摘要:提案含勒索攻击、元宇宙技术与安全、汽车信息安全、数据保护等内容,应有尽有。
又是一年两会时。一直以来,两会往往是一年政治、经济、社会等走势的风向标,尤其是委员代表们的提案,往往与时俱进,贴合时代大势,蕴藏着不可估量的能量。
“没有网络安全就没有国家安全”,随着网络科技、经济社会、政治时局等多领域持续不断的发展与变革,网络安全问题日趋严峻。近几年来,网络安全已然在两会提案中占据着逐渐重要的份量。
3月5日9时,十三届全国人大五次会议开幕会在北京人民大会堂举行,国务院总理代表国务院,向十三届全国人大五次会议作政府工作报告。
政府工作报告提出,强化网络安全、数据安全和个人隐私信息保护,大多数表现在以下四点:
2021年全国两会政府工作报告中指出“加强网络安全、数据安全和个人隐私信息保护”。内容没有变化,强化和加强虽一字之差,更体现重视程度。
近些年来,我们都会对两会提案中涉及到网络信息安全的内容做一些盘点整理,以让网安业者对宏观层面的网安大势知道。今年,委员代表们关于网络安全的提案仍然琳琅满目,主要涵盖个人隐私信息保护、数据保护、勒索攻击、网安制度建设、元宇宙技术与安全、智能汽车安全等内容。这些提案,在某些特定的程度上也指引着未来网络安全的政策导向与发展走势。
近年以来,网络攻击已经从虚拟世界影响到了现实世界,小、小黑客慢慢的变成了历史,以国家级黑客组织为代表的高级别专业力量入场,关键基础设施、城市、大规模的公司成为网络攻击的首选目标,数据成为新的攻击对象。我国数字安全投入占比在全世界内相比来说较低,发达国家仅网络安全占整体IT的投入占比已达10%,而国内尚不足1%,究其原因是部分政企单位仅依照合规堆砌产品,缺乏实战能力,缺乏科学能力评估。
为此,周鸿祎建议将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,包括应对工业互联网、车联网、智慧城市,以及云安全、数据安全、供应链安全等挑战。同时,建议国家把数字安全纳入新基建,各地数字化建设之初便将安全考虑在内,并相互连通,调集社会各方力量共同参与数字安全体系建设,真正提升国家的数字安全能力
近年来,智能网联汽车发展迅猛,车联网作为数字化新场景,面临巨大的安全挑战。据360车联网安全实验室统计,国内25家车企的53款在售智能网联汽车中,360公司共计发现漏洞1600余个,其中,云端漏洞1000余个,可导致攻击者远程批量控制该品牌所有的智能网联汽车;车端漏洞600余个,可导致近距离非接触式控制汽车,如开关车门、启动引擎等。
为此,周鸿祎建议借鉴汽车物理碰撞测试的手段,建立智能网联汽车“数字空间碰撞测试”长效机制,强制要求在我国销售的智能网联汽车通过“数字空间碰撞测试”。同时,他还建议汽车行业尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保上路的智能网联汽车始终处在良好的安全状态。
2021年12月10日,Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞,该漏洞被业内称为“核弹级”漏洞。周鸿祎表示,在Log4j2漏洞曝出之前,开源软件漏洞便已存在大量漏洞,只不过此漏洞的爆发引起了外界的普遍关注。
周鸿祎对开源软件依然持积极看法,并十分提倡开源精神,认为这是新时代的“集中力量办大事”,没有开源软件也就没有中国互联网的今天。
然而,从安全的角度,开源软件很容易成为他国对我进行网络渗透攻击的渠道。周鸿祎建议加强对开源软件的代码审查,国内软件业应该热情参加国际开源社区互动,逐步的提升话语权,建立影响力。鼓励第三方市场力量参与国内开源生态建设,尽快掌控开源软件资源应用的主动权。
作为中国经济的“毛细血管”,中小企业贡献了50%以上的税收,60%以上的GDP,70%以上的技术创新,80%以上的城镇劳动就业,90%以上的公司数。推动中小企业发展数字化转型,对我国就业稳定、经济稳步的增长及产业转型意义重大。然而,中小企业深受“不会转、不敢转、不能转”的困扰。
