隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及,數(shù)據(jù)獲取、傳輸?shù)耐緩蕉甲兊酶颖憬?�,?shù)據(jù)安全的風(fēng)險成為國家�、社會、企業(yè)���、個人等多層面面臨的突出問題�,如何加強(qiáng)數(shù)據(jù)安全治理和個人信息保護(hù)成為當(dāng)下迫切需要解決的主題�。在日前舉行的“第六屆中國數(shù)據(jù)安全治理高峰論壇——數(shù)據(jù)安全治理與個人信息保護(hù)分論壇”上,與會專家共同研判前沿趨勢��,為各行業(yè)組織機(jī)構(gòu)提升數(shù)據(jù)安全治理�����、個人信息保護(hù)能力提供借鑒。
全國信安標(biāo)委副秘書長���、中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心副主任上官曉麗在致辭時表示���,數(shù)據(jù)安全和個人信息保護(hù)要以合法合規(guī)為基礎(chǔ),需要科技創(chuàng)新和技術(shù)革新���,形成良好的生態(tài)和強(qiáng)大的合力���,并需要充分的履責(zé)和主動作為。數(shù)據(jù)安全和個人信息保護(hù)工作是一個系統(tǒng)化的復(fù)雜性工作�����,既需要我們不斷創(chuàng)新�����,也需要我們潛心修煉��。
標(biāo)準(zhǔn)助力構(gòu)建治理體系
制度壓實(shí)運(yùn)營者主體責(zé)任
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心網(wǎng)絡(luò)安全審查二部主任陳世翔對個人信息保護(hù)認(rèn)證制度做出詳盡介紹����。個人信息保護(hù)認(rèn)證的對象是個人信息處理者開展的個人信息處理活動��,認(rèn)證申請主體應(yīng)為個人信息處理者��。個人信息保護(hù)認(rèn)證流程包括認(rèn)證申請�����、技術(shù)驗(yàn)證�����、現(xiàn)場審核、認(rèn)證決定���、獲證后監(jiān)督五個主要環(huán)節(jié)��。數(shù)據(jù)安全管理認(rèn)證和個人信息保護(hù)認(rèn)證可以起到以下三方面的作用:發(fā)揮質(zhì)量管理“體檢證”作用�;發(fā)揮數(shù)據(jù)流動“通行證”作用�;發(fā)揮市場經(jīng)濟(jì)“信用證”作用。
認(rèn)證制度是個人信息保護(hù)項(xiàng)下眾多制度中的一個制度��,要積極加強(qiáng)統(tǒng)籌�,促進(jìn)認(rèn)證制度同其他制度銜接���、采信;此外����,還需加強(qiáng)能力建設(shè),確保認(rèn)證實(shí)施質(zhì)量和認(rèn)證有效性�����;積極跟蹤國外認(rèn)證制度����,探索國際互認(rèn),促進(jìn)國際交流互動��。
北京理工大學(xué)法學(xué)院教授���、全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會委員洪延青在“生成式AI與個人信息保護(hù)關(guān)系初探”主題報告中談到����,算法和人工智能需要獨(dú)立的歸制���,而不是完全僅從個人信息保護(hù)的角度出發(fā)���。生成式AI與個人信息保護(hù)在預(yù)訓(xùn)練階段�、私有化部署�����、運(yùn)營階段密切相關(guān)��,生成式AI可能會產(chǎn)生不利于個人信息保護(hù)的有害數(shù)據(jù)�,通過技術(shù)黑盒等測評方法生成需要判別數(shù)據(jù)質(zhì)量的訓(xùn)練數(shù)據(jù),它所輸出的數(shù)據(jù)�、自身的模型是否可以看作個人信息仍有待探討,這也將是數(shù)據(jù)安全未來發(fā)展的一個新征程����。
國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長楊韜在“數(shù)據(jù)安全風(fēng)險評估方法和要點(diǎn)探討”主題報告中表示��,數(shù)據(jù)安全風(fēng)險評估在方法的角度包含個人信息安全/隱私影響評估���,區(qū)別在于前者關(guān)注的對象更廣��,后者側(cè)重于個人權(quán)益影響����。信息安全風(fēng)險評估與數(shù)據(jù)安全風(fēng)險評估是交集關(guān)系,共同點(diǎn)在于評估對象均是資產(chǎn)�,前者側(cè)重信息系統(tǒng)資產(chǎn),后者側(cè)重?cái)?shù)據(jù)資產(chǎn)(數(shù)據(jù)處理活動)�����,不同點(diǎn)在于前者通過威脅���、脆弱性進(jìn)行風(fēng)險分析����,后者通過風(fēng)險源(問題操作)進(jìn)行風(fēng)險分析�����。
