数据安全复合治理与实践白皮书中国软件评测中心国家信息中心信息安全研究蚂蚁科技集团股份有限公司年月前言伴随着以数据为关键要素的数字经济的蓬勃发展数据已逐渐成为基础性战略性先导性资源正在对国家治理社会发展个人生活等产生着革命性影响当前建设数字中国已成为国家发展战略的重要组成部分如何保障数据安全促进数字经济发展是事关国家安全社会稳定和人民福祉的重大问题此外在数字产业化和产业数字化浪潮中数据安全产业作为新兴数字产业为产业数字化提供有力支撑是数字经济高质量发展的关键保障目前我国数据安全产业系列工作正在有序推进相关政策及配套文件正在加紧制定数据安全治理作为一项体系化工程是夯实产业基础的重要手段而高水平的治理能力则是产业高质量发展的重要体现备受关注的数据安全法已于年月日起正式实施作为数据安全领域的纲领性法律数据安全法为下一阶段国家地区行业和组织开展数据安全工作提供了明确指引贯彻落实数据安全法的具体要求需要政府部门行业机构企事业单位等各类组织在实践中建立健全数据安全治理体系不断提升数据安全保障能力切实履行数据安全保护义务近年来数据非法贩卖数据滥用敏感数据泄露等数据安全风险持续加剧数据安全形势空前严峻提高数据安全治理能力迫在眉睫组织需要新形势下能够有效落地的数据安全治理体系本白皮书从组织建设数据安全治理体系的视角出发通过对法律法规标准规范数据安全治理发展现状等进行充分调研和分析并结合有关组织的实践经验总结提出了帮助组织更好实现数据安全治理有效落地的数据安全复合治理模式数据安全复合治理模式强调系统性落地性对治理框架搭建中战略管理和技术进行统筹规划设计形成基线设定心智运营原生设计安全度量可证溯源红蓝对抗测评认证等丰富的治理环节强化治理过程的联动将安全与业务复合管理与技术复合发生化学反应形成有机整体充分发挥复合协同效能数据安全复合治理模式的特点概括为战略要位实战牵引全员参与技术破局战略要位强调明确数据安全保护工作在组织中的重要战略位置和管理部门对违反数据安全行为的处罚权责实战牵引强调实战化红蓝对抗头部风险治理和管控效果的精确度量来牵引整体治理工作落地全员参与强调丰富活泼的心智运营活动设计充分调动全员主动参与积极性实现不同特点人群的精确触达技术破局强调依托系统数据和算法方面的科技能力创新实现新形势下无法通过人工协议达成数据安全治理目标难题的破局促进数据安全治理工作的提质增效本白皮书对数据安全复合治理体系的核心思想与建设思路进行了全面阐述旨在为组织开展数据安全治理工作提供参考和建议本白皮书由中国软件评测中心国家信息中心信息安全研究蚂蚁科技集团股份有限公司撰写由于编者水平有限本白皮书内容难免存在疏漏不足之处恳请各位专家同仁批评指正顾问专家按姓氏拼音排序封化民教育部高等学校网络空间安全专业教学指导委员会秘书长李新友国家信息中心首席工程师唐刚中国软件评测中心主任助理兼网络空间安全测评工程技术中心主任王军中国信息安全测评中心总工程师左晓栋中国信息安全研究院副院长参编人员按姓氏拼音排序白利芳鲍姝睿蔡佳良陈树鹏陈心怡冯朝冯越付春红顾为群郭亮黄琳黄山李亮李婷婷林明树林青刘凯元刘威歆刘焱陆平罗赛男马冰珂宁黄江潘无穷秦晓磊宋铮王嵩贺王庭王子廷韦韬卫振强吴君佳向上文肖含笑薛拾军杨小芳于泉张吉智张良杰张天然赵殿野特别鸣谢按姓氏拼音排序程斌雷蕾刘喜喜刘寻潘静本白皮书编写组二二一年十二月版权声明本白皮书版权属中国软件评测中心国家信息中心蚂蚁科技集团股份有限公司所有并受法律保护任何转载编撰或其他方式使用本白皮书文字或观点应注明来源数据安全复合治理与实践白皮书违反上述声明者将追究其相关法律责任目前录言版权声明第一章数据