2018大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書

大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書（2018版）PAGE\*ROMANPAGE\*ROMANIV目錄前言 III第1章導(dǎo)論 1背景 1目的及意義 3第2章大數(shù)據(jù)安全 4大數(shù)據(jù)安全含義 4保障大數(shù)據(jù)安全 4利用大數(shù)據(jù)保障網(wǎng)絡(luò)空間安全 5我國(guó)大數(shù)據(jù)安全發(fā)展?fàn)顩r 5大數(shù)據(jù)安全的重要意義 6第3章大數(shù)據(jù)安全挑戰(zhàn) 8大數(shù)據(jù)技術(shù)和平臺(tái)安全挑戰(zhàn) 8傳統(tǒng)安全措施難以適配 8平臺(tái)安全機(jī)制嚴(yán)重不足 9應(yīng)用訪問控制愈加困難 9基礎(chǔ)密碼技術(shù)亟待突破 10數(shù)據(jù)安全和個(gè)人信息保護(hù)挑戰(zhàn) 10數(shù)據(jù)安全保護(hù)難度加大 10個(gè)人信息泄露風(fēng)險(xiǎn)加劇 11數(shù)據(jù)真實(shí)性保障更困難 11數(shù)據(jù)所有者權(quán)益難保障 12國(guó)家社會(huì)安全和法規(guī)標(biāo)準(zhǔn)挑戰(zhàn) 12國(guó)家安全深受大數(shù)據(jù)影響 13社會(huì)治理面臨大數(shù)據(jù)挑戰(zhàn) 13大數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)尚需完善 14第4章大數(shù)據(jù)安全法規(guī)政策和標(biāo)準(zhǔn)化現(xiàn)狀 15大數(shù)據(jù)安全法規(guī)政策現(xiàn)狀 15國(guó)外數(shù)據(jù)安全法律法規(guī)和政策 15國(guó)內(nèi)數(shù)據(jù)安全法律法規(guī)和政策 22國(guó)內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)化相關(guān)政策 28主要標(biāo)準(zhǔn)化組織 29ISO/IECJTC1 30NIST 31ITU-T 31SACTC28 324.2.5SACTC260 32大數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)現(xiàn)狀 32數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn) 33個(gè)人信息安全標(biāo)準(zhǔn) 39其它大數(shù)據(jù)安全標(biāo)準(zhǔn) 41第5章大數(shù)據(jù)安全標(biāo)準(zhǔn)體系 43大數(shù)據(jù)安全標(biāo)準(zhǔn)化需求 43大數(shù)據(jù)安全標(biāo)準(zhǔn)分類 44標(biāo)準(zhǔn)主題分類 45標(biāo)準(zhǔn)類型分類 47其它分類 48大數(shù)據(jù)安全標(biāo)準(zhǔn)圖譜 48大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組標(biāo)準(zhǔn)工作 49標(biāo)準(zhǔn)制定項(xiàng)目 49標(biāo)準(zhǔn)研究項(xiàng)目 53近期重點(diǎn)工作方向 55開展大數(shù)據(jù)安全參考框架研制 55完善個(gè)人信息安全相關(guān)標(biāo)準(zhǔn)研制 55推進(jìn)數(shù)據(jù)交換共享相關(guān)安全標(biāo)準(zhǔn)研制 55加快數(shù)據(jù)出境安全相關(guān)標(biāo)準(zhǔn)研制 56推動(dòng)大數(shù)據(jù)安全檢測(cè)評(píng)估相關(guān)標(biāo)準(zhǔn)研制 56啟動(dòng)重點(diǎn)領(lǐng)域大數(shù)據(jù)安全標(biāo)準(zhǔn)研制 56第6章大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作建議 58健全大數(shù)據(jù)安全法律法規(guī)體系 58加強(qiáng)大數(shù)據(jù)安全核心技術(shù)研發(fā) 58大力推廣大數(shù)據(jù)安全標(biāo)準(zhǔn)示范應(yīng)用 58建立大數(shù)據(jù)安全標(biāo)準(zhǔn)體系研究長(zhǎng)效機(jī)制 58加強(qiáng)大數(shù)據(jù)安全標(biāo)準(zhǔn)化人才培養(yǎng) 59深度參與大數(shù)據(jù)安全國(guó)際標(biāo)準(zhǔn)化工作 59附錄A典型領(lǐng)域大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 60安全應(yīng)用大數(shù)據(jù) 60安全應(yīng)用大數(shù)據(jù)特點(diǎn) 60安全應(yīng)用大數(shù)據(jù)應(yīng)用領(lǐng)域 60安全應(yīng)用大數(shù)據(jù)標(biāo)準(zhǔn)需求 62政務(wù)大數(shù)據(jù) 62政務(wù)大數(shù)據(jù)特點(diǎn) 62政務(wù)大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 63政務(wù)大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 63健康醫(yī)療大數(shù)據(jù) 64健康醫(yī)療大數(shù)據(jù)特點(diǎn) 64健康醫(yī)療大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 65健康醫(yī)療大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 66教育大數(shù)據(jù) 67教育大數(shù)據(jù)特點(diǎn) 67教育大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 68教育大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 68金融大數(shù)據(jù) 69金融大數(shù)據(jù)特點(diǎn) 69金融大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 70金融大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 71互聯(lián)網(wǎng)金融大數(shù)據(jù) 72互聯(lián)網(wǎng)金融大數(shù)據(jù)特點(diǎn) 72互聯(lián)網(wǎng)金融大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 73互聯(lián)網(wǎng)金融大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 74電信大數(shù)據(jù) 75電信大數(shù)據(jù)特點(diǎn) 75電信大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 75電信大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 76能源大數(shù)據(jù) 77能源大數(shù)據(jù)特點(diǎn) 77能源大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 77能源大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 78交通大數(shù)據(jù) 78交通大數(shù)據(jù)特點(diǎn) 78交通大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 79交通大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 80電商大數(shù)據(jù) 80電商大數(shù)據(jù)特點(diǎn) 80電商大數(shù)據(jù)安全風(fēng)險(xiǎn)和需求 81電商大數(shù)據(jù)安全標(biāo)準(zhǔn)需求 81附錄B大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 83360企業(yè)安全集團(tuán)大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 83IBM大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 84阿里巴巴大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 87海信交通大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 90聯(lián)想大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 92螞蟻金服大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 94南大通用大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 96啟明星辰能源大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 98勤智數(shù)碼互聯(lián)網(wǎng)金融大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 101三未信安大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 102騰訊云大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 104醫(yī)渡云大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 107中電長(zhǎng)城網(wǎng)際大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 111中國(guó)移動(dòng)大數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用實(shí)踐 113附錄C其它相關(guān)資源介紹 116大數(shù)據(jù)安全報(bào)告 116安全管理及框架 116數(shù)據(jù)分類 117個(gè)人信息保護(hù) 117數(shù)據(jù)駐留和跨境流動(dòng) 118行業(yè)數(shù)據(jù)安全 118標(biāo)準(zhǔn)文本 118附錄D大數(shù)據(jù)安全標(biāo)準(zhǔn)術(shù)語摘錄 120《信息安全技術(shù)個(gè)人信息安全規(guī)范》術(shù)語 120《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》術(shù)語 121《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南》術(shù)語 122《信息安全技術(shù)大數(shù)據(jù)安全管理指南》術(shù)語 124《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》術(shù)語 125《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》術(shù)語 126附錄E信安標(biāo)委標(biāo)準(zhǔn)工作程序 128標(biāo)準(zhǔn)項(xiàng)目申請(qǐng)立項(xiàng)程序 128標(biāo)準(zhǔn)項(xiàng)目制修訂程序 128附錄F縮略語 130參考文獻(xiàn) 133PAGEPAGE1011章導(dǎo)論背景大數(shù)據(jù)作為產(chǎn)業(yè)發(fā)展的創(chuàng)新要素，不僅在數(shù)據(jù)科學(xué)與技術(shù)層面，而且在商業(yè)模式、產(chǎn)業(yè)格局、生態(tài)價(jià)值與教育層面，均帶來了新理念和新思維。大數(shù)據(jù)與現(xiàn)有產(chǎn)業(yè)深度融合，在人工智能、自動(dòng)駕駛、金融商業(yè)服務(wù)、醫(yī)療健康管理、科學(xué)研究等領(lǐng)域展現(xiàn)出廣闊的前景，使得生產(chǎn)更加綠色智能、生活更加便捷高效。大數(shù)據(jù)已經(jīng)逐漸成為企業(yè)升級(jí)轉(zhuǎn)型發(fā)展的有力引擎，在提升產(chǎn)業(yè)競(jìng)爭(zhēng)力和推動(dòng)商業(yè)模式創(chuàng)新方面發(fā)揮越來越重要的作用。為堅(jiān)持技術(shù)創(chuàng)新與應(yīng)用創(chuàng)新協(xié)同共進(jìn)，國(guó)家戰(zhàn)略加快經(jīng)濟(jì)社會(huì)各領(lǐng)域的大數(shù)據(jù)開發(fā)與利用，催生出更多的新產(chǎn)業(yè)、新業(yè)態(tài)、新模式，推動(dòng)國(guó)家、行業(yè)、企業(yè)在數(shù)據(jù)的應(yīng)用需求和發(fā)展水平方面進(jìn)入新的階段。在內(nèi)部技術(shù)條件成熟、外部政策因素推動(dòng)的激勵(lì)下，我國(guó)涌現(xiàn)出一批從傳統(tǒng)業(yè)務(wù)擴(kuò)展甚至轉(zhuǎn)型到大數(shù)據(jù)業(yè)務(wù)的企業(yè)，尤其是大數(shù)據(jù)細(xì)分市場(chǎng)，新應(yīng)用新模式層出不窮，大數(shù)據(jù)產(chǎn)業(yè)呈現(xiàn)出蓬勃發(fā)展的態(tài)勢(shì)。在此背景下，在跟蹤研究大數(shù)據(jù)，提升對(duì)大數(shù)據(jù)的認(rèn)知和理解的同時(shí)，也要充分意識(shí)到大數(shù)據(jù)安全與大數(shù)據(jù)應(yīng)用是一體之兩翼、驅(qū)動(dòng)之雙輪，必須從國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略的高度認(rèn)真研究與應(yīng)對(duì)當(dāng)前大數(shù)據(jù)安全面臨的復(fù)雜問題。