數(shù)據(jù)安全風(fēng)險評估的三個核心步驟為:風(fēng)險識別����、風(fēng)險分析、風(fēng)險評價����,即通過風(fēng)險事件的影響程度和它發(fā)生的可能性�����,來判斷風(fēng)險等級的高低���,這是風(fēng)險評估的基礎(chǔ)方法。數(shù)據(jù)安全風(fēng)險評估要點(diǎn)包含數(shù)據(jù)安全要素的識別����、聚焦風(fēng)險源等客觀問題、開展風(fēng)險評價與風(fēng)險控制�。數(shù)據(jù)安全風(fēng)險評估定位是“主動發(fā)現(xiàn)、積極防范”����,不僅是監(jiān)管要求,也是能夠幫助數(shù)據(jù)處理者改善和提升數(shù)據(jù)安全保障的重要手段���。
中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)治理方向負(fù)責(zé)人任英杰介紹�����,圍繞《數(shù)據(jù)安全法》,可分為數(shù)據(jù)安全制度���、數(shù)據(jù)安全與發(fā)展��、數(shù)據(jù)安全保護(hù)義務(wù)�����、政務(wù)數(shù)據(jù)安全與開放�、行業(yè)領(lǐng)域數(shù)據(jù)安全等五大標(biāo)準(zhǔn)化主題。
現(xiàn)有數(shù)據(jù)安全國家標(biāo)準(zhǔn)已發(fā)GB/T 35274—2017《大數(shù)據(jù)服務(wù)安全能力要求》����、GB/T 37973—2019《大數(shù)據(jù)安全管理指南》、GB/T 37988—2019《數(shù)據(jù)安全能力成熟度模型》��、GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》�����、GB/T 39477—2020《政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》�����、GB/T 39725—2020《健康醫(yī)療數(shù)據(jù)安全指南》����、GB/T 37932—2019《數(shù)據(jù)交易服務(wù)安全要求》(修訂中)����、GB/T 31500—2015《存儲介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》�、GB/T 29765—2021《數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法》、GB/T 42447—2023《電信領(lǐng)域數(shù)據(jù)安全指南》�����、GB/T 41871《汽車數(shù)據(jù)處理安全要求》����,以及GB/T 42017《網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》等6項(xiàng)網(wǎng)絡(luò)平臺數(shù)據(jù)安全標(biāo)準(zhǔn),共17項(xiàng)標(biāo)準(zhǔn)�����。在研《數(shù)據(jù)分類分級規(guī)則》《重要數(shù)據(jù)識別指南》《數(shù)據(jù)安全風(fēng)險評估》等9項(xiàng)標(biāo)準(zhǔn)��。這些標(biāo)準(zhǔn)作為落實(shí)數(shù)據(jù)安全以及個人信息保護(hù)相關(guān)法律法規(guī)要求的重要抓手和舉措�,發(fā)揮了重要作用。
中國汽車工業(yè)協(xié)會數(shù)據(jù)分會執(zhí)行秘書長滕添益在“汽車行業(yè)的數(shù)據(jù)生態(tài)建設(shè)”主題報告中表示���,汽車企業(yè)在數(shù)據(jù)領(lǐng)域有四大挑戰(zhàn)需要解決���,一是數(shù)據(jù)體量不足,二是各個企業(yè)形成的數(shù)據(jù)孤島沒有有效打通�,三是數(shù)據(jù)安全,四是數(shù)據(jù)價值變現(xiàn)���。在數(shù)據(jù)安全方向�����,各企業(yè)均在開展數(shù)據(jù)安全合規(guī)和管理��,并通過技術(shù)手段保障數(shù)據(jù)安全�����,我們呼吁各個企業(yè)更加重視數(shù)據(jù)安全工作�,確保汽車產(chǎn)品的合規(guī)�����,推進(jìn)數(shù)據(jù)能力建設(shè)�����,建立閉環(huán)能力�����,統(tǒng)一數(shù)據(jù)格式,進(jìn)行分類分級的管理�����,推進(jìn)數(shù)據(jù)資產(chǎn)化��。
