●大數據作為資源，只有流通起來才能發揮價值，怎樣保障流動的數據安全，是行業產業發展需重點解決的問題

　　●首份《數據安全能力建設實施指南》征求意見稿發布，填補業內數據安全能力建設實操指南的空白

　　●各國陸續出臺具跨域約束權的專門性法案，產生的“長臂”管轄問題引發討論

　　如何切實防范、控制和化解各種數據安全與隱私保護的風險，成社交網絡、在線購物、醫療和移動服務等應用深入的互聯網行業，面臨的最大安全挑戰。

　　9月29日，為期三天的2018(第三屆)數據安全與隱私保護大會在杭州落下帷幕。來自中國、美國、日本、韓國等國家的70余名專家學者，圍繞上述行業問題，從數據安全及隱私保護的政策法律標準、產業實踐、前沿技術和全球跨境數據流動政策分析等維度，展開深入討論，共議克服挑戰的策略與方案。

　　29日，阿里巴巴數據安全研究院還重磅發布了業內首份《數據安全能力建設實施指南V1.0》(下稱《指南》)征求意見稿，為組織數據安全能力建設提供參考。

　　作為中國最權威頂級、規模最大的數據安全領域會議，本屆大會以“數據安全
隱私保護”為主題，由浙江省互聯網信息辦公室指導，中國保密協會隱私保護專委會和中國網絡空間安全協會網絡治理與國際合作工作委員會主辦，阿里巴巴數據安全研究院和貴州大數據安全工程研究中心承辦。

　　28日開幕式當天，浙江省互聯網信息辦公室副主任王堯祥，中國網絡安全審查技術與認證中心主任魏昊，中國保密協會常務副會長紀清陽，國家創新與發展戰略研究會副會長郝葉力，以及中國信息協會信息安全專委會副主任委員、國家信息技術安全研究中心總師辦專家李京春等嘉賓，也參會致辭和分享。

圖：28日上午，2018數據安全與隱私大會在杭州開幕，浙江省互聯網信息辦公室副主任王堯祥等領導現場發言致辭。

　　黑灰產行為成數據保護主要威脅

　　近年，關于公民個人信息案頻發，有數據安全專家就指出，數據安全和隱私保護的主要威脅，仍在于日益猖獗的黑灰產團伙行為。泄露的數據大多會被黑灰產團伙用于詐騙等牟利行為，對個人、社會和國家都產生惡劣危害。

　　無論是今年8月曝光，牽涉96家互聯網公司30億條用戶信息泄漏案;還是包括上百萬虛假網絡賬號的國內首例空號短信劫持案，以及華住5億多用戶隱私數據泄露案;或是9月爆發，覆蓋山東10市不動產系統遭病毒入侵案等億級信息數據泄露案，幕后就都存在黑灰產團伙身影。

　　公開的行業報告《國內外敏感信息泄露案例匯總分析》也指出，互聯網行業、政府機構和金融、教育與醫療等行業，是敏感數據泄露的重災區。其中，70%以上個人信息泄露均因黑客入侵等手段導致，另有近兩成是通過安插或買通“內鬼”等非技術手段引發泄露，此外還有7.87%泄密路徑尚不清楚。

　　去年3月，公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動，僅4個月就偵破相關案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個人信息500余億條。

　　沒有安全防護能力的第三方企業、機構，都是黑灰產團伙攻擊的主要對象，這些企業通常擁有大量數據，但往往缺乏足夠的數據安全意識，使得加強互聯網行業的整體數據安全防護能力，變得迫在眉睫。

　　阿里發布業內首份數據安全能力建設實施指南

圖：9月29日，阿里巴巴數據安全研究院聯合多家單位發布業內首份《數據安全能力實施指南V1.0》征求意見稿。

　　就目前行業整體數據安全能力水位不高，面臨數據業務持續發展、數據泄露事件頻發等現狀，29日上午，阿里巴巴數據安全研究院聯合多家單位公開發布了業內首份《數據安全能力建設實施指南V1.0》征求意見稿。

