1、中关村网络安全与信息化产业联盟数据安全治理专业委员会 编著2022数据安全治理白皮书 4.0中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会群内每日免费分享5份+最新资料 群内每日免费分享5份+最新资料 300T网盘资源+4040万份行业报告为您的创业、职场、商业、投资、亲子、网赚、艺术、健身、心理、个人成长 全面赋能!添加微
2、信:xxyg_weixxyg_wei备注“入群”立刻免费领取 立刻免费领取 200套知识地图+最新研报收钱文案、增长黑客、产品运营、品牌企划、营销战略、办公软件、会计财务、广告设计、摄影修图、视频剪辑、直播带货、电商运营、投资理财、汽车房产、餐饮烹饪、职场经验、演讲口才、风水命理、心理思维、恋爱情趣、美妆护肤、健身瘦身、格斗搏击、漫画手绘、声乐训练、自媒体打造、效率软件工具、游戏影音扫码先加好友,以备不时之需扫码先加好友,以备不时之需行业报告/思维导图/电子书/资讯情报行业报告/思维导图/电子书/资讯情报致终身学习者社群致终身学习者社群关注公众号获取更多资料关注公众号获取更多资料前言Prefa
3、ce 数据安全新形势背景数据被定义为新时代重要的生产要素,是国家基础性战略资源,数据价值的发挥是推动我国社会经济转型发展的新动力。2021 年以来,我国陆续发布了“十四五”国家信息化发展规划、“十四五”数字经济发展规划等重要国家数据战略,强调建设数字中国,加快数据要素市场化流通,创新数据要素开发利用机制。为促进数据共享和数据交易,上海、深圳等十余个省市也密集发布了数据条例。伴随数据要素市场化进程的发展,数据的巨大价值和重要意义已得到强调和凸显,但数据的开发利用也是一把双刃剑,当数据创造价值的同时,也面临着数据被泄露、篡改、滥用等风险,造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。
4、为了规范数据处理活动,保障数据安全,促进数据开发利用,中华人民共和国数据安全法(以下简称数据安全法)、中华人民共和国个人信息保护法(以下简称个人信息保护法)正式发布,强调统筹数据发展和安全防护并重,在保障安全和隐私前提下推动数据依法合理有效利用。 编写目标在上述形势背景下,企业或组织在数据收集、存储、使用、加工、传输、提供、公开等数据处理活动过程中,针对数据安全威胁与监管合规要求,无可避免地需要面对越来越严峻和紧迫的数据安全挑战:如何在数据资产的开发利用、价值实现与安全保护、履行合规义务之间进行恰当平衡?如何在数据安全方面编制合理的管理制度和选取适宜的技术方案?面向日益严峻的数据安全形势,为了
5、帮助企业或组织应对以上众多数据安全方面的困惑和难题,实现数据利用与安全防护一体两翼、平衡发展的目标,本白皮书在数据安全治理白皮书 3.0的前序版本基础上,进一步研判当前数据安全形势与动态,解读密集颁布的法律法规监管要求,梳理数据安全治理面临的痛点和问题,完善数据安全治理框架体系及相关技术,归纳新形势下的数据安全治理实践案例及典型数据安全事件,并提出未来的展望与倡议,力图尽可能全面、系统地整理和总结当前与数据安全治理有关的各类资料和最新进展,探索“让数据使用自由而安全”的治理方案,在数据要素释放价值的同时,中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理
6、专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会坚守安全底线。为数据安全治理相关人员提供指引和参考,期望为进一步推广、普及和完善数据安全治理的理念、方法、体系与实践添砖加瓦、贡献力量。 读者对象本白皮书主要面向以下几类读者:组织内部数据安全治理相关人员:面向企业或组织内开展数据安全治理工作相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员,期望能够帮助他们更加深入全面地了解在企业或组织的数字化转型过程中正在和将要面对的数据安全威胁、风险和合规性要求以及行业内场景化治
