網絡安全整體導向
堅持“三個導向”筑牢網絡安全防線
1、完善總體國家安全綜合研判機制,提升網絡空間安全權重占比。將地緣安全風險、重大社會風險與網絡安全風險態勢分析研判深度結合,并結合相關行業、區域的重要信息系統、關鍵信息基礎設施的實際防護水平與發展規劃,定位防御盲點、發現重大短板、確定投入重點,保障和優化資源投入。
2、把握“十四五”規劃和實施機遇,全力推動網絡安全的需求側改革,切忌“重數字化、輕安全”。讓網絡安全投入有的放矢,既為構建雙循環提供網絡安全保障,也高質量創造內循環增量。
3、通過針對性投入彌補行業和區域的能力短板。利用國有資本金預算和投資基金的多渠道帶動作用,以及財政轉移支付等機制,加大重點工程分布建設傾斜、對重大風險短板進行集中投入,改善網絡安全防護水平。
一.個人信息保護
1、在常態化疫情防控中,加強公民信息保護
建議:(1)合法采集、公開個人信息。(2)全國統一流調采集數據和信息公開模式。(3)合理使用涉疫個人信息。(4)嚴格保密紀律。(5)嚴懲網絡暴力。(6)在《突發公共衛生事件應急條例》中加入個人信息保護的內容。
2、關于運用信息技術切實解決老年人困難
建議:在安全方面,加強針對老年人的個人信息安全執法力度和個人隱私保護水平,加強針對老年人的個人信息安全執法力度和個人隱私保護水平。
3、統一模版合法采集個人信息
建議:合法采集、公開個人信息;全國統一流調采集數據和信息公開模式;合理使用涉疫個人信息;嚴格保密紀律;嚴懲網絡暴力;在《突發公共衛生事件應急條例》中加入個人信息保護的內容。
4、建議相關部門要深究幕后的黑手,嚴厲打擊假冒他人身份信息,虛假注冊公司這種行為。從根源上來治理假冒他人信息虛假注冊行為。
5、加強生物識別信息管理筑牢公民隱私邊界
建議:應及時設置必要門檻,杜絕任何企業都可以染指公民生物識別信息的現狀,乃至參照身份證管理,原始數據統一由國家掌控。
6、完善法制體系保護個人信息安全
建議:我國應該提高個人信息保護立法的速度和效率;強化數據應用自治規范建設和完善;提高公民個人信息安全法治意識和能力。
7、嚴管“隱私換便利”
保護個人信息安全在法律責任上應該采取強監管的立法取向。比如,,下調侵犯公民個人信息罪等罪名的入罪標準并提高刑事責任;結合社會信用體系建設,增加違法主體及其主要負責人、直接責任人員對于相關行業或業務的定期、終身“限制準入”機制等。
二.人臉識別
1、加快構建人臉識別技術數據監管體系
建議:強化行政監管機制,建立專門性的個人信息保護系統,自上而下形成一條從中央到地方相關政府機構對個人信息保護的網絡,依照現行行政體系,各部門職能劃分,進行統一管理。完善行業自律的監管機制,引導行業對人臉識別進行規范。對人臉識別的信息存儲手段,包括公民的知情權、同意權等內容,行業治理機制要形成簡明、有效、合法的自我監督管理的手段。
2、立法規范
建議:一要明確生物信息采集主體;二要堅持合法性、正當性、必要性原則;三要集中管理公民個人生物信息;四要嚴格市場準入,提高生物識別技術標準;五要清理清除已有的不合法公民生物信息。
3、加強人臉識別監管
建議:建立人臉識別的網絡及信息安全監管體系,加快制定人臉識別應用技術標準體系,明確對人臉識別軟硬件應用的安全技術要求;建立人臉識別應用的安全評估及審核制度,針對安防、金融、電商、支付等不同應用領域進行安全評估,對人臉識別產品的應用及推廣增加審批環節,保證產品符合安全技術要求。
4、人臉識別應用需從密碼功能轉為賬號功能
建議:未來,是否可以從技術上考慮,把當前采集到的人臉信息進行相應保護,從密碼功能轉為賬號功能,這樣也能快速識別賬戶,同時安全問題大大降低。
三.數據安全
1、加強數據治理和數據安全保障
