全国政协委员、上海市信息安全行业协会会长谈剑锋:让数据采得合理、用得放心、管得到位

2021-03-11 07:47:41 来源:上海证券报 作者:宋薇萍 梁敏

  “数据被誉为新的石油,是本世纪最为珍贵的财产。建设数字中国,筑牢数字经济发展根基,必须补好安全课。”全国两会期间,全国政协委员、上海市信息安全行业协会会长谈剑锋提交的6个提案都与数字中国建设有关。会议间隙,他接受了上海证券报记者的独家专访。

  将数据安全的地基打牢

  上海证券报:“十四五”规划和2035年远景目标纲要草案将建设数字中国作为独立篇章,您觉得意义在哪里?当前该如何夯实数字化发展的基础?

  谈剑锋:数字化转型和数字经济发展将是未来衡量一个城市乃至一个国家竞争力的重要指标之一。规划纲要草案将建设数字中国作为独立篇章,说明国家对数字化发展极其重视,这代表了国家的一个发展方向。目前,中国的各行各业各个层面都在进行数字化转型。

  我认为,数字化转型中最核心的是数据。数据是有价值的,但数据只有在流通情况下才能实现其真正的价值。而数据流通过程中最大的壁垒就是数据安全风险。建议将数据安全的地基打牢,只有这样,才能夯实数字化转型发展基础。

  在这方面,我建议国家尽快出台相关法律法规、技术标准和规范,提高监管能力,实现数字共建共享。同时建议相关层面加大数据执法力度,建立数据管理使用的合规审评制度,形成有效机制,让数据采得合理、用得放心、管得到位。只有在健康安全有序的前提下,数字才能赋能整个实体经济,助力中国经济实现高质量发展。

  慎重考虑数据的分类分级和管控

  上海证券报:您一直强调数据安全,结合目前的发展状况,请问有什么针对性建议和举措?

  谈剑锋:的确,数据安全已成为事关国家安全与发展利益的重大现实问题。海量数据中,有些关键数据,如个人生物特征数据(人脸、指纹、DNA等),具有唯一性和不可再生性特征,一旦被窃取,无法追回并变更,将对个人隐私保护带来极大的、不可逆的风险。大量的国民个人医疗档案、健康档案汇聚后,可以用于分析该国的劳动力状况和经济、相关产业发展趋势,一旦被获取,对国家安全和产业经济发展可能带来不可预估的危害。

  我认为,在大力推进数字化经济发展,鼓励大数据应用和创新的过程中,必须慎重考虑数据的分类分级和管控,尤其是针对带有个人生物特征、有关公民群体特征的医疗健康数据等唯一性、不可再生性的关键数据,必须有效管控,以预防社会风险,确保国家安全。

  建议加快相关法规制度建设,严格规范和落实关键数据的采集、存储和使用。加强数据治理和数据监管,要严控大数据的使用场景。建议设立国家“数据银行”,由国家成立专门机构统一管控,负责关键数据的采集、传输、存储和确权等。可以使用创新技术,如区块链技术、联邦计算技术等,使企业能从“银行”提取脱敏后的分级分类数据进行分析应用,但不拥有对关键数据的所有权。运用密码技术严格保护数据的存储和传输,并确保数据可追溯,做好数据销毁管控机制。

  加强智能汽车数据安全管理

  上海证券报:作为数据的一个重要应用场景,智能汽车正在快速崛起。请问您对该领域的数据发展有何建议?

  谈剑锋:智能汽车“人—车—路—云”的复杂链接形态,具有智能化、网络化、平台化特征,其依靠大量车载传感器和交互应用,能获取并处理大量的个人身份数据、地理环境数据、道路交通实时数据以及个人生活、娱乐、商务交互数据,智能汽车和平台已不仅仅是用以代步的交通工具,将可能成为类似于手机的移动智能交互终端和智能生活平台。

  从智能汽车目前发展情况来看,以下问题亟待重视和优先解决:

  第一,软件定义汽车成为产业发展趋势,软件代码安全检测和监管,软件供应链管理需事先规范。

  第二,智能汽车尤其是高等级智能自动驾驶汽车具有强大的数据采集能力,亟须加快落实相关数据采集、存储、处理、应用法律法规和标准。据统计,当前有一些品牌电动车可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息。这些信息一方面用于自动驾驶分析决策,另一方面成为了智能汽车厂商进行商业创新和扩展的资源。如此多的信息,尤其是关键人群的个人信息、个人行为信息,车路协同获取的实时环境信息、敏感地理位置等,一旦被滥用或恶意使用,将对社会安全乃至国家安全带来巨大风险。

  所以,我建议,尽快完善和落实智能汽车软件供应链安全管理法律法规和标准,确保产业安全、健康稳定发展;建议依照相关法律法规要求,加快智能汽车数据安全管理制度细则的落地执行。

  网络安全是数字时代的根基

  上海证券报:业内认为,护航数字经济发展,需要坚实的网络安全保障。对此,您怎么看?

  谈剑锋:这一点非常正确。网络安全可以说是数字时代的根基,没有网络安全,数字技术的作用会大打折扣。

  我建议国家制定网络安全预算投入在信息化建设投入中不能低于5%的强制性标准。尤其是对关键信息基础设施和重大信息化项目如数据中心、5G、车联网等,将网络安全投入占比要提高至10%以上。保证安全与信息化同步规划、建设和运营。

  同时,将网络安全产业定义为战略性新兴产业,落实包含资源配置导向的网络安全产业的结构政策,支持和吸引更多有志于网络安全的企业和创业者进入该领域;要培养龙头骨干企业,加快布局一批面向“新基建”重点领域和“高精尖”技术方向的网络安全创新应用先进示范区,积极培育网络安全人才。