一文全面了解2021“两会”网安提案
(以下文章来源于信息安全与通信保密杂志社 ,作者Cismag)
网络安全整体导向
坚持“三个导向”筑牢网络安全防线
1、完善总体国家安全综合研判机制,提升网络空间安全权重占比。将地缘安全风险、重大社会风险与网络安全风险态势分析研判深度结合,并结合相关行业、区域的重要信息系统、关键信息基础设施的实际防护水平与发展规划,定位防御盲点、发现重大短板、确定投入重点,保障和优化资源投入。
2、把握“十四五”规划和实施机遇,全力推动网络安全的需求侧改革,切忌“重数字化、轻安全”。让网络安全投入有的放矢,既为构建双循环提供网络安全保障,也高质量创造内循环增量。
3、通过针对性投入弥补行业和区域的能力短板。利用国有资本金预算和投资基金的多渠道带动作用,以及财政转移支付等机制,加大重点工程分布建设倾斜、对重大风险短板进行集中投入,改善网络安全防护水平。
一、个人信息保护
1、在常态化疫情防控中,加强公民信息保护
建议:(1)合法采集、公开个人信息。(2)全国统一流调采集数据和信息公开模式。(3)合理使用涉疫个人信息。(4)严格保密纪律。(5)严惩网络暴力。(6)在《突发公共卫生事件应急条例》中加入个人信息保护的内容。
2、关于运用信息技术切实解决老年人困难
建议:在安全方面,加强针对老年人的个人信息安全执法力度和个人隐私保护水平,加强针对老年人的个人信息安全执法力度和个人隐私保护水平。
3、统一模版合法采集个人信息
建议:合法采集、公开个人信息;全国统一流调采集数据和信息公开模式;合理使用涉疫个人信息;严格保密纪律;严惩网络暴力;在《突发公共卫生事件应急条例》中加入个人信息保护的内容。
4、建议相关部门要深究幕后的黑手,严厉打击假冒他人身份信息,虚假注册公司这种行为。从根源上来治理假冒他人信息虚假注册行为。
5、加强生物识别信息管理筑牢公民隐私边界
建议:应及时设置必要门槛,杜绝任何企业都可以染指公民生物识别信息的现状,乃至参照身份证管理,原始数据统一由国家掌控。
6、完善法制体系保护个人信息安全
建议:我国应该提高个人信息保护立法的速度和效率;强化数据应用自治规范建设和完善;提高公民个人信息安全法治意识和能力。
7、严管“隐私换便利”
保护个人信息安全在法律责任上应该采取强监管的立法取向。比如,,下调侵犯公民个人信息罪等罪名的入罪标准并提高刑事责任;结合社会信用体系建设,增加违法主体及其主要负责人、直接责任人员对于相关行业或业务的定期、终身“限制准入”机制等。
二、人脸识别
1、加快构建人脸识别技术数据监管体系
建议:强化行政监管机制,建立专门性的个人信息保护系统,自上而下形成一条从中央到地方相关政府机构对个人信息保护的网络,依照现行行政体系,各部门职能划分,进行统一管理。完善行业自律的监管机制,引导行业对人脸识别进行规范。对人脸识别的信息存储手段,包括公民的知情权、同意权等内容,行业治理机制要形成简明、有效、合法的自我监督管理的手段。
2、立法规范
建议:一要明确生物信息采集主体;二要坚持合法性、正当性、必要性原则;三要集中管理公民个人生物信息;四要严格市场准入,提高生物识别技术标准;五要清理清除已有的不合法公民生物信息。
3、加强人脸识别监管
建议:建立人脸识别的网络及信息安全监管体系,加快制定人脸识别应用技术标准体系,明确对人脸识别软硬件应用的安全技术要求;建立人脸识别应用的安全评估及审核制度,针对安防、金融、电商、支付等不同应用领域进行安全评估,对人脸识别产品的应用及推广增加审批环节,保证产品符合安全技术要求。
4、人脸识别应用需从密码功能转为账号功能
建议:未来,是否可以从技术上考虑,把当前采集到的人脸信息进行相应保护,从密码功能转为账号功能,这样也能快速识别账户,同时安全问题大大降低。
三、数据安全
1、加强数据治理和数据安全保障
