数据安全风险与防御策略.docx

《数据安全风险与防御策略.docx》由会员分享，可在线阅读，更多相关《数据安全风险与防御策略.docx（14页珍藏版）》请在三一办公上搜索。

1、数据安全风险与防御策略2016年，网络数据安全形势不容乐观。从世界范围来看，数据安全整体态势日趋复杂，并 逐渐向军事国防、政治经济、生态环境、社会治理等领域渗透。尤其是国家数据安全战略与 关键信息基础设施面临较大风险，数据安全风险防控能力相对较弱，难以有效应对全球有组 织的高强度网络攻击。从国内范围来看，黑客或恐怖组织运用互联网和大数据技术窃取和篡 改关键数据，个人信息泄露事件日益泛滥，同时网络数据安全威胁的范围不断扩大和演化， 网络数据安全形势与挑战愈加严峻。因此，如何对各种数据安全风险行为进行主动控制和有 效防御，是数据安全领域亟待解决的问题。一数据安全概述（一）数据安全的重要性数据安全不

2、仅是一个国家战略，还是一个事关经济发展、社会稳定和公众切身利益的重大问 题。从国家战略层面来看，数据安全是一个涉及国家主权和国家安全的重要问题，而且随着大数 据技术的发展正变得越来越重要。从数据科学层面来看，数据安全是一门涉及信息论、复杂理论、应用数学、通信科学、计算 机科学、密码技术等多种学科的综合性学科。数据安全的出现丰富了数据科学的理论体系。从技术应用层面来看，数据安全也是一个治理问题。具体包括数据库审计和保护、数据丢失 恢复、数字版权管理、移动数据保护等。大数据时代海量数据的发展使得数据安全的重要性 已远远超过传统意义上的数据安全。（二）数据安全的概念演进数据安全概念的发展是一个高度综

3、合性的不断演进的动态过程（见表1），同时数据安全随 着人类的需求与信息技术的更新而不断发展。计算机时代的信息安全，公众主要关注的是完 整性、保密性和可用性的动态信息，在存储、传输过程中不被窃听或窃取；互联网时代的网 络安全，公众关注的焦点从传统信息安全的原则转换为真实性、可依赖性、可控性的网络信 息目标；大数据时代的数据安全，公众不仅关注数据本身的安全，更关注数据安全的防护和 保障，已处于从传统信息安全理念到数据安全理念的转变过程中。总之，数据安全与信息安 全、网络安全一脉相承，均来源于国家安全的概念，是国家安全的重要组成部分。严格意义 上说，信息安全、网络安全都属于传统意义上的数据安全。表1

4、数据安全概念演进过程基于信息安全、网络安全和数据安全概念对比分析，传统意义上的数据安全（信息安全、网 络安全）大多是指计算机系统软硬件或网络上的信息安全。但随着大数据时代的到来，公众 对数据安全这一概念已超过了其单纯作为计算机安全、信息安全、网络安全的范畴。数据安 全概念涵盖的范围极为广泛，不只限定在技术层面，且从不同的角度可以有不同的含义：从 数据资源的角度来看，数据安全的本质是保证网络上数据资源的安全；从数据系统的角度来 看，数据安全要保障数据系统安全、可靠、稳定地运行，数据服务不中断；从数据安全战略 的角度来看，数据安全需要保护数据安全战略研究过程中的阶段性成果，例如军工科研、国 防大数

5、据、网络空间等方面的安全。目前，国内外公认的数据安全内涵主要有两方面：一是数据自身安全，主要是指运用云计 算、现代密码技术对数据信息进行主动保护，例如数据完整性、数据机密性等；二是数据防 护安全，主要是运用现代大数据存储技术对数据信息进行主动防护，例如数据备份、异地容 灾等。1 总而言之，数据安全的实质是主动保护或防护数据信息资源免受威胁、干扰和破 坏，即保证数据信息的安全性。（三）数据安全基本特征传统意义上的数据安全（信息安全、网络安全）具有四个特征：一是完整性，即在数据采 集、存储和传输的过程中，数据、信息未经授权和许可，不可篡改或删除的特性；二是保密 性，又称机密性，即数据、信息不可泄露