7、理实践,从而更积极主动地筹划和开展系统化的数据安全治理,确保企业或组织能够有效应对新形势下的各种数据安全挑战。数据安全治理相关产品 / 服务提供商:面向数据安全行业的方案及产品策划人员、安全治理咨询服务人员及项目实施人员,期望通过白皮书中对治理框架、技术应用与实践案例等内容的介绍为产品 / 服务提供商开展治理方案编制、产品研发和实施服务工作提供启迪与参考,以更好的服务用户。数据安全治理相关的法务工作者:对组织合规部门、律师等法务相关工作者,期望通过对实际数据安全相关用例介绍和数据安全技术介绍,给予他们在进行数据安全合规要求和建议工作中提供一定的借鉴参考。其他相关读者:此外,本白皮书对于数据安全
8、相关政策法规和标准规范的编制人员、数据安全领域的研究人员,也具有一定参考价值。 导读整个白皮书共分为六个正文章节和一个附录章节。其中:第一章:数据安全形势与挑战:自 2021 年来,数据安全形势发生很大变化,梳理、分析国内外数据安全战略、数据安全风险形势及国家与行业监管新形势,通过剖析新形势指导数据安全治理需求。第二章:数据安全治理目前面临的主要痛点和难题:面向数据安全风险和监管合规要求严峻形势,梳理数据安全治理的主要痛点、问题和关键需求。 第三章:数据安全治理理念及框架:围绕数据安全的风险和合规驱动需求,梳理数据安全治理思路,提出治理愿景,构建治理理念,形成覆盖管理、技术、运营体系的治理框架
9、,并给出治理规划建设实施路径。第四章:数据安全相关法律法规解读:在数据安全治理过程中,满足监管合规要求是重要驱动力之一,体系化解读国内外数据安全相关重要法律及法规的监管合规要求。第五章:数据安全治理落地实践案例集:以数据安全治理框架为指导,面向金融、政 务、能源、教育、医疗等行业众多数据处理活动场景,给出丰富的实际场景化数据安全治理实践案例集,为相关方开展数据安全治理建设提供参考与借鉴。中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据
10、安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第六章:未来展望与倡议:面对数据安全治理实践涉及的管理、技术与运营过程中短期内尚无法有效解决的问题,以展望与倡议的形式予以表述,供行业内人士进行探讨。附录:对近似概念联系与区别尝试解读,对数据安全关键技术、国内外相关治理理论、数据安全相关标准进行介绍,对 2020 年以来重大数据安全事件与法律案件进行分析,为业务人士提供参考。 数据安全治理白皮书历史沿革北京安华金和科技有限公司是在中国倡导数据安全治理理念的发起者和先行者,也是多年来推动数据安全治理理念在我国各行各业应用和实施的实践引领
11、者。2017 年,在中国网络安全产业联盟的支持倡导下,正式成立国内首个”数据安全治理工作组“,安华金和成功当选数据安全治理工作组组长单位, 并组织召开了首届中国数据安全治理高峰论坛。2018 年,在中关村网络安全与信息化产业联盟的支持和指导下,全国首家数据安全领域的专项委员会 - 数据安全治理专业委员会成立,安华金和成功当选委员会主任单位。积极促进数据安全治理理念在我国的推广和普及,为我国数据安全领域的学术研究、技术创新、产业发展和人才培养提供了资源丰富的交流和支撑平台。成立当年,就组织召开了第二届中国数据安全治理高峰论坛,并组织编撰数据安全治理白皮书,首次提出数据安全治理的概念定义、治理理念
12、及治理框架,强调业务需求与数据安全的平衡,在论坛上向社会公开发布。2019 年,第三届中国数据安全治理高峰论坛召开, 数据安全治理白皮书 2.0和数据安全治理建设指南公开发布。在国家及行业高度重视数据安全及个人隐私安全的背景下,增加了数据安全相关法规和标准列表说明;补充了个人信息收集与隐私政策测评报告相关解读,扩展了各行业的数据安全治理实践,对数据库防勒索、透明加解密等数据安全相关热点技术进行了介绍,并更新了 2019 年重要的数据安全事件。 2021 年,第四届中国数据安全治理高峰论坛隆重召开,数据安全治理白皮书 3.0重磅发布。进一步诠释了“让数据使用自由而安全”的治理理念,分析了业内关注
