物联网的现状

1、国内研究现状：目前中科院信息口相关研究所几乎都在开展无线传感网的研究工作。中科院上海微系统与信息技术研究所、中科院声学所、中科院微电子所、中科院半导体所、中科院自动化所、中科院沈阳自动化所、中科院电子锁、中科院上海硅酸盐研究所、中科院软件所、中科院计算所等中科院单位均在从事物联网的研究。国内许多高校也掀起了无线传感网的研究热潮，清华大学、东南大学、中国科技大学、浙江大学、华中科技大学、天津大学、南开大学等高校纷纷开展了有关无线传感器网络方面的研究工作。国内物联网先头单位——中科院工作基础，中国科学院在传感器与微系统、传感网与宽带接入等领域已有长期的工作基础，并在知识创新工程中进行了更大的前瞻性战略布局：1999年，将“无线传感网及其应用”列入知识创新工程重点方向。2001年，成立“中国科学院上海微系统与信息技术研究所”。2001年，成立“中国科学院微系统中心”（非法人事业机构），作为顶层协调机构负责组织全院相应研究所开展微系统和传感网相关的创新工作。全院开展相关工作的研究所有：上海微系统所、声学所、电子所、微电子所、半导体所、计算所、长光所、沈阳自动化所、自动化所、物理所、上海技物所、中国科技大学等十几个单位。 中国科学院、江苏省、无锡市共建“中国物联网研究发展中心”总体目标：形成从研发、系统集成到典型应用示范的创新价值链，成为国家级“感知中国”创新基地。成为中国物联网产业培育中心、集成创新中心和行业应用示范中心，成为中国物联网产业大发展的核心技术引擎。针对“感知中国”战略产业发展过程中的应用瓶颈和技术难点，开展重大技术研究；汇集各方力量和现有成果进行集成创新，推进成果转化和产品孵化；开展应用示范，推动产业发展。 2、美国物联网发展现状：美国很多大学在无线传感器网络方面已开展了大量工作，如加州大学洛杉矶分校的嵌入式网络感知中心实验室、无线集成网络传感器实验室、网络嵌入系统实验室等。另�，麻省理工学院从事着极低功耗的无线传感器网络方面的研究；奥本大学也从事了大量关于自组织传感器网络方面的研究，并完成了一些实验系统的研制；宾汉顿大学计算机系统研究实验室在移动自组织网络协议、传感器网络系统的应用层设计等方面做了很多研究工作；州立克利夫兰大学（俄亥俄州）的移动计算实验室在基于IP的移动网络和自组织网络方面结合无线传感器网络技术进行了研究。 除了高校和科研院所之外，国外的各大知名企业也都先后参与开展了无线传感器网络的研究。克尔斯博公司是国际上率先进行无线传感器网络研究的先驱之一，为全球超过2000所高校以及上千家大型公司提供无线传感器解决方案；Crossbow公司与软件巨头微软、传感器设备巨头霍尼韦尔、硬件设备制造商英特尔、网络设备制造巨头、著名高校加州大学伯克利分校等都建立了合作关系。IBM提出的“智慧地球”概念已上升至美国的国家战略。2009年，IBM与美国智库机构向奥巴马政府提出通过信息通信技术（ICT）投资可在短期内创造就业机会，美国政府只要新增300亿美元的ICT投资（包括智能电网、智能医疗、宽带网络三个领域），鼓励物联网技术发展政策主要体现在推动能源、宽带与医疗三大领域开展物联网技术应用。2009年美国振兴经济法案中与ICT相关计划整理见下表所示。②美国ICT相关发展计划1、 欧盟物联网发展现状：2009年，欧盟委员会向欧盟议会、理事会、欧洲经济和社会委员会及地区委员会递交了《欧盟物联网行动计划》，以确保欧洲在建构物联网的过程中起主导作用。行动计划共包括14项内容：管理、隐私及数据保护、“芯片沉默”的权利、潜在危险、关键资源、标准化、研究、公私合作、创新、管理机制、国际对话、环境问题、统计数据和进展监督等。该行动方案，描绘了物联网技术应用的前景，并提出要加强欧盟政府对物联网的管理，其行动方案提出的政策建议主要包括：（1）加强物联网管理。（2）完善隐私和个人数据保护。（3）提高物联网的可信度、接受度、安全性。2009年10月，欧盟委员会以政策文件的形式对外发布了物联网战略，提出要让欧洲在基于互联网的智能基础设施发展上领先全球，除了通过ICT研发计划投资4亿欧元，启动90多个研发项目提高网络智能化水平外，欧盟委员会还将于2011年～2013年间每年新增2亿欧元进一步加强研发力度，同时拿出3亿欧元专款，支持物联网相关公私合作短期项目建设。2、 日本物联网发展现状：自上世纪90年代中期以来，日本政府相继制定了e-Japan、u-Japan、i-Japan等多项国家信息技术发展战略，从大规模开展信息基础设施建设入手，稳步推进，不断拓展和深化信息技术的应用，以此带动本国社会、经济发展。其中，日本的u-Japan、i-Japan战略与当前提出的物联网概念有许多共同之处。