◆李 怡 杨 帆 安克万

（陕西省网络与信息安全测评中心 陕西 710065）

大数据交易中的数据安全与隐私保护

◆李 怡 杨 帆 安克万

（陕西省网络与信息安全测评中心 陕西 710065）

大数据交易服务产业可支撑政府数据开放共享，促进社会事业数据融合和资源整合，然而还面临诸多安全挑战。本文分析了国内我国大数据交易的发展现状，阐述了面临的主要安全威胁，提出了保护大数据交易中的数据安全与隐私可采取的措施以确保交易安全，可促进大数据交易产业健康发展。

大数据交易；大数据交易安全威胁；数据安全；隐私保护

0 引言

大数据时代，数据已经成为国家基础性战略资源[1]，并日益对全球生产、流通、分配、消费活动以及国家治理能力产生重要影响[2]。大数据交易不仅可满足交易双方的数据需求，还可有力地支撑数据开放共享、促进数据融合和资源整合，以及为政府整体数据分析能力的提升以及复杂社会问题的处理提供新手段。然而大数据交易建立在数字流的产生、交换、管理和应用的基础之上，随着交易量的增加，风险敞口也随之增加，面临的安全问题也愈发突出，一旦交易的数据遭到非法窃取、泄露、篡改，将会对企业、个人客户造成严重的安全威胁。本文梳理了国内外大数据交易现状，阐述了当前大数据交易中的安全挑战，提出了保护数据交易中数据和隐私的措施。所提出的保护保障措施不仅有助于提高大数据交易机构的安全服务能力，还可为国家相关主管部门监管大数据交易提供重要参考，从而促进大数据交易服务产业健康可持续发展。

1 大数据交易现状

2009年3月，美国政府推出上线了data.gov网站，向公众开放其公共数据；随后，英国、澳大利亚等政府也进行了大数据开放[3]；我国政府也高度重视大数据交换平台的建设，2015年8月国务院在《促进大数据发展行动纲要》中明确提出“至2018年，中央政府层面实现数据统一共享交换平台的全覆盖”，目前，国内已建立14个省级信用信息共享交换平台、正在建设15个省级信用信息共享交换平台[4]。

国内外多家大数据交易交易公司纷纷成立，国外规模较大的有美国的开放位置数据库服务商 Factual公司、提供实时的数据交易市场的BDEX公司、InfoChimps数据提供公司和微软的Azure数据交易公司，以交易中介服务培育为主要业务的日本富士通大数据交易公司以及加拿大提供金融和经济数据的 Quandl数据交易公司。我国于2015年成立了首家全国性的大数据交易市场——贵阳大数据交易所，2016年建立了注资2亿元人民币的上海数据交易中心有限公司和华中地区首家大数据交易机构的武汉东湖大数据交易中心以及华东江苏大数据交易平台等共20多家大数据交易机构[4]。

根据大数据交易模式的不同，我们将大数据交易模式分为三类：在线数据交易、离线数据交易和托管数据交易。其中，在线数据交易以数据调用接口的形式，由卖方向买方提供数据拷贝进行数据交易；离线数据交易中卖方将数据拷贝到交易平台，由交易平台转移给买方而交易；托管数据交易中卖方将数据拷贝至交易平台，买方在交易平台提供的环境内使用数据，而原始数据不发生转移的[3]。

2 大数据交易面临的安全威胁

针对大数据交易中存在安全威胁的不同，可将其主要分为用户隐私安全威胁、数据泄露和不同交易模式下的安全威胁等安全威胁[4]。

（1）用户隐私安全威胁

大数据交易面临着互联网带来的各种安全威胁，如DDoS攻击、垃圾数据流等攻击，对用户隐私构成了安全威胁。未脱敏数据的共享开放将会导致个人信息的泄露，即使数据在开放共享之前进行了脱敏，但是大量非敏感数据聚合后也可能产生敏感数据，个人数据依然存在丢失、泄露、损毁等风险。此外，数据持有人的不当操作也会导致个人隐私未经授权的访问、修改和泄露等安全风险。

（2）数据泄露安全威胁

由于目前缺乏数据交易行业相关的规范性文件，企业隐私性数据的安全难以得到保障。数据开放共享平台存在用户非授权访问数据、用户破坏或窃取数据，以及系统漏洞、网络病毒和木马程序等网络攻击导致的数据泄露风险，而管理和操作人员的恶意操作、误操作也会导致数据破坏、泄露的风险。

