隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及�����,數(shù)據(jù)獲取����、傳輸?shù)耐緩蕉甲兊酶颖憬荩瑪?shù)據(jù)安全的風(fēng)險(xiǎn)成為國家�����、社會(huì)��、企業(yè)�����、個(gè)人等多層面面臨的突出問題�,如何加強(qiáng)數(shù)據(jù)安全治理和個(gè)人信息保護(hù)成為當(dāng)下迫切需要解決的主題�。在日前舉行的“第六屆中國數(shù)據(jù)安全治理高峰論壇——數(shù)據(jù)安全治理與個(gè)人信息保護(hù)分論壇”上,與會(huì)專家共同研判前沿趨勢(shì),為各行業(yè)組織機(jī)構(gòu)提升數(shù)據(jù)安全治理���、個(gè)人信息保護(hù)能力提供借鑒�。
全國信安標(biāo)委副秘書長(zhǎng)���、中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心副主任上官曉麗在致辭時(shí)表示�����,數(shù)據(jù)安全和個(gè)人信息保護(hù)要以合法合規(guī)為基礎(chǔ)��,需要科技創(chuàng)新和技術(shù)革新��,形成良好的生態(tài)和強(qiáng)大的合力�,并需要充分的履責(zé)和主動(dòng)作為���。數(shù)據(jù)安全和個(gè)人信息保護(hù)工作是一個(gè)系統(tǒng)化的復(fù)雜性工作��,既需要我們不斷創(chuàng)新��,也需要我們潛心修煉����。
標(biāo)準(zhǔn)助力構(gòu)建治理體系
制度壓實(shí)運(yùn)營者主體責(zé)任
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心網(wǎng)絡(luò)安全審查二部主任陳世翔對(duì)個(gè)人信息保護(hù)認(rèn)證制度做出詳盡介紹。個(gè)人信息保護(hù)認(rèn)證的對(duì)象是個(gè)人信息處理者開展的個(gè)人信息處理活動(dòng)����,認(rèn)證申請(qǐng)主體應(yīng)為個(gè)人信息處理者。個(gè)人信息保護(hù)認(rèn)證流程包括認(rèn)證申請(qǐng)����、技術(shù)驗(yàn)證、現(xiàn)場(chǎng)審核���、認(rèn)證決定�����、獲證后監(jiān)督五個(gè)主要環(huán)節(jié)��。數(shù)據(jù)安全管理認(rèn)證和個(gè)人信息保護(hù)認(rèn)證可以起到以下三方面的作用:發(fā)揮質(zhì)量管理“體檢證”作用�;發(fā)揮數(shù)據(jù)流動(dòng)“通行證”作用��;發(fā)揮市場(chǎng)經(jīng)濟(jì)“信用證”作用�。
認(rèn)證制度是個(gè)人信息保護(hù)項(xiàng)下眾多制度中的一個(gè)制度���,要積極加強(qiáng)統(tǒng)籌����,促進(jìn)認(rèn)證制度同其他制度銜接、采信��;此外��,還需加強(qiáng)能力建設(shè)�,確保認(rèn)證實(shí)施質(zhì)量和認(rèn)證有效性;積極跟蹤國外認(rèn)證制度�����,探索國際互認(rèn)�����,促進(jìn)國際交流互動(dòng)�。
北京理工大學(xué)法學(xué)院教授、全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)委員洪延青在“生成式AI與個(gè)人信息保護(hù)關(guān)系初探”主題報(bào)告中談到���,算法和人工智能需要獨(dú)立的歸制����,而不是完全僅從個(gè)人信息保護(hù)的角度出發(fā)�����。生成式AI與個(gè)人信息保護(hù)在預(yù)訓(xùn)練階段、私有化部署����、運(yùn)營階段密切相關(guān),生成式AI可能會(huì)產(chǎn)生不利于個(gè)人信息保護(hù)的有害數(shù)據(jù)���,通過技術(shù)黑盒等測(cè)評(píng)方法生成需要判別數(shù)據(jù)質(zhì)量的訓(xùn)練數(shù)據(jù)����,它所輸出的數(shù)據(jù)�、自身的模型是否可以看作個(gè)人信息仍有待探討,這也將是數(shù)據(jù)安全未來發(fā)展的一個(gè)新征程��。