大數(shù)據(jù)安全標(biāo)準(zhǔn)是大數(shù)據(jù)安全保障體系的基礎(chǔ)組成部分，對(duì)大數(shù)據(jù)安全保障體系的實(shí)施起到引領(lǐng)和指導(dǎo)作用，主要體現(xiàn)在如下方面：一是規(guī)范大數(shù)據(jù)系統(tǒng)所有者、建設(shè)者、運(yùn)營(yíng)者對(duì)大數(shù)據(jù)平臺(tái)和應(yīng)用的安全建設(shè)、運(yùn)維和風(fēng)險(xiǎn)管理；二是指導(dǎo)數(shù)據(jù)控制者完善數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等大數(shù)據(jù)全生命周期的管理，防控來自組織內(nèi)外部的安全風(fēng)險(xiǎn)；三是通過規(guī)范大數(shù)據(jù)服務(wù)組織的基礎(chǔ)安全管理、數(shù)據(jù)安全管理、系統(tǒng)安全建設(shè)、安全運(yùn)維，提升系統(tǒng)防范安全風(fēng)險(xiǎn)的能力；四是規(guī)范行業(yè)大數(shù)據(jù)安全體系。在構(gòu)建大數(shù)據(jù)安全標(biāo)準(zhǔn)體系時(shí)，須統(tǒng)籌考慮數(shù)據(jù)在行業(yè)之間或組織之間的交換與共享問題，以指導(dǎo)各行業(yè)的大數(shù)據(jù)安全建設(shè)和運(yùn)營(yíng)，支撐行業(yè)大數(shù)據(jù)應(yīng)用的快速發(fā)展。為此，亟待從技術(shù)和產(chǎn)業(yè)發(fā)展角度加快推進(jìn)大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作，為我國(guó)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展提供有效支撐。為了貫徹落實(shí)國(guó)家大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作要求，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）下設(shè)了大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組（SWG-BDS，并在已開展的大數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)工作的基礎(chǔ)上，啟動(dòng)了《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書》的編制工作。目的及意義本白皮書從法律法規(guī)、政策、標(biāo)準(zhǔn)及產(chǎn)業(yè)應(yīng)用等角度，勾畫出大數(shù)據(jù)安全的整體輪廓，從國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法利益的角度，綜合分析大數(shù)據(jù)安全標(biāo)準(zhǔn)化需求，從而為我國(guó)后續(xù)的大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作提供指導(dǎo)。本白皮書從多維度闡述大數(shù)據(jù)安全的重要性，分析大數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)，梳理國(guó)內(nèi)外的大數(shù)據(jù)安全法規(guī)政策和標(biāo)準(zhǔn)化工作現(xiàn)狀，制定大數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架，提出開展大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作的建議。本白皮書旨在全面、客觀的反映國(guó)內(nèi)外大數(shù)據(jù)安全標(biāo)準(zhǔn)化相關(guān)工作基礎(chǔ)和進(jìn)展，根據(jù)業(yè)界最佳實(shí)踐、認(rèn)知水平，分享大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組在大數(shù)據(jù)安全標(biāo)準(zhǔn)化領(lǐng)域的研究成果和實(shí)踐經(jīng)驗(yàn)，呼吁社會(huì)各界共同關(guān)注大數(shù)據(jù)安全的法規(guī)政策、技術(shù)創(chuàng)新和標(biāo)準(zhǔn)建設(shè)，為大數(shù)據(jù)產(chǎn)業(yè)的健康、安全、有序發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。2章大數(shù)據(jù)安全本章從保障大數(shù)據(jù)安全和利用大數(shù)據(jù)保障網(wǎng)絡(luò)空間安全兩個(gè)方面介紹了大數(shù)據(jù)安全的含義，闡述了我國(guó)大數(shù)據(jù)安全發(fā)展?fàn)顩r和大數(shù)據(jù)安全的重要意義。大數(shù)據(jù)安全含義當(dāng)今社會(huì)進(jìn)入大數(shù)據(jù)時(shí)代，越來越多的數(shù)據(jù)共享開放，交叉使用。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施缺乏保護(hù)、敏感數(shù)據(jù)泄露嚴(yán)重、智能終端危險(xiǎn)化、信息訪問權(quán)限混亂、個(gè)人敏感信息濫用等問題，急需通過加強(qiáng)網(wǎng)絡(luò)空間安全保障、做好關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、強(qiáng)化數(shù)據(jù)加密、加固智能終端、保護(hù)個(gè)人敏感信息等手段，保障大數(shù)據(jù)背景下的數(shù)據(jù)安全。大數(shù)據(jù)應(yīng)用涉及海量數(shù)據(jù)的分散獲取、集中存儲(chǔ)和分析處理，表現(xiàn)出數(shù)據(jù)容量大、數(shù)據(jù)變化快等特征。同時(shí)，大數(shù)據(jù)所面臨的安全威脅和攻擊種類多，且攻擊行為具有一定的隱蔽性、攻擊特征變化快，單純依賴傳統(tǒng)信息安全防護(hù)技術(shù)來防范大數(shù)據(jù)攻擊存在一定局限性。大數(shù)據(jù)環(huán)境下，雖然很多傳統(tǒng)安全技術(shù)手段和管理措施可以在大數(shù)據(jù)環(huán)境下提供一定安全保障能力。但與此同時(shí)，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)量巨大、數(shù)據(jù)變化快等特征導(dǎo)致大數(shù)據(jù)分析及應(yīng)用場(chǎng)景更為復(fù)雜，這就需要我們對(duì)傳統(tǒng)信息安全技術(shù)優(yōu)化改進(jìn)基礎(chǔ)之上進(jìn)行創(chuàng)新，從而改善海量數(shù)據(jù)分析場(chǎng)景下的應(yīng)用和數(shù)據(jù)安全問題。大數(shù)據(jù)安全主要是保障數(shù)據(jù)不被竊取、破壞和濫用，以及確保大數(shù)據(jù)系統(tǒng)的安全可靠運(yùn)行。需要構(gòu)建包括系統(tǒng)層面、數(shù)據(jù)層面和服務(wù)層面的大數(shù)據(jù)安全框架，從技術(shù)保障、管理保障、過程保障和運(yùn)行保障多維度保障大數(shù)據(jù)應(yīng)用和數(shù)據(jù)安全。從系統(tǒng)層面來看，保障大數(shù)據(jù)應(yīng)用和數(shù)據(jù)安全需要構(gòu)建立體縱深的安全防護(hù)體系，通過系統(tǒng)性、全局性地采取安全防護(hù)措施，保障大數(shù)據(jù)系統(tǒng)正確、安全可靠的運(yùn)行，防止大數(shù)據(jù)被泄密、篡改或?yàn)E用。主流大數(shù)據(jù)系統(tǒng)是由通用的云計(jì)算、云存儲(chǔ)、數(shù)據(jù)采集終端、應(yīng)用軟件、網(wǎng)絡(luò)通信等部分組成，保障大數(shù)據(jù)應(yīng)用和數(shù)據(jù)安全的前提是要保障大數(shù)據(jù)系統(tǒng)中各組成部分的安全，是大數(shù)據(jù)安全保障的重要內(nèi)容。從數(shù)據(jù)層面來看，大數(shù)據(jù)應(yīng)用涉及到采集、傳輸、存儲(chǔ)、處理、交換、銷毀等各個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都面臨不同的安全威脅，需要采取不同的安全防護(hù)措施，確保數(shù)據(jù)在各個(gè)環(huán)節(jié)的保密性、完整性、可用性，并且要采取分級(jí)分類、去標(biāo)識(shí)化、脫敏等方法保護(hù)用戶個(gè)人信息安全。從服務(wù)層面來看，大數(shù)據(jù)應(yīng)用在各行業(yè)得到了蓬勃發(fā)展，為用戶提供數(shù)據(jù)驅(qū)動(dòng)的信息技術(shù)服務(wù)，因此，需要在服務(wù)層面加強(qiáng)大數(shù)據(jù)的安全運(yùn)營(yíng)管理、風(fēng)險(xiǎn)管理，做好數(shù)據(jù)資產(chǎn)保護(hù)，確保大數(shù)據(jù)服務(wù)安全可靠運(yùn)行，從而充分挖掘大數(shù)據(jù)的價(jià)值，提高生產(chǎn)效率，同時(shí)又防范針對(duì)大數(shù)據(jù)應(yīng)用的各種安全隱患。2016絡(luò)空間安全事關(guān)人類共同利益，事關(guān)世界和平與發(fā)展，事關(guān)各國(guó)國(guó)家安全，并提出要實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略，建立大數(shù)據(jù)安全管理制度，支持大數(shù)據(jù)、云計(jì)算等新一代信息技術(shù)創(chuàng)新和應(yīng)用，為保障國(guó)家網(wǎng)絡(luò)安全夯實(shí)產(chǎn)業(yè)基礎(chǔ)，大數(shù)據(jù)安全已成為國(guó)家網(wǎng)絡(luò)空間安全的核心組成。隨著大數(shù)據(jù)應(yīng)用的蓬勃發(fā)展，安全行業(yè)正發(fā)生重大轉(zhuǎn)變，利用大數(shù)據(jù)來保障網(wǎng)絡(luò)空間安全成為一種趨勢(shì)。網(wǎng)絡(luò)空間安全涉及到網(wǎng)絡(luò)空間中電磁設(shè)備、信息通信系統(tǒng)、運(yùn)行數(shù)據(jù)、系統(tǒng)應(yīng)用所面臨的安全威脅防護(hù)，既要防止包括互聯(lián)網(wǎng)、電信網(wǎng)與通信系統(tǒng)、傳播系統(tǒng)與廣電網(wǎng)、計(jì)算機(jī)系統(tǒng)、工業(yè)控制網(wǎng)絡(luò)系統(tǒng)及其所承載的數(shù)據(jù)免遭破壞，也要防止對(duì)這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的攻擊或?yàn)E用波及到政治安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全和國(guó)防安全。針對(duì)上述安全風(fēng)險(xiǎn)，需要采取法律、管理、技術(shù)等綜合手段來進(jìn)行積極應(yīng)對(duì)，確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)及其所承載數(shù)據(jù)的保密性、完整性、可鑒別性、可用性、可靠性、可控性得到保障。目前，大數(shù)據(jù)技術(shù)已經(jīng)廣泛應(yīng)用到網(wǎng)絡(luò)空間安全中的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、高級(jí)持續(xù)威脅（APT）檢測(cè)、偽基站發(fā)現(xiàn)與追蹤、反釣魚攻擊、金融反欺詐等領(lǐng)域，并不斷有新的應(yīng)用場(chǎng)景出現(xiàn)。大數(shù)據(jù)是實(shí)現(xiàn)網(wǎng)絡(luò)空間安全保障的重要技術(shù)。綜合考慮當(dāng)前大數(shù)據(jù)應(yīng)用的特點(diǎn)，利用大數(shù)據(jù)技術(shù)構(gòu)建網(wǎng)絡(luò)空間安全防護(hù)體系，建設(shè)以數(shù)據(jù)為核心的安全防護(hù)系統(tǒng)，集成態(tài)勢(shì)感知、人工智能綜合分析等功能，利用大數(shù)據(jù)技術(shù)工具，將傳統(tǒng)的事中檢測(cè)和事后響應(yīng)防御體系轉(zhuǎn)變?yōu)榘ㄊ虑霸u(píng)估預(yù)防、事中檢測(cè)和事后響應(yīng)恢復(fù)的全面安全防護(hù)體系，為網(wǎng)絡(luò)空間安全帶來新的管理理念和技術(shù)創(chuàng)新，從而大幅提升網(wǎng)絡(luò)空間安全治理能力。我國(guó)大數(shù)據(jù)安全發(fā)展?fàn)顩r為了保障大數(shù)據(jù)安全和網(wǎng)絡(luò)空間安全，我國(guó)網(wǎng)絡(luò)安全企業(yè)近年來發(fā)展迅速，網(wǎng)絡(luò)安全初創(chuàng)企業(yè)不斷涌現(xiàn)，各種先進(jìn)的安全技術(shù)也被及時(shí)引入到國(guó)內(nèi)。中國(guó)信息通信研究院于20179192017我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)在近幾年步入快速發(fā)展的新階段；網(wǎng)絡(luò)安全領(lǐng)域創(chuàng)新活躍；網(wǎng)絡(luò)安全企業(yè)實(shí)力有較大提高，出現(xiàn)了一批具有整合能力的龍頭企業(yè)。我國(guó)網(wǎng)絡(luò)安全企業(yè)的業(yè)務(wù)類型基本覆蓋了大數(shù)據(jù)安全涉及的各方面，包括基礎(chǔ)設(shè)施安全、應(yīng)用安全、數(shù)據(jù)安全、身份與訪問管理、云安全、安全管理、安全服務(wù)等領(lǐng)域，這些企業(yè)是我國(guó)大數(shù)據(jù)安全市場(chǎng)的主力軍。據(jù)賽迪顧問統(tǒng)計(jì)，2016年我國(guó)信息安全市場(chǎng)（包括大數(shù)據(jù)安全市場(chǎng)）336.2201521.550.7%，37.7%、11.6%6121171.49148.183623.54億元。作為企業(yè)發(fā)展的聚集區(qū)和孵化區(qū)，大數(shù)據(jù)安全產(chǎn)業(yè)園區(qū)建設(shè)也已逐步展開。例如，20175261+1+3+N”的大數(shù)據(jù)安全發(fā)展總體思路。其中，第一個(gè)“111個(gè)大數(shù)據(jù)安全靶場(chǎng)也正在著力33N”表示在不同領(lǐng)域、不同行業(yè)，圍繞數(shù)據(jù)安全以及網(wǎng)絡(luò)安全構(gòu)建N個(gè)不同的平臺(tái)。目前，已經(jīng)啟動(dòng)建設(shè)占地一千多畝的大數(shù)據(jù)安全產(chǎn)業(yè)示范區(qū)，預(yù)計(jì)到“十三五”末期，貴陽大數(shù)據(jù)安全產(chǎn)業(yè)園將成為國(guó)內(nèi)大數(shù)據(jù)安全產(chǎn)業(yè)的重要聚集區(qū)和大數(shù)據(jù)安全產(chǎn)業(yè)地標(biāo)。