各位，非常高兴今天有这个机会和大家分享一下，我们对于数据安全的理解和研究。现在全球已经进入一个数据驱动的时代，我们数据的总量在爆炸，不断地有很多的数据每天都在产生，有了物联网、车联网以后，每天有巨量的数据在产生。在这个大数据时代，我们看到数据的价值在凸显，通过大数据的分析、通过数据的一些加工，我们可以挣钱。此外，数据的治理也成为一个国家竞争优势新的动力，我们怎么来治理这些数据。我们国家也在关注关于数据跨境流动方面，去年应该有了一些征求意见稿，我们已经看到了。所以跨境数据流动方面我们国家也很快要有一些监管，但是因为现在意见比较多，所以一直在讨论过程中。

除了数据在产生价值的同时，我们看到数据的安全问题也是在凸显，如何有效地应对大数据、人工智能这些新应用出现的同时，数据成为一个迫切解决的关键性问题。facebook的数据被人利用，利用了以后剑桥分析公司用它来影响了美国的大选。从技术上来说，技术本身并不是特别复杂，但是给大家的震惊还是比较大的，给我也比较惊讶。因为我一直觉得，只有说美国利用大数据去影响一些小国或者别的落后，就是在互联网上落后一点的国家。既然美国作为互联网行业的老大都会因为互联网的原因被影响大选的结果，应该来说是非常令人震惊的。第三方应用获取了数据，剑桥通过数据知道了你的定喜好，然后影响了大选。

数据的共享已经成为数据安全中薄弱环节，传统静态安全保护措施失效。你怎么保护它，怎么设边界都没有用，因为分享出去以后别人怎么用你不知道。现在数据共享一般来说，第三方两个公司之间通过合同，但是纸面协议对他的约束能力比较有限。体系抚摸美欧对跨境数据调动进行立法，主权国都希望便捷获取在别的国家一些数据，又不希望别的国家随意访问自己国家的数据。中美有关于司法协作的协议，但是非常复杂，效率很慢。美国一般来说倾向于直接跟公司打交道，要求你拿到一些数据，但是也会有一些阻碍，比如要求微软提供一些数据的时候，微软直接跟他打官司，所以影响很大。

美国最近通过一个（英文）法案，是关于澄清域外合法使用数据的立法，其实就是要能够很容易的获得存储在境外的数据。欧洲做的提案是《电子证据跨境数据访问》，能够提供新的法律工具，就是要合法的做这件事情。CLOUD，如果微软是数据控制者，即使存储在别的国家的数据，他也应该要按照美国的法律来提供。但是他也不是说，至少他表现的不是那么的过分，他还是有一定的抗辩的渠道。在下面两种情况下可以撤销或者修整法律流程，这个就是目标对象不是美国人，且不居住美国。另一个情况，如果数据所在国家是一个符合资格的外国政府，同时有一个立法不允许这些数据出境，这样的话就可以不用向美国政府提供这些数据。符合资格的外国政府是由美国来定的，是比较难的，是有标准的。除了资格之外，CLOUD向外国发出，可以要求美国企业提供美国数据，但是有一些限制条件。也就是说，美国政府可以通过法案向一些外国政府获取数据，外国那些符合资格的外国政府也可以通过这个法案从美国来获取数据。欧盟有一个e-Evidence，欧盟成员国提供什么呢？服务提供者向欧盟居民提供服务。这里面包括两部分，一个是欧盟的数据产生指令，一个是欧盟数据留存指令。这个是国际上希望能够跨境调取数据的一些立法，能够使这些调取数据的行为本身合法，也希望大家遵循这些要求。

基本情况。数据安全实际上是一个比较复杂的，这里画了一个非常简单的生态，这里不应该是政府，而是国家。国家首先是立法，有一个很好的法律体系，其次监管公司、个人、第三方、企业、研究机构，监管他们合法地使用数据。同时还应该建立起信用体系。个人应该来说，对自己的数据有一定的权利，同时他应该有一定的意识，意识到我有这样的权利和保护这样的权利。数据控制者为个人提供服务也提供数据，控制者进行协作进行分析和争执。同时行业协会一方面进行监督，一方面是在行业层面来进行一些行业自律工作。同时，我们不必讳，我们有黑会的产业，这个产业非常大，里面有一些黑客会获取数据，把非法获取的数据进行出售、诈骗等等这些工作。这里包含了很多，所以说数据安全的工作不是简单的哪个部门发一个指令或者出台一个《办法》就能解决的，应该是多个生态圈里面所有的都要做出自己的努力，才能做好数据安全的工作。

