《数据安全治理专业委员会:2023数据安全治理白皮书5.0(171页).pdf》由会员分享,可在线阅读,更多相关《数据安全治理专业委员会:2023数据安全治理白皮书5.0(171页).pdf(171页珍藏版)》请在三个皮匠报告上搜索。
1、中关村网络安全与信息化产业联盟数据安全治理专业委员会 编著2023数据安全治理白皮书 5.0中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会以大数据、云计算、人工智能、区块链、物联网等为代表的新技术与新应用的不断拓展,推动了产业数字
2、化与数字产业化的巨大变革,数字经济发展成为推动整体经济增长的主要引擎之一。当前,数字经济发展的核心引擎,就是数据价值的发挥。数据作为数字经济建设关键要素,将对其他生产要素起到倍增器的作用,为经济转型发展提供新动力。伴随数据要素化进程的高速发展,数据价值的不断凸显,数据安全风险也随之与日俱增,数据泄露、篡改、滥用等数据安全事件频发,造成对个人、组织、社会公共利益甚至国家安全的严重威胁和损害,极大地制约了数据共享流通使用。数据安全已成为数字经济时代最紧迫、最基础的问题,加强数据安全治理,统筹数据发展和安全防护,推动数据依法合理有效利用,已成为维护国家安全和提升国家竞争力的战略导向。数字经济时代下,
3、数据呈现体量大、种类多、传播广、变化快、可复制等特性,且与业务场景强关联,数据安全治理面临巨大挑战。如何统筹开发利用与安全防护,实现一体两翼发展,欲达到治理的最佳效果,必须坚持综合治理的原则,持续践行以下三个关键要素:一是一体化的治理理念,二是全维度的顶层设计,三是先进的技术体系。一体化的治理理念是实现数据安全治理高质量发展的核心,要把数据安全治理融入到整个国家和社会治理体系之中,构建政府负责、社会协同、公众参与、法治保障的数据安全社会治理体系,从单向的“通办”、“统管”转为多元、交互、协同的“共治”,共同织密织牢国家数据安全网。全维度的顶层设计是实现数据安全治理高质量发展的基础,国家层面要从
4、职责分工、法律法规、政策制定和标准规范等方面做好国家层面的顶层设计,组织层面重点强调因地制宜、量身定制的治理目标,体现组织架构、管理体系和技术体系相融合的核心理念以及围绕全生命周期的场景化的治理方案。先进的技术体系是实现数据安全治理高质量发展的支撑,要从数据安全治理相关的基础理论到关键共性技术、再到应用技术进行全链条的创新研究,积极推动构建自主可控、先进实用的技术和产品体系。本系列白皮书以理论联系实践为主导思想,以主册加各行业分册为呈现形式,从近年来我国数据战略及数据安全形势研判、数据安全治理概念与治理理念及框架、数据安全关键技术到多行业的场景化治理实践等多视角、多维度,较为系统、全面地对数据
5、安全治理I序一Foreword中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会相关内容进行了研究和探索,综合解读了监管政策法规及安全事件,梳理厘清了协同治理的相关概念与内涵,深入剖析了数据安全治理面临的挑战与治理方法论,整体架构了战
6、略指导下的管理、技术、运营相结合的治理框架,体系化描述了各类监测与防护技术,列举了丰富的行业实践案例并建设性地提出了数据安全治理未来的发展和倡议。“行远自迩,笃行不怠”,期待通过白皮书中围绕数据安全治理的理论探索与行业治理实践介绍,为数据安全治理相关人员带来具体的指引、参考和启迪,并付诸到实际治理工作当中,同时也期冀大家共同努力,持续探索数据安全治理之道,为加快推进数字中国建设保驾护航。冯登国中国科学院院士II中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
7、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理白皮书(以下简称白皮书)历经五年多的发展与延续,已升级到 5.0版本。白皮书与中国数据安全治理高峰论坛(以下简称高峰论坛)相伴相生,一路走来。2017 年首届高峰论坛开启,2018 年第二届高峰论坛发布数据安全治理白皮书 1.0,此后我们坚持每一届高峰论坛发布一版白皮书,只有 2020 年新冠黑天鹅降落人间停了一年,即便是 2021 和 2022 年疫情还
8、未消散的时候,我们也依旧坚持着。2017 年,安华金和在国内提出了“数据安全治理”这个概念,当时这个概念很新;业内大家主要谈的是网络安全,看待数据安全也大多基于等保与攻防的视角,由于缺乏法律法规作指引,只能贴着等保走。安华金和自 2009 年开始做数据安全,是国内最早一批专注于数据安全产品、技术研发的企业,积累了大量的实战经验,对于数据安全思考也比较多,逐步形成了对数据安全一些自己的认知。最初我们聚焦在“数据库”安全,在与政府部委、企业数据中心客户的交流中,逐渐认识到用户真正关心的是如何保护数据库中的数据,以及数据在保障安全的基础上如何得到很好的利用,让价值得到充分释放。我们不断思考和实践如何
9、达到安全与应用的平衡,在这个过程中领悟到两方面:一是应以数据为中心,在使用数据的基础上谈安全,结合不同的场景采取精准的数据安全防控措施;二是在促进数据流动的同时,要保证数据安全,应进行分类分级。我们思考并提炼出了一个词语来概括这些思想,即“数据安全治理”。而后看到国际上对此也有专门的描述,即“Data Security Governance”,发现我们的思考与国际同仁对于数据安全的看法不谋而合。相较网络安全,数据安全的落地更专注,更要将组织、规范、技术整体统筹推进才有可能做好。2017 年,我们举办了第一届高峰论坛,众多行业用户与专家齐聚一堂,共同探讨数据安全。在这个过程中,我们认识到,需要对
10、数据安全治理的概念归纳研讨做进一步深入的思考和表述,才能在业界的沟通中统一思想和话术。因此在 2018 年第二届高峰论坛召开前组织完成了数据安全治理白皮书 1.0的撰写并于峰会上奉献给大家,同时,在中关村网络安全与信息化产业联盟的支持下,牵头成立了联盟的数据安全治理专业委员会,持续的推进数据安全治理工作前行。就这样,高峰论坛和白皮书一直坚持到了现在。2021 年 6 月,中华人民共和国数据安全法颁布施行,作为国家关于数据安全方III序二Foreword中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数
11、据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会面的基础性法律,明确提出了“维护数据安全应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”,并把分类分级作为推进数据安全的基础工作,提出“国家建立数据分类分级保护制度”、“对数据实行分类分级保护”。2021 年 11 月,保护个人信息安全的专门法律中华人民共和国个人信息保护法正式颁布施行。在两个法律的基础
12、上,国家互联网信息办公室于 2022 年 7 月发布了数据出境安全评估办法。数据安全法 个人信息保护法 数据出境安全评估办法分别从国家重要数据保护、个人隐私和权益保护、数据主权维护角度给出了行为指引。可以说,到 2022 年,我国数据安全治理的基础立法工作基本完成。2022 年起,国家互联网信息办公室、工业和信息化部等相关部门陆续出台一系列规章和规范性文件,全国信安标委、行业管理部门加速推进标准化研究制定工作,随着各行各业数字化的推进,数据安全产业发展如火如荼。但我们在与客户沟通时发现,用户对于如何保障数据安全还是比较困惑。例如数据分类分级与个人信息保护相结合如何开展工作;与国家重要数据保护相
13、结合如何开展工作;还有,分类分级后与数据安全管理的结合,也都存在许多的不确定性。数据安全治理白皮书 5.0在延续惯例对相关的新理论、新政策、新技术进行更新外,重点推出了行业落地实践集,对行业分类分级标准、数据安全建设要求、检查办法、具体化的建设落地案例等进行了介绍,共涵盖了七个行业。我们希望通过对各行业的治理实践进行归纳总结,为具体落实数据安全工作提供有价值的借鉴。在梳理行业实践总结时,我们发现,由于不同行业的数据安全工作进展参差不齐,行业间的相互借鉴、学习尤为重要。未来白皮书更新的重点之一也将是行业落地实践经验的汇集交流。当下,数字经济成为人类新的经济增长方向,数字化、网络化、智能化在逐步改
14、变人类生存环境,基于大规模数据学习的人工智能大有替代人类大脑决策之势;数据安全成为了人类基础安全保障的核心要素之一,数据安全的重要性前所未有。对此我们可以做的就是热烈拥抱他的到来。我们希望白皮书成为拥抱这一历史性变化的一个印迹,和大家一起见证数据安全与数字经济发展的相伴相行。刘晓韬中关村网络安全与信息化产业联盟数据安全治理专业委员会主任北京安华金和科技有限公司董事长兼 CEOIV中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
15、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会 数据安全新形势背景近年来,我国数字经济持续快速发展,其产值占国内生产总值比重逐年高速增长,已成为推动经济增长的重要引擎。国家高度重视数据要素化市场配置改革进程,自 2022 年以来,党中央、国务院陆续印发了“十四五”数字经济发展战略中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见数字中国建设整体布局规划等一系列数字经济发展的战略性文件,我国在加快数据要素市场流通,创新数据要素开发利用
16、机制。但是,数据在广泛流动释放价值的同时,也面临着被窃取、泄露、篡改、破坏、滥用的巨大威胁。新形势下的数据安全风险形态也呈现多样化、复杂化特点,造成对个人、组织、社会公共利益甚至国家安全的严重威胁和损害。为规范数据处理活动,保障数据依法有序自由流动,近年来,我国数据安全相关法律法规、部门规章持续密集发布,数据安全标准化研究制定工作加速推进,相关审查、评估、认证、审计等制度陆续推出,为各行各业落实数据安全治理、增强数据安全保障能力提供了具体指引和实施参考,持续推动了数据安全的有法可依、有章可循、有标可落。编写目标在上述形势背景下,组织在数据收集、存储、使用、加工、传输、提供、公开等数据处理活动过
17、程中,针对数据安全威胁与监管合规要求,无可避免地需要面对越来越多严峻和紧迫的数据安全挑战。大家都在思考如何在数据资产的开发利用、价值实现与安全保护、履行合规义务之间进行恰当平衡?如何在数据安全方面编制合理的制度策略和选取适宜的技术措施?如何在不断创新的数据应用场景中持续保护数据安全?为了帮助有关单位解决在开展数据安全治理时面对的众多困惑和难题,实现数据开发利用与安全防护一体两翼、平衡发展的目标,本白皮书在数据安全治理白皮书 4.0的基础上,根据最新进展分析当前我国数字经济战略发展与数据安全新形势新动态,厘清数据安全治理概念并诠释数据安全治理内涵,完善数据安全治理需求与框架,解读最新法律法规及标
18、准等监管要求与技术规范,全面、系统介绍围绕数据生命周期的相关安全技术需求、安全技术工具与技术发展趋势,归纳 2022 年以来典型的数据安全事件与相关法律案件并进行分析,提出了数据前言PrefaceV中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
19、安全治理专委会安全治理的未来展望和建议。同时,作为本白皮书的突出亮点,推出了典型行业数据安全治理实践篇。鉴于数据安全与业务场景的强关联性,践行场景化数据安全,面向政务、金融、医疗、电信、电力、教育、工业七大数字化转型相对比较领先的行业领域,由行业内治理专家及领军企业牵头,分别给出具备各行业特色的数据安全治理方案与落地实践案例。数据安全治理白皮书 5.0力图尽可能体系化、完整地梳理和总结当前与数据安全治理有关的各种资料和最新进展,持续深入探索“让数据使用有序而安全”的数据安全治理方案,以实现在数据要素释放价值的同时,坚守安全底线的目标。我们希望能为数据安全运营者、建设者提供指引,为服务支持者(安
20、全服务机构、咨询机构、律师、法务等法律工作者)提供参考,期望为进一步推广、普及和完善数据安全治理的理念、方法、体系与实践添砖加瓦、贡献力量。读者对象本白皮书主要面向以下几类读者:组织内部数据安全治理相关人员:面向组织内部开展数据安全治理工作相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员,期望能够帮助他们更加深入全面地了解在数字化转型过程中正在和将要面对的数据安全威胁、风险和合规性要求以及行业内场景化治理实践,从而更积极主动地筹划和开展系统化的数据安全治理,确保能够有效应对新形势下的各种数据安全挑战。数据安全治理相关产品/服务提供商:面向数据安全产业的方案及产品策划人员、安全治理
21、咨询服务人员及项目实施人员,期望通过白皮书中对治理框架、技术应用与实践案例等内容的介绍为产品/服务提供商开展治理方案编制、产品研发和实施服务工作提供启迪与参考,以更好的服务用户。数据安全治理相关服务支持者:对安全服务机构、咨询机构、律师、法务等法律工作者,期望通过对数据安全相关法律法规解读及相关法律案件分析介绍,给予他们在进行数据安全合规要求和建议工作中提供一定的借鉴参考。此外,本白皮书对于数据安全相关政策法规和标准规范的编制人员、数据安全领域的研究人员,有关管理部门的专业人员等也具有一定参考价值。导读整个白皮书由主册和典型行业数据安全治理实践篇构成,其中:主册共分为五个正文章节和一个附录章节
22、。第一章 数据安全治理概念及内涵:对当前数据安全形势进行整体分析、梳理,厘清数据安全治理概念及内涵,诠释数据安全治理与相似概念的关系,梳理数据安全治理需求,进一步完善治理愿景、目标及理念。VI中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
23、理专委会第二章 数据安全整体框架:依据数据安全治理理念,围绕以数据为中心的治理体系不断演进、深化,组织在整体安全战略指导下,形成以数据分类分级为治理基石,数据安全管理体系、技术体系与运营体系为治理核心,监督评价体系为效能促进,形成更为完善、合理、全面的治理框架,并给出治理规划建设实施路径。第三章 数据安全相关法律法规解读:在数据安全治理过程中,满足监管合规要求是重要驱动力之一,重点解读数据安全相关上位法及 2022 年以来新颁布的法律法规及技术标准等监管合规要求。第四章 数据安全技术需求与主流工具:安全技术措施是数据安全治理的重要支撑,通过从需求和供给两侧对数据安全技术需求和安全技术工具进行全
24、面性、系统化梳理与介绍,并对数据安全技术的发展趋势进行简述。第五章 未来展望与倡议:面对数据安全治理实践涉及的管理、技术与运营过程中的问题,短期内尚无法有效解决的,以展望与倡议的形式予以表述,供行业内人士进行探讨。附 录 作为本白皮书惯例,结合技术创新进一步对主流数据安全技术工具进行详述,对数据安全相关标准、国际数据安全政策法规进行介绍,并对近年以来重大数据安全事件与法律案件进行分析,为业内人士提供借鉴和参考。典型行业治理实践篇汇集了金融、政务、医疗、电信、电力、教育、工业七个领域,由行业内治理专家及领军企业牵头,从数据安全治理现状与需求、治理思路与内容、治理实践案例等多个维度论述各行业的数据
25、安全治理实践,希望为各行业开展数据安全治理工作起到先行的示范作用。数据安全治理白皮书历史沿革北京安华金和科技有限公司是在中国倡导数据安全治理理念的发起者和先行者,也是多年来推动数据安全治理理念在我国各行各业应用和实施的实践引领者。2017 年,由安华金和联合国内网络和数据安全界的知名企业,发起成立了中国首个“数据安全治理小组”,并组织召开了首届中国数据安全治理高峰论坛。2018 年,在中关村网络安全与信息化产业联盟的支持和指导下,数据安全治理小组的成员单位共同发起成立全国首家数据安全领域的专业委员会中关村网络安全与信息化产业联盟数据安全治理专业委员会。积极促进数据安全治理理念在我国的推广和普及
26、,为我国数据安全领域的学术研究、技术创新、产业发展和人才培养提供了资源丰富的交流和支撑平台。成立当年,组织召开了第二届中国数据安全治理高峰论坛,并组织编撰数据安全治理白皮书 1.0,首次提出数据安全治理的概念定义、治理理念及治理框架,强调业务需求与数据安全的平衡,在论坛上向社会公开发布。2019 年,第三届中国数据安全治理高峰论坛召开,数据安全治理白皮书 2.0和数VII中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
27、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会据安全治理建设指南公开发布。在国家及行业高度重视数据安全及个人隐私安全的背景下,增加了数据安全相关法规和标准列表说明;补充了个人信息收集与隐私政策测评报告相关解读,扩展了各行业的数据安全治理实践,对数据库防勒索、透明加解密等数据安全相关热点技术进行了介绍,并更新了 2019 年重要的数据安全事件。2021 年,第四届中国数据安全治理高峰论坛隆重召开,数据安全治理白皮书 3.0重磅发布。进一步诠释了“让数据使
28、用更安全”的治理理念,分析了业内关注的数据安全与网络安全等概念的近似联系与区别,汇集了数据安全关键技术与前沿技术,解读了相关法律法规标准要求,整理了覆盖政务、金融、能源、教育、电信及医疗行业丰富的治理案例,成为数据安全行业较为全面且具有影响力的数据安全治理参考书。2022 年,由中关村网络安全与信息化产业联盟数据安全治理专业委员会主编,中国计算机学会计算机安全专业委员会、工业信息安全产业发展联盟、中关村网络安全与信息化产业联盟、北京工业互联网技术创新与产业发展联盟、中国电子商会自主创新与安全技术委员会指导,32 家极具影响力的产学研机构共同参编的数据安全治理白皮书 4.0于第五届中国数据安全治
29、理高峰论坛上发布,白皮书分析研判了当时数据安全形势与动态,解读了相关法律法规监管要求,汇集了新形势下的数据安全治理主要实践案例及典型数据安全事件,尽可能全面、系统地整理总结了与数据安全治理有关的各类资料和最新进展。VIII中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
30、专委会中关村网信联盟数据安全治理专委会组织架构 主编方/出品方中关村网络安全与信息化产业联盟数据安全治理专业委员会北京安华金和科技有限公司 指导单位中国计算机学会计算机安全专业委员会中关村网络安全与信息化产业联盟工业信息安全产业发展联盟北京工业互联网技术创新与产业发展联盟中国电子商会自主创新与安全技术委员会中国信息产业商会信息安全产业分会中国网络安全产业联盟数据安全工作委员会中国电力发展促进会网络安全专业委员会 参编单位国家计算机网络应急技术处理协调中心 国家信息技术安全研究中心 中国电子技术标准化研究院 中国信息安全测评中心 公安部第一研究所 公安部第三研究所 国家工业信息安全发展研究中心
31、中国软件评测中心 中国网络空间研究院 中国科学院软件研究所 中国科学院信息工程研究所 国家金融科技测评中心 国家卫生健康委医院管理研究所 北京市政务信息安全保障中心 天翼安全科技有限公司 暨南大学 国网智能电网研究院有限公司 福建省电子产品监督检验所 北京世辉律师事务所 光大科技有限公司 北京数字认证股份有限公司 北京安信天行科技有限公司 中国船舶集团有限公司第七九研究所 陕西省信息化工程研究院 北京市中伦律师事务所 西交苏州信息安全法学所 北京博遵律师事务所 泰和泰律师事务所 北京市中闻(上海)律师事务所 上海创同律师事务所 江西省信息中心 江苏省信息安全测评中心 山东省国土空间数据遥感技术
32、研究院 山东省社会信用中心 烟台市大数据局 烟台市大数据发展集团有限公司 青岛市大数据发展管理局 智慧齐鲁(山东)大数据科技有限公司 联通数字科技有限公司 中国民生银行股份有限公司 工IX中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专
33、委会银科技有限公司 中国工商银行安全攻防实验室 中金金融认证中心有限公司 北京国家金融科技认证中心有限公司 山东高速信联科技股份有限公司 晋商银行股份有限公司 江苏苏宁银行股份有限公司 东吴证券股份有限公司 南京证券股份有限公司 中电信数智科技有限公司 中移(苏州)软件技术有限公司 中国联合网络通信有限公司软件研究院 上海华东电信研究院(中国信息通信研究院华东分院)西安电子科技大学杭州研究院 恒安嘉新(北京)科技股份公司 山东第一医科大学附属省立医院 江苏省人民医院 南京江北医院 中日友好医院 山东大学齐鲁医院 中南大学湘雅二医院 江苏省中医院 南方医科大学第七附属医院 东部战区总医院 临沂市
34、人民医院 济南市康养事业发展中心 北京深思软件股份有限公司 华北电力大学 中国南方电网有限责任公司 国网大数据中心 中能融合智慧科技有限公司 中国人民公安大学 南开大学网络空间安全学院 电子科技大学网络空间安全研究院 北京科技大学 山东大学 山东财经大学 四川师范大学 华中科技大学 武汉理工大学 北京谷安天下科技有限公司 深圳市联软科技股份有限公司 北京锐安科技有限公司 湖北省电子信息产品质量监督检验院 山石网科通信技术股份有限公司 中电车联信安科技有限公司 天津太极风控网络科技有限公司 京信数据科技有限公司 北京智游网安科技有限公司 天九共享网络科技集团有限公司 青岛中元云册创新科技有限公司
35、 昆仑太科(北京)技术股份有限公司 中邦网络安全技术(深圳)有限公司X中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会致 谢感谢以下人员为数据安全治理白皮书 5.0的编制付出的辛勤劳动。编委会专家组组长冯登国指导专家(按姓氏笔画排序
36、,排名不分先后)于 锐 马民虎 王伟平 王才有 左晓栋 卢 卫 冯燕春 向小佳 刘龙庚 刘欣然刘海峰 刘哲理 刘晓韬 刘紫千 严 明 李新社 李京春 李新友 李建彬 李 俊李吉慧 李洪伟 杨 韬 肖革新 吴 兰 吴沈括 张 峰 张 力 张 涛 金 波金 涛 单立坡 郝志强 胡红升 胡光俊 俞克群 姜 伟 姚相振 钱宗政 裴廷睿衡反修编审专家(按姓氏笔画排序,排名不分先后)王晓光 王新锐 包国峰 刘曦泽 孙立淼 孙 岩 孙建国 李向锋 李安伦 李 斌李 媛 杨帅锋 杨海峰 何延哲 何晋昊 张 敏 陈青民 陈 聪 林星辰 季亨卡郝文江 胡 影 徐明迪 高 松 崔媛媛 蔚 晨 谭峻楠 魏 力参编专家
37、(按姓氏笔画排序,排名不分先后)丁 莹 于建鹏 于 皓 马佑平 王 刚 王 玮 王 杰 王 迪 王美珍 王冠杰王 峰 王浩宇 王海峰 王 翀 王逸君 王超毅 王斌君 王 普 王 蕾 王 巍文 剑 尹晓东 邓鹏飞 左 芸 石聪聪 申浩文 田建彤 田 娜 田博文 史 辉白旭东 白 倩 仝 鑫 朱元元 朱剑楠 朱洪涛 朱晓东 刘方斌 刘 杨 刘 畅刘春雷 刘 洋 刘海丰 刘 翀 刘耜杭 刘 颖 衣军成 许智鑫 许道远 孙亚东孙明明 孙晓童 苏 力 杜浩文 李 为 李永在 李 苏 李松涛 李 欣 李欣韦李 波 李 振 李 莅 李 辉 李源鑫 李 静 李 睿 李潇莹 李德生 李 巍杨 波 杨学颖 邱 杰
38、 邱 峰 何黎明 宋士明 宋博强 初航正 张小亮 张永祯张 兵 张 勇 张晓云 张晓娜 张 野 张 敏 张 瑞 张腾标 张 豪 张 澍张耀峰 张 鑫 陈小春 陈江江 陈红松 陈志强 陈 虹 陈 钢 陈菲琪 范丽珺XI中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
39、中关村网信联盟数据安全治理专委会范益天 范道峰 林 闯 金 晨 周 扬 周传玉 周 映 周剑涛 周 莉 周健雄周爱昭 周 涛 官全龙 房海腾 赵宇博 柳彩云 钟 强 侯德智 施志晖 宫小茜袁 成 袁 靖 夏杰峰 夏 瑛 顾飞飞 徐羽佳 徐 欢 徐 煦 栾秀梅 栾泽琳高先周 高庆浩 高晨涛 高雅婷 高强裔 郭 莉 郭晓东 郭铮铮 郭超然 郭 腾黄 进 黄 鹏 曹文洁 曹阿龙 龚伏兰 常景辉 梁明君 隆 峰 彭 远 彭建辉葛 珊 葛菊平 董子娴 董 军 董 枫 韩 云 景慎旗 喻 英 程 娜 程 蕾曾艳春 谢永红 谢航竞 雷嘉宾 阙秀震 廖怀学 魏 东 魏林锋 版权声明 白皮书版权属于中关村网络安
40、全与信息化产业联盟数据安全治理专业委员会(简称数据安全治理专业委员会),并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的,应注明“来源:中关村网络安全与信息化产业联盟数据安全治理专业委会编著数据安全治理白皮书 5.0”,违者将被追究法律责任。XII中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
41、安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会目录Catalog第一章 数据安全治理概念及内涵 11.1.数据安全背景与形势 11.1.1.数字化转型进
42、入深水区 11.1.2.数据安全面临新挑战 11.1.3.数据安全监管新举措 21.2.数据安全治理概念和理解 31.2.1.数据安全治理概念 31.2.2.数据安全治理内涵 51.3.数据安全治理面临挑战与需求 91.3.1.贯彻数据安全战略顶层规划需要布局 101.3.2.跨组织、部门全员协同治理需要加强 101.3.3.个人信息合理利用与权益保护需要重视 111.3.4.面向行业特点的场景化治理需求凸显 111.3.5.数据分类分级自动化、精准化亟待解决 121.3.6.治理水平稽核评价体系需要建立健全 121.4.数据安全治理理念日趋成熟 121.4.1.数据安全治理愿景 131.4.
