通信世界网消息(CWW) 当今,随着互联网、物联网和云计算等技术的飞速发展,以及智能终端和各种检测、感应设备的普及和建设,整个社会逐渐信息化、网络化,由此产生了爆炸式的数据增长,一个大规模生产、分享和应用数据的时代正在开启。正如每一篇有关大数据的文章都会包含的一句话:大数据时代已经到来。
大数据时代的来临使人类第一次有机会和条件,在众多领域和更加深入的层次获得和使用全面数据、完整数据和系统数据,深入探索现实世界的规律,获取过去不可能获取的知识,得到新的商机。
大数据的发展与其带来的安全隐私问题如何因国制宜得到平衡
科学技术是一把双刃剑,给人们带来便捷也可能给人们带来烦恼。大数据处理会涉及许多个人身份信息、行为信息,除了像身份证号码等这样一人一号可以直接识别个人身份的敏感信息,间接识别个人身份的信息和其他信息的安全也应该受到重视。电商知道我们的购物习惯、社交工具,知道我们的好友联络情况、搜索引擎,知道我们的检索习惯、地图,知道我们的位置信息……这些看似无害的一般性信息被大量收集、分析之后,也可能暴露个人隐私。
在工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,规定个人敏感信息在收集和利用之前,应当首先获得个人信息主体明确授权。除此之外,在基本原则中,还包括不扩大个人信息使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的,强调对个人信息主体要尽到公开告知、说明和警示的义务。但是在大数据技术快速发展的环境之下,其实这样公式化的系统一方面在理论和实践中都难以实现,另一方面也不利于大数据的发展,显得有些与社会和技术的现实发展不相匹配。
如今,大数据产业的发展已经让大数据不仅成为一种资产,也能够创造新的经济利益。因此,大数据技术已经成为各国间信息经济的竞争。美国作为信息吞吐量最大的国家,在基本的规定条例范围内、在不侵犯用户隐私的情况下,鼓励企业利用大数据,在为用户能够带来更好的服务的前提下自由量裁。但相应地,企业也必须去为其自由裁量之下的不当行为承担责任。因此,与公式化的“告知与许可”体系相比,让数据处理者为自己评估得出的“合理处理数据行为”承担责任的模式,是一种大数据发展与个人隐私保护间很好的平衡,是值得中国大数据市场借鉴的。
对一家领先的大数据服务商GEO集奥聚合的采访:大数据服务商应有的技术与使命感
GEO集奥聚合是行业内资质比较深的一家互联网大数据服务商,致力于将大数据的商业价值在金融、营销、汽车等行业充分运用。本次,是基于《互联网周刊》就金融大数据的安全与GEO集奥聚合首席风控官于喆进行的一次深谈。
随着互联网的不断发展,社会形态及组合方式发生了巨大的裂变,这个时代愈发高效、快捷和透明。互联网金融应运而生,引发了金融生态和资源配置的深刻变化。对于天然具有数据利用属性的金融业而言,新型金融业态对金融创新发展、风控监管政策等方面提出了新问题、新要求和新挑战。
技术是人造的,技术是人。因此总体而言,做关乎民权、民生的服务,首先抑或核心是德需配位。
于喆认为,对于金融行业,互联网促进了脱媒,互联网使得金融活动去中介化成为可能,而大数据技术使加速、便利了这一过程。比如,用户可以在银行、保险公司的网站或APP上直接申请信用卡、贷款、办保险等,省去了人工柜台、代理人等大量中间环节,大大降低了交易和时间成本。但一提到金融总少不了谈及风险和安全问题,这样的线上的交易毫无疑问是存在风险的:屏幕那边的客户是不是本人?是不是高价值的用户?是否是合格投资者?这对于金融机构和个人来说都有着极大的风险,此时,大数据起到了不可或缺的作用。
