業界專家聯合權威解讀《全球數據安全倡議》

發布時間:2020-09-11

2020年9月8日上午,國務委員兼外長王毅在“抓住數字機遇,共謀合作發展”國際研討會高級別會議上發表題為《堅守多邊主義 倡導公平正義 攜手合作共贏》的主旨講話,并提出《全球數據安全倡議》。王毅表示,有效應對數據安全風險挑戰,應遵循秉持多邊主義、兼顧安全發展、堅守公平正義三大原則。賽博研究院特邀業界專家就《全球數據安全倡議》進行權威解讀.

《全球數據安全倡議》主要內容

● 各國應以事實為依據全面客觀看待數據安全問題,積極維護全球信息技術產品和服務的供應鏈開放、安全、穩定。


● 各國反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據,以及利用其從事危害他國國家安全和社會公共利益的行為。


● 各國承諾采取措施防范、制止利用網絡侵害個人信息的行為,反對濫用信息技術從事針對他國的大規模監控、非法采集他國公民個人信息。


● 各國應要求企業嚴格遵守所在國法律,不得要求本國企業將境外產生、獲取的數據存儲在境內。


● 各國應尊重他國主權、司法管轄權和對數據的安全管理權,未經他國法律允許不得直接向企業或個人調取位于他國的數據。


● 各國如因打擊犯罪等執法需要跨境調取數據,應通過司法協助渠道或其他相關多雙邊協議解決。國家間締結跨境調取數據雙邊協議,不得侵犯第三國司法主權和數據安全。


● 信息技術產品和服務供應企業不得在產品和服務中設置后門,非法獲取用戶數據、控制或操縱用戶系統和設備。


● 信息技術企業不得利用用戶對產品依賴性謀取不正當利益,強迫用戶升級系統或更新換代。產品供應方承諾及時向合作伙伴及用戶告知產品的安全缺陷或漏洞,并提出補救措施。


院士觀點


從信息安全的角度考察,我們可以將大數據安全看作是一個數據安全治理問題。大數據的安全既包括了大數據處理系統的安全,它所使用的核心技術和基礎設施的安全,也包括了大數據本身的安全。大數據安全的重要性遠超數據安全。


大數據在量的方面的發展,使其安全問題的重要性遠遠超過了過去的數據安全。大數據在質的方面的發展也帶來了新的安全問題。當大數據大到一定程度,其價值會隨著增大,以至于達到影響國家安全的程度。我們應當遵循安全和發展同步推進的原則,加大自主創新力度,將核心技術牢牢掌握在自己手中,在確保大數據安全的前提下,大力發展大數據產業,為建設網絡強國和全面建成小康社會而奮斗!

倪光南,中國工程院院士、賽博研究院首席顧問。


數據安全始終處在解決的道路上,主要包括三點:數據隱私、數據質量和數據保護。數據隱私主要是指對個人隱私的保護,在數字經濟時代,信息技術的發展和創新離不開對個人數據的采集,因此對于個人隱私的保護是非常關鍵的;數據質量是指數據在新技術應用中的可用性、完整性等質量問題,尤其是在人工智能發展中,數據質量直接決定著人工智能算法的公正性。第三點是數據保護,包括國家層面上對戰略性重要數據資源的保護,對數據傳輸過程中的防竊取和防攻擊等。

何積豐,中國科學院院士,著名計算機軟件科學家。


專家觀點


倡議第三條主要是回應美國國家安全局,以國家安全為由,通過各種信號情報項目,在全球大肆非法采集個人信息,對全球用戶的個人信息安全以及他國的國家安全造成了極大危害。斯諾登事件已經過去近7年了,但是美國依舊沒有在開展全球大規模監聽上面有所收斂,相反,還在不擴張大信號情報部門的實力,開展了越來越多的大規模監聽項目。這已經構成了對全球網絡安全的重大威脅,倡議專門就此發表意見,抓住了當前全球網絡安全中最核心的議題,有助于喚起有識之士共同采取措施,應對這一類危害全球網絡安全的行為。

魯傳穎,上海國際問題研究院網絡空間國際治理研究中心秘書長,賽博研究院高級顧問。


信息技術企業是實施數據安全保護的重要主體之一,因而,倡議第八條旨在倡導處于市場優勢地位的信息技術企業尊重用戶權益和利益,不濫用市場賦予的權力。一方面,壟斷現象普遍存在于全球各類軟、硬件信息產品應用市場,侵害用戶權益的行為時有發生;另一方面,在全球數字安全生態日益惡化的背景下,信息產品供應方只有為用戶承擔起數據安全保護的基本責任和義務,才能建立起全球數字經濟可持續發展的信任基礎,以及全球數字市場的良性發展秩序。同時,倡導信息技術企業面對數據安全問題時,應避免零和博弈、技術問題政治化、狹隘的技術民族主義等思維模式。

