数据安全问题升级：关键领域的影响、对策与机会.pdf_报告吧baogao8.com-

资源描述

0 数据安全问题升级：影响、对策与机会 1 数据安全问题升级：影响、对策与机会摘要当前，数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。近几年来，网络安全法、数据安全法和个人信息保护法等数据安全保护相关法律框架的落地或颁布，为数据安全保障提供了制度和法律支撑。数据安全问题绝非只在中国存在，而是全球共同面临的问题。各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度。我国现存 “ 网络安全 ” 企业共计 62.4 万家。 2020 年新增 17.9 万家，同比增长 135.7%，是过去 10 年的巅峰。 2021 年上半年新增 15.4 万家，同比增长 2.1 倍。目前，在可统计的 225 家美国上市的中概股中，有超过七成的中概股处于破发状态。数据安全问题升级，使得中概股需要在资本市场重新做出选择。随着数据安全问题甚嚣尘上，中国征信业发展也嬗变升级，征信业的政策环境、市场环境、发展模式等发生了一系列变化。在法律对数据的严监管方向明确之后，隐私计算几乎是当下数据互联互通的唯一技术解，具有巨大的商业价值和应用前景。 2 数据安全问题升级：影响、对策与机会目录引言 . 4 一、数据安全监管大势 . 5 （一）中国对于数据安全的监管与政策梳理 . 5 （二）数据安全的国际问题 . 12 二、网络安全、数据安全及其治理 . 14 （一）网络安全和数据安全的关系 . 14 （二）保障网络数据安全的必要性 . 14 （三）网络数据安全保障的具体措施 . 18 （四）数据要素所面临的问题与数据治理 . 19 （五）数据安全生态加速建设 . 20 三、数据安全典型问题和相关案例 . 22 （一）数据贩卖：大数据产业的灰色地带 . 22 （二）数据垄断：间接引起数字权利滥用 . 23 （三）数据窃取：网络爬虫相关的违法案例大增 . 24 （四）数据泄露： 2020 年全球数据泄露的数量超过过去 15 年的总和 . 26 四、中国数据安全产业图谱 . 28 （一）数据安全产业发展的必要性 . 28 （二）产业链上游分析 . 29 （三）产业链中下游分析 . 34 （四）竞争格局 . 35 五、中国网络安全产业架构与发展态势 . 37 3 数据安全问题升级：影响、对策与机会（一）我国网络安全发展概况 . 37 （二）中国网络安全产业架构 . 39 （三）网络数据安全发展中的机遇与挑战 . 43 六、中概股赴美上市拐点：数据安全的影响和应对 . 45 （一）中概股近期在美发展：情况每况愈下 . 45 （二）数据安全对中概股的影响与挑战：海外上市或被按下暂停键 . 46 （三）中概股应对之举：回港或将成为主旋律 . 48 七、数据安全治理背景下征信业嬗变升级 . 49 （一）数据安全：征信业发展的生命线 . 49 （二）数据安全治理背景下征信业变化 . 50 （三）数据安全治理背景下征信业发展的机遇与挑战 . 52 八、隐私计算技术加速落地，赋能数据安全应用 . 53 （一）数据安全法落地为隐私计算带来新机遇 . 53 （二）隐私计算目前的发展状况 . 54 （三）隐私计算的应用将带来的影响 . 55 （四）隐私计算未来发展面临的挑战 . 56 九、数据安全领域未来展望 . 58 （一）法律法规在数据安全方面将得到全面强化与支撑 . 58 （二）数据安全产业基础能力将得到提升 . 58 （三）数据安全升级助力相关领域发展加速 . 59 报告发布单位介绍 . 61 报告研究支持单位介绍 . 62 致谢 . 63 4 数据安全问题升级：影响、对策与机会引言滴滴上市以及引发的一系列事件，让中国的数据安全问题和监管再次升级。 7 月 4 日，国家网信办发布通报称 “ 滴滴出行 ”App 存在严重违法违规收集使用个人信息问题并下架。 7 月 5 日， “ 运满满 ”“ 货车帮 ”“BOSS 直聘 ” 被实施网络安全审查，期间停止新用户注册。 7 月 10 日，国家网信办公布网络安全审查办法（修订草案征求意见稿），要求掌握超过 100 万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。