不仅数字化转型困难,中小企业普遍缺乏数字安全能力。随着万物互联时代的到来,中小企业的安全缺口不仅危及自身,还有可能成为攻击的跳板,对大规模的公司、单位,乃至国家安全造成伤害。
为此,周鸿祎提出鼓励和支持大企业以创新轻量化产品、SaaS服务为抓手,消除中小微企业在认知、资金、技术、人才等方面的差距,推动中小企业实现数字化转型。
在举国发展数字化的今天,作为安全行业的委员,周鸿祎今年两会提案有望引发更多政府机构和企业对数字安全的重视,共同投入,夯实数字化的底座,为数字文明时代保驾护航。
祁志峰表示,网络安全和公民个人隐私信息同属于社会公共利益的范畴,建议检察机关进一步能动履职,通过公益诉讼检察职能推动相关行政机关依法履行监管职责,全面解决相关行业存在的问题,为强化互联网信息服务领域系统治理、综合治理提供有力司法保障。
目前,人脸识别信息保护方面存在监督管理体系仍待完善,保护维权意识匮乏,维权途径短缺等问题。
皮剑龙建议,应组建行业协会,建立分级管理制度,由政府同意授权建立行业协会,强化机构责任,由该协会进行人脸信息数据保护的微观管理,负责人脸数据使用的审批同意、维权保护、技术培养和训练等业务,贯彻落实《个人隐私信息保护法》的执行,实现政府部门与行业协会的有机联动。除分级管理体制以外,一体化的监督管理体系的建立势在必行,通过打造“采集—储存—使用—销毁”一体化的监督管理体系,确保人脸信息安全。
皮剑龙还建议,进行《个人隐私信息保护法》及《人脸信息识别技术若干规定》的宣传教育,向公众普及常见违法的人脸信息使用情形及侵害维权途径。在人脸识别技术领域新法律和法规的框架下,搭建公民、社会专门机构、政府部门的动态监督管理体系,建立公众维权渠道,完善人脸信息损害救济闭环。
我国是电子科技类产品的制造大国和消费大国,也是电子科技类产品的废弃大国,加强电子废旧物循环利用体系建设,对于保障国家资源安全、推动实现“双碳”目标具备极其重大意义。
雷军建议国家制定我国电子废旧物循环利用中长期发展规划,同时建议大力培育市场主体,加强协同规范发展。
据统计,2020年我国居民手机保有量已高达12.6亿台。当前,公众对信息泄露风险的担忧也不断加深,在某些特定的程度上导致了电子废旧物回收率难以实现大幅度的提高。雷军建议,在电子废旧物循环利用各环节中,严格落实个人隐私信息保护操作规范,打通个人隐私信息安全的“最后一公里”,有效提升电子废旧物回收率。
此外,雷军还建议积极开展个人电子废旧物碳积分试点,便于查询个人电子废旧物流通信息,展示个人碳积分及排名信息等,适时向全国推广,提高公众参与度。
因快递网点分布广,快递公司总部对加盟网点以及末端网点的管理不到位,缺乏统一寄递服务信息安全保障机制,严重忽视个人隐私信息安全管理,也造成用户个人隐私信息总是处于风险之中。
胡卫建议,应及时修订相关法规及行政规章,全面落实《个人隐私信息保护法》,修订快递行业个人隐私信息保护相关配套措施,并及时修订《快递暂行条例》及《寄递服务用户个人隐私信息安全管理规定》,从而强化其中的法律责任,为快递业个人信息保护提供更为坚实的法制保障。
在普及隐私面单的同时,加强快递从业人员安全教育培训。胡卫认为,一方面,可以也应当充分的利用信息化手段,通过设置权限管理、信息加密、面单隐匿化处理等技术,强制普及隐私面单,减少接触信息的人群,加强完善和落实个人隐私信息保护机制;另一方面,要在完善相关监管和强化技术防护基础上,从源头出发,全面加强行业自律机制建设和从业人员安全教育培训,切实增强个人隐私信息安全保护意识。
网络安全和数据保护当前采取的“多头共管”机制对于全方位落实监管职有非消极作用,但某些特定的程度上造成部门间权责边界模糊,企业及个人乃至监管部门无法明确对应责任主体,直接影响到合规工作的落地和执行,对维权主体的积极性造成打击,不利于进一步促进数据流动。
李大进建议设立网络安全和数据保护指导窗口,负责接受投诉举报,解答企业、个人及专业服务机构在网络安全与数据保护方面的实际问题。对于涉及不同主管部门的咨询内容,窗口应该具备能力进行内部的资源共享、协调统合,通过统一窗口给出权威答复。
