劉婷婷 陳詩洋 郭建南

中國信息通信研究院 北京 100191

引言

隨著以人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、區(qū)塊鏈等為代表的新一代信息技術加速突破應用，數(shù)據(jù)的價值被充分挖掘和釋放，大數(shù)據(jù)交易產業(yè)應運而生。大數(shù)據(jù)交易包括三類主體[1-2]：數(shù)據(jù)供方(賣方)、數(shù)據(jù)需方(買方)、數(shù)據(jù)交易中間方(交易中介)。其中數(shù)據(jù)供方是提供數(shù)據(jù)或原始數(shù)據(jù)的主體，數(shù)據(jù)需方是購買或者使用數(shù)據(jù)的主體，數(shù)據(jù)交易中間方則為供需雙方提供交易的場所或信息化平臺，即大數(shù)據(jù)交易中心。大數(shù)據(jù)交易的本質是買賣數(shù)據(jù)價值，供需雙方交換的不是原始數(shù)據(jù)，而是經(jīng)過數(shù)據(jù)清洗和處理后的數(shù)據(jù)結果，因此大數(shù)據(jù)交易以電子交易為主要形式，通過大數(shù)據(jù)交易中心的信息化平臺(以下簡稱“大數(shù)據(jù)交易平臺”)，交易包括API數(shù)據(jù)接口、解決方案、數(shù)據(jù)終端等格式的數(shù)據(jù)[2-3]。數(shù)據(jù)來源包括政府開放數(shù)據(jù)、數(shù)據(jù)供方提供的數(shù)據(jù)、互聯(lián)網(wǎng)爬取的數(shù)據(jù)和數(shù)據(jù)交易平臺沉淀、產生的數(shù)據(jù)。數(shù)據(jù)交易加速了各行業(yè)數(shù)據(jù)的交換和流通，能夠激勵更深層次數(shù)據(jù)價值挖掘利用，為基于數(shù)據(jù)的經(jīng)濟和社會創(chuàng)新發(fā)展提供很大便利。然而我國數(shù)據(jù)交易產業(yè)仍處于初級階段，大數(shù)據(jù)交易尚未形成統(tǒng)一規(guī)范，大數(shù)據(jù)交易平臺的經(jīng)營范圍無明確規(guī)定，大數(shù)據(jù)交易主體權責不明確，因此數(shù)據(jù)交易暗藏大量安全風險，需及早研究并加以防范。

1 我國大數(shù)據(jù)交易政策環(huán)境

1.1 國家頂層監(jiān)管政策

自2008年以來，隨著數(shù)據(jù)價值的重要性日益凸顯，我國相繼出臺了一系列與數(shù)據(jù)交易相關的政策文件，為推動數(shù)據(jù)交易產業(yè)發(fā)展提供了制度依據(jù)和政策指引。我國與數(shù)據(jù)交易相關的政策文件要求及其影響與意義如表1所示。

