1月12日,由中国信息通信研究院、电子科技大学和企业数据安全技术联盟(筹)举办的EDST 中国企业与个人数据安全技术大会在北京举行。大会上,数据中心联盟发布《中国企业数据保护白皮书(2017年)》(简称白皮书)。白皮书指出,数据已经逐步成为全球争夺的战略资源。
(原标题:报告:区块链等金融科技超前发展 数据保护技术相对落后)
1月12日,由中国信息通信研究院、电子科技大学和企业数据安全技术联盟(筹)举办的EDST 中国企业与个人数据安全技术大会在北京举行。大会上,数据中心联盟发布《中国企业数据保护白皮书(2017年)》(简称白皮书)。白皮书指出,数据已经逐步成为全球争夺的战略资源。
另据中国信息通信研究院发布《中国数字经济发展白皮书(2017年)》显示,2016年中国数字经济总量达到22.6万亿元。与此同时,数据保护也面临风险和挑战。在企业中,普遍面临着制度建设缺失、技术手段落后、安全意识薄弱、安全人才紧缺等问题。
在金融行业,随着普惠发展的创新活力增强,金融行业数据极大丰富。白皮书对100家金融机构进行问卷调查,其中包括大型国有银行、商业银行、证券公司等,发现以下特点:金融行业的数据保护能力显著提高,数据保护技术治理体系不断完善,但是仍有短板。
面对金融科技的超前发展,比如P2P、区块链的出现和发展,行业数据保护相关举措未能有效跟进,监管部门、监管科技以及对数据保护的能力都比较落后。不仅如此,金融业标准化协调推进机制有待进一步完善,相关数字资产界定及相关保护举措尚未形成标准。
在教育行业,全国中小学互联网接入率已达87%,多媒体教室普及率达80%,信息化教学也在日渐普及,全国已有6000万名教师通过“网络学习空间”探索网络条件下的新型教学、学习和教研模式......但是,目前教育行业存在着只顾建设不顾安全、只管硬件忽视软件、只管采集不顾数据维护的粗放式管理模式等问题。徐玉玉案件的发生,促进了教育部联合其他部门出台了很多文件,提出了很多保护措施和要求,但是如何去落实还需要完善。
白皮书指出,虽然教育行业的数据保护制度逐步建立,但标准和评测机制尚未形成,安全制度和人才建设存在滞后问题。
在电信行业,2011年和2013年分别制定了《规范互联网信息服务市场秩序若干规定》及《电信和互联网用户个人信息保护规定》,目前《电信和互联网网络数据管理暂行办法》正在制定,这些都标志着电信行业数据保护立法体系初步建立,用户信息得到高度重视。但数据泄露的风险仍然存在,数据安全标准有待健全,数据管理能力有待提升。
在电商行业,专门立法加速。《电子商务法》二审结束,预示着即将出台,其中,数据保护成为重点。在医疗行业,随着数字化医疗模式的转型,数据安全面临挑战,而目前,“物力隔离”仍将是医疗行业有效的数据保护措施。
白皮书指出,数据保护是网络安全的重中之重,对于维护国家安全、经济安全,保护公民合法权益等至关重要,国际社会对此普遍关注,也逐渐成为各国的立法重心。
在美国,目前并没有统一的联邦数据保护立法,而是在各个领域的分散立法,比如在电信、金融、健康、教育、儿童在线隐私等都有专门立法。并且,美国在数据保护方面分为政府部门和私营领域立法。政府部门的立法保护客体为政府机关在履行行政职务过程中掌握的个人信息记录。私营领域采取了分行业、分领域的立法模式。
美国还立法规定了企业收集使用数据的原则,企业存在数据保护的义务,具体表现为企业需要执行全面的隐私和安全计划,需要聘请独立专家定期进行相关评估,企业需要删除非法获取的用户信息等。
在欧盟,1995年通过“数据保护指令”,2016年发布“通用数据保护条例”,确立了数据保护要遵循合法、公正、透明的原则,遵守数据最小化、存储限制、使用限制等原则。
对于企业,数据控制者应采取技术、组织和政策措施保障数据处理遵守法律规定。当发生数据泄露时,数据控制者应在72小时内立即上报监管部门,当数据泄露可能对自然人的权益和自由造成高风险时,应立即告知数据主体。
在中国,《网络安全法》的发布标志着中国在数据保护领域的法治建设进入新时代。除此之外, 我国宪法、电子签名法等一系列法规中包含数据保护的相关内容,并在《互联网信息服务管理办法》、《计算机软件保护条例》等行政法规中包含数据保护的内容。
其中,网安法明确规定,网络运营者应制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;采取检测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。
文/尤一炜