——建言推行信息系統(tǒng)歷案制度、關(guān)注弱勢群體、大數(shù)據(jù)安全等
近日召開的全國兩會上,啟明星辰信息技術(shù)集團股份有限公司董事長、全國政協(xié)委員嚴望佳向大會提交了三份提案,內(nèi)容涉及推行信息系統(tǒng)歷案制度、讓弱勢群體共享發(fā)展紅利、建立云管端數(shù)據(jù)專項保障責(zé)任制度等方面。
這三個提案分別是:
1、關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案
2、關(guān)于讓弱勢群體共享信息科技快速發(fā)展紅利的提案
3、針對大數(shù)據(jù)安全,建立云管端數(shù)據(jù)專項保障責(zé)任制度的提案
提案一:關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案
案 由:關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案
審查意見:建議中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、公安部、國家保密局研究辦理
提案人:嚴望佳
主題詞:網(wǎng)絡(luò)安全、系統(tǒng)歷案
提案形式:個人提案
內(nèi) 容:
一、問題及原因分析
今年作為十三五的開局之年,國家信息化應(yīng)用出現(xiàn)新常態(tài),信息化成為新““四化”之一;“云大物移智”等新IT和DT得到規(guī)模應(yīng)用;信息安全、網(wǎng)絡(luò)空間安全已經(jīng)提升到國家安全的層面!皼]有網(wǎng)絡(luò)安全就沒有國家安全”,網(wǎng)絡(luò)安全的重要性和意義不言而喻,對于關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)而言更是如此。
但現(xiàn)實問題是信息“孤島”、“煙囪”等問題常見,系統(tǒng)安全建設(shè)成效難以衡量;由于缺少完善的責(zé)任體系導(dǎo)致一旦出現(xiàn)問題難以追責(zé);在網(wǎng)絡(luò)安全緊急情況發(fā)生時,應(yīng)急處置人員難有一手的全面信息。究其因由,至少包括以下三大基本管理缺失:
(1)對比建筑行業(yè)中比較完善的建筑安全落實到人的終身責(zé)任制體系,當(dāng)前信息系統(tǒng)設(shè)計建設(shè)常常沒有明確的總設(shè)計師和架構(gòu)師簽字負責(zé),也沒有清晰的法人或自然人責(zé)任,導(dǎo)致出現(xiàn)責(zé)任事故和損失之后,難于清晰追責(zé)。在模糊的責(zé)任體系下,安全事故也很容易被隱瞞,進而導(dǎo)致更嚴重的后果。
(2)對比醫(yī)療行業(yè)中人的出生證明、病例、死亡證明等全生命周期記錄體系,當(dāng)前信息系統(tǒng)缺少覆蓋系統(tǒng)全生命周期的記錄,系統(tǒng)隨后的改造、維護等變化情況常常沒有正式的記錄。有些環(huán)節(jié)可能有記錄,但是系統(tǒng)沒有一個全生命周期的整體匯總和存檔。
(3)對比財務(wù)審計體系所建立的對于重要機構(gòu)的定期和關(guān)鍵點審計制度,信息系統(tǒng)在其生命周期過程的審計制度還沒有有效建立起來,F(xiàn)在常見的項目制風(fēng)險評估活動,難于及時發(fā)現(xiàn)信息系統(tǒng)的管理性隱患和過程性缺失。
上面三大基本管理缺失,簡單說就是:第一沒有清晰的責(zé)任體系、第二沒有必要的過程情況和證據(jù)記錄、第三沒有對于記錄信息的定期審計審核。因此,當(dāng)前的信息系統(tǒng)無法“治未病”,也難于“治急病”。
二、具體建議
對于關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)而言,無論從信息系統(tǒng)的全生命周期管理這一自身需要的角度還是從信息安全對于國家安全重大意義的角度,特提出以下建議:在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等推行《信息系統(tǒng)歷案制度》,將其作為安全責(zé)任體系和安全管理、應(yīng)急、審計的落實抓手。