6、给非授权或许可的实体或其运用过程的特性；三是 可用性，即可被授权实体访问并按需求使用的特性；四是可控性，对信息的传播及内容具有 可控能力。除上述特征外，数据安全呈现一些新的特征。一是威胁和破坏数据安全的主体隐蔽性强。在现实世界里，个人的身份信息与生命存在严格 意义上的一一对应关系，这种技术认证方式具有较强的异质性和唯一性。而互联网和大数据 技术所能提供的身份信息最多只限于排他性，即数据中成员可以通过身份认证进行相互区 分、识别，但没有DNA等强大的与生命相关的异质性。互联网与大数据为威胁和破坏数据安 全的人提供了自由隐蔽身份的可能。这种身份的隐蔽性使其能够自由实施犯罪行为，并可以 轻易规避风险

7、。这种特征使得数据安全具有多变性和不确定性，也为人为制造数据安全事件 提供了条件。二是数据安全保护的规模增大。传统数据安全是保护规模有限的数据、软硬件及其系统业 务。数据安全的保护对象是远远超过传统数据安全需要处理、传输和存储能力的数据集合， 不仅体现在数据的海量规模上，更体现在涵盖各行各业甚至各类数据源产生的数据轨迹的覆 盖与融合上。三是数据安全管理的风险增加。在大数据、云计算、物联网时代，主要依靠闸门式、关卡式 的“围墙”进行安全保护的传统数据安全已被海量繁杂、快速流动的数据洪流所冲破。资料 来源的类型庞杂、种类繁多带来了数据采集、数据整合、数据存储、数据传输的安全风险； 外部数据需求与个

8、人隐私保护带来了数据安全防护的风险。防御措施相应也需从离散的点扩 展到面甚至到多维立体。四是数据安全的影响空前广泛。大数据时代，Online与Offline、硬件与软件、虚拟与现实 的交叉叠加、跨界融合，特别是作为核心资源的数据自然而然成为各种利益诉求的集散地， 也成为国家与国家、企业与企业、个体与个体之间进行渗透的重要渠道。正是由于数据的扩 展性和跨地域性，使得数据安全问题辐射范围延伸到全国，甚至能够波及全球。（四）数据安全的主要内容数据安全的主要内容可以从不同角度进行划分。从技术层面上来看，数据安全可以分为数据 操作系统安全、数据库设备安全、访问控制、密码技术等。从层次结构上来看，也可将数

9、据 安全所涉及的内容概括为以下几个方面。实体安全，也称物理安全，具体指保护计算机硬件设备、网络设施、存储介质及其他免遭天 灾人祸破坏的措施及其过程。具体包括数据环境安全、数据设备安全等。系统安全，是指保护计算机网络系统、操作系统及数据库安全。包括数据库运行安全、数据 存储安全、数据传输安全、计算机系统安全等。信息安全，是指计算机存储介质上存放的数据及网络中传输的信息安全保护。包括数据处理 的机密性和数据传输过程中的完整性。制度安全，是指数据自主可控并能够防范风险，数据安全管理制度也可以依据“风险限定” 制定。战略安全，是指从国家和国际的全局高度筹划和指导维护国家数据安全利益的方略。包括国 家制

10、定的数据安全战略、规划文件，以及研究性成果、军工科研项目等。二数据安全风险与问题分析（一）数据安全风险1. 数据安全风险的概念所谓风险是指在一定的条件下，在一定的时期内，不利事件发生的可能性，既强调风险发生 的不确定性，又强调风险所造成损失的不确定性。敏据安全风险是指某个个体（如人、事 件或程序等）对某一网络的机密性、完整性、可用性及可靠性等可能造成的风险。2. 数据安全风险的表现形式数据安全风险的类型很多，有自然的和物理的（如地震和火灾等）、无意的（不知情的公 众）和故意的（如攻击者、黑客、恐怖组织、间谍等）。具体有如下表现形式（见表2）。表2数据安全风险的主要表现形式（二）数据安全风险影响