大數(shù)據(jù)安全市場(chǎng)蓬勃發(fā)展，市場(chǎng)預(yù)期良好，但問題也不斷暴露。由于缺乏相應(yīng)的監(jiān)管措施、配套的安全標(biāo)準(zhǔn)以及相應(yīng)的產(chǎn)品檢測(cè)機(jī)制，一些不具備相關(guān)資質(zhì)和能力的企業(yè)看到商機(jī)后趁機(jī)涌入，導(dǎo)致安全市場(chǎng)的從業(yè)企業(yè)魚龍混雜、良莠不齊，呈現(xiàn)出“野蠻發(fā)展”的態(tài)勢(shì)，市場(chǎng)亂象頻出，亟待規(guī)范和引導(dǎo)。隨著國(guó)家對(duì)大數(shù)據(jù)安全的高度重視，一批大數(shù)據(jù)安全相關(guān)的國(guó)家標(biāo)準(zhǔn)將陸續(xù)出臺(tái)，將對(duì)規(guī)范市場(chǎng)秩序、扶持優(yōu)質(zhì)企業(yè)起到重要作用。2.3大數(shù)據(jù)安全的重要意義大數(shù)據(jù)已經(jīng)逐步應(yīng)用于產(chǎn)業(yè)發(fā)展、政府治理、民生改善等領(lǐng)域，大幅度提高了人們的生產(chǎn)效率和生活水平。適應(yīng)、把握、引領(lǐng)大數(shù)據(jù)，將成為時(shí)代潮流。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)是重要的戰(zhàn)略資源，但數(shù)據(jù)資源的價(jià)值只有在流通和應(yīng)用過程中才能夠充分體現(xiàn)出來。這就要求打破傳統(tǒng)垂直應(yīng)用中所形成的數(shù)據(jù)孤島，形成適應(yīng)大數(shù)據(jù)時(shí)代的數(shù)據(jù)湖，并需要數(shù)據(jù)在不同應(yīng)用之間流動(dòng)，這難免會(huì)出現(xiàn)數(shù)據(jù)泄露和濫用問題。在發(fā)展大數(shù)據(jù)的同時(shí)，也容易出現(xiàn)政府重要數(shù)據(jù)、法人和其他組織商業(yè)機(jī)密、個(gè)人敏感數(shù)據(jù)泄露，給國(guó)家安全、社會(huì)秩序、公共利益以及個(gè)人安全造成威脅。沒有安全，發(fā)展就是空談。大數(shù)據(jù)安全是發(fā)展大數(shù)據(jù)的前提，必須將它擺在更加重要的位置。大數(shù)據(jù)系統(tǒng)自身安全防護(hù)具有重要意義。大數(shù)據(jù)的數(shù)據(jù)量大且相互關(guān)聯(lián)，黑客一次成功的攻擊就能夠獲得大量的數(shù)據(jù)，可以從大數(shù)據(jù)中快速捕捉到有價(jià)值的信息，尤其是個(gè)人敏感信息。因此，蘊(yùn)含著海量數(shù)據(jù)和潛在價(jià)值的大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)。另一方面，傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)以及現(xiàn)有網(wǎng)絡(luò)安全行政監(jiān)管手段與大數(shù)據(jù)安全保護(hù)的需求之間還存在較大差距：Hadoop對(duì)數(shù)據(jù)的聚合增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)；NoSQL技術(shù)在維護(hù)數(shù)據(jù)安全方面缺乏嚴(yán)格的訪問控制和隱私管理；復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)在一起，在數(shù)據(jù)管理和使用環(huán)節(jié)也容易形成安全隱患；安全防護(hù)手段的更新升級(jí)速度無法跟上數(shù)據(jù)量指數(shù)級(jí)增長(zhǎng)的步伐等。因此，需要各層面、各環(huán)節(jié)保障大數(shù)據(jù)的安全。從數(shù)據(jù)的層面來看，大數(shù)據(jù)自身安全涉及到采集、傳輸、存儲(chǔ)、處理、交換、銷毀等各個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都面臨不同的威脅，需要采取不同的安全保障措施，這些工作都是保障大數(shù)據(jù)安全的重要內(nèi)容。從系統(tǒng)的層面來看，保障大數(shù)據(jù)自身安全需要從大數(shù)據(jù)系統(tǒng)的各部分采取措施，建立堅(jiān)固、縝密、健壯的防護(hù)體系，保障大數(shù)據(jù)系統(tǒng)正確、安全、可靠的運(yùn)行，防止大數(shù)據(jù)系統(tǒng)被破壞、被滲透或被非法使用。從服務(wù)的層面來看，規(guī)范大數(shù)據(jù)安全服務(wù)內(nèi)容，提高對(duì)大數(shù)據(jù)安全的風(fēng)險(xiǎn)識(shí)別能力，建立健全的大數(shù)據(jù)安全保障體系，降低大數(shù)據(jù)安全隱患和安全事件發(fā)生頻率。大數(shù)據(jù)在保障網(wǎng)絡(luò)安全方面也具有重要作用。當(dāng)前，各種網(wǎng)絡(luò)攻擊頻發(fā)，攻擊過程越來越復(fù)雜，網(wǎng)絡(luò)攻擊手段變得越來越隱蔽，傳統(tǒng)的入侵檢測(cè)、防御等網(wǎng)絡(luò)安全產(chǎn)品往往難以奏效，采用大數(shù)據(jù)技術(shù)來檢測(cè)高級(jí)網(wǎng)絡(luò)攻擊成為一種趨勢(shì)。當(dāng)前，為了利用大數(shù)據(jù)來加強(qiáng)企業(yè)信息安全能力，包括采用大數(shù)據(jù)技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅信息分析，采用基于大數(shù)據(jù)的深度學(xué)習(xí)方法來替代傳統(tǒng)入侵檢測(cè)方法中的攻擊特征模式提取，采用大數(shù)據(jù)技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知，以及對(duì)多步復(fù)雜網(wǎng)絡(luò)攻擊的檢測(cè)、溯源和場(chǎng)景重現(xiàn)，都已開始應(yīng)用?？梢哉f，大數(shù)據(jù)技術(shù)將重塑未來的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)發(fā)展趨勢(shì)。未來，在大數(shù)據(jù)應(yīng)用的飛速發(fā)展過程中，大數(shù)據(jù)安全問題將始終伴隨左右。針對(duì)大數(shù)據(jù)安全問題和安全風(fēng)險(xiǎn)，必須加大大數(shù)據(jù)安全技術(shù)的研究力度，必須以現(xiàn)有安全技術(shù)為依托，深入研究新型的大數(shù)據(jù)安全技術(shù)，比如同態(tài)加密技術(shù)等。確保大數(shù)據(jù)在存儲(chǔ)、處理、傳輸?shù)冗^程的安全性，在充分挖掘數(shù)據(jù)價(jià)值的同時(shí)保護(hù)用戶隱私，從而避免因大數(shù)據(jù)安全問題而給用戶的利益造成損失。需要進(jìn)一步完善大數(shù)據(jù)安全相關(guān)法律體系建設(shè)，對(duì)數(shù)據(jù)權(quán)屬界定、數(shù)據(jù)流動(dòng)管理、個(gè)人信息保護(hù)等各種問題，給出明確規(guī)定。需要?jiǎng)?chuàng)新研制和推廣大數(shù)據(jù)安全保護(hù)的產(chǎn)品和服務(wù)，基于大數(shù)據(jù)研制網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，推動(dòng)大數(shù)據(jù)安全市場(chǎng)發(fā)展，保障大數(shù)據(jù)時(shí)代的信息安全。 3章大數(shù)據(jù)安全挑戰(zhàn)大數(shù)據(jù)安全風(fēng)險(xiǎn)伴隨大數(shù)據(jù)應(yīng)用而生。我們?cè)谙硎艽髷?shù)據(jù)福祉的同時(shí)，也面臨著前所未有的安全挑戰(zhàn)。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)應(yīng)用的爆發(fā)，系統(tǒng)遭受攻擊、數(shù)據(jù)丟失和個(gè)人信息泄露的事件時(shí)有發(fā)生，而地下數(shù)據(jù)交易黑灰產(chǎn)也導(dǎo)致了大量的數(shù)據(jù)濫用和網(wǎng)絡(luò)詐騙事件。這些安全事件，有的造成個(gè)人的財(cái)產(chǎn)損失，有的引發(fā)惡性社會(huì)事件，有的甚至危及國(guó)家安全。可以說當(dāng)前環(huán)境下，大數(shù)據(jù)平臺(tái)與技術(shù)、大數(shù)據(jù)環(huán)境下的數(shù)據(jù)和個(gè)人信息、大數(shù)據(jù)應(yīng)用等方面都面臨著極大的安全挑戰(zhàn)，這些挑戰(zhàn)不僅對(duì)個(gè)人有著重大影響，更直接威脅到社會(huì)的繁榮穩(wěn)定和國(guó)家的安全利益。大數(shù)據(jù)技術(shù)和平臺(tái)安全挑戰(zhàn)伴隨著大數(shù)據(jù)的飛速發(fā)展，各種大數(shù)據(jù)技術(shù)層出不窮，新的技術(shù)架構(gòu)、支撐平臺(tái)和大數(shù)據(jù)軟件不斷涌現(xiàn)，大數(shù)據(jù)安全技術(shù)和平臺(tái)發(fā)展也面臨著新的挑戰(zhàn)。大數(shù)據(jù)的一個(gè)顯著特點(diǎn)是數(shù)量巨大，即“Volume處理體量非常大的數(shù)據(jù)。同時(shí)，大數(shù)據(jù)還有另外一個(gè)特點(diǎn)是類型多，即“Variety非結(jié)構(gòu)化數(shù)據(jù)，來源上包括生產(chǎn)、財(cái)務(wù)等業(yè)務(wù)數(shù)據(jù)，也包括文本、音頻、視頻、圖片、地理位置信息等。這些海量、多源、異構(gòu)等大數(shù)據(jù)特征導(dǎo)致其與傳統(tǒng)封閉環(huán)境下的數(shù)據(jù)應(yīng)用安全環(huán)境有很大區(qū)別。大數(shù)據(jù)技術(shù)架構(gòu)復(fù)雜，大數(shù)據(jù)應(yīng)用一般采用底層復(fù)雜、開放的分布式計(jì)算和存儲(chǔ)架構(gòu)為其提供海量數(shù)據(jù)分布式存儲(chǔ)和高效計(jì)算服務(wù)，這些新的技術(shù)和架構(gòu)使得大數(shù)據(jù)應(yīng)用的系統(tǒng)邊界變得模糊，傳統(tǒng)基于邊界的安全保護(hù)措施將變得不再有效。如在大數(shù)據(jù)系統(tǒng)中，數(shù)據(jù)一般都是分布式存儲(chǔ)的，數(shù)據(jù)可能動(dòng)態(tài)分散在很多個(gè)不同的存儲(chǔ)設(shè)備、甚至不同的物理地點(diǎn)存儲(chǔ)，這樣導(dǎo)致難以準(zhǔn)確劃同時(shí)，大數(shù)據(jù)系統(tǒng)表現(xiàn)為系統(tǒng)的系統(tǒng)（SystemofSystem安全問題也將顯得更加突出。在分布式計(jì)算環(huán)境下，計(jì)算涉及的軟件和硬件較多，任何一點(diǎn)遭受故障或攻擊，都可能導(dǎo)致整體安全出現(xiàn)問題。攻擊者也可以從防護(hù)能力最弱的節(jié)點(diǎn)著手進(jìn)行突破，通過破壞計(jì)算節(jié)點(diǎn)、篡改傳輸數(shù)據(jù)和滲透攻擊，最終達(dá)到破壞或控制整個(gè)分布式系統(tǒng)的目的。傳統(tǒng)基于單點(diǎn)的認(rèn)證鑒別、訪問控制和安全審計(jì)的手段將面臨巨大的挑戰(zhàn)。此外，傳統(tǒng)的安全檢測(cè)技術(shù)能夠?qū)⒋罅康娜罩緮?shù)據(jù)集中到一起，進(jìn)行整體性的安全分析，試圖從中發(fā)現(xiàn)安全事件。然而，這些安全檢測(cè)技術(shù)往往存在誤報(bào)過多的問題，隨著大數(shù)據(jù)系統(tǒng)建設(shè)，日志數(shù)據(jù)規(guī)模增大，數(shù)據(jù)的種類將更加豐富。過多的誤判會(huì)造成安全檢測(cè)系統(tǒng)失效，降低安全檢測(cè)能力。因此，在大數(shù)據(jù)環(huán)境下，大數(shù)據(jù)安全審計(jì)檢測(cè)方面也面臨著巨大的挑戰(zhàn)。隨著大數(shù)據(jù)技術(shù)的應(yīng)用，為了保證大數(shù)據(jù)安全，需要進(jìn)一步提高安全檢測(cè)技術(shù)能力，提升安全檢測(cè)技術(shù)在大數(shù)據(jù)時(shí)代的適用性。HadoopHBase/Hive、Cassandra/Spark、MongoDB之初，大部分考慮是在可信的內(nèi)部網(wǎng)絡(luò)中使用，對(duì)大數(shù)據(jù)應(yīng)用用戶的身份鑒別、授權(quán)訪問以及安全審計(jì)等安全功能需求考慮較少。近年來，隨著更新發(fā)展，這些軟件通過調(diào)用外部安全組件、修補(bǔ)安全補(bǔ)丁的方式逐步增加了一些安全措施，Kerberos密以及增加安全審計(jì)功能等。即便如此，大部分大數(shù)據(jù)軟件仍然是圍繞大容量、高速率的數(shù)據(jù)處理功能開發(fā)，而缺乏原生的安全特性，在整體安全規(guī)劃方面考慮不足，甚至沒有良好的安全實(shí)現(xiàn)。同時(shí)，大數(shù)據(jù)系統(tǒng)建設(shè)過程中，現(xiàn)有的基礎(chǔ)軟件和應(yīng)用多采用第三方開源組件。這些開源系統(tǒng)本身功能復(fù)雜、模塊眾多、復(fù)雜性很高，因此對(duì)使用人員的技術(shù)要求較高，稍有不慎，可能導(dǎo)致系統(tǒng)崩潰或數(shù)據(jù)丟失。在開源軟件開發(fā)和維護(hù)過程中，由于軟件管理松散、開發(fā)人員混雜，軟件在發(fā)布前幾乎都沒有經(jīng)過權(quán)威和嚴(yán)格的安全測(cè)試，使得這些軟件大都缺乏有效的漏洞管理和惡意后20176，Hadoop軟件沒有對(duì)輸入進(jìn)行嚴(yán)格的驗(yàn)證，導(dǎo)致攻擊者可以利用該漏洞攻擊系統(tǒng)，并獲得最高管理員權(quán)限。物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，使得當(dāng)前設(shè)備連接和數(shù)據(jù)規(guī)模都達(dá)到了前所未有的程度，不僅手機(jī)、電腦、電視機(jī)等傳統(tǒng)信息化設(shè)備已連入網(wǎng)絡(luò)，汽車、家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為互聯(lián)網(wǎng)的終端。而在這些新終端的安全防護(hù)上，現(xiàn)有的安全防護(hù)體系尚不成熟，有效的安全手段還不多，急需研發(fā)和應(yīng)用更好的安全保護(hù)機(jī)制。