表1 國家數(shù)據(jù)交易相關監(jiān)管政策

1.2 地方性法監(jiān)管政策

在數(shù)據(jù)交易監(jiān)管政策指引方面，貴州省走在全國前列，浙江、廣東等省份也相繼出臺指引性規(guī)定。2014年貴州省出臺《關于加快大數(shù)據(jù)產業(yè)發(fā)展應用若干政策的意見》指出，要“創(chuàng)新機制培育市場，建設大數(shù)據(jù)交換平臺和數(shù)據(jù)交易市場，加快數(shù)據(jù)資源流通”。同年，貴州省發(fā)布《貴州省大數(shù)據(jù)產業(yè)發(fā)展應用規(guī)劃綱要》指出，“建立數(shù)據(jù)資產登記制度和數(shù)據(jù)資產交易規(guī)則，推動形成數(shù)據(jù)資產交易市場”?！兑庖姟泛汀毒V要》的發(fā)布是貴州省科學規(guī)劃大數(shù)據(jù)產業(yè)布局的體現(xiàn)，為力保大數(shù)據(jù)產業(yè)安全發(fā)展提供了頂層指導。2016年貴州省出臺《貴州省大數(shù)據(jù)發(fā)展應用促進條例》(以下簡稱“《條例》”)，是全國首部在大數(shù)據(jù)領域的立法，《條例》從數(shù)據(jù)采集、數(shù)據(jù)交易等方面，對各級政府推動大數(shù)據(jù)產業(yè)發(fā)展應采取的措施做了明確規(guī)定，如推動標準體系建設，規(guī)范數(shù)據(jù)采集，促進數(shù)據(jù)交易，推動大數(shù)據(jù)應用等。《條例》還從加強政府監(jiān)管、明確各方主體責任等方面，對數(shù)據(jù)安全管理作出了規(guī)定，包括建立政府安全監(jiān)管制度、強化有關各方安全管理主體責任和推動安全管理技術創(chuàng)新。《條例》為貴州省大數(shù)據(jù)交易管理作出了宣示性、原則性、概括性和指引性規(guī)定。此外，2016年，浙江省和廣東省分別發(fā)布《浙江省促進大數(shù)據(jù)發(fā)展實施計劃》和《廣東省促進大數(shù)據(jù)發(fā)展行動計劃(2016-2020年)》，探索健全大數(shù)據(jù)交易產業(yè)發(fā)展支撐體系，培育數(shù)據(jù)交易市場，進一步促進全省大數(shù)據(jù)發(fā)展。

1.3 行業(yè)標準和公約

2014年6月，《中關村數(shù)海大數(shù)據(jù)交易平臺規(guī)則(征求意見稿)》在中關村大數(shù)據(jù)交易產業(yè)聯(lián)盟專家顧問委員會宣布成立當天同步推出，是我國第一份大數(shù)據(jù)交易規(guī)則。

2015年5月，貴陽大數(shù)據(jù)交易所發(fā)布《貴陽大數(shù)據(jù)交易所702公約》，為大數(shù)據(jù)交易所的性質、目的、交易標的、信息隱私保護等指明了方向。

2016年7月，由工業(yè)和信息化部、中央網(wǎng)信辦、國家發(fā)改委指導，數(shù)據(jù)中心聯(lián)盟籌建的“大數(shù)據(jù)發(fā)展促進委員會”成立大會在京召開。中國信息通信研究院、中國電子科學技術研究院、中國聯(lián)通、中國電信、阿里巴巴、京東、360、世紀互聯(lián)等多家單位共同發(fā)布《數(shù)據(jù)流通行業(yè)自律公約》2.0版，新版公約定位為解決數(shù)據(jù)流通領域長期缺乏行業(yè)規(guī)范問題[4]。

2018年6月7日，中國公布首個國家數(shù)據(jù)交易標準《信息技術 數(shù)據(jù)交易服務平臺 交易數(shù)據(jù)描述》(GB/T 36343-2018)，該標準從2019年1月1日正式實施。此外，2019年8月，系列標準《信息技術 數(shù)據(jù)交易服務平臺 通用功能要求》(GB/T 37728-2019)、《信息安全技術 數(shù)據(jù)交易服務安全要求》(GB/T 37932-2019)發(fā)布，并于2020年3月1日正式實施，后者系中國首個大數(shù)據(jù)交易安全標準。

