1.關于建議設立國家“數據銀行”
加強對唯一性不可再生的關鍵數據管控的提案
黨的十八大以來,以習近平同志為核心的黨中央放眼未來、順應大勢,作出建設數字中國的戰略決策。隨著數字中國建設的深入實踐,數據的價值不斷被挖掘和體現。數據如今已被稱為21世紀的“石油”,是本世紀最為珍貴的財產。大數據是新型生產要素和重要的基礎性戰略資源,蘊藏著巨大價值,經過深入挖掘并加以應用,能夠有力推動經濟轉型發展,重塑國家競爭優勢,提升國家治理現代化水平。在中國互聯網巨頭的高估值中,龐大的用戶群體所創造的大數據的價值是一個重要組成部分。
于此同時,數據安全已成為事關國家主權、安全與發展利益的重大現實問題。在海量的數據中,有些關鍵數據,如個人生物特征數據(人臉、指紋、DNA等),具有唯一性和不可再生性特征,一旦被竊取,無法追回并變更,對個人隱私保護將帶來極大的、不可逆的風險;大量的國民個人醫療檔案、健康檔案匯聚后,可以用于分析該國的勞動力狀況和經濟、相關產業發展趨勢,一旦被敵對勢力獲取,對國家安全和產業經濟發展可能帶來不可預估的危害。資料顯示,僅2017年中國就有3.52億人因個人隱私數據泄露遭受攻擊,經濟損失達到4500億人民幣。歐盟個人數據保護法規GDPR就禁止為了單純識別目的處理生物識別數據;美國科技巨頭IBM在2020年6月份致信美國國會,表示將不再開發、出售、提供任何人臉識別技術,并建議生物識別技術應當成為美國“最后的救濟手段”,一定要掌握在政府專設機構的手里。
因此,在大力推進數字化經濟發展,鼓勵大數據應用和創新的過程中,必須慎重考慮數據的分類分級和管控,尤其是針對帶有個人生物特征、有關公民群體特征的醫療健康數據等唯一性、不可再生性的關鍵數據,必須有效管控,以預防社會風險,確保國家安全。
針對上述情況,提出以下三條建議:
一是要加快相關法規制度建設,嚴格規范和落實關鍵數據的采集、存儲和使用。數據應在合法、合規、標準化的前提下共享共建。要在法律框架下明確國家、集體、個人的數據權益,制定數據資源確權、開放、流通、交易相關制度,完善數據產權保護制度。可參照國際相關法律,要求企業在采集個人隱私數據時必須根據相關安全技術規范和流程標準,采取嚴格的安全防范措施。要建立數據分級分類管理的制度,對具有唯一特征的不可再生性數據的采集、傳輸、存儲、使用必須加以嚴格控制。要制定負面清單,明確禁止一些生物、醫療等關鍵領域內的數據在互聯網上的應用,切斷風險源頭。
二是加強數據治理和數據監管,要嚴控大數據的使用場景。科技需要從0到1的創造,而不是濫用場景式的所謂“創新”。要對互聯網企業的信息采集進行嚴格的管理規定,只可針對企業產品的特性進行相關必要的數據采集,不得過度、無序、隨意地采集。要警惕互聯網科技巨頭的集中“巨頭式”數據采集與應用,防止“數據壟斷”。
三是建議設立國家“數據銀行”,由國家成立專門機構統一管控,以最大程度地保障關鍵數據安全和國家安全。關鍵數據不可讓企業自行采集收集,更不可由互聯網龍頭企業壟斷。市場化公司具有天生的逐利本性,不可再生關鍵數據一旦被企業大量匯聚,很難保證其不被惡意竊取和所謂的創新利用。為充分保障國家安全,建議設立國家“數據銀行”,由國家成立專門機構統一管控,負責關鍵數據的采集、傳輸、存儲和確權等。可以使用創新技術,如區塊鏈技術、聯邦計算技術等,使企業可以從“銀行”提取脫敏后的分級分類數據進行分析應用,但不擁有對關鍵數據的所有權。運用密碼技術嚴格保護數據的存儲和傳輸,并確保數據可追溯,做好數據銷毀管控機制。