这一系列事件背后，正映射着近年来国内互联网平台存在数据安全漏洞、滥用数据等乱象。数字技术促使数据应用场景和参与主体日益多样化，数据安全的外延不断扩展，数据安全治理面临多重棘手困境。当前，数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。近几年来，网络安全法、数据安全法和个人信息保护法等数据安全保护相关法律框架的落地或颁布，为数据安全保障提供了制度和法律支撑。在数据安全问题升级的另一面，却是数据在经济中的重要性日益提升。数据作为数字经济时代最核心、最具价值的生产要素，正在加速成为全球经济增长的新动力、新引擎，可以说数据正逐渐成为 21 世纪的石油。 5G、人工智能、云计算、区块链等 ICT 新技术、新模式、新应用无一不是以海量数据为基础，数据量也正呈爆发式增长态势。据 IDC 预测， 2025 年全球数据量将高 175ZB。其中，中国数据量增速最为迅猛，预计 2025 年将增至 48.6ZB，占全球数据圈的 27.8，平均每年的增长速度比全球快 3 ,中国将成为全球最大的数据圈。结合当下备受瞩目的数据发展和数据安全问题，零壹智库在本报告中将梳理中国数据和网络安全的政策、治理以及产业发展现状，并对数据安全问题影响较大的行业和技术领域，包括海外上市、征信、隐私计算等进行发展脉络、对策和机遇解读。 5 数据安全问题升级：影响、对策与机会一、数据安全监管大势（一）中国对于数据安全的监管与政策梳理数据安全问题已成为当下基础的安全问题，数据安全治理也逐渐被提升到国家安全治理的战略高度。近年来，国家多次发布相关法规法案，将保障数据安全放到了重点突出的位置。据不完全统计，近 5 年来国家、地方省市以及各行业监管部门关于数据安全、网络安全已至少颁布 52 部相关法律法规。从国家治理层面来看， 2015 年颁布的国家安全法将数据安全纳入国家安全的范畴。 2016 年发布，于 2017 年正式实施的网络安全法引入了网络数据的概念。 2020 年 6 月， 12 部委联合发布网络安全审查办法，推动建立国家网络安全审查工作机制，以确保关键信息基础设施供应链安全，维护国家安全。而国家此次对滴滴出行等平台的网络安全审查，正是我国网络安全法网络安全审查办法生效之后首次公开进行的网络安全审查程序。 2020 年 8 月，数据安全法（草案）公开发布，从法律层面清晰定义了数据活动、数据安全，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等，明确了在我国境内依法开展数据活动。数据安全法将于 2021 年 9 月 1 日正式实施，其将是数据要素国家战略的基本法，强调了数据安全是数字中国重要战略举措的根本保障，体现了国家对保障数字经济安全的决心与信心。目前我国已出台网络安全法、民法典、数据安全法和个人信息保护法四部数据安全保护基本法律框架，而围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台，包括数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面，部分具体法律法规情况如下。表 1-1 国家已出台的部分数据安全法律法规时间发布机关名称内容 2016 全国人大网络安全法从“个人信息保护”“数据存储与跨境安全” “数据（信息）内容安全”和“数据系统、平台、设施安全”等角度，对数据和个人信息合规方面予以规制。 6 数据安全问题升级：影响、对策与机会时间发布机关名称内容 2020 全国人大民典法明确了隐私、个人信息的定位以及界定，明确了个人信息处理范围、主体权利、要求及原则，明确了数据活动必须遵守合法、正当、必要原则。 2020 全国人大个人信息安全法明确了个人信息处理规则、个人在个人信息处理活动中的权利、义务、履行个人信息保护职责的部门等。 2021 全国人大数据安全法确立了数据安全管理各项基本制度；明确了数据安全保护义务及落实数据安全保护责任；强调坚持安全与发展并重，规定支持促进数据安全与发展的措施。 2020 十二部委网络安全审查办法推动建立国家网络安全审查工作机制，以确保关键信息基础设施供应链安全，维护国家安全。 2019 网信办、工信部、公安部、市场监管总局 App 违法违规收集使用个人信息行为认定方法界定了手机 App 违法违规收集使用个人信息行为的六大类方法，并提出界定标准。 