|新一代信息技术 信息基础设施建设 互联网+ 大数据 人工智能 高端信息技术核心产业
|高端制造 机器人 智能制造 新材料
|生物产业 生物医药 生物农业 生物技术
|绿色低碳 清洁能源汽车 环保产业 高效节能产业 生态修复 资源循环利用
|数字创意 数创装备 内容创新 设计创新
|产业资讯
|地方亮点及地方发改委动态
|独家内容
|杂志订阅
✍️ 投稿
您的位置:首页 > 其它 > 独家内容
从滴滴到IBM,数据安全的世界难题
2021-10-12 15:10
  中国战略新兴产业融媒体记者  陈雯
  7月2日,中国网络安全审查办公室发布公告,对“滴滴出行”实施网络安全审查。审查期间“滴滴出行”停止新用户注册。紧接着,国家互联网信息办公室通知应用商店下架“滴滴出行”APP,整改存在的严重违法违规收集使用个人信息问题。
  滴滴被审查,我们开始意识到,数据的使用,除了与个人隐私有关,也事关国家信息安全。而数据的跨境流动,则具有更大的危险性和复杂性。
  在网络安全问题日益受到重视的今天,我国在建设“网络强国”方面有什么样的战略部署?
 
  01
  安全保障体系建设
  7月30日,国务院公布《关键信息基础设施安全保护条例》(以下简称《条例》),《条例》在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了界定和规范,于2021年9月1日起施行。
  到底什么是“关键信息基础设施”?我们知道,像电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技这些行业和领域,一旦遭到破坏,就会严重危害国家安全和社会稳定。而关键信息基础设施,就是支撑这些关键业务稳定运行不可或缺的网络设施和信息系统。
  在《网络安全法》出台以前,立法文本中尚未存在关键信息基础设施的明确概念,落入关键信息基础设施范围的基础信息网络和重点信息系统,之前依靠1994年《计算机信息系统安全保护条例》中确立的网络安全等级保护制度进行保护。
  2017年开始实施的《网络安全法》第一次正式提出“关键信息基础设施”这一概念,第一次对关键信息基础设施的范围、保护的主要内容等做出内容规范。《网络安全法》设立了关键信息基础设施保护制度,方在法律层面上确立了该制度的施行。《网络安全法》第三十一条中采取了“行业+后果”的界定方法,确定行业为能源、金融、公共通信等重要行业和领域。确定重点行业的规定可以追溯到《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》中“重大基础设施”的概念,在该通知中列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。
  “在网络安全威胁和风险日益突出,关键信息基础设施面临的安全形势日趋严峻的大背景下,《条例》的出台正当其时,也时不我待。”中国网络空间研究院副院长、中国网络空间安全协会秘书长李欲晓认为。他表示,《条例》有几个亮点,包括明晰了关键信息基础设施的定义、明确了保护工作部门职责、强化了运营者安全管理、规定了国家保障和促进措施以及确立了监督管理体制,科学总结了网络安全工作的实践经验等;同时,《条例》把这些实践经验上升为法规制度,为关键信息基础设施安全保护工作提供了法治保障。
 
