法治网首页>>
互联网法治频道>>聚焦>>
数据安全标准体系建设指南公开征求意见 专家呼吁
尽快完善数据保护行政监管体系
发布时间:2020-09-11 13:51 星期五
来源:法治日报——法制网

核心阅读

在数据安全保护方面,我国正步入一个标准化的合理规划阶段。专家呼吁尽快完善相关行政监管机制,设立统一专门的数据安全行政管理机构,在各行业设置数据安全保护部门,完善数据保护行政监管体系。

□ 法治日报全媒体记者 侯建斌

当前,我国电信和互联网行业高速发展,汇聚大量数据,在释放数字经济发展潜力、促进数字经济加快成长的同时,也面临严峻的安全风险。如何坚持安全与发展并重,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系,成为当前的一项必答题。

在此背景下,近几年数据安全领域立法在不断提速。工信部近日就《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》(以下简称《意见稿》)向社会公开征求意见。《意见稿》明确了电信和互联网行业数据安全标准体系建设的总体思路、基本原则和建设目标。

《意见稿》提出,到2021年,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推进标准在重点企业、重点领域中的应用,研制数据安全行业标准20项以上。

业内专家认为,从网络安全法到《数据安全法(草案)》,再到《意见稿》,可以看出在数据安全保护方面我国正在步入一个标准化的合理规划阶段。专家呼吁尽快完善相关行政监管机制,设立统一专门的数据安全行政管理机构,在各行业设置数据安全保护部门,完善数据保护行政监管体系。

数据安全保护形势严峻

监测分析、病毒溯源、防控救治、资源调配,甚至是精准支撑企业复工复产……在这场抗“疫”战中,大数据发挥的作用不容小觑。

“个人信息作为一项重要的数据资源,其价值正在不断被挖掘和释放。”中国人民公安大学法学院副教授、硕士生导师化国宇告诉记者,大数据作为一种现代化的信息处理方式,随着其技术的不断发展,对个人信息收集掌握得越多,对其性格特征、生活习惯就分析得越准确。

比如企业往往通过搜集分析个人信息来开发潜在客户、拓展业务范围;政府通过个人信息的掌握,提高社会管理的效度。

不过,过度收集、滥用用户个人信息问题同时衍生出来。工信部9月初对外通报今年第四批侵害用户权益行为的应用软件名单。据悉,这一批侵权App名单中有上百款侵权软件,为今年以来数量最多,搜狐视频、蛋壳公寓、网易公开课、宝宝树孕育、小爱音箱、土巴兔装修、映客直播、驾考宝典等多个App榜上有名。

与过度收集用户个人信息相伴相生的是,数据泄露事件频繁发生。中消协在2018年发布的《App个人信息泄露情况调查报告》显示,超八成受访者曾遭遇个人信息泄露。其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。

业内专家认为,由于数据资源与传统资源不同,具有流动特性,需要加强数据全生命周期的各个环节的安全保护,针对各应用领域和业务场景下的不同特点,形成闭环安全管理模式,有效保护用户合法权益。

常态化监管机制尚未确立

当前,随着5G、大数据、人工智能、工业互联网、车联网等为代表的新一代网络技术的发展,数据作为一个核心的生产要素为社会经济的发展带来了很大的促进。

湖南省信息网络与电子商务委员会委员、湖南湘军麓和律师事务所律师周琼告诉记者,尽管我国在数据安全保护工作中取得了积极进展,但是目前的数据安全保护还处于较低水平,数据泄露、数据滥用、数据黑色交易等问题凸显,在法规制度建设、组织机构设置、技术应用能力、监管执法方面还存在不少短板。

“常态化执法、监管机制尚未确立。”化国宇说,当前我国对个人信息的保护经常以专项治理的方式,在一段时间内进行集中整治。然而短期疾风骤雨式的执法虽然能够起到一时之效,但是专项治理过后,相关违法活动仍然容易卷土重来。

以互联网企业而言,化国宇介绍说,对于掌握公民个人信息的这些企业,由于政府缺乏常态化的监管机制,而且企业也没有建立起常态化的合规性审查机制,使得对公民个人信息保护的执法效果大打折扣。

不应忽视的是,当前我国的数据安全标准化工作存在短板:比如标准体系性不强,标准制定工作缺乏统筹协调,术语定义、分类分级等基础性标准尚不完善;再如部分关键标准亟须制定,数据安全评估、重要数据保护等重点标准进展缓慢。

也有专家坦言,部分重点领域相关标准仍存在空白,数据安全标准对5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域高质量发展的支撑作用有待加强。

针对上述短板,《意见稿》均有所涉及。比如在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,要求结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。

周琼说,为应对复杂严峻的现实安全风险,工信部拟通过《意见稿》加快落实网络数据安全制度的标准化工作。

完善数据保护监管体系

标准化工作是保障数据安全的重要基础。如何推进数据安全标准体系建设,《意见稿》提出了一系列制度化安排。

《意见稿》提出,加强标准的统筹规划,做好与国家标准、相关领域行业标准的衔接工作,鼓励创新技术成果向标准转化,强化标准的实施与应用,加强标准的国际交流与合作,提升标准对数据安全保护的整体支撑作用,为数字经济高质量发展保驾护航。

值得关注的是,《意见稿》还要求,结合电信和互联网行业技术、产业发展现状及特点,发挥行业主管部门在顶层设计、组织协调和政策制定等方面的重要作用,制定政府引导和市场驱动相结合的标准体系建设方案,建立适合电信和互联网行业整体情况的数据安全标准体系。

此外,在标准制定过程中聚集电信运营企业、互联网企业、设备提供商、安全企业、科研院所、高校等产业界、学术界多方力量,充分凝聚共识,研究制定电信和互联网行业数据安全相关标准,完善标准研制、应用的全生命周期管理。

“要加快相关标准的研究制定,并发挥电信和互联网行业数据安全标准体系建设指南在相关行业领域的指引作用,提高其可操作性。”周琼认为,要加快个人信息保护法和《数据安全法(草案)》的立法进程,尽快完善配套制度。

同时,完善相关行政监管机制。设立统一专门的数据安全行政管理机构,在各行业设置数据安全保护的部门,完善数据保护行政监管体系。

周琼呼吁,加强对数据安全保护的技术研究,提升数据基础设施安全可控水平。同时不断探索完善重要数据脱敏技术、数据风险评估技术、个人数据匿名、不可识别等技术手段。

责任编辑:李晓慧