2016年04月06日 星期三
首页 > 政策法规 > 正文

【BDTC 2015】大数据政策法规和标准化分论坛:数据对外使用的红线
2016-03-30 15:31:37   来源:CSDN   评论:0 点击:

2015年12月10-12日,由中国计算机学会(CCF)主办,CCF大数据专家委员会承办,中国科学院计算技术研究所、北京中科天玑科技有限公司与CSDN共同协办,以“数据安全、深度分析、行业应用”为主题的2015中国大数据技术大会(Big Data Technology Conference 2015,BDTC 2015)在北京新云南皇冠假日酒店盛大开幕。

在2015中国大数据技术大会第二天的大数据政策法规和标准化分论坛上,工信部电信研究院政策与经济研究所法律部主任李海英、Gartner公司电信运营商技术部研究总监刘轶、南京邮电大学信息产业发展战略研究院院长王春晖、清华大学大数据技术研究中心常务副主任陆薇、中国信息通信研究院技术与标准研究所大数据项目经理姜春宇等五位专家就大数据的政策法规和标准化发表了主题演讲。

工信部电信研究院政策与经济研究所法律部主任李海英:大数据的立法挑战与思考

随着大数据的发展,数据如何使用受到了很多挑战,如何从法律法规的角度来规范这种使用行为,来自工信部电信研究院政策与经济研究所法律部主任李海英女士在大数据政策法规和标准化分论坛做了《大数据的立法挑战与思考》的主题演讲。大数据时代的到来,数据成为关键的资源和生产要素,数据的主权、安全、保护等问题备受关注。李海英女士介绍国内关于数据安全、数据保护等方面的立法现状,结合大数据发展趋势,国外立法关注的重点问题,分析大数据发展带来的立法挑战,探讨如何平衡发展与安全、数据利用与隐私保护等的关系,针对我国未来大数据立法进行探索性思考。

工信部电信研究院政策与经济研究所法律部主任李海英

 

李海英在谈及“信息”与“数据”的关系是表示,数据具有原始、基础性。“数据是对信息数字化的记录,其本身并无意义;信息是指把数据放置到一定的背景下,对数字进行解释、赋予意义。”

1. 信息

 

  • 国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
  • 征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。
  • 出售、非法提供公民个人信息罪和非法获取公民个人信息罪。

 

2. 数据

 

  • 实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
  • 在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内。
  • 维护网络数据的完整性、保密性和可用性”,“防止网络数据泄露或者被窃取、篡改”,“采取数据分类、重要数据备份和加密等措施”。

 

大数据带来的法律挑战

 

随着越来越多的实物连接到互联网上,以及日益敏感的个人信息(包括健康和财务)被各家企业储存到云端设备中,网络攻击和超级连接变得日趋复杂。

1. 网络安全威胁:

 

  • 网络攻击
  • 大规模网络监控
  • 服务中断
  • 未经授权的数据访问
  • 数据泄露
  • 数据窃取

 

2. 制度诉求

 

  • 网络安全防护
  • 关键信息基础设施保护制度
  • 设备和产品安全
  • 安全审查制度(准入、产品和服务)
  • 网络世界与真实世界的连接安全

 

3. 数据安全的挑战

 

  • 大数据已成为国家重要的基础性战略资源——《促进大数据发展行动纲要》。
  • 信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。——习近平中央网络安全和信息化领导小组第一次会议讲话。
  • 数据资源是网络空间国家主权的重要组成。对数据资源的本地存储、利用、控制、管辖等也是网络空间主权的要求。
  • 数据资源安全的相关制度诉求:防范网络攻击和监控,对抗美国无处不在的网络监控行为;增加国产网络设备和产品的竞争力,防范通过产品和设备的数据收集;加强数据资源的开发利用,实现其所蕴涵的巨大经济价值。

 

4. 大数据商业利用的挑战

 

  • 政府和公共机构的数据开放
  • 数据交易、流通的普遍规则
  • 数据集中化趋势,以公平合理的条件接入数据
  • 合理使用大数据分析预测结果

 

5. 隐私保护的挑战

 

  • 数据收集阶段,数据获取及使用目的要征求用户同意,但是“大数据”的发展,使这种“同意”难以实现。
  • 数据使用阶段,数据可能用于在收集时并不知道的目的而发掘出新的价值,因此无法满足目的明示及不得用于服务之外目的的原则。
  • 匿名化,近年来各国在政策上对于匿名化做了很多努力,但是可能这些努力也不起作用,主要是因为更多的数据每天被采集,并且有更多或更强大的工具来联系这些数据。

