久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

文│ 大數(shù)據(jù)協(xié)同安全技術國家工程實驗室 唐會芳 翟婷婷

作為我國數(shù)據(jù)安全領域的基礎性法律、 國家安全領域的重要法律，《數(shù)據(jù)安全法》的出臺體現(xiàn)了當前數(shù)字經(jīng)濟發(fā)展對安全的關鍵需求，為我國數(shù)據(jù)安全的發(fā)展之路提供了指引。在數(shù)字經(jīng)濟發(fā)展的場景下，跨系統(tǒng)、跨域和跨境的數(shù)據(jù)流通共享以及多方的數(shù)據(jù)聯(lián)合計算將成為常態(tài)，數(shù)據(jù)安全將不再是一個組織內(nèi)部的事情，需要構建一個科學的數(shù)據(jù)安全治理體系，才能有效地保障數(shù)據(jù)安全，管控數(shù)據(jù)安全風險。而且，數(shù)字經(jīng)濟創(chuàng)新發(fā)展的關鍵在于數(shù)據(jù)的安全開發(fā)利用，需要數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用兩者的協(xié)調(diào)發(fā)展。

一、建立健全數(shù)據(jù)安全治理體系

治理不同于自上而下的管理，而是基于關鍵抓手的、能夠充分激發(fā)各相關方內(nèi)驅(qū)力的多方協(xié)同共治的方式方法。數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素，如果一種數(shù)據(jù)安全治理體系能夠建立起數(shù)據(jù)與數(shù)據(jù)處理方之間的正向驅(qū)動關系，那么這種體系無疑是非常具有生命力的。

(一)構建基于 DSMM 的數(shù)據(jù)安全治理體系

《數(shù)據(jù)安全法》第四條提出：“維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力?！敝卫眢w系的構建對系統(tǒng)性提高國家的數(shù)據(jù)安全保障能力非常關鍵，需要找到關鍵抓手和基本邏輯，來調(diào)動多方力量和資源，發(fā)揮各自優(yōu)勢形成良性生態(tài)，建立適應當今數(shù)字時代的協(xié)同治理模式，共同提升全社會的數(shù)據(jù)安全水平。

國家標準《信息安全技術 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)是我國有關數(shù)據(jù)安全治理的首個技術標準，提出了數(shù)據(jù)安全能力成熟模型(DSMM)。建立基于 DSMM 的數(shù)據(jù)安全治理體系，以數(shù)據(jù)為中心，能夠系統(tǒng)性提高我國數(shù)據(jù)安全整體水平。DSMM 在數(shù)據(jù)分類分級的基礎上，從組織建設、制度流程、技術工具和人員能力四個方面，對組織的數(shù)據(jù)安全能力成熟度進行測評和等級劃分，從而在數(shù)據(jù)和組織間建立正向驅(qū)動的關系。根據(jù)組織的數(shù)據(jù)安全能力成熟度等級，可以決定其是否具有處理特定類型、特定等級數(shù)據(jù)的資質(zhì)，以實現(xiàn)對數(shù)據(jù)安全風險的科學管控。這意味著，一個具有更高數(shù)據(jù)安全能力成熟度等級的組織，能獲得處理更多數(shù)據(jù)資源的機會。該體系將改變過去“合規(guī) + 處罰”的做法，使組織的數(shù)據(jù)安全水平成為發(fā)展的競爭力，從而激發(fā)組織主動提升其數(shù)據(jù)安全能力。

(二)數(shù)據(jù)側以數(shù)據(jù)分類分級為基礎和前提

《數(shù)據(jù)安全法》第二十一條明確提出“國家建立數(shù)據(jù)分類分級保護制度”，并在此基礎上專門規(guī)定了對重要數(shù)據(jù)的保護，要求各地區(qū)、各部門、各行業(yè)制定各自范圍內(nèi)的“重要數(shù)據(jù)目錄”，并進一步指出“關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度”。

數(shù)據(jù)分類分級保護制度作為數(shù)據(jù)安全治理的基礎與前提，將為國家開展“自上而下”的監(jiān)管提供依據(jù)，推動建立重要數(shù)據(jù)與國家核心數(shù)據(jù)的統(tǒng)一認定標準；同時，也直接決定了組織對不同類別與等級的數(shù)據(jù)在安全上應承擔的保護義務，并對組織自身的數(shù)據(jù)安全能力提出了相應的要求。

目前，各地區(qū)、各部門正根據(jù)《數(shù)據(jù)安全法》制定地方或行業(yè)領域的數(shù)據(jù)分類分級規(guī)范，積極推進數(shù)據(jù)分類分級保護工作。例如，貴州省率先制定發(fā)布了《政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》，在全國先試先行；工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南(試行)》，提出對工業(yè)數(shù)據(jù)的分類和分級標準；金融行業(yè)發(fā)布了行業(yè)標準《金融數(shù)據(jù) 安全數(shù)據(jù)安全分級指南》(JR/T 0197—2020)和《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T 0158-2018)。數(shù)據(jù)分類分級已從探索走向?qū)嵺`，各數(shù)據(jù)安全廠商紛紛發(fā)布創(chuàng)新的數(shù)據(jù)分類分級產(chǎn)品，敏感數(shù)據(jù)發(fā)現(xiàn)和分類分級管理的自動化工具正在被開發(fā)使用，極大地提升了數(shù)據(jù)安全治理的效率。

