热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

2019“两会时间”,信息安全圈有哪些声音?

来源:FreeBuf.COM 2019.03.07

前言

2019年“两会时间”开启,世界的目光再次聚焦中国。3月5日,十三届全国人大二次会议在北京人民大会堂开幕,听取国务院总理李克强关于政府工作的报告

37fc5e1bc8d242fa8fe2cfebe188d6d1.jpg

报告分为2018年工作回顾2019年经济社会发展总体要求和政策取向以及2019年政府工作任务三部分。在2019年政府工作任务这一部分内容中,李克强总理三提“信息”,涉及到信息技术发展信息基础设施建设个人信息保护,反映出在新的一年里国家保障新兴产业加快发展的目标和信心。

 

政府工作报告,三提“信息”

(三)坚持创新引领发展,培育壮大新动能。

(中间部分内容省略……)

促进新兴产业加快发展。深化大数据、人工智能等研发应用,培育新一代信息技术、高端装备、生物医药、新能源汽车、新材料等新兴产业集群,壮大数字经济。坚持包容审慎监管,支持新业态新模式发展,促进平台经济、共享经济健康成长。加快在各行业各领域推进“互联网+”。

在国家推进“互联网+”建设的浪潮中,我国社会形态逐步走向万物互联,数字化转型多点开花,从能够改变个人生活的智能软硬件、助力制造型业企业转型的工业互联网到新零售、共享产业等新兴业态的实现,都依赖于数字经济的发展。

《中国数字经济发展与就业白皮书(2018年)》认为,我国数字经济发展已步入黄金期,正面临政策红利释放、产业转型和经济转型的三大难得机遇。

所以从顶层设计来看,作为数字经济核心的信息技术需要不断创新,通过价值创造模式和产业生态规则的变化和重构来推动数字经济发展。从“政府报告”可以看出,互联网、大数据、人工智能是实体经济深度融合数字化能力的入口和抓手,信息产业未来可期。

(四)促进形成强大国内市场,持续释放内需潜力。

(中间部分内容省略……)

合理扩大有效投资。紧扣国家发展战略,加快实施一批重点项目。完成铁路投资8000亿元、公路水运投资1.8万亿元,再开工一批重大水利工程,加快川藏铁路规划建设,加大城际交通、物流、市政、灾害防治、民用和通用航空等基础设施投资力度,加强新一代信息基础设施建设

2019年GDP国内生产总值增长目标定位6%-6.5%,与2018年6.5%的目标相较,这样一区间值展现了更多的弹性。不过考虑到2019年“面临的环境更复杂更严峻,可以预料和难以预料的风险挑战更多更大”,该如何交出合格的答卷,笔者认为“新一代信息基础设施建设”是一部分答案。

这一点本身是和上文中提到的“培育新一代信息技术”、“壮大数字经济”相契合的,同时也是2018年年底所提出的“新型基础设施建设”理念的明确落地。在这一领域,多地政府报告提及要加大这一领域的投资,中央财政也有这一领域的预算拨款,可以看到中央财政、地方财政均已有开始发力的迹象,但是总体而言,其比例和金额与传统基建相去甚远。

与传统基建相较,“新基建”领域呈现了更强的市场性,这也意味着相关企业和社会资本很可能将会成为这一投资领域的主力之一,这一领域也有可能形成一个与传统“铁公基”截然不同的基建投融资体制,这就意味着市场的空间和活性将发生根本性的变化,机会肯定会更多。

(十)加快发展社会事业,更好保障和改善民生。

(中间部分内容省略……)

完善立体化社会治安防控体系,深入推进扫黑除恶专项斗争,依法惩治盗抢骗黄赌毒等违法犯罪活动,打击非法集资、传销等经济犯罪,整治侵犯公民个人信息等突出问题,坚决守护好人民群众的平安生活。

整治侵犯公民个人信息等突出问题连续两年成为国家层面力保民生的重点事项,2018年的政府工作报告指出,我国要整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。

保护个人信息的说法,早在2015年的政府工作报告中就已出现。该年政府工作报告指出要推进社会信用体系建设,建立全国统一的社会信用代码制度和信用信息共享交换平台,依法保护企业和个人信息安全。

