历届两会中,网络安全都成为备受关注的热点话题,专家、学者、企业大咖纷纷建言献策,受到业界的高度关注。借此,信息安全与通信保密杂志社特别整理了2015—2021年两会有关网络安全的提议提案,内容涵盖“物联网安全”、“工业互联网安全”、“数据安全”、“网络安全治理”等方面,供大家阅读参详。

2021

主题: 需求侧安全

关键词:个人信息保护、人脸识别、工业物联网安全、物联网安全、网络安全人才与学科建设

主要内容:

网络安全整体导向

坚持“三个导向”筑牢网络安全防线

1、完善总体国家安全综合研判机制,提升网络空间安全权重占比。将地缘安全风险、重大社会风险与网络安全风险态势分析研判深度结合,并结合相关行业、区域的重要信息系统、关键信息基础设施的实际防护水平与发展规划,定位防御盲点、发现重大短板、确定投入重点,保障和优化资源投入。

2、把握“十四五”规划和实施机遇,全力推动网络安全的需求侧改革,切忌“重数字化、轻安全”。让网络安全投入有的放矢,既为构建双循环提供网络安全保障,也高质量创造内循环增量。

3、通过针对性投入弥补行业和区域的能力短板。利用国有资本金预算和投资基金的多渠道带动作用,以及财政转移支付等机制,加大重点工程分布建设倾斜、对重大风险短板进行集中投入,改善网络安全防护水平。

一、个人信息保护

1、在常态化疫情防控中,加强公民信息保护

建议:(1)合法采集、公开个人信息。(2)全国统一流调采集数据和信息公开模式。(3)合理使用涉疫个人信息。(4)严格保密纪律。(5)严惩网络暴力。(6)在《突发公共卫生事件应急条例》中加入个人信息保护的内容。

2、关于运用信息技术切实解决老年人困难

建议:在安全方面,加强针对老年人的个人信息安全执法力度和个人隐私保护水平,加强针对老年人的个人信息安全执法力度和个人隐私保护水平。

3、统一模版合法采集个人信息

建议:合法采集、公开个人信息;全国统一流调采集数据和信息公开模式;合理使用涉疫个人信息;严格保密纪律;严惩网络暴力;在《突发公共卫生事件应急条例》中加入个人信息保护的内容。

4、建议相关部门要深究幕后的黑手,严厉打击假冒他人身份信息,虚假注册公司这种行为。从根源上来治理假冒他人信息虚假注册行为。

5、加强生物识别信息管理筑牢公民隐私边界

建议:应及时设置必要门槛,杜绝任何企业都可以染指公民生物识别信息的现状,乃至参照身份证管理,原始数据统一由国家掌控。

6、完善法制体系保护个人信息安全

建议:我国应该提高个人信息保护立法的速度和效率;强化数据应用自治规范建设和完善;提高公民个人信息安全法治意识和能力。

7、严管“隐私换便利”

保护个人信息安全在法律责任上应该采取强监管的立法取向。比如,,下调侵犯公民个人信息罪等罪名的入罪标准并提高刑事责任;结合社会信用体系建设,增加违法主体及其主要负责人、直接责任人员对于相关行业或业务的定期、终身“限制准入”机制等。

二、人脸识别

1、加快构建人脸识别技术数据监管体系

建议:强化行政监管机制,建立专门性的个人信息保护系统,自上而下形成一条从中央到地方相关政府机构对个人信息保护的网络,依照现行行政体系,各部门职能划分,进行统一管理。完善行业自律的监管机制,引导行业对人脸识别进行规范。对人脸识别的信息存储手段,包括公民的知情权、同意权等内容,行业治理机制要形成简明、有效、合法的自我监督管理的手段。

2、立法规范

建议:一要明确生物信息采集主体;二要坚持合法性、正当性、必要性原则;三要集中管理公民个人生物信息;四要严格市场准入,提高生物识别技术标准;五要清理清除已有的不合法公民生物信息。

