【观点】构筑顶层设计 开创工业和信息化领域数据安全管理新格局******
近日,工业和信息化部出台了《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”)。《管理办法》作为工业和信息化领域(以下简称“工信领域”)数据安全管理顶层制度文件,是全面贯彻落实《数据安全法》等国家数据安全法律法规的重要举措,也是前期工信领域数据安全管理实践经验的固化总结。《管理办法》以安全发展理念为指引,建立健全了工信领域数据安全制度机制,搭建起工信领域数据安全管理的“四梁八柱”,细化明确了数据全生命周期安全保护要求,为工信领域企业落实数据安全管理和技术保护措施提供了明确指引,标志着工信领域数据安全管理工作迈出了具有里程碑意义的重要一步。
一、夯实数据安全根基,建立工信领域数据安全管理基本遵循
随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源,数据安全的基础保障作用和发展驱动效应日益突出,攸关国家安全、公共利益和个人权利。党和国家敏锐把握数字经济发展的战略机遇,将数据作为新型生产要素,加快培育数据要素市场,充分释放数据红利,同时,高度重视、不断推进数据安全保护工作。党的二十大报告立足中华民族伟大复兴战略全局和世界百年未有之大变局,做出“统筹发展与安全”的重要部署,要求“坚定不移贯彻总体国家安全观”,“以新安全格局保障新发展格局”,重点强化数据安全保障体系建设。
安全保障,制度先行。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家总体数据安全保障水平的关键一环。《数据安全法》《个人信息保护法》等国家重大数据安全立法加速出台,进一步明确了数据安全行政监管的上位法依据和职责边界,对各行业、各领域承接落实也提出了新要求。
工信领域是我国数字化转型的排头兵和产业数字化的主阵地。信息通信网络覆盖社会千行百业,是经济社会运行的“神经中枢”,汇聚海量用户数据和关系国计民生的重要数据。工业数字化转型催生海量工业数据资源,且数据互联互通加快导致数据安全风险与威胁点增多,数据安全形势愈发严峻复杂,工信领域数据安全保护亟待强化。加速完善工信领域数据安全管理政策,夯实数据安全工作基石,是认真践行总体国家安全观,统筹发展和安全,护航工信领域数字化发展的必然要求,也是落实党和国家决策部署、提升国家总体数据安全保障水平的必担之责。
二、筑牢数字安全屏障,明确工信领域数据安全保护的规则指引
《管理办法》坚持安全与发展并重、鼓励与规范并举原则,推动建立健全安全可控、弹性包容的工信领域数据安全规则体系,一方面,明确数据安全管理关键制度要求,划定工信领域数据流通利用的安全基线,同时,构建多元主体协同共治格局,着力提升工信领域数字信任,为我国数字化转型保驾护航。具体来说,《管理办法》核心内容包括以下几个方面:
(一)明确管理体制,建立三级联动的数据安全工作机制
《管理办法》衔接国家数据安全工作协调机制,充分结合工信领域既成的监管体制,构建了“部-地方-企业”三级联动的数据安全工作机制:在部层面,由工业和信息化部负责工信领域数据安全总体统筹与监督管理。在地方层面,地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责对本地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护进行监督管理。在企业层面,工业数据处理者、电信数据处理者、无线电数据处理者承担本单位的数据安全主体责任,落实工信领域数据安全管理要求。这种条块结合的监管组织架构既贯彻了《数据安全法》对于各地区、各行业、各领域数据安全监管的责任分工,也充分考虑了工信领域管理的共性需求与实践差异。
