《大數(shù)據(jù)通識教程》 課件 第12章 大數(shù)據(jù)安全與法律

數(shù)字文明與數(shù)字治理大數(shù)據(jù)通識教程第12章楊武劍周蘇主編大數(shù)據(jù)安全與法律01大數(shù)據(jù)的安全問題02大數(shù)據(jù)的管理維度03大數(shù)據(jù)的安全體系04大數(shù)據(jù)倫理與法規(guī)目錄/CONTENTSPART01大數(shù)據(jù)的安全問題傳統(tǒng)的信息安全側(cè)重于信息內(nèi)容（信息資產(chǎn)）的管理，更多地將信息作為企業(yè)/機構(gòu)的自有資產(chǎn)進行相對靜態(tài)的管理，不能適應(yīng)實時動態(tài)的大規(guī)模數(shù)據(jù)流轉(zhuǎn)和大量用戶數(shù)據(jù)處理的特點。大數(shù)據(jù)的特性和新的技術(shù)架構(gòu)顛覆了傳統(tǒng)的數(shù)據(jù)管理方式，在數(shù)據(jù)來源、數(shù)據(jù)處理、數(shù)據(jù)使用和數(shù)據(jù)思維等方面帶來革命性的變化，這給大數(shù)據(jù)的安全防護帶來了嚴峻的挑戰(zhàn)。大數(shù)據(jù)的安全不僅是大數(shù)據(jù)平臺的安全，而是以數(shù)據(jù)為核心，在全生命周期各階段流轉(zhuǎn)過程中，在數(shù)據(jù)采集匯聚、數(shù)據(jù)存儲處理、數(shù)據(jù)共享使用等方面都面臨新的安全挑戰(zhàn)。12.1大數(shù)據(jù)的安全問題云計算、社交網(wǎng)絡(luò)和移動互聯(lián)網(wǎng)的興起，對數(shù)據(jù)存儲的安全性要求隨之增加。各種在線應(yīng)用大量數(shù)據(jù)共享的一個潛在問題就是信息安全。雖然信息安全技術(shù)發(fā)展迅速，然而企圖破壞和規(guī)避信息保護的各種網(wǎng)絡(luò)犯罪的手段有也在發(fā)展中，更加不易追蹤和防范。數(shù)據(jù)安全的另一方面是管理。在加強技術(shù)保護的同時，加強全民的信息安全意識，完善信息安全的政策和流程至關(guān)重要。12.1大數(shù)據(jù)的安全問題根據(jù)工業(yè)和信息化部（網(wǎng)安局）的相關(guān)定義，所謂數(shù)據(jù)安全風險信息，主要是通過檢測、評估、信息搜集、授權(quán)監(jiān)測等手段獲取的，包括但不限于以下這些。（1）數(shù)據(jù)泄露，數(shù)據(jù)被惡意獲取，或者轉(zhuǎn)移、發(fā)布至不安全環(huán)境等相關(guān)風險；（2）數(shù)據(jù)篡改，造成數(shù)據(jù)破壞的修改、增加、刪除等相關(guān)風險；（3）數(shù)據(jù)濫用，數(shù)據(jù)超范圍、超用途、超時間使用等相關(guān)風險；（4）違規(guī)傳輸，數(shù)據(jù)未按照有關(guān)規(guī)定擅自進行傳輸?shù)认嚓P(guān)風險；12.1大數(shù)據(jù)的安全問題（5）非法訪問，數(shù)據(jù)遭未授權(quán)訪問等相關(guān)風險；（6）流量異常，數(shù)據(jù)流量規(guī)模異常、流量內(nèi)容異常等相關(guān)風險；此外，數(shù)據(jù)安全風險還包括由相關(guān)政府部門組織授權(quán)監(jiān)測的暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)庫、大數(shù)據(jù)平臺等數(shù)據(jù)資產(chǎn)信息等。12.1大數(shù)據(jù)的安全問題大數(shù)據(jù)環(huán)境下，隨著物聯(lián)網(wǎng)特別是5G技術(shù)的發(fā)展，出現(xiàn)了各種不同的終端接入方式和各種各樣的數(shù)據(jù)應(yīng)用。來自大量終端設(shè)備和應(yīng)用的超大規(guī)模數(shù)據(jù)源輸入，對鑒別大數(shù)據(jù)源頭的真實性提出了挑戰(zhàn)，數(shù)據(jù)來源是否可信，源數(shù)據(jù)是否被篡改都是需要防范的風險。數(shù)據(jù)傳輸需要各種協(xié)議相互配合，有些協(xié)議缺乏專業(yè)的數(shù)據(jù)安全保護機制，從數(shù)據(jù)源到大數(shù)據(jù)平臺的數(shù)據(jù)傳輸可能帶來安全風險。數(shù)據(jù)采集過程中存在的誤差會造成數(shù)據(jù)本身的失真和偏差，數(shù)據(jù)傳輸過程中的泄漏、破壞或攔截會帶來隱私泄露、謠言傳播等安全管理失控的問題。