工信部:加强行业网络数据安全保护. 2019-12-20
工信部日前印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《方案》),以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,加快推动构建行业网络数据安全综合保障体系。
《方案》提出,要督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在今年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App(手机应用软件)数据安全检查。
近年来,App在采集和泄露数据信息方面出现了不少安全问题。今年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门组织开展了App违法违规收集使用个人信息专项治理。
工信部网络安全管理局相关负责人接受《经济日报》记者采访时透露,目前专项治理工作取得了阶段性成效,通过对百余款用户投诉量大、社会关注度高的APP进行检查评估,发现存在强制授权、过度索权、未经同意收集个人信息和对外提供个人信息等典型问题,并督促企业及时整改。
“本次《方案》中提出的深化App违法违规专项治理,就是对四部门专项治理工作的延续和深化。”上述负责人介绍说,下一步,将加强App安全技术检测和监督执法,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在问题的App及时进行下架和公开曝光,严厉查处各类违法违规行为;督促应用商店落实App运营者真实身份信息验证、应用程序安全检测、违法违规App下架等责任,切实规范用户个人信息的收集使用行为;制定出台网络数据安全合规性评估标准规范,组织企业开展网络数据安全合规性自评估工作,提升企业网络数据安全风险防范能力。
数据安全管理属于新兴领域。当前,世界各国都纷纷在立法和监管方面探索开展相关工作,我国数据安全管理面临的问题和挑战主要有两方面。一是,要平衡处理好发展与安全的关系。面对大数据快速发展带来的新形势新挑战,部分企业为掌握海量数据资源,在数据保护方面存在“重采集,轻保护”的现象,亟需指导督促企业落实数据安全保护责任。同时,数据因交易而活跃,因共享而增值,应在维护数据安全的前提下,积极促进数据开发利用,以提升安全能力助力数字经济高质量发展。二是,大数据时代下数据安全面临更多的风险和挑战,数据安全管理涉及数据采集、存储、使用、传输、共享等多个环节,传统网络安全监管手段和能力难以有效应对数据作为生产资料无处不在的新环境,需要在实践中不断完善管理方法,进一步加强数据全生命周期保护和管理。
上述负责人认为,从当前监管实际看,数据过度采集、滥用等问题较为突出,广大网民对此反应强烈。亟需进一步加大工作力度,指导督促企业加强用户个人信息和数据保护,及时整改安全隐患,营造良好网络环境。同时,这也是提升行业网络数据安全保护水平的必然要求,需要加快推进行业网络数据安全制度、标准、技术、管理等综合体系建设。
《方案》的重点在于明确了五方面14项重点任务措施:一是完善网络数据安全制度标准,加快建立数据分类分级保护、数据安全风险评估、数据全生命周期安全管理制度,制定行业网络数据安全标准规范,实施数据分类分级管理,开展贯标试点。二是集中开展数据安全合规性评估、监督检查和App违法违规专项治理,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。三是强化行业网络数据安全管理,制定行业网络数据保护目录,指导企业强化企业内部数据管理和数据对外合作等重点环节管理,建立网络数据安全保障体系。四是大力推动技术防护能力建设。建设行业网络数据安全管理和技术支撑平台,开展网络数据安全技术最佳实践案例征集和试点示范项目评选,促进网络数据安全先进技术创新和产品服务应用推广。五是强化社会监督和宣传交流。建立网络数据违法违规行为举报平台,出台网络数据安全自律公约,加强宣传展示和国际交流。
上述负责人介绍说,考虑到数据安全管理属于新兴领域,方案设定了为期一年的两个阶段工作目标。其中,近期目标主要围绕做好数据安全保障、营造良好网络环境,通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患;远期目标则是通过总结固化试点经验和典型做法,重点围绕关键制度、重点标准、技术手段、示范项目、支撑队伍等方面,推动建立行业网络数据安全保障体系和长效机制。
转自经济日报