2019年全国“两会”万众瞩目,“大数据”仍是政府工作报告中的热词。目前,数据资源已逐渐成为企业发展和竞争的重要资源,同时,数据安全事件频发,数据的使用边界到底在哪里?是否到了该立法保障的时候了?多位代表委员提出了具体建议。
马化腾呼吁立法规范数据使用
全国人大代表、腾讯董事会主席兼首席执行官马化腾今年向全国两会了提交七份书面建议。马化腾关注到了数据安全问题,他提出,数据规则方面,应进一步完善数据治理的顶层设计,建立数据收集、利用与保护的基本规则秩序,防范并打击数据滥用行为。
马化腾在接受记者采访时提到,当前的一个矛盾点,是数据利用和数据保护之间的矛盾。如果过度保护数据,会导致用户体验的受损,而“过度强调算法、过度强调个性化,有可能会造成个人隐私受到侵犯”。
对此,马化腾认为这个“度”需要国家出台相关标准和规则来进行界定,否则“这个产业就会比较混乱”。例如,过去没有一致的标准来规范服务提供商对用户的账号密码的保存问题,就会产生诸如“撞库”一类的联带问题。
“最近关于App收集用户数据的规范已经出台,包括腾讯在内的很多互联网公司,都在重新审视自己的App是不是过度索取了用户授权。”马化腾说。
他希望舆论、政府和监管部门能对这个问题给予更多的关注。同时,他认为这其中也离不开互联网企业的自律。“国家层面,建议针对相关新技术制定伦理准则,对新技术应用进行引导和规范。行业主管部门应采取与行业主体、学术团体、社会公众等多利益相关方合作的方式,制定相关伦理准则,并支持行业自律,包括建立伦理审查、成立自律组织、制定行业标准等。”
周鸿祎委员:统一安全大数据 共建“国家网络安全大脑”
“我今年的提案会关注网络安全。当前中国面临的网络攻击威胁,只有通过统一大数据来感知网络中未知的攻击才能解决。”
全国政协委员、360集团董事长周鸿祎在3月3日开幕的十三届全国政协二次会议上透露了他本次会议的提案方向。
作为国内最大的网络安全企业掌舵人,周鸿祎一直在关注“大安全”时代的安全问题。
周鸿祎表示,人工智能、物联网、5G通信技术的迅速应用与普及,让我们的经济、社会、生产、生活越来越多地运行在网络上,全球进入万物互联时代。周鸿祎认为,从网络安全角度来看,“万物均要互联,一切皆可编程”,这意味着物理世界和虚拟世界已经打通,线上线下的边界正在消失,网络空间的攻击将会穿透虚拟空间,直接映射到物理世界的安全。加之物联网的发展,联网的智能设备增长可多达百亿计,每个智能设备都可能成为攻击的切入点。
但目前的网络安全观念和防御体系并不能应对未来的安全问题。
周鸿祎曾坦言:“我们做了十来年的网络安全,感觉我们的网络安全防御有一个很大的问题,就是各个单位基本上是各自为战,各守自己的‘一亩三分地’、‘自扫门前雪’,大家都只掌握自己的局部信息,也只关心局部的安全问题。”但是随着网络攻击越来越复杂、越来越隐蔽,如果仅仅从一个单位内部来看网络攻击,就像“盲人摸象”,很难准确识别,更难有效防御。
面对万物互联时代复杂多变的网络环境,网络安全大数据的高度整合、整体防御尤为关键。大安全时代的网络安全,没有一个企业或者政府可以独自应对。
对此,周鸿祎3日在接受媒体采访时表示,希望国家能够把运营商、国家的科研单位、以及国企和民间的网络安全研究单位联合起来,共建网络安全大脑,实现网络安全大脑联防联动,形成网络安全的整体合力。“这是今年我很重要的一个提案”,周鸿祎说。
网络安全大脑将在三个层面解决未来的网络安全问题,“国家安全大脑”解决国家间的网络战和网络犯罪问题,“城市安全大脑”解决城市运行安全问题,“家庭安全大脑”将致力于解决每个家庭的安全问题。
面对网络安全的“超竞争”态势,周鸿祎对未来安全的解决蓝图中,他希望在政府、企业、运营商等的广泛参与下,多方协同努力,将“安全大脑”打造成国之重器。
谈剑锋委员:大数据存在巨大安全风险 应加强防控