2004年，日本信息通信产业的主管机关总务省提出2006至2010年间IT发展任务——u-Japan战略。该战略的理念是以人为本，实现所有人与人、物与物、人与物之间的连接（即4U，Ubiquitous、Universal、User-oriented、Unique），希望在2010年将日本建设成一个“实现随时、随地、任何物体、任何人均可连接的泛在网络社会”。2008年，日本总务省提出将u-Japan政策的重心从之前的单纯关注居民生活品质提升拓展到带动产业及地区发展，即通过各行业、地区与ICT的化融合，进而实现经济增长的目的。具体说就是通过ICT的有效应用，实现产业变革，推动新应用的发展；通过ICT以电子方式联系人与地区社会，促进地方经济发展；有效应用ICT达到生活方式变革，实现无所不在的网络社会环境。2009年7月，日本IT战略本部颁布了日本新一代的信息化战略——“i-Japan”战略，为了让数字信息技术融入每一个角落。首先，将政策目标聚焦在三大公共事业：电子化政府治理、医疗健康信息服务、教育与人才培育。提出到2015年，透过数位技术达到“新的行政改革”，使行政流程简化、效率化、标准化、透明化，同时推动电病历、远程医疗、远程教育等应用的发展。日本政府对企业的重视也毫不逊色。另外，日本企业为了能够在技术上取得突破，对研发同样倾注极大的心血。在日本爱知世博会的日本展厅，呈现的是一个凝聚了机器人、纳米技术、下一代家庭网络和高速列车等众多高科技和新产品的未来景象，支撑这些的是大笔的研发投入。3、 韩国物联网发展现状：韩国也经历了类似日本的发展过程。韩国是目前全球宽带普及率最高的国家，同时它的移动通信、信息家电、数字内容等也居世界前列。面对全球信息产业新一轮“u”化战略的政策动向，韩国制定了u-Korea略。在具体实施过程中，韩国信通部推出IT839战略以具体呼应u-Korea。韩国信通部发布的《数字时代的人本主义：IT839战略》报告指出，无所不在网络社会将是由智能网络、最先进的计算技术，以及其它领先的数字技术基础设施武装而成的技术社会形态。在无所不在的网络社会中，所有人可以在任何地点、任何时刻享受现代信息技术带来的便利。u-Korea意味着信息技术与信息服务的发展不仅要满足于产业和经济的增长，而且在国民生活中将为生活文化带来革命性的进步。由此可见，日、韩两国各自制定并实施的“u”计划都是建立在两国已夯实的信息产硬件基础上的，是完成“e”计划后启动的新一轮国家信息化战略。从“e”到“u”是信息化战略的转移，能够帮助人类实现许多“e”时代无法企及的梦想。继日本提出u-Japan战略后，韩国在2006年确立了u-Korea战略。u-Korea旨在建立无所不在的社会，也就是在民众的生活环境里，布建智能型网络、最新的技术应用等先进的信息基础建设，让民众可以随时随地享有科技智慧服务。其最终目的，除运用IT科技为民众创造食衣住行育乐各方面无所不在的便利生活服务，亦希望扶植IT产业发展新兴应用技术，强化产业优势与国家竞争力。为实现上述目标，u-Korea包括了四项关键基础环境建设以及五大应用领域的研究开发。四项关键基础环境建设是平衡全球领导地位、生态工业建设、现代化社会建设、透明化技术建设，五大应用领域是亲民政府、智慧科技园区、再生经济、安全社会环境、u生活定制化服务。u-Korea主要分为发展期与成熟期两个执行阶段。发展期（2006至2010年）的重点任务是基础环境的建设、技术的应用以及u社会制度的建立；成熟期（2011至2015年）的重点任务为推广u化服务。自1997年起，韩国政府出台了一系列推动国家信息化建设的产业政策。目前，韩国的RFID发展已经从先应用开始全面推广；而USN也进入实验性应用阶段。2009年，韩通信委员会通过了《物联网基础设施构建基本规划》，将物联网市场确定为新增长动力。该规划树立了到2012年“通过构建世界最先进的物联网基础实施，打造未来广播通信融合领域超一流ICT强国”的目标，为实现这一目标，确定了构建物联网基础设施、发展物联网服务、研发物联网技术、营造物联网扩散环境等4大领域、12项详细课题。在世界物联网领域，中国与德国、美国、韩国一起成为国际标准制定的主导国之一。2009年9月，经国家标准化管理委员会批准，全国信息技术标准化技术委员会组建了传感器网络标准工作。标准工作组聚集了科学院、等中国传感网主要的技术研究和应用单位，将积极开展传感网标准制订工作，深度参与国际标准化活动，旨在通过标准化为产业发展奠定坚实技术基础。目前，我国传感网标准体系已形成初步框架，向国际标准化组织提交的多项标准提案被采纳，物联网标准化工作已经取得积极进展。