2 國內大數(shù)據(jù)交易管理現(xiàn)狀

2.1 國家監(jiān)管政策缺少對大數(shù)據(jù)交易中心權威約束

縱觀國內現(xiàn)行法律法規(guī)，一方面我國尚無國家頂層大數(shù)據(jù)交易立法，對大數(shù)據(jù)交易中心的法律定位、經(jīng)營范圍、職責權限等沒有統(tǒng)一認定，大數(shù)據(jù)交易中心審批流程缺少權威規(guī)定，無法對數(shù)據(jù)交易行業(yè)發(fā)揮普遍的法律約束力；另一方面，當前大數(shù)據(jù)交易管理規(guī)范主要依靠行業(yè)自律，不同大數(shù)據(jù)交易中心制定的交易規(guī)則出發(fā)點不同、顆粒度不同，甚至對大數(shù)據(jù)交易中心權責的理解和定義不同，顯然行業(yè)自律并不能對數(shù)據(jù)交易各環(huán)節(jié)各主體進行有效約束[2,5]。對比國際方面，2017年1月，歐盟委員會發(fā)布了《打造歐洲數(shù)據(jù)經(jīng)濟 數(shù)據(jù)所有權》的白皮書，指出歐盟現(xiàn)有的數(shù)據(jù)相關法律框架并不能有效地促進數(shù)據(jù)的運作，建議未來從法律角度對數(shù)據(jù)所有權問題進行回應。2018年5月，美國佛蒙特州通過了數(shù)據(jù)經(jīng)紀商(大數(shù)據(jù)交易中介服務的經(jīng)營主體)專項監(jiān)管法案，成為美國第一個對數(shù)據(jù)經(jīng)紀商進行專項立法的州[6]。但相比國外較為成熟的數(shù)據(jù)開放、隱私保護等方面的法律體系，在數(shù)據(jù)交易方面，國外的法律體系仍需健全[1,7-10]。

2.2 數(shù)據(jù)確權和隱私保護問題尚無有效解決方案

數(shù)據(jù)確權問題，尤其是個人數(shù)據(jù)產權和個人隱私權問題，是大數(shù)據(jù)產業(yè)關注的核心問題。保護個人隱私和個人數(shù)據(jù)權屬是一個問題的兩個方面，數(shù)據(jù)確權后將更有利于個人隱私保護，而明確個人隱私數(shù)據(jù)共享交易的規(guī)范后，更有利于區(qū)分數(shù)據(jù)安全責任。當前，國內尚未形成明確的數(shù)據(jù)權屬規(guī)定，數(shù)據(jù)歸屬不明確、個人隱私去標識化能否成為企業(yè)免責的理由，現(xiàn)行立法對這一問題還沒有明確答案[5,8,9,11]。因此制定切實有效的個人隱私保護與數(shù)據(jù)確權相平衡的法律規(guī)定，將更有利于大數(shù)據(jù)交易產業(yè)的安全健康發(fā)展[12]。

2.3 大數(shù)據(jù)交易安全管理缺少技術保障能力支撐

一方面，大數(shù)據(jù)交易行業(yè)尚未形成標準統(tǒng)一的安全管理技術手段，無法對大數(shù)據(jù)交易平臺的網(wǎng)絡安全、信息安全和數(shù)據(jù)安全保障機制和措施進行有效評估，無法全面掌握大數(shù)據(jù)的交易類型、交易方式、合規(guī)性等基本情況；另一方面，大數(shù)據(jù)交易安全離不開數(shù)據(jù)流通各環(huán)節(jié)的專業(yè)化處理，大數(shù)據(jù)交易行業(yè)在數(shù)據(jù)采集匯聚、非結構化處理、數(shù)據(jù)清洗、數(shù)據(jù)建模等環(huán)節(jié)涉及的技術和工具產業(yè)化專業(yè)化水平尚待提升。此外，我國缺乏對黑市交易等違法違規(guī)交易行為的主動發(fā)現(xiàn)技術手段，無法及時發(fā)現(xiàn)違法違規(guī)數(shù)據(jù)交易問題或行為，缺乏準確、科學地對疑似違法違規(guī)交易事件進行研判的技術能力，一旦遭遇重大數(shù)據(jù)安全事件，無法及時制止違法行為，制約健康有序的大數(shù)據(jù)交易產業(yè)形成。

3 大數(shù)據(jù)交易面臨的安全挑戰(zhàn)

