历届两会中,网络安全都成为备受关注的热点话题,专家、学者、企业大咖纷纷建言献策,受到业界的高度关注。借此,信息安全与通信保密杂志社特别整理了2015—2022年两会有关网络安全的提议提案,主要涵盖个人信息保护、数据保护、勒索攻击、网安制度建设、元宇宙技术与安全、智能汽车安全等内容。这些提案,在一定程度上也指引着未来网络安全的政策导向与发展走势。
2022
主题:加强网络安全、数据安全和个人信息保护
关键词;勒索攻击、元宇宙技术与安全、汽车信息安全、数据保护等
主要内容:
一、数字安全
1、网络安全升级为数字安全,亟待将数字安全纳入新基建
建议:网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,包括应对工业互联网、车联网、智慧城市,以及云安全、数据安全、供应链安全等挑战。同时,建议国家把数字安全纳入新基建,各地数字化建设之初便将安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设,真正提升国家的数字安全能力。
2、帮扶中小企业数字化转型,数字安全“一个都不能少”
建议;鼓励和支持大企业以创新轻量化产品、SaaS服务为抓手,消除中小微企业在认知、资金、技术、人才等方面的差距,推动中小企业实现数字化转型。
3、关于构建可信数字身份认证服务体系
建议:一是围绕可信数字身份健全法律法规或管理办法,明确以居民身份证信息为根,为公民建立可信数字身份。建议聚焦可信数字身份认证加强技术创新和规范统一,支撑可信数字身份认证服务体系与数据治理体系的融合,实现数据资源的可用不可见、可算不可识。
二是基础设施以统一规范的“可信数字身份+”的形式规划公民身份信息集合,做到标识可信;使用手机SIM卡、银行卡等安全芯片承载可信数字身份,做到载体可信;依托中央企业构建国家级数字身份认证服务平台,做到平台可信;统筹各行业身份认证服务,关联用户行为认证,做到服务可信,从而为数据治理提供安全环境,为社会提供数据安全感及信任感。
二、个人信息保护
1、推进人脸识别信息保护,建立完整监管体系
建议:应组建行业协会,建立分级管理制度,由政府同意授权建立行业协会,强化机构责任,由该协会进行人脸信息数据保护的微观管理,负责人脸数据使用的审批同意、维权保护、技术培训等业务,贯彻落实《个人信息保护法》的执行,实现政府部门与行业协会的有机联动。除分级管理体制以外,一体化的监管体系的建立势在必行,通过打造“采集—储存—使用—销毁”一体化的监管体系,确保人脸信息安全。
建议:进行《个人信息保护法》及《人脸信息识别技术若干规定》的宣传教育,向公众普及常见违法的人脸信息使用情形及侵害维权途径。在人脸识别技术领域新法律法规的框架下,搭建公民、社会专门机构、政府部门的动态监管体系,建立公众维权渠道,完善人脸信息损害救济闭环。
2、电子废旧物循环利用各环节中,严格落实个人信息保护
建议:国家制定我国电子废旧物循环利用中长期发展规划,同时建议大力培育市场主体,加强协同规范发展。同时,积极开展个人电子废旧物碳积分试点,便于查询个人电子废旧物流通信息,展示个人碳积分及排名信息等,适时向全国推广,提高公众参与度。
3、加大快递行业个人信息保护监管力度
建议:应及时修订相关法规及行政规章,全面落实《个人信息保护法》,修订快递行业个人信息保护相关配套措施,并及时修订《快递暂行条例》及《寄递服务用户个人信息安全管理规定》,从而强化其中的法律责任,为快递业个人信息保护提供更为坚实的法制保障。一方面,可以也应当充分利用信息化手段,通过设置权限管理、信息加密、面单隐匿化处理等技术,强制普及隐私面单,减少接触信息的人群,进一步完善和落实个人信息保护机制;另一方面,要在完善相关监管和强化技术防护基础上,从源头出发,全面加强行业自律机制建设和从业人员安全教育培训,切实增强个人信息安全保护意识。
4、检察公益诉讼助力个人信息保护
建议:检察机关进一步能动履职,通过公益诉讼检察职能推动相关行政机关依法履行监管职责,全面解决相关行业存在的问题,为强化互联网信息服务领域系统治理、综合治理提供有力司法保障。
三、网络安全与数据保护
1、设立网络安全和数据保护指导窗口,解答企业及个人疑难
