2020年9月8日上午,国务委员兼外长王毅在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义 倡导公平正义 携手合作共赢》的主旨讲话,并提出《全球数据安全倡议》。王毅表示,有效应对数据安全风险挑战,应遵循秉持多边主义、兼顾安全发展、坚守公平正义三大原则。赛博研究院特邀业界专家就《全球数据安全倡议》进行权威解读.
《全球数据安全倡议》主要内容
● 各国应以事实为依据全面客观看待数据安全问题,积极维护全球信息技术产品和服务的供应链开放、安全、稳定。
● 各国反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为。
● 各国承诺采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。
● 各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。
● 各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。
● 各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。
● 信息技术产品和服务供应企业不得在产品和服务中设置后门,非法获取用户数据、控制或操纵用户系统和设备。
● 信息技术企业不得利用用户对产品依赖性谋取不正当利益,强迫用户升级系统或更新换代。产品供应方承诺及时向合作伙伴及用户告知产品的安全缺陷或漏洞,并提出补救措施。
院士观点
从信息安全的角度考察,我们可以将大数据安全看作是一个数据安全治理问题。大数据的安全既包括了大数据处理系统的安全,它所使用的核心技术和基础设施的安全,也包括了大数据本身的安全。大数据安全的重要性远超数据安全。
大数据在量的方面的发展,使其安全问题的重要性远远超过了过去的数据安全。大数据在质的方面的发展也带来了新的安全问题。当大数据大到一定程度,其价值会随着增大,以至于达到影响国家安全的程度。我们应当遵循安全和发展同步推进的原则,加大自主创新力度,将核心技术牢牢掌握在自己手中,在确保大数据安全的前提下,大力发展大数据产业,为建设网络强国和全面建成小康社会而奋斗!
倪光南,中国工程院院士、赛博研究院首席顾问。
数据安全始终处在解决的道路上,主要包括三点:数据隐私、数据质量和数据保护。数据隐私主要是指对个人隐私的保护,在数字经济时代,信息技术的发展和创新离不开对个人数据的采集,因此对于个人隐私的保护是非常关键的;数据质量是指数据在新技术应用中的可用性、完整性等质量问题,尤其是在人工智能发展中,数据质量直接决定着人工智能算法的公正性。第三点是数据保护,包括国家层面上对战略性重要数据资源的保护,对数据传输过程中的防窃取和防攻击等。
何积丰,中国科学院院士,著名计算机软件科学家。
专家观点
倡议第三条主要是回应美国国家安全局,以国家安全为由,通过各种信号情报项目,在全球大肆非法采集个人信息,对全球用户的个人信息安全以及他国的国家安全造成了极大危害。斯诺登事件已经过去近7年了,但是美国依旧没有在开展全球大规模监听上面有所收敛,相反,还在不扩张大信号情报部门的实力,开展了越来越多的大规模监听项目。这已经构成了对全球网络安全的重大威胁,倡议专门就此发表意见,抓住了当前全球网络安全中最核心的议题,有助于唤起有识之士共同采取措施,应对这一类危害全球网络安全的行为。
鲁传颖,上海国际问题研究院网络空间国际治理研究中心秘书长,赛博研究院高级顾问。
信息技术企业是实施数据安全保护的重要主体之一,因而,倡议第八条旨在倡导处于市场优势地位的信息技术企业尊重用户权益和利益,不滥用市场赋予的权力。一方面,垄断现象普遍存在于全球各类软、硬件信息产品应用市场,侵害用户权益的行为时有发生;另一方面,在全球数字安全生态日益恶化的背景下,信息产品供应方只有为用户承担起数据安全保护的基本责任和义务,才能建立起全球数字经济可持续发展的信任基础,以及全球数字市场的良性发展秩序。同时,倡导信息技术企业面对数据安全问题时,应避免零和博弈、技术问题政治化、狭隘的技术民族主义等思维模式。
戴丽娜,上海社会科学院新闻研究所副所长、副研究员,赛博研究院高级顾问。