國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長(zhǎng)楊韜在“數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法和要點(diǎn)探討”主題報(bào)告中表示�����,數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估在方法的角度包含個(gè)人信息安全/隱私影響評(píng)估�,區(qū)別在于前者關(guān)注的對(duì)象更廣,后者側(cè)重于個(gè)人權(quán)益影響���。信息安全風(fēng)險(xiǎn)評(píng)估與數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是交集關(guān)系�����,共同點(diǎn)在于評(píng)估對(duì)象均是資產(chǎn)�����,前者側(cè)重信息系統(tǒng)資產(chǎn)��,后者側(cè)重?cái)?shù)據(jù)資產(chǎn)(數(shù)據(jù)處理活動(dòng))����,不同點(diǎn)在于前者通過威脅���、脆弱性進(jìn)行風(fēng)險(xiǎn)分析�����,后者通過風(fēng)險(xiǎn)源(問題操作)進(jìn)行風(fēng)險(xiǎn)分析�。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)核心步驟為:風(fēng)險(xiǎn)識(shí)別��、風(fēng)險(xiǎn)分析��、風(fēng)險(xiǎn)評(píng)價(jià)����,即通過風(fēng)險(xiǎn)事件的影響程度和它發(fā)生的可能性����,來判斷風(fēng)險(xiǎn)等級(jí)的高低�,這是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)方法。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估要點(diǎn)包含數(shù)據(jù)安全要素的識(shí)別��、聚焦風(fēng)險(xiǎn)源等客觀問題�、開展風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)控制。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估定位是“主動(dòng)發(fā)現(xiàn)�、積極防范”�����,不僅是監(jiān)管要求,也是能夠幫助數(shù)據(jù)處理者改善和提升數(shù)據(jù)安全保障的重要手段����。
中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)治理方向負(fù)責(zé)人任英杰介紹,圍繞《數(shù)據(jù)安全法》�����,可分為數(shù)據(jù)安全制度�、數(shù)據(jù)安全與發(fā)展�����、數(shù)據(jù)安全保護(hù)義務(wù)�����、政務(wù)數(shù)據(jù)安全與開放�����、行業(yè)領(lǐng)域數(shù)據(jù)安全等五大標(biāo)準(zhǔn)化主題。
現(xiàn)有數(shù)據(jù)安全國家標(biāo)準(zhǔn)已發(fā)GB/T 35274—2017《大數(shù)據(jù)服務(wù)安全能力要求》、GB/T 37973—2019《大數(shù)據(jù)安全管理指南》、GB/T 37988—2019《數(shù)據(jù)安全能力成熟度模型》、GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》�����、GB/T 39477—2020《政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》、GB/T 39725—2020《健康醫(yī)療數(shù)據(jù)安全指南》、GB/T 37932—2019《數(shù)據(jù)交易服務(wù)安全要求》(修訂中)��、GB/T 31500—2015《存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》����、GB/T 29765—2021《數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》���、GB/T 42447—2023《電信領(lǐng)域數(shù)據(jù)安全指南》、GB/T 41871《汽車數(shù)據(jù)處理安全要求》,以及GB/T 42017《網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》等6項(xiàng)網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)安全標(biāo)準(zhǔn)���,共17項(xiàng)標(biāo)準(zhǔn)。在研《數(shù)據(jù)分類分級(jí)規(guī)則》《重要數(shù)據(jù)識(shí)別指南》《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估》等9項(xiàng)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)作為落實(shí)數(shù)據(jù)安全以及個(gè)人信息保護(hù)相關(guān)法律法規(guī)要求的重要抓手和舉措�����,發(fā)揮了重要作用。