在产业数字化转型、数据驱动的互联网时代,大数据、人工智能、云计算等新技术深度发展,5G物联网通信模块、智能软硬件等应用广泛拓展,各项技术应用背后的数据安全风险日益凸显,窃取用户隐私、虚假宣传、恶意扣费、身份欺诈现象屡见不鲜,包括支付宝年度账单事件、Wi-Fi万能钥匙“窃取隐私”、酒店用户信息泄露等,都将个人信息安全问题推向舆论焦点。这些事件给我国人民的网络空间安全带来了非常直接且严重的影响,如果不认真、不强力对待,我国信息化和数字经济建设甚至存在开倒车的可能。

过去一年,个人信息保护领域热闹非凡。从欧盟《一般数据保护条例》(GDPR)生效,到多国陆续出台个人信息保护的相关立法,再到用户个人信息泄露事件的频发,政府和公众对个人信息保护的关注度在全球范围内持续升温。对此,关于我国个人信息立法的情况,十三届全国人大二次会议发言人张业遂回答记者提问时表示:

随着网络信息技术和数字经济的快速发展,因个人信息不当收集、滥用、泄露,导致公民权益受到侵害的事件时有发生。通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。

事实上,我国已经有多部法律、法规、规章涉及个人信息保护。比如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等,都作出了相关的规定。但是从总体上看,呈现分散立法状态,所以需要根据形势的发展,制定有针对性的专门法律来加以规范,形成合力。全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。

两会“好声音”

除了李克强总理在做政府工作报告时发出的最“强音”,来自网络&信息安全领域的政协委员和人大代表也纷纷建言献策,对个人信息和网络安全发表看法。

规范互联网信息采集行为,保护个人信息安全

全国政协委员、重庆静昇律师事务所主任彭静在提案中表示,建议规范移动互联网个人数据信息采集行为,保护个人信息安全。

彭静在提案中建议,尽快出台专门的《个人信息数据保护法》对个人数据信息的保护范围加以界定。首先应明确哪些信息属于个人基本信息,哪些信息属于应纳入法律保护的个人敏感信息和特别信息;其次,对儿童、残疾人等特殊人群的个人信息加以特别保护甚至无条件保护;最后,对公众人物的个人信息保护范围适度“限缩”,应容忍媒体及互联网等“挖掘”公众人物的个人信息,但法律底线是不得虚构和凭空编造。

此外,彭静还建议,明确规定通过移动互联网违法采集、获取个人信息的法律责任。首先,刑事责任的力度可以适当加大。其次,应当赋予数据主体追究违法采集和不当获取个人信息的当事人民事责任的便利并给予合理的赔偿,并允许消费者协会、检察院等有权机构对于违法收集个人信息的主体提起公益诉讼,实现消费者、网络使用者“零成本”维权等。同时追究违法主体的行政责任。

大数据时代的网络安全风险,应如何防控?

今年全国两会期间,全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋拟提交一份题为《关于加强大数据风险防控,以信息安全保障国家安全的建议》的提案,建议加强对大数据应用及风险防控的立法与监管,并严控特定关键领域信息的互联网应用。

谈剑锋指出,互联网的本质是数据,大数据安全是网络空间安全的核心,更是互联网健康发展的基础。目前,大数据存在巨大的安全风险,主要体现在三个方面:个人数据过度采集,造成重大社会安全风险;数据处理缺乏防护,存在严重技术安全隐患;隐私信息易于获取,导致地下网络犯罪高发。

谈剑锋在提案中提出了三个方面的具体建议:

第一,加强对大数据应用及风险防控的立法与监管。

建议制定数据安全保护法律法规,确立企业在采集个人隐私数据时须遵守的安全技术和流程标准,严格防范数据安全风险。

第二,严控特定关键领域信息的互联网应用。

目前,大数据在特定领域的应用是存在严重风险的,如将人脸识别、生物特征识别等应用在互联网身份认证就非常不安全。建议从政府层面制定数据保护清单,严控生物、医药等关键领域内的数据在互联网上的应用,切断风险源头;对互联网企业的信息采集进行严格的管理规定,只可针对企业产品的特性进行必要的数据采集,不得额外过度地采集用户数据。

第三,加速信息安全技术在大数据领域的应用。

建议通过信息安全技术,加固大数据防护的壁垒,要把网络信息安全技术与智能算法紧密结合,为大数据在人工智能、物联网、云计算等领域的应用保驾护航。具体包括:在信息加密技术层面加强重视和投入;彻底改变核心技术受制于人的现状,密码技术必须实现全面国产化替代;将安全可控的大数据技术与社会治理系统融合等。

