2022-05-18 10:21 浏览量:371
一、数据安全管理挑战
数字化转型正在深刻改变当今企业运营和竞争方式的方方面面。企业创建、操作和存储的庞大数据量不断增长,并推动了对数据治理的更高需求。此外,计算环境比以往更加复杂,通常跨越公共云、企业数据中心以及从物联网 (IoT) 传感器到机器人和远程服务器等众多边缘设备。这种复杂性导致攻击面扩大,更难以监控和保护。
消费者对数据隐私重要性的认识也在不断提高。在公众对数据保护举措的需求不断增加的推动下,最近颁布了多项新的隐私法规,包括欧洲的通用数据保护条例 (GDPR) 和加州消费者保护法 (CCPA)。这些规则加入了长期的数据安全条款,如保护电子健康记录的健康保险流通与责任法案 (HIPAA) 和保护上市公司股东免受会计错误和财务欺诈的萨班斯-奥克斯利法案 (SOX)。由于最高罚款高达数百万美元,每家企业都有强大的财务激励来确保其保持合规性。然而,数据在组织中的数量大、类型多、产生的速度快,我们如何更好的管理数据安全问题,就需要识别重要数据。
二、关键数据的定义
“重要数据”的概念于 2017 年首次由《网络安全法》(CSL)引入,最近被《数据安全法》(DSL)采用。它是一种特殊的数据类别,具有国家安全、国家经济、社会稳定、公共卫生和安全或其他公共利益维度,并受到跨境传输的额外控制和其他保护措施。
《识别指南》将“重要数据”定义为“以电子形式存在,一旦被篡改、销毁、泄露或者非法获取、使用,可能危害国家安全和社会公共利益的数据”。
该指南还阐明,“重要数据”并非旨在包含仅对组织重要或敏感的数据(例如与组织内部管理相关的数据)。它也不打算包括个人数据,只是该指南解释说,从“非常大量”的个人信息中获得的统计数据或其他数据都不排除构成“重要数据”。
三、关键数据的识别和常见关键数据
下列数据是识别关键数据的重要原则:
●关注安全影响:从国家安全、经济运行、社会稳定和公共卫生安全的角度识别关键数据。仅对组织本身重要或敏感的数据不被视为关键数据,例如与企业内部管理相关的数据。
●保护重点:对数据进行分类,区分不同层级的数据保护重点,在满足安全保护要求的前提下,让一般数据和关键数据流动充分有序,让数据产生更多价值。
●与现有法规对接,充分考虑当地现有管理要求和行业特点,与地方和部门已制定实施的数据管理政策和标准紧密对接。
●综合考虑风险:基于数据的使用和对数据的威胁等因素,考虑数据被算改、破坏、泄露或非法访问或非法使用的风险,从机密性、完整性、可用性等多个角度识别数据的重要性,真实性和准确性。
●定量和定性相结合:通过定量和定性相结合的方式识别关键数据,并根据
具体的数据类型和特征采用定量或定性方法。
●动态识别和重新评估:考虑到数据的使用、共享和重要性的变化,动态识别关键数据并定期审杳结果。
四、常见的重要数据
常见的重要数据一般包括如下相关数据:
●反映国家的战略储备和应急动员能力;
●支持重点领域关键基础设施或工业生产运行;
●体现关键信息基础设施的网络安全保护,可用于对关键信息基础设施实施网络攻击;
与出口管制物品有关;
●可能被其他国家或组织用来对中国发动军事打击的;
●反映对可能被恐怖分子或犯罪分子实施破坏的关键目标、重要地点或未公开地理目标位置的物理安全保护;
●可用于破坏关键设备、系统组件的供应链,以发动网络攻击;反映群体的健康和生理状况、种族特征和遗传信息;涉及国家自然资源和环境;
●涉及科技实力,影响国际竞争力;
●涉及敏感物品的生产和交易以及可能被外国政府用来对中国实施制裁的重要设备的配备和使用;
●为政府机关、军工企业等敏感重要机构提供服务过程中产生的,不宜公开的;
●涉及未公开的政府数据、工作秘密、情报数据以及执法和司法数据;
●可能影响中国政治、领土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全。
这些因素可以分为以下三个总体类别:
国防利益,即与以下相关的信息:
国家战略储备和应急动员能力,如战略物资生产能力和储备。
可能用于对中国发动军事攻击的信息,例如一定规模以上的地理信息。
国防承包商和其他政府供应商的机密信息。
国家安全利益,即与以下相关的信息:
关键基础设施和资产的物理安全,如建筑设计、内部结构信息、重要生产企业或国家资产(如铁路、输油管道等)的安全。