立法思考

 

1. 立法的原则与重点

 

  • 针对数据的收集、存储和使用环节建立规则
  • 明确大数据生态中不同主体的责任
  • 促进网络基础设施的发展,开放数据资源、加强网络安全与隐私保护

 

2. 应对网络安全挑战

 

  • 应对大数据等新技术新业务带来的网络安全问题
  • 与实体经济安全相结合进行统筹处理
  • 建立关键信息基础设施安全管理制度
  • 对互联网平台的责任予以明确

 

3. 应对数据安全挑战

 

  • 从事前分类到事中事后风险评估:
  • 对数据按性质和重要性分类存在困难;
  • 建立对数据安全风险的评估机制。
  • 从个体到整体,从数据到主体:数据安全的管理,从关注数据本身,到数据资源整体的安全;加强对处理数据主体的关注,限制特定类型的主体从事相关数据分析。

 

 

 

 

 

4. 建立大数据商业利用的原则

 

  • 大数据的商业利用以国家安全为前提;以隐私保护为基础。
  • 政府及公共机构数据开放:默认开放、机器可读、可再利用、及时、完整等
  • “建立健全数据资源交易机制和定价机制,规范交易行为。
  • 将常用于专利领域的FRAND(公平、合理、非歧视)原则引入数据商业利用领域,以避免形成数据垄断。
  • 避免和规制数据滥用,在某些领域使用数据预测结果,应进行严格的审查和评估。

 

5. 加强数据时代的隐私保护

 

  • 事前更前:隐私要在政府数据开放之前考虑。美国2013年发布的开放数据政策备忘录中规定,各机构必须在信息生命周期的每一阶段都加入隐私分析。
  • 加强使用前评估和保障措施:对用户个人信息的新使用必须评估其潜在危害,对隐私保护的影响,并且在使用之前,针对潜在威胁制定相应的保障措施并且到位。
  • 加强事后追责:将关注重点从收集转向数据的使用环节。将原有“告知与同意”框架,调整为强化原有框架基础上,更加注重事后责任的解决方案。

 

Gartner公司电信运营商技术部研究总监刘轶:美国健康大数据隐私与安全法案现状

来自Gartner公司的电信运营商技术部研究总监刘轶做了《美国健康大数据隐私与安全法案现状》的报告,详细讲解了美国在医疗健康隐私和大数据的立法应用以及安全法律的现状。

Gartner公司电信运营商技术部研究总监刘轶

在这样一个互联网高速发展的时代,为什么考虑大数据?刘轶表示,“医疗行业多元数据连接过程中需要遵守繁多的法律,复杂性急剧增加。”“政府应该引领协商,来评估HIPAA和其他有关联邦法案是否能够最大限度地满足大数据对医学进展和健康服务交付成本降低的指导与保护。”同时,他也观察到大数据一些的现场问题:

 

  • 大数据分析中隐私清除不够、存在问题
  • 源数据存在严重的隐私保护问题
  • 重点在确定大数据负责任的使用,而不是单纯地控制数据收集

 

白宫对大数据也有很多的建议,刘轶总结主要有以下这些:

 

  • 大数据分析挑战现有健康政策框架

 

 

  • 支付:基于服务的收费→质量高的产出
  • 建立学习健康系统(LHS)
  • 用户生成的数据=鉴定生活方式风险
  • 公众健康分析与研究
  • 预测医学
  • 联邦、州和组织内各种流程规则
  • HIPAA“内与外”的“健康”数据

 

 

  • PCAST Report (Big Data and Privacy)
  • 白宫开放政府合作协议
  • 21st世纪治愈计划
  • 精准医学项目
  • 大数据商务机遇

 

 

  • 数据分析技术的风险投资
  • 移动健康
  • 保护公正与个人隐私

 

 

  • Anthem breach

 

有关健康大数据隐私的法律

 

  • 联邦有关法案

 

 

  • HIPAA 隐私与安全规定
  • FTC Section 5 (Unfair and Deceptive Trade Practices) Authority
  • 普遍规定 Common Rule (federally-supported research & research institutions)
  • Part 2 (federally supported substance abuse treatment programs)
  • HITECH 泄漏通报 breach notification (FTC & HIPAA)
  • 其他法案 (如 FERPA)

 

 

  • 州法律保护 (见州 Interoperability report)
  • HIPAA 具备有限的适用范围

 

 

  • HIPAA 适用与受HIPAA所覆盖的组织 (Covered Entities (CE)
  • 健康保险计划 Health Plans
  • 健康服务(结算)清仓 Health Care Clearinghouses
  • 健康服务提供方 Health Care Providers
  • 业务代理 Business Associates (BA) acting on behalf of a CE

 

HIPAA法 – 哪些保护、哪些没有保护大数据?