43、2.数据安全治理目标 141.4.3.能力支撑框架设计 14第二章 数据安全治理整体框架 162.1.整体框架设计思路 162.2.规划数据安全战略 182.3.开展数据分类分级 182.4.组织架构及管理制度体系 192.4.1.组织架构 19中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
44、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会2.4.2.人员管理 222.4.3.管理制度 242.5.数据安全技术体系 282.6.数据安全运营体系 282.6.1.规划思路 282.6.2.体系架构 292.6.3.运营服务 322.7.数据安全监督评价体系 322.8.典型数据处理场景 342.8.1.数据跨境 342.8.2.数据交易 352.8.3.大数据处理 362.8.4.合作共享 372.9.数据安全治理规划建设 372.9.1.数据安全治理整体建设思路 382.9.2.数据安全治理迭代式建设思路 39第三章 我国相关法律法规及标准解读 403.1.数据安全合
45、规整体体系框架 403.2.重点推进工作 413.2.1.数据安全认证机制完善数据安全监管体系 413.2.2.“三种路径”推动数据出境规则加快落地453.3.法律 473.3.1.网络安全法保障网络与信息安全473.3.2.数据安全法构建数据安全治理框架483.3.3.个人信息保护法保障个人信息权益503.3.4.网络安全、数据安全与个人信息保护的关系 513.4.行政法规 523.4.1.关键信息基础设施安全保护条例实施关基重点保护523.4.2.网络数据安全管理条例(征求意见稿)细化数据安全治理规则533.5.部门规章及规范性文件 533.5.1.数据安全的协同治理 533.5.2.重要
46、规章及规范性文件 54中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会3.6.地方性法规 583.6.1.创新数据安全治理新模式 583.6.2.提供公共数据治理的模式借鉴 583.7.国家标准、行业标准及相关指南 59第四章 数据
47、安全技术需求与主流技术工具介绍604.1.数据安全技术需求介绍 604.1.1.平台化安全防护需求 604.1.2.全生命周期安全防护需求 624.1.3.通用安全防护需求 664.2.数据安全防护主流技术工具介绍 674.2.1.技术工具功能及应用场景简介 674.2.2.技术工具落地部署示意 754.2.3.技术发展趋势分析 76第五章 未来展望与倡议785.1.未来展望 785.1.1.治理能力创新 785.1.2.治理体系和制度健全 795.1.3.治理全球化 805.2.持续加强数据安全治理能力的倡议 815.2.1.面向国家角度的倡议 815.2.2.面向学术和产业界的倡议 825
48、.2.3.面向企业和组织的倡议 83附录 85A.词汇表85B.数据安全主要产品与关键技术87C.2022 年以来重大数据安全事件归类分析 124D.2022 年以来典型数据安全相关法律案件分析 134E.我国主要数据安全相关标准汇总 137F.国际数据安全政策与法规概述 144中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
49、中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
50、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理白皮书 5.0版本修订说明数据安全治理白皮书 5.0版本中,针对以下内容进行修订完善与扩展:1.添加数据安全治理概念阐述,首次对“数据安全治理”概念进行了定义与诠释;2.基于当前数据安全发展形势,对当前国家数据战略、风险态势与监管举措等进行剖析;3.更新了数据安全治理实践过程中面临的新挑战与关键需求;4.进一步深化数据安全治理理念,健全数据安全治理框架,将个人信息保护明确纳入数据安全治
51、理体系,并扩展治理框架中的监督评价体系介绍;5.添加数据跨境、数据交易、大数据处理与合作共享等典型、通用安全场景治理需求介绍;6.完善数据安全合规体系框架及相关法律间关系阐述,更新了 2022 年度以来最新的法律法规解读,对数据安全治理建设提供合规落地指引;7.基于数据安全技术在数据安全治理的关键支撑作用愈发显著,将数据安全技术体系独立成章,从技术需求到技术工具落地实践进行了体系化的整体介绍,并在附录中补充完善了数据安全相关产品与关键技术介绍;8.更新数据安全治理协同发展的未来展望和倡议;9.更新 2022 年度以来国内外重大数据安全事件归类分析与典型的数据安全相关法律案件分析;10.汇总最新
52、的重要国家、行业与地方的数据安全相关标准列表;11.补充了国际数据安全政策与法规介绍;12.全文内容文字和段落结构优化;13.深入践行“场景化安全”,首次推出面向重点行业的数据安全治理实践集,形成数据安全治理主册加各行业分册的系列化丛书。数据安全治理白皮书 5.01中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟
53、数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第一章 数据安全治理概念及内涵当前,随着大数据、人工智能、区块链、云计算等新技术和产业的快速发展,数字化数据呈指数级增长,数据共享流通、开发利用的诉求愈发强烈。由于这类数据本身存在易于复制、确权困难的特点,数据在快速释放价值的同时
54、,安全风险也与日剧增。同时,在当前全球竞争格局加剧的形势下,数据安全已上升到国家安全战略。我国高度重视数据安全,持续出台相关法律法规,加强并健全系列监管举措,如何统筹数据开发利用与数据安全的平衡发展,促进和保障数据的有序流动,构建体系化、系统化的数据安全治理需求日益迫切。1.1.数据安全背景与形势1.1.1.数字化转型进入深水区建立健全数字基础设施是打通内、外部循环经济体系的重要举措。我国信息化、数字化建设经过 20 余年的高速发展,已经在多点表现出全球领先的显著优势。数字革命是开启第四次工业革命的钥匙,数字经济是未来世界经济的火车头。执牛耳者,自当奋楫。促进数据共享流通使用,建成完善的数字基
55、础设施,是“历史赋予的使命,时代要求的担当”。当前我国千行百业数字化转型进入深水区,数字经济已经成为助力经济增长的重要引擎。在这个大趋势中,加快培育壮大数据要素市场,充分发挥数据要素的放大、叠加、倍增作用,是贯彻落实新发展理念、构建新发展格局、推动我国经济转型的战略选择。2022 年以来,我国围绕数字经济发展,在政策方面,国家陆续颁布了关于构建数据基础制度更好发挥数据要素作用的意见(以下简称“数据二十条”)、数字中国建设整体布局规划等纲领性文件。为持续推进数据要素化市场配置改革,2023 年国务院专门设立了国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中
56、国、数字经济、数字社会规划和建设。1.1.2.数据安全面临新挑战伴随数据要素化进程的高速发展,数据广泛、实时流动,在释放数据价值的同时,数据安全威胁也日益严峻。除面临传统的泄露、窃取、破坏等安全威胁外,还呈现出如下新的风险态势:数据跨境流动引发国家和公民安全隐患。随着经济全球化的发展,全球贸易往来、金融投资和技术交流日益频繁,在数据跨境传输、访问和使用过程中,跨境数据流动的种类、数量与频次持续大幅度上升,涉及的内容也不再局限于个人隐私信息,还包括国家安全、社会治理、企业商业机密等方方面面。伴随数据价值的攀升,数据被觊觎的风险也持续加大,由于技术漏洞、管理缺位和政策法规不完善等因素,海量的数据跨
57、境流动带来了潜在的重大系统性风险,不仅会对个人隐私产生数据安全治理白皮书 5.02中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村
58、网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会严重影响,这些数据若被境外情报机关获取并用于对我国的战略分析,还会使得我国战略动作易被观察预测,产生国防安全的重大隐患。滥采滥用个人信息并实施数据垄断。由于互联网平台企业的业务大都由数据驱动,商业推广、精准营销、产品迭代等均依赖对数据的海量收集和开发利用,数据成为了平台企业发展和盈利的核心资源。基于数据收集使用创新商业营收模式,实现利益最大化,成为了各个平台企业追逐的商业目标,由此又加剧了个人信息滥采滥用、数据
59、垄断乱象频发的数据安全威胁。大数据杀熟与价格歧视。平台企业利用所掌握的数据以及大数据技术,对消费者的消费行为进行精准刻画,进而在用户不知情的情况下,对不同用户采取不同的价格机制与定价策略,从而最大程度上攫取利益。信息茧房与视野窄化。算法推送技术导致推荐内容过于单调,它不仅让受众个体的视野被固化,会在受众当中形成分区,扩大了不同群体之间的知识鸿沟,甚至导致群体极化事件发生。人工智能技术面临多重安全风险。一方面模型算法攻击挑战严峻,模型算法在深入挖掘数据价值的同时,被攻击、修改、窃取的风险也随之加剧,例如在网购平台推荐算法中,恶意混入误导性数据,导致推荐错误;以及利用人脸图片,欺骗人工智能系统,让
60、其做出错误的判断。另一方面,基于人工智能的新型攻击凸显,基于人工智能具备的机器学习特性,会被黑客利用开展新型攻击。例如,针对具体人、具体场景,有针对性地生成钓鱼邮件,进行精准钓鱼;以及使用人工智能技术合成亲属语音,进行网络诈骗。再一方面,生成式人工智能引起新型数据泄露及滥用风险,伴随 ChatGPT的兴起,生成式 AI 技术的商业化趋势已经来临,众多企业通过将文本理解分析,多模态检索等智能分析能力融入到在线服务、智能客服等产品和服务中,全面提升自身产品和服务的AI化,在此过程中,涉及的数据非法获取、数据泄露及恶意滥用等数据安全问题也日益凸显,例如:ChatGPT 不设限爬取、采集我国各大重要媒
61、体、电商等平台中的敏感数据、用户行为轨迹等信息,深度训练分析我国社情民意,严重危害国家安全;以及在应用ChatGPT进行双向互动请求过程中,会被要求输入个人敏感信息、业务数据或涉及商业秘密等内容,加剧了数据泄露的风险。1.1.3.数据安全监管新举措数据是经济发展的重要生产要素和核心引擎,数据安全已成为我国总体国家安全观的重要组成部分。“数据二十条”提出“统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。”数字中国建设整体布局规划提出“强化数字中国关键能力,筑牢可信可控的数字安全屏障。增强数据安全保障能力,建立数据分类分级保护
62、基础制度,健全网络数据监测预警和应急处置工作体系。”自 2022 年以来,为充分贯彻数据安全法个人信息保护法等上位法的总体要求,相关部门发布了多项数据安全规章、规范性文件、技术标准,以促进数据安全治理的落地实施,如国家互联网信息办公室出台了数据出境安全评估办法个人信息跨境处理活动安全认证规范个人信息出境标准合同办法等系列出境规则体系以及数据安全管理认证实施规则个人信息保护认证实施规则等认证相关部门工作文件。在技术标准方面,国家信安标委颁布了信息安全技术 数据安全治理白皮书 5.03中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
63、安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会网络数据处
64、理安全要求信息安全技术 移动互联网应用程序(App)收集个人信息基本要求信息安全技术 网络数据分类分级要求(征求意见稿)等系列技术标准;在促进产业发展方面,工业和信息化部与国家互联网信息办公室等十六部门联合印发 关于促进数据安全产业发展的指导意见,明确了数据安全产业发展的必要性、指导思想、基本原则和发展目标等顶层设计。由国家数据安全工作协调机制统筹协调,行业主管部门各司其职承担本行业、本领域的数据安全监管职责,网信部门、公安机关、国家安全机关依法依规承担各自职责范围内的数据安全监管职责的多方协同监管体系正在逐步形成并不断深入完善。1.2.数据安全治理概念和理解自 2017 年 Gartner
65、首先在业界提出数据安全治理概念以来,国际国内对“数据安全治理”这一概念都有不同的诠释,但一直都没有给出一个标准化的公认定义。本白皮书从 1.0 到 4.0 版发布以来,本着求同存异的理念,也始终没有针对“数据安全治理”予以概念定义。伴随着数据安全治理的深入开展和广泛应用,在此版白皮书对“数据安全治理”的概念及涉及内涵尝试予以诠释,供业界探讨。1.2.1.数据安全治理概念数据安全治理,顾名思义,可拆分为“数据安全”与“治理”,数据安全可理解为目标,治理可理解为手段。首先看“数据安全”的定义,在数据安全法中明确将数据安全定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持
66、续安全状态的能力”。从核心立意来看,定义中核心强调的是数据开发利用与安全保护的统筹与平衡发展,一方面数字经济的发展必须在数据安全的前提下开展,没有数据安全,数字经济的发展将失去有效的控制支撑;另一方面,数据的开发利用是促进数据价值释放之必然,不能由于数据安全的过度保护制约数据的流动与共享开放。从防护措施来看,基于“统筹安全与发展”的数据安全核心立意,定义中强调了数据安全保护措施的必要性与持续性,必要性是指面向数据处理活动与场景化需求,采取按需、动态的管理和技术措施落实有效保护,持续性是指伴随数据围绕业务发展快速变化,相应的保护措施也需顺应变化,落实常态化运维,保持持续安全状态。其次看“治理”的
67、定义,“治理”对应的英文单词是“governance”(源自拉丁文或古希腊语“steering”一词,原意是“引领导航”),是指遵照具有共识的指导原则,通过协调和配合共同追求一致目标的过程。针对“治理”的概念,在全球治理委员会(CGG)中进一步解释为“个人与公私机构管理其自身事务的各种不同方式之总和;是使相互冲突或不同利益得以调和并且采取联合行动的持续的过程”,其中包含四个方面的特征,即:(1)治理不仅仅是一整套规则条例,也不是一种活动,而是一个活动集合的过程;(2)治理过程的基础不是简单的控制和支配,更重要的是协调;(3)治理既涉及公共部门,也包括私人部门;数据安全治理白皮书 5.04中关村
68、网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委
69、会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会(4)治理不意味着只是一种固定的制度,而是持续的互动。因此,治理更强调协调和合作,一般不应简单表述成一套严格的规则条例或正式制度,通常是以一种依托法规标准和协调机制,通过多组织、多部门横向协同配合与持续优化的过程,来实现行动目标。最后,结合数据安全和治理的概念定义,从广义的社会层面和狭义的组织层面来理解数据安全治理:从广义的社会层面治理来看,是指在国家整体数据安全战略指导下,依法依规整合多方相关单位共同参与、协同实施的一系列为实现既定目标活动的集合。其涉及的相关组织包括国家、行业、研究机构、组织及
70、个人等多元实体。其核心活动包括持续建立健全相关法律法规、政策标准体系,创新数据安全关键技术,贯彻落实政策法规落地,培养专业人才,营造数据安全产业生态等。数据安全治理是以“让数据使用有序而安全”为愿景,构建形成全社会共同维护数据安全、促进数据开发利用和产业发展的良好环境,探索在我国易于落地的数据安全建设体系的过程。从狭义的组织层面治理来看,数据安全治理是指从自身视角出发,多部门协作,推动合法合规使用数据的一系列活动的集合。其核心活动包括明确数据安全治理工作的团队及职责,规划制定相关制度规范,构建数据安全技术体系等。源引国际咨询机构 Gartner(数据安全治理倡导者)的经典论述,“数据安全治理不
71、仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。”,可进一步理解为依据顶层数据安全战略,从组织、人员、制度、工具等方面,内外部相关方协作实施的一系列治理活动集合,以确保数据安全。具体活动包括建立治理组织架构、建设和培养数据安全人员、制定数据安全制度规范、构建全生命周期技术防护体系等。类似的观点,微软提出了专门强调隐私、保密和合规的数据安全治理框架(DGPC),虽然没有明确指出数据安全治理的定义,但其核心思想指出:
72、“数据安全治理理念主要围绕人员、流程、技术三个核心能力领域的具体控制要求展开,与现有安全框架体系或标准协同合作以实现治理目标,最终更好实现数据安全风险控制”。在本白皮书中,更多强调的是狭义层面、面向组织的数据安全治理,通过治理活动,确保数据安全,推动发展与安全一体两翼、平衡发展。数据安全数据安全治理治理依据组织顶层数据安全战略,从组织、人员、制度、工具等多个方面,内外部相关方协作实施的一系列治理活动集合,以确保组织数据安全,推动发展与安全一体两翼、平衡发展。防护手段“数据+安全”强调的是数据的合法利用和有效保护间的动态平衡与持续保护治理不是一整套规则条例,而是一个活动集合的过程;治理的过程不是
73、控制和支配,而是协同与持续优化。图 1-1 数据安全治理概念数据安全治理白皮书 5.05中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
74、中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会1.2.2.数据安全治理内涵1.2.2.1.数据安全治理内涵整体理解通过对数据安全治理概念的梳理与理解,从多元共治、关注数据处理互动安全、重视管理与技术并举三个方面对关键要点的内涵进行解读:(1)多元共治与国家和社会治理的其他领域一样,数据安全治理面临的基本矛盾也是秩序与活力的矛盾,传统的数据安全防护体系主要偏向单纯的技术体系防护,如保密性、完整性、可用性等方面的技术防护措施,而对于社会伦理、法律合规、公
75、共权益等问题关注度不够,鉴于数据安全的广泛性、普遍性与复杂性,面对数据安全领域的诸多挑战,需要整合国家、社会、组织及个人等多方主体资源,推动企业自治、政府监管、服务与市场调节形成合力,构建系统性、整体性、协同性的数据安全多元共治生态,更好地服务于数字经济发展,这也与数据安全法第九条中强调建立各方共同参与的工作机制相一致(“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作”)。同样,对于治理主体而言,鉴于数据安全与业务的强关联性,数据开放流通与数据安全防护的天然矛盾,需要从战略层面出发,统筹安全与发展问题,协调解决业务、科技、审计、风控等各相关方的沟通障碍,统一数据安全共识
76、、从管理和技术等多个方面,发挥各自优势,紧密配合,共同推进数据有序开发利用,促进数字化转型健康发展。(2)关注数据处理活动安全实施从以网络为中心转向以数据为中心的体系化安全保护策略。对数据进行有效识别并进行分类分级,针对数据的采集、传输、存储、提供、共享、公开、删除及销毁等处理活动进行梳理,根据不同的数据敏感等级以及数据处理活动状态,统筹规划与设置相应数据保护策略,实现不同级别数据的差异化、动态安全防护,有效贯彻落实数据的合法利用与有效保护,实现数据资产可知、流转可视、策略可管、风险可控,确保数据全生命周期安全。(3)重视管理与技术并举面对围绕数据处理活动的多方协同治理需求,组织在规划和开展数
77、据安全治理工作时,需要依据数据安全治理的核心理念,从数据安全战略出发,明确各相关方的职权范围,制定相应的管理政策与流程,再通过技术措施落实安全防护策略。并能够根据安全形势、技术发展和演进趋势等的动态变化,对数据安全治理体系进行持续优化。在整体治理过程中,安全管理是安全技术的关键指导,安全技术是实现安全管理的基础支撑,通过管理和技术“双管齐下、深度融合”,解决数据安全保护问题。1.2.2.2.数据安全治理与社会治理的关系随着信息技术和互联网的快速发展,超越传统意义上的数据储存、管理和分析能力的大数据在带来数据与信息处理方式的根本性变革的同时,也对社会治理产生了重要影响。2020 年 4 月 9
78、日,中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见,提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件数据安全治理白皮书 5.06中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联
79、盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中,体现了互联网大数据时代的新特征。数据要素是数字经济时代的“石油”,数据流动能够活跃技术流、物质流、人才流、资金流,为数字经济创造价值。在这种背景下,数据安全就显得尤为重要。习近平总书记高度重视保障国家数据安全,强调“要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安
80、全预警和溯源能力”。因此,如何将数据安全治理融入社会治理,让二者相辅相成、相互促进,对于强化网络、数据等安全保障体系建设和推动数字经济发展具有重要意义。一方面,社会治理是促进数据安全治理又好又快推进的关键环节。近年来,我国在筑牢数字安全屏障方面取得了众多瞩目的成绩,出台了包括国家安全法、网络安全法、密码法、数据安全法和个人信息保护法等在内的一系列法律法规,构筑起维护数据安全和促进数字经济持续健康发展的法律制度保障。但也要看到,在完善数据安全治理的过程中仍存在一些短板项,比如数据安全治理主体责任不明晰,企业数据安全治理流程及效果评价尚未形成统一标准,部分企业对数据安全不够重视,安全投入不足,层出
81、不穷的新型网络攻击造成敏感数据泄露等。单纯依靠企业和个体自身的力量难以解决这些问题,必须加快探索构建起党委领导、政府负责、社会协同、公众参与、法治保障、技术支撑的数据安全社会治理体系,将数字安全治理从单向的“通办”、“统管”转为多元、交互、协同的“共治”。具体来说,首先,需要积极发挥政府和行业协会等主体作用,加强对数据安全治理规则、相关标准制定的组织引导,强化对企业数据安全的监督监管,确保关键领域和核心环节的数据安全。其次,进一步明确各类平台和企业等市场主体在数据安全治理方面的责任,提高居民个体维护自身数据安全的意识和积极性,同心协力维护数据安全,夯实数字经济持续健康发展的安全基础。最终,建立
82、安全可控、弹性包容的数据安全治理制度,共同织密织牢国家数据安全网。另一方面,尽管当前数据及其技术的融合应用在政府经济调节、市场监管、社会管理、公共服务、生态环境保护等各项工作中潜力无限。但由于数据作为新型的生产要素,具有体量巨大、类型众多、流通极快、易于编辑复制、多维复杂、不断裂变和虚拟性现实性紧密关联等新特点,传统的资源管理模式和安全防护手段难以完全适配和应对新技术带来的风险和挑战。因此,需要数据安全治理为社会治理模式创新提供有力的支撑和保障,并更好地赋能社会治理创新,推进政府治理体系和治理能力现代化:第一,数据安全治理是促进社会治理体系变革的“牵引器”。数字化既是技术变革,也是组织与思想变
83、革。数据已经成为连接社会万物的信息纽带,现实世界和虚拟世界之间的联系也变得越来越紧密。虚拟的数字印章和电子证照在现实世界得到普遍认可和使用,使得各类事务办理的效率大大提升;虚拟的数字货币在现实世界得到公开发行和推广,使得商品交易、货币流通和金融监管的成本大大降低。在这背后,离不开依托数据安全治理保障现实世界中不同利益主体的多样化安全需求,以及具备应对不同场景下的差异化条件的能力。举例来说,从行为规范角度,数据安全治理要求应用算法和数据必须保障虚拟空间的基本公共秩序,防止出现大数据杀熟、数字垄断、隐私泄露、数字欺诈等违法犯罪问题;从功能效用角度,要求算法、数据需要匹配现实世界的客观真实情况,避免
84、产生算法偏见、算法歧视、“信息茧房”等消极负面影响;而从社会公益角度,算法和数据还应考虑人类群体的一般道德伦理,鼓励推广爱心通道、“适老”服务、弱势关怀等数字信息援助。总之,数据安全治理是进一步提升政府数字治理的文明程度,促进社会治理体系变革高质量前进的助推器。数据安全治理白皮书 5.07中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