建议:设立网络安全和数据保护指导窗口,负责接受投诉举报,解答企业、个人及专业服务机构在网络安全与数据保护方面的实际问题。对于涉及不同主管部门的咨询内容,窗口应该具备能力进行内部的资源共享、协调统合,通过统一窗口给出权威答复。同时,加强职责部门之间的统筹协调。在形成监管合力的同时,明晰各部门在网络安全及数据保护领域的监管重点和边界,促进部门间的资源共享与协作,逐步健全跨部门的综合监管制度。
2、明确数据权属,规范交易活动
建议:要明确数据所有权、使用权、处理权、控制权、收益权等各种权利属性,确定各种数据权拥有者的相关权责。对涉及个人隐私、商业秘密和国家安全等数据在大数据营销、企业数据共享、数据跨境流动、政府社会治理、公共服务、公共安全应用等特定使用场景下进行使用约束,避免隐私权与财产性数据权属混同。
3、加快制度建设促进网络安全保险健康发展
建议:一是完善相关标准与法律体系。我国急需要构建更为完整的网络安全等级管理体系,加快建立统一的数据安全分类管理制度,为保险公司、网络安全服务商提供网络安全保障服务,及时处理网络经济纠纷有法可依,有效保障网络安全行业的高质量发展。
二是制定网络安全保险发展的相关战略规划。提供政策支持和组织保障,建议工信部指导网络安全保险市场发展,可借鉴国外经验,出台优惠政策,鼓励责任主体购买网络安全保险。
三是建立统一的网络安全风险数据库。网络安全保险市场发展缓慢的一个重要原因是缺少经验理赔数据,从而使数据安全风险量化成为难题。
四是加大网络安全保险的宣传推广力度。充分利用国家安全教育日、全国保险公众宣传日等全国性宣传机会,介绍网络安全保险的承保范围、真实案例、作用意义等。
四、汽车信息安全
1、建立“数字空间碰撞测试”机制,护航智能汽车产业发展
建议:借鉴汽车物理碰撞测试的手段,建立智能网联汽车“数字空间碰撞测试”长效机制,强制要求在我国销售的智能网联汽车通过“数字空间碰撞测试”。同时,他还建议汽车行业尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保上路的智能网联汽车始终处于良好的安全状态。
2、建立汽车信息安全防护体系、法规体系和监管体系
建议:一方面,国家应引导构建跨行业协同的车联网信息安全保障体系,建议工信部、交通运输部、科技部、财政部等部委联合,以政策促进企业和从业人员提升信息安全意识,加大安全领域投入,提升信息安全的技术能力和整体防护水平,加快构建起跨行业协同的车联网信息安全保障体系。
另一方面,相关部门应加快建设汽车信息安全标准法规和监管平台,提议国家网信办、市场监督管理总局、工信部、交通运输部、公安部等相关部委联合,通过统筹规划,制定完善汽车信息安全标准法规,尽快形成全生命周期的汽车信息安全监管能力和应急响应体系。
此外,各界可协同建立政产学研深入合作的汽车信息安全领域的国家技术创新平台,建议工信部、科技部、教育部、人力资源和社会保障部、财政部等部门可联合推动,鼓励由行业领军企业牵头,联合相关行业领域有影响力企业和高校院所及行业协会,建设国家级的汽车信息安全技术创新平台,联合开展技术创新与复合型人才培养,服务于汽车数字化转型发展。
3、关于统筹智能网联汽车发展和安全的建议
建议:完善智能网联汽车的法律法规体系,在安全可控的范围内,包容新兴产业发展;政府引导、法规保障、标准统一,加速行业合作,打破数据壁垒;合理放宽汽车数据安全与隐私保护要求,建立可信的汽车数据流通渠道,在满足数据安全要求的同时,促进智能网联汽车发展。五、关键信息基础设施与网络安全
五、关键信息基础设施与网络安全
1、新型电力系统与网络安全应同步规划建设
建议:新型电力系统发展与安全同步规划建设。统筹安排电力部门、网络信息安全部门、创新企业等多方力量,联合开展顶层设计和规划论证。注重构建能源网络全要素安全技术体系,在大力提升能源网络数据智能自动化安全调度运营管控能力的同时,同步安排新型电力系统网络安全防护体系的规划建设。
建议:多领域专家交叉融合开展创新工作,建立与系统相匹配的、可持续更新的新型电力系统、网络安全、数据安全等工程标准体系。在预防预测、防护保障、监测预警、应急处置等方面,打通产品、服务、人员和流程等关节,通过一体化安全运营模式,不断提升新型电力系统的网络和数据安全保障水平。
2、设“首席安全官” ,加强重大交通基础设施保障
建议:借助港珠澳大桥的智能化运维技术和物联网、大数据、云计算、人工智能等新一代信息技术,建立一套系统科学的重大交通基础设施全生命周期运营规程出来,从整体上为重大交通基础设施安全管理的各个方面打造一个标准完善、责任清晰的基础环境。
六、国家网络空间安全
1、加强防范勒索软件攻击,提升国家网络空间安全防御能力