(二)细化分类分级,建立涵盖事前事中事后的监管制度机制
《管理办法》承接细化《数据安全法》数据分类分级保护要求,以预防、控制和消除数据安全风险为核心,建立工信领域数据安全管理关键制度机制。一是明确工信领域数据分类参考因素及数据分级识别依据,建立重要数据和核心数据目录备案管理机制,为工信领域数据分类分级安全管理提供实操指引。二是建立工信领域数据安全风险监测机制及风险信息上报和共享机制,对数据安全风险进行监测、汇聚、分析、通报,加强工信领域数据安全风险的事前感知。三是明确应急处置机制流程,制定工信领域数据安全事件应急预案,预防和减少数据安全事件发生后造成的损失和危害。四是完善投诉举报机制,建立部省两级数据投诉举报渠道,充分发挥社会监督作用,广泛获取数据安全违法信息。五是建立数据安全检测、认证、评估管理制度,提升工信领域数据安全产品、服务质量及安全保障能力,推动数字安全产业发展。
(三)落实主体责任,加强重要数据和核心数据重点保护
《管理办法》对标《数据安全法》《网络安全法》《个人信息保护法》中的数据安全保护义务,明确细化工信领域数据处理者的数据安全主体责任。一是要求建立数据全生命周期安全管理制度,制定各环节分级防护要求和操作规程,配备管理人员,加强权限管理,制定应急预案,定期开展教育培训以及其他必要措施。二是要求结合数据收集、存储、使用、加工、传输、提供、公开等环节特点设置针对性保护措施,有效加强数据安全保护。三是以一般数据、重要数据、核心数据三级数据划分为主线贯穿数据全生命周期安全管理,要求采取工作体系建设、内部登记审批、关键岗位管理、安全防护等管理及技术措施对重要数据和核心数据进行重点保护,切实保障国家安全和社会公共利益。
(四)引入多利益相关方,构建数据安全协同治理生态
数据安全保护涉及主体多元、场景复杂、环节众多,构建良好的数据安全治理生态需要开展多方协同。《管理办法》引入企业、研究机构、行业组织、安全服务机构等各类主体参与数据安全治理。一是推动数据安全产业发展,支持数据安全企业、研究和服务机构开展数据安全技术研发创新,结合行业数据安全需求培育、发展数据安全产品和服务,提升数据安全产品供给能力。二是组织企业、研究机构、高等院校、行业组织等各类主体开展相关标准的制修订及推广应用工作,增强标准制定参与主体的广泛性,通过标准促进数据应用规范化,提升数据处理活动的安全性。三是发挥安全服务机构、行业组织、科研机构数据安全能力,鼓励协同开展数据安全风险信息上报和共享,汇聚多方力量应对数据安全风险。四是发挥评估机构专业能力,辅助开展数据安全风险评估、出境评估等活动,助力企业持续提升数据安全保障水平。
三、凝聚多方合力,全面提升工信领域数据安全保障水平
在数据安全威胁和风险日益突出,国家数据安全管理要求亟需落地的大背景下,《管理办法》的出台正当其时。《管理办法》正式实施后,将开创工信领域数据安全保护工作新局面。为进一步推动其落地,有效提升工信领域数据安全治理能力,重点提出以下几方面思考:
(一)加强政策宣贯培训,全面提升数据安全保护意识和水平
《管理办法》发布是引导工信领域深入贯彻领会数据安全管理制度要求,加快推动数据安全管理工作制度化、规范化的良好契机。做好宣贯培训,采取部级示范培训和地方重点培训相结合的方式,针对性、分层次、有深度地设计行业数据安全宣贯培训内容,对《数据安全法》《管理办法》进行系统阐释和深入解读,统一理解认识,有助于行业监管部门推动管理制度要求有效落实与执行,打响“发令枪”。同时,数据处理者要定期开展数据安全管理培训,明确关键、重点岗位培训方案,确保数据安全从业人员全覆盖,及时评定培训效果,做好“冲锋者”。
