全国政协委员、启明星辰集团首席执行官严望佳在两会上的三个网络安全提案

2019年两会正在进行中,全国政协委员、启明星辰董事长严望佳在两会上提交了三份提案,内容涉及网络安全制衡能力、人工智能安全和数据法治建设等方面。安全牛记者将提案的核心内容消化整理如下:

一、《关于增强大数据时代中网络安全制衡能力的提案》

提案指出,当今数据已成为国家基础性战略资源,应利用网络安全技术 “对信息化建设加以适当的安全制衡和引导”,才能实现习总书记提出的 “网络安全和信息化是一体之两翼、驱动之双轮” 的要求,保证国家社会的健康良好发展。

但目前的情况是,我国大部分企事业单位没有真正理解 “网络安全与信息化发展并重” 的理念,在实际工作中 “重信息化建设,轻网络安全建设”,导致网络安全投入减少,网络安全风险防范能力降低。以下面几种典型现象为例:

  • 信息化规划时,重点规划信息化建设的内容和安排经费,然后 “象征性” 部署部分网络安全措施;
  • 为简单方便,将网络安全建设内容由信息化建设承包单位统一管理,导致网络安全建设方案、步骤和效果受到信息化建设承包单位的限制;
  • 将网络安全运营附属于信息系统运营之中,一方面导致不专业的网络安全运营,另一方面则导致安全舞弊现象:即在出现运营问题时,网络安全运营者首先对信息化运营者负责,而不是对用户负责。
  • 在智慧城市、工业互联网等高度互联的大型信息系统中,各个部门、子系统之间的网络安全预警、情报、实时态势以及事件处置各自独立进行,缺乏统一监管和协调。

针对上述情况,提案建议在处理网络安全和信息化关系时,“要将网络安全放在一个平等的、独立第三方的位置,而不是处于信息化的附属地位”,“保障和制衡数据时代的可持续性发展”。具体建议如下:

1)制定政策配套细则,提高网络安全制衡能力

出台政策配套细则文件,强调网络安全在信息化规划、建设和运营时的重要性,并有效指导基层单位进行落实。包括在关键信息基础设施建设中制定网络安全管理办法、设立网络安全的“一票否决权”、设定项目网络安全预算最低比例要求(如8%-12%)、规范网络安全独立审计制度等。

2)强调网络安全独立性,落实网络安全保障职责

信息化部分和网络安全部分须由不同责任主体承担,并严格落实 “网络安全和信息化三同步原则” 。同时,在涉及国家安全、国计民生和公共利益的信息化项目中,鼓励建设独立于信息系统运营的网络安全运营中心,强化网络安全事件独立处理能力和网络安全保障效果。

3)实施国家网络安全重大工程,强化网络安全可控水平

围绕国家重大战略需求和重要信息化系统,布局实施一批重大安全工程,如建设统一的威胁情报、态势感知和数据安全预警系统等。通过实施国家层面的网络安全重大工程,不仅可以加快构建关键信息基础设施安全防御体系,提高对智慧城市和关键信息基础设施的安全管控能力,还可以显著带动各单位提高对网络安全的重视程度,形成网络安全与信息化发展并重的局面,并切实维护国家网络空间主权和发展利益。

二、《关于规范人工智能安全健康发展的提案》

提案认为,由于人工智能的快速发展,如果缺乏有效地安全控制和管理,则会“留下难以估量的安全隐患”。具体存在如下安全方面的问题:

  • 人工智能安全健康发展法规和伦理道德研究不足。总体来看,目前针对人工智能的发展主要以战略、政策的形式进行引导激励,而相应的法律法规以及道德规范要求还不健全,尚不能有效防范控制潜在的安全风险。
  • 多种因素可能导致人工智能产品和应用存在缺陷。如果问题发生在涉及国计民生的重要领域(如自动驾驶、医疗、金融等)中,将会带来严重的危害。
  • 人工智能产品和应用的安全评估工作进展缓慢。总体上,由于存在技术融合多、使用环境复杂、应用领域广等方面的原因,目前针对人工智能产品和应用的安全评估工作尚处于研究探索阶段。

