全国人大代表、湖南电信总经理廖仁斌认为,大数据发展与应用在创造价值的同时,也面临着复杂严峻的安全挑战。当今,大数据安全问题主要归纳为以下三个方面:
一、公民个人信息和隐私安全问题。
二、行业和企业数据安全问题。
三、国家安全威胁问题。
大数据虽然以一种全新的模式给社会生活增添色彩,给产业发展增加动力,但是由于数据体量大、类型繁杂、价值密度低、分步式快速处理等特点,也给我们带来了前所未有的数据安全威胁和挑战,2013年的美国“棱镜门”事件和2014年国内“携程网”数据泄露事件就是典型的案例,这警示我们必须高度重视大数据安全问题。可见,大数据安全是制约大数据产业发展的主要障碍,若大数据安全不能保障,公民将不愿贡献个人数据,各个行业将会减少大数据平台和应用的部署和共享,一个原本快速增长的大数据产业,将会在数据安全的威胁中失去活力,国家也会失去发展大数据的机会,从而直接影响国家经济与社会发展。
因此,在将大数据产业作为国家战略发展,促进经济繁荣与社会进步的同时,建议站在维护国家安全、社会稳定和公民权益的高度,统一谋划、统一部署、统一推进、统一实施,加强对大数据的安全管理,让数据自由安全流动。对此提出以下建议:
一、构建大数据安全政府监管和行业自律机制。由于大数据安全立法有一定的滞后性,建议首先重点构建政府监管和行业自律机制。一是加强统筹协调和组织保障,建议在中央网络安全和信息化领导小组的统筹领导下,构建国家部委行业监管和行政区域监管的矩阵式监管体系,督促大数据运营单位落实建立安全组织机构,层层落实安全管理责任。二是加强分类分级管理,实施大数据等级保护制度,按照行业领域、数据价值、数据特征等属性进行分类管理,严格实施大数据基础平台建设和数据应用的“事前”审批制度,强化落实数据脱敏、信息定密、风险评估、数据流控、事态预警和应急处置等“事中、事后”监管措施,建立健全大数据保护的考核评估机制,将数据采集、存储、分析、挖掘、使用、传输、开放等全生命周期的关键环节纳入监管范围,对涉及国家利益、国防安全、公共安全、公民人身安全等关键行业领域的大数据,建议在有关部门内部设置专门的管理机构进行集中监管,确保数据在规定的范围进行使用和传播。三是充分发挥行业自律作用,建议政府监管部门主动鼓励和引导各行业组织积极制定大数据安全行规行约,鼓励成立行业或区域性的大数据安全联盟等组织,建立行业内互相监督机制,实现自律约束、自律管理和自律惩戒,做到政府监管和行业自律相互协同、形成合力。
二、建立适应大数据发展的法律法规体系。大数据在虚拟化的网络空间流动,但运用大数据的主体是现实中的产业链参与者,建议国家加快实施统一立法工作,明确各方权利义务,让数据资产归属者的主权受到法律保障。一是加快立法调研工作,建立由政府牵头,企业、法律、科研等方面专业人员组成的大数据法律法规调研组织,在已有的网络与信息安全相关行政法规的基础上,结合大数据产业发展的特征,开展大数据安全管理方面的立法调研工作。二是在调研的基础上制定适应我国大数据发展的法律法规,搭建大数据法律法规保护的基础框架,界定数据采集、处理、存储、分析和传播的范围和方式,明确大数据产业链参与者的相关主体权利、责任和义务,对非法行为制定处罚标准。三是加大对数据滥用、侵犯个人隐私、恶意利用数据危害社会稳定和国家安全等行为的打击和惩戒力度,提升犯罪门槛和违法成本,形成震慑效应,提升大数据生态的法律治理能力。四是积极参与国际大数据安全规则和标准的制定,建构一个尊重主权的大数据网络空间秩序,为我国大数据发展争取良好的国际环境。
三、健全大数据安全技术标准和认证机制。当前,行业领域和行政区域已逐步建立自身的大数据平台,未来几年,大数据基础平台和数据应用的数量将爆炸性增长,迫切需要健全完善大数据安全技术标准和认证机制。一是建议从国家层面尽快制定统一的大数据安全技术标准,综合行业和区域的共性特点,针对信息保密、权限控制、可信性甄别、安全防护、攻击溯源、数据灾备和应急处置等方面形成基本的安全规范。二是各行业领域和行政区域的管理部门根据自身大数据业务应用特征和安全防护需要,在国家统一大数据技术标准上,深入制定行业和区域的技术规范和防护标准,进一步保证本行业和本区域大数据的规范应用。三是实施大数据安全认证机制,建立健全我国大数据安全认证体系,成立专门认证机构对数据平台和数据应用开展安全认证,任何单位、企业和个人要建立大数据平台和运营大数据业务必须要先通过本行业、本区域指定的大数据安全认证组织的评估认证。
四、推动大数据安全产业和人才培养同步蓬勃发展。强大的大数据产业离不开安全产业和人才培养的同步繁荣发展。一是通过加大资金投入、设立国家大数据安全基金等方式推动大数据安全技术研发,将核心软硬件技术研究纳入国产自主化国家工程,集国家力量进行重点攻坚,抓紧推进可信计算和加密算法等安全技术研究,积极开展数据接口、传输、存储、脱敏、溯源和审计等数据应用的安全技术开发,加强与国际安全技术和应用成果的交流和合作,鼓励国内机构参与制定国际大数据安全标准;二是助推大数据安全产品和服务产业创新发展,政府部门搭好平台促进安全企业、数据运营单位、科研机构和高等院校合作开展大数据安全产品研发,通过加大政策和资金的扶持和引导力度,鼓励网络安全企业开展数据访问、数据流控制、数据库安全和数字水印等大数据安全产品研发和创新,支持有条件的地区设立大数据安全创业科技园,推动传统网络安全服务企业向大数据安全服务转型,建设一批大数据应用安全方面的示范项目。对于国产化的大数据安全产品和服务,各级政府部门要实施首购制度,尤其是对实现国产自主化的软硬件设备要进行全面替代推广。三是建议国家实施大数据安全人才战略,将培养引进高层次大数据安全创新创业人才纳入“国家高层次人才特殊支持计划”,采取在高等院校设立大数据安全专业学科、在科研机构设立大数据安全研究部门或实验室、在安全企业和大数据运营企业建立专门人才队伍等方式培养杰出人才、领军人才、青年拔尖人才,积极引进海外高层次人才,吸引海外人才回归报国,通过高层次人才进一步培训和带动一批基础研究型和技能操作型人才,形成人才梯队,为我国大数据安全发展提供强大的人才支撑和保障。
五、加强大数据安全保护的宣传教育。一是通过各种渠道对公众开展个人信息安全和隐私保护教育,推广面向个人的安全技术防护工具,使公民可以自主控制提供的个人信息量,提高公民的风险防范意识、责任自律意识和安全防范技能。二是对大数据平台单位相关人员加强职业道德和法律法规等方面的教育,让“谁运营谁负责、谁使用谁负责、谁主管谁负责”的责任意识深入人心。三是国家设立大数据安全日,对广大民众、单位团体进行普遍性的数据安全保护宣传和教育。四是建立大数据安全申诉渠道和举报机制,鼓励和动员公民个人、新闻媒体、认证服务机构等社会各界监督和曝光数据安全违法行为,形成共享共治、齐抓共管的良好社会氛围