另外一方面,电信行业的数据安全非常受到重视,工信部通信发展司一直对电信大数据创新发展给予很高的指导和帮助,也成立了电信大数据在工作中的应用工作组,同时在法律层面标准层面都已经开始了一些工作和试点。各家电信企业也在积极探索数据保护的方法,增加电信企业在总部层面有相关的标准或者内部管理文件和草案出台都是非常严格的管理办法。另外我们要与征信领域为试点看这件事。大家在业务实践当中,电信大数据变现的主要领域,第一是精准营销,这个在没有大数据概念的时候已经开始有一些探索,第二个热点是征信领域,很多包括集团和省一级的机构已经开始在征信领域做了一些尝试。第三是基于位置的相关信息,由于统计类信息为主,他的安全要求略微低一些,当前征信领域最受到大家的关注,而且在国家的法律法规层面更多一些,因为这是受到工信部和人民银行两方面的监管,都有相关的条例出来,2006年开始当时信息产业部,现在工信部也和当时的人民银行有一些相关合作的指导性的文件出台。
从征信领域出发做了一些细化的标准和实验前期工作,我们认为通过标准和技术审查是保障当前电信大数据创新发展的重要手段。这个主要的思路,以及是建立数据安全相关制度,这是根本原则,这种数据安全的制度包含的方面非常多,包括对外业务安全制度,包括各行各业细分行业,比如金融和营销有一定的差距,也包括内部人员管理制度和网络运维相关安全制度的,通过建设一系列覆盖的制度的集合实现全面保障从数据采集流通存储到应用的全流程数据安全,同时通过技术审查的方式保障数据的实际的操作是符合这个安全制度的。
我们经过一些前期的研究,有几个关键的安全制度或者标准化原则的点,第一个是数据需求的合规性的原则,数据需求应该遵循最小级的原则,每一种场景对数据的采集使用不应该超出合理范围,有时候为了开展一个精准营销业务,把客户的历史信息拿出来,这有一些过采集的问题存在。和联通移动电信多次研讨之后总结了一四大原则,一个是敏感数据不出门,这对于原始底层尤其是敏感数据使用的时候,永远是往内实现,这是一个比较典型的案例之前也有同时咨询,如何和金融企业合作做一些信贷业务,后面有催交的需求,又不把手机号码提供出去,这希望催交业务由运营商提供,保证号码的原始数据在网内,让合作方租用我们的短信平台或者云平台,这是第一要务。这还是指敏感数据,对完全脱敏统计类的数据,以及验证和核实的二元选择的数据层次低一些,第二是数据服务的实现,我们建议分批次的定期销毁数据的载体,这是流量管控的问题,咱们的数据流向其他单位之后如何保证合作伙伴不滥用数据资源,对数据的流向进行一些管控,在合作伙伴那里进行一些监管,对整个数据的生命周期有一个限制,不能使数据完全在没有限制的时间之内使用。
第三尽量避免手工操作是现在系统上的实现,更严格客观的实现系统合作,第四是建立系统级的平台,实现数据更集中的汇聚和服务的管控。
第二是用户授权合规性,用户授权是数据服务的前提,不管是APP纸质,生物识别远程开卡的,也有短信授权的,用户授权多种不同方式法律效率等同。授权信息应该长期保存并且在企业间传递,因为这个很容易引起法律争议,所以这个保存时限很重要,目前电信是要求6个月,但是6个月对于未来解决争议和金融征信行业的合作还是不太够的在征信业管理条例不良信息是五年,如果有用户投诉都有原始数据溯源的需求,这也包括信息本身的留存,有时候授权协议并不是咱们运营商面向用户获取的,而是和合作伙伴获取的授权信息。所以我们也建议让合作伙伴把授权的数据传递到我们这一侧我们进行保存。
第三是尽量保持授权协议内容完善性,这是和多家企业法物的同事进行讨论,尽量完善的授权协议内容应该包括转移数据使用目的使用范围和数据方式,数据的类型和范围表明数据的原机构和身份名称,以及拒绝提供信息出现的后果,提供该信息产生的不利后果这是非常完善的授权整体内容。并不是所有的授权都要包含完全的方面,根据信息敏感性不同,像一些已经脱敏过的群体类信息有授权协议是他的前提,他是不是能完全涵盖这些内容,这个要进行一些分级把控的原则。关于用户授权的合规性,经过长期讨论,也和各个企业朋友进行交流,我们建议,对于特别敏感的信息,由电信企业直接取得授权,这也是之前在研究组内争议非常大的一块,因为大部分的合作是直接面向用户的企业拿到授权,电信企业是第二环节或者第三环节,这个时候的授权,也是存在授权欺诈或者授权协议不规范的情况,对于特别敏感的信息,尤其关系到用户的人身安全和个人隐私这一块的信息,我们建议由用户直接向数据原企业授权,这是对电信企业保护的考虑,当发生纠纷的时候,由于我们掌握了最直接的授权资料,可以避免一些法律的纠纷。