建議:(1)要加快相關法規制度建設,嚴格規范和落實關鍵數據的采集、存儲和使用。(2)加強數據治理和數據監管,要嚴控大數據的使用場景;(3)建議設立國家“數據銀行”,由國家成立專門機構統一管控,負責關鍵數據的采集、傳輸、存儲和確權等,以最大程度地保障關鍵數據安全和國家安全。
2、關注智能時代下的數據安全和隱私保護
建議:立足產業實際,構建智能網聯汽車數據安全體系,推進數據安全和個人隱私保護相關法律法規的研究制定。他建議,建立準入制度,智能網聯汽車數據(包括高精地圖數據)的采集、存儲和商業用途須經國家相關部門備案管理,只有滿足數據安全和隱私保護要求的智能網聯汽車產品才能進入汽車公告目錄。
3、加強互聯網平臺數據開放共享,讓網民便捷獲得信息
建議:強化互聯網平臺的數據開放及安全監督工作,對各平臺的信息開放共享和信息質量開展評估。
4、建立國家級數據共享平臺,實現全國數據的頂層管控
建議:建立國家級數據共享平臺,實現全國數據的頂層管控,界定清晰的數據共享屬性和權益,實現數據的確權流通,同時要加強數據資源無償共享,但要保障數據共享的安全可控。
5、打造國家數據安全能力體系
建議:(1)強化數據安全專業立法和專項執法。(2)積極開展數據和人工智能安全國際規則對接。(3)加大扶持做大做強網絡安全產業。(4)建立適應人工智能發展的數據流通體系。
6、建立數據治理委員會,加強數據資源流通安全性
建議:(1)建議加強頂層設計,建立數據治理委員會,作為數據資源共享管理工作的領導機構,并建立國家級數據共享平臺。(2)需加強數據資源無償共享、流通的安全性。
7、加快數據立法,加強網絡安全與隱私保護
建議:(1)加快數據立法工作,明確數據的所有權。(2)加強網絡安全與隱私保護對如何處理好個人隱私與國家社會安全的關系、個人隱私與公民知情權的關系、個人隱私與數字經濟發展的關系等予以明確。明確大數據生態中各不同主體的法律責任。
8、數據出境應有安全評估
建議:要確立數據主權,明確數據安全法的管轄范圍;明確境內運營中收集和產生的個人信息和重要數據應當在境內存儲;完善數據出境安全評估機制,將機制的適用范圍從網絡安全法規定的關鍵信息基礎設施運營者拓展至網絡運營者;要將相關國家、企業、組織、公民利益的數據活動納入數據安全法管轄范圍。
9、加強患者醫療數據的隱私保護和數據安全管理
建議:醫療信息的歸集應充分尊重患者的意愿,除了傳染性疾病等涉及社會安全的醫療數據外,患者可以自主決定是否共享。研究制定醫療數據安全相關條例,保障數據全生命周期安全。醫療信息硬件和軟件盡量國產化,并加強維護、監測,避免數據被竊取。研究區塊鏈等現代信息技術在醫療數據保護領域的應用,用先進的技術保護數據。
10、健全數據保護機制
建議:下一步從四方面著力:一是制定重要數據的定義、范圍和識別規則的相關法律;二是制定數據共享、交換等自由流動的標準規范,實現數據的自由流通;三是建立數據安全舉報中心和數據安全舉報機制,用以監管數據交易中介機構,同時保護舉報人隱私的相關法律不可缺位;四是對從事不利于數據安全管理的組織和個人,提高違規活動處罰成本。
11、高標準推進數據要素市場建設
建議:(1)高標準完善數據要素全生命周期的法律保障體系。(2)高標準構建數據要素交易前沿技術生態群。(3)高標準推進數據要素市場化配套改革。(4)高標準開放公共共享數據。(5)高標準開發數據要素技術標準體系。(6)高標準建設數據要素交易的基礎設施。
12、建立健全數據要素市場體系,助力數字經濟發展
建議:(1)優先推動與個人無關的非敏感數據交易流通,助力各行業轉型升級。(2)引導鼓勵社會各類創新主體加快數據交易流通相關技術研發應用,強化技術保障。(3)構建安全高效的數據交易體系,支撐數據要素跨行業、跨地域流通。(4)完善法規政策及監管體系,確保數據交易流通健康有序。(5)完善公共治理相關數據的流通應用體系,助力打造共建共治共享的社會治理格局。
13、加快建立數據要素市場制度體系