关键领域关键基础设施或工业生产的运行。
保护关键信息基础设施的安全,如网络安全计划、系统配置、核心软硬件设计、系统拓扑、应急预案等。
可用于发动网络攻击的关键设备和系统组件的供应链,例如重要的客户名单、未披露的漏洞等;
出口管制项目,例如设计原则、工艺流程和生产方法。
可能受到外国政府制裁的设备的生产和使用,如重点企业的金融交易数据、重要设备的生产制造信息或用于国家重大项目建设等活动的设备。
政府和政府机构的运作,包括情报机构、执法部门和法院,包括未公布的统计数据。
涉及国家安全(或国防利益)的知识产权等影响中国国际竞争力的科技信息。
战略经济利益,即与以下相关的信息:
特定人群的健康生理状况和遗传信息等,如人口普查数据、人类遗传资源信息、原始基因测序数据等。
国家自然资源和环境数据,如未公开的水文观测数据、气象观测数据和环境监测数据。
四、数据安全的相关法规和实践
1、监管要求
(1)《征信业务管理办法》于9月30日发布,自2022年1月1日起施行
中国人民银行发布《征信业务管理办法》(以下简称《办法》),自 2022 年 1 月 1 日起施行。征信行业,《办法》以个人信息保护为重点,明确了征信信息收集、整理、存储、处理、提供和使用的指导。值得注意的要求是:为金融机构提供的大数据分析和风控服务也将被认定为信贷业务。对《办法》施行前不具备授信业务资格但从事信贷业务的机构,人民银行给予过渡期至2023年6月末,
(2)发布关键数据识别指南(征求意见稿)
《信息安全技术——关键数据识别指南》(以下简称《指南》)草案发布。《指南》提出了关键数据的特征,明确了关键数据识别的基本原则和程序。《指南》将直接指导各地区、各行业制定本领域及相关领域的关键数据目录,并为实施《数据安全》第21条规定的多层次分类和重要数据保护制度提供指导。法律(“DSL”)。
(3)网络安全标准实务指南——数据分类指南
互联网安全委员会秘书处发布《网络安全标准实务指南——数据分类指南》公开征求意见,提出了个人信息、法人数据和公共数据三类数据的识别规则,以及分类规则。核心数据、重要数据、敏感数据、内部数据和公共数据五个级别的规则,根据机密性进行降级。
(4)《工业和信息化领域数据安全管理办法(试行)》
工信部发布《工业和信息化领域数据安全管理办法(试行)》公开征求意见,提出了工业数据安全的具体监管框架,包括工业数据、电信数据和各自的处理者,3个部门监管机构,监管手段涵盖数据安全审查、主动执法和投诉处理机制、相关行政和刑事责任和信用惩戒机制。值得注意的是,《数据安全法》(“DSL”)对核心数据的识别标准也在《办法》中有所规定。
(5)工信部印发关于开展汽车数据安全和网络安全自查工作的通知
工信部装备产业发展中心发布《关于开展汽车数据安全与网络安全自查工作的通知》,并发布了《汽车数据安全与网络安全自查表》。《通知》要求具备道路机动车辆生产企业资质的汽车整车生产企业依法进行汽车数据安全、网络安全、在线软件升级和辅助驾驶功能自查,并报送装备产业发展中心报备。
(6)工信部印发关于加强车联网网络安全和数据安全的通知
工信部发布关于加强车联网网络安全和数据安全的通知。通知提出,智能网联汽车生产企业应当采取有效的技术保护措施,防范数据泄露、破坏、丢失、篡改、误用、滥用等风险,配合监督检查,必要时提供必要的技术支持。进一步强化了智能网联汽车企业的安全责任。
(7)工信部印发《网络产品安全漏洞收集平台备案管理办法》
工信部发布《网络产品安全漏洞采集平台备案管理办法》。作为《网络产品安全漏洞管理规定》的配套规定,本征求意见稿对网络和拟网络安全漏洞收集平台的注册、备案、信息变更、注销等程序提出了系统要求。
(8)九部委发布关于加强互联网信息服务算法综合治理的指导意见
网信办、工信部、公安部等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》,旨在建立覆盖风险监测、安全评估、伦理道德等监管体系。审查、算法备案和违规处理。《指导意见》还提出了政府、企业、用户等多方参与的治理机制,督促企业正确、公平、公开地使用算法,及时有效地解释结果,保护用户的合法权益。
(9)上海市数据条例
上海市数据条例共10章91条,重点关注三个部分:数据产权和交易权,公共数据的共享、开放和授权运营,数字经济发展和城市数字化。