因此，大數(shù)據(jù)傳輸中信道安全、數(shù)據(jù)防破壞、防篡改和設(shè)備物理安全等幾個方面都需要考慮。12.1.1采集匯聚安全大數(shù)據(jù)平臺處理數(shù)據(jù)的模式與傳統(tǒng)信息系統(tǒng)不同（圖12-2）。傳統(tǒng)數(shù)據(jù)的產(chǎn)生、存儲、計算、傳輸都對應(yīng)明確界限的實體，可以清晰地通過拓撲結(jié)構(gòu)表示，這種處理信息方式用邊界防護相對有效。但在大數(shù)據(jù)平臺上，采用新的處理范式和數(shù)據(jù)處理方式（MapReduce、列存儲等），存儲平臺同時也是計算平臺，應(yīng)用分布式存儲、分布式數(shù)據(jù)庫、NewSQL、NoSQL、分布式并行計算、流式計算等技術(shù)，一個平臺內(nèi)可以同時具有多種數(shù)據(jù)處理模式，完成多種業(yè)務(wù)處理，導致邊界模糊，傳統(tǒng)的安全防護方式難以奏效。12.1.2存儲處理安全

圖12-2大數(shù)據(jù)安全事故分析12.1.2存儲處理安全（1）大數(shù)據(jù)平臺的分布式計算涉及多臺計算機和多條通信鏈路，一旦出現(xiàn)多點故障，容易導致分布式系統(tǒng)出現(xiàn)問題。此外，分布式計算涉及的組織較多，在安全攻擊和非授權(quán)訪問防護方面比較脆弱。12.1.2存儲處理安全（2）分布式存儲由于數(shù)據(jù)被分塊存儲在各個數(shù)據(jù)節(jié)點，傳統(tǒng)的安全防護在分布式存儲方式下很難奏效，其面臨的主要安全挑戰(zhàn)是數(shù)據(jù)丟失和數(shù)據(jù)泄露。①數(shù)據(jù)的安全域劃分無效；②細粒度的訪問存儲訪問控制不健全，用作服務(wù)器軟件的NoSQL未有足夠的安全內(nèi)置訪問控制措施，以致客戶端應(yīng)用程序需要內(nèi)建安全措施，因此產(chǎn)生授權(quán)過程身份驗證和輸入驗證等安全問題；12.1.2存儲處理安全③分布式節(jié)點之間的傳輸網(wǎng)絡(luò)易受到攻擊、劫持和破壞使得存儲數(shù)據(jù)的完整性、機密性難以保證；④數(shù)據(jù)分布式存儲增大了各個存儲節(jié)點暴露的風險，在開放的網(wǎng)絡(luò)化社會，攻擊者更容易找到侵入點，以相對較低的成本就可以獲得“滾雪球”的收益，一旦遭受攻擊，失竊的數(shù)據(jù)量和損失是十分巨大的；⑤傳統(tǒng)的數(shù)據(jù)存儲加密技術(shù)在性能效率上面很難滿足高速、大容量數(shù)據(jù)的加密要求。12.1.2存儲處理安全（3）大數(shù)據(jù)平臺訪問控制的安全隱患主要體現(xiàn)在：用戶多樣性和業(yè)務(wù)場景多樣性帶來的權(quán)限控制多樣性和精細化要求，超過了平臺自身訪問控制能夠?qū)崿F(xiàn)的安全級別，策略控制無法滿足權(quán)限的動態(tài)性需求，傳統(tǒng)的角色訪問控制不能將角色、活動和權(quán)限有效地對應(yīng)起來。因此，在大數(shù)據(jù)架構(gòu)下的訪問控制機制需要對這些新問題進行分析和探索。12.1.2存儲處理安全（4）針對大數(shù)據(jù)的新型安全攻擊中最具代表性的是高級持續(xù)性攻擊，由于其潛伏性和低頻活躍性，使持續(xù)性成為一個不確定的實時過程，產(chǎn)生的異常行為不易被捕獲。傳統(tǒng)的基于內(nèi)置攻擊事件庫的特征實時匹配檢測技術(shù)對檢測這種攻擊無效。大數(shù)據(jù)應(yīng)用為入侵者實施可持續(xù)的數(shù)據(jù)分析和攻擊提供了極好的隱藏環(huán)境，一旦攻擊得手，失竊的信息量甚至是難以估量的。12.1.2存儲處理安全（5）基礎(chǔ)設(shè)施安全的核心是數(shù)據(jù)中心的設(shè)備安全問題。傳統(tǒng)的安全防范手段如網(wǎng)絡(luò)防DDoS分布式拒絕服務(wù)攻擊（指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊）、存儲加密、容災(zāi)備份、服務(wù)器安全加固、防病毒、接入控制、自然環(huán)境安全等。而主要來自大數(shù)據(jù)服務(wù)所依賴的云計算技術(shù)引起的風險，包括如虛擬化軟件安全、虛擬服務(wù)器安全、容器安全，以及由于云服務(wù)引起的商業(yè)風險等。12.1.2存儲處理安全（6）服務(wù)接口安全。由于大數(shù)據(jù)業(yè)務(wù)應(yīng)用的多樣性，使得對外提供的服務(wù)接口千差萬別，給攻擊者帶來機會。因此，如何保證不同的服務(wù)接口安全是大數(shù)據(jù)平臺的又一巨大挑戰(zhàn)。