中國汽車工業(yè)協(xié)會(huì)數(shù)據(jù)分會(huì)執(zhí)行秘書長(zhǎng)滕添益在“汽車行業(yè)的數(shù)據(jù)生態(tài)建設(shè)”主題報(bào)告中表示,汽車企業(yè)在數(shù)據(jù)領(lǐng)域有四大挑戰(zhàn)需要解決��,一是數(shù)據(jù)體量不足��,二是各個(gè)企業(yè)形成的數(shù)據(jù)孤島沒有有效打通,三是數(shù)據(jù)安全,四是數(shù)據(jù)價(jià)值變現(xiàn)��。在數(shù)據(jù)安全方向���,各企業(yè)均在開展數(shù)據(jù)安全合規(guī)和管理,并通過技術(shù)手段保障數(shù)據(jù)安全,我們呼吁各個(gè)企業(yè)更加重視數(shù)據(jù)安全工作,確保汽車產(chǎn)品的合規(guī),推進(jìn)數(shù)據(jù)能力建設(shè),建立閉環(huán)能力�,統(tǒng)一數(shù)據(jù)格式,進(jìn)行分類分級(jí)的管理����,推進(jìn)數(shù)據(jù)資產(chǎn)化�����。
中國人壽財(cái)產(chǎn)保險(xiǎn)股份有限公司系統(tǒng)運(yùn)行部信息安全團(tuán)隊(duì)負(fù)責(zé)人劉思遠(yuǎn)分享了集團(tuán)開展數(shù)據(jù)安全治理的實(shí)踐經(jīng)驗(yàn)�。中國人壽財(cái)險(xiǎn)公司依照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》��,金融行業(yè)相關(guān)要求�����,中國人壽集團(tuán)相關(guān)制度����,構(gòu)建了包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)分類分級(jí)管理辦法》《數(shù)據(jù)全生命周期安全管理辦法》在內(nèi)的信息安全制度體系,并參照中國人民銀行《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》���,結(jié)合財(cái)險(xiǎn)業(yè)務(wù)數(shù)據(jù)特點(diǎn)制定了分類分級(jí)標(biāo)準(zhǔn),建立了數(shù)據(jù)安全分類分級(jí)目錄���。在分類分級(jí)工作的基礎(chǔ)上�����,公司對(duì)敏感數(shù)據(jù)使用過程制定了分級(jí)管控與監(jiān)控措施�。隨著各類數(shù)據(jù)安全技術(shù)引入完善,與數(shù)據(jù)分類分級(jí)形成有效聯(lián)動(dòng)��,建立了基于數(shù)據(jù)分類分級(jí)結(jié)果的動(dòng)態(tài)數(shù)據(jù)安全防護(hù)體系�。2023年5月��,中國人壽財(cái)險(xiǎn)公司通過了國家數(shù)據(jù)安全能力成熟度評(píng)估3級(jí)認(rèn)證�����,標(biāo)志著公司在數(shù)據(jù)安全能力建設(shè)方面達(dá)到了一定的水平�����。
北京安華金和科技有限公司副總裁、工程技術(shù)中心總經(jīng)理何晉昊在“數(shù)據(jù)安全治理體系落地實(shí)踐的新思考”主題報(bào)告中表示�,數(shù)據(jù)安全本身就是應(yīng)對(duì)變化的過程,不應(yīng)是簡(jiǎn)單的技術(shù)清單式的建設(shè)模式���。數(shù)據(jù)安全建設(shè)面臨意識(shí)����、結(jié)構(gòu)�����、技術(shù)的多重挑戰(zhàn)���,數(shù)據(jù)處理者和供應(yīng)商需要共同努力踐行“數(shù)據(jù)+安全”的這一融合的理念��。正本清源�����,數(shù)據(jù)安全面對(duì)的是不斷變化的場(chǎng)景、業(yè)務(wù)目標(biāo)及業(yè)務(wù)活動(dòng),要把分類分級(jí)這一動(dòng)態(tài)校驗(yàn)的過程作為建設(shè)數(shù)據(jù)安全的首要方法。數(shù)據(jù)安全規(guī)劃����,我們提倡全體系��、全系統(tǒng)����、全面覆蓋�����,實(shí)際落地的時(shí)候一定是按照“微循環(huán)”理念�����,即解決數(shù)據(jù)的定義����、識(shí)別���、監(jiān)測(cè)�����、防護(hù)�,并構(gòu)建支撐微循環(huán)的能力底座,包括數(shù)據(jù)安全技術(shù)�、組織人員及管理制度,來支撐各類數(shù)據(jù)活動(dòng)�。其中我們首要需選準(zhǔn)切入點(diǎn)及區(qū)域,在一個(gè)局部的區(qū)域中建立循環(huán)�����,以便應(yīng)對(duì)萬變的業(yè)務(wù)場(chǎng)景���。
破解多元安全挑戰(zhàn)
促進(jìn)治理實(shí)踐高效開展
