国际大数据安全相关政策与法规

背景

随着社会信息化和网络化的发展，数据爆炸式增长，大数据时代已经到来。大数据已经与农业时代的人口土地、工业时代的钢铁石油一样，成为一个国家的重要战略资源，被誉为是“21世纪的钻石矿”，正日益对国家治理能力、经济运行机制、社会生活方式以及各领域的生产、流通、分配、消费活动产生重要影响。

大数据安全自身风险

风险一、大数据加大了信息泄漏风险，大数据囊括了大量的个人隐私，以及各种政府机构、公司行为的细节记录，数据集中存储增加了泄露风险。

风险二、大数据的应用是人工智能、商业智能、数学算法、自然语言理解、信息技术等多个跨学科领域技术的集成应用，面临较高的技术和管理风险。

风险三、大数据是更容易被“关注”的大目标，会吸引更多的潜在攻击者，使得黑客成功攻击一次就能获得更多数据，无形中降低了黑客的进攻成本，增加了攻击的“性价比”。

风险四、数据集中存储会出现将数据乱放的情况，使数据的管理不合标准，影响到安全控制措施的良好运行，也加大了事后追溯的难度，这都将给数据安全带来威胁。

风险五、黑客可以利用大数据挖掘和分析技术进行更加精准的网络攻击，搜集企业或个人的电话、家庭住址、企业信息防护措施等信息，提取网络攻击所需的情报。同时，大数据的价值密度低，黑客可以将攻击隐藏在大数据中，给安全预警分析带来了很大困难。

随着各国对大数据安全重要性认识的不断加深，包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护，在政府数据开放、数据跨境流通和个人信息保护等方向进行了探索与实践。

美国

美国于1966年通过《信息自由法》，规定民众在获得行政信息方面的权利和行政机关在向民众提供行政信息方面的义务。该法秉持“以公开为原则、不公开为例外”的原则，规定政府有义务对公众的信息公开请求作出回应。

1974年，美国联邦法案家庭教育权和隐私权法案（FERPA）出台，用以保护学生的个人可识别信息（PII）的安全，适用于教育行业。FERPA规定，未满18岁的学生或符合条件的学生家长可以查看并申请修正学生的教育记录。该法案还规定，学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。

1996年，美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康保险携带和责任法案（HIPAA）。HIPAA目标是确保健康信息的安全性和隐私性，其主要内容包括隐私条例和安全条例。隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息（PHI）。

2009年，美国政府在数据开放方面执行了《开放政府指令》的最新行动，确立了透明、参与和协作的开放政府三原则，要求政府通过网站发布数据等方式，使公众了解更多的政府信息，促进公共对话，提升公众对政府的信任感。

2012年3月29日，美国政府颁布《大数据研究和发展计划》，从大数据从商业行为上升到国家意志和国家战略。提出了三大战略目标：一是开发大数据技术来收集、存储、保护、管理、分析、共享海量数据；二是利用大数据技术加速科学与工程发展步伐，加强国家安全，实现教、学转型；三是增加开发与使用“大数据”技术所需的人员数量。

2012 年5 月出台了《数字政府战略》，将政府开放数据作为电子政府发展的重要支撑，它要求政府数据在默认状态处于“开放和机器可读”，从而使得公众可随时随地访问高质量的政府数据信息和服务。

2014年5月1日，美国发布《大数据：把握机遇，维护价值》报告，对美国大数据应用与管理的现状、政策框架和改进建议进行了集中阐述，体现出“奥巴马政府利用大数据激发创新，提升生产力并保护个人隐私的传统价值观，以此来巩固美国的领导地位”的鲜明意图。

2014年，美国贸易代表办公室（USTR）发布了年度《对外贸易壁垒报告》，报告提到加拿大英属哥伦比亚省（British Columbia）和新斯科舍省（Nova Scotia）的数据本地化立法使学校、医院、国有公用企业和公共机构无法使用美国企业提供的服务，阻碍了美国的出口贸易。

2016年5月，美国发布《大数据报告：算法系统、机会与公民权利》此次报告中，通过对贷款、雇佣、教育以及刑事司法四个领域案例的考察，阐明了大数据的使用如何扩大了潜在的对于个体与群体的“非故意歧视”，同时提出政府应该如何驾驭大数据的力量以避免歧视的路径方案。

英国

2012 年６月，发布《开放数据白皮书》，推进公共服务数据的开放。

2013年10月31日发布《把握数据带来的机遇：英国数据能力战略》，旨在促进英国在数据挖掘和价值萃取中的世界领先地位，制定了提升数据分析技术、加强国家基础设施建设、推动研究与产业合作、确保数据被安全存取和共享等举措。

法国

2013年2月，发布《数字化路线图》，将大数据列为 5 项大力发展的战略性高新技术。

2013年7 月，发布《法国政府大数据五项支持计划》，制定了引进数据科学家、设立大数据发展资金、启动大数据项目、构建大数据应用环境等举措。

日本

2013年6月，颁布《创建最尖端 IT 国家宣言》战略，提出开放公共数据和发展大数据的战略目标。

2015年发布《个人数据保护法修正案》，设立了个人信息保护委员会，直属于内阁总理大臣，主要任务在于监管数据的传递、处理，企业的合规性管理等。同时修正案也允许企业在满足适当条件下进行数据的买卖，以服务于大数据分析。

其他

欧盟在1995年《数据保护指令》中确立了数据的基本原则，对世界其他国家和地区的信息保护、信息流动产生了深远的影响。

2015年通过的欧盟《通用数据保护条例》（GDPR）提出了更为苛刻的数据保护规定。GDPR的适用范围相比《数据保护指令》有所扩展，对于那些即使成立地在欧盟以外的机构来说，只要其在提供产品或者服务的过程中涉及欧盟境内个体的个人数据，将同样适用。在跨境数据流动方面，GDPR增加了新的制度安排，包括认证机制和行为准则等。

澳大利亚于 2013 年８月 15 日，发布《公共服务大数据战略》，提出发展大数据的六条原则和战略目标。

巴西司法部于2015年公布的《个人数据保护法》（草案）也借鉴了欧盟有关充分性数据保护的规定，要求跨境数据传输时，数据接收国的个人数据保护必须达到充分性保护的水平。

巴西司法部于2015年公布的《个人数据保护法》（草案）也借鉴了欧盟有关充分性数据保护的规定，要求跨境数据传输时，数据接收国的个人数据保护必须达到充分性保护的水平。

韩国2011年发布的《个人信息保护法》规定，如果个人信息的国际数据传输涉及第三方，那么必须取得用户的明确同意。2012年发布的《促进信息技术网络利用和信息保护法》要求则更为明确。

德国于2014年8月20日，通过了《2014—2017 年数字议程》，提出在变革中推动“网络普及”“网络安全”“数字经济发展” 三个重要进程，希望以此打造具有国际竞争力的“数字强国”。

后记：今天，我们正式推出了大数据安全专题，专题将从政策、法规、策略、标准、技术、产品、解决方案、最佳实践、实践心得等不同角度总结、分享整理给大家。帮助大家在大数据安全领域能有一个多方位立体化的了解和认知，无论是用于方案编写、安全研究、学术研究、技术交流还是内容编写和内容运营，或多或少都能给您带来一些帮助。

- END -