建议:(1)要加快相关法规制度建设,严格规范和落实关键数据的采集、存储和使用。(2)加强数据治理和数据监管,要严控大数据的使用场景;(3)建议设立国家“数据银行”,由国家成立专门机构统一管控,负责关键数据的采集、传输、存储和确权等,以最大程度地保障关键数据安全和国家安全。
2、关注智能时代下的数据安全和隐私保护
建议:立足产业实际,构建智能网联汽车数据安全体系,推进数据安全和个人隐私保护相关法律法规的研究制定。他建议,建立准入制度,智能网联汽车数据(包括高精地图数据)的采集、存储和商业用途须经国家相关部门备案管理,只有满足数据安全和隐私保护要求的智能网联汽车产品才能进入汽车公告目录。
3、加强互联网平台数据开放共享,让网民便捷获得信息
建议:强化互联网平台的数据开放及安全监督工作,对各平台的信息开放共享和信息质量开展评估。
4、建立国家级数据共享平台,实现全国数据的顶层管控
建议:建立国家级数据共享平台,实现全国数据的顶层管控,界定清晰的数据共享属性和权益,实现数据的确权流通,同时要加强数据资源无偿共享,但要保障数据共享的安全可控。
5、打造国家数据安全能力体系
建议:(1)强化数据安全专业立法和专项执法。
(2)积极开展数据和人工智能安全国际规则对接。
(3)加大扶持做大做强网络安全产业。
(4)建立适应人工智能发展的数据流通体系。
6、建立数据治理委员会,加强数据资源流通安全性
建议:(1)建议加强顶层设计,建立数据治理委员会,作为数据资源共享管理工作的领导机构,并建立国家级数据共享平台。(2)需加强数据资源无偿共享、流通的安全性。
7、加快数据立法,加强网络安全与隐私保护
建议:(1)加快数据立法工作,明确数据的所有权。(2)加强网络安全与隐私保护对如何处理好个人隐私与国家社会安全的关系、个人隐私与公民知情权的关系、个人隐私与数字经济发展的关系等予以明确。明确大数据生态中各不同主体的法律责任。
8、数据出境应有安全评估
建议:要确立数据主权,明确数据安全法的管辖范围;明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。
9、加强患者医疗数据的隐私保护和数据安全管理
建议:医疗信息的归集应充分尊重患者的意愿,除了传染性疾病等涉及社会安全的医疗数据外,患者可以自主决定是否共享。研究制定医疗数据安全相关条例,保障数据全生命周期安全。医疗信息硬件和软件尽量国产化,并加强维护、监测,避免数据被窃取。研究区块链等现代信息技术在医疗数据保护领域的应用,用先进的技术保护数据。
10、健全数据保护机制
建议:下一步从四方面着力:一是制定重要数据的定义、范围和识别规则的相关法律;二是制定数据共享、交换等自由流动的标准规范,实现数据的自由流通;三是建立数据安全举报中心和数据安全举报机制,用以监管数据交易中介机构,同时保护举报人隐私的相关法律不可缺位;四是对从事不利于数据安全管理的组织和个人,提高违规活动处罚成本。
11、高标准推进数据要素市场建设
建议:(1)高标准完善数据要素全生命周期的法律保障体系。
(2)高标准构建数据要素交易前沿技术生态群。
(3)高标准推进数据要素市场化配套改革。
(4)高标准开放公共共享数据。
(5)高标准开发数据要素技术标准体系。
(6)高标准建设数据要素交易的基础设施。
12、建立健全数据要素市场体系,助力数字经济发展
建议:(1)优先推动与个人无关的非敏感数据交易流通,助力各行业转型升级。
(2)引导鼓励社会各类创新主体加快数据交易流通相关技术研发应用,强化技术保障。
(3)构建安全高效的数据交易体系,支撑数据要素跨行业、跨地域流通。
(4)完善法规政策及监管体系,确保数据交易流通健康有序。
(5)完善公共治理相关数据的流通应用体系,助力打造共建共治共享的社会治理格局。
13、加快建立数据要素市场制度体系