 

  • 隐私法案覆盖所有的纸质、电子和口头传播的个人健康信息PHI
  • 安全规定只适用与个人健康信息的电子版本
  • HIPAA 法案不适用于:

 

 

  • 持有个人标识性健康信息但是没有在HIPAA覆盖之内的个人或组织
  • 根据HIPAA隐私规定去标识化的信息

 

 

  • HIPAA法案适用的那些组织现在有规可循。但是不断增长的另一些组织参与了提供治疗和健康服务,他们持有、传递和接受健康信息,但是没有相应的法律去规范数据的隐私与安全。

 

会议与听证范畴

考虑范畴:

 

  • 隐私与安全问题 – 健康大数据拓展与创新可能遇到的问题与潜在障碍
  • 潜在的有伤害的应用(与隐私相关)

 

不考虑范畴

 

  • 数据质量与标准
  • 数据是否具有代表性(从隐私权角度考虑)
  • 不应该从提高数据代表性的角度考虑,而从数据应用是否会带来伤害的角度考虑

 

公众听证会的关注点

1. 有关保护隐私权的常用工具的问题

 

  • 去标识化 De-identification 
  • 患者知情权和正常使用 Patient consent v. norms of use
  • 安全 Security
  • 透明度 Transparency
  • 收集/应用/目的局限性 Collection/use/purpose limitations

 

2. 预防/局限/重新关注上海问题 Preventing/Limiting/Redressing  Harms

3. 法律问题 

 

  • 差距或者法规“盲区”
  • 过度监管和“错位”监管

 

南京邮电大学信息产业发展战略研究院院长王春晖:大数据时代个人信息与数据保护的路径

来自南京邮电大学信息产业发展战略研究院院长王春晖做了《大数据时代个人信息与数据保护的路径》的演讲。王春晖认为,对于大数据的立法,应该在大数据发展成熟后,才能通过立法和标准化的过程来促使其发展,而不是现在这个大数据应用的初期来束缚其产业的发展。在数据处理的过程中,你的处理方法和使用规则必须是公开透明的。因为数据的最初拥有者是否拥有自己的数据,今天都成为了一个很难界定的问题。

南京邮电大学信息产业发展战略研究院院长王春晖

在2006年,个人用户才刚刚迈进TB时代,全球一共新产生了约180EB的数据;在2011年,这个数字达到了1.8ZB。2014年International Data Corporation发布报告称,全世界数字化信息的数量4.4 ZB,而且这个数量以每年40%的速度在增长。IDC预测:到2020年,整个世界的数据总量将会增长44倍,达到35.2ZB(1ZB=10 亿TB)!

未来信息世界发展的三大阶段和带来的科学挑战

初级阶段 —— “物理集中”效果是规模经济引起的“便利和效率”。中级阶段 —— “化学反应”效果是基于大数据的智能分析以协助决策和解决大规模商务、政务、环境、健康和社会问题。高级阶段 —— “基因突变”效果是将产生物理世界和虚拟世界的深度融合。

而大数据提出也引出了科学挑战问题:大数据科学面临的首要问题是“研究对象是什么”;数据科学是“大海捞针”,前提是先知道有一枚“针”在海里,而海量数据的挖掘往往不知道有没有“针”。因此有学者比喻大数据研究是“大海捕鱼”,捕到什么鱼算什么鱼。

在网络数据科学方面过去几个世纪主宰科学研究的方法一直是“还原论”(Reductionism),将世界万物不断分解到最小的单元。作为一种科研范式已经快走到尽头。对单个人、单个基因、单个原子等了解越多,我们对整个社会、整个生命系统、物质系统的理解并没有增加很多,有时可能离理解系统的真谛更远。基于大数据对复杂社会系统进行整体性的研究,也许将为研究复杂系统提供新的途径。从这种意义上看,“网络数据科学”是从整体上研究复杂系统(社会)的一门科学。

 

个人数据保护的模式

1. 收集个人数据的目的必须明确:处理个人信息具有特定、明确、合理的目的,不扩大收集和使用范围,不改变目的处理个人信息。

 

2. 收集与使用个人信息应当透明公开:收集和使用个人信息之前,以明确、易懂和适宜的方式向个人数据主体告知处理个人数据的目的和范围、个人数据的留存时限、个人数据保护的制度、个人数据主体的权利。

