数据安全专题报告

数据安全专题报告

充分利用已有资源，建立健全数据安全风险库、行业分类分级规则库等资源库，支撑数据安全产品研发、技术手段建设，为数据安全场景应用测试等提供环境。建设数据安全产业公共服务平台，提供创新支持、供需对接、产融合作、能力评价、职业培训等服务，实现产业信息集中共享、供需两侧精准对接、公共服务敏捷响应。推进新型计算模式和网络架构下数据安全基础理论和技术研究，支持后量子密码算法、密态计算等技术在数据安全产业的发展应用。优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术，加强隐私计算、数据流转分析等关键技术攻关。研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术。建设和认定一批省部级及以上数据安全重点实验室，鼓励产学研用多方主体共建高水平研发机构、产业协同创新中心，开展技术攻关，推动成果转化。数字经济指导思想统筹发展和安全、统筹国内和国际，以数据为关键要素，以数字技术与实体经济深度融合为主线，加强数字基础设施建设，完善数字经济治理体系，协同推进数字产业化和产业数字化，赋能传统产业转型升级，培育新产业新业态新模式，不断做强做优做大我国数字经济，为构建数字中国提供有力支撑。构建数据安全繁荣产业生态（一）推动产业集聚发展立足数据安全政策基础、产业基础、发展基础等因素，布局建设国家数据安全产业园，推动企业、技术、资本、人才等加快向园区集中，逐步建立多点布局、以点带面、辐射全国的发展格局。鼓励地方结合产业基础和优势，围绕关键技术产品和重点领域应用，打造龙头企业引领、具有综合竞争力的高端化、特色化数据安全产业集群。（二）打造融通发展企业体系实施数据安全优质企业培育工程，建立多层次、分阶段、递进式企业培育体系，发展一批具有生态引领力的龙头骨干企业，培育一批掌握核心技术、具有特色优势的数据安全专精特新中小企业、专精特新小巨人企业，培育一批技术、产品全球领先的单项冠军企业。发挥龙头骨干企业引领支撑作用，带动中小微企业补齐短板、壮大规模、创新模式，形成创新链、产业链优势互补，资金链、人才链资源共享的合作共赢关系。（三）强化基础设施建设充分利用已有资源，建立健全数据安全风险库、行业分类分级规则库等资源库，支撑数据安全产品研发、技术手段建设，为数据安全场景应用测试等提供环境。建设数据安全产业公共服务平台，提供创新支持、供需对接、产融合作、能力评价、职业培训等服务，实现产业信息集中共享、供需两侧精准对接、公共服务敏捷响应。着力强化数字经济安全体系（一）增强网络安全防护能力强化落实网络安全技术措施同步规划、同步建设、同步使用的要求，确保重要系统和设施安全有序运行。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，健全完善网络安全应急事件预警通报机制，提升网络安全态势感知、威胁发现、应急指挥、协同处置和攻击溯源能力。提升网络安全应急处置能力，加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力，支持开展常态化安全风险评估，加强网络安全等级保护和密码应用安全性评估。支持网络安全保护技术和产品研发应用，推广使用安全可靠的信息产品、服务和解决方案。强化针对新技术、新应用的安全研究管理，为新产业新业态新模式健康发展提供保障。加快发展网络安全产业体系，促进拟态防御、数据加密等网络安全技术应用。加强网络安全宣传教育和人才培养，支持发展社会化网络安全服务。（二）提升数据安全保障水平建立健全数据安全治理体系，研究完善行业数据安全管理政策。建立数据分类分级保护制度，研究推进数据安全标准体系建设，规范数据采集、传输、存储、处理、共享、销毁全生命周期管理，推动数据使用者落实数据安全保护责任。依法依规做好网络安全审查、云计算服务安全评估等，有效防范国家安全风险。健全完善数据跨境流动安全管理相关制度规范。推动提升重要设施设备的安全可靠水平，增强重点行业数据安全保障能力。进一步强化个人信息保护，规范身份信息、隐私信息、生物特征信息的采集、传输和使用，加强对收集使用个人信息的安全监管能力。（三）切实有效防范各类风险强化数字经济安全风险综合研判，防范各类风险叠加可能引发的经济风险、技术风险和社会稳定问题。引导社会资本投向原创性、引领性创新领域，避免低水平重复、同质化竞争、盲目跟风炒作等，支持可持续发展的业态和模式创新。坚持金融活动全部纳入金融监管，加强动态监测，规范数字金融有序创新，严防衍生业务风险。推动关键产品多元化供给，着力提高产业链供应链韧性，增强产业体系抗冲击能力。引导企业在法律合规、数据管理、新技术应用等领域完善自律机制，防范数字技术应用风险。健全失业保险、社会救助制度，完善灵活就业的工伤保险制度。健全灵活就业人员参加社会保险制度和劳动者权益保障制度，推进灵活就业人员参加住房公积金制度试点。探索建立新业态企业劳动保障信用评价、守信激励和失信惩戒等制度。着力推动数字经济普惠共享发展，健全完善针对未成年人、老年人等各类特殊群体的网络保护机制。有效拓展数字经济国际合作（一）加快贸易数字化发展以数字化驱动贸易主体转型和贸易方式变革，营造贸易数字化良好环境。完善数字贸易促进政策，加强制度供给和法律保障。