大數(shù)據(jù)應(yīng)用的特點(diǎn)之一是數(shù)據(jù)類型復(fù)雜、應(yīng)用范圍廣泛，它通常要為來自不同組織或部門、不同身份與目的的用戶提供服務(wù)。因而隨著大數(shù)據(jù)應(yīng)用的發(fā)展，其在應(yīng)用訪問控制方面也面臨著巨大的挑戰(zhàn)。首先是用戶身份鑒別。大數(shù)據(jù)只有經(jīng)過開放和流動(dòng)，才能創(chuàng)造出更大的價(jià)值。目前，政府部門、央企及其它重要單位的數(shù)據(jù)正在逐步開放，或開放給組織內(nèi)部不同部門使用，或開放給不同政府部門和上級(jí)監(jiān)管部門，或者開放給定向企業(yè)和社會(huì)公眾使用。數(shù)據(jù)的開放共享意味著會(huì)有更多的用戶可以訪問數(shù)據(jù)。大量的用戶以及復(fù)雜的共享應(yīng)用環(huán)境，導(dǎo)致大數(shù)據(jù)系統(tǒng)需要更準(zhǔn)確地識(shí)別和鑒別用戶身份，傳統(tǒng)基于集中數(shù)據(jù)存儲(chǔ)的用戶身份鑒別難以滿足安全需求。其次是用戶訪問控制。目前常見的用戶訪問控制是基于用戶身份或角色進(jìn)行的。而在大數(shù)據(jù)應(yīng)用場(chǎng)景中，由于存在大量未知的用戶和數(shù)據(jù)，預(yù)先設(shè)置角色及權(quán)限十分困難。即使可以事先對(duì)用戶權(quán)限分類，但由于用戶角色眾多，難以精細(xì)化和細(xì)粒度地控制每個(gè)角色的實(shí)際權(quán)限，從而導(dǎo)致無法準(zhǔn)確為每個(gè)用戶指定其可以訪問的數(shù)據(jù)范圍。再次是用戶數(shù)據(jù)安全審計(jì)和追蹤溯源。針對(duì)大數(shù)據(jù)量時(shí)的細(xì)粒度數(shù)據(jù)審計(jì)能力不足，用戶訪問控制策略需要?jiǎng)?chuàng)新。當(dāng)前常見的操作系統(tǒng)審計(jì)、網(wǎng)絡(luò)審計(jì)、日志審計(jì)等軟件在審計(jì)粒度上較粗，不能完全滿足復(fù)雜大數(shù)據(jù)應(yīng)用場(chǎng)景下審計(jì)多種數(shù)據(jù)源日志的需求，尚難以達(dá)到良好的溯源效果。隨著大數(shù)據(jù)的發(fā)展，數(shù)據(jù)的處理環(huán)境、相關(guān)角色和傳統(tǒng)的數(shù)據(jù)處理有了很大的不同，如在大數(shù)據(jù)應(yīng)用中，常常使用云計(jì)算、分布式等環(huán)境來處理數(shù)據(jù)，相關(guān)的角色包括數(shù)據(jù)所有者、應(yīng)用服務(wù)提供者等。在這種情況下，數(shù)據(jù)可能被云服務(wù)提供商或其他非數(shù)據(jù)所有者訪問和處理，他們甚至能夠刪除和篡改數(shù)據(jù)，這對(duì)數(shù)據(jù)的保密性和完整性保護(hù)方面帶來了極大的安全風(fēng)險(xiǎn)。密碼技術(shù)作為信息安全技術(shù)的基石，也是實(shí)現(xiàn)大數(shù)據(jù)安全保護(hù)與共享的基礎(chǔ)。面對(duì)日益發(fā)展的云計(jì)算和大數(shù)據(jù)應(yīng)用，現(xiàn)有密碼算法在適用場(chǎng)景、計(jì)算效率以及密鑰管理等方面存在明顯不足。為此，針對(duì)數(shù)據(jù)權(quán)益保護(hù)、多方計(jì)算、訪問控制、可追溯性等多方面的安全需求，近年來提出了大量的用于大數(shù)據(jù)安全保護(hù)的密碼技術(shù)，包括同態(tài)加密算法、完整性校驗(yàn)、密文搜索和密文數(shù)據(jù)去重等，以及相關(guān)算法和機(jī)制的高效實(shí)現(xiàn)技術(shù)。為更好地保護(hù)大數(shù)據(jù)，這些基礎(chǔ)密碼技術(shù)亟待突破。如在上世紀(jì)七十年代提出的同態(tài)加密思想，由于這種加密算法可以直接對(duì)加密數(shù)據(jù)進(jìn)行各種運(yùn)算，運(yùn)算后數(shù)據(jù)再解密的結(jié)果和對(duì)原始未加密數(shù)據(jù)進(jìn)行同樣運(yùn)算的結(jié)果是一致的，因此同態(tài)加密非常適合于云計(jì)算環(huán)境中，可以從根本上解決將數(shù)據(jù)及其操作委托給第三方時(shí)的保密問題。盡管近幾年來，同態(tài)加密技術(shù)已經(jīng)得到了較大的發(fā)展，但是離大規(guī)模實(shí)用還有一定距離。考慮到應(yīng)用需求和誘人的前景，同態(tài)加密算法亟待得到突破性創(chuàng)新發(fā)展。數(shù)據(jù)安全和個(gè)人信息保護(hù)挑戰(zhàn)大數(shù)據(jù)中包含了大量的數(shù)據(jù)，而其中又蘊(yùn)含著巨大的價(jià)值。數(shù)據(jù)安全和個(gè)人信息保護(hù)是大數(shù)據(jù)應(yīng)用和發(fā)展中必須面臨的重大挑戰(zhàn)。大數(shù)據(jù)擁有大量的數(shù)據(jù)，使得其更容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。在開放的網(wǎng)絡(luò)化社會(huì)，蘊(yùn)含著海量數(shù)據(jù)和潛在價(jià)值的大數(shù)據(jù)更受黑客青睞，近年來也頻繁爆發(fā)郵箱賬號(hào)、社保信息、銀行卡號(hào)等數(shù)據(jù)大量被竊的安全事件。分布式的系統(tǒng)部署、開放的網(wǎng)絡(luò)環(huán)境、復(fù)雜的數(shù)據(jù)應(yīng)用和眾多的用戶訪問，都使得大數(shù)據(jù)在保密性、完整性、可用性等方面面臨更大的挑戰(zhàn)。2016MongoDBTB數(shù)據(jù)被攻擊者下載，涉及包括醫(yī)療、金融、旅游在內(nèi)的諸多行業(yè)。一部分攻擊者甚至在入侵MongoDB數(shù)據(jù)庫(kù)后，將數(shù)據(jù)清除并向受害者索取贖金。又如在20176HDFS45005120TB。針對(duì)數(shù)據(jù)的安全防護(hù)，應(yīng)當(dāng)圍繞數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換、銷毀等生命周期階段進(jìn)行。針對(duì)不同階段的不同特點(diǎn)，應(yīng)當(dāng)采取適合該階段的安全技術(shù)進(jìn)行保護(hù)。如在數(shù)據(jù)存儲(chǔ)階段，大數(shù)據(jù)應(yīng)用中的數(shù)據(jù)類型包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，且半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)占據(jù)相當(dāng)大的比例。因此在存儲(chǔ)大數(shù)據(jù)時(shí)，不僅僅要正確使用關(guān)系型數(shù)據(jù)庫(kù)已有的安全機(jī)制，還應(yīng)當(dāng)為半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)設(shè)計(jì)安全的存儲(chǔ)保護(hù)機(jī)制。由于大數(shù)據(jù)系統(tǒng)中普遍存在大量的個(gè)人信息，在發(fā)生數(shù)據(jù)濫用、內(nèi)部偷竊、網(wǎng)絡(luò)攻擊等安全事件時(shí)，常常伴隨著個(gè)人信息泄露。另一方面，隨著數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、人工智能等技術(shù)的研究和應(yīng)用，使得大數(shù)據(jù)分析的能力越來越強(qiáng)大，由于海量數(shù)據(jù)本身就蘊(yùn)藏著價(jià)值，在對(duì)大數(shù)據(jù)中多源數(shù)據(jù)進(jìn)行綜合分析時(shí)，分析人員更容易通過關(guān)聯(lián)分析挖掘出更多的個(gè)人信息，從而進(jìn)一步加劇了個(gè)人信息泄露的風(fēng)險(xiǎn)。在大數(shù)據(jù)時(shí)代，要對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)，既要注意防止因數(shù)據(jù)丟失而直接導(dǎo)致的個(gè)人信息泄露，也要注意防止因挖掘分析而間接導(dǎo)致的個(gè)人信息泄露，這種綜合保護(hù)需求帶來的安全挑戰(zhàn)是巨大的。在大數(shù)據(jù)時(shí)代，不能禁止外部人員挖掘公開、半公開信息，即使想限制數(shù)據(jù)共享對(duì)象、合作伙伴挖掘共享的信息也很難做到。目前，各社交網(wǎng)站均不同程度地開放其所產(chǎn)生的實(shí)時(shí)數(shù)據(jù)，其中既可能包括商務(wù)、業(yè)務(wù)數(shù)據(jù)，也可能包括個(gè)人信息。市場(chǎng)上已經(jīng)出現(xiàn)了許多監(jiān)測(cè)數(shù)據(jù)的數(shù)據(jù)分析機(jī)構(gòu)。這些機(jī)構(gòu)通過對(duì)數(shù)據(jù)的挖掘分析，以及和歷史數(shù)據(jù)對(duì)比分析、和其他手段得到的公開、私有數(shù)據(jù)進(jìn)行綜合挖掘分析，可能得到非常多的新信息，如分析某個(gè)地區(qū)經(jīng)濟(jì)趨勢(shì)、某種流行病的醫(yī)學(xué)分析，甚至直接分析出某個(gè)人的具體個(gè)人信息來。個(gè)人信息泄露產(chǎn)生的后果將遠(yuǎn)比一般數(shù)據(jù)泄露嚴(yán)重，20168伙利用非法獲取得到的數(shù)萬條高考考生信息實(shí)施詐騙，山東女孩徐某因?qū)W費(fèi)被騙出現(xiàn)心臟驟停，最終不幸逝世。近幾年來，個(gè)人信息泄露的事件時(shí)有發(fā)生，20155713920161210密保問題及答案等內(nèi)容。2006（AOL）65公開發(fā)布。而《紐約時(shí)報(bào)》通過綜合推斷，竟然分析出了數(shù)據(jù)集中某個(gè)匿名用戶的真實(shí)姓名和地址等個(gè)人信息。因此，在大數(shù)據(jù)環(huán)境下，對(duì)個(gè)人信息的保護(hù)將面臨極大的挑戰(zhàn)。大數(shù)據(jù)的特點(diǎn)中，類型多（Variety，是指數(shù)據(jù)種類和來源非常多。實(shí)際上，在當(dāng)前的萬物互聯(lián)時(shí)代，數(shù)據(jù)的來源非常廣泛，各種非結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)與結(jié)構(gòu)化數(shù)據(jù)混雜在一起。數(shù)據(jù)采集者將不得不接受的現(xiàn)實(shí)是：要收集的信息太多，甚至很多數(shù)據(jù)不是來自第一手收集，而是經(jīng)過多次轉(zhuǎn)手之后收集到的。從來源上看，大數(shù)據(jù)系統(tǒng)中的數(shù)據(jù)來源可能來源于各種傳感器、主動(dòng)上傳者以及公開網(wǎng)站。除了可信的數(shù)據(jù)來源外，也存在大量不可信的數(shù)據(jù)來源。甚至有些攻擊者會(huì)故意偽造數(shù)據(jù)，企圖誤導(dǎo)數(shù)據(jù)分析結(jié)果。因此，對(duì)數(shù)據(jù)的真實(shí)性確認(rèn)、來源驗(yàn)證等需求非常迫切，數(shù)據(jù)真實(shí)性保障面臨的挑戰(zhàn)更加嚴(yán)峻。事實(shí)上，由于采集終端性能限制、鑒別技術(shù)不足、信息量有限、來源種類繁雜等原因，對(duì)所有數(shù)據(jù)進(jìn)行真實(shí)性驗(yàn)證存在很大的困難。收集者無法驗(yàn)證到手的數(shù)據(jù)是否是原始數(shù)據(jù)，甚至無法確認(rèn)數(shù)據(jù)是否被篡改、偽造。那么產(chǎn)生的一個(gè)問題是，依賴于大數(shù)據(jù)進(jìn)行的應(yīng)用，很可能得到錯(cuò)誤的結(jié)果。2008，Google（GoogleFluGFT）的產(chǎn)品。該產(chǎn)品的基本思路是：搜索流感相關(guān)主題的人數(shù)與實(shí)際患有流感癥狀的人數(shù)之間存在著密切的關(guān)系，用大數(shù)據(jù)分析網(wǎng)絡(luò)上用戶的搜索詞有助于2008forDiseaseControlandPrevention）提前兩個(gè)星期預(yù)測(cè)到了流感的爆發(fā)。但是，消息公布后，眾多的網(wǎng)民都對(duì)這個(gè)預(yù)測(cè)很感興趣，于是網(wǎng)絡(luò)中出現(xiàn)了大量的類似搜索記錄，從而導(dǎo)致了很多“虛假”的數(shù)據(jù)記錄到搜索數(shù)據(jù)中。所以后來該產(chǎn)品的預(yù)測(cè)結(jié)果就不準(zhǔn)確了，尤其是到了2012年，偏差最大甚至高出了標(biāo)準(zhǔn)值一倍多。因此，在大數(shù)據(jù)環(huán)境下，對(duì)數(shù)據(jù)真實(shí)性保障面臨巨大的挑戰(zhàn)。數(shù)據(jù)脫離數(shù)據(jù)所有者控制將損害數(shù)據(jù)所有者的權(quán)益。大數(shù)據(jù)應(yīng)用過程中，數(shù)據(jù)的生命周期包括采集、傳輸、存儲(chǔ)、處理、交換、銷毀等各個(gè)階段，在每個(gè)階段中可能會(huì)被不同角色的用戶所接觸，會(huì)從一個(gè)控制者流向另一個(gè)控制者。因此，在大數(shù)據(jù)應(yīng)用流通過程中，會(huì)出現(xiàn)數(shù)據(jù)擁有者與管理者不同、數(shù)據(jù)所有權(quán)和使用權(quán)分離的情況，即數(shù)據(jù)會(huì)脫離數(shù)據(jù)所有者的控制而存在。從而，數(shù)據(jù)的實(shí)際控制者可以不受數(shù)據(jù)所有者的約束而自由地使用、分享、交換、轉(zhuǎn)移、刪除這些數(shù)據(jù)，也就是在大數(shù)據(jù)應(yīng)用中容易存在數(shù)據(jù)濫用、權(quán)屬不明確、安全監(jiān)管責(zé)任不清晰等安全風(fēng)險(xiǎn)，而這將嚴(yán)重?fù)p害數(shù)據(jù)所有者的權(quán)益。數(shù)據(jù)產(chǎn)權(quán)歸屬分歧嚴(yán)重。數(shù)據(jù)的開放、流通和共享是大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的關(guān)鍵，而數(shù)據(jù)的產(chǎn)權(quán)清晰是大數(shù)據(jù)共享交換、交易流通的基礎(chǔ)。但是，當(dāng)前的大數(shù)據(jù)應(yīng)用場(chǎng)景中，存在數(shù)據(jù)產(chǎn)權(quán)不清晰的情況。