2020年电信和互联网行业数据安全治理白皮书.pdf_报告吧baogao8.com-

资源描述

电信和互联网行业数据安全治理白皮书（2020 年）中国软件评测中心网络空间安全测评工程技术中心 2020 年7 月版权声明本白皮书版权属于中国软件评测中心，并受法律保护，转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明 “来源：中国软件评测中心”，违反上述说明的，本单位将追究其相关法律责任。编写指导：安晖唐刚编写小组：白利芳朱信铭王涛王翔宇张嘉欢张德馨黄峥宁黄江李杺恬目录前言 . 1 一、概述 . 3 1.1.概念及内涵 . 3 1.1.1.数据治理概念分析 . 3 1.1.2.数据安全治理理念 . 5 1.2.行业数据主要分类 . 6 1.2.1.基于行业特点划分 . 6 1.2.2.基于服务对象划分 . 7 1.3.行业数据典型应用 . 8 1.3.1.行业数据主要应用类型 . 8 1.3.2.行业数据典型应用案例 . 10 二、电信和互联网行业数据安全发展形势 . 11 2.1.行业数据安全总体形势 . 11 2.1.1.事件影响范围不断扩大 . 11 2.1.2.风险危害程度日趋严重 . 12 2.1.3.安全治理难度持续升级 . 13 2.2.行业数据安全主要风险 . 13 2.2.1.互联网暴露面问题突出 . 13 2.2.2.数据不可控性明显增加 . 14 2.2.3.数据安全管理体系不完善 . 14 三、电信和互联网行业数据安全治理环境 . 15 3.1.国际数据安全治理环境 . 15 3.1.1.欧盟密集立法深刻影响全球治理格局 . 153.1.2.美国多点立法捍卫其多元化社会利益 . 17 3.1.3.国际数据治理情绪高涨配套动作频繁 . 18 3.2.国内数据安全治理环境 . 20 3.2.1.国内政策多头并进迎来治理新格局 . 20 3.2.2. 国内数据治理标准化进展领先国际 . 23 四、电信和互联网行业数据安全治理需求 . 24 4.1.国内外政策形势紧迫 . 24 4.2.安全和发展双重驱动 . 25 4.3. 数据拥有者权益期待 . 26 五、电信和互联网行业数据安全治理实践 . 27 5.1.国外典型实践案例 . 27 5.1.1.微软之DGPC 框架 . 27 5.1.2.Gartner 之DSG 框架 . 28 5.2.国内典型实践案例 . 29 5.2.1.监管层主要实践 . 29 5.2.2.企业层实践案例 . 31 5.3.国内外实践对比 . 34 5.3.1.国外标志性实践 . 34 5.3.2.国内标志性实践 . 35 5.4.行业实践问题分析 . 35 5.4.1.企业顶层驱动力不足 . 35 5.4.2.“ 网元” 模式待升级 . 36 5.4.3.缺乏用户侧权益考量 . 36 六、电信和互联网行业数据安全治理框架 . 36 6.1.数据安全治理层 . 376.2.数据安全管理层 . 37 6.3.数据安全执行层 . 38 6.4.数据安全监督层 . 38 七、电信和互联网行业数据安全治理建议 . 40 7.1.政策协调为逻辑起点 . 40 7.2.权责分明为框架主线 . 40 7.3.分级分类为实践基础 . 41 7.4.治理评估为落地支撑 . 42- 1 - 前言网络信息技术创新日新月异，数字化、网络化、智能化融合发展，对我国建设网络强国、数字中国、智慧社会发挥着至关重要的作用。世界各国都把推进经济数字化作为创新发展的重要动能，并作出前瞻性布局。以数据为关键要素的数字经济发展历程中，数据价值也由最初的数据资源发展成为数据资产，再进一步发展为数据资本。4 月 9日，中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见，要求“加快培养数据要素”，将数据作为新型生产要素，正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。电信和互联网行业（以下简称“行业”）在数据规模、覆盖范围、存储和传输能力，及实时性和多样性方面均具有突出的价值优势。随着行业数据内外部应用的同步拓展和推进，数据安全问题日益凸显，严重阻碍行业数据资源价值释放。