近年来,以云计算、大数据、人工智能等为代表的数字技术正在向各行业各领域广泛渗透,推动着数字经济与实体经济深度融合。一方面,数据作为数字经济时代的基础战略资源和新型生产要素,能够持续放大和增强劳动、土地、资本、技术等传统生产要素的生产力;另一方面数据要素在流通使用的过程中,面临着数据确权难、要素定价难、收益分配难、监管治理难、安全保障难等诸多问题。因此,亟需构建一套与数字经济发展相适应、与数据要素特征相匹配的基础制度,促进数据的安全保护和有效利用。
“数据二十条”发布
为加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势,中共中央、国务院于2022年12月出台《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),就如何建立和健全数据产权、流通交易、收益分配、安全治理等数据要素基础制度体系提出了全面、系统的意见。
数据基础制度建设事关国家发展和安全大局,“数据二十条”提出把安全贯穿数据治理全过程,全文共提及“安全”48次、“数据安全”14次,充分体现其重要性。本文将针对“数据二十条”文件内容,从数据安全角度进行要点解读,并结合天融信多年来在数据安全领域的技术积累与实践,为各行业客户提供“安全锦囊”,助力数据基础制度有效落实。
主要内容和要点解读
(1)总体要求
主要内容:以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,明确指出了本文件的前提、主线、重点和目的,明确提出了本文件的五项工作原则。
要点解读:
在“指导思想”中,提出“以维护国家数据安全、保护个人信息和商业秘密为前提”,这就说明数据基础制度必须保障国家数据安全、保护个人信息和商业秘密,强调了数据安全是数据要素流通交易的先决条件。
在“工作原则”中,指出“完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。”这也就是说,从思想上要兼顾发展和安全这两个既矛盾又统一的基本面,一方面,数据的违规使用会带来数据安全的隐患,无视数据安全底线会带来系统性风险,但过度的数据保护会伤害数据价值的释放;另一方面,良好的数据保护会促进数据价值的释放,而数据的充分使用,也能体现数据的安全保护效果。从行动上一是要落实数据安全保障体系建设工作,完善管理、技术和运营措施,加强机构、经费、人员、装备等资源保障;二是要开展数据分类分级工作,要明确不同使用场景中的保护对象,为确权授权、安全建设、跨境流通等活动提供精细化的管控依据。进而构筑数据开放共享的安全底座。
安全锦囊①:
天融信提供数据安全保障体系“六步走”建设方案:1)数据安全治理评估,基于成熟的分类分级工具,实现自动化的数据分类分级,并基于分类分级和评估结果,建立符合业务需求的数据安全目标;2)数据安全组织建设,明确定义数据安全权责边界;3)数据安全管理制度建设,保障管理手段执行落地;4)数据安全保护体系建设,落实精准管控;5)数据安全运营建设,打造长期性、持续性的运营服务;6)数据安全监管建设,形成多方协作生态。“六步走”中的每一步背后都有配套产品和服务的成功实践。
(2)建立数据产权制度
主要内容:探索建立数据产权制度,推动数据产权结构性分置和有序流通;推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度。包括探索数据产权结构性分置制度,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制;推进实施公共数据确权授权机制;推动建立企业数据确权授权机制;建立健全个人信息数据确权授权机制;建立健全数据要素各参与方合法权益保护制度。
要点解读:
在“推进实施公共数据确权授权机制“中,指出“鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供......”这重申了公共数据的汇聚共享和开发开放应该以保护个人隐私和确保公共安全为前提条件,并且提出了“数据可用不可见”这种较为先进的技术范式,彰显对公共数据安全和个人隐私保护的重视程度。
安全锦囊②:
天融信提供公共数据安全共享wepoker官网的解决方案,结合传统安全技术和新兴技术,按照“发现识别-策略制定-安全防护-监控响应”四个阶段,构建具备数据安全共享感知、决策、指挥、追溯能力闭环的数据安全共享wepoker官网的解决方案。以保障数据共享开放公共安全为前提,以数据安全治理为基础、动态安全防护为手段、全生命周期管理为核心、共享权限控制及审计追溯为保障,确保数据全生命周期可信、可管、可控、可享、可追溯的要求,最终实现“数据可用不可见”。