如大數(shù)據(jù)挖掘分析者經(jīng)過對(duì)原始數(shù)據(jù)集處理后，會(huì)分析出新的數(shù)據(jù)，這些數(shù)據(jù)的所有權(quán)到底屬于原始數(shù)據(jù)所有方，還是挖掘分析者，目前在很多應(yīng)用場(chǎng)景中還是各執(zhí)一詞，沒有明確的說法。又如在一些提供交通出行、位置服務(wù)的應(yīng)用中，服務(wù)提供商在為客戶提供導(dǎo)航、交通工具等服務(wù)時(shí)，同時(shí)記錄了客戶端運(yùn)動(dòng)軌跡信息，對(duì)于此類運(yùn)動(dòng)軌跡信息的權(quán)屬到底屬于誰，以及是否屬于客戶端個(gè)人信息，到目前為止，分歧仍然比較大。對(duì)此類數(shù)據(jù)權(quán)屬不清的數(shù)據(jù)，首要解決的是數(shù)據(jù)歸誰所有、誰能授權(quán)等問題，才能明確數(shù)據(jù)能用來干什么、不能用來干什么，以及采用什么安全保護(hù)措施，尤其是當(dāng)數(shù)據(jù)中含有重要數(shù)據(jù)或個(gè)人信息的時(shí)候。國(guó)家社會(huì)安全和法規(guī)標(biāo)準(zhǔn)挑戰(zhàn)大數(shù)據(jù)正日益對(duì)全球經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國(guó)家治理能力產(chǎn)生重要影響。全球范圍內(nèi)，運(yùn)用大數(shù)據(jù)推動(dòng)經(jīng)濟(jì)發(fā)展、完善社會(huì)治理、提升政府服務(wù)和監(jiān)管能力正成為趨勢(shì)。與此同時(shí)，隨著大數(shù)據(jù)的應(yīng)用和發(fā)展，數(shù)據(jù)量越來越大、內(nèi)容越來越豐富、交流領(lǐng)域越來越廣、應(yīng)用越來越重要，大數(shù)據(jù)的安全問題引發(fā)了世界各國(guó)的普遍擔(dān)憂?？梢哉f，大數(shù)據(jù)時(shí)代的到來在給我們帶來機(jī)遇的同時(shí)，也給國(guó)家安全、社會(huì)治理以及法規(guī)標(biāo)準(zhǔn)制定等帶來了巨大的挑戰(zhàn)。國(guó)家安全是伴隨著國(guó)家的出現(xiàn)而產(chǎn)生的，它是一個(gè)國(guó)家生存和發(fā)展的前提。隨著時(shí)代發(fā)展，當(dāng)前國(guó)家安全的內(nèi)容已發(fā)展的十分豐富，包含了政治安全、國(guó)土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全、科技安全、信息安全、生態(tài)安全、資源安全、核安全等內(nèi)容。這些內(nèi)容相互聯(lián)系、相互作用，影響著整個(gè)國(guó)家安全。大數(shù)據(jù)不僅僅帶來了技術(shù)和產(chǎn)業(yè)的變更，更是改變了我們的工作方式、生活方式乃至思維模式。大數(shù)據(jù)是信息化發(fā)展的新階段，運(yùn)用大數(shù)據(jù)可以提升國(guó)家治理現(xiàn)代化水平，通過建立健全大數(shù)據(jù)輔助科學(xué)決策和社會(huì)治理的機(jī)制，有助于推進(jìn)政府管理和社會(huì)治理模式創(chuàng)新。信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合引發(fā)了數(shù)據(jù)迅猛增長(zhǎng)，數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源。而同時(shí)，大數(shù)據(jù)的應(yīng)用范圍越來越廣泛，國(guó)家的政治、經(jīng)濟(jì)、軍事、文化等各個(gè)領(lǐng)域都離不開數(shù)據(jù)和數(shù)字基礎(chǔ)設(shè)施。各類大數(shù)據(jù)平臺(tái)承載著海量的數(shù)據(jù)資源，其中不乏大量敏感資源和重要數(shù)據(jù)，必然會(huì)成為包括黑客在內(nèi)的各類敵對(duì)勢(shì)力對(duì)一個(gè)國(guó)家進(jìn)行網(wǎng)絡(luò)攻擊的重要目標(biāo)。實(shí)際上，各類數(shù)據(jù)已經(jīng)成為一些不法分子和敵對(duì)勢(shì)力用來策劃、實(shí)施、推動(dòng)各種違法犯罪活動(dòng)的理想工具，對(duì)國(guó)家安全和社會(huì)穩(wěn)定造成了極大的破壞。上升到國(guó)家戰(zhàn)略層面，涉及國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施的大數(shù)據(jù)資源一旦受到破壞，將使得國(guó)家在政治、經(jīng)濟(jì)、軍事等各領(lǐng)域受到巨大的損失。面對(duì)洶涌的數(shù)據(jù)洪流，站在國(guó)家安全的角度來思考和研究大數(shù)據(jù)安全，已經(jīng)成為一個(gè)緊迫而現(xiàn)實(shí)的挑戰(zhàn)。大數(shù)據(jù)全球化、開放化的特點(diǎn)，使國(guó)家的“信息邊疆”不斷拓展和延伸。大數(shù)據(jù)安全和國(guó)家安全息息相關(guān)，沒有大數(shù)據(jù)安全，就沒有真正意義上的國(guó)家安全。大數(shù)據(jù)應(yīng)用能夠揭示傳統(tǒng)技術(shù)方式難以展現(xiàn)的關(guān)聯(lián)關(guān)系，推動(dòng)政府?dāng)?shù)據(jù)開放共享，促進(jìn)社會(huì)事業(yè)數(shù)據(jù)融合和資源整合，將極大提升政府整體數(shù)據(jù)分析能力，為有效處理復(fù)雜社會(huì)問題提供新的手段。建立“用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的管理機(jī)制，實(shí)現(xiàn)基于數(shù)據(jù)的科學(xué)決策。但是，從我此外，創(chuàng)新社會(huì)治理，是我國(guó)應(yīng)對(duì)社會(huì)轉(zhuǎn)型、化解社會(huì)矛盾、協(xié)調(diào)利益關(guān)系所面臨的一項(xiàng)重大戰(zhàn)略任務(wù)。針對(duì)目前社會(huì)治理領(lǐng)域普遍存在的一些問題，大數(shù)據(jù)技術(shù)通過對(duì)海量數(shù)據(jù)的快速收集與挖掘、及時(shí)研判與共享，成為支持社會(huì)治理科學(xué)決策和準(zhǔn)確預(yù)判的有力手段，為轉(zhuǎn)型期的社會(huì)治理帶來了新機(jī)遇。而現(xiàn)實(shí)問題是，在大數(shù)據(jù)時(shí)代，可以說每個(gè)人都是數(shù)據(jù)的制造者、傳遞者和消費(fèi)者，大量現(xiàn)實(shí)問題在虛擬的網(wǎng)絡(luò)環(huán)境中討論和傳播，其中不乏存在大量的誤導(dǎo)、篡改及謠傳的信息。一方面，這些虛假、錯(cuò)誤的信息進(jìn)入到社會(huì)治理的數(shù)據(jù)集中后，將會(huì)誤導(dǎo)基于大數(shù)據(jù)的科學(xué)決策，影響社會(huì)治理重點(diǎn)和效果；另一方面，虛假、錯(cuò)誤的信息不被及時(shí)發(fā)現(xiàn)和處理，極有可能帶來惡劣的負(fù)面效果，甚至導(dǎo)致爆發(fā)社會(huì)群體性事件。因此，如何甄別大數(shù)據(jù)中虛假和錯(cuò)誤信息對(duì)社會(huì)治理帶來了巨大挑戰(zhàn)。大數(shù)據(jù)應(yīng)用的場(chǎng)景越來越多，越來越重要，因此，要科學(xué)規(guī)范利用大數(shù)據(jù)并切實(shí)保障數(shù)據(jù)安全，在完善法規(guī)制度和標(biāo)準(zhǔn)體系方面也將面臨著不小的挑戰(zhàn)。一方面，大數(shù)據(jù)的發(fā)展推動(dòng)了經(jīng)濟(jì)發(fā)展，但也給監(jiān)管和法律帶來了新的挑戰(zhàn)。法律帶來的是穩(wěn)定的預(yù)期和權(quán)利義務(wù)關(guān)系的平衡。大數(shù)據(jù)以及它給政治、綱要》指出，推進(jìn)大數(shù)據(jù)健康發(fā)展，要加強(qiáng)政策、監(jiān)管、法律的統(tǒng)籌協(xié)調(diào)，加快法規(guī)制度建設(shè)。要制定數(shù)據(jù)資源確權(quán)、開放、流通、交易相關(guān)法規(guī)，完善數(shù)據(jù)產(chǎn)權(quán)保護(hù)法規(guī)。通過積極研究數(shù)據(jù)開放、保護(hù)等方面的法規(guī)，有利于實(shí)現(xiàn)對(duì)數(shù)據(jù)資源的采集、傳輸、存儲(chǔ)、處理、交換、銷毀的規(guī)范管理，可以促進(jìn)數(shù)據(jù)在風(fēng)險(xiǎn)可控原則下最大程度開放，明確市場(chǎng)主體大數(shù)據(jù)的權(quán)限及范圍，界定數(shù)據(jù)資源的所有權(quán)及使用權(quán)，加強(qiáng)對(duì)數(shù)據(jù)濫用、侵犯?jìng)€(gè)人信息安全等行為的管理和懲戒。如通過制定個(gè)人信息方面的法規(guī)制度細(xì)則，可以界定哪些數(shù)據(jù)屬于個(gè)人信息，如非法使用則將受到相應(yīng)的懲戒；又如通過制定跨境數(shù)據(jù)流動(dòng)方面的法規(guī)制度細(xì)則，可以加速形成跨境數(shù)據(jù)安全流動(dòng)框架，明確相應(yīng)的部門職責(zé)、數(shù)據(jù)分類管理要求以及數(shù)據(jù)主體的權(quán)利和義務(wù)等。另一方面，大數(shù)據(jù)的發(fā)展也給標(biāo)準(zhǔn)規(guī)范配套帶來了新的挑戰(zhàn)。標(biāo)準(zhǔn)是法規(guī)制度的支撐，肩負(fù)著規(guī)范市場(chǎng)客體質(zhì)量和技術(shù)要求的重要職能。因此，除了在立法層面要明確數(shù)據(jù)保護(hù)方面的法規(guī)外，還應(yīng)制定相應(yīng)的數(shù)據(jù)采集、儲(chǔ)存、處理、推送和應(yīng)用的標(biāo)準(zhǔn)規(guī)范。通過制定符合實(shí)際的大數(shù)據(jù)應(yīng)用和安全標(biāo)準(zhǔn)，能有效促進(jìn)大數(shù)據(jù)安全應(yīng)用，從而既能引導(dǎo)、規(guī)范、促進(jìn)大數(shù)據(jù)的發(fā)展，又確保了數(shù)據(jù)開放共享、個(gè)人信息保護(hù)需求和安全保障需求之間的平衡。如制定了個(gè)人信息分類、責(zé)任原則、保護(hù)要求和安全評(píng)估方面的標(biāo)準(zhǔn)內(nèi)容，有利于更好地規(guī)范實(shí)施個(gè)人信息的安全采集、存儲(chǔ)和處理過程，防止個(gè)人信息被誤用和濫用；又如制定了數(shù)據(jù)確權(quán)、訪問接口、服務(wù)安全要求等標(biāo)準(zhǔn)內(nèi)容，有利于建立安全的大數(shù)據(jù)市場(chǎng)交易體系，促進(jìn)大數(shù)據(jù)交易流通的發(fā)展。4為積極應(yīng)對(duì)大數(shù)據(jù)安全風(fēng)險(xiǎn)和挑戰(zhàn)，確保大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，各國(guó)政府歷來都非常重視大數(shù)據(jù)相關(guān)法規(guī)政策和標(biāo)準(zhǔn)的建設(shè)，以便對(duì)大數(shù)據(jù)安全進(jìn)行規(guī)范。法律法規(guī)作為約束大數(shù)據(jù)用戶行為的規(guī)范化文件，是確保大數(shù)據(jù)平臺(tái)及大數(shù)據(jù)應(yīng)用安全可控，防范大數(shù)據(jù)服務(wù)安全風(fēng)險(xiǎn)，維護(hù)國(guó)家安全和公共利益的重要手段。本章介紹國(guó)內(nèi)外大數(shù)據(jù)安全相關(guān)的法規(guī)政策和標(biāo)準(zhǔn)化現(xiàn)狀。4.1大數(shù)據(jù)安全法規(guī)政策現(xiàn)狀大數(shù)據(jù)安全相關(guān)的法規(guī)、政策環(huán)境是大數(shù)據(jù)行業(yè)發(fā)展的基礎(chǔ)和保障，是大數(shù)據(jù)安全標(biāo)準(zhǔn)制定的重要依據(jù)，我國(guó)及世界各國(guó)充分重視大數(shù)據(jù)相關(guān)法律法規(guī)的建設(shè)與制定，為大數(shù)據(jù)發(fā)展?fàn)I造了健康的發(fā)展環(huán)境，本節(jié)將介紹國(guó)內(nèi)外大數(shù)據(jù)相關(guān)安全法規(guī)的發(fā)展及政策環(huán)境。數(shù)據(jù)保護(hù)是大數(shù)據(jù)安全的重要基礎(chǔ)和組成部分。美國(guó)、歐盟、俄羅斯、新加坡等網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展強(qiáng)國(guó)先后頒布了眾多的數(shù)據(jù)保護(hù)法律法規(guī)。盡管這些國(guó)家制定的相關(guān)法律法規(guī)思路和策略不同，但涉及的要素是基本一致的。本節(jié)梳理了國(guó)外數(shù)據(jù)保護(hù)法律法規(guī)核心要素，通過分析比較這些國(guó)外的數(shù)據(jù)安全法律法規(guī)和政策，為我國(guó)后續(xù)制定和出臺(tái)數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)和行政規(guī)章以及標(biāo)準(zhǔn)提供參考。各國(guó)現(xiàn)有數(shù)據(jù)保護(hù)法律法規(guī)情況表4.1梳理了美國(guó)、歐盟、澳大利亞、俄羅斯、新加坡等已制定或發(fā)布的數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)，總結(jié)起來這些國(guó)家的數(shù)據(jù)保護(hù)法律法規(guī)分兩類：制定專門的數(shù)據(jù)保護(hù)法律法規(guī)，并明確相應(yīng)的數(shù)據(jù)安全管理部門，如歐盟、俄羅斯、新加坡等。其中，俄羅斯進(jìn)行數(shù)據(jù)保護(hù)的主要法律是《個(gè)/信息技術(shù)和大眾傳媒聯(lián)邦監(jiān)管局（Roskomnadzor。新加坡進(jìn)行數(shù)據(jù)保護(hù)的主要法律（PDPAPDPA，立了個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（PDPC）PDPA數(shù)據(jù)保護(hù)的相關(guān)要求分散地體現(xiàn)在本國(guó)各項(xiàng)法律法規(guī)及部門規(guī)章的相關(guān)條款中，但尚未頒布數(shù)據(jù)保護(hù)的專門法律法規(guī)，也未設(shè)置相應(yīng)的管理部門，如美國(guó)、澳大利亞、日本等。