2021数据安全治理白皮书.pdf_报告吧baogao8.com-

资源描述

数据安全治理白皮书中国电子信息产业发展研究院赛迪智库网络安全研究所二零二一年六月 1 前言在数字信息技术日新月异的发展趋势下，数据已成为数字经济发展的核心生产要素，是国家重要资产和基础战略资源。随着数据价值的愈加凸显，数据安全风险与日俱增，数据泄露、数据贩卖等数据安全事件频发，为个人隐私、企业商业秘密、国家重要情报等带来了严重的安全隐患。当前，数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。为此，国家高度重视数据安全的顶层设计：在相继发布的促进大数据发展行动纲要（ 2015）、科学数据管理办法（ 2018）、关于构建更加完善的要素市场化配置体制机制的意见（ 2020）以及 “十四五”规划（ 2021）中，均提出发展数字经济、加快培育发展数据要素市场，应把保障数据安全放在突出位置的重要思想内涵。面对数据安全威胁日益严峻的态势，着力解决数据安全领域的突出问题，有效提升数据安全治理能力迫在眉睫。然而，由于数字技术促使数据应用场景和参与主体日益多样化，数据安全的外延不断扩展，数据安全治理面临多重棘手困境。为此，本白皮书在分析我国数据安全风险、治理现状、治理困境的基础上，从政策、监管、产业生态建设、国际合作等方面提出综合解决路径。 2 目录前言 . 1 一、数据安全治理概述 . 4 （一）关键概念 . 4 （二）数据安全治理本质 . 6 （三）数据安全治理体系 . 7 二、国外数据安全治理现状 . 8 （一）数据安全政策环境持续优化 . 8 （二）数据安全保护机构设置不断完善 . 8 （三）推动企业强化数据安全保护技术手段初见成效 . 9 三、国外数据安全治理特色 . 9 （一）数据安全上升至国家安全层面 . 9 （二）对大型互联网平台企业的数据执法力度持续加大 . 10 （三）医疗、生物识别等个人特殊敏感数据的专项立法不断推进 . 11 四、我国数据安全面临七大挑战 . 11 （一）数据贩卖严重侵害个人隐私 . 11 （二）数据跨境流动带来国家安全隐患 . 12 （三）高价值特殊敏感数据泄露风险加剧 . 13 （四）重要数据安全面临外来攻击威胁加大 . 14 （五）新技术新应用催生新型数据安全风险 . 14 （六）互联网平台企业滥采滥用个人信息并实施数据垄断 15 3 （七）国际数据规则制定话语权与我国互联网应用领先地位严重不匹配 . 15 五、国内数据安全治理现状 . 16 （一）数据安全政策持续加码 . 16 （二）数据安全监管管理体系不断完善 . 25 （三）数据安全产业生态建设稳步推进 . 26 六、我国数据安全治理面临的困境 . 28 （一）法律革新缓慢，数据行为秩序难规制 . 28 （二）数据权属争议大，数据产权难确立 . 29 （三）数据活动场景复杂，数据安全监管效能难提升 . 29 七、对我国数据安全治理建议 . 30 （一）完善数据安全法制建设，奠定数据安全保护基础 . 30 （二）构建全面的数据安全监管体系，促进制度落实执行 31 （三）建立平台企业数据业务有序发展机制，保障数据合法合规使用 . 32 （四）推动数据安全产业发展，构建全方位数据安全保护生态 . 33 （五）推进全球数据安全治理，提升国际话语权 . 34 4 一、数据安全治理概述（一）关键概念 1.数据数据，是用来记录客观事物或事件的符号，具体来说，是对客观事物或事件的性质、状态以及相互关系等信息进行记录的物理符号。本文中的数据包含任何以电子或者非电子形式对信息的记录，既包括网络数据，又包括线下物理场所存在的数据，并具备规模海量、类型多样、流转快速、价值巨大四大特征。 2.数据处理活动和数据全生命周期数据处理活动，包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等，是数据处理者开展数据业务时实施的具体活动，所有数据处理活动环节共同构成了数据全生命周期。 3.数据安全数据安全，是指通过采取必要措施，确保数据在数据全生命周期中处于有效保护和合法利用的状态，以及保障持续安全状态的能力。