数据安全治理白皮书 m o c . 5 b u h t i g 中国电子信息产业发展研究院 赛迪智库网络安全研究所 二零二一年六月 前言 在数字信息技术日新月异的发展趋势下,数据已成为数 字经济发展的核心生产要素,是国家重要资产和基础战略资 源。随着数据价值的愈加凸显,数据安全风险与日俱增,数 据泄露、数据贩卖等数据安全事件频发,为个人隐私、企业 商业秘密、国家重要情报等带来了严重的安全隐患。 当前,数据安全已成为数字经济时代最紧迫和最基础的 m o c . 5 安全问题,加强数据安全治理已成为维护国家安全和国家竞 争力的战略需要。为此,国家高度重视数据安全的顶层设计: 在相继发布的《促进大数据发展行动纲要》 (2015)、 《科学数 b u 据管理办法》 (2018)、 《关于构建更加完善的要素市场化配置 h t i g 体制机制的意见》 (2020)以及“十四五”规划(2021)中, 均提出发展数字经济、加快培育发展数据要素市场,应把保 障数据安全放在突出位置的重要思想内涵。 面对数据安全威胁日益严峻的态势,着力解决数据安全 领域的突出问题,有效提升数据安全治理能力迫在眉睫。然 而,由于数字技术促使数据应用场景和参与主体日益多样化, 数据安全的外延不断扩展,数据安全治理面临多重棘手困境。 为此,本白皮书在分析我国数据安全风险、治理现状、治理 困境的基础上,从政策、监管、产业生态建设、国际合作等 方面提出综合解决路径。 1 目录 前言 ................................................. 1 一、数据安全治理概述 ................................. 4 (一)关键概念.................................... 4 (二)数据安全治理本质 ............................ 6 (三)数据安全治理体系 ............................ 7 二、国外数据安全治理现状 ............................. 8 m o c . 5 (一)数据安全政策环境持续优化 .................... 8 (二)数据安全保护机构设置不断完善 ................ 8 (三)推动企业强化数据安全保护技术手段初见成效 .... 9 b u 三、国外数据安全治理特色 ............................. 9 h t i g (一)数据安全上升至国家安全层面 .................. 9 (二)对大型互联网平台企业的数据执法力度持续加大 . 10 (三)医疗、生物识别等个人特殊敏感数据的专项立法不断 推进 ............................................ 11 四、我国数据安全面临七大挑战 ........................ 11 (一)数据贩卖严重侵害个人隐私 ................... 11 (二)数据跨境流动带来国家安全隐患 ............... 12 (三)高价值特殊敏感数据泄露风险加剧 ............. 13 (四)重要数据安全面临外来攻击威胁加大 ........... 14 (五)新技术新应用催生新型数据安全风险 ........... 14 (六)互联网平台企业滥采滥用个人信息并实施数据垄断 15 2 (七)国际数据规则制定话语权与我国互联网应用领先地位 严重不匹配....................................... 15 五、国内数据安全治理现状 ............................ 16 (一)数据安全政策持续加码 ....................... 16 (二)数据安全监管管理体系不断完善 ............... 25 (三)数据安全产业生态建设稳步推进 ............... 26 六、我国数据安全治理面临的困境 ...................... 28 m o c . 5 (一)法律革新缓慢,数据行为秩序难规制 ........... 28 (二)数据权属争议大,数据产权难确立 ............. 29 (三)数据活动场景复杂,数据安全监管效能难提升 ... 29 b u 七、对我国数据安全治理建议 .......................... 30 h t i g (一)完善数据安全法制建设,奠定数据安全保护基础 . 30 (二)构建全面的数据安全监管体系,促进制度落实执行 31 (三)建立平台企业数据业务有序发展机制,保障数据合法 合规使用 ........................................ 32 (四)推动数据安全产业发展,构建全方位数据安全保护生 态 .............................................. 33 (五)推进全球数据安全治理,提升国际话语权 ....... 34 3 一、数据安全治理概述 (一)关键概念 1.数据 数据,是用来记录客观事物或事件的符号,具体来说, 是对客观事物或事件的性质、状态以及相互关系等信息进行 记录的物理符号。