数据安全治理白皮书 m o c . 5 b u h t i g 中国电子信息产业发展研究院 赛迪智库网络安全研究所 二零二一年六月 前言 在数字信息技术日新月异的发展趋势下，数据已成为数 字经济发展的核心生产要素，是国家重要资产和基础战略资 源。随着数据价值的愈加凸显，数据安全风险与日俱增，数 据泄露、数据贩卖等数据安全事件频发，为个人隐私、企业 商业秘密、国家重要情报等带来了严重的安全隐患。 当前，数据安全已成为数字经济时代最紧迫和最基础的 m o c . 5 安全问题，加强数据安全治理已成为维护国家安全和国家竞 争力的战略需要。为此，国家高度重视数据安全的顶层设计： 在相继发布的《促进大数据发展行动纲要》 （2015）、 《科学数 b u 据管理办法》 （2018）、 《关于构建更加完善的要素市场化配置 h t i g 体制机制的意见》 （2020）以及“十四五”规划（2021）中， 均提出发展数字经济、加快培育发展数据要素市场，应把保 障数据安全放在突出位置的重要思想内涵。 面对数据安全威胁日益严峻的态势，着力解决数据安全 领域的突出问题，有效提升数据安全治理能力迫在眉睫。然 而，由于数字技术促使数据应用场景和参与主体日益多样化， 数据安全的外延不断扩展，数据安全治理面临多重棘手困境。 为此，本白皮书在分析我国数据安全风险、治理现状、治理 困境的基础上，从政策、监管、产业生态建设、国际合作等 方面提出综合解决路径。 1 目录 前言 ................................................. 1 一、数据安全治理概述 ................................. 4 （一）关键概念.................................... 4 （二）数据安全治理本质 ............................ 6 （三）数据安全治理体系 ............................ 7 二、国外数据安全治理现状 ............................. 8 m o c . 5 （一）数据安全政策环境持续优化 .................... 8 （二）数据安全保护机构设置不断完善 ................ 8 （三）推动企业强化数据安全保护技术手段初见成效 .... 9 b u 三、国外数据安全治理特色 ............................. 9 h t i g （一）数据安全上升至国家安全层面 .................. 9 （二）对大型互联网平台企业的数据执法力度持续加大 . 10 （三）医疗、生物识别等个人特殊敏感数据的专项立法不断 推进 ............................................ 11 四、我国数据安全面临七大挑战 ........................ 11 （一）数据贩卖严重侵害个人隐私 ................... 11 （二）数据跨境流动带来国家安全隐患 ............... 12 （三）高价值特殊敏感数据泄露风险加剧 ............. 13 （四）重要数据安全面临外来攻击威胁加大 ........... 14 （五）新技术新应用催生新型数据安全风险 ........... 14 （六）互联网平台企业滥采滥用个人信息并实施数据垄断 15 2 （七）国际数据规则制定话语权与我国互联网应用领先地位 严重不匹配....................................... 15 五、国内数据安全治理现状 ............................ 16 （一）数据安全政策持续加码 ....................... 16 （二）数据安全监管管理体系不断完善 ............... 25 （三）数据安全产业生态建设稳步推进 ............... 26 六、我国数据安全治理面临的困境 ...................... 28 m o c . 5 （一）法律革新缓慢，数据行为秩序难规制 ........... 28 （二）数据权属争议大，数据产权难确立 ............. 29 （三）数据活动场景复杂，数据安全监管效能难提升 ... 29 b u 七、对我国数据安全治理建议 .......................... 30 h t i g （一）完善数据安全法制建设，奠定数据安全保护基础 . 30 （二）构建全面的数据安全监管体系，促进制度落实执行 31 （三）建立平台企业数据业务有序发展机制，保障数据合法 合规使用 ........................................ 32 （四）推动数据安全产业发展，构建全方位数据安全保护生 态 .............................................. 33 （五）推进全球数据安全治理，提升国际话语权 ....... 34 3 一、数据安全治理概述 （一）关键概念 1.