数据流通安全标准化白皮书
AI智能总结
白皮书 数据流通安全标准化 2024年07月 11 北京网络信息安全北京软件产品质量中国科学院信息技术创新产业联盟检测检验中心工程研究所 编委会 主编:王威 副主编:于晶、张海涛秘书:周爱民 参编人员(排名不分先后): 郭剑虹、张兴、楼莉、李桢、廉小伟、何建锋、刘国栋、马洪军、史保华、周利斌、李文哲、张敬阳、何悦、许小峰、王锐珍、杨天识、黄江平、赵亮、林德成、石磊、鹿淑煜、虞萍、王大伟、王莹丽、兰珊、唐迪、萧云峰、刘为华、张帅辰、胡晓冉、周翯、郑旭蕾、王晋飞、任凤丽 主编单位: 北京网络信息安全技术创新产业联盟中国科学院信息工程研究所 北京软件产品质量检测检验中心北京市大数据中心 参编单位: 北京云集至科技有限公司 中电长城网际系统应用有限公司西安交大捷普网络科技有限公司北京北信源软件股份有限公司广州市数字政府运营中心 北京启明星辰信息安全技术有限公司 北京华隆辰信息技术有限公司北京云科安信科技有限公司 杭州领信数科信息技术有限公司北京禹宏信安科技有限公司 泰和泰(北京)律师事务所三未信安科技股份有限公司 中国软件评测中心(工业和信息化部软件与集成电路促进中心)郑州信大捷安信息技术股份有限公司 广电计量检测集团股份有限公司 内蒙古自治区软件和信息安全测评中心中国农业大学信息化办公室 前言 当前,我国积极推动数字经济发展,先后发布了《促进大数据发展行动纲要》、《“十四五”数字经济发展规划》等文件,促使中国数据产量、数字经济规模跃升至世界前列。根据国家互联网信息办公室发布的报告,2022年中国数据产量达8.1ZB,同比增长22.7%,位居世界第二。数字经济规模达50.2万亿元,总量稳居世界第二。截止到2023年6月,全国各地由政府发起、主 导或批复的数据交易平台、数据交易中心、数据交易所达到44家,头部数据交易所交易规模已达到亿元至十亿元级别,且呈现出爆发式增长趋势。 然而,随着数据汇聚、融合、流动与应用等场景大幅增加,数据应用技术的复杂性、数据海量汇聚的风险性、数据深度挖掘隐私安全性均导致数据持有者不敢、不愿参与数据流通,从而形成“数据孤岛”与“数据垄断”等现象。2022年12月19日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理等方面,提出二十条政策举措意见,其中数据流通安全标准体系建设是“数据二十条”中提出的一项政策举措,对促进数据安全、合规流通具有重要意义。 为了更好的引导未来数据流通安全标准化工作有序开展,促进数据安全、合规流通,北京网络信息安全技术创新产业联盟集众多成员单位之合力,梳理了数据流通中面临的安全需求和挑战,研究了国内外数据流通安全相关的法律法规及技术标准,分析了数据流通安全标准需求,建立了数据流通安全标准体系,并给出 了数据流通安全标准化工作建议,最终形成本版白皮书。全书组织如下: 第1章介绍了本书的背景、目的及意义,界定数据流通安全含义,阐述了数据流通安全的发展状况和重要意义。 第2章介绍了国内外数据流通安全相关的法律法规、相关的标准化组织及相应数据流通安全标准化工作情况,并介绍了国内外数据流通安全相关标准。 第3章通过分析数据流通安全面临的风险,确定数据流通安全标准化需求,为搭建数据流通安全体系框架奠定基础。 第4章给出了数据流通安全标准体系框架,构建标准体系结构,并介绍了已经开展的数据流通安全标准化工作,指出了亟需开展的标准化重点工作。 第5章给出了数据流通安全标准化工作建议。 