本報(bào)告為北京谷安天下科技有限公司(以下簡(jiǎn)稱(chēng)“本公司”)旗下媒體平臺(tái)安全牛研究撰寫(xiě),報(bào)為原著者所有。未經(jīng)本公司書(shū)面許可,任何組織和個(gè)人不得將本報(bào)告內(nèi)容作為訴訟、仲裁、傳媒所引用之證明或依據(jù),不得用于營(yíng)利或用于未經(jīng)允許的其他用途。任何未經(jīng)授權(quán)的商業(yè)性使用本報(bào)告的行為均違反《中華人民共和國(guó)著作權(quán)法》及其他相關(guān)法律法規(guī)、國(guó)際條約。未經(jīng)授權(quán)或違法使用者需自行承擔(dān)由此引發(fā)的—切法律后果及相關(guān)責(zé)任,本公司將依法予以追究。1本報(bào)告僅供本公司的客戶(hù)或公司許可的特定用戶(hù)使用。本公司不會(huì)因接收人收到本報(bào)告而視其為本公司的當(dāng)然客戶(hù)。任何非本公司發(fā)布的有關(guān)本報(bào)告的摘要或節(jié)選都不代表本報(bào)告正式完整的觀點(diǎn),—切須以本公司發(fā)布的本報(bào)告完整版本為準(zhǔn)。本報(bào)告中的行業(yè)數(shù)據(jù)主要為分析師市場(chǎng)調(diào)研、行業(yè)訪談及其他研究方法估算得來(lái),僅供參考。因調(diào)研方法及樣本、調(diào)查資料收集范圍等的限制,本報(bào)告中的數(shù)據(jù)僅服務(wù)于當(dāng)前報(bào)告。本公司以勤勉的態(tài)度、專(zhuān)業(yè)的研究方法,使用合法合規(guī)的信息,獨(dú)立、客觀地出具本報(bào)告,但不保證數(shù)據(jù)的準(zhǔn)確性和完整性,本公司不對(duì)本報(bào)告的數(shù)據(jù)和觀點(diǎn)承擔(dān)任何法律責(zé)任。同時(shí),本公司不保證本報(bào)告中的觀點(diǎn)或陳述不會(huì)發(fā)生任何變更。在不同時(shí)期,本公司可發(fā)出與本報(bào)告所載資料、意見(jiàn)及推測(cè)不—致的報(bào)告。本報(bào)告所包含的信息及觀點(diǎn)不構(gòu)成任何形式的投資建議或其他行為指引,亦未考慮特定用戶(hù)的個(gè)性化需求或投資目標(biāo)。用戶(hù)應(yīng)結(jié)合自身實(shí)際情況獨(dú)立判斷報(bào)告內(nèi)容的適用性,必要時(shí)應(yīng)尋求專(zhuān)業(yè)顧問(wèn)意見(jiàn)。報(bào)告中涉及的評(píng)論、預(yù)測(cè)、圖表、指標(biāo)、理論等內(nèi)容僅供市場(chǎng)參與者及用戶(hù)參考,用戶(hù)需對(duì)其自主決策行為負(fù)責(zé)。本公司不對(duì)因使用本報(bào)告全部或部分內(nèi)容所產(chǎn)生的任何直接、間接、特殊及后果性損失承擔(dān)任何責(zé)任,亦不對(duì)因資料不完整、不準(zhǔn)確或存在任何重大遺漏所導(dǎo)致的任何損失負(fù)責(zé)。1 3關(guān)鍵發(fā)現(xiàn) 41.1數(shù)據(jù)流通安全的概念 61.2國(guó)家戰(zhàn)略與政策導(dǎo)向 72.1數(shù)據(jù)流通的安全要求 2.2數(shù)據(jù)流通安全面臨的挑戰(zhàn) 2.3常見(jiàn)的數(shù)據(jù)流通安全風(fēng)險(xiǎn) 3.1數(shù)據(jù)流通安全治理框架 3.2數(shù)據(jù)流通安全技術(shù)架構(gòu) 3.3數(shù)據(jù)流通關(guān)鍵技術(shù) 3.4數(shù)據(jù)流通安全風(fēng)險(xiǎn)評(píng)估方法 4.1國(guó)外數(shù)據(jù)流通安全市場(chǎng)和技術(shù)現(xiàn)狀 4.2國(guó)內(nèi)數(shù)據(jù)流通安全市場(chǎng)和技術(shù)現(xiàn)狀 5.1企業(yè)間文檔流轉(zhuǎn)場(chǎng)景....................................................................................................................7025.2企業(yè)間數(shù)據(jù)共享場(chǎng)景 5.3政務(wù)數(shù)據(jù)共享的場(chǎng)景 5.4數(shù)據(jù)跨境共享的場(chǎng)景 806.1可信數(shù)據(jù)空間概述 856.2可信數(shù)據(jù)空間的核心技術(shù)與架構(gòu) 886.3可信數(shù)據(jù)空間的主要應(yīng)用場(chǎng)景 916.4利用可信數(shù)據(jù)空間加強(qiáng)企業(yè)數(shù)據(jù)共享 936.5企業(yè)可信數(shù)據(jù)空間應(yīng)用的實(shí)施路徑 977.1案例—金融機(jī)構(gòu)數(shù)據(jù)安全共享(觀安信息提供) 1007.2案例二基于可信數(shù)據(jù)空間的醫(yī)療數(shù)據(jù)安全融合利用(綠盟提供) 7.3案例三金融控股集團(tuán)數(shù)據(jù)安全流通與聯(lián)合應(yīng)用(信安世紀(jì)提供) 8.1推薦標(biāo)準(zhǔn) 8.2推薦廠商-觀安信息 8.3推薦廠商-綠盟科技 8.4推薦廠商-信安世紀(jì) 8.5其他特色廠商 3當(dāng)前,全球正加速邁入數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素,深刻改變經(jīng)濟(jì)模式和社會(huì)運(yùn)行方式。