3.1 大數(shù)據(jù)交易關乎國家安全

隨著數(shù)據(jù)被國家納入生產要素，數(shù)據(jù)加速在互聯(lián)網(wǎng)上的流通與共享，對各行各業(yè)發(fā)展具有重要激勵作用。交通、電信、金融等國民經(jīng)濟領域的企業(yè)作為數(shù)據(jù)存儲與處理的第一大主體，承載著影響國計民生的大量行業(yè)重要數(shù)據(jù)，對經(jīng)濟、社會、國家安全等具有巨大價值，我國陸續(xù)制定相關政策推動大數(shù)據(jù)產業(yè)深入發(fā)展。但是大數(shù)據(jù)時代，重要行業(yè)數(shù)據(jù)一旦被非法交易或造成數(shù)據(jù)泄露甚至非法出境，也可能對國家安全產生重大負面影響。例如，2021年7月，國家網(wǎng)信辦發(fā)布對“滴滴出行”等25款APP下架的通報。被通報的企業(yè)主要為交通出行、網(wǎng)絡貨運等領域的頭部企業(yè)，至少掌握了所屬行業(yè)80%以上的深度數(shù)據(jù)。對這些數(shù)據(jù)分析挖掘可以直接或間接地反映我國各區(qū)域人口分布、商業(yè)熱力、道路信息等情況[13]。

3.2 數(shù)據(jù)交易過程潛伏隱私泄露危機

根據(jù)國際數(shù)據(jù)公司(IDC)和數(shù)據(jù)存儲公司根據(jù)國際數(shù)據(jù)公司（IDC）統(tǒng)計，2020年，全球數(shù)據(jù)量達到了60ZB，其中中國數(shù)據(jù)量增速迅猛，到2025年將增至48.6ZB，也已成為全球矚目的“數(shù)據(jù)大國”。中國2018年約產生7.6 ZB數(shù)據(jù)，到2025年將增至48.6ZB，業(yè)已成為全球矚目的“數(shù)據(jù)大國”。大數(shù)據(jù)交易中心承擔著數(shù)據(jù)和信息存儲、處理、交易的重要角色，由于相關數(shù)據(jù)交易規(guī)則不透明、法律法規(guī)約束不充分、數(shù)據(jù)安全防護技術措施不足，海量的數(shù)據(jù)交易過程必然潛伏隱私泄露危機。一方面濫用信息、倒賣個人數(shù)據(jù)的情況屢見不鮮，另一方面數(shù)據(jù)逆向分析等技術給數(shù)據(jù)脫敏清洗帶來更大挑戰(zhàn)，即便是經(jīng)過脫敏、匿名化處理后可視化的數(shù)據(jù)商品依然存在被關聯(lián)分析得到原始數(shù)據(jù)信息的可能性[14]。

3.3 數(shù)據(jù)交易平臺易成為網(wǎng)絡詐騙犯罪溫床

由于國家大數(shù)據(jù)戰(zhàn)略部署的需要，加上近兩年準入門檻較低、數(shù)據(jù)交易安全監(jiān)管不嚴或滯后等，大數(shù)據(jù)交易中心數(shù)量暴增。據(jù)不完全統(tǒng)計，自2015年第一家大數(shù)據(jù)交易所成立以來，我國已注冊的數(shù)據(jù)交易中心有60多家[15]。其中不乏某些平臺借著大數(shù)據(jù)交易的名義實際上從事的是圈錢和詐騙等活動，其利用平臺發(fā)布信息非法收取會員會費等手段進行詐騙后迅速下線，不僅造成個人和企業(yè)經(jīng)濟損失，也給國家大數(shù)據(jù)產業(yè)發(fā)展帶來不良影響[16]。

3.4 監(jiān)管約束不到位易造成數(shù)據(jù)濫用從而滋生數(shù)據(jù)黑產

數(shù)據(jù)采集、流通與共享等環(huán)節(jié)缺乏個人信息收集使用的規(guī)范標準，數(shù)據(jù)使用主體的權責界定不清，數(shù)據(jù)安全保障制度與技術措施不完善，容易引發(fā)違規(guī)使用個人信息或數(shù)據(jù)濫用問題。據(jù)Dentsu Aegis Network(電通安吉斯集團)的報告顯示，在全球接受調研的4.3萬多人中，64%的人對科技類公司的不信任主要源于企業(yè)會濫用個人數(shù)據(jù)。因為數(shù)據(jù)交易和使用的合法性很難界定，阻礙了數(shù)據(jù)流通，而面對大數(shù)據(jù)交易市場數(shù)據(jù)供求矛盾突出問題，地下數(shù)據(jù)交易市場規(guī)模卻不斷壯大，針對個人信息的違規(guī)收集和惡意利用等行為日益猖獗。

