数据安全法规及标准建设 中国电子技术标准化研究院 副院长 程多福 一、数据安全政策监管进展 数字经济时代数据安全事件频发 2019年3月 网友曝光墨迹天气 App 上传用户 所有 Wi-Fi 账号（包含当前IP和 连接WIFI名称等），均属于网络 信息。多位专家表示，Wi-Fi名称 信息可用于用户画像。 2019年2月 网友曝光安卓版 京东金融APP未 经用户授权获取 用户敏感截图并 上传 2020年2月16日 体育连锁巨头迪卡侬 （Decathlon）发生大范 围数据泄露，起因是1.23 亿条记录被保存在一个并 不安全的数据库中 2019年3·15晚会曝光 1、曝光萨摩耶公司生产的探针盒子能探 测用户手机的MAC地址，并可转换成电话 号码。 2、“社保掌上宝”APP通过不合理条款 获得用户授权，在用户注册、使用社保查 询服务，将用户的社会保障号、社保查询 密码等个人敏感信息传送至第三方服务器。 2020年3月10日 Facebook被澳大利亚 政府起诉，涉嫌泄 露30万澳大利亚用 户个人信息。 2019年6月 今日头条被用户 起诉，未明确告 知和同意，擅自 读取用户通讯录 推荐好友。 2020年3月 Google因泄露用户 隐私，违反了瑞典 的数据保护法被罚 款800多万美元。 2020年3月 针对媒体报道的新浪微博因用户 查询接口被恶意调用导致App数 据泄露问题，工业和信息化部网 络安全管理局对新浪微博相关负 责人进行了问询约谈。 2020年6月 新华社文章，曝光手 机App强制跳转启动、 自启动、关联启动的 现象。 2020年7月 工业和信息化部发布了《关 于侵害用户权益行为的App 通报（2020年第二批）》， 通报智慧树等15款App涉及 过度索取权限、私自收集个 人信息、私自共享给第三方、 超范围收集个人信息等问题。 全球数据安全监管环境趋严 欧盟《通用数据保护条例(GDPR)》 • 跨境数据流动限制 • 个人数据权利加强 • 高额罚款：营业额4% 美国《加州消费者隐私法案（CCPA）》 • 参考GDPR，同时相较GDPR对于个人信息类别扩 展 • 高额罚款：7500$/人 • 2020年1月1日生效 全球107个国家和地区已制定数据安全和隐私保护法律 亚洲、非洲只有不到40%的国家有相关法律 中国《网络安全法》、《数据安全法（草案）》 • 网安法提及数据16处：数据安全、个人信息保护、数据跨境 流动、国家重要数据安全等。 我国数据安全相关法律法规 现状：分散立法，正在制定数据安全和个人信息保护专门的法律 现有各级、各行业法律法规及配套文件 刑事领域 《个人信息保护法 《民法典》《网络安全法》 《数据安全法（草案）》《消费者权益保护法》 （草案）》 《刑法修正案（五）（七）（九）》 《密码法》《全国人大常委会关于加强网络信息保护的决定》等 法律 行政法规 部门规章 《征信业管理条例》《人类遗传资源管理条例》等 《电信和互联网用户个人信息保护规定》 《数据安全管理办法（征求意见稿）》 《儿童个人信息网络保护规定》 《个人信息出境安全评估办法（征求意见稿）》 等 《关于依法惩处侵害公民个人 信息犯罪活动的通知》 规范性文件 司法解释 《关于审理利用信息网络侵害人身权益民事 纠纷案件适用法律若干问题的规定》 《关于办理侵犯公民个人信息刑事案件适用 法律若干问题的解释》 2018年9月，我国《数据安全法》《个人信息保护法》已被列入人大常委会立法规划， 并列入条件比较成熟、任期内拟提请审议的第一类项目。 二、数据安全国家标准进展 数据安全国家标准定位 p 《网络安全法》：国家建立和完 ZERO 善网络安全标准体系。 p 《数据安全法（草案）》：国家 推进数据开发利用技术和数据安 全标准体系建设。 p 支撑法规政策。数据安全国家标 准是对国家法律法规和政策规章 的细化支撑，也是大数据安全保 障体系的重要组成部分。 p 规范引导行业。基于问题导向原 则，及时发现数据安全典型问题 和安全风险；推广优秀的数据业 界安全实践，为组织数据安全实 践提供参考。 全国信息安全标准化技术委员会(TC260） 2002年4月，国家标准化管理委员会批复成立“全国信息安全标准化技术委员会”（简称信安标委，编号 SAC/TC260）TC260是国家标准化管理委员会的直属标委会；业务上接受中央网信办指导；国际对口组 织：ISO/IEC JTC1 SC27 工作范围：包括信息安全技术、机制、服务、管理、评估等领域标准化工作 工作职责：TC260对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批 （中网办发文[2016]5号） 主任委员： 赵泽良 中央网信办副主任 副主任委员： 胡 啸 中央网信办网安局副局长 韩 俊 工业和信息化部科技司原巡视员 赵 林 公安部科信局巡视员兼副局长 李守鹏 中国信息安全测评中心副主任 何良生 国家密码管理局副局长 秘书长：赵波 中国电子技术标准化研究院院长 秘书处：设在中国电子技术标准化研究院，负责委员会的日常工作。 王京涛 国家保密局总工 委员：81名，国内企业代表近50%，4名外企代表 刘卫军 国家认监委副主任 成员单位：截止目前已有647家单位。 