(二)做好重要数据识别备案,有效夯实数据安全工作基础
重要数据保护已成为工信领域数据安全管理的重中之重。随着《管理办法》的推进实施,还需要行业监管部门结合工业、电信行业领域自身特点和实践需求,配套制定重要数据识别标准规范,建立完善备案审核及上报流程机制,为工信领域企业深化落实数据安全基线要求进一步提供细化规则。数据处理者也需要按照行业监管部门的工作要求,紧密结合自身数据安全工作实际,定期梳理数据资源,扎实开展重要数据识别和目录动态备案管理工作,切实履行好安全主体责任。
(三)抓好风险防范化解,切实增强数据安全保障能力
有效发现、抵御工信领域数据安全突出风险,是维护数据安全的发力点和核心战力。加强数据安全风险评估、报告、信息共享、监测预警工作部署,推进全国数据安全管理平台建设,加快打造工信领域数据安全风险态势感知能力,将成为下一步行业监管工作的重点。数据处理者应围绕数据安全保护需求,配合部、省两级主管部门开展风险监测排查,及时防范行业数据安全风险隐患;做好数据安全风险评估和数据出境安全评估,不断提升数据安全合规能力。安全服务机构、行业组织、科研机构要主动参与风险信息上报和共享,按照“及时、客观、准确、真实、完整”的原则报送掌握的风险信息。
(四)加强正向激励引导,多措并举提升数据安全保护水平
坚持监督管理与正向引导相结合,有利于充分调动企业的自主性和积极性,更大程度激发企业提升自身数据安全管理水平的内生动力。行业监管部门在加强监督检查,通过执法、约谈等措施敦促企业责任落实的同时,可以综合运用行业自律、竞赛、优秀案例评选等多种方式加强示范引领,推进企业标准贯标达标工作,指引企业提升数据安全管理能力。数据处理者要充分发挥能动性,自动对标管理要求和最佳实践,自觉提升数据收集、存储、加工、传输、提供、公开、销毁等全环节安全保护水平。在业务系统上线、运营中,同步规划、同步建设、同步运行数据安全保障措施,进一步提升数据有效利用与安全保护平衡能力。
(作者:中国信通院院长 余晓晖)
专家学者激辩“元宇宙”:是概念还是技术?应拥抱还是远离?******
中新网北京12月7日电 (记者 孙自法)近一段时间以来,“元宇宙”议题引发广泛关注与热议。近日在北京举行的2021人工智能合作与治理国际论坛“元宇宙未来治理前瞻”主论坛上,人工智能及相关领域专家学者线上线下“云聚”清华大学,聚焦元宇宙是概念还是技术、应拥抱还是远离、元宇宙(虚拟世界)和本宇宙(现实世界)如何关联等热点话题,以圆桌论坛形式展开学术激辩和争鸣。
元宇宙或把人类带进一个超历史空间
中国社科院哲学所科技哲学研究室主任、科学技术和社会研究中心主任段伟文研究员认为,人类目前为自己构建的技术世界建立在赛博物理空间(CPS)之上,不论是否称为元宇宙,下一步如果继续以信息和数据作为构建世界的关键路径,将会是整合多种新技术而产生的新型虚实相融的互联网应用和社会形态。
亟待深入思考的是,元宇宙的构想与构建具有超越性,可能会把人类带进一个超历史空间。这个空间不仅仅涉及现实、虚拟及扩展现实等感知体验世界,更是一个超越现实与虚拟体验,涉及符号/象征、想象等观念和意义创造的世界。
他说,未来,对元宇宙的监管和治理可能面临的不是单一维度的技术体系——唯一的大写的元宇宙帝国,而是一个多维整合的技术体系——多样化的元宇宙共和国或多种微世界的联合体。对元宇宙的治理应有前瞻性的考量。
首先,涉及符号/象征和想象层面时,要赋予其充分的自由创造空间,不应急于出台一套标准化的制度体系,而应强调在自我意识基础上的自主管理和自我控制。
其次,应该看到,不论元宇宙以何种技术路径实现,都发生于地球、社会和人自身之上,故促进人的可持续性、社会的可持续性(如团结与沟通)、自然的可持续性应成为元宇宙治理的基本价值诉求。
