2015年全国两会廖仁斌代表提案一:关于加快建设大数据时代个人信息安全保护体系的建议

首页 / 2015年全国两会廖仁斌代表提案一:关于加快建设大数据时代个人信息安全保护体系的建议



  随着云计算、移动互联网、智慧城市和物联网的快速发展,全球数据量呈现指数级增长,“大数据时代”已经到来。根据《第35次中国互联网络发展状况统计报告》,截至2014年12月,中国网民规模达6.49亿,其中手机网民规模5.57亿,居全球首位,我国已进入网络大国和信息化大国行列,可以预见,中国将成为产生数据量最多的国家。大数据这座“金矿”作为提升信息消费体验的重要手段,逐渐在各个行业和领域得到广泛应用,并开始对现有社会生产组织和人们生活方式产生革命性影响。然而,在大数据产业蓬勃发展的同时,个人信息及敏感隐私数据泄露事件层出不穷,“棱镜计划”、“支付宝安全门事件”、“12306用户数据泄露”等一系列事件为人们敲响了大数据时代个人信息安全的警钟,日益尖锐的个人信息安全问题不仅给我国大数据产业发展带来严重威胁,还时刻影响着国家安全和社会稳定。分析其原因,主要有以下四个方面: 

  一、大数据特点决定了其面临更加严峻的个人信息安全保护形势。大数据具备数据体量大、数据类型繁多、价值密度低和处理速度快四大特点,在大数据演进路径中除了面临传统互联网时代所有的信息安全问题外,还因自身特点使得其面临更加严峻的个人信息安全保护问题,一是数据收集缺乏针对性,容易导致广泛、不合理、过度收集个人信息数据,常常通过覆盖面很广的个人信息收集和分析后才能找出其中有价值的信息,在此过程中很难避免不触碰到一些个人隐私数据;二是个人信息数据多种多样,如智能终端、智能手环、物联网、位置导航等个人端产生的海量信息,这些开放、分散的数据实时接入网络,管理员很难像传统互联网管理一样逐一对其编辑和管理,进行实时跟踪保护;三是开源的开发环境、频繁的迭代升级、轻量化的快速部署和规模复制、分布式和非关系型数据存储,容易使企业在源头上忽视个人信息安全问题;四是在数据进行分析利用后,往往将大量的看似无价值、碎片化的个人信息数据随意丢弃,容易导致被其他企业甚至不法分子进行广泛收集和合成分析后变成其所用的高价值数据。五是大数据集群保障了快速的处理特点,但其自我组织性和自由开放性使用户与多个数据节点同时通信互联,容易导致数据节点被渗透、被攻击,甚至产生信息数据“脱裤”等整体泄露事件。

  二、我国在大数据个人信息安全方面缺乏权威化、体系化的法律规制。我国现有的法律条例在保护大数据个人信息方面存在以下问题:一是缺乏权威性,没有统一的法律规制来维护公民最基本的个人信息权益,虽然全国人大、政府、有关部委、地方政府已发布了一些法规条例,但因其效力等级不高、适用范围有限、惩罚力度过小,对产业链参与者的权利与义务不明确、不清晰,难以保护个人信息权利和保障信息自由流通,如全国人大常委会《关于加强网络信息保护的决定》主要面向网络通信和信息应用服务提供者,工业和信息化部《电信和互联网用户个人信息保护规定》主要面向通信行业和互联网服务提供商。二是缺乏系统性,没有站在大数据产业链全生态流程的高度整体思考和系统设计法律规制,使得产业链各个生态环节都可以肆意获取、存储、分析、开放、整合和应用数据,甚至产生有组织的地下个人信息数据输出利益链,如现行法律条例通常规定收集公民个人信息应遵循知情、同意原则,但对未考虑在收集环节很少把后续利用、交易等事项一一告知公民等情况,也没有清晰界定是否属于过度收集个人信息、超出目的使个人用信息等问题。三是我国现有个人信息保护方面的法律法规与欧美等国家统一立法的法律规制存在一定差距,容易导致在与国际社会交流合作过程中丧失主动话语权,甚至产生贸易壁垒。

  三、大数据个人信息安全缺少统一监管和行业自律。各个行业已逐渐开始利用大数据进行经营管理,但我国在政府监管和行业自律方面均已严重滞后于当前大数据发展的新形势。一是国家没有针对大数据个人信息安全建立统一的、有效的监管体制,尽管部分与个人信息保护强关联的部委都负有监管职责,但因其没有设立专门的监管机构、建立有效的认证体系,未形成可操作的监管制度,使得当前政府监管实际上还是处于各自为政、多头管理、监管手段缺失的局面,甚至还普遍存在无序监管、无效监管、无人监管的情况。二是各个行业没有形成应有的自律机制,首先行业组织、企业和机构没有自律意识,缺乏信息数据保护方面的自主性,更没有制定和发布本行业的个人信息保护标准和准入制度,行业内互相监管几乎缺失,大数据个人信息保护最具效力、成本最低的行业自律和行业内互相监管等法宝也难以发挥其真正效能和作用。

