图为安徽省安庆市岳西县大数据产业园项目建设现场。 吴均奇摄(人民视觉)
工作人员在贵州省贵安新区贵安超算中心数据机房内工作。 新华社记者 刘 续摄
随着人工智能、大数据等技术的快速发展,数字化浪潮席卷全球,从社交媒体互动到在线购物,再到智能家居设备的语音指令,每一次互动都在产生数据,与此同时,数据安全问题也常常冲上热搜,成为公众关注的热点。
数据安全不仅关乎个人隐私,更牵涉到国家安全和社会稳定。国务院近日发布《网络数据安全管理条例》,进一步规范网络数据处理活动,保障数据安全,促进数据依法合理有效利用。
网络无边,安全有界,随着《网络数据安全管理条例》的发布,当好数据安全的“守门员”也成为网络关注的热门话题。
传统网络边界被打破
2023年,广西壮族自治区北海市公安局接到辖区内某网站存在数据泄露问题的线报,涉案公司建设有一个主要提供网上咨询服务的网站,收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。此外,该网站服务器安全防护措施不足,存在被多个境外IP攻击入侵的情况。对于明显存在的数据安全风险,涉案公司未采取数据加密等有效的技术保护措施,来确保其储存的信息安全,导致约22万条个人信息数据被挂在境外论坛售卖。
近年来,类似事关网络数据安全责任的事件时有发生。网络与数据安全涉及面广,它们面临的安全威胁和风险日益突出。
保护网络数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的一系列措施和技术。为了实现数据安全,通常会采用多种技术和措施,包括但不限于数据加密、访问控制、数据备份和恢复、安全审计等。这些措施旨在构建一个多层次、全方位的数据安全防护体系,以应对来自内部和外部的各种威胁。
数据安全对于个人、企业和国家都具有重要意义。对于个人而言,数据安全关系到个人隐私的保护;对于企业而言,数据安全关系到商业机密和客户信息的保护;对于国家而言,数据安全则关系到国家安全和社会稳定。因此,加强数据安全防护,提升数据安全保障能力,已成为当前社会发展的重要议题。
业内人士表示,虽然中国网络空间安全生态环境在逐步搭建,但新型安全技术带来的威胁依然严峻。
据国际网络安全研究机构披露,2023年中开始出现一种名为“GoldPickaxe”的新iOS(苹果操作系统)和Android(安卓操作系统)特洛伊木马,这种恶意攻击诱骗受害者扫描面部特征,并利用人工智能驱动的人脸交换服务来创建深度伪造欺骗。
国家计算机病毒应急处理中心在其发布的《移动互联网应用安全统计分析报告(2024)》称,借助深度伪造技术在全球范围内实施的金融诈骗活动数量不断攀升,通过这一技术实施的新型网络钓鱼和金融诈骗,正在成为危害严重的网络犯罪。
奇安信集团董事长齐向东说,近年来,数字技术迅猛发展,传统的网络边界被打破,网络安全事件从影响虚拟世界升级到影响现实世界。“一次网络攻击可以让系统宕机、让业务中断,长久地影响世界。”
出手一系列“组合拳”
面对威胁数据安全的一系列风险隐患,中国正不断完善政策法律法规体系,扩展法律覆盖面,明确治理方向,推动数字中国、数字经济创新发展。
党的二十届三中全会强调,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。
在前期颁布网络安全法、个人信息保护法、数据安全法等法律的基础上,2023年8月中国施行《生成式人工智能服务管理暂行办法》,2023年10月国务院发布《未成年人网络保护条例》;2024年5月中央网信办等4部委发布《互联网政务应用安全管理规定》……
在一系列“组合拳”的作用下,全民网络安全素养不断提升,网络安全环境进一步优化。
近年来,中国进一步加大了对涉网犯罪活动的打击力度。2023年9月,中国公安机关联合缅甸相关执法部门严厉打击缅北电信网络诈骗犯罪活动,取得重大成果,强力打击犯罪分子嚣张气焰;2023年11月,中国最高检发布《检察机关打击治理电信网络诈骗及其关联犯罪工作情况(2023年)》,强调坚持依法从严,全链条惩治电信网络诈骗及其关联犯罪……
而《网络数据安全管理条例》的出台进一步完善了中国数据安全管理法律体系,对于明确网络数据安全管理要求、提升治网管网水平具有重要意义,也为充分释放数据要素价值、护航数字经济高质量发展提供了有力法治保障。
中国信息通信研究院院长余晓晖认为,《网络数据安全管理条例》筑牢数据安全管理制度底座特色鲜明。他说,《条例》共计9章64条,不仅明确了网络数据安全管理的一般规定,也进一步完善细化了个人信息保护、重要数据安全管理、网络数据跨境安全管理、网络平台服务提供者义务等方面的具体要求,夯实了中国数据安全管理制度底座,具有鲜明的系统性、创新性、时代性和开放性。
国际合作保护全球网络空间
既要发挥技术优势,又倡导开展国际合作,是本次《网络数据安全管理条例》的两大特点。
《条例》明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。
近年来,中国大数据、机器学习、人工智能等创新技术在应对传统和新型网络安全威胁方面均展现出良好效果和前景,有效缓解了攻防两端不对称的问题。如中电信量子集团近期推出的“量子密话”“量子密信”等新产品,成为全球首个运营商级量子安全通话综合解决方案。
2023年7月至2024年6月,国家计算机病毒应急处理中心抽检了15万余款APP应用,发现对比上年同期抽样检测的应用,应用存在侵犯用户权益的现象有所下降,其中“违规收集个人信息”违规类型占比从去年的29.54%下降至今年的15.09%,占比降幅较大。
“内生安全为中国数字领域的产业转型和产业安全生态转变开辟了新路径。”中国工程院院士邬江兴说。
在此基础上,为了更好地保护个人信息,《条例》要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
网络无国界,筑牢移动网络安全防线更需要加强国际合作。《条例》明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
国际刑警组织网络犯罪局副局长董健说,各国要共同加强打击网络犯罪领域的合作和信息共享,更有效地利用国际刑警组织的渠道和平台,保护全球网络空间安全和社区安全。
中国传媒大学媒体大数据研究中心副研究员周晓萌也认为,面对数据泄露和滥用风险的显著增加,必须强化信息安全三要素:机密性、完整性和可用性。通过隐私计算、数据加密和区块链等技术,确保数据在采集、存储和流转中的机密性;利用数字签名和哈希函数保障数据的完整性,防止篡改;通过冗余和备份策略,确保数据的可用性。“同时,国际合作也至关重要,各国需协同制定统一的跨境数据保护标准,只有通过技术、政策和合作多方发力,才能构建稳固的数据安全屏障,确保数据的合法、合理利用。”