《信息系統(tǒng)歷案制度》就如同大型建筑都有簽署備案的建筑設(shè)計文件和后續(xù)維修改造記錄文件,就如同病人在醫(yī)院都有完善的病歷一樣,就如同銀行交易和公司財務(wù)過程都有財務(wù)賬簿一樣。“歷案”是歷史檔案信息的簡稱。信息系統(tǒng)歷案就是重要信息系統(tǒng)生命周期過程中批準(zhǔn)立項、設(shè)計、建設(shè)、交割、運行維護、應(yīng)急、消亡等等各個環(huán)節(jié)產(chǎn)生和被記錄的、完整的、詳細的、“活著”的信息;是信息系統(tǒng)“生存”過程的“元數(shù)據(jù)”(Meta-data)。
從宏觀上講,構(gòu)建標(biāo)準(zhǔn)化、結(jié)構(gòu)化的信息系統(tǒng)歷案是系統(tǒng)健康檔案的前提和基礎(chǔ),可以對產(chǎn)業(yè)的生態(tài)環(huán)境、政府的管理方式、企業(yè)IT環(huán)境治理、信息安全的整體架構(gòu)都產(chǎn)生深遠影響,利于我國信息安全產(chǎn)業(yè)形成良好、健康的生態(tài)環(huán)境。
從微觀上講,信息系統(tǒng)歷案制度可以全面記錄信息系統(tǒng)要素,實現(xiàn)全要素、全數(shù)據(jù)、全記錄、全流程管理,這些由長期的、大量的建設(shè)數(shù)據(jù)和生產(chǎn)數(shù)據(jù)構(gòu)成的原始材料和原始數(shù)據(jù)可以發(fā)揮最基礎(chǔ)的作用,比如可以作為衡量信息系統(tǒng)建設(shè)質(zhì)量、效果和健康度的評價指標(biāo);可以作為監(jiān)督檢查和責(zé)任認定工作的可靠抓手;可以作為制定戰(zhàn)略規(guī)劃和建設(shè)計劃的重要依據(jù)。歷案機制可用于構(gòu)建信息系統(tǒng)全生命周期閉環(huán)管理與監(jiān)控體系的方法手段,然后根據(jù)角色和業(yè)務(wù)環(huán)節(jié)的不同有效使用系統(tǒng)的這些歷案信息,有助于快速應(yīng)急響應(yīng)和恢復(fù);有助于不同系統(tǒng)、不同部門、不同單位間的協(xié)同和處置;有助于領(lǐng)導(dǎo)層決策。
具體建議如下:
(1)制定詳細的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)清單,為信息系統(tǒng)建檔立案,執(zhí)行歷案制度。
建議在以下關(guān)系到國防安全、國計民生的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)等領(lǐng)域建立詳細清單:政府、電信、金融、能源、教育、大型企業(yè)、軍隊軍工、交通、媒體、醫(yī)療衛(wèi)生等。
就像為個人建立電子健康檔案和病歷一樣,需要為單位的信息系統(tǒng)或行業(yè)的信息系統(tǒng)建立健康檔案和病歷。
歷案中的關(guān)鍵記錄都應(yīng)當(dāng)有責(zé)任人的責(zé)任記錄。必要時可以留存簽字或電子簽章。
(2)在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)設(shè)立系統(tǒng)歷案機制的管理崗位。
在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機構(gòu)設(shè)立歷案管理部門和責(zé)任人員(比如首席信息安全官),充分賦予其相應(yīng)的權(quán)限和職位,不限于以下內(nèi)容:該部門及其負責(zé)人直接匯報給最高決策者;全權(quán)負責(zé)系統(tǒng)歷案機制的設(shè)計、推廣和應(yīng)用;以歷案數(shù)據(jù)為基礎(chǔ)可以咨詢、審批或驗證現(xiàn)有的IT投資計劃。
