行政部网站建设规划,重庆建设摩托车质量怎么样,wordpress 插件 meta,做门窗的网站作者#xff1a;郭晓雷本文约4300字#xff0c;建议阅读8分钟
本文报告的主要内容关于数据安全#xff0c;从学术或者技术的角度#xff0c;更多地认为人工智能是数据处理的新技术#xff0c;其应用会产生更加丰富的数据处理活动场景。 郭晓雷#xff1a;今天报告的主要内… 作者郭晓雷本文约4300字建议阅读8分钟
本文报告的主要内容关于数据安全从学术或者技术的角度更多地认为人工智能是数据处理的新技术其应用会产生更加丰富的数据处理活动场景。 郭晓雷今天报告的主要内容关于数据安全从学术或者技术的角度更多地认为人工智能是数据处理的新技术其应用会产生更加丰富的数据处理活动场景。 一、引言 引言部分主要说明我国数据安全战略和数据安全监管的基本思路。 《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》以及相关法律法规正逐步构建起我国数据安全监管保护机制。《数据安全法》确立了以安全促发展的原则鼓励数据依法合理有效利用保障数据依法有序自由流动促进以数据为关键要素的数字经济发展。同时《数安法》确立了一系列层面的数据安全管理机制提出了开展数据处理活动应当承担的数据安全保护责任与义务明确了违法行为的法律责任。有关主管和监管部门在遵循《数据安全法》的基础上不断充实和完善数据安全管理机制开展数据安全监管活动。作为数据处理者应当把遵守《数据安全法》和相关法律法规作为组织或企业经营活动的底线。 二、数据安全相关概念 一数据、数据处理、数据处理者 数据在两法一条例中关于数据和个人信息的定义均采用了“对信息的记录”我个人的理解两法中所给出的定义更多地体现了对数据在经济社会发展中的价值和对国家安全、公共利益或个人、组织合法权益危害与影响的关注所以两法中所称的“数据”并不是指所有物理意义上的数据。 数据处理采用列举加兜底的方式定义把数据从产生到销毁整个生命周期中的主要活动进行了列举。数据处理活动和数据生命周期是不同范畴的概念生命周期更注重生命价值的产生、成长、鼎盛、衰落、消亡以及再生的过程。 数据处理者在数安法中虽然没有明确给出但是在个保法和条例中均给出一致的定义其中“自主决定”应是在合法、正当、必要诚信的原则下是在承担、履行法定责任和义务的前提下的自主。 二数据安全 从法律层面数据安全在《数据安全法》中对数据处理者具体而言体现在第一承担数据安全的责任第二履行数据安全的义务第三配合数据安全的监管第四参照国家标准开展相关能力的建设。 从学术层面各国对数据安全认识都是在信息安全三要素基础上或之外提出我国主要聚焦合理性和适当性更加强调数据安全所要实现的状态效果不再仅强调传统信息安全中所关注的完整性、保密性和可用性而是要求实现数据处于有效保护和合法利用的状态以及具备保障持续安全状态的能力。 三数据安全的特殊性 相对传统信息安全数据本身具有五类特殊属性 第一普遍流动性。与信息系统不同数据本身是流动的。一方面数据源唯一但是在流动过程中经过加工处理复制后的传播路径众多。另一方面数据在流动过程中跨主体、跨系统流动。 第二多重权属性。信息系统权属相对比较简单明确属于建设者与运营者从监管的角度更容易用“谁主管谁负责谁运营谁负责”的理念来压实安全管理的责任。但是数据不同个人信息、海量的个人信息、海量的去标识个人信息以及业务数据等仍然有交叉重复的内容权属边界不清晰的问题也就带来责任边界模糊不清的问题这是我们在开展数据保护工作中重点思考的问题。 第三关联性和延展性。信息系统的每一个组件都具有确定的价值而且每一个组件的网络安全风险、存在的漏洞后门以及脆弱性都应该得到重视。但是对于数据来说单一原子项的存在并没有明显意义比如“1234567890”这组数字单独看起来并没有任何意义随着关联和延展信息越多数据聚合的价值就越高。 第四唯一性和真实性。信息系统要实现某些功能可以用不同的架构、不同品牌的产品和不同的组件去实现。但是对数据来讲它反映的是某一个时间或者空间条件下的真实情况也就是唯一情况。比如生物特征、环境信息是唯一真实的一旦我们的生物特征识别信息等敏感个人信息泄露损失和影响是没有办法挽回的。 第五易复制性。对于信息系统来讲建设方之外的组织和个人难以复制。但是数据易于复制可以采用多种方式比如复制、拍照甚至听和记的方式都可以获得相关数据。 此外数据是核心生产要素战略资源我们要利用好它促进它产生价值如何在保障数据安全的前提下最大限度的发挥数据资源的价值这是一项挑战。 在信息系统方面往往要从芯片、板卡、升级固件、操作系统、中间件、应用软件、应用系统以及网络流量等多层面考虑安全技术的问题。在数据安全方面反倒聚焦目前需要解决好三类问题 第一类数据违规收集。目前国家已经从法律、政策、标准和专项活动上重点针对此类问题进行约束取得明显成效。 第二类数据滥用。这类问题最复杂由数据关联性和延展性所带来的高价值造成。例如通过业务数据关联关系使用画像实现千人千面进一步形成千人千价这种差别定价现象。再例如剑桥分析事件利用用户的日常喜好、性格特点以及行为特征预测他们的政治倾向并定向投放广告和新闻进行潜移默化的政治宣传这是延展性非常具象的案例。 第三类数据失序传递。这类问题涉及到多个视角由数据的易复制性所导致比如违规的跨境传输、违规共享、违法交易、数据窃取以及数据暴露。 这三类特殊安全问题的共性每一类都由价值驱动而且大多数都能够直接或者间接的产生经济效益、社会效益甚至政治效益。 