数据泄露频频，政协委员建议上海出台《个人信息管理条例》

在2017年上海两会上，市政协委员谈剑峰表示，黑客盗取个人信息，在黑市贩卖牟利，已形成了一个巨大产业链。

1月18日上午，在上海市政协第十二届五次会议的第二次大会发言上，谈剑峰代表浦东新区政协提出，网络安全的地基不牢，将极大地制约中国互联网产业的整体发展。他建议，加紧制定网络安全实施细则，在此基础上，上海还可“先行先试”，率先出台专门的《个人信息管理条例》，为市民的个人信息安全撑起强有力的法律保护伞。

数据黑色产业链治理困局亟待破解

谈剑峰认为，目前中国互联网缺失安全核心技术，网站安全漏洞频出成为数据泄露“元凶”。

据某安全检测平台数据显示，2015年共扫描各类网站231.2万个，其中，存在安全漏洞的网站有101.5万个，占扫描总数的43.9％；存在高危安全漏洞的网站有30.8万个，占扫描总数的13％。传统的信息安全防护着眼于被动防御，甚至由于企业业务迅速开展的需要，安全防护工作延迟和推后，黑客并没有使用很高深的技术就可以盗走大量的网站信息数据。

在谈剑峰看来，法律滞后制度缺失，数据黑色产业链治理困局亟待破解。黑客盗取个人信息，在黑市贩卖牟利，已形成了一个巨大产业链，每年对全球经济造成的损害超过毒品走私。2015年下半年到2016年上半年，中国网民因通讯诈骗、个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约915亿元。目前，中国对数据“黑产”的治理仍跟不上其发展速度，对经济发展、社会秩序和个人隐私等都会产生重大影响。

他说，刚刚通过的《网络安全法》规定，国家实行网络安全等级保护制度。信息系统的安全保护等级分为5级，级别越高越安全。基于上级监管部门和政策的强制要求，政府机构、金融、电信、能源等行业和大中型企业、央企等对数据的分级保护较为规范。由于等级保护制度对民营互联网企业并没有强制性，风险驱动型的大部分民营互联网企业对此重视度不够；而当个人隐私数据被“黑产”人员用于诈骗和勒索，银行等金融机构在一定程度上也成为了受害者。

建议上海率先出台《个人信息管理条例》

谈剑峰建议加紧制定网络安全实施细则和《个人信息管理条例》。

他说，《网络安全法》已于2016年11月顺利出台，建议上海抓紧起草与上位法配套的实施细则，研究和制定有关大数据安全、个人信息保护等领域的标准，对相关的违法犯罪行为确定相应的量刑和处罚力度。在此基础上，上海还可“先行先试”，率先出台专门的《个人信息管理条例》，为市民的个人信息安全撑起强有力的法律保护伞。

同时，他建议要求民营互联网公司落实等级保护制度，实施有效自治。他说，应该要求民营互联网企业开展信息系统定级备案和等级测试，如对提供金融业务、数据服务的互联网公司，上三级等保要求，达到与银行、证券等金融机构业务系统相当的水平。针对重点企业可出台较为严格的数据采集、处理、开发和流转的行业标准和法律遵从，引导该类企业实践较高标准的等级保护规范。

谈剑峰还表示，应强化对重点互联网企业安全治理，确立大数据安全标杆。鉴于部分互联网企业正逐步掌握中国社会经济领域的海量数据资源，建议委托专业第三方机构进行重点企业的数据安全审核监管，定期向社会披露用户数据安全和隐私保护透明度报告。同时，推行重点企业首席安全官(CSO)制度，赋予该类企业安全主管更高的责任；并且，引导技术能力强的互联网企业在移动安全、云安全、物联网安全等新领域更积极主动地提高自身安全能力，成为新的安全防范标杆。