关村网信联盟数据 言联盟数据 1关村网信联盟数据 中关村网 数据安全治理白皮书5.0 中关村网络安全与信息化产业联盟 委会 中关村网信联盟数据安全治理书 数据安全治理专业委员会 信联盟数据安全治理 编著 中关村网信联盟数据安全治 2023 中关村网 民安全治理专委 DSG 委会 序一 Foreword 以大数据、云计算、人工智能、区块链、物联网等为代表的新技术与新应用的不断拓 展，推动了产业数字化与数字产业化的巨大变革，数字经济发展成为推动整体经济增长的 主要引擎之一。当前，数字经济发展的核心引擎，就是数据价值的发挥。数据作为数字经 济建设关键要素，将对其他生产要素起到倍增器的作用，为经济转型发展提供新动力。 伴随数据要素化进程的高速发展，数据价值的不断凸显，数据安全风险也随之与日俱 增，数据泄露、篡改、滥用等数据安全事件频发，造成对个人、组织、社会公共利益甚至 国家安全的严重威胁和损害，极大地制约了数据共享流通使用。数据安全已成为数字经济 时代最紧迫、最基础的问题，加强数据安全治理，统筹数据发展和安全防护，推动数据依 法合理有效利用，已成为维护国家安全和提升国家竞争力的战略导向。 数字经济时代下，数据呈现体量大、种类多、传播广、变化快、可复制等特性，且与 业务场景强关联，数据安全治理面临巨大挑战。如何统筹开发利用与安全防护，实现一体 两翼发展，欲达到治理的最佳效果，必须坚持综合治理的原则，持续践行以下三个关键要 素：一是一体化的治理理念，二是全维度的顶层设计，三是先进的技术体系。一体化的治 理理念是实现数据安全治理高质量发展的核心，要把数据安全治理融入到整个国家和社会 治理体系之中，构建政府负责、社会协同、公众参与、法治保障的数据安全社会治理体系， 从单向的“通办”、十“统管”转为多元、交互、协同的“共治”，共同织密织牢国家数据 安全网。全维度的顶层设计是实现数据安全治理高质量发展的基础，国家层面要从职责分 工、法律法规、政策制定和标准规范等方面做好国家层面的顶层设计，组织层面重点强调 因地制宜、量身定制的治理目标，体现组织架构、管理体系和技术体系相融合的核心理念 以及围绕全生命周期的场景化的治理方案。先进的技术体系是实现数据安全治理高质量发 展的支撑，要从数据安全治理相关的基础理论到关键共性技术、再到应用技术进行全链条 的创新研究，积极推动构建自主可控、先进实用的技术和产品体系。 本系列白皮书以理论联系实践为主导思想，以主册加各行业分册为呈现形式，从近年 来我国数据战略及数据安全形势研判、数据安全治理概念与治理理念及框架、数据安全关 键技术到多行业的场景化治理实践等多视角、多维度，较为系统、全面地对数据安全治理 相关内容进行了研究和探索，综合解读了监管政策法规及安全事件，梳理厘清了协同治理 的相关概念与内涵，深入剖析了数据安全治理面临的挑战与治理方法论，整体架构了战略 指导下的管理、技术、运营相结合的治理框架，体系化描述了各类监测与防护技术，列举 了丰富的行业实践案例并建设性地提出了数据安全治理未来的发展和倡议。 “行远自迩，笃行不怠”，期待通过白皮书中围绕数据安全治理的理论探索与行业治 理实践介绍，为数据安全治理相关人员带来具体的指引、参考和启迪，并付诸到实际治理 工作当中，同时也期冀大家共同努力，持续探索数据安全治理之道，为加快推进数字中国 建设保驾护航。 联盟数据安全治理专委 信联盟数据安全治理专委 委会 网信联盟数据安全治理书 冯登国 中国科学院院士 II 序 Foreword 《数据安全治理白皮书》（以下简称白皮书）历经五年多的发展与延续，已升级到5.0 版本。白皮书与中国数据安全治理高峰论坛（以下简称高峰论坛）相伴相生，一路走来。 2017年首届高峰论坛开启，2018年第二届高峰论坛发布《数据安全治理白皮书1.0》， 此后我们坚持每一届高峰论坛发布一版白皮书，只有2020年新冠黑天鹅降落人间停了- 年，即便是2021和2022年疫情还未消散的时候，我们也依旧坚持着。 2017年，安华金和在国内提出了“数据安全治理”这个概念，当时这个概念很新； 业内大家主要谈的是网络安全，看待数据安全也大多基于等保与攻防的视角，由于缺乏法 律法规作指引，只能贴着等保走。安华金和自2009年开始做数据安全，是国内最早一批 专注于数据安全产品、技术研发的企业，积累了大量的实战经验，对于数据安全思考也比 较多，逐步形成了对数据安全一些自己的认知。 认识到用户真正关心的是如何保护数据库中的数据，以及数据在保障安全的基础上如何得 到很好的利用，让价值得到充分释放。我们不断思考和实践如何达到安全与应用的平衡， 在这个过程中领悟到两方面：一是应以数据为中心，在使用数据的基础上谈安全，结合不 同的场景采取精准的数据安全防控措施；二是在促进数据流动的同时，要保证数据安全， 应进行分类分级。