数据安全保障主体包括掌握海量政务公共数据的政府部门，具备大量个人信息及商业信息的企业、持有众多国家基础重要数据的组织机构等诸多数据处理者。 4.数据安全治理 5 数据安全治理，是指从决策层到技术层，从管理制度到工具支撑，自上而下建立的数据安全保障体系和保护生态，是贯穿整个组织架构的完整链条。具体来说，包含国家宏观治理和企业组织内部微观自治两个层面。企业组织内部自治，主要专注于数据生命周期安全的管理和技术防护措施，旨在规范企业组织数据全生命周期处理流程，保证数据处理活动的合规性和合法性。本文所述的数据安全治理是站在国家宏观治理视角，一方面，梳理国外数据安全治理现状，并分析其治理特色，探寻国际数据安全治理先进经验。另一方面，在从政策、监管、产业生态、国际合作等多个维度分析我国数据安全风险、治理现状、治理困境的基础上，提出我国数据安全治理路径。数据安全治理体系如图 1 所示。 5.数据跨境流动数据跨境流动，是指数据处理者将国家境内收集和产生的重要数据和个人信息，提供给位于境外的机构、组织、个人。数据跨境流动过程中，数据安全与个人隐私保护成为两大关键要素，世界各国对其进行明确立法的趋势也愈加明显。当前，出于保护本国数据、维护国家安全及促进国家发展目的，数据本地化存储呼声渐高，欧盟、印度、俄罗斯等诸多国家开始对关键领域数据实施本地化存储限制。 6.数据资源、数据资产和数据资本 6 在数字经济的发展过程中，随着数据要素市场的蓬勃发展，数据价值的发展也分别三个阶段：一是数据资源阶段，数据是作为记录、反映现实世界的一种资源；二是数据资产阶段，数据是可创造财富的资产，且随着个人在互联网上活动的增多，积累的数据量越大，数据收益也越大。未来，数据资产可能将成为一种经数据所有者授权后，由数据管理者向使用者提供的一项服务。三是数据资本阶段，数据的资源和资产特性得到进一步发挥，在全社会形成巨大数据资产的基础上，可使用数据资产进行投资，将数据资产转化为数据资本。将数据资源资产化，进而资本化，对数据的所有者、管理者和使用者，均将产生巨大利益。 7.数据确权数据确权，是指在厘清数据用途和流向的基础上，在法律上对数据权利，包括数据所有权、使用权和收益权进行明晰。（二）数据安全治理本质数据安全治理本质上包含 “ 理 ”和“ 治 ” 两个层面，先 “理”后“治”，保障数据资源在安全可控的状态下充分发挥使用价值。一方面，需要 “理”的内容包括数据资源的内容类型、分布流向以及不同场景下数据安全风险种类等。另一方面，需要“治”的内容包括数据安全保障制度体系、监管机制、数据安全保护生态、国际数据安全规则等。 7 （三）数据安全治理体系数据安全治理体系包括政策环境、产业生态、监督管理和国际合作，如图 1 所示。政策环境主要是构筑数据安全顶层设计蓝图、建立稳定且具有国家强制力的法制框架、制定能够适应复杂数据利用场景的数据安全标准指南等；监督管理方面旨在探索构建分级分类监管体系、完善数据安全保护机构设置、联合开展专项整治行动、采取高额罚款等手段威慑数据违法违规行为、强化技术手段监管等；产业生态建设主要包括加大数据安全技术投资力度、推动数据安全产品和服务创新发展、加强数据安全人才队伍建设等；国际合作方面应积极参与并推动数据安全国际规则制定和完善、增强数据安全规则创制与话语权博弈的竞争力等。 8 二、国外数据安全治理现状（一）数据安全政策环境持续优化一是加强数据安全顶层设计。欧盟发布欧洲数据保护监管局战略计划（ 2020-2024），旨在从前瞻性、行动性和协调性三方面继续加强数据安全保护，保证个人隐私的基本权利；美国发布联邦数据战略与 2020 年行动计划，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。二是强化数据及个人信息保护相关立法。阿联酋迪拜和新西兰分别出台数据保护法和 2020 年隐私法，加强对数据安全及个人隐私保护的规制建设；日本和新加坡分别完成了对本国个人信息（数据）保护法的修订，明确了个人数据权利及外部使用限制 ;加拿大提出数字宪章实施法案 2020，提出了保护私营部门个人信息的现代化框架。