網絡空間安全藍皮書:中國網絡空間安全發展報告(2017)
2017年11月7日,上海社會科學院信息研究所、中國信息通信研究院安全研究所及社會科學文獻出版社共同主辦的《網絡空間安全藍皮書:中國網絡空間安全發展報告(2017)》發布會在上海舉行。
《中國網絡空間安全發展研究報告(2017)》延續“網絡空間安全藍皮書”系列的主要框架,重點圍繞全球治理變革和智能技術創新對網絡空間安全的影響進行策劃組稿。全書分為總報告、全球態勢篇、政策法規篇、產業技術篇、附錄(大事記)共五大部分。其中總報告《全球治理變革背景下的中國網絡空間安全發展》提出全球治理體系變革為中國帶來機遇和挑戰,需要在此背景下分析我國網絡空間安全的形勢與對策,以網絡空間命運共同體探索實踐,推進我國網信事業發展融入國際舞臺,實現向網絡強國的關鍵跨越。各專題篇章由5篇左右的子報告組成,主題包括網絡安全漏洞、網絡空間安全監管、網絡安全產業發展、云計算安全與合規、人工智能安全與倫理、車聯網安全管理與技術、全球網絡空間治理機制、網絡內容治理等;大事記對2016年國內外重大網絡空間安全事件進行了回顧掃描。
本報告認為,2016年全球網絡空間安全形勢依舊嚴峻,網絡安全重大事故持續不斷,美俄在網絡空間呈現“新冷戰”態勢,恐怖主義、政治黑客、虛假新聞等成為全球網絡空間安全治理難點,各主要國家加快推出網絡安全的戰略政策和法律法規,新技術、新威脅共同驅動網絡安全產業的創新和增長。聚焦中國,經過兩年多的共同努力,我國網絡強國制度基石得以奠定,網信事業發展思想、網絡空間安全戰略以及網絡安全基本法律相繼落地,為我國網絡空間安全實際工作提供了指引和抓手,也為我國更加主動地參與網絡空間全球治理提供了重要支撐。今后,我國網絡強國建設重點將實現國內與國際雙輪驅動的發展,積極參與并推動全球網絡空間治理發展是當前我國網絡安全工作的重點和難點。
“網絡空間安全藍皮書”由上海社會科學院信息研究所與中國信息通信研究院安全研究所聯合主編,包括中國信息安全測評中心、公安部第三研究所、中國現代國際關系研究院、中國電子技術標準化研究院、北京大學互聯網研究中心、上海國際問題研究院、騰訊研究院等機構學者共同策劃編撰。本系列藍皮書旨在從社會科學的視角,以年度報告的形式,跨時空、跨學科、跨行業地觀測國內外網絡空間安全現狀和趨勢,為廣大讀者提供較為全面的網絡空間安全立體圖景,為推動我國網絡強國建設提供決策支持。
我國網絡安全產業增長領跑全球,后續創新動能強勁
2016年,由于安全形勢的復雜嚴峻和政策的持續利好,我國網絡安全產業實現了高速增長。根據中國信息通信研究院統計測算,2016年我國網絡安全產業規模約為344.09 億元,較2015 年增長21.7%,遠高于8.2%的全球平均增長水平。網絡安全企業創新活躍,態勢感知、監測預警、云安全服務等新技術、新服務不斷涌現,以產品為主導的產業格局正向“產品和服務并重”轉變,網絡安全企業實力有了較大提高,超過30 家企業年度營收過億,出現了一批具有產業整合能力的龍頭企業。2016年,包括成都、武漢、上海等省市都在加大網絡安全產業布局,積極打造國家網絡安全產業高地,網絡安全產業集群效應初步顯現。例如四川省《信息安全產業發展工作推進方案》提出2020 年實現安全產業規模1100 億目標,包括投資130 億建設“成都國家信息安全產業基地”,連續3 年給予安全示范應用企業、公共技術平臺、產學研用創新機構以及專業技術人員提供補助等,武漢則致力于打造網絡安全領域的中國硅谷;2016 年9 月,武漢正式啟動國家網絡安全人才與創建基地建設;上海市則以創建具有全球影響力的科技創新中心為契機,加快網絡安全產業發展布局,將互聯網信息安全產業納入“十三五”發展重點,支持互聯網安全行業加快突破,為互聯網經濟發展保駕護航。