2019 网信办数据安全管理办法（征求意见稿）对近年来网络数据安全问题予以细化，包括个人敏感信息收集方式、广告精准推送、 APP 过度索权、账户注销难等问题。 2019 网信办个人信息出境安全评估办法明确了个人信息出境安全评估的重点评估内容，规定所有个人信息出境均应当依法向网信办申报并由网信办组织开展安全评估；明确了个人信息主体在出境场景下知情权等权利履行的保障；通过系列设计加强对境外接收者的监督；全面规定了网络运营者与个人信息接收者签订的合同的具体内容。 7 数据安全问题升级：影响、对策与机会时间发布机关名称内容 2020 网信办、工信部、公安部、市场监管总局常见类型移动互联网应用程序必要个人信息范围规定明确了 39 种常见类型 APP 的必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用 App 基本功能服务，旨在有效规范 App 收集使用个人信息行为并促进 App 的健康发展。 2021 网信办、工信部、公安部、市场监管总局移动互联网应用程序个人信息保护管理暂行规定确立了“知情同意”“最小必要”两项重要原则；细化了 App 开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者等五类主体责任义务；提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。 2020 信安标委个人信息安全规范提出了个人信息控制者处理个人信息行为的规范，旨在遏制个人信息非法收集、滥用、泄露等乱象。 2020 信安标委网络数据处理安全规范（征求意见稿）规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。 2021 信安标委个人信息去标识化效果分级评估规范（征求意见稿）给出了个人信息标识度的四种级别，以及个人信息去标识化效果评定流程和重标识风险计算方法。资料来源：零壹智库、数据安全治理白皮书注：该表只列举了部分法律法规，列举顺序为数据安全相关度优先、重要性优先、时间优先的原则列举（下同）。从地方政策的层面来看，吉林省、贵州省、海南省、广东省、天津市等省市相继出台数据相关地方法律法规，针对数据安全问题提出相应的规定。旨在探索数据开放共享与数据安全保护之间的有效平衡手段，下表展示了我国部分地方省市对于数据安全所采取的措施。 8 数据安全问题升级：影响、对策与机会表 1-2 我国地方省市部分数据安全法律法规时间地方省市名称内容 2018 贵阳市贵阳市大数据安全管理条例保障该市辖区内大数据发展和应用的安全保护、监督管理及相关活动。要求数据安全责任单位从制度、人员、系统设备等方面对大数据安全进行保护，并要求市政府建立联席会议制度推进解决大数据安全相关重大事项。 2018 西安市西安市政务数据资源共享管理办法明确了政务公共数据权属类别，规定“政务数据资源权利包括所有权、管理权、采集权、使用权和收益权”，把政务数据作为政府的虚拟国有资产管理。 2018 天津市天津市促进大数据发展应用条例明确数据全生命周期各环节保障数据的范围边界、主体责任、具体要求；采取关键信息基础设施安全防护措施，加强防攻击、防泄漏、防窃取的技术和管理能力建设。 2019 天津市天津市数据安全管理办法（暂行）建立数据安全信息备案制度，要求组织个人信息和重要数据的数据运营者对主体信息、数据收集和使用规则、收集目的、方式、范围、类型等进行备案；建立数据安全信息通报制度，开展对监测信息、监督检查信息和上级通报信息的分析研判和风险评估，按照规定发布安全风险预警或信息通报；建立数据安全应急工作机制，定期开展应急演练，并对演练情况进行评估。 2019 海南省海南省大数据开发应用条例设立省大数据管理机构，作为实行企业化管理但不以营利为目的、履行相应行政管理和公共服务职责的法定机构；推动大数据与区块链等信息技术的融合，利用区块链技术加强数据安全保护。 2020 天津市天津市数据交易管理暂行办法建立了保障各方主体权益的数据交易全流程规范性制度；建立数据交易安全评估制度，包括数据供方出具报告对交易数据进行风险评估，数据交易机构健全第三方 9 数据安全问题升级：影响、对策与机会时间地方省市名称内容监督机制进行交易保护、开展事件应急处置等；健全数据交易过程的监督保障和责任追究机制。 