5月13日,由中国计算机学会计算机安全专委会、工业信息安全产业发展联盟、中关村网络安全与信息化产业联盟、北京工业互联网技术创新与产业发展联盟联合主办,北京安华金和科技有限公司承办的第五届中国数据安全治理高峰论坛在云上盛大开启,首个云上论坛——个人信息保护与数据安全治理论坛成功召开。
论坛上,政府领导、行业权威专家、业内精英齐聚一堂,聚焦个人信息保护现状、数据安全治理发展及创新成果等热点方向,从法律法规解读、产业趋势洞察、实践应用分享等多个维度展开全方位交流探讨,洞察行业发展先机,促进数据安全产业应用创新。本次论坛由中国软件评测中心信创中心副主任莫映华主持。
筑牢数据安全 拥抱数字化时代
论坛伊始,中国电子信息产业发展研究院党委书记刘文强作论坛致辞。作为互联网建设大国,我国高度重视数据安全相关制度建设,具有较为成熟的法律体系。当前,我国正处于网络建设强国的关键阶段,刘书记对于个人信息保护与数据安全治理发展提出三点建议:
一是创新探索,为保障数字经济的健康发展,亟需探索出一条安全治理的有效路径;
二是集智攻关,要加强产学研合作,建立研究机构与相关数据处理主体的联动机制,运用研究技术的科研能力结合企业技术积累和服务体系,开展数据治理的示范应用;
三是久久为功,国内头部企业要发挥示范引领作用,不断增强网络安全防护能力及数据安全保障水平,切实有效防范各类风险。我们需要铭记,只有牢牢守住安全底线,才能为数字经济发展助力,为数字中国建设贡献力量。
中国软件评测中心副主任刘龙庚在致辞时表示,数据已成为国家基础性战略资源,不仅有利于推动我国经济社会高质量发展,也有利于提升国家治理能力现代化水平。近年来,个人信息泄露、数据过度搜集、大数据杀熟等侵犯个人合法权益的事件屡屡发生,数据处理者作为数据管理的主体,有义务有责任积极开展数据安全治理工作,保证数据的完整性、保密性和可用性。刘主任提出,个人信息保护与数据安全治理处于挑战与机遇并存的发展初期,需要业界各方群策群力,共同探讨发展路径,齐力推动我国数据安全产业实现快速、健康、可持续发展。
厘清法律法规 夯实数字化地基
数据安全问题与日俱增,数据安全立法进程大幅加快,数据认证规范化要求正当其时。中国网络安全审查技术与认证中心网络安全审查二部主任陈世翔在“数据安全认证解读”主题演讲中表示,近年来,随着我国数据安全顶层设计的日益完善,所出台的数据安全法律法规也对认证认可提出了要求。其中,《个人信息保护法》提出,要支持有关机构开展个人信息保护评估、认证服务;个人信息处理者确需向境外提供个人信息的,应当按照国家网信部门的规定经专业机构进行个人信息保护认证。
为了更好地落实数据安全法律法规要求,加强认证制度规划和建设工作,我们应当促进认证制度同其他制度衔接、采信,专注数据安全、个人信息保护领域基础理论、评价方法及检测工具的研究,并积极跟踪国外认证制度,形成满足我国数据、产品、服务的国际贸易需求的认证制度,促进市场监管国际化水平的提升,为构建全面开放的新格局作出贡献。
数据安全管理规定迈入新阶段,有关个人信息保护、重要数据安全等方面的细则规定及其价值逻辑,对于各方主体的合规风控工作均产生了重大影响。北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括在“数据治理与企业刑事合规风控”演讲中表示,数据已经成为企业业务运行及研发创新的重要驱动力,与之同时伴随的数据刑事风险也日渐凸显。
在《个人信息保护法》、《关键信息基础设施安全保护条例》等全面施行的新阶段,针对单位犯罪刑事责任的企业合规风控要求有三大基本元素:强调法规要求内嵌到企业业务全流程、强调企业各部门各条线的合规大协同、强调企业的运营活动目标的正向价值。