(3)建立歷案的第三方審核審計制度
在關(guān)鍵信息系統(tǒng)的全生命周期過程得到有效的歷案數(shù)據(jù)記錄之后,應(yīng)當(dāng)建立第三方審核審計制度。在機構(gòu)內(nèi)部由獨立于建設(shè)、運行、使用、監(jiān)測的第三方部門執(zhí)行長期的審計審核。在機構(gòu)外部,由國家主管機構(gòu)和第三方審計機構(gòu)可以在授權(quán)下對于歷案進行審核審計。
(4)歷案數(shù)據(jù)必須得到恰當(dāng)?shù)膽?yīng)用、管理和保護。
信息系統(tǒng)歷案不僅是綜合信息的電子文件集合,更重要的是其在質(zhì)量控制、決策支持、運營管理、信息共享、行為監(jiān)管和責(zé)任認定方面有著十分重要的作用,可以作為日常安全管理工作中的一個重要依據(jù)和抓手,也是跨部門團隊合作和協(xié)同的一條紐帶,是專家“會診”和“聯(lián)合作戰(zhàn)”的沙盤。
在歷案制度下,大量的歷案數(shù)據(jù)被留存下來。對于這些數(shù)據(jù)要做好采集留存、公示、保密和留證、查閱等管理工作。特別是一些敏感的歷案數(shù)據(jù),要得到必要的安全保護。
(5)做頂層設(shè)計,制定信息系統(tǒng)歷案制度和實施指南
系統(tǒng)歷案屬于比較新型的做法,為信息系統(tǒng)建病歷是信息化建設(shè)的一種創(chuàng)新,在業(yè)務(wù)、技術(shù)、管理、法規(guī)遵從等方面要求非常高,并且這種要求不僅僅針對于責(zé)任部門和任職人員也針對于系統(tǒng)的各個相關(guān)方。國家相應(yīng)部門需要針對信息系統(tǒng)歷案制定培訓(xùn)、資格認定、考核等一系列的人才保證措施。
建議國家相關(guān)部門針對信息系統(tǒng)歷案進行頂層設(shè)計,建章立制作為合規(guī)要求。也可考慮將歷案制度結(jié)合到等級保護制度和分級保護制度中來實施。
提案二:關(guān)于讓弱勢群體共享信息科技快速發(fā)展紅利的提案
案 由:關(guān)于讓弱勢群體共享信息科技快速發(fā)展紅利的提案
審查意見:建議中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室,中華人民共和國工業(yè)和信息化部,民政部,全國老齡工作委員會,中國殘疾人聯(lián)合會研究辦理
提案人:嚴望佳
主題詞:弱勢群體、共享、信息科技紅利
提案形式:個人提案
內(nèi) 容:
一、問題及原因分析
隨著國家“互聯(lián)網(wǎng)+”行動計劃的提出和推進,互聯(lián)網(wǎng)對于整體社會的影響進入到新階段,網(wǎng)絡(luò)空間與物理空間呈現(xiàn)加速融合的趨勢,成為人們生活的第二空間。在2015年世界互聯(lián)網(wǎng)大會上,習(xí)近平主席提出要“讓互聯(lián)網(wǎng)發(fā)展成果惠及13億多中國人民”。然而,部分人群(殘障人士、老年人、教育水平低者、經(jīng)濟落后區(qū)域的人)卻因為主、客觀原因不能享受高科技發(fā)展的成果,他們原本熟悉的生活方式,如買票、掛號、購物等被顛覆性地改變,原有的生活空間被壓縮,生活方式被邊緣化,易產(chǎn)生“被社會拋棄”的自卑感。完善保護上述弱勢群體使用信息科技的權(quán)利,進行信息無障礙建設(shè),對保障該群體平等參與社會生活,發(fā)展經(jīng)濟、維護社會穩(wěn)定等均具有現(xiàn)實性和戰(zhàn)略意義。
信息無障礙指的是任何人都能夠方便、快捷地獲取自己想要并且有權(quán)利獲取的信息,主要用于互聯(lián)網(wǎng)環(huán)境,大意是:互聯(lián)網(wǎng)產(chǎn)品可以被老年人、視障者、聽障者、讀寫障礙人士等用戶順暢使用。盡管我國的政府部門、企業(yè)界、學(xué)術(shù)單位、公益組織等實體在該方面做了大量工作,但尚存在以下問題:
(1)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)等尚待完善與更新。我國自本世紀初開始,陸續(xù)頒布了《殘疾人保障法》、《無障礙環(huán)境建設(shè)條例》等法律標(biāo)準(zhǔn),為信息無障礙建設(shè)指明了大方向,但這些法律、法規(guī)側(cè)重于實體(建筑)空間的無障礙建設(shè),對于虛擬(網(wǎng)絡(luò))空間無障礙建設(shè)一筆帶過;國際組織W3C、中國工信部、騰訊等實體發(fā)布了一系列針對性強的技術(shù)性文檔和導(dǎo)則,搭建了網(wǎng)頁、輔助技術(shù)、移動終端的信息無障礙設(shè)計及評估框架,但單一的技術(shù)框架尚不足以形成完整的貫穿信息無障礙建設(shè)全生命周期的法律標(biāo)準(zhǔn)體系。
(2)缺少落實各類標(biāo)準(zhǔn)、法規(guī)的引導(dǎo)、鼓勵政策。盡管我國已制定了諸多法律、法規(guī)及標(biāo)準(zhǔn),在信息無障礙建設(shè)方面取得了一定成就,但因為建設(shè)成本高、意識淡薄等原因,信息無障礙的落實主要依靠專項行動等行政性措施以及小部分受眾的推動來實現(xiàn)。
(3)缺少信息無障礙建設(shè)專項促進基金。
二、具體建議
目前我國的殘障人士約有8502萬人,老年人約有2.4億人,而且我國的老齡化進程在不斷加速。通過無障礙信息建設(shè),我國已有100多萬視障人士在網(wǎng)絡(luò)平臺上開店,獲得經(jīng)濟收入;同時,一批視障測試工程師及聾啞編程員在自己的工作崗位上發(fā)揮著才能。為了讓更多的弱勢群體共享信息技術(shù)快速發(fā)展的紅利,特在此建議:
(1)修訂、完善我國信息無障礙建設(shè)的法律、法規(guī)及標(biāo)準(zhǔn)等。
修訂我國已有的信息無障礙建設(shè)相關(guān)法律、法規(guī)及標(biāo)準(zhǔn)等,并予以完善。信息無障礙建設(shè)標(biāo)準(zhǔn)體系應(yīng)包括但不限于:
信息無障礙建設(shè)規(guī)劃標(biāo)準(zhǔn)。涵蓋內(nèi)容包括但不限于:明確對象(哪些網(wǎng)站、互聯(lián)網(wǎng)產(chǎn)品如app等)。通過大數(shù)據(jù)挖掘、用戶行為分析等,明確弱勢群體在互聯(lián)網(wǎng)空間的“公共場所”,優(yōu)先對這些“網(wǎng)絡(luò)空間公共場所”進行信息無障礙建設(shè);建設(shè)程度(照顧哪些對象,視力、聽力、肢體殘障人士或老年人等);法律要求(強制執(zhí)行、選擇性執(zhí)行或鼓勵性執(zhí)行)及驗收考核條件。
建設(shè)評估及效果評價體系,評估對象應(yīng)覆蓋實體信息無障礙建設(shè)的全生命周期,包括規(guī)劃、實施、運維及反饋/改進過程。促進無障礙建設(shè)規(guī)范化,將無障礙需求融入到互聯(lián)網(wǎng)產(chǎn)品的全過程中。
法律、法規(guī)及標(biāo)準(zhǔn)制定過程須加強與國際標(biāo)準(zhǔn)制定組織的交流,并鼓勵相關(guān)方如互聯(lián)網(wǎng)企業(yè)、殘障團體、公益組織等共同參與,提升法規(guī)標(biāo)準(zhǔn)的實用性及可落實性,推動無障礙建設(shè)標(biāo)準(zhǔn)統(tǒng)一并與國際標(biāo)準(zhǔn)相銜接。
(2)出臺引導(dǎo)、鼓勵性政策,調(diào)動各實體的積極性,積極落實信息無障礙建設(shè)。
各項規(guī)定、標(biāo)準(zhǔn)的落實需要國家機構(gòu)、互聯(lián)網(wǎng)企業(yè)等實體的積極響應(yīng),也需要科研機構(gòu)、產(chǎn)業(yè)界的技術(shù)支撐。國家應(yīng)從稅收、融資、人才等方面給予支持,促進信息無障礙建設(shè)。