13、的数据安全与网络安全等概念的近似联系与区别,汇集了数据安全关键技术与前沿技术,解读了相关法律法规标准要求,整理了覆盖政务、金融、能源、教育、电信及医疗行业丰富的治理案例,成为数据安全行业较为全面且具有影响力的数据安全治理参考书。中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会主编方 / 出品方中关村网络安全与信息化产业联盟数据安全治理专业委员会指导单位中国计算机学会计算机安全专业委员会工业
14、信息安全产业发展联盟中关村网络安全与信息化产业联盟北京工业互联网技术创新与产业发展联盟 中国电子商会自主创新与安全技术委员会参编单位公安部第一研究所、国家工业信息安全发展研究中心、中国软件评测中心、国家信息技术安全研究中心、公安部第三研究所网络安全法律研究中心、江苏省信息安全测评中心、北京市政务信息安全保障中心、中国船级社信息中心、陕西省信息化工程研究院、西安交通大学苏州信息安全法学所、华北电力大学能源电力大数据研究院、南开大学网络空间安全学院、电子科技大学网络空间安全研究院、北京世辉律师事务所、北京市中伦律师事务所、泰和泰律师事务所、北京博遵律师事务所、北京大成律师事务所、北京安华金和科技有
15、限公司、光大科技有限公司、北京数字认证股份有限公司、北京安信天行科技有限公司、深信服科技股份有限公司、国网英大股份有限公司、国网智能电网研究院有限公司、中金金融认证中心有限公司、北京谷安天下科技有限公司、北京中测安华科技有限公司、南京壹进制信息科技有限公司、深圳市联软科技股份有限公司、杭州立思辰安科科技有限公司中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
16、中关村网信联盟数据安全治理专委会致 谢感谢以下人员为数据安全治理白皮书 4.0的编制付出的辛勤劳动。指导专家(按姓氏笔画排序,排名不分先后)于锐、马民虎、王克、王新锐、冯艳春、任卫红、向小佳、刘龙庚、刘海峰、刘哲理、 刘晓韬、严明、李新社、李新友、李斌、李建彬、李俊、李洪伟、吴兰、吴沈括、何跃鹰、张伟、季亨卡、金涛、俞克群、姚相振、黄道丽编审专家(按姓氏笔画排序,排名不分先后)李安伦、李向锋、杨海峰、何晋昊、宋博韬、陈青民、录洋、郝文江、崔媛媛、蔚晨、 魏力参编人员(按姓氏笔画排序,排名不分先后)马佑平、王玮、王晓民、尹晓东、白倩、朱剑楠、阮东辉、孙铮、李吉音、李松涛、李海鹏、杨帅锋、张兵、张
17、建耀、张勇、张腾标、苗维杰、周娜、高阳春、郭丽丽、麻建、隆峰、雷嘉宾、廖怀学 版权声明白皮书版权属于中关村网络安全与信息化产业联盟数据安全治理专业委员会(简称数据安全治理专业委员会),并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的,应注明“来源:中关村网络安全与信息化产业联盟数据安全治理专业委员会”,违者将被追究法律责任。中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会目录
18、Catalog第一章 数据安全形势 21.1. 重新认识数据的价值 21.1.1. 我国数据发展战略 21.1.2. 国外数据发展战略 31.2. 数据安全风险态势 51.2.1. 外部数据安全威胁持续升级 51.2.2. 内部数据安全风险日益严峻 61.2.3. 数据安全事件危害性愈发严重 81.3. 监管新举措 8第二章 数据安全治理目前面临的主要痛点和需求 112.1. 管理层面 112.1.1. 多法并轨、多标准并行下缺乏一致性的合规治理手段 112.1.2. 合规治理下数据安全实施细则尚不完善 112.1.3. 传统的网络安全风险评估应对数据安全适应度不足 122.1.4. 数据安全
19、防护和网络安全防护体系尚未形成有机融合 122.2. 技术层面 132.2.1. 面向海量数据的数据资产梳理与分类分级实施难度大 132.2.2. 数据所有权与控制权(使用权)分离导致数据共享和开放困境 132.2.3. 单点安全防护能力无法有效应对复杂数据流动风险 142.3. 运营层面 142.3.1. 业务动态变化下按需管控的运营机制尚不健全 14中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安
