2019年全國“兩會”萬眾矚目,“大數據”仍是政府工作報告中的熱詞。目前,數據資源已逐漸成為企業發展和競爭的重要資源,同時,數據安全事件頻發,數據的使用邊界到底在哪里?是否到了該立法保障的時候了?多位代表委員提出了具體建議。
馬化騰呼吁立法規范數據使用
全國人大代表、騰訊董事會主席兼首席執行官馬化騰今年向全國兩會了提交七份書面建議。馬化騰關注到了數據安全問題,他提出, 數據規則方面,應進一步完善數據治理的頂層設計,建立數據收集、利用與保護的基本規則秩序,防范并打擊數據濫用行為。
馬化騰在接受記者采訪時提到,當前的一個矛盾點,是數據利用和數據保護之間的矛盾。如果過度保護數據,會導致用戶體驗的受損,而“過度強調算法、過度強調個性化,有可能會造成個人隱私受到侵犯”。
對此,馬化騰認為這個“度”需要國家出臺相關標準和規則來進行界定,否則“這個產業就會比較混亂”。例如,過去沒有一致的標準來規范服務提供商對用戶的賬號密碼的保存問題,就會產生諸如“撞庫”一類的聯帶問題。
“最近關于App收集用戶數據的規范已經出臺,包括騰訊在內的很多互聯網公司,都在重新審視自己的App是不是過度索取了用戶授權。”馬化騰說。
他希望輿論、政府和監管部門能對這個問題給予更多的關注。同時,他認為這其中也離不開互聯網企業的自律。“國家層面,建議針對相關新技術制定倫理準則,對新技術應用進行引導和規范。行業主管部門應采取與行業主體、學術團體、社會公眾等多利益相關方合作的方式,制定相關倫理準則,并支持行業自律,包括建立倫理審查、成立自律組織、制定行業標準等。”
周鴻祎委員:統一安全大數據 共建“國家網絡安全大腦”
“我今年的提案會關注網絡安全。當前中國面臨的網絡攻擊威脅,只有通過統一大數據來感知網絡中未知的攻擊才能解決。”
全國政協委員、360集團董事長周鴻祎在3月3日開幕的十三屆全國政協二次會議上透露了他本次會議的提案方向。
作為國內最大的網絡安全企業掌舵人,周鴻祎一直在關注“大安全”時代的安全問題。
周鴻祎表示,人工智能、物聯網、5G通信技術的迅速應用與普及,讓我們的經濟、社會、生產、生活越來越多地運行在網絡上,全球進入萬物互聯時代。周鴻祎認為,從網絡安全角度來看,“萬物均要互聯,一切皆可編程”,這意味著物理世界和虛擬世界已經打通,線上線下的邊界正在消失,網絡空間的攻擊將會穿透虛擬空間,直接映射到物理世界的安全。加之物聯網的發展,聯網的智能設備增長可多達百億計,每個智能設備都可能成為攻擊的切入點。
但目前的網絡安全觀念和防御體系并不能應對未來的安全問題。
周鴻祎曾坦言:“我們做了十來年的網絡安全,感覺我們的網絡安全防御有一個很大的問題,就是各個單位基本上是各自為戰,各守自己的‘一畝三分地’、‘自掃門前雪’,大家都只掌握自己的局部信息,也只關心局部的安全問題。”但是隨著網絡攻擊越來越復雜、越來越隱蔽,如果僅僅從一個單位內部來看網絡攻擊,就像“盲人摸象”,很難準確識別,更難有效防御。
面對萬物互聯時代復雜多變的網絡環境,網絡安全大數據的高度整合、整體防御尤為關鍵。大安全時代的網絡安全,沒有一個企業或者政府可以獨自應對。
對此,周鴻祎3日在接受媒體采訪時表示, 希望國家能夠把運營商、國家的科研單位、以及國企和民間的網絡安全研究單位聯合起來,共建網絡安全大腦,實現網絡安全大腦聯防聯動,形成網絡安全的整體合力。“這是今年我很重要的一個提案”, 周鴻祎說。
網絡安全大腦將在三個層面解決未來的網絡安全問題,“國家安全大腦”解決國家間的網絡戰和網絡犯罪問題,“城市安全大腦”解決城市運行安全問題,“家庭安全大腦”將致力于解決每個家庭的安全問題。
面對網絡安全的“超競爭”態勢,周鴻祎對未來安全的解決藍圖中,他希望在政府、企業、運營商等的廣泛參與下,多方協同努力,將“安全大腦”打造成國之重器。
談劍鋒委員:大數據存在巨大安全風險 應加強防控