11、因素在研究数据安全存在的突出问题及探索数据安全的防御策略之前，先要理清数据安全的风险 所在，只有充分了解数据安全风险的主要影响因素后，才能更加有效地应对，以保障数据安 全。归纳起来，影响数据安全风险的因素主要有三种。1. 环境和灾害因素数据库系统或者计算机设备容易受到自然灾害和生态环境的影响。破坏数据或者影响计算机 系统正常运行的生态要素主要有供电、供水、地震、泥石流、水灾、火灾、核电、电磁场、 电磁脉冲等。生态环境和自然灾害轻则造成工作混乱，重则造成整个数据系统中断或者损 坏。2. 人为相关风险因素在数据安全问题中，人为的因素是不可忽视的。据不完全统计，人为的失误、错误或者疏 忽，以及恶意代

12、码或黑客的主动攻击带来了较多的数据安全风险。人为因素对数据安全的危 害性更大，也更难以防御。人为因素又分有意和无意两种。有意是指人为的恶意攻击、违纪、违法和犯罪。计算机病毒 就是一种人为编写的恶意代码。数据一旦感染病毒，轻则影响系统运行，重则破坏数据系统 资源，甚至造成整个数据系统瘫痪。如特洛伊木马利用数据本身存在的技术漏洞，获取攻击 者所需要的数据，达到不可告人的目的。无意是指数据管理者或者数据使用者失误或疏忽造 成的错误，没有主观的故意，但带来了数据安全风险。如数据管理员对数据配置不当造成技 术安全漏洞，以及安全意识不强、口令选择不慎、误删除文件等。因为利用人为失误或错误 破坏数据安全是最

13、容易的方法，也是最常见的，所以人为失误或错误会带来更多安全风险。3. 数据系统自身风险因素数据安全保障体系应预防、控制、降低人为因素和数据本身造成的危害。尽管数据安全防御 已取得了一些进步，但其安全性能仍然较差，主要表现在易被外来因素攻击或侵害。数据安 全本身的抗攻击能力和防御能力有限，具体表现在以下三个方面。数据硬件方面。与硬件有关的风险主要是指基础的数据安全风险，是数据库硬件或者数据设 计时固有的。例如数据在传输过程中被窃听；闲置的集线器、交换机、路由器或者服务端口 可能被黑客或恐怖组织利用、访问、破坏、篡改和删除等。数据软件方面。软件的安全隐患源于数据操作系统的设计与应用软件工程中的问题

14、。软件设 计中留下的系统漏洞，如软件设计中不必要的功能冗余、代码过长等，导致数据软件存在安 全问题。另外，数据软件设计和生产未按照数据安全等级的要求，也将导致数据软件的安全 等级达不到要求。数据和通信协议方面。大多数情况下，出现数据安全问题最多的是TCP/IP协议数据安全漏 洞，如IP地址可能被轻易伪造、欺诈等；服务器之间或局域网工作组之间的信任连接使得 黑客可能通过小漏洞而进而入侵整个数据库或数据集等。总之，数据安全自身的脆弱性是造成数据安全风险的内部根源，外部因素主要来自黑客或恐 怖组织的恶意攻击，攻击者对数据进行篡改、删除等破坏活动，使数据的真实性、完整性和 可用性受到严重破坏。（三）数

15、据安全的基本态势数据安全成为我国国家安全的重要内容，可以说，数据安全已进入高危期。我国数据安全正 面临着三大威胁，即国家安全威胁、政企安全威胁与个人安全威胁。数据显示，“十二五” 以来，我国数据安全状况整体堪忧，其中黑客和恐怖组织攻击、个人信息泄露、网络钓鱼等 方面的安全事件数量仍呈上升趋势。1.国家安全：数据安全是大国互相竞争的制高点近年来，新一代信息技术正处于融合集成式创新与颠覆式创新的大时代，数据资源成为国家 重要的战略资源和核心创新要素。未来围绕数据的竞争不仅将决定国际信息产业的格局，还 将深刻影响国家数据安全和综合竞争力。第一，世界大国纷纷加强网络空间的战略谋划，不断形成全方位的战略

