从国家安全、商业机密到个人信息,数据安全问题无处不在。近日,某婚恋网站2.2亿会员隐私“裸奔”,网站后台可随意查看包括会员浏览的异性照片记录、聊天记录等在内的用户信息,让数据安全再次成为公众关注的焦点。
为推动相关产业快速健康发展,我国已出台多项举措保护信息数据安全。9月1日,《中华人民共和国数据安全法》施行;11月1日,《中华人民共和国个人信息保护法》正式实施;11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,以规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
专家认为,密集出台多项保护举措,标志着我国信息数据安全保护进入新阶段,需要在法律法规框架下,让行业标准、管理机制和技术措施匹配起来,多管齐下才能保障相关产业健康快速发展。
近年来,全球数据安全问题花样百出、愈演愈烈。进入2021年,微软、安卓、大众、奥迪、Twitter、Instagram、LinkedIn和Robinhood(美国股票交易和行情App)都遭遇过数据安全事故。
随着数据规模呈几何级数高速成长,我国已成为超级数据大国。《中国互联网发展报告2021》显示,2020年中国数字经济规模达39.2万亿元,占GDP比重为38.6%,增速为9.7%;中国数字产品化规模为7.5万亿元。
大规模的存量与增量数据,也伴随着数据安全风险增加。中国国家互联网应急中心发布的数据显示,今年上半年,我国境内感染计算机恶意程序的主机数量约446万台,同比增长46.8%;我国境内遭篡改的网站有近3.4万个,其中被篡改的政府网站有177个。在众多域名中,“.com”“.net”和“.org”更容易被篡改。
11月16日,在工业和信息化部(以下简称工信部)举办的《“十四五”信息通信行业发展规划》发布会上,工信部网络安全管理局副局长杜广达表示,数据已成为新型生产要素,加强数据治理、保护数据安全事关国家安全和人民权益。
工信部一方面加强政策标准建设,研究制定40余项行业急需重点标准,另一方面狠抓合规管理,督促电信和重点互联网企业深入开展数据安全合规评估,指导中国互联网协会成立数据治理工作委员会,加强行业自律。
当前,数据安全不仅受到学术界重视,也引起工业界及企业、个人的高度关注。大数据行业专家、北京融信数联科技有限公司CEO于笑博认为,一系列数据安全法律法规“重拳”出击,为行业提供了更加细致可操作的法律依据和行为规则,标志着我国个人信息数据安全保护迈入了新阶段。
在国家层面立法保护数据安全后,如何在保证企业正常生产经营的基础上确保数据安全,是个值得思考的问题。“在信息分级的基础上谈安全才有意义。”北京并行科技超算云服务团队负责人宋志方对《中国科学报》说,“信息安全的分级,应该以信息或数据的不同而划分,在云计算、车联网、大数据、人工智能等各领域,信息安全等级不尽相同,所以分级分类也让数据保护有了更细致的操作依据。”
中国社会科学院财经战略研究院研究员李勇坚认为,《网络数据安全管理条例(征求意见稿)》对数据安全保护的整体操作性层面进行了规定,从而使相关法律在具体执行方面更具有可操作性。其中,数据分级分类保护制度、对数据“出海”的规定、对平台规则与隐私政策的修订,将使行业、平台在规则制定方面更加规范。
有学者认为,数据安全问题是当前行业标准、技术手段不适应数据产业发展需求的结果,所以需要建立一些标准和防控机制。
另一方面,可利用技术手段保障好数据安全。比如,利用同态加密技术,将数据加密后存于服务器端,相关企业可以利用这些数据去做相应的分析处理,然后将处理结果反馈给用户。如果将同态加密技术应用于报税系统,第三方机构可以拿到数据、使用数据,但只能用来计算报税额度。也就是说,其他相关数据,甚至具体的报税额度是多少,第三方机构的员工无法看到。
在第五代移动通信技术(5G)网络安全领域,国际标准组织3GPP曾引入公钥密码技术来加密移动用户标识符,以防范攻击者窃听无线信道。后来人们发现,公钥密码技术在隐私保护方面仍然存在安全缺陷。日前,中国科学院软件研究所研究员张振峰团队以标准兼容方式,解决了当前5G认证密钥协商协议(5G-AKA)隐私安全问题,为移动通信用户安全接入提供了新一代核心技术。
“我国正处于数字经济高速发展的过程中,但目前数据治理水平滞后于数字产业发展。”于笑博说,以前的行业标准大多依赖以前的技术。随着新技术的出现,亟须新的行业标准与之“匹配”。宋志方认为,信息安全标准有可能随技术发展而变化,在保障数据安全过程中,技术不但能在密码攻防等方面起着重要作用,还会和行业标准有相互促进的“互动”过程。
遏制数据使用乱象,保护个人隐私,同时又不排斥新技术带来的高效和便利,这需要我们在具体应用中进一步检验、完善和补充。“在行业应用上,一是存在技术方面的问题,二是存在合规的问题。
”中国信息通信研究院(以下简称中国信通院)云计算与大数据研究所人工智能部副主任石霖告诉《中国科学报》,“比如在人脸识别方面,首先我们要制定这个行业的标准和规范,人脸识别要达到什么样的安全防御能力,然后是企业在合规的情况下,如何采集和使用人脸信息。”
石霖介绍说,今年4月启动的“护脸计划”由中国信通院倡议发起,旨在在人脸识别技术大规模应用的时代背景下,通过标准制定、测试评估、行业自律等手段,应对层出不穷的隐私泄露、技术滥用、偏见歧视等问题,从而促进人工智能产业健康发展。“数据安全问题,应该从使用和保护相结合的角度去探索解决方案。”石霖说,“如果不允许使用,那就谈不上保护,我们需要找到这种技术落地应用和有效监管治理的平衡点。”
目前,“护脸计划”首批成员单位已有65家。成员单位已开始制定行业的标准和规范,通过技术方式进行相关的测试,引导企业提升自身安全和合规能力,并在法律的指引下,起草企业处理人脸信息的合规操作指南。“在不同业务点上,保护数据安全有很多具体的细节。比如,有财产安全、隐私保护方面的要求,有使用中简单、便捷的要求。”石霖说,“这就需要更多的研究机构、产业界、法律界人士参与进来,共同推动相关产业健康发展。”