中國信息通信研究院總工程師余曉暉: 加快推進我國大數(shù)據(jù)立法
發(fā)布時間:2016-05-24CNII網(wǎng)訊? 在第十三屆中國信息港論壇“大數(shù)據(jù)與網(wǎng)絡(luò)安全”專題峰會上,中國信息通信研究院總工程師余曉暉就大數(shù)據(jù)發(fā)展與安全的立法問題發(fā)表演講。余曉暉認為,數(shù)字經(jīng)濟、“互聯(lián)網(wǎng) ”的基礎(chǔ)是數(shù)據(jù)的充分流動和利用,數(shù)據(jù)安全至關(guān)重要。
“2015年,全球共發(fā)生1673例數(shù)據(jù)泄露事故,共造成 7.07億條數(shù)據(jù)記錄外泄。2013年以來,數(shù)據(jù)中心遭遇DDoS攻擊的占比已經(jīng)達到了70%。”余曉暉認為,大數(shù)據(jù)帶來經(jīng)濟增長的同時,面臨很大的安全風(fēng)險。要理解并處理好數(shù)據(jù)開放帶來的社會利益與個人或組織對數(shù)據(jù)開放合理擔憂間的平衡問題。
個人數(shù)據(jù)邊界模糊,潛在范圍無限擴展,同時難以徹底去識別,數(shù)據(jù)利用及流轉(zhuǎn)的復(fù)雜性使用戶知情同意權(quán)難以有效行使,數(shù)據(jù)多方流轉(zhuǎn)和后續(xù)利用無法保證遵循原始收集時的特定目的,流轉(zhuǎn)及交易牽涉多方主體,數(shù)據(jù)保護責(zé)任難以清晰界定……余曉暉認為,在個人數(shù)據(jù)保護方面,傳統(tǒng)個人信息保護制度已經(jīng)無法適應(yīng)大數(shù)據(jù)時代的發(fā)展需求。
余曉暉介紹了國際上大數(shù)據(jù)安全立法經(jīng)驗。歐盟已通過《數(shù)據(jù)保護總規(guī)》,2018年正式生效,明確了數(shù)據(jù)的被遺忘權(quán)、更正權(quán)、限制處理權(quán)、數(shù)據(jù)可攜權(quán)、數(shù)據(jù)獲取權(quán)、信息知情權(quán)、知情同意權(quán)等規(guī)則和企業(yè)設(shè)立數(shù)據(jù)保護官、通知、限制用戶畫像、限制隨意跨境轉(zhuǎn)移等義務(wù)。美國白宮兩度發(fā)布大數(shù)據(jù)報告,探討大數(shù)據(jù)時代的數(shù)據(jù)保護及數(shù)據(jù)倫理,推動個人數(shù)據(jù)保護綜合性立法,推動個人數(shù)據(jù)保護領(lǐng)域性立法,并頒布個人數(shù)據(jù)保護操作指南。日本修訂了《個人信息保護法(PIPA)》,擴張個人數(shù)據(jù)定義及法律適用范圍,增加敏感數(shù)據(jù)、匿名化等條款,建立統(tǒng)一的個人數(shù)據(jù)保護委員會等。
余曉暉解釋了數(shù)據(jù)流動中的數(shù)據(jù)管控和授權(quán)相關(guān)問題。他說,調(diào)查顯示,數(shù)據(jù)流通面臨的主要問題為“難以管控數(shù)據(jù)在允許范圍內(nèi)流動”。數(shù)據(jù)安全面臨的主要問題為“難以界定數(shù)據(jù)授權(quán)信息”??缇硵?shù)據(jù)流動管理成為影響國家網(wǎng)絡(luò)信息安全以及相關(guān)行業(yè)發(fā)展的重要問題。一方面,信息社會發(fā)展需要促進數(shù)據(jù)全球流動;另一方面,數(shù)據(jù)安全事故頻發(fā)引發(fā)安全擔憂,客觀要求在一定程度上限制跨境數(shù)據(jù)流動。
余曉暉表示,我國大數(shù)據(jù)發(fā)展中的產(chǎn)業(yè)訴求是法律法規(guī)和標準規(guī)范。參與調(diào)查的單位最希望政府(第三方機構(gòu))提供法律保障及技術(shù)標準。而大數(shù)據(jù)立法面臨四大挑戰(zhàn):分別是個人數(shù)據(jù)保護、政府數(shù)據(jù)開放、數(shù)據(jù)流通與交易、數(shù)據(jù)跨境流動。推進我國的大數(shù)據(jù)立法,應(yīng)該堅持安全與發(fā)展并重、促進與規(guī)范并舉的原則,重點促進網(wǎng)絡(luò)基礎(chǔ)設(shè)施的發(fā)展;加強網(wǎng)絡(luò)安全與隱私保護;開放數(shù)據(jù)資源,加強政府和公共部門的數(shù)據(jù)開放;針對數(shù)據(jù)的收集、存儲和使用等全環(huán)節(jié)建立數(shù)據(jù)安全與保護的規(guī)則;明確大數(shù)據(jù)生態(tài)中各不同主體的責(zé)任。
在網(wǎng)絡(luò)安全方面,推進《網(wǎng)絡(luò)安全法》盡快出臺;應(yīng)對大數(shù)據(jù)等新技術(shù)新業(yè)務(wù)帶來的網(wǎng)絡(luò)安全問題;與實體經(jīng)濟安全相結(jié)合進行統(tǒng)籌處理;建立關(guān)鍵信息基礎(chǔ)設(shè)施安全管理制度;對互聯(lián)網(wǎng)平臺的責(zé)任予以明確。在數(shù)據(jù)安全方面,建立對數(shù)據(jù)安全風(fēng)險的評估機制;從關(guān)注數(shù)據(jù)本身,到數(shù)據(jù)資源整體的安全;加強對處理數(shù)據(jù)主體的關(guān)注,限制特定類型的主體從事相關(guān)數(shù)據(jù)分析。