升級數據安全管理模式 加強對關鍵數據管控

全國政協委員、上海市信息安全行業協會名譽會長談劍鋒表示，目前我國數據安全立法體系已逐步完善，但面向特定領域的基礎性數據安全體系建設尚有不足，如生物特征數據管控、醫療健康數據管理等尤為突出。

個人生物特征數據（人臉、指紋、DNA等）具有唯一性和不可再生性特點，普遍用于身份識別和認證，一旦被竊取，無法追回并變更，給個人隱私保護帶來極大的、不可逆的風險。

談劍鋒在提案中寫道“大量的國民個人醫療檔案、健康檔案匯聚后，可以用于分析該國的勞動力狀況和經濟、相關產業發展趨勢，一旦被敵對勢力獲取，對國家安全和產業經濟發展可能帶來不可預估的危害。”

他介紹，國際上形成三類生物特征數據管理模式：一是國家明確統一管控。代表性國家如俄羅斯、德國、英國、印度等。二是借助身份互認共同管控。以推動國家間的數字身份互認為目標，在數字身份信息上加入生物特征數據，由各國獨建或多國共建數據庫。三是實施模糊管控。即雖未有國家層面明確的相關數據管理立法，但實際上限制企業收集存儲，在歐盟、美國等較為典型。

“我國新型生物特征數據現階段主要由企業掌握。”如果不將這些數據集中收儲管理，將導致數據要素價值受限；數據使用難以管控，濫采濫用與數據壟斷并存；數據安全難以保障；數據安全執法不易，屢見多頭管理、管不到位的現象。

對此，談劍鋒建議，細化相關法規制度，以點帶面明確數據權屬，提高數據安全執法的可操作性。明確已匯聚的生物特征數據等為公共產品，參照“重要數據”來管理，達到一定數量還應被視作核心數據。

同時，盡快設立國家“數據銀行”，由國家成立專門機構統一管控，以最大程度地保障關鍵數據安全和國家安全。國家“數據銀行”優先收儲個人生物特征、醫療健康數據等具有唯一性、不可再生性的數據，按需提供數據應用，嚴格審計，保證向個人開放數據使用查詢。另外，他還建議，促進安全技術發展，夯實安全產業基礎，增強數據治理能力和數據監管水平。加快建設數字身份基礎設施，圍繞身份識別與信任，解決數字空間中的身份認證與治理相關的核心技術問題。

對目前備受追捧的“元宇宙”概念，談劍鋒說，從互聯網發展歷史來看，網絡虛擬社會的輿情治理、交易監管、個人隱私保護乃至國家主權維護，是個嚴峻的挑戰，目前仍在不斷探索和完善中。“元宇宙”將對前述問題帶來更大的挑戰。目前，以區塊鏈技術為基礎的NFT虛擬藝術品（如卡通人像、電子油畫）等在“元宇宙”已經大行其道，而其監管并不完善。相關行業監管部門應提前研究監管政策，預防可能引起的系統風險。

一方面，建議中央網信辦牽頭人民銀行、公安部、市場監督管理局等部門，對以“元宇宙”概念運營網絡社區、網絡游戲、網絡交易的企業，依據國家網絡安全法、數據安全法、個人信息保護法等法律規范要求進行監管。同時，關注并跟蹤研究“元宇宙”概念中產生的新模式、新機制，根據需要提前研究制定監管法律和規范，如制定備案登記制度、運營交易模式監管制度，提前防范系統風險。

另一方面，建議從國家層面提前系統性地布局和投資“元宇宙”核心技術相關企業，改變過去在信息技術、互聯網等領域長期跟隨和受制于人的被動局面，特別是在元宇宙產業的基礎領域，如芯片、系統、工具等。

全國政協委員、中信資本控股有限公司董事長兼首席執行官張懿宸關注數字經濟、利用信息技術賦能傳統行業相關問題，并在提案中提出了可行性建議。建議首先，要進一步完善相關法律法規，尤其是數據資產確權的全國性立法，需要通過立法解決以下關鍵問題：界定企業或者產業數據的所有權屬；規范數據流通、使用產生的價值歸屬與分配；明確企業/產業獲取數據的合規方式；確定數據的可交易性、數據交易的合法性等問題。

