一定要了解的国内相关法规与政策

背景

上一期我们从推动大数据利用和安全保护，在政府数据开放、数据跨境流通和个人信息保护等角度介绍了国际上相关的法规与政策，这对于我国在大数据布局规划、策略手段的制定提供了一定的参考依据。本期将为大家介绍国内在大数据安全领域的法规与相关政策。

大数据安全自身风险

风险一、大数据加大了信息泄漏风险，大数据囊括了大量的个人隐私，以及各种政府机构、公司行为的细节记录，数据集中存储增加了泄露风险。

风险二、大数据的应用是人工智能、商业智能、数学算法、自然语言理解、信息技术等多个跨学科领域技术的集成应用，面临较高的技术和管理风险。

风险三、大数据是更容易被“关注”的大目标，会吸引更多的潜在攻击者，使得黑客成功攻击一次就能获得更多数据，无形中降低了黑客的进攻成本，增加了攻击的“性价比”。

风险四、数据集中存储会出现将数据乱放的情况，使数据的管理不合标准，影响到安全控制措施的良好运行，也加大了事后追溯的难度，这都将给数据安全带来威胁。

风险五、黑客可以利用大数据挖掘和分析技术进行更加精准的网络攻击，搜集企业或个人的电话、家庭住址、企业信息防护措施等信息，提取网络攻击所需的情报。同时，大数据的价值密度低，黑客可以将攻击隐藏在大数据中，给安全预警分析带来了很大困难。

我国在积极推动大数据产业发展的过程中，非常关注大数据安全问题，近几年发布了一系列大数据产业发展和安全保护相关的法律法规和政策。

2012年12月，针对数据应用过程中的个人信息保护问题，第十一届全国人民代表大会常务委员会通过了《全国人大常委会关于加强网络信息保护的决定》。

该决定要求，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，网络服务提供者和其它企事业单位应当采取技术措施和其它必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。在发生或者可能发生信息泄露、损毁、丢失的情况时，应当立即采取补救措施。

2013年7月，工业和信息化部公布了《电信和互联网用户个人信息保护规定》。

该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实，进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施要求。

2014年3月，我国新的《消费者权益保护法》正式实施。

该法明确了消费者享有个人信息依法得到保护的权利，同时要求经营者采取技术措施和其他必要措施，确保个人信息安全，防止消费者个人信息泄露、丢失。

2015年8月，国务院印发《促进大数据发展行动纲要》。

行动纲要提出加快建设数据强国和释放数据红利，并加快政府数据开放共享，以提升治理能力。同时，提出了网络空间数据主权保护是国家安全的重要组成部分，要求“强化安全保障、提高管理水平，促进健康发展”，并探索完善安全保密管理规范措施，切实保障数据安全。

在大数据安全标准方面，行动纲要提出要进一步完善法规制度和标准体系，大力推进大数据产业标准体系建设。

2016年3月，第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》。

规划纲要提出实施国家大数据战略，全面实施促进大数据发展行动，同时要强化信息安全保障。该规划纲要提出加强数据资源安全保护，具体表现为要建立大数据安全管理制度、实行数据资源分类分级管理和保障安全高效可信应用。

2016年11月，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》。

网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据，并鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

关于网络数据安全保障方面，网络安全法规定，要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改，加强对公民个人信息的保护，防止公民个人信息被非法获取、泄露或者非法使用，要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据，网络数据确实需要跨境传输时，需要经过安全评估和审批。

图：主题配图