16、威慑。美国最早把大 数据提升到国家战略层面，将大数据作为国家重要的战略资产。2016年11月，中华人民 共和国网络安全法出台，为保护网络安全，维护网络空间主权和国家安全奠定了法律基 础；2016年12月，国家网络空间安全战略发布，全面部署了国家网络空间安全工作， 提供了网络空间安全体系建设的发展方向。第二，来自境内外的黑客、敌对势力、恐怖组织，通过互联网对基础信息网络、重要信息系 统等进行攻击，窃取我国军工、科研等关键领域的数据。第三，我国信息技术产品存在安全隐患。主要表现为公众对国内信息技术产品歧视，即在产 品性能和技术水平相近的情况下，政府机关、社会团体、个人更倾向购买进口信息产品，导 致

17、我国信息技术产品成果转化节奏缓慢、数据安全威胁日益增大。另外，假冒伪劣产品的侵 害严重制约信息技术及数据安全发展的空间。2.政企安全：2016年漏洞的平均修复率仅为42.9%随着我国数据安全需求日益增长，政府和企业对数据安全的关注度也越来越高。政府和企业 面临的数据安全风险种类日益繁多，具体表现在以下方面。一是IT/互联网企业的网站漏洞最多，漏洞修复率较低。面对防不胜防的网站漏洞，及时修 复漏洞是防范信息泄露的重要举措，但在对网站漏洞的安全响应上，我国企业存在较大不 足。从政企网站漏洞数量来看，2016年，在企业网站中的IT/互联网、金融、教育培训、汽 车交通、生产制造、电信运营商等十个重点行

18、业网站中，IT/互联网行业网站被报告的漏洞 最多，占比为23.5% （见图1）。从政企网站漏洞修复率来看，政府机关网站的漏洞修复率 最高，为77.1%，企业网站仅为45.5%。这主要是过去法制监管体系中缺乏安全问责机制、 网站管理者自身安全意识和能力不足，以及多方协同联动较差、缺乏成熟解决方案等造成 的。政府机关 16,0%企业50.3%事业单位 245%个人6.6%社会团体 15%图1 2016年补天平台收录不同备案类型网站漏洞数量占比二是针对工业企业系统的攻击日益频繁。主要是对商业情报、流程工艺、远程控制等方面的 攻击或者恶意破坏。工业系统本身存在安全漏洞是工业系统遭网络入侵和破坏的重要原

19、因之 一。从2016年攻击者所使用的手法来看，攻击手段已呈现多样化的发展趋势。预计在未来 几年中，针对能源、交通、制造、通信等领域的工业系统的破坏性攻击仍将持续加剧，安全 生产事故，甚至是安全生产灾难，随时都有可能大规模爆发。三是国内大中型企业仍然普遍缺乏足够的自主感知能力。在2016年360Cert参与处置的所 有企业的网络安全应急响应事件中，企业自行发现的攻击事件仅占31.5%，而另外68.5%的 攻击事件企业实际上是不自知的。这说明大部分的互联网企业无法或者缺乏自主感知隐蔽性 数据安全风险的能力（见图2）。自行发现发现 入侵迹象214% /外部通报主管单位通报 17.7%自行发现安全 运

20、营巡检 4.7%外部通报媒体报道 73%自行发现被攻 击者勒索 5.4%外部通报监管机构 及第三方平台通报 43.5%图2 2016年企业发现攻击事件的主要方式分布情况3. 个人安全：个人信息安全面临失控态势 近几年，全球个人信息泄露形势持续恶化，个人信息泄露而造成的损失己成蔓延之势。非法 窃取、采集、存储、贩卖个人信息的黑色产业链逐渐浮出水面，并且呈现产业化、智能化、 跨区域的发展趋势。而我国的个人信息安全形势更是面临失控态势，已成为国家、政府、各 行各业广泛关注的重要问题。20052014年全球泄密事件分析报告显示，十年间，在 全球发生的个人信息泄密事件中，我国就占了 58.5%，其中高频

