中国IDC圈4月28日报道,互联网的发展使得大数据引起人们广泛关注。现如今大数据技术早已渗透到金融、通讯等行业以及生物学、物理学等领域。大数据在容量、多样性和高增速方面的爆炸式增长全面考验着现代企业的数据处理和分析能力,与此同时也为各个行业带来了准确洞察市场行为的机会。迄今为止大数据技术与产品有哪些创新,工业大数据应用面临哪些挑战,金融行业大数据应用现状如何等。围绕这一系列问题,4月27日至28日,由工业和信息化部指导、中国信息通信研究院主办的"2016大数据产业峰会"在北京国际会议中心盛大召开。
其中,在4月28日上午“大数据与电信业转型”分论坛上,中国信息通信研究院高级工程师韩涵发表了主题为《电信大数据创新发展的合规性研究》的精彩演讲。
中国信息通信研究院高级工程师 韩涵
以下为韩涵演讲实录:
韩涵:今天分享的电信大数据创新发展的合规性研究,也是之前和三家运营商相关领导和同事们共同做的一些基础性的和开拓性的研究工作,相关成果也有各位运营商的帮助和支持,在此一并感谢大家。
第一是对于大数据是电信行业转型升级的重要契机的整体概括; 第二是电信大数据创新发展面临的合规性问题的分析;第三是细化标准和技术审查是保障合规性的重要手段。
电信行业技术发展,能感觉到在全球领域电信运营行业面临的发展瓶颈,预计到2018年全球运营商的收入开始进入了下滑的通道,业务量和收入剪刀差在逐渐加大,统计数据2014年的时候电信业务总量增长率是16%,收入增长率下降到3%,这个量收不匹配、管道化风险、OTT竞争压力、同质化竞争等等问题。现在大家畅谈的口号发挥第三条曲线的优势,大数据是第三条曲线发展重要方向,国外运营商已经开始大数据曲线的探索,西班牙与联通建立合作关系,他们的智慧足迹产品在昨天交通论坛也和大家进行了分享。
电信大数据领域相关数据资源是非常丰富的,包括动态位置的数据,网络的数据和物联网信息,用户数据以及DPI和相关互联网的数据。这四个类型主要数据价值比较大,一个是人口统计学的数据包括姓名手机号码位置类的信息,现在基于位置类信息服务比较多。然后是相关用户业务的数据,包括访问记录业务类型,最后是计费类的相关数据包括资费和购买历史。我们长期认为在当前情况下电信运营商掌握的数据价值仍然是高于互联网企业,但是相比于互联网企业,咱们运营商的数据优势在逐渐的减弱。首先互联网企业和大数据的策略提出的比较早,他们在全力强占用户入口,向管道渗透,大型互联网企业已经申请了相关牌照通过数据共享交易和大数据技术提前布局强占大数据这一块的发展优势,对于咱们电信运营来说在大数据领域领先互联网窗口时间已经非常紧张,到三到五年的时间内如果大数据发展没有真正达到预期可能被互联网企业反超。我们掌握了大数据资源的价值优势也有可能被互联网其他渠道反超。
以上分析看到电信运营商在大数据领域的契机是非常得天独厚的,时间也是非常短暂的,另外电信大数据创新发展,黄处提出了很多要求和期许,合规性问题是无法避免的核心问题存在,当前在数据流通的相关领域是两个极端的发展趋势,一方面是黑市非常猖獗,很多号称拥有电信运营企业数据和互联网企业数据的公司大量的在市场上交易数据,这个数据完全无法控制,另外一方面有大量宝贵数据资源沉积在数据库中无法利用,尤其是国有数据资源和政府数据资源,使合法机构难以获得数据来源,使正当业务发展受到阻碍。所以我们希望水平像水流的状态,在管道和阀门的控制下合规流动,他的速度依然非常快,如何合规的将电信大数据用于合法业务中降低数据流通的成本。因为黑市的阻碍使得数据流通成本提高了,正规业务的成本反而提高了。