做好行业数据安全治理刻不容缓。本白皮书聚焦行业数据安全治理，首先，对数据治理、数据安全治理的内涵，以及行业数据主要分类、典型应用、安全发展形势进行了简要阐述和分析；其次，在梳理国内外数据安全治理环境的基础上提出行业数据安全治理需求，介绍了国内外数据安全治理的典型实践案例，并进行了问题分析；最后，提出行业数据安全治理框架和行业数据安全治理相关建议。中国软件评测中心（工业和信息化部软件与集成电路促进中- 2 - 心），简称中国软件评测中心，是直属于工业和信息化部的一类科研事业单位。长期服务和支撑国家部委、地方政府以及电信和互联网、交通、能源、银行、证券、保险、教育、卫生、广电、航空等各大行业，业务范围覆盖全国 31个省、自治区、直辖市，业务网络覆盖全国 500多个城市，构建了基于第三方服务的科技产业链。网络空间安全测评工程技术中心（以下简称“网安中心”）是中国软件评测中心核心业务板块，致力于信息系统的网络安全防护和安全运行，支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。- 3 - 一、概述 1.1. 概念及内涵 1.1.1. 数据治理概念分析数据治理是近年来学术界、产业界关注的新热点，但关于数据治理这一概念的定义尚未完全统一。国际标准化组织、国际数据管理协会等国内外专业组织和部分知名研究机构都提出了其理解。国际标准化组织的 IT服务管理与 IT治理分技术委员会（ISO/IEC JTC1/SC40，简称 SC40）关于数据治理的概念建立在 IT治理的基础上，将 ISO/IEC 38500 的 IT治理框架和模型应用于数据治理，认为数据治理为 IT 治理的一个子集或子域，通过持续的评价、指导和监督，平衡数据技术及其流程中的风险和收益，实现企业治理目标。即认为数据治理是数据在产生价值的过程中，治理主体对其进行评估、指导和监督的活动集合。国际数据管理协会（DAMA）关于数据治理的概念建立在数据管理的基础上，认为数据治理是数据管理的核心，是对数据资产行使权力和控制的活动集合（包括计划、监控和执行），指导所有其他数据管理功能的执行，在更高层次执行数据管理。国际数据治理研究所（DGI）认为，数据治理和数据管理是两个完全独立的概念，并将数据治理定义为对数据相关事项作出决策和行使职权的活动，具体定义为一套信息相关过程的决策与问责体系，根据商定的模型执行，这些模型描述了谁可以根- 4 - 据什么信息，在什么时间和情况下，用什么方法，可采取什么样的行动。国际知名 IT 咨询与研究机构 Gartner 与 DGI 有着类似定义，认为数据治理是一套决策权规范和问责框架，以确保数据和分析在评估、创建、使用及控制过程中的适当行为。 IBM 数据治理委员会认为数据治理是对企业中数据可用性、相关性、完整性和安全性的整体管理，以帮助企业管理其信息知识并理解数据。我国信息技术服务标准（ITSS）体系中的信息技术服务治理第 5部分：数据治理规范（以下称数据治理规范）中，将数据治理定义为数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。 GB/T 35295-2017 信息技术大数据术语和 GB/T 36073-2018 数据管理能力成熟度评估模型中，将数据治理定义为数据进行处置、格式化和规范化的过程。是数据和数据系统管理的基本要素，涉及数据全生存周期管理，无论是出于静态、动态、未完成状态还是交易状态。中国银行保险监督管理委员会发布的银行业金融机构数据治理指引明确，（行业内的）数据治理是指银行业金融机构通过建立组织架构，明确董事会、监事会、高级管理层及内设部门等职责要求，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程。中国软件评测中心网安中心综合研究分析发现，与国外数据- 5 - 治理大多率先在企业层面成功实践不同，国内对数据治理的研究更多站位国家治理、公共管理，再逐步形成规范指导组织（或企业）开展相关治理活动，即数据不仅仅是组织（或企业）的资产，更是国家的一种基础战略资源；数据治理主体不仅仅局限于企业，政府、市场、社会及个人也是重要主体，且治理实践不仅要依靠框架、模型和技术，还应结合政策、法律、教育、道德伦理等方法和手段，包括治理主体之间的统筹协调；数据治理目的不仅仅是确保数据的高效合理利用及企业的价值实现，更是为了提升国家治理能力和政府公共管理能力，即数据治理是国家治理体系和治理能力现代化的重要组成部分，影响着经济调节、市场经济、社会管理、公共服务等多个领域，关联着人才、资本、知识等各类要素，是一项系统性工作。