21、发地域主要是东部沿海经济图3 20052014年国内外个人信息数据泄密情况利用个人信息进行欺诈或勒索已成为电信诈骗案件的重灾区（见表3）。2016年，身陷数据 安全事件的网民占比达到70.5%,其中网络诈骗或勒索排在网络安全事件中第一位，占比达 39.1%。另外，腾讯安全2016年度网络安全报告显示，腾讯手机管家的垃圾短信总量 中，危害最大、影响最广的诈骗或勒索短信占比较大。表3主要网络诈骗类型举报数量及涉案金额情况三数据安全风险的应对防御策略信息技术的不断发展使得网络数据资源的双刃剑效应日渐凸显。在数据规模和质量要求增大 提高的同时，数据安全防御却难上加难。2015年国务院发布的促进大数据发

22、展行动纲 要，明确了国家数据安全战略方针和总体部署，在此基础上，结合当前地方政府的数据安 全防护实践，我们提出了数据安全风险的系统性防御策略。（一）加强对关键行业和领域重要数据信息的保护加强关键行业和领域的保护就是对国家的重点系统、关键行业、重要领域，特别是涉及国家 利益、公共安全、商业机密、个人隐私、军工科研生产等数据信息的保护。而保护关键行业 和领域的重要数据信息，需要实行更为严格的数据安全等级保护管理制度。具体对国家利 益、军事科研、社会安全、个人信息等数据进行重点保护；对国家重要部门的网络技术设施 和数据系统执行相关的数据安全规定；制定高于通常情况下的数据安全规章制度，严格规范 数据安

23、全从业人员的教育和管理。对涉及国家利益、商业秘密、个人隐私、敏感性数据等涉密数据采取特殊保护措施，实行 “三确定”“四明确”原则。“三确定”原则即学理界定、法律限定、政策认定。“四明确”原则即明确各领域、各系统、各部门数据共享的范围边界和使用方式，特别是明确政府 数据开放的边界、范围和使用方式；明确数据采集、传输、存储、使用、开放等各个环节数 据安全的范围边界、责任主体和具体要求；明确政府通过契约式开放形式，统筹利用市场大 数据中的权限、范围和方式；明确个人信息采集的主体权利、责任和义务。（二）在涉及国家安全稳定的领域采用安全可靠的产品和服务 制定国家网络空间战略规划和顶层设计，维护国家数据主

24、权，保障网络空间安全，着重运用 移动网络与有线网络的有机融合技术和能力。在规划设计大数据时代的云计算、物联网、人 工智能时，应构建建设、应用、安全三位一体的顶层设计架构。围绕数据安全的核心环节，加强技术研究和产品研发，为大数据应用保驾护航。国家依托于 大数据技术保障数据安全，应实施大数据应用的专门试点、示范工程。通过实施国家科技重 大专项，在网络基础理论、高速传输技术、安全体系和监控、网络实名、网络犯罪、检察取 证关键技术等新一代技术领域竞争中掌握更多的话语权。（三）提升关键信息基础设施的安全可靠水平国家关键信息基础设施建设是保障数据安全的基础。关键信息基础设施范围包括低能耗存储 硬件、基于大

25、数据应用的下一代移动通信终端、一体化数据存储处理服务器、软硬件设备一 体化的大数据产品、大数据硬件设备。关键信息基础设施防护能力的不足与信息关键产品自 主可控的缺乏已成为数据安全风险防御的缺口与短板。关键信息基础设施安全防护应着重关注业务连续能力、数据安全、自主可控等方面的问题。 降低网络攻击前的脆弱性，缩短网络攻击发生后的破坏与恢复的时间差；加强大数据平台及 服务商的可靠性及安全性评测、应用安全评测、监测预警和风险评估；针对数据的分散存 储、多头管理、共享应用等特点，加快海量数据挖掘与预测分析、数据融合与集成技术、数 据安全管理与防护等关键性支撑技术的自主开发和应用，掌握一批核心数据技术的自