2020 宁波市宁波市公共数据安全管理暂行规定提出数据安全政府领导原则，保护数据收集的合法性、数据的保密性以及对公共数据安全做出相关规定。 2020 深圳市深圳经济特区数据条例（征求意见稿）在诸多方面进行了大胆的尝试，设立了个人“数据权”，设置了统一的数据统筹机构，明确了公共数据作为新型国有资产，提出了各级政府设立数据工作委员会，建立决策协调机制等。资料来源：零壹智库、数据安全治理白皮书从行业层面来看，金融保险行业、电信和互联网行业、车联网行业、工业互联网行业近年来对数据和数据安全问题都愈加重视，中国人民银行、中国银保监会、工信部、科技部等各部门纷纷发布相应规定，旨在规范各行各业中数据安全管理工作，提高数据安全保护能力。为数据分类分级、管理能力评估、安全防护等相关工作提供了政策指导。表 1-3 我国数据安全相关部分行业政策文件时间部门名称内容 2020 中国人民银行金融数据安全数据安全分级指南给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程，适用于金融业机构开展电子数据安全分级工作，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。 2020 中国人民银行个人金融信息保护技术规范将个人金融信息按敏感程度、泄露后造成的危害程度，从高到低分为 C3（鉴别信息，如银行账户、登录密码等）、 C2（可识别特定主体的信息，如身份证号、用户名、交易流水等）、 C1（机构的内部信息，如开户机构 10 数据安全问题升级：影响、对策与机会时间部门名称内容等）三个类别，对相关机构建立不同信息保护层级方面提出了更高的要求。 2020 中国银保监会中国银保监会监管数据安全管理办法（试行）围绕“信用信息采集”“信用信息整理、保存、加工” “信用信息提供、使用”“信用信息安全”及相关监督管理措施对征信业务做出规定。 2021 中国人民银行征信业务管理办法（征求意见稿）对个人信用信息采集、整理、保存和加工进行了规范；从内控制度、软硬件设备、人员管理等方面对信用信息安全和跨境流动进行了规定。明确征信机构向境外提供个人信用信息，应当符合国家法律法规的规定，包括征信机构向境外提供企业信用信息的，应当向中国人民银行备案等。 2021 中国人民银行金融数据安全数据生命周期安全规范梳理金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、使用、删除及销毁全周期的金融数据安全管理框架。 2021 工信部智能网联汽车生产企业及产品准入管理指南（试行）规定了智能网联汽车生产企业应依法收集、使用和保护个人信息，实施数据分类分级管理，制定重要数据目录，不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关规定在境内存储。因业务需要，确需向境外提供的，应向行业主管部门报备。 2021 网信办汽车数据安全管理若干规定（征求意见稿）明确汽车行业中重要数据的范围；对于汽车数据收集进行车内车外双场景的区分；强调最小必要原则和目的限制原则；提出数据全生命周期的处理要求；明确汽车行业数据本地化存储的原则要求和跨境数据传输的具体要求。 11 数据安全问题升级：影响、对策与机会时间部门名称内容 2020 工信部工业数据分级分类指南（试行）提出工业数据的基本概念，明确适用范围和原则；明确企业为数据分类分级主体，承担开展数据分类分级、加强数据管理等主体责任；按照每类工业数据遭篡改、破坏、泄露或非法利用后可能带来的潜在影响，将数据划分为 3 个级别。 2021 国家医疗保障局关于加强网络安全和数据保护工作的指导意见提出了加强医疗数据安全保护的相关要求，包括：实施数据全生命周期安全管理、实施分级分类管理、加强重要数据和敏感字段保护、强化数据安全审批管理、落实数据安全权限、推动数据安全共享和使用、建立健全数据安全风险评估机制。 2021 住房和城乡建设部关于加快发展数字家庭提高居住品质的指导意见在数字家庭系统方面，要求强化网络和数字安全保障，保障数字家庭系统安全稳定运行，防止信息泄露、损毁、丢失，确保收集、产生数据和个人信息安全。遵守密码应用规定，形成安全可控完整的产业生态系统。