前言：

整理本文的原因有三：

1、         网上很多关于GDPR的文章并不全面，甚至有误

2、         以此机会在公司内部开展关于GDPR的专项培训

3、         青莲云的部分客户业务在未来会受到GDPR的影响

之后，我们计划编写一系列相关文章，更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施，一来希望与同行企业可以就GDPR进行更多的互动讨论；二来也是希望传播国际法案对于安全和隐私的态度，共同提高物联网安全意识。

以下您将了解到：

1、         什么是GDPR（重要）

2、         GDPR的发展历程

3、         GDPR的关键术语定义（重要）

4、         GDPR会影响哪些企业（重要）

5、         GDPR不适用于哪些情况

6、         GDPR约束了哪些数据（重要）

7、         GDPR中数据主体的权利（重要）

8、         GDPR中处理个人数据的基本原则（重要）

9、         GDPR中对合法处理数据的定义

10、     GDPR中针对儿童数据的处理规定

11、     GDPR中数据控制者与数据处理者的义务（重要）

12、     GDPR中针对特别类型个人数据的处理规定

13、     GDPR中关于数据主体被遗忘权的规定（重要）

14、     GDPR中关于数据主体可携带权的规定（重要）

15、     GDPR中关于个人数据泄露通知的规定（重要）

16、     GDPR中关于设立数据保护官的规定

17、     GDPR关于执法和处罚的规定（非常重要）

18、     总结

什么是GDPR

2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation (GDPR)），新法案由11章共99条组成，该法案将于2018年5月25日正式生效，将取代现有的《数据保护指示》（Data Protection Directive 95/46/EC），统一欧盟成员国关于数据保护的法律法规。

此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。

GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规，其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案

GDPR的发展历程

（来自网络）

GDPR的关键术语定义

个人数据：是指任何指向一个已识别或可识别的自然人（数据主体）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份z号、定位数据、在线身份识别这列标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

处理：是指针对个人数据或个人数据集合的任何一个或一系列 *** 作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁，无论此 *** 作是否采用自动化手段。

匿名化：是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

数据控制者：能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者：是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者：只是接收到被传递的个人数据的主体，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据，不得视为“数据接受者”。