財稅方面,按照深化中央財政科技計劃(專項、基金等)管理改革的要求,充分發(fā)揮國家基金及專項的作用,采取減稅、無償?shù)榷喾N方式加大政府資金支持力度,引導(dǎo)社會資金投資;
投融資方面,加大對實施信息無障礙建設(shè)企業(yè)的融資擔(dān)保支持力度;對于研發(fā)信息無障礙技術(shù)的“雙創(chuàng)”企業(yè),在享受“雙創(chuàng)”平臺的優(yōu)惠政策之上,疊加投融資優(yōu)惠;加快認證一批由聾啞編程工程師、視障工程師組成或為其服務(wù)的企業(yè)為社會企業(yè),給予投融資方面的優(yōu)惠,激發(fā)創(chuàng)造力及產(chǎn)業(yè)活力。
人才方面,加強專業(yè)院所相關(guān)專業(yè)的人才培養(yǎng),加強與產(chǎn)業(yè)界的聯(lián)系,培養(yǎng)一批信息無障礙建設(shè)的領(lǐng)袖人物及技術(shù)專家;加強特殊人才發(fā)掘工作,發(fā)掘弱勢群體中信息技術(shù)方面表現(xiàn)突出的人才,加速人才成長,縮短培養(yǎng)周期;并加強人員培訓(xùn),制定計劃,按計劃對弱勢群體進行分批的免費信息技術(shù)培訓(xùn),調(diào)動弱勢群體使用信息技術(shù)的積極性。
(3)成立信息無障礙建設(shè)專項促進基金。
該基金將由政府財政出資及社會籌資所得,并可引入創(chuàng)投、風(fēng)投等社會資本。基金的資金狀況需及時、公開、透明地發(fā)布;疬\行情況接受社會大眾及政府上級機構(gòu)的監(jiān)督。
基金的用途包括但不限于:技術(shù)攻關(guān),完善信息無障礙輔助技術(shù)及工具,促進產(chǎn)、學(xué)、研結(jié)合,將已有技術(shù)研究成果進行轉(zhuǎn)化;對于信息無障礙建設(shè)表現(xiàn)優(yōu)異的實體進行獎勵;人才教育、培養(yǎng)及培訓(xùn);資助貧困弱勢群體學(xué)習(xí)信息技術(shù)、采購網(wǎng)絡(luò)設(shè)備;對偏遠地區(qū)進行網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)及改造等;孵化、培育信息無障礙研究的初創(chuàng)企業(yè)。
提案三:針對大數(shù)據(jù)安全,建立云管端數(shù)據(jù)專項保障責(zé)任制度的提案
案 由:針對大數(shù)據(jù)安全,建立云管端數(shù)據(jù)專項保障責(zé)任制度的提案
審查意見:建議中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國家發(fā)展與改革委員會、公安部、國家保密局等研究辦理
提案人:嚴望佳
主題詞:大數(shù)據(jù)安全、責(zé)任制度
提案形式:個人提案
內(nèi) 容:
一、問題及原因分析
當(dāng)前,在全球范圍內(nèi),運用大數(shù)據(jù)推動經(jīng)濟發(fā)展、完善社會治理、提升政府服務(wù)和監(jiān)管能力正成為趨勢。在國外,政府?dāng)?shù)據(jù)開放較早,已經(jīng)形成了一系列通過大數(shù)據(jù)分析優(yōu)化資源配置、方便人民生活、開拓新興產(chǎn)業(yè)的成功案例;在國內(nèi),也涌現(xiàn)出一批互聯(lián)網(wǎng)創(chuàng)新企業(yè)和創(chuàng)新應(yīng)用,一些地方政府已啟動大數(shù)據(jù)相關(guān)工作。
基于人口紅利和移動互聯(lián)網(wǎng)的蓬勃發(fā)展,在我國發(fā)展大數(shù)據(jù)應(yīng)用具有天然的優(yōu)勢。國務(wù)院在2015年8月31日印發(fā)了《促進大數(shù)據(jù)發(fā)展行動綱要》,該綱要必將促進國內(nèi)大數(shù)據(jù)應(yīng)用水平再上新臺階。