由此，本白皮书认为，数据治理是多元治理主体以数据生产要素为对象，以释放数据价值为目标，以守住数据安全为底线，以建立健全数据全生命周期秩序规则为核心，以推动数据有序管理和流转为主要活动，以强化数据管理技术手段为支撑的一系列活动，具有综合性、复杂性和长期性等特征。 1.1.2. 数据安全治理理念数据安全治理的理念最早由 Gartner 正式提出，认为数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。微软则提出专门强调隐私、保密和合规的数据- 6 - 安全治理框架（DGPC），以更好实现数据安全风险控制。其数据安全治理理念主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开，与现有安全框架体系或标准协同合作以实现治理目标。国内数据安全治理委员会认为，数据安全治理是以 “让数据使用更安全”为目的，通过组织构建、规范制定、技术支撑等要素共同完成的数据安全建设的方法论。总体而言，数据安全治理是数据治理的一个重要组成部分，贯穿数据治理各个过程及数据全生命周期，聚焦数据的“安全” 属性，而数据治理则强调数据的“价值”属性。随着国际数据安全形势日益严峻，数据价值的释放严重受阻，数据安全治理迫在眉睫。电信和互联网行业数据资源丰富，对我国数据要素市场的培育具有不可替代的作用，为了保障行业数据资源价值的充分释放，行业应通力协作、主动出击，率先取得行业数据安全治理实践成功。 1.2. 行业数据主要分类 1.2.1. 基于行业特点划分行业基础网络数据。主要指用户及企业在使用电信基础网络设施过程中所产生的基础数据，包括了个人及设备的标识数据、位置及行为的日志数据等，依据对电信基础网络的调研结果，可以将其主要划分为：基础信息类数据；日志类数据；结果类数据；辅助类数据；- 7 - 管理类数据。行业基础业务数据。行业的数据资产结构主要与其开展的业务相关，目前较突出的是社交数据、电商数据、游戏数据、用户行为数据。其中：社交数据主要包括关系链数据、用户间的互动数据、用户自己产生的图文和视频内容、用户的位置信息等；游戏数据主要包括大型网游数据、网页游戏数据、手机游戏数据，及游戏活跃行为数据和付费行为数据；电商数据主要包括商品浏览、搜索、点击、收藏、购买、物流等数据；用户行为数据主要包括社交行为数据、访问浏览数据、搜索数据、消费数据等。 1.2.2. 基于服务对象划分用户数据。各系统和业务的用户所拥有和产生的数据，主要包括了用户身份相关数据、用户服务内容数据、用户服务衍生数据等。用户身份数据主要包括了用户自然人身份标识和证明或网络虚拟身份标识、用户基本资料及私密资料等信息，以及用网络身份鉴权信息；用户服务内容数据主要包括了对用户提供的电信和互联网服务的内容数据、联系人信息等资料数据；用户服务衍生数据主要包括了服务订购数据、行为数据、位置数据、征信或违规数据等用户衍生数据以及用户设备信息等数据。- 8 - 企业运营管理数据。系统运行和业务流程中，服务于企业自身经营的各类数据，主要包括企业管理数据、业务运营数据、网络运维数据、合作伙伴数据等。企业管理数据主要包括企业内部管理数据，如发展战略及规划数据、财务数据、人事数据、对外合作数据及其他管理数据；市场经营类数据，如经营分析类数据、经营考核类数据、资源部署数据、营销方案等；企业公开披露和上报数据，主要指资本市场及主管部门要求公开或上报的数据；业务运营数据主要包括资费信息及管理信息、渠道数据、客服数据、营销数据及日常运营产生的其他数据等；网络运维数据主要包括密码及关联数据、资产资源类数据、支撑类数据等；合作伙伴数据包括合作伙伴基础资料信息、合同协议、合作过程中产生的数据等。 1.3. 行业数据典型应用 1.3.1. 行业数据主要应用类型行业基础网络应用。