隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及,數(shù)據(jù)獲取��、傳輸?shù)耐緩蕉甲兊酶颖憬?,?shù)據(jù)安全的風(fēng)險成為國家、社會�、企業(yè)、個人等多層面面臨的突出問題�,如何加強數(shù)據(jù)安全治理和個人信息保護成為當下迫切需要解決的主題。在日前舉行的“第六屆中國數(shù)據(jù)安全治理高峰論壇——數(shù)據(jù)安全治理與個人信息保護分論壇”上����,與會專家共同研判前沿趨勢,為各行業(yè)組織機構(gòu)提升數(shù)據(jù)安全治理���、個人信息保護能力提供借鑒���。
全國信安標委副秘書長、中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心副主任上官曉麗在致辭時表示����,數(shù)據(jù)安全和個人信息保護要以合法合規(guī)為基礎(chǔ),需要科技創(chuàng)新和技術(shù)革新��,形成良好的生態(tài)和強大的合力,并需要充分的履責和主動作為���。數(shù)據(jù)安全和個人信息保護工作是一個系統(tǒng)化的復(fù)雜性工作��,既需要我們不斷創(chuàng)新���,也需要我們潛心修煉。
標準助力構(gòu)建治理體系
制度壓實運營者主體責任
中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心網(wǎng)絡(luò)安全審查二部主任陳世翔對個人信息保護認證制度做出詳盡介紹�����。個人信息保護認證的對象是個人信息處理者開展的個人信息處理活動��,認證申請主體應(yīng)為個人信息處理者���。個人信息保護認證流程包括認證申請�����、技術(shù)驗證、現(xiàn)場審核�����、認證決定、獲證后監(jiān)督五個主要環(huán)節(jié)��。數(shù)據(jù)安全管理認證和個人信息保護認證可以起到以下三方面的作用:發(fā)揮質(zhì)量管理“體檢證”作用��;發(fā)揮數(shù)據(jù)流動“通行證”作用�;發(fā)揮市場經(jīng)濟“信用證”作用。
認證制度是個人信息保護項下眾多制度中的一個制度�,要積極加強統(tǒng)籌,促進認證制度同其他制度銜接��、采信��;此外�����,還需加強能力建設(shè)�,確保認證實施質(zhì)量和認證有效性;積極跟蹤國外認證制度����,探索國際互認,促進國際交流互動�����。
北京理工大學(xué)法學(xué)院教授、全國信息安全技術(shù)標準化委員會委員洪延青在“生成式AI與個人信息保護關(guān)系初探”主題報告中談到�,算法和人工智能需要獨立的歸制,而不是完全僅從個人信息保護的角度出發(fā)�����。生成式AI與個人信息保護在預(yù)訓(xùn)練階段��、私有化部署���、運營階段密切相關(guān)��,生成式AI可能會產(chǎn)生不利于個人信息保護的有害數(shù)據(jù)��,通過技術(shù)黑盒等測評方法生成需要判別數(shù)據(jù)質(zhì)量的訓(xùn)練數(shù)據(jù)�,它所輸出的數(shù)據(jù)���、自身的模型是否可以看作個人信息仍有待探討�����,這也將是數(shù)據(jù)安全未來發(fā)展的一個新征程�。
國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長楊韜在“數(shù)據(jù)安全風(fēng)險評估方法和要點探討”主題報告中表示����,數(shù)據(jù)安全風(fēng)險評估在方法的角度包含個人信息安全/隱私影響評估,區(qū)別在于前者關(guān)注的對象更廣���,后者側(cè)重于個人權(quán)益影響���。信息安全風(fēng)險評估與數(shù)據(jù)安全風(fēng)險評估是交集關(guān)系,共同點在于評估對象均是資產(chǎn)�����,前者側(cè)重信息系統(tǒng)資產(chǎn)����,后者側(cè)重數(shù)據(jù)資產(chǎn)(數(shù)據(jù)處理活動),不同點在于前者通過威脅����、脆弱性進行風(fēng)險分析,后者通過風(fēng)險源(問題操作)進行風(fēng)險分析���。
數(shù)據(jù)安全風(fēng)險評估的三個核心步驟為:風(fēng)險識別�����、風(fēng)險分析���、風(fēng)險評價���,即通過風(fēng)險事件的影響程度和它發(fā)生的可能性,來判斷風(fēng)險等級的高低��,這是風(fēng)險評估的基礎(chǔ)方法����。數(shù)據(jù)安全風(fēng)險評估要點包含數(shù)據(jù)安全要素的識別、聚焦風(fēng)險源等客觀問題�、開展風(fēng)險評價與風(fēng)險控制。數(shù)據(jù)安全風(fēng)險評估定位是“主動發(fā)現(xiàn)���、積極防范”�����,不僅是監(jiān)管要求�,也是能夠幫助數(shù)據(jù)處理者改善和提升數(shù)據(jù)安全保障的重要手段����。
中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)治理方向負責人任英杰介紹����,圍繞《數(shù)據(jù)安全法》����,可分為數(shù)據(jù)安全制度�、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全保護義務(wù)�����、政務(wù)數(shù)據(jù)安全與開放����、行業(yè)領(lǐng)域數(shù)據(jù)安全等五大標準化主題。