今年全國兩會期間,全國政協委員、上海眾人網絡安全技術有限公司董事長談劍鋒擬提交一份題為《關于加強大數據風險防控,以信息安全保障國家安全的建議》的提案,建議加強對大數據應用及風險防控的立法與監管,并嚴控特定關鍵領域信息的互聯網應用。
談劍鋒指出,在產業數字化轉型、數據驅動的互聯網時代,大數據、人工智能、云計算等新技術深度發展,5G物聯網通信模塊、智能軟硬件等應用廣泛拓展,各項技術應用背后的數據安全風險日益凸顯。
“互聯網的本質是數據,大數據安全是網絡空間安全的核心,更是互聯網健康發展的基礎。”在談劍鋒看來,目前,大數據存在巨大的安全風險,主要體現在三個方面:個人數據過度采集,造成重大社會安全風險;數據處理缺乏防護,存在嚴重技術安全隱患;隱私信息易于獲取,導致地下網絡犯罪高發。
那么,應該如何加強大數據風險防控?談劍鋒在提案中提出了三個方面的具體建議: 第一,加強對大數據應用及風險防控的立法與監管。
建議制定數據安全保護法律法規,確立企業在采集個人隱私數據時須遵守的安全技術和流程標準,嚴格防范數據安全風險。
第二,嚴控特定關鍵領域信息的互聯網應用。
目前,大數據在特定領域的應用是存在嚴重風險的,如將人臉識別、生物特征識別等應用在互聯網身份認證就非常不安全。建議從政府層面制定數據保護清單,嚴控生物、醫藥等關鍵領域內的數據在互聯網上的應用,切斷風險源頭;對互聯網企業的信息采集進行嚴格的管理規定,只可針對企業產品的特性進行必要的數據采集,不得額外過度地采集用戶數據。
第三,加速信息安全技術在大數據領域的應用。
建議通過信息安全技術,加固大數據防護的壁壘,要把網絡信息安全技術與智能算法緊密結合,為大數據在人工智能、物聯網、云計算等領域的應用保駕護航。具體包括:在信息加密技術層面加強重視和投入;徹底改變核心技術受制于人的現狀,密碼技術必須實現全面國產化替代;將安全可控的大數據技術與社會治理系統融合等。
蘇寧控股董事長張近東:加強數據安全 發展高質量數字經濟
全國人大代表、蘇寧控股集團董事長張近東在2019年全國兩會上,以“加強數據安全,發展高質量數字經濟”為主題提出建議,他認為數據安全是數字中國建設的重中之重,發展高質量的數字經濟,需要加強對數據的安全保護和合規共享。張近東還建議,鼓勵基于數據開發的大眾創業,引導開放數據應用為社會民生服務。
臺籍全國人大代表曾力群:建議國家立法保障大數據安全
3月9日,在第十三屆全國人民代表大會第二次會議臺灣省代表團全體會議上,臺灣省代表團代表曾力群表示,建議國家立法保障大數據安全。在曾力群看來,大數據產業在快速發展,且運用的范圍越來越廣,覆蓋到了政用、商用、民用甚至軍用等等領域。隨著數據共享的開放,數據的安全面臨著嚴峻挑戰,需要立法來保障大數據的安全。
全國人大代表馮丹:重視大數據安全儲存與應用
“信息化時代,人工智能、物聯網等技術快速改變互聯網形態,生產性數據、政府數據等越來越豐富,要重視大數據的長期安全儲存與應用。”全國人大代表馮丹接受記者采訪時表示,將在兩會上就此提出建議。
馮丹是華中科技大學計算機學院院長。“有時候,一些朋友拿著損壞的硬盤,找我幫忙修復,而存儲時間不過幾年而已。幾十年后,越堆越多的海量信息,我們都能讀得出來嗎?珍貴的數據信息丟失了怎么辦?”她認為,數據是非常寶貴的資源,要及早研究大數據的歸檔、保護與存儲這一問題,從制度上確保大數據的長期、安全、可靠儲存。“同時,對于大數據的挖掘與應用,在信息安全前提下依法推動開放共享。”馮丹舉個例子,很多手機APP軟件,需要用戶電話、位置等各種信息,才允許應用,這實際上是霸王條款。服務提供方的強勢,導致個人信息安全存在重大隱患。如何規范數據的采集、使用、交易,使數據提供方和數據使用者都能用得放心,這就需要進一步加快完善法律法規,及時補位。
