数据,被称为21世纪的“石油”,随着数字经济的发展和各类数据采集应用的推广,数据的价值正不断受到重视,与此同时,信息泄露的风险也难以避免。今年的全国两会上,数据安全成为代表委员们热议的话题。
数据安全仍存隐患
在昨天举行的全国政协十三届四次会议首场“委员通道”上,全国政协委员、360集团董事长兼CEO周鸿祎用一个生动的例子说明了数据安全的紧迫性:去年曾接到多家医院的紧急求援,这些医院的核心数据被勒索软件攻击之后加密不能使用,导致医院整个流程停摆,甚至有的病人手术都无法正常进行。
“在‘十四五’规划和2035远景目标纲要草案里,‘发展’和‘安全’是两个最重要的关键词,国家也反复强调要统筹发展与安全的关系。”周鸿祎表示,网络安全是数字化战略的底座,有了网络安全的保障,我们的数字化战略才能发展得更好、走得更快、走得更远。
数据安全存在于人们生活的方方面面。全国人大代表、致公党上海市委专职副主委邵志清说,现实生活中,很多原本需要去银行柜台办理的金融业务,如今很多机构和平台在手机上凭短信验证码就能完成服务,但短信验证码的安全性级别相对较低,不法分子通过盗窃手机卡、拦截短信、武力胁迫等手段,就可以获取。“凭借短信验证码,就能登录社保卡账户、公积金账户、银行卡账户和各类第三方支付平台账户,查询身份证信息和银行卡信息,修改账户密码和交易密码,盗刷银行卡并申请网络贷款。”
邵志清建议,在短信验证码基础上叠加更多身份核验手段。如果忘记或不知道支付平台的登录密码时,不能仅凭短信验证码登录,而是应该叠加“人脸识别”或“私密问题验证”等技术,确保登录操作者是卡主本人。
但看似严密的“人脸识别”技术也未必百分之百安全。根据我国网络安全法和个人信息保护法草案,“面部识别特征”是“个人生物识别信息”的一种,属于“个人敏感信息”的范畴,在信息收集、共享、传输和存储等方面应当受到比普通个人信息更加严格的保护。
有代表委员直言,目前我国的问题是,非法收集和使用个人信息的情况屡见不鲜,人脸数据等个人信息买卖黑色产业链屡禁不止,尤其是一些关系国计民生的重要行业和领域,尚未建立起针对重要数据的数据安全管理体系。
法律操作性需进一步完善
既然有法律规定,为何还会存在人脸数据信息泄露等现象?全国政协委员、民进上海市委专职副主委胡卫指出,从现有的法条本身来看,宣示性强,但操作性仍然较弱,并没有给涉及收集处理相关数据的企业造成足够的合规压力,这也导致人脸识别相关企业将关注点放在业务发展上,对网络信息安全的投入却很少。
胡卫建议,参照国际普遍遵守的数据隐私原则,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系,在分类型特殊安全认证体系下,收集诸如面部特征数据的个人可识别信息的任何技术都应努力保护这些数据,使用匿名化或其他方式来减少可用数据量,并建立严格的用户协议以限制未经授权的访问。
不止一位代表委员关注到数据安全的立法问题。全国人大代表、上海华谊集团股份有限公司总裁王霞认为,数字经济的法律法规明显欠缺,数据共享技术规范还没有出现,数据权责边界、使用规范以及信息保护责任还不清晰,公共数据共享平台和跨部门共享使用尚需完善,数字经济的监督检查和安全责任还需要明确,以适应经济社会发展迫切需要。
去年7月,全国人大常委会发布了《中华人民共和国数据安全法(草案)》并征求社会意见。在王霞看来,法律草案总体上回应了社会发展需求,但在部分条款的操作性上可进一步完善。
例如,草案第三条指出:数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。王霞指出,草案对数据安全的定义,仅强调了能力面向,建议增加防范面向与状态面向。在防范面向上,数据安全的主要任务是“防篡改、防泄露、防滥用”;在状态面向上,数据安全的主要任务是使数据处于安全、可控的状态。
防止企业“数据垄断”
数据安全隐患的背后也有企业权责的问题。全国政协委员、上海市信息安全行业协会会长谈剑锋注意到,目前数据垄断现象日益严重,大型平台公司和机构掌握大量数据,形成事实上的数据垄断,在数据合规应用审评制度未明确前,众多大数据分析技术创新公司只能依附数据垄断平台和机构,并为其提供服务,进一步加强了垄断的发展。
“要警惕互联网科技巨头的集中‘巨头式’数据采集与应用,防止‘数据垄断’。”谈剑锋建议,设立国家“数据银行”,由国家成立专门机构统一管控,负责关键数据的采集、传输、存储等。
具体而言,可使用创新技术,如区块链技术、联邦计算技术等,使企业可以从“数据银行”提取脱敏后的分级分类数据进行分析应用,但不拥有对关键数据的所有权。同时,运用密码技术严格保护数据的存储和传输,并确保数据可追溯,做好数据销毁管控机制。
而在全国政协委员、民革上海市委副主委李国华看来,数据高度集中在个别寡头企业,导致公民的个人日常消费、收入、行踪、通话、偏好等各种数据,尤其是金融数据都掌握在个别平台,数据的产权保护亟须关注。李国华指出,为了防止数据带来的法律风险,大多数企业将数据作为私有财产不愿共享,长此以往,数据的开发利用受限,数据要素市场得不到充分的竞争,无法有效地以数字技术革命推动整个社会的数字化转型。
“明晰的数据权利可以有效提升数据价值、规范数据交易市场。”李国华建议明确国家、省市各级数据监督管理机构,制定数据确权政策,指导推动数据确权产业的发展,统筹规划、统一监管并加强指导数据确权工作,推动数据要素市场培育和数据交易等工作。
见习记者 顾杰