表4.1主要國(guó)家的數(shù)據(jù)保護(hù)法律法規(guī)序號(hào)法律法規(guī)和部門規(guī)章發(fā)布/生效時(shí)間備注一、美國(guó)1《隱私盾協(xié)議》（替代《安全港協(xié)議》）2016年發(fā)布通用法律2《加州在線隱私保護(hù)法案》2014年生效州法律3《聯(lián)邦隱私法案》2014年發(fā)布通用法律4《數(shù)字問責(zé)和透明法案》（FFATA）2014年發(fā)布部門規(guī)章序號(hào)法律法規(guī)和部門規(guī)章發(fā)布/生效時(shí)間備注5《數(shù)字政府戰(zhàn)略》2012年發(fā)布通用法律6《開放政府指令》2009年發(fā)布通用法律7《加州安全違約告知法律》2002年生效州法律8《金融服務(wù)現(xiàn)代化法案》（GLBA）1999年發(fā)布部門規(guī)章9《健康保險(xiǎn)攜帶和責(zé)任法案》（HIPAA）1996年發(fā)布部門規(guī)章10《聯(lián)邦貿(mào)易委員會(huì)法案》（FTCAct）1914年發(fā)布部門規(guī)章二、歐盟1《通用數(shù)據(jù)保護(hù)規(guī)則》（GDPR）2016年發(fā)布通用法律2《歐盟數(shù)據(jù)留存指令》2006年發(fā)布通用法律3《隱私與電子通訊指令》2002年發(fā)布通用法律4《歐盟數(shù)據(jù)保護(hù)指令》1995年發(fā)布通用法律三、澳大利亞1《電信法案》1997年發(fā)布部門規(guī)章2《聯(lián)邦隱私法案》1988年發(fā)布通用法律四、俄羅斯1152-FZ2006（PersonalDataProtectionAct，個(gè)人數(shù)據(jù)保護(hù)法案）2015年發(fā)布通用法律2149–FZ2006（DataProtectionAct，數(shù)據(jù)保護(hù)法案）2006年發(fā)布通用法律3《斯特拉斯堡公約》2005年發(fā)布通用法律五、新加坡1《個(gè)人數(shù)據(jù)保護(hù)法令》(PDPA)2012年發(fā)布通用法律從一定意義上說，各國(guó)數(shù)據(jù)保護(hù)法律法規(guī)的宗旨就是圍繞數(shù)據(jù)提供者、數(shù)據(jù)基礎(chǔ)設(shè)施提供者、數(shù)據(jù)服務(wù)提供者、數(shù)據(jù)消費(fèi)者、數(shù)據(jù)監(jiān)管者等參與方，力圖將數(shù)據(jù)保護(hù)范圍、各參與方對(duì)應(yīng)的權(quán)利和義務(wù)、相關(guān)行為準(zhǔn)則等要點(diǎn)界定清晰。數(shù)據(jù)保護(hù)范圍在法律法規(guī)層面上，數(shù)據(jù)保護(hù)是有范圍的，要針對(duì)可監(jiān)管的轄區(qū)范圍、需保護(hù)的數(shù)據(jù)對(duì)象、需監(jiān)管的數(shù)據(jù)應(yīng)用場(chǎng)景，以及需監(jiān)管的數(shù)據(jù)處理行為等明確數(shù)據(jù)保護(hù)范圍。數(shù)據(jù)保護(hù)范圍一般在數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)中都明確界定，并通過各種配套標(biāo)準(zhǔn)加以細(xì)化，以支撐法律法規(guī)的落地。一、可監(jiān)管的轄區(qū)范圍可監(jiān)管的轄區(qū)范圍是指法律法規(guī)里規(guī)定的所能管轄的數(shù)據(jù)涉及的領(lǐng)土范圍，尤其是設(shè)立在境外的數(shù)據(jù)中心是否受到本國(guó)法律法規(guī)的監(jiān)管，這也是目前業(yè)界關(guān)注的重點(diǎn)之一。不同國(guó)家和地區(qū)對(duì)此規(guī)定有一定的差異性。如美國(guó)、澳大利亞目前的管轄范圍是本國(guó)領(lǐng)土，也就是說，外國(guó)企業(yè)以及本國(guó)企業(yè)設(shè)在境外的數(shù)據(jù)中心，均不受本國(guó)法律法規(guī)約束（但某些特殊情況下，美國(guó)有可能會(huì)運(yùn)用長(zhǎng)臂管轄權(quán)等特殊原則，以國(guó)家安全的名義，在認(rèn)為必要的時(shí)候?qū)嵤?qiáng)制管轄。但歐盟、俄羅斯、新加坡等國(guó)家和地區(qū)則相對(duì)監(jiān)管較嚴(yán)，如俄羅斯規(guī)定其數(shù)據(jù)保護(hù)法律法規(guī)不受領(lǐng)土管轄權(quán)的限制，適用于任何在俄羅斯發(fā)生的所有數(shù)據(jù)處理過程，包括所有對(duì)俄羅斯公民數(shù)據(jù)的收集和使用，而無論數(shù)據(jù)中心是否建立或位于俄羅斯境內(nèi)。對(duì)于跨境的數(shù)據(jù)流，如果俄羅斯公民是對(duì)應(yīng)的數(shù)據(jù)傳輸協(xié)定中的一方，那么俄羅斯的數(shù)據(jù)保護(hù)法律法規(guī)也可在一定程度上應(yīng)用。二、需保護(hù)的數(shù)據(jù)對(duì)象目前，美國(guó)、歐盟、俄羅斯等國(guó)的數(shù)據(jù)保護(hù)主要針對(duì)個(gè)人信息，一般說來可劃分為兩類：個(gè)人識(shí)別信息（PII，PersonalIdentityInformation）和個(gè)人隱私/敏感數(shù)據(jù)。其中，PII如姓名、身份證號(hào)碼、銀行卡號(hào)、家庭住址等；個(gè)人隱私/敏感數(shù)據(jù)是指雖不能直接識(shí)別和定位到個(gè)人，但通過關(guān)聯(lián)和綜合分析，有可能定位到個(gè)人的信息，如健康信息、教育經(jīng)歷、征信記錄等。各國(guó)對(duì)個(gè)人隱私/敏感數(shù)據(jù)的定義不同，其保護(hù)的數(shù)據(jù)范圍也就各不相同，如美國(guó)在一些部門規(guī)章（如HIPAA）中劃定了個(gè)人隱私保護(hù)的具體范圍，而俄羅斯、新加坡等國(guó)則規(guī)定凡是和個(gè)人相關(guān)的信息，均被認(rèn)為是個(gè)人隱私/敏感數(shù)據(jù)，均在保護(hù)范圍內(nèi)。此外，在這兩類需要監(jiān)管的數(shù)據(jù)中，也有因例外豁免條款成為不需監(jiān)管的數(shù)據(jù)，如新加坡規(guī)定商務(wù)聯(lián)系信息、已存在了100年的個(gè)人資料以及已經(jīng)死去超過十年的個(gè)人數(shù)據(jù)等均不在保護(hù)范圍內(nèi)。三、需監(jiān)管的數(shù)據(jù)應(yīng)用場(chǎng)景一般情況下，所有涉及數(shù)據(jù)收集、存儲(chǔ)、處理、利用的數(shù)據(jù)控制者都是被監(jiān)管的對(duì)象，但各國(guó)也根據(jù)自己國(guó)情劃定了可免除監(jiān)管的例外條例，如新加坡規(guī)定了公民個(gè)人行為、員工就業(yè)過程中的必要行為、政府/新聞/科研等公共機(jī)構(gòu)的部分行為、某些獲取了明確證明或書面合同的數(shù)據(jù)中介機(jī)構(gòu)等，可免于數(shù)據(jù)保護(hù)法律法規(guī)的監(jiān)管。四、需監(jiān)管的數(shù)據(jù)處理行為目前，美國(guó)、歐盟、俄羅斯、新加坡等國(guó)均提出應(yīng)對(duì)數(shù)據(jù)的全生命周期進(jìn)行監(jiān)管，包括收集、記錄、組織、積累、存儲(chǔ)、變更(更新、修改)、檢索、恢復(fù)、使用、轉(zhuǎn)讓(傳播，提供接入等)、脫敏、刪除、銷毀等行為，但各國(guó)也根據(jù)自己國(guó)情劃定了可免除監(jiān)管的例外條例，如俄羅斯規(guī)定了專為個(gè)人和家庭需求處理個(gè)人數(shù)據(jù)(前提是不侵犯數(shù)據(jù)對(duì)象的權(quán)利)、處理國(guó)家保密數(shù)據(jù)、依照有關(guān)法律由主管當(dāng)局向俄羅斯法院提供相關(guān)數(shù)據(jù)等情況，則屬于相應(yīng)的例外豁免情形。監(jiān)管部門及其權(quán)力為保證數(shù)據(jù)安全法律法規(guī)的落實(shí)，監(jiān)管部門需設(shè)立相應(yīng)的機(jī)構(gòu)和人員，并賦予相應(yīng)的權(quán)力，如執(zhí)法權(quán)、處罰權(quán)等。一、美國(guó)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）機(jī)構(gòu)（如銀行機(jī)構(gòu)）也被授權(quán)執(zhí)行各種隱私法，但FTC勢(shì)。例如，F(xiàn)TCFTCFSMC》則由FTC、聯(lián)邦銀行監(jiān)管機(jī)構(gòu)和國(guó)家保險(xiǎn)機(jī)構(gòu)共同執(zhí)行（過程中，F(xiàn)TC。HIPAA公民權(quán)利辦公室（TheOfficeofCivilRights）構(gòu)的信息處理實(shí)踐活動(dòng)發(fā)起調(diào)查，確認(rèn)其是否符合HIPAA二、歐盟2016年4月14日，歐洲議會(huì)投票通過了商討四年的《一般數(shù)據(jù)保護(hù)法案》GeneralDataProtectionRegulation，GDPR2018525日正式生效。GDPR的通過意味著歐盟對(duì)個(gè)人信息保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案。GDPR對(duì)于業(yè)務(wù)范圍涉及歐盟成員國(guó)領(lǐng)土及其公民的企業(yè)都具有約束力，通過設(shè)立歐盟數(shù)據(jù)保護(hù)理事會(huì)（EuropeanDataProtectionBoard，賦予其歐盟數(shù)據(jù)監(jiān)管的最高機(jī)構(gòu)的地位，并保證其獨(dú)立性。理事會(huì)可以單獨(dú)行動(dòng)，直接對(duì)歐盟委員會(huì)負(fù)責(zé)。三、澳大利亞澳大利亞成立了專門機(jī)構(gòu)——澳大利亞信息專員辦公室（OfficeoftheAustralianInformationCommissioner，AIC，并設(shè)立了信息專員作為執(zhí)行《聯(lián)邦隱私法案》的關(guān)鍵角色。OAIC如果相關(guān)控訴屬實(shí)，則OAIC可做以下處理：1）通知被告不能重復(fù)或繼續(xù)侵害隱私；2）做出相應(yīng)的決定，如申訴人有權(quán)指定賠償方式和數(shù)額；3）OAIC和申訴人有權(quán)向法院提起訴訟決定，違反隱私法案的個(gè)人和公司，可能分別面臨高達(dá)34170信息專員的權(quán)力范圍包括調(diào)查違規(guī)、促進(jìn)合法行為等，如審計(jì)實(shí)體的合法性、接受書面保證（并推進(jìn)執(zhí)行、注冊(cè)有約束力的業(yè)務(wù)法規(guī)、決定是否開展自愿調(diào)查。同時(shí)，針對(duì)數(shù)據(jù)主體的投訴，信息專員可通過調(diào)解去解決雙方爭(zhēng)端，或根據(jù)投訴做出決定。此外，信息專員還可開展下列流程：1）2）尋求強(qiáng)制救濟(jì)；3）申請(qǐng)民事處罰。對(duì)于嚴(yán)重的或反復(fù)違反《隱私法案》的行為，法庭可進(jìn)行罰款。OAICACMA郵件法案》的監(jiān)管者）也有獨(dú)立的執(zhí)法權(quán)。四、俄羅斯俄羅斯數(shù)據(jù)保護(hù)最主要的監(jiān)管部門是俄羅斯電信/信息技術(shù)和大眾傳媒聯(lián)邦監(jiān)管局（Roskomnadzor，相當(dāng)于美國(guó)FCC。此外俄羅斯政府、俄羅斯聯(lián)邦技術(shù)和出口服務(wù)局（FSTEC）以及俄羅斯聯(lián)邦安全局（FSS）等主管監(jiān)管部門也制定了一些對(duì)數(shù)據(jù)保護(hù)的特定條款。五、新加坡（PDPA，同時(shí)PDPA，新加坡專門成立個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（PDPC）PDPARoskomnadzorPDPC執(zhí)法權(quán)。數(shù)據(jù)提供者的權(quán)利數(shù)據(jù)提供者的權(quán)利主要指用戶在使用信息服務(wù)過程中被收集相關(guān)信息，對(duì)自身信息所擁有的權(quán)利，包括知情權(quán)、授權(quán)處理權(quán)、訪問/查詢/更正權(quán)、停止收集/刪除權(quán)、投訴權(quán)等，具體見表4.2。表4.2各國(guó)對(duì)數(shù)據(jù)提供者權(quán)利的規(guī)定權(quán)利內(nèi)容美國(guó)歐盟澳大利亞俄羅斯新加坡數(shù)據(jù)收集/處理前被告知的權(quán)利允許1允許1允許1允許1允許1授權(quán)個(gè)人數(shù)據(jù)收集/處理的權(quán)利允許允許允許允許允許訪問/查詢個(gè)人信息的權(quán)利指定情況下允許2允許允許允許允許更正個(gè)人信息的權(quán)利指定情況允許允許允許允許下允許2停止收集個(gè)人信息的權(quán)利指定情況下允許3允許未明確規(guī)定允許未明確規(guī)定刪除個(gè)人信息的權(quán)利指定情況下允許4允許不允許指定情況下允許4不允許4投訴的權(quán)利未明確規(guī)定允許允許未明確規(guī)定允許其他權(quán)利未明確規(guī)定允許5未明確規(guī)定允許5未明確規(guī)定注1：美國(guó)、歐盟、澳大利亞、俄羅斯、新加坡對(duì)收集數(shù)據(jù)前征求數(shù)據(jù)提供者同意的形式、提供的內(nèi)容、例外情況等規(guī)定各不相同。2：HIPAAFTC、GLBA相關(guān)訪問權(quán)限,但《兒童在線隱私保護(hù)法案》允許父母查看網(wǎng)站所收集的孩子個(gè)人信息。此外，HIPAA3GLBA、HIPAA注4：美國(guó)《兒童在線隱私保護(hù)法案》允許父母刪除信息的要求。俄羅斯個(gè)人數(shù)據(jù)保護(hù)法案規(guī)定，當(dāng)個(gè)人數(shù)據(jù)不完整、過期、不準(zhǔn)確、非法取得、數(shù)據(jù)處理聲明的目的不是必須的等情況下，數(shù)據(jù)提供者可以請(qǐng)求刪除個(gè)人數(shù)據(jù)。新加坡PDPA不給個(gè)人請(qǐng)求刪除自己個(gè)人信息的權(quán)利，但保留有限制的責(zé)任。5GDPR17規(guī)定的數(shù)據(jù)主體其他權(quán)利還包括獲取數(shù)據(jù)使用相關(guān)信息、反對(duì)直接營(yíng)銷等權(quán)利?？梢钥吹?，各國(guó)數(shù)據(jù)保護(hù)法律法規(guī)對(duì)數(shù)據(jù)提供者權(quán)利基本都進(jìn)行了規(guī)定，但規(guī)定的粒度又各不相同，如針對(duì)知情權(quán)，俄羅斯則規(guī)定，針對(duì)數(shù)據(jù)主體全名/地址/身份證明ID(如護(hù)照)/身份證明的發(fā)行時(shí)間與發(fā)證機(jī)關(guān)/簽名等信息、數(shù)據(jù)控制者的全名/地址/數(shù)據(jù)處理目的等關(guān)鍵信息，需要以書面形式給出（包括電子簽名的方式。