4 對策建議

4.1 建立健全安全監(jiān)管制度機制和責任體系

每個行業(yè)的良性發(fā)展都離不開清晰明確的監(jiān)管制度。我國大數(shù)據(jù)交易產業(yè)發(fā)展目前主要依靠行業(yè)自律，國家層面缺乏專門的監(jiān)管部門、明晰的管理制度和責任體系。應加快立法明確大數(shù)據(jù)交易主管部門及監(jiān)管職責，完善大數(shù)據(jù)交易安全監(jiān)管領域政策，明確大數(shù)據(jù)交易中心數(shù)據(jù)安全管理主體責任；實施對大數(shù)據(jù)交易中心運營主體的準入安全審查；指導大數(shù)據(jù)交易中心做好對數(shù)據(jù)交易的安全控制和安全審計，做到過程與人員均可控、可追溯；通過定期檢查、信用評價、能力評定等方式，督促大數(shù)據(jù)交易平臺運營主體落實配套網(wǎng)絡安全和數(shù)據(jù)安全保障要求。

4.2 完善配套合規(guī)指引和操作規(guī)范

良好的數(shù)據(jù)交易產業(yè)環(huán)境需要各參與方共同維護。一方面，行業(yè)管理機構應研究制定完備的大數(shù)據(jù)交易中心數(shù)據(jù)安全相關標準。針對大數(shù)據(jù)交易中心的交易模式，加強對大數(shù)據(jù)交易中心數(shù)據(jù)安全管理技術要求、數(shù)據(jù)安全管理系統(tǒng)接口規(guī)范等研究，構建形成面向大數(shù)據(jù)交易中心的數(shù)據(jù)安全管理標準體系。另一方面，大數(shù)據(jù)交易中心等交易中介作為數(shù)據(jù)流通的媒介，應加強對個人用戶、企業(yè)用戶的操作規(guī)范引導，通過協(xié)議等方式加強對數(shù)據(jù)供方的數(shù)據(jù)權屬審定。

4.3 加強大數(shù)據(jù)交易安全評估和自評估

一是作為行業(yè)監(jiān)管機構，相關部門應加強對大數(shù)據(jù)交易安全的第三方評估。將大數(shù)據(jù)交易平臺的數(shù)據(jù)安全作為安全評估工作的一部分，加強對其安全風險巡查和問題清理，對發(fā)現(xiàn)的違規(guī)或異常數(shù)據(jù)交易行為督促其依法清理處置。二是作為數(shù)據(jù)交易中介，大數(shù)據(jù)交易平臺應加大數(shù)據(jù)安全自評估和防護力度，避免企業(yè)內部安全管理不善帶來的安全隱患。三是作為數(shù)據(jù)交易的需求方，個人和企業(yè)用戶在選擇數(shù)據(jù)交易媒介時應加強甄別，在獲取數(shù)據(jù)信息后做好數(shù)據(jù)安全保護，維護好個人和企業(yè)權益。

4.4 創(chuàng)新大數(shù)據(jù)交易安全管理技術手段

增強大數(shù)據(jù)交易平臺自身安全防護水平，提升大數(shù)據(jù)交易過程的安全保障技術能力，確保大數(shù)據(jù)使用權與大數(shù)據(jù)所有權分離，打造安全可靠、權責清晰的大數(shù)據(jù)交易環(huán)境，制定覆蓋“數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)使用”全生命周期的安全保障技術措施；同時圍繞大數(shù)據(jù)交易的交易主體、交易方式、交易范圍、交易事件、交易對象等形成大數(shù)據(jù)交易管理技術體系，助力形成大數(shù)據(jù)交易事中監(jiān)測和事后追責技術能力；建立對未經(jīng)許可成立的大數(shù)據(jù)交易中心的主動發(fā)現(xiàn)能力，通過與大數(shù)據(jù)交易平臺的技術聯(lián)動管理，實現(xiàn)對大數(shù)據(jù)交易安全事件的實時監(jiān)測、異常預警和溯源處置。