20、全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第三章 数据安全治理理念及框架 153.1. 数据安全治理理念逐步深化 153.1.1. 治理“愿景”更加清晰 163.1.2. 治理目标愈发明确 163.1.3. 核心理念全面深化 163.1.4. 建设步骤指导实践 173.1.5. 能力支撑推动治理框架设计 183.2. 数据安全治理整体框架 193.3. 数据安全组织架构 213.3.1. 职能架构 213.3.2. 定岗定员 223.4. 数据安全管理体系 233.4.1. 管理体系制度架构 233.4.2. 管理体系建设思路 243.5. 数据安全技术体系
21、243.5.1. 数据安全技术演进趋势 243.5.2. 技术体系架构 253.5.3. 识别技术(I) 263.5.4. 防护技术(P)303.5.5. 监测技术(D)363.5.6. 响应技术(R)383.5.7. 集中管控能力 383.6. 数据安全运营体系 393.6.1. 运营体系架构 393.6.2. 运营体系建设思路 403.6.3. 运营服务场景及流程 413.7. 数据安全治理规划建设 423.7.1. 数据安全治理整体建设思路 423.7.2. 数据安全治理迭代式建设思路 42中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
22、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会第四章 法律法规标准解读 444.1. 国内法律法规与行业标准解读 444.1.1. 法律 444.1.2. 行政法规 484.1.3. 部门规章及规范性文件 494.1.4. 地方性法规 514.1.5. 国家标准、行业标准及相关指南 514.2. 国际数据安全政策与法规概述 524.2.1. 欧洲的政策和法律 524.2.2. 美国的政策和法律 534.2.3. 其他国家的政策和法律 55第五章 数据安全治理落地实践案例集 565.1
23、. 政务行业数据安全治理 575.1.1. 某政务大数据中心安全运营实践 575.1.2. 基于隐私计算技术的政务数据安全共享开放实践 615.1.3. 政务大数据中心数据流转安全监测实践 645.2. 金融行业的数据安全治理 705.2.1. 某国有银行集中化安全审计应用实践 705.2.2. 某城商行大数据中心安全运维实践 735.2.3. 某国有银行数据防泄露实践 775.3. 能源行业的数据安全治理 805.3.1. 某电网公司数据安全治理实践 805.3.2. 某能源云平台数据安全密码应用实践 835.4. 教育行业的数据安全治理 875.4.1. 某部委数据安全治理实践 875.5
24、. 电信运营商行业的数据安全治理 895.5.1. 某电信国际的数据安全治理实践 895.6. 医疗行业的数据安全治理 93中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会5.6.1. 某医院医疗数据灾备实践 935.7. 车联网行业的数据安全治理 955.7.1. 某车联网企业基于数据分类分级的防护体系建设实践 955.8.
25、 烟草行业的数据安全治理 985.8.1. 某烟草公司基于零信任和隐私计算技术的防护体系实践 985.9. 互联网广告行业的数据安全治理 1025.9.1. 某互联网公司个人信息保护法律实践 102第六章 未来展望与倡议 1056.1. 未来展望 1056.1.1. 国家法律法规和标准体系日趋完善 1056.1.2. 数据安全执法力度逐步增强 1056.1.3. 数据安全治理从合规驱动逐步走向自驱动 1066.1.4. 建立持续迭代的数据安全治理体系 1076.1.5. 提升数据安全评估 / 审查自动化水平 1076.1.6. 新兴技术的逐步发展和应用,持续激发数据安全新需求 1076.2.