加大服务业开放力度，探索放宽数字经济新业态准入，引进全球服务业跨国公司在华设立运营总部、研发设计中心、采购物流中心、结算中心，积极引进优质外资企业和创业团队，加强国际创新资源引进来。依托自由贸易试验区、数字服务出口基地和海南自由贸易港，针对跨境寄递物流、跨境支付和供应链管理等典型场景，构建安全便利的国际互联网数据专用通道和国际化数据信息专用通道。大力发展跨境电商，扎实推进跨境电商综合试验区建设，积极鼓励各业务环节探索创新，培育壮大一批跨境电商龙头企业、海外仓领军企业和优秀产业园区，打造跨境电商产业链和生态圈。（二）推动数字丝绸之路深入发展加强统筹谋划，高质量推动中国—东盟智慧城市合作、中国—中东欧数字经济合作。围绕多双边经贸合作协定，构建贸易投资开放新格局，拓展与东盟、欧盟的数字经济合作伙伴关系，与非盟和非洲国家研究开展数字经济领域合作。统筹开展境外数字基础设施合作，结合当地需求和条件，与共建一带一路国家开展跨境光缆建设合作，保障网络基础设施互联互通。构建基于区块链的可信服务网络和应用支撑平台，为广泛开展数字经济合作提供基础保障。推动数据存储、智能计算等新兴服务能力全球化发展。加大金融、物流、电子商务等领域的合作模式创新，支持我国数字经济企业走出去，积极参与国际合作。（三）积极构建良好国际合作环境倡导构建和平、安全、开放、合作、有序的网络空间命运共同体，积极维护网络空间主权，加强网络空间国际合作。加快研究制定符合我国国情的数字经济相关标准和治理规则。依托双边和多边合作机制，开展数字经济标准国际协调和数字经济治理合作。积极借鉴国际规则和经验，围绕数据跨境流动、市场准入、反垄断、数字人民币、数据隐私保护等重大问题探索建立治理规则。深化政府间数字经济政策交流对话，建立多边数字经济合作伙伴关系，主动参与国际组织数字经济议题谈判，拓展前沿领域合作。构建商事协调、法律顾问、知识产权等专业化中介服务机制和公共服务平台，防范各类涉外经贸法律风险，为出海企业保驾护航。数据分类分级场景建设思路数据分类分级是数据安全治理实践过程中的关键场景，是数据安全工作的桥头堡和必选题。行业实践，七步走建设思路，可供刚开展数据分类分级工作的组织参考。第一步：建立组织保障。对组织而言，数据分类分级工作是一项复杂的长期性工作，是业务知识、数据知识和安全知识的交叉领域，需要相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构，划分各部门职责分工，为数据分类分级工作的协同开展提供支撑。在实际工作中，各组织一般有数据安全管理的牵头部门或团队统筹数据分类分级工作的开展，而在职责分工上，则体现出一定的差异性。•以某电信运营商为例，在职责划分方面，明确了由数据安全的管理部门负责制定数据分类分级的方法及策略，规范数据资产梳理工作，并监督数据分类分级工作的落实。而各数据生产运营和使用的责任部门则需要维护本部门的数据资源清单、梳理部门的重要数据目录、并按照数据安全管理部门制定的标准执行数据分类分级规定动作，制定并落实差异化管控措施等。•以某金融机构为例，在职责划分方面，明确了由数据安全的管理部门牵头开展数据分类分级工作，制定相关制度流程，并建设数据分类分级技术能力。由于建设了数据中台对数据进行统一管理，其他部门仅需配合数据分类分级评估工作，对数据分类分级结果进行复核。•以某互联网公司为例，在职责划分方面，明确了由数据安全管理部门负责各类数据的分类、汇总和管理等工作。其他部门主要负责识别本部门的各类敏感数据并同步至数据安全管理部门，同时负责本部门敏感数据相关数据安全管控措施的制定。第二步：进行数据资源梳理。在进行数据分类分级之前，需要对组织内的全部数据资源进行识别、梳理，明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题，并形成数据资源清单。在实际工作中，数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度，为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理，与此同时，梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度，先对敏感数据进行识别梳理，以快速响应相关安全管理要求，再逐渐扩展至全域数据范围。第三步：明确分类分级方法策略。数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范，并结合自身业务属性与管理特点，明确数据分类分级的方法、策略，如明确数据分类与定级的基本原则、基本方法等。当前，为指导数据分类分级工作的推进落实，各行业、各领域纷纷制定相关标准规范。通过明确数据分类分级工作的原则、方法、定义，并在此基础上给出部分示例，进一步细化国家关于数据分类分级工作的要求，推动该项工作在不同行业企业及组织机构的落地实施。第四步：完成数据分类。组织应根据已制定的数据分类原则，定义包含多个层级的数据类别清单，再对数据资源清单中的数据逐个进行分类。在实际工作中，基础电信、证券期货、工业行业等领域制定了较为明确的分类方法和示例，有利于行业组织参考。对于暂未形成分类模板的行业，组织可以从经营维度按照通用分类模板进行分类1。另外，针对个人信息的分类方式，组织也可以结合GB/T35273-2020《信息安全技术个人信息安全规范》给出的规范进行完善。