全国人大代表、国网山东省聊城供电公司数字化与通信工作部(数据中心)信息运检班班长 冯涛
当前,数据安全面临诸多挑战。数据安全治理已成为贯彻落实总体国家安全观、守住数据要素流通交易红线和底线、保障企业数字化转型的重要保证。
2022年12月19日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》。该《意见》结合我国当前数据要素市场发展总体趋势和要求,从安全与发展、法治与行业自治、政府监管与市场自律等方面出发,明确了数据要素安全治理的制度规则、管理标准与创新机制。
我在调研中发现,随着数据作为基础性战略资源的地位不断凸显,数据安全治理体系缺失已成为制约大数据发展的短板之一。由于数据安全治理起步较晚,针对数据安全的强制性政策要求不多,一些企业、个人数据安全意识薄弱,数据安全保护意愿不强,导致数据安全风险难以消除。目前,我国数据安全治理顶层体系架构尚未建立,各行业、企业在数据安全治理方面缺乏有效指导,采取的措施力度不一,数据无序流通、带病利用问题突出。同时,随着数据业务不断发展,数据应用场景持续拓展变化,传统以边界防护为核心的数据安全保护措施缺乏动态适应性,安全防护不到位。此外,数据安全监管体系化运作模式不完善,存在监管部门多头管理、权责不清等问题。跨部门联合执法也多是采取一事一议的方式,缺乏完善的数据安全统筹协调机制。数据安全监管通常是以“事件驱动”的被动式监管为主,监管手段的威慑力不足,缺乏常态化主动监管手段。
数据安全法律法规滞后于数据业务发展,难以保障各项制度措施落地。数据安全法、个人信息保护法虽已经颁布,但相应法规、政策、标准等配套执行文件仍未出台。我认为,数据分类分级、重要数据目录、交易管理、出口管制等方面缺乏针对性的制度规范,亟须进一步研究制定。在有关标准方面,数据安全治理相关标准研制工作尚处于起步阶段,研制进度较慢;在国际交流合作方面,尚未参与到多边、平等、透明的国际规则体系建设中,在国际舞台缺少话语权,国内数据安全标准向国际标准转化存在阻力。处于完善和细化过程的配套执行文件给数据安全建设工作带来了诸多不确定因素,大量企业依靠经验进行数据安全保护,对数据安全理解不全面、不到位,工作成效不显著,数据安全总体尚处于“摸着石头过河”的初级阶段。
此外,当前我国市场驱动下的数据安全技术研发滞后于业务发展,二者之间发展不平衡。数据安全新业务迭代快,数据安全产品无法满足实际业务需求,数据流通共享的安全技术尚不成熟,安全计算等技术自身还存在安全问题尚未解决。更加值得关注的是,目前我国一些基础行业的核心装备仍依赖国外的操作系统和芯片,实现自主可控任重道远。基于这些国外软硬件系统的业务、技术改造和应用推广过程受制于厂商技术壁垒,并受“熔断”“幽灵”等高危漏洞影响,一旦被利用,破坏性极大,将对我国关键信息基础设施安全造成严重威胁。
为此,我在今年全国两会上建议——
首先,在国家层面,加快数据安全治理体系的顶层设计,为各行各业的数据安全治理提供指导。其次,要逐步完善数据安全监管机制,结合数据业务特点,分类实行相应的监管规则和标准。再次,还要加快出台重要数据保护、数据流通等相关配套规章制度,逐步完善数据安全法律法规体系,充分发挥行业协会力量,加快完善互联网、能源、交通、教育等行业管理要求和标准制定,更加全面地保障国家安全在各行业、各领域有法可依。最后,在行业层面,一要加大产业投入,明确数据安全在各项投资中的占比,政府、国企、民企等主体协同配合,激发数据安全核心技术攻关的内生动力,撬动全社会资源优化、高效配置;二要在国家课题和项目中,从项目数量和资金方面增加对工业控制芯片、工业控制系统等关键技术研发的投入,着力解决关键基础技术的“卡脖子”问题;三要通过政府部门、科研机构、高等院校、企业等多方主体联合培养、建立数据安全试验基地等手段,培育全方位、多层次的复合型数据安全优秀人才。
整理|卢金增
编辑|常畅
来源|检察日报