大数据时代，数据主权主沉浮

工信部赛迪智库信息安全研究所 冯伟；空司自动化站 梅越

近年来，随着大数据重要性日益凸显，数据主权成为各方争夺的焦点。例如，2014年8月1日，美国法官裁决微软必须向美国政府部门交出其存储于爱尔兰数据中心的客户数据，包括电子邮件及其它账户信息，微软拒绝交出数据并认为美国政府对境外数据没有管辖权；与此同时，微软在10月份发布的Windows10预览版的免责声明中，明确表示将记录包括姓名、电子邮件地址、应用程序实用情况、键盘敲击记录等几乎一切数据。我们不禁要问，数据主权究竟为谁所有？为何各方要争夺数据主权？到底该如何捍卫我们的数据主权？

数据主权重要性日益凸显

1.数据主权应大数据而生

数据主权（data sovereignty）的概念伴随着云计算和大数据技术的发展应运而生，涉及数据的生成、收集、存储、分析、应用等各环节，直接反映了数据在信息经济中的价值。目前对于数据主权的认识不尽相同，从国家层面讲，数据主权与信息主权一脉相承，均演化自国家主权的概念，是国家主权的重要组成部分，是指一个国家对本国网络、数据中心、信息系统中数据进行自主管理的权力；从企业层面讲，数字主权是指，互联网企业等服务提供商在遵守相关法律的前提下，可通过提供免费服务换取对用户发表的内容和个人数据的永久使用权；从个人层面讲，数据主权是指个人拥有自身隐私、敏感信息不受侵犯的权利。

2.数据成为大数据时代的核心资产

随着物联网、云计算、移动互联网等新技术的快速发展，手机、平板电脑、PC 以及遍布全球的传感器成为数据来源和载体，数据量正在飞速生成和聚集。据美国白宫2014年5月发布的《大数据：抓住机遇、保存价值》报告显示，2011 年新生成的和复制的信息量估计超过了1.8 ZB（1ZB=1012GB），2013 年这一数字估计可达4ZB。当前，一些大企业的数据量甚至达到PB量级，例如阿里巴巴2014年4月份宣称，其积累的数据量已经超过100PB。大数据时代已经到来。尽管这些数据绝大多数是“非结构化数据”，通常不能为传统的数据库所用，但这些庞大的数据“宝藏”将成为“未来的新石油”，成为大数据时代国家、企业和个人的核心资产之一。

3.数据主权成为大数据时代的基本权利

在大数据时代，随着资产数据化趋势的不断加深，数据主权成为事关经济发展、社会稳定，甚至国家安全的基本权利。掌握数据主权，个人才能拥有保护个人隐私不受侵犯权利，企业才能取得合理、合法的数据开发和利用权，国家才能有效行使对境内数据进行管理的权力。2012年瑞士达沃斯论坛上发布的《大数据，大影响》的报告称，一个国家拥有数据的规模、活性及解释运用的能力将成为综合国力的重要组成部分。如果说对大数据的开发、利用水平在一定程度上代表着国家的核心竞争能力，那么对大数据的占有和控制，即数据主权，将成为保障国家核心利益的前提和基础。

数据主权的惑与争

1.数据主权之惑

大数据时代，数据生成、传输、存储、分析、应用等环节涉及诸多不同主体，数据主权的界定、归属尚无定论。以社交网站为例，其网站上的数据主权涉及多方利益群体：数据主要来源于众多用户在网站上发布的大量数据信息；互联网接入服务提供商、互联网通信服务提供商等均会在数据传输环节接触到这些数据信息；社交网站、数据中心等服务商都可以操控这些数据；而根据相关法律规定，国家可能拥有限制这些数据出境的权力；同时相关方利用大数据技术对原始数据进行加工后能够得到统计、分析数据。那么，个人、企业、国家，究竟谁拥有这些数据的所有权和使用权，各方的界限到底应如何确定？这些最基本的问题仍然悬而未决。

2.数据主权之争

随着大数据重要性的日益提升，近年来关于数据主权的争夺屡见不鲜。以上文提到的美国法官裁决微软必须向美国政府部门交出其存储于爱尔兰数据中心的客户数据为例，美国政府、微软、爱尔兰政府均宣称拥有相应的数据主权；再如“谷歌街景门”事件中，谷歌派出的街景拍摄车在30多个国家和地区“无意间”从WiFi网络采集到私人数据，遭到广泛诟病；无独有偶，微软Windows10预览版采集包括姓名、电子邮件地址、应用程序实用情况、甚至键盘敲击记录等几乎一切数据。可以预见，政府、企业、个人关于数据主权的争夺还将持续相当长的时间。