行业基础网络设施承载了几乎全行业的上层服务应用，基础设施规模及其承载的服务应用数据规模庞大，通过调研，行业基础网络数据的典型应用主要包括： IDC/ISP信息安全管理系统； IP资源管理系统；- 9 - 网络安全监测与管理系统；工业互联网安全监测系统；移动互联网综合监控平台以及反诈分析类系统等。行业基础服务应用。行业基础服务应用主要是各个服务商应用其用户数据和企业经营管理数据进行分析，指导其自身经营活动或为用户/客户提供分析服务的各类应用。从自下而上可划分为七个层次的应用类型：数据基础平台层应用主要实现数据的有效存储、计算和质量管理；业务运营监控层应用主要是搭建业务运营的关键数据体系，在此基础上通过智能化模型开发出来的数据产品，监控关键数据的异动，通过各种分析模型等可以快速定位数据异动的原因，辅助运营决策；用户客户体验优化层应用主要是通过数据来监控和优化用户客户的体验问题；精细化运营和营销层应用主要通过数据驱动业务精细化运营和营销；数据对外服务和市场传播层应用一般服务于互联网企业的客户或用户，主要通过数据信息图谱和数据可视化产品来为客户提供数据分析服务；经营分析层应用主要通过分析师对大数据进行统计，形成经验分析周报、月报和季度报告等，对用户经营情况、收入完成情况进行分析，发现问题，优化经营策略；战略分析层应用则既要结合内部的大数据形成决策层- 10 - 的数据视图，也要结合外部数据尤其是各种竞争情报监控数据、国外趋势研究数据来辅助决策层进行战略分析。 2.2.2. 行业数据典型应用案例（一）典型商业应用基于用户社交数据、行为数据和轨迹（LBS 定位）数据等进行用户画像，决策推送的广告类型，并对匹配的多家广告主提出竞价范围，经过各广告主竞价，最终将确定的广告内容推送至用户端，短短的 200毫秒左右即可实现大范围的高速匹配和决策，实现精准营销。“大数据杀熟”也是利用了类似技术，包括数字版权、在线内容付费等领域也在借此辅助其更精准的将最匹配的内容和定价推送至每一个独特的用户个体。电商平台在为用户提供商品的关键字索引服务时，搜索引擎对大量用户数据、商品数据、交易数据等数据资源进行文本分析、机器学习和同义词挖掘等，使得列出的商品更加满足客户的个性化需求并最终导致用户的购买行为。零售巨头沃尔玛借助语义搜索技术自行设计的搜索引擎 Polaris，使其在线购物完成率提升 10%到 15%。（二）典型支撑应用通过对话单数据、短消息、网络行为数据等数据进行识别、定位、拦截、统计分析和综合研判等，为主管部门及其他管理部门的反电信诈骗和互联网诈骗工作提供有力支撑。借助复杂的大数据分析系统，通过对基础网络信令及日志数据、网站及 APP 应用的各类数据，进行实时感知预警、统计分- 11 - 析、综合研判、应急处置等，更好地支撑行业主管部门及其他执法部门开展网络舆情分析、社情民意调查、安全态势感知等工作。由于行业基础网络设施、基础网络服务等优势，决定了其所承载数据类型的全面性，为政府其他工作的开展也起到不可替代的作用，如通过定位数据、用户通信数据、用户行为数据等指导防疫救灾、缓解交通拥堵、推动旅游业发展、提高公共设施维护效率等。二、电信和互联网行业数据安全发展形势 2.1. 行业数据安全总体形势 2.1.1. 事件影响范围不断扩大电信和互联网行业是全球数字化进程的先驱。随着数字化进程的迅猛推进，数字技术已向行业全方位加速渗透、融合。数字化程度愈高，数据安全风险暴露面、攻击面越广，加之数据价值的提升，数据市场的驱动，数据利益相关方趋之若鹜，围绕网络攻击、数据窃取和数据交易形成的数据黑市已经成为大规模、有组织的犯罪集团，数据黑灰产猖獗，数据滥用及数据安全事件愈演愈烈。 2020年 5 月 19日，美国电信巨头 Verizon公司发布 2020 年数据泄露调查报告(DBIR)。报告显示，81 个国家参与调研的数据泄露事件中，55%的泄露事件和有组织犯罪相关，外部攻击占 70%，企业内部攻击占 30%；58%涉及个人数据泄露，72%的受害者为大型企业。- 12 - 从数据安全影响的对象来看，影响范围从最初的企业和个人逐步向整个行业及全社会蔓延。从发展的角度来看，首先，影响行业数据合理开放共享的意愿和积极性；其次，影响用户对行业数据安全治理的信心，从而影响行业新技术新业务与实体经济的深度融合；再者，数据安全问题为数据跨境流通、数据驻留规管带来负面影响，甚至面临被动局面。 