隐私计算企业恪守的“0数据”信仰安全管理条例(征求意见稿)》公开征求意见

2021-11-25 12:16:35 文章来源:网络

正如法律是道德的底线,确保数据安全也是释放数据价值的基础。

《数据安全法》自9月起正式施行,一大亮点就在于以数据安全为基础兼顾数据开放,不仅专章提出了政务数据的开放利用,还明确国家建立健全数据交易管理制度,培育数据交易市场。

数字经济时代,数据成为新型生产要素,数据价值唯有通过安全有序的流动才能得以发挥,已成为广泛共识。而在国家引领和推动下,我国政务数据开放已经领先于行业和企业数据开放共享。

据《我国数据开放共享报告2021》,目前我国政务数据共享和公共数据开放是数据开放共享的主要方式。中央62个部门、32个省级地方全面介入国家数据共享体系,累计发布数据共享服务接口超过1300个,提供数据查询核验服务超过8.3亿条次,支持跨部门、跨地区数据共享交换量达697亿条。

政务数据共享和公共数据开放是数据开放共享的主要方式

来源:《我国数据开放共享报告2021》

与之形成对比的是,企业数据共享则基本处于黑箱状态。上述报告指出,平台企业很少对外公布其数据平台利用方式。企业间数据共享存在隐蔽、不透明等特点,亟待规范发展。数据有价值,分享“价”更高

如果单纯认为企业只是因为一己私利而难以实现数据共享,恐怕有失偏颇。现实中更普遍的情况是,大部分企业的数据共享意愿强烈,但数据处理能力十分薄弱,甚至薄弱到白给数据都无法用好的地步。

复旦大学教授、上海市信息化专家委员会成员黄丽华以上海市公共数据开放平台公共数据赋能普惠金融以及上海数据交易中心交易平台为例表示,经过近两年的探索以及政府的强力推动,越来越多金融机构和一般社会机构可以使用政府提供的公共数据。然而在实践中,不少企业存在“不理解、不会用”的问题——不理解数据或字段的含义,缺乏对数据的加工、建模能力等,最终造成了资源浪费甚至数据倒卖风险。

国内隐私计算代表企业翼方健数首席科学家张霖涛表示,社会各界,尤其是企业,首先要树立对数据共享和数据交易的正确认识,必须明白原始数据是不能被交易的,交易的是数据价值。以此为基础,可以实践循序渐进和政府推动两大行动路径。

路径一:循序渐进对企业和行业来说意味着由内到外,由点及面地推进——数据共享从企业内部到企业间,再从企业间到行业间,最后从行业间到全社会。

以共享困难但是亟须释放价值的医疗数据为例,往往医院内部使用都会面临很多障碍,甚至是制度和技术上的缺陷,如U盘复制、各级领导手工签字等,不仅造成不便,还极容易导致敏感数据泄露。而不同医院间的数据共享也由医生主导,系统和平台的缺位令安全性和可控性难以保证。

医疗数据的价值还不止一般科研与临床,尤其是对一些罕见病、疑难杂症来说,小样本数据弥足珍贵。医疗数据如果能够首先在机构和行业内部“转”起来,外部的制药、保险等企业还可产生更多的价值。经济价值之外,有效利用医疗数据更具有极高的社会价值,如通过赋能分级诊疗来最大化利用医疗资源。

路径二:政府推动意味着政府要选择关键场景深化供给、挖掘需求。

今年3月挂牌的北京国际大数据交易所就集中在医疗、金融、交通等行业建立公共数据专区,这些领域的数据需求相对较大,可避免出现“有数据没人用,再努力寻找供需方”的尴尬。又比如在《广东省数字经济促进条例》中,也单独开辟一章“数据资源开发利用保护”,可让广东作为制造业大省围绕工业生产积累大量数据,有力驱动制造业进一步发展,有助产业集群升级。

此外,地方政府还应建立“数据招商”的理念。在传统生产要素时代,地方政府围绕土地、劳动力、技术、资金展开招商,而在数据成为生产要素的时代,地方政府可以积极发挥当地的数据潜力,让其他企业也能用起来。

黄丽华认为,数据资产化是培育数据生产要素市场的主要路径之一,这一路径以应用场景为主线,通过模型设计和算法优化等使数据满足特定业务场景的需求,提高数据资产的专用性,技术上依赖数据科学、数据融合计算和隐私计算。