  02
  滴滴:“绝无可能把数据交给美国”
  “滴滴出行”从被要求接受网络安全审查办公室的网络安全审查,到直接下架,引起了热议。在诸多猜测中,最引人注目的是“滴滴出行公司将数据打包交给美国,破坏了国家数据安全”。随后,滴滴出行方面出面澄清:滴滴副总裁李敏于7月3日表示:“看到网上有人恶意造谣说‘滴滴在海外上市,把数据打包交给美国’。和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。”
  这里有一个问题,“滴滴出行”等4家此次被查互联网公司目前均在境外上市,这些公司又掌握着海量深度数据,那这些在中国境内的公司数据到底是否能够出境?
  对此,《数据安全法》明确规定向境外提供数据的监管适用情形,第三十六条明确指出:“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任。
  北京烛原律师事务所律师韩晓峰则认为:“无论滴滴是否向美国转移了数据,至少悄然赴美上市的行为,产生了数据流向美国的风险可能,并且这种风险显然威胁到了国家安全。”并且进一步把滴滴掌握5亿用户的个人注册信息、遍布全国的道路交通信息,以及车载实时监控信息可能形成的情报分为三类,一类是重点监控对象的身份情报,一类是关键设施的地理空间情报,还有一类是车上人员在对话中泄露的其他重要情报。
  不论是软件定义汽车还是数据更新迭代,汽车工业已然被智能化浪潮席卷,行驶过程中汽车不仅采集到几乎每一位乘客的信息,还搜集了大量道路环境信息,确确实实构成了信息安全隐患。关键信息基础设施的破坏将会影响到正常的市场秩序,比如,电力的严重短缺有可能导致石油价格变动。因此,除了一项设施和一套对应信息系统或工控系统相互依赖以外,多处不同行业的设施也可能相互依赖,而产生“火烧连环船”式的连锁脆弱性。在物联网时代,更是可能存在万物互联的脆弱性。
  “在技术手段不完备、管理制度还不完善的情况下,对跨境传输应该采取更为严格的管理方式,尽快将数据先‘堵住’,待研究清楚之后,这些确实需要传出去且不涉密的脱敏数据才能在全球范围联合研发。但在研究清楚之前、控制手段完善之前,数据应该严格地留在国内。”清华大学车辆与运载学院创院院长杨殿阁表示。
 
  03
  数据跨境流动的全球博弈
  那么,数据的跨境传输的管理方式应该如何完善?这就涉及到不同国家对数据保护的先行规则尺度的差异问题了。
  20世纪70年代后期,以IBM为代表的美国公司依靠技术和商业优势抢占全球计算机相关产业的半壁江山。早在手机大面积普及、信息爆炸、数据获取和分析变得轻而易举之前,IBM已经在全球开展业务,向全世界出口计算机和系统,伴随局域网和互联网的发展,IBM从未停止收集、存储并跨境转移各类数据,其中不乏他国政府、企业、科研机构的信息。
  1973年,欧洲共同体委员会指出,在数据产业方面,欧共体内部没有公司能够与美国公司进行竞争。面对美国对数据产业的垄断以及欧洲和美国经济政治利益的分歧,欧洲各国纷纷制定法律限制数据的跨境转移,同时加大对数据产业的投入,期望能建立强大的计算机相关产业。甘肃政法大学法学院副教授、网络法学研究中心主任曾磊据此分析,欧洲各国制定的数据保护法并不是侧重于对维护国家主权、安全和发展利益的强调,更多地,是把重心放在保护个人数据,保障个人隐私权不受侵犯。
  而2018年生效的《通用数据保护条例》在曾磊看来,同样继续贯彻了欧盟对数据跨境流动“内松外严”的原则,也就是说,对成员国内部数据流动的限制较松,而加强限制成员国以外的数据流动。这在实践中表现出很多问题,一方面,这样一种体系,实际上是加深了数据流动的分歧,尤其是对于欧盟国家和其他区域地区和国家之间的跨境流动。另外一方面,由于冗杂的认定程序以及过高的标准,至今也只有11个国家和地区获得欧盟充分性认证,可以看出,资质认定条件事实上是存在不合理之处的。
  而我们的关键信息基础设施保护制度能否满足网络保护的需求?越是在这样网络威胁形式复杂的背景下,越是需要继续开展相应的国际合作。中国人民公安大学法学院吴才毓认为,关键信息基础设施天然具有跨国性质和国际性依赖,各国保护面临的威胁有相似之处,因此,在这些共同目标的指引下,各国在新一轮的关键信息基础设施的概念界定上应采用更为灵活与实践化的模式,以此为基础进行协商对话。
  END
  来源:本刊原创文章
关注微信公众号:

官方账号直达 | 关于我们 | 联系我们 | 招聘 | 广告刊例 | 版权声明

地址(Address):北京市西城区广内大街315号信息大厦B座8-13层(8-13 Floor, IT Center B Block, No.315 GuangNei Street, Xicheng District, Beijing, China)

邮编:100053 传真:010-63691514 Post Code:100053 Fax:010-63691514

Copyright 中国战略新兴产业网 京ICP备09051002号-3 技术支持:wicep