我们思考并提炼出了一个词语来概括这些思想，即“数据安全治理”。 而后看到国际上对此也有专门的描述，即“Data Security Governance”，发现我们的思 考与国际同仁对于数据安全的看法不谋而合。 相较网络安全，数据安全的落地更专注，更要将组织、规范、技术整体统筹推进才有 可能做好。2017年，我们举办了第一届高峰论坛，众多行业用户与专家齐聚一堂，共同 探讨数据安全。在这个过程中，我们认识到，需要对数据安全治理的概念归纳研讨做进一 步深入的思考和表述，才能在业界的沟通中统一思想和话术。因此在2018年第二届高峰 论坛召开前组织完成了《数据安全治理白皮书1.0》的撰写并于峰会上奉献给大家，同时， 在中关村网络安全与信息化产业联盟的支持下，牵头成立了联盟的数据安全治理专业委员 会，持续的推进数据安全治理工作前行。就这样，高峰论坛和白皮书一直坚持到了现在。 2021年6月，《中华人民共和国数据安全法》颁布施行，作为国家关于数据安全方 IⅢI 面的基础性法律，明确提出了“维护数据安全应当坚持总体国家安全观，建立健全数据安 全治理体系，提高数据安全保障能力”，并把分类分级作为推进数据安全的基础工作，提 出“国家建立数据分类分级保护制度”、“对数据实行分类分级保护”。2021年11月， 保护个人信息安全的专门法律《中华人民共和国个人信息保护法》正式颁布施行。在两个 法律的基础上，国家互联网信息办公室于2022年7月发布了《数据出境安全评估办法》。 《数据安全法》《个人信息保护法》《数据出境安全评估办法》分别从国家重要数据保护、 个人隐私和权益保护、数据主权维护角度给出了行为指引。可以说，到2022年，我国数 据安全治理的基础立法工作基本完成。 2022年起，国家互联网信息办公室、工业和信息化部等相关部门陆续出台一系列规 章和规范性文件，全国信安标委、行业管理部门加速推进标准化研究制定工作，随着各行 各业数字化的推进，数据安全产业发展如火如茶。但我们在与客户沟通时发现，用户对于 如何保障数据安全还是比较困惑。例如数据分类分级与个人信息保护相结合如何开展工作； 与国家重要数据保护相结合如何开展工作；还有，分类分级后与数据安全管理的结合，也 都存在许多的不确定性。《数据安全治理白皮书5.0》在延续惯例对相关的新理论、新政策、 新技术进行更新外，重点推出了行业落地实践集，对行业分类分级标准、数据安全建设要 求、检查办法、具体化的建设落地案例等进行了介绍，共涵盖了七个行业。我们希望通过 对各行业的治理实践进行归纳总结，为具体落实数据安全工作提供有价值的借鉴。在梳理 行业实践总结时，我们发现，由于不同行业的数据安全工作进展参差不齐，行业间的相互 借鉴、学习尤为重要。未来白皮书更新的重点之一也将是行业落地实践经验的汇集交流。 当下，数字经济成为人类新的经济增长方向，数字化、网络化、智能化在逐步改变人 类生存环境，基于大规模数据学习的人工智能大有替代人类大脑决策之势；数据安全成为 了人类基础安全保障的核心要素之一，数据安全的重要性前所未有。对此我们可以做的就 是热烈拥抱他的到来。我们希望白皮书成为拥抱这一历史性变化的一个印迹，和大家一起 见证数据安全与数字经济发展的相伴相行。 刘晓韬 中关村网络安全与信息化产业联盟数据安全治理专业委员会主任 北京安华金和科技有限公司董事长兼CEO IV 面的基础性法律，明确提出了“维护数据安全应当坚持总体国家安全观，建立健全数据安 全治理体系，提高数据安全保障能力”，并把分类分级作为推进数据安全的基础工作，提 出“国家建立数据分类分级保护制度”、“对数据实行分类分级保护”。2021年11月， 保护个人信息安全的专门法律《中华人民共和国个人信息保护法》正式颁布施行。在两个 法律的基础上，国家互联网信息办公室于2022年7月发布了《数据出境安全评估办法》。 《数据安全法》《个人信息保护法》《数据出境安全评估办法》分别从国家重要数据保护、 个人隐私和权益保护、数据主权维护角度给出了行为指引。可以说，到2022年，我国数 据安全治理的基础立法工作基本完成。 2022年起，国家互联网信息办公室、工业和信息化部等相关部门陆续出台一系列规 章和规范性文件，全国信安标委、行业管理部门加速推进标准化研究制定工作，随着各行 各业数字化的推进，数据安全产业发展如火如茶。但我们在与客户沟通时发现，用户对于 如何保障数据安全还是比较困惑。例如数据分类分级与个人信息保护相结合如何开展工作； 与国家重要数据保护相结合如何开展工作；还有，分类分级后与数据安全管理的结合，也 都存在许多的不确定性。《数据安全治理白皮书5.0》在延续惯例对相关的新理论、新政策、 新技术进行更新外，重点推出了行业落地实践