伴隨新技術新業(yè)務的創(chuàng)新發(fā)展和應用普及，數(shù)據(jù)安全面臨著來自多方全新挑戰(zhàn)。我國的數(shù)據(jù)保護已經(jīng)起步且發(fā)展迅速，但與國際相比仍有追趕空間。建立完善的數(shù)據(jù)保護體系，為我國的數(shù)據(jù)資源和公民信息提供全方位的保護，將是未來數(shù)據(jù)安全工作，乃至網(wǎng)絡安全工作需要解決的重要問題。

新技術伴生新威脅

由于網(wǎng)絡數(shù)據(jù)價值不斷凸顯、數(shù)據(jù)使用主體日漸多元、數(shù)據(jù)破壞動機復雜多樣，數(shù)據(jù)安全面臨著多方面嚴峻的挑戰(zhàn)。

網(wǎng)絡基礎設施頻受攻擊，數(shù)據(jù)丟失及泄露風險加大。存儲海量數(shù)據(jù)的IDC、云平臺、重要業(yè)務系統(tǒng)成為網(wǎng)絡攻擊重點目標，導致用戶信息泄露事件連接不斷：2014年蘋果公司iCloud平臺眾多好萊塢明星照片被盜外泄，小米論壇800萬用戶數(shù)據(jù)泄露，智聯(lián)招聘86萬用戶簡歷泄露;2015年12306網(wǎng)站13萬用戶的賬號、明文密碼、身份證與手機號碼等信息遭到泄露。

新興業(yè)態(tài)融合導致威脅蔓延，數(shù)據(jù)安全威脅全面泛化。“互聯(lián)網(wǎng)+”時代不斷催生新產(chǎn)品、新服務、新業(yè)態(tài)，諸如工業(yè)物聯(lián)網(wǎng)等新興領域中聚集了大量的數(shù)據(jù)資源。萬物互聯(lián)下網(wǎng)絡攻擊正逐步向各類新型網(wǎng)絡、業(yè)務系統(tǒng)及聯(lián)網(wǎng)終端滲透，安全威脅的范圍和內容不斷擴大與演化，伴生性安全威脅和傳統(tǒng)的安全威脅持續(xù)交織顯現(xiàn)。

新型攻擊和高危漏洞層出不窮，倒逼數(shù)據(jù)保護技術革新。ATP等新型網(wǎng)絡攻擊不斷出現(xiàn)，攻擊頻率日趨密集，威脅范圍不斷擴大，導致現(xiàn)有數(shù)據(jù)安全保護策略已無法有效應對。全球性高危漏洞事件時有發(fā)生且危害嚴重，Bash漏洞影響范圍遍及全球約5億臺服務器及其他網(wǎng)絡設備，心臟流血漏洞威脅我國境內約3.3萬網(wǎng)站服務器。

數(shù)據(jù)跨境流動成為關注熱點，開放共享與安全保護矛盾凸顯。隨著數(shù)據(jù)價值的體現(xiàn)和科技的發(fā)展，數(shù)據(jù)跨境流動日趨頻繁，以經(jīng)濟和民生需求為導向的數(shù)據(jù)開放共享需求日益強烈，但各國針對數(shù)據(jù)跨境流動監(jiān)管態(tài)度各異，博弈激烈，數(shù)據(jù)開放共享帶來的隱私保護等安全問題已成為長期存在并有待解決的難題。

各國數(shù)據(jù)安全工作

當今各國對于數(shù)據(jù)安全重要性的認識不斷加深，積極開展數(shù)據(jù)安全保障實踐。

——全球各國數(shù)據(jù)保護立法進程加快

美國修訂《對外情報監(jiān)聽法》，為監(jiān)聽項目的開展提供法律依據(jù);積極推動《網(wǎng)絡安全信息共享法案》的出臺。歐盟通過新版《數(shù)據(jù)保護法》，強調本地存儲和禁止跨國分享，并擬于2015年制定實施在歐洲大陸通用的數(shù)據(jù)保護法規(guī)。俄羅斯2015年起實行新法，規(guī)定收集俄公民信息的互聯(lián)網(wǎng)公司都應將這些數(shù)據(jù)存儲在俄羅斯國內。

