隨著互聯網技術的發展和普及,數據獲取、傳輸的途徑都變得更加便捷,數據安全的風險成為國家、社會、企業、個人等多層面面臨的突出問題,如何加強數據安全治理和個人信息保護成為當下迫切需要解決的主題。在日前舉行的“第六屆中國數據安全治理高峰論壇——數據安全治理與個人信息保護分論壇”上,與會專家共同研判前沿趨勢,為各行業組織機構提升數據安全治理、個人信息保護能力提供借鑒。
全國信安標委副秘書長、中國電子技術標準化研究院網絡安全研究中心副主任上官曉麗在致辭時表示,數據安全和個人信息保護要以合法合規為基礎,需要科技創新和技術革新,形成良好的生態和強大的合力,并需要充分的履責和主動作為。數據安全和個人信息保護工作是一個系統化的復雜性工作,既需要我們不斷創新,也需要我們潛心修煉。
標準助力構建治理體系
制度壓實運營者主體責任
中國網絡安全審查技術與認證中心網絡安全審查二部主任陳世翔對個人信息保護認證制度做出詳盡介紹。個人信息保護認證的對象是個人信息處理者開展的個人信息處理活動,認證申請主體應為個人信息處理者。個人信息保護認證流程包括認證申請、技術驗證、現場審核、認證決定、獲證后監督五個主要環節。數據安全管理認證和個人信息保護認證可以起到以下三方面的作用:發揮質量管理“體檢證”作用;發揮數據流動“通行證”作用;發揮市場經濟“信用證”作用。
認證制度是個人信息保護項下眾多制度中的一個制度,要積極加強統籌,促進認證制度同其他制度銜接、采信;此外,還需加強能力建設,確保認證實施質量和認證有效性;積極跟蹤國外認證制度,探索國際互認,促進國際交流互動。
北京理工大學法學院教授、全國信息安全技術標準化委員會委員洪延青在“生成式AI與個人信息保護關系初探”主題報告中談到,算法和人工智能需要獨立的歸制,而不是完全僅從個人信息保護的角度出發。生成式AI與個人信息保護在預訓練階段、私有化部署、運營階段密切相關,生成式AI可能會產生不利于個人信息保護的有害數據,通過技術黑盒等測評方法生成需要判別數據質量的訓練數據,它所輸出的數據、自身的模型是否可以看作個人信息仍有待探討,這也將是數據安全未來發展的一個新征程。
國家信息技術安全研究中心技術研究事業部副部長楊韜在“數據安全風險評估方法和要點探討”主題報告中表示,數據安全風險評估在方法的角度包含個人信息安全/隱私影響評估,區別在于前者關注的對象更廣,后者側重于個人權益影響。信息安全風險評估與數據安全風險評估是交集關系,共同點在于評估對象均是資產,前者側重信息系統資產,后者側重數據資產(數據處理活動),不同點在于前者通過威脅、脆弱性進行風險分析,后者通過風險源(問題操作)進行風險分析。
數據安全風險評估的三個核心步驟為:風險識別、風險分析、風險評價,即通過風險事件的影響程度和它發生的可能性,來判斷風險等級的高低,這是風險評估的基礎方法。數據安全風險評估要點包含數據安全要素的識別、聚焦風險源等客觀問題、開展風險評價與風險控制。數據安全風險評估定位是“主動發現、積極防范”,不僅是監管要求,也是能夠幫助數據處理者改善和提升數據安全保障的重要手段。
中國電子技術標準化研究院網絡安全研究中心數據治理方向負責人任英杰介紹,圍繞《數據安全法》,可分為數據安全制度、數據安全與發展、數據安全保護義務、政務數據安全與開放、行業領域數據安全等五大標準化主題。
現有數據安全國家標準已發GB/T 35274—2017《大數據服務安全能力要求》、GB/T 37973—2019《大數據安全管理指南》、GB/T 37988—2019《數據安全能力成熟度模型》、GB/T 41479—2022《網絡數據處理安全要求》、GB/T 39477—2020《政務信息共享 數據安全技術要求》、GB/T 39725—2020《健康醫療數據安全指南》、GB/T 37932—2019《數據交易服務安全要求》(修訂中)、GB/T 31500—2015《存儲介質數據恢復服務要求》、GB/T 29765—2021《數據備份與恢復產品技術要求與測試評價方法》、GB/T 42447—2023《電信領域數據安全指南》、GB/T 41871《汽車數據處理安全要求》,以及GB/T 42017《網絡預約汽車服務數據安全要求》等6項網絡平臺數據安全標準,共17項標準。在研《數據分類分級規則》《重要數據識別指南》《數據安全風險評估》等9項標準。這些標準作為落實數據安全以及個人信息保護相關法律法規要求的重要抓手和舉措,發揮了重要作用。
中國汽車工業協會數據分會執行秘書長滕添益在“汽車行業的數據生態建設”主題報告中表示,汽車企業在數據領域有四大挑戰需要解決,一是數據體量不足,二是各個企業形成的數據孤島沒有有效打通,三是數據安全,四是數據價值變現。在數據安全方向,各企業均在開展數據安全合規和管理,并通過技術手段保障數據安全,我們呼吁各個企業更加重視數據安全工作,確保汽車產品的合規,推進數據能力建設,建立閉環能力,統一數據格式,進行分類分級的管理,推進數據資產化。