看一下当年的现状,在我们国家来说数据安全和隐私保护制度不健全,这也使得大数据发展受到一定阻碍,用户的隐私是首先需要考虑的问题,这也是大家认为在大数据创新发展头上的利剑。我们国家关于个人信息保护2012年开始才逐渐提到台面上,发展机制还是相当不健全,主要关注和影响度比较高的法律法规和标准是以下方面,24号信息保护的规定和25号的实名制的规定,2014年开始电信行业在用户信息保护的标准不断推出,这也是在通信标准化协会大力支持之下完善相关的标准。国外运营商在隐私保护有一定的经验,比如让用户签署协议,ATIT的做法,第二是统计类的相关信息,这个法电已经开始采取了这样的措施,第三是提供分析结果,西班牙电信的洞察也是这样相关的方法并不直接提供信息,第四还有匿名处理方面,沃达丰合作之间先进行脱敏。相信电信运营商在进行数据合作的时候,在合规性和大数据安全方面远远高于目前市场上其他的企业。
另外一方面,电信行业的数据安全非常受到重视,工信部通信发展司一直对电信大数据创新发展给予很高的指导和帮助,也成立了电信大数据在工作中的应用工作组,同时在法律层面标准层面都已经开始了一些工作和试点。各家电信企业也在积极探索数据保护的方法,增加电信企业在总部层面有相关的标准或者内部管理文件和草案出台都是非常严格的管理办法。另外我们要与征信领域为试点看这件事。大家在业务实践当中,电信大数据变现的主要领域,第一是精准营销,这个在没有大数据概念的时候已经开始有一些探索,第二个热点是征信领域,很多包括集团和省一级的机构已经开始在征信领域做了一些尝试。第三是基于位置的相关信息,由于统计类信息为主,他的安全要求略微低一些,当前征信领域最受到大家的关注,而且在国家的法律法规层面更多一些,因为这是受到工信部和人民银行两方面的监管,都有相关的条例出来,2006年开始当时信息产业部,现在工信部也和当时的人民银行有一些相关合作的指导性的文件出台。
从征信领域出发做了一些细化的标准和实验前期工作,我们认为通过标准和技术审查是保障当前电信大数据创新发展的重要手段。这个主要的思路,以及是建立数据安全相关制度,这是根本原则,这种数据安全的制度包含的方面非常多,包括对外业务安全制度,包括各行各业细分行业,比如金融和营销有一定的差距,也包括内部人员管理制度和网络运维相关安全制度的,通过建设一系列覆盖的制度的集合实现全面保障从数据采集流通存储到应用的全流程数据安全,同时通过技术审查的方式保障数据的实际的操作是符合这个安全制度的。
我们经过一些前期的研究,有几个关键的安全制度或者标准化原则的点,第一个是数据需求的合规性的原则,数据需求应该遵循最小级的原则,每一种场景对数据的采集使用不应该超出合理范围,有时候为了开展一个精准营销业务,把客户的历史信息拿出来,这有一些过采集的问题存在。和联通移动电信多次研讨之后总结了一四大原则,一个是敏感数据不出门,这对于原始底层尤其是敏感数据使用的时候,永远是往内实现,这是一个比较典型的案例之前也有同时咨询,如何和金融企业合作做一些信贷业务,后面有催交的需求,又不把手机号码提供出去,这希望催交业务由运营商提供,保证号码的原始数据在网内,让合作方租用我们的短信平台或者云平台,这是第一要务。这还是指敏感数据,对完全脱敏统计类的数据,以及验证和核实的二元选择的数据层次低一些,第二是数据服务的实现,我们建议分批次的定期销毁数据的载体,这是流量管控的问题,咱们的数据流向其他单位之后如何保证合作伙伴不滥用数据资源,对数据的流向进行一些管控,在合作伙伴那里进行一些监管,对整个数据的生命周期有一个限制,不能使数据完全在没有限制的时间之内使用。
第三尽量避免手工操作是现在系统上的实现,更严格客观的实现系统合作,第四是建立系统级的平台,实现数据更集中的汇聚和服务的管控。