截至目前,已有百余家安全企業在上海落戶發展,多家安全企業成功在新三板掛牌,同時上海也在網絡安全人才教育、網絡安全公共平臺建設等方面取得積極進展。產業發展最終離不開人才建設。2016年6月,中網辦、發改委、教育部等六部門聯合印發《關于加強網絡安全學科建設和人才培養的意見》,提出加快網絡安全學科專業和院系建設,創新網絡安全人才培養機制,強化網絡安全師資隊伍建設,推動高等院校與行業企業合作育人、協同創新,完善網絡安全人才培養配套措施,形成網絡安全人才培養、技術創新、產業發展的良性生態鏈。
網絡空間命運共同體將繼續推動我國網信事業新發展
縱觀全球形勢,美國獨自主導網絡空間治理格局的時代已經結束,以美國、中國、俄羅斯及歐盟等為主的網絡空間多極治理體系正在逐步形成。作為世界第二大經濟體和互聯網主要大國,經過不懈努力,我國網絡強國取得一系列重要成就,網信制度初步完備,網絡空間日漸清朗,數字經濟蓬勃發展,網安產業快速發展。今后,我國網絡強國建設重點將進入國內與國際雙輪驅動的發展階段,積極參與并推動全球網絡空間治理發展是當前我國網絡安全工作的重點和難點。
1.積極構建中美網絡空間戰略穩定關系
中美是全球數字經濟發展的雙引擎,中國大量網信企業面臨國際化的關鍵階段,網絡空間不僅有兩國大量的共同利益,同時也面臨組織犯罪、國家和非國家行為體攻擊、恐怖主義等共同威脅。面對數字經濟雙輪驅動和網絡治理多極均衡的格局,需要清醒地認識到中美兩國管控分歧、協同治理的必要性,需要積極推動中美網絡空間雙邊機制和戰略穩定關系的發展,這既符合我國的現實需要,也可以快速提升我國在網絡空間治理的國際話語權和規則制定權。對美國而言,相比奧巴馬政府,特朗普政府對非意識形態利益的關注超過對利用互聯網進行意識形態攻勢外交的關注。未來,可以預見的是美國政府將更多地聚焦關鍵信息基礎設施保護、知識產權保護、數字貿易等務實議題。目前美國各界將網絡空間主要戰略對手從中國轉向俄羅斯,為中美網絡空間雙邊關系發展提供了窗口期,建議相關部門加強協調,共同成立針對美國新一屆政府的網絡空間雙邊對話和合作平臺,進一步提升中美對話層級,穩步擴大網絡空間的合作范圍。
2.面向“一帶一路”提供網絡空間治理公共產品
“一帶一路”覆蓋廣大發展中國家,是未來我國網絡空間國際治理的主要合作伙伴。因此,基于現有“一帶一路”倡議的基礎條件,在“一帶一路”和“網絡空間命運共同體”等思想的總體指導下,積極發揮網信企業的作用,設計“一帶一路”國家網信領域的國際合作戰略,明確“一帶一路”網信領域多邊和雙邊工作的主要任務和目標。除了會議論壇外,還需要通過實質性的投入和合作,設計多層次的公共產品,政企合作圍繞“一帶一路”重點國家加強網信領域合作,在資金、技術、人才能力建設等方面提供網絡空間公共產品。
3.全面支持網絡空間國際治理人才建設
網絡空間人才是當前我國參與網絡空間國際治理的最大短板,需要圍繞互聯網國際治理人才的戰略性需要,創辦互聯網治理相關的重點學科點和研究基地,實施互聯網國際治理學術創新工程,培養具有國際影響力的互聯網治理思想家(包括學者、企業家、政府官員等),引導建立與西方互聯網重要思想(如多利益相關方治理)等影響力相當的互聯網治理思想體系,發表全球網絡空間治理態勢與國際規范建設的系列主題報告,構建中國主導下的網絡空間治理學術共同體。
4.深度對接和用好既有的網絡空間治理體系