资料来源：零壹智库、数据安全治理白皮书总的来说，目前我国的数据安全相关的法律规定是基于国家安全法、网络安全法以及民典法建立起的，并且各省市针对地方情况会出台地方相应法律，对目前数据安全、数据跨境问题做积极探索。应对于数据应用的广泛性，各行业监管部门各司其职，对行业内数据进行管理和保护。根据所统计已知的 52 部法律法规颁布时间，近两年数据安全的监督管理被按下了加速键，而后续法规的推出仍将持续发力。 12 数据安全问题升级：影响、对策与机会图 1-1 截至 2021 年 6 月近几年来有关数据安全法律法规颁布数量（个）数据来源：零壹智库、数据安全治理白皮书 2020 年之后，有关数据安全法律法规颁布数量大幅上涨，在全国各地，各行各业都对其加倍重视。到目前为止，我国数据安全监管机构机制已经初步确定，数据监管从各部门分散监管向以中央网信部门统筹协调。数据安全联合执法机制也被逐渐建立，尤其是近年来 APP 违规问题各部门联合开展整治行动，解决目前 APP、平台经济、互联网企业所存在的数据安全问题。（二）数据安全的国际问题实际上，数据安全问题绝非只在中国存在，而是全球共同面临的问题。各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度。可以确定的是，数据安全已经成为全球性问题。国外应对数据安全的政策持续得到优化，主要体现在，一是加强数据安全顶层设计，如欧盟欧盟发布欧洲数据保护监管局战略计划（ 2020-2024），旨在从前瞻性、行动性和协调性三方面继续加强数据安全保护，保证个人隐私的基本权利；美国发布联邦数据战略与 2020 年行动计划，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。二是强化数据及个人信息保护相关立法以及数据安全标准指南。另一方面，国外数据安全保护机构设置也正不断完善，以提升执法效率，加强数据安全保护治理。得益于近几年的努力，各国推动企业数据安全保护的政策初见成效，例如， Facebook 通过开源差分隐私库加强对人工智能训练样本隐私性的保护；苹果公司通过模糊定位技术限制第三方 App 获取用户精确地理位置信息等。 0 5 10 15 20 25 2016 2017 2018 2019 2020 2021 13 数据安全问题升级：影响、对策与机会国外对于数据安全的治理也正不断趋严，对大型互联网公司的数据监测、治理、执法力度持续加大，如 2019 年 Facebook 因为用户隐私问题被罚款 50 亿美元；法国、加拿大等国家也纷纷对 Twitter、谷歌等企业开出高额罚单。这种对于滥用数据优势侵害消费者隐私或进行非法数据贩卖的惩罚值得我们去借鉴。随着数据安全逐渐上升到国家层面，各国之间数据竞争也逐渐被重视。此次滴滴被审查便存在国家层面数据泄露的可能，依据美国方面的法律，必须按照外国公司问责法案（ Holding Foreign Companies Accountable Act）呈交以审计底稿、亦或是用户数据和城市地图为代表的部分数据，这些都是关乎国家数据主权的核心数据，可能直接影响国家安全、公共利益和社会稳定。在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，其日益频繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政府获取。二是我国战略动作易被预测，陷入政策被动，如美国大力推广的微观数据的汇聚分析，若在掌握我国金融数据的前提之下，便能在国际金融博弈中取得先机。三是我国以数据为驱动的新兴技术领域竞争优势被逐渐削弱，例如我国拥有全球领先的人脸识别公司商汤科技，一旦其数据被他国获取，会大大削弱我国在这一领域的竞争优势。而某些国家尤其是美国目前正采取对中国的数据打压，将我国排除在全球数据安全治理体系之外，并可能制定针对我国的数据安全审查规则，在数据安全领域形成对我国的“包围圈”。例如， 2020 年美、印、澳等多国以数据安全为由，联合对 TikTok 进行围剿，以安全调查结果违规为由，限制其使用发展。根据 Synergy Research Group 的数据显示，截至 2020 年，全球主要的 20 家云和互联网服务公司运营的超大规模数据中心数量为 597 个，其中美国的数据中心数量远超其他国家，占比高达 40%，中国虽然位列第二但占比仅有 10%。