中國人壽財(cái)產(chǎn)保險股份有限公司系統(tǒng)運(yùn)行部信息安全團(tuán)隊(duì)負(fù)責(zé)人劉思遠(yuǎn)分享了集團(tuán)開展數(shù)據(jù)安全治理的實(shí)踐經(jīng)驗(yàn)�����。中國人壽財(cái)險公司依照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》���,金融行業(yè)相關(guān)要求�����,中國人壽集團(tuán)相關(guān)制度�����,構(gòu)建了包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)分類分級管理辦法》《數(shù)據(jù)全生命周期安全管理辦法》在內(nèi)的信息安全制度體系��,并參照中國人民銀行《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》和《個人金融信息保護(hù)技術(shù)規(guī)范》����,結(jié)合財(cái)險業(yè)務(wù)數(shù)據(jù)特點(diǎn)制定了分類分級標(biāo)準(zhǔn),建立了數(shù)據(jù)安全分類分級目錄���。在分類分級工作的基礎(chǔ)上,公司對敏感數(shù)據(jù)使用過程制定了分級管控與監(jiān)控措施�。隨著各類數(shù)據(jù)安全技術(shù)引入完善,與數(shù)據(jù)分類分級形成有效聯(lián)動����,建立了基于數(shù)據(jù)分類分級結(jié)果的動態(tài)數(shù)據(jù)安全防護(hù)體系。2023年5月�����,中國人壽財(cái)險公司通過了國家數(shù)據(jù)安全能力成熟度評估3級認(rèn)證���,標(biāo)志著公司在數(shù)據(jù)安全能力建設(shè)方面達(dá)到了一定的水平�。
北京安華金和科技有限公司副總裁��、工程技術(shù)中心總經(jīng)理何晉昊在“數(shù)據(jù)安全治理體系落地實(shí)踐的新思考”主題報告中表示����,數(shù)據(jù)安全本身就是應(yīng)對變化的過程�,不應(yīng)是簡單的技術(shù)清單式的建設(shè)模式�����。數(shù)據(jù)安全建設(shè)面臨意識�����、結(jié)構(gòu)�、技術(shù)的多重挑戰(zhàn),數(shù)據(jù)處理者和供應(yīng)商需要共同努力踐行“數(shù)據(jù)+安全”的這一融合的理念���。正本清源�,數(shù)據(jù)安全面對的是不斷變化的場景���、業(yè)務(wù)目標(biāo)及業(yè)務(wù)活動���,要把分類分級這一動態(tài)校驗(yàn)的過程作為建設(shè)數(shù)據(jù)安全的首要方法。數(shù)據(jù)安全規(guī)劃��,我們提倡全體系���、全系統(tǒng)����、全面覆蓋,實(shí)際落地的時候一定是按照“微循環(huán)”理念�,即解決數(shù)據(jù)的定義、識別����、監(jiān)測��、防護(hù)����,并構(gòu)建支撐微循環(huán)的能力底座,包括數(shù)據(jù)安全技術(shù)���、組織人員及管理制度�����,來支撐各類數(shù)據(jù)活動�����。其中我們首要需選準(zhǔn)切入點(diǎn)及區(qū)域�,在一個局部的區(qū)域中建立循環(huán),以便應(yīng)對萬變的業(yè)務(wù)場景�。
破解多元安全挑戰(zhàn)
促進(jìn)治理實(shí)踐高效開展