总体来说，类别定义一般会根据行业领域的不同而产生不同的子类划分方式，需要注意的是不同类别之间不能重复和交叉。第五步：逐类完成定级。数据分级主要从数据安全保护的角度，考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响对象和影响程度的划分上有所不同，从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作。第六步：形成分类分级目录。组织还需形成整体的数据分类分级目录，明确数据类别和级别的对应关系，为各部门落实数据分类分级工作提供依据。第七步：制定数据安全策略。在完成数据分类定级的基础上，还需要依据国家及行业领域给出的安全保护要求，建立数据分类分级保护策略，对数据实施全流程分类分级管理和保护。数据安全治理概述（一）数据安全治理概念内涵为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》，梳理数据安全治理概念内涵，应该从广义和狭义两个角度进行理解。狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保组织数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构，制定数据安全制度规范，构建数据安全技术体系，建设数据安全人才梯队等。广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境，国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设实施标准体系，研发应用关键技术，培养专业人才等。（二）数据安全治理要点（1）数据安全治理以数据为中心数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，不同环节的特性不同，都面临丰富多样的数据安全威胁与风险。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。（2）多元化主体共同参与数据安全治理无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》（以下简称《数据安全法》）中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然是涉及多元化主体共同参与的工作。（3）数据安全治理兼顾发展与安全随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提，因此，必须要辩证看待数据安全治理。正如《数据安全法》提出的坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。数据安全治理不是强调数据的绝对安全，而是需要兼顾发展与安全的平衡。数字经济发展目标到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%，数字化创新引领发展能力大幅提升，智能化水平明显增强，数字技术与实体经济融合取得显著成效，数字经济治理体系更加完善，我国数字经济竞争力和影响力稳步提升。数据要素市场体系初步建立。数据资源体系基本建成，利用数据资源推动研发、生产、流通、服务、消费全价值链协同。数据要素市场化建设成效显现，数据确权、定价、交易有序开展，探索建立与数据要素价值和贡献相适应的收入分配机制，激发市场主体创新活力。产业数字化转型迈上新台阶。农业数字化转型快速推进，制造业数字化、网络化、智能化更加深入，生产性服务业融合发展加速普及，生活性服务业多元化拓展显著加快，产业数字化转型的支撑服务体系基本完备，在数字化转型过程中推进绿色发展。数字产业化水平显著提升。数字技术自主创新能力显著提升，数字化产品和服务供给质量大幅提高，产业核心竞争力明显增强，在部分领域形成全球领先优势。新产业新业态新模式持续涌现、广泛普及，对实体经济提质增效的带动作用显著增强。数字经济治理体系更加完善。协调统一的数字经济治理框架和规则体系基本建立，跨部门、跨地区的协同监管机制基本健全。政府数字化监管能力显著增强，行业和市场监管水平大幅提升。政府主导、多元参与、法治保障的数字经济治理格局基本形成，治理水平明显提升。与数字经济发展相适应的法律法规制度体系更加完善，数字经济安全体系进一步增强。展望2035年，数字经济将迈向繁荣成熟期，力争形成统一公平、竞争有序、成熟完备的数字经济现代市场体系，数字经济发展基础、产业体系发展水平位居世界前列。数据安全指导思想立足新发展阶段，完整、准确、全面贯彻新发展理念，构建新发展格局，坚定不移贯彻总体国家安全观，统筹发展和安全，把握数字化发展机遇，以全面提升数据安全产业供给能力为主线，以创新为动力、需求为导向、人才为根本，加强核心技术攻关，加快补齐短板，促进各领域深度应用，发展数据安全服务，构建繁荣产业生态，推动数据安全产业高质量发展，全面加强数据安全产业体系和能力，夯实数据安全治理基础，促进以数据为关键要素的数字经济健康快速发展。优化升级数字基础设施（一）加快建设信息网络基础设施建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施。有序推进骨干网扩容，协同推