戴麗娜,上海社會科學院新聞研究所副所長、副研究員,賽博研究院高級顧問。


自2018年以來,美國發動科技冷戰,在數據、技術和供應鏈上對我國采取的封鎖和脫鉤戰略,全面打壓和限制我國的科技產品和服務,并試圖影響其盟友對我國企業采取同樣的脫鉤策略,以達到將中國影響力排斥出西方主導的世界體系之外的目的。與美國將地緣政治思維引入技術領域,將數據安全問題政治化的行徑不同,《全球數據安全倡議》第一條提出了應對數據和供應鏈安全全球挑戰的一條合作共贏、互信共治之路。構建數據安全和供應鏈安全全球治理機制,需要各國坦誠溝通,開放合作,制定客觀公正的數據安全和供應鏈安全標準和規范,為全球數字經濟發展營造公平的競爭環境。

張衠,上海社會科學院信息研究所助理研究員,賽博研究院高級顧問。


2018年美國通過CLOUD法案賦予了執法機構基于公共安全和打擊網絡犯罪目的進行跨境數據調取的權力,由于美國互聯網企業在全球數字經濟市場的廣泛分布、高比例份額和大規模用戶群體,CLOUD法案事實上形成了美國在全球范圍內對數據的“長臂管轄”,引起了美國相當多的傳統盟友和大多數發展中國家在內的廣泛抵制和相關阻斷法律的出臺,加劇了全球網絡空間的對抗和不穩定。


在數字經濟時代,數據主權已經成為了國家主權在數字空間的核心表現。我國適時提出了“各國應尊重他國主權、司法管轄權和對數據的安全管理權,未經他國法律允許不得直接向企業或個人調取位于他國的數據”的倡議第五條內容,明確強調本國法律對于位于本國數據的最高效力,傳達出“我國將尊重其他國家數據主權”和“要求其他國家必須尊重我國的數據主權”的核心立場,不僅是我國傳統外交理念“和平共處五項基本原則”中“互相尊重主權與領土完整”在數字時代的新發展,更能夠極大減少我國數字企業出海時所面對數據調取的質疑和擔憂,有力地回應了美國對我國執法數據調取政策的抹黑和污蔑,為對抗美國“數據霸權主義”,構建數字經濟時代平等互利的“數據外交”提供出色的中國智慧。

石英村,賽博研究院研究員。


數據本地化與跨境流動已經成為全球數據監管的一大重點,近年來圍繞數據跨境監管的規則制定與實施爭議從未間斷?;诂F有的數據類型、敏感閾值劃分和存儲機制所產生的監管差異與共性構成了全球數據本地化與跨境流動規制的基本格局。


倡議第四條一方面向國際社會表明了中國一直以來堅守的立場和態度,即未曾也不會要求企業違反所在國法律而向中國傳輸、存儲境外產生的數據,澄清了對中國法律的某些誤讀,回擊了個別國家的不實言論。


另一方面,對于數據本地化存儲問題,我國《網絡安全法》第37條對數據本地化做出的規定嚴格限制在關鍵信息基礎設施運營者“境內運營中收集和產生”的數據范圍,在保障本國數據安全的同時,尊重他國不同類型或程度的數據本地化相關政策和法律。


此條倡議的提出也是我國在個別強權國家推行單邊主義形勢下對國際社會發出的鄭重呼吁,應允許各國不同發展階段的數據政策,展現監管彈性,避免數據管轄范疇的不當擴張對他國數據主權的侵犯,體現出全球數據治理和數字經濟發展應有的包容和互信之意。

黃道麗,公安部第三研究所網絡安全法律研究中心主任、副研究員。


《全球數據安全倡議》是對信息技術產品或服務提供者,也包括《網絡安全法》中的網絡產品、服務提供者提出的一項“能力限制”,與第八條指向的缺陷、漏洞的“能力不足”剛好互為補充。


信息技術產品和服務架構、代碼實現的日益復雜,增加了包括代碼審查在內的法律協議和技術措施的實施難度,例如眾所周知的RSA公司在其軟件Bsafe中嵌入NSA開發并植入后門的偽隨機數生成算法,甚至一度通過NIST認證建議作為安全加密標準寫入NIST SP800- 90A標準。實踐中難以對某一產品、服務“問題”判定其是設計和實現水平不足產生的客觀缺陷還是提供者主觀上故意設置的后門。


但事實上,通過開放、合作的國家層面的互信機制建設,完全可以解決和避免后門這一方面的安全風險,例如在5G領域的一部分測試就是基于非信任而不是性能展開,這也對5G網絡的發展產生制約。


《倡議》所提出的通過雙邊或地區協議等形式確認“不得設置后門”承諾,正是期望各國將關注精力用于提升信息技術的功能、質量(包括提升減少缺陷和漏洞的代碼質量),降低因缺乏信任對數據資源的無謂損耗。

原浩,西交蘇州信息安全法學所副所長,江蘇竹輝律師事務所合伙人。


目前,關鍵信息基礎設施面臨的風險日益復雜,并呈現出受攻擊面廣、攻擊方多、頻度和烈度增大等特征,對國家安全、經濟發展以及社會穩定造成不利影響和嚴重損失。對關鍵信息基礎設施的攻擊可分三類:一是利用勒索軟件等影響關鍵基礎設施部分功能的使用,以獲取直接的經濟利益;二是通過漏洞等手段竊取機構或者國家的數據資產,甚至采用更隱蔽的方式實施針對性的竊密行動,獲取機密情報,危害國家安全;三是直接對一個國家或者機構的關鍵基礎設施發起攻擊,破壞其架構,使其不能正常工作,甚至陷入癱瘓??萍枷蛏?,我們除了發展技術、加強供應鏈安全體系建設外,更要建立國際規則共識,反映普遍意愿,著眼共同發展,推動全球網絡空間數據安全有序治理,為保護關鍵基礎設施安全提供機制保障。