新加坡則規(guī)定，數(shù)據(jù)控制者在收集個(gè)人數(shù)據(jù)之前需經(jīng)數(shù)據(jù)主體的同意，但不指定通知形式。數(shù)據(jù)使用者的義務(wù)美國(guó)、歐盟、澳大利亞、俄羅斯、新加坡等國(guó)均規(guī)定數(shù)據(jù)使用者除了有義務(wù)在數(shù)據(jù)收集、存儲(chǔ)、處理等全生命周期中配合數(shù)據(jù)主體實(shí)現(xiàn)其權(quán)利外，還有確保數(shù)據(jù)安全、對(duì)數(shù)據(jù)監(jiān)管者進(jìn)行數(shù)據(jù)收集和利用情況報(bào)備、發(fā)生異常事件時(shí)的通報(bào)、數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)前向數(shù)據(jù)監(jiān)管者申請(qǐng)等義務(wù)，如表4.3所示。表4.3各國(guó)對(duì)數(shù)據(jù)使用者義務(wù)的規(guī)定義務(wù)內(nèi)容美國(guó)歐盟澳大利亞俄羅斯新加坡保證數(shù)據(jù)中心在境內(nèi)的義務(wù)指定情況下不要求指定情況下不要求指定情況下不要求要求數(shù)據(jù)中心未明確規(guī)定收集數(shù)據(jù)前征求政府部門同意的義務(wù)未明確規(guī)定未明確規(guī)定明確規(guī)定1明確規(guī)明確規(guī)定3發(fā)生異常時(shí)向指定政府部門及數(shù)據(jù)主體等報(bào)告的義務(wù)明確規(guī)定明確規(guī)定明確規(guī)定明確規(guī)定未明確規(guī)定數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)前向數(shù)據(jù)監(jiān)管者申請(qǐng)的義務(wù)見表4.4見表4.4見表4.4見表4.4見表4.4注1：澳大利亞沒有要求必須通知OAIC和信息專員。2：Roskomnadzor（，Roomnador30注3（數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)和轉(zhuǎn)移協(xié)議要求數(shù)據(jù)跨境主要包括數(shù)據(jù)跨境流動(dòng)、數(shù)據(jù)跨境存儲(chǔ)以及所涉及的跨境協(xié)議等方面內(nèi)容，各國(guó)對(duì)數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)和轉(zhuǎn)移協(xié)議的規(guī)定如下表4.4所示。表4.4各國(guó)數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)和轉(zhuǎn)移協(xié)議要求數(shù)據(jù)境外流轉(zhuǎn)/存儲(chǔ)和轉(zhuǎn)移協(xié)議要求美國(guó)歐盟澳大利亞俄羅斯新加坡數(shù)據(jù)是否可存儲(chǔ)在境外允許允許允許不允許允許數(shù)據(jù)是否可流轉(zhuǎn)到境外在指定條件下流轉(zhuǎn)在指定條件下流轉(zhuǎn)在指定條件下流轉(zhuǎn)在指定條件下流轉(zhuǎn)在指定條件下流轉(zhuǎn)數(shù)據(jù)流轉(zhuǎn)到境外的轉(zhuǎn)移協(xié)議未明確規(guī)定未明確規(guī)定未明確規(guī)定未明確規(guī)定未明確規(guī)定發(fā)生數(shù)據(jù)境外存儲(chǔ)/流轉(zhuǎn)時(shí)是否告知數(shù)據(jù)監(jiān)管者未明確規(guī)定未明確規(guī)定未明確規(guī)定必須告知主管部門未明確規(guī)定一、美國(guó)美國(guó)對(duì)個(gè)人數(shù)據(jù)跨境傳輸限制較少，只有部分州頒布相關(guān)法律限制國(guó)外組織或機(jī)構(gòu)開展數(shù)據(jù)服務(wù),但通常僅限于為政府機(jī)構(gòu)提供服務(wù)或產(chǎn)品的企業(yè)。FTC和其他監(jiān)管機(jī)構(gòu)的立場(chǎng)是，美國(guó)法律法規(guī)適用于跨境傳輸?shù)拿绹?guó)數(shù)據(jù)，監(jiān)管企業(yè)如下方面:數(shù)據(jù)出口到美國(guó)國(guó)外；海外分包商處理的數(shù)據(jù)；分包商使用相同的保護(hù)措施(如通過使用安全保障協(xié)議,審核和合同規(guī)定)監(jiān)管跨境后的數(shù)據(jù)。二、歐盟GDPR規(guī)定：數(shù)據(jù)接收國(guó)的法律、監(jiān)管機(jī)構(gòu)能夠有效地保護(hù)歐盟數(shù)據(jù)主體的權(quán)利，并且有充分的司法救濟(jì)權(quán)力；數(shù)據(jù)接收國(guó)必須是歐盟認(rèn)可的數(shù)據(jù)保護(hù)充分的國(guó)家。三、澳大利亞以外的第三方之前，必須采取合理的步驟以確保海外的數(shù)據(jù)接收者不會(huì)違反法案中規(guī)定的原則（除了特殊情況，組織或機(jī)構(gòu)將持有的個(gè)人信息披露給位于澳大利亞以外的第三方之前，必須采取合理的步驟以確保海外的數(shù)據(jù)接收者不會(huì)違反《聯(lián)邦隱私法案》的要求。在一定程度上，甚至認(rèn)為組織或機(jī)構(gòu)須對(duì)任何境外接收者違反《聯(lián)邦隱私法案》的行為負(fù)責(zé)。但在下列情況下不適用：組織或機(jī)構(gòu)已按照《聯(lián)邦隱私法案》規(guī)定的方式獲得了相關(guān)數(shù)據(jù)主體的同意；境外接收者是由和《聯(lián)邦隱私法案》類似，且可被《聯(lián)邦隱私法案》強(qiáng)制執(zhí)行的境外法律所約束；其他例外情況（如個(gè)人數(shù)據(jù)披露是由澳大利亞相關(guān)法律要求的。通常獲得知情同意很困難，因此大多數(shù)情況下境外接收者不受類似的由相關(guān)數(shù)據(jù)主體強(qiáng)制執(zhí)行的境外法律的約束。因此，在大多數(shù)情況下實(shí)體必須采用“合理步驟”來保證境外接收者不會(huì)違反《聯(lián)邦隱私法案》的優(yōu)先級(jí)高低出境數(shù)據(jù)存在以下情況之一的將信息披露給境外接收者。組織或機(jī)構(gòu)通常尋求獲得境外收件人的合同承諾即按照澳大利亞隱私法處理個(gè)人數(shù)據(jù)來遵守此規(guī)定（通常組織或機(jī)構(gòu)通過和境外接收者簽署合同來符合相關(guān)要求，這些合同可以保證在《聯(lián)邦隱私法案》的框架下處理所有用戶數(shù)據(jù)。在某些情況下，將會(huì)被追究法律責(zé)任，如組織或機(jī)構(gòu)披露個(gè)人數(shù)據(jù)到境外而該境外接收者又違反了《聯(lián)邦隱私法案》。四、俄羅斯俄羅斯個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)指出：在個(gè)人數(shù)據(jù)跨境流動(dòng)的情況下，所有的數(shù)據(jù)控制者必須確保（做出轉(zhuǎn)讓之前）其各自的數(shù)據(jù)主體的權(quán)利和利益在相應(yīng)的其他國(guó)家能以適當(dāng)?shù)姆绞降玫匠浞值谋Ｕ?。所有簽署斯特拉斯堡公約的國(guó)家都被認(rèn)為是能為數(shù)據(jù)主體提供權(quán)利和利益“充分保護(hù)”的司法管轄區(qū)。只要征得數(shù)據(jù)主體同意，數(shù)據(jù)跨境流動(dòng)到具有對(duì)等保護(hù)級(jí)別的司法管轄區(qū)是不受任何限制的。同時(shí)，Roskomnadzor已列出能夠?qū)€(gè)人數(shù)據(jù)跨境流動(dòng)提供足夠級(jí)別保護(hù)的國(guó)家正式名單，包括澳大利亞、阿根廷、加拿大、以色列、墨西哥和新西蘭。只有在特定例外情況下才允許個(gè)人資料跨境流動(dòng)到無足夠保護(hù)水平的國(guó)家。通常情況下，作為數(shù)據(jù)控制者的公司會(huì)在向境外傳輸個(gè)人數(shù)據(jù)前檢查對(duì)方是否具有足夠的數(shù)據(jù)保護(hù)水平。此外，公司將獲得數(shù)據(jù)主體各自給出的書面同意，或執(zhí)行遵循自身目的的跨境數(shù)據(jù)傳輸協(xié)議。按照這些步驟，公司將按照自己公司內(nèi)部的規(guī)則或政策開展數(shù)據(jù)跨境傳輸。2014721242-FZ信息和電信網(wǎng)絡(luò)方面對(duì)于個(gè)人數(shù)據(jù)處理的某些立法行為，成為新數(shù)據(jù)保護(hù)法。20141231526-FZ201591題：介紹了數(shù)據(jù)控制者關(guān)于俄羅斯公民個(gè)人數(shù)據(jù)的收集、存儲(chǔ)和處理方面的新義務(wù)；Roskomnadzor源的新機(jī)制。具體而言，新數(shù)據(jù)保護(hù)法對(duì)所有數(shù)據(jù)控制者都引入了一項(xiàng)義務(wù)，要求其“在收集個(gè)人相關(guān)數(shù)據(jù)時(shí)，包括通過互聯(lián)網(wǎng)的過程中，確保能夠通過位于俄羅斯聯(lián)邦境內(nèi)的數(shù)據(jù)中心記錄、系統(tǒng)化、累積、存儲(chǔ)、變更以及提取俄羅斯公民雖然新的數(shù)據(jù)保護(hù)法律沒有明確規(guī)定這一點(diǎn)，但這些要求很可能被解釋為禁止將俄羅斯公民個(gè)人數(shù)據(jù)存儲(chǔ)在俄羅斯境外。因此，根據(jù)新數(shù)據(jù)保護(hù)法的文字描述和解釋，為滿足數(shù)據(jù)保護(hù)立法的所有其他通用要求，本地和外國(guó)公司（數(shù)據(jù)控制者）都需要在俄羅斯境內(nèi)處理或組織處理俄羅斯公民個(gè)人數(shù)據(jù)。此外，新的數(shù)據(jù)保護(hù)法律并沒有禁止從境外訪問位于俄羅斯境內(nèi)的服務(wù)器、IT系統(tǒng)和數(shù)據(jù)中心，也沒有對(duì)包括境外數(shù)據(jù)傳輸和數(shù)據(jù)復(fù)制在內(nèi)的數(shù)據(jù)轉(zhuǎn)移進(jìn)行特別的限制。俄羅斯法律法規(guī)并沒有規(guī)定數(shù)據(jù)跨境流動(dòng)所采用的傳輸協(xié)議，雖然這些跨Roskomnadzor只要收到數(shù)據(jù)主體的同意，或數(shù)據(jù)主體的同意在協(xié)議里有表達(dá)，則個(gè)人數(shù)RoskomnadzorRoskomnadzor五、新加坡原則上組織不能把任何個(gè)人資料轉(zhuǎn)移到新加坡以外的國(guó)家或地區(qū)，除非其PDPA26PDPA對(duì)應(yīng)的保護(hù)水平。只有當(dāng)組織在采取合理步驟，滿足特定條件時(shí)，才可將個(gè)人數(shù)據(jù)傳輸?shù)骄惩狻Ｎ覈?guó)在推進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的過程中，越來越重視數(shù)據(jù)安全問題，不斷完善數(shù)據(jù)開放共享、數(shù)據(jù)跨境流動(dòng)和用戶個(gè)人信息保護(hù)等方面的法律法規(guī)和政策，為大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展保駕護(hù)航。數(shù)據(jù)開放共享相關(guān)法律法規(guī)政策近年來，中央和地方政府高度重視數(shù)據(jù)開放共享工作，相繼出臺(tái)數(shù)據(jù)開放共享相關(guān)政策法規(guī)。一、國(guó)家層面，制定數(shù)據(jù)開放共享相關(guān)的綱要規(guī)劃，加強(qiáng)數(shù)據(jù)開放共享的頂層設(shè)計(jì)。20158依托政府?dāng)?shù)據(jù)統(tǒng)一共享交換平臺(tái)，大力推進(jìn)國(guó)家基礎(chǔ)數(shù)據(jù)資源共享；穩(wěn)步推動(dòng)公共數(shù)據(jù)資源開放，建立公共機(jī)構(gòu)數(shù)據(jù)資源清單，建設(shè)國(guó)家政府?dāng)?shù)據(jù)統(tǒng)一開放平臺(tái)，推進(jìn)公共機(jī)構(gòu)數(shù)據(jù)資源統(tǒng)一匯聚和集中向社會(huì)開放，提升政府?dāng)?shù)據(jù)開放共享標(biāo)準(zhǔn)化程度；建立政府和社會(huì)互動(dòng)的大數(shù)據(jù)采集形成機(jī)制，制定政府?dāng)?shù)據(jù)共享開放目錄，通過政務(wù)數(shù)據(jù)公開共享，引導(dǎo)企業(yè)、行業(yè)協(xié)會(huì)、科研機(jī)構(gòu)、公共組織等主動(dòng)采集并開放數(shù)據(jù)。201612（2016－2020出加強(qiáng)資源共享和溝通協(xié)作，協(xié)調(diào)制定政策措施和行動(dòng)計(jì)劃，解決大數(shù)據(jù)產(chǎn)業(yè)發(fā)展過程中的重大問題，建立大數(shù)據(jù)發(fā)展部省協(xié)調(diào)機(jī)制，加強(qiáng)地方與中央大數(shù)據(jù)產(chǎn)業(yè)相關(guān)規(guī)劃、法律、政策等的銜接配套，通過聯(lián)合開展產(chǎn)業(yè)規(guī)劃等措施促進(jìn)區(qū)域間大數(shù)據(jù)政策協(xié)調(diào)；推動(dòng)制定公共信息資源保護(hù)和開放的制度性文件，以及政府信息資源管理辦法，逐步擴(kuò)大開放數(shù)據(jù)的范圍，提高開放數(shù)據(jù)質(zhì)量。20183代科學(xué)數(shù)據(jù)發(fā)展趨勢(shì)，充分借鑒國(guó)內(nèi)外先進(jìn)經(jīng)驗(yàn)和成熟做法，針對(duì)目前我國(guó)科學(xué)數(shù)據(jù)管理中存在的薄弱環(huán)節(jié)，進(jìn)行了系統(tǒng)的部署和安排，圍繞科學(xué)數(shù)據(jù)的全生命周期，加強(qiáng)和規(guī)范科學(xué)數(shù)據(jù)的采集生產(chǎn)、加工整理、開放共享等各個(gè)環(huán)節(jié)的工作。把確保數(shù)據(jù)安全放在首要位置，建立數(shù)據(jù)共享和對(duì)外交流的安全審查機(jī)制；按照“開放為常態(tài)、不開放為例外”的共享理念，明確為公益事業(yè)無償服務(wù)的政策導(dǎo)向，充分發(fā)揮科學(xué)數(shù)據(jù)的重要作用。二、地方層面，地方政府也積極配合推動(dòng)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用，加快制定數(shù)據(jù)開放共享方面的法規(guī)政策。