三是陆续出台数据安全标准指南。欧盟发布为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施，为数据跨境流动中数据保护问题提供了进一步指导；西班牙数据保护局发布默认数据保护指南，阐释了默认数据保护原则的策略、实施措施、记录和审计要求等，为企业实践数据保护原则提供具体指导。（二）数据安全保护机构设置不断完善通过完善数据安全监管执法机构设置，提升执法效率，加强数据安全保护治理。例如，美国商务部成立提供联邦数 9 据服务的咨询委员会，加强联邦数据隐私保护；德国成立国家网络安全机构，负责发起网络安全创新项目、研究打击网络威胁的方法，以加强德“数据主权”；巴西总统签署法令批准建立国家个人数据保护局，负责制定相关规则、推进企业开展数据安全风险评估、调查违法违规行为、促进数据保护国际合作等；韩国成立个人信息保护委员会，负责个人信息保护与监管执法工作。（三）推动企业强化数据安全保护技术手段初见成效为进一步保障数据安全，各国纷纷采取措施推动企业积极响应当地政策，从数据源头、数据通道、数据运营管理等方面入手，积极运用差分隐私、区块链等技术手段强化数据安全保护，搭建具有鲜明数据安全保护特性的技术架构。例如， Facebook 通过开源差分隐私库加强对人工智能训练样本隐私性的保护；苹果公司通过模糊定位技术限制第三方 App 获取用户精确地理位置信息；亚马逊推出阻止用户敏感信息泄露的服务 Macie，保护企业云端敏感数据；新西兰企业通过区块链技术实现数据加密传输和追踪溯源，保护数据安全。三、国外数据安全治理特色（一）数据安全上升至国家安全层面各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。美国国防部发布 10 国防部数据战略，指出战略的核心目标之一就是通过构建访问控制和最严格的安全标准来保护国防部数据安全，以实现数据推动作用下的联合全域作战，构筑国家安全保护屏障；英国发布国家数据战略，通过搭建国家层面的数据安全治理方案，为建设促进增长和可信赖的数据机制提供指导方向，保障国家安全；欧盟委员会相继发布欧洲数据战略及其配套法案数据治理法案提案，力求在欧盟层面建立统一的数据治理框架，保障数据安全。（二）对大型互联网平台企业的数据执法力度持续加大各国对大型互联网企业数据安全违法违规行为的惩治力度不断增强，美国、欧洲等国家和地区均增大了对其单笔处罚金额。例如，因 Facebook 违反用户隐私保护策略，美国对其处以 50 亿美元巨额罚款；爱尔兰也就数据非法跨境传输问题，对 Facebook 处以了高达 28 亿美元的罚款；法国、加拿大等国家也纷纷对 Twitter、谷歌等企业开出高额罚单。随着大型互联网平台企业的日益壮大，其数据垄断问题愈加严重，由此带来的数字权利滥用问题或将威胁到国家安全。因此，各国将进一步通过高额惩罚等手段对其进行约束，以防止其滥用数据优势侵害消费者隐私或进行非法数据贩卖。 11 （三）医疗、生物识别等个人特殊敏感数据的专项立法不断推进当前，全球个人医疗数据泄露事件频发，人脸识别等新技术滥用导致个人生物信息长期处于高泄露风险状态，针对个人特殊敏感数据日益严峻的风险威胁，日本、美国等国家偏向于针对不同特征的个人数据采取精细化治理模式。例如，日本采用“基本法 +专门法”的双重规制架构保护个人医疗信息安全。一方面，通过制定完善个人信息保护法等“基本法”确立个人医疗数据保护的基本原则，包括明确个人医疗数据的敏感信息特征、第三方使用的知情同意原则等；另一方面，出台医疗大数据法 “专项法” 平衡个人医疗数据的安全与使用矛盾，试图在数据安全流通的基础上，推动医疗研发进程。美国在各州及联邦层面均出台专项法案保护个人生物识别信息安全，包括为企业生物识别数据使用树立规范的联邦国家生物识别信息隐私法案，以及为限制公共部门生物识别技术使用的伊利诺伊州生物识别信息隐私法案、加利福尼亚州加州人脸识别技术法案等。