评论员文章

近日，中国互联网大会在云端举行，数据安全和个人信息保护等议题成为本届大会焦点。中国移动信安中心副总经理赵刚在圆桌讨论中介绍了中国移动在数据安全保护和个人信息保护方面的思考与做法，引发业界讨论。

随着数据被正式纳入五大生产要素范围，数据安全已成为当前重要议题。今年5月，我国首部以“法典”命名的法律《民法典》正式发布，对隐私和个人信息保护作出规定。7月，《数据安全法(草案)》面向社会公开征求意见。此外，《个人信息保护法》等专项法律已经进入立法程序。充分显示了国家高度重视数据安全问题。中国移动作为超大型国有通信运营企业，既是数据服务与应用的排头兵，也是数据安全保护的主力军。

据赵刚介绍，2019年，我国的大数据产业规模达到8080亿元，预计到今年底将超过1万亿元。与此同时，根据公开数据，2019年数据泄露事件达到7098起，涉及151亿条数据记录，与2018年相比，增幅高达284%。随着数据应用日新月异，数据类型日益丰富，产业规模快速扩大，数据安全带来的损失将不可估量。

中国移动信安中心娄涛在个人信息保护论坛上表示，数据开放共享是大势所趋。今年新冠肺炎疫情期间，“通信大数据行程卡”等数据服务与应用在疫情防控中发挥了重要作用，但值得注意的是，疫情防控期间也出现了个人隐私信息泄露的情况，加强数据安全保护已经成为推动数据要素良性发展的当务之急。

赵刚分析了当前数据安全保护面临的三方面挑战。一是确权问题。目前，数据确权难是全球范围内的共同难题，这给数据作为生产要素的流通带来了挑战。二是数据关联聚合带来的隐私保护问题。数据开放共享之后，数据被关联聚合的概率大大提升，这个过程中个人信息泄露的风险不容忽视。赵刚举例说：“比如收集身份证号，一般平台会隐去用户的生日信息，这样的处理很常见，看起来也很安全。然而一旦收集者从其它渠道获知了用户的生日信息，那么该用户的原始身份证号码就被拼凑出来了。这个过程中，单看每个数据集都没有直接的安全风险，但是一经聚合，个人隐私就这样被泄露了。”三是交易机制缺失的问题。赵刚认为，让数据真正流动起来，发挥市场价值，还需建立确权、定价等一系列配套机制，保证数据在公平环境中规范流动。

结合实际工作经验，赵刚提出从三方面加强数据安全保护。一是在信息收集环节，必须征得用户同意，遵循最小够用原则，避免过度收集。二是在数据使用环节，开发大数据应用应更多聚焦于趋势分析、预测，群体画像等，避免信息追溯到个人。三是在安全监管环节，及时制定数据分类分级标准、重要数据认定原则、政务数据开放目录等配套行政法规和标准，保障数据产业的健康良性发展。

据了解，中国移动根据数据时代新要求，不断完善数据安全保护工作体系，在制度保障、技术防护、评估检查、标准研究等多个层面积累了经验。

负责数据安全相关工作的温暖和何鹏介绍，中国移动根据《民法典》《网络安全法》等法律法规，对标工信部、公安部、网信办等发布的国家标准，编制了企业内部的数据安全管理办法，围绕数据收集、传输、存储、使用、共享和销毁六个关键环节，针对性地提出安全要求，深入数据管理各个场景，推动安全管理常态化、日常化。

防护技术覆盖全生命周期

负责网络安全系统维护的吴骥向记者介绍，中国移动对涉及存储、处理个人敏感信息和重要数据的平台系统都配备了数据防泄露能力，及时对异常数据操作行为进行自动化预警拦截。此外，利用模糊化手段对实体营业厅、10086、自助终端等各类客服系统界面进行全面改造，将客户敏感信息进行模糊化处理，同时借鉴银行业“金库”管理中“多人操作”和“授权操作”的思想，规定所有涉及客户信息的系统内容查询操作，必须由两名以上的员工共同完成，降低违规风险。

评估检查惩治违规行为

针对全集团各各单位开展数据安全评估，定期对各单位开展数据安全管理的机构人员、技术保障、合作管理等方面情况进行评估检查。孟迪在开展监督工作时深有体会：“数据安全无小事，我们严格开展问题清查和责任追究，倒逼工作人员提高数据保护意识，及时发现整改问题”。风控工作人员傅丽补充道，数据安全也是开展内部控制检查和审计工作的重点。

推广标准共享实践经验

近年来，中国移动积极总结数据安全和个人信息保护工作实践经验，沉淀优秀工作机制和技术手段，制定标准规范，积极推广共享。“金库模式”技术成果等数据安全管理相关的十余项成果已在ISO、ITU-T、TC260、CCSA等国内外重要标准组织立项或发布。长期从事数据安全标准研究的江为强博士介绍：“疫情期间我们总结了数据安全保护指引，对全集团开展大数据服务起到了较好的规范作用。