積極開展現有主要的網絡空間治理體系的全面對接,包括開展與移交后ICANN的全面對話,在IGF、IETF、ISOC等架構內積極鼓勵中國社群成員開展活動,在金磚國家、G20、APEC等框架內,完善和提出中國的整體性主張,從而在觀念和認知上,確立中國積極推進全球網絡空間治理良性變革的聲望和態勢。在相應的國際組織內,積極提出細化且系統的中國主張。例如以防止網絡空間進攻性能力擴散,加強網絡安全事故信息通報與能力共享機制等為抓手,細化中國提出的網絡空間命運共同體主張,啟動建立和完善支撐命運共同體的國際規范體系與國際機制倡議。
5.圍繞新技術領域開展網絡空間治理的布局
除了對既有網絡空間治理議題的討論和解決外,還需要圍繞網絡空間新技術和新模式發展所帶來的全新治理議題展開設計,如人工智能、物聯網、共享經濟等領域的技術標準和政策倫理的國際研討交流。充分利用烏鎮世界互聯網大會平臺,主動邀請國際相關技術組織、重要智庫等開展網絡空間治理新議題的設計和研討,積極形成前沿成果并向全球發布,搶占網絡空間新議題治理主導權。
習總書記在2015年提出構建網絡空間命運共同體的倡議,今后一段時期,我們需要積極而務實的努力,將中國倡議變成全球共識,共同推動全球網絡空間的繁榮與安全。2016年全球網絡信息安全態勢評析
我國電子政務系統的信息安全隱患突出
藍皮書分析指出,我國政府一直高度重視國家電子政務系統和關鍵基礎設施的安全保障工作。但隨著新技術新應用的引入、業務多元化的實現以及信息化工業化的不斷融合,信息系統復雜性帶來的安全隱患和攻擊方式的多樣性、隱秘性使得國家電子政務系統和關鍵基礎設施的信息安全形勢依然嚴峻。
2016年,移動互聯網、大數據、物聯網、云計算、智慧城市等新一代信息技術進一步從概念走向應用,我國電子政務的服務水平、服務技術與服務覆蓋范圍已經有了顯著變化。在“互聯網+”的時代,電子政務發展作為國家戰略及網絡和信息安全重點建設領域,創新政府便民利民的工作方式,優化行政資源配置,提高行政效率,為我國傳統的行政服務模式注入了新的活力。然而,互聯網新技術新應用與電子政務不斷深入結合,也帶來了很多新的問題。一是電子政務系統自身安全防護薄弱。網絡的開放性特點使得政府信息面臨著流失、被竊取、被破壞的危險,這將直接威脅國家安全和社會穩定。二是政務數據開放存在信息安全隱患。政府通過搭建政務云、探索智慧城市,已初步將政務數據信息整合到一個平臺上,基本解決了內部共享問題。一些地方政府在推動數據整合和開放共享方面,還建立了政府大數據中心。一旦數據全面放開,將可能涉及責任問題、個人隱私泄漏問題,政府部門就可能面臨被追責,信息安全問題也無形中開了個口子。再加之,日漸增多的政府網站與第三方平臺的合作、各類業務通道的整合并軌,為信息的泄露、流失創造了條件,也會帶來一些政務數據的安全問題。
網絡空間治理機制發展面臨四大挑戰
藍皮書指出,經過多年推進,網絡空間治理機制已經形成一套較為完備的框架,各方就治理主體的多元性、機制設置的立體化、治理議題的分層性以及治理模式的靈活性均已達成一定共識。但鑒于網絡空間復雜形勢,治理機制發展仍面臨諸多挑戰。
(一)“技術圈”與“政策圈”仍存鴻溝
當前,隨著越來越多的國家政府以及政府間國際組織和政府機構加入治理進程,與傳統治理機構相輝映,治理機制因此更趨完善。但在實踐中,“技術圈”與“政策圈”在處理具體議題時,彼此之間的鴻溝仍然明顯。一方面,由于秉持“技術中心論”的“網絡自由主義”思想長期主導互聯網治理進程,形成“多主體參與,私營部門主導”格局,政府作為仍在很多場合被視為的“政府強權”介入與干預,難以切實發揮作用。如在ICANN改革前,就聲稱要提升政府作用,但實際上改革后,該機制內政府平臺“政府咨詢委員會”(GAC)職能不升反降。另一方面,政府主體在處理治理事務時,對非政府主體意見重視度不夠,很多時候缺乏必要的共同討論與廣泛征集意見的環節。在具體合作中,往往也僅將非政府主體視為配合執行者,而未將其納入決策程序。前者造成機制整體上仍未擺脫應對技術問題有效、應對非技術問題相對乏力的局面,而后者直接導致相關決策無法“落地”,影響治理效果。