安全治理的形势与重要性数据产业发展现状与安全形势国内外数据安全法律法规与标准现状国外现状国内现状数据安全治理理念与内涵第二章国内外数据安全治理框架微软框架框架介绍框架分析数据安全治理框架框架介绍框架分析数据安全能力成熟度模型框架介绍框架分析第三章数据安全治理面临的挑战第四章数据安全复合治理模式治理框架数据安全战略安全方针制度规范组织架构保障体系数据安全运营管理可执行安全基线互动式心智运营原生式数据保护多视角安全度量可自证溯源处置测评认证红蓝演练数据安全治理科技产品能力系统能力算法能力数据能力第五章数据安全复合治理实践案例个人信息保护治理实践数据分类分级技术实践数据安全心智运营实践第六章趋势与建议参考文献图目录图全球每年新产生数据量及预测图年年中国大数据产业规模及预测图年年全球数据泄露平均总成本统计图主要国家和地区数据安全立法现状图我国数据安全与个人信息保护法律法规与政策现状图框架示意图数据安全能力成熟度模型示意图数据安全复合治理模式图一套可参考的数据安全管理制度规范体系图互动式心智运营示意图原生式数据保护示意图原生式数据保护中的安全要求示意图多视角安全度量框架示意图多层级安全度量指标示例图数据安全治理科技示意图全息资产画像框架示意图自动化红蓝演练框架示意图策略化风险感知框架示意图多元化风险响应框架示意图密态计算过程示意图安全平行切面框架示意图密码基础设施框架示意图密码产品示意图安全可信环境框架示意图算法能力框架示意图数据能力框架示意图个人信息保护治理实践图图像分类分级检测实践图蚂蚁数据安全心智运营实践表目录表数据安全基线与数据安全规范对比表数据安全基线要求与配套解读示例数据安全复合治理与实践白皮书第一章数据安全治理的形势与重要性数据产业发展现状与安全形势年月中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见发布首次从国家层面明确将数据作为继土地劳动力资本和技术之后的第五大生产要素随着云计算人工智能移动互联等新兴技术的快速发展和在各行各业的持续渗透数据在国家治理社会发展个人生活中正扮演着愈发重要的角色据国际权威机构分析年全球新产生数据量已达到为字节计量单位到年这一数字预计将达到图全球每年新产生数据量及预测伴随着数据规模的飞速增长数据相关产业规模也呈现出快速递增的发展趋势根据赛迪顾问年月发布的数据显示年我国大数据产业规模已达到亿元预计到年产业规模将突破亿元图年年中国大数据产业规模及预测数据安全复合治理与实践白皮书然而与数字经济的欣欣向荣蓬勃发展相对应近年来数据泄露数据滥用数据贩卖等数据安全事件频发数据安全风险与日俱增对国家安全社会稳定组织权益个人隐私安全都造成了严重威胁对近年来比较具有代表性的数据安全攻击和事件进行分析可以发现数据安全风险主要呈现如下显著特征首先由于数据的价值属性不断凸显大规模有组织的定制化数据安全攻击愈发频繁针对高价值重要数据攻击屡见不鲜据国家计算机网络应急技术处理协调中心发布的年我国互联网网络安全态势综述报告显示多家重要单位因钓鱼邮件安全漏洞等网络攻击造成工作人员账号重要文件等数据泄露此外数据安全风险危害程度不断加深据发布的年数据泄露成本报告显示年全球数据泄露的平均总成本达到了万美元且近年来基本呈现持续递增的态势除了造成严重的经济损失外针对个人地理位置生物特征医疗健康等隐私信息的恶意攻击甚至会危害个人生命安全图年年全球数据泄露平均总成本统计最后新兴技术新兴产业特别是大数据人工智能云计算等的不断发展和持续应用带来了更多的安全方面的不确定性勒索软件等新型攻击方法远程办公等新场景也对数据安全提出