为了达成习总书记提出的:要加强人工智能发展的潜在风险研判和防范,维护人民利益和国家安全,确保人工智能安全、可靠、可控的要求。

提案建议:

1)加快开展人工智能安全应用法规和伦理道德的研究

具体的安全规范机制包括研究出台相关法律法规,界定人工智能应用的法律主体及相应的权利和义务;开展人工智能伦理道德的探讨,约束人工智能研究与实际应用的范围界限。

2)建立关键领域内的人工智能应用安全审查机制

加强人工智能算法及应用的安全性、可控性和透明性的审查。

3)展开人工智能安全评估技术研究,健全完善测评机制

一方面引导加快研究人工智能产品和应用的安全评估评测技术,逐步积累安全检测样例库、测试样本库等知识资源和研发测试工具集,提高人工智能产品和应用的安全评估评测能力;另一方面推动人工智能安全相关的国家标准和行业标准的制定工作,明确相关安全评估指标、方法和要求,建立安全测评流程和管理规范,健全人工智能产品和应用安全测评机制。

三、《关于加快完善数字经济时代数据法治建设的提案》

提案指出,在数字经济快速发展的社会实践中,出现了大量个人信息被窃取或泄露、非法收集和买卖等现象,也造成电信诈骗、金融诈骗等事件屡屡发生,个人人身和财产安全乃至国家安全都受到严重威胁,迫切需要加快出台数据保护法和个人信息保护法,当前如何建设数字经济法治体系以保护数据产权,如何以法治方式规范数据收集使用以鼓励市场主体创新,如何借助大数据资源提升司法治理能力,成为我们在推进法治中国建设和数字中国建设进程中面临的重要议题。提案建议:

1)建议加快数字经济时代的数据保护立法工作

落实习近平总书记 “要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度”的要求,更好的满足我国高速发展的数字经济保驾护航需求和提高社会数据治理水平,针对在2018年我国人大已纳入立法计划之中的《数据安全法》,建议加快其研究与立法工作。

数据是数字经济的关键生产要素,数据权属是核心问题,分类界定好数据的权属、数据保护原则,平衡好社会数字经济发展的需求与国家主权数据、商业数据和个人数据隐私安全保护之间的需求。

2) 建议加快推进我国个人数据保护立法工作

我国至今还未制定个人信息保护法等专门法律,个人数据保护亦面临严重危机。个人数据经常可能在云服务–管道–终端的每一个环节未经数据主体授权就被不当收集、储存、利用,甚至用来非法交易。

在互联网及移动互联网应用日益普及的今天,每个人似乎都处于“裸奔”状态,毫无个人隐私可言,现实生活中各种各样“知根知底”的营销电话、短信接踵而来,就连上网痕迹、手机通话、聊天记录中的关键词也存在着可能被抓取用来实施“精准”营销,或被非法组织及人员获取将其用于电信诈骗、金融诈骗等非法活动,这已给社会的和谐稳定造成极大伤害,成了数字经济下的社会毒瘤。

因此,针对在2018年我国人大已纳入立法计划之中的《个人信息法》,建议加快推进我国个人数据保护–《个人信息法》立法与研究工作。

3) 建议及时完善数字经济数据要素相关法律法规

数字经济快速发展对我国现有法律法规体系提出了新的挑战,数字经济发展需要法治来保障,建议加强研究并做好以数据为核心生产要素的数字经济法律法规治理体系的顶层设计,根据数字经济发展形势和需要,及时调整完善现行相关法律法规,明确数据市场监管主体、负面清单、参与主体权责以及相关法律责任,为我国数字经济持续健康发展和国际竞争力的提升营造良好法治环境。

上一篇:2019 RSA 大会最具潜力的12家初创公司

下一篇:WordPress 5.1:从CSRF到RCE