我国维护数据主权面临的挑战

1.法律缺失，相关机构大打擦边球

目前，我国用于规范、界定数据主权的相关法律缺失。一是没有对保护本国数据、限制数据跨境流通等做出明确规定，在金融、证券、保险等重要行业在华开展业务的外国企业大量将敏感数据传输、存储至其国外的数据中心，存在不可控风险；二是缺乏企业和应用程序关于搜集、存储、分析、应用数据的相关法规，电信、金融、物流等行业个人信息泄露、违规使用情况严重，移动应用多在不必要的情况下采集用户的手机通话记录、短信、地理位置等信息，危及个人财产、生命安全。

2.数据主权受制于人

我国信息技术起步较晚，大数据相关产业自主能力较差，数据存储、分析等环节均存在受制于人的问题。例如，我国重要行业存储设备多被国外厂商垄断，仅IBM就占据我国银行业80%以上的份额；我国关键数据传输节点受控情况严重，思科占据我国骨干网络超过70%的份额；与数据处理密切相关的基础软件更是国外企业的天下，据统计，2014年3月份微软在全球操作系统市场的份额为89.96%，Oracle数据库全球市场占比达47.4%，位居第一。“棱镜门”事件证实，美国国家安全局等情报部门能够直接使用微软、思科等公司的庞大数据资源获取所需情报，受制于人的数据主权已对我国家安全构成实质威胁。

3.数据泄露防不胜防

随着大数据、云计算等新兴技术的快速发展，传统的安全防护措施已经无法满足需要。一方面，海量数据汇集的云平台等载体成为显著目标，针对性的攻击频频发生。2014年8、9月间轰动一时的好莱坞艳照门事件，就是外国黑客利用苹果公司的iCloud云盘系统的漏洞，非法入侵云平台，并盗取、发布了众多全球当红女星的裸照。另一方面，大数据的体量也影响到安全控制措施能否正确运行，传统的防火墙、病毒查杀、入侵检测等安全防护措施会带来难以承受的时间、经济成本，防护措施的更新升级速度也无法跟上数据量非线性增长的步伐。此外，随着海量数据的不断聚集，利用数据挖掘、关联分析能够从普通数据中提取大量具有统计意义的信息，这些信息或者能勾勒出目标人物的一举一动，或者能分析出企业的商业布局，或者能透露一个国家的经济走向，敏感信息间接泄露成为大数据时代“防不胜防”的安全风险。

捍卫我国数据主权的对策建议

1.尽快制定相关法律法规，明确各方责权

2014年7月，俄罗斯总统普京就签署一项法律，规定所有收集俄罗斯公民信息的互联网公司，都必须将这些数据存储在俄罗斯国内的服务器上；此后不久，加拿大卫生部也立法禁止本国电子病历数据在美国境内处理。同样，我国也应尽快制定相关法律法规，为在大数据时代维护个人、企业、国家利益提供法律依据。一是明确国家对本国数据资源进行保护、开发和利用的权利，自主确立本国的数据生产、传输、存储、分析、应用的权利，明确对跨境传输数据进行管理和监控的权利；二是明确企业、应用程序的权利和义务，包括软件采用最小特权原则，敏感数据不得出境，保护个人隐私，严格控制基于数据挖掘、关联分析等大数据技术产生的数据等；三是切实加强对个人信息的保护，借鉴欧盟2014年5月提出的“被遗忘权”等经验，为个人隐私维权提供依据。

2.加强大数据相关产品、服务管理，建立自主可控信息技术生态体系

一是针对关键领域和部门出台强制性的标准和规定，加大对微软、谷歌、腾讯、阿里等掌握大量数据的国内外企业的监管力度，明确相关数据的使用权限和要求，防范有意、无意的数据泄露；二是借鉴美国等发达国家在网络安全审查方面的经验，在我国即将推行的网络安全审查制度中，建立大数据和云计算技术、产品及服务的安全检测与审查制度；三是明确国产化替代时间表和路线图，加大政策扶持力度，鼓励和扶助国内电子产品厂商优先采用国产硬件，要求新建的重要网络和信息系统采用国产产品，推动关键信息技术和产品的国产化替代，建立自主可控信息技术产业生态体系。

3.加速发展大数据相关技术，建立网络安全纵深防御体系

大数据时代，许多看似无关的数据经过整理分析都可能成为重要的机密数据，这些信息可能涉及宏观经济数据、政府动态、个人隐私等，一旦泄露，将造成重大影响。应加快云计算、大数据等新兴信息技术研究，摆脱核心技术受制于人的局面。一方面，加大对大数据安全保障关键技术研发的资金投入，推动基于大数据的安全技术研发，研究基于大数据的网络攻击追踪方法，协调大数据处理和分析机制，推动重点数据库之间的数据共享；另一方面，针对国家敏感、重要大数据防护目标，构建具有反制能力的网络安全积极防御体系，发展平战结合、军民结合、攻防兼备的网络空间力量，建设国家网络空间战略预警和积极防御平台，精确预警、准确溯源、有效反制，提升对国家级、有组织网络攻击威胁的发现能力。