(三)處理側以對組織的數(shù)據(jù)安全能力成熟度測評為抓手

在對數(shù)據(jù)進行分類分級之后，對組織的數(shù)據(jù)安全能力成熟度進行測評成為構建治理體系的關鍵抓手?！稊?shù)據(jù)安全法》第十八條指出“國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構依法開展服務活動”。這是對數(shù)據(jù)安全相關測評特別是 DSMM 測評認證最好的支持，在法律層面充分肯定了測評認證專業(yè)機構在帶動數(shù)據(jù)安全合規(guī)建設和服務發(fā)展方面的積極作用。目前，我國已發(fā)展形成了多個從事 DSMM 測評認證的專業(yè)機構。其中，首個獲得國家認監(jiān)委授權的DSMM認證機構貴州大數(shù)據(jù)安全工程研究中心，正在全國范圍內(nèi)推廣實施 DSMM 測評認證，并且，已有超過百家組織通過了測評。

通過 DSMM 測評認證的組織能夠獲得全方位的數(shù)據(jù)安全建設指導性綱要，使其對自身的數(shù)據(jù)安全建設充滿信心。對企業(yè)來說，能夠?qū)ψ陨頂?shù)據(jù)安全整體狀況做到心中有數(shù)，并可將“數(shù)據(jù)安全能力水平”作為宣傳自身品牌的差異化標簽。對政府機關、事業(yè)單位來說，除了能及時發(fā)現(xiàn)數(shù)據(jù)安全短板、查漏補缺之外，還可掌握地方相關組織、部門的數(shù)據(jù)安全整體水平。與此同時，各地政府也逐步認識到DSMM 測評認證的重要性，紛紛出臺激勵政策鼓勵企業(yè)或組織參加 DSMM 測評認證，對獲得證書的企業(yè)或組織進行補貼，并在一些重要數(shù)據(jù)安全項目招標中加入 DSMM 測評認證的控標要求。

二、保障數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的協(xié)調(diào)發(fā)展

數(shù)字經(jīng)濟已成為支撐我國經(jīng)濟發(fā)展的重要引擎，數(shù)據(jù)開發(fā)利用則是數(shù)字經(jīng)濟創(chuàng)新發(fā)展的關鍵，需將保障數(shù)據(jù)安全貫穿于數(shù)據(jù)開發(fā)利用的全過程，防范和化解影響我國數(shù)字經(jīng)濟發(fā)展過程中的安全風險，同步提升數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用水平。

(一)在數(shù)據(jù)安全與發(fā)展之間取得平衡

《數(shù)據(jù)安全法》第二章的主題是數(shù)據(jù)安全與發(fā)展，其第十三條提出：“國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。該條款的目的是取得數(shù)據(jù)安全與發(fā)展之間的平衡，保障數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展是相輔相成的，既不能以發(fā)展之名忽略安全，也不能以安全之名阻礙發(fā)展。數(shù)字經(jīng)濟需要充分挖掘數(shù)據(jù)的價值，將數(shù)據(jù)作為生產(chǎn)要素進行開發(fā)利用，同時，在數(shù)據(jù)開發(fā)利用的過程中，又需要充分保障數(shù)據(jù)的安全。

數(shù)據(jù)的開發(fā)利用為數(shù)據(jù)安全提供了技術支持和概念革新，數(shù)據(jù)安全為數(shù)據(jù)的開發(fā)利用提供了基礎的保障和穩(wěn)固的底盤。數(shù)字經(jīng)濟時代與過去不同，在很多場景下會先有數(shù)據(jù)再有應用，基于數(shù)據(jù)的數(shù)字創(chuàng)新應用開發(fā)將成為常態(tài)。數(shù)據(jù)安全影響國家發(fā)展與安全，關系公眾利益和公民個人權益，應建立數(shù)據(jù)全生命周期安全的概念，關注數(shù)據(jù)的流通共享，確保以安全為前提進行數(shù)據(jù)的開發(fā)利用。

(二)推進政務數(shù)據(jù)安全開發(fā)利用

《數(shù)據(jù)安全法》第五章聚焦的政務數(shù)據(jù)安全與開放，是數(shù)據(jù)安全開發(fā)利用的一個特定應用場景。它在保障政務數(shù)據(jù)安全方面，對國家機關收集、使用數(shù)據(jù)的行為和能力提出了要求，嚴格監(jiān)督可能涉及的第三方;在推動政務數(shù)據(jù)開發(fā)利用方面，明確了以及時、準確公開為原則，要求“國家制定政務數(shù)據(jù)開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺”，這為政府各部門安全開放數(shù)據(jù)提供了法律支持和行動指導，為我國數(shù)字政府和智慧城市建設鋪平了道路。