26、主知识 产权，尽快改变在数据运用核心技术上受制于人的被动局面，确保在技术上“自主可控”。（四）建立健全数据安全标准体系和安全评估体系数据安全风险评估是数据安全管理与安全保障的基础手段，也是政府、企业、个人等主体实 施额外的安全风险控制，实现降低数据安全风险的依据。西方主要发达国家已开展数据安全 保障实践，内容涉及国家战略、法律法规、安全评估、安全标准等各个层面。而在我国，数 据安全立法缺失、数据安全评估体系不够完善、数据安全保护技术不够成熟等问题日益突 出，数据安全防护能力急需大幅度提升。建立数据安全标准体系在构建大数据安全评估体系中占有举足轻重的作用。重点研究制定数 据基础标准、技术标准、应

27、用标准和管理标准；针对个人隐私、电子商务、国家安全等重点 领域以及安全问题多发领域，率先研究使用数据安全标准；研究建立覆盖数据采集、存储、 传输、挖掘、公开、共享、使用、管理等数据全过程的安全标准体系等。为了完善数据安全 标准体系，世界各国纷纷进行数据安全评估实践。例如ISO/IEC编制了公共云计算服务的数 据安全防护控制措施；美国的NIST（国家标准与技术研究院）制定了用户身份认证指南， 同时，数据安全评估体系和相关认证体系日渐完善。（五）健全大数据环境下防攻击、防泄露、防窃取、防篡改、防非法使用监测预警系统 网络攻击、数据泄露、数据窃取、数据篡改和数据非法使用是数据安全预警预防的关键。网

28、络系统的硬件、软件以及系统中的安全缺陷和漏洞是防御攻击的薄弱环节；应用系统和数据 库风险评估是发现信息泄露点并进行防泄露的关键环节；防窃取的核心环节是实现信息传送 加密，如网关和路由器加密，并建立访问追溯机制；防篡改主要是保护数据的完整性和真实 性，从而保障数据的有效性；防数据非法使用必须对所出现的非法行为进行有效识别和及时 反应。构建全新数据安全体系是一个系统工程，需要统筹规划、完善细节。因此，以防攻击、防泄 露、防窃取、防篡改、防非法使用为核心需求的监测预警系统需要的不仅仅是新概念、数据 设备和数据技术，更在于首先必须有一套清晰明确的安全理念和建设思想，来指导如何对整 个数据安全防御与数据

29、安全体系进行科学的定义、规划、建设、评估和改进，进而提升大数 据环境下监测、预警、控制和应急处置能力。（六）建设完善网络安全保密防护体系和重要部门重要数据资源信息安全保密防护体系构建完善的网络安全保密防护体系，应将技术手段和安全管理有机结合，同时建立并完善网 络安全保密防护的组织体制，以弥补数据安全保密防护体系在技术、制度、机制等方面的欠 缺。具体从管理层面看，数据安全保密防护体系可以分为制度管理、资产管理、技术管理与 风险管理等方面；从技术层面看，主要包括电磁防护技术、通信安全技术、信息终端防护技 术、网络安全技术等。通过技术手段从不同层面保护数据系统与数据网络，保障数据及数据 系统的安全，

30、提升数据系统与数据网络的安全可靠性与抗攻击能力，最终形成综合性的具有 防攻击性能的信息安全保密防护体系。（七）提高网络和大数据态势感知能力、事件识别能力、安全防护能力、风险控制能力和 应急处置能力网络安全理念认为“没有意识到风险才是最大的风险”。对构建有效的数据安全防御体系来 说，要充分利用数据漏洞挖掘技术、数据攻击技术、软件行为分析技术等组成的数据基础技 术和广泛的覆盖率，提前预见并感知数据安全的风险态势，正所谓“聪者听于无声，明者见 于未形”，为公众发现潜在威胁，提供回溯功能进行有效防护，具体包括态势感知能力、事 件识别能力、安全防护能力、风险控制能力和应急处置能力。其中，态势感知能力是指