85、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会我们应该通过数据安全治理合力建成共建、共享、共治的良好生态。第二,数据安全治理是提升社会治理质量的“助推器”。当前,我国高度重视数字政府建设并取得了一系列成绩。从“推进数字政府建设”到“加强数字社会、数字政
86、府建设”,深刻反映了国家对数据赋能社会治理的认识在不断深化。但我国是一个大国,地区的社会政治经济活动涉及诸多领域,具有范围大、规模大、情况复杂等特点。而过去的信息化建设模式千差万别,数据质量高低不一,脏数据、不完整数据等也层出不穷。因此决策者往往面临决策依据不充分、获取的信息不确定性大等问题。依托数据安全治理能够综合运用法律政策、技术手段、标准规范等各类工具,做到数据采集、存储、处理、共享、开放、开发利用等全链条数据活动的管理和监督,规范数据处理、提升数据质量、释放数据价值、防范安全风险,确保数据流通走向规范化、法律化、制度化轨道,实现从源头开始对数据质量层层把控,为共建共治共享提供安全、可信
87、的载体、渠道和机制。使所掌握的数据真正的全样本、干净、有营养,能够实事求是地反映客观现实,基于高质量的数据进行建模、分析、决策和创新,必然事半功倍。第三,数据安全治理是引导良好数字治理理念的“风向标”。数字技术在社会治理中的广泛应用,既有助于提升社会治理水平,也可能带来一系列非预期后果。由于数字技术本身并不足以保证社会治理的合法性、合理性和有效性。因此,我们需要依托数据安全治理构建社会治理数字化转型的坚实基础环境和有效约束空间。在社会治理现代化进程中,数据安全治理作为一种具有良好治理效果的重要方面,能有效促进社会治理参与者树立数据安全思维、转变治理观念、实现社会治理能力现代化的进步。所以应将数
88、据安全治理紧密结合到社会治理决策、公共服务、社会监管以及社会民生保障等领域建设中,推进社会治理现代化。以数据安全治理推动国家和社会治理的数字化转型是大势所趋,更是时代重任。目前,不论在理论还是实践层面,数据安全治理建设都处于初创阶段,还需要在治理技术创新、理论创新、制度完善等领域,进行深入探索和积极开拓,更好促进数字社会的健康发展。1.2.2.3.数据安全治理与数据治理的关系数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到企业范围内的综合数据流转、从尝试处理数据混乱状况到数据井井有条的一个过程;同时又作为组织中涉及数据使用的一整套管理行为,包括数据治理计划、监控、实施,
89、通过对数据的梳理整合,利用数据驱动业务,实现企业增值。而数据安全治理则强调从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识,关注数据处理全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势等的动态变化,对数据安全治理体系进行持续优化。目前,关于数据安全治理与数据治理的关系有两种主流的解读方式。一种以国际标准(ISO/IEC 38505)数据治理框架和国际数据管理协会(DAMA)的 DAMA-DMBOK 框架为代表,它们认为数据安全治理是整体数据治理的一个重要组成部分,数据安全治理是数据治理的一个子过程。另一种则认为数据治理和数据安全治理有一定的关联,但
90、从本质上来说并没有直接的从属关系,二者是平行的方向,即数据安全治理可独立运作。GB/T34960.5-2018信息技术服务治理第 5 部分:数据治理规范数据治理被明确定义为:“数数据安全治理白皮书 5.08中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信
91、联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会据资源及其应用过程中相关管控活动、绩效和风险管理的集合。”这项标准还进一步给出了数据治理的目标、任务和框架等:数据治理是“源于组织的外部监管、内部数据管理及应用的需求”;数据治理的目标是“保障数据及其应用过程中的运营合规、风险可控和价值实现”,“组织应通过评估、指导和监督的方法,按照统筹和
92、规划、构建和运行、监控和评价以及改进和优化的过程,实施数据治理的任务”。在数据治理的三点目标中,运营合规和风险可控是约束条件,价值实现是追求的结果,合规和风控既是使数据能最终实现价值的前提,同时又是必要的保障。为此,数据治理框架包含了数据管理和数据价值两套体系,前者统摄合规与风控,后者则支撑价值实现。在数据治理的框架下,数据安全是数据管理体系的重要组成部分,组织在实施数据治理的过程中,应“制定数据安全的管理目标、方针和策略,建立数据安全体系,实施数据安全管控,持续改进数据安全管理能力”。此处的数据安全概念相对狭义,基本仅限于为数据及其价值实现过程提供安全保障机制的范畴。如果基于上述狭义的数据安
93、全概念,将数据安全治理解读为以保护数据及其价值实现为目的而采取的风险评估和安全管控活动,那么,数据安全治理就可视作数据治理概念下专注于安全方面的子集。但从实际操作上来看,两者之间又有很大的不同:(1)从发起部门来看数据治理主要是由 IT 部门在驱动,而数据安全治理主要是由安全合规部门在驱动。当然两者的成功都要涉及到业务、运维和管理部门甚至公司最高管理决策层。(2)从目标上看数据治理的目标是数据驱动商业发展,管理企业的数据资产,提升企业数据资产价值。数据安全治理的目标是让数据的使用更安全,保障数据的安全使用和共享,实质也是保障数据资产价值和促进数据要素价值释放。(3)从关注点上看数据治理关注于数
94、据本身的组织以及数据使用传输、业务支撑等场景下的质量、规范、流程与制度等,数据安全治理则关注于数据在整个生命周期可用性、完整性与机密性的安全保护。(4)从工作内容产出上看数据治理工作产出的一个核心成果就是数据质量提升,通过对数据进行清洗和规范的过程,获得高质量的数据。数据安全治理的重要产出包括完成对企业数据资产的分类分级,制定合规的安全访问策略并规划适宜的管控措施。(5)从数据资产梳理上看数据治理中的主要产出物是元数据,即赋予数据上下文和含义的参考框架。数据安全治理中的资产梳理,则要明确数据分类分级的标准,弄清敏感数据资产的分布、授权和访问状况。(6)从结果看数据治理是数据质量的提升,通过数据
95、的清洗、规范,获得有价值的数据,而数据安全治理是基于数据分类分级实现数据的动态防护,保障数据有序流动。尽管当前在数据治理中也在不断加强对数据安全方面的要求,但相对数据安全治理而言,数据治理中的安全实践还是常被置于从属角色,如同信息安全在信息化建设中的角色一样,不够系统和数据安全治理白皮书 5.09中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟
96、数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会深入。近年来,随着包括大数据在内的数据在数字化社会中的重要性不断提升,国家已将数据上升到新型生产资料和创新要素的高度,数据对安全形成影响的广度和深度已超越单纯为数据掌握者保护数据自身价值的范畴,例如
97、对个人(数据主体)隐私保护的问题就牵涉到了社会伦理以及关于数据权益的法律认定,而数据出境等问题更是需要在国家安全层面全盘统筹考虑。因此这里的数据安全治理将主要关注以保护数据及其价值实现过程安全为目标的风险管控活动,以达到数据开发利用与安全防护的“一体两翼,双轮驱动”的平衡发展。具体到合规性方面,则将以全面覆盖和满足国家关于数据安全的所有法律、法规、政策、规范和标准的要求为目标。数据安全治理工作既可在数据治理的框架下作为一个环节或子过程来开展,也可直接依照本书提出的数据安全治理框架独立实施。1.2.2.4.数据安全治理与数据安全管理的关系“治理”如前述定义,是一种通过多组织、多部门横向协同和配合
98、与持续优化,以达到通过治理有效平衡数据开发利用与数据安全保障的一体两翼平衡发展。“管理”对应的英文单词则是“management”,是指为达到组织的既定目标而以人为中心对组织拥有的资源进行有效的决策、计划、组织、领导和控制的过程。更强调的控制和执行,通过自上而下的制度和规范的垂直管理落地,达到安全防护目标。通常会以形成制度和条例规范的形式加以表述和落实。在数据安全范畴内,使用“数据安全治理”的概念比使用“数据安全管理”能够更好地适应当前的现实情况:一方面,人类正在全面跨入数据时代,为积极顺应这一势不可挡的历史潮流,国家和各层级的组织机构都迫切需要加强数据保护的意识,尽早启动和落实关于数据安全的
99、准备和建设工作;另一方面,人类也仅是刚刚看到数据时代和数字化社会形态特征的端倪,数据无论是作为资产、生产资料,还是创新要素,都是方兴未艾的新事物,必然要经过一个认知逐渐深入和全面的复杂过程。因此,在这个过程中,鉴于数据安全与业务的紧密联系,数据安全的复杂性,使用治理而非管理的思路来指引数据安全建设,无疑拥有更好的灵活性、丰富性和包容性,因而也更有利于平衡对数据进行安全保护和在数据使用和价值挖掘方面激发创新。1.3.数据安全治理面临挑战与需求数据安全治理覆盖管理、技术、运营、评估等多个方面,是一项需要多方联动的复合型、系统型工作。组织数据安全治理能力建设,围绕数据的产生、加工、使用、流通、销毁等
100、环节,进行总体布局、全面规划,需要构建贯穿各层面的数据安全治理组织架构,全面梳理业务场景并设计体系化的安全制度流程,配合应用自动化工具、平台,实现数据安全治理“一盘棋”。同时,组织可通过搭建专业的人才梯队与培训机制,为数据安全管理工作持续积蓄力量。数据安全治理不仅限于解决当前的数据安全困境,还致力于数据安全长远发展,是一项长期工程。通过不断优化制度流程落地效果、提升技术与产品应用水平、强化人员安全意识与能力、明确未来数据安全治理发展方向等,实现数据安全治理的全生命周期闭环。数据安全治理工作的复杂性导致现阶段存在多方面的挑战无法满足。数据安全治理白皮书 5.010中关村网信联盟数据安全治理专委会
101、中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
102、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会1.3.1.贯彻数据安全战略顶层规划需要布局在顶层规划方面,伴随法律法规的颁布和各种政策文件的发布,国家数据安全的战略日趋明确,一是在数据安全供给侧,数据安全治理相关的隐私计算等核心关键技术要持续提升以逐步满足商用化需求,数据确权、数据公平交易、数字信任体系等技术也需完善,促进产学研深度融合,培育数据安全领军企业和数字化安全人才队伍,是落地国家整体战略规划的重要任务。二是数据安全治理关系业务开展、法规要求、技术建设、持续运营等多个维度,需要进行顶层规划,全面布局。但是,面对各个环节的数据安全风险,组织当前缺乏落实国家数据安
103、全顶层战略的方针,亦尚未形成一套规范的、行之有效的数据安全管理机制,导致在响应相关法律法规要求还存在很大的挑战。一是大部分企业不具备研究制定数据全生命周期安全治理的愿景、目标、领域、指导原则、责任模型和保护能力等水平,无法为数据安全建设提供统一指引。二是数据安全治理是需要综合考虑业务当前与未来发展需要,为保障数据安全所开展的一项系统工程,在为确保内部对数据安全治理的方针达成共识、合理配置数据安全工作任务与资源、如何评估投入产出比等方面,尚缺少有效的支持方法和评价依据。三是数据的动态性要求组织及时根据政策合规与制度规范提升需求,滚动修订数据安全的制度、流程、标准,保障数据安全的规划、实施、运行、
104、监督的全程管控,持续提升数据安全能力,在管理和技术措施尚不完善的现状下,闭环管理落地困难。1.3.2.跨组织、部门全员协同治理需要加强在组织协同方面,组织内部的数据与业务紧密联系,数据安全需随数据活动场景变化随需而变,数据处理活动涉及多个部门,内部组织和协调难度较大。主体多元、利益多元,组织内数据安全与发展、秩序与突破,诸多价值目标在这一问题上交织碰撞,如何满足内部和外部各方利益关系,实现数据开发利用和安全合规的平衡需求的满足度,成为保障数据的共享和开放的需求。从法律层面上讲,当前数据权属相关的法律法规和实施细则尚未颁布,在这样的前提下作为数据使用者如何向外部组织或者个人的数据所有者落实数据管
105、理义务,是组织亟需解决的需求。从实际落地层面上讲,作为数据所有者,通过交换、共享、委托等处理活动对外提供的数据流出了自己可控的安全域,对于此类数据的防范属于自身技术防护的“盲区”。作为数据使用者,在使用数据中,如何落实外部组织或个人的数据所有者提出的数据安全管理义务,并提供合规性检测证明,以及网络安全事件发生后的安全取证、责任鉴定等对数据流转过程中的数据监管需求强烈。由于数据作为特殊资产,其所有权和使用权分离的特性,导致在数据共享交换层面面临着无法满足其安全共享和开发的困境。在数据通过共享、交换等过程离开组织之后,数据的跟踪与溯源问题变得愈加困难。如何统筹各相关部门的治理授权和责任,落实数据从
106、产生、使用到流转全生命周期中各环节责任主体,强化分行业和跨行业协同治理,完善分类、分级的安全管理要求以及追责机制等配套制度成为行业面临的共同挑战。数据安全治理白皮书 5.011中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
107、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会1.3.3.个人信息合理利用与权益保护需要重视在关注热点方面,对个人信息资源的合理利用和保护,是构建数字经济社会,繁荣数据要素市场的必由之路。各级组织在个人信息合理利用和开发过程中需要遵守众多的法律法规和标准,如个人信息保护法欧盟通用数据保护条例(GDPR)等,因此需要尽可能收集与之相关的各类法律法规和监管要求,确保他
108、们在个人信息的合理利用过程中符合所有适用的法规和标准,同时,建立确保其拥有、使用和共享的个人信息得到保护、可追溯和可控制的技术手段、管理制度和运营机制,以符合监管要求,避免面临高额罚款和声誉损失。但个人信息保护与合理利用间也存在较大矛盾和冲突,如何对个人信息的保护和利用做出合理规范还存在合规性、监管、个人隐私保护和个人信息治理等多方面的挑战。由于个人信息的规模和复杂性使得其安全治理变得非常困难,一方面组织的个人信息可能不准确或者存在噪音,这可能导致分析结果出现偏差或错误,进而影响个人权益;另外一方面,组织出于商业目的等,可能将数据交由第三方进行研究或分析,导致数据被滥用或不当使用,出现“大数据
109、杀熟”或“算法歧视问题”,或者为了吸引用户粘性,制造“信息茧房”,束缚用户可接触的信息范围。1.3.4.面向行业特点的场景化治理需求凸显在行业特性方面,数据安全治理的行业属性十分突出,是因为数据要素是在特定行业背景下产生的,反映了该行业相关的信息和现象。举例来说,教育行业的数据要素包括学生的学籍、学校的教务和实验记录等,这些数据要素反映了从学生入学到就业、学校教学和科研等特定需求和工作流程。同样,金融行业的数据要素包括交易记录、股票价格、汇率数据等,这些数据要素反映了金融行业的市场情况和交易活动。在不同行业间由于业务运转模式不同、数据特性和数据价值差异,导致其面临的网络安全威胁和行业监管差异化
110、也非常大。因此,了解数据要素的行业属性对于正确理解和实施数据安全治理具有重要意义。在特定行业中,行业特定的场景也需要特定的技术和工具来处理和分析。由于不同行业之间的信息化发展水平的不同,以及针对数据重要性的定义和认知差异较大,导致在数据安全治理中,无法使用通用的手段进行治理。针对数据运营者,面临着如何定义数据要素的行业属性并选择合适的技术和工具进行数据安全治理的挑战。而数据安全产品和数据安全服务企业方面,则面临着大量差异化行业的场景产生的复杂的数据形态,以及数据多来源、多协议、异构化、多模态、高并发的现象,研究和开发适合行业属性的数据治理工具的难度极大。其次,数据治理由单系统单领域走向跨系统全
111、领域,开展行业级或区域级的数据安全治理工作中,跨层级、跨地域、跨系统、跨部门、跨业务成为显著特征,对数据治理方法和平台研制都带来了新的挑战。本白皮书在编制数据安全治理主册的同时,面向政务、金融、医疗、电信、电力、教育、工业七个行业,同步推出行业数据安全治理实践篇,以为不同行业的用户在开展数据安全治理过程中提供参考和借鉴。数据安全治理白皮书 5.012中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
112、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会1.3.5.数据分类分级自动化、精准化亟待解决在基础支撑方面,实行数据分类分级是保障数据安全的前提,也是实施数据风险评估、数据安全策略制定、数据
113、权限控制等数据安全治理过程中极为重要的一环。在实际进行数据分类分级的过程中,需要结合业务流程进行考虑,不同的部门或单位采用不同的数据分类标准,不同类型的数据可能存在交叉或重叠,并且数据分类分级是一个持续的过程,基于数据伴随业务处理活动的持续新增与变化,分类分级也需随之动态变更。然而目前缺乏分类分级的标准化工具,几乎所有情况下都需要人工对数据进行手动分类分级,导致效率及准确度低下。实现数据分类分级的自动化、精准化需要借助分类分级标准的统一及在此基础上研制自动化的工具来逐步解决。1.3.6.治理水平稽核评价体系需要建立健全在治理评价方面,需要在促进数字经济发展与数据安全保护之间把握好动态平衡,持续
114、探索构建原则性与灵活性相结合的新型监管体系。需要进一步完善数据安全测评标准体系,建立和完善数字技术应用审查机制,开展算法规制、标准制定、安全评估、伦理论证等工作。一方面,避免因监管的越位导致阻碍创新,影响数据资源的开发利用和数据依法有序的自由流动,另一方面,避免监管机构出现“监管迷茫”和“能力缺失”,在现实中演化为弱监管和慢监管甚至不敢和不会监管,造成监管的失位。目前,针对组织的数据安全监管工作大多通过访谈评估、人工检查等形式开展,不可避免的面临着效率低下、难以量化和标准化的问题。针对敏感数据识别、异常行为监测、敏感数据泄露、非法越权访问、数据跨境传输、数据非法外联等核心检查内容,目前采用的漏
115、洞扫描、流量探测、API接口分析等技术,也无法全面支撑自检查评估与第三方检查评估的监管实际工作需要,需要持续研究突破自然语言处理、数据血缘分析、算法合规性检测等技术在合规项解读、自动化检测、全链路流转监测等涉及监管的应用能力,提升数据安全检查、评估的自动化水平,实现以评促建,有效提升组织的数据安全治理水平。1.4.数据安全治理理念日趋成熟在数据安全治理白皮书 4.0中,基于 Gartner 的数据安全治理架构(DSG),提出并诠释了数据安全治理的愿景、目标及核心理念。伴随数据安全治理的深入,围绕“让数据使用有序而安全”的治理愿景与“满足数据安全保护、合规性、敏感数据管理”的治理目标,面对数据安
116、全治理的新形势、新挑战,进一步完善“个人信息保护与合理利用”的需求覆盖,突出“全员协同治理”的重要性,强调面向行业特点的“场景化安全”,健全从评估、建设、运营到监督评价的闭环治理体系。旨在持续推动数据开发利用与安全防护的一体两翼发展,并在我国易于落地的数据安全治理的体系化方法论。数据安全治理白皮书 5.013中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
117、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会(1)满足安全合规(Compliance)、数据发展与安全(Development and Security)、个人信息合理利用与保护(Privacy)三个需求目标;(2)核心内容包括:
118、数据分类分级(Classifying)、敏感个人信息识别(Identify)、风险评估(Risk Assessment)、场景化安全(Scene);(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;(4)核心安全框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy&Process)、数据安全技术支撑(Technology)。愿景:让数据使用有序而安全需求覆盖核心内容数据分类分级敏感个人信息识别风险评估场景化安全安全框架人员组织 策略流程技术支撑组织构建资产梳理策略制定过程控制行为稽核持续改善建设步骤安全合规数据发展与安全个人
119、信息合理利用保护图 1-2 数据安全治理理念1.4.1.数据安全治理愿景网络安全法“第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”,为关基信息系统安全技术措施落地应贯穿信息系统全生命周期提供依据。数据安全法对数据的安全和发展在国家层面给出明确指示,“第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”个人信息保护法:“第一条为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”根据以上三部法律相关条款,将治理愿景更加清晰地表述
120、为以满足数据安全和个人信息保护的合规要求为基础,尽可能发挥数据价值,促进数据安全有序流动,提高全员安全意识,更好地为建设数字中国服务,不断提高数据安全治理水平。数据安全治理白皮书 5.014中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
121、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会1.4.2.数据安全治理目标(1)安全合规国家层面对数据安全和个人信息保护更加重视,国家及行业涉及数据安全相关法律法规标准持续推出与完善,安全合规要求持续增加,监管力度不断加大,监管内容不断细化,面对众多的法律法规标准条文,需要围绕管理和技术要求进行解析,寻找合规途径,落实合规措施。法律法规是指引数据安全
122、建设的重要依据,应对解读的安全标准和规范的合规项进行落实,形成合规库,收录并拆解各类与数据安全相关的规范、标准,为数据安全管理提供参考及评估标准,并根据合规库中的合规项制定各类安全策略规则。(2)数据发展与安全数据作为新型生产要素,其强流动性是产生和释放数据价值的前提,针对数据广泛流动过程中可能产生的数据泄露、篡改、破坏、非法利用等风险,如何采取有效的防护手段,保障开发利用与安全防护的一体两翼、双轮驱动发展,促进数据有序流动是数据安全治理的关键目标。(3)个人信息合理利用与保护随着个人信息价值的凸显,个人信息收集乱象突出,个人信息泄露事件频发,个人信息滥用程度严重,极大地威胁了公民财产以及个人
123、身份信息的安全,甚至危及国家安全。国家高度重视个人隐私保护,密集颁布系列法律、法规、标准保障个人信息安全。对个人信息进行有效治理,促进个人信息合理利用与保护个人隐私并重,成为又一关键目标。1.4.3.能力支撑框架设计数据安全治理绝非是平地起高楼,与网络安全和数据治理既有紧密的关联性,又有面向数据的独特性,整体框架需要多体系间融合展开治理。分类分级敏感个人信息识别角色授权安全评估场景化安全数据安全治理(DSG)元数据管理数据模型数据汇聚和集成参考数据和主数据数据分析数据开放共享数据质量数据安全数据治理(DCMM)技术层面安全物理环境、安全区域边界、安全网络通信、安全计算环境、安全管理中心管理层面
124、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理网络安全(等保标准)组织/制度/流程/运营数据安全全生命周期数据资产梳理组织/制度/流程/运营/运维数据CIA数据载体安全强调开发利用围绕数据全生命周期强调数据治理和安全防护并举强调数据载体安全和静态数据安全图 1-3 能力支撑推动数据安全治理框架设计数据安全治理白皮书 5.015中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
125、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理是以数据为中心,其核心思想是面向业务数据流转的动态、按需防护。在防护技术上,仍需依托网络安全中面向网络、设备、应用等数据载体的静态防护