中國人壽財產保險股份有限公司系統運行部信息安全團隊負責人劉思遠分享了集團開展數據安全治理的實踐經驗。中國人壽財險公司依照《網絡安全法》《數據安全法》《個人信息保護法》,金融行業相關要求,中國人壽集團相關制度,構建了包括《數據安全管理辦法》《數據分類分級管理辦法》《數據全生命周期安全管理辦法》在內的信息安全制度體系,并參照中國人民銀行《金融數據安全 數據安全分級指南》和《個人金融信息保護技術規范》,結合財險業務數據特點制定了分類分級標準,建立了數據安全分類分級目錄。在分類分級工作的基礎上,公司對敏感數據使用過程制定了分級管控與監控措施。隨著各類數據安全技術引入完善,與數據分類分級形成有效聯動,建立了基于數據分類分級結果的動態數據安全防護體系。2023年5月,中國人壽財險公司通過了國家數據安全能力成熟度評估3級認證,標志著公司在數據安全能力建設方面達到了一定的水平。
北京安華金和科技有限公司副總裁、工程技術中心總經理何晉昊在“數據安全治理體系落地實踐的新思考”主題報告中表示,數據安全本身就是應對變化的過程,不應是簡單的技術清單式的建設模式。數據安全建設面臨意識、結構、技術的多重挑戰,數據處理者和供應商需要共同努力踐行“數據+安全”的這一融合的理念。正本清源,數據安全面對的是不斷變化的場景、業務目標及業務活動,要把分類分級這一動態校驗的過程作為建設數據安全的首要方法。數據安全規劃,我們提倡全體系、全系統、全面覆蓋,實際落地的時候一定是按照“微循環”理念,即解決數據的定義、識別、監測、防護,并構建支撐微循環的能力底座,包括數據安全技術、組織人員及管理制度,來支撐各類數據活動。其中我們首要需選準切入點及區域,在一個局部的區域中建立循環,以便應對萬變的業務場景。
破解多元安全挑戰
促進治理實踐高效開展
我國持續建設、完善多層次數據安全治理制度,其落地實施情況成為當下備受關注的問題之一。國家信息技術安全研究中心技術研究事業部副部長楊韜談到,從分類分級角度出發,相關法律法規和標準已經對其有了明確的闡釋,對不同敏感程度或者可能發生數據安全事件后有危害影響的數據采取相應的保護措施,是分類分級制度的核心理念;在風險評估方面,國標《數據安全風險評估方法》正在制定,制定過程中存在需要進一步探索和明確基本原則方向的問題,尤其在影響程度和可能性的判斷方面。需要強調的是,風險評估不僅僅是一項監管要求,也是組織自身提升能力的一個手段。此外,一定要注意數據流動性,流動性能反映組織處理數據的整體視角。
中國電子技術標準化研究院數據治理方向負責人任英杰從標準方面做出補充。國家分類分級標準是依據框架提出了相應的分級要素以及級別確定的規則,行業在具體實施中可以總結出適合各單位的分類分級規則和方法。此外,認證也是國家有關數據安全管理的重要制度,在個人信息保護領域,可參考個人信息保護認證標準開展自評估活動,從而發現自己的安全水位在哪里。作為質量管理的“體檢證”、數據流動的“通行證”、市場經濟的“信用證”, 很好詮釋了認證在數據安全體系里的關鍵作用。
對企業側而言,《數據安全法》、《個人信息保護法》的落地也面臨著多重考驗。中國人壽財產保險股份有限公司信息安全團隊負責人劉思遠表示,挑戰可以用“大、廣、高、少”這四個字來概括。“大”指阻力大,對于業務側使用數據門檻較高;“廣”指涉及范圍較廣,涉及系統的每個環節,交叉組合的面非常廣;“高”指投入高,涉及到的設備、人力,以及所有的應用系統都要改造;“少”是人少,懂理念、懂分類分級、懂業務的人才較少,人才培養亟需加快。
山東高速信聯科技股份有限公司研發中心總經理李斌表示,數據安全風險主要包括數據泄露、數據篡改以及數據丟失。如何解決呢?在落地時,數據安全、網絡安全需要高度融合。在我看來,數據安全主要是認識的問題,即如何理解業務、如何對數據分類分級,分類分級是數據安全的核心工作;而網絡安全更側重從技術角度如何防止內外部對規則策略的破壞。
天融信科技集團工業領域數據安全專家李一鳴分享了如何應用新技術支撐保護隱私的同時讓數據發揮更大價值。他強調,隱私計算技術可以幫助解決我們數據所有權的問題,實現的特定計算任務包含多方聯合查詢、多方聯合運算、聯合建模三個方面,此外它還可以幫助解決數據交易定價的問題,在保障數據所有權的情況下,能做到數據用量可控可計量的效果,通過量化的方式可以進一步方便數據的價值判斷。
數據安全治理與個人信息保護論壇由中國電子技術標準化研究院主辦、北京安華金和科技有限公司承辦。
產品咨詢:4000 258 365 