（7）數(shù)據(jù)挖掘分析使用安全。大數(shù)據(jù)的應(yīng)用核心是數(shù)據(jù)挖掘，從數(shù)據(jù)中挖掘出高價值信息為企業(yè)所用，是大數(shù)據(jù)價值的體現(xiàn)。然而使用數(shù)據(jù)挖掘技術(shù)，為企業(yè)創(chuàng)造價值的同時，容易產(chǎn)生隱私泄露的問題。如何防止數(shù)據(jù)濫用和數(shù)據(jù)挖掘?qū)е碌臄?shù)據(jù)泄密和隱私泄露問題，是大數(shù)據(jù)安全一個最主要的挑戰(zhàn)性問題。12.1.2存儲處理安全互聯(lián)網(wǎng)給人們生活帶來方便，同時也使得個人信息的保護變得更加困難。（1）數(shù)據(jù)的保密問題。頻繁的數(shù)據(jù)流轉(zhuǎn)和交換使得數(shù)據(jù)泄露不再是一次性的事件，眾多非敏感的數(shù)據(jù)可以通過二次組合形成敏感的數(shù)據(jù)。通過大數(shù)據(jù)的聚合分析能形成更有價值的衍生數(shù)據(jù)，如何更好地在數(shù)據(jù)使用過程中對敏感數(shù)據(jù)進行加密、脫敏、管控、審查等，阻止外部攻擊者采取數(shù)據(jù)竊密、數(shù)據(jù)挖掘、根據(jù)算法模型參數(shù)梯度分析對訓練數(shù)據(jù)的特征進行逆向工程推導等攻擊行為，避免隱私泄露，仍然是大數(shù)據(jù)環(huán)境下的巨大挑戰(zhàn)。12.1.3共享使用安全（2）數(shù)據(jù)保護策略問題。大數(shù)據(jù)環(huán)境下，匯聚不同渠道、不同用途和不同重要級別的數(shù)據(jù)，通過大數(shù)據(jù)融合技術(shù)形成不同的數(shù)據(jù)產(chǎn)品，使大數(shù)據(jù)成為有價值的知識，發(fā)揮巨大作用。如何對這些數(shù)據(jù)進行保護，以支撐不同用途、不同重要級別、不同使用范圍的數(shù)據(jù)充分共享、安全合規(guī)的使用，確保大數(shù)據(jù)環(huán)境下高并發(fā)多用戶使用場景中數(shù)據(jù)不被泄露、不被非法使用，是大數(shù)據(jù)安全的又一個關(guān)鍵性問題。12.1.3共享使用安全（3）數(shù)據(jù)的權(quán)屬問題。大數(shù)據(jù)場景下，數(shù)據(jù)的擁有者、管理者和使用者與傳統(tǒng)的數(shù)據(jù)資產(chǎn)不同，傳統(tǒng)的數(shù)據(jù)是屬于組織和個人的，而大數(shù)據(jù)具有不同程度的社會性。一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有被明確界定，很多基于大數(shù)據(jù)的分析都未考慮到其中涉及的隱私問題。在防止數(shù)據(jù)丟失、被盜取、被濫用和被破壞上存在一定的技術(shù)難度，傳統(tǒng)的安全工具不再像以前那么有用。如何管控大數(shù)據(jù)環(huán)境下數(shù)據(jù)流轉(zhuǎn)、權(quán)屬關(guān)系、使用行為和追溯敏感數(shù)據(jù)資源流向，解決數(shù)據(jù)權(quán)屬關(guān)系不清、數(shù)據(jù)越權(quán)使用等問題是一個巨大的挑戰(zhàn)。12.1.3共享使用安全PART02大數(shù)據(jù)的管理維度數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，建立健全大數(shù)據(jù)安全保障體系，對大數(shù)據(jù)的平臺及服務(wù)進行安全評估，是推進大數(shù)據(jù)產(chǎn)業(yè)化工作的重要基礎(chǔ)任務(wù)。中國《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》《數(shù)據(jù)安全管理辦法》等法律法規(guī)的陸續(xù)實施，對大數(shù)據(jù)運營商提出了諸多合規(guī)要求。如何應(yīng)對大數(shù)據(jù)安全風險，確保其符合網(wǎng)絡(luò)安全法律法規(guī)政策，成為亟需解決的問題。12.2大數(shù)據(jù)的管理維度大數(shù)據(jù)管理具有分布式、無中心、多組織協(xié)調(diào)等特點。因此有必要從數(shù)據(jù)語義、生命周期和信息技術(shù)（IT）三個維度去認識數(shù)據(jù)管理技術(shù)涉及的數(shù)據(jù)內(nèi)涵，分析和理解數(shù)據(jù)管理過程中需要采用的IT安全技術(shù)及其管控措施和機制。