目录 第1章数据流通安全发展情况1 1.1数据流通安全背景1 1.2数据流通安全的概念与理解3 1.3我国数据流通安全发展8 1.3.1数据流通安全战略布局8 1.3.2数据流通安全政策法规建设9 1.3.3数据流通安全技术发展14 1.3.4数据流通安全产业发展17 1.3.5数据流通安全人才体系建设19 1.4数据流通安全的重要意义20 1.5本章小结22 第2章数据流通安全政策法规和标准化现状24 2.1数据流通安全战略与政策法规24 2.1.1国外数据流通安全战略与政策法规24 2.1.2国内数据流通安全战略与政策法规29 2.2数据流通安全相关标准工作及现状36 2.2.1国外数据流通安全相关标准工作及现状36 2.2.2国内数据流通安全相关标准工作及现状40 2.3本章小结51 第3章数据流通安全标准化需求52 3.1数据流通安全面临的风险52 3.2数据流通安全标准化需求53 3.3本章小结56 第4章数据流通安全标准体系57 4.1数据流通安全体系框架57 4.2数据流通安全标准体系59 4.3近期重点工作69 4.4本章小结71 第5章数据流通安全标准化工作建议72 5.1健全数据流通安全法律法规和标准体系72 5.2推进数据流通标准分类分级分步骤制定72 5.3加强数据流通安全核心技术标准研制73 5.4推广数据流通安全标准示范应用73 5.5建立数据流通安全标准体系研究长效机制74 5.6深度参与数据流通安全国际标准化工作75 5.7加强数据安全流通标准人才培养76 5.8本章小结76 第1章数据流通安全发展情况 1.1数据流通安全背景 当前,数据已经成为全世界各国的战略性资源,而数据的流通对国家治理、国家竞争、科技创新有着非常重要的作用。基于此,2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,将数据定义为继土地、劳动力、资本、技术之后的第五大生产要素。2022年12月,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,指出:“数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式”。因此,无论是基于国家政策的牵引还是企业之间相互竞争的需要,数据流通已成为今天不可逆的大趋势,更是不该逆的大机遇。 2023年12月,为深入贯彻党的二十大和中央经济工作会议精神,落实中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,发挥我国超大规模市场、海量数据资源、丰富应用场景等多重优势,推动数据要素与劳动力、资本等要素协同,以数据流引领技术流、资金流、人才流、物资流,突破传统资源要素约束,提高全要素生产率。2024年1月印发《数字经济促进共同富裕实施方案》,以8个国家算 力枢纽、10个国家数据中心集群为抓手,立体化实施“东数西算”工程,深化算网融合,推进算力互联互通,引导数据要素跨区域流通融合。2024年2月印发《关于开展全国数据资源调查的通知》,为贯彻落实《数字中国建设整体布局规划》工作部署,摸清数据资源底数,加快数据资源开发利用,更好发挥数据要素价值。2024年2月印发《关于加强行政事业单位数据资产管理的通知》,提出各部门及其所属单位要切实加强行政事业单位数据资产管理,因地制宜探索数据资产管理模式,充分实现数据要素价值,更好发挥数据资产对推动数字经济发展的支撑作用。 然而,随着数据汇聚、融合、流动与应用等场景大幅增加,国家数据、企业数据和个人数据等在流通过程中面临着被非法获取和滥用的风险。如果不能保障数据在流通过程中的安全,数据流通越活跃,越会带来可预见和不可预见的各类风险隐患,甚至影响到国家的安全与发展。另外,如果数据流通安全不能很好解决,也会导致数据供方“不愿、不敢、不想”让数据流通起来,会极大的制约数字经济发展,因此,数据流通安全成为了数字经济发展的核心挑战,也是千行百业数字化转型、做强做优做大数字经济的重要前提条件。在《关于构建数据基础制度更好发挥数据要素作用的意见》中明确提出要促进数据合规、高效流通使用,赋能实体经济,同时统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯彻数据供给、流通、使用全过程。