吴主任指出,企业欲求面向未来的数据合规之道,需要构建兼具技术可行性以及成本合理的应急处置机制、做好内外数据资产管理、落实关键岗位和人员的高水平管理,全面搭建适用于各种数据类型,融汇技术治理、组织治理与生态治理的多维体系,进而迈上数据大合规的战略风控新高度。
数据安全保护的重点有两个方面:一是保护个人信息安全,另一方面是保护重要数据安全。日前出台的多项法律法规和政策文件中,均对重要数据安全提出了要求。
中国信息安全研究院网络安全研究所正高工崔占华在“重要数据安全相关国家标准进展”主题报告中提到,2022年1月13日,全国信息安全标准化技术委员会发布正式的《重要数据识别指南》征求意见稿,对重要数据的界定范围发生了重大的变更,即重要数据指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,且明确排除了国家秘密和单独的个人信息,体现了有关重要数据的立法趋势,相较于此前对于重要数据的界定更为清晰。
此外,崔博士提出了重要数据的描述格式,各组织上报重要数据时应明确本行业的监管要求和目前适用的管理政策并对数据的重要性进行描述,明确重要数据的来源、用途、共享交换情况、保护措施等,再按程序上报。今年,全国信息安全标准化技术委员会在国家标准需求清单中列出的第一项标准,就是《重要数据处理安全要求》,需要各类企事业单位高度关注,在管理制度上、技术措施上做好准备,做到对数据的全流程保护。
探索特色路径 助力数字化实践
在大数据应用日益广泛的今天,政务数据资源共享和开放已经成为促进大数据产业发展的关键,但由于政务数据的敏感性,加之政府数据分类分级标准的滞后和缺失,使政府数据开放和共享面临诸多困难。
中国软件评测中心云安全实验室主任李安伦在“政务数据的安全合规思考”分享中表示,数据分类分级是数据全流程动态保护的基本前提,也是当前政务数据安全建设的痛点和难点;开展数据分类分级是落实法律法规的必须措施,是国家推动数据开放共享、提升数据资源价值的前提,同时也是履行数据安全合规的法定义务。
为更好地迎接数字政府建设带来的数据安全挑战,李主任呼吁政务数据主管部门构建省、市、区/县三级试点模式,探索并形成可落地、可复制的政务数据分类分级实施路径和模式,并在国家网络安全等级保护制度的基础上严格落实数据安全检测评估、认证等,全方位提高数据安全管理能力,使电子政务更好地服务国家治理体系和治理能力现代化建设。
政务数据分类分级的落地路径可以分为四个阶段:1)对国家、行业、地方的数据分类分级规范标准收集解读,寻求分类分级工作的共通点;2)对数据资产调研方案进行梳理,围绕数据生命周期、数据资产统计表等开展调研与访谈;3)根据数据资产清单及及实际业务场景,输出数据分类分级标准指南;4)根据指南,对分类分级进行落地,输出数据资产清单及数据管控要求,编制数据安全治理方案,制定数据安全管理规范、开展数据安全技术及运营体系建设。
通过数据分类分级加强数据管理,提高数据质量,充分发挥数据资源价值,辅助政务决策、业务分析和监督预警,才能助力政务数据安全治理行为体系建设得到长远高效发展。
数据是一种无限可变和可移动的资源,通常会在分散的数据系统中进行存储和处理,传统的以基础设施为中心的数据安全方法常常效果不佳,因此需要从全局视角考虑如何保护数据安全,这就对数据全生命周期管理提出了较高的要求。
中国移动通信有限公司研究院安全技术研究所所长何申在“数据全生命周期安全治理实践”主题报告中谈到,我们应当以数据资产的标注和登记、数据流转链路描绘、数据监控与审计、敏感数据保护、可信标记内生、数据智能协同六个方向为切入点,真正做到以数据流动性为风险来源,构建以数据为中心的安全防护新思路。只有让数据安全服务与数据安全技术能力建设相结合,才能在数据全生命周期的各个环节更好地持续化建设数据安全防护能力。