廣西壯族自治區高級法院副院長戴紅兵委員:應盡快啟動大數據立法
戴紅兵說,目前,我國在大數據發展和應用方面已具備一定基礎,但也存在一些問題:一是國家數據安全防線尚未筑牢。全球網絡安全形勢復雜而嚴峻,必須著力降低和嚴密防范國家關鍵數據領域的風險。二是數據的整合與共享推進遇到瓶頸。在政府、企業和社會數據的綜合挖掘和應用中,對數據的歸屬權、管理權和使用權還缺乏清晰界定,數據管理和交易規則仍不完備,對數據流轉過程中各方的責任和義務沒有明確界定,僅通過行政命令推動作用有限;同時,數據標準缺失及不統一也影響數據產業的健康發展,增加數據采集、加工、分析等諸多環節的成本。三是公民隱私缺乏有效保護。非法商家或組織非法搜集、利用、傳播、販賣個人大數據,實施網絡詐騙與盜竊,侵犯個人隱私、商譽等,危及人身與財產安全。
戴紅兵認為,解決上述等問題的關鍵是依靠法治,大數據立法將為我國數據主權、數據安全、數據創新發展、數據監管、數據共享等方面提供有力保障。“近兩年來,各地不斷探索大數據立法,立法已具備相當的基礎,制定《大數據法》的時機和條件已成熟,建議全國人大常委會將《大數據法》納入立法規劃,及時出臺。”
在具體立法內容上,戴紅兵建議——
一、建立完善的多層次大數據法律體系。大數據法應是調整大數據生成過程中采集、分析、傳播、存儲、交易、使用、共享與監管過程中發生的社會關系的法律規范總稱,具體包括數據采集關系、分析關系、傳播關系、存儲關系、交易關系、使用關系、共享關系與監管關系。在立法形式上,除法律、行政法規、地方性法規外,還應有部門規章、地方政府規章,以及鼓勵行業組織制定和發布《大數據挖掘公約》《大數據職業操守公約》等行業自律條例。在配套法律上,加快制定完善《政府信息公開法》《保守國家秘密法》《個人隱私法》等法律法規及其實施細則,針對大數據盡快修改完善《反壟斷法》等法律,并在民法典各分編的編纂中對《物權法》《侵權責任法》及“人格權編”等進行修改。
二、在立法原則上,圍繞三個安全推動立法。安全是大數據發展的重要原則,要保障國家安全、經濟主體的安全和自然人安全。
三、在立法重點上,應著重六個方面著手:一是明確數據采集、分析、存儲等規則,確保數據安全;二是明確公共數據共享規則,包括信息資源開放共享的內容、程序、標準等;三是明確數據交易規則,明確數據交易及數據交易市場的概念,制定數據交易及交易結算的規則,明確數據主體、數據使用者、數據交易平臺等大數據生態中不同主體的權利義務;四是明確權利保護規則,在權利保護對象上,應保護數據主權、數據財產權、隱私權、信息權、知識產權等,應明確侵權的民事、刑事和行政責任;五是建立健全標準規范體系,以適應大數據管理應用標準化需求為導向,建立完善大數據各生產環節的標準規范體系,包括采集、加工、分析、交換、存儲、分類、應用等;六是明確監管規則,明確監管目標、監管方式、監管方法、監管主體、監管客體和監管責任。
連玉明委員:加大對信息和數據安全的監管力度
“大數據給人們的生活帶來前所未有的變化,同時也帶來前所未有的煩惱。”全國政協委員、北京國際城市發展研究院院長連玉明表示,這種“煩惱”主要體現在三個方面:每個人的信息都可能隨時隨地被泄露、被竊取、被濫用;個人信息被侵權、被侵犯、被侵害卻得不到有效的保護;個人的某一信息被泄露或被竊取,往往會演變成一個關聯度極高的信息鏈,甚至形成非法產業鏈。
對于大數據時代讓人焦慮的“ 三大煩惱 ”,連玉明站在制度體系建設的角度,做出“ 三個判斷 ”:立法嚴重滯后,盡管我國已經頒布實施《網絡安全法》,《個人信息保護法》和《數據安全法》也被列入十三屆全國人大常委會立法規劃,但與7.88億使用手機上網的網民數量相比,與5.69億網絡購物和網絡支付用戶相比,立法進程顯得太過緩慢;司法保護薄弱,對黑客攻擊破壞和利用網絡侵犯公民個人信息犯罪,特別是對竊取、泄露、買賣公民個人信息和相關灰色產業鏈涉及的犯罪,打擊力度還十分有限;監管力度不夠,我國目前還沒有專門的個人信息監管機構,與一些發達國家或地區形成巨大反差。