　　這是針對組織的數據安全能力建設提出的系統性和專門性實操方案。《指南》征求意見稿填補了數據安全能力建設實操指南的空白，是從0到1的突破。作為數據安全能力成熟度模型(DSMM)配套文檔，該《指南》由阿里巴巴數據安全研究院聯合中國電子技術標準化研究院、杭州數夢工場、杭州安恒信息、螞蟻金服和阿里云等單位共同起草。

　　《指南》以充分定義級(3級成熟度)為目標，結合數據安全合規要求和組織的業務發展需求，從組織建設、制度流程、技術工具和人員能力等四個方面整體框架設計和規劃入手，對DSMM的安全域設置目的和要求進行詳細解讀，并輔以實踐案例，為各行各業具體組織的數據安全能力建設提供實踐參考。

　　阿里巴巴集團技術副總裁杜躍進分析稱，探索保障數據為中心的安全，需要做到“融合”，打通政策法律、產業實踐和學術研究;同時需要掌握“平衡”，保證數據流動發揮價值，還要防止在流通過程中危害到個人及企業自身利益;另需學會“創新”，在新領域積極探索，不再基于傳統經驗制定未來解決方案;最后是需持續“改進”，先立初步標準，再不斷打磨優化。

圖：28日上午，阿里巴巴集團技術副總裁杜躍進在數據安全與隱私大會上指出，探索以數據為中心的安全出路，需做到融合、平衡、創新和持續改進。

　　“在數據安全保護方面，我們積累了豐富的實踐經驗，除了搭建御城河系統為商家保護數據安全，我們還與生態合作伙伴發起電子商務生態安全聯盟(SAEE)，之后又沉淀經驗總結出以DSMM為核心的數據安全治理體系，為整個社會全行業賦能。”杜躍進介紹，阿里目前還有云殼、錢盾、PC安全保鏢等11項自主創新科技，在為經濟體的數據安全護航。

　　警惕“長臂”管轄 中國需有適合自己的數據安全標準

圖：北京大學法治與發展研究院院長王錫鋅，從私權、公權和主權三重博弈關系，分析各國數據治理思路。

　　北京大學法治與發展研究院院長王錫鋅在大會主題發言時，則從數據的私權、公權和主權博弈三個維度進行分析。他指出，各國意識到數據保護的重要性，開始陸續基于自身視角出臺具有跨域約束權的專門性法案(如GDPR)，使得其他國家及企業，在走向全球化過程中遇到了數據使用的限制，影響到企業長遠發展。中國及其他國家都應警惕這類法案的‘長臂管轄’現象。

　　“各國出臺了法案，但在法律之下還需要技術層面的標準，這是目前缺失的。”與會嘉賓中國信息協會信息安全專委會副主任委員李京春表示，如果這個標準中國有，且是國際化標準，那各企業遵守起來可減少一些國際上的沖突和矛盾。

　　多名與會專家都認為，中國需要自主創新尋找數據安全發展的解決方案。“國家政府可以通過主權方式出臺相應法案或標準，來對企業走出去發展提供合法保護。”王錫鋅表示。

圖：28日，來自中、美、韓等國行業專家，討論未來數據安全保護創新方案。

　　28日當天，包括美利堅大學華盛頓法學院法律系副教授、美國司法部國家安全局原首席檢察官助理律師Jennifer
Daskal，美國智庫國際戰略研究中心技術政策研究組高級研究員譚珊珊(SammSacks)，日本中央大學的法律副教授、日本原總理內閣府首任國際關系隱私官Hiroshi
Miyashita，韓國高麗大學法學院院長、網絡法中心主任Nohyoung Park，印度尼西亞巴查查蘭大學法學院法學副教授Sinta Dewi
Rosadi(辛塔·德薇·羅薩迪)等，來自6國的學者專家也都參會，并分別從各自研究領域發表了前沿性研究觀點。

　　附：

(《數據安全能力建設實施指南V1.0》征求意見稿，可掃描下載)