数据 数据，是用来记录客观事物或事件的符号，具体来说， 是对客观事物或事件的性质、状态以及相互关系等信息进行 记录的物理符号。本文中的数据包含任何以电子或者非电子 形式对信息的记录，既包括网络数据，又包括线下物理场所 m o c . 5 存在的数据，并具备规模海量、类型多样、流转快速、价值 巨大四大特征。 2.数据处理活动和数据全生命周期 b u 数据处理活动，包括数据的收集、存储、使用、加工、 h t i g 传输、提供、公开、销毁等，是数据处理者开展数据业务时 实施的具体活动，所有数据处理活动环节共同构成了数据全 生命周期。 3.数据安全 数据安全，是指通过采取必要措施，确保数据在数据全 生命周期中处于有效保护和合法利用的状态，以及保障持续 安全状态的能力。数据安全保障主体包括掌握海量政务公共 数据的政府部门，具备大量个人信息及商业信息的企业、持 有众多国家基础重要数据的组织机构等诸多数据处理者。 4.数据安全治理 4 数据安全治理，是指从决策层到技术层，从管理制度到 工具支撑，自上而下建立的数据安全保障体系和保护生态， 是贯穿整个组织架构的完整链条。具体来说，包含国家宏观 治理和企业组织内部微观自治两个层面。企业组织内部自治， 主要专注于数据生命周期安全的管理和技术防护措施，旨在 规范企业组织数据全生命周期处理流程，保证数据处理活动 的合规性和合法性。本文所述的数据安全治理是站在国家宏 m o c . 5 观治理视角，一方面，梳理国外数据安全治理现状，并分析 其治理特色，探寻国际数据安全治理先进经验。另一方面， 在从政策、监管、产业生态、国际合作等多个维度分析我国 b u 数据安全风险、治理现状、治理困境的基础上，提出我国数 h t i g 据安全治理路径。数据安全治理体系如图 1 所示。 5.数据跨境流动 数据跨境流动，是指数据处理者将国家境内收集和产生 的重要数据和个人信息，提供给位于境外的机构、组织、个 人。数据跨境流动过程中，数据安全与个人隐私保护成为两 大关键要素，世界各国对其进行明确立法的趋势也愈加明显。 当前，出于保护本国数据、维护国家安全及促进国家发展目 的，数据本地化存储呼声渐高，欧盟、印度、俄罗斯等诸多 国家开始对关键领域数据实施本地化存储限制。 6.数据资源、数据资产和数据资本 5 在数字经济的发展过程中，随着数据要素市场的蓬勃发 展，数据价值的发展也分别三个阶段： 一是数据资源阶段， 数据是作为记录、反映现实世界的一种资源；二是数据资产 阶段，数据是可创造财富的资产，且随着个人在互联网上活 动的增多，积累的数据量越大，数据收益也越大。未来，数 据资产可能将成为一种经数据所有者授权后，由数据管理者 向使用者提供的一项服务。三是数据资本阶段，数据的资源 m o c . 5 和资产特性得到进一步发挥，在全社会形成巨大数据资产的 基础上，可使用数据资产进行投资，将数据资产转化为数据 资本。将数据资源资产化，进而资本化，对数据的所有者、 b u 管理者和使用者，均将产生巨大利益。 7.数据确权 h t i g 数据确权，是指在厘清数据用途和流向的基础上，在法 律上对数据权利，包括数据所有权、使用权和收益权进行明 晰。 （二）数据安全治理本质 数据安全治理本质上包含“理”和“治”两个层面，先 “理”后“治”，保障数据资源在安全可控的状态下充分发挥 使用价值。一方面，需要“理”的内容包括数据资源的内容 类型、分布流向以及不同场景下数据安全风险种类等。另一 方面，需要“治”的内容包括数据安全保障制度体系、监管 机制、数据安全保护生态、国际数据安全规则等。 6 （三）数据安全治理体系 数据安全治理体系包括政策环境、产业生态、监督管理 和国际合作，如图 1 所示。政策环境主要是构筑数据安全顶 层设计蓝图、建立稳定且具有国家强制力的法制框架、制定 能够适应复杂数据利用场景的数据安全标准指南等；监督管 理方面旨在探索构建分级分类监管体系、完善数据安全保护 机构设置、联合开展专项整治行动、采取高额罚款等手段威 m o c . 5 慑数据违法违规行为、强化技术手段监管等；产业生态建设 主要包括加大数据安全技术投资力度、推动数据安全产品和 服务创新发展、加强数据安全人才队伍建设等；国际合作方 b u 面应积极参与并推动数据安全国际规则制定和完善、增强数 h t i g 据安全规则创制与话语权博弈的竞争力等。 7 二、国外数据安全治理现状 （一）数据安全政策环境持续优化 一是加强数据安全顶层设计。欧盟发布《欧洲数据保护 监管局战略计划（2020-2024）》 ，旨在从前瞻性、行动性和协 调性三方面继续加强数据安全保护，保证个人隐私的基本权 利；美国发布《联邦数据战略与 2020 年行动计划》，确立了 保护数据完整性、确保流通数据真实性、数据存储安全性等 m o c . 5 基本原则。二是强化数据及个人信息保护相关立法。阿联酋 迪拜和新西兰分别出台《数据保护法》和《2020 年隐私法》 ， 加强对数据安全及个人隐私保护的规制建设；日本和新加坡 b u 分别完成了对本国《个人信息（数据）保护法》的修订，明 h t i g 确了个人数据权利及外部使用限制;加拿大提出《数字宪章 实施法案 2020》 ，提出了保护私营部门个人信息的现代化框 架。三是陆续出台数据安