126、能力,扩展面向数据流动的分类分级动态防护能力。在安全管理上,在网络安全管理体系的基础上,补充、完善面向数据安全管理制度、策略和运营规范,形成围绕数据本身和数据载体的整体数据安全防护能力。在与数据治理的关系方面,数据分类分级是基础,通过对数据资产的识别与梳理,与数据治理中的元数据管理进行集成打通,直接获取统一的数据标准,作为数据分类分级的资产标识,提高数据梳理准确性,避免重复工作,形成面向数据应用的数据治理体系与面向数据安全的场景化安全治理体系的融合与统一。数据安全治理能力划分为“人员组织、策略流程、技术支撑”三个核心能力领域。人员组织:建立数据安全治理团队,并明确团队中各成员的管理职责,团队组
127、成依组织的具体情况,可以是实际存在的也可以是各部门成员组成的虚拟团队,是数据安全治理工作开展的基础资源保障。策略流程:设定相关的管理制度、标准规范、管理策略及流程,并围绕策略流程,构建运营管控机制,以运营思路开展数据安全治理工作,充分考虑与网络安全管理的融合,实现“可持续化的数据安全治理能力”。技术支撑:落实策略流程贯彻所涉及的数据全生命周期的数据安全防护技术建设,并融合数据治理和网络安全相关技术,形成完整的技术支撑体系。组织内部通过专业的数据安全治理团队、明确的数据安全治理策略和流程、全面的数据安全运营机制、覆盖数据全生命周期的技术手段为支撑,围绕数据使用的业务场景活动,分析安全需求,同时加
128、强数据安全宣传、培训、教育,提升数据资产的体系化保障能力。组织一方面应遵守法律法规、国家和行业标准、借鉴行业数据安全最佳实践,另一方面要积极配合国家、行业主管单位和集团的数据安全检查,健全数据安全监督评价体系,这是多元治理的重要一环。数据安全治理白皮书 5.016中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数
129、据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第二章 数据安全治理整体框架依据数据安全治理理念,围绕以数据为中心的治理体系不断演进、深化,组织在整体安全战略指导下,形成以数据分类分级为治理基石,数据安全管理体系、技术体系与运营体系为治理核心,监督评价体系为效能促进,形成更为完善
130、、合理、全面的治理框架。2.1.整体框架设计思路数据分类分级与敏感个人信息识别可明确数据保护对象,是开展差异化、动态化数据安全治理的前提。数据安全管理制度体系是开展多元化安全治理工作的先导。数据安全技术体系是在数据处理活动中落实安全技术需求与工具支撑。数据安全运营体系将管理和技术体系进行有效衔接,实现持续化防护。通过管理、技术、运营体系三位一体、有机融合,数据安全治理形成以动态数据安全管控策略为中心,以管理体系为驱动,以运营体系为纽带、以技术体系为落地支撑的治理核心。数据安全监督评价体系则是指对数据安全治理情况进行总体的监督、稽核与评价,从而有效促进规模较大组织的治理水平提升。数据安全运营体系
131、数据安全管理制度体系数据安全技术体系数据安全动态管控策略要求指导贯彻支撑发布制定落地数据安全战略数据安全监督评价体系数据分类分级与敏感个人信息识别支撑报送监管图 2-1 数据安全治理体系之间的联系依据上述治理体系的构建思路,从数据安全战略出发,以数据分类分级与敏感个人信息识别为支撑,构筑数据安全管理体系、数据安全技术体系、数据安全运营体系与数据安全监督评价体系的整体数据安全治理体系框架。数据安全治理白皮书 5.017中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安
132、全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据全生命周期安全通用安全访问控制公钥基础设施数据安全审计组织管理制度体系身
133、份认证人员管理安全意识技能培训文化建设方针政策数据安全管理办法管理制度分类分级管理生命周期管理数据安全评估合作方管理应急响应与处置流程规范执行文档数据处理场景实施细则日志、表单、报告组织战略IT战略安全风险(篡改、泄漏、破坏、非法获取和利用)合规遵从(法律/法规/监管办法/标准)数据安全战略目标和任务规范和策略管理发现/管理数据资产敏感数据管理应用信息备案数据安全合规防护数据流转监测安全风险分析事件响应处置运营稽核与优化IPDR大数据云计算移动互联网物联网数据跨境数据交易大数据处理合作共享治理愿景:让数据使用有序而安全。治理对象:组织数据和个人信息。治理目标:安全合规,数据发展与安全,个人信息
134、利用与保护。定岗定责决策层CIODPO管理层执行层监督层知识技能安全管理动态提升数据接口安全数据安全监督评价体系家和行业主管单位数据处理场景多元异构环境数据安全治理框架数据资产梳理数据分类数据分级审核上报目录动态更新管理审核不通过数据发生变化车联网身联网其他新技术新应用环境数据安全战略数据采集安全数据安全战略数据安全技术体系组织架构及管理制度数据安全运营体系数据安全治理依据国家法律法规行业监管标准行业最佳实践认证评估监测预警事件调查处置监督检查纠正问责平台安全数据安全运营数据安全协同数据安全监测数据安全风险评估数据传输安全数据存储安全数据使用安全数据加工安全数据提供和公开安全数据删除和销毁安全
135、数据分类分级常态化持续运营数据安全风险评估图 2-2 数据安全治理的总体框架在数据安全战略方面,需要从组织战略、IT战略、安全风险(篡改、泄露、破坏、非法获取和利用)、合规遵从(法律/法规/监管办法/标准),四个方面综合平衡考量,形成组织的数据安全战略目标和任务,指导整体数据安全治理建设。数据分类分级是数据安全治理体系的基石,面向组织数据和个人信息,首先需开展数据资产的发现与梳理,然后基于识别备案的数据资产,落实从业务角度出发的数据分类标识以及从安全角度出发的数据定级标识,形成数据分类分级目录,最后对数据目录进行审核、发布,基于数据伴随业务处理活动的持续新增与变化,分类分级也需随之动态变更。面
136、向数据安全多元化治理特点,落实人员组织架构和管理制度体系,建立覆盖决策、管理、执行与监督等多层级的组织架构,各级部门协同配合工作,定岗定责落实治理行动;在人员管理维度,需注重能力的培养与提升,并加强安全意识教育;在管理制度维度,需围绕数据处理活动,构建从方针政策、管理制度、流程规范到执行文档的层级全面的制度集合,并伴随治理过程持续进行优化与调整。在技术体系方面,基于分类分级成果,构建通用安全、数据全生命周期安全、平台安全的技术防护体系,明确各层级的安全技术保护要求。在运营体系方面,展开定期或由特定数据处理场景触发的数据安全风险评估,基于经典IPDR理论,分别从识别、防护、监测与响应处置及优化四
137、个维度出发,形成常态化、集中化、规范化的数据安全运营。实现事前预防、事中管控、事后审计溯源的持续、全面数据安全防护。在监督评价体系方面,行业主管单位通过评估认证、监测预警、事件调查处置、监督检查、纠正问责等活动实现数据安全治理。鉴于数据与业务的紧密联系,数据安全技术不能是孤立的和外挂的,应是嵌入的和内生的,在整个信息系统的规划组织、设计开发、实施交付、运行维护与系统废弃的全过程中,都需同步规划、数据安全治理白皮书 5.018中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联
138、盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会同步建设、同步使用,围绕数据跨境、数据流通交易、大数据处理、合作共享
139、等众多典型数据处理场景,面向大数据、云计算、移动互联网、终端、物联网、车联网、身联网等复杂多元异构环境,方能真正实现数据使用的“贴身保镖”。2.2.规划数据安全战略数据安全战略是推动数据安全整体工作的置顶要求,组织在实施数据安全治理工作之前,首先需要制定积极、有效的数据安全战略,并按战略要求指导数据安全防护体系建设,这对保障数据安全防护效果至关重要。战略目标与总体任务设定应考虑提高安全价值的四个基本观点:经济、系统、长远、动态,符合经济学规律,如:安全成本(安全投资、安全投入)、安全收益(安全价值)和安全效益,用有限的安全投入实现最大的安全,在达到特定安全水平的前提下尽量节约安全成本。组织的业
140、务战略、IT 战略、风险容忍度和合规遵从是制定数据安全战略的关键要素,其中:(1)业务战略:需要保持与业务发展战略、数字化转型战略的制定和实施统一。(2)IT 战略:需要保持与整体的信息化战略同步。(3)安全风险:对数据被篡改、泄露、破坏、非法获取和利用的安全风险容忍度。(4)合规遵从:面临的法律、法规、监管办法、标准的合规要求。在制定数据安全战略时,需要基于上述四个要素,充分考虑业务发展需求与风险、威胁、合规性的平衡,明确数据安全治理的总体目标、关键性原则、适用的对象和场景范围,阐明实现目标的主要战略以及所要遵守的相关合规性法律、法规及标准要求,形成基于目标的治理规划与任务。其中,安全合规作
141、为重要的数据安全治理驱动力,是指导数据安全治理建设的重要指引,也是业务开展的约束项,对相关法律、法规及标准的相关合规要求的详细解读参见“第三章 我国相关法律法规及标准解读”。2.3.开展数据分类分级数据分类分级保护是我国数据安全管理基础制度之一。数据处理者应对数据进行分类分级,根据数据的密级和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。分类是依照数据的来源、内容和用途对数据进行分类;分级是按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护
142、措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。分类分级更多是依据标准,对业务数据进行定义的过程,是一个研究审批的过程。数据处理者不应该只是形成一份数据资产清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会不断变化,应建立符合分类分级和审核上报目录的闭环流程,并按照数据的敏感数据安全治理白皮书 5.019中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安
143、全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会程度和密级制定防护策略。图 2-3 分类分级流程个人信息处理的前提是敏感个人信息识别,识别是依据制定的分类分级标准,在业务处理流程中,更多依
144、靠自动化的装备与系统进行标记或标签化的动作。综合个人信息的处理目的、处理方式以及可能对个人权益造成的影响等方面,判断构成敏感个人信息的处理行为,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。2.4.组织架构及管理制度体系2.4.1.组织架构数据安全治理需要从组织的战略层面出发,协调管理层、执行层等各相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋,这也与数据安全法中强调建立各方共同参与的工作机制相一致。以安全合规为基础,数据开发利用与安全保护为目的,涉及国家、行业、组织及个人共同参与的多
145、元化主体共同参与工作的数据安全治理需求愈发明确。数据安全组织,就是数据安全治理策略从制定到落地,并持续优化改进的组织保障。数据安全组织架构建设和管理是数据安全治理工作开展的基础。以数据为中心,面向业务场景,纵、横向拉通各部门间的合作,合理定岗定责定员,明确职责分工,为数据安全治理的健康可持续发展提供支撑。面向数据安全,组织内部通常设立数据安全治理委员会或数据安全治理小组来负责对数据安全治理工作的管理、执行和监督。团队职责在于对数据进行分类、分级、保护、使用和管理原则的制定。团队成员应包括内部的数据安全专家,以及所有与数据安全有关部门(如IT支持、人资、法律、财务、业务和市场、运营和维护、知识产
146、权、风险管理、审计、保密等)的人员代表;在一些大型的组织中,因为数据安全正日益变成影响发展的重要因素,数据安全治理委员会或数据安全治理小组成员甚至会包括主管副总裁、董事会成员等高级管理人员。数据安全治理团队的成员同时也是数据安全制度的受众。他们是数据安全策略、规范和流程的执行者和被管理者,同时也是数据的使用者、管理者、维护者、分发者。只有将这些角色的人员代表纳入到团队中,才能使得在数据安全治理中制定的安全原则、安全措施和安全规范能够在具体执行中得到有效贯彻落实。数据安全治理组织自上而下包含决策层、管理层、执行层,另外还存在一个贯穿整个数据安全治理过程的监督层对整个过程进行监督、审计。人员不应出
147、现交叉,即一个人不可同时担任两个层级中的角色,避免出现因受利益和工作方便影响从而降低或绕过标准的情形。团队内部每个人应分配满足工作要求的最小权限,不可因管理因素而获得超出角色范围的权限。团队内部的关键岗位应设立“双人双岗,权限分离,互相监督”机制,即在工作过程中相同岗位应最少设立两名人员参与,数据安全治理白皮书 5.020中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安
148、全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会权限分离,互相监督,同时对结果负责。各层的岗位如下:?图 2-4 数据安全治理团队的职能架构2.4.1.1.决策层决策层作为数据安全治理组织的顶层决策层,也是数据安全管理工
149、作的决策机构,一般成员会包括组织内主管数据价值实现的最高负责人(如首席运营官、首席战略官等),或者信息安全方面的最高负责人(如首席信息官、首席信息安全官等),甚至可以考虑由负责推动数字化转型的高级副总裁、负责战略新兴业务拓展的高级副总裁来出任决策层的组长。比如:数据安全管理委员会领导小组建议由分管数据安全的高级管理层及相关部门负责人担任,并作为直接责任人,牵头数据安全规划,参与到业务发展决策,主要职责包括:(1)制定组织的数据安全战略目标和任务;(2)负责统筹、规划数据安全分级工作,并对其它数据安全建设提供必要的资源支撑;(3)指导管理层数据安全工作的开展;(4)负责对重大数据安全事项进行协调
150、以及统筹决策;(5)对数据安全策略和规划,制度与规范等进行发布;(6)对组织开展和实施数据安全治理的体系目标、范围等进行决策。2.4.1.2.管理层管理层在组织数据安全治理中具有举足轻重的地位,基于决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡,保障数据安全全面落地工作,是开展数据安全工作最核心的部门或岗位,同时牵头承担单位整体数据安全管理工作,落实数据安全保护责任,对数据安全提出具体管理要求,一般由数据安全部门、数据资产管理或者数据治理部门牵头,协调各相关部门开展数据保护工作,监督数据安全管理制度和措施落地执行情况等,主要负责数据分级相关工作的组织、管理、
151、审查、统筹协调等工作,具体如下:(1)牵头对组织现有的数据资产进行梳理,调研分析数据使用部门与数据安全有关的业务需求、安全风险等;(2)组织制定数据安全管理策略、规划、制度和规范,并推动在组织内的推广和落地实施;(3)负责数据安全治理体系的建设、运营维护等工作;(4)组织开展数据安全风险监测、预警与应急处置;(5)组织开展数据安全教育宣贯培训,提升员工数据全保护意识与技能;数据安全治理白皮书 5.021中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
152、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会(6)对执行层进行管理,并提出数据安全要求;(7)组织开展数据安全评估和审查;(8)统筹建
153、立数据安全应急管理机制;(9)保持外部沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)、测评机构(认证及认可机构、安全测评机构);(10)维护数据安全制度持续运转的保障工作,并及时做出更新、调整和优化,以更好适应和支撑业务发展。2.4.1.3.执行层执行层与管理层是紧密配合的关系,面向组织的数据安全场景、数据安全分级工作等,执行层需要协助管理层详细了解并深入理解组织在业务开展过程中的各种数据安全需求,需要认真贯彻执行管理层提出的明确的数据安全要求,对设定的流程进行逐个实现,就数据安全执行情况和重大事项进行汇报,对管理层提出的数据安全操作规程等制度和方案的可行性和易用性,进行细致
154、的分析和评估,并将结果反馈给决策层,以支撑后者做出明智、正确的决策。数据安全制度正式发布实施后,执行层要在其日常例行工作中严格遵守数据安全操作规程,并积极发现和报告制度规范中的漏洞和潜在风险,促进管理层及时响应,尽快对数据安全的制度和措施做出更新、调整和优化。执行层一般由业务部门、数据安全技术保护部门组成,考虑到数据应用场景不同,范围有可能扩充,比如:某金融单位执行层由科技、业务、法律合规、风险管理等部门具体数据安全岗位相关工作人员构成。他们是数据的使用者、管理者、维护者、分发者,同时也是数据安全策略、规范和流程的重要执行者和管理对象,负责落实数据安全标准,主导或协同实施数据安全防护和事件处置
155、,落实数据安全运营工作,如:制定、发布和更新数据安全管理制度、规程与细则;组织开展数据分级工作,识别并维护数据资产清单;组织开展数据安全风险评估;制定个人信息保护政策和相关规程;监督内外部(合作方)数据安全管理情况等。2.4.1.4.监督层数据安全治理工作的顺利开展,离不开各部门工作的协同配合,更离不开完善的监督审核机制,监督层人员必须具备独立性,不能与其它管理小组、执行小组等人员共同兼任,确保其审计核查工作不会受到来自其他三层,特别是管理层和执行层的相关利益或动机的影响和干扰,从而保证组织能够及时发觉其数据安全制度在落地执行层面的问题和风险。监督层负责定期将管理层、执行层数据安全工作情况进行
156、监督,并向决策层进行汇报,对数据安全治理工作进行监督落实。监督层一般由风险管理、内控合规和审计部门组成。主要职责包括:(1)定期对数据安全方面的制度、策略、规范等的贯彻落实和执行遵守情况进行考查与审核,并将结果汇报给决策层;(2)对数据安全工具执行有效性监督;(3)对数据安全风险开展监控与审计。数据安全治理白皮书 5.022中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
157、安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会2.4.2.人员管理人员管理是组织管理的核心内容,管理的精要是将合适的人员配备到合适的职位上,并让其从事合适的工作,从而实现“人适其位,位得其人”,这也是数据安全管理体系
158、的重要一环,主要体现在两方面:一方面是人员流动管理,另一方面是人员安全意识和综合素质培养管理。组织机构的数据安全策略、制度流程等的落实和推进离不开工作人员的参与和执行。由于组织机构内不同部门、不同层级及不同来源的员工,其工作难免需要在不同场景下直接或间接地接触数据资产,因此数据安全风险始终离不开工作人员本身,组织和人员管理部门需要联合人力资源部门在员工的招聘/引进、入职、转岗/调岗、离职等各个环节设置相应的风险控制措施,以降低个人本身问题所导致的数据安全风险。同时,在数据安全快速发展的时代大背景下,对人员的数据安全素质和安全意识提出了更高的要求,越来越多的组织赋予数据安全文化新的传承和使命。2
159、.4.2.1.登记审查随着数字化的不断发展,数据成为国家基础战略资源,面临窃取、泄露、篡改等多种风险,引发数据安全事件的因素有很多,有来自内部的缺陷,有来自外部的攻击,不管有意还是无意带来的数据安全事件,人都是关键因素。因此组织开展数据安全应加强人员登记、审查,统筹制定人员管理制度,明确数据使用、访问等管理措施,同时对数据安全管理机构负责人、关键岗位人员、接触个人信息或重要数据等人员进行资格审查,包括不限于身份、背景、专业资格和资质等,同时签署保密协议,日常落实审批和登记流程,明确数据访问范围、操作权限、人员调岗、离职保密要求、保密期限、违约责任等,定期审查其行为,有效约束其数据操作行为。另外
160、,对数据安全人员履职情况留存相关工作记录,如数据安全管理人员数据安全管理监督检查记录,数据安全责任人数据安全事件信息报送记录等,以便待查和追溯。2.4.2.2.文化建设数字经济时代,数据已经成为重要的基础性战略资源,更是企业的核心资产,不能把数据安全只当作专业人士或者专业工具的事,要建立数据安全教育培训制度,明确培训周期、培训对象、培训内容、考核评价等。定期组织数据安全培训工作,并留存相关记录(如培训计划、培训通知、培训课件、签到表、培训考核情况等相关记录文件)。例如,针对组织全员,培训内容包括但不限于数据安全意识、法律法规等;针对数据安全岗位人员,培训内容包括但不限于标准规范、技能培训、安全
161、评估、应急响应、应急演练等。通过开展培训,宣传强化员工的数据安全意识,形成全员共同维护数据安全和促进发展的良好环境,把数据安全文化纳入上海品茶体系,成为企业立身之本,发展之计。2.4.2.3.定岗定员数据安全治理团队的职能架构确定后,如何制定出高质可行的操作规程和管理制度并实现这些制度规范的高效运作和部门职责的有效达成,就成为组织要面对和解决的首要问题。定岗定员、专数据安全治理白皮书 5.023中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信
162、联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会业化分工是解决问题、实现目标的基本方法。定岗是指对数据安全职能架构中各个层次内的职责进行更细致的分
163、工,将一系列相互间关联紧密的工作任务集合设定为一个岗位。定员则是指明确固定某一个或一组人承担某个岗位的任务和职责。定岗的本质是分工,定员的核心是明确职责,二者被共同用于在分工基础上为组织实现降低成本、提高效率的终极目标。在数据安全治理实践中,定岗定员应特别注意遵循以下原则:(1)不应出现人员跨层交叉从上节对数据安全治理团队职能架构的介绍不难发现,决策层、管理层、执行层、监督层之间一方面存在着密切的配合与合作,另一方面也同时存在着相互制约与平衡。这些不同层间的相互制约与平衡是必不可少的,只有如此,才能有效降低人的主观因素中潜藏的负面影响。一旦有人在不同层内同时扮演多个角色,难免会出现因考虑个人相
164、关利益而降低标准、通融迁就的情况。例如,如果一个人既在管理层内负责起草数据安全的技术实施方案,又在决策层内负责对方案的可行性进行审批,则难免会出现方案敷衍或滥用数据安全建设预算的问题;而如果有人同时出现在监督层和其他层,则监督层对后者的审计核查作用必然会大打折扣,甚至形同虚设。(2)仅授予相关角色或人员完成岗位职责所需的最小权限对于重要岗位或操作规程,应权限分离或安排多人互相监督,并对重要岗位人员开展背景调查,对重要数据的修改应安排不同人员分别进行操作、审批和复核,以防范内部人员对数据的违规篡改,例如,加密数据库的密码不应告知操作系统管理员,以防范后者用拖库的方法窃取数据等。(3)信任要基于岗
165、位职能和人员角色,而非人员身份要培训员工树立和加强安全意识:在数据安全治理的职能框架下,默认不信任外部的任何人或设备,除非按照定岗定员的分工结果被授予了相应权限,否则即使是上级领导,也不能违反数据安全制度规定的操作规程,越权访问或使用敏感数据。2.4.2.4.提升考核新的法律法规、行业标准的实施,和对已实施法律法规及行业标准的重新认识,都会触发安全人员进行重新解读,转化为新的安全管控策略;业务系统的变更需对涉及的数据资产进行重新分类分级,更新安全策略;安全事件的发生也会促进安全运营人员优化数据安全措施,不断提升。(1)能力提升基本知识掌握法律法规和标准、信息安全基础、数据安全策略、数据安全技术
166、、数据安全检测评估认证等基本知识。基本技能针对数据采集、传输、存储、处理、交换和销毁等生命周期各环节,能够采取措施保障数据安全。针对个人信息收集、存储、使用、共享、转让、公开披露、删除等环节开展个人信息安全保护和合规管理。岗位职责根据数据安全管理、数据安全工程规划设计和实施建设、数据安全技术开发与运维、数据安全数据安全治理白皮书 5.024中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
167、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会监测与应急处置、数据安全评估等不同的岗位,提出具体要求。(可参考数据安全工程技术人员国家职业标准)(2)人员考核落实管理体系规范和流程,发挥技术体系监测和