3、加强人脸识别监管

建议:建立人脸识别的网络及信息安全监管体系,加快制定人脸识别应用技术标准体系,明确对人脸识别软硬件应用的安全技术要求;建立人脸识别应用的安全评估及审核制度,针对安防、金融、电商、支付等不同应用领域进行安全评估,对人脸识别产品的应用及推广增加审批环节,保证产品符合安全技术要求。

4、人脸识别应用需从密码功能转为账号功能

建议:未来,是否可以从技术上考虑,把当前采集到的人脸信息进行相应保护,从密码功能转为账号功能,这样也能快速识别账户,同时安全问题大大降低。

三、数据安全

1、加强数据治理和数据安全保障

建议:(1)要加快相关法规制度建设,严格规范和落实关键数据的采集、存储和使用。(2)加强数据治理和数据监管,要严控大数据的使用场景;(3)建议设立国家“数据银行”,由国家成立专门机构统一管控,负责关键数据的采集、传输、存储和确权等,以最大程度地保障关键数据安全和国家安全。

2、关注智能时代下的数据安全和隐私保护

建议:立足产业实际,构建智能网联汽车数据安全体系,推进数据安全和个人隐私保护相关法律法规的研究制定。他建议,建立准入制度,智能网联汽车数据(包括高精地图数据)的采集、存储和商业用途须经国家相关部门备案管理,只有满足数据安全和隐私保护要求的智能网联汽车产品才能进入汽车公告目录。

3、加强互联网平台数据开放共享,让网民便捷获得信息

建议:强化互联网平台的数据开放及安全监督工作,对各平台的信息开放共享和信息质量开展评估。

4、建立国家级数据共享平台,实现全国数据的顶层管控

建议:建立国家级数据共享平台,实现全国数据的顶层管控,界定清晰的数据共享属性和权益,实现数据的确权流通,同时要加强数据资源无偿共享,但要保障数据共享的安全可控。

5、打造国家数据安全能力体系

建议:(1)强化数据安全专业立法和专项执法。

(2)积极开展数据和人工智能安全国际规则对接。

(3)加大扶持做大做强网络安全产业。

(4)建立适应人工智能发展的数据流通体系。

6、建立数据治理委员会,加强数据资源流通安全性

建议:(1)建议加强顶层设计,建立数据治理委员会,作为数据资源共享管理工作的领导机构,并建立国家级数据共享平台。(2)需加强数据资源无偿共享、流通的安全性。

7、加快数据立法,加强网络安全与隐私保护

建议:(1)加快数据立法工作,明确数据的所有权。(2)加强网络安全与隐私保护对如何处理好个人隐私与国家社会安全的关系、个人隐私与公民知情权的关系、个人隐私与数字经济发展的关系等予以明确。明确大数据生态中各不同主体的法律责任。

8、数据出境应有安全评估

建议:要确立数据主权,明确数据安全法的管辖范围;明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。

9、加强患者医疗数据的隐私保护和数据安全管理

建议:医疗信息的归集应充分尊重患者的意愿,除了传染性疾病等涉及社会安全的医疗数据外,患者可以自主决定是否共享。研究制定医疗数据安全相关条例,保障数据全生命周期安全。医疗信息硬件和软件尽量国产化,并加强维护、监测,避免数据被窃取。研究区块链等现代信息技术在医疗数据保护领域的应用,用先进的技术保护数据。

10、健全数据保护机制

建议:下一步从四方面着力:一是制定重要数据的定义、范围和识别规则的相关法律;二是制定数据共享、交换等自由流动的标准规范,实现数据的自由流通;三是建立数据安全举报中心和数据安全举报机制,用以监管数据交易中介机构,同时保护举报人隐私的相关法律不可缺位;四是对从事不利于数据安全管理的组织和个人,提高违规活动处罚成本。