个人数据外泄：是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。

GDPR会影响哪些企业

欧盟GDPR法案具有域外效应。也就是说，GDPR赋予了欧盟在个人信息安全方面的域外管辖权。

主要受影响的企业为以下四类：

l   设立在欧盟境内的企业（控制者、处理者）

l   未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业（控制者、处理者）

l   未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（控制者、处理者）

l   未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（控制者、处理者）

总结来说，GDPR不仅适用于位于欧盟境内的企业组织机构，也适用于位于欧盟以外的企业组织机构，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。

GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案，数据控制者也无法免除责任，GDPR规定控制者需要承担更多的责任，以确保和数据处理者之间的合同能够严格遵守GDPR的规定。

GDPR不适用于哪些情况

GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR：

l   为了预防、调查、侦查或起诉刑事犯罪，主管当局为执行刑事处罚目的而产生的数据处理行为

l   基于国家安全目的而产生的数据处理行为

l   自然人在纯粹的个人或家庭活动中产生的数据处理行为

l   欧盟法律规定范围之外的活动过程中产生的数据处理行为

GDPR约束了哪些数据

个人数据：

可以通过某个标识直接或间接识别某一自然人的信息。

不管是采用自动化手段还是人工进行归类的数据，包括按时间顺序排列的包含个人数据的记录集合。

已经被匿名化的个人数据，取决于用已有标识来识别特定个体的困难程度。

敏感个人数据：

也被称为“特殊种类的个人数据”。

包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。

包括遗传数据和经过处理可以唯一识别个体的生物特征数据。

不包括涉及刑事定罪和罪行的个人数据，但该类数据的处理和保存有特殊要求。

GDPR中数据主体的权利（第三章）

l   知情权

l   访问权

l   反对权

l   可携带权

l   纠正权

l   删除权/被遗忘权

l   限制处理权

l   免受数据画像影响

GDPR中处理个人数据的基本原则

l   合法、正当、透明

l   处理数据的目的是有限的

l   仅处理为达到目的的最少数据

l   确保数据准确、及时更新

l   存储数据的期限不得长于为达到目的所需要的时间

l   采取技术和管理措施以保护数据的安全

l   数据控制者有责任并应能够证明做到了以上几点

GDPR中对合法处理数据的定义

至少满足一下中的某一项，处理数据才是合法的

l   数据主体同意为了特定目的处理其数据

l   处理数据是为了签订或履行合同的需要

l   处理数据是为了遵守法定义务的需要

l   处理数据是为了保护数据主体或其他自然人的至关重要的利益

l   处理数据是为了公共利益或形式政府授受的权力

l   处理数据是为了追求数据控制者的合理利益，但不得损害数据主体的利益

GDPR中针对儿童数据的处理规定

处理16岁以下儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整，但是不得低于13岁

GDPR中数据控制者与数据处理者的义务

设置DPO（数据保护官）

文档化管理

数据保护影响评估

事先咨询机制

数据泄露报告机制

安全保障措施

遵守数据跨境转移规则

GDPR中针对特别类型个人数据的处理规定

禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

GDPR中关于数据主体被遗忘权的规定（重要）

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。

如果该数据被传递给了任何第三方（或第三方网站），数据控制者应通知该第三方删除该数据。

GDPR中关于数据主体可携带权的规定（重要）

数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。

GDPR中关于个人数据泄露通知的规定（重要）

数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误的通知数据主体，以便数据主体及时采取措施。

GDPR中关于设立数据保护官的规定

为确保数据保护合规并处理数据保护相关事务，数据控制者和数据处理者需设置数据保护官（DPO）。

控制者和处理者应当对数据保护官不下达任何指令，DPO不能因为执行任务的原因被解雇或者受到刑事处罚。

数据保护官直接向最高管理者报告工作。

根据联盟法律或者成员国法律规定，数据保护官应当对其执行任务的内容进行保密。

数据保护官也可以执行其他任务，履行其他职责。

GDPR关于执法和处罚的规定（非常重要）

不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。

GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定：

对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%（两者中取数额大者）；

对于严重的违法，罚款上限是2000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）；

判罚的严重程度是基于以下因素：

l   违规的性质、严重程度和违规的持续时间

l   违规是故意的还是因疏忽造成的

l   对个人身份信息的责任心和控制程度

l   违规是单个事件还是重复事件

l   受到影响的个人资料的种类范围

l   数据主体遭遇的损害程度

l   为了减轻损害而采取的行动

l   由违规产生的财务预期或收益

GDPR核心旨在保护隐私数据，并通过法案约束来建立企业和公民之间的信任关系，违反GDPR的代价远不止财务层面，还将给企业声誉造成极大破坏，并且导致企业和消费者之间产生信任危机