26、持续加强数据安全治理能力的倡议 1086.2.1. 加快复合型数据安全人才的培养 1086.2.2. 持续加强数据安全技术研究 1086.2.3. 发挥行业联盟推动数据安全治理产业发展的重要力量 1096.2.4. 加速推进数据安全治理国际化 109附录 111A. 词汇表 111B. 近似概念的联系与区别 112B.1 数据安全、信息安全、网络安全 112B.2 数据安全治理与数据治理 112B.3 数据安全治理与数据安全管理 114B.4 数据安全治理与数据安全成熟度模型 114中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数
27、据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会C. 数据安全关键技术简介 115C.1 新兴数据安全技术 115C.2 成熟数据安全技术 147D.2020 年以来重大数据安全事件分析 184D.1 勒索软件持续流行,对不同国家不同行业造成的损失案件不计其数 184D.2 网络攻击,热点事件背后看不见硝烟的战场 185D.3 内部员工泄露和删除数据事件频发 186D.4 非法数据交易造成数据泄露 187D.5 商业间谍窃取竞争对手商业秘密 188D.6 系统或权限配置不当造成数据泄露 188D.7
28、 第三方人员或软件漏洞造成数据泄露 189D.8 疫情之下,远程办公导致数据泄露事件频发 190D.9 人脸信息泄露,对个人生活造成危害 191D.10 儿童数据泄露问题日趋严重 192E.2020 年以来典型数据安全相关法律案件分析 193E.1 滴滴因数据安全问题,被启动网络安全审查 193E.2 科勒卫浴违规收集人脸信息,遭“315 晚会” 曝光并被罚款 50 万元 193E.3 某科技公司利用爬虫窃取简历数据,被判 4000 万元罚款 194E.4 淘宝 12 亿用户数据遭爬取,危及用户个人信息安全 194E.5 圆通员工泄露用户数据,引发负面舆情 195E.6 多家银行因网络安全及个
29、人信息保护合规问题,被处以高额罚款195F. 主要数据安全相关标准汇总 196F.1 国家标准汇总 196F.2行业标准汇总 197G. 国内外相关理论与介绍 200G.1 微软的整体化数据治理方法 DGPC 200G.2 高德纳的数据安全治理框架 DSG 204G.3DSMM 能力成熟度评估模型 206G.4 信通院 DSG 框架 207中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中
30、关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理白皮书 4.01北京安华金和科技有限公司数据安全治理白皮书 4.0版本修订说明数据安全治理白皮书 4.0版本中,针对以下内容进行修订完善:1、添加数据安全形势与挑战,对当前国内、国际数据战略、最新的数据安全
31、风险态势、监管形势等进行剖析;2、添加数据安全治理目前的痛点和难题分析,分析当前治理工作的关键需求;3、深化数据安全治理理念,完善数据安全治理框架,扩展治理框架中的运营体系、技术体系及治理规划建设;4、添加国内外数据安全相关的法律法规的体系解读,对数据安全治理建设提供合规落地指引;5、基于当前数据安全发展形势,更新有代表性的场景化行业领域数据安全治理实践案例;6、更新数据安全发展的未来展望与倡议;7、完善数据安全关键技术简介,按新兴和成熟技术分类补充数据安全技术介绍;8、更新 2020 年度以来国内外重大数据安全事件分析;9、添加 2020 年度以来典型数据安全相关法律案件;10、补充国内外相
32、关理论和介绍;11、汇总最新的重要国家与行业的数据安全相关标准列表;12、全文内容文字和段落结构优化。中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理白皮书 4.02北京安华金和科技有限公司第一章 数据安全形势1.1. 重新认识数据的价值数据是数字经济时代的核心生产要素。数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通