圖12-3大數(shù)據(jù)管理的三個維度12.2大數(shù)據(jù)的管理維度從大數(shù)據(jù)運營者的角度看，大數(shù)據(jù)生態(tài)系統(tǒng)應(yīng)提供包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理和大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理等業(yè)務(wù)安全功能，因此大數(shù)據(jù)業(yè)務(wù)目標應(yīng)包括這5個方面。12.2大數(shù)據(jù)的管理維度全國大數(shù)據(jù)標準化工作會議暨全國信標委大數(shù)據(jù)標準工作組第七次全會上發(fā)布了《大數(shù)據(jù)標準化白皮書（2020版）》。白皮書指出了目前大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展面臨的安全挑戰(zhàn)，包括法律法規(guī)與相關(guān)標準的挑戰(zhàn)、數(shù)據(jù)安全和個人信息保護的挑戰(zhàn)、大數(shù)據(jù)技術(shù)和平臺安全的挑戰(zhàn)。針對這些挑戰(zhàn)，我國已經(jīng)在大數(shù)據(jù)安全指引、國家標準及法律法規(guī)建設(shè)方面取得階段性成果，但大數(shù)據(jù)運營過程中的大數(shù)據(jù)平臺安全機制不足、傳統(tǒng)安全措施難以適應(yīng)大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)應(yīng)用訪問控制困難、基礎(chǔ)密碼技術(shù)及密鑰操作性等信息技術(shù)安全問題亟待解決。12.2大數(shù)據(jù)的管理維度PART03大數(shù)據(jù)的安全體系在大數(shù)據(jù)時代，如何確保網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性，不受信息泄漏和非法篡改的安全威脅影響，已成為政府機構(gòu)、事業(yè)單位信息化健康發(fā)展所要考慮的核心問題。根據(jù)對大數(shù)據(jù)環(huán)境下面臨的安全問題和挑戰(zhàn)進行分析，提出基于大數(shù)據(jù)分析和威脅情報共享為基礎(chǔ)的大數(shù)據(jù)協(xié)同安全防護體系，將大數(shù)據(jù)安全技術(shù)框架、數(shù)據(jù)安全治理、安全測評和運維管理相結(jié)合，在數(shù)據(jù)分類分級和全生命周期安全的基礎(chǔ)上，體系性的解決大數(shù)據(jù)不同層次的安全問題。圖12-4安全保障框架12.3大數(shù)據(jù)的安全體系大數(shù)據(jù)的安全技術(shù)體系是以大數(shù)據(jù)安全管理、安全運行的技術(shù)保障。以密碼基礎(chǔ)設(shè)施、認證基礎(chǔ)設(shè)施、可信服務(wù)管理、密鑰管理設(shè)施、安全監(jiān)測預警等五大安全基礎(chǔ)設(shè)施為支撐服務(wù)，結(jié)合大數(shù)據(jù)、人工智能和分布式計算存儲能力，解決傳統(tǒng)安全解決方案中數(shù)據(jù)離散、單點計算能力不足、信息孤島和無法聯(lián)動的問題。

圖12-5大數(shù)據(jù)安全技術(shù)框架12.3.1安全技術(shù)體系大數(shù)據(jù)安全治理的目標是確保大數(shù)據(jù)“合法合規(guī)”安全流轉(zhuǎn)，在保障大數(shù)據(jù)安全的前提下，實現(xiàn)其價值最大化，以支撐企業(yè)的業(yè)務(wù)目標。大數(shù)據(jù)安全治理體系建設(shè)過程中行使數(shù)據(jù)的安全管理、運行監(jiān)管和效能評估的職能。主要內(nèi)容包括：（1）構(gòu)架大數(shù)據(jù)安全治理的治理流程、治理組織結(jié)構(gòu)、治理策略和確保數(shù)據(jù)在流轉(zhuǎn)過程中的訪問控制、安全保密和安全監(jiān)管等安全保障機制。（2）制定數(shù)據(jù)治理過程中的安全管理架構(gòu)，包括人員組成，角色分配、管理流程和對大數(shù)據(jù)的安全管理策略等。12.3.2大數(shù)據(jù)安全治理（3）明確大數(shù)據(jù)安全治理中元數(shù)據(jù)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)血緣、主數(shù)據(jù)管理和數(shù)據(jù)全生命周期安全治理方式，包括安全治理標準、治理方式、評估標準、異常和應(yīng)急處置措施以及元數(shù)據(jù)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標準等。