數(shù)據(jù)既然像石油一樣成為了越來越寶貴的資源,那么我們也應(yīng)該像保護石油資源一樣做好合理規(guī)劃和防護措施。否則數(shù)據(jù)資源一旦被竊取或濫用,輕則會造成個人隱私泄露干擾人民生活,重則甚至?xí):ι鐣仓刃蚝蛧野踩?/P>
目前在大數(shù)據(jù)應(yīng)用中存在的安全保障問題主要體現(xiàn)在以下幾個方面:
(1)持有大量數(shù)據(jù)的持有者(產(chǎn)生者、傳輸者、儲存者、應(yīng)用者等)沒有得到甄別;因此國家整體的數(shù)據(jù)持有情況和分布態(tài)勢不夠清晰,同時也難于開展關(guān)系到網(wǎng)絡(luò)空間主權(quán)和網(wǎng)絡(luò)社會安定之?dāng)?shù)據(jù)權(quán)屬的保護。大量數(shù)據(jù)可能在云計算云存儲環(huán)境中分析和儲存、可能在網(wǎng)絡(luò)中傳輸、可能在終端采集和應(yīng)用,在所謂“云-管-端”都可能是大數(shù)據(jù)的所在。
(2)難以界定“云-管-端”的大量數(shù)據(jù)(資產(chǎn))持有者的數(shù)據(jù)保護責(zé)任。
(3)缺乏第三方對于大量數(shù)據(jù)(資產(chǎn))持有者的監(jiān)督和審計。特別是一些由政府部門作為甲方主導(dǎo)而由乙方企業(yè)負責(zé)建設(shè)和運維的電子政務(wù)云數(shù)據(jù)中心,對數(shù)據(jù)的使用缺乏獨立的監(jiān)管審計,存在數(shù)據(jù)濫用、敏感數(shù)據(jù)被竊取等風(fēng)險;同樣,擁有大量用戶的終端APP是否非法非授權(quán)地采集數(shù)據(jù)、大量數(shù)據(jù)流過的運營商管道側(cè)數(shù)據(jù)是否被非法劫持,都沒有獨立第三方對于技術(shù)和流程的監(jiān)督和審計。
(4)在責(zé)任主體不清、責(zé)任不明、缺乏審計監(jiān)督的情況下,出現(xiàn)嚴重的數(shù)據(jù)泄露事故和數(shù)據(jù)濫用事件的時候,就難以合理有效地進行追責(zé)。
(5)在缺乏有效追責(zé)的體制下,大量數(shù)據(jù)的持有者就缺乏監(jiān)督壓力、難以履行其必要的保護責(zé)任。當(dāng)前,一些擁有大量數(shù)據(jù)的持有者,在數(shù)據(jù)存儲環(huán)節(jié)中缺乏基本的安全保障措施、或者存在安全漏洞,導(dǎo)致系統(tǒng)被入侵而導(dǎo)致敏感數(shù)據(jù)泄露。近年來應(yīng)用系統(tǒng)被入侵并“拖庫”的安全事件層出不窮,大量用戶信息在黑色產(chǎn)業(yè)鏈中被反復(fù)交易,造成了嚴重的隱私泄露事件。
總之,在大數(shù)據(jù)時代,數(shù)據(jù)本身已經(jīng)成為了一種資產(chǎn)。當(dāng)前對于數(shù)據(jù)的采集、使用、存儲、轉(zhuǎn)移等過程,缺乏必要的監(jiān)管制度和安全保護措施,需要政府在政策和制度層面制定相應(yīng)的措施,以便更好推動大數(shù)據(jù)應(yīng)用產(chǎn)業(yè)的發(fā)展。
二、具體建議
綜上所述,運用大數(shù)據(jù)推動經(jīng)濟發(fā)展、完善社會治理、提升政府服務(wù)和監(jiān)管能力正成為趨勢。但是,如果在應(yīng)用大數(shù)據(jù)的過程中缺乏必要的規(guī)劃和安全保障機制,又有可能導(dǎo)致數(shù)據(jù)被濫用或者數(shù)據(jù)丟失,造成公民隱私泄露,甚至?xí):ι鐣仓刃蚝蛧野踩=ㄗh在大數(shù)據(jù)應(yīng)用中做好大數(shù)據(jù)自身安全的保障工作,明確基本原則和相關(guān)責(zé)任制度舉措。
首先要有一個基本原則,就是把握發(fā)展與安全的關(guān)系和平衡。不能因為對于大數(shù)據(jù)安全的擔(dān)憂而因噎廢食、過度保護。在當(dāng)前大數(shù)據(jù)蓬勃發(fā)展的初期,不建議推行強制性的事前審查審批措施,以免阻礙大數(shù)據(jù)的生產(chǎn)和增值活動。