了新的挑战据发布的年数据泄露成本报告显示与远程办公相关的数据泄露平均成本达到万美元国内外数据安全法律法规与标准现状为有效应对严峻的数据安全形势保障数据的安全开发和利用包括我国在内的全球多个国家和地区近年来高度重视数据安全领域的政策制定与立法工作国际上欧盟美国日本韩国等主要国家和地区陆续推出了一系列数据安全与个人信息保护相关的政策与法律数据安全复合治理与实践白皮书旨在加强国家层面的数据安全保护我国也先后出台了网络安全法数据安全法个人信息保护法等法律并制定了一系列配套政策法规标准规范等加强对于数据安全工作的指导监督与保障国外现状为有效应对数字经济发展大背景下的政府信息商业机密个人隐私等数据所面临的潜在安全风险各国均积极推动数据安全领域的立法和法律修订等工作并将数据安全作为优先内容纳入各类网络空间治理议程中图主要国家和地区数据安全立法现状欧洲方面主要通过在欧盟范围内统一立法的模式促进数据保护年月欧盟出台通用数据保护条例对涉及数据处理的所有环节均做出了详细规定旨在加强欧盟自然人隐私数据保护提高数据服务安全性是目前数据安全领域比较具有代表性的立法之一此外欧盟于年月发布了欧洲数据战略对欧盟发展数据经济所需的政策措施和投资策略等进行了全面分析并将数据治理数据安全作为重点工作领域在的基础上欧盟于年月进一步发布了欧洲数据保护监管局战略计划旨在从前瞻性行动性和协调性三方面继续加强数据安全保护美国则主要采取分散立法模式实现数据保护在电信金融健康教育等多个行业和领域先后颁布了儿童在线隐私保护法视频隐私保护法电子通信隐私法联邦贸易委员会法等一系列数据安全相关法律此外美国国防部年月发布了国防部数据战略旨在实现数据推动作用下的联合全域作战构筑国家安全保护屏障除联邦立法外美国加州于年月颁布了加州消费者隐私法案防止消费者不知情数据安全复合治理与实践白皮书情况下的个人隐私信息收集与滥用明确了消费者的访问权删除权知情权等隐私权利此外不少国家近年来在数据安全领域也出台了诸多政策与立法韩国于年月通过了新修订的数据三法即个人信息保护法信用信息法和信息通信网法并对个人信息保护法执行令的相关内容进行了修订进一步加强针对个人信息等敏感数据的保护新加坡于年月对本国个人数据保护法进行了修订明确了个人数据处理的违法行为加强个人对其数据的选择权和控制力日本参议院于年月颁布了个人信息保护法修正案明确了个人有权终止其个人数据对企业的使用授权等确保个人信息的合法使用英国政府也于年月发布了国家数据战略旨在通过数据基础数据技能数据可用性数据责任四支柱确保数据的可用性及安全可靠性在各国家和地区不断推动数据安全立法的同时国外各标准组织近年来也高度重视数据安全领域的标准研究与制定工作通过加强标准建设来推动数据安全治理的实施以国际标准化组织为例其在数据安全隐私保护领域已先后制定了包括安全技术和对隐私信息管理的扩展要求和指南信息技术大数据参考架构第部分安全与隐私保护等多项国际标准值得一提的是我国在数据安全国际标准制定过程中扮演了重要角色由我国主导的大数据安全与隐私保护过程大数据安全与隐私保护实现指南等多个课题目前均处于持续研究和推进阶段此外等比较有代表性的标准组织近年来在数据安全与隐私保护领域也开展了一系列标准研究与制定工作国内现状近年来我国政府高度重视数据安全领域的政策制定与立法工作中华人民共和国国民经济和社会发展第十四个五年规划和年远景目标纲要明确提出加强涉及国家利益商业秘密个人隐私的数据保护加快推进数据安全个人信息保护等领域基础性立法强化数据资源全生命周期安全保护为促进以数据为关键要素的数字经济发展我国政府先后制定和发布了包括网络安