四、我国数据安全面临七大挑战（一）数据贩卖严重侵害个人隐私近些年，移动互联网技术的大力发展生产出海量数据资源，然而，大数据行业繁荣与隐忧始终并存，其中最为恶劣的影响即是数据交易地下黑色产业链的形成。目前，数据贩 12 卖已成为大数据产业的灰色地带，个人信息倒卖黑市猖獗，对个人人身、财产、生命安全造成了极大危害。一是外部攻击者利用爬虫等技术窃取并倒卖个人数据。例如， 2020 年，国内第一家弹幕视频网站 AcFun 遭受黑客攻击，数千万条用户数据泄露并在 “ 暗网 ” 以 40 万价格出售。二是“内鬼”常成为非法数据交易链源头。例如， 2020 年圆通快递内鬼倒卖四十万条公民姓名、地址、手机号和所购物品等个人信息。三是平台之间实施暗箱操作，通过数据兜售进行数据商业变现。例如， 2021 年，北京智借网络科技企业未经用户允许，向下游合并公司出售包含姓名，身份证号，手机号等个人信息。综上分析，在数据价值利益的驱动下，数据贩卖产业链活跃程度将会进一步加深，个人隐私安全面临严重危机。（二）数据跨境流动带来国家安全隐患全球海量数据在网络空间中不断移动和流转，带来了经贸交易、技术交流、资源分享等跨国合作，数据的挖掘和利用释放了大数据价值、提升了经济效率、增进了社会福祉。但同时，跨境数据中不可避免地涵盖了个人敏感信息、企业运营数据和国家重要信息数据，并且随着数据规模不断的庞大、数据种类不断的丰富，数据安全风险也在日益加剧。尤其在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，其日益频繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政府获取。 13 例如，目前拜登政府意欲采取公私合作方式开展军事网络战，实施“向前防御”战略，美私企很可能秘密将存储的我国数据提供给政府审查。二是我国战略动作易被预测，陷入政策被动。自 2008 年以来，美国大力推广微观数据的汇聚分析来预测金融风险，若美掌握我国海量数据，便可提前获知我国金融系统性风险，在国际金融博弈中获取先机。三是我国以数据为驱动的新兴技术领域竞争优势将被削弱。以人脸识别技术为例，我国具有丰富的数据资源，且相较国外文化更易收集人脸数据，因此发展出商汤科技等全球领先的初创公司，一旦我国独特的数据资源被他国获取，国外数据资源相对匮乏的短板会被迅速填补，从而实现反超，削弱我国竞争优势。（三）高价值特殊敏感数据泄露风险加剧近些年，除电子商务、社交等领域的用户数据发生大规模泄漏之外，政务、医疗及生物识别信息等高价值特殊敏感数据，逐渐成为了数据泄露的重灾区。一是政务数据具有极高的社会和经济价值，黑客将其作为攻击目标可获得更高的利益回报。例如， 2015 年 30 省社保系统遭遇黑客攻击，造成数千万人信息泄露，黑客可通过数据贩卖获取高额利润，并随意修改社保待遇、停发社保金，将会造成民生混乱，影响社会稳定。二是健康医疗数据具有高度隐私性和稀缺性，成为攻击者的关注重点。医疗数据资产化趋势更为明显，是灰色产业中的主要交易对象。例如， 2016 年全国超 330 位艾 14 滋病感染者信息泄露，期间患者接到诈骗电话上当受骗造成经济损失。三是生物识别数据具有易采集和特征敏感性，成为攻击者的主要目标。生物识别数据披露的个人特征精确，且采集门槛较低、极易获取，一旦遭到泄露、篡改或非法共享，极易造成“身份盗窃”风险。例如， 2019 年深圳某企业利用街道摄像记录行人人脸图像，但却因数据库漏洞导致 250 万人脸数据泄露，使攻击者轻易掌握了行人身份及位置信息，可轻而易举实施犯罪活动。（四）重要数据安全面临外来攻击威胁加大一是具有政治背景的境外黑客逐渐加大对我国关键信息基础设施攻击力度，试图获取我国机密重要数据。例如， 2020 年具有国家背景的印度黑客组织“白象”，以新冠疫情和全国两会新闻话题为诱饵，通过仿冒我国政府机构网站、伪造虚假政策文档等，蓄意对我国政府部门、医疗机构及其他关键信息基础设施开展网络攻击，窃取我国国情、社情、疫情等重要数据。