2021年1-3月国内外重大数据泄露事件(2)

　　2018年4月初，腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马，伪装成正常的支付插件，在用户不知情的情况下，私自发送订购短信，同步上传用户手机固件信息和隐私，造成用户资费损耗和隐私泄露。

　　五是数据交易黑色地下产业链活动猖獗，治理之路漫漫。

　　数据交易黑色地下产业链交易的数据范围日益广泛，主要包括：用户账号、密码、网银账户等可以直接用以进行经济犯罪的信息以及手机号码、家庭住址、兴趣爱好等隐私信息。我国的数据交易黑色地下产业链存在已久，近年来，地下产业链的规模，产值不断扩大，不仅侵犯虚拟数据资产，更带来了实际的经济利益损失，对数据安全和经济安全构成了极大威胁。地下产业链治理非一日之功。

推进我国数据安全保护工作的思考与建议

　　面对当前数据安全严峻形势，我国需要从实际出发，不断完善管理制度，积极研发数据安全技术，多管齐下，建立以法律法规为准绳、战略政策为方向、管理体制机制为保障、技术手段为依托、标准指引和评估规范为支撑的全方位数据安全保护体系。

　　（一）科学推进数据安全保护立法进程，扩展现有法律的调整范围。一是加快立法进程，尽快立法明确数据保护对象、范畴和违法责任，制定关于数据开放共享和跨境流动监管的法律条款；二是拓宽法律调整范畴，将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。

　　（二）尽快出台数据保护的战略规划和政策法规。首先，应从国家战略资源、经济生产要素的高度重塑数据安全的定位，强化数据安全与发展的战略统筹；其次，出台针对数据跨境流动、长臂管辖等热点问题的监管政策，制定通信、金融等重点行业的重要数据和用户信息的跨境流动监管政策；推动立法规范我国公民个人信息和重要数据的境内存储；此外，要积极参与国际规则的制定，提升我国在数据保护领域的话语权，为我国开展数据安全保护营造良好的国际环境。

　　（三）完善机制，将数据安全保护纳入国家网络安全管理的核心范畴。在国家层面，设立或者指定统领性的数据安全管理机构，在各行业设置或指定数据安全的接口部门，完善数据保护行政监管体系，确立数据保护的行业监管模式，建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制，鼓励行业自律组织制定、实施行业自律规范，建立企业间交流沟通的渠道和平台；在行政监管方面，加强网络数据资源开放共享和商业合作的安全管理，建立完备的数据跨境流动审查机制，建立健全大规模用户信息泄露事件企业向行业主管部门报告和社会公告制度，健全完善用户隐私泄露举报机制。

　　（四）加强数据保护关键技术攻关，提升数据跨境流动监管能力。一是要提升数据基础设施安全可控水平，加大自主创新力度，突破存储设备、服务器等关键设备，操作系统等基础软件的核心关键技术，加快推动安全可控软硬件的应用推广；二是要加强数据保护关键技术手段建设，加快身份管理、防御 APT 攻击等关键技术研发；三是要加快能够有效发现、处置敏感数据违法跨境流动行为的监管支撑能力研发。

　　（五）统筹规划制定数据安全相关标准，推动开展数据跨境流动安全评估。一是加强标准研发工作，构建我国数据安全标准体系，积极研发通用和专用的数据安全标准；二是建立安全评估制度，引导行业内第三方机构开展数据安全相关的监测和评估，开展针对数据跨境流动的专项安全评估。