33、信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。对数据要素掌控和利用能力,已成为衡量国家之间竞争力的核心要素。近年来,随着网络安全法、数据安全法、个人信息保护法等上位法的发布,数据要素掌控和利用过程中面临刚性的数据安全合规要求。加强数据安全保护,既是数据产业自身发展的主观需要,也是国家监管的客观要求。但我国数据产业正处于发展初期,数据利用与数据安全的平衡兼顾存在“对数据资产识别不完整”、 “数据流动路径无法溯源”、“安全与业务难以兼顾”等现实问题,与国外大多数国家一样,数据利用与数据安全的协同发展在很长一段时间内将是我国数据产业发展的主要矛盾。1.1.1. 我
34、国数据发展战略国家对数据资源十分重视, 强调了国家数据战略对于中国经济社会发展的重要地位和时代意义,而确保数据安全则具有极为重要的战略意义。2015年8月, 国务院印发 促进大数据发展行动纲要 , 明确提出数据已成为国家基础性战略资源,并要求完善法规制度和标准体系。2016 年 11 月,第十二届全国人民代表大会常务委员会通过了网络安全法,鼓励开发网络数据安全保护和利用技术,同年,国家互联网信息办公室发布了国家网络空间安全战略,提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。2020 年 4 月,中共中央、国务院发布关于构建更加完善的要素市场化配制体制机制的意
35、见,将数据与土地、劳动力、资本、技术并称为五种要素,提出加快培育数据要素市场。5 月,关于新时代加快完善社会主义市场经济体制的意见中提出进一步加快培育发展数据要素市场。这意味着,数据已经不仅是一种产业或应用,而已成为经济发展赖以依托的基础性、战略性资源。同时,还要求制定数据隐私保护制度和安全审查制度,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。2020 年 10 月,中国共产党第十九届中央委员会第五次全体会议通过中共中央关于制定国民经济和社会发展第十四个五年规划和二三五年远景目标的建议,对“十四五”时期我国经济社会发展作出了贯彻新发展理念
36、、构建新发展格局的重要部署,并作出了我国进入新发展阶段的重要判断。新发展理念的核心是创新,创新是发展的第一动力。随着数字经济蓬勃发展,数据保存量逐年倍增,建设安全的数据基础设施将是支撑数据产业长期可持续发展的重要要素。2021 年 10 月,国资委、工业和信息化部签署关于加快推进中央企业两化融合和数字化转型中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关
37、村网信联盟数据安全治理专委会数据安全治理白皮书 4.03北京安华金和科技有限公司战略合作协议,共同推动中央企业加快信息化工业化融合和数字化转型,促进数字技术与实体经济深度融合,为建设制造强国、网络强国、数字中国和发展数字经济更好发挥引领支撑作用。2021 年 11 月,工业和信息化部发布“十四五”大数据产业发展规划,规划围绕加快培育数据要素市场、发挥大数据特性优势、夯实产业发展基础、构建稳定高效产业链、打造繁荣有序产业生态、筑牢数据安全保障防线六个方面提出重点任务,设置数据治理能力提升、重点标准研制及应用推广、工业大数据价值提升、行业大数据开发利用、企业主体发展能级跃升、数据安全铸盾六个专项行
38、动。2021 年 12 月,中央网络安全和信息化委员会办公室(以下简称中央网信部门)印发“十四五”国家信息化规划(以下简称规划),规划指出“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段,数据要素是参与社会生产经营活动,带来经济效益,以电子方式记录的数据资源,是国家发展的战略性基础性资源,也是驱动数字经济发展的强大动力。加强数据治理、深化数据开发、保障数据安全是释放数据资源价值的关键环节。 规划提出建立数据要素资源体系,以数据治理为突破提升数据质量,以数据开发利用为抓手激活要素价值,以立法规范为重点保障数据安全,加快完善与我国发展实际相符合的数据要素资源体系,释放数据要素价值。2