二是美国出台的“分层威慑战略”政策直指中国，并已授权国防部对中国主动发起网络监视和侦察，我国关键信息基础设施或将面临着由美国主导联盟体发起网络攻击的风险，造成重要数据被监听和窃取。（五）新技术新应用催生新型数据安全风险新技术新应用在极大促进生产力发展和人民生活便利同时，也带来了安全方面的不确定性。以人工智能技术为例， 15 人工智能对分散数据的关联分析和深度发掘，可引发侵犯用户隐私、危害国家数据安全等传统安全风险，同时由于其独特的数据处理方式，还将可能引发数据污染、数据投毒攻击等一系列新型数据安全问题。（六）互联网平台企业滥采滥用个人信息并实施数据垄断随着数据安全内涵的延伸和扩大，除了机密性、完整性和可用性等数据本身的安全之外，对数据合法合规的收集使用也成为了数据安全的重要组成。当前，由于互联网平台企业的业务大都由数据驱动，商业推广、精准营销、产品迭代等均依赖对数据的海量收集和开发利用，数据成为了平台企业发展和盈利的核心引擎。基于数据收集使用创新商业营收模式，实现利益最大化，成为了各个平台企业追逐的商业目标，由此也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。例如，移动应用强制授权、过度索权等问题严重，用户个人信息自主权丧失；基于数据垄断优势进行 “二选一”、“大数据杀熟”等，侵犯消费者权益。（七）国际数据规则制定话语权与我国互联网应用领先地位严重不匹配通过对近期美国发布的系列报告和政策文件分析，拜登政府意欲通过与理念相近国家组成“共同体”，构建网络安全联盟，掌控数据安全规则制定主导权。以美国为首的国际反 16 华联盟极可能以危害国家安全为由，将我国排除在全球数据安全治理体系之外，并可能制定针对我国的数据安全审查规则，在数据安全领域形成对我国的“包围圈”。例如， 2020 年美、印、澳等多国以数据安全为由，联合对 TikTok进行围剿，以安全调查结果违规为由，限制其使用发展。五、国内数据安全治理现状（一）数据安全政策持续加码近些年，相关部门持续积极推进数据安全政策的制定与出台，我国数据安全相关政策布局不断提速。数据安全相关法律法规密集出台。一是，目前我国已出台网络安全法、民法典、数据安全法（草案）和个人信息保护法（草案）四部数据安全保护基本法律框架。二是，围绕基本法制定的配套法规制度也在加快制定出台。三是，数据安全相关国家标准密集出炉，包括数据跨境流动、个人信息保护、新技术新应用数据安全防范、重点领域数据安全保护等方面。如表 1 所示。表 1：数据安全相关法律法规及国家标准时间发布机关名称内容 2016 全国人大网络安全法从“个人信息保护”“数据存储与跨境安全 ”“数据（信息）内容安全”和“数据系统、平台、设施安全”等角度，对数据和个人信息合规方面予以规制。 2020 全国人大民典法明确了隐私定义，界定侵犯隐私权行为；明确了个人信息定义及范围；明确个人信息处理范围、要求及原则；明确个人信息主体权利，规定信息处理者义务；完善对患者的隐私及个人信息保密责任。明确数据活动必须遵守合法、正当、必要原则。 17 2020 全国人大数据安全法（草案）确立了数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度；明确了开展数据活动的组织、个人的数据安全保护义务及落实数据安全保护责任；强调坚持安全与发展并重，规定支持促进数据安全与发展的措施；建立了保障政务数据安全和推动政务数据开放的制度措施。 2020 全国人大个人信息安全法（草案）明确了个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等。 2019 网信办、工信部、公安部、市场监管总局 App 违法违规收集使用个人信息行为认定方法界定了 App 违法违规收集使用个人信息行为的六大类方法，包括 “未公开收集使用规则” 、 “未明示收集使用个人信息的目的、方式和范围” 、 “未经用户同意收集使用个人信息” 、 “违反必要原则，收集与其提供的服务无关的个人信息” 、 “未经同意向他人提供个人信息” 、 “未按法律规定提供删除更正个人信息功能” 或“未公布投诉、举报方式等信息” 等方面。 