國家在“十四五”規(guī)劃進程中將大力推進電子政務建設，政務數(shù)據(jù)開放將進一步提升政府工作效能。政務數(shù)據(jù)在采集、存儲、加工過程中的安全非常關鍵，需要被合理、合法、安全地使用。在智慧城市應用場景下，跨域數(shù)據(jù)的流通共享與聯(lián)合計算需求日益增多，政務數(shù)據(jù)開放平臺和基于隱私計算技術的數(shù)據(jù)協(xié)同應用平臺將得到廣泛應用。利用可信執(zhí)行環(huán)境、聯(lián)邦學習、安全多方計算、同態(tài)加密和差分隱私等技術搭建隱私計算平臺，可實現(xiàn)多方數(shù)據(jù)的協(xié)同安全計算，它與政務數(shù)據(jù)開放平臺一起，能夠打破數(shù)據(jù)孤島，聯(lián)通政務數(shù)據(jù)和各行業(yè)領域數(shù)據(jù)，從而促進政務數(shù)據(jù)的安全開發(fā)利用，充分挖掘政務數(shù)據(jù)的價值。

(三)為數(shù)據(jù)安全開發(fā)利用培養(yǎng)足夠的專業(yè)人才

數(shù)據(jù)安全開發(fā)利用離不開相關專業(yè)人才的支撐，《數(shù)據(jù)安全法》第二十條明確提出“國家支持教育、科研機構和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全相關教育和培訓，采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全專業(yè)人才，促進人才交流?！边@體現(xiàn)了國家對培養(yǎng)數(shù)據(jù)安全專業(yè)人才的重視，鼓勵企業(yè)與高等院校聯(lián)合，從多個渠道培養(yǎng)數(shù)據(jù)開發(fā)利用和安全人才。企業(yè)也能夠從教育培訓等領域?qū)ふ易陨砩虡I(yè)機會，帶動數(shù)字產(chǎn)業(yè)的發(fā)展與創(chuàng)新。通過專業(yè)的培訓，能夠提高組織人員的數(shù)據(jù)安全技能，為數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展和數(shù)字經(jīng)濟發(fā)展注入強大的人才動力。

經(jīng)過多年的發(fā)展，我國在網(wǎng)絡安全領域已建立起較為完善的人才培養(yǎng)體系，網(wǎng)絡安全也成為一級學科。在數(shù)據(jù)安全領域，人才的培養(yǎng)還沒有上升到數(shù)字經(jīng)濟所要求的高度，相關的培訓內(nèi)容還不夠完善。對于數(shù)據(jù)安全，既需要擁有了解組織數(shù)據(jù)安全戰(zhàn)略規(guī)劃的數(shù)據(jù)安全管理專家，也需要懂具體業(yè)務場景，掌握相關數(shù)據(jù)安全技術的數(shù)據(jù)安全工程師。

三、對數(shù)據(jù)跨境流動進行嚴格安全審查

《數(shù)據(jù)安全法》第二十四條明確提出：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查”，包含對數(shù)據(jù)跨境流動的安全審查。該法第三十一條規(guī)定了關鍵信息基礎設施運營者重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡安全法》的規(guī)定，其他主體重要數(shù)據(jù)的出境則適用于國家網(wǎng)信部門會同國務院制定的管理辦法。通過區(qū)分主體的監(jiān)管思路，進一步明確補充了對重要數(shù)據(jù)出境的規(guī)定，也使數(shù)據(jù)分類分級保護制度能夠更好地與關鍵信息基礎設施保護要求相協(xié)調(diào)。此外，法案第三十六條針對外國司法或執(zhí)法機構調(diào)取我國數(shù)據(jù)的情況進行了規(guī)定，即非經(jīng)主管機關批準，境內(nèi)組織、個人不得擅自提供境內(nèi)的數(shù)據(jù)，此舉是依法應對域外“長臂管轄”所作出的防御性措施。

在當前全球尚未形成共識的數(shù)據(jù)安全治理體系框架條件下，數(shù)據(jù)的跨境流動帶來了敏感數(shù)據(jù)泄露、授權管理、數(shù)據(jù)權屬、流向追蹤和法律風險等系列問題，并難以對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進行監(jiān)控和審計。因此，對于涉及國家、公民的敏感數(shù)據(jù)，要嚴格遵守“非必要不出境”原則，盡量做到數(shù)據(jù)在本地存儲、分析和利用。確需出境的數(shù)據(jù)，需經(jīng)過匿名化、去標識化和脫敏處理，并對跨境數(shù)據(jù)進行嚴格的安全審查，杜絕敏感信息外泄。對于關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益的國家核心數(shù)據(jù)，應嚴禁跨境流動并防范潛在數(shù)據(jù)跨境風險，防止中國擁有大量核心數(shù)據(jù)企業(yè)赴美國上市類似事件的發(fā)生。

(本文刊登于《中國信息安全》雜志2021年第7期)

來源：中國信息安全