基于上述“三大煩惱”和“三個判斷”,連玉明發出三個強烈呼吁:
加快《個人信息保護法》和《數據安全法》的立法進程。從十三屆全國人大常委會立法規劃看,《個人信息保護法》和《數據安全法》分別列為第61位和62位,這與個人信息保護和數據安全的緊迫性不相適應,建議提早起草審議,并盡快頒布實施。
加強檢察機關在個人信息保護方面的公益訴訟,特別是對侵害眾多公民個人信息權的行為,以及相關行政機關違法行使職權或者不作為致使眾多公民個人信息被侵害的,應當提起公益訴訟。
加大政府對侵害個人信息和數據安全的監管力度,以更加適應大數據時代的體制機制和方式方法,保障每一個人都可以獨立自主而又真實地生活,并更好地發揮個人信息在促進個人全面發展和推動社會進步中的獨特作用。
全國人大代表鄭杰建議:制定數據安全法 應確立數據主權
4日,十三屆全國人大二次會議舉行新聞發布會提出,已將數據安全法列入本屆五年立法計劃。這一消息引起代表熱議。全國人大代表,浙江移動董事長、總經理鄭杰認為,數據安全關系并影響網絡安全、國家安全、公民個人隱私權益和社會安全穩定,應加快制定數據安全法。
鄭杰說,目前世界范圍內網絡攻擊、勒索軟件、數據泄露等網絡安全事件頻發。同時,被泄露的公民個人信息經過加工、轉賣,可能會被用于網絡詐騙、敲詐勒索等違法犯罪,如徐玉玉被電信詐騙案就是典型案例。不少國家已通過制定法律、完善標準,對數據安全作出規定,如俄羅斯、澳大利亞、韓國等都禁止本國特定數據出境,美國、歐盟等國家與組織都積極謀求跨境的數據管轄權。
在我國,數據安全已納入國家戰略保護領域。但鄭杰對現有與數據安全相關的法律法規政策進行研究后發現,我國數據安全的相關規定不夠全面,缺乏體系化,如“數據主權”的地位尚未確立。數據主權是指在大數據、云計算背景下,一國對本國的數據及本國國民跨境數據擁有所有權、控制權、管轄權和使用權,是國家數據主權和個人數據權利的總和。盡管我國網絡安全法已明確提出網絡空間主權,但網絡空間主權是指國家獨立自主地發展、監督、管理本國互聯網事務,防止本國互聯網受到外部入侵和攻擊的權利,并不等同于數據主權,應將數據主權提高到與網絡空間主權同等的高度。同時,我國對數據出境安全評估的主體和重要數據的界定也不清晰;我國與數據安全相關的政策文件法律效力低,要求分散,難以系統性解決數據安全的保障問題。
有鑒于此, 鄭杰建議,盡快制定數據安全法 。要確立數據主權,明確數據安全法的管轄范圍。明確境內運營中收集和產生的個人信息和重要數據應當在境內存儲;確需向境外提供的,應當按照國家有關規定進行安全評估;要將相關國家、企業、組織、公民利益的數據活動納入數據安全法管轄范圍。
明確“重要數據”的概念,完善重要數據保護規定。重要數據的概念應為涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等信息的數據,對重要數據實施特別保護,對其存儲、加密以及擁有者應進行安全評估等。
完善數據出境安全評估機制,將機制的適用范圍從網絡安全法規定的關鍵信息基礎設施運營者拓展至網絡運營者,明確重要數據的出境評估要求和評估責任主體。
同時,對安全責任單位采取安全措施的原則、落實數據安全保護責任、采取防范危害數據安全行為技術措施等作出相應規范,建立數據安全投訴舉報制度。明晰數據安全監督管理的部門職責,明確數據安全監測預警與應急處置的規定,及時進行數據安全形勢研判和風險評估,發布安全風險預警,實現對數據安全風險的全天候實時、動態監測。
鄭杰還建議,制立數據安全法應明確數據安全法律責任,對相關責任單位不履行數據安全保護義務,有關部門工作人員玩忽職守、濫用職權、徇私舞弊等行為追究其法律責任。