2019 网信办数据安全管理办法（征求意见稿）对近年来层出不穷的网络数据安全问题予以细化，包括个人敏感信息收集方式、广告精准推送、 APP 过度索权、账户注销难等问题。 2019 网信办个人信息出境安全评估办法明确了个人信息出境安全评估的重点评估内容，规定所有个人信息出境均应当依法向网信办申报并由网信办组织开展安全评估；明确了个人信息主体在出境场景下知情权等权利履行的保障；通过系列设计加强对境外接收者的监督；全面规定了网络运营者与个人信息接收者签订的合同的具体内容。 2019 网信办儿童个人信息网络保护规定（征求意见稿）针对 14 岁以下的未成年人，规定了应设置儿童专门用户协议、设置专人负责、征得儿童监护人明确同意、加密存储和最小授权访问等儿童个人信息保护要求。 2020 网信办、工信部、公安部、市场监管总局常见类型移动互联网应用程序必要个人信息范围规定明确了 39 种常见类型 APP 的必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用 App 基本功能服务，旨在有效规范 App 收集使用个人信息行为并促进 App 的健康发展。 2021 网信办、工信部、公安部、市场监管总局移动互联网应用程序个人信息保护管理暂行规定确立了“知情同意”“最小必要”两项重要原则；细化了 App 开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者等五类主体责任义务；提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。 18 2020 信安标委个人信息安全规范提出了个人信息控制者处理个人信息行为的规范，旨在遏制个人信息非法收集、滥用、泄露等乱象。 2020 信安标委政务信息共享数据安全技术提出了政务信息共享数据安全技术要求框架，旨在加强政务数据共享过程中的数据安全保护。 2020 信安标委健康医疗数据安全指南提出医疗数据的分类体系、使用披露原则、安全措施等，旨在强化健康医疗数据的融合共享和开放应用过程的个人信息安全保障。 2020 信安标委网络预约汽车服务数据安全指南（征求意见稿）给出了网络预约汽车服务的数据收集、存储、使用、共享、公开披露、删除的类型、范围、方式和条件，旨在指导网络预约汽车服务运营者和相关监管部门规范服务相关的数据处理活动。 2020 信安标委即时通信服务数据安全指南（征求意见稿）给出了即时通信服务的数据收集、存储、使用、共享、公开披露、删除的类型、范围、方式和条件，旨在指导即时通信服务运营者和相关监管部门规范服务相关的数据处理活动。 2020 信安标委网络音视频服务数据安全指南给出了网络音视频服务的数据收集、存储、使用、共享、公开披露、删除的类型、范围、方式和条件，旨在指导网络音视频服务运营者和相关监管部门规范服务相关的数据处理活动。 2020 信安标委个人信息安全影响评估指南规定了个人信息安全影响评估的基本概念、框架、方法和流程，并提出了特定场景下进行评估的具体方法，旨在推动个人信息保护工作深入落地。 2020 信安标委电信领域大数据安全防护实现指南（征求意见稿）规范了电信领域大数据分类分级，基于电信领域大数据生存周期从管理和技术两方面给出了安全防护的实现指南。 2020 信安标委网络数据处理安全规范（征求意见稿）规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求，旨在为网络运营者的数据处理活动提供了更具操作性的指引，并为监督管理和认证机构的安全管理认证工作的开展提供有利参考。 2021 信安标委人脸识别数据安全要求（征求意见稿）规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求，剑指人脸数据滥采，泄露或丢失，以及过度存储、使用等问题。 19 2021 信安标委基因识别数据安全要求（征求意见稿）定义了基因识别数据，对基因识别数据在各场景各活动中的安全处理及安全管理要求进行了规定，旨在指导基因识别数据控制者安全开展基因识别数据业务，保证数据主体权利。 