一口气带来三个提案

全国政协委员、360集团董事长兼CEO周鸿祎今年带来了三份提案,涉及国家级网络安全大脑建设、智能汽车网络安全、人工智能安全风险等安全热点话题。

一、统一安全大数据 共建国家级网络安全大脑

1、将国家级网络安全大脑列为国家重大工程专项。建议成立国家网络安全大脑项目总体工作组、专家组、工程推进组,分别负责顶层设计和总体筹划、系统设计、工程建设。

2、运用新型举国体制,加快推进国家级网络安全大脑建设。构建国家级网络安全大脑是一个国家行为,单靠某一家企业或一个单位很难完成,迫切需要发挥新型举国体制优势,由国家相关部门牵头,协调网信、工信、公安、科技等部门和单位,组织国企、民企、科研院所等广泛参与。

二、网络安全应成为智能汽车标配

制定强制性生产标准,把网络安全列为智能汽车标配。一是加装安全联网模块,提高联网防护能力,建立安全接口,加强汽车的控制安全保护,防止控制被劫持。二是强制安全测试。建立测试评价体系,在汽车上市前进行网络安全测评。三是建立厂商安全运营平台,提升安全运营能力,及时发现和阻断黑客攻击。

三、发展人工智能,既要智商也要安全

1、加快国家级网络安全人工智能开放创新平台建设。

2、安全应该成为人工智能发展的基础与前提。但是,人工智能网络安全问题非常复杂,迫切需要建立一个开放创新平台,整合各种资源,协同推进和解决。

3、国家对新一代人工智能开放创新平台的建设高度重视。已分别在自动驾驶、城市大脑、医疗影像、智能语音、智能视觉5大领域批准建设人工智能开放创新平台,但在人工智能网络安全领域还是空白。建议国家支持尽快建设国家级网络安全人工智能开放创新平台,确保人工智能健康有序发展。

大数据时代如何保护个人隐私?

这是全国政协委员连玉明2日在会上表达的关切,连玉明曾多次提出有关加强网络安全和个人隐私保护的提案。今年的全国两会,他再度聚焦个人隐私保护,并呼吁加速立法。

连玉明表示,导致上述隐私问题发生的根本原因在于立法滞后、监管力度不够、司法保护薄弱等。为此,他呼吁加快个人信息保护法以及其他相关法律的立法进程。

连玉明进一步指出,中国内地目前还没有专门的个人信息监管机构,一些发达地区经验值得借鉴。例如,香港设有个人资料私隐专员公署。“不管是政府组织还是个人,所有资料使用者必须遵守香港法例中设定的保障资料核心原则,如果违反其中任何一项,该机构有权发布强制执行通知、有权约谈数据使用者,并有权系统调查数据使用情况。”连玉明说,从这一点看,香港的监管举措值得内地借鉴。

连玉明建议,设立一个由政府主导的第三方监管机构专司保护个人隐私。“让民众发现自己的个人隐私被侵犯时知道找哪个机构解决问题,投诉有门,切实保障民众合法权益。”

针对司法保护薄弱的问题,连玉明认为,应加强检察机关在个人信息保护方面的公益诉讼。特别是对侵害众多公民个人信息权的行为,以及相关行政机关违法行使职权或者不作为致使众多公民个人信息被侵害的,应当提起公益诉讼。

制定数据安全法,应确立数据主权

全国人大代表,浙江移动董事长、总经理郑杰认为,数据安全关系并影响网络安全、国家安全、公民个人隐私权益和社会安全稳定,应加快制定数据安全法。

在我国,数据安全已纳入国家战略保护领域。但郑杰对现有与数据安全相关的法律法规政策进行研究后发现,我国数据安全的相关规定不够全面,缺乏体系化,如“数据主权”的地位尚未确立。有鉴于此,郑杰建议,尽快制定数据安全法。要确立数据主权,明确数据安全法的管辖范围。明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;确需向境外提供的,应当按照国家有关规定进行安全评估;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。