（4）對大數(shù)據(jù)環(huán)境下數(shù)據(jù)主要參與者，包括數(shù)據(jù)提供者（數(shù)據(jù)源）、大數(shù)據(jù)平臺、數(shù)據(jù)管理者和數(shù)據(jù)使用者制定明確的安全治理目標，規(guī)劃安全治理策略。12.3.2大數(shù)據(jù)安全治理大數(shù)據(jù)安全測評是安全地提供大數(shù)據(jù)服務(wù)的支撐保障，目標是驗證評估所有保護大數(shù)據(jù)的安全策略、安全產(chǎn)品和安全技術(shù)的有效性和性能等。確保所使用的安全防護手段都能滿足主要參與者安全防護的需求。主要內(nèi)容包括：（1）構(gòu)建大數(shù)據(jù)安全測評的組織結(jié)構(gòu)、人員組成、責任分工和安全測評需要達到的目標等。（2）明確大數(shù)據(jù)場景下安全測評的標準、范圍、計劃、流程、策略和方式等，大數(shù)據(jù)環(huán)境下的安全分析按評估方法包括基于場景的數(shù)據(jù)流安全評估、基于利益攸關(guān)者的需求安全評估等。12.3.3大數(shù)據(jù)安全測評（3）制定評估標準，明確各個安全防護手段需要達到的安全防護效能，包括功能、性能、可靠性、可用性、保密性、完整性等。（4）按照《大數(shù)據(jù)安全能力成熟度模型》評估安全態(tài)勢并形成相關(guān)的大數(shù)據(jù)安全評估報告等，作為大數(shù)據(jù)安全建設(shè)能夠投入應(yīng)用的依據(jù)。12.3.3大數(shù)據(jù)安全測評大數(shù)據(jù)的安全運維主要確保大數(shù)據(jù)系統(tǒng)平臺能安全持續(xù)穩(wěn)定可靠運行，在大數(shù)據(jù)系統(tǒng)運行過程中行使資源調(diào)配、系統(tǒng)升級、服務(wù)啟停、容災(zāi)備份、性能優(yōu)化、應(yīng)急處置、應(yīng)用部署和安全管控等職能。具體的職責包括：（1）構(gòu)建大數(shù)據(jù)安全運維體系的組織形式、運維架構(gòu)、安全運維策略、權(quán)限劃分等。（2）制定不同安全運維流程和運維的重點方向等，包括基礎(chǔ)設(shè)施安全管控、病毒防護、平臺調(diào)優(yōu)、資源分配和系統(tǒng)部署、應(yīng)用和數(shù)據(jù)的容災(zāi)備份等業(yè)務(wù)流程。12.3.4大數(shù)據(jù)安全運維（3）明確安全運維的標準規(guī)范和規(guī)章制度，由于運維人員具有較大的操作權(quán)限，為防范內(nèi)部人員風險，要對大數(shù)據(jù)環(huán)境的核心關(guān)鍵部分、對危險行為做到事前、事中和事后有記錄、可跟蹤和能審計。12.3.4大數(shù)據(jù)安全運維基于威脅情報共享和采用大數(shù)據(jù)分析技術(shù)的大數(shù)據(jù)安全防護技術(shù)體系，可以實現(xiàn)大數(shù)據(jù)安全威脅的快速響應(yīng)，集安全態(tài)勢感知、監(jiān)測預警、快速響應(yīng)和主動防御為一體，基于數(shù)據(jù)分級分類實施不同的安全防護策略，形成協(xié)同安全防護體系。圍繞以數(shù)據(jù)為核心，以安全機制為手段，以涉及數(shù)據(jù)的承載主體為目標，以數(shù)據(jù)參與者為關(guān)注點，構(gòu)建大數(shù)據(jù)安全協(xié)同主動防護體系。

圖12-6以數(shù)據(jù)為中心的安全防護要素12.3.5以數(shù)據(jù)為中心的安全要素（1）數(shù)據(jù)是指需要防護的大數(shù)據(jù)對象，包括大數(shù)據(jù)流轉(zhuǎn)的各個階段，即采集、傳輸、存儲、處理、共享、使用和銷毀。（2）安全策略是指對大數(shù)據(jù)對象進行安全防護的流程、策略、配置和方法等，如根據(jù)數(shù)據(jù)的不同安全等級和防護需求，實施主動防御、訪問控制、授權(quán)、隔離、過濾、加密、脫敏等。（3）安全產(chǎn)品指在對大數(shù)據(jù)進行安全防護時使用的具體產(chǎn)品，如數(shù)據(jù)庫防火墻、審計、主動防御系統(tǒng)、APT檢測、高速密碼機、數(shù)據(jù)脫敏系統(tǒng)、云密碼資源池、數(shù)據(jù)分級分類系統(tǒng)等。12.3.5以數(shù)據(jù)為中心的安全要素（4）防護主體是指需要防護的承載大數(shù)據(jù)流轉(zhuǎn)過程的軟硬件載體，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備，大數(shù)據(jù)平臺、應(yīng)用系統(tǒng)等。