二是鼓勵探索科學合理的數據交易估值體系和方法。目前數據資產在企業的財務報表中沒有得到體現，數據交易缺乏合理的定價體系，沒有可參考的定價依據。由于目前市場交易的數據非常少、頻率低，無法依據市場定價。建議鼓勵數據流通和交易的相關方不斷嘗試和創新，探索出一套適合中國甚至國際領先的數據估值和定價體系。政府通過財稅政策鼓勵引導產業組織或者大型企業搭建數據交易平臺；鼓勵交易方嘗試不同交易形式。同時政府也可以依法依規開放相應的公共數據資源，參與到數據流通交易中，探索出合適的數據定價體系。

三是按照市場化原則，引導社會資本繼續加大對數據技術創新的投入。完善數據要素的流通離不開技術支持，只有先進的技術支持，才能在確保數據隱私的前提下，在嚴格數據權屬的限制下，更好地完成數據的流通與交易，以及核算其產生的價值。這些技術包括隱私計算、聯邦學習、數據加密、區塊鏈，以及其他涉及到數據的獲取、清洗、脫敏、聚合等技術，這些技術概念由歐美提出并已開始實踐，我國需要迎頭趕上。

全國政協委員、360集團創始人周鴻祎分別瞄準產業數字化新場景、新型數字技術和應用場景和打造城市級數字空間安全基礎設施和應急體系三個方向提出打造數字安全體系的建議。

其中，近年來智能網聯汽車發展迅猛，車聯網作為數字化新場景，面臨巨大的安全挑戰。據統計，國內25家車企的53款在售智能網聯汽車中，360公司共計發現漏洞1600余個，其中，云端漏洞1000余個，可導致攻擊者遠程批量控制該品牌所有的智能網聯汽車；車端漏洞600余個，可導致近距離非接觸式控制汽車，如開關車門、啟動引擎等。

為此，周鴻祎建議建立智能網聯汽車“數字空間碰撞測試”機制和相關標準，保障汽車出廠安全和持續檢測。同時，他還建議規范汽車安全漏洞的上報行為，不得惡意炒作和違規披露，汽車行業盡快打造一套以安全大腦為核心的智能網聯汽車行業態勢感知體系，建立汽車安全監管長效機制。以此，來幫助監管部門和車企實現汽車安全實時全程“可見、可控、可管”，確保上路的智能網聯汽車始終處于良好的安全狀態。

全國政協委員，中國工程院院士、湖南工商大學黨委書記陳曉紅帶來的提案之一是《加強我國跨境數據流動監管的建議》。目前全球尚未形成一致的數據跨境流動規則，全球數據治理還呈現碎片化的狀態，跨境數據泄露事件頻頻發生，數據主權與國家安全亦遭受挑戰。

陳曉紅建議，完善跨境數據流動管轄法律法規體系，推進數據跨境流動安全保障能力建設，強化跨境數據流動安全的內審機制建設。積極推進數據跨境流動中國治理方案。主動參與數據跨境流動的多邊或雙邊協定談判，充分利用 “ 一帶一路 ” 建設契機，推動形成共同認可的數據保護認證、標準合同條款、數據流通協議和標準等，維護和完善多邊數字經濟治理機制，在數字經濟治理上及時提出中國方案，發出中國聲音。

她還建議，組建國家數據資源局，保障數據安全，推動數據共享，強調政企合作，協調跨境數據資源開發利用，實現 “ 數據共同體 ”，構建統合跨境數據監管職權與技術資源的新機制。

「國內+國際」隱私保護人員權威認證培訓

賽博研究院是國內個人信息保護專業人員權威認證品牌（CISP-PIP）的官方指定授權培訓機構，BSI中國是國際隱私專業協會（IAPP）獨家授權的中國區官方培訓合作伙伴，雙方就CISP-PIP與IAPP兩大培訓認證課程體系展開重磅合作，共同推進數據隱私專業人才培養，提升各類企業數據安全合規能力。