168、防护能力,需要常态化、完善的运营能力做支撑。日常运营日常数据安全运营服务参照运营体系中的内容从数据安全摸底、数据安全策略的制定与升级、数据安全风险管理,以及数据安全策略优化等方面对数据安全开展全方位的工作。运营监管通过可视化的运营监管能力,建设运营监测中心,帮助管理者全面掌握数据安全运营状况。服务保障通过日常运营服务、专家服务、护网保障、重保服务、培训服务,实现数据安全常态化能力。2.4.3.管理制度数据安全治理不仅要建立自上而下的覆盖四个层面的数据安全管理体系,制度更需要体系化建设,即面向内部组织人员和第三方组织,构建四级的管理制度体系,从而在管理层面形成完善的数据安全制度体系架构和各级制度
169、文档,进而帮助组织快速落地数据安全治理体系建设。图 2-5 管理制度建设思路从上图可知,数据安全管理制度体系从上至下总共分为四级,每一级都作为上一层的支撑。一级文件是由决策层根据组织的发展目标、公司战略、业务需求,制定的数据安全管理方针、政策,应明确数据安全治理的目标重点,比如“以分类分级为基准,以权限控制为措施,管理与技术并重”的数据安全治理方针。二级文件是由管理层为了落实方针、战略制定的管理规范、标准,应建立数据安全管理制度、组织人员与岗位职责、应急响应、监测预警、合规评估、检查评价、教育培训等制度。三级文件一般由各执行环节的具体操作流程、手册组成,比如数据分类分级操作指南、数据安全治理能
170、力评估、技术防护操作规范、数据安全审计规范等指导性文件。四级文件是各项具体制度执行时产生的过程性文档,一般包括申请表单、安全记录、安全报告、合同协议等内容。面向组织顶层数据安全管理方针,考虑风险防范需求,满足合规需求为目标,以数据为中心,从资产管理入手,围绕数据生命周期保护要求,形成以下四级制度体系架构:数据安全治理白皮书 5.025中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
171、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全管理办法数据资产管理规范数据全生命周期管理规范应急响应与处置规范人员安全管理规范数据安全评估规范第三方机构管理规范数据安全审计规范数据分类分级规程1.数
172、据资产清单2.数据分类分级清单通用类规程1.权限管理2.日志数据管理3.数据操作审计4.存储介质管理5.密码使用和密钥管理6.数据脱敏场景类规程1.大数据处理2.数据跨境3.外部引入4.合作共享5.数据交易数据安全事件应急预案培训及考核方案问责处置方案各类申请单、协议、记录、表单、规则1.调查记录和事件清单2.数据安全事件报告1.保密协议2.安全岗位责任协议3.培训与考核记录1.检查评估计划2.安全评估报告3.安全评估审查记录1.第三方安全合同协议2.第三方数据安全能力评估表申请单类数据采集、传输、分级分域存储、使用、加工、共享、转移、公开、跨境、删除销毁、访问权限变更等申请单协议类数据采集、
173、委托处理、数据共享、联合处理、转移等协议记录类数据共享操作、存储介质管理、删除和销毁、日志审计等记录表单类数据备份恢复、账号/权限申请及审批、数据安全相关岗位角色权限矩阵规则类数据脱敏、敏感数据标识数据安全审计报告一级制度二级规范三级规程四级表单日志报告图 2-6 数据安全管理制度体系内容如图 2-6 所示,一级数据安全管理办法:应按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护战略,明确管理责任分工,建立涵盖数据安全生命周期的管控机制,落实保护措施。二级文档包括:数据资产管理规范:应建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。数据安
174、全评估规范:在开展数据委托处理、联合处理、转移、公开、集团内共享等对数据主体有较大影响,或处理敏感级及以上数据的业务活动时,事先开展数据安全评估,编制数据安全评估报告。根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,分析数据安全风险和对数据主体权益影响,评估数据处理必要性、合规性,评估数据安全风险及防控措施有效性。建立数据安全评估、个人信息安全影响评估以及内外部数据安全检查与评估制度。数据安全生命周期管理规范包括:(1)数据采集要求:采集数据应坚持“合法、正当、必要”原则,明确数据采集和处理的目的、方式、范围、规则,保障采集过程的数据安全性、数据来源可追溯。(2)外部数据采购要求
175、:制定外部数据采购、合作引入的集中审批管理制度,统筹建立数据需求、安全评估、采集引入、数据运维、登记备案和监督评价管理机制,对数据来源的真实性、合法性进行安全审查,评估数据提供者的安全保障能力及其数据安全风险,明确双方数据安全责任及义务。(3)数据跨境存储要求:中华人民共和国境内产生的数据原则上应在境内存储,国家或行业监督部门另有规定的除外。(4)数据使用要求:开展数据清洗转换、汇聚融合、分析挖掘等数据加工活动时,当采用匿名数据安全治理白皮书 5.026中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟
176、数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会化等措施保护数据主体权益。数据汇聚融合
177、衍生敏感级及以上数据,或导致数据安全级别变化的,及时评估、调整安全保护措施。数据使用不应超出数据采集时所声明的目的和范围。(5)数据加工要求:目前数据使用业务场景的目的、范围、审批流程(含权限授予、变更、撤销等)、人员岗位职责等,在保障安全,数据合法正当使用的情况下开展数据利用。根据不同数据使用场景,明确安全管理要求,采用安全处理措施(如去标识化、匿名化、脱敏、数据访问控制等),并采取技术措施保证汇聚大量数据时不暴露敏感信息,降低数据敏感度及暴露风险。(6)数据共享要求:明确对内、对外数据共享策略,评估数据共享使用的必要性、合规性、安全性、是否符合伦理道德规范要求,建立数据安全隔离的防火墙,并
178、对共享数据进行有效保护。(7)数据委托处理、外部共享要求:机构在委托数据处理、对外共享数据时,明确所涉数据外部使用和处理的条件、场景、方式。委托处理数据时,以合同协议方式约定委托的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务,以及受托方返还或删除数据的方式等,对数据处理活动进行记录和审计,可对外公开披露的数据除外。(8)数据联合处理要求:与第三方机构进行数据联合处理时,应以合同协议等方式予以明确,制定方案并采取有效保护措施,确保数据“可用不可见”,并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。(9)数据转移要求:因兼并、重组、破产等需要转移数据,明确数据转
179、移内容,通过协议、承诺等方式约定数据接收方面承接对应数据的安全保护义务,通过公告等告知数据主体。数据转移采用安全可靠方式进行,并确保过程可追溯。涉及敏感级及以上数据转移,向主管监管单位进行报告。(10)数据公开要求:建立公开披露数据的审批机制,研判可能产生的影响,数据公开应在机构官方渠道进行发布,确保数据真实、准确、防篡改,记录审批和发布情况。敏感级及以上数据不得公开,国家法律法规另有规定或取得数据主体授权同意的除外。(11)数据跨境要求:遵循“合法、正当、必要”原则建立数据出境评估与管控机制,评估出境数据内容、范围、安全级别、数据接收方的数据安全责任和保护能力等,编制出境报告。数据出境应采取
180、妥善安全保护措施,避免数据泄露、篡改、破坏。核心数据不得出境。向境外提供在中华人民共和国境内运营中收集和产生的重要数据,应当按照国家相关政策要求通过数据出境安全评估。敏感级数据出境需获得数据主体授权同意。(12)数据删除与销毁要求:按照国家、行业有关规定与数据主体的约定进行数据删除或匿名化处理,制定数据销毁管理制度。应急响应与处置规范:制定应急响应与事件处置规范,建立完善的应急响应与事件处置和问责机制,做好应急预案。建立数据安全事件应急管理机制,建立机构内部协调联动机制,及时处置风险隐患及安全事件。建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定及时报告,同时
181、按照合同、协议等有关约定履行客户及合作告知义务。发生数据安全事件或使用的网络产品和服务存在安全缺陷、漏洞时,应立即开展调查评估,及时采取补救措施,防止危害扩大。人员安全管理规范:加强在人员录用及日常管理、人员培训和教育、关键岗位设置等方面的管理。数据安全治理白皮书 5.027中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关
182、村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第三方机构管理规范:对参与本机构数据全生命周期过程中的第三方机构进行管理,确保不因与第三方机构合作或第三方应用接入而危害数据安全。建立第三方机构管理制度,对接入和涉及的第三方产品和服务进行专门的数据安全管理。数据安全审计
183、规范:制定数据安全审计规范,开展数据安全内部审计和分析,发现并反馈问题和风险,并对机构后续相关整改工作进行监督。开展外部审计相关的组织和协调工作。明确定期开展审计、监督检查与评价问责,督促问题整改。审计部门应每年至少开展一次数据安全审计,发生重大数据安全事件后应及时开展专项审计。三级文档包括:权限管理规程:建设分层分级的数据权限管控体系。日志数据管理规程:明确日志的存储、分析、检查等要求。数据分类分级规程:应制定本机构数据分级规程,识别并维护本机构数据资产清单,并标注相应的数据级别。密码使用和密钥管理技术规程:建立合理、统一的密码使用和密钥管理技术规范和制度。数据操作审计规程:明确一定级别以上
184、数据的操作应当进行记录和审计。数据脱敏技术规程:明确不同安全级别数据脱敏规则、脱敏方法和脱敏数据的使用限制,配置脱敏数据识别和脱敏效果验证服务组件或技术手段,确保数据脱敏的有效性和合规性。数据存储介质管理规程:明确管理责任分工,建立存储数据安全管控机制,落实保护措施。数据安全事件应急预案:制定数据安全事件应急预案,定期开展应急响应培训和应急演练。发生数据安全事件后,应立即启动应急处置、分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。数据安全培训及考核方案:组织开展数据安全宣贯培训,提升员工数据安全保护意识与技能。制定数据安全相关岗位人员的安全专项培训计划,并
185、对培训结果进行评价、记录和归档,开展专业化培训和考核。数据安全问责处置方案:建立数据安全责任制,明确各层级负责人的责任,明确违规和责任追究事项,落实问责处置机制。四级文档包括:各类申请表单:全生命周期数据使用申请单,比如:数据采集申请单、数据加工申请单等。各类合同协议模板:全生命周期数据安全协议:数据采集协议、数据共享协议、数据联合处理协议等。各类安全报告:在开展应急响应、安全审计过程中产生的安全报告,比如:数据安全审计报告、数据安全评估报告等。各类安全记录:数据共享操作记录、存储介质管理记录、数据安全培训与考核记录、日志审计记录等。清单要求:数据分类分级清单、数据资产清单、调查记录和事件清单
186、、数据安全相关岗位角色权限清单等。数据安全治理白皮书 5.028中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
187、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会2.5.数据安全技术体系数据安全整体的技术体系面向数据的全生命周期进行构建,以覆盖全生命周期的数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据提供安全、数据公开安全、数据删除和销毁安全技术为核心,以支撑生命周期各环节的通用安全技术为基石,以平台化的协同计算、安全监测与安全运营为总控,形成完备的识别、监测与防护的技术体系,支撑管理体系与运营体系的落地。具体的技术体系涉及的需求及安全工具介绍参见“第四章 数据安全技术需求
188、与主流技术工具介绍”。2.6.数据安全运营体系2.6.1.规划思路在数据安全治理体系的基础上,参照经典的 PDCA 模型,强化数据安全运营体系在数据安全治理中的轴心作用,有效上承管理制度体系,下接技术体系,落实数据流动性带来的持续、动态、闭环管理。P资产梳理敏感个人信息识别分级分类风险评估A持续优化D全生命周期安全防护C风险监测与防护效果评估以数据为中心使用图 2-7 参照 PDCA 模型的运营体系规划思路首先制定数据安全规划(P),通过对组织应遵循的法律法规和行业标准进行解读,结合业务情况,输出并持续更新数据资产分类分级知识库和数据安全合规库,并进行数据资产梳理及分类分级,摸清数据资产家底,
189、评估风险暴露面缺陷,再依照合规性要求,针对风险点设定动态分级防护策略;然后落实全生命周期安全防护(D),依据规划制定的安全策略,面向不同级别的敏感数据对象,构建覆盖数据全生命周期节点的按需、动态防御技术能力体系;其次,开展风险监测与防护效果评估(C),实时监测数据安全运行风险,对安全事件进行响应处置,并对安全防护效果进行合规性综合评价;最后,根据风险监测和防护效果评估结果,结合业务变革,进行持续改善、优化(A),迭代驱动下数据安全治理白皮书 5.029中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数
190、据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会一个安全规划(P)。2.6.2.体系架构
191、管理制度和技术体系需要落地,离不开数据安全运营体系。数据安全运营体系主要包括两部分,一是定期或特定数据处理场景(数据跨境、数据交易等)触发的数据安全风险评估;二是常态化持续运营工作,依据 I(识别)、P(防护)、D(监测)、R(响应)模型形成的一系列治理活动。数据安全运营要考虑“数据资产、安全策略、安全事件、安全风险”等关键因素,明确哪里做的好、好到什么程度,又有哪些做的不足、哪里需要改进和优化等等,不断地丰富和提升完整性和成熟度。整体安全运营体系包括如下内容:规范和策略管理发现/管理数据资产敏感数据管理应用信息备案数据安全合规管理风险监测和事件响应处置运营稽核与优化自动/主动发现人工录入建立
192、数据资产清单核实/认领数据资产数据库资源评估敏感数据特征模板数据分类分级策略模板扫描发现敏感数据敏感数据自动分类分级建立敏感数据清单敏感数据核实确认(人工/自动)数据资产自动关联合规策略业务自动关联合规策略合规要求设置策略策略下发数据分析访问数据资产流量提取访问行为特征和对象自动识别应用(接口)/运维终端和账户自动建立应用备案信息清单人工核实完善备案信息标准规范录入合规项解读合规项策略设计分类分级策略数据发现策略风险监测策略数据保护策略行为与备案信息不符监测合规规则监测对外接口/生产运维/数据生命周期风险生成告警事件事件认领和处置根据误报关联待完善的备案信息和策略完善备案信息完善风险监测策略和
193、规则形成管理闭环识别(I)防护(P)监测(D)响应与优化(R)数据安全运营体系定期或特定数据处理场景数据安全风险评估常态化持续运营图 2-8 数据安全运营体系架构如图 2-8 所示,具体内容如下:(1)定期或特定数据处理场景触发的数据安全风险评估数据安全风险评估的目的旨在掌握数据安全总体状况,发现存在的数据安全风险和违法违规问题,为进一步健全数据安全管理制度和技术措施,提高数据安全治理能力奠定基础。从评估要素看,数据安全风险评估涉及数据、数据处理活动、业务、安全措施、数据安全风险等基本要素,开展数据安全风险评估应充分考虑要素间关系。从评估对象看,数据安全风险评估主要围绕数据处理者的数据和数据处
194、理活动,对可能影响数据保密性、完整性、可用性和数据处理活动合理性的安全风险进行分析和评价。数据安全风险分析主要涉及数据、数据处理活动、风险源、安全措施等基本要素。从评估内容看,数据安全风险评估既包括涉及数据处理者、业务和信息系统的基本情况调研,也包括处理的数据、开展的数据处理活动情况识别,还包括数据处理活动、数据安全管理、数据安全技术、个人信息保护、重要数据处理等方面的评估内容。从评估方法看,数据安全风险评估主要包括人员访谈、文档审核、系统核查、技术测试。其中:数据安全治理白皮书 5.030中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
195、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
196、人员访谈是指评估人员采取调查问卷、现场沟通等形式对被评估方的数据、数据处理活动和数据安全实施情况等进行了解、分析和取证。文档审核是指评估人员通过对数据安全相关管理制度体系的完整性、健全性进行评估,包括管理办法,安全规范、流程机制及配套的表单/日志/报告等进行审核、查验、分析,全面梳理被评估方的数据安全实施情况。系统核查是指评估人员通过旁站查看被评估方数据安全相关网络、系统、设备的配置、功能或界面,验证数据处理系统和数据安全技术工具实施情况。技术测试是指评估人员通过手动测试或自动化工具进行技术测试,验证被评估方的数据安全措施有效性,发现可能存在的数据安全风险。从实施流程看,数据安全风险评估主要包
197、括评估准备、数据和数据处理活动识别、风险源识别、风险分析、评估总结五个阶段。风险沟通和评估过程文档管理需要贯穿于整个风险评估过程。其中:评估准备工作主要包括确定评估目标、明确评估范围、组建评估团队、展开评估前期调研。数据和数据活动识别工作主要包括数据发现、分类分级和数据处理活动的识别。风险源识别工作主要是指从数据处理活动风险、数据安全管理维度进行风险识别。风险分析工作主要是指对识别的各项风险进行归类,并从风险危害程度、发生可能性多个角度进行风险评价与定级。评估总结工作主要是指对评估结果进行分析总结,编制数据安全风险评估报告,并针对风险缺陷给出整改建议。数据安全风险评估工作是持续性的活动,当被评
198、估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,需要重新开展风险评估。在涉及到个人信息处理活动的应用场景时,组织还应开展个人信息保护影响评估,检验个人信息处理的合法合规程度,判断对个人信息主体合法权益造成损害的各种风险,评估用于保护个人信息主体的各项防护措施的有效性。个人信息保护影响评估的规模往往取决于受到影响的个人信息主体范围,数量和受影响的程度。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。可参考个人信息保护法第五十五条有下列情形之一的,个人信息处理者
199、应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。第五十六条个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;数据安全治理白皮书 5.031中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
200、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息
201、保护影响评估报告和处理情况记录应当至少保存三年,可参考标准有 GB/T 39335-2020信息安全技术 个人信息安全影响评估指南,GB/T 35273-2020 信息安全技术 个人信息安全规范,GB/T 41391-2022移动互联网应用程序(APP)收集个人信息基本要求,GB/T 39725-2020信息安全技术 健康医疗数据安全指南,JR_T 0171-2020 个人金融信息保护技术规范。(2)常态化持续运营工作1)识别(I)规范和策略管理组织应调研相关的国内外数据安全相关监管要求、业界数据安全治理相关方法论和架构体系,作为数据安全治理优化工作的方法论和框架体系依据,形成数据分类分级策略
202、、风险监测策略和数据保护策略。发现/管理数据资产运用数据安全管理平台的自动发现工具,结合手工调研梳理,对数据资产进行持续维护,发现敏感数据库和敏感数据的位置和分布,统计重要数据,并对数据资产的归属部门、责任人、使用方等信息进行备案登记,形成数据资产列表。并对数据库资产进行安全评估,识别数据库资产的脆弱点。敏感数据管理基于数据分类分级策略模板,借助敏感数据发现技术和数据自动分类分级工具,对新发现的数据资产进行分类分级识别与打标,快速建立数据分类分级清单,并进行人工核实确认。应用信息备案收集分析数据资产访问流量,提取访问行为特征和对象,识别应用账号和运维账号,建立应用信息备案清单,并由人工进行备案
203、信息核实完善。2)防护(P)数据安全合规管理梳理评估各级别数据资产在整个数据生命周期流动中的安全风险,借助数据安全管理平台的安全策略管理工具,针对风险设定各安全防护节点的防护策略,对数据安全进行合规管控。特别强调的是涉及国家关键信息基础设施的单位,依据国家法律、行政法规和有关规定,要求其运营者应当使用商用密码落实数据保护,并需自行或者委托商用密码检测机构开展商用密码应用安全性评估。3)监测(D)风险监测和事件处置构建面向用户、终端、应用、数据的全链路数据安全风险监测能力,实现围绕数据全生命周期的统一流转监测与审计,并基于形成的数据流转视图,持续分析、研判数据流转风险,针对产生的安全事件告警,落
204、实应急响应与事件处置与溯源取证。4)响应与优化(R)运营稽核与优化建立面向安全策略、安全风险、安全事件的 KPI 指标分析,对数据安全运营情况进行整体稽核,数据安全治理白皮书 5.032中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委
205、会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会根据稽核考核结果进行持续完善和优化。2.6.3.运营服务组织落实管理体系规范和流程,发挥技术体系监测和防护能力,需要常态化、完善的运营能力做支撑。日常数据安全运营服务参照运营体系中的内容从数据安全摸底、数据安全策略的制定与升级、数据安全风险管理,以及数据安全策略优化等方面对数据安全开展全方位的工作。运营监管:
206、通过可视化的运营监管能力,建设运营监测中心,帮助管理者全面掌握数据安全运营状况。服务保障:通过日常运营服务、专家服务、护网保障、重保服务、培训服务,实现数据安全常态化能力。(1)日常运营服务数据安全运营是一个持续化运营的过程,在日常运营服务中需安排安全运营人员持续进行数据安全风险监测。建设集中化、日常化的数据安全运营业务流程,从数据安全摸底、数据安全策略的制定与升级、数据安全风险管理,以及数据安全策略优化等方面日常的数据安全运营工作。新的法律法规、行业标准的实施,和对已实施法律法规及行业标准的重新认识,都会触发运营人员进行重新解读,转化为新的安全管控策略;业务系统的变更需对涉及的数据资产进行重
207、新分类分级,更新安全策略;安全事件的发生也会促进安全运营人员优化数据安全措施,不断完善数据安全治理体系。(2)应急保障服务应急保障针对每年国内重大、重要事件,以及全网突发的重大安全事件提供应急支持服务。主要工作内容包含但不限于:制定数据安全应急方案、工作要求及相关制度;在事前为应急响应做好预备性的工作,做好数据备份;在安全事件发生后,按要求及时对异常的系统、网络进行分析,确定安全事件的各项技术细节,保留相关证据并制定进一步的响应策略;及时采取行动限制安全事件扩散和影响的范围,限制潜在的损失与破坏,保障系统正常运行,恢复受到毁损的数据;事后通过对有关安全事件或异常行为的分析结果,找出根源,明确相
208、应的补救措施并协助完成彻底清除;协助恢复安全事件所涉及的系统,并还原到正常状态,使业务能够正常运行。2.7.数据安全监督评价体系组织要服从和积极配合行业主管单位的数据安全监管,形成监督管理和自律管理相结合的数据安全治理体系,主要途径有评估认证、监测预警、事件调查处置、监督检查、纠正问责,这是多元治理的重要一环。(1)评估认证国家陆续推出数据安全管理、个人信息保护等认证制度,鼓励网络运营者通过认证方式规范网数据安全治理白皮书 5.033中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
209、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会络数据处理活动,加强网络数据安全保护,如APP安全认证、数