（5）參與者是指參與大數(shù)據(jù)流轉(zhuǎn)過程中的改變大數(shù)據(jù)狀態(tài)和流轉(zhuǎn)過程的主體，主要包括大數(shù)據(jù)提供者、管理者、使用者和大數(shù)據(jù)平臺等。12.3.5以數(shù)據(jù)為中心的安全要素PART04大數(shù)據(jù)倫理與法規(guī)人們逐漸認識到，為了讓網(wǎng)絡(luò)與信息技術(shù)長遠地造福于社會，就必須規(guī)范對網(wǎng)絡(luò)的訪問和使用，這就對政府、學術(shù)界和法律界提出了挑戰(zhàn)。人們面臨的一個難題就是如何制訂和完善網(wǎng)絡(luò)法規(guī)，具體地說，就是如何在計算機空間里保護公民的隱私，規(guī)范網(wǎng)絡(luò)言論，保護電子知識產(chǎn)權(quán)以及保障網(wǎng)絡(luò)安全等。12.4大數(shù)據(jù)倫理與法規(guī)大數(shù)據(jù)產(chǎn)業(yè)面臨的倫理問題正日益成為阻礙其發(fā)展的瓶頸。這些問題主要包括數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)問題、隱私權(quán)和自主權(quán)的侵犯問題、數(shù)據(jù)利用失衡問題。這三個問題影響了大數(shù)據(jù)的生產(chǎn)、采集、存儲、交易流轉(zhuǎn)和開發(fā)使用全過程。12.4.1大數(shù)據(jù)的倫理問題1.數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)問題由于跨境數(shù)據(jù)流動劇增、數(shù)據(jù)經(jīng)濟價值凸顯、個人隱私危機爆發(fā)等多方面因素，數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)已成為大數(shù)據(jù)產(chǎn)業(yè)發(fā)展遭遇的關(guān)鍵問題。數(shù)據(jù)的跨境流動是不可避免的，但這也給國家安全帶來了威脅，數(shù)據(jù)的主權(quán)問題由此產(chǎn)生。數(shù)據(jù)主權(quán)是指國家對其政權(quán)管轄地域內(nèi)的數(shù)據(jù)享有生成、傳播、管理、控制和利用的權(quán)力。數(shù)據(jù)主權(quán)是國家主權(quán)在信息化、數(shù)字化和全球化發(fā)展趨勢下新的表現(xiàn)形式，是各國在大數(shù)據(jù)時代維護國家主權(quán)和獨立，反對數(shù)據(jù)壟斷和霸權(quán)主義的必然要求。數(shù)據(jù)主權(quán)是國家安全的保障。12.4.1大數(shù)據(jù)的倫理問題數(shù)據(jù)權(quán)包括機構(gòu)數(shù)據(jù)權(quán)和個人數(shù)據(jù)權(quán)。機構(gòu)數(shù)據(jù)權(quán)是企業(yè)和其他機構(gòu)對個人數(shù)據(jù)的采集權(quán)和使用權(quán)。個人數(shù)據(jù)權(quán)是指個人擁有對自身數(shù)據(jù)的控制權(quán)，以保護自身隱私信息不受侵犯的權(quán)利。數(shù)據(jù)權(quán)是企業(yè)的核心競爭力，數(shù)據(jù)權(quán)也是個人的基本權(quán)利，個人在互聯(lián)網(wǎng)上產(chǎn)生了大量的數(shù)據(jù)，這些數(shù)據(jù)與個人的隱私密切相關(guān)，個人也擁有對這些數(shù)據(jù)的財產(chǎn)權(quán)。12.4.1大數(shù)據(jù)的倫理問題數(shù)據(jù)財產(chǎn)權(quán)是數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)的核心內(nèi)容。以大數(shù)據(jù)為主的信息技術(shù)賦予了數(shù)據(jù)以財產(chǎn)屬性，數(shù)據(jù)財產(chǎn)是指將數(shù)據(jù)符號固定于介質(zhì)之上，具有一定的價值，能夠為人們所感知和利用的一種新型財產(chǎn)。數(shù)據(jù)財產(chǎn)包含形式要素和實質(zhì)要素兩個部分，數(shù)據(jù)符號所依附的介質(zhì)為其形式要素，數(shù)據(jù)財產(chǎn)所承載的有價值的信息為其實質(zhì)要素。數(shù)據(jù)權(quán)屬問題目前還沒有得到徹底解決，數(shù)據(jù)主權(quán)的爭奪也日益白熱化。