11、高标准推进数据要素市场建设

建议:(1)高标准完善数据要素全生命周期的法律保障体系。

(2)高标准构建数据要素交易前沿技术生态群。

(3)高标准推进数据要素市场化配套改革。

(4)高标准开放公共共享数据。

(5)高标准开发数据要素技术标准体系。

(6)高标准建设数据要素交易的基础设施。

12、建立健全数据要素市场体系,助力数字经济发展

建议:(1)优先推动与个人无关的非敏感数据交易流通,助力各行业转型升级。

(2)引导鼓励社会各类创新主体加快数据交易流通相关技术研发应用,强化技术保障。

(3)构建安全高效的数据交易体系,支撑数据要素跨行业、跨地域流通。

(4)完善法规政策及监管体系,确保数据交易流通健康有序。

(5)完善公共治理相关数据的流通应用体系,助力打造共建共治共享的社会治理格局。

13、加快建立数据要素市场制度体系

建议:(1)尽快确定数据要素市场制度建设的“路线图”。(2)尽快研究数据要素市场制度建设的内容。

四、工业物联网安全

1、将网络安全融入新基建建设全过程

建议:(1)将网络安全建设融入新基建建设和运营全过程,筑牢数字经济发展的“护城河”和“城墙”。

(2)同时,鼓励支持安全企业面向工业互联网加强安全技术研发、成果转化和产品服务创新,提升安全技术产业支撑保障能力。

2、加快构建覆盖国家、地方、企业的三级安全技术防控体

建议:(1)研究制定工业互联网大数据分级分类、工业App管理、工业互联网平台建设评价等关键标准。

(2)搭建国家、地方、企业多级协同联动的态势感知网络,实现对重要和关键平台接入设备、控制系统、运行数据风险的实时监测。

3、加快工业互联网关键技术-工业嵌入式操作系统自主可控发展

建议:一是实施四大战略,谋划自主可控发展体系。实施大政策、大平台、大工程、大项目“四大战略”。

二是建设软硬件适配标准,营造自主可控生态环境。

三是攻关完全自主研发技术,打造自主可控建设框架。

四是破除人才体制机制障碍,建设自主可控人才队伍。

4、建设工业互联网数据价格机制,促进工业数据要素市场化发展的建

建议:研究论证工业数据成本计量和交易方法,研究制定税收优惠政策,研究建立全国性的工业数据安全保障体系,研究基于工业互联网标识解析体系来实现跨地域、跨行业、跨企业的资源对接,实现工业数据共享和交易。

5、关于加快5G+工业互联网应用方面的建议是范秉衡提交建议

建议:一、加快构建覆盖国家、地方、企业的三级安全技术防控体系。

二、完善工业互联网人才顶层设计,推动工业互联网人才标准体系建设。

三、完善工业互联网人才顶层设计,推动工业互联网人才标准体系建设。

五、物联网安全

1、把网络安全系统像“安全带”一样列为智能汽车的标配

建议:国家加大鼓励和引导汽车企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。

此外,汽车行业应加大网络安全投入,以安全大脑为核心,建设智能网联汽车安全大数据平台、安全智能分析平台、应急响应平台等网络安全基础设施,形成智能网联汽车安全能力体系。

2、推进智能汽车网络安全强制测试

建议:研发针对真实应用场景的智能汽车攻击测试工具,建立覆盖车企、销售、运维和用户全业务流程的系统化攻击测试用例库,构建智能汽车实网攻防式安全验证平台,推进智能汽车联网安全测试成为新的、常规的“汽车碰撞测试”,甚至适时建立强制测试;定期开展实战攻防演练和能力评估,不断检验和提升车企相关行业安全防护、应急处置和指挥调度能力。

六、网络安全人才与学科建设

1、制定网络安全行业特殊人才认定和激励政策

建议:(1)要制定专门的网络安全特殊人才认定政策。

(2)要对符合条件的网络安全人才给予个人税收优惠政策。

(3)要对符合认定条件的网络安全特殊人才予以必要激励。

2、将网络安全教育纳入中小学课程体系

建议:(1)政策层面,加强顶层设计,将网络安全教育全面纳入中小学课程体系。

(2)在政府部门指导下,鼓励互联网企业参与网络安全教育。

(3)推动全社会形成关注未成年人网络安全教育的氛围。

3、全力推进国家网络安全基地“融创中心”建设

把国家网络安全人才与创新基地的建设发展纳入国家“十四五”规划,整体布局、一体规划,特别是要把建设“融创中心”作为基地建设的重要抓手,加快网络安全技术的研发和产业的深度融合,加快创新人才培育,真正打造成立足华中、辐射全国的网络安全高地。