汪麗,西安交通大學蘇州信息安全法學所研究員。


有效開展打擊網絡犯罪等執法活動常常需要進行跨境電子取證,以利及時固化和調取電子證據。


如果片面夸大跨境電子取證合作安排中的便捷性,則勢必損及當事國的司法主權和數據安全。歐美主導的區域性《布達佩斯公約》第32條即備受此詬病,因為該條授權締約一方執法機關可以不經締約另一方的同意,直接向數據控制者調取存儲在后者境內的電子證據。


而對于借跨境電子取證之名、行網絡數據霸權之實的行徑,則應更加引起警惕并予以駁斥。事實上,基于“CLOUD法案”,美國政府可以為特定執法需求直接從美管轄的互聯網企業調取其存儲在第三國的數據。這構成了對他國司法主權和數據安全的赤裸裸的冒犯和威脅。


目前看來,只有在聯合國多邊框架下,最有希望推進落實一種兼顧電子取證效率和相關國家司法主權與數據安全的國際規則。

楊帆,廈門大學法學院網絡空間國際法研究中心助理教授。


產業觀點


當前全球各國紛紛從國家安全和產業應用高度意識到數據作為生產要素和國家資源的重要性。并且基于各國自身利益出發和基于謹慎或保守的原則,紛紛對數據安全監管和信息技術監管提出了具有各自特點的條例或法案。導致數據在國際間跨境流動中存在障礙,無法發揮數據的最大價值;也使得全球分工合作日益密切的背景下,信息在國際環境下交換共享大大受限。


在此復雜多變的國際形勢下,國家發出《全球數據安全倡議》(以下簡稱《倡議》),是非常順應國際當今形勢的舉措并且非常必要?!冻h》是在當前世界安全嚴峻格局基礎上的一次有意義的有利于各國數據互動和確保安全為前提的高明倡導舉措,有助于建立全球國家之間,組織之間統一的數字空間嶄新秩序,加強各個國家之間和組織之間的數據、信息技術方面的合作和相互利益尊重,構建在健康數字空間方面的人類命運共同體。


對于國內網絡和數據安全領域創新型企業而言,應當堅決擁護和贊同我國政府提出的該項數據安全倡議,并遵照國家相關法律法規與等級保護的指導思想和要求,依托自身積累的安全技術支撐能力,在信息化和數字應用上為我國的政府和各產業的數據資源和要素安全性提供優質的技術保障,助力我國政府和組織的關鍵信息基礎設施和數據資產的安全建設。同時,鑄就服務于我國政府和組織的數據安全防護體系,通過對數據資產要素進行分類和分級保護策略實現,并通過數據梳理、數據血緣分析、數據流轉和跨境數據監測、權限控制、數據保護、安全審計、追蹤溯源等綜合技術保障方式使我國數據生產要素的全生命周期安全水平的持續提升,使數據的全生命周期管理融入安全基因,最終致力于能夠構建我國政府和組織的數據安全基礎支撐能力而奠定保障基石,為我國安全的、健康的網絡數字空間安全助力和護航而不懈努力。

張照龍,上海觀安信息技術股份有限公司創始人、首席顧問。


外媒觀點


《華爾街日報》、BBC等媒體認為,該倡議從內容來看較為全面,其中許多要點符合國際規范,將受到科技企業歡迎。中國提出此倡議的目的在于:(1)抵制美國及其盟友在其網絡中排除中國技術的行為;(2)保護中國政府在數據領域中有爭議的做法;(3)提高中國在制定從數據到電信等全球標準方面的作用。


華爾街日報


《華爾街日報》認為,“中國發起此項倡議旨在制定全球數據安全標準,抵制美國及其盟友在其網絡中排除中國技術的行為?!?/span>


SCmagazine


SCmagazine表示,“此項全面的全球數據安全倡議,提出了西方國家已經同意的許多國際規范,同時在互聯網日益巴爾干化的趨勢下維護了中國的利益。該倡議將保護中國政府在數據領域中許多有爭議的做法。倡議中的許多觀點并沒有爭議,例如,許多國家主張停止對關鍵基礎設施的所有網絡攻擊?!?/span>


BBC


BBC認為,“這是中美繼TikTok、華為和微信后,數據安全問題上的最新沖突。倡議中有許多內容似乎是針對華盛頓的指控。有專家表示,中國制定數據安全全球標準的新舉措將受到科技公司的歡迎?!?/span>


中安威士:保護核心數據,捍衛網絡安全

來源:賽博研究院


上一條:報告:2020年世界主要國家網絡能力指數 下一條:無
洪晓芸张萱图片