大数据在国外发展现状研究学习笔记
随着社会信息化和网络化的发展,数据爆炸式增长,大数据时代已经到来。随着各国对大数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护,在政府数据开放、数据跨境 流通和个人信息保护等方向进行了探索与实践。2 )《开放政府指令》是美国政府 2009 年在数据开放方面的最新行动,确立了透明、参与和协作的开放政
大数据安全 背景
随着社会信息化和网络化的发展,数据爆炸式增长,大数据时代已经到来。大数据被誉为是“ 21 世纪的钻石矿”,是国家基础性战略资源,正日益对国家治理能力、经济运行机制、社会生活方式以及各领域的生产、流通、分配、消费活动产生重要影响,各国政府都在积极推动大数据应用 与发展。
大数据时代是机遇与挑战并存的时代。在大数据应用推广过程中,必须坚持安全与发展并重的方针,为大数据发展构建安全保障体系,在充分发挥大数据价值的同时,解决面临的数据安全和个人信息保护问题。大数据安全标准是大数据安全保障体系的重要组成部分,对其实施起到引领和指导性作用。为此,亟待从技术和产业发展角度加快推进大数据安全标准 化工作,为我国大数据产业的健康发展提供有效支撑。
党中央、国务院高度重视大数据安全及其工作,将其作为国家发展战略予以推动。 2015 年 9 月,国务院发布《促进大数据发展行动纲要》,要求“完善法规制度和标准体系”和“推进大数据产业标准体系建设”。 2016 年 11 月,第十二届全国人民代表大会常务委员会通过了《中华人民共和国网络安全法》,鼓励开发网络数据安全保护和利用技术。 2016年 12 月,国家互联网信息办公室发布《国家网络空间安全战略》,在夯实网络安全基础的战略任务中,提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系,相继出台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等法规和部门规章制度。与此同时,还发布了国家和行业的网络个人信息保护相关 标准,开展了以数据安全为重点的网络安全防护检查。
为推动大数据安全工作,全国信息安全技术委员会(以下简称“全国信安标委”,委员会编号为TC260)下设的大数据安全标准特别工作组(SWG-BDS)启动了《大数据安全白皮书》的编制工 作。
大数据安全 目的及意义
从法规、政策、标准和应用等角度,勾画出大数据安全的整体轮廓,综合分析大数据安全需求,为我国后续的大数据安全标准 化工作提供指导。
介绍了国内外的大数据安全法规政策和组织工作现状,分析了大数据安全所面临的安全风险和挑战,制定了大数据安全体系框架和近几年大数据安全标准工作规划,并提出了开展大数据 安全工作的建议。
旨在全面、客观反映国内外大数据安全相关工作基础和进展,根据业界最佳实践、认知水平,分享大数据安全标准特别工作组在大数据安全领域的研究成果和实践经验,呼吁社会各界共同关注大数据安全的政策研究、技术投入和标准建设,为大数据产业的健康、安 全、有序发展奠定坚实基础。
大数据安全法规政策和现状
大数据安全法律法规和政策
随着各国对大数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护,在政府数据开放、数据跨境 流通和个人信息保护等方向进行了探索与实践。
国外数据安全法律法规和政策
(一)政府数据开放相关法规和政策
政府数据开放是指在确保国家安全条件下,政府向公众开放财政、资源、人口等公共数据信息,以增强公众参与社会管理的意愿和能力,进而提升政府治理水平。美国将信息技术、数字战略、信息管理与开放政府治理有机结合,以数据开放作为新时期政府治理改革的突破口。美国为推动政府数据开放,发布的法规政策主要包括:
1 )美国于 1966 年通过《信息自由法》,规定民众在获得行政信息方面的权利和行政机关在向民众提供行政信息方面的义务。该法秉持“以公开为原则、不公开为例外”的原则,规定政府有义务对公众的信息公开请求作出回应。
2 )《开放政府指令》是美国政府 2009 年在数据开放方面的最新行动,确立了透明、参与和协作的开放政府三原则,要求政府通过网站发布数据等方式,使公众了解更多的政府信息,促进公共对话,提升公众对政府的信任感。
3 )美国在 2012 年 5 月出台了《数字政府战略》,将政府开放数据作为电子政府发展的重要支撑,它要求政府数据在默认状态处于“开放和机器可读”,从而使得公众可随时随地访问高质量的政府数据信息和服务。英国作为最早实施数据开放的国家,通过开放政府数据提升政府治理水平,并致力于将数据开放推广应用到公共服务、经济增长、反对腐败、加强民主等诸多方面。英国于 2000 年正式通过《信息自由法》,规定了任何人都有获取政府信息的权利,政府有答复公众请求的义务,同时给出了25 种公开豁免情况。英国政府在 2013 年 4 月发布的《开放政府伙伴 2013 —2015 英国国家行动方案》中进一步拓展数据开放承诺,表示将开放政府数 据,以改善公共服务,促进经济增长、提高政府透明度。
欧盟十分重视政府数据开放,欧盟执行委员会承认政府部门资料开放使用的重要性,积极鼓励各成员国展开政府开放数据的行动。 2005 年出台的《欧洲透明度倡议》(ETI)是欧盟推行开放数据战略的基础,也是欧盟开放、透明、治理改革理念的继续与发展。《欧洲透明度倡议》目的在于建立信息再利用,包括监管公共部门的共同法律框架,消除公共信息垄断和不透明障碍。 2010 年 11 月,欧盟通信委员会向欧洲议会提交了《开放数据:创新、增长和透明治理的引擎》报告,该报告以开放数据为核心,制定了应对大数据安全挑战的战略。 2011 年 12 月 12 日,欧盟数字议程正式推 进数据开放战略,将其作为实现欧盟“ 2020 目标”的新路径与新动力。