值得注意的是,北京国际大数据交易所就创新应用了隐私计算技术。对此张霖涛表示,隐私计算让数据“可用不可见”,数据交易中输出的是数据价值而不是数据本身,从原始数据中抽取统计数据和模型,可以保证原始数据并不会被操作方看到,因此通过隐私计算可以实现数据价值交易。0数据理念为隐私计算行业去伪存真

隐私计算基于密码学、人工智能、区块链等技术形成综合解决方案,实现数据可用不可见。隐私计算的价值和意义不仅在于技术层面,更在于其充当了数据协同平台的角色。隐私计算平台对接供需,保护数据,还可补足企业的数据处理能力。

这样的数据服务商角色,正是建立数据要素市场所急需的。黄丽华强调,数据资源方和需求方之间应存在各类服务角色,如数据组织方、风控服务方、算法提供方、数据加工方、融合计算方、算力提供商、质量评估方等。

因此,当各行业都意识到数据治理、数据流通的重要性,隐私计算的商业价值也就得以充分显现。近日,浙江大学医学院附属第二医院数据融合与隐私计算平台及应用项目招标结束,最终中标金额292万元。

张霖涛表示,医疗领域对隐私计算的需求具有代表性。一方面,医疗数据本身涵盖较多敏感信息,对数据隐私安全的关注程度相对其他行业更高。另一方面,医疗大数据的价值较清晰,科研工作对不同类型数据的需求量较大,而以往的技术产品无法兼顾数据的安全和分享两个维度,这使得行业对隐私计算的需求较高。

此外,张霖涛提到了翼方健数的“0数据”主张。即成为不拥有数据的数据服务商。这一做法能够从根本上避免利益冲突。隐私计算平台的业务模式应基于服务而非数据,这就好比锁匠能为客户做出各种钥匙,却不会复制其中任何一把,他既为客户打开数据价值之门,也是永不触碰客户资产的守门人。

“翼方健数是一家0数据的数据智能公司,不持有数据,只提供工具对数据进行管理,并在获得授权下帮助客户加工和处理数据,获取数据价值”,张霖涛说。

事实上,隐私计算市场培育期内,隐私计算平台普遍面对难以自证清白的问题,而0数据恰可成为隐私计算企业展现商业价值观,赢得客户信任的方式之一。隐私计算企业应以0数据为基础,同时为数据建立全程溯源机制,数据的处理、计算全流程对客户透明可验证。

雷峰网

来源:雷锋网

IT之家 11 月 14 日消息,国家互联网信息办公室今日发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知,向社会公开征求意见,反馈截止时间为 2021 年 12 月 13 日。

IT之家了解到,《网络数据安全管理条例(征求意见稿)》指出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。

《网络数据安全管理条例(征求意见稿)》全文:点此查看

第三章 个人信息保护

第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:

(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;

(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;

(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。

第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。

个人信息处理规则应当包括但不限于以下内容:

(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;

(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;

(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;

(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;

(六)个人信息安全风险及保护措施;

(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。

第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:

(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;

(二)处理个人生物识别、信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;

(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;

(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;

(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;

(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

(七)不得超出个人授权同意的范围处理个人信息;

(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。

对个人同意行为有效性存在争议的,数据处理者负有举证责任。

第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:

(一)已实现个人信息处理目的或者实现处理目的不再必要;

(二)达到与用户约定或者个人信息处理规则明确的存储期限;

(三)终止服务或者个人注销账号;

(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。

法律、行政法规另有规定的从其规定。

第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:

(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;

(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;

(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。

法律、行政法规另有规定的从其规定。

第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:

(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;

(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;

(三)能够验证请求人的合法身份。

数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。

请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。

第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

法律、行政法规另有规定的从其规定。

第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。

第六章 互联网平台运营者义务

第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。

平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。

日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。

第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。

第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。

移动通信终端预装第三方产品适用本条前两款规定。

第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。

第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:

(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;

(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;

(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;

(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。

第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。

第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。

第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:

(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;

(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;

(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。

第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。

互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。

第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。

第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。

互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。

第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。

第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。

来源:IT之家

上一篇:数智移动 实事为民——5G融入千行百业 到没设密码的手机,微信余额13万……他立

下一篇:最后一页
本站所刊登的各种资讯﹑信息和各种专题专栏资料,均为赣南生活网版权所有,未经协议授权禁止下载使用。

Copyright © 2000-2020 All Rights Reserved