两会提案盘点：设立国家“数据银行”、加强元宇宙市场监管

升级数据安全管理模式 加强对关键数据管控

全国政协委员、上海市信息安全行业协会名誉会长谈剑锋表示，目前我国数据安全立法体系已逐步完善，但面向特定领域的基础性数据安全体系建设尚有不足，如生物特征数据管控、医疗健康数据管理等尤为突出。

个人生物特征数据（人脸、指纹、DNA等）具有唯一性和不可再生性特点，普遍用于身份识别和认证，一旦被窃取，无法追回并变更，给个人隐私保护带来极大的、不可逆的风险。

谈剑锋在提案中写道“大量的国民个人医疗档案、健康档案汇聚后，可以用于分析该国的劳动力状况和经济、相关产业发展趋势，一旦被敌对势力获取，对国家安全和产业经济发展可能带来不可预估的危害。”

他介绍，国际上形成三类生物特征数据管理模式：一是国家明确统一管控。代表性国家如俄罗斯、德国、英国、印度等。二是借助身份互认共同管控。以推动国家间的数字身份互认为目标，在数字身份信息上加入生物特征数据，由各国独建或多国共建数据库。三是实施模糊管控。即虽未有国家层面明确的相关数据管理立法，但实际上限制企业收集存储，在欧盟、美国等较为典型。

“我国新型生物特征数据现阶段主要由企业掌握。”如果不将这些数据集中收储管理，将导致数据要素价值受限；数据使用难以管控，滥采滥用与数据垄断并存；数据安全难以保障；数据安全执法不易，屡见多头管理、管不到位的现象。

对此，谈剑锋建议，细化相关法规制度，以点带面明确数据权属，提高数据安全执法的可操作性。明确已汇聚的生物特征数据等为公共产品，参照“重要数据”来管理，达到一定数量还应被视作核心数据。

同时，尽快设立国家“数据银行”，由国家成立专门机构统一管控，以最大程度地保障关键数据安全和国家安全。国家“数据银行”优先收储个人生物特征、医疗健康数据等具有唯一性、不可再生性的数据，按需提供数据应用，严格审计，保证向个人开放数据使用查询。另外，他还建议，促进安全技术发展，夯实安全产业基础，增强数据治理能力和数据监管水平。加快建设数字身份基础设施，围绕身份识别与信任，解决数字空间中的身份认证与治理相关的核心技术问题。

对目前备受追捧的“元宇宙”概念，谈剑锋说，从互联网发展历史来看，网络虚拟社会的舆情治理、交易监管、个人隐私保护乃至国家主权维护，是个严峻的挑战，目前仍在不断探索和完善中。“元宇宙”将对前述问题带来更大的挑战。目前，以区块链技术为基础的NFT虚拟艺术品（如卡通人像、电子油画）等在“元宇宙”已经大行其道，而其监管并不完善。相关行业监管部门应提前研究监管政策，预防可能引起的系统风险。

一方面，建议中央网信办牵头人民银行、公安部、市场监督管理局等部门，对以“元宇宙”概念运营网络社区、网络游戏、网络交易的企业，依据国家网络安全法、数据安全法、个人信息保护法等法律规范要求进行监管。同时，关注并跟踪研究“元宇宙”概念中产生的新模式、新机制，根据需要提前研究制定监管法律和规范，如制定备案登记制度、运营交易模式监管制度，提前防范系统风险。

另一方面，建议从国家层面提前系统性地布局和投资“元宇宙”核心技术相关企业，改变过去在信息技术、互联网等领域长期跟随和受制于人的被动局面，特别是在元宇宙产业的基础领域，如芯片、系统、工具等。

全国政协委员、中信资本控股有限公司董事长兼首席执行官张懿宸关注数字经济、利用信息技术赋能传统行业相关问题，并在提案中提出了可行性建议。建议首先，要进一步完善相关法律法规，尤其是数据资产确权的全国性立法，需要通过立法解决以下关键问题：界定企业或者产业数据的所有权属；规范数据流通、使用产生的价值归属与分配；明确企业/产业获取数据的合规方式；确定数据的可交易性、数据交易的合法性等问题。