今年全国两会期间,全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋拟提交一份题为《关于加强大数据风险防控,以信息安全保障国家安全的建议》的提案,建议加强对大数据应用及风险防控的立法与监管,并严控特定关键领域信息的互联网应用。
谈剑锋指出,在产业数字化转型、数据驱动的互联网时代,大数据、人工智能、云计算等新技术深度发展,5G物联网通信模块、智能软硬件等应用广泛拓展,各项技术应用背后的数据安全风险日益凸显。
“互联网的本质是数据,大数据安全是网络空间安全的核心,更是互联网健康发展的基础。”在谈剑锋看来,目前,大数据存在巨大的安全风险,主要体现在三个方面:个人数据过度采集,造成重大社会安全风险;数据处理缺乏防护,存在严重技术安全隐患;隐私信息易于获取,导致地下网络犯罪高发。
那么,应该如何加强大数据风险防控?谈剑锋在提案中提出了三个方面的具体建议:
第一,加强对大数据应用及风险防控的立法与监管。
建议制定数据安全保护法律法规,确立企业在采集个人隐私数据时须遵守的安全技术和流程标准,严格防范数据安全风险。
第二,严控特定关键领域信息的互联网应用。
目前,大数据在特定领域的应用是存在严重风险的,如将人脸识别、生物特征识别等应用在互联网身份认证就非常不安全。建议从政府层面制定数据保护清单,严控生物、医药等关键领域内的数据在互联网上的应用,切断风险源头;对互联网企业的信息采集进行严格的管理规定,只可针对企业产品的特性进行必要的数据采集,不得额外过度地采集用户数据。
第三,加速信息安全技术在大数据领域的应用。
建议通过信息安全技术,加固大数据防护的壁垒,要把网络信息安全技术与智能算法紧密结合,为大数据在人工智能、物联网、云计算等领域的应用保驾护航。具体包括:在信息加密技术层面加强重视和投入;彻底改变核心技术受制于人的现状,密码技术必须实现全面国产化替代;将安全可控的大数据技术与社会治理系统融合等。
苏宁控股董事长张近东:加强数据安全 发展高质量数字经济
(全国人大代表、苏宁控股集团董事长张近东两会建言发展高质量数字经济。图片来源/凤凰网)
全国人大代表、苏宁控股集团董事长张近东在2019年全国两会上,以“加强数据安全,发展高质量数字经济”为主题提出建议,他认为数据安全是数字中国建设的重中之重,发展高质量的数字经济,需要加强对数据的安全保护和合规共享。张近东还建议,鼓励基于数据开发的大众创业,引导开放数据应用为社会民生服务。
台籍全国人大代表曾力群:建议国家立法保障大数据安全
3月9日,在第十三届全国人民代表大会第二次会议台湾省代表团全体会议上,台湾省代表团代表曾力群表示,建议国家立法保障大数据安全。在曾力群看来,大数据产业在快速发展,且运用的范围越来越广,覆盖到了政用、商用、民用甚至军用等等领域。随着数据共享的开放,数据的安全面临着严峻挑战,需要立法来保障大数据的安全。
全国人大代表冯丹:重视大数据安全储存与应用
“信息化时代,人工智能、物联网等技术快速改变互联网形态,生产性数据、政府数据等越来越丰富,要重视大数据的长期安全储存与应用。”全国人大代表冯丹接受记者采访时表示,将在两会上就此提出建议。
冯丹是华中科技大学计算机学院院长。“有时候,一些朋友拿着损坏的硬盘,找我帮忙修复,而存储时间不过几年而已。几十年后,越堆越多的海量信息,我们都能读得出来吗?珍贵的数据信息丢失了怎么办?”她认为,数据是非常宝贵的资源,要及早研究大数据的归档、保护与存储这一问题,从制度上确保大数据的长期、安全、可靠储存。“同时,对于大数据的挖掘与应用,在信息安全前提下依法推动开放共享。”冯丹举个例子,很多手机APP软件,需要用户电话、位置等各种信息,才允许应用,这实际上是霸王条款。服务提供方的强势,导致个人信息安全存在重大隐患。如何规范数据的采集、使用、交易,使数据提供方和数据使用者都能用得放心,这就需要进一步加快完善法律法规,及时补位。