現(xiàn)有數(shù)據(jù)安全國家標準已發(fā)GB/T 35274—2017《大數(shù)據(jù)服務(wù)安全能力要求》����、GB/T 37973—2019《大數(shù)據(jù)安全管理指南》、GB/T 37988—2019《數(shù)據(jù)安全能力成熟度模型》�����、GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》、GB/T 39477—2020《政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求》����、GB/T 39725—2020《健康醫(yī)療數(shù)據(jù)安全指南》、GB/T 37932—2019《數(shù)據(jù)交易服務(wù)安全要求》(修訂中)��、GB/T 31500—2015《存儲介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》����、GB/T 29765—2021《數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法》、GB/T 42447—2023《電信領(lǐng)域數(shù)據(jù)安全指南》����、GB/T 41871《汽車數(shù)據(jù)處理安全要求》,以及GB/T 42017《網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》等6項網(wǎng)絡(luò)平臺數(shù)據(jù)安全標準����,共17項標準。在研《數(shù)據(jù)分類分級規(guī)則》《重要數(shù)據(jù)識別指南》《數(shù)據(jù)安全風(fēng)險評估》等9項標準�����。這些標準作為落實數(shù)據(jù)安全以及個人信息保護相關(guān)法律法規(guī)要求的重要抓手和舉措����,發(fā)揮了重要作用�����。
中國汽車工業(yè)協(xié)會數(shù)據(jù)分會執(zhí)行秘書長滕添益在“汽車行業(yè)的數(shù)據(jù)生態(tài)建設(shè)”主題報告中表示����,汽車企業(yè)在數(shù)據(jù)領(lǐng)域有四大挑戰(zhàn)需要解決����,一是數(shù)據(jù)體量不足�����,二是各個企業(yè)形成的數(shù)據(jù)孤島沒有有效打通��,三是數(shù)據(jù)安全�����,四是數(shù)據(jù)價值變現(xiàn)����。在數(shù)據(jù)安全方向,各企業(yè)均在開展數(shù)據(jù)安全合規(guī)和管理�����,并通過技術(shù)手段保障數(shù)據(jù)安全,我們呼吁各個企業(yè)更加重視數(shù)據(jù)安全工作�,確保汽車產(chǎn)品的合規(guī),推進數(shù)據(jù)能力建設(shè)����,建立閉環(huán)能力,統(tǒng)一數(shù)據(jù)格式����,進行分類分級的管理,推進數(shù)據(jù)資產(chǎn)化���。
中國人壽財產(chǎn)保險股份有限公司系統(tǒng)運行部信息安全團隊負責人劉思遠分享了集團開展數(shù)據(jù)安全治理的實踐經(jīng)驗����。中國人壽財險公司依照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》�����,金融行業(yè)相關(guān)要求����,中國人壽集團相關(guān)制度���,構(gòu)建了包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)分類分級管理辦法》《數(shù)據(jù)全生命周期安全管理辦法》在內(nèi)的信息安全制度體系,并參照中國人民銀行《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》和《個人金融信息保護技術(shù)規(guī)范》��,結(jié)合財險業(yè)務(wù)數(shù)據(jù)特點制定了分類分級標準���,建立了數(shù)據(jù)安全分類分級目錄�����。在分類分級工作的基礎(chǔ)上��,公司對敏感數(shù)據(jù)使用過程制定了分級管控與監(jiān)控措施。隨著各類數(shù)據(jù)安全技術(shù)引入完善��,與數(shù)據(jù)分類分級形成有效聯(lián)動���,建立了基于數(shù)據(jù)分類分級結(jié)果的動態(tài)數(shù)據(jù)安全防護體系���。2023年5月,中國人壽財險公司通過了國家數(shù)據(jù)安全能力成熟度評估3級認證��,標志著公司在數(shù)據(jù)安全能力建設(shè)方面達到了一定的水平�����。