建議:(1)盡快確定數據要素市場制度建設的“路線圖”。(2)盡快研究數據要素市場制度建設的內容。
四.工業物聯網安全
1、將網絡安全融入新基建建設全過程
建議:(1)將網絡安全建設融入新基建建設和運營全過程,筑牢數字經濟發展的“護城河”和“城墻”。(2)同時,鼓勵支持安全企業面向工業互聯網加強安全技術研發、成果轉化和產品服務創新,提升安全技術產業支撐保障能力。
2、加快構建覆蓋國家、地方、企業的三級安全技術防控體系
建議:(1)研究制定工業互聯網大數據分級分類、工業App管理、工業互聯網平臺建設評價等關鍵標準。(2)搭建國家、地方、企業多級協同聯動的態勢感知網絡,實現對重要和關鍵平臺接入設備、控制系統、運行數據風險的實時監測。
3、加快工業互聯網關鍵技術-工業嵌入式操作系統自主可控發展
建議:一是實施四大戰略,謀劃自主可控發展體系。實施大政策、大平臺、大工程、大項目“四大戰略”。
二是建設軟硬件適配標準,營造自主可控生態環境。
三是攻關完全自主研發技術,打造自主可控建設框架。
四是破除人才體制機制障礙,建設自主可控人才隊伍。
4、建設工業互聯網數據價格機制,促進工業數據要素市場化發展的建議
建議:研究論證工業數據成本計量和交易方法,研究制定稅收優惠政策,研究建立全國性的工業數據安全保障體系,研究基于工業互聯網標識解析體系來實現跨地域、跨行業、跨企業的資源對接,實現工業數據共享和交易。
5、關于加快5G+工業互聯網應用方面的建議是范秉衡提交建議
建議:一、加快構建覆蓋國家、地方、企業的三級安全技術防控體系。
二、完善工業互聯網人才頂層設計,推動工業互聯網人才標準體系建設。
三、完善工業互聯網人才頂層設計,推動工業互聯網人才標準體系建設。
五.物聯網安全
1、把網絡安全系統像“安全帶”一樣列為智能汽車的標配
建議:國家加大鼓勵和引導汽車企業,將智能汽車的聯網安全防護體系納入車輛生產、銷售和服務體系中,并逐步形成強制性要求,像汽車安全帶一樣,列為汽車安全的標配。此外,汽車行業應加大網絡安全投入,以安全大腦為核心,建設智能網聯汽車安全大數據平臺、安全智能分析平臺、應急響應平臺等網絡安全基礎設施,形成智能網聯汽車安全能力體系。
2、推進智能汽車網絡安全強制測試
建議:研發針對真實應用場景的智能汽車攻擊測試工具,建立覆蓋車企、銷售、運維和用戶全業務流程的系統化攻擊測試用例庫,構建智能汽車實網攻防式安全驗證平臺,推進智能汽車聯網安全測試成為新的、常規的“汽車碰撞測試”,甚至適時建立強制測試;定期開展實戰攻防演練和能力評估,不斷檢驗和提升車企相關行業安全防護、應急處置和指揮調度能力。
六.網絡安全人才與學科建設
1、制定網絡安全行業特殊人才認定和激勵政策
建議:(1)要制定專門的網絡安全特殊人才認定政策。(2)要對符合條件的網絡安全人才給予個人稅收優惠政策。(3)要對符合認定條件的網絡安全特殊人才予以必要激勵。
2、將網絡安全教育納入中小學課程體系
建議:(1)政策層面,加強頂層設計,將網絡安全教育全面納入中小學課程體系。(2)在政府部門指導下,鼓勵互聯網企業參與網絡安全教育。(3)推動全社會形成關注未成年人網絡安全教育的氛圍。
3、全力推進國家網絡安全基地“融創中心”建設
把國家網絡安全人才與創新基地的建設發展納入國家“十四五”規劃,整體布局、一體規劃,特別是要把建設“融創中心”作為基地建設的重要抓手,加快網絡安全技術的研發和產業的深度融合,加快創新人才培育,真正打造成立足華中、輻射全國的網絡安全高地。
4、加速打造成全國網絡安全高地
在加速打造網絡安全教育技術產業融合創新中心的同時,支持依托國家網絡安全人才與創新基地,按照“雙一流”標準建設一所國家網絡安全大學。采取超常規辦學模式,探索網絡安全人才培養新思路、新體制、新機制,打造中國網絡安全領域的“黃埔軍校”。
文章來源:信息安全與通信保密雜志社
