数据已成为关键生产要素,是数字经济创新发展的“石油”。与此同时,数据安全成为全球关注焦点,面临更多风险挑战。
随着数字化浪潮席卷全球,各国政府逐渐意识到,数据已成为与国家安全和国际竞争力紧密关联的重要资源要素,对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求激增,正在积极利用新技术不断提升数据安全保障能力。
从顶层设计来看,美国国防部发布《国防部数据战略》,指出战略的核心目标之一就是通过构建访问控制和最严格的安全标准来保护国防部数据安全,以实现数据推动作用下的联合全域作战,构筑国家安全保护屏障;英国发布《国家数据战略》,通过搭建国家层面的数据安全治理方案,为建设促进增长和可信赖的数据机制提供指导方向,保障国家安全;欧盟委员会相继发布《欧洲数据战略》及其配套法案《数据治理法案》提案,力求在欧盟层面建立统一的数据治理框架,保障数据安全。
从监管立法来看,美国发布《联邦数据战略与2020年行动计划》,确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则;2018年,欧洲联盟生效通过《通用数据保护条例》(“GDPR”),堪称史上数据安全保护力度最大的法律,后相继发布《欧洲数据保护监管局战略计划(2020-2024)》等,旨在从前瞻性、行动性和协调性三方面继续加强数据安全保护,保证个人隐私的基本权利;阿联酋迪拜和新西兰分别出台《数据保护法》和《2020年隐私法》,加强对数据安全及个人隐私保护的规制建设;日本 和新加坡分别完成了对本国《个人信息(数据)保护法》的修订,明确了个人数据权利及外部使用限制;加拿大提出《数字宪章实施法案2020》,提出了保护私营部门个人信息的现代化框架。
从落地实施来看,美国商务部成立提供联邦数据服务的咨询委员会,加强联邦数据隐私保护;巴西总统签署法令批准建立国家个人数据保护局,负责制定相关规则、推进企业开展数据安全风险评估、调查违法违规行为、促进数据保护国际合作等;韩国成立个人信息保护委员会,负责个人信息保护与监管执法工作;欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施》,为数据跨境流动中数据保护问题提供了进一步指导;西班牙数据保护局发布《默认数据保护指南》,阐释了默认数据保护原则的策略、实施措施、记录和审计 要求等,为企业实践数据保护原则提供具体指导。
从惩治力度来看,随着大型互联网平台企业的日益壮大,其数据垄断问题愈加严重,由此带来的权利滥用问题或将威胁到国家安全。美国、欧洲等国家和地区均对大型互联网企业数据安全违法违规行为增大了单笔处罚金额,防止其滥用数据优势侵害消费者隐私或进行非法数据贩卖。例如,因Facebook违反用户隐私保护策略,美国对其处以50亿美元巨额罚款;爱尔兰也就数据非法跨境传输问题,对Facebook处以了高达28亿美元的罚款;法国、加拿大等国家也纷纷对Twitter、谷歌等企业开出高额罚单。
为保障基础设施建设,防止数据滥用,我国对大型互联网企业的数据安全违法违规行为做出了严峻的惩罚。例如,滴滴全球股份有限公司因违反《网络安全法》、《数据安全法》、《个人信息保护法》,危害国家网络安全、数据安全、侵害公民个人信息等相关违法行为,国家网信办对滴滴全球股份有限公司处以人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处以人民币100万元罚款。
从技术创新来看,全球数据量出现爆炸式增长,各领域各行业的企业结合自身发展路径,按照当地法律法规等各类合规要求,从数据处理的主体客体、数据传输通道、数据运营管理等方面入手,积极运用差分隐私、区块链等创新技术手段,搭建具有鲜明数据安全保护特性的技术架构,持续提升数据安全意识,不断强化数据安全保护。例如,Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护;苹果公司通过模糊定位技术限制第三方App获取用户精确地理位置信息;亚马逊推出阻止用户敏感信息泄露的服务Macie,保护企业云端敏感数据;新西兰企业通过区块链技术实现数据加密传输和追踪溯源,保护数据安全。
管理战略重视不够,统筹协调力度有待加强。数据安全实践由单个部门(如安全部门、信息化部门等)主导,是比较普遍的共性现象。由于在战略层面缺少足够的顶层支持和驱动,难以建立起全面完善的安全治理组织架构和制度规范体系,导致工作职责划分不明确、安全机制难落实等突出问题,数据安全仅能在部分关键业务或部门有限范围内实施保障,难以面向整个组织有效开展。
管理过程较离散化,缺少全局引领与监督评价。在 实 践 中 ,容 易 以解决特定数据安全问题为导向的离散化、补丁式管理方式推进,缺少对数据安全管理体系的全局思考与规划。管理过程中重制定轻落实的现象比较突出,制度追求大而全,内容过于宽泛,缺乏可落地性和可实施性。缺少直接以数据为对象的针对性安全评估和红蓝演练,安全风险和薄弱环节的主动发现和应对处置能力偏弱。
安全先行意识不强,与业务融合程度亟待提升。数据安全的有效实施离不开科学规划与全员深度参与。组织在对业务、产品等进行规划设计的阶段对数据安全考量不够充分,与业务、产品全流程融合度不足,针对数据安全核心元素“人”的管理不够,培训方式较为单一,培训内容针对性不强,缺少对培训效果的评价考核,难以形成有效的覆盖组织全员的数据安全意识提升。
泄密风险难以避免,实时监测管控和溯源追责难。在日常工作中,不可避免的要通过即时通讯工具、网络、邮件等方式发送敏感数据,如:合同、财务报表、知识产权、技术研发、设计、归档管理资料等,在互联网上数据的外发风险时刻存在,并可能造成重大数据泄露事故。一方面,对内部敏感数据的分布、流向、外发等情况难以实时跟踪态势;另一方面,在发生泄密事件后,有效溯源和清晰追责更是难度较大。
GB/T 37931-2019 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法
GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求
GB/T 41387-2022 信息安全技术 智能家居通用安全规范
GB/T 41388-2022 信息安全技术 可信执行环境 基本安全规范
GB/T 41389-2022 信息安全技术 SM9密码算法使用规范
GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
GB/T 41479-2022 信息安全技术 网络数据处理安全要求