2.1.2. 风险危害程度日趋严重行业数据价值巨大，一旦出现安全问题，首先，会造成企业声誉和经济损失个人造成巨大的经济损失。2020 年 2月 23日，某 SaaS 服务商因员工恶意破坏公司线上生产环境及数据，导致其相关系统崩溃，大量商家的线上生意停摆，直至 3 月 3 日才完成了全部的数据恢复上线。此次事件后果严重，其服务的 300万商户业务受到影响，在正式公告发出前 5个工作日，股价下跌超 22%，股价缩水超 30亿港元。据 IBM2019年全球数据泄露成本报告显示，过去 5年数据泄露成本上升了 12%，平均成本已达到 392万美元。恶意数据泄露平均会给企业带来 445万美元的损失，比系统故障和人为错误等意外原因导致的数据泄露高出 100多万美元。其次，可能危害到用户的生命或财产安全。如个人信息泄露不只是隐私权被侵犯的问题，也可能被犯罪分子利用，进行违法犯罪活动，电信和互联网诈骗事件就是典型，也不乏个人信息泄露有关的命案。此外，各国非常重视大数据在国家安全领域的运用，随着各国的数据战略部署，数据治理逐步上升到国家战略层面，某些数- 13 - 据安全事件极有可能发展为影响社会秩序、政治稳定、国家安全的非常事件。 2.1.3. 安全治理难度持续升级引发数据安全风险的风险源可能是机器故障、内部人员的恶意行为或失误操作，也可能是外部黑客的恶意攻击；而恶意攻击途径又有不同，可能采用恶意软件、安全漏洞、社会工程学等手段或多种手段的组合；发起数据安全攻击的动机也不尽相同，单纯的炫技、商业或经济利益、军事或政治利益等。这为数据安全风险的防范带来一定难度。此外，随着行业网络形态不断演化，新技术新应用场景的日渐复杂，衍生出新的数据类型、数据生产方式、数据处理方式和终端形式等，引发了新一轮的数据安全事件爆发，而对于新型安全风险的研究和防范能力目前还有待提升，安全挑战不断加剧。再者，数字化的加速推进促进了复杂网络中的数据流，极大的模糊了传统数据安全的边界，使得行业基于边界或网元的防护体系不再能满足当前跨组织的数据流通安全风险管理、联动规范的接口管控、风险管控追踪等数据安全治理需求。多方面因素导致数据安全治理难度持续升级。 2.2. 行业数据安全主要风险 2.2.1. 互联网暴露面问题突出近年来，中国软件评测中心网安中心持续支撑工信部等监管机构开展对电信和互联网行业的威胁监测和远程检测，发现的安- 14 - 全漏洞或问题 80%和数据安全相关，主要包括 SQL 注入、非授权访问、数据泄露三大类。其中实现非授权访问的原因多样，包括弱口令、授权绕过、未进行身份验证等。数据泄露方面甚至存在源代码泄露。 2.2.2. 数据不可控性明显增加随着信息技术的不断发展和信息化的不断普及渗透，行业数据产出以几何级增加，大数据中心和大数据系统应运而生。海量数据的生产、汇聚、存储、提炼、挖掘、应用等数据流转处理环节和流程大大增加。另一方面，就目前我国大数据技术架构而言，多数使用 Hadoop、Spark、MongoDB 等开源软件搭建平台，存在数据安全不可控的风险。此外，越来越普及的云计算，具有数据所有权和管理权分离的特点，用户对被存储在云端的数据是否完整无误，受到损坏后是否可恢复，是否被滥用，以及数据的存储策略、保留的副本数量、存储位置、销毁执行是否均按照 SLA 协议执行等均不可控。 2.2.3. 数据安全管理体系不完善行业数据泄露事件时有发生，大多是事后发现和弥补，缺乏事前防范管理。主要表现在数据安全管理体系不健全，组织架构不完善、制度缺失、人员不足、意识不强、缺乏预案等方面。综合中国软件评测中心网安中心多年的数据安全检查和评估项目实施等经验，行业在数据安全管理方面典型问题主要有：缺乏数据安全方面的管理机构。数据安全未引起足够的重视，未建立领导层面牵头的管理机构，数据安全管理责任无法明确和充分落实。- 15 - 数据安全控制措施不力。缺乏数据全生命周期安全管理相关规章制度，数据管理分散，未对数据资产摸底梳理，未合理配备相应的岗位和人员，数据未分级分类，没有严格的数据访问控制及权限管理，数据日志记录和审计措施不够，安全事件取证、分析、溯源能力不足，数据安全培训缺乏，应急预案不完善或缺失等。