)社會信息化程度越來越高，針對個人信息采集的范圍日趨廣泛，涉及諸多個人隱私信息，除了基本的身份信息外，還包括金融交易類數(shù)據(jù)、社交網(wǎng)絡(luò)數(shù)據(jù)、地理位置數(shù)據(jù)、網(wǎng)絡(luò)言論等，通過對這些數(shù)據(jù)的關(guān)聯(lián)、聚合可以挖掘還原出個人社會生活的概況。當(dāng)采集的數(shù)據(jù)量達(dá)到一定規(guī)模時還將會產(chǎn)生巨大的經(jīng)濟(jì)效益[1]。在巨大的經(jīng)濟(jì)利益驅(qū)動下，針對個人信息的采集、處理、應(yīng)用等都成為非法分子的攻擊利用目標(biāo)。大數(shù)據(jù)與云計算環(huán)境下的信息安全呈現(xiàn)出了一些新特性，包括隱蔽關(guān)聯(lián)性、集群風(fēng)險性、泛在模糊性、跨域滲透性和交叉復(fù)雜性，這些新特性給個人信息安全保護(hù)帶來了新挑戰(zhàn)[2]。

1.2 個人信息安全保護(hù)法律體系有待完善

我國的個人信息保護(hù)法律體系還處于初期階段，雖然制定了一些與信息安全相關(guān)的法律，但與歐盟、美國相比，缺乏個人信息保護(hù)系統(tǒng)化的法律體系，立法進(jìn)程還需要進(jìn)一步推進(jìn)[3]。2012年12月，全國人大常委會出臺了《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》，強化了以法律形式保護(hù)個人信息安全，規(guī)定了個人信息保護(hù)的基本原則，但是可操作性不強，還需要操作性強的配套實施細(xì)則。2013年2月，我國第一個個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》正式實施，明確規(guī)定了個人敏感信息在收集和利用之前，必須獲得個人信息主體的授權(quán)。但在實施過程中政府還應(yīng)出臺相應(yīng)的激勵政策，促進(jìn)行業(yè)主體自覺遵守。

1.3 傳統(tǒng)的安全技術(shù)難以適應(yīng)大數(shù)據(jù)云計算時代的新要求

傳統(tǒng)的信息安全技術(shù)不能完全照搬應(yīng)用到新興的大數(shù)據(jù)領(lǐng)域，云計算、移動互聯(lián)網(wǎng)等新技術(shù)的發(fā)展為大數(shù)據(jù)的采集、處理等提出了新的安全挑戰(zhàn)。一是我國大數(shù)據(jù)、云計算所使用的主流操作系統(tǒng)、存儲系統(tǒng)等都嚴(yán)重依賴國外，存在被植入后門的風(fēng)險。二是傳統(tǒng)的信息安全防護(hù)體系難以大數(shù)據(jù)云計算時代的新要求。傳統(tǒng)的安全防護(hù)技術(shù)適用于某個環(huán)節(jié)，而大數(shù)據(jù)云計算時代要求做到個人信息安全保護(hù)實現(xiàn)全流程、全生命周期的立體化縱深防御。

1.4 個人信息安全統(tǒng)一監(jiān)管和行業(yè)自律亟待加強

隨著大數(shù)據(jù)、云計算在經(jīng)濟(jì)社會生活各方面的日益廣泛應(yīng)用，當(dāng)前對于個人信息安全的政府監(jiān)管和行業(yè)自律顯得滯后，不能較好地適應(yīng)大數(shù)據(jù)、云計算的發(fā)展需求。一是在國家層面還沒有建立統(tǒng)一、高效的針對個人信息安全的監(jiān)管體系，普遍處于多頭監(jiān)管、無序監(jiān)管、監(jiān)管不力的狀態(tài)；二是沒有建立有效的行業(yè)自律機制。針對大數(shù)據(jù)、云計算環(huán)境下的個人信息安全保護(hù)，各個行業(yè)缺乏個人信息安全保護(hù)的主動性，自律意識不強，沒有制定本行業(yè)的信息保護(hù)標(biāo)準(zhǔn)和相關(guān)制度，行業(yè)自律缺失。

1.5 信息安全人才培養(yǎng)質(zhì)量有待提高

我國十分重視信息安全的人才培養(yǎng)，基本形成了信息安全本科、碩士、博士完整的人才培養(yǎng)體系。據(jù)統(tǒng)計，全國有100余所高校設(shè)立了信息安全專業(yè)，每年培養(yǎng)數(shù)以萬計的信息安全人才。教育部成立了“高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會”負(fù)責(zé)對信息安全專業(yè)建設(shè)發(fā)展的宏觀指導(dǎo)。