39、022 年 1 月,国务院印发“十四五”数字经济发展规划指出要充分发挥数据要素作用,必须强化高质量数据要素供给、加快数据要素市场流通、创新数据要素开发利用机制。提出着力强化数字经济安全体系,需要增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。2022 年 3 月,国务院总理李克强作 2022 年政府工作报告,报告中提到推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护。这是自 2021 年政府工作报告以来,再次对数据安全和个人信息保护的强调。1.1.2. 国外数据发展战略1)美国美国在发展大数据方面全球率先启动,并将大数据上升为国家战略,并制定了较为完善的政策体
40、系。美国的数据战略尤其在奥巴马和特朗普任期更为凸显。近年来美国推出了一系列大数据战略举措,并同时重视数据安全,强调数据安全。早在2009年, 美国政府推出Data.gov, 使数以千计的政府数据资源以机器可读形式发布到该网站,向公众免费开放。2011 年美国政府公布网络空间可信任身份的国家战略(The National Strategy for Trusted Identities in Cyberspace),为公共和私有部门合作,增强网上身份的隐私和信任提供路线图。2014 年,奥巴马演讲中要求了解公共和私有部门面临的大数据挑战。2018 年,签署并通过澄清域外合法使用数据法案(Clari
41、fying Lawful Overseas Use of Data Act,以下简称 CLOUD 法案),确立了境外数据管辖控制者标准,使其合法访问境外数据,并对他国获取数据资源的资格进行限制,通过“长臂管辖”的方式不断扩大其跨境数据的执法权力,甚至抢夺他国的“治外法权”。与此同时,美国还大力推动 APEC(亚洲太平洋经济合作组织)的跨境隐私中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会
42、数据安全治理白皮书 4.04北京安华金和科技有限公司保护准则(APEC Cross Border Privacy Rules,以下简称 CBPR),规定若不同国家的不同企业承诺遵守 APEC 隐私框架中的 9 项个人数据保护原则,则数据就可以在上述公司进行自由的、跨境地流动,从而实现数据向美国流动,掌握全球数据资源。2019 年 12 月,美国白宫行政管理和预算办公室(Office of Management and Budget, OMB)发布了联邦数据战略与 2020 年行动计划(以下简称联邦数据战略),明确提出“将数据作为核心战略资源开发”。其内容包括 1 项使命宣言、10 项原则、40
43、 项实践指导及年度行动计划四个组成部分。联邦数据战略是美国把科技创新和数字化转型提到国家战略核心层面部署的重要体现,描述了美国联邦政府在未来十年加速数据使用的愿景,并逐年确定行动计划,并突出了对数据认识的深化,坚持数据是最有价值的国家资产理念,并着重改进特定数据资产组合的管理和使用。2020 年 10 月,美国国防部发布了国防部数据战略(DoD Data Strategy),该战略是继 2019 年美国国防部发布的国防部云战略、国防部人工智能战略和国防部数字现代化战略以后又一 IT(信息化)现代化领域指导性战略文件,其中提出国防部应加快向“以数据为中心”的过渡,强调通过数据融合实现军种联合、重
44、视数据的安全性、强调数据全生命周期各个阶段的标准化处理能力。2)欧盟欧盟的战略目标是确保其成为数据世界的榜样和领导者,为了实现这一目标,欧盟在数据保护、公民权利和数据安全等方面构建了完善的法律框架,并指导建立欧盟内部市场,同时加强环境保护、提升治理透明度,通过构建“泛欧数据市场”,以“内松外紧”的形式主导其数据战略。近年来,欧盟委员会采取了一系列措施加强数据治理工作:2016 年颁布了通用数据保护条例(General Data Protection Regulation,GDPR),经过两年缓冲期后于 2018 年 5 月份正式生效,其注重强调消费者的权利和提升效率,自其 2016 年出台以来