4、加速打造成全国网络安全高地

在加速打造网络安全教育技术产业融合创新中心的同时,支持依托国家网络安全人才与创新基地,按照“双一流”标准建设一所国家网络安全大学。采取超常规办学模式,探索网络安全人才培养新思路、新体制、新机制,打造中国网络安全领域的“黄埔军校”。

2020

主题:新基建安全

关键词:网络安全、数据安全、个人信息保护、物联网安全、智慧城市安全

主要内容:

一、网络安全

1、提高网络安全应急处置能力

建议:完善国家层面的网络安全应急管理制度体系;建设全国性网络安全应急管理处置平台;配套制定网络安全处置应急征用办法;研究开展必要的实战性网络安全测试。

2、网络安全是新基建的基础型技术之一

建议:一是要运用整体思维,规划新基建网络安全防护体系顶层设计;二是要同步建设新基建的安全基础设施,聚焦新基建安全防能力构建;三是要强化大数据平台安全,实现安全的大数据协同计算;四是要开展常态化网络安全攻防对抗演习,持续检验和提升新基建安全能力。

3、重点盯防关键基础设施与重度场景安全

建议:构建新基建网络安全防护体系,尽快制定《国家5G安全战略》,加快推进工业互联网安全保障,加强信创网络安全保障能力建设。

二、数据安全

1、与国际规则对接,强化数据安全专项立法和严格执法

建议:一是强化数据安全专业立法和专项执法;二是积极开展数据和人工智能安全国际规则对接;三是加大扶持做大做强网络安全产业;四是要建立适应人工智能发展的数据流通体系。

2、加强数据安全保护与利用

建议:应从全生命周期角度对数据面临的安全问题进行规制;加强企业在数据安全保护方面的意识和管理,以及完善数据控制和流通规则,明确界定数据流通过程中各方的责任和义务,保障数据的有效利用。

3、加快制定“数据安全法”,进一步完善数据治理

建议:一是细化数据安全与隐私保护规则,保护公民合法权益;二是明确数据的权利归属,促进数据的确权、流通、交易和保护;三是建立数据合理使用制度,实现个人与数据使用者之间的利益平衡;四是建立公共数据开放共享规则,促进公共数据的合理利用;五是完整确立我国数据跨境流动制度,应对国际数据竞争。

三、个人信息保护

1、加强个人信息保护,建设形成安全可靠的现代化交通治理体系

建议:针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。

2、大数据广泛应用背景下,保障个人信息安全迫在眉睫

建议:一是加快立法进程;二是设立专门监管机构;三是确立运营主体运营规范;四是赋予信息主体自我保护权力。

四、物联网安全

1、推动人工智能赋能工业互联网安全发展

建议:

(1)引导成立联合实验室促进技术研究与复合型人才培养;

(2)促进人工智能赋能工业互联网安全实践落地;

(3)推动人工智能赋能工业互联网安全可持续自适应演进

2、推进智能车联网安全风险评估及检测

建议:

(1)建议相关单位启动或加快完成车载网关、车载娱乐系统等信息安全标准制定;

(2)建议在《机动车运行安全技术条件》中增加信息安全要求,明确智能网联汽车、车辆辅助驾驶系统的信息安全风险评估要求和信息系统与数据安全要求;

(3)建议要求对含有电子系统、尤其是具有操作系统的智能网联汽车重要零部件进行销售前进行信息安全检测;

(4)建议包括无人试验车、无人出租车、低小慢速智能设备等智能网联车和含有辅助驾驶功能传统汽车、新能源汽车的在投入使用前必须进行全面的信息安全风险评估。

(5)建议要求针对无人试验车、无人出租车、低小慢速智能设备、电动车等智能网联车建立常态化的信息安全检测和评估机制。

(6)建议对全国在建或已建成的各无人车、智能网联汽车、低小慢速智能设备的示范区及封闭型试验区进行智能车联网络风险评估,并形成常态化评估机制;

