新民晚报讯(记者江跃中)“现在人脸、指纹、DNA等个人特征数据的应用非常广泛,但保护措施似乎还没跟上技术的进步。个人生物特征数据具有唯一性和不可再生性特点,一旦被窃取,无法追回并变更,会给个人隐私保护带来极大的、不可逆的风险。”全国政协委员、上海市信息安全行业协会名誉会长谈剑锋在今年的全国两会上提交提案,建议尽快设立国家“数据银行”,升级数据安全管理模式,最大程度保障关键数据安全和国家安全。
谈剑锋介绍,随着数字技术创新和迭代速度明显加快,数据成为基础性战略资源和关键性生产要素,但同时也带来一些数据治理和数据安全方面的新问题新挑战。个人生物特征数据(人脸、指纹、DNA等),具有唯一性和不可再生性特点,普遍用于身份识别和认证,一旦被窃取,无法追回并变更,给个人隐私保护带来极大的、不可逆的风险;大量的国民个人医疗档案、健康档案汇聚后,可以用于分析该国的劳动力状况和经济、相关产业发展趋势,一旦遭泄漏,将对国家安全和产业经济发展可能带来不可预估的危害。
“我国的新型生物特征数据现阶段主要由企业掌握,若不集中收储管理,将带来4个问题:数据要素价值受限,数据只有聚合才能发挥价值;数据使用难以管控,滥采滥用与数据垄断并存;数据安全难以保障,不同企业的数据安全保障能力存在差异,易被内盗外窃;数据安全执法不易,屡见多头管理、管不到位的现象。”为此,谈剑锋提出了几条建议:
尽快设立国家“数据银行”,由国家成立专门机构统一管控。国家“数据银行”优先收储个人生物特征、医疗健康数据等具有唯一性、不可再生性的数据,按需提供数据应用,严格审计,保证向个人开放数据使用查询,从源头防范滥采滥用,切实降低公众忧虑。集中存储相关数据,集约化建设数据中心,有利于提高安全防护等级,还有助于达成“双碳”目标。设立专门监管机构,从身份识别和认证着手,转移当前分散在各金融机构、互联网公司等企业中的生物特征数据。设立生物特征技术安全靶场及认证机构,对相关技术进行安全验证,避免技术滥用和误用。
细化相关法规制度,以点带面明确数据权属,提高数据安全执法的可操作性。明确已汇聚的生物特征数据等为公共产品,参照“重要数据”来管理,达到一定数量还应被视作核心数据。以群众普遍关心的生物特征类数据为突破口,推动数据权属明晰化,合理划分此类数据的所有权、归集权、使用权、管理权。促进此类数据交易的流程化,完善定价、开放、流通、交易等相关规则。优化执法机制,明确执法主体,加快配套法规落地,解决执法中存在程序不固定、范围太宽泛、处罚力度难量化等问题。
促进安全技术发展,夯实安全产业基础,增强数据治理能力和数据监管水平。加快建设数字身份基础设施,围绕身份识别与信任,解决数字空间中的身份认证与治理相关的核心技术问题。鼓励加大密码基础研究,加快隐私保护、零信任、白盒密码、多方安全计算等新型密码技术应用,提升不同场景下的数据存储和传输的安全性。探索数据安全监管、数据安全流通等技术创新和模式创新,加强对关键技术产品的研发支持和规模化应用。