但目前信息安全人才培養(yǎng)也存在一些問題。一是由于2015年以前信息安全不是一級學(xué)科，普遍掛靠在其他學(xué)科之下，導(dǎo)致管理體制不順，不利于學(xué)科建設(shè)和人才培養(yǎng)。二是一些高校的信息安全師資隊伍力量薄弱。這就導(dǎo)致部分高校信息安全專業(yè)的有些課程沒有開設(shè)。再加上一些高校缺乏必要的信息安全實驗條件，影響了學(xué)生的動手實踐能力的培養(yǎng)，這樣就導(dǎo)致一些高校信息安全人才培養(yǎng)的質(zhì)量很難得到有效保障[4]。

2 國外個人信息安全保護(hù)典型經(jīng)驗和做法

2.1 美國、歐盟等建立較為完善的信息安全保護(hù)法律體系

美國制定了一系列信息安全保護(hù)的法律，加強個人信息安全保護(hù)。1966年美國國會頒布了《信息自由法》，這是美國在信息安全領(lǐng)域立法的起點。1974年出臺的《隱私權(quán)法》明確規(guī)定了信息公開與隱私保護(hù)的處理規(guī)則。1986年出臺的《電子通信隱私法》對政府?dāng)r截監(jiān)聽通信信號的范圍與標(biāo)準(zhǔn)等做了相關(guān)規(guī)定。之后美國先后制定了《計算機安全法》（1987年）、《通信凈化法》（1996年）、《數(shù)據(jù)保密法》（1997年）、《網(wǎng)絡(luò)電子安全法案》（1999年）、《網(wǎng)絡(luò)安全信息法》（2000年）、《網(wǎng)絡(luò)安全法案》（2009年）等20余部法律，以上這些法律均由美國最高立法機關(guān)國會制定，構(gòu)成了美國最基本的信息安全法律體系框架[5]。

歐盟在歐洲議會、歐盟理事會和成員國的共同努力下，不斷制定和完善信息安全法律法規(guī)體系。例如，1981年通過了《有關(guān)個人資料自動化處理保護(hù)個人公約》，1995年歐盟制定了《個人數(shù)據(jù)保護(hù)指令》以保護(hù)個人數(shù)據(jù)及其自由流動，2002年通過了《關(guān)于電子通信行業(yè)個人數(shù)據(jù)處理與個人隱私保護(hù)指令》等，此外還出臺了一系列指令、決定、決議和公約。

2.2 美、英、日、德等國普遍建立信息安全國家戰(zhàn)略

美國：美國在全球互聯(lián)網(wǎng)領(lǐng)域擁有絕對的控制權(quán)和主導(dǎo)權(quán)。2009年發(fā)布了《網(wǎng)絡(luò)空間政策評估---保障可信和強健的信息和通信基礎(chǔ)設(shè)施》，2011年發(fā)布了《網(wǎng)絡(luò)空間國際戰(zhàn)略》進(jìn)一步確立了其戰(zhàn)略意圖。

英國：英國于2009年頒布了《英國網(wǎng)絡(luò)安全戰(zhàn)略》，著眼于從宏觀長遠(yuǎn)角度加強網(wǎng)絡(luò)安全建設(shè)，維護(hù)本國網(wǎng)絡(luò)安全。

日本：日本于2005年組建了跨越陸?？盏摹熬W(wǎng)絡(luò)戰(zhàn)部隊”。2006年、2009年先后發(fā)布了《第一個國家信息安全戰(zhàn)略》、《第二個國家信息安全戰(zhàn)略》，2011年發(fā)布了《保護(hù)國民信息安全戰(zhàn)略》，2013年制定了《網(wǎng)絡(luò)安全戰(zhàn)略》，同時組建了“網(wǎng)絡(luò)防衛(wèi)隊”。

德國：作為歐洲信息技術(shù)最為發(fā)達(dá)的德國，高度重視網(wǎng)絡(luò)信息安全建設(shè)。1997年就發(fā)布了世界上第一部計算機網(wǎng)絡(luò)服務(wù)方面的單行法律---《多媒體法》，2011年發(fā)布了《德國網(wǎng)絡(luò)安全戰(zhàn)略》，成立了國家網(wǎng)絡(luò)防御中心，建立了國家網(wǎng)絡(luò)安全委員會[6]。