210、据安全管理认证、个人信息保护认证等。组织还应在每年固定时间前向行业监管部门报送本年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测、事件处置、委托和联合处理、数据出境、数据安全评估与审查情况,数据安全投诉和处理情况。(2)监测预警行业监管单位通过数据安全风险评估报告、监测预警、通报处置机制,持续监测数据安全风险,向行业发布风险提示,制定行业数据安全事件应急预案,处置数据安全风险事件。与国家数据安全管理部门建立联防联控管理机制,建立信息共享平台,实施数据安全信息共享、风险和威胁监测、预警及数据安全事件处置。(3)事件调查处置数据安全事件是指由于管理控制不足导致数据被篡
211、改、泄露、破坏、非法获取、非法利用等,对个人或组织合法权益、行业安全、国家安全造成负面影响的事件。根据其影响范围和程度,分为四级:特别重大事件、重大数据安全事件、较大数据安全事件、一般数据安全事件。行业监管单位对被监管单位的数据安全风险及防范能力进行评估,并纳入监管评价、评估体系,开展数据安全事件调查和处置。审计部门应每年至少开展一次数据安全审计,发生重大数据安全事件后应及时开展专项审计。对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。针对投诉举报事
212、件,有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。(4)监督检查国家通过数据安全审查、监督检查与违规处罚等相关制度落实监管,比如:2022 年 2 月 15 日正式施行的网络安全审查办法将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。同时国家还通过专项治理(协同打击)、“清朗”行动等系列专项行动,以及网络安全等级保护(基本要求)、关键基础设施保护(重点保
213、护)、密码评估管理等系列测评开展监督检查。(5)纠正问责组织违反办法要求的,行业监管单位依法予以纠正,根据违规情况实施问责处置或行政处罚。具体措施包括:采取监督监管措施,责令改正,给予警告。对有关负责人、直接负责的主管人员和其他直接责任人员问责或处以罚款,包括禁止其在一定期限内从事数据安全保护工作、担任责任人。对设计违规处理行为的系统及应用,责任暂停或者终止服务。对涉及违规处理或产生重大风险、事件或案件的第三方机构,责令暂停或者停止与其开展合作,数据安全治理白皮书 5.034中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
214、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会必要时将有关情况
215、移交司法机关。2.8.典型数据处理场景数据安全治理的核心关注点在于场景化安全。组织目前存在数据安全技术使用不够普及,比如:区块链、隐私计算、同态加密等对业务的支撑没有广泛应用,主要原因是技术人员与业务人员割裂,技术与业务缺乏深度结合。随着数据要素市场持续健全和深化,数据交易、数据出境等数据运用新模式持续涌现,不同用户基于业务、访问途径和使用需求,会产生不同的使用场景,一刀切、固化的防护方式已无法适应不同场景下安全防护要求。在保证数据被正常使用的目标下,基于不同的使用场景特点及时发现数据风险暴露面,数据安全技术与业务深度结合,制定相应的数据安全策略,使数据安全治理更具针对性,在个人和组织与数据有
216、关的权益得到充分保护的基础上,依法推动数据合理有效利用和依法有序自由流动。组织内的数据要跨部门、跨数据生命周期进行流转。比如:大数据的处理过程就包括数据抽取转换、数据传输、数据汇聚存储、数据加工生产、数据分发共享、用数访问。组织间的数据围绕合作共享、数据交易、数据跨境等众多数据运用新模式。如图 2-9 所示围绕典型的数据使用场景,从不同用户、访问途径、使用需求、场景特点、安全策略五个方面,阐述有针对性的场景化数据安全治理思路。境内数据跨境数据交易境外数据交易中心组织A大数据处理组织B组织C图 2-9 典型用数场景2.8.1.数据跨境数据跨境场景主要是对从事跨境数据活动的数据处理者提出合规要求,
217、个人信息处理者和境外接收方在跨境处理个人信息时应满足法律法规的规定,遵循合法、正当、必要的原则,重要数据境内存储,数据跨境要评估,同时做好个人信息保护,也要取得个人信息主体同意。数据跨境主要的途径包括登录查询、拷贝复制、数据备份、WEB 服务、区块链、平台服务、数据迁移等。使用需求包括互联网跨境数据访问、境内访问路由至境外等、互联网数据推送与交换至境外、数据镜像至境外、数据迁移至境外、租用物理跨境专线至境外等。数据安全治理白皮书 5.035中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专
218、委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据处理者从事跨境数据活动应当按照国家数据跨境安全监
219、管要求,建立健全相关技术和管理措施,明确数据接收方履行数据安全保护义务,保证数据安全。虽然数据跨境传输是个法律问题,但是可以通过技术手段来降低风险。组织采用的安全策略包括通过技术手段进行个人信息脱敏,这将会大大降低数据跨境传输合规的风险。制定离境数据规范,明确离境评估机构要求进行安全评估,留存数据出境安全评估报告。同时在数据传输的过程中,要注意数据安全保护,与技术服务商签订业务合同能够有效划分责任,针对数据出境行为明确征求数据主体的授权也将有利于企业数据跨境传输合规。可参考的数据安全保护技术标准:GB/T 22239网络安全等级保护基本要求、GB/T 39786信息系统密码应用基本要求、GB/
220、T 35274大数据服务安全能力要求,GB/T 37932数据交易服务安全要求,GB/T 41479网络数据处理安全要求等。组织侧:采用境内存储、系统保护,产品和服务保护、传输过程保护,境外的同等保护;数据转移保护:完整性保护、机密性保护。监管侧:(1)检查数据跨境的合法性。检查跨境数据的分类分级(重要数据或一般数据)、数据跨境类型、方式等,以及用途、内容、数量、范围等是否合法必要正当;检查个人信息主体同意机制或匿名化处理情况。(2)检查标准合规性。检查数据保护措施和风险控制、应急预案等,检查同等保护原则或情况,关注平台侧、网络侧、终端侧、边缘侧、边界侧等保护。(3)持续监督数据跨境合法合规有
221、效性。监督数据泄露事件处置、检查应急处置情况、损失评估和整改情况等。2.8.2.数据交易数据交易场景交易主体要定期开展数据流通交易安全风险评估,不断健全完善数据流通交易安全管理机制,保障交易活动安全;强化全流程数据安全管理,切实保障数据安全;数据交易场所应当制定重大安全风险监测、风险警示、风险处置等风险控制制度以及突发事件应急处置预案,并报告主管单位;网信、公安、密码管理等部门在数据流通交易安全监督管理中,发现存在较大安全风险的,提出改进要求并督促整改。在数据交易场景中,交易主体传输交易标的访问途径可以通过 API/SDK 接口、数据集、数据报告、算法模型、算力资源部署、数据系统部署及其他数据
222、服务等方式进行交付。交易主体采用云计算、区块链、联邦学习、多方安全计算等技术,建设安全可信的数据流通交易平台,构建数据流通交易基础设施环境,实现原始数据“可用不可见”、数据产品“可控可计量”、流通行为“可信可追溯”。数据交易场景主要参与方包括交易用户、数据提供方、数据需求方、数据商、数据中介、交易标的、数据产品和服务、算力资源、算法工具,数据流通交易按照主体登记、标的登记、交易磋商、签订合同、交易结算、交易备案等流程组织实施。数据交易场景安全策略以数据分类分级保护为基础,实施差异化安全管理要求,不同行业领域数据安全治理白皮书 5.036中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
223、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
224、安全治理专委会中关村网信联盟数据安全治理专委会安全策略不同。比如:工信领域鼓励要求企业按一般数据、重要数据、核心数据实施分级保护,金融领域二级数据优先考虑业务需求,四级数据优先考虑安全需求,四级及以上数据不应对外传输、汇聚融合、共享等。以保障数据安全过程安全为目标,明确安全管理基础规则。破解数据流通交易的中数据安全问题,可以充分应用区块链、隐私计算等技术,从隐私保护技术、安防监管方面进行化解。(1)利用区块链、隐私计算等新型技术实现数据“可用不可见”,有效管控数据计算价值使用的目的和方式,实现数据使用的事前评估和持续监督相结合、风险自评估与安全监督相结合,保障数据使用的安全与合法,破解数据滥用
225、、隐私泄露、用户歧视等问题。(2)改进提高监管技术和手段,建立数据交易平台,依托大数据技术建立健全违法线索线上发现、流转、调查处理等机制,提升分析预警、线上执法、信息公示等监管能力。同时,鼓励条件成熟的地区开展试点创新,以点带面提高数据交易流通安全保障能力。监管方面,统筹各相关部门的治理授权和责任,落实数据从产生、使用到流转全生命周期中各环节责任主体,强化分行业和跨行业协同监管,完善追责机制等配套制度。机制方面,在开展数据要素流通交易、跨境传输、争议解决等立法研究的基础上,建立数据流通交易负面清单制度,明确不能交易或严格限制交易的数据项,推动形成有规可循、安全可控的数据流通交易机制。2.8.3
226、.大数据处理大数据处理场景涉及大数据提供者、大数据使用者、大数据服务者(大数据平台提供者、大数据应用提供者和大数据服务协调者)五种角色。在开展数据处理活动应当依照法律、法规的规定,建立健全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护和敏感个人信息保护责任。大数据处理场景是通过大数据平台组件进行访问,大数据流动(数据的产生、流动、处理等),用户个人数据收集和挖掘(逐步形成用户画像)
227、;从事大数据相关产业的组织和个人访问,主要有大数据平台、大数据流动、大数据使用、大数据源数据使用和大数据隐私 5 个方面使用需求。大数据处理场景应主要防止外部黑客攻击,满足合规性,敏感数据的安全管理和使用,采用安全策略包括大数据服务提供者应具有的基础安全能力、大数据服务生命周期安全能力以及大数据服务平台与应用相关的系统服务安全能力。大数据服务提供者在风险识别、安全防护、安全监测、安全响应和安全恢复环节的安全能力建设要求。大数据安全评估:评估当前大数据平台、大数据流转、大数据使用等多种安全状态;分类分级:结合业务对数据进行不同类别和密级划分,并制定不同的管理和使用原则,做到有差别和针对性的防护。
228、大数据授权控制:针对不同角色制定不同安全策略,常见的角色包括:业务人员(要进一步角数据安全治理白皮书 5.037中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
229、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会色细分)、数据运维人员、开发测试人员、分析人员、外包人员、数据共享第三方等。大数据安全审计与稽核:行为审计分析、权限变化监控、异常行为分析、数据接口审计。大数据使用安全控制:业务系统数据访问安全管控、大数据安全运维管控、开发测试环境数据安全使用、BI 分析数据安全管控、数据对外分发管控、数据内部存储安全。2.8.4.合作共享数据合作共享场景对数据分发源单位和数据分发对象单位提出合规
230、要求,仅靠书面合同难以实现对数据接收方的数据处理活动进行监控,极易造成数据滥用,要求委托方和受托方均应履行数据安全保护义务。数据合作共享环节实现跨组织的数据授权管理和数据流向追踪,需要满足数据流动安全防护的需求,通过动态变化的视角分析和判断数据安全风险,构建以数据为中心、连续的数据安全防护。在开展业务时数据需要对外共享,数据一旦对外分发共享,安全保护的责任主体变化,数据安全责任分不同场景以及过错情况等,承担责任不同,接收方与发送方均履行好各自承担的数据安全责任。比如:数据共享中的接收方在接收到数据后并没有对数据的安全保护起到应尽的责任,从而引发了数据二次扩散泄露事件。因此,对于数据分发后的安全
231、性需要通过技术手段监管起来。数据合作共享场景可以采用数据分发水印机制,对于将要发布到外界的数据预先进行水印处理,在水印中植入数据接收者的相关信息。嵌入原始数据中的水印是不可除的,并且能够提供完整的版权证据。在原始数据中嵌入水印标记信息不易察觉,不影响原始数据的可用性。从数据水印中溯源水印标记信息的能力。一旦发现泄露,可以通过提取泄露的数据样本对样本数据进行水印信息提取和分析。水印类型包括文本属性水印、伪行/伪列水印和仿真水印等,也可以采用数据脱敏,对数据中如:身份证号、银行卡号、电话号码等敏感数据进行脱敏处理,防止用户数据泄露。2.9.数据安全治理规划建设从组织构建到持续改善是一个系统化的建设
232、步骤,可有效指导数据安全治理全面建设的落地。(1)组织构建组建专门的数据安全团队,是作为数据安全治理建设的首要任务,是保证数据安全治理工作能够持续执行的基础。(2)资产梳理资产梳理是数据资产安全管理的第一步,通过资产梳理能够掌握数据资产分布、数据责任确权、数据使用流向等,使数据资产安全管理更全面。(3)策略制定掌握了数据资产概况后,需要制定安全策略作为数据资产管控的安全规则。通过数据分类分级与重要数据识别,区分人员角色权限及场景,制定针对性的安全策略,能够实现对敏感数据进行分级管控,使数据在生命周期中安全流动。数据安全治理白皮书 5.038中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
233、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟
234、数据安全治理专委会中关村网信联盟数据安全治理专委会(4)过程控制策略制定后需要将安全规则落地,通过数据安全管理体系、技术体系、运营体系的有效配合,能够帮助组织进行数据资产安全管理的过程控制。要对数据的访问过程进行审计,要判断这些数据访问行为过程是否符合所制定的安全策略;要对数据的安全访问状况进行深度评估,看在当前的安全策略有效执行的情况下,是否还有潜在的安全风险。数据安全需要动态跟踪,持续改善。可通过资产梳理,持续掌握数据资产动态;通过预警演练,提升应急响应能力;通过数据安全评估,了解数据安全管控现状,持续优化安全策略等。图 2-10 数据安全治理体系建设依据上述指导性的建设步骤,数据运营者可
235、根据组织的业务关注点、风险容忍度等实际情况,首先考虑核心业务且易实施、见效的防护手段先行实践,然后在治理深度上逐步构建形成体系化、全周期的数据安全防护体系,再在治理广度上逐步覆盖到数据运营全业务,并在过程中持续优化。2.9.1.数据安全治理整体建设思路基础阶段基础防护建设阶段数据分类分级指南数据资产管理规范组织架构定岗定责数据安全评估敏感个人信息识别数据安全建设规划优化阶段策略优化及能力提升建设阶段运营阶段数据安全运营风险管控阶段资产/准入基线用户权限责任矩阵数据安全事件应急管理及运维数据风险策略特征库数据安全意识&技能培训流转行为库加密脱敏审计防泄漏策略中心事件监测风险分析数据安全管控平台数
236、据采集数据处理数据交换数据存储数据传输数据删除图 2-11 三阶段数据安全治理建设思路数据安全治理白皮书 5.039中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关
237、村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理规划建设,围绕收集、存储、使用、加工、传输、提供、公开等数据处理活动,分为三个阶段建设:基础阶段-基础防护建设,主要以咨询服务为主,包括资产管理、数据分类分级、安全评估、管理制度建设、安全策略建设、方案规划。优化阶段-策略优化及能力提升建设,主要以产品为主,依据管理流程和安全策略部署自动化防护工具,解决业务风险。运营阶段-数据安全管控平台建设,主要基于管理流程、安全
238、策略、业务场景和防护积累的经验,形成行为特征库、安全事件知识库、结合业务场景的积累,形成风险分析模型,建立数据安全管控平台,有监测、有预警、有管理、有控制、有审计、有运维、可感知。2.9.2.数据安全治理迭代式建设思路图 2-12 迭代式数据安全治理建设思路在数据安全治理实践中,一次性建立完整的数据安全体系存在方案复杂、投入高、周期长,见效慢、效果不可控等问题,且各单位数据安全建设基础情况不一,宜循序渐进地开展数据安全治理建设工作。用户需坚持以业务数据资产为核心,基于当前的数据安全现状。数据安全治理体系的建设划分为多个阶段,并将管理+技术+运营的建设思想贯穿在每一个阶段的建设任务中,快速达成阶
239、段性目标,再由前一个阶段的建设成果指导下一个阶段的建设目标,一步步证明路线选择的正确性,通过“小步快跑,不断迭代”的方式,横向形成应用全面纳管,纵向持续优化防护策略,逐步建成数据安全闭环管控体系。数据安全治理白皮书 5.040中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
240、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第三章 我国相关法律法规及标准解读2022 年以来,为推进数据安全法个人信息保护法的深入贯彻实施,国家、地方及各行业监管部门密集出台了围绕数据安全与个人信息保护的系列合规政策与办法,持续建立、健全覆盖建设、认证、评估、审计等数据安全合规监管体系与技术标准,为组织开展数据
241、安全治理建设给出了细化的要求和指引。通过对数据安全相关法律、法规及标准的解读,帮助组织了解和梳理相关政策和标准内涵,保障数据安全治理过程中的有法可依,有章可循。3.1.数据安全合规整体体系框架数据的开发利用必须要依法依规开展,满足合规要求是数据安全底线。通过对国内、国际数据安全相关的法律法规解读,了解监管层面对有序推动数据价值发挥的安全保障要求,为数据安全治理的开展奠定合规依据。我国已经形成以法律、行政法规、部门规章及规范性文件、地方性法规、以及相关行业标准、指南等相结合的综合性数据安全监督评价体系。同时,数据安全监管也通过认证、评估、审计等抓手予以落实,做到事前、事中、事后全流程监管。目前已
242、形成“数据安全管理认证”和“个人信息保护认证”等的认证、数据出境安全评估、个人信息处理的合规审计等制度。网络安全法从法律层面保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,是国家基本法律;数据安全法是相关领域的基础性法律,个人信息保护法是我国关于保护个人信息的专门性法律,二者从法律层面提供了数据安全保障和个人信息保护。网络安全法数据安全法以及个人信息保护法共同构成了我国数据保护的基础体系,整体的法律法规脉络关系如下表所示:数据安全治理白皮书 5.041中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
243、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会表 3-1 数据安
244、全相关法律法规关系脉络层级规范名称上位法基本法律基础性法律专门性法律网络安全法数据安全法个人信息保护法下位法行政法规关键信息基础设施安全保护条例网络安全等级保护条例(征求意见稿)网络数据安全管理条例(征求意见稿)部门规章网络安全审查办法数据出境安全评估办法个人信息出境标准合同办法互联网信息服务算法推荐管理规定规范性文件个人信息保护认证规则数据安全管理认证实施规则(DSM)汽车数据安全管理若干规定(试行)工业和信息化领域数据安全管理办法(试行)网络产品安全漏洞管理规定银行业金融机构数据治理指引 国家健康医疗大数据标准、安全和服务管理办法(试行)地方性法规北京市公共数据管理办法深圳经济特区数据条例
245、上海市数据条例浙江省公共数据条例厦门经济特区数据条例重庆市数据条例吉林省促进大数据发展应用条例四川省数据条例 陕西省大数据条例 辽宁省大数据发展条例 安徽省大数据发展条例广西壮族自治区大数据发展条例福建省大数据发展条例山西省大数据发展应用促进条例山东省大数据发展促进条例贵州省政府数据共享开放条例标准、指南等GB/T 35273-2020信息安全技术 个人信息安全规范GB/T 41479-2022信息安全技术 网络数据处理安全要求GB/T 41391-2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求GB/T 39335-2020信息安全技术 个人信息安全影响评估指南GB/T
246、39204-2022信息安全技术 关键信息基础设施安全保护要求GB/T 38667-2020信息技术 大数据数据分类指南GB/T 37973-2019信息安全技术 大数据安全管理指南GB/T 37964-2019信息安全技术 个人信息去标识化指南GB/T 37932-2019信息安全技术 数据交易服务安全要求GB/T 37988-2019信息安全技术 数据安全能力成熟度模型GB/T 20984-2022信息安全技术 信息安全风险评估方法GB/T 22239-2019信息安全技术 网络安全等级保护基本要求3.2.重点推进工作3.2.1.数据安全认证机制完善数据安全监管体系数据安全相关的认证包括“
247、数据安全管理认证”(DSM)和“个人信息保护认证”(PIP),是对数据处理者和对个人信息处理者对数据安全和个人信息保护水平的认证。对两项认证的具体内容分别论述如下:(1)数据安全管理认证(DSM)2022 年 6 月 9 日,国家市场监管总局、国家互联网信息办公室联合发布关于开展数据安全管数据安全治理白皮书 5.042中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
248、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会理认证工作的公告,正式宣告数据安全管理认证的启动,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。认证目的我国既有法律法规并未明确将 DSM 认证设置为强
249、制性义务,而是鼓励网络运营者通过认证的方式规范网络数据处理活动,意义在于促进网络运营者数据安全建设规范化,加强数据安全的防护力度。认证推出势必会增强组织对数据安全落地的积极性,对于对暂不符合认证要求的,机构可要求认证委托人限期整改,促使认证对象加快数据安全标准建设内容。在认证有效期内,要求企业须持续接受机构监督,确保数据安全工作持续落到实处。认证依据DSM 认证是按照数据安全管理认证实施规则来实施,此规则的制定依据是中华人民共和国认证认可条例。而认证认可条例所称的“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。从数据处理全生命周期
250、的安全技术要求(包括收集、存储、使用、传输、提供、删除、访问控制等),和安全管理要求(包括数据安全负责人、人力保障、事件应急处置)这两个维度来进行评估认证。认证对象针对网络运营者的数据安全管理体系开展的认证活动,以验证网络运营者是否建立了有效的数据安全管理体系来进行网络数据的收集、存储、使用、加工、传输、提供、公开等处理活动。数据安全管理认证不是针对某个产品或服务的单独认证,而是对于企业管理体系的综合认证。认证依据GB/T 41479-2022信息安全技术 网络数据处理安全要求及相关标准规范。认证模式与流程数据安全管理认证的认证模式是“技术验证+现场审核+获证后监督”,具体流程如下图:图 3-
251、1 数据安全管理认证流程图数据安全治理白皮书 5.043中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
252、中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会证书期限认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书,认证证书有效期为 3 年。不同于网络安全等级保护认证,不需要按照等级划分。(2)个人信息保护认证(PIP)2022 年 11 月 4 日,国家市场监督管理总局、国家互联网信息办公室发布关于实施个人信息保护认证的公告,正式宣告我国个人信息保护认证制度正式建立。个人信息保护法发布以来,落实法律要求的个人信