建议:强化网络漏洞发现能力;提升基础设施安全应对能力,及时对系统漏洞进行补丁升级;共建网络空间国际新秩序。
2、网络安全规划应放在严峻国际形势下做出敌情想定
建议:相关部门设立专项,研究推动软硬件研发场景安全防护工作;制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。通过建立试点示范项目等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。
七、元宇宙技术与数据安全
1、元宇宙技术布局与国家“数据银行”安全建设
建议:国家从产业发展、技术布局、监管手段方面提早布局,让“元宇宙”技术运用更为规范,而不是“泛元宇宙化”。在他看来,既要跟踪研究新模式、新机制,制定监管法律规范,又要关注该类企业和“社区”发展,推动备案登记制度、运营交易模式监管制度。此外,聚焦国家“数据银行”建设。面对DNA、医疗健康档案等具有唯一性和不可再生性的个人生物特征数据,应从国家层面建立“中心站”进行管控,从而保护数据安全与国家安全。在他看来,个人隐私已不仅仅关系到个人安全,点滴数据汇聚起来,构成了社会安全乃至国家安全。
2021
主题: 需求侧安全
关键词:个人信息保护、人脸识别、工业物联网安全、物联网安全、网络安全人才与学科建设
主要内容:
四、工业物联网安全
建议:一是实施四大战略,谋划自主可控发展体系。实施大政策、大平台、大工程、大项目“四大战略”。
二是建设软硬件适配标准,营造自主可控生态环境。
三是攻关完全自主研发技术,打造自主可控建设框架。
四是破除人才体制机制障碍,建设自主可控人才队伍。
建议:一、加快构建覆盖国家、地方、企业的三级安全技术防控体系。
二、完善工业互联网人才顶层设计,推动工业互联网人才标准体系建设。
三、完善工业互联网人才顶层设计,推动工业互联网人才标准体系建设。
2020
主题:新基建安全
关键词:网络安全、数据安全、个人信息保护、物联网安全、智慧城市安全
主要内容:
一、网络安全
1、提高网络安全应急处置能力
建议:完善国家层面的网络安全应急管理制度体系;建设全国性网络安全应急管理处置平台;配套制定网络安全处置应急征用办法;研究开展必要的实战性网络安全测试。
2、网络安全是新基建的基础型技术之一
建议:一是要运用整体思维,规划新基建网络安全防护体系顶层设计;二是要同步建设新基建的安全基础设施,聚焦新基建安全防能力构建;三是要强化大数据平台安全,实现安全的大数据协同计算;四是要开展常态化网络安全攻防对抗演习,持续检验和提升新基建安全能力。
3、重点盯防关键基础设施与重度场景安全
建议:构建新基建网络安全防护体系,尽快制定《国家5G安全战略》,加快推进工业互联网安全保障,加强信创网络安全保障能力建设。
二、数据安全
1、与国际规则对接,强化数据安全专项立法和严格执法
建议:一是强化数据安全专业立法和专项执法;二是积极开展数据和人工智能安全国际规则对接;三是加大扶持做大做强网络安全产业;四是要建立适应人工智能发展的数据流通体系。
2、加强数据安全保护与利用
建议:应从全生命周期角度对数据面临的安全问题进行规制;加强企业在数据安全保护方面的意识和管理,以及完善数据控制和流通规则,明确界定数据流通过程中各方的责任和义务,保障数据的有效利用。
3、加快制定“数据安全法”,进一步完善数据治理
建议:一是细化数据安全与隐私保护规则,保护公民合法权益;二是明确数据的权利归属,促进数据的确权、流通、交易和保护;三是建立数据合理使用制度,实现个人与数据使用者之间的利益平衡;四是建立公共数据开放共享规则,促进公共数据的合理利用;五是完整确立我国数据跨境流动制度,应对国际数据竞争。
三、个人信息保护
1、加强个人信息保护,建设形成安全可靠的现代化交通治理体系
建议:针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。
2、大数据广泛应用背景下,保障个人信息安全迫在眉睫
建议:一是加快立法进程;二是设立专门监管机构;三是确立运营主体运营规范;四是赋予信息主体自我保护权力。
四、物联网安全
1、推动人工智能赋能工业互联网安全发展
建议:
(1)引导成立联合实验室促进技术研究与复合型人才培养;
(2)促进人工智能赋能工业互联网安全实践落地;
(3)推动人工智能赋能工业互联网安全可持续自适应演进
2、推进智能车联网安全风险评估及检测