(二)各方利益協調難度加大
網絡空間治理主體多元化的確有助于形成合力,但由于各主體治理意識普遍增強,利益訴求差異更加凸顯,尤其是在一些重大治理議題上,各方協調的難度不減反增。這也是為什么近來諸多國際議程成果停留在“意見集”水平。從之前的巴西大會到近期的WSIS成果文件均可見一斑。如巴西大會最后《全球多利益相關方聲明》列明的主要還是“有待進一步討論”的問題;《成果文件》在涉及很多問題的表述上,基本上采取“各方合璧”的做法,政策表述四平八穩。歷史經驗表明,如果各方只是試圖通過自己的“議程設置”來提升話語權和影響力,缺乏有效協調,就會導致治理議題、資源與力量的分散,結果未必能使任何一方受益,反而有損共同利益。
(三)機制間缺乏有效協調
治理協調機制包括兩個維度,即橫向的治理機構間合作與縱向的主體間協調。一方面,具備綜合治理能力的治理機構設置已基本成形,但機構間卻缺乏協調機制,不能很好地促進資源整合,治理進程中重復建設、職能重疊現象普遍,相關政策缺乏普遍適用性和權威性。例如,專注互聯網技術架構與發展的機構往往對其所涉及的公共政策及社會影響考慮不夠,而主要綜合治理機構并沒有強制力與執行力,如IGF與WGIG很多時候意在促進共識,而非尋求方案。另一方面,治理機制中,政府主體與非政府主體決策偏好有著天然差異,以國家主權為權力依據的“自上而下”和以平等參與為核心的“自下而上”天然對立,迄今為止,國際社會還未找到有效的折中機制,能夠為各主體切實形成“合力”提供有效平臺。
(四)大國共識難達
中美作為網絡大國與網絡強國,其對網絡空間治理進程的重要性不言而喻,甚至有學者稱,兩國互動直接決定網絡空間安全與治理走勢。以近年來雙方在治理領域的互動來看,雖然對穩定、繁榮的網絡空間符合共同利益已達共識,但合作現狀并不令人滿意:首先,治理理念存在差異,對“多利益相關方治理模式”有各自解讀;其次,缺乏戰略互信,均認為對方試圖削弱自己在網絡空間的影響力;溝通渠道不暢,對各自網絡新政的解讀存有不同程度的偏差與誤讀;危機管控機制建設相對滯后,導致不必要的爭端升級等。這些問題直接影響中美網絡關系,更不利于推動國際網絡空間治理。
建議加強人工智能監管、標準體系等方面的建設
當前,國外在人工智能監管方面主要存在兩種模式。第一種是以美國為代表的行業/部門分散的漸進式監管模式,由各個監管機構在其權限范圍內分別出臺監管措施進行監管,諸如美國聯邦交通部(DOT)、聯邦航空管理局(FAA)、聯邦貿易委員會(FTC)等都出臺了一些監管措施。例如,在提供醫療診斷和治療措施的設備中引入人工智能技術,就需要受到食品和藥物管理局(Food and Drug Administration)的嚴格監管,包括設備的定義、生產方式以及軟件工程等標準。無人機的使用則需要受到美國聯邦航空管理局(Federal Aviation Administration)的管制,而面向消費者的AI系統,則受到聯邦貿易委員會(Federal Trade Commission)的監管。美國金融市場使用AI科技,如高頻交易等,則需要得到證券交易委員會(Security Exchange Commission)的核準。自動駕駛汽車則受到美國交通部相關部門的監管。力求通過設定立法目標和透明性的監管標準以及有效的執法措施來提高監管的透明性,增進公眾信任。