2014年，貴州省發(fā)布《關(guān)于加快大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用若干政策的意見》）和《貴州省大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用規(guī)劃綱要（2014-2020（，提出數(shù)據(jù)開放共享方面需加快建立相關(guān)標(biāo)準(zhǔn)規(guī)范，實(shí)現(xiàn)有效整合數(shù)據(jù)資源的目標(biāo)；制定大數(shù)據(jù)采集、管理、共享、交易等標(biāo)準(zhǔn)規(guī)范，明確收集數(shù)據(jù)的范圍和格式、數(shù)據(jù)管理的權(quán)限和程序以及開放數(shù)據(jù)的內(nèi)容、格通過政務(wù)數(shù)據(jù)公開共享，引導(dǎo)企業(yè)、行業(yè)協(xié)會(huì)、科研機(jī)構(gòu)、公共組織等主動(dòng)采辦法和數(shù)據(jù)資源安全開放標(biāo)準(zhǔn)規(guī)范，按照“開放優(yōu)先、安全例外、分類分級(jí)”的原則，對(duì)大數(shù)據(jù)中心的數(shù)據(jù)資源進(jìn)行梳理和開放風(fēng)險(xiǎn)評(píng)估，制定數(shù)據(jù)開放目錄并及時(shí)更新。2016（以下簡(jiǎn)稱《浙據(jù)共享、交換和開放統(tǒng)一平臺(tái)，要推進(jìn)政府?dāng)?shù)據(jù)資源共享交換，建設(shè)統(tǒng)一的政府信息資源管理服務(wù)系統(tǒng)，厘清數(shù)據(jù)管理及共享的義務(wù)和權(quán)利，明確共享的范圍邊界和使用方式；深化公共數(shù)據(jù)統(tǒng)一開放平臺(tái)建設(shè)，建立公共數(shù)據(jù)資源開放目錄，制定數(shù)據(jù)開放標(biāo)準(zhǔn)，落實(shí)數(shù)據(jù)開放和維護(hù)責(zé)任，推動(dòng)相關(guān)領(lǐng)域的政府?dāng)?shù)府?dāng)?shù)據(jù)共享標(biāo)準(zhǔn)、數(shù)據(jù)交換標(biāo)準(zhǔn)、政府及公共數(shù)據(jù)開放標(biāo)準(zhǔn)、統(tǒng)計(jì)標(biāo)準(zhǔn)，對(duì)共享開放的方式、內(nèi)容、對(duì)象、條件等進(jìn)行規(guī)范；積極參與大數(shù)據(jù)關(guān)鍵共性技術(shù)國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制修定，推進(jìn)大數(shù)據(jù)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)，探索建立大數(shù)據(jù)市場(chǎng)交易標(biāo)準(zhǔn)體系。2016（2016-2020》推動(dòng)政府?dāng)?shù)據(jù)資源整合、共享和開放作為重點(diǎn)行動(dòng)，完善大數(shù)據(jù)采集機(jī)制，整合公共數(shù)據(jù)資源，推動(dòng)政府?dāng)?shù)據(jù)共享，推動(dòng)公共數(shù)據(jù)資源開放。完善政務(wù)信息資源共享平臺(tái)，健全政府信息資源共享機(jī)制，建設(shè)政府?dāng)?shù)據(jù)統(tǒng)一開放平臺(tái)，提出加快建立公共機(jī)構(gòu)的數(shù)據(jù)標(biāo)準(zhǔn)和統(tǒng)計(jì)標(biāo)準(zhǔn)體系，推進(jìn)大數(shù)據(jù)采集、管理、共享、交易等標(biāo)準(zhǔn)規(guī)范的制定和實(shí)施。統(tǒng)一政務(wù)數(shù)據(jù)編碼、格式標(biāo)準(zhǔn)、交換接口規(guī)范，研究制定一批基礎(chǔ)共性、重點(diǎn)應(yīng)用和關(guān)鍵技術(shù)標(biāo)準(zhǔn)。20175補(bǔ)了在大數(shù)據(jù)方面的地方性法規(guī)空白，是貴陽市以大數(shù)據(jù)為引領(lǐng)加快打造創(chuàng)新型中心城市的重大舉措，對(duì)于推進(jìn)數(shù)據(jù)資源開放共享有法可依，提供了理論依據(jù)和法律支撐，為貴陽大數(shù)據(jù)產(chǎn)業(yè)發(fā)展法治構(gòu)建打下了堅(jiān)實(shí)的基礎(chǔ)。數(shù)據(jù)跨境相關(guān)法律法規(guī)和政策隨著全球數(shù)字經(jīng)濟(jì)快速發(fā)展，數(shù)據(jù)跨境流動(dòng)日趨頻繁，數(shù)據(jù)跨境傳輸引發(fā)的國(guó)家重要數(shù)據(jù)資源安全風(fēng)險(xiǎn)也與日俱增。為了加強(qiáng)數(shù)據(jù)跨境安全保護(hù)，我國(guó)在《網(wǎng)絡(luò)安全法》中首次明確了關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)個(gè)人信息和重要數(shù)據(jù)本地存儲(chǔ)和向境外提供的規(guī)定。此外，國(guó)家網(wǎng)信部門正在依據(jù)《網(wǎng)絡(luò)安全法》加（現(xiàn)已形成征求意見稿，提出網(wǎng)絡(luò)運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，因業(yè)務(wù)需要向境外提供的，應(yīng)進(jìn)行安全評(píng)估?！秱€(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿（以下簡(jiǎn)稱《評(píng)）明確規(guī)定，出境數(shù)據(jù)存在以下情況之一的，要經(jīng)過安全評(píng)估：含有或50康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù)等。評(píng)估重點(diǎn)包括：數(shù)據(jù)出境的必要性；目的地是否有能力及網(wǎng)絡(luò)安全保護(hù)水平能否確保數(shù)據(jù)安全；可能對(duì)國(guó)家安全、社會(huì)公共利益、個(gè)人合法利益帶來的風(fēng)險(xiǎn)等。國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)數(shù)據(jù)出境安中還規(guī)定，個(gè)人信息出境，應(yīng)向個(gè)人信息主體說明，并經(jīng)其同意。未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意?？赡苡绊憞?guó)家安全、損害社會(huì)公共利益的以及其他經(jīng)國(guó)家網(wǎng)信部門、公安部門、安全部門等認(rèn)定不能出境的數(shù)據(jù)不得出境。在《網(wǎng)絡(luò)安全法》發(fā)布前，我國(guó)已經(jīng)在金融、衛(wèi)生醫(yī)療、交通、地理、電子商務(wù)、征信等行業(yè)制定了有關(guān)數(shù)據(jù)跨境的法律法規(guī)和政策要求。已有的數(shù)據(jù)跨境相關(guān)政策要求集中于數(shù)據(jù)本地化存儲(chǔ)，按照管理方法可以分為兩類，一類是限制出境，一類是禁止出境。一、限制出境我國(guó)在征信、云計(jì)算、電子商務(wù)等行業(yè)采取限制出境的管理方式。201212228（加工，需在中國(guó)境內(nèi)進(jìn)行。若征信機(jī)構(gòu)確因業(yè)務(wù)需要向境外組織或者個(gè)人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)務(wù)院征信業(yè)監(jiān)管部門的有關(guān)規(guī)定。201611公開征求意見稿（，對(duì)數(shù)據(jù)出境做出有關(guān)規(guī)定。《云服務(wù)通知》明確指出，面向境內(nèi)用戶提供服務(wù)，應(yīng)將服務(wù)設(shè)施和網(wǎng)絡(luò)數(shù)據(jù)存放于境內(nèi)，跨境實(shí)施運(yùn)維及數(shù)據(jù)流動(dòng)應(yīng)符合國(guó)家有關(guān)規(guī)定。201612民共和國(guó)電子商務(wù)法（草案確指出電子商務(wù)經(jīng)營(yíng)主體從事跨境電子商務(wù)活動(dòng)，應(yīng)當(dāng)依法保護(hù)交易中獲得的個(gè)人信息和商業(yè)數(shù)據(jù)。國(guó)家建立跨境電子商務(wù)交易數(shù)據(jù)的存儲(chǔ)、交換和保護(hù)機(jī)制，努力做好數(shù)據(jù)出境安全保障。二、禁止出境我國(guó)在金融、保險(xiǎn)、衛(wèi)生醫(yī)療、交通、氣象、新聞出版等行業(yè)采用禁止出境的管理方式。20111（，將保護(hù)個(gè)人金融信息定義為一項(xiàng)法共和國(guó)境內(nèi)收集的個(gè)人金融信息的存儲(chǔ)、處理和分析應(yīng)當(dāng)在境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。20113求原則上業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)在中國(guó)境內(nèi)存儲(chǔ)，且具有獨(dú)立的數(shù)據(jù)存儲(chǔ)設(shè)備及相應(yīng)的安全防護(hù)和異地備份措施。2015監(jiān)管規(guī)定（征求意見稿的物理位置應(yīng)當(dāng)位于境內(nèi)。外資保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國(guó)境外的，應(yīng)當(dāng)符合我國(guó)有關(guān)法律法規(guī)。20145（試行（以存儲(chǔ)，不得托管、租賃在境外的服務(wù)器，明確禁止了有關(guān)我國(guó)人口健康信息的境外存儲(chǔ)。201511111網(wǎng)地圖服務(wù)單位應(yīng)當(dāng)將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在中華人民共和國(guó)境內(nèi)，并要求其制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全管理制度和保障措施。20167（，嚴(yán)格規(guī)范網(wǎng)約車國(guó)家有關(guān)規(guī)定，在提供服務(wù)的過程中采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當(dāng)在中國(guó)內(nèi)地存儲(chǔ)和使用，保存期限不少于2信息與業(yè)務(wù)數(shù)據(jù)不得外流。20086（4）規(guī)定，用戶不得直接將其從各級(jí)氣象主管機(jī)構(gòu)獲得的氣象資料，用作向外分發(fā)或供外部使用的數(shù)據(jù)庫(kù)、產(chǎn)品和服務(wù)的一部分，也不得間接用作生成它們的基礎(chǔ)。2016年2月，國(guó)家新聞出版廣電總局、工業(yè)和信息化部公布《網(wǎng)絡(luò)出版服（第5號(hào)令，明確要求圖書、音像、電子、報(bào)紙、期刊出版單位必須將從事網(wǎng)絡(luò)出版服務(wù)所需的必要的技術(shù)設(shè)備、相關(guān)服務(wù)器和存儲(chǔ)設(shè)備存放在中華人民共和國(guó)境內(nèi)。個(gè)人信息保護(hù)相關(guān)法律法規(guī)與政策目前，我國(guó)尚未出臺(tái)專門的個(gè)人信息保護(hù)法，個(gè)人信息保護(hù)相關(guān)規(guī)定散見于多個(gè)法律法規(guī)和規(guī)章制度之中。法律層面我國(guó)正逐步加強(qiáng)公民個(gè)人信息保護(hù)方面的頂層立法工作，陸續(xù)在《網(wǎng)絡(luò)安一、《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息保護(hù)《網(wǎng)絡(luò)安全法》第四十條至第四十五條，對(duì)個(gè)人信息保護(hù)做出有關(guān)規(guī)定，明確了我國(guó)個(gè)人信息保護(hù)的基本原則和框架。第四十條是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者保護(hù)用戶信息義務(wù)的原則規(guī)定，要求網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)其收集的用戶信息嚴(yán)格保密，建立健全用戶信息保護(hù)制度。第四十一條對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息應(yīng)遵守的規(guī)則進(jìn)行了規(guī)定，這些規(guī)定與國(guó)際通行規(guī)則是一致的。第四十二條是關(guān)于個(gè)人信息安全原則、個(gè)人信息匿名化處理和個(gè)人信息泄露報(bào)告義務(wù)的規(guī)定，首次明確提出建立數(shù)據(jù)泄露通知報(bào)告機(jī)制。第四十三條是關(guān)于個(gè)人信息刪除權(quán)和更正權(quán)的規(guī)定，信息主體在具備法定理由的情形下，擁有請(qǐng)求刪除其個(gè)人信息的權(quán)利；在個(gè)人信息不完整或不準(zhǔn)確時(shí)，擁有要求及時(shí)改正、補(bǔ)充的權(quán)利。第四十四條是關(guān)于禁止非法獲取、非法出售、非法提供個(gè)人信息的規(guī)定。第四十五條是關(guān)于負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員的保密義務(wù)的規(guī)定。二、《刑法》關(guān)于個(gè)人信息保護(hù)我國(guó)正逐步加大威脅個(gè)人信息安全行為的刑事罪責(zé)，從法律的強(qiáng)制性上加強(qiáng)個(gè)人信息保護(hù)。2009228《中華人民共和國(guó)刑法修正案（七的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑（七》的出臺(tái)具有重大意義，我國(guó)第一次將個(gè)人信息保護(hù)寫入刑法，規(guī)定了國(guó)家機(jī)關(guān)與金融、電信等領(lǐng)域工作人員出售或非法提供個(gè)人信息的法律后果。但《刑法修正案（七》有關(guān)規(guī)定也存在不足，沒能有效覆蓋犯罪主體，在實(shí)際操作中存在犯罪行為認(rèn)定困難等問題。2015829《刑法修正案（九《刑法修正案（九》與《刑法修正案（七》相比，從三個(gè)方面完善了對(duì)公民個(gè)人信息保護(hù)的規(guī)定：一是擴(kuò)大犯罪主體的范圍，規(guī)定任何單位、組織、個(gè)人違反有關(guān)規(guī)定，出售或向他人提供公民個(gè)人信息，情節(jié)嚴(yán)重的，都將構(gòu)成犯罪；二是嚴(yán)打“內(nèi)部人”犯罪，明確規(guī)定任何單位、組織、個(gè)人違反國(guó)家有關(guān)規(guī)定，