自2018年以来,美国发动科技冷战,在数据、技术和供应链上对我国采取的封锁和脱钩战略,全面打压和限制我国的科技产品和服务,并试图影响其盟友对我国企业采取同样的脱钩策略,以达到将中国影响力排斥出西方主导的世界体系之外的目的。与美国将地缘政治思维引入技术领域,将数据安全问题政治化的行径不同,《全球数据安全倡议》第一条提出了应对数据和供应链安全全球挑战的一条合作共赢、互信共治之路。构建数据安全和供应链安全全球治理机制,需要各国坦诚沟通,开放合作,制定客观公正的数据安全和供应链安全标准和规范,为全球数字经济发展营造公平的竞争环境。
张衠,上海社会科学院信息研究所助理研究员,赛博研究院高级顾问。
2018年美国通过CLOUD法案赋予了执法机构基于公共安全和打击网络犯罪目的进行跨境数据调取的权力,由于美国互联网企业在全球数字经济市场的广泛分布、高比例份额和大规模用户群体,CLOUD法案事实上形成了美国在全球范围内对数据的“长臂管辖”,引起了美国相当多的传统盟友和大多数发展中国家在内的广泛抵制和相关阻断法律的出台,加剧了全球网络空间的对抗和不稳定。
在数字经济时代,数据主权已经成为了国家主权在数字空间的核心表现。我国适时提出了“各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据”的倡议第五条内容,明确强调本国法律对于位于本国数据的最高效力,传达出“我国将尊重其他国家数据主权”和“要求其他国家必须尊重我国的数据主权”的核心立场,不仅是我国传统外交理念“和平共处五项基本原则”中“互相尊重主权与领土完整”在数字时代的新发展,更能够极大减少我国数字企业出海时所面对数据调取的质疑和担忧,有力地回应了美国对我国执法数据调取政策的抹黑和污蔑,为对抗美国“数据霸权主义”,构建数字经济时代平等互利的“数据外交”提供出色的中国智慧。
石英村,赛博研究院研究员。
数据本地化与跨境流动已经成为全球数据监管的一大重点,近年来围绕数据跨境监管的规则制定与实施争议从未间断。基于现有的数据类型、敏感阈值划分和存储机制所产生的监管差异与共性构成了全球数据本地化与跨境流动规制的基本格局。
倡议第四条一方面向国际社会表明了中国一直以来坚守的立场和态度,即未曾也不会要求企业违反所在国法律而向中国传输、存储境外产生的数据,澄清了对中国法律的某些误读,回击了个别国家的不实言论。
另一方面,对于数据本地化存储问题,我国《网络安全法》第37条对数据本地化做出的规定严格限制在关键信息基础设施运营者“境内运营中收集和产生”的数据范围,在保障本国数据安全的同时,尊重他国不同类型或程度的数据本地化相关政策和法律。
此条倡议的提出也是我国在个别强权国家推行单边主义形势下对国际社会发出的郑重呼吁,应允许各国不同发展阶段的数据政策,展现监管弹性,避免数据管辖范畴的不当扩张对他国数据主权的侵犯,体现出全球数据治理和数字经济发展应有的包容和互信之意。
黄道丽,公安部第三研究所网络安全法律研究中心主任、副研究员。
《全球数据安全倡议》是对信息技术产品或服务提供者,也包括《网络安全法》中的网络产品、服务提供者提出的一项“能力限制”,与第八条指向的缺陷、漏洞的“能力不足”刚好互为补充。
信息技术产品和服务架构、代码实现的日益复杂,增加了包括代码审查在内的法律协议和技术措施的实施难度,例如众所周知的RSA公司在其软件Bsafe中嵌入NSA开发并植入后门的伪随机数生成算法,甚至一度通过NIST认证建议作为安全加密标准写入NIST SP800- 90A标准。实践中难以对某一产品、服务“问题”判定其是设计和实现水平不足产生的客观缺陷还是提供者主观上故意设置的后门。
但事实上,通过开放、合作的国家层面的互信机制建设,完全可以解决和避免后门这一方面的安全风险,例如在5G领域的一部分测试就是基于非信任而不是性能展开,这也对5G网络的发展产生制约。
《倡议》所提出的通过双边或地区协议等形式确认“不得设置后门”承诺,正是期望各国将关注精力用于提升信息技术的功能、质量(包括提升减少缺陷和漏洞的代码质量),降低因缺乏信任对数据资源的无谓损耗。
原浩,西交苏州信息安全法学所副所长,江苏竹辉律师事务所合伙人。