本文中的数据包含任何以电子或者非电子 形式对信息的记录,既包括网络数据,又包括线下物理场所 m o c . 5 存在的数据,并具备规模海量、类型多样、流转快速、价值 巨大四大特征。 2.数据处理活动和数据全生命周期 b u 数据处理活动,包括数据的收集、存储、使用、加工、 h t i g 传输、提供、公开、销毁等,是数据处理者开展数据业务时 实施的具体活动,所有数据处理活动环节共同构成了数据全 生命周期。 3.数据安全 数据安全,是指通过采取必要措施,确保数据在数据全 生命周期中处于有效保护和合法利用的状态,以及保障持续 安全状态的能力。数据安全保障主体包括掌握海量政务公共 数据的政府部门,具备大量个人信息及商业信息的企业、持 有众多国家基础重要数据的组织机构等诸多数据处理者。 4.数据安全治理 4 数据安全治理,是指从决策层到技术层,从管理制度到 工具支撑,自上而下建立的数据安全保障体系和保护生态, 是贯穿整个组织架构的完整链条。具体来说,包含国家宏观 治理和企业组织内部微观自治两个层面。企业组织内部自治, 主要专注于数据生命周期安全的管理和技术防护措施,旨在 规范企业组织数据全生命周期处理流程,保证数据处理活动 的合规性和合法性。本文所述的数据安全治理是站在国家宏 m o c . 5 观治理视角,一方面,梳理国外数据安全治理现状,并分析 其治理特色,探寻国际数据安全治理先进经验。另一方面, 在从政策、监管、产业生态、国际合作等多个维度分析我国 b u 数据安全风险、治理现状、治理困境的基础上,提出我国数 h t i g 据安全治理路径。数据安全治理体系如图 1 所示。 5.数据跨境流动 数据跨境流动,是指数据处理者将国家境内收集和产生 的重要数据和个人信息,提供给位于境外的机构、组织、个 人。数据跨境流动过程中,数据安全与个人隐私保护成为两 大关键要素,世界各国对其进行明确立法的趋势也愈加明显。 当前,出于保护本国数据、维护国家安全及促进国家发展目 的,数据本地化存储呼声渐高,欧盟、印度、俄罗斯等诸多 国家开始对关键领域数据实施本地化存储限制。 6.数据资源、数据资产和数据资本 5 在数字经济的发展过程中,随着数据要素市场的蓬勃发 展,数据价值的发展也分别三个阶段: 一是数据资源阶段, 数据是作为记录、反映现实世界的一种资源;二是数据资产 阶段,数据是可创造财富的资产,且随着个人在互联网上活 动的增多,积累的数据量越大,数据收益也越大。未来,数 据资产可能将成为一种经数据所有者授权后,由数据管理者 向使用者提供的一项服务。三是数据资本阶段,数据的资源 m o c . 5 和资产特性得到进一步发挥,在全社会形成巨大数据资产的 基础上,可使用数据资产进行投资,将数据资产转化为数据 资本。将数据资源资产化,进而资本化,对数据的所有者、 b u 管理者和使用者,均将产生巨大利益。 7.数据确权 h t i g 数据确权,是指在厘清数据用途和流向的基础上,在法 律上对数据权利,包括数据所有权、使用权和收益权进行明 晰。 (二)数据安全治理本质 数据安全治理本质上包含“理”和“治”两个层面,先 “理”后“治”,保障数据资源在安全可控的状态下充分发挥 使用价值。一方面,需要“理”的内容包括数据资源的内容 类型、分布流向以及不同场景下数据安全风险种类等。另一 方面,需要“治”的内容包括数据安全保障制度体系、监管 机制、数据安全保护生态、国际数据安全规则等。 6 (三)数据安全治理体系 数据安全治理体系包括政策环境、产业生态、监督管理 和国际合作,如图 1 所示。政策环境主要是构筑数据安全顶 层设计蓝图、建立稳定且具有国家强制力的法制框架、制定 能够适应复杂数据利用场景的数据安全标准指南等;监督管 理方面旨在探索构建分级分类监管体系、完善数据安全保护 机构设置、联合开展专项整治行动、采取高额罚款等手段威 m o c . 5 慑数据违法违规行为、强化技术手段监管等;产业生态建设 主要包括加大数据安全技术投资力度、推动数据安全产品和 服务创新发展、加强数据安全人才队伍建设等;国际合作方 b u 面应积极参与并推动数据安全国际规则制定和完善、增强数 h t i g 据安全规则创制与话语权博弈的竞争力等。 7 二、国外数据安全治理现状 (一)数据安全政策环境持续优化 一是加强数据安全顶层设计。欧盟发布《欧洲数据保护 监管局战略计划(2020-2024)》 ,旨在从前瞻性、行动性和协 调性三方面继续加强数据安全保护,保证个人隐私的基本权 利;美国发布《联邦数据战略与 2020 年行动计划》,确立了 保护数据完整性、确保流通数据真实性、数据存储安全性等 m o c . 5 基本原则。二是强化数据及个人信息保护相关立法。阿联酋 迪拜和新西兰分别出台《数据保护法》和《2020 年隐私法》 , 加强对数据安全及个人隐私保护的规制建设;日本和新加坡 b u 分别完成了对本国《个人信息(数据)保护法》的修订,明 h t i g 确了个人数据权利及外部使用限制;加拿大提出《数字宪章 实施法案 2020》 ,提出了保护私营部门个人信息的现代化框 架。三是陆续出台数据安
赛迪 数据安全治理白皮书 2021
文档预览
中文文档
35 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共35页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 03:35:52上传分享