从国家安全、商业机密、到个人信息,数据安全问题无处不在。
近日,某婚恋网站2.2亿会员隐私“裸奔”,网站后台可随意查看用户信息(包括会员浏览的异性照片记录、聊天记录等),让数据安全再次成为公众关注的焦点。
为推动相关产业快速健康发展,我国出台多项举措保护信息数据安全。9月1日,《中华人民共和国数据安全法》施行;11月1日,《中华人民共和国个人信息保护法》正式实施;11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,以规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
专家认为,密集出台多项保护举措,标志着我国信息数据安全保护进入新阶段,需要在法律法规框架下,让行业标准、管理机制和技术措施匹配起来,多管齐下才能保障相关产业健康快速发展。
数据保护进入新阶段
近年来,全球数据安全问题花样百出、愈演愈烈。进入2021年,微软、安卓、大众、奥迪、Twitter、Facebook, Instagram、LinkedIn和Robinhood(美国股票交易和行情App)都遭遇过数据安全事故。
随着数据规模呈几何级数高速成长,我国已成为全球第一的数据大国。《中国互联网发展报告2021》显示,2020年中国数字经济规模达39.2万亿元,占GDP比重为38.6%,增速为9.7%;中国数字产品化规模为7.5万亿元。
大规模的存量与增量数据,也伴随着数据安全风险增加。中国国家互联网应急中心发布的数据显示,2021年10月,网站安全方面,中国境内被篡改网站数量为9532个,较9月增长近3成;境内被植入后门的网站数量为2932个,较9月增长2.4%。按网站类型统计,被植入后门数量最多的是.COM域名类网站。
11月16日,在工业和信息化部举办的《“十四五”信息通信行业发展规划》发布会上,工业和信息化部网络安全管理局副局长杜广达表示,数据已成为新型生产要素,加强数据治理、保护数据安全事关国家安全和人民权益。工信部将一方面加强政策标准建设,研究制定40余项行业亟需重点标准。另一方面狠抓合规管理,督促电信和重点互联网企业深入开展数据安全合规评估,指导中国互联网协会成立数据治理工作委员会加强行业自律。
当前,数据安全不仅受到学术界重视,也引起工业界及企业、个人的高度关注。大数据行业专家、北京融信数联科技有限公司CEO于笑博认为,一系列数据安全法律法规“重拳”出击,为行业提供了更加细致可操作的法律依据和行为规则,标志着我国个人信息数据安全保护迈入了新阶段。
标准和技术的“互动”
在国家层面立法保护数据安全之后,如何在保证企业正常生产经营的基础上,确保数据安全是个值得思考的问题。
“在信息分级的基础上谈安全才有意义。”北京并行科技超算云服务团队负责人宋志方对《中国科学报》说,“信息安全的分级,应该以信息或数据的不同而划分,在云计算、车联网、大数据、人工智能等各领域、信息安全等级不尽相同,所以,分级分类也让数据保护有了更细致的操作依据。”
中国社会科学院财经战略研究院研究员李勇坚认为,《网络数据安全管理条例(征求意见稿)》对数据安全保护的整体操作性层面进行了规定,从而使相关法律在具体执行方面更具有可操作性。其中数据分级分类保护制度、对数据“出海”的规定、对平台规则、隐私政策的修订,将使行业、平台在规则制定方面更加规范。
专家认为,数据安全问题是当前行业标准、技术手段不适应数据产业发展需求的结果,所以需要建立一些标准和防控机制。而在数据存储、密码攻防领域,技术可以做更多的事情,可更多利用技术手段,保障用更好的技术保障数据安全。
比如,利用同态加密技术,将数据加密后存于服务器端,相关企业可以利用这些数据去做相应的分析处理,然后将处理结果反馈给用户。如果将同态加密技术应用于报税系统,第三方机构可以拿到数据、使用数据,但只能用来计算报税额度,其他相关数据,甚至具体的报税额度是多少第三方机构的员工也无法看到。
在第五代移动通信技术(5G)网络安全领域,国际标准组织3GPP曾引入公钥密码技术来加密移动用户标识符,以防范攻击者窃听无线信道。后来人们发现,公钥密码技术在隐私保护方面仍然存在安全缺陷。日前,中科院软件所研究员张振峰团队以标准兼容方式,解决了当前5G认证密钥协商协议(5G-AKA)隐私安全问题,为移动通信用户安全接入提供了新一代核心技术。
“我国正处于数字经济高速发展的过程中,但目前数据治理水平滞后于数字产业发展。”于笑博说,以前的行业标准大多数依赖以前的技术,随着新技术的出现,亟须新的行业标准与之“匹配”。
宋志方认为,信息安全标准有可能随技术发展而变化,在保障数据安全过程中,技术不但能在密码攻防等方面起着重要作用,还会和行业标准有相互促进的“互动”过程。
找到应用和监管的平衡
遏制数据使用乱象,保护个人隐私,同时又不排斥新技术带来的高效和便利,这需要我们在具体应用中进一步检验、完善和补充。
“在行业应用上,一是存在技术方面的问题,二是存在合规的问题。”中国信通院云计算与大数据研究所人工智能部副主任石霖告诉《中国科学报》,“比如在人脸识别方面,首先我们要制定这个行业的标准和规范,人脸识别要达到什么样的安全防御能力,然后是企业在合规的情况下,如何采集和使用人脸信息。”
石霖介绍说,“护脸计划”是中国信通院倡议发起,旨在人脸识别技术大规模应用的时代背景下,通过标准制定、测试评估、行业自律等手段,以应对层出不穷的隐私泄露、技术滥用、偏见歧视等问题,从而促进人工智能产业健康发展。
“数据安全问题,应该从使用和保护结合的角度去探索解决方案。”石霖说,“如果不允许使用,那就谈不上保护,我们需要找到这种技术落地应用和有效监管治理的平衡点。”
目前,“护脸计划”首批成员单位已有65家。成员单位已开始制定行业的标准和规范,通过技术的方式进行相关的测试,引导企业提升自己的这个安全和合规的这样一个能力,并在法律的指引下,起草企业处理人脸信息的合规操作指南。
“在不同业务点上,保护数据安全有很多具体的细节。比如,有财产安全、隐私保护方面的要求,有使用中简单便捷的要求。”石霖说,“这就需要有更多的研究机构、产业界、法律界都参与进来,共同推动相关产业健康发展。”
版权声明:凡本网注明“来源:中国科学报、科学网、科学新闻杂志”的所有作品,网站转载,请在正文上方注明来源和作者,且不得对内容作实质性改动;微信公众号、头条号等新媒体平台,转载请联系授权。邮箱:shouquan@stimes.cn。