  四、我国大数据安全技术体系难以防范个人信息安全问题。一是我国大数据体系建设所使用的操作系统、计算芯片、虚拟软硬件等核心技术基本被国外垄断,容易被掌握核心技术的国家、组织植入后门,甚至不法分子有组织的利用。二是现有的安全防护体系建设仍停留在传统互联网时代思维,当前对大数据个人信息防护技术仍采用安全漏洞整改、防劫持、防篡改、防攻击等传统手段,基本属于被动的威胁防御思想,此类防护技术应用到大数据个人信息保护方面只能针对数据保护中的某一个环节,不能实现广度和深度防护,而大数据环境下个人信息安全保护要求必须对全业务流程、全应用场景、全生命周期进行体系化的技术防护,现有的安全技术防范体系无法满足要求。

  因此,国家在制定和实施大数据发展战略、促进大数据产业大发展的同时,建议站在维护国家安全、社会稳定和公民权益的高度,统一谋划、统一部署、统一推进,加快建设大数据时代个人信息安全保护体系。对此提出以下几点建议:

  一、加快国家对大数据时代个人信息安全的统一立法工作。大数据个人信息安全亟需完善的法律规制保护,建议国家加快实施统一立法工作,将法律规制作为保护大数据个人信息的基本保障和基础依据。一是加快立法调研工作,由国家主导,组织相关法律专家、公民个人、各行业大数据领域资深人士、科研机构学者深入到大数据产业链各个环节进行实地调研,广泛征求社会各界的意见,问计于民,为科学立法、民主立法提供参考和依据。二是尽快开展立法工作,明确权利和义务主体,规范政府、企业、个人等大数据产业链参与者的行为准则,同时在现有国家和地方个人信息保护立法实践、调研的基础上拓宽立法起草渠道,深入研究欧美等国家对大数据个人信息保护的法律法规,参考国际经济合作与发展组织提出的八项个人信息保护原则,出台符合我国国情的个人信息保护法律,做到在保护我国公民个人信息权利的同时,保障与国际社会平等的信息合作交流秩序。三是完善个人信息违法的责任体系,加大惩罚力度,严厉打击大数据个人信息安全保护中的违法犯罪行为,大力提升犯罪门槛和违法成本,保护大数据产业持续健康发展。

  二、大力构建大数据政府监管和行业自律体系。一是在国家层面建立统一的监管体系,设立统一的监管机构,建立协同、联防工作机制,加强个人信息保护“事前、事中、事后”监管,实施统一的大数据个人信息认证制度,制定认证标准和认证流程,强制要求企业必须通过资质认证才能准入生产经营活动,并对企业开展大数据个人信息安全动态评估工作,对数据持有者及大数据使用主体进行跟踪评估。二是在国家统一法律规制和行政监管下,充分发挥行业自律和互相监管这一低成本和高效率的管理法宝,引导各个行业制定适合本行业的个人信息保护标准和规范,建立行业内企业之间的互相监督机制,在保证国家法律规制权威性的同时兼顾行业发展的灵活性,由于当前我国行业协会在行业发展中的地位不高,建议由国家相关管理部门主导制定可操作、可执行的行业自律管理办法。

  三、推动大数据信息安全产业繁荣发展。强大的大数据产业离不开一个同步繁荣的信息安全产业,一是国家要实施安全技术自主创新战略,加大对信息安全关键技术研发资金投入,大力扶植国内企业进行大数据系统、主机操作系统、核心芯片、云虚拟软硬件等核心技术研发,推动信息安全产业集聚发展,建设国家大数据信息安全产业示范基地,逐步完善产业链、生态圈,鼓励和支持国内机构参与国际标准化工作,提升自主技术标准的国际话语权。二是国家对自主大数据信息安全产品和服务实施首购制度,政府主动搭台向公民和企业推广大数据信息安全产品和服务,加快发展实时大数据使用跟踪分析和面向个人信息消费领域的安全产品和服务,为公民提供切实可行的安全保护手段。三是鼓励创新型人才队伍建设,推进人才结构战略性调整,引导和支持人才流向大数据信息安全产业。四是加快大数据个人信息安全应急产业发展,大力推广信息应急产品和应急服务,确保在出现信息数据泄露事件后能进行及时、有效的应急处置,同时以应急产业倒逼安全防护产业取得长足进步。

  四、提升公民信息安全防范技术水平和安全保护意识。一是加快公民个人隐私保护软件、系统的研发,使用户可以自主控制提供的个人信息量。二是研发和推广数据加密技术,建立以数据隐私保护为主要目标的云、管、端安全模型,主动感知和防护安全威胁。三是发展基于大数据个人信息保护的全业务流程攻击监测系统和审计系统,迅速发现和处置隐藏在海量数据中的各类攻击行为、非法操作等各类安全事件。四是加大对个人信息安全宣传教育力度,充分利用各种宣传渠道,广泛宣传个人信息安全保护知识,提高公民信息安全自我保护意识、责任自律意识和安全防范技能。五是建立个人信息安全申诉渠道和举报机制,鼓励和动员公民个人、新闻媒体、认证服务机构等社会各界监督和曝光信息安全违法行为,群策群力,齐抓共管,共同营造良好的大数据个人信息安全保护氛围。

2014 © 上海华义匀安信息科技有限公司 |隐私保护|站点地图|人才招聘|在线留言|联系我们| 咨询热线:021-58763802
公司地址:上海市浦东新区张杨路188号汤臣中心 ICP备案号:沪ICP备4232371号-1

http://t.cn/RLDJvB0