(7)建议针对目前国内市场上所有的国外进口整车型号,根据《中华人民共和国网络安全法》和《个人隐私保护条例》等法律条例进行全面信息安全风险评估,并根据法律要求将云端车辆服务系统迁移至中国境内,以防止我国公民个人隐私信息的泄漏。

五、智慧城市安全

安全建设智慧城市

建议:转变智慧城市安全建设思想,由同步建设转为安全先行;转变智慧城市安全建设思想,由同步建设转为安全先行;正确处理智慧城市与信息安全发展关系;确保智慧城市数据安全保护;制定物联网安全技术方向鼓励智慧城市关键技术引进和创新。

2019

主题:立体化安全

关键词:物联网、工业互联网、个人信息、安全治理

主要内容:

一、物联网安全

1、共建国家级网络安全大脑

将国家级网络安全大脑列为国家重大工程专项。建议成立国家网络安全大脑项目总体工作组、专家组、工程推进组,分别负责顶层设计和总体筹划、系统设计、工程建设;运用新型举国体制,加快推进国家级网络安全大脑建设。其建议由国家相关部门牵头,协调网信、工信、公安、科技等部门和单位,组织国企、民企、科研院所等广泛参与。

2、把网络安全列为智能汽车标配

建议:加装安全联网模块,提高联网防护能力,建立安全接口,加强汽车的控制安全保护,防止控制被劫持;强制安全测试。建立测试评价体系,在汽车上市前进行网络安全测评;建立厂商安全运营平台,提升安全运营能力,及时发现和阻断黑客攻击。

3、人工智能要智商也要安全

建议:加快国家级网络安全人工智能开放创新平台建设。安全应该成为人工智能发展的基础与前提;国家支持尽快建设国家级网络安全人工智能开放创新平台,确保人工智能健康有序发展。

二、工业互联网安全

1、制定出台“工业数据保护法”

建议:在重要工业城市加快推进国家网络安全产业基地建设;完善从国家到地方的风险监测体系,明确数据在采集、加工、使用、存储中相关方的权利、义务、责任。

2、立法保障工业互联网数据安全

建议:一是立法层面,要建立完善的体系;二是技术层面,要能保护每个个体数据隐私;三是企业文化层面,要建立一种尊重消费者、尊重消费者隐私的文化。

三、数据安全

1、加快制定数据安全法律法规

建议:加快制定数据安全法律法规、安全保护配套标准,从信息的收集、存储、处理、传输、共享、删除等全生命周期管理的角度制定完善的法律体系,确保数据安全;提高其利用效率。

2、确立数据主权,实现安全风险预警

建议:要确立数据主权,明确数据安全法的管辖范围;明确境内运营中收集和产生的个人信息和重要数据应当在境内存储;完善数据出境安全评估机制,将机制的适用范围从网络安全法规定的关键信息基础设施运营者拓展至网络运营者;要将相关国家、企业、组织、公民利益的数据活动纳入数据安全法管辖范围。

3、立法明确个人信息收集原则

建议:制定一部科学、完整、专门的个人信息保护法律,建立个人信息保护制度。

四、网络安全治理

1、加强暗网监管,有效应对黑产威胁

建议:加强暗网治理技术手段研究;加强传统技术与行政执法手段的结合;加强政府与网络安全企业的合作。

2、加大网络安全产业投入,避免受制于人

建议:从战略层面进行网络安全的体系化和层次化设计;要制定积极的网络安全产业发展政策,实行主动纵向的产业政策;要在政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间。

3、三管齐下提升政企网络安全

建议:相关机构联合发文,强化帮扶政企单位提升安全能力的赋能工作,提出清晰的战略指引和体系化、框架性防护规划指引,将网络安全防护工作引导到全面建设必要的网络安全防御能力,并将其有机结合以形成动态综合网络安全防御体系的能力导向建设模式。针对网络安全建设缺少预算支撑的现象,建议相关部门对网络安全预算和资源投入落实给出硬性的工作要求,使安全规划实施获得充分保障。