數(shù)據(jù)權(quán)屬不明的直接后果就是國家安全受到威脅，數(shù)據(jù)交易活動存在法律風險和利益沖突，個人的隱私和利益受到侵犯。12.4.1大數(shù)據(jù)的倫理問題2.隱私權(quán)和自主權(quán)的侵犯問題數(shù)據(jù)的使用和個人的隱私保護是大數(shù)據(jù)產(chǎn)業(yè)發(fā)展面臨的一大沖突。在大數(shù)據(jù)環(huán)境下，個人在互聯(lián)網(wǎng)上的任何行為都會變成數(shù)據(jù)被沉淀下來，而這些數(shù)據(jù)的匯集都可能最終導致個人隱私的泄露。絕大多數(shù)互聯(lián)網(wǎng)企業(yè)通過記錄用戶不斷產(chǎn)生的數(shù)據(jù)，監(jiān)控用戶在互聯(lián)網(wǎng)上所有的行為，互聯(lián)網(wǎng)公司據(jù)此對用戶進行畫像，分析其興趣愛好、行為習慣，對用戶做各種分類，然后以精準廣告的形式給用戶提供符合其偏好的產(chǎn)品或服務(wù)。12.4.1大數(shù)據(jù)的倫理問題另外，互聯(lián)網(wǎng)公司還可以通過消費數(shù)據(jù)等分析評估消費者的信用，從而提供精準的金融服務(wù)進行盈利。在這兩種商業(yè)模式中，用戶成為被觀察、分析和監(jiān)測的對象，這是用個人生活和隱私來成全的商業(yè)模式。12.4.1大數(shù)據(jù)的倫理問題3.數(shù)據(jù)利用的失衡問題數(shù)據(jù)利用的失衡主要體現(xiàn)在兩個方面。第一，數(shù)據(jù)的利用率較低。隨著移動互聯(lián)網(wǎng)的發(fā)展，每天都有海量的數(shù)據(jù)產(chǎn)生，全球數(shù)據(jù)規(guī)模實現(xiàn)指數(shù)級增長，但是福瑞斯特研究對大型企業(yè)的調(diào)研結(jié)果顯示，企業(yè)大數(shù)據(jù)的利用率僅在12%左右。就掌握大量數(shù)據(jù)的政府而言，數(shù)據(jù)的利用率更低。第二，數(shù)字鴻溝現(xiàn)象日益顯著。數(shù)字鴻溝束縛數(shù)據(jù)流通，導致數(shù)據(jù)利用水平較低。大數(shù)據(jù)的“政用”、“民用”和“工用”，相對于大數(shù)據(jù)在商用領(lǐng)域的發(fā)展，無論技術(shù)、人才還是數(shù)據(jù)規(guī)模都有巨大的差距。12.4.1大數(shù)據(jù)的倫理問題現(xiàn)階段，我國大數(shù)據(jù)應(yīng)用較為成熟的行業(yè)是電商、電信和金融領(lǐng)域，醫(yī)療、能源、教育等領(lǐng)域則處于起步階段。由于大數(shù)據(jù)在電商、電信、金融等商用領(lǐng)域產(chǎn)生巨大利益，數(shù)據(jù)資源、社會資源、人才資源均往這些領(lǐng)域傾斜，涉及政務(wù)、民生、工業(yè)等經(jīng)濟利益較弱的領(lǐng)域，市場占比很少。在“商用”領(lǐng)域內(nèi)，優(yōu)勢的行業(yè)或優(yōu)勢的企業(yè)也往往占據(jù)了大量的大數(shù)據(jù)資源。例如，大型互聯(lián)網(wǎng)公司的大數(shù)據(jù)發(fā)展指數(shù)對比中小企業(yè)的就呈現(xiàn)碾壓態(tài)勢。大數(shù)據(jù)的“政用”、“民用”和“工用”對于改善民生、輔助政府決策、提升工業(yè)信息化水平、推動社會進步可以起到巨大的作用，因此大數(shù)據(jù)的發(fā)展應(yīng)該更加均衡，這也符合國家大數(shù)據(jù)戰(zhàn)略中服務(wù)經(jīng)濟社會發(fā)展和人民生活改善的方向。12.4.1大數(shù)據(jù)的倫理問題為了有效保護個人數(shù)據(jù)權(quán)利，促進數(shù)據(jù)的共享流通，世界各國對大數(shù)據(jù)產(chǎn)業(yè)發(fā)展提出了各自的倫理和法律規(guī)制方案。大數(shù)據(jù)戰(zhàn)略已經(jīng)成為我國的國家戰(zhàn)略，從國家到地方都紛紛出臺大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展規(guī)劃和政策條例。2013年2月1日正式頒布并實施《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，2016年實施《中華人民共和國網(wǎng)絡(luò)安全法》。