3. 收集个人数据应当确保数据的质量:根据处理目的的需要保证收集的各项个人数据准确、完整,并处于最新状态,严禁篡改和毁损。

4. 托管数据的载体主体应确保个人数据的安全:采取必要的管理措施和技术手段,保护个人数据安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人数据。

5. 严禁窃取和交易个人数据:任何个人和组织不得窃取或者以其他非法方式获取个人数据,不得出售或者非法向他人提供公民个人数据。

6. 采集和处理个人数据应当知情并同意:未经个人数据主体同意,不能采集和处理个人数据。在个人信息处理的过程中,为个人数据主体保障其权利提供必要的信息、途径和手段。明确个人信息处理过程中的责任,而且要采取必要的措施落实相关责任。

大数据时代个人信息安全保护的基本路径

王春晖也对大数据与云服务时代个人信息安全保护做出了预测:大数据时代既为我们带来了巨大的经济潜力,又对公民个人信息安全提出了严峻的挑战。因此,大数据时代亟须加强个人信息的法律保护。

未来的个人信息保护将是寻求动态的安全,即在合法、透明的开发利用中的安全,同时个人信息具有“被遗忘的权利”,必须对个人信息设定存储期限。

总体来看,当前和未来一段时期我国个人信息安全保护的边界仍然处于探索之中,其基本要义是在确保基本的人格权和隐私权不受非法侵害的基础上,促进个人信息资源在“合法、正当、必要”法定原则的基础上进行合情、合理、合法的开发和利用。

 

 

清华大学大数据技术研究中心常务副主任陆薇:工业大数据助力中国制造2025

当中国制造2025遇到工业大数据会发生什么,来自清华大学大数据技术研究中心常务副主任陆薇女士在大数据政策法规和标准化分论坛做了《工业大数据助力中国制造2025》的演讲。陆薇首先介绍德国工业4.0和美国工业互联网这两大新工业革命国家战略代表对于大数据在新工业革命中扮演的要素作用的认识。

清华大学大数据技术研究中心常务副主任陆薇

第四次工业革命正席卷全球,制造业大国各自针对本国国情推出相应对策,并以数字化、互联网话、智能化为特征,大数据是其中关键手段。

陆薇认为,大数据将和物联网、云计算等一起支撑制造生命周期各环节业务模式创新(如上图所示)。

工业大数据就是在工业领域信息化相关应用中所产生的海量数据,不仅包括企业内,还包括客户、用户、产业链以及互联网上的数据,而其核心是机器数据:工业4.0系统可以被看作是数据、硬件、软件和智能的流通与互动。从智能设备和网络中获取数据,然后利用大数据和基于机器所在行业的分析工具进行存储、分析和可视化。最终的“智能信息”可以提供决策者(在必要时实时)使用,或者作为各工业系统中更广泛的资产优化或战略决策流程的一部分。

也有众多的应用案例,比如,工程机械在线运维系统:基于主机工况的在线健康监控,故障诊断与预测;了解用户使用习惯,改善用户体验;提升企业经营效率。风力发电机能效提升:定期调整风机偏航角以优化风机发电功率;每14秒回传一次的风俗、风向、功率、桨叶角等仅200个指标,上万台风机;基于全量历史数据的分析优化。鼓风机远程实时高精度故障诊断:300套机组运行工况数据的存储与实时分析;但胎记组监控数据采样率高达10万数据点/秒。

中国信息通信研究院技术与标准研究所大数据项目经理姜春宇:大数据平台基准测试标准与评测实践

中国信息通信研究院技术与标准研究所大数据项目经理、数据中心联盟大数据组副组长姜春宇首先回顾数据库领域基准测试发展历程;其次梳理当前大数据技术平台基准测试的需求和现状;然后介绍国内首个大数据平台基准测试标准制定情况,并对国内首次大数据平台基准测试的结果进行汇报,讲述评估的方法、审核流程和测试结果等内容;最后提出未来大数据平台基准测试标准和测试的方向。  

中国信息通信研究院技术与标准研究所大数据项目经理姜春宇

基准(Benchmark)是一组执行的计算机程序或操作,用来评估目标物体的相对性能,通常通过一系列标准测试来评估。它是一种测量和评估软硬件性能指标的活动。基准测试标准的原则有以下这些:

 

  • 与企业自身业务的相关性
  • 模拟数据生成要有真实性

相关热词搜索:数据 红线 政策法规

上一篇:光纤存储引领安防看齐中国制造2025
下一篇:公安部提出公共安全视频2020工作目标

分享到: 收藏