（3）不同交易模式下的安全威胁

在线数据交易中，服务平台本身不存储数据（仅对数据进行必要的实时脱敏、清洗、审核和安全测试），而是作为交易渠道为各类用户提供数据服务，实现交易流程管理，数据存在不合法、不合规的安全风险，由于接口不安全、访问控制设置不合理、数据拷贝未加密也会导致交易过程存在数据泄露、非法访问、传输等安全风险；离线数据交易中数据主要存在非法窃取、泄露、篡改等安全风险；托管数据交易由于需要经相关数据负责人的批准，办理复制登记手续和复制，因此主要存在用户进行非授权操作的风险。

3 大数据交易中的数据安全和隐私保护

为了保护大数据交易中的数据安全和隐私，可采取下列措施：

（1）完善法律法规标准、设立监管机构

我国应制定规范大数据安全交易、隐私保护相关的法律法规，做到有法可依，同时，加快制定大数据安全交易方面的标准或者操作指南等规范，做到有法必依；还应设立大数据交易安全监管机构，加大对隐私保护和数据安全方面的行政监管力度，增强打击盗窃、泄露数据和侵害隐私的处置力度。

（2）管理与人员安全

大数据交易机构也应制定大数据交易服务的安全管理策略，明确数据交易安全的总目标、范围、原则和安全框架等，建立交易参与方管理制度、数据安全管理制度、个人信息安全保护制度、数据交易过程安全管理制度等相关安全管理制度，全面提升大数据交易服务机构的安全管理水平。同时，还应明确数据交易参与人员执行管理操作或业务操作的规程和从业人员的安全管理职责，定期进行业务及安全意识培训，并与重要岗位人员签署保密协议，做到安全操作，减少因人为因素造成的安全危害。

（3）数据交易平台安全

为了提高数据交易服务平台的安全防护能力，可将传统的信息安全手段与大数据安全技术相结合，从网络安全、系统安全、主机安全和应用安全等多方面对数据交易平台进行安全防护，并及时更新各种安全软件。同时，利用数据挖掘技术[5]，分析网络攻击、识别异常行为，构建全面的网络安全预警体系，为发现网络安全威胁与回溯进行有效防御，构建安全的交易环境。此外，数据交易服务平台还应支持对数据交易进行安全控制和安全审计，做到过程与人员均可控、可追溯。

（4）交易数据安全与隐私保护

对于面临的数据与隐私威胁，数据交易服务平台首先应对数据交易的双方建立相应的用户身份标识，以便对用户进行唯一识别，并为各用户配置必要的身份鉴别机制，在用户执行交易和管理等操作之前进行身份鉴别，以便确定其身份是否真实有效，可防止身份假冒。

数据供需双方在进行数据交易时，还应采取数据和个人信息安全保护技术，如可采取数据加密技术在大数据存储、传输环节对数据进行加密处理，从技术层面减少信息泄露的概率，即使数据泄露，数据盗取者也很难从中获取关键信息；避免个人信息意外损失和破坏，切实保护个人权益，如采用大数据发布匿名保护技术保护隐私[6]。此外，在交易中还应及时记录数据交易，生成数据交易日志，支持对数据交易日志进行查询和备份。

4 结束语

本文分析了大数据交易面临的安全威胁，提出了从政策法规、管理制度、人员、大数据交易平台和技术等方面加强安全建设的措施，以有效保护大数据交易中的数据安全和隐私，促进大数据交易服务行业的健康可持续发展。

[1]Viktor Mayer-Schonberger, Kenneth Cukier. Big Data: A Revolution that will Transform How We Live, Work and Think[D]. Boston: Houghton Miffl in Harcourt，2013.

[2]李国杰，程学旗.大数据研究:未来科技及经济社会发展的重大战略领域[J].中国科学院院刊，2012.

[3]冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机学报，2014.

[4]唐斯斯，刘叶婷.我国大数据交易的发展现状、面临困难及政策建议[J].信息化研究，2016.

[5]杨曦,GUL Jabeen,罗平.云时代下的大数据安全技术[J].中兴通信技术，2015.

[6]施洪华.大数据时代安全隐私保护技术探究[J].网络安全技术与应用，2016.