我們可以結(jié)合我國大數(shù)據(jù)產(chǎn)業(yè)現(xiàn)狀，建立起一套符合我國大數(shù)據(jù)產(chǎn)業(yè)的倫理規(guī)制體系和法律保障體系，為我國大數(shù)據(jù)戰(zhàn)略實施保駕護航。12.4.2大數(shù)據(jù)的倫理規(guī)則1.建立規(guī)范的數(shù)據(jù)共享機制和數(shù)據(jù)共享標準以開放共享的倫理精神為指導，建立規(guī)范的數(shù)據(jù)共享機制，解決目前大數(shù)據(jù)產(chǎn)業(yè)由于開放共享倫理的缺位和泛濫而導致的數(shù)據(jù)孤島、共享缺失、權(quán)力極化、資源危機，以及數(shù)據(jù)濫用、共享濫用、權(quán)力濫用、侵犯人權(quán)兩類極端的問題。同時針對不同的數(shù)據(jù)類型和不同行業(yè)領(lǐng)域的數(shù)據(jù)價值開發(fā)，制定合理的數(shù)據(jù)共享標準。最終達到維護國家數(shù)據(jù)主權(quán)保障機構(gòu)和個人的數(shù)據(jù)權(quán)利，優(yōu)化大數(shù)據(jù)產(chǎn)業(yè)結(jié)構(gòu)，保障大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展的目標。12.4.2大數(shù)據(jù)的倫理規(guī)則2.尊重個人的數(shù)據(jù)權(quán)利，提高國民大數(shù)據(jù)素養(yǎng)大數(shù)據(jù)技術(shù)創(chuàng)新、研發(fā)和應(yīng)用的目的是促進人的幸福和提高人生活質(zhì)量，任何行動都應(yīng)根據(jù)不傷害人和有益于人的倫理原則給予評價。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展應(yīng)當以尊重和保護個人的數(shù)據(jù)權(quán)利為前提，個人的數(shù)據(jù)權(quán)利主要包括訪問權(quán)、修改權(quán)、刪除或遺忘權(quán)、可攜帶權(quán)、決定權(quán)。隨著社會各界越來越關(guān)注個人的數(shù)據(jù)權(quán)利，我國不僅在大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展中應(yīng)尊重個人的數(shù)據(jù)權(quán)利，在國家立法層面也應(yīng)逐步完善保護個人信息的立法。12.4.2大數(shù)據(jù)的倫理規(guī)則相對于機構(gòu)，個人處于弱勢，國民應(yīng)提高大數(shù)據(jù)素養(yǎng)，主動維護自身的數(shù)據(jù)權(quán)利。因此，我們應(yīng)普及大數(shù)據(jù)倫理的宣傳和教育，專家學者要從多方面向企業(yè)、政府和公眾開展大數(shù)據(jù)講座，幫助群眾提升大數(shù)據(jù)素養(yǎng)，以縮小甚至消除個人數(shù)據(jù)權(quán)利和機構(gòu)數(shù)據(jù)權(quán)力的失衡。12.4.2大數(shù)據(jù)的倫理規(guī)則3.建立大數(shù)據(jù)算法的透明審查機制大數(shù)據(jù)算法是大數(shù)據(jù)管理與挖掘的核心主題，大數(shù)據(jù)的處理、分析、應(yīng)用都是由大數(shù)據(jù)算法來支撐和實現(xiàn)的。隨著大數(shù)據(jù)“殺熟”、大數(shù)據(jù)算法歧視等事件的出現(xiàn)，社會對大數(shù)據(jù)算法的“黑盒子”問題質(zhì)疑也越來越多。企業(yè)和政府在使用數(shù)據(jù)的過程中，必須提高該過程中對公眾的透明度，“將選擇權(quán)回歸個人”。12.4.2大數(shù)據(jù)的倫理規(guī)則例如，應(yīng)該參照藥品說明書建立大數(shù)據(jù)算法的透明審查機制，向社會公布大數(shù)據(jù)算法的“說明書”。藥品說明書不僅包含藥品名稱、規(guī)格、生產(chǎn)企業(yè)、有效期、主要成分、適應(yīng)證、用法用量等基本藥品信息，還包含了藥理作用、藥代動力學等重要信息。對大數(shù)據(jù)算法的管理應(yīng)參照這類說明書的管理規(guī)定。12.4.2大數(shù)據(jù)的倫理規(guī)則4.建立大數(shù)據(jù)行業(yè)的道德自律機制和監(jiān)督平臺企業(yè)在大數(shù)據(jù)產(chǎn)業(yè)中占主導地位，建立行業(yè)的道德自律對于解決大數(shù)據(jù)產(chǎn)業(yè)的倫理問題有積極作用，也是大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展的重要保