2.關于建立數據管理使用的合規審評制度
以促進數字經濟健康發展的提案
2013年7月,習近平總書記視察中國科學院時指出:“大數據是工業社會的‘自由’資源,誰掌握了數據,誰就掌握了主動權。”數據被譽為是新的石油,是本世紀最為珍貴的財產。就像石油在開采獲取后經過不同的提煉處理之后會進一步加工成汽油、煤油、柴油、潤滑油、瀝青等等產品,數據價值不僅在于多少,更在于如何挖掘。現階段我國經濟發展的基本特征就是由高速增長階段轉向高質量發展階段,這其中更是需要大數據挖掘、處理帶來經濟效益的持續發力。但是在大數據處理的過程中,針對數據確權、數據內容敏感性審查、數據利用方式評定等方面,現有的法律法規和操作細則不夠系化和完善,未能充分釋放數據生產力,促進數字經濟健康發展。
綜合來看主要存在以下問題:
1、數據合規應用審評制度和操作細則不完善:國家安全法,保密法、網絡安全法、民法典、個人信息保護法(征求意見稿)、數據安全法(征求意見稿)均已規定了有關國家安全的重要數據、保密數據、個人敏感數據的保護原則,但針對數據確權、數據內容敏感性審查、數據流轉利用合規評定等方面的具體判定和操作細則還有待完善。
2、數據壟斷現象日益嚴重:大型平臺公司和機構掌握大量數據,形成事實上的數據壟斷,在數據合規應用審評制度未明確前,眾多大數據分析技術創新公司只能依附數據壟斷平臺和機構,并為其提供服務,進一步加強了壟斷的發展。
3、數字經濟的競爭與創新發展有所阻礙:隨著大數據技術的發展,創新性數據價值發掘技術和利用模式有新的發展,衍生出有別于以前直接使用敏感數據進行建模和研發的,僅使用非敏感或脫敏數據進行分析建模創造經濟價值的商業新模式。但目前這類創新性數據挖掘技術的發展和商業化因為缺乏合適的數據合規應用審評制度,也沒有相關的行業標準進行指導,無法獲得足夠數據并有效利用和發展,喪失創新發展機會,客觀上阻礙了數字經濟的發展。
為此提出以下建議:
1、建議由網信辦牽頭協調公安部、市場監管總局等相關部門,統籌協調現有與數據經濟發展的網絡安全相關法律、法規,在保證國家數據主權、維護國家社會穩定的前提下,針對數據確權、合規流轉等問題盡快明確法規和操作細則,對違法行為進一步加強處罰力度。
2、建議由網信辦牽頭協調發改委、工信部、科技部、市場監管總局等相關部門建立一套評測標準和認證體系,為使用創新大數據挖掘分析技術針對非敏感信息數據進行處理和利用的企業提供一套合規標準,并由相關部門對這類企業的執業資質進行審查和評價,以保證數據要素的合規利用和流轉,促進創新技術和企業的競爭發展,真正有效保障數字經濟發展。
3、參照歐美的方式,建立和完善數據價值確認之后數據在交易、傳輸、使用、創造經濟價值的過程中涉及到的數據稅相關法律法規,解決數據利益在政府、企業和個人間的分配問題,在國家全面減稅降費的總體方針下,平衡數字經濟收益與企業創新積極性之間的關系。
4、鼓勵在數字經濟發展發達地區先行先試,平衡好系統安全治理和創新發展引導問題,打破壟斷,鼓勵數據利用創新技術和企業的發展,在保證安全可控的范圍內最大程度釋放數據生產力,促進數字經濟健康發展。
3.關于加強對智能汽車數據安全監管的提案