2021 信安标委声纹识别数据安全要求（征求意见稿）给出了声纹识别数据活动的四大场景，明确了声纹数据的基本安全要求、安全处理要求、安全管理要求。 2021 信安标委步态识别数据安全要求（征求意见稿）围绕个人信息安全，从全生命周期角度针对步态识别数据的特点提出相应的安全要求。 2021 信安标委网络支付服务数据安全指南（征求意见稿）规定了网络支付服务可以收集、使用、存储、共享、转让、公开披露的数据种类、范围、方式、条件等，旨在指导网络支付服务运营者和相关监管部门规范网络支付服务的数据处理活动。 2021 信安标委快递物流服务数据安全指南（征求意见稿）给出了快递物流服务的数据收集、存储、传输、使用、委托处理、删除、出境等数据处理活动的安全保护要求，旨在指导快递物流服务运营者和相关监管部门规范快递物流服务数据处理活动。 2021 信安标委网上购物服务数据安全指南（征求意见稿）规定了网上购物服务可以收集、存储、使用、交换、删除、出境的数据种类、范围、方式、条件等，旨在指导网上购物服务运营者和相关监管部门规范数据处理活动。 2021 信安标委移动互联网应用程序（ APP）个人信息安全测评规范明确了开展 App 个人信息安全开展测评的实施过程以及对各项具体安全要求进行测评的方法，为第三方测评机构测评以及 App 提供者开展自测评提供指导。 2021 信安标委移动互联网应用程序（ APP） SDK 安全指南规定了 SDK 提供者在 SDK 的开发、运营、个人信息处理、数据安全管理等活动中应遵循的安全要求，旨在指导 SDK 提供者和相关监管部门规范 SDK 使用。 2021 信安标委网联汽车采集数据的安全要求（草案）规定了网联汽车采集的数据在传输、存储和跨境等环节的安全要求。 2021 信安标委个人信息去标识化效果分级评估规范（征求意见稿）给出了个人信息标识度的四种级别，以及个人信息去标识化效果评定流程和重标识风险计算方法。各地方数据安全保护政策先行先试。以贵州省、天津市、深圳市、西安市为代表的省市最先探索数据安全治理相关棘手问题，包括贵州省出台大数据风险管理、政务数据开放共 20 享等相关政策文件，旨在探索数据开放共享与数据安全保护之间的有效平衡手段；西安市、深圳市出台政策文件尝试探索数据权属问题路径；天津市积极探索有效的数据交易流程，以规制数据贩卖等安全乱象。如表 2 所示。表 2：数据安全相关地方性法规、地方政府规章、规范性文件时间地方名称内容 2016 贵州省贵州省大数据发展应用促进条例建立数据安全应急处置机制，制定应急预案，并在风险发生时开展应急演练；加强数据安全保护，鼓励大数据保护关键技术和大数据安全监管支撑技术创新和研究，支持科研机构、高等院校和企业开展数据安全关键技术攻关，推动政府、行业、企业间数据风险信息共享。 2018 贵阳市贵阳市大数据安全管理条例强化数据安全管理责任制；立大数据安全审计、应急处置、监测预警机制，实现对重要数据安全风险的全天候实时、动态监测；健全数据安全监管制度、大数据安全投诉举报制度。 2018 西安市西安市政务数据资源共享管理办法明确了政务公共数据权属类别，规定“政务数据资源权利包括所有权、管理权、采集权、使用权和收益权”，把政务数据作为政府的虚拟国有资产管理。 2018 天津市天津市促进大数据发展应用条例明确数据全生命周期各环节保障数据的范围边界、主体责任、具体要求；采取关键信息基础设施安全防护措施，加强防攻击、防泄漏、防窃取的技术和管理能力建设。 2019 天津市天津市数据安全管理办法（暂行）建立数据安全信息备案制度，要求组织个人信息和重要数据的数据运营者对主体信息、数据收集和使用规则、收集目的、方式、范围、类型等进行备案；建立数据安全信息通报制度，开展对监测信息、监督检查信息和上级通报信息的分析研判和风险评估，按照规定发布安全风险预警或信息通报；建立数据安全应急工作机制，定期开展应急演练，并对演练情况进行评估。 