建议:
(1)建议相关单位启动或加快完成车载网关、车载娱乐系统等信息安全标准制定;
(2)建议在《机动车运行安全技术条件》中增加信息安全要求,明确智能网联汽车、车辆辅助驾驶系统的信息安全风险评估要求和信息系统与数据安全要求;
(3)建议要求对含有电子系统、尤其是具有操作系统的智能网联汽车重要零部件进行销售前进行信息安全检测;
(4)建议包括无人试验车、无人出租车、低小慢速智能设备等智能网联车和含有辅助驾驶功能传统汽车、新能源汽车的在投入使用前必须进行全面的信息安全风险评估。
(5)建议要求针对无人试验车、无人出租车、低小慢速智能设备、电动车等智能网联车建立常态化的信息安全检测和评估机制。
(6)建议对全国在建或已建成的各无人车、智能网联汽车、低小慢速智能设备的示范区及封闭型试验区进行智能车联网络风险评估,并形成常态化评估机制;
(7)建议针对目前国内市场上所有的国外进口整车型号,根据《中华人民共和国网络安全法》和《个人隐私保护条例》等法律条例进行全面信息安全风险评估,并根据法律要求将云端车辆服务系统迁移至中国境内,以防止我国公民个人隐私信息的泄漏。
五、智慧城市安全
安全建设智慧城市
建议:转变智慧城市安全建设思想,由同步建设转为安全先行;转变智慧城市安全建设思想,由同步建设转为安全先行;正确处理智慧城市与信息安全发展关系;确保智慧城市数据安全保护;制定物联网安全技术方向鼓励智慧城市关键技术引进和创新。
2019
主题:立体化安全
关键词:物联网、工业互联网、个人信息、安全治理
主要内容:
一、物联网安全
1、共建国家级网络安全大脑
将国家级网络安全大脑列为国家重大工程专项。建议成立国家网络安全大脑项目总体工作组、专家组、工程推进组,分别负责顶层设计和总体筹划、系统设计、工程建设;运用新型举国体制,加快推进国家级网络安全大脑建设。其建议由国家相关部门牵头,协调网信、工信、公安、科技等部门和单位,组织国企、民企、科研院所等广泛参与。
2、把网络安全列为智能汽车标配
建议:加装安全联网模块,提高联网防护能力,建立安全接口,加强汽车的控制安全保护,防止控制被劫持;强制安全测试。建立测试评价体系,在汽车上市前进行网络安全测评;建立厂商安全运营平台,提升安全运营能力,及时发现和阻断黑客攻击。
3、人工智能要智商也要安全
建议:加快国家级网络安全人工智能开放创新平台建设。安全应该成为人工智能发展的基础与前提;国家支持尽快建设国家级网络安全人工智能开放创新平台,确保人工智能健康有序发展。
二、工业互联网安全
1、制定出台“工业数据保护法”
建议:在重要工业城市加快推进国家网络安全产业基地建设;完善从国家到地方的风险监测体系,明确数据在采集、加工、使用、存储中相关方的权利、义务、责任。
2、立法保障工业互联网数据安全
建议:一是立法层面,要建立完善的体系;二是技术层面,要能保护每个个体数据隐私;三是企业文化层面,要建立一种尊重消费者、尊重消费者隐私的文化。
三、数据安全
1、加快制定数据安全法律法规
建议:加快制定数据安全法律法规、安全保护配套标准,从信息的收集、存储、处理、传输、共享、删除等全生命周期管理的角度制定完善的法律体系,确保数据安全;提高其利用效率。
2、确立数据主权,实现安全风险预警
建议:要确立数据主权,明确数据安全法的管辖范围;明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。
3、立法明确个人信息收集原则
建议:制定一部科学、完整、专门的个人信息保护法律,建立个人信息保护制度。
四、网络安全治理
1、加强暗网监管,有效应对黑产威胁
建议:加强暗网治理技术手段研究;加强传统技术与行政执法手段的结合;加强政府与网络安全企业的合作。
2、加大网络安全产业投入,避免受制于人
建议:从战略层面进行网络安全的体系化和层次化设计;要制定积极的网络安全产业发展政策,实行主动纵向的产业政策;要在政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间。
3、三管齐下提升政企网络安全
建议:相关机构联合发文,强化帮扶政企单位提升安全能力的赋能工作,提出清晰的战略指引和体系化、框架性防护规划指引,将网络安全防护工作引导到全面建设必要的网络安全防御能力,并将其有机结合以形成动态综合网络安全防御体系的能力导向建设模式。针对网络安全建设缺少预算支撑的现象,建议相关部门对网络安全预算和资源投入落实给出硬性的工作要求,使安全规划实施获得充分保障。