数据安全优先级不足。对数据安全风险的评估和认识不足，未将数据安全作为企业发展的重要考量，数据安全让步业务，系统带病运行。对数据安全合规性认识不足。缺乏数据安全合规性评估机制，不了解行业数据安全相关政策、法律法规、标准规范等，存在违规行为而不自知。三、电信和互联网行业数据安全治理环境 3.1. 国际数据安全治理环境 3.1.1. 欧盟密集立法深刻影响全球治理格局欧盟“数据”和“安全”相关法律立法密集，与其“数字化单一市场”战略齐头并进，深刻影响国际数据治理格局，包括美国、日本、韩国、印度、加拿大等在内的十几个国家为了打通欧盟立法产生的数据壁垒，与其已经达成或正在谈判以达成数据传输保护协议。其中，在美国曝光监听丑闻及棱镜事件后，欧盟认为欧美长达 15 年的安全港协议不足以保护欧盟公民隐私。2016 年 2月 2日，美国与欧盟达成新的隐私盾（EU-US Privacy Shield- 16 - 协议，新协议要求美国企业履行更加严格的义务以保护欧盟公民的个人数据，并必须作出相应承诺。新协议实施不久便遭受阻碍，被法国多家隐私保护组织起诉至法院。2019 年 1 月 23日，日本与欧盟达成数据共享协议，在欧盟对其进行充分性认定前，日本实施了额外的保障措施，以确保由欧盟转移的数据享有符合欧洲标准的保护保障，并进行至少每四年一次的协议运作审查。表 1 欧盟近几年主要政策法律进展年份欧盟政策法律环境 2016 4 月 27 日，发布 2016/679 号条例通用数据保护条例（GDPR），条例制定了个人数据保护的一般规范，为欧盟内外个人数据的自由流动提供了确定性保护，开启了其成员国新一轮数据立法，是欧盟新形势下数据治理的里程碑事件。 7 月 6 日，颁布首部网络安全相关法律网络与信息系统安全指令（NISD），旨在加强基础服务运营商、数字服务提供商的网络与信息系统安全，并要求成员国及时转化为国内立法，与 GDPR分别从安全和基本权利保障两个层面实现其网络治理战略意图。 2018 10月 23日，发布 2018/1725号条例联盟机构个人数据处理保护条例，作为 GDPR 的补充对欧盟机构处理个人数据时对自然人的保护提出基本要求，明确了数据主体的权利范围及主要监管机关的职能和义务。 11 月 14日，发布 2018/1807号条例非个人数据自由流动条例，对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题作了具体规定，并考虑了服务提供商负担过度及市场扭曲的问题，进一步完善了欧盟数据治理框架。- 17 - 年份欧盟政策法律环境 2019 4 月 17 日，颁布 2019/881 号条例关于 ENISA 和信息通信技术网络安全认证的条例（又称2019 网络安全法案），法案指定欧盟网络和信息安全署（ENISA）为永久性欧盟网络安全机构，确立了第一份欧盟范围的网络安全认证计划，以确保向欧盟境内提供的产品、流程和服务满足其网络安全标准。欧盟网络安全治理的里程碑事件。 6月 20日，发布数据开放指令 2020 2月 19日，发布欧盟数据战略，从构建统一数据治理架构、加强数据基础设施建设、加大数据技能和素养投资、打造欧洲数据空间等方面概述了欧盟在数据方面的核心政策举措及未来 5年数据投资战略。 3.1.2. 美国多点立法捍卫其多元化社会利益目前美国尚无联邦层面的综合性数据安全正式立法，但在联邦层面多次强调将数据作为执法优先项。受欧盟数据立法影响， 2018年 6 月 28日，美国在州层面通过第一部数据隐私法案加州消费者隐私法案，随后提出数据保护法案，并于 2019 年底相继提交国家安全和个人数据保护法提案、联邦数据战略与 2020 年行动计划。此前，特朗普签署了外国情报监视法案修正案第 702条的更新授权，同意授权美国国家安全局 (NSA)监听境外目标人员并收集其相关数据情报。并签署澄清合法使用海外数据法即“CLOUD 法案”，根据该法案，无论美国网络服务提供商的数据是否存储在美国境内，只要是提供商拥有、控制或监管的数据，均须按照该法令的要求保存、备份和披- 18 - 露。同时允许“适格外国政府”执法机构调取美国存储数据，但“适格”认定、调取规则以及上述域外数据采集要求均以美国利益为先加以制衡。