在《数据安全法》体系之下,相关部门针对金融数据安全也下达了《银行业金融机构数据治理指引》、《金融业数据能力建设指引》等多项指导意见和方针。
本次论坛上光大科技数据安全专家蔚晨以“金融业数据安全治理实践”为主题,从数据安全治理理念、数据安全治理核心、数据安全治理体系实践过程及成果等维度作出分享。蔚晨提出,我们应当秉承“基于现状、适度超前”的原则,同时将分类分级作为数据安全治理的手段。业务发展的规范化与精细度决定着数据安全治理的深入程度,数据分类分级工作必须与业务开展相结合才能真正落地实施,保障数据的完整性、可用性、准确性、高效性。
共话数据安全 把握数字化浪潮
在圆桌讨论环节,中国软件评测中心副主任刘龙庚、赛迪研究院网络安全所副所长闫晓丽、中国移动通信有限公司研究院安全技术研究所所长何申、北京世辉律师事务所合伙人王新锐、北京安华金和科技有限公司高级技术专家雷嘉宾与主持人中国软件评测中心信创中心副主任马士民齐聚,针对当前的数据安全治理现状、数据安全检测评估与认证、数据安全治理框架等问题展开深入探讨。
真知灼见 众智众力
中国软件评测中心副主任刘龙庚表示,数据安全与个人信息保护是数字经济可持续发展和企业数字化转型成功实施的重要驱动力,业界各方在进行数据安全治理时要统一思想、统一管理、统一规范。数据安全检测评估与认证作为数据安全标准规定落地的重要抓手,能够实现数据安全保障与数字经济发展的平衡。
赛迪研究院网络安全所副所长闫晓丽提出,数据迅猛增长、海量聚集的当下,我国的数据安全政策持续加码,数据安全执法监督机制不断完善,数据安全产业生态建设稳步推进,但同时也面临着数据行为秩序难规则、数据安全监管效能难提升的困境,需要通过加强数据安全监督管理、建立平台企业数据业务有序发展机制、强化数据安全宣传教育三方面来进一步提升数据安全和个人信息保护意识,改善我国数据安全治理现状。
中国移动通信有限公司研究院安全技术研究所所长何申表示,缺乏数据安全全景感知、安全管理各自为战、数据分类分级标准差异严重是各行业在数据安全治理实践过程中的痛点。数据只有在流动过程中才能产生价值,尽快解决数据孤岛问题,加强对数据安全治理概念的认知,充分协同产学研用多种人才培养机制是当前数据安全治理工作的重中之重。
北京世辉律师事务所合伙人王新锐认为,我国已出台数据安全保护基本法律框架,围绕基本法制定的配套法规制度、数据安全相关国家标准也在密集出炉。新一代的数据安全立法尽管有其一定的滞后性,但与过去仅局限于法律抽象概念相比,已与技术发展、使用场景紧密结合,更多地回应了现实问题,可以说我国正朝着更精细化、体系化的立法进程高速发展。
北京安华金和科技有限公司高级技术专家雷嘉宾也谈到,从早期以传统的产品堆砌形式来做数据安全到近几年用户在进行业务组建时会着重思考如何在数据全生命周期对数据进行管控、分类分级,如何进行安全管理规范设定,并在技术能力的建设同时配套相应的应急保障和安全运营服务,使得业务与安全高度结合,不难看出数据安全治理框架在各行业、各单位中已经达成一定共识,数据安全已成为重中之重。
第五届中国数据安全治理高峰论坛首个云上论坛—个人信息保护与数据安全治理论坛为各方搭建了良好的交流平台,与会嘉宾共话数据安全产业发展的新趋势、新问题,新现象,为个人信息保护与数据安全治理提供了新思路、新途径,得到了业界广泛关注,呈现了精彩纷呈的线上盛宴。
合抱之木,生于毫末;九层之台,起于累土。数据安全治理并非一蹴而就,我们日益拥抱更多的发展机遇,同时也日渐面对来源更为广泛的数据安全风险,保障数据安全需要各方通力合作,齐心推动数据安全产业实现高质量发展。
5月20日,第五届中国数据安全治理高峰论坛第二个云论坛—工业数据安全论坛即将召开,将带来工业数据安全应对举措及建设实践经验分享,届时欢迎您的收看!