我國持續(xù)建設(shè)��、完善多層次數(shù)據(jù)安全治理制度���,其落地實(shí)施情況成為當(dāng)下備受關(guān)注的問題之一。國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長(zhǎng)楊韜談到����,從分類分級(jí)角度出發(fā),相關(guān)法律法規(guī)和標(biāo)準(zhǔn)已經(jīng)對(duì)其有了明確的闡釋��,對(duì)不同敏感程度或者可能發(fā)生數(shù)據(jù)安全事件后有危害影響的數(shù)據(jù)采取相應(yīng)的保護(hù)措施�����,是分類分級(jí)制度的核心理念;在風(fēng)險(xiǎn)評(píng)估方面�,國標(biāo)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》正在制定,制定過程中存在需要進(jìn)一步探索和明確基本原則方向的問題���,尤其在影響程度和可能性的判斷方面。需要強(qiáng)調(diào)的是����,風(fēng)險(xiǎn)評(píng)估不僅僅是一項(xiàng)監(jiān)管要求,也是組織自身提升能力的一個(gè)手段���。此外����,一定要注意數(shù)據(jù)流動(dòng)性���,流動(dòng)性能反映組織處理數(shù)據(jù)的整體視角��。
中國電子技術(shù)標(biāo)準(zhǔn)化研究院數(shù)據(jù)治理方向負(fù)責(zé)人任英杰從標(biāo)準(zhǔn)方面做出補(bǔ)充�。國家分類分級(jí)標(biāo)準(zhǔn)是依據(jù)框架提出了相應(yīng)的分級(jí)要素以及級(jí)別確定的規(guī)則���,行業(yè)在具體實(shí)施中可以總結(jié)出適合各單位的分類分級(jí)規(guī)則和方法�����。此外����,認(rèn)證也是國家有關(guān)數(shù)據(jù)安全管理的重要制度,在個(gè)人信息保護(hù)領(lǐng)域���,可參考個(gè)人信息保護(hù)認(rèn)證標(biāo)準(zhǔn)開展自評(píng)估活動(dòng)���,從而發(fā)現(xiàn)自己的安全水位在哪里。作為質(zhì)量管理的“體檢證”���、數(shù)據(jù)流動(dòng)的“通行證”�����、市場(chǎng)經(jīng)濟(jì)的“信用證”�, 很好詮釋了認(rèn)證在數(shù)據(jù)安全體系里的關(guān)鍵作用��。
對(duì)企業(yè)側(cè)而言����,《數(shù)據(jù)安全法》�、《個(gè)人信息保護(hù)法》的落地也面臨著多重考驗(yàn)�����。中國人壽財(cái)產(chǎn)保險(xiǎn)股份有限公司信息安全團(tuán)隊(duì)負(fù)責(zé)人劉思遠(yuǎn)表示����,挑戰(zhàn)可以用“大����、廣、高�����、少”這四個(gè)字來概括�����?��!按蟆敝缸枇Υ?,對(duì)于業(yè)務(wù)側(cè)使用數(shù)據(jù)門檻較高���;“廣”指涉及范圍較廣�,涉及系統(tǒng)的每個(gè)環(huán)節(jié),交叉組合的面非常廣����;“高”指投入高,涉及到的設(shè)備����、人力,以及所有的應(yīng)用系統(tǒng)都要改造�����;“少”是人少��,懂理念����、懂分類分級(jí)、懂業(yè)務(wù)的人才較少�����,人才培養(yǎng)亟需加快���。
山東高速信聯(lián)科技股份有限公司研發(fā)中心總經(jīng)理李斌表示�����,數(shù)據(jù)安全風(fēng)險(xiǎn)主要包括數(shù)據(jù)泄露��、數(shù)據(jù)篡改以及數(shù)據(jù)丟失����。如何解決呢?在落地時(shí)��,數(shù)據(jù)安全���、網(wǎng)絡(luò)安全需要高度融合。在我看來��,數(shù)據(jù)安全主要是認(rèn)識(shí)的問題�����,即如何理解業(yè)務(wù)���、如何對(duì)數(shù)據(jù)分類分級(jí)�,分類分級(jí)是數(shù)據(jù)安全的核心工作;而網(wǎng)絡(luò)安全更側(cè)重從技術(shù)角度如何防止內(nèi)外部對(duì)規(guī)則策略的破壞���。
天融信科技集團(tuán)工業(yè)領(lǐng)域數(shù)據(jù)安全專家李一鳴分享了如何應(yīng)用新技術(shù)支撐保護(hù)隱私的同時(shí)讓數(shù)據(jù)發(fā)揮更大價(jià)值�。他強(qiáng)調(diào)��,隱私計(jì)算技術(shù)可以幫助解決我們數(shù)據(jù)所有權(quán)的問題����,實(shí)現(xiàn)的特定計(jì)算任務(wù)包含多方聯(lián)合查詢、多方聯(lián)合運(yùn)算���、聯(lián)合建模三個(gè)方面��,此外它還可以幫助解決數(shù)據(jù)交易定價(jià)的問題��,在保障數(shù)據(jù)所有權(quán)的情況下�����,能做到數(shù)據(jù)用量可控可計(jì)量的效果����,通過量化的方式可以進(jìn)一步方便數(shù)據(jù)的價(jià)值判斷。
數(shù)據(jù)安全治理與個(gè)人信息保護(hù)論壇由中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦�、北京安華金和科技有限公司承辦。
產(chǎn)品咨詢:4000 258 365 