表 2 美国政策法律环境年份美国政策法律环境 2018 1月 11 日，通过外国情报监视法案修正案第 702条的更新授权，延续其霸权形式的互联网监视及情报收集计划 3 月 23 日，签署澄清合法使用海外数据法，提升了美国执法机构对境外存储数据的执法权限 6月 28日，通过第一部数据隐私法案加州消费者隐私法案，强化了数据主体对个人信息的控制权,规范了企业收集处理数据的方式，于 2020年 1月 1日正式生效 12月 13日，提出数据保护法案 2019 11 月 18日，提交国家安全和个人数据保护法提案 12 月 23 日，发布联邦数据战略与 2020 年行动计划，以数据治理视角，描述了联邦政府 2020年起的未来 10年的数据愿景，并确定了 2020年需采取的 20项关键行动 3.1.3. 国际数据治理情绪高涨配套动作频繁 2017 年至今，日本、澳大利亚、越南、巴西、加拿大、印度、新加坡等国家纷纷出台数据相关政策法律，其中，加拿大的个人信息保护和电子文件法修正案增加了强制性数据泄露通知报告要求。印度的个人数据保护法案，引入了更为广泛的数据本地化要求，对包括互联网行业在内的多个行业带来全面冲击。新加坡通信信息部和个人数据保护委员会联合发布的个人- 19 - 数据保护法（修订）草案，是规范个人数据的收集、使用和披露的综合性立法，为配合该法更好执行，还配套出台了特定领域（如电信、房地产、教育、医疗、社会公益服务等行业）的个人数据保护指南。此外，美国主导下的亚太隐私数据跨境体系（APEC CBPRs）也在沉寂期后迎来实质性进展。2018 年，新加坡、澳大利亚和中国台北获 APEC批准，加入 CBPRs 体系。截至目前，在 APEC 21 个经济体中，已有包括美国、日本、加拿大、韩国、新加坡等 8 个经济体加入 CBPRs 体系。意味着体系内成员国的认证企业之间个人信息的跨境流动不受阻碍。ODCE 经合组织也在继 2013 年 7 月发布隐私及个人数据跨境流动保护指引后，于 2019年 11 月，发布报告公共部门如何实现数据驱动，以促进公共部门采用更多数据驱动的方法来制定政策、提供服务，并提出关于建设数据驱动型公共部门的建议。全球数据安全标准发展迅速，包括国际标准组织 ISO、国际电信联盟 ITU-T、全国信息安全标准化技术委员会（TC260）、以及互联网行业管理部门工信部下属行标数据安全组织 CCSA TC8 的相关数据安全标准及其体系。关于数据治理相关标准或框架目前的主流成果包括：国际标准化组织的数据治理国际标准（ISO/IEC 38505）、国际数据管理协会的数据管理知识体系指南（DAMA-DMBOK）、国际数据治理研究所（DGI）的数据治理框架、 IBM数据治理委员会的数据治理成熟度模型以及我国信息技术服务标准（ITSS）体系中的数据治理规范。- 20 - 表 3 其他国际组织政策法律环境年份国际其他组织政策法律环境 2017 5月 30日，日本个人信息保护法修订版全面实施 2018 2月 22日，澳大利亚隐私法修正案数据泄露通知计划正式实施 6月 12日，越南通过网络安全法 8月 14日，巴西批准通用数据保护法 11 月 5日，加拿大个人信息保护和电子文件法修正案生效新加坡、澳大利亚、中国台湾加入 APEC CBPRs体系 2019 12月 4日，印度通过个人数据保护法案 11 月 28 日，ODCE 经合组织发布报告公共部门如何实现数据驱动 2020 5月 14日，新加坡发布个人数据保护法（修订）草案 3.2. 国内数据安全治理环境 3.2.1. 国内政策多头并进迎来治理新格局 2015 年以来，国家出台多部重大立法，中华人民共和国国家安全法、中华人民共和国网络安全法、中华人民共和国电子商务法、中华人民共和国密码法、中华人民共和国民法典等多部法律颁布并施行，分别从不同角度不同程度地对个人信息和数据保护做了相关规定。国务院先是于 2017 年印发关于运用大数据加强对市场主体服务和监管的若干意见，提出充分运用大数据先进理念、技术和资源，加强对市场主体的服务和监管，推进简政放权和政府- 21 - 职能转变，提高政府治理能力。又于 2020 年印发关于构建更加完善的要素市场化配置体制机制的意见，提出“加快培育数据市场要素”，优化经济治理基础数据库，培育数字经济新产业、新业态和新模式，加强数据资源整合和安全保护。