45、就被人们普遍认为是当前世界范围内最为严格的数据保护法案通用数据保护条例。2019 年,欧盟出台了欧盟非个人数据自由流动框架条例(Regulation on a Framework for the Free Flow of Non-Personal Datain the European Union) , 与 网络安全法案 和 开放数据指令相辅相成,共同促进欧盟内部的数据流动。此外,欧盟还启动了数字外交计划,认可了 13 个为个人数据提供足够保障的国家。2020 年 2 月,欧盟发布欧盟数据战略(A European Strategy for Data),指出“确保欧盟称为数据驱动型社会的领导者
46、,以便公共和商业部门能利用数据更好地进行决策”。全文包括背景介绍、关键点、愿景、问题、战略、国际路径、结论以及附录(欧洲战略部门和公共利益领域公共数据空间创建计划)等八个部分,数据战略阐述了欧盟未来五年实现数据经济所需的政策措施和投资策略。该战略积极推进数字化转型工作,提出要打造一个共同的欧洲数据空间且面向世界开放,构建大规模数据池以支持欧盟内部成员之间的数据交流和使用,提升企业竞争力,从而使欧盟在数据发展浪潮中占得先机,同时最大程度地减少人为碳排放和环境破坏。2022 年 2 月,欧盟发布数据法案(Data Act)草案,全文包括涉及数据共享、公共机构访问、国际数据传输、云转换和互操作性等方
47、面规定,旨在确保数字环境的公平性,刺激竞争激烈的数据市场,为数据创新驱动提供机会。该法案主要的监管对象为互联网产品的制造商、数字服务提供商中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会中关村网信联盟数据安全治理专委会数据安全治理白皮书 4.05北京安华金和科技有限公司和用户等。1.2. 数据安全风险态势1.2.1. 外部数据安全威胁持续升级业务数字化、信息
48、系统云化、安全边界模糊化等众多正在加速演进的时代发展趋势,使得企业或组织面临的外部数据安全威胁也在相应发生变化。在数据时代,通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生,但随着网络安全防护设施的普及和加强,明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷,导致数据的窃取、篡改和非法使用等威胁。1)数据窃取 通过向软件中植入木马窃取数据数据盗窃团伙定制开发大量已植入木马的盗版应用软件和手机 App,并在各种下载网站和应用商店广泛发布,诱骗和等候用户下载安装;更猖獗的方式是向电商、酒店等服务行业使用的客户端软件中植入木马,批量
49、盗取电商和酒店客户的个人隐私数据。 盗用特权账户导致数据泄露特权账户的防御往往是保护数据泄露的最后一道防线。据国际权威咨询机构 Forrester 最新报告显示,80% 的数据泄露事件都与特权账户失窃有关。美国电信巨头威瑞森从 2018 年发生的 5.3 万多起安全事件中的调查结果显示,81.1% 的安全事件通过窃取身份凭证实现。盗用凭证仍然是黑客最常用的攻击手段,是造成数据泄露最重要的因素之一。 数据委托处理时被合作方盗用数据为更好地挖掘和变现数据中的价值,数据融合和委托分析正变得越来越普遍。在此过程中,某些数据分析服务提供商会因觊觎数据价值,超出委托协议范畴盗用或滥用数据。 关联利用已泄露
50、数据发动撞库攻击数据盗窃团伙会相互交换或到暗网购买已经泄露的用户名和密码数据用来撞库,撞库成功后,再爬取这个账户的数据和信息,并会将其用于开展进一步的数据黑灰产活动。APT 高级可持续威胁攻击窃取组织核心机密APT 攻击(高级可持续威胁攻击),通过具有专业水平的攻击人员和丰富的攻击资源,有组织的对特定对象展开持续有效的定向威胁攻击,隐蔽地运用绕过传统安全方案(如防病毒软件、防火墙、IPS 等)、供应链攻击和社会工程学等一切手段实施持久且有效的威胁和攻击,在目标基础设施上建立并扩展立足点,并进行长期潜伏,逐步学习和适应安全防御措施,对目标进行高水平、低频次交互攻击,窃取组织核心机密。2)数据篡改
