數據，被稱為21世紀的“石油”，隨著數字經濟的發(fā)展和各類數據采集應用的推廣，數據的價值正不斷受到重視，與此同時，信息泄露的風險也難以避免。今年的全國兩會上，數據安全成為代表委員們熱議的話題。

數據安全仍存隱患

在昨天舉行的全國政協(xié)十三屆四次會議首場“委員通道”上，全國政協(xié)委員、360集團董事長兼CEO周鴻祎用一個生動的例子說明了數據安全的緊迫性：去年曾接到多家醫(yī)院的緊急求援，這些醫(yī)院的核心數據被勒索軟件攻擊之后加密不能使用，導致醫(yī)院整個流程停擺，甚至有的病人手術都無法正常進行。

“在‘十四五’規(guī)劃和2035遠景目標綱要草案里，‘發(fā)展’和‘安全’是兩個最重要的關鍵詞，國家也反復強調要統(tǒng)籌發(fā)展與安全的關系。”周鴻祎表示，網絡安全是數字化戰(zhàn)略的底座，有了網絡安全的保障，我們的數字化戰(zhàn)略才能發(fā)展得更好、走得更快、走得更遠。

數據安全存在于人們生活的方方面面。全國人大代表、致公黨上海市委專職副主委邵志清說，現實生活中，很多原本需要去銀行柜臺辦理的金融業(yè)務，如今很多機構和平臺在手機上憑短信驗證碼就能完成服務，但短信驗證碼的安全性級別相對較低，不法分子通過盜竊手機卡、攔截短信、武力脅迫等手段，就可以獲取。“憑借短信驗證碼，就能登錄社保卡賬戶、公積金賬戶、銀行卡賬戶和各類第三方支付平臺賬戶，查詢身份證信息和銀行卡信息，修改賬戶密碼和交易密碼，盜刷銀行卡并申請網絡貸款。”

邵志清建議，在短信驗證碼基礎上疊加更多身份核驗手段。如果忘記或不知道支付平臺的登錄密碼時，不能僅憑短信驗證碼登錄，而是應該疊加“人臉識別”或“私密問題驗證”等技術，確保登錄操作者是卡主本人。

但看似嚴密的“人臉識別”技術也未必百分之百安全。根據我國網絡安全法和個人信息保護法草案，“面部識別特征”是“個人生物識別信息”的一種，屬于“個人敏感信息”的范疇，在信息收集、共享、傳輸和存儲等方面應當受到比普通個人信息更加嚴格的保護。

有代表委員直言，目前我國的問題是，非法收集和使用個人信息的情況屢見不鮮，人臉數據等個人信息買賣黑色產業(yè)鏈屢禁不止，尤其是一些關系國計民生的重要行業(yè)和領域，尚未建立起針對重要數據的數據安全管理體系。

法律操作性需進一步完善

既然有法律規(guī)定，為何還會存在人臉數據信息泄露等現象?全國政協(xié)委員、民進上海市委專職副主委胡衛(wèi)指出，從現有的法條本身來看，宣示性強，但操作性仍然較弱，并沒有給涉及收集處理相關數據的企業(yè)造成足夠的合規(guī)壓力，這也導致人臉識別相關企業(yè)將關注點放在業(yè)務發(fā)展上，對網絡信息安全的投入卻很少。

胡衛(wèi)建議，參照國際普遍遵守的數據隱私原則，建立所有涉人臉識別數據的公私部門須遵守和符合的特殊安全認證體系，在分類型特殊安全認證體系下，收集諸如面部特征數據的個人可識別信息的任何技術都應努力保護這些數據，使用匿名化或其他方式來減少可用數據量，并建立嚴格的用戶協(xié)議以限制未經授權的訪問。

不止一位代表委員關注到數據安全的立法問題。全國人大代表、上海華誼集團股份有限公司總裁王霞認為，數字經濟的法律法規(guī)明顯欠缺，數據共享技術規(guī)范還沒有出現，數據權責邊界、使用規(guī)范以及信息保護責任還不清晰，公共數據共享平臺和跨部門共享使用尚需完善，數字經濟的監(jiān)督檢查和安全責任還需要明確，以適應經濟社會發(fā)展迫切需要。

去年7月，全國人大常委會發(fā)布了《中華人民共和國數據安全法(草案)》并征求社會意見。在王霞看來，法律草案總體上回應了社會發(fā)展需求，但在部分條款的操作性上可進一步完善。

例如，草案第三條指出：數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力。王霞指出，草案對數據安全的定義，僅強調了能力面向，建議增加防范面向與狀態(tài)面向。在防范面向上，數據安全的主要任務是“防篡改、防泄露、防濫用”;在狀態(tài)面向上，數據安全的主要任務是使數據處于安全、可控的狀態(tài)。

防止企業(yè)“數據壟斷”

數據安全隱患的背后也有企業(yè)權責的問題。全國政協(xié)委員、上海市信息安全行業(yè)協(xié)會會長談劍鋒注意到，目前數據壟斷現象日益嚴重，大型平臺公司和機構掌握大量數據，形成事實上的數據壟斷，在數據合規(guī)應用審評制度未明確前，眾多大數據分析技術創(chuàng)新公司只能依附數據壟斷平臺和機構，并為其提供服務，進一步加強了壟斷的發(fā)展。

“要警惕互聯(lián)網科技巨頭的集中‘巨頭式’數據采集與應用，防止‘數據壟斷’。”談劍鋒建議，設立國家“數據銀行”，由國家成立專門機構統(tǒng)一管控，負責關鍵數據的采集、傳輸、存儲等。

具體而言，可使用創(chuàng)新技術，如區(qū)塊鏈技術、聯(lián)邦計算技術等，使企業(yè)可以從“數據銀行”提取脫敏后的分級分類數據進行分析應用，但不擁有對關鍵數據的所有權。同時，運用密碼技術嚴格保護數據的存儲和傳輸，并確保數據可追溯，做好數據銷毀管控機制。

而在全國政協(xié)委員、民革上海市委副主委李國華看來，數據高度集中在個別寡頭企業(yè)，導致公民的個人日常消費、收入、行蹤、通話、偏好等各種數據，尤其是金融數據都掌握在個別平臺，數據的產權保護亟須關注。李國華指出，為了防止數據帶來的法律風險，大多數企業(yè)將數據作為私有財產不愿共享，長此以往，數據的開發(fā)利用受限，數據要素市場得不到充分的競爭，無法有效地以數字技術革命推動整個社會的數字化轉型。

“明晰的數據權利可以有效提升數據價值、規(guī)范數據交易市場。”李國華建議明確國家、省市各級數據監(jiān)督管理機構，制定數據確權政策，指導推動數據確權產業(yè)的發(fā)展，統(tǒng)籌規(guī)劃、統(tǒng)一監(jiān)管并加強指導數據確權工作，推動數據要素市場培育和數據交易等工作。見習記者 顧杰

關鍵詞： 保護個人信息