李大进还在提案中建议,加强职责部门之间的统筹协调。在形成监管合力的同时,明晰各部门在网络安全及数据保护领域的监管重点和边界,促进部门间的资源共享与协作,逐步健全跨部门的综合监管制度。
据其观察,个人隐私信息主体投诉无门、投诉后受侵害行为仍继续的情况屡见不鲜。因此,李大进建议尽快设置公开的个人隐私信息保护投诉举报渠道,明确投诉举报方式,公示处理结果。这样子就能够帮助监管部门广泛掌握真实的情况,提高监管工作效率。
新型电力系统具有清洁低碳、安全可控、灵活高效、智能友好、开放互动等特征。总体上看,新型电力系统不再是一个单一封闭系统,而是开放、互联的网络,面临更多安全风险。而电力基础设施是国家关键基础设施的重要组成部分之一,亟需针对新情况、新问题加强安全防护能力。
“应树立新型电力系统的新安全观。”严望佳建议,新型电力系统发展与安全同步规划建设。统筹安排电力部门、网络信息安全部门、创新企业等多方力量,联合开展顶层设计和规划论证。注重构建能源网络全要素安全技术体系,在大力提升能源网络数据智能自动化安全调度运营管控能力的同时,同步安排新型电力系统网络安全防护体系的规划建设。
严望佳还建议,多领域专家交叉融合开展创新工作,建立与系统相匹配的、可持续更新的新型电力系统、网络安全、数据安全等工程标准体系。在预防预测、防护保障、监测预警、应急处置等方面,打通产品、服务、人员和流程等关节,通过一体化安全运营模式,不断的提高新型电力系统的网络和数据安全保障水平。
目前,数据所有权和使用权到底归个人、数据采集方,还是数据交易方,业界尚无定论。一些市场主体为逃避监管,正在将数据交易从网上逐步转移到网下,更为隐蔽,也更多安全隐患。
林勇建议,要明确数据所有权、使用权、处理权、控制权、收益权等各种权利属性,确定各种数据权拥有者的相关权责。对涉及个人隐私、商业机密和国家安全等数据在大数据营销、企业数据共享、数据跨境流动、政府社会治理、公共服务、公共安全应用等特定使用场景下进行使用约束,避免隐私权与财产性数据权属混同。
针对非网络数据的交易活动,需制定非网络数据交易领域信息安全全国性行政法规,防止非法数据交易行为在网下蔓延,杜绝出现脱离监管的暗网和地下数据交易。在实施“东数西算”工程中,加强国家算力枢纽节点和数据中心集群的配套法规体系建设,加强信息安全防护,防止数据非法外泄。
网络安全保险是数字化的经济的网络化、数字化和智能化过程中防范风险的解决方案,有助于降低产业数字化、数字产业化进程中面临的经济风险。周延礼建议:
一是完善有关标准与法律体系。我国急需要构建更为完整的网络安全等级管理体系,加快建立统一的数据安全分类管理制度,为保险公司、网络安全服务商提供网络安全保障服务,立即处理网络经济纠纷有法可依,有效保障网络安全行业的高质量发展。
二是制定网络安全保险发展的相关战略规划。提供政策支持和组织保障,建议工信部指导网络安全保险市场发展,可借鉴国外经验,出台优惠政策,鼓励责任主体购买网络安全保险。
三是建立统一的网络安全风险数据库。网络安全保险市场发展缓慢的一个重要原因是缺少经验理赔数据,从而使数据安全风险量化成为难题。
四是加大网络安全保险的宣传推广力度。充分的利用国家安全教育日、全国保险公众宣传日等全国性宣传机会,介绍网络安全保险的承保范围、真实案例、作用意义等。
“元宇宙”持续火热,监管环节却存在漏洞。根据互联网发展历史看,网络虚拟社会对舆情治理、交易监督管理、个人隐私保护、国家主权维护都带来新问题新挑战。
谈剑锋建议国家从产业高质量发展、技术布局、监管手段方面提早布局,让“元宇宙”技术运用更为规范,而不是“泛元宇宙化”。在他看来,既要跟踪研究新模式、新机制,制定监管法律规范,又要关注该类企业和“社区”发展,推动备案登记制度、运营交易模式监管制度。
谈剑锋还将聚焦国家“数据银行”建设。面对DNA、医疗健康档案等具有唯一性和不可再生性的个人生物特征数据,应从国家层面建立“中心站”进行管控,从而保护数据安全与国家安全。在他看来,个人隐私已不仅仅关系到个人安全,点滴数据汇聚起来,构成了社会安全乃至国家安全。