——全球各國紛紛出臺涉及數(shù)據(jù)安全的國家戰(zhàn)略及政策，重點聚焦法令實施及數(shù)據(jù)跨境流動監(jiān)管

印度在2014年3月出臺的國家電信安全政策指導意見草案中，對移動數(shù)據(jù)的管控和保護作出了規(guī)定。日本在2013年“創(chuàng)建最尖端IT戰(zhàn)略”中，闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略。法國在“未來投資計劃”落實云計算數(shù)據(jù)安全保護政策。英國“Data.Gov.uk”數(shù)據(jù)開放網(wǎng)站項目實測開放政府數(shù)據(jù)保護政策的應用效果。

——發(fā)達國家數(shù)據(jù)安全的行政監(jiān)管體制以政府主導和行業(yè)自律為主

政府主導型保護體制指專門特設保護機關負責個人信息保護，如英國信息委員會辦公室、法國國家信息和自由委員會、德國聯(lián)邦數(shù)據(jù)保護委員會。美國對商業(yè)領域私營企業(yè)和社會的個人信息保護主要由行業(yè)協(xié)會通過自律公約進行管理，其“TRUSTe組織”已發(fā)展為美國著名的隱私權保護第三方認證機構之一。

——全球各國加緊標準的研制與完善，充分發(fā)揮標準與安全評估對數(shù)據(jù)安全保障策略的規(guī)范和促進作用

為應對新技術與新業(yè)務安全需求，各國標準制定機構和國際標準組織紛紛在原有標準的基礎上，進行補充和完善，形成有針對性的、細化的保障方法和相關要求。同時，各國以評估作為監(jiān)管抓手，應用相關標準度量新技術新業(yè)務場景下的安全性，如美國要求被納入政府采購范圍的云服務商通過FedRAMP評估，內容涉及注重隱私權要求與底層基礎架構安全等。

新形勢下的應對思路

為有效應對新形勢下的數(shù)據(jù)安全挑戰(zhàn)，應從當前面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)，不斷完善管理制度，多管齊下，多措并舉，構建全面的數(shù)據(jù)安全保護體系。

——以法律法規(guī)為準繩，推進數(shù)據(jù)安全保護立法進程

通過立法明確數(shù)據(jù)保護的對象、范疇和違法責任等，制定關于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款，防止國家重要數(shù)據(jù)資源的流失。將云計算、工業(yè)互聯(lián)網(wǎng)等新技術新應用場景下的數(shù)據(jù)保護納入法律調整范疇。

——以戰(zhàn)略政策為方向，出臺國家數(shù)據(jù)安全保護戰(zhàn)略

出臺國家層面的網(wǎng)絡安全綜合戰(zhàn)略，并為數(shù)據(jù)安全單獨設章，從國家安全的高度定位數(shù)據(jù)安全。制定通信、金融等重點行業(yè)的關鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策，推動我國公民個人信息的境內存儲。積極參與國際數(shù)據(jù)保護規(guī)則的制定，提升我國在數(shù)據(jù)保護領域的話語權，為我國開展數(shù)據(jù)安全保護營造良好的國際環(huán)境。

——以行政體制為保障，強化數(shù)據(jù)安全監(jiān)管體系建設

國家層面設置數(shù)據(jù)保護管理機構，對數(shù)據(jù)保護進行統(tǒng)籌協(xié)調;各行業(yè)設數(shù)據(jù)保護的接口單位，負責開展行業(yè)內數(shù)據(jù)保護工作。完善數(shù)據(jù)保護行政監(jiān)管體系，確立數(shù)據(jù)保護的行業(yè)監(jiān)管模式，建立覆蓋備案、評估、舉報、處罰等各個環(huán)節(jié)的數(shù)據(jù)保護行政監(jiān)管機制，加強針對數(shù)據(jù)泄露、跨境流動、攻擊防范等重點安全問題的行政監(jiān)管。

——以標準評估為支撐，推動檢測評估體系不斷健全

構建我國數(shù)據(jù)安全標準體系，制定和實施通用與專用的數(shù)據(jù)安全標準。引導行業(yè)內第三方機構開展數(shù)據(jù)安全相關的檢測和評估，提高企業(yè)的數(shù)據(jù)保護意識和社會責任感。開展針對數(shù)據(jù)跨境流動的安全評估，有效規(guī)范數(shù)據(jù)跨境流動。