目前,关键信息基础设施面临的风险日益复杂,并呈现出受攻击面广、攻击方多、频度和烈度增大等特征,对国家安全、经济发展以及社会稳定造成不利影响和严重损失。对关键信息基础设施的攻击可分三类:一是利用勒索软件等影响关键基础设施部分功能的使用,以获取直接的经济利益;二是通过漏洞等手段窃取机构或者国家的数据资产,甚至采用更隐蔽的方式实施针对性的窃密行动,获取机密情报,危害国家安全;三是直接对一个国家或者机构的关键基础设施发起攻击,破坏其架构,使其不能正常工作,甚至陷入瘫痪。科技向善,我们除了发展技术、加强供应链安全体系建设外,更要建立国际规则共识,反映普遍意愿,着眼共同发展,推动全球网络空间数据安全有序治理,为保护关键基础设施安全提供机制保障。
汪丽,西安交通大学苏州信息安全法学所研究员。
有效开展打击网络犯罪等执法活动常常需要进行跨境电子取证,以利及时固化和调取电子证据。
如果片面夸大跨境电子取证合作安排中的便捷性,则势必损及当事国的司法主权和数据安全。欧美主导的区域性《布达佩斯公约》第32条即备受此诟病,因为该条授权缔约一方执法机关可以不经缔约另一方的同意,直接向数据控制者调取存储在后者境内的电子证据。
而对于借跨境电子取证之名、行网络数据霸权之实的行径,则应更加引起警惕并予以驳斥。事实上,基于“CLOUD法案”,美国政府可以为特定执法需求直接从美管辖的互联网企业调取其存储在第三国的数据。这构成了对他国司法主权和数据安全的赤裸裸的冒犯和威胁。
目前看来,只有在联合国多边框架下,最有希望推进落实一种兼顾电子取证效率和相关国家司法主权与数据安全的国际规则。
杨帆,厦门大学法学院网络空间国际法研究中心助理教授。
产业观点
当前全球各国纷纷从国家安全和产业应用高度意识到数据作为生产要素和国家资源的重要性。并且基于各国自身利益出发和基于谨慎或保守的原则,纷纷对数据安全监管和信息技术监管提出了具有各自特点的条例或法案。导致数据在国际间跨境流动中存在障碍,无法发挥数据的最大价值;也使得全球分工合作日益密切的背景下,信息在国际环境下交换共享大大受限。
在此复杂多变的国际形势下,国家发出《全球数据安全倡议》(以下简称《倡议》),是非常顺应国际当今形势的举措并且非常必要。《倡议》是在当前世界安全严峻格局基础上的一次有意义的有利于各国数据互动和确保安全为前提的高明倡导举措,有助于建立全球国家之间,组织之间统一的数字空间崭新秩序,加强各个国家之间和组织之间的数据、信息技术方面的合作和相互利益尊重,构建在健康数字空间方面的人类命运共同体。
对于国内网络和数据安全领域创新型企业而言,应当坚决拥护和赞同我国政府提出的该项数据安全倡议,并遵照国家相关法律法规与等级保护的指导思想和要求,依托自身积累的安全技术支撑能力,在信息化和数字应用上为我国的政府和各产业的数据资源和要素安全性提供优质的技术保障,助力我国政府和组织的关键信息基础设施和数据资产的安全建设。同时,铸就服务于我国政府和组织的数据安全防护体系,通过对数据资产要素进行分类和分级保护策略实现,并通过数据梳理、数据血缘分析、数据流转和跨境数据监测、权限控制、数据保护、安全审计、追踪溯源等综合技术保障方式使我国数据生产要素的全生命周期安全水平的持续提升,使数据的全生命周期管理融入安全基因,最终致力于能够构建我国政府和组织的数据安全基础支撑能力而奠定保障基石,为我国安全的、健康的网络数字空间安全助力和护航而不懈努力。
张照龙,上海观安信息技术股份有限公司创始人、首席顾问。
外媒观点
《华尔街日报》、BBC等媒体认为,该倡议从内容来看较为全面,其中许多要点符合国际规范,将受到科技企业欢迎。中国提出此倡议的目的在于:(1)抵制美国及其盟友在其网络中排除中国技术的行为;(2)保护中国政府在数据领域中有争议的做法;(3)提高中国在制定从数据到电信等全球标准方面的作用。
华尔街日报
《华尔街日报》认为,“中国发起此项倡议旨在制定全球数据安全标准,抵制美国及其盟友在其网络中排除中国技术的行为。”
SCmagazine
SCmagazine表示,“此项全面的全球数据安全倡议,提出了西方国家已经同意的许多国际规范,同时在互联网日益巴尔干化的趋势下维护了中国的利益。该倡议将保护中国政府在数据领域中许多有争议的做法。倡议中的许多观点并没有争议,例如,许多国家主张停止对关键基础设施的所有网络攻击。”
BBC
BBC认为,“这是中美继TikTok、华为和微信后,数据安全问题上的最新冲突。倡议中有许多内容似乎是针对华盛顿的指控。有专家表示,中国制定数据安全全球标准的新举措将受到科技公司的欢迎。”
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。