全国政协委员连玉明3月7日表示,随着大数据时代的到来,数据的重要性及潜在价值日趋显现,由此引发的数据安全问题与日俱增。他建议国家相关机构加快数据安全立法进程。
正在北京出席全国政协十三届一次会议的连玉明在接受《中国广播影视》记者专访时说,在大数据应用过程中,由于风险意识和安全意识薄弱、关键信息基础设施安全可靠性差、黑客与漏洞、数据恐怖主义以及法律的缺失与滞后,数据风险的发生频率正在提高,对社会的危害程度也在加剧。
作为国内较早开展大数据领域理论研究的专家,连玉明指出,近年来,涉及国家利益、公共安全、商业秘密、个人隐私和军工科研生产的数据信息被攻击、被泄露、被窃取、被篡改、被非法使用等情况愈演愈烈。数据安全已成为大数据时代需要重视应对的紧迫问题之一。
中国在2016年颁布实施了《网络安全法》,调整和规范了网络运行安全和网络信息安全。连玉明认为,《网络安全法》主要侧重于物理层和网络层的安全保护。从数据全生命周期看,《网络安全法》并未针对数据采集、存储、流通、应用、销毁等环节的数据安全进行保障,不能完全满足大数据时代数据安全管理保障的需求。
“鉴于目前大数据技术与应用的发展非常迅速,加快制定数据安全法对于全社会来说十分迫切和必要,”连玉明表示。
他向全国政协提出建议,在研究制定数据安全立法过程中,需要系统性地加强组织领导,包括坚持党对立法工作的全面领导,建立全国人大主导、政府部门协作、社会公众参与的数据安全立法机制,特别是探索建立第三方参与立法起草的工作机制尤为重要。
连玉明建议抓紧深入开展相关立法的理论研究和调查研究。成立数据安全立法专项研究组,研究探讨数据安全立法规律,攻克数据安全立法理论难题。特别是通过“三查三找”,即查风险点、找原因,查漏洞、找薄弱环节,查安全隐患、找防范对策,和“三抓三看”,即抓重点领域、重点行业和重点部门、看各单位的保护措施及其责任落实情况,抓关键信息基础设施、看有多少属于自主可控并评估其安全防范水平,抓保密数据和敏感数据、看有多少数据被攻击、泄露、窃取、篡改和非法使用,以了解和评估数据安全现状,把握数据安全立法重点和难点。
他对数据安全立法需要涵盖的要素做了描述:一是立法宗旨,包括维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进数据开放共享和发展应用;二是坚持安全与发展并重,遵循政府主导、审慎监管、保护创新、权责统一、风险可控的原则;三是调整范围、重点和监管主体,调整范围即数据采集、存储、流通和应用中的安全保障,调整的重点涉及国家利益、公共安全、商业秘密、个人隐私和军工科研生产的数据信息。与网络安全法不同的是,监管主体的缺失是数据安全立法的难点;四是标准体系,促使相关利益主体先行先试建立数据安全的四个标准,即数据安全基础标准、数据安全技术标准、数据安全管理标准和数据安全应用标准;五是等级保护,对保密数据和敏感数据实行更高规格的安全等级保护制度,实行关键信息基础设施等级划定与数据安全等级保护相匹配;六是风险评估,建立数据安全风险强制性评估制度,推动数据安全认证和数据安全检测制度化;七是限制条件,探索四类数据的限定性规定:第一类是可以在国外服务器上存储的数据;第二类是必须在国内自主可控的服务器上存储的数据;第三类是必须进行备份存储的数据;第四类是限制出境,不能向境外流通的数据。
连玉明说,由于数据安全问题事关重大而立法周期较长,建议国家鼓励条件成熟的地方在立法权限范围内先行先试,大胆探索,勇于创新,积极开展数据安全攻防演练,形成可复制、可推广的数据安全地方立法经验。
他同时呼吁全社会加强数据安全宣传教育,建议政府部门指导和督促数据运营、使用、服务方做好数据安全培训、应急演练等工作,增强公民、法人和其他组织的数据安全意识,提升数据风险防范能力。