第二是用户授权合规性,用户授权是数据服务的前提,不管是APP纸质,生物识别远程开卡的,也有短信授权的,用户授权多种不同方式法律效率等同。授权信息应该长期保存并且在企业间传递,因为这个很容易引起法律争议,所以这个保存时限很重要,目前电信是要求6个月,但是6个月对于未来解决争议和金融征信行业的合作还是不太够的在征信业管理条例不良信息是五年,如果有用户投诉都有原始数据溯源的需求,这也包括信息本身的留存,有时候授权协议并不是咱们运营商面向用户获取的,而是和合作伙伴获取的授权信息。所以我们也建议让合作伙伴把授权的数据传递到我们这一侧我们进行保存。
第三是尽量保持授权协议内容完善性,这是和多家企业法物的同事进行讨论,尽量完善的授权协议内容应该包括转移数据使用目的使用范围和数据方式,数据的类型和范围表明数据的原机构和身份名称,以及拒绝提供信息出现的后果,提供该信息产生的不利后果这是非常完善的授权整体内容。并不是所有的授权都要包含完全的方面,根据信息敏感性不同,像一些已经脱敏过的群体类信息有授权协议是他的前提,他是不是能完全涵盖这些内容,这个要进行一些分级把控的原则。关于用户授权的合规性,经过长期讨论,也和各个企业朋友进行交流,我们建议,对于特别敏感的信息,由电信企业直接取得授权,这也是之前在研究组内争议非常大的一块,因为大部分的合作是直接面向用户的企业拿到授权,电信企业是第二环节或者第三环节,这个时候的授权,也是存在授权欺诈或者授权协议不规范的情况,对于特别敏感的信息,尤其关系到用户的人身安全和个人隐私这一块的信息,我们建议由用户直接向数据原企业授权,这是对电信企业保护的考虑,当发生纠纷的时候,由于我们掌握了最直接的授权资料,可以避免一些法律的纠纷。
第三是数据形态和转移方式的合规性,当前在法规法律和公开的标准层面禁止转运和利用数据,这个不是很全,因为这是不同行业主管部门发布的,这个肯定都有行业管理效益,另外我们建议这种严格脱敏的数据可以直接对外提供。比如只是对外提供核验是否和提供分级分数的信息,还有个别敏感的可能会通过一些挖掘或者是漏洞的算法再把这个信息藏在分数信息里,这里还要再进行一些比较简单的合规性审查的方式,即便是分数的,也可能由于分数太细导致信息的泄露。下放界面,多方可信的计算环境,通过环境进行数据流通,听起来比较拗口,事实上跟企业目前采用的方式比较吻合,他的核心概念,在这个环境中数据源的提供方和数据分析应用方都没有直接拿走原始信息,只是将计算和建模的模型运算在这个环境中最后将完全脱敏的信息从环境中输出,包括联通电信移动的一些省级机构在对外合作的时候也采用这个方式,让合作伙伴的模型运行在内部机房环境或者云平台当中,这是多方可信的计算环境,由于大企业之间的合作,我们之前跟平安集团交流,如果双方数据量都很大,完全托管在一方云平台里都有不确定性,也可能建立第三方或者双方共同监管的环境,所以我们整合成多方可信的计算环境。
在进行合规安全保障的时候引入第三方的标准符合性审查也是重要手段,目前我们在研究所,信息通信发展司指导下和三家电信企业也在逐步推出标准符合性审查试点,面向数据资源提供者和接受者双方的审查,包括文档资料安全规范的审查,也有技术辅助现场审查的项目,通过数据在供方和需方之间做扫描和数据检测提供第三方公平的数据安全审查服务。目前我们所开展的试点是依托数据中心联盟在开展,数据中心联盟由工信部指导挂号在通信表化协会的联盟组织,目前成员单位超过170家包括三家电信运营企业已经是高级理事会员,大型互联网企业也是联盟会员。目前在联盟架构下成立了一个大数据委员会,有两个工作组,一个大数据工作组一个征信工作组,今天在座的好多专家是工作组的委员或者专家,未来在大数据委员会下设的工作中继续开展研究工作和试点相关的服务。