数据安全事件不同于信息系统的安全事件它不仅影响到系统和业务本身而且非常容易直接引发关联影响各个主要国家地区对这一点的认识基本一致。 三、数据安全监管机制研究 一数安法规定的监管责任 在《数据安全法》中的第五条和第六条中构建了我们的国家、各地区、各部门、行业、领域主管部门的数据安全责任体系。 总览两法一条例中的监管责任在《网络数据安全管理条例》中还进一步对主管部门在本行业和本领域的数据监管工作进行了细化。 二数据安全社会共治 数据安全治理不仅是政府的责任也是社会各方的责任对开展数据处理活动的组织和个人而言应当守法尊德尊重社会公德和伦理遵守商业道德和职业道德同时要诚信履行数据安全保护的责任和义务。 三数安法规定的数据安全保护制度 数据实施分类分级保护制度是建立数据安全监管机制的基础环节是实施数据处理活动安全保护的重要基础。 分类保护与分级保护实际上是保护制度中的两大维度二者相辅相成分类主要是把具有共同属性和特征数据归并为类别的集合之中。 风险监测预警机制规定数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分在《国家安全法》中也提出建立风险预防、评估预警的相关制度国家制定完善应对各领域国家安全风险预案。 数据安全事件应急预案应当按照紧急程度、发展态势和可能造成的危害程度进行等级分类一般分为四级由高到低依次用红色、橙色、黄色和蓝色标示分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。 数据安全审查制度与网络安全法、密码法中所要求的安全审查制度同为国家安全审查制度的组成部分同时也明确了数据安全审查的范围。 四数安法规定的数据安全保护责任和义务 在当前数据时代下关于数据的利用特别是大数据和人工智能技术为代表的数据新技术的应用为当今社会带来巨大的商业价值和社会效益。同时也会对社会道德和伦理带来新的挑战所以应该高度重视社会公德和伦理的问题比如数据样本的选择、算法设计以及产品开发等重要环节应该增加审查机制避免出现严重的问题。 五数安法的其他相关要求 四、数据安全监管举措 联邦数据主要从美国数据战略发展的角度所出从监管角度主要有政府测、市场测和地方部门也包括个人标识信息的监管。 监管沙箱主要是针对新技术的一项监管措施目的是针对基础应用特别从设计阶段就开展相关监管和指导活动这也是值得我们借鉴的一个具体做法。 国际标准化的发展趋势主要三类 第一世界各国尤其发达国家高度重视国际标准化。 第二国际标准不断向社会各个领域拓展由ISO先后制定社会责任、组织自理、政府效能、城市可持续发展、反贿赂、审计管理以及劳工权益保护等领域的一些国际标准。我们国家相关部门对国际标准在社会领域拓展的态势也十分重视相关部门联合参与关于社会责任标准的制定其中包括中纪委牵头参与反贿赂标准的制定审计署主导制定审计管理方面的国际标准。 第三国际标准更加关注新兴产业的发展特别在智能制造方面几大标准组织都做了深度参与目前多个标准化组织在数据安全领域特别围绕着大数据安全风险以及对个人信息保护都推出了一系列的国际标准。 这是SC27的基本架构从2008年开始我们国家的专家在SC27开始担任国际标准自修订项目编辑、常设文件编辑、研究项目报告人以及联络官等职位。我国也参与和主导SC27数据安全研究项目以数据安全为核心覆盖网络空间安全、数据安全和隐私保护等领域的内容主要明确数据安全的概念、相关风险、标准化的需求并提出数据安全标准化工作的路线图。 一数据安全标准体系建设 标准化作用体现五个方面 第一在保障安全、保障健康和保障环保等方面标准化具有底线作用。 第二在促进经济转型升级体制增效方面标准化具有规制作用。 第三在促进科技成果的转化特别是培育新经济等方面标准化具有引领作用。 第四在促进社会治理公共服务等方面标准化具有支撑作用。 第五在国际贸易和技术交流等方面标准化具有通行证作用。 二数据分类分级保护 分级是目的主要为了确定不同等级的数据要使以不同方式的保护措施分类是途径在数据保护中首先要准确识别数据资产。 重要数据识别的因素目前在标准里大多是与安全性相关比如反映关键信息基础设施网络安全保护情况可被利用实施对关键信息基础设施的网络攻击如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据。 三数据安全评估 风险评估的目的是为风险管理的决策提供依据从所面临的风险关联评估对象所涉及到的风险在风险识别的基础上对已有保护措施的有效性分析给出目前风险的残余状态最后判别风险的可接受程度。 四数据安全认证 评估是帮助处理者及时发现问题认清风险并提出控制建议而认证的核心是符合性通过证明产品、服务、管理体系是否符合标准向市场传递一种信任证明从某种角度上具有通行证的作用在业务相关方面企业和企业之间、企业和用户之间传递一种信任。 数据安全管理认证是世界首例探索性的认证得到主管监管部门的大力支持具有标志性的意义。 五安全审查 滴滴的违法违规行为大概存在16项违法事实可归纳八个方面主要处罚的依据从性质、持续时间、危害、违法处理个人信息的数量以及违法处理个人信息的情形综合考虑作出的行政处罚。 六数据出境管理 七其他 第七个方面的举措其他方面监管机制还涉及到事件报告、信息共享、监测预警、应急处置、执法调查和现场检查等相应的措施相关要求也正在进一步的落地完善。 五、人工智能安全监管举措 从国外监管动向来看各国不大一样都是在发展过程中是对新事物的认知缺乏系统性的认识所造成的结果。 编辑整理陈龙 编辑于腾凯 校对邱婷婷
