中关村网络安全与信息化产业联盟:数据安全治理白皮书4.0(附报告)
前言
数据安全新形势背景
数据被定义为新时代重要的生产要素,是国家基础性战略资源,数据价值的发挥是推动我国社会经济转型发展的新动力。
2021年以来,我国陆续发布了《“十四五”国家信息化发展规划》、《“十四五”数字经济发展规划》等重要国家数据战略,强调建设数字中国,加快数据要素市场化流通,创新数据要素开发利用机制。为促进数据共享和数据交易,上海、深圳等十余个省市也密集发布了数据条例。伴随数据要素市场化进程的发展,数据的巨大价值和重要意义已得到强调和凸显,但数据的开发利用也是一把双刃剑,当数据创造价值的同时,也面临着数据被泄露、篡改、滥用等风险,造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。为了规范数据处理活动,保障数据安全,促进数据开发利用,《中华人民共和国数据安全法》(以下简称数据安全法)、《中华人民共和国个人信息保护法》(以下简称个人信息保护法)正式发布,强调统筹数据发展和安全防护并重,在保障安全和隐私前提下推动数据依法合理有效利用。
编写目标
在上述形势背景下,企业或组织在数据收集、存储、使用、加工、传输、提供、公开等数据处理活动过程中,针对数据安全威胁与监管合规要求,无可避免地需要面对越来越严峻和紧迫的数据安全挑战:如何在数据资产的开发利用、价值实现与安全保护、履行合规义务之间进行恰当平衡?如何在数据安全方面编制合理的管理制度和选取适宜的技术方案?
面向日益严峻的数据安全形势,为了帮助企业或组织应对以上众多数据安全方面的困惑和难题,实现数据利用与安全防护一体两翼、平衡发展的目标,本白皮书在《数据安全治理白皮书3.0》的前序版本基础上,进一步研判当前数据安全形势与动态,解读密集颁布的法律法规监管要求,梳理数据安全治理面临的痛点和问题,完善数据安全治理框架体系及相关技术,归纳新形势下的数据安全治理实践案例及典型数据安全事件,并提出未来的展望与倡议,力图尽可能全面、系统地整理和总结当前与数据安全治理有关的各类资料和最新进展,探索“让数据使用自由而安全”的治理方案,在数据要素释放价值的同时,坚守安全底线。为数据安全治理相关人员提供指引和参考,期望为进-一-步推广、普及和完善数据安全治理的理念、方法、体系与实践添砖加瓦、贡献力量。
读者对象
本白皮书主要面向以下几类读者:
组织内部数据安全治理相关人员:面向企业或组织内开展数据安全治理工作相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员,期望能够帮助他们更加深入全面地了解在企业或组织的数字化转型过程中正在和将要面对的数据安全威胁、风险和合规性要求以及行业内场景化治理实践,从而更积极主动地筹划和开展系统化的数据安全治理,确保企业或组织能够有效应对新形势下的各种数据安全挑战。
数据安全治理相关产品/服务提供商:面向数据安全行业的方案及产品策划人员、安全治理咨询服务人员及项目实施人员,期望通过白皮书中对治理框架、技术应用与实践案例等内容的介绍为产品/服务提供商开展治理方案编制、产品研发和实施服务工作提供启迪与参考,以更好的服务用户。
数据安全治理相关的法务工作者:对组织合规部门、律师等法务相关工作者,期望通过对实际数据安全相关用例介绍和数据安全技术介绍,给予他们在进行数据安全合规要求和建议工作中提供一定的借鉴参考。
其他相关读者:此外,本白皮书对于数据安全相关政策法规和标准规范的编制人员、数据安全领域的研究人员,也具有一定参考价值。
导读
整个白皮书共分为六个正文章节和一个附录章节。其中:
第一章:数据安全形势与挑战:自2021年来,数据安全形势发生很大变化,梳理、分析国内外数据安全战略、数据安全风险形势及国家与行业监管新形势,通过剖析新形势指导数据安全治理需求。
第二章:数据安全治理目前面临的主要痛点和难题:面向数据安全风险和监管合规要求严峻形势,梳理数据安全治理的主要痛点、问题和关键需求。
第三章:数据安全治理理念及框架:围绕数据安全的风险和合规驱动需求,梳理数据安全治理思路,提出治理愿景,构建治理理念,形成覆盖管理、技术、运营体系的治理框架,并给出治理规划建设实施路径。
第四章:数据安全相关法律法规解读:在数据安全治理过程中,满足监管合规要求是重要驱动力之一,体系化解读国内外数据安全相关重要法律及法规的监管合规要求。
第五章:数据安全治理落地实践案例集:以数据安全治理框架为指导,面向金融、政务、能源、教育、医疗等行业众多数据处理活动场景,给出丰富的实际场景化数据安全治理实践案例集,为相关方开展数据安全治理建设提供参考与借鉴。
第六章:未来展望与倡议:面对数据安全治理实践涉及的管理、技术与运营过程中短期内尚无法有效解决的问题,以展望与倡议的形式予以表述,供行业内人士进行探讨。
附录:对近似概念联系与区别尝试解读,对数据安全关键技术、国内外相关治理理论、数据安全相关标准进行介绍,对2020年以来重大数据安全事件与法律案件进行分析,为业务人士提供参考。
数据安全治理白皮书历史沿革
北京安华金和科技有限公司是在中国倡导数据安全治理理念的发起者和先行者,也是多年来推动数据安全治理理念在我国各行各业应用和实施的实践引领者。2017年,在中国网络安全产业联盟的支持倡导下,正式成立国内首个”数据安全治理工作组“,安华金和成功当选数据安全治理工作组组长单位,并组织召开了首届中国数据安全治理高峰论坛。
2018年,在中关村网络安全与信息化产业联盟的支持和指导下,全国首家数据安全领域的专项委员会—-数据安全治理专业委员会成立,安华金和成功当选委员会主任单位。积极促进数据安全治理理念在我国的推广和普及,为我国数据安全领域的学术研究、技术创新、产业发展和人才培养提供了资源丰富的交流和支撑平台。成立当年,就组织召开了第二届中国数据安全治理高峰论坛,并组织编撰《数据安全治理白皮书》,首次提出数据安全治理的概念定义、治理理念及治理框架,强调业务需求与数据安全的平衡,在论坛上向社会公开发布。
2019年,第三届中国数据安全治理高峰论坛召开,《数据安全治理白皮书⒉.0》和《数据安全治理建设指南》公开发布。在国家及行业高度重视数据安全及个人隐私安全的背景下,增加了数据安全相关法规和标准列表说明;补充了个人信息收集与隐私政策测评报告相关解读,扩展了各行业的数据安全治理实践,对数据库防勒索、透明加解密等数据安全相关热点技术进行了介绍,并更新了2019年重要的数据安全事件。
2021年,第四届中国数据安全治理高峰论坛隆重召开,《数据安全治理白皮书3.0》重磅发布。进一步诠释了“让数据使用自由而安全”的治理理念,分析了业内关注的数据安全与网络安全等概念的近似联系与区别,汇集了数据安全关键技术与前沿技术,解读了相关法律法规标准要求,整理了覆盖政务、金融、能源、教育、电信及医疗行业丰富的治理案例,成为数据安全行业较为全面且具有影响力的数据安全治理参考书。