广西壮族自治区高级法院副院长戴红兵委员:应尽快启动大数据立法
戴红兵说,目前,我国在大数据发展和应用方面已具备一定基础,但也存在一些问题:一是国家数据安全防线尚未筑牢。全球网络安全形势复杂而严峻,必须着力降低和严密防范国家关键数据领域的风险。二是数据的整合与共享推进遇到瓶颈。在政府、企业和社会数据的综合挖掘和应用中,对数据的归属权、管理权和使用权还缺乏清晰界定,数据管理和交易规则仍不完备,对数据流转过程中各方的责任和义务没有明确界定,仅通过行政命令推动作用有限;同时,数据标准缺失及不统一也影响数据产业的健康发展,增加数据采集、加工、分析等诸多环节的成本。三是公民隐私缺乏有效保护。非法商家或组织非法搜集、利用、传播、贩卖个人大数据,实施网络诈骗与盗窃,侵犯个人隐私、商誉等,危及人身与财产安全。
戴红兵认为,解决上述等问题的关键是依靠法治,大数据立法将为我国数据主权、数据安全、数据创新发展、数据监管、数据共享等方面提供有力保障。“近两年来,各地不断探索大数据立法,立法已具备相当的基础,制定《大数据法》的时机和条件已成熟,建议全国人大常委会将《大数据法》纳入立法规划,及时出台。”
在具体立法内容上,戴红兵建议——
一、建立完善的多层次大数据法律体系。大数据法应是调整大数据生成过程中采集、分析、传播、存储、交易、使用、共享与监管过程中发生的社会关系的法律规范总称,具体包括数据采集关系、分析关系、传播关系、存储关系、交易关系、使用关系、共享关系与监管关系。在立法形式上,除法律、行政法规、地方性法规外,还应有部门规章、地方政府规章,以及鼓励行业组织制定和发布《大数据挖掘公约》《大数据职业操守公约》等行业自律条例。在配套法律上,加快制定完善《政府信息公开法》《保守国家秘密法》《个人隐私法》等法律法规及其实施细则,针对大数据尽快修改完善《反垄断法》等法律,并在民法典各分编的编纂中对《物权法》《侵权责任法》及“人格权编”等进行修改。
二、在立法原则上,围绕三个安全推动立法。安全是大数据发展的重要原则,要保障国家安全、经济主体的安全和自然人安全。
三、在立法重点上,应着重六个方面着手:一是明确数据采集、分析、存储等规则,确保数据安全;二是明确公共数据共享规则,包括信息资源开放共享的内容、程序、标准等;三是明确数据交易规则,明确数据交易及数据交易市场的概念,制定数据交易及交易结算的规则,明确数据主体、数据使用者、数据交易平台等大数据生态中不同主体的权利义务;四是明确权利保护规则,在权利保护对象上,应保护数据主权、数据财产权、隐私权、信息权、知识产权等,应明确侵权的民事、刑事和行政责任;五是建立健全标准规范体系,以适应大数据管理应用标准化需求为导向,建立完善大数据各生产环节的标准规范体系,包括采集、加工、分析、交换、存储、分类、应用等;六是明确监管规则,明确监管目标、监管方式、监管方法、监管主体、监管客体和监管责任。
连玉明委员:加大对信息和数据安全的监管力度
“大数据给人们的生活带来前所未有的变化,同时也带来前所未有的烦恼。”全国政协委员、北京国际城市发展研究院院长连玉明表示,这种“烦恼”主要体现在三个方面:每个人的信息都可能随时随地被泄露、被窃取、被滥用;个人信息被侵权、被侵犯、被侵害却得不到有效的保护;个人的某一信息被泄露或被窃取,往往会演变成一个关联度极高的信息链,甚至形成非法产业链。
对于大数据时代让人焦虑的“三大烦恼”,连玉明站在制度体系建设的角度,做出“三个判断”:立法严重滞后,尽管我国已经颁布实施《网络安全法》,《个人信息保护法》和《数据安全法》也被列入十三届全国人大常委会立法规划,但与7.88亿使用手机上网的网民数量相比,与5.69亿网络购物和网络支付用户相比,立法进程显得太过缓慢;司法保护薄弱,对黑客攻击破坏和利用网络侵犯公民个人信息犯罪,特别是对窃取、泄露、买卖公民个人信息和相关灰色产业链涉及的犯罪,打击力度还十分有限;监管力度不够,我国目前还没有专门的个人信息监管机构,与一些发达国家或地区形成巨大反差。