其三,要对元宇宙可能导致的颠覆性社会价值伦理冲击展开深入研究。人一直生活在其用技术构建的世界里,元宇宙可能是技术世界的未来版本。不论元宇宙是否成真,在当前的技术路径下,最为突出的问题是数据正在替代信息成为新的技术世界的基础设施——数据就是人的行为,而元宇宙的构建似乎不能不基于对数据无时不刻无处不在的监测。这亟待我们从自然、社会和个人的维度对此技术路径展开反思和讨论,以形成包括元宇宙在内的深度科技化未来的新的社会契约。
元宇宙虚实相融未来面临诸多风险
在清华大学新闻学院新媒体研究中心执行主任沈阳看来,元宇宙是虚实相融的新世界,元宇宙实现了对时空的拓展,其未来面临着诸多风险,如虚拟人的归属问题、虚拟人的责任困境、人机交互下个人认知异化和行为异化等。
当前,元宇宙整体发展处于初级阶段,其技术应用还处于低级层次。对于元宇宙的治理,可以采取边调研边发展边治理,确保不出现重大风险,又能积极推进元宇宙产业发展。近期可在现有的制度、法律、政策框架内来讨论,将当下的治理抓手落实在个人权力和利益关系层次。
沈阳表示,未来元宇宙治理需建立在充分调研的基础上,经过多元主体的社会大讨论,实现发展与治理的平衡,避免一刀切式的治理框架。要在发展过程中发现问题、分析问题、解决问题,实现精准式的动态治理。
联合国开发计划署助理驻华代表张薇指出,随着元宇宙概念被广泛关注,迫切需要从各个角度全面审视元宇宙可能引发的未来治理问题,包括政治经济、国际关系与全球治理、伦理、立法、监管等,从而建构一个公正、开放、负责任、向善、可持续的虚拟世界。她强调,全球尚有37%的人口没有接入或使用互联网,相较于元宇宙的治理问题,数字化的加速和颠覆性技术带来的更迫切、更现实的挑战依然是数字鸿沟。
应该善用虚拟/增强现实远离元宇宙
“元宇宙相关的若干概念目前在科学上十分不清晰并有误导性。”联合国教科文组织人工智能伦理特设专家组成员、中国国家新一代人工智能治理专委会委员、中国科学院自动化研究所曾毅研究员将自己的主要观点概括为:善用虚拟/增强现实,远离元宇宙。
曾毅赞同虚拟现实和增强现实扎根现实,对现实通过虚拟和增强进行扩展和辅助人类对现实的认知,因此在善用的理念下适度使用是合适的。他认为,元宇宙在字面上表示有“宇宙的宇宙”“超越宇宙”之意,如果认为需要去塑造元宇宙,就应当与现实世界高度关联并不能完全脱离现实世界,一旦失去了这种关联,元宇宙就失去了根基。
他还认为,面向人类的“数字孪生”概念也不具备科学合理性。孪生一方面强调相似性,另一方面本质上是完全不同的两个人,无法对应到同一个实体。此外,目前的人工智能并不能克隆人类到数字系统中,人工智能目前也没有真正的理解能力、意识和真正的自主性,因此以数字孪生的愿景建构虚拟智能体模糊和混淆了人与人工智能的界限,而目前的人工智能只是一个看似智能的信息处理的工具,目前技术的发展远无法支持“数字孪生”。
曾毅特别强调,当“元宇宙”相关基本概念、愿景和应用仍然看似有重大风险时,尤其不应当将青少年推向这个未知的空间。首先,目前对元宇宙这一概念的刻画还相当不扎实;其次,在通用人工智能还未到来之时,互联网、人工智能所存在的所有风险就足以使人类社会受到巨大冲击,由于“元宇宙”基于现代网络与人工智能技术发展,其风险将会在此上基础上叠加;最后,从文化背景看,虚拟和现实世界,都是历史产物。重塑虚拟社会,历史不可磨灭。在虚拟平台进行共治,文化互鉴和互信是重要的“基础设施”。
“从技术角度来看,当我们许诺给全球公众和政治系统概念的时候,在提出经经得起科学推敲的基础理念前提下,要考虑技术可行性和社会应用合理性。完全脱离真实世界重塑的新概念会将人类带向真正的生存风险。”曾毅说。
元宇宙应以人为本强化现实世界