因此,建議推行以責(zé)任界定、責(zé)任驅(qū)動、審計監(jiān)督、事后追責(zé)的“旁路”保障制度,督促“云-管-端”的大量數(shù)據(jù)持有者自主采取必要的保障措施。具體建議如下:
(1)責(zé)任界定、強制申報
建立大數(shù)據(jù)持有者的申報制度。在云上(數(shù)據(jù)中心側(cè))持有大量數(shù)據(jù)、管道中(運營商等網(wǎng)絡(luò))流過大量數(shù)據(jù)、海量用戶的終端和應(yīng)用程序,都必須對自身的數(shù)據(jù)責(zé)任進行申報。
申報界限就是看所持有的數(shù)據(jù)是否涉及國家安全、涉及較大范圍的社會公共秩序(比如用戶數(shù)達到百萬)。這類就有申報的義務(wù)和強制責(zé)任。因此類似“在移動終端側(cè)過度采集用戶數(shù)據(jù)”這類數(shù)據(jù)濫用情況,會有此機制予以制約。
申報受理單位建議由中央網(wǎng)信辦協(xié)調(diào)。
(2)責(zé)任驅(qū)動的數(shù)據(jù)安全保障
根據(jù)“誰持有誰負責(zé)”的原則,對這些機構(gòu)一方面要從制度上進行規(guī)范,防范由于人的原因造成的敏感信息泄露;另一方面要通過技術(shù)手段增強這些部門的抗風(fēng)險能力,要通過建立完善的信息安全防護體系,及時發(fā)現(xiàn)潛在的安全威脅;通過定期的測試評估,及時排查信息系統(tǒng)中的安全隱患。
建立“云-管-端”不同情況下大量數(shù)據(jù)持有者所應(yīng)履行的基本數(shù)據(jù)保障規(guī)范和標(biāo)準(zhǔn)。相關(guān)要求可以考慮對接網(wǎng)絡(luò)審查制度、等級保護制度和分級保護制度。
(3)第三方獨立的審計監(jiān)督
建立獨立第三方的數(shù)據(jù)保護監(jiān)督審計制度。
對于在云上存有大量數(shù)據(jù)、管道中流過大量數(shù)據(jù)的機構(gòu)的相關(guān)保護技術(shù)和管理措施進行審計。這方面要求可考慮對接網(wǎng)絡(luò)審查制度、等級保護制度和分級保護制度。
在終端側(cè),對各類移動互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)采集進行適度的規(guī)范和監(jiān)管,避免當(dāng)前過度無序采集的局面,避免移動應(yīng)用在用戶不知情的情況下竊取數(shù)據(jù)。對于鼓勵移動互聯(lián)網(wǎng)應(yīng)用由第三方機構(gòu)進行權(quán)威測試和發(fā)布。另外,對工業(yè)控制、物聯(lián)網(wǎng)前端數(shù)據(jù)采集也要予以重視。
特別對政府部門作為甲方主導(dǎo)的涉及大量數(shù)據(jù)的信息系統(tǒng),要安排獨立于乙方(項目承建方和運維方)的第三方進行安全審計。獨立第三方審計的安排并不意味著乙方可降低其安全保障的要求。要從制度上確立獨立第三方對于甲方和乙方的監(jiān)督職責(zé)。
(4)事后追責(zé)
建立數(shù)據(jù)安全事故追溯機制,保障數(shù)據(jù)安全。對于違反規(guī)范,沒有履行應(yīng)有保障責(zé)任的,因個人原因或管理措施落實不到位而造成的數(shù)據(jù)安全事故的,要追究相關(guān)個人和機構(gòu)的責(zé)任,使得數(shù)據(jù)安全真正受到重視。
(5)依法治網(wǎng)、依法保護數(shù)據(jù)權(quán)責(zé)
在本制度執(zhí)行一段時間并認為行之有效的情況下,可以考慮將本制度核心部分作為《數(shù)據(jù)保護法》等相關(guān)法律的內(nèi)容。甚至可能在數(shù)據(jù)財產(chǎn)權(quán)問題還未定論的情況下(淡化擁有權(quán),而談持有者的責(zé)任),先將數(shù)據(jù)保護責(zé)任和關(guān)鍵要求法律化,讓數(shù)據(jù)保護做到有法可依。