同时,在现有相关主管部门考核、监管、检查的基础上,积极探索通过国家监察体系对网络安全责任制的落实实施监督审查,对政企机构在网络安全工作中是否及时有效制定规划、配置资源、执行预算,是否达成有效防护效果等督查问效,形成深度问责机制。
2018
主题:生态安全
关键词:人才、政企单位、漏洞、用户隐私、工业互联网、军工行业
主要内容:
一、网络安全人才培养
建议:大力支持网络安全企业设立相关教育培训机构;开展网络安全学科联合建设;把网络安全纳入职业技能鉴定体系。
二、政企单位网络攻击安全
建议:出台鼓励网络攻击事件上报的相关政策;规范网络攻击事件上报流程;加大对知情不报企业查处惩戒力度;鼓励政企单位选用网络安全企业专业服务。
三、网络安全漏洞管理
建议:一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。
四、用户隐私信息保护
建议:明确用户数据信息是用户个人资产;保障用户对数据信息使用的知情权、选择权;明确互联网公司保护用户数据信息安全的责任。
五、工业互联网信息安全
建议:明确国家、地方及行业的工业互联网信息安全监督主体和责任;建议制定工业互联网安全新技术研究方向,开展工业互联网信息安全技术创新实验室和示范基地的建设;建议完善工业互联网信息安全产品认证及准入机制,建立相关产品名录;建议完善国家工业互联网整体安全保障能力。
六、军工行业工业控制系统与涉密信息系统安全
建议:明确监管责任主体与责任边界;推进工业控制系统的安全防护技术在军工行业的应用,建立工业控制系统信息安全管理机制;全面提高涉密信息系统、非涉密信息系统和工业控制系统安全保密风险实际防控能力。
2017
主题:管理安全
关键词:大数据、个人信息、智慧城市
主要内容:
一、大数据安全
建议:用强化政府管理与加大打击力度等“四个并行”措施解决信息安全问题;建议加快制定数据安全法律法规和配套标准,为数据打造安全屏障,发展高质量数字经济。
二、智慧城市信息安全
建议:转变智慧城市安全建设思想,由同步建设转为安全先行;明确智慧城市网络安全监管主体和责任;正确处理智慧城市与信息安全发展关系;确保智慧城市数据安全保护;制定物联网安全技术方向;鼓励智慧城市关键技术引进和创新。
三、个人信息保护
建议:国家采取的方式是在多项法律中关注和强化对个人信息的保护;可考虑整合个人信息保护中的相关执法职能,设立跨部门的个人信息保护机构,统筹个人信息保护的预防、监管、违法责任追究等职责,更加有效地保护个人信息。
2016
主题:移动智能安全
关键词:安全体系、管理及评估机制、智能制造
主要内容:
一、构建移动互联网生态安全体系
建议:全面构建我国移动互联网生态安全体系,建议“大力推进,重点打击,多位一体,共同治理”。
二、加强网络空间安全建设 建立管理评估监测及定期评估机制
建议:提高公众网络安全意识,加大对网站和移动客户端的建设和管理,在省级层面建立定期评估机制。加强日常管理评估监测,让监测常态化,一旦发现问题,立即整改落实。同时,在技术层面上,充分利用云技术,关注云平台的发展,对网站实现集中化管理。
三、让智能制造更安全
建议:对信息安全的重要环节开展安全防护工作,在实际工况中开展示范、试点,逐步完善技术方案。
2015
主题:国产化
关键词:信息安全、自主改变、安全体系
主要内容:
一、信息安全——保证电子政务云有效实施
建议:建立完整标准,避免数据的泄露;政府应多鼓励引导厂商和企业的合作,建立良好的环境,形成安全体;云厂商加强系统的安全可靠性,解决安全隐患。
二、自主改变——安全信息掌控在手
建议:进行全方位审查,保证信息安全自主可控;划分关键基础设施、敏感部门、政府机构范围;建立详细的透明供应链登记名录;在关键基础设施、敏感部门、政府机构中规范采购行为。
三、明确领导——推动安全信息体系可靠发展
建议:建立一个全面的网络安全体系,在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度,使我国的安全产业形成良好的生态环境。
END
《厦门经济特区数据条例》3月1日施行!
发布 | 《新疆维吾尔自治区公共数据管理办法(试行)》
欢迎投稿
参与更多讨论,请添加小编微信加入交流群
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论