又如,在网络上进行的金融信贷过程中,大数据机构的金融风控平台首先会通过比对客户提交的身份信息与公安部门留存的信息帮助金融机构检验客户的身份真实性,通过分析客户终端、网络使用环境及其他身份验证手段可以判断是否是客户本人申请贷款。确认了客户身份真实性及客户本人操作后(否则终止下一业务步骤),征信机构或央行征信中心提供的金融信贷数据或支付数据,结合客户在通信运营商处的消费档次、缴费数据等信息可以判断用户对信用水平。这样,一方面保证了金融机构控制风险,让被泄露的个人信息不继续被非法利用,另一方面也高效助力客户申请贷款的审批工作,节省了双方的时间。凡此种种主体实际都是大数据服务提供商。当然,以上的例子只反映了大数据技术应用于金融控制风险和信息安全作用的一小部分。每一个信息处理者,都应在整个数据流通链和数据生命周期里做到全流程数据安全管控。
于喆认为,信息安全分为狭义和广义两部分,GEO集奥聚合这样的大数据服务商在两方面都非常重视。
狭义上的信息安全是对于信息流通过程中一些技术处理,以保证数据在收集、使用、存储,提供时的秘密性、完整性、准确性。比如在从上游数据源接收数据时加密传输;在进入体系内后,数据要安全存储,保证不为外界所攻击破解;在下游对外提供给使用者时对敏感信息进行匿名化或模糊化,如此在技术的支持下保证信息安全。
广义上的信息安全还有许多其他广泛而深邃的内涵,包括全行业对规范的遵守和企业自身的责任感和良知。GEO集奥聚合除了注重自身的信息安全管控,也注重信息源的安全性筛选,关注服务接受方的信息安全水平与机制,对于数据链上下游企业的合规性、合法性考察、约束,积极致力于大数据安全标准的建立。
GEO集奥聚合信息系统安全等级达到了与银行、个人征信机构等受中国人民银行监管的金融机构业务系统相当的安全管控水平
在保证数据进入自身处理体系内的安全以外,GEO集奥聚合对于上游数据源的资质、数据持有的合法性、数据的真实性和质量进行考察甄别;在将数据提供给下游,既场景使用的一方时,亦考察这个企业是不是有资质、负责任,遵循国家关于个人信息处理的规范。之所以有这种“管上控下”的模式,就是为了保证数据在流通链上的全流程安全。我们看到现在有很多P2P公司跑路的新闻,如果不对使用场景进行甄别,将数据提供给这些不负责任的公司,可能会造成公民个人的重新非法利用。因此就需要对下游企业进行合规性的考察,是否合法、是否有相关经营许可、资质如何,并把信息安全方面的义务与责任固定在合同中,不仅遵守相关规范和标准,也是对于用户的信息负责的使命感。每个数据处理者都应当做到数据生命周期的全流程安全管控,这是大数据服务商的安身立命之根本。
我们注意到,GEO集奥聚合一直都将信息安全作为重中之重,一方面通过行业标准规范自身,另一方面也通过不断地实践促进自我发展,积极打造企业自身的信息安全体系。
2015年,GEO集奥聚合获得了信息安全方面的国家等保三级认证。按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定,国家对计算机信息系统实行五级分类保护,即从保护能力上划分为五个级别,级别越高说明信息系统越安全,需要做到的信息保护工作也越多,控制点也越精细,三级以上信息系统公安机关还会定期开展监督、检查。具备国家批准的测评资质的等保测评机构从网络安全、数据安全及恢复能力等方面对GEO集奥聚合的信息系统进行多达150项具体的分项测试、打分从而评定了级别。至此,GEO集奥聚合信息系统安全等级达到了与银行、个人征信机构等受中国人民银行监管的金融机构业务系统相当的安全管控水平。
在自身实践方面,为了构建安全、稳定的系统环境,GEO集奥聚合从设备、技术、管理、人才等全方位投入,注重信息源的安全性筛选,关注、约束服务接受方的信息安全水平与机制,使信息安全成为集团所处的数据生态圈的基础环境,构建了一个具备高级别信息安全防护能力的大数据安全生态。