在信息时代，这种压倒性的数据优势是极其恐怖的。中国不是 “ 数据中心国 ” ，但也不能沦为 “ 数据附属国 ” ，我们需要全力捍卫数据主权，加强数据的安全和保护。 14 数据安全问题升级：影响、对策与机会二、网络安全、数据安全及其治理（一）网络安全和数据安全的关系网络安全和数据安全的关系涉及到第三个名词信息安全。根据数据安全架构设计与实战一书中的论述，其发展顺序为信息安全网络安全数据安全。当需要强调安全管理体系，或强调信息及信息系统的保密性、完整性、可用性，或内容合规，或 DLP（防止内部人为的信息泄露），或强调对静态信息的保护（比如存储系统、光盘上的信息）等场景时， “信息安全”一词多被使用。当需要强调网络边界和安全域，或网络入侵防御，或网络通信系统或传输安全，或网络空间等场景时， “网络安全”一词多被使用。当需要强调全生命周期中的数据保护，或数据作为生产力，或强调数据主权、数据主体权利、长臂管辖权、隐私保护等场景时， “数据安全”一词多被使用。网络空间提供计算的环境，数据则作为信息的载体成为计算的对象。网络安全强调计算环境（网络空间）的安全，从而保障计算对象（数据）的安全。因此，网络安全是数据安全的前提，数据安全是网络安全的一种体现，网络安全涵盖的范围更广，而数据安全的范围更明确具有针对性。（二）保障网络数据安全的必要性近年来，我国网民规模不断增长，互联网普及率不断提升。根据中国互联网络信息中心和中共中央网络安全和信息化委员会办公室、中国国家互联网信息办公室联合开展的中国互联网络发展状况统计调查数据显示，截至 2020 年 12 月，我国网民规模为 9.89 亿，较 2020 年 3 月新增网民 8540 万，互联网普及率达 70.4%；我国手机网民规模为 9.86 亿，较 2020 年 3 月新增手机网民 8885 万，网民中使用手机上网的比例为 99.7%，手机网络安全成为网络安全中的关键组成部分。随着互联网的深化普及，网络安全需求同步增长，数据安全在网络安全中的重要地位逐渐体现。同时，归功于网络安全产业的不断壮大，网络安全问题也在被不断解决。 15 数据安全问题升级：影响、对策与机会图 2-1 我国网民遭遇网络安全问题种类及占比资料来源：中国互联网络信息中心，零壹智库根据中国互联网络发展状况统计调查，截至 2020 年 12 月， 61.7%的网民表示过去半年在上网过程中未遭遇过网络安全问题。网民遭遇各类网络安全问题的比例均有所下降。然而，个人信息泄露仍然是最主要的网络安全问题，占比达到 21.9%，排名前四中的网络诈骗和账号或密码被盗问题都与个人信息有关，可见个人信息安全在网络安全领域中的重要地位。根据 2021 年 4 月国家互联网信息办公室等四部门联合印发的常见类型移动互联网应用程序必要个人信息范围规定，国家明确规定了 39 种常见类型 App 的必要个人信 56.4% 12.5% 12.0% 21.2% 23.3% 61.7% 8.2% 10.8% 16.5% 21.9% 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 以上都没有帐号或密码被盗设备中病毒或木马网络诈骗个人信息泄露 2020.12 2020.03 16 数据安全问题升级：影响、对策与机会息范围，要求自 2021 年 5 月 1 日起，其运营者不得因用户不同意收集非必要个人信息而拒绝用户使用 App 基本功能服务。而在部分 App 所需的必要信息中，仍旧涉及注册用户移动电话号码、行踪轨迹、地址、证件等私密信息，加强对该类 App 的管控，确保个人数据安全的工作迫在眉睫。表 2-1 不同 App 所需的必要个人信息 App 种类必要信息地图导航类位置信息、出发地、到达地网络约车类注册用户移动电话号码；乘车人出发地、到达地、位置信息、行踪轨迹；支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）即时通信类注册用户移动电话号码；账号信息：账号、即时通信联系人账号列表网络支付类注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行卡号码网上购物类注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息餐饮外卖类注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息邮件快件寄递类寄件人姓名、证件类型和号码等身份信息；寄件人地址、联系电话；收件人姓名（名称）、地址、联系电话；寄递物品的名称、性质、数量交通票务类注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型（通常包括儿童、成人、学生等）；旅客出发地、目的地、出发时间、车次 /船次 /航班号、席别 / 舱位等级、座位号（如有）、车牌号及车牌颜色（ ETC 服务）；支付时间、支付金额、支付渠道等支付信息婚恋相亲类注册用户移动电话号码；婚恋相亲人的性别、年龄、婚姻状况 17 数据安全问题升级：影响、对策与机会 App 种类必要信息求职招聘类注册用户移动电话号码；求职者提供的简历网络借贷类注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码房屋租售类注册用户移动电话号码；房源基本信息：房屋地址、面积 /户型、期望售价或租金二手车交易类注册用户移动电话号码；购买方姓名、证件类型和号码；出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码问诊挂号类注册用户移动电话号码；挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；问诊时需提供病情描述旅游服务类注册用户移动电话号码；出行人旅游目的地、旅游时间；出行人姓名、证件类型和号码、联系方式酒店服务类注册用户移动电话号码；住宿人姓名和联系方式、入住和退房时间、入住酒店名称用车服务类注册用户移动电话号码；使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息；支付时间、支付金额、支付渠道等支付信息；使用共享单车、分时租赁汽车服务用户的位置信息投资理财类注册用户移动电话号码、投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；投资理财用户资金账户、银行卡号码或支付账号手机银行类注册用户移动电话号码；用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；转账时需提供收款人姓名、银行卡号码、开户银行信息演出票务类注册用户移动电话号码；观演场次、座位号（如有）；支付时间、支付金额、支付渠道等支付信息 18 数据安全问题升级：影响、对策与机会数据来源：国家互联网信息办公室，零壹智库表 2-2 不同 App 所需的必要个人信息（续表） App 种类必要信息网络社区类、网络游戏类、学习教育类、本地生活类、邮箱云盘类、远程会议类注册用户移动电话号码女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、游览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类均无须个人信息即可使用基本功能服务数据来源：国家互联网信息办公室，零壹智库（三）网络数据安全保障的具体措施 2019 年 6 月 28 日，工信部印发电信和互联网行业提升网络数据安全保护能力专项行动方案，以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题，加快推动构建行业网络数据安全综合保障体系。方案围绕加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流五大方面提出了十四项具体任务。其中，强化行业网络数据安全管理方面的任务最为详细，要求稳步实施网络数据资源“清单式”管理、明确企业网络数据安全职能部门、强化网络数据对外合作安全管理、加强行业网络数据安全应急管理。表 2-3：提升网络数据安全保护能力相关任务方面任务加快完善网络数据安全制度标准强化网络数据安全管理制度设计完善网络数据安全标准体系开展网络数据安全风险评估 19 数据安全问题升级：影响、对策与机会方面任务开展合规性评估和专项治理深化 App 违法违规专项治理强化网络数据安全监督执法强化行业网络数据安全管理稳步实施网络数据资源 “ 清单式 ” 管理明确企业网络数据安全职能部门强化网络数据对外合作安全管理加强行业网络数据安全应急管理创新推动网络数据安全技术防护能力建设加强网络数据安全技术手段建设推动网络数据安全技术创新发展加强专业支撑队伍建设强化社会监督和宣传交流强化社会监督和行业自律加强宣传展示和国际交流数据来源：工业和信息化部，零壹智库（四）数据要素所面临的问题与数据治理大数据作为当下社会的一种生产要素，对人类生产产生的影响越来越重要，在数字时代更是具有独特的价值。