北京安華金和科技有限公司副總裁、工程技術(shù)中心總經(jīng)理何晉昊在“數(shù)據(jù)安全治理體系落地實踐的新思考”主題報告中表示�����,數(shù)據(jù)安全本身就是應(yīng)對變化的過程��,不應(yīng)是簡單的技術(shù)清單式的建設(shè)模式�����。數(shù)據(jù)安全建設(shè)面臨意識�����、結(jié)構(gòu)�、技術(shù)的多重挑戰(zhàn),數(shù)據(jù)處理者和供應(yīng)商需要共同努力踐行“數(shù)據(jù)+安全”的這一融合的理念�����。正本清源�,數(shù)據(jù)安全面對的是不斷變化的場景、業(yè)務(wù)目標及業(yè)務(wù)活動�����,要把分類分級這一動態(tài)校驗的過程作為建設(shè)數(shù)據(jù)安全的首要方法。數(shù)據(jù)安全規(guī)劃�����,我們提倡全體系��、全系統(tǒng)�����、全面覆蓋��,實際落地的時候一定是按照“微循環(huán)”理念���,即解決數(shù)據(jù)的定義、識別��、監(jiān)測�、防護,并構(gòu)建支撐微循環(huán)的能力底座���,包括數(shù)據(jù)安全技術(shù)�、組織人員及管理制度,來支撐各類數(shù)據(jù)活動����。其中我們首要需選準切入點及區(qū)域,在一個局部的區(qū)域中建立循環(huán)�����,以便應(yīng)對萬變的業(yè)務(wù)場景��。
我國持續(xù)建設(shè)�、完善多層次數(shù)據(jù)安全治理制度,其落地實施情況成為當下備受關(guān)注的問題之一�。國家信息技術(shù)安全研究中心技術(shù)研究事業(yè)部副部長楊韜談到,從分類分級角度出發(fā)��,相關(guān)法律法規(guī)和標準已經(jīng)對其有了明確的闡釋��,對不同敏感程度或者可能發(fā)生數(shù)據(jù)安全事件后有危害影響的數(shù)據(jù)采取相應(yīng)的保護措施��,是分類分級制度的核心理念�����;在風(fēng)險評估方面,國標《數(shù)據(jù)安全風(fēng)險評估方法》正在制定����,制定過程中存在需要進一步探索和明確基本原則方向的問題,尤其在影響程度和可能性的判斷方面�����。需要強調(diào)的是��,風(fēng)險評估不僅僅是一項監(jiān)管要求�,也是組織自身提升能力的一個手段。此外���,一定要注意數(shù)據(jù)流動性����,流動性能反映組織處理數(shù)據(jù)的整體視角��。
中國電子技術(shù)標準化研究院數(shù)據(jù)治理方向負責人任英杰從標準方面做出補充�。國家分類分級標準是依據(jù)框架提出了相應(yīng)的分級要素以及級別確定的規(guī)則,行業(yè)在具體實施中可以總結(jié)出適合各單位的分類分級規(guī)則和方法���。此外,認證也是國家有關(guān)數(shù)據(jù)安全管理的重要制度,在個人信息保護領(lǐng)域��,可參考個人信息保護認證標準開展自評估活動��,從而發(fā)現(xiàn)自己的安全水位在哪里�。作為質(zhì)量管理的“體檢證”、數(shù)據(jù)流動的“通行證”��、市場經(jīng)濟的“信用證”��, 很好詮釋了認證在數(shù)據(jù)安全體系里的關(guān)鍵作用�����。
對企業(yè)側(cè)而言����,《數(shù)據(jù)安全法》、《個人信息保護法》的落地也面臨著多重考驗�����。中國人壽財產(chǎn)保險股份有限公司信息安全團隊負責人劉思遠表示��,挑戰(zhàn)可以用“大����、廣�����、高��、少”這四個字來概括���。“大”指阻力大�,對于業(yè)務(wù)側(cè)使用數(shù)據(jù)門檻較高;“廣”指涉及范圍較廣��,涉及系統(tǒng)的每個環(huán)節(jié)���,交叉組合的面非常廣�����;“高”指投入高�,涉及到的設(shè)備��、人力��,以及所有的應(yīng)用系統(tǒng)都要改造���;“少”是人少�����,懂理念����、懂分類分級�����、懂業(yè)務(wù)的人才較少�,人才培養(yǎng)亟需加快。
山東高速信聯(lián)科技股份有限公司研發(fā)中心總經(jīng)理李斌表示��,數(shù)據(jù)安全風(fēng)險主要包括數(shù)據(jù)泄露��、數(shù)據(jù)篡改以及數(shù)據(jù)丟失�。如何解決呢?在落地時�����,數(shù)據(jù)安全、網(wǎng)絡(luò)安全需要高度融合��。在我看來��,數(shù)據(jù)安全主要是認識的問題���,即如何理解業(yè)務(wù)�、如何對數(shù)據(jù)分類分級�,分類分級是數(shù)據(jù)安全的核心工作;而網(wǎng)絡(luò)安全更側(cè)重從技術(shù)角度如何防止內(nèi)外部對規(guī)則策略的破壞���。
天融信科技集團工業(yè)領(lǐng)域數(shù)據(jù)安全專家李一鳴分享了如何應(yīng)用新技術(shù)支撐保護隱私的同時讓數(shù)據(jù)發(fā)揮更大價值���。他強調(diào),隱私計算技術(shù)可以幫助解決我們數(shù)據(jù)所有權(quán)的問題�����,實現(xiàn)的特定計算任務(wù)包含多方聯(lián)合查詢��、多方聯(lián)合運算�、聯(lián)合建模三個方面,此外它還可以幫助解決數(shù)據(jù)交易定價的問題�,在保障數(shù)據(jù)所有權(quán)的情況下����,能做到數(shù)據(jù)用量可控可計量的效果��,通過量化的方式可以進一步方便數(shù)據(jù)的價值判斷�。
數(shù)據(jù)安全治理與個人信息保護論壇由中國電子技術(shù)標準化研究院主辦�����、北京安華金和科技有限公司承辦�。
產(chǎn)品咨詢:4000 258 365 