完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者,明确重要数据的出境评估要求和评估责任主体。同时,对安全责任单位采取安全措施的原则、落实数据安全保护责任、采取防范危害数据安全行为技术措施等作出相应规范,建立数据安全投诉举报制度。明晰数据安全监督管理的部门职责,明确数据安全监测预警与应急处置的规定,及时进行数据安全形势研判和风险评估,发布安全风险预警,实现对数据安全风险的全天候实时、动态监测。

郑杰还建议,制立数据安全法应明确数据安全法律责任,对相关责任单位不履行数据安全保护义务,有关部门工作人员玩忽职守、滥用职权、徇私舞弊等行为追究其法律责任。

中国需要建立针对个人信息保护的组织

国际层面,欧盟、美国、日本等国家和地区都出台了个人信息保护相关的法律法规;在国内,网络安全法实施以后,个人信息保护法和数据安全法也被列入了本届全国人大常委会的立法规划,这方面的标准也在不断制定当中,所以关注度一直很高。

全国政协委员、德勤中国副主席蒋颖敏锐地观察到了这个趋势,并据此提出了《关于推进国际间个人信息保护规则充分认可的提案》,提出中国需要建立一个针对个人信息保护的组织,来统一和协同国内外的法律法规。她透露,德勤将在今年发布一份亚太区隐私保护趋势的调研报告,中国过去两年内在个人信息保护方面的进展也将被纳入其中。

蒋颖指出,对于进入中国的企业来讲,中国很多个人信息保护相关的规定都散落在各种法律法规当中,内容也停留在相对原则性的层面,有些标准还只是建议性、而不是强制性的。所以,如何真正地规范和保护“走进来”的企业,还是有些挑战。

更重要的是“走出去”的中国企业。GDPR的规定是非常广泛和严格的,跟国内的法规差别也很大,像“被遗忘权”这样的概念,在中国还没有被清晰地提出来。即使技术上能做到合规,也需要付出极高的成本,而违规成本同样很高。在目前数据跨境流动几乎不可避免的情况下,企业全球化会面临很大挑战。

建立一个针对个人信息保护的组织,不管是委员会还是其他形式,要能够统一和协同现在法律法规当中关于个人信息保护的很多规则,既对企业合规更有针对性,也更便于监管。同时,还可以利用这个组织跟国外机构加强互动,参与到国际规则的制定过程当中,让我们的法律法规跟国外已经建立起来的法律法规实现互认,在立法过程中适当地借鉴参考,提升包容性,使跨境数据可以在一个相对无间、无阻的安全区域里面传输。这样既减少了企业的合规成本,又增加了国际竞争力。

成立国家大数据管理中心

全国政协委员、天津晟航通广科贸有限公司经理孙昌隆带来的提案是《关于成立国家大数据管理中心的建议》。

孙昌隆指出,大数据应用场景越来越广泛,在进行一些分析和判断的过程中,需要其他领域的数据做支撑,而一旦需要跨领域寻求数据源,则会经历比较漫长和复杂的程序,毕竟信息数据安全无小事。目前,我国还没有一个专门的机构来统筹大数据的管理和应用。

针对这样的情况,孙昌隆委员建议成立国家大数据管理中心。他说:“该部门将管理所有采集数据的出入口,对数据进行分类管理。按照形势发展要求,拟定数据标准体系,组织实施数据开放、交易、应用等相关工作。统筹推进社会经济各领域数据开放应用,包括个人社会组织申请应用数据。统筹全部数据信息系统、网络系统、政务信息中心的建设、管理,组织协调政务信息资源的共享与开放。统筹协调数据信息安全保障体系建设,推进信息安全等级保护、应急协调相关工作。”

结语

信息安全问题目前已经被摆在了“两会”的台面上,对其的关注度势必将会越来越高。无论是个人还是企业、机构等,如果不从宏观层面深度思考信息安全之于国家建设和社会发展的地位,就难以真正抓住人民期盼之所在。

参考资源

(现场实录)政府工作报告-新华网:http://www.xinhuanet.com/politics/2019lh/2019-03/05/c_1124194454.htm

连续两年,政府工作报告强调要整治侵犯公民个人信息问题:http://3g.163.com/dy/article/E9GI7NFT05129QAF.html

两会观点:保护工业互联网信息安全:http://cio.it168.com/a2019/0305/5166/000005166613.shtml

刚刚,在总理的政府工作报告上,它又出现了:http://www.gov.cn/xinwen/2019-03/05/content_5370602.htm

 

售前支持

400-161-0866