2019 海南省海南省大数据开发应用条例设立省大数据管理机构，作为实行企业化管理但不以营利为目的、履行相应行政管理和公共服务职责的法定机构；推动大数据与区块链等信息技术的融合，利用区块链技术加强数据安全保护。 21 2020 天津市天津市数据交易管理暂行办法建立了保障各方主体权益的数据交易全流程规范性制度；建立数据交易安全评估制度，包括数据供方出具报告对交易数据进行风险评估，数据交易机构健全第三方监督机制进行交易保护、开展事件应急处置等；健全数据交易过程的监督保障和责任追究机制。 2020 深圳市深圳经济特区数据条例（征求意见稿）探索数据权属定义，创设了个人数据权；设置了统一的数据统筹机构，明确了由市公安部门作为按照法律法规规定查处违法行为的行政处罚权实施机关。行业数据安全专项保护政策陆续制定。金融保险行业， 2020 年，中国人民银行发布、中国银保监会纷纷发布相关政策标准，旨在规范金融保险行业数据安全管理工作，提高数据安全保护能力。电信和互联网行业， 2020 年，工信部发布系列文件指导电信和互联网行业的网络数据安全标准化工作。车联网行业， 2020 年，工信部发布了车联网相关行业标准，旨在推动 2018 年提出的国家车联网产业标准体系建设指南中关于车联网个人信息保护和数据安全标准体系建设规划的立法发展。工业互联网行业， 2020 年，工信部陆续发布了工业数据保护相关政策文件，为开展工业数据分类分级、管理能力评估、安全防护等相关工作提供了政策指导。如表 3 所示。表 3：数据安全相关行业政策文件时间部门名称内容 2020 中国人民银行金融数据安全数据安全分级指南给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程，适用于金融业机构开展电子数据安全分级工作，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。 22 2020 中国人民银行个人金融信息保护技术规范将个人金融信息按敏感程度、泄露后造成的危害程度，从高到低分为 C3（鉴别信息，如银行账户、登录密码等）、 C2（可识别特定主体的信息，如身份证号、用户名、交易流水等）、 C1（机构的内部信息，如开户机构等）三个类别，对相关机构建立不同信息保护层级方面提出了更高的要求。 2020 中国银保监会中国银保监会监管数据安全管理办法（试行）围绕“信用信息采集”“信用信息整理、保存、加工”“信用信息提供、使用”“信用信息安全”及相关监督管理措施对征信业务做出规定。 2021 中国人民银行征信业务管理办法（征求意见稿）对个人信用信息采集、整理、保存和加工进行了规范；从内控制度、软硬件设备、人员管理等方面对信用信息安全和跨境流动进行了规定。明确征信机构向境外提供个人信用信息，应当符合国家法律法规的规定，包括征信机构向境外提供企业信用信息的，应当向中国人民银行备案等。 2021 中国人民银行金融数据安全数据生命周期安全规范梳理金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、使用、删除及销毁全周期的金融数据安全管理框架 2020 工信部车联网信息服务用户个人信息保护要求规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护。 2020 工信部车联网信息服务数据安全技术要求规定了车联网服务过程中数据生命周期内保护的总体要求，主要包括数据采集、传输、存储、使用、迁移、销毁、备份恢复等方面的安全保护要求。适用于车联网信息服务数据提供者或数据使用者的信息服务系统，车联网信息服务的数据提供者或数据使用者可以是汽车厂商、零部件供应商、第三方供应商、车联网服务提供商、 4S 店、维修厂等。 2021 工信部智能网联汽车生产企业及产品准入管理指南（试行）规定了智能网联汽车生产企业应依法收集、使用和保护个人信息，实施数据分类分级管理，制定重要数据目录，不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关规定在境内存储。因业务需要，确需向境外提供的，应向行业主管部门报备。 23

展开阅读全文