(10)网信办印发《关于进一步强化网站平台信息内容主体责任的意见》
网信办发布《关于进一步强化网站平台信息内容主体责任的意见》,从社区规则、账号、内容审核、内容质量管理、主要功能、平台运营、未成年人上网保护、人员管理等,并对责任平台提出具体要求。
(11)银保监会将“数据治理”纳入商业银行监管评级标准
银保监会发布《商业银行监管评级办法》,增加“数据治理”元素,确保数据真实、准确、完整。评价商业银行风险管理状况的基本因素。数据治理占比 5%,与“盈利能力”和“制度差异化”标准同等权重。
(12)国务院印发《中国儿童发展纲要(2021-2030年)》,加强未成年人上网保护
国务院印发《中国儿童发展纲要(2021-2030年)》,提出加强未成年人个人信息和隐私保护,严厉打击违反合法权益的网络犯罪活动。儿童的权利和利益。《纲要》要求游戏、直播、音视频、社交网络等网络服务提供者加强未成年人身份验证,依法管理未成年人使用时间、访问权限和消费额度,禁止注册。16 岁以下儿童的实时流媒体注册帐户。
(12)新一代人工智能道德准则发布
《新一代人工智能伦理准则》公开发布,旨在将伦理道德融入人工智能管理、研发、供应和应用的全生命周期。《守则》规定了6项基本道德要求,包括促进人类福祉、促进公平正义、保护隐私和安全、确保可控和可信、强化责任和提高道德素养。
2、执法和监督
(1)天津市河东区人民法院宣判中国首例通过App过度收集个人信息案件
天津市公安局河东分局查处一家互联网公司涉嫌利用手机APP进行借贷,收集通话通讯录、通话记录、短信等个人信息246万余条。被告人葛某、朱某以侵犯公民个人信息罪(《中华人民共和国刑法》第253条第1款),分别被判处有期徒刑3年,并处罚金10万元。
(2)重庆首例消费者个人信息保护民事公益诉讼开庭审理
重庆市消费者权益保护委员会与重庆洋旗公司就消费者权益维权的民事公益诉讼案在重庆市第一中级人民法院开庭审理。被告扬旗公司于2020年7月16日在微信文章中公开披露了多达10979名消费者的个人信息,包括其住址、电话号码、姓名和身份证号码,该文章被大量转载。原告和检察院要求涉案公司通过媒体公开道歉、组织消费者领域的宣传活动等方式赔偿损害的公共利益,得到法院的支持。
(3)工信部发布关于334款应用侵犯用户权益的通知
工信部发布关于344款App侵犯用户权益的通知。其中,地方通信部门备案282件,报告的问题主要包括“非法收集个人信息”、“欺骗、误导和强迫用户”、“应用商店应用信息披露不充分”、“频繁自启动和关联的应用启动”和“账户注销困难”。此外,涉案App不仅来自App Store、影用宝等分布式平台,还有快手等一些互联网公司的官方网站。被举报的App需在9月29日前完成整改。
(4)CVERC监测发现15个非法App
根据国家计算机病毒应急响应中心(CVERC)的监测结果,14款App被发现不符合《网络安全法》(“CSL”)隐私规定,涉嫌收集超出网络安全范围的个人信息。法规。其中,1个APP缺乏隐私政策;2 应用没有通过弹屏提示用户阅读隐私政策;14 个应用程序没有显示他们获得的所有隐私权限;6 在征得用户同意前开始收集个人信息;9家未提供有效的PII更正、删除、取消功能,1家未建立信息安全投诉举报渠道。
(5)网约车、工信部、公安部、市场监管总局、MT与11家网约车平台进行监管对话
交通运输部(“MT”)会同国家互联网信息办公室(“CAC”)、工业和信息化部(“MIIT”)、公安部(“MPS”)、国家市场监督管理总局等成员与天三出行、滴滴出行等11家网约车平台进行了监管会谈,强调了不得在未经同意的情况下向第三方提供个人信息,建立数据安全管理体系的重要性。
(6)中国首个数据纠纷专业合议庭在广州成立
全国首个数据纠纷专业合议庭在广州互联网法院成立,数据与虚拟财产纠纷十大典型案例同时发布。数据纠纷合议庭将审理集中审理的涉及个人数据、企业数据和公共数据的收集、存储、使用、处理、传输、提供、披露、删除等数据处理和数据安全的一审案件。法院的管辖权。
五、小结
数据被形容为“21世纪的石油和钻石矿”。这类新型生产要素交织着个体权利、商业价值、产业发展、公共利益、国家安全等诸多因素,是国家基础性战略资源。因此数据安全不仅是国家安全的重要维度,还是维护人民群众合法权益的客观需要,是促进数字经济健康发展的重要举措。
作者:晓晓
来源:数据驱动智能