我们看看这些要素，现在看到有几个方面要素，立法、监管、诚信体系、技术、公众意识、行业组织。诚信体系是政府或者民间层面进行自发手段。行业组织在民间层面可以产生一些业界的需求，有一些业界的共识，达成一些业界的标准，然后形成行业的自律。公众意识属于民众基础，一方面要提升自己的意识，一方面可以反作用于政府的立法或者执法，很多立法可能出于一个事件的触动，公众关注了就有这些立法。还有技术属于支撑的手段，为企业提供一些保障。

看一下立法，2012年有一个人大关于加强网络信息保护的决定，2016年有一个电信和互联网个人信息保护决定，2017年的《网络安全法》，这个可以作为依据，我们有行政法规和部门规章。我们国家现在可以看到比较分散，数据和个人信息保护分散在各个法律和部门规章里面。同时，刑法立法先于民事行政立法，而且入刑门槛很低，50条就可以入刑，有一定的震慑和威慑能力。同时，量刑标准也有一定的创新，不同的数量和敏感程度来区分量刑。我们现在有一个初步的法律体系，但是应该来说对数据安全没有一个统一的立法。目前法律界定里面责任主体是电信运营者的一些责权都没有明确。监管现状涉及的部门比较多，包括工信部、商务部、公安部等等，执法的是公安和国家安全机构，但是模式还不是特别清楚，机制也不完善，现在还是实践驱动，在融合领域各方面划分并不是特别清楚。

存在的问题就是没有一个统一的执法机构，缺乏常态化监管机制、缺乏融合领域监管机制，同时处罚偏轻，行政处罚最高罚款3万人民币，这个对互联网企业来说简直就是九牛一毛都算不上。从诚信体系来看，已经有了一个名单。互联网企业也是在做一些诚信体系，最典型的就是给个人做诚信体系，也正在进行中。现在诚信体系中应该把数据安全和个人征信数据安全，需要进一步明确需求。从行业组织来看，互联网协会有一个个人信息保护委员会，12321可以进行受理举报，可以受理不良与垃圾信息进行举报。还有行业标准化。现在行业组织比较少，力量比较薄弱，同时现在都是一些全国性组织，地方组织比较少。从意识上来看，总体上企业和个人的数据防护意识偏低，但是不断提高中。近年来反诈工作做得轰轰烈烈，大家对个人信息保护的意识有了明显的提升。意识是在增强，我们可以看到了。

技术应该来说数据安全防护技术很多，比如说身份认证、访问控制、安全审计、异常行为监测预警、数据加密等等很多。这些技术是在不同的环节中应用，比如说产生环节、存储环节、使用环节、共享环节、销毁环节，这些环节中都是要利用到不同安全相关的技术。

产品上来说，安全产品不少，正在积极研发各种产品，数据库的安全审计、漏洞扫描、模糊化处理等等，这些都在做。现在数据安全技术也是在面临一些新的挑战，比如说在大数据环境下，原来很多技术适用性不能满足新技术、新业务，不能满足海量的数据。还有匿名化技术，有一些还没有完全使用起来，还在过程中。

最后就是一些对策建议了，需要“共建共治，多方参与”才能做好这方面的工作。首先从国家层面上要制定完善数据安全和个人信息保护政策法规，现在有很多法规，但是不全面。我听到有一些数据安全的《办法》正在制定，我们希望看到泄露了以后对被泄露的被害人有一定的赔偿，这样对他的威慑力大了很多。你偷了50条敏感信息可能会入刑，没有把数据保护好的企业到底有多大责任呢？泄露用户密码的企业写了一个道歉信，这件事就过去了，企业应该承担更大的责任，不应该就罚几万块钱就算了，不能很好地保护用户个人信息的话，就不应该收集它，而且丢失了就要重罚。然后要完善监管制度，加大处罚力度，监管的机制不应该是事先驱动，不应该是出了事罚他，而是有事前、事后的监管。然后要建立政府层面和行业层面的诚信体系，有了诚信体系以后出了一次事情以后，他可能做别的生意或者其他的运营都会有影响，这样对他有更大的威慑力。同时要加强行业自律，不可能所有都是从政府层面通过处罚来解决，很重要的就是行业层面要有行业自律和行业共识。提升公众意识，丰富用户个人信息保护手段。你有了足够的意识，那些企业不敢随便的过度收集信息或者是滥用信息，或者是不加保护的把这些数据分享出去。同时从国家层面还要加强安全技术研发和产品化，有了足够的技术做保障，在这些新技术、新业务不断层出不穷，技术融合。大数据时代、人工智能时代才能够通过技术来保障我们用户信息的用户数据的安全。

今天分享的就是这些，谢谢大家。