在“建立健全个人信息数据确权授权机制“中,要求“规范对个人信息的处理活动,不得采取‘一揽子授权‘、强制同意等方式过度收集个人信息......创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”一是从管理上要求不得过度收集个人信息,二是从技术上要求推动个人信息匿名化处理,管理和技术相结合,强调了数据处理者、数据使用者“保障信息安全和个人隐私”的主体责任。
安全锦囊③:
天融信提供个人信息保护保护方案,一方面以服务的形式,依托专业的评估模型,深入了解app的个人信息收集使用情况,针对不同监管机构的考核要求输出合规报告,并可协助客户整改。另一方面,采用技术措施,如数据脱敏,对敏感数据进行去标识化、匿名化处理,实现对真实数据的变形,同时可以保证脱敏后数据的有效性和可用性,为企业在开发、测试、复制、共享等场景下的数据安全使用提供保障。
(3)建立数据要素流通和交易制度
主要内容:构建促进使用和流通、场内场外相结合的交易制度体系;建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。包括完善数据全流程合规与监管规则体系,统筹构建规范高效的数据交易场所,培育数据要素流通和交易服务生态,构建数据安全合规有序跨境流通机制。
要点解读:
在“完善数据全流程合规与监管规则体系“中,提出“强化市场主体数据全流程合规治理......加强企业数据合规体系建设和监管......建立实施数据安全管理认证制度,引导企业通过认证提升数据安全管理水平。”强调了合规评估和安全认证的重要性,市场方应建立数据流通准入标准规则,做好数据合规治理;企业方应持续进行数据合规体系建设,有条件的可开展数据安全管理认证;最终确保数据要素高效安全的流通和交易。
安全锦囊④:
天融信提供数据安全监管合规评估方案,为市场方提供安全合规评估插件(模块),并为企业方提供数据安全合规评估平台/工具。企业方通过接口调用(或市场方对企业方推送)获取合规评估问卷及填报模板,并通过问卷填报及附件上传进行评估回应。市场方通过评估插件(模块)对填报的文件进行数据收集和分析,通过企业侧数据安全探针的辅助配合,可以实现自动化评估流程判定,从而为市场方提供基于数据安全要求的合规评估报告。
安全锦囊⑤:
天融信提供数据安全能力成熟度评估服务,以《gb/t 37988-2019 信息安全技术 数据安全能力成熟度模型》等标准为依据,分析企业的业务依赖关系、交互过程、数据处理活动,识别关键业务场景下的数据安全风险,从数据生命周期通用安全、数据采集安全、数据存储安全、数据传输安全、数据处理安全、数据交换安全、数据销毁安全等各阶段开展符合性评估工作,以能力图、列表图、饼图多个维度展示数据安全能力等级,给出数据安全建设和整改的建议,并协助企业方通过数据安全能力成熟度认证、数据安全合规治理认证、数据安全管理能力认证等数据安全认证。
在“构建数据安全合规有序跨境流通机制“中,要求“探索安全规范的数据跨境流动方式......统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制......探索构建多渠道、便利化的数据跨境流动监管机制”既阐明了我国数据跨境流通的具体场景,也为数据交易、流通的相关技术应用提供了方向性指引。应将数据出境的事前评估和持续监督相结合、风险自评估与安全监督相结合,从技术与制度两方面切入,共同保障数据跨境流通的安全合规。
安全锦囊⑥:
天融信提供数据跨境监测和防护wepoker官网的解决方案,通过出境数据合规自查、敏感数据检测与阻断、出境传输协议审计与监管和出境异常行为风险判别能力,为数据处理者的数据跨境流通活动保驾护航。针对数据的出境方式、文件类型、文件大小、文件名称、数据内容、数据类别、数据级别、出境范围、出境量级等进行具备配置,快速、精准、全面地对业务中涉及到的个人信息、重要数据跨境场景进行定义,采用强管控方式保护境内企业内部敏感数据,实现跨境数据流通行为的全面可防、可控、可审计、可追溯。
(4)建立数据要素收益分配制度
主要内容:完善数据要素市场化配置机制,扩大数据要素市场化配置范围和按价值贡献参与分配渠道。包括健全数据要素由市场评价贡献、按贡献决定报酬机制,更好发挥政府在数据要素收益分配中的引导调节作用等。
要点解读:
在“更好发挥政府在数据要素收益分配中的引导调节作“中,明确提出“开展数据知识普及和教育培训,提高社会整体数字素养,着力消除不同区域间、人群间数字鸿沟”数字素养的根本在于对数据要素的认知和利用水平,这也体现了我国在数字文明时代,通过数据要素实现增进社会公平、保障民生福祉、促进共同富裕的中国特色。毫无疑问,数据安全也是数据知识和培训的重要组成部分。
安全锦囊⑦:
天融信提供数据安全认证培训服务,2022年5月,天融信与中国信息安全测评中心在原有的注册数据安全治理专业人员(cisp-dsg)合作的基础上,推出进阶级的注册信息安全专业人员-数据安全官(cisp-dpo)认证。cisp-dsg认证培训是针对数据安全人才的培养认证,是业界首个针对数据安全治理方向的认证培训,知识体系结构共包含四个知识类,分别为:信息安全知识、数据安全基础体系、数据安全技术体系、数据安全管理体系;cisp-dpo认证培训从“数据安全合规知识体系”、“数据安全管理体系”、“数据安全管理过程”、“数据安全治理与技术防护”四个能力维度,划分“了解”、“理解”和“掌握”三类深度要求,帮助数据安全领域人才进行体系化学习,使其储备体系化的数据安全相关能力,为企业落实数据安全体系化建设提供支撑。
(5)建立数据要素治理制度
主要内容:把安全贯穿数据治理全过程,构建政府、企业、社会多方协同的治理模式,包括创新政府数据治理机制、压实企业的数据治理责任、充分发挥社会力量多方参与的协同治理作用等。
要点解读:
在“创新政府数据治理机制“中,提出了“守住安全底线,明确监管红线...... 建立数据要素生产流通使用全过程的合规公证、安全审查、算法审查、监测预警等制度,指导各方履行数据要素流通安全责任和义务。建立健全数据流通监管制度……”强调了数据要素流通过程中的各项工作重点,在此过程当中,要实现综合防御能力和监测预警能力,则需要一体化的数据安全平台作为强有力的技术支撑。
安全锦囊⑧:
天融信提供数据安全智能管控平台,利用大数据、云计算、隐私计算等新型技术,构建快速部署、全面数据识别、综合策略管控、数据态势可视、智能策略优化的综合一体化数据安全平台。实现结构化和非结构化数据资产全面管理、重要数据和敏感个人信息多维度分类分级、数据安全基础设施能力集成、业务数据访问权限管理、数据全生命周期安全威胁智能化挖掘、安全告警流程化协同处置、多主题数据安全态势综合化呈现等功能,满足数据资产的合规管理要求,确保数据安全风险可管可控、快速响应、智能处置,打造数据全生命周期的追踪溯源,保障数据要素的可持续安全状态。
在“压实企业的数据治理责任“中,提出了“严格落实相关法律规定,在数据采集汇聚、加工处理、流通交易、共享利用等各环节,推动企业依法依规承担相应责任......规范企业参与政府信息化建设中的政务数据安全管理”强调了企业在内部数据处理全流程和外部数据流通全过程中,必须履行相应的法律责任。企业不应该简单抱着“法无禁止即可为”或者“延续惯例”的想法,而是应当牢固树立数据安全相关的责任意识和自律意识。
安全锦囊⑨:
天融信提供数据安全治理咨询服务,以安全治理牵引安全建设,基于现状调研、数据资产梳理、数据分类分级、敏感数据识别、风险评估等结果,识别分析企业数据处理和流通各环节各场景,进而梳理出合规责任清单。并通过数据安全保护体系框架设计、数据安全组织建设、数据安全管理制度建设等,对数据安全进行统一规划。通过完善的数据安全组织和管理制度,持续保障数据全生命周期安全措施的落地,最终确保企业落实数据安全责任。
(6)保障措施
主要内容:鼓励有条件的地方和行业在制度建设、技术路径、发展模式等方面先行先试,鼓励企业创新内部数据合规管理体系,包括切实加强组织领导、加大政策支持力度、积极鼓励试验探索、稳步推进制度建设等。
要点解读:
在“积极鼓励试验探索“中,提出了“支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术......探索完善数据要素产权、定价、流通、交易、使用、分配、治理、安全的政策标准和体制机制”这就阐明了应积极推动区块链、隐私计算等先进技术应用创新,从技术层面有效解决数据确权、定价、可信流通、安全治理等问题。
结束语
“数据二十条”是我国第一份专门针对某一生产要素的基础制度,明确了数据要素安全治理的制度规则、管理标准与创新机制。构建数据基础制度体系,是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措,而“安全”是数据基础制度体系中的主旋律。天融信作为国内网络安全行业的领军企业,将持续加强数据安全领域的研究、创新与实践,更好地助力数字经济和实体经济的发展,书写数字时代的安全答卷。
- 关键词标签:
- 天融信 数据二十条 安全锦囊