(二)数据跨境流动相关法规和政策
当前,部分国家和地区在规范跨境转移个人数据的法律法规,以便对跨境数据接收地的法律环境提出要求,要求接收地法律能够提供与本国、本地个人数据保护法律相当的保护。规范个人数据跨境转移的根本目的,不是禁止个人数据跨境转移,而是要根据实际情况,确保本国、本地区公民数据在境外受到合理保护。总体上,基本立场是鼓励数据跨境自由流动。具体与数据跨境流动相关的政策及法规包括:
欧盟在 1995 年《数据保护指令》中确立了数据跨境传输的基本原则,对世界其他国家和地区的信息保护、信息流动产生了深远的影响。 2015 年通过的欧盟《通用数据保护条例》(GDPR)提出了更为苛刻的数据保护规定。GDPR的适用范围相比《数据保护指令》有所扩展,对于那些即使成立地在欧盟以外的机构来说,只要其在提供产品或者服务的过程中涉及欧盟境内个体的个人数据,将同样适用。在跨境数据流动方面,GDPR增 加了新的制度安排,包括认证机制和行为准则等。
澳大利亚《隐私保护原则》第 8 条规定,数据主体获得明确告知后同意的,可以将个人数据传输至境外数据接收者。告知必须解释跨境传输带来的数据主体应当知道的后果或风险,包括:1)海外接收者可能不承担类似澳大利亚《隐私保护原则》规定的隐私保护义务;2)数据主体可能无法在海外司法管辖区获得救济;3)海外数据接收者可能会根据法律将个人信息 披露给第三方,比如外国政府机构。
巴西司法部于 2015 年公布的《个人数据保护法》(草案)也借鉴了欧盟有关充分性数据保护的规定,要求跨境数据传输时,数据接收国的个人 数据保护必须达到充分性保护的水平。
韩国 2011 年发布的《个人信息保护法》规定,如果个人信息的国际数据传输涉及第三方,那么必须取得用户的明确同意。 2012 年发布的《促进信息技术网络利用和信息保护法》要求则更为明确:如果用户的个人信息被转移到境外实体,在线服务提供商必须告知并获得用户的明示同意。日本 2015 年修订的《个人信息保护法》规定,个人信息可以“传输到为日本个人信息保护委员会(PIPC)所认可的、与日本国内个人信息保护 水平相当的国家或地区”。
亚太经合组织(APEC)于 2003 年发布了《APEC隐私保护框架》,它采取使用企业自律性隐私政策来保护跨境数据流动中数据(隐私)权利的做法,在《APEC隐私保护框架》下建立跨境隐私保护规则体系。APEC不仅仅是将跨境隐私保护规则看作是跨境数据转移中保护隐私的一种手段, 更将其作为执行《APEC隐私保护框架》的重要机制。
(三)个人数据保护相关法规和政策
1)欧盟《通用数据保护条例》
欧盟颁布的《通用数据保护条例》(GDPR)为一个数据隐私权标准法规,它旨在取代 1995 年发布的《数据保护指令》。GDPR主要为了保护欧盟公民个人数据的隐私权,并对数据保护规则进行了改革和更新。如GDPR引入了新型的数据主体权利,包括“数据可携带权”和“被遗忘权”,为个人有效行使权利提供了坚实的法律保障。GDPR要点包括个人拥有管理自己个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”。GDPR由两部分组成:通用数据保护条例,这“将让人们更好地控制其个人数据”;数据保护指令,对于警察和刑事司法领域,这“可确保数据受害人、证人和犯罪嫌疑人在刑事调查或执法行动中受到应有的保护。”这些明确的法规特别适合数字时代,能提供强有力的保护,同时在欧洲数字单一市场创造机会和鼓励创新,将让公民和企业都受益。
2)美国健康保险携带和责任法案
1996 年,美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康保险携带和责任法案(HIPAA)。HIPAA目标是确保健康信息的安全性和隐私性,其主要内容包括隐私条例和安全条例。隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息(PHI)。根据美国卫生和福利部的规定,PHI包括以下数据信息:与个人以往、目前或将来的身体(或精神)健康或状况有关的数据;个人接受健康保健服务的相关数据;个人以往、目前或将来接受健康保健服务的费用支付相关的数据。隐私条例的基本规定是企业只有在隐私条例允许范围内或者获得数据主体的个人书面同意之后才能够披露PHI。隐私条例还包含了一些通知规定和管理规定,保证企业保持数据记录行为的恰当性,以及确保个人明确自己受HIPAA条例保护的权利。安全条例包含了电子受保护健康信息(ePHI)的安全保护,规定了企业在其所有需要处理ePHI数据的系统里必须具有的策略、流程和报告机制。HIPAA还规定了用于保护ePHI的保密性、完整性和可获得性的具体实施规定。这些规定包含管理防护、物理防护、技术防护、组织要求、企业策略和流程。
3)美国家庭教育权和隐私权法案
1974 年,美国联邦法案家庭教育权和隐私权法案(FERPA)出台,用以保护学生的个人可识别信息(PII)的安全,适用于教育行业。FERPA规定,未满 18 岁的学生或符合条件的学生家长可以查看并申请修正学生的教育记录。该法案还规定,学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。
大数据安全标准白皮书
参考文档
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)