国家互联网信息办公室于 2019 年发布数据安全管理办法（征求意见稿），对利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，做了详细规定；并发布个人信息出境安全评估办法(征求意见稿)，目前两项公开征求意见工作均已完成。随后，审议通过儿童个人信息网络保护规定。 2020 年 1 月 17 日至 18 日，中央政法工作会议强调，要把大数据安全作为贯彻总体国家安全观的基础性工程，依法严厉打击侵犯公民隐私、损坏数据安全、窃取数据秘密等违法犯罪活动。此外，从 1980 年提议到被纳入十三届全国人大常委会立法规划的电信法，历时 39 年终于迎来新进展，同样被纳入规划的个人信息保护法和数据安全法已列入 2020 年立法工作计划，其中个人信息保护法已形成草案稿（尚未提请审议），数据安全法（草案）已于 2020年 6月 28日提请十三届全国人大常委会第二十次会议审议。国内诸多政策、立法齐头并进，为数据及其安全治理落地实践提供全面保障。总体来说，全球政策法律环境由前期的以信息自由、数据共享为价值导向，逐步发展到以个人信息及隐私保护为重点，而后向全面的数据治理扩张，为数据安全治理及其法治化提供了良好的政策环境保障。- 22 - 表 4 国内政策法律环境年份国内政策法律环境 2015 7月 1日，颁布国家安全法、印发关于运用大数据加强对市场主体服务和监管的若干意见 2017 6月 1日，网络安全法正式施行，对个人信息保护作出明确规定 2018 8 月 31 日，颁布电子商务法，除了对个人信息保护作出规定外，对于“数据杀熟”问题也首次尝试作出回应 2019 5月 28日，发布数据安全管理办法（征求意见稿） 6月 13日，发布个人信息出境安全评估办法(征求意见稿) 10月 1日，儿童个人信息网络保护规定正式实施电信法被纳入十三届全国人大常委会立法规划 2020 1月 1日，中华人民共和国密码法正式施行 4月 9日，印发关于构建更加完善的要素市场化配置体制机制的意见 4 月 27 日，12 部门联合发布网络安全审查办法，明确网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，包括网络产品和服务使用后带来的关键信息基础设施重要数据被窃取、泄露、毁损的风险 5月 28日，通过中华人民共和国民法典，第六章“隐私权与个人信息保护”明确了隐私权、个人信息的定义，典型的隐私权侵害行为，个人信息处理的原则和条件，个人信息主体的权利，信息处理者的安全和保密义务等内容被列入 2020 年立法工作计划的数据安全法草案已于 6 月 28日提请审议；个人信息保护法草案稿待提请- 23 - 3.2.2. 国内数据治理标准化进展领先国际国内在数据治理标准化进展方面，处于主导地位。2014 年， ITSS 分委会启动了数据治理标准预研工作，并向 SC40/WG1 提交了数据治理白皮书（英文版）和数据治理研究技术报告，获得国际专家一致认可。2015 年 5月，在巴西 SC40全会上，中国代表团正式提出“数据治理国际标准”新工作项目建议并获通过。会议决定将数据治理国际标准分为两个部分，其中， ISO/IEC 38505-1 ISO/IEC 38500在数据治理中的应用（以下称 ISO/IEC 38505-1）由中国国家成员体（SAC）申请立项并由我国专家作为联合编辑研制，并于 2017年 3月 31日获得国际标准化组织批准，并正式发布，这是国际上第一个数据治理国际标准。第二个部分 ISO/IEC TR 38505-2数据治理对数据管理的影响（以下称 ISO/IECTR 38505-2）是由我国专家主导编辑研制的第二个数据治理领域的重要国际标准，并于 2018年 5月 16日获批发布。项目期间，ITSS 分委会同步开展了数据治理国家标准的研制工作，并于 2018年 6 月 7日正式发布 GB/T 34960.5-2018信息技术服务治理第 5部分：数据治理规范。表 5 国内主要标准化进展年份国内主要标准化进展 2014 向 SC40/WG1提交了数据治理白皮书（英文版）和数据治理研究技术报告 201

展开阅读全文