基于上述“三大烦恼”和“三个判断”,连玉明发出三个强烈呼吁:
加快《个人信息保护法》和《数据安全法》的立法进程。从十三届全国人大常委会立法规划看,《个人信息保护法》和《数据安全法》分别列为第61位和62位,这与个人信息保护和数据安全的紧迫性不相适应,建议提早起草审议,并尽快颁布实施。
加强检察机关在个人信息保护方面的公益诉讼,特别是对侵害众多公民个人信息权的行为,以及相关行政机关违法行使职权或者不作为致使众多公民个人信息被侵害的,应当提起公益诉讼。
加大政府对侵害个人信息和数据安全的监管力度,以更加适应大数据时代的体制机制和方式方法,保障每一个人都可以独立自主而又真实地生活,并更好地发挥个人信息在促进个人全面发展和推动社会进步中的独特作用。
全国人大代表郑杰建议:制定数据安全法 应确立数据主权
4日,十三届全国人大二次会议举行新闻发布会提出,已将数据安全法列入本届五年立法计划。这一消息引起代表热议。全国人大代表,浙江移动董事长、总经理郑杰认为,数据安全关系并影响网络安全、国家安全、公民个人隐私权益和社会安全稳定,应加快制定数据安全法。
郑杰说,目前世界范围内网络攻击、勒索软件、数据泄露等网络安全事件频发。同时,被泄露的公民个人信息经过加工、转卖,可能会被用于网络诈骗、敲诈勒索等违法犯罪,如徐玉玉被电信诈骗案就是典型案例。不少国家已通过制定法律、完善标准,对数据安全作出规定,如俄罗斯、澳大利亚、韩国等都禁止本国特定数据出境,美国、欧盟等国家与组织都积极谋求跨境的数据管辖权。
在我国,数据安全已纳入国家战略保护领域。但郑杰对现有与数据安全相关的法律法规政策进行研究后发现,我国数据安全的相关规定不够全面,缺乏体系化,如“数据主权”的地位尚未确立。数据主权是指在大数据、云计算背景下,一国对本国的数据及本国国民跨境数据拥有所有权、控制权、管辖权和使用权,是国家数据主权和个人数据权利的总和。尽管我国网络安全法已明确提出网络空间主权,但网络空间主权是指国家独立自主地发展、监督、管理本国互联网事务,防止本国互联网受到外部入侵和攻击的权利,并不等同于数据主权,应将数据主权提高到与网络空间主权同等的高度。同时,我国对数据出境安全评估的主体和重要数据的界定也不清晰;我国与数据安全相关的政策文件法律效力低,要求分散,难以系统性解决数据安全的保障问题。
有鉴于此,郑杰建议,尽快制定数据安全法。要确立数据主权,明确数据安全法的管辖范围。明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;确需向境外提供的,应当按照国家有关规定进行安全评估;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。
明确“重要数据”的概念,完善重要数据保护规定。重要数据的概念应为涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的数据,对重要数据实施特别保护,对其存储、加密以及拥有者应进行安全评估等。
完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者,明确重要数据的出境评估要求和评估责任主体。
同时,对安全责任单位采取安全措施的原则、落实数据安全保护责任、采取防范危害数据安全行为技术措施等作出相应规范,建立数据安全投诉举报制度。明晰数据安全监督管理的部门职责,明确数据安全监测预警与应急处置的规定,及时进行数据安全形势研判和风险评估,发布安全风险预警,实现对数据安全风险的全天候实时、动态监测。
郑杰还建议,制立数据安全法应明确数据安全法律责任,对相关责任单位不履行数据安全保护义务,有关部门工作人员玩忽职守、滥用职权、徇私舞弊等行为追究其法律责任。