二是鼓励探索科学合理的数据交易估值体系和方法。目前数据资产在企业的财务报表中没有得到体现，数据交易缺乏合理的定价体系，没有可参考的定价依据。由于目前市场交易的数据非常少、频率低，无法依据市场定价。建议鼓励数据流通和交易的相关方不断尝试和创新，探索出一套适合中国甚至国际领先的数据估值和定价体系。政府通过财税政策鼓励引导产业组织或者大型企业搭建数据交易平台；鼓励交易方尝试不同交易形式。同时政府也可以依法依规开放相应的公共数据资源，参与到数据流通交易中，探索出合适的数据定价体系。

三是按照市场化原则，引导社会资本继续加大对数据技术创新的投入。完善数据要素的流通离不开技术支持，只有先进的技术支持，才能在确保数据隐私的前提下，在严格数据权属的限制下，更好地完成数据的流通与交易，以及核算其产生的价值。这些技术包括隐私计算、联邦学习、数据加密、区块链，以及其他涉及到数据的获取、清洗、脱敏、聚合等技术，这些技术概念由欧美提出并已开始实践，我国需要迎头赶上。

全国政协委员、360集团创始人周鸿祎分别瞄准产业数字化新场景、新型数字技术和应用场景和打造城市级数字空间安全基础设施和应急体系三个方向提出打造数字安全体系的建议。

其中，近年来智能网联汽车发展迅猛，车联网作为数字化新场景，面临巨大的安全挑战。据统计，国内25家车企的53款在售智能网联汽车中，360公司共计发现漏洞1600余个，其中，云端漏洞1000余个，可导致攻击者远程批量控制该品牌所有的智能网联汽车；车端漏洞600余个，可导致近距离非接触式控制汽车，如开关车门、启动引擎等。

为此，周鸿祎建议建立智能网联汽车“数字空间碰撞测试”机制和相关标准，保障汽车出厂安全和持续检测。同时，他还建议规范汽车安全漏洞的上报行为，不得恶意炒作和违规披露，汽车行业尽快打造一套以安全大脑为核心的智能网联汽车行业态势感知体系，建立汽车安全监管长效机制。以此，来帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”，确保上路的智能网联汽车始终处于良好的安全状态。

全国政协委员，中国工程院院士、湖南工商大学党委书记陈晓红带来的提案之一是《加强我国跨境数据流动监管的建议》。目前全球尚未形成一致的数据跨境流动规则，全球数据治理还呈现碎片化的状态，跨境数据泄露事件频频发生，数据主权与国家安全亦遭受挑战。

陈晓红建议，完善跨境数据流动管辖法律法规体系，推进数据跨境流动安全保障能力建设，强化跨境数据流动安全的内审机制建设。积极推进数据跨境流动中国治理方案。主动参与数据跨境流动的多边或双边协定谈判，充分利用 “ 一带一路 ” 建设契机，推动形成共同认可的数据保护认证、标准合同条款、数据流通协议和标准等，维护和完善多边数字经济治理机制，在数字经济治理上及时提出中国方案，发出中国声音。

她还建议，组建国家数据资源局，保障数据安全，推动数据共享，强调政企合作，协调跨境数据资源开发利用，实现 “ 数据共同体 ”，构建统合跨境数据监管职权与技术资源的新机制。

「国内+国际」隐私保护人员权威认证培训

赛博研究院是国内个人信息保护专业人员权威认证品牌（CISP-PIP）的官方指定授权培训机构，BSI中国是国际隐私专业协会（IAPP）独家授权的中国区官方培训合作伙伴，双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作，共同推进数据隐私专业人才培养，提升各类企业数据安全合规能力。