2.3 美國在互聯(lián)網(wǎng)領(lǐng)域具有領(lǐng)先的技術(shù)和產(chǎn)品優(yōu)勢

美國在互聯(lián)網(wǎng)領(lǐng)域具有獨特的優(yōu)勢，在全球13個根域名服務(wù)器中占據(jù)了3個，擁有全球最大的網(wǎng)絡(luò)帶寬，擁有最大用戶數(shù)量的信息服務(wù)以及領(lǐng)先的軟硬件核心技術(shù)。以Microsoft、IBM、Apple、Google、Intel、Oracle、Cisco等為代表的信息巨頭公司在全球信息安全產(chǎn)業(yè)中占據(jù)著基礎(chǔ)性的關(guān)鍵支撐作用，改變著全球用戶的工作和生活方式。以Symantec、Trend micro等為代表的信息安全產(chǎn)業(yè)巨頭引領(lǐng)著全球信息安全產(chǎn)業(yè)發(fā)展[7]。

3 構(gòu)建個人信息安全立體協(xié)同保護(hù)體系

新技術(shù)、新應(yīng)用的快速發(fā)展帶來諸多新的安全威脅，傳統(tǒng)的安全防御手段難以適應(yīng)新環(huán)境下的新要求，大數(shù)據(jù)與云計算環(huán)境下個人信息安全保護(hù)面臨許多新挑戰(zhàn)，亟須從管理機制、法律體系、技術(shù)產(chǎn)業(yè)、監(jiān)管自律、人才培養(yǎng)、宣傳教育等方面著手建立體協(xié)同的個人信息安全協(xié)同保護(hù)體系。

3.1 加強頂層設(shè)計，建立綜合協(xié)同的信息安全管理機制

2014年成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室，習(xí)近平總書記擔(dān)任組長，體現(xiàn)了我國保障網(wǎng)絡(luò)安全、推動信息化發(fā)展的強大決心。作為全球網(wǎng)絡(luò)攻擊的主要受害國，我國應(yīng)因勢而謀，順勢而為，從全球化的視角審視我國信息安全形勢，加快制定國家信息安全戰(zhàn)略，主動提升我國在信息安全領(lǐng)域的戰(zhàn)略威懾能力。同時地方各部門也應(yīng)加強網(wǎng)絡(luò)安全建設(shè)，做好頂層設(shè)計。打破傳統(tǒng)上“九龍治水”的管理格局，克服多頭管理、職能交叉的弊端，成立對應(yīng)的信息安全管理機構(gòu)，跨部門、跨行業(yè)的綜合協(xié)同管理機制。

3.2 建立健全個人信息安全保護(hù)的法律體系

加快出臺個人信息安全保護(hù)的相關(guān)法律法規(guī)，進(jìn)一步規(guī)范政府、企業(yè)和相關(guān)機構(gòu)對個人信息采集、保存和使用的行為，依法懲處信息安全違法行為，確保個人信息安全。同時進(jìn)一步完善現(xiàn)有的信息安全法律法規(guī)，配套設(shè)施細(xì)則，增強法律執(zhí)行的可操作性，嚴(yán)厲打擊個人信息安全保護(hù)中的違法行為，提高違法成本，保障個人信息安全，逐步建立健全個人信息安全保護(hù)法律體系。

3.3 加強個人信息安全保護(hù)技術(shù)研發(fā)，推動信息安全產(chǎn)業(yè)發(fā)展

技術(shù)層面。加大政策資金的扶持力度，積極鼓勵科研機構(gòu)、高校、企業(yè)等共同加強對信息安全保護(hù)相關(guān)技術(shù)的研發(fā)和創(chuàng)新，從技術(shù)層面保障個人信息安全。加大對個人隱私保護(hù)相關(guān)技術(shù)的研發(fā)，包括數(shù)據(jù)發(fā)布匿名保護(hù)技術(shù)、數(shù)據(jù)水印技術(shù)、數(shù)據(jù)溯源技術(shù)等關(guān)鍵技術(shù)，提高對個人隱私信息的保護(hù)能力。

產(chǎn)業(yè)層面。我國在互聯(lián)網(wǎng)領(lǐng)域的核心技術(shù)自主可控水平較低，應(yīng)下大力氣加強關(guān)鍵技術(shù)研發(fā)，開發(fā)出性能先進(jìn)、自由可控、安全可靠的國產(chǎn)化核心技術(shù)替代產(chǎn)品，擺脫長期以來嚴(yán)重依賴國外信息技術(shù)產(chǎn)品的尷尬局面，從源頭上增強信息安全保障能力，大力發(fā)展信息安全產(chǎn)業(yè)，建造大數(shù)據(jù)與云計算環(huán)境下我國信息安全防范的新長城[8]。