当前,我国数据要素市场建设取得积极进展和显著成效,但是依然存在数据权属纷争、数据滥用、数据泄露、失控传播等安全问题,造成当前局面很重要的一个原因是数据流通的安全标准体系尚未建立起来。虽然我国出台了《网络安全法》、《数据 安全法》、《个人信息保护法》等关于数据和个人信息安全保护的法律法规,《民法典》也首次明确将数据纳入民法保护范围,但是这些政策和法律法规颗粒度比较大,在实际操作中缺乏具体细则,距离落地实施无相关政策和技术标准的支撑。因此,亟待从供给、流通、使用等环节全方位强化数据流通安全的标准化工作,以促进数据安全流通,进而畅通国家数字经济。 1.2数据流通安全的概念与理解 本节将解析和界定数据、数据要素、数据安全、数据流通、数据流通安全的概念和内涵,明确数据安全与数据流通安全的关系,提出数据流通安全体系框架。 一、基本概念 1、数据 数据指任何以电子或其他方式对信息的记录【GB/T43697-2024《数据安全技术数据分类分级规则》】。数据是事实或观察的结果,对客观事物的逻辑归纳。 2、数据要素 数据要素指将原始数据通过加工整理、确权,使其成为具备潜在利用价值的数据资产。数据要素是推动数字经济发展的核心引擎,是赋能行业数字化转型和智能化升级的重要支撑,也是国家基础性战略资源。 3、数据安全 数据安全指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力【《中华人民 共和国数据安全法》第三条】。国际标准化组织(ISO)的定义为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露,即通过采用各种技术和管理措施,确保网络数据的可用性、完整性和保密性。 4、数据流通 数据流通指数据按照一定规则从提供方传递到需求方的过程,是数据在不同主体之间进行转移、共享和使用的过程,发生在数据交易前、交易中、交易后和数据出入境等应用场景。从流通方式来看,包括数据开放、共享和交易等;从流通形态开看,包括原始数据直接流通、使用API接口流通等;从流通范围来看,可以分为内部不同部门之间的流动、跨组织的业务体系内的流动、跨组织无业务生态关联;从流通参与主体来看,包括数据提供方、数据使用方、平台管理方、第三方服务提供方等市场主体;从流通载体来看,数据流通设施是数据要素流通活动的主要载体,流通设施是传统IT基础设施的延伸,以数据为中心,服务于数据,最大化数据价值,包括传输数据的基础通信网络,存储、计算数据的基础物理设施,提供数据共享、交易、分析和管理的信息化平台。 5、数据流通安全 数据流通安全的含义可以从三个层面来理解。一是数据本身的安全,即保证数据采集、传输、存储、处理、交换、销毁等流通全过程的安全。二是数据流通活动的安全,即规范数据提供方、数据使用方、平台管理方、第三方服务提供方等各类市场主体,在数据开放、共享和交易等流通活动中的行为,保障数据流通过 程安全可控、可追溯;三是,数据流通设施的安全,即保护数据处理活动所涉及的网络、平台和物理设施的安全,防止数据基础设施上承载的海量数据丢失、泄露、被篡改,保障业务在线和可追溯。 综上,数据安全与数据流通安全存在密不可分的关系,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,涵盖了数据的采集、传输、存储、处理、交换、销毁等数据生存周期全过程。而数据流通安全则是数据安全体系的重要组成部分,特指在数据流通环节中的安全保障措施,确保数据在流通过程中不被泄露、篡改或非法利用,主要涉及采集、传输、处理和交换等过程中的重要场景。 二、数据流通安全体系框架 为实现数据要素的社会化配置,拓展数据的流通价值,保障数据流通安全,梳理数据流通安全体系框架,主要由“一个基础、四个重点方向、两大保障和一项目标”共八个关键环节构成。其中,六个横向环节分别是国家数据安全基础设施、公共数据开发开放、公共数据授权运营主体、数据产业和数商发展、数据交易与跨境