253、息保护制度不断出台,由于个人信息特性及其处理活动的复杂性,个人信息保护认证实施规则将在落实个人信息保护法要求、支撑个人信息保护工作、促进个人信息合法有序利用等方面发挥重要作用。国家,鼓励个人信息处理者通过认证方式提升个人信息保护能力,同时要求从事个人信息保护认证工作的认证机构经批准后开展有关认证活动。认证目的我国个人信息保护法个人信息保护认证实施规则系统规定了个人信息保护认证的适用范 围、认证依据、认证模式、认证实施程序、认证证书和认证标志等内容,明确对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。根据是否包含跨境处理活动,
254、个人信息保护认证可以划分为 PIP 认证(不含跨境处理活动)和PIPCB 认证(包含跨境处理活动),这种划分实质体现了个人信息保护认证在合规能力证明和跨境提供制度的双重价值。在个人信息保护法确定的“举证责任倒置”原则下,个人信息保护认证在证明个人信息处理者合规能力水平方面有着重要的作用。个人信息保护认证细化和丰富了个人信息跨境提供制度,个人信息保护法首次将其规定为数据出境三种路径之一,符合认证申请条件的企业可通过该认证实现数据跨境传输。认证依据个人信息处理者应当符合 GB/T 35273-2020信息安全技术 个人信息安全规范(以下简称“个人信息安全规范”)的要求,对于开展跨境处理活动的个人信
255、息处理者,还应符合 TC260-PG-20222A网络安全标准实践指南个人信息跨境处理活动安全认证规范(以下简称“跨境认证规范”)的要求。个人信息安全规范 从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露,以及个人信息主体的权利、个人信息安全事件处理、个人信息安全管理要求等诸方面做出了相关要求。跨境认证规范主要针对个人信息跨境处理活动从基本原则、个人信息处理者和境外接收方的基本要求、个人信息主体权益保障等方面提出了要求。认证对象和范围个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动,认证申请主体应为个人信息处理者。个人信息处理活动包括个人信息收集、
256、存储、使用、加工、传输、公开、跨境提供等,认证范围涵盖个人信息处理活动涉及的组织范围、业务范围、系统范围等,涉及个人信息处理活动数据安全治理白皮书 5.044中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
257、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会的组织管理、制度措施、技术处理等方面。个人信息保护认证涉及数据跨境场景,个人信息处理者应梳理对照个人信息向境外提供的管理要求,选择适合自身情况的管理方式。对不属于评估范围的情形,个人信息处理者通过认证后可直接向境外提供;对属于评估范围的情形,认证结果可作为个人信息出境安全评估输入。结合认证制度特点,适合采用认证方式满足向境外提供个人信息
258、管理要求的个人信息处理者包括但不限于:1)向境外接收方持续提供个人信息的个人信息处理者;2)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;3)落实法规标准要求,亟需加强个人信息跨境提供安全制度措施、规范开展个人信息处理活动的个人信息处理者;4)为向个人信息主体、境外接收方等明示个人信息处理达到相关标准要求的个人信息处理者。认证模式与流程认证模式是“技术验证+现场审核+获证后监督”,具体流程如下:图 3-2 个人信息保护认证流程图认证时限及证书有效期自认证受理之日起至作出认证决定所实际发生的工作日,包括认证申请资料审核时间、技术验证时间、现场审核时间、认证决定和证
259、书批准以及制作时间,一般为70个工作日(不包含整改时间)。认证证书有效期为 3 年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期还需延续使用的,个人信息处理者应在有效期届满前 6 个月内向认证机构提出认证申请。认证机构采用获证后监督的方式,对符合认证要求的委托换发新证书。如何申请个人信息保护认证个人信息处理者在认证申请时,应提交认证申请书、自评价表以及相关附件证明材料。为便于认证顺利开展,提高认证工作效率,申请认证的个人信息处理者可提前了解标准要求和认证流程、下载相应模板,如实、准确填报认证申请书、自评估表,准备好附件证明材料。个人信息保护认证范围与个人信息种类、数量、
260、敏感程度以及个人信息处理情况、个人信息处理者组织管理等密切相关,不同业务场景的评价方法和指标不尽相同,需要企业的密切配合和充分沟通。数据安全治理白皮书 5.045中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
261、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会3.2.2.“三种路径”推动数据出境规则加快落地2022 年,数据出境走向规范化,数据出境传输的规则、办法陆续出台,为涉及跨境服务的数据运营者构建了可落地实操的数据出境三种途径,即:(1)通过网信部门的数据出境安全评估;(2)经专业机构进行个人信息保护认证;(3)与境外接收方签订标准合同条款。鉴于个人信息保护认证制度已于前文论述,以
262、下主要对数据出境安全评估和数据出境标准合同进行说明。2022 年 7 月 7 日,国家互联网信息办公室发布了数据出境安全评估办法(以下简称“评估办法”),办法于 9 月 1 日起施行。评估办法为数据出境安全评估在监管模式、评估范围、评估要求等方面提供了具有可操作性的依据。(1)数据出境安全评估在评估范围上,评估办法在第四条中明确以下主体在进行数据出境时必须通过数据出境安全评估:1)数据处理者向境外提供重要数据;2)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者;3)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者。在评估方式上
263、,数据出境安全评估采取“风险自评估与安全评估相结合”的方式,在向网信部门申报安全评估前,需先进行数据出境风险自评估。数据出境风险自评估自评估主要关注“数据出境的合法性、正当性、必要性”、“出境数据的重要程度”、“境外接收方的责任义务和数据安全能力”、“数据出境的风险”、“数据出境的法律文件”等内容。个人信息保护影响评估个人信息保护法第 55 条明确向境外提供个人信息前,应当进行个人信息保护影响评估(“PIA”)。由此可知,个人信息保护法下个人信息出境前进行 PIA 属于强制性义务,无论企业适用个人信息保护法第 38 条中任何一个出境路径,都需进行 PIA。在评估内容上,数据出境安全评估与风险自
264、评估都会关注“数据出境的合法性、正当性、必要性”、“出境数据的风险”、“与境外接收方拟订立的法律文件”等的事项。但对于数据出境安全评估而言,境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响应是评估重点。与自评估事项的另一个显著区别在于,数据出境安全评估还会关注“守法情况”。在监管模式上,评估办法构建了自上而下的数据出境逐级审查监管模式,第一步是省级网信部门的完备性查验,第二步则是国家网信部门组织国务院有关部门、省级网信部门、专门机构等开展的实质性安全评估。数据安全治理白皮书 5.046中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联
265、盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关
266、村网信联盟数据安全治理专委会图 3-3 评估办法数据出境评估认证流程图评估办法对数据出境安全评估的设定了 2 年的有效期,自安全评估结果出具之日起计算。2 年有效期的设定为企业开展数据出境活动提供了较为稳定的预期。有效期届满,需要继续开展数据出境活动的,应当在有效期届满 60 个工作日前重新申报评估。(2)个人信息出境标准合同2023 年 2 月 22 日,国家互联网信息办公室发布个人信息出境标准合同办法(简称“标准合同办法”)。该标准合同办法对标准合同具体适用条件、标准合同主要内容和备案要求等内容作出规定,并以附件形式提供了国家网信办制定的个人信息出境标准合同模板。标准合同办法第四条明确提出
267、采取标准合同方式向境外提供个人信息的个人信息处理者应当同时满足以下条件:(1)非关键信息基础设施运营者;(2)处理个人信息不满 100 万人的;(3)自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;(4)自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的。数据安全治理白皮书 5.047中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
268、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会在使用该标准合同文本时可以进一步关注下述事项:与其他出境相关的合同的关系个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。而在实践中,其他法域的监管机构也规定
269、了通过相应的标准合同文本管理跨境个人信息传输的相应场景和条件(例如欧盟 SCCs 等),因此跨国企业将会面临着协调不同法域标准合同文本的问题。关于适用委托处理的场景个人信息保护法规定个人信息处理者和受托人的角色。个人信息处理者在个人信息处理活动中可以自主决定个人信息处理目的、处理方式,而受托人则是接受个人信息处理者委托而处理个人信息。标准合同模板中规定了个人信息处理者向境外接收方提供个人信息的模式,另标准合同模板在境外接收方义务中,规定了“受个人信息处理者委托处理个人信息”的义务,说明境外接收方可以是受托人的角色,接受委托处理个人信息。单独同意标准合同模板在“个人信息处理者的义务”及境外接收方
270、的义务中,均规定了“单独同意”的要求,与个人信息保护法的要求保持一致。责任承担标准合同模板明确规定了“个人信息处理者”的义务、“境外接收方”的义务。在责任承担上,任何一方因违反标准合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。3.3.法律我国目前已形成以 网络安全法 数据安全法 个人信息保护法 三部法律为核心的法律架构,并分别从数据所承载系统的安全保障、数据本身的安全保护以
271、及个人信息的安全保护的层面构建较为完整的数据安全保护体系。3.3.1.网络安全法保障网络与信息安全我国于 2016 年颁布并于 2017 年施行的网络安全法是我国网络安全管理方面的第一部基础性立法,旨在应对我国网络安全领域的严峻形势,以制度建设加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪。网络安全法全面地规定网络与信息安全治理的基本规则,以网络运营者及关键信息基础设施运营者为主要规制对象,明确网络运行安全、网络信息安全、监测预警与应急处置等方面的义务。近年来,各机构因网络安全防护能力薄弱进而导致的网络攻击、网络安全事件层出不穷、数据泄露及毁损危机凸显,由于网络安全的一大重要内容即是
272、保障网络数据的完整性、保密性、可用性数据安全治理白皮书 5.048中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
273、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会的能力,因此网络安全法对于构建数据安全保障体系有着重要的意义。具体而言,网络安全法通过规定下述措施,以强化数据安全保障。(1)保障网络运行安全网络安全法第 21 条构建了网络安全等级保护制度,在保障网络系统安全的组织架构及管理体系上,网络安全法要求制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。在保障网络系统安全的技术体系上,网络安全法要求采取包括防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的
274、技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。针对关键信息基础设施的运营者,网络安全法 在第三章第二节中施加了更多的安全保护义务。而且,网络安全法第 37 条强化对关键信息基础设施运营者数据跨境传输的监管,提出数据本地化存储及跨境传输安全评估的要求,明确“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。(2)保障网络用户
275、信息安全在保障网络数据安全的总体要求上,网络安全法第 10 条提出保障网络数据完整性、保密性和可用性的要求;第 18 条强调了数据利用与数据安全之间的平衡,鼓励开发网络数据安全保护和利用技术。在保障网络用户信息安全的管理体系上,网络安全法 第40条要求建立健全用户信息保护制度。在保障网络用户信息安全的技术措施上,网络安全法第 40、42 条重点要求对其收集的用户信息严格保密;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。同时,网络安全法第 47 条加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措
276、施,防止信息扩散,保存有关记录,并向有关主管部门报告。3.3.2.数据安全法构建数据安全治理框架由于数据安全已成为事关国家安全与经济社会发展的重大问题,为了有效应对数据这一非传统领域的国家安全风险与挑战,切实加强数据安全保护,维护公民、组织的合法权益,并发挥数据的基础资源作用和创新引擎作用,推进政务数据资源开放和开发利用,2021 年我国颁布并实施数据安全法。数据安全法 作为数据安全领域的基础性法律,重点确立数据安全保护管理各项基本制度,构建起数据安全治理的框架,强调数据开发利用与保障数据安全并重的思路,将个人、企业和公共机构的数据安全纳入保障体系,确立了对数据领域的全方位监管。数据安全治理白
277、皮书 5.049中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网
278、信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会(1)数据开发利用与数据安全并重数据安全法在第 1 条立法目的中就将“保障数据安全,促进数据开发利用”纳入,强调数据开发利用与保障数据安全并重的思路。而且,数据安全法在第二章也对数据安全与发展进行专章规定,提出一系列促进数据开发利用的思路及措施,包括:国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展;国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用;国家推进数据开发利用技术和数据安全标准体系建
279、设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定;国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场等。(2)构建数据安全制度体系由于不同维度的数据的价值不一,而且对于国家利益、社会利益、个人利益有着不同程度的影响,数据安全治理首先需要实施数据的分类分级保护,以避免因重要数据泄露、损毁带来影响国家安全、社会安全的严重后果。鉴于此,数据安全法第 21 条确立了以数据分类分级为核心的安全制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或
280、者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。同时,数据安全法第 22 条要求建立相应的数据安全风险评估、报告、信息共享、监测预警机制及数据安全应急处置机制等。对于开展数据处理活动的主体,可以数据分类分级为基础,形成组织、管理、技术体系相融合的数据安全治理体系。(3)实施全生命周期的数据安全保护数据安全法第四章紧盯数据泄露、数据漏洞以及非法使用数据的风险,从数据处理的全生命周期提出合规要求,包括开展数据处理活动应当建立健全全流程数据安全管理制度;采取相应的技术措施和其他必要措施,保障数据安全;加强风险监测,发现数据安全缺陷、漏洞等风险时
281、,应当立即采取补救措施;不得窃取或者以其他非法方式获取数据等。为了实现数据生命周期安全保护的要求,开展数据处理活动可采取集中策略管控能力与单点防护能力结合的防控措施,统一部署防护策略,在数据收集、存储、使用、加工、传输、提供、公开等数据处理活动中采取相适应的防护技术和能力。(4)推进政务数据的安全与开放数据安全法第五章推进政务数据的安全与开放,强调提升运用数据服务经济社会发展的能力。在保障政务数据安全方面,要求国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全;国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序
282、,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。数据安全治理白皮书 5.050中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委
283、会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会在推进政务数据开放方面,要求国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据;国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。3.3.3.个人信息保护法保障个人信息权益相较于一般数据,个人信息因对个人权益的影响需要进行专门的保护。为了
284、解决一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,2021 年颁布并施行的个人信息保护法是我国首部关于保护个人信息的专门性法律。这部法律以数据中的“个人信息”为主要规范对象,划定个人信息全生命周期处理的安全保护规则,以保护个人信息权益、促进个人信息合理利用。具体如下:(1)个人信息全生命周期处理的防护根据个人信息保护法,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等的全生命周期,相应个人信息处
285、理的风险也贯穿于个人信息处理的始终。例如,在个人信息采集传输阶段,因网络端口及传输通道的安全性问题而导致个人信息的毁损和丢失;在个人信息存储阶段,因未采取加密、脱敏存储而导致敏感信息的泄露;在个人信息使用阶段,因超权限的访问或者未经授权的使用而导致个人信息对外泄露、个人信息滥用;在个人信息销毁阶段,因未及时、有效销毁存储介质上的个人信息而导致的个人信息泄露等等。鉴于此,个人信息保护法以第一章总则及第二章的一般规定划定了个人信息全生命周期处理的规则,要求个人信息处理应具备包括征得个人主体同意在内的合法基础,告知个人完整的个人信息处理事项。同时,个人信息保护法也对需要重点保护的敏感个人信息、风险程
286、度较高的个人信息跨境提供予以特别规定。在个人信息保护法第二章第二节项下,对于处理敏感个人信息的,需具备具有特定的目的和充分的必要性及采取严格保护措施下方可处理,并且还要求取得个人的单独同意等;在个人信息保护法第三章项下,对于个人信息跨境提供,划定应当具备的条件,根据第 38 条,满足下列条件之一才可向境外提供个人信息,包括:(1)通过国家网信部门组织的安全评估;(2)经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同等条件;(4)法律、行政法规或者国家网信部门规定的其他条件。(2)明确个人信息处理者所应采取的组织措施及技术措施在个人信息保护法第五章规定了个
287、人信息保护的组织架构及管理体系,个人信息处理者应当承担个人信息保护的主要责任;在作为个人信息处理者的组织机构内部,要求制定内部管理制度和操作规程;合理确定个人信息处理的操作权限;指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督等,并对重要平台、大型个人信息运营者设定了额外个人信息保护义务。在个人信息保护的技术措施上,要求采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失,包括对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施。数据安全治理白皮书 5.051中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
288、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
289、专委会(3)赋予个人充分的个人信息权利,保障个人信息权益根据个人信息保护法第四章,我国赋予个人充分的个人信息权利,包括个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;个人有权向个人信息处理者查阅、复制其个人信息;个人有权请求个人信息处理者更正、补充不准确或不完整的个人信息;个人在特定情形下有权请求个人信息处理者删除个人信息;个人有权要求个人信息处理者对其个人信息处理规则进行解释说明等。而且,个人信息保护法第 50 条要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,并赋予个人可以在个人信息处理者拒绝个人行使权利的请求下向法院起诉的权利。上述做
290、法充分保障了个人在其个人信息处理活动中的权益。3.3.4.网络安全、数据安全与个人信息保护的关系数据天然具有流动性、可复制性等特点,导致在使用过程中存在易泄露、篡改和滥用等安全风险,为个人、企业乃至国家的利益和安全都带来了严峻的挑战。网络安全、数据安全和个人信息保护都绕不开数据话题,因此这些都是安全领域中要解决的基本问题,也是数字经济可持续发展、企业数字化转型成功实施和依托数字技术不断提升国家治理能力现代化水平的基本要求。如前所述,我国围绕网络安全、数据安全及个人信息安全所构建的法律体系已经相对成熟;回归到三者关系的本质上,既有密切的联系,又有区别。首先,从层次和功能来看,三者都属于可被视为信
291、息安全的子领域。具体来说,网络安全所保护的是数据所承载系统的运行,数据安全和个人信息安全都聚焦于数据本身的安全,数据安全宏观性地对数据保护和数据处理者提出制度要求,包括个人信息和非个人信息,个人信息安全将范围限缩为与个人密切相关的数据信息在更多具体场景的保护。从法律层面看,网络安全法对应网络系统的安全管理,数据安全法对应数据的安全管控,个人信息保护法对应个人信息的安全保障;网络安全法和数据安全法旨在维护国家安全、社会公共利益和组织权益,前者强调网络安全与网络空间的国家主权,后者侧重于数据安全以及基于数据安全所体现的国家安全。个人信息保护法以个人主体出发,为了维护公民个人的隐私、人格、人身、财产
292、等权益,规范个人信息处理活动,促进个人信息有序开发利用。从技术层面来看,三者有共性也有差异性。个人信息往往以结构化数据或非结构化数据形式存储在各类信息或数据库系统中,也会和其他类型的数据一样历经采集、存储、处理、传输、交换、销毁等阶段。在数据全生命周期的各个阶段也面临着和一般数据相似的完整性、可用性和保密性等方面的风险和挑战。因此,保护个人信息和保护一般数据的技术防护手段也高度相近,加密、脱敏、分类分级、安全评估等体系化的关键数据安全技术都能够有效地支撑个人信息保护业务;而为了实现个人信息安全和数据安全,网络安全作为其存储系统,必然需要在前述各阶段提升产品、服务的安全性。不同之处主要体现在数据