3.4 構(gòu)建個人信息安全統(tǒng)一監(jiān)管和行業(yè)自律體系

推動建立大數(shù)據(jù)、云計算環(huán)境下個人信息安全的政府統(tǒng)一監(jiān)管體系，建立自上而下統(tǒng)一的監(jiān)管機構(gòu)，加強行業(yè)監(jiān)管，開展對個人信息安全保護(hù)“事前、事中、事后”全生命周期監(jiān)測，制定相關(guān)的認(rèn)證標(biāo)準(zhǔn)和流程，鼓勵建立第三方評估監(jiān)測機構(gòu)，加強動態(tài)評估和績效評估。另外，積極推動行業(yè)自律，充分發(fā)揮行業(yè)組織的行業(yè)自律和相互監(jiān)督，引導(dǎo)各行業(yè)制定本行業(yè)的個人信息安全保護(hù)行業(yè)標(biāo)準(zhǔn)和規(guī)范，形成自我監(jiān)督、自我完善的機制。

3.5 構(gòu)建網(wǎng)絡(luò)信息安全創(chuàng)新人才培養(yǎng)體系

經(jīng)過多年來對信息安全人才培養(yǎng)的探索實踐，2015年6月，國務(wù)院學(xué)位委員會、教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科，這對于加強信息安全學(xué)科建設(shè)，提高信息安全人才培養(yǎng)質(zhì)量具有十分深遠(yuǎn)的意義。另外，需要加大對信息安全師資的培養(yǎng)、培訓(xùn)力度，構(gòu)建良好的實驗條件，加強實踐環(huán)節(jié)訓(xùn)練，切實提高信息安全人才的實戰(zhàn)能力。還可以通過舉辦各種形式的信息安全比賽，不斷發(fā)現(xiàn)和培養(yǎng)信息安全人才。

3.6 加強宣傳教育，提高公眾的信息安全保護(hù)意識

借助國家網(wǎng)絡(luò)安全宣傳周等活動，通過新媒體、電視、廣播等多種形式，加強對公眾的個人信息安全知識的宣傳教育，提高公眾的個人信息安全保護(hù)意識。同時，完善個人信息安全的監(jiān)督體系，利用新媒體等多種形式曝光個人信息安全違法行為案例，暢通對個人信息安全違法行為的舉報渠道，在全社會形成共同保護(hù)個人信息安全的良好氛圍。

4 結(jié)語

大數(shù)據(jù)與云計算環(huán)境下的個人信息安全面臨著嚴(yán)峻的挑戰(zhàn)，日益受到人們的重視和關(guān)注，如何構(gòu)建信息安全協(xié)同保護(hù)體系成為我們面臨的重要課題。本文首先從大數(shù)據(jù)與云計算環(huán)境下的新應(yīng)用帶來的安全風(fēng)險、個人信息安全保護(hù)法律體系不完善、傳統(tǒng)的信息安全技術(shù)滯后、信息安全監(jiān)管和行業(yè)自律亟待加強、信息安全人才培養(yǎng)質(zhì)量有待提高等五個方面具體分析了當(dāng)前個人信息安全保護(hù)存在的問題及成因，然后介紹了美國、歐盟等國家個人信息安全保護(hù)的典型經(jīng)驗和做法，結(jié)合我國實際情況，從管理機制、法律體系、技術(shù)產(chǎn)業(yè)、監(jiān)管自律、人才培養(yǎng)、宣傳教育等六個方面構(gòu)建了個人信息安全協(xié)同保護(hù)體系，從而在大數(shù)據(jù)與云計算環(huán)境下更好地保障個人信息安全。

參考文獻(xiàn)：

[1] 惠志斌.大數(shù)據(jù)時代個人信息安全保護(hù)[J].社會科學(xué)報，2013-4-11（3）.

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2015（3）：72-84.

[3] 馬民虎，張敏.信息安全與網(wǎng)絡(luò)社會法律治理：空間、戰(zhàn)略、權(quán)利、能力[J].西安交通大學(xué)學(xué)報（社會科學(xué)版），2015（2）：92-97.

[4] 張煥國.信息安全人才培養(yǎng)現(xiàn)狀與問題[J].中國教育網(wǎng)絡(luò)，2014（9）：41-43.

[5] 孫成相.中美網(wǎng)絡(luò)安全法律體系比較研究[J].保密科學(xué)技術(shù)，2013（1）：46-50.

[6] 方興東.棱鏡門事件與全球網(wǎng)絡(luò)空間安全戰(zhàn)略研究[J].現(xiàn)代傳播，2014（1）：115-122.

[7] 肖新光.大戰(zhàn)略基石—美國信息安全產(chǎn)業(yè)格局的解析[J].中國信息安全，2014（4）：41-49.

[8] 陳左寧.大數(shù)據(jù)安全與自主可控[J].科學(xué)通報，2015（6）：427-432.