建议:(1)尽快确定数据要素市场制度建设的“路线图”。(2)尽快研究数据要素市场制度建设的内容。
四、工业物联网安全
1、将网络安全融入新基建建设全过程
建议:(1)将网络安全建设融入新基建建设和运营全过程,筑牢数字经济发展的“护城河”和“城墙”。
(2)同时,鼓励支持安全企业面向工业互联网加强安全技术研发、成果转化和产品服务创新,提升安全技术产业支撑保障能力。
2、加快构建覆盖国家、地方、企业的三级安全技术防控体系
建议:(1)研究制定工业互联网大数据分级分类、工业App管理、工业互联网平台建设评价等关键标准。
(2)搭建国家、地方、企业多级协同联动的态势感知网络,实现对重要和关键平台接入设备、控制系统、运行数据风险的实时监测。
3、加快工业互联网关键技术-工业嵌入式操作系统自主可控发展
建议:一是实施四大战略,谋划自主可控发展体系。实施大政策、大平台、大工程、大项目“四大战略”。
二是建设软硬件适配标准,营造自主可控生态环境。
三是攻关完全自主研发技术,打造自主可控建设框架。
四是破除人才体制机制障碍,建设自主可控人才队伍。
4、建设工业互联网数据价格机制,促进工业数据要素市场化发展的建议
建议:研究论证工业数据成本计量和交易方法,研究制定税收优惠政策,研究建立全国性的工业数据安全保障体系,研究基于工业互联网标识解析体系来实现跨地域、跨行业、跨企业的资源对接,实现工业数据共享和交易。
5、关于加快5G+工业互联网应用方面的建议是范秉衡提交建议
建议:一、加快构建覆盖国家、地方、企业的三级安全技术防控体系。
二、完善工业互联网人才顶层设计,推动工业互联网人才标准体系建设。
三、加大工业互联网应用专项资金支持力度,强化工业互联网资金分类运用建设。
五、物联网安全
1、把网络安全系统像“安全带”一样列为智能汽车的标配
建议:国家加大鼓励和引导汽车企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。
此外,汽车行业应加大网络安全投入,以安全大脑为核心,建设智能网联汽车安全大数据平台、安全智能分析平台、应急响应平台等网络安全基础设施,形成智能网联汽车安全能力体系。
2、推进智能汽车网络安全强制测试
建议:研发针对真实应用场景的智能汽车攻击测试工具,建立覆盖车企、销售、运维和用户全业务流程的系统化攻击测试用例库,构建智能汽车实网攻防式安全验证平台,推进智能汽车联网安全测试成为新的、常规的“汽车碰撞测试”,甚至适时建立强制测试;定期开展实战攻防演练和能力评估,不断检验和提升车企相关行业安全防护、应急处置和指挥调度能力。
六、网络安全人才与学科建设
1、制定网络安全行业特殊人才认定和激励政策
建议:(1)要制定专门的网络安全特殊人才认定政策。
(2)要对符合条件的网络安全人才给予个人税收优惠政策。
(3)要对符合认定条件的网络安全特殊人才予以必要激励。
2、将网络安全教育纳入中小学课程体系
建议:(1)政策层面,加强顶层设计,将网络安全教育全面纳入中小学课程体系。
(2)在政府部门指导下,鼓励互联网企业参与网络安全教育。
(3)推动全社会形成关注未成年人网络安全教育的氛围。
3、全力推进国家网络安全基地“融创中心”建设
把国家网络安全人才与创新基地的建设发展纳入国家“十四五”规划,整体布局、一体规划,特别是要把建设“融创中心”作为基地建设的重要抓手,加快网络安全技术的研发和产业的深度融合,加快创新人才培育,真正打造成立足华中、辐射全国的网络安全高地。
4、加速打造成全国网络安全高地
在加速打造网络安全教育技术产业融合创新中心的同时,支持依托国家网络安全人才与创新基地,按照“双一流”标准建设一所国家网络安全大学。采取超常规办学模式,探索网络安全人才培养新思路、新体制、新机制,打造中国网络安全领域的“黄埔军校”。
文章来源:信息安全与通信保密杂志社