第二種是歐盟所呼吁的統一監管模式,如前所述,歐盟議會呼吁成立歐盟統一的人工智能機構,負責研究監管、法律、倫理、安全、社會影響等問題并提出專業建議,同時針對機器人和人工智能出臺專門的法律規則,并就自動駕駛、醫療機器人、護理機器人等特殊類型的機器人進行特殊立法。回到國內,一方面,應探索建設人工智能領域融合標準體系,建立并完善相關技術標準,開展人工智能系統智能化水平評估,加快人工智能熱點細分領域的標準化建設,積極參與人工智能領域的國際標準化工作,增強國際話語權。另一方面,為促進諸如自動駕駛、機器人等人工智能的創新發展和普及,應探索建立相關立法與制度,促進產業健康良性發展,同時保障公共安全、協調各方責任,增進公眾信任。在這方面,立法機關、行政機關和法院都可以在其各自職責和職權范圍內發揮積極作用。
當前中國網絡空間安全監管具有鮮明的時代特征
縱觀中國網絡空間安全監管的歷史發展,不難發現,有關監管目標、方式、重點及制度內容總是隨著信息化的推進而呈現出新的特點。通過對當前中國網絡空間安全監管制度的分析,可以發現以下新的特點。
首先,監管目標以國家安全與產業發展為重。習近平總書記明確指出,沒有網絡安全就沒有國家安全。網絡安全對國家安全的重要性毋庸置疑,《國家安全法》亦正式提出“安全可控”的要求,發出“國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力”的呼吁。同時,習近平總書記在“4?19”講話中明確指出,網絡安全和信息化是相輔相成的,“安全是發展的前提,發展是安全的保障,安全和發展要同步推進”,對此《網絡安全法》也將“網絡安全支持與促進”置于“網絡運行安全”和“網絡信息安全”之前。
其次,監管方式以間接監管與落實平臺責任為主。有學者曾總結網絡內容安全監管的演變脈絡,認為其從輔助監管過渡到直接監管進而過渡到間接監管,網絡空間安全監管亦類似。在實際操作中,網絡安全責任的落實,依賴的不僅是立法、執法、司法,更多的是網絡運營者自覺守法,“誰建設誰負責,誰運營誰負責”的歸責方式促使網絡運營者規劃、建設及持續運營過程中均須考慮維護網絡安全的能力。值得注意的是,隨著第三方網絡平臺的發展,網絡安全的平臺責任傾向日益明顯。特別是在網絡內容安全領域,法律提出“避風港原則”的例外,要求對其平臺出現的違法侵權內容,承擔一定的自我監管責任。例如,近年來立法有強化網絡交易平臺對其用戶內容負行政責任的趨勢,透過監管部門的解釋,這些立法被進一步理解為要求網絡交易平臺普遍性地主動監控用戶交易。
再者,監管重點轉向基于風險的監測與預警。習近平總書記在“4?19”講話中著重提出要全天候全方位感知網絡安全態勢。“大數據、智能化、移動互聯網、云計算”的發展,使得黑客攻擊的頻率和復雜程度大幅提升,網絡安全需要從被動防御轉型為主動防御,從傳統網絡安全進入網絡安全2.0時代,對安全風險隱患主動監測并智能感知,實時應對處理。對此,《網絡安全法》專章提出“監測預警與應急處置”的若干措施,要求“國家建立網絡安全監測預警和信息通報制度”。
最后,監管制度呈現清晰的大數據時代特征。過去相對獨立分散的網絡已經融合為深度關聯、相互依賴的整體,形成了全新的網絡空間。而得益于信息技術的迅猛發展,網絡空間日益成為一個市場容量巨大、發展潛力無窮的數據寶藏,人類社會進入了“數據即財富”的大數據時代。這一時代特征,是把握網絡空間安全監管方向的核心。《國務院關于印發促進大數據發展行動綱要的通知》(國發〔2015〕50號)提出要“加強大數據環境下的網絡安全問題研究和基于大數據的網絡安全技術研究”,為充分運用大數據先進理念、技術和資源,加強對市場主體的服務和監管,國務院還專門發文強調大數據對提高政府服務和監管能力的重要意義國辦:《國務院辦公廳關于運用大數據加強對市場主體服務和監管的若干意見》(國辦發〔2015〕51號)。,這些都體現出網絡空間安全監管的大數據時代特征。