同时,在现有相关主管部门考核、监管、检查的基础上,积极探索通过国家监察体系对网络安全责任制的落实实施监督审查,对政企机构在网络安全工作中是否及时有效制定规划、配置资源、执行预算,是否达成有效防护效果等督查问效,形成深度问责机制。

2018

主题:生态安全

关键词:人才、政企单位、漏洞、用户隐私、工业互联网、军工行业

主要内容:

一、网络安全人才培养

建议:大力支持网络安全企业设立相关教育培训机构;开展网络安全学科联合建设;把网络安全纳入职业技能鉴定体系。

二、政企单位网络攻击安全

建议:出台鼓励网络攻击事件上报的相关政策;规范网络攻击事件上报流程;加大对知情不报企业查处惩戒力度;鼓励政企单位选用网络安全企业专业服务。

三、网络安全漏洞管理

建议:一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。

四、用户隐私信息保护

建议:明确用户数据信息是用户个人资产;保障用户对数据信息使用的知情权、选择权;明确互联网公司保护用户数据信息安全的责任。

五、工业互联网信息安全

建议:明确国家、地方及行业的工业互联网信息安全监督主体和责任;建议制定工业互联网安全新技术研究方向,开展工业互联网信息安全技术创新实验室和示范基地的建设;建议完善工业互联网信息安全产品认证及准入机制,建立相关产品名录;建议完善国家工业互联网整体安全保障能力。

六、军工行业工业控制系统与涉密信息系统安全

建议:明确监管责任主体与责任边界;推进工业控制系统的安全防护技术在军工行业的应用,建立工业控制系统信息安全管理机制;全面提高涉密信息系统、非涉密信息系统和工业控制系统安全保密风险实际防控能力。

2017

主题:管理安全

关键词:大数据、个人信息、智慧城市

主要内容:

一、大数据安全

建议:用强化政府管理与加大打击力度等“四个并行”措施解决信息安全问题;建议加快制定数据安全法律法规和配套标准,为数据打造安全屏障,发展高质量数字经济。

二、智慧城市信息安全

建议:转变智慧城市安全建设思想,由同步建设转为安全先行;明确智慧城市网络安全监管主体和责任;正确处理智慧城市与信息安全发展关系;确保智慧城市数据安全保护;制定物联网安全技术方向;鼓励智慧城市关键技术引进和创新。

三、个人信息保护

建议:国家采取的方式是在多项法律中关注和强化对个人信息的保护;可考虑整合个人信息保护中的相关执法职能,设立跨部门的个人信息保护机构,统筹个人信息保护的预防、监管、违法责任追究等职责,更加有效地保护个人信息。

2016

主题:移动智能安全

关键词:安全体系、管理及评估机制、智能制造

主要内容:

一、构建移动互联网生态安全体系

建议:全面构建我国移动互联网生态安全体系,建议“大力推进,重点打击,多位一体,共同治理”。

二、加强网络空间安全建设 建立管理评估监测及定期评估机制

建议:提高公众网络安全意识,加大对网站和移动客户端的建设和管理,在省级层面建立定期评估机制。加强日常管理评估监测,让监测常态化,一旦发现问题,立即整改落实。同时,在技术层面上,充分利用云技术,关注云平台的发展,对网站实现集中化管理。

三、让智能制造更安全

建议:对信息安全的重要环节开展安全防护工作,在实际工况中开展示范、试点,逐步完善技术方案。

2015

主题:国产化

关键词:信息安全、自主改变、安全体系

主要内容:

一、信息安全——保证电子政务云有效实施

建议:建立完整标准,避免数据的泄露;政府应多鼓励引导厂商和企业的合作,建立良好的环境,形成安全体;云厂商加强系统的安全可靠性,解决安全隐患。

二、自主改变——安全信息掌控在手

建议:进行全方位审查,保证信息安全自主可控;划分关键基础设施、敏感部门、政府机构范围;建立详细的透明供应链登记名录;在关键基础设施、敏感部门、政府机构中规范采购行为。

三、明确领导——推动安全信息体系可靠发展

建议:建立一个全面的网络安全体系,在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度,使我国的安全产业形成良好的生态环境。