总结

由于青莲云所在的物联网行业也处于GDPR法案的约束之中，故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念，在提高个人数据保护标准的同时，也会增加企业的合规成本。法案的背后是对隐私和安全的需求，法案生效后会成为国际数据隐私保护标准。

对于物联网行业的相关企业（硬件、软件、制造、数据分析等）来说，从此刻开始提升物联网安全意识，关注数据安全和用户隐私安全，积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时，与客户企业建立长期持续的安全咨询合作关系，共同建设安全、自主、可信的物联网安全新业态。

这个问题我来回答一下吧，关于物联网如何打造智慧城市的问题，物联网可以联系到整个城市的方方面面，可以进行统一规划管理，集中决策，进行自动规划，所以叫做智慧城市，具体主要包括就是交通调度、城市各种数据检测、安全监管、应急处置、物流管理、政府工作、医疗卫生、消防环保、智慧园区和教育等等，接下来详细阐述。

整个智慧城市里面最重要的可能就是智慧交通，城市越来越大，车辆人口越来越多，拥挤堵车是常态，所以智慧城市的第一步就是要打造实时自动调度的交通系统，能够对交通复杂区域进行合理规划，在高峰时期合理调度车辆和路线，这就需要对全市的车辆进行登记，安装物联网设备，同时，对整个城市主要交通节点进行检测和车流量分析，反馈给决策系统做出调度决策，保证整个城市是交通调度。

第二个方面就是城市各项参数检测监管，包括温度湿度，气压，各种污染物，以及天气预警，实现整个城市的各项参数可视化，在各大主要区域进行展示，参数异常就进行预警派人处理。这里面同样包括消防，对整个城市是建筑进行监测，安装各种物联网系统，实时检测分析，出现问题能够讲预警信息直接传输到所有相关部门，进行应急处理。接着就是智慧应急处理，那就是城市在紧急时候进行全城管理，为紧急事件让步，这就需要政府的数字化办公，能够及时的收到应急事件并启动统一管理。

大城市有一个问题就是流动人口多，不好进行管理，智慧城市在物联网时代应该借助物联网系统对流动人口加强监测，主要就是开发物联网设备，在主要路口进行人员跟踪识别，信息录入数据库，并进行大数据比对，可以对高危人群进行监测，需要的时候可以利用这个信息。这个不仅仅是智慧城市的一部分，更是智慧园区、社区的一部分。在教育方面，大家都知道教育资源发布是极其不均衡的，在物联网时代，借助5G高速低延迟的特点，可以借助智慧教育系统，实现优质教育资源全城共享，促进公平公正的教育事业。主要技术就是物联网、云计算和大数据分析，涉及到传感器网络布局、数据传输、调度算法、决策算法等等方面。

“大数据时代，在充分挖掘和发挥大数据价值同时，解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初，公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条，随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现，幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称，这起案件泄露数亿条公民个人信息，其中主要问题，就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后，很容易被不法分子用于网络黑灰产运作牟利，内中危害轻则窃财重则取命，去年8月，山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件，就可见一斑。
去年7月，微软Window10也因未遵守欧盟“安全港”法规，过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出，随着数据资源商业价值凸显，针对数据的攻击、窃取、滥用和劫持等活动持续泛滥，并呈现出产业化、高科技化和跨国化等特性，对国家和数据生态治理水平，以及组织的数据安全能力都提出了全新挑战。
当前，重要商业网站海量用户数据是企业核心资产，也是民间黑客甚至国家级攻击的重要对象，重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力？
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。
5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础，网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。
“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型（Data Security Maturity Model, DSMM）进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

---