新形勢下我國應加強對國家基礎數據的管理
藍皮書分析指出,我國應采取“政策先行、技管結合”的原則,構建“以政府和企業為責任主體、基于數據內容并按照數據敏感程度進行分類管理”的國家基礎數據安全保護體系,保障國家基礎數據充分完整、使用流程規范,使之免受偶然或惡意的破壞篡改和泄露,同時為數據產業發展提供安全解決路徑。
(一)技術/管理措施建議
建立“數據所有者自主登記備案,關鍵環節進行安全審查,統籌部門組織監督檢查”的國家基礎數據安全保護工作流程,形成常態化和規范化的防護機制。
首先由主管部門確定國家基礎數據的認定標準,數據所有者根據國家要求對自身所有的數據進行對比,若符合國家基礎數據定義則按要求提交備案申請。在登記備案環節,對數據所有者提交的備案申請進行審核,審核通過后由數據所有者填寫格式統一的國家基礎數據登記表。數據所有者應對國家基礎數據進行全生命周期的數據分類保護措施,國家基礎數據主管部門或其委托的第三方機構定期對數據所有者開展監督檢查,并在關鍵環節進行安全審查。
1.登記備案的重點內容
制定格式統一的國家基礎數據登記表格,并對其保護等級添加標識;將國家基礎數據登記表進行分類登記,可根據需求在大類下設子類,建立并及時更新國家基礎數據的分類登記;定期對國家基礎數據的登記庫進行整理,適時調整標識或登記表格
2.安全審查的重點內容
業務數據、人口信息等國家基礎數據須存儲在中國境內,若外國政府要求訪問企業掌握的國家基礎數據,則須獲得國家安全部門的批準;對敏感數據的開放進行審查;對國家基礎數據所有者使用的相關安全產品及服務進行安全審查。
3.監督檢查的重點內容
數據所有者根據國家要求開展自評估或接受第三方機構的風險評估,防范和化解數據安全風險,將風險控制在可以接受的水平;存儲國家基礎數據的企業的數據安全能力建設應達到國家政策和標準要求;政府和企業應按照國家安全要求采取技術措施進行國家基礎數據保護。
4.全生命周期的數據分類保護思路
國家基礎數據涉及的領域多樣,難以細化;規模龐大,范圍寬廣;數據價值不易量化,識別困難。鑒于國家基礎數據以上特點,其安全保護應采用“數據分類”+“基線管理”的思路,采取按數據保護程度的分類方法,將國家基礎數據分為三大類,按照不同類別對國家基礎數據提出基線管理要求,從而達到安全目標。
其中,基線管理的保護思路主要是根據國家基礎數據的生命周期提出相應階段重點關注的信息安全目標。生命周期包括四個階段:數據采集階段,即對國家基礎數據進行獲取并記錄;存儲加工階段,即對國家基礎數據進行的操作,如存儲、修改、挖掘等;數據傳遞階段,即將國家基礎數據提供給第三方,如向公眾公開、向特定群體披露、將國家基礎數據復制到其他信息系統等;數據銷毀階段,即刪除國家基礎數據,使國家基礎數據不可用。信息安全目標是安全工作的理論基礎,包括:機密性、完整性、可用性、可控性及不可否認性。
(二)法律政策建議
我國應加強國家基礎數據立法保障,推動國家立法進程。1.盡快出臺數據安全保護基本法,增設關于國家基礎數據定義和保護的法律條款
一是在數據安全保護法中明確規定“國家基礎數據具有重要性與戰略性,其主權屬于國家,對國家發展與安全具有重要意義”,將其作為國家安全戰略概念提出;二是在數據安全保護法的法規條例中明確網信部門為國家基礎數據的統籌監管機構,主要負責組織制定國家基礎數據安全保護的法規政策等;三是在《政府信息公開條例》中增加數據安全保護的條款,防止國家重要數據資源的流失。