微软(中国)首席技术官(CTO)韦青称,每个人对元宇宙有不同的理解。元宇宙应该以人为本,应该用来强化现实世界,而非替代物理世界,不能让人们沉迷于虚拟世界。越来越多的人发现,虚拟空间与真实空间都需要治理,都需要有秩序。但什么是好的治理,目前仍没有明确的答案,需要人类社会一起达成共识。在数字社会发展过程中,数字鸿沟是一个很大的挑战。“我们的技术向前迈进的同时,不能落下一部分人。面对新技术,我们需要有足够的信心认为技术能够为人类的美好生活做出贡献”。
《元宇宙通证》作者之一余晨认为,创造的虚拟世界都可以被视为元宇宙,虚拟并不可怕。纵观人类历史,就是一个由实入虚的过程。元宇宙及现代社会很多问题的根源在于很多人混淆了符号和其所指的对象、混淆了拟像与真实。虚拟空间需要秩序,也需要治理。对于新技术可能的威胁,不能与之前的技术进行简单的归纳和类比,毕竟人工智能技术可能不需要拥有意识就足以毁灭人类,人们往往低估了新技术的次生危害。原则上技术是中立的,但技术是人性的“放大器”,对新技术的治理应该是动态的过程。“元宇宙给我们带来创造价值可能性的空间,我们需要将恶的部分排除,将善的部分留下”。
英伟达中国区Omniverse负责人何展说,元宇宙是一个概念,而非一项技术。由于近年来许多数字技术的出现、落地和爆发,元宇宙这一概念被广泛讨论。确切来讲,元宇宙是包括人工智能、机器视觉、物理仿真模拟、高性能计算等许多技术的融合,进而形成虚实交融的新业态。元宇宙之“元”,代表客观存在的世界与人的主观意识、意愿和谐共处,需要服务于真实世界。比如开发点餐机器人,帮助人们针对喜好推荐合适的食物,过去几十年,大多数人已经率先体验了虚拟世界带来的红利。但有趣的是,如果能够区分现实世界和元宇宙之间的不同,人们往往会选择从锻炼自身做起优化自己的现实生活,实现虚实之间的平衡。
“我们在元宇宙中的身份,不仅只是代表一个人的虚拟身份,而是一个集合。”Bilibili up主籽岷认为,当前,许多人可能不清楚正在使用的就是元宇宙,或者根本不了解这一概念。他认为,对元宇宙概念的理解,主要是基于虚拟与现实技术的讨论。从虚拟世界和现实世界的关系来看,虚拟世界目前是一个雏形,而现实世界是已成型的,开发虚拟世界旨在用其帮助现实世界。例如,在虚拟世界中进行模拟培训和学习(如消防演习),是对现实世界发展进步的促进,并且希望多方可以合作,使用元宇宙来帮助需要帮助的人,实现他们的理想。特别是B站上的青少年群体,对他们的人生发展,职业规划起积极意义。还有那些贫困地区的人口,也应该降低门槛,积极把他们纳入到元宇宙中来。因此,未来元宇宙和现实世界将会是互相依存和促进的关系。
人工智能和区块链艺术家宋婷认为,元宇宙不是物理宇宙的替代品,数字艺术也不是物理艺术的替代品,基于数字孪生的新文化在元宇宙中大有可为。她希望产业界能够继续开发可编程的、具有拓展性的艺术空间,从而使元宇宙能够赋能人的创造力,而不是减少创造力。元宇宙使得艺术家可以与全世界的同行们交流,不受地理的限制。而由于区块链技术让每一笔交易都可见,所以信用在元宇宙非常重要。
2021人工智能合作与治理国际论坛由清华大学主办、清华大学人工智能国际治理研究院承办,国际支持机构为联合国开发计划署,“元宇宙未来治理前瞻”是三场主论坛之一。参加该论坛专家学者表示,赛博空间已经与现实世界的既有秩序、组织和结构形成了张力、也对现实世界的治理提供了全新维度的挑战。这些张力和挑战已经引起了人性挑战、社会撕裂、政治动荡、金融风险等一系列问题,并仍在酝酿新的隐患。因此有必要重新审视目前分散但有联系的各个虚拟空间对现实世界的冲击。虚拟空间中缺乏制度共识和构建、虚拟空间和现实世界制度的冲突,已经成为下一代互联网迫切需要解决的议题。(完)