信息安全产业快速发展,据前瞻产业研究院发布的《中国信息安全行业发展前景预测与投资战略规划分析报告》显示,2019年,中国信息安全行业规模将达到千亿量级。其中,大数据安全的规模占比越来越大。
随着大数据应用范围越来越广泛,各领域都离不开数据和数字基础设施,各类大数据平台承载着海量的数据资源,大量敏感资源和重要数据的安全保护尤为重要。
而在大数据环境下,作为生产资料的数据资源具有数据量巨大、数据变化快等特征,会导致大数据分析及应用场景更为复杂,因此必须遵守一定的法律法规以及道德标准,同时政府部门需要进一步完善法律法规,保障数据不被窃取、破坏和滥用,以及确保大数据系统的安全可靠运行,并发挥大数据的最大作用和价值。
由国家和各行业在政策、法律等层面的一系列举措可见,对于网络空间安全的重视正在不断升级。自2017年《网络安全法》颁布以来,信息安全的立法进程越来越紧凑,今天我们重点关注大数据安全领域国家或者地方纷纷出台的一系列的政策、法律法规。
1《贵阳市大数据安全管理条例》
全国首部大数据安全地方法规,明确措施防范数据泄露。
作为全国首部大数据安全管理的地方法规,《贵阳市大数据安全管理条例》(以下简称《条例》)即将于今年10月1日正式施行。该《条例》分别对大数据安全定义、防风险安全保障措施、监测预警与应急处置、投诉举报等方面做出规定。
本法规的颁布对大数据安全使用提出了要求:安全责任单位应当建立大数据安全审计制度,记录并保存数据分类、采集、清洗、查询和销毁等操作过程,定期进行安全审计分析,详细记录数据全生命周期活动,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险,以保障数据安全。
除此之外,在大数据安全立法领域,站在国家层面,覆盖各个方面、细粒度更高的若干标准制定项目已经蔚为有序,这些政策法规将助力大数据安全建设,从而为建设网络安全强国贡献力量。
2《信息安全技术 个人信息安全规范》
《信息安全技术 个人信息安全规范》明确定义了个人敏感信息。
其中,全国信息安全标准化技术委员会2017年12月29日正式发布的规范《信息安全技术 个人信息安全规范》(标准号:GBT 35273-2017)已于2018年5月1日正式实施。本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
本规范针对个人信息和个人敏感信息加以定义,其中个人敏感信息 personal sensitive information指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
3《信息安全技术 大数据服务安全能力要求》
《信息安全技术 大数据服务安全能力要求》考察大数据服务安全能力。
《信息安全技术 大数据服务安全能力要求》(标 准 号:GB/T 35274-2017)于 2017年12月29日发布,2018年7月1日实施,本标准规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。
本标准适用于对政府部门和企事业单位建设大数据服务安全能力,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。
4《信息安全技术 大数据安全管理指南》
2017年5月24日,全国信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术 大数据安全管理指南》征求意见稿,公开征求意见。该征求意见稿规定:大数据安全管理原则;大数据安全管理基本概念;制定大数据安全目标、战略和策略;明确大数据安全管理角色与责任;管理大数据安全风险;管理大数据平台运行安全。
同时,征求意见稿附录部分还就电信行业数据分类分级、国家基础数据、生命科学大数据风险分析以及大数据安全风险给出了示例和说明。
5《信息安全技术 个人信息安全影响评估指南》
2018年6月13日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿征求意见的通知。标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。
适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
6《信息安全技术 个人信息去标识化指南》
2017年9月,国标《信息安全技术个人信息去标识化指南》征求意见稿在全国信息安全标准化技术委员会官网上发布。
该标准在内容上汲取了当前国内个人信息处理机构、安全测评机构和研究机构的最新成果,并借鉴了国外个人信息去标识化的最新研究理论,提炼了业内当前通行的最佳实践,通过研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南,旨在保障个人信息安全的前提下,推动数据的共享开放,充分发挥大数据的价值。
7《信息安全技术 数据安全能力成熟度模型》
2017年中旬,全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》。“大数据安全能力成熟度模型“这项国家标准的研究课题2016年6月立项,2018年,送审稿修订工作完成启动。
《信息安全技术 数据安全能力成熟度模型》DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,促进大数据参与方的数据安全能力评估与提升,促进大数据在组织间的交换、共享与流转,发挥大数据的价值,促进我国大数据产业的健康发展。同时,也可以有效地支撑《中国人民共和国网络安全法》、国务院《促进大数据发展行动纲要》、国家十三五规划纲要等国家政策和法规的有效落地。
8《信息安全技术 大数据交易服务安全要求》
习总书记在2017年12月8日强调,要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。我国加快了制定数据交易等制度的步伐,尤其是在安全领域。国家标准化管理委员会在2018年1月9日下达制定国家标准计划《信息安全技术 大数据交易服务安全要求》的任务,计划号:20173591-T-469。
该标准即将成为我国首个大数据交易安全国家标准,有助于理清数据交易安全界限,促进数据交易行为合法合规。其出台势必会推动我国数据交易机构的安全建设,促进数据交易行为合法合规,使得全国数据要素有序流通,充分释放数据红利,助力“数字中国”建设。
9《信息安全技术 数据出境安全评估指南》
2017年,全国信安标委秘书处发布《信息安全技术 数据出境安全评估指南》、《信息安全技术 网络产品和服务安全通用要求》等六项国家标准,完成征询意见反馈。
该指南规定了数据出境安全评估流程、评估要点、评估方法等内容,适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。一旦发现存在的安全问题和风险,及时采取措施,防止个人信息未经用户同意向境外提供,损害个人信息主体合法利益,防止国家重要数据未经安全评估和相应主管部门批准存储在境外,给国家安全造成不利影响。据悉,这是“我国的数据出境安全管理办法之中非常重要的文件”。