2.配套國家基礎數據保護落地辦法,完善國家基礎數據安全保護的法律政策
一是明確定義與范疇,指出“國家基礎數據是政府或企業經過收錄采集或數據處理后形成的具有一定規模的,涉及國家基礎領域或支撐社會基本經濟活動的,具有重要性與戰略性的電子數據集合,其主權屬于國家,對國家發展與安全具有重要意義”;二是制定針對國家基礎數據的開放共享、跨境流動等場景的監管策略;三是明確國家基礎數據收集、利用和公開等行為所應遵循的準則;四是合理設定數據所有者在國家基礎數據全生命周期各階段的責任義務,包括安全能力建設、配合執法義務、數據留存義務等;五是完善針對國家基礎數據的管理機制,如登記備案、安全審查、主體問責等。
(三)管理體系建議
我國應構建統籌協調、分工明確的國家基礎數據安全保護管理體系。
1.由中央網信辦設立國家基礎數據安全保護領導與統籌機構
如國家基礎數據安全保護辦公室。該機構負責統籌協調各數據內容主管部門,并明確各部門職責權限。同時,也應組織制定國家基礎數據安全保護法規政策,推動相關數據內容主管部門及其部門落地國家基礎數據配套文件及標準。此外,該機構也應聯合其他職能部門或委托第三方機構組織開展登記備案、安全審查及監督檢查等工作。
2.加強工信部、國家統計局及其他數據內容主管部門在國家基礎數據保護工作上的協調配合
各部門根據職責加強國家基礎數據定級審核、登記備案和安全審查工作,按照國家政策規定監督指導相關單位落實國家基礎數據安全保護責任;加強部門間的協同配合,保障定期監督檢查工作的順利高效開展。
3.充分發揮第三方機構的作用,形成政策智囊、標準研究、安全評估等方面全方位、立體化的支撐體系
其中,政府智囊類機構提供國家基礎數據安全保護工作的政策支撐;標準研究類機構主導國家基礎數據保護標準制定,配合政府智囊完成相關政策的制定;安全評估類機構配合監管機構開展國家基礎數據的安全審查、認證、評估等工作,著重開展針對國家基礎數據的安全存儲和開放審查、跨境流動的安全評估。
(四)技術標準建議
在技術能力建設方面,我國應重點突破核心技術瓶頸,強化國家基礎數據安全防護能力。一是構建新型數據保護技術平臺,加大自主創新力度,突破存儲設備、服務器等關鍵設備,操作系統、數據庫等基礎軟件的核心關鍵技術;二是加快數據加密、防泄漏、信息保密、關鍵數據審計與流動追溯等數據安全核心技術的研發力度并推動產業應用;三是研發能對國家基礎數據竊取或監聽進行攔截和溯源的安全技術產品。
在標準體系建設方面,我國應加快構建數據安全標準體系,積極研究制定通用和國家基礎數據專用的數據安全標準。一是加強標準制定的頂層設計,加強國家基礎數據安全的基礎理論研究;二是研究制定專門的國家基礎數據安全標準,健全現有數據安全防護標準;三是加緊制定物聯網、工業互聯網領域的數據安全標準,力求國家基礎數據的相關安全標準與新技術新業務領域技術發展與應用擴展同步。
我國安全企業整體發展態勢良好
國內安全企業2015年總體表現良好,穩步成長壯大的同時營收增幅明顯。從營收規模來看,國內安全企業發展進入快車道,10家上市安全企業2015年總營收規模達到113.79億元人民幣,平均營收增長率38.2%。從凈利潤來看,2015年10家上市安全企業的平均凈利潤1.56億元,凈利潤增長率達到41.19%,凈利潤超過1億的企業共8家。從人均貢獻來看,2015年安全企業的人均產出也持續走高,10家上市企業2015年平均人均營收達到62.66萬元,較2014年的45.95萬元增長了36.37%。但也要看到,隨著企業經營規模的增長,企業技術研發投入占營收規模的比值逐年下降,從2013年的15.01%,到2014年的14.28%,下降到2015年的12.69%。