我國持續(xù)建設(shè)、完善多層次數(shù)據(jù)安全治理制度���,其落地實(shí)施情況成為當(dāng)下備受關(guān)注的問題之一����。國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長楊韜談到��,從分類分級角度出發(fā)���,相關(guān)法律法規(guī)和標(biāo)準(zhǔn)已經(jīng)對其有了明確的闡釋�,對不同敏感程度或者可能發(fā)生數(shù)據(jù)安全事件后有危害影響的數(shù)據(jù)采取相應(yīng)的保護(hù)措施��,是分類分級制度的核心理念��;在風(fēng)險評估方面�,國標(biāo)《數(shù)據(jù)安全風(fēng)險評估方法》正在制定,制定過程中存在需要進(jìn)一步探索和明確基本原則方向的問題�����,尤其在影響程度和可能性的判斷方面。需要強(qiáng)調(diào)的是�,風(fēng)險評估不僅僅是一項(xiàng)監(jiān)管要求,也是組織自身提升能力的一個手段����。此外,一定要注意數(shù)據(jù)流動性��,流動性能反映組織處理數(shù)據(jù)的整體視角�。
中國電子技術(shù)標(biāo)準(zhǔn)化研究院數(shù)據(jù)治理方向負(fù)責(zé)人任英杰從標(biāo)準(zhǔn)方面做出補(bǔ)充。國家分類分級標(biāo)準(zhǔn)是依據(jù)框架提出了相應(yīng)的分級要素以及級別確定的規(guī)則�����,行業(yè)在具體實(shí)施中可以總結(jié)出適合各單位的分類分級規(guī)則和方法�����。此外��,認(rèn)證也是國家有關(guān)數(shù)據(jù)安全管理的重要制度��,在個人信息保護(hù)領(lǐng)域�,可參考個人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)開展自評估活動���,從而發(fā)現(xiàn)自己的安全水位在哪里�。作為質(zhì)量管理的“體檢證”、數(shù)據(jù)流動的“通行證”����、市場經(jīng)濟(jì)的“信用證”, 很好詮釋了認(rèn)證在數(shù)據(jù)安全體系里的關(guān)鍵作用���。
對企業(yè)側(cè)而言��,《數(shù)據(jù)安全法》���、《個人信息保護(hù)法》的落地也面臨著多重考驗(yàn)。中國人壽財(cái)產(chǎn)保險股份有限公司信息安全團(tuán)隊(duì)負(fù)責(zé)人劉思遠(yuǎn)表示���,挑戰(zhàn)可以用“大�����、廣����、高���、少”這四個字來概括�����?!按蟆敝缸枇Υ螅瑢τ跇I(yè)務(wù)側(cè)使用數(shù)據(jù)門檻較高���;“廣”指涉及范圍較廣����,涉及系統(tǒng)的每個環(huán)節(jié)�,交叉組合的面非常廣;“高”指投入高�����,涉及到的設(shè)備����、人力����,以及所有的應(yīng)用系統(tǒng)都要改造��;“少”是人少���,懂理念、懂分類分級�����、懂業(yè)務(wù)的人才較少�����,人才培養(yǎng)亟需加快���。
山東高速信聯(lián)科技股份有限公司研發(fā)中心總經(jīng)理李斌表示��,數(shù)據(jù)安全風(fēng)險主要包括數(shù)據(jù)泄露��、數(shù)據(jù)篡改以及數(shù)據(jù)丟失����。如何解決呢���?在落地時����,數(shù)據(jù)安全、網(wǎng)絡(luò)安全需要高度融合�。在我看來,數(shù)據(jù)安全主要是認(rèn)識的問題�����,即如何理解業(yè)務(wù)�、如何對數(shù)據(jù)分類分級,分類分級是數(shù)據(jù)安全的核心工作����;而網(wǎng)絡(luò)安全更側(cè)重從技術(shù)角度如何防止內(nèi)外部對規(guī)則策略的破壞。
天融信科技集團(tuán)工業(yè)領(lǐng)域數(shù)據(jù)安全專家李一鳴分享了如何應(yīng)用新技術(shù)支撐保護(hù)隱私的同時讓數(shù)據(jù)發(fā)揮更大價值�����。他強(qiáng)調(diào)�,隱私計(jì)算技術(shù)可以幫助解決我們數(shù)據(jù)所有權(quán)的問題,實(shí)現(xiàn)的特定計(jì)算任務(wù)包含多方聯(lián)合查詢��、多方聯(lián)合運(yùn)算���、聯(lián)合建模三個方面��,此外它還可以幫助解決數(shù)據(jù)交易定價的問題�����,在保障數(shù)據(jù)所有權(quán)的情況下��,能做到數(shù)據(jù)用量可控可計(jì)量的效果�����,通過量化的方式可以進(jìn)一步方便數(shù)據(jù)的價值判斷���。
數(shù)據(jù)安全治理與個人信息保護(hù)論壇由中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦、北京安華金和科技有限公司承辦����。
產(chǎn)品咨詢:4000 258 365 