国家可信数字身份认证服务体系尚处于探索性建设阶段,对数据治理的支撑能力不够完备,张云勇建议:
(一)围绕可信数字身份健全法律和法规或管理办法,明确以居民身份证信息为根,为公民建立可信数字身份。建议聚焦可信数字身份认证加强技术创新和规范统一,支撑可信数字身份认证服务体系与数据治理体系的融合,实现数据资源的可用不可见、可算不可识。
(二)基础设施以统一规范的“可信数字身份+”的形式规划公民身份信息集合,做到标识可信;使用电子设备SIM卡、银行卡等安全芯片承载可信数字身份,做到载体可信;依托中央企业构建国家级数字身份认证服务平台,做到平台可信;统筹各行业身份认证服务,关联用户行为认证,做到服务可信,从而为数据治理提供安全环境,为社会提供数据安全感及信任感。
当前,汽车的智能化、网联化的融合发展正在加速,但仍存在缺乏统一标准的数据中枢,人、车、路、信号系统整合不够,存在数据壁垒;汽车数据安全和隐私保护、信息侵权责任、安全保障责任的主体依然存在法律条款内容的缺失等问题。
朱华荣建议,完善智能网联汽车的法律和法规体系,在安全可控的范围内,包容新兴起的产业发展;政府引导、法规保障、标准统一,加速行业合作,打破数据壁垒;合理放宽汽车数据安全与隐私保护要求,建立可信的汽车数据流通渠道,在满足数据安全要求的同时,促进智能网联汽车发展。
一方面,国家应引导构建跨行业协同的车联网信息安全保障体系,建议工信部、交通运输部、科技部、财政部等部委联合,以政策促进企业和从业人员提升信息安全意识,加大安全领域投入,提升信息安全的技术能力和整体防护水平,加快构建起跨行业协同的车联网信息安全保障体系。
另一方面,有关部门应加快建设汽车信息安全标准法规和监管平台,提议国家网信办、市场监督管理总局、工信部、交通运输部、公安部等相关部委联合,通过统筹规划,制定完善汽车信息安全标准法规,尽快形成全生命周期的汽车信息安全监管能力和应急响应体系。
此外,各界可协同建立政产学研深入合作的汽车信息安全领域的国家技术创新平台,建议工信部、科技部、教育部、人力资源和社会保障部、财政部等部门可联合推动,鼓励由行业领军企业牵头,联合相关行业领域有一定的影响力企业和高校院所及行业协会,建设国家级的汽车信息安全技术创新平台,联合开展技术创新与复合型人才教育培训,服务于汽车数字化转型发展。
苏权科提出建议,借助港珠澳大桥的智能化运维技术和物联网、大数据、云计算、人工智能等新一代信息技术,建立一套系统科学的重大交通基础设施全生命周期运营规程出来,从整体上为重大交通基础设施安全管理的每个方面打造一个标准完善、责任清晰的基础环境。
肖新光表示,互联网空间对抗已经事实上成为大国博弈与地缘安全竞合最为复杂和常态化的样式之一,当前我国应该展开想定推演工作,加速构建可对抗高级威胁的网络安全防御体系。
肖新光建议有关部门设立专项,研究推动软硬件研发场景安全防护工作;制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全准则规范等。通过建立试点示范项目等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。
近年来勒索攻击事件在全球各地频频发生,由于现阶段中国传统产业的网络安全防护能力参差不齐,海量设备接入互联网当中,网络安全、数据安全在全流程应用场景中存在着极大隐患。
为加快网络安全技术创造新兴事物的能力建设,提升国家在关键行业、重点领域的互联网空间安全防御能力,民革中央建议,(一)强化网络漏洞发现能力;(二)提升基础设施安全应对能力,及时对系统漏洞进行补丁升级;(三)共建互联网空间国际新秩序。
一年之计在于春。通过相关提案显而易见,网络安全也正步入一个新的春天。新的一年,网络安全所有的领域蒸蒸日上,也说明网安行业大有可为。
尤其是近期的俄乌冲突,让我们正真看到了网络信息战的威力,也将在某些特定的程度上刺激网安产业的发展。无论是国家社会还是商业产业,各个维度上的安全都变得愈发重要。在能预见的未来,网络安全必将迎来更大的发展机遇。
本次搜集提案,限于笔者搜罗范围有限,如果您还发现其它提案,不妨在评论区留言。