從國家安全、商業機密到個人信息,數據安全問題無處不在。
為推動相關產業快速 健康 發展,我國已出臺多項舉措保護信息數據安全。9月1日,《中華人民***和國數據安全法》施行;11月1日,《中華人民***和國個人信息保護法》正式實施;11月14日,國家互聯網信息辦公室發布《網絡數據安全管理條例(征求意見稿)》,以規範網絡數據處理活動,保障數據安全,保護個人、組織在網絡空間的合法權益,維護國家安全和公***利益。
專家認為,密集出臺多項保護舉措,標誌著我國信息數據安全保護進入新階段,需要在法律法規框架下,讓行業標準、管理機制和技術措施匹配起來,多管齊下才能保障相關產業 健康 快速發展。
近年來,全球數據安全問題花樣百出、愈演愈烈。進入2021年,微軟、安卓、大眾、奧迪、Twitter、Instagram、LinkedIn和Robinhood(美國股票交易和行情App)都遭遇過數據安全事故。
隨著數據規模呈幾何級數高速成長,我國已成為超級數據大國。《中國互聯網發展報告2021》顯示,2020年中國數字經濟規模達39.2萬億元,占GDP比重為38.6%,增速為9.7%;中國數字產品化規模為7.5萬億元。
大規模的存量與增量數據,也伴隨著數據安全風險增加。中國國家互聯網應急中心發布的數據顯示,今年上半年,我國境內感染計算機惡意程序的主機數量約 446 萬臺,同比增長 46.8%;我國境內遭篡改的網站有近 3.4 萬個,其中被篡改的政府網站有 177 個。在眾多域名中,“.com”“.net”和“.org”更容易被篡改。
11月16日,在工業和信息化部(以下簡稱工信部)舉辦的《“十四五”信息通信行業發展規劃》發布會上,工信部網絡安全管理局副局長杜廣達表示,數據已成為新型生產要素,加強數據治理、保護數據安全事關國家安全和人民權益。工信部壹方面加強政策標準建設,研究制定40余項行業急需重點標準,另壹方面狠抓合規管理,督促電信和重點互聯網企業深入開展數據安全合規評估,指導中國互聯網協會成立數據治理工作委員會,加強行業自律。
在國家層面立法保護數據安全後,如何在保證企業正常生產經營的基礎上確保數據安全,是個值得思考的問題。
“在信息分級的基礎上談安全才有意義。”北京並行 科技 超算雲服務團隊負責人宋誌方對《中國科學報》說,“信息安全的分級,應該以信息或數據的不同而劃分,在雲計算、車聯網、大數據、人工智能等各領域,信息安全等級不盡相同,所以分級分類也讓數據保護有了更細致的操作依據。”
中國 社會 科學院 財經 戰略研究院研究員李勇堅認為,《網絡數據安全管理條例(征求意見稿)》對數據安全保護的整體操作性層面進行了規定,從而使相關法律在具體執行方面更具有可操作性。其中,數據分級分類保護制度、對數據“出海”的規定、對平臺規則與隱私政策的修訂,將使行業、平臺在規則制定方面更加規範。
有學者認為,數據安全問題是當前行業標準、技術手段不適應數據產業發展需求的結果,所以需要建立壹些標準和防控機制。另壹方面,可利用技術手段保障好數據安全。
比如,利用同態加密技術,將數據加密後存於服務器端,相關企業可以利用這些數據去做相應的分析處理,然後將處理結果反饋給用戶。如果將同態加密技術應用於報稅系統,第三方機構可以拿到數據、使用數據,但只能用來計算報稅額度。也就是說,其他相關數據,甚至具體的報稅額度是多少,第三方機構的員工無法看到。
在第五代移動通信技術(5G)網絡安全領域,國際標準組織3GPP曾引入公鑰密碼技術來加密移動用戶標識符,以防範攻擊者竊聽無線信道。後來人們發現,公鑰密碼技術在隱私保護方面仍然存在安全缺陷。日前,中國科學院軟件研究所研究員張振峰團隊以標準兼容方式,解決了當前5G認證密鑰協商協議(5G-AKA)隱私安全問題,為移動通信用戶安全接入提供了新壹代核心技術。
“我國正處於數字經濟高速發展的過程中,但目前數據治理水平滯後於數字產業發展。”於笑博說,以前的行業標準大多依賴以前的技術。隨著新技術的出現,亟須新的行業標準與之“匹配”。
宋誌方認為,信息安全標準有可能隨技術發展而變化,在保障數據安全過程中,技術不但能在密碼攻防等方面起著重要作用,還會和行業標準有相互促進的“互動”過程。
遏制數據使用亂象,保護個人隱私,同時又不排斥新技術帶來的高效和便利,這需要我們在具體應用中進壹步檢驗、完善和補充。
“在行業應用上,壹是存在技術方面的問題,二是存在合規的問題。”中國信息通信研究院(以下簡稱中國信通院)雲計算與大數據研究所人工智能部副主任石霖告訴《中國科學報》,“比如在人臉識別方面,首先我們要制定這個行業的標準和規範,人臉識別要達到什麽樣的安全防禦能力,然後是企業在合規的情況下,如何采集和使用人臉信息。”
石霖介紹說,今年4月啟動的“護臉計劃”由中國信通院倡議發起,旨在在人臉識別技術大規模應用的時代背景下,通過標準制定、測試評估、行業自律等手段,應對層出不窮的隱私泄露、技術濫用、偏見歧視等問題,從而促進人工智能產業 健康 發展。
“數據安全問題,應該從使用和保護相結合的角度去 探索 解決方案。”石霖說,“如果不允許使用,那就談不上保護,我們需要找到這種技術落地應用和有效監管治理的平衡點。”
目前,“護臉計劃”首批成員單位已有65家。成員單位已開始制定行業的標準和規範,通過技術方式進行相關的測試,引導企業提升自身安全和合規能力,並在法律的指引下,起草企業處理人臉信息的合規操作指南。
“在不同業務點上,保護數據安全有很多具體的細節。比如,有財產安全、隱私保護方面的要求,有使用中簡單、便捷的要求。”石霖說,“這就需要更多的研究機構、產業界、法律界人士參與進來,***同推動相關產業 健康 發展。”