293、处理者相较于个人信息处理者需要在数据交易及中介、数据分级分类、数据安全风险监控与报送等层面达到相应技术要求,网络运营者相较于前两者则更侧重网络安全等级制度、安全认证和检测、关键信息基础设施运营等层面的达到相应技术要求。此外,从目标来看,三者具有共同的目标。网络安全、数据安全与个人信息保护都属于信息安数据安全治理白皮书 5.052中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟
294、数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会全的重要部分,都以保障信息资产的机密性、完整性和可用性为重心,即 CIA(Confidentiality,Integrity,Availability)三大原则。因此
295、,数据安全治理需要三者协同作用。实现高度的信息安全离不开数据安全策略的实施、网络安全的持续保护和不断完善的个人信息保护制度、技术。在没有可靠数据安全措施的情况下,信息资产将面临更大风险,从而损害个人信息乃至整个组织的信息安全水平。总之,网络安全、数据安全和个人信息保护是相辅相成的关系,三者涉及个人、企业、国家多个层面。个人是网络安全、数据安全和个人信息保护的最广泛参与者,需要加强对个人信息保护,保障个人的合法权益,维护人格尊严;企业是网络安全、数据安全和个人信息保护的关键主体,保障企业数据安全对于产业健康发展具有重要意义,企业层面要保证合法合规地搜集和利用个人数据,促进产业有序发展;网络安全、
296、数据安全目前是网络空间安全的焦点,是事关国家安全与经济社会发展的重大问题,在国家层面要保障经济稳定和国家安全,维护国家网络空间安全和数据主权,才能为个人信息保护提供最坚实的基础。3.4.行政法规3.4.1.关键信息基础设施安全保护条例实施关基重点保护(1)重点防范关键信息基础设施风险我国秉承“抓重点、保关键”的立法思路,2017 年 6 月 1 日生效的网络安全法第 31 条以列举的方式引入了关键信息基础设施的概念,列举了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务 7 个重要行业和领域,并规定关键信息基础设施的具体范围和安全保护办法由国务院制定。为配合 网络安全法 第31条
297、的实施,2021年9月1日生效的 关键信息基础设施安全保护条例第二章专门规定了关键信息基础设施的认定程序,规定公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。保护工作部门制定关键信息基础设施认定规则,并根据该认定规则组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。通过制定关键信息基础设施安全保护条例,我国实施对关键信息基础设施的重点保护。(2)重点强调对数据安全的保护网络安全法数据安全法关键信息基础设施安全保护条例均对涉及关键信息基础设施的数据
298、进行特别保护。网络安全法第 37 条强调关键信息基础设施运营者在中国境内收集个人信息和重要数据本地化存储及跨境数据传输安全评估的义务。数据安全法第 31 条也提出关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理适用于网络安全法的规定。关键信息基础设施安全保护条例进一步强调对数据安全的保障,包括关键信息基础设施运营者应维护数据的完整性、保密性和可用性;履行个人信息和数据安全保护责任,建立健全个人信数据安全治理白皮书 5.053中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
299、安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会息和数据安全保护制度;发生重要数据泄露、较
300、大规模个人信息泄露等情形时,保护工作部门及时向国家网信部门、国务院公安部门报告的义务等。关键信息基础设施安全保护条例明确规定了责任的落实,第十三条规定:“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”用法令规定“主要负责人负总责”实行一把手负责制,在网安领域是第一次。同时,为了进一步发现安全风险,关键信息基础设施安全保护条例第 17 条也要求运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评
301、估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。3.4.2.网络数据安全管理条例(征求意见稿)细化数据安全治理规则2021 年国家互联网信息办公室代国务院颁布网络数据安全管理条例(征求意见稿),对网络安全法 数据安全法 个人信息保护法 的规则予以进一步的细化,推动上述法律的进一步落地。网络数据安全管理条例(征求意见稿)规定了数据安全的一般规则、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等的重要内容,具体而言:(1)要求数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的
302、违法犯罪活动,维护数据的完整性、保密性、可用性;按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护;(2)细化取得个人同意的合规要求、个人信息处理规则等内容;(3)重要数据安全,进一步明确数据安全管理机构的具体职责,并要求数据处理者履行制定数据安全培训计划、优先采购安全可信的网络产品和服务等义务;(4)数据跨境安全管理,要求建立健全数据跨境安全相关技术和管理措施;(5)要求互联网平台运营者对接入其平台的第三方产品和服务承担数据安全管理责任,利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动,按照国家有关规定进行安全评估。3.5.部门规章及规范性文件3.5.
303、1.数据安全的协同治理数据安全对于各行各业都十分重要,在国家互联网信息办公室负责全国互联网信息内容管理工作、并负责监督管理执法的统筹协调下,各领域内各相关部门协同共治。在网络和数据安全领域,国家网信部门负责统筹协调网络数据安全和相关监管工作。各地区、各部门在本地区、本部门工作中负责网络安全保护和监督管理工作,对收集和产生的数据及数据安数据安全治理白皮书 5.054中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信
304、联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会全负责;国务院电信主管部门、公安部门和其他有关机关在各自职责范围内承担数据安全监管职责;工业、电信、交通、金融、自然资源、卫生健康
305、、教育、科技等主管部门承担本行业、本领域网络数据安全监管职责;县级以上地方人民政府有关部门的网络数据安全保护和监督管理职责,按照国家有关规定确定。以关键信息基础保护为例,参照关键信息基础设施安全保护条例和贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。网信部门、工信部门、公安部门以及金融、卫
306、生等行业主管机构均在各自职责范围内颁布了数据安全治理的规章及规范文件。例如,国家互联网信息办公室、工信部等五部门发布汽车数据安全管理若干规定(试行),国家互联网信息办公室、国家发改委等十三部门联合发布网络安全审查办法,国家互联网信息办公室发布数据出境安全评估办法、工信部发布工业和信息化领域数据安全管理办法(试行)、中国银行保险监督管理委员会发布银行业金融机构数据治理指引、国家卫生健康委员会发布的国家健康医疗大数据标准、安全和服务管理办法(试行)等。3.5.2.重要规章及规范性文件(1)整体要求总体规范上,2021 年 12 月 28 日,国家互联网信息办公室、国家发改委等十三部门联合发布网络安
307、全审查办法(“办法”),适用于关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的情形。办法规定了网络安全审查应考虑的国家安全风险因素,明确网络安全审查的具体流程。其中,在网络安全审查应考虑的国家安全风险因素中,特别考虑数据安全的因素,将“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”、“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”纳入。2021 年 10 月 29 日,国家互联网信息办公室发布数据出境安全评估办法,旨在规范数据出境活动
308、,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、有序流动。该办法明确需要申报数据出境安全评估的情形、数据出境风险自评估及数据出境安全评估所考虑的事项等。(2)金融领域2020 年 5 月 21 日,中国银行保险监督管理委员发布了银行业金融机构数据治理指引(“指引”),指引是为引导银行业金融机构加强数据治理,提高数据质量,充分发挥数据价值,提升经营管理水平,全面向高质量发展转变而制定的法规。指引共七章五十五条,其中明确了数据治理架构,要求确保数据治理资源充足配置,明确董事会、监事会和高管层等的职责分工,提出可结合实际情况设立首席数据官。指引还明确了监管机构的监管责任、监管方式和
309、监管要求。数据安全治理白皮书 5.055中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数
310、据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会对于数据治理不满足有关法律法规和监管规则要求的银行业金融机构,要求其制定整改方案,责令限期改正;或与公司治理评价、监管评级等挂钩;也可依法采取其他相应监管措施及实施行政处罚。指引实施将进一步提升银行业金融机构的数据治理能力,同时也对数据合规提出了更高的要求。2021 年 1 月,银保监会发布中国银保监会监管数据安全管理办法(试行),该办法规范了银保监会监管数据安全管理工作,提高了监管数据安全保护能力,目的是建立健全监管数据安全协同管理体系,推动银保监会
311、有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。2021 年 9 月,中国人民银行发布了征信业务管理办法,并于 2022 年 1 月 1 日正式实施。明确征信机构采集个人信用信息应当采取合法、正当的方式,遵循最小、必要的原则,并明确告知信息主体采集信用信息的目的,取得信息主体本人同意。通过信息提供者取得个人同意的,信息提供者应当向信息主体履行告知义务。同时,该办法也设专章对信用信息整理、保存、加工进行了规定,明确了征信机构采集的个人不良信息保存期限等。2022 年 1 月,中国人民银行印发金融科技发展规划(2022-2025
312、 年)(“规划”),强调全面加强数据能力建设,在保障安全和隐私前提下推动数据有序共享与综合应用,充分激活数据要素潜能,有力提升金融服务质效。2022 年 12 月,银保监会发布银行保险机构消费者权益保护管理办法,并于 2023 年 3 月 1日正式实施。其中明确规定,银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控。2023 年 2 月,中国证券监督管理委员会发布证券期货业网络和信息安全管理办法,并将于2023 年 5 月 1 日起施行。证券期货业网络和信息安全管理办法对证券期货业网络和信息安全监督管理体系、网络和
313、信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。(3)工业和互联网领域2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了 App违法违规收集使用个人信息行为认定方法,该办法落实网络安全法等法律法规,明确 App 违法违规收集使用个人信息的主要情形,可以为监督执法提供参考,也可以为企业履责合规指明方向,为网民社会监督提供依据。2021 年 3 月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了常见类型移动互联网应用程序必要个人信息范围
314、规定(“个人信息范围规定”),该规定明确了 39 类常见 App 的基本功能服务和必要个人信息范围,这些 App 覆盖了大众衣食住行、学习工作等日常生活主要方面。个人信息范围规定明确要求 App 运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务,在保障 App 正常运行的同时,保障了用户对 App基本功能服务的使用权,以及对收集使用非必要个人信息的知情权和决定权。2022 年 12 月 8 日,工业和信息化部印发工业和信息化领域数据安全管理办法(试行)(以下简称“管理办法”),自 2023 年 1 月 1 日起施行。该办法的发布标志着工业和电信数据迈向全面行业监管,对规范
315、工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据安全治理白皮书 5.056中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
316、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益起着重要指导作用。具体而言:规范工业和信息化领域数据处理活动该办法对在工业和信息化领域对国家数据安全管理制度要求进行了细化:一是对基本概念进行了明确。管理办法第三条明确了工业和信息化领域数据处理者为工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体;数据范围包括工业数据、电信数据和无线
317、电数据等。处理活动包括数据收集、存储、使用、加工、传输、提供、公开等。二是构建数据分类分级保护体系。管理办法第二章规定了对工业和信息化领域数据进行一般数据、重要数据和核心数据分级的“三分法”,并在法规层面对各类数据的范围进行了明确划定,并针对各类数据明确了安全保护要求。包括工业和信息化领域的数据范围、工业和信息化领域数据处理者;二是建立数据全生命周期安全管理制度。管理办法第三章针对不同级别数据,从数据收集、存储、使用、加工、传输、提供、公开等全命周期环节提出分级保护要求,并进一步规定了数据处理者的主体责任。加强数据安全管理,保障数据安全一是构建工业和信息化领域数据安全监督评价体系。管理办法第四
318、条、第五条、第六条明确工业和信息化部负责督促指导,各地方行业监管部门负责开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。从而构建了“工业和信息化部、地方行业监管部门”两级监管机制。二是明确重要数据和核心数据处理者安全保护义务。包括建立覆盖本单位相关部门的数据安全工作体系、明确数据处理关键岗位和岗位职责以及建立内部登记、审批等工作机制等。三是建立数据安全监测预警与应急管理机制。管理办法第四章要求工业和信息化部和地方行业监管部门分别建设国家层面的和本地区的数据安全风险监测预警机制,以及组织开展数据安全风险监测、预警信息发布、及时排查安全隐患等工作机制。促进数据开发利用一是
319、在自动化决策上,管理办法第十六条规定,工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。二是在数据共享上,第十八条规定,工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。三是在数据出境上,管理办法第二十一条规定,重要数据和核心数据确需向境外提供的,应当依法依规进行数据出境安全评估。维护国家安全和发展利益一是在数据分类上,管理办法将与国家安全相关的重点领域相
320、关的数据作为重要数据和核心数据分类的标准。二是在数据共享上,管理办法第十九条规定,数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。三是规定了中央企业的数据安全保护义务。包括督促所属公司按照属地行业监管部门要求,履行重要数据目录备案、风险信息上报等,并且要求中央企业应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,数据安全治理白皮书 5.057中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信
321、联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会并及时报送工业和信息化部。(4)交通运输领域2022 年 8 月,交通运输部就公路水路关键信息基础
322、设施安全保护管理办法(征求意见稿)公开征求意见,进一步细化了公路水路关键信息基础设施认定的考虑因素与责任部门,推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系,更有效、更规范地推进公路水路关键信息基础设施安全保护工作。同年 3 月,工信部、公安部、交通运输部、应急管理部与国家市场监督管理总局联合发布关于进一步加强新能源汽车企业安全体系建设的指导意见。要求企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测,采取有效措施防范网络攻击、入侵等危害网络安全的行为。(5)医疗卫生领域202
323、2 年 8 月 29 日,国家卫生健康委、国家中医药局、国家疾控局印发医疗卫生机构网络安全管理办法。要求“各医疗卫生机构应履行数据安全保护义务,坚持保障数据安全与发展并重,建立健全个人信息保护和数据安全保护制度,建立本单位数据分类分级标准,加强数据全生命周期安全管理工作。”(6)电力领域2022 年 4 月 16 日,国家发展和改革委员会发布电力可靠性管理办法(暂行),规定,电力企业应当落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度,加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作;同年 12 月,国家能源局发布电力行业网络安全管理办法及电
324、力行业网络安全等级保护管理办法。对电力行业关键信息基础设施运营者的安保责任进行了细化规定,要求电力企业主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。国家能源局及其派出机构结合关键信息基础设施网络安全检查,定期组织对运营有第三级及以上网络的电力企业开展抽查。(7)物流领域2022 年 1 月,国家邮政局发布快递市场管理办法(修订草案)(征求意见稿),该草案特别增加了有关个人信息保护的相关规定,包括要求经营快递业务的企业应当建立用户个人信息安全管理制度和操作规程,处理用户个人信息活动符合法律、行政法规以及国务院邮政
325、管理部门的规定,并要求快递企业应当合法处理用户个人信息,采取加密、去标识化等安全技术措施保护快递运单信息安全,不得完整显示自然人身份信息。2023 年 2 月,国家邮政局发布寄递服务用户个人信息安全管理规定。根据寄递服务用户个人信息安全管理规定,寄递企业应当建立健全寄递服务用户个人信息安全保障制度和措施,明确企业部门、岗位的安全保护责任,合理确定寄递服务用户个人信息处理的操作权限,定期对从业人员进行安全教育和培训。寄递企业应当对快递电子运单单号资源实施全过程管理,并采用射频识别、虚拟安全号码、电子纸等有效技术手段对快递电子运单信息进行去标识化处理,防止运单信息在寄数据安全治理白皮书 5.058
326、中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治
327、理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会递过程中泄露。(8)广播传媒领域2022 年 5 月 30 日,国家广播电视总局印发广播电视和网络视听领域经纪机构管理办法,明确要求广播电视和网络视听领域经纪机构、经纪人员收集、处理、使用个人信息,应当遵守国家有关法律规定,对于广播传媒领域落实个人信息保护法中个人信息保护的要求有着重要指导意义。3.6.地方性法规我国各地方同样在不断探索数据安全治理的规则及模式,已出台的 深圳经济特区数据条例 上海市数据条例浙江省公共数据条例贵州省大数据安全保障条例等均在不断深化我国的数据安全治理的模式,提出
328、了一些数据安全治理的新措施。3.6.1.创新数据安全治理新模式深圳经济特区数据条例涵盖个人数据、公共数据、数据要素市场、数据安全等方面,可以认为是国内数据领域首部基础性、综合性立法。在个人数据部分,深圳经济特区数据条例明确规定自然人对其个人数据享有人格权益,细化个人信息处理、告知与同意、个人信息权利等的具体规则;在数据安全部分,深圳经济特区数据条例明确数据处理全流程记录、数据存储进行分域分级管理、重要系统和核心数据的容灾备份、建立数据销毁规程等的要求。上海市数据条例涉及数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作等重点内容,强调数据资源的利用与
329、开发,以及数据资源的合作,并通过明确数据安全责任制、开展数据处理活动所应履行的义务、健全数据分类分级保护制度等保障数据安全。此外,其他一些省市地区也制定了数据发展与安全促进相关的法律类文件。典型的包括天津市促进大数据发展应用条例 贵阳市大数据安全管理条例 重庆市数据条例 苏州市数据条例等。3.6.2.提供公共数据治理的模式借鉴上述地方性法规也突出对公共数据的处理的保护,明确公共数据共享、利用的规则。这也为相关政务大数据共享、政务数据安全检测及敏感数据防泄露等提供有益的指导。深圳经济特区数据条例明确对公共数据进行分类管理,实行公共数据目录管理制度,推动公共数据的共享,以共享为原则,以不共享为例外
330、,并构建公共数据共享、公共数据开放、公共数据利用的治理体系;上海市数据条例同样建立公共数据共享和开放的机制,也特别规定了公共数据授权运营的模式,提高公共数据社会化开发利用水平;浙江省公共数据条例全面规定公共数据平台、公共数据收集与归集、公共数据共享、公共数据开放与利用、公共数据安全等的内容,数据安全治理白皮书 5.059中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全
331、治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会促进公共数据应用创新,保护自然人、法人和非法人组织合法权益,保障数字化改革。此外,广东省首席数据官制度试点工作方案提出的政府首席数据官和部门首席数据官也体现出地方在公共数据资
332、源开发利用上的积极尝试与探索。3.7.国家标准、行业标准及相关指南“安全发展,标准先行”,标准化工作是保障网络数据安全的重要基础。为落实国家出台的数据安全相关法律法规要求,围绕数据安全和个人隐私保护,全国信息安全标准化技术委员会及金融、电信、工业、互联网等重点行业、地区颁布了一系列的国家、行业、地方技术标准及相关指南,对法律法规中较为原则性的规定给予了具体的指导。从防止数据泄露、保护个人权益、提升数据安全治理能力等多方面、多角度,提出细化的保护要求与防护措施,对指导各行业组织合法、合规的开展数据安全治理工作,促进数据充分利用、有序流动和安全共享,推动数字经济发展具有重要意义。网络数据安全标准体
333、系包括基础共性、安全技术、安全管理、重点领域四大类标准:(1)基础共性标准包括术语定义、数据安全框架、数据分类分级,相关标准为各类标准提供基础性支撑;(2)安全技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范;(3)安全管理标准从网络数据安全保护的管理视角出发,指导行业有效落实法律法规关于网络数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等;(4)重点领域标准结合相关领域的实际情况和具体要求,围绕移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能等重点领域指导行业有效开展网络数据安全保护工作。具体内容参见附录 E:我国主要数据安全相关标准汇总。数据安全治理白皮书 5.060中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信