31、综合 多方警报和流量信息，通过聚合、关联、融合、归并等方法，达到精确感知态势的目的；事 件识别能力的核心在于精准“预测”；安全防护能力需要做好准备工作和保护工作，提升防 范水平，以应对入侵者的攻击，使数据主体避免危险、不受侵害、不出现事故，并全方位的 保护数据应用和处理的各个环节；风险控制能力是通过风险识别、确定和度量来制订、选择 和实施处理方案，从而减小甚至消灭风险发生的可能性，同时降低损失；应急处置能力是构 建和完善包含应急响应、联动处置、数据恢复以及数据灾备等子系统的应急预案体系。（八）建立网上个人信息保护制度，加强对数据滥用、侵犯个人隐私等行为的管理和惩戒大数据时代，个人信息变得越来越

32、透明化。公众在享受网络带来的便利的同时，个人信息安 全也越来越多的遭受威胁。越权许可、他人使用、擅自秘密收集用户隐私数据，泄露侵犯他 人数据事件频繁发生。强化数据系统软硬件运营商的社会主体责任，加快建立个人信息保护制度。加强数据综合治 理，明确政府相关部门、企业、行业、网民应该要承担的法律责任和社会责任，各负其责， 动员网民参与网络社会的监督管理，共同参与网络治理。加强全民网络数据安全的法制和意识教育及养成。开展全民数据安全法制教育活动，普及数 据安全法律知识，切实增强广大公众的法律意识。（九）妥善处理审慎监管和保护创新的关系大数据时代，审慎监管与保护创新是对立统一的矛盾体。一方面，审慎监管刺

33、激保护创新产 生，对于大数据发展的监管既是创新的制约，也是创新的诱发因素。另一方面，保护创新促 使审慎监管不断变革。保护创新的出现在一定程度上对大数据监管体系提出了新的挑战，对 审慎监管模式和方式的改进提升具有推动作用。在数据安全防护中，要平衡好审慎监管与保护创新的关系，做到不偏不倚。在监管中创新， 在创新中监管，做好审慎监管，保护创新，使两者相互协调，健康发展，才能最终实现“监 管一创新一再监管一再创新”的良性动态循环博弈发展过程。因此，处理保护创新与审慎监 管两者关系应做到：不断提升大数据发展的创新层次；加强大数据发展创新过程的监管；完 善大数据发展监管协调机制；建立风险预警机制；加强大数

34、据发展监管的国际合作与区域合 作。（十）数据立法和数据伦理数据资源权益是知识产权的一种特殊表现形式，是对大数据交易与数据权归属进行清晰的界 定、规范和保护。大数据时代，数据安全立法需要坚持三原则：一是用户的信息是用户的个 人资产。用户的个人信息仅是托管在政府或者企业的服务器上，需要明确用户对数据的所有 权。二是互联网企业、政府与用户是一种等价交换。换句话说，互联网企业、政府通过给用 户提供有价值的信息服务换取用户的数据，对用户的数据使用需要获得用户的授权和认可。三是无论是政府还是企业，均应保障用户在数据交换、数据传输和数据使用时的知情权，这 是大数据时代保护数据安全的基础。法律法规和伦理道德是社会的经纬。在数据社会中，法律是伦理道德的底线。数据立法无法 解决所有的问题，我们依然需要建立一套普适的数据伦理与数据道德体系。数据伦理与数据 道德应作为基础教育的重要部分，内容涵盖人的尊严和价值、人的地位和权利、人本意识及 人与人之间关系的新特点；出现利益冲突或者数据伦理问题时，应合理运用数据技术与理念 分析双方或三方以上的利益关注点，以期达到最佳的新平衡；建立正义与邪恶、诚实与虚 伪、荣誉与耻辱、善与恶、是与非等数据道德观念。面对错综复杂的数据流通、使用、交 易、权属等问题，最终我们都要通过数据伦理、数据立法来予以梳理和解决。-全文完-