國內智能汽車產業已進入快速發展期,就像蘋果智能手機重新定義了手機產業鏈生態,智能汽車的出現也將對傳統汽車產業生態帶來重大變革。智能汽車“人–車–路–云”的復雜鏈接形態,具有智能化、網絡化、平臺化特征,其依靠大量車載傳感器和交互應用,能獲取并處理大量的個人身份數據、地理環境數據、道路交通實時數據以及個人生活、娛樂、商務交互數據,智能汽車和平臺已不僅僅是用以代步的交通工具,將可能成為類似于手機的移動智能交互終端、智能生活平臺。
反思移動互聯網的發展過程,手機應用軟件(APP)和平臺快速發展,由于法律法規、制度標準制定和落實的相對滯后,盡管促進了數字化社會的發展,但國產移動設備產業鏈在未掌握核心軟硬件的情況下,受到了嚴重沖擊,無法自主生存;手機系統和應用軟件漏洞和木馬泛濫,攝像頭偷窺,麥克風偷錄,國家機密信息失密問題頻頻發生;手機應用軟件權限未加管理,隨意索權帶來了嚴重的侵犯個人隱私和網絡欺詐等社會問題;移動互聯網平臺收集并匯聚龐大用戶基本信息和行為信息,帶來了數據濫用和產業壟斷問題。
智能汽車產業的發展現況和趨勢,非常類似移動互聯網產業的快速發展期,如果不能吸取過往教訓,過度寬容,“先發展,再治理”,將可能帶來嚴重的社會安全和國家安全問題,需要我們再次付出極大的代價和成本來進行彌補。
從智能汽車目前發展情況來看,以下問題亟待重視和優先解決:
1、 軟件定義汽車成為產業發展趨勢,軟件代碼安全檢測和監管,軟件供應鏈管理急需事先規范。傳統汽車代碼一億行,智能汽車將可能達到五億行。智能座艙軟件,車載控制器軟件,智能駕駛軟件,動力底盤軟件,新能源(電池、電機和電控)管控以及云平臺、云服務軟件,大量的軟件牽涉較長的國際、國內供應鏈廠商,智能汽車量產后,還能通過空中下載技術(OTA)進行軟件版本更新。如無法規范軟件供應鏈安全管理,有效落實軟件安全檢測,盡可能減少軟件漏洞和木馬,對智能汽車功能安全,社會和國家安全都存在巨大風險。
2、 智能汽車尤其是高等級智能自動駕駛汽車具有強大的數據采集能力,亟需加快落實相關數據采集、存儲、處理、應用法律法規和標準。據統計,特斯拉可以采集覆蓋車主個人信息、車輛環境信息、車輛行駛信息、車主手機信息等200多項信息,國內同類廠商也采集有170多項。這些信息一方面是用于自動駕駛分析決策,另一方面成為了智能汽車廠商進行商業創新和擴展的資源。但是,這么大量的信息,尤其如果是關鍵人群的個人信息、個人行為信息,車路協同獲取的實時環境信息、敏感地理位置等信息,匯集到獨立的商業化公司手里,甚至是國外公司手里,一旦被濫用或惡意使用,必將對社會安全乃至國家安全帶來巨大風險。
有鑒于此,建議盡快推進以下相關工作:
1、 建議由網信辦牽頭工信部,盡快完善和落實智能汽車軟件供應鏈安全管理法律法規和標準,確保產業安全、健康穩定發展。從軟件供應鏈著手,做好軟件代碼安全審核和規范,在符合國際規范的前提下,完善相關行業監管法規,要求代碼透明,要求各類軟件都要通過安全檢測,盡可能減少軟件漏洞和木馬,確保產業安全、健康穩定發展。
2、 建議由網信辦牽頭工信部門,依照相關法律、法規要求,加快智能汽車數據安全管理制度細則的落地執行,確保社會公共安全和國家安全。加強數據采集類型和范圍約束,尤其是針對采用單車智能技術,采集大量個人和環境信息的智能汽車,應要求其遵守國家法律、標準,采集的車主數據、環境數據和路網數據遵循合規和最小可用原則,不可過度采集;規范智能汽車各類數據存儲符合國家法律,未審查不得出境,確保國家安全;鼓勵區塊鏈、可信多方計算等數據保護共享創新技術的應用,加強監督檢查,防止車聯網數據在開發和商業化應用中被過度濫用,有效保護個人隱私、商業秘密和國家機密,確保社會公共安全和國家安全。