TC260数据安全相关标准 技术支撑类标准 通用安全类标准 • 这一类标准规范了通 用的安全支撑技术， 而且这些技术可以直 接支撑数据安全的保 护技术，典型地如密 码技术类标准。 • 此类标准提出了体系 化的安全要求、实施 指南或相关产品和系 统的测试规范，而其 中覆盖到数据安全领 域，并提出了一些具 体的要求或措施，典 型地如网络安全等级 保护、云计算、信息 安全管理、智慧城市 以及测试评估等相关 标准。 以系统为中心的数 据安全类标准 以数据为中心的数 据安全类标准 • 此类标准是传统数据 安全保护类标准，其 主要内容是围绕网络 系统（数据信息系统） 为中心，从网络系统 的视角来规范各种数 据安全技术手段和实 施措施，典型地如数 据库管理管理系统、 灾难恢复和数据交换 相关的标准。 • 以数据为中心的数据安全 类标准的主要内容也是规 范各种数据安全技术手段 和实施措施，但和“以网 络系统为中心的数据安全 类标准”不同的是，它是 以数据为中心、从数据安 全的视角来提出各类技术 要求和实施措施规范。通 常地，此类标准从数据的 全生命周期来考虑各种数 据安全保护需求，并以此 提出相关技术要求和措施 规范。 个人信息安全类标准 • 近年来，个人信息非 法采集、使用和泄露 事件越来越多，针对 此类安全保护要求， 全国信息安全标准化 技术委员会（TC260） 制订了多项个人信息 安全标准，并开展了 相关的研究工作，提 出了相关的保护要求 和实施措施指南。 大数据安全标准特别工作组（SWG-BDS） ZERO 2016年，TC260成立大数据安全标准特别工作组（SWG-BDS），负责数据安全、云 计算安全等新技术新应用的安全标准研制。 • AI（智慧城市安全、人工智能安全） • Blockchain（区块链安全） • Cloud（云计算安全） • Data（数据安全） • 组 长：清华大学 王建民 • 副组长：四川大学 陈兴蜀 • 秘 书：清华大学 金涛 • 成员单位：301家 数据安全国家标准体系初见规模 p TC260围绕数据安全和个人 信息保护两个方向，已发布 6项国家标准，在研国家标 准10项。 p 数据安全方向，主要围绕数 据安全能力、数据交易服务、 出境评估、政务数据共享、 健康医疗数据安全、电信数 据安全等内容。 p 个人信息保护方向，主要聚 焦于个人信息保护要求、去 标识技术、App收集个人信 息、隐私工程、影响评估、 告知同意等内容。 02 GB/T 35273-2020《个人信息安全规范》 ZERO p 本标准规定了开展收集、存 储、使用、共享、转让、公 开披露、删除等个人信息处 理活动应遵循的原则和安全 要求。 p 本标准适用于规范各类组织 的个人信息处理活动，也适 用于主管监管部门、第三方 评估机构等组织对个人信息 处理活动进行监督、管理和 评估。 p 针对服务或功能强制捆绑的 问题，修订个人信息收集； 拆分使用环节；第三方接入 管理；个人信息安全工程； 个人信息记录管理等。 采集 保存 使用 对外提供 安全 GB/T 37964-2019 《个人信息安全去标识化指南》 ZERO p 本标准描述了个人信息去 标识化的目标和原则，提 出了去标识化过程和管理 措施。 p 本标准针对微数据提供具 体的个人信息去标识化指 导，适用于组织开展个人 信息去标识化工作，也适 用于网络安全相关主管部 门、第三方评估机构等组 织开展个人信息安全监督 管理、评估等工作。 去标识化原则 合规 个人信息安全保护优先 技术和管理相结合 充分应用软件工具 持续改进 去标识化过程 GB/T 35274-2017《大数据服务安全能力要求》 ZERO p 本标准规定了： p 大数据服务提供者应具有的 组织相关的基础安全要求； p 数据生命周期相关的数据服 务安全要求； p 大数据平台与应用安全运行 相关的系统服务安全要求。 p 本标准可为政府部门、企事业单 位等组织机构的大数据服务安全 能力建设提供参考，也适用于第 三方机构对大数据服务提供者的 大数据服务安全能力进行审查和 评估。 本标准将大数据服务安全能力分 为一般要求和增强要求两个级别。 一般要求 • 能够抵御或应对常见的威胁 • 能够控制损失在有限的范围和程度内 • 具备基本的事件追溯能力 增强要求 • 涉及国家安全，或对经济发展和社会公共利益有较大影响 • 主动识别并防范潜在攻击的能力 • 高效应对安全事件并将其损失控制在较小范围内 • 保证安全事件追溯的有效性 • 保证大数据服务的可靠性、可扩展性和可伸缩性 GB/T 37973-2019《大数据安全管理指南》 ZERO 大数据安全管理基本原则 p 本标准提出了大数据安全管理基 本原则，指导组织开展大数据安 全需求分析、数据分类分级、大 数据活动和风险评估 等安全管理 工作。 p 本标准适用于各类组织进行数据 安全管理，也可供第三方评估机 构参考。 职责明确 安全合规 质量保障 数据最小化 责任不随数据 转移 最小授权 确保安全 可审计 13 GB/T 37988-2019《数据安全能力成熟度模型》 ZERO p 本标准规定了组织机构数据安全保障的 能力成熟度模型： p 以数据为中心 p 重点围绕数据生命周期 p 从组织建设、制度流程、技术工具 和人员能力四个方面进行安全保障。 p 本