随着数字中国建设的深入实践,数据的价值不断被挖掘和体现。但与此同时,数据安全也成为事关国家主权、安全与发展利益的重大现实问题。应如何加强对关键数据的安全管控?
作为网络信息安全专家,全国政协委员、上海市信息安全行业协会会长谈剑锋曾多次公开呼吁“在网络上不要轻易‘刷脸’”,提示人脸识别的风险。在即将召开的全国两会上,他将就此提交一份提案,建议设立国家“数据银行”,加强对人脸、指纹等唯一性不可再生的关键数据的管控。
提案指出,大数据是新型生产要素和重要的基础性战略资源,蕴藏着巨大价值,经过深入挖掘并加以应用,能够有力推动经济转型发展,重塑国家竞争优势,提升国家治理现代化水平。但与此同时,数据安全已成为事关国家主权、安全与发展利益的重大现实问题。
“在海量的数据中,有些关键数据,如个人生物特征数据,具有唯一性和不可再生性特征,一旦被窃取,无法追回并变更,对个人隐私保护将带来极大的、不可逆的风险。”谈剑锋表示,而大量的国民个人医疗档案、健康档案汇聚后,可以用于分析该国的劳动力状况和经济、相关产业发展趋势,一旦被敌对势力获取,对国家安全和产业经济发展可能带来不可预估的危害。
因此他认为,在大力推进数字化经济发展,鼓励大数据应用和创新的过程中,必须慎重考虑数据的分类分级和管控,尤其是针对带有个人生物特征、有关公民群体特征的医疗健康数据等唯一性、不可再生性的关键数据,必须有效管控,以预防社会风险,确保国家安全。
针对上述问题,谈剑锋委员在这份提案中提出了三项具体建议:
第一,加快相关法规制度建设,严格规范和落实关键数据的采集、存储和使用。
数据应在合法、合规、标准化的前提下共享共建。要在法律框架下明确国家、集体、个人的数据权益,制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。可参照国际相关法律,要求企业在采集个人隐私数据时必须根据相关安全技术规范和流程标准,采取严格的安全防范措施。
同时,建立数据分级分类管理的制度,对具有唯一特征的不可再生性数据的采集、传输、存储、使用必须加以严格控制。要制定负面清单,明确禁止一些生物、医疗等关键领域内的数据在互联网上的应用,切断风险源头。
第二,加强数据治理和数据监管,要严控大数据的使用场景。
科技需要从0到1的创造,而不是滥用场景式的所谓“创新”。要对互联网企业的信息采集进行严格的管理规定,只可针对企业产品的特性进行相关必要的数据采集,不得过度、无序、随意地采集。要警惕互联网科技巨头的集中“巨头式”数据采集与应用,防止“数据垄断”。
第三,建议设立国家“数据银行”,由国家成立专门机构统一管控,负责关键数据的采集、传输、存储和确权等,以最大程度地保障关键数据安全和国家安全。
国家“数据银行”可使用创新技术,如区块链技术、联邦计算技术等,使企业可以从“银行”提取脱敏后的分级分类数据进行分析应用,但不拥有对关键数据的所有权。运用密码技术严格保护数据的存储和传输,并确保数据可追溯,做好数据销毁管控机制。
来源:澎湃新闻