但我国数据治理相对滞后，目前来说仍存在不少的问题。对当前问题的正确认识，也是数据安全发展必不可少的一个环节，在 8 月 1 日零壹智库“ 数据安全与数据治理 ”研讨会上，中国科技体制改革研究会数字经济小组组长陈晓华指出了目前数据要素面临四大问题。第一，数据权属尚不明确。目前确权手段比较缺乏，现阶段还没有对数据权属问题进行过明确的法律规定。如何保障数据权属？数据交易规则？若能够交易，由于其具有可复制性的特点，数据安全又该如何保障？如何防止他人转卖自己的数据？这些无论是在技术上还是监管上都提出相应的挑战。陈晓华表示，若不能确定数据权的归 20 数据安全问题升级：影响、对策与机会属，数据交易要走的路还很长，目前贵阳大数据交易所就面临这样的经营困窘。第二，数据价值的问题。数据如何定价？数据作为非标品，目前很难确定它的价值，而且定价标准也尚无统一。不同的数据，针对不同的主体将会产生不同的价值，所以数据价值以何种标准界定，由谁来确定，都是亟待解决的问题。第三，是数据隐私问题。目前数据隐私比较容易泄露，数据安全难以保障。如今数字时代，在享受数字生活给我们带来的便利的同时，数据隐私却被暴露的一览无余，对于数据隐私的保护也正是数据安全治理的重中之重。第四，数据流通能力较弱，数据汇聚效果较差。据了解，隐私保护计算技术被视为解决数据流通不畅以及数据汇聚效果差等问题的有效手段。对于数据治理，主要需要从三个角度进行切入。首先，最重要的还是立法，法律法规可持续，才是保障整个数据安全市场的可持续健康发展的第一要素。第二，要从行政的角度进行管理，赋予各省市大数据管理局的相关行政权力，建议把的大数据管理局更名大数据监管局，赋予更多监管权力，以保证当前数据的安全及有效流通。第三，要从科技的角度进行科技监管，即事前预防、事中监管、事后处置。而科技监管中最难的部分就是部委的数据共享，这在当下是一个难点，但在未来将是一个大趋势。（五）数据安全生态加速建设从宏观层面来看，我国在数据安全的治理，除了已出台的法规政策，以及监管机制的不断完善，数据安全产业生态建设也正在稳步推进。一是政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。以专注数据安全的高新技术企业闪捷信息为例，其数据安全产品和解决方案已获取保密局、国家信息中心、公安部等权威机构认证，在商密、涉密领域均有建树，目前已与国内 1000 多家重要单位持续开展合作。二是数据安全人才队伍正逐渐得到扩张。我国各部门组织针对数据安全问题，正通过设立相关学科与研究院、设立培训考核等方式，大力加强数据安全人才队伍建设。例如，中国信息安全测评中心成立中国网络空间安全协会大数据安全人才培养基地，并选拔国家级合作支撑单位，并开展的 CISP 数据安全治理、注册个人信息保护专业人员（ CISP-PIP）认证，共同推动国家互联网网络安全大数据人才体系建设。 21 数据安全问题升级：影响、对策与机会三是国家正大力发展数据安全示范区。数据安全产业示范区的建立会使数据安全企业与人才快速聚集，并能够对其他地区形成指导效应。 2018 年，在国家认证认可监督管理委员会的支持下，贵阳经济技术开发区创建了全国首个 “ 大数据安全认证示范区 ” ，截止 2020 年，贵阳大数据安全示范区已聚集了大数据安全企业和相关机构约 120 家，初步形成大数据安全产业发展的生态体系，产业产值突破 18 亿元。伴随着国家对数据安全的重视，和数据安全以及网络安全相关的企业这两年来也呈现爆发式增长。各企业面对数据安全带来的挑战都有所建树，也同样存在进步空间。第一，敏感数据识别技术向智能化发展，企业探索部署数据安全防泄露工具。数据统计，我国各大安全厂商积极研究数据防泄露技术手段，布局数据防泄露市场， 2017 年我国数据泄露防护市场规模达到 7.8 亿元，同比增长 25.3%， 2020 年超过 14.7 亿元。第二，结构化数据库事前、事中、事后

展开阅读全文