中國(guó)積極發(fā)展數(shù)字經(jīng)濟(jì)、建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)和數(shù)字中國(guó),并實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略。據(jù)《全國(guó)數(shù)據(jù)資源調(diào)查報(bào)告(2024年)》數(shù)據(jù),全國(guó)年度數(shù)據(jù)生產(chǎn)目標(biāo)達(dá)到41.06澤字節(jié)(ZB),同比增長(zhǎng)25%。海量的數(shù)據(jù)資源和快速發(fā)展的數(shù)據(jù)市場(chǎng)規(guī)模為我國(guó)經(jīng)濟(jì)發(fā)展注入了新的動(dòng)力。然而,海量數(shù)據(jù)資源轉(zhuǎn)化為現(xiàn)實(shí)生產(chǎn)力的關(guān)鍵在于促進(jìn)高效、安全、合規(guī)的數(shù)據(jù)流通。數(shù)據(jù)流通涉及跨主體、跨系統(tǒng)、跨地域的復(fù)雜交互,貫穿數(shù)據(jù)全生命周期,具有鏈條長(zhǎng)、階段多、參與方復(fù)雜等特點(diǎn),任何—個(gè)節(jié)點(diǎn)的技術(shù)漏洞、管理疏失或惡意攻擊都可能引發(fā)數(shù)據(jù)泄露、篡改等安全事件,這些風(fēng)險(xiǎn)不僅威脅到企業(yè)的商業(yè)秘密和競(jìng)爭(zhēng)、個(gè)人的隱私權(quán),更可能引發(fā)國(guó)家安全方面的風(fēng)險(xiǎn)。為應(yīng)對(duì)數(shù)據(jù)流通帶來(lái)的挑戰(zhàn)并規(guī)范其發(fā)展,中國(guó)構(gòu)建了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》為核心的法律框架,并密集發(fā)布了《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(簡(jiǎn)稱(chēng)“數(shù)據(jù)二十條”)、《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》、《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃》等重要政策文件。這些政策旨在構(gòu)建數(shù)據(jù)基礎(chǔ)制度,促進(jìn)要素?cái)?shù)據(jù)市場(chǎng)化配置,加快數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新發(fā)展,并探索構(gòu)建可信流通生態(tài)。2025年,六部委聯(lián)合發(fā)布了《關(guān)于完善數(shù)據(jù)流通安全治理促進(jìn)數(shù)據(jù)要素市場(chǎng)化價(jià)值化的實(shí)施方案》,進(jìn)—步聚焦于流通市場(chǎng)的安全治理機(jī)制,力求在“強(qiáng)發(fā)展和安全”的總方針下,找到—條促進(jìn)數(shù)據(jù)要素市場(chǎng)化價(jià)值化的更好安全路徑。盡管如此,目前國(guó)內(nèi)數(shù)據(jù)流通面臨嚴(yán)重挑戰(zhàn),包括數(shù)據(jù)資產(chǎn)“看不清”、技術(shù)應(yīng)用“跟不上”、安全管理“理不清”、專(zhuān)業(yè)人才“招不來(lái)”、安全與發(fā)展平衡,以及威脅變化“追不上”等問(wèn)題。針對(duì)上述背景、挑戰(zhàn)與實(shí)踐需求,本報(bào)告將深入探討數(shù)據(jù)安全流通的重要性、挑戰(zhàn)及應(yīng)對(duì)策略,詳細(xì)介紹數(shù)據(jù)流通安全的關(guān)鍵技術(shù),并提供構(gòu)建數(shù)據(jù)流通安全體系的可操作指南。旨在幫助企業(yè)提高數(shù)據(jù)流通安全的管理能力,促進(jìn)跨組織、跨地域的可信數(shù)據(jù)共享與協(xié)作,提升數(shù)據(jù)流通安全的防護(hù)整體水平和響應(yīng)能力,為數(shù)據(jù)市場(chǎng)的健康發(fā)展提供安全保障。同時(shí)也希望本報(bào)告能成為數(shù)據(jù)安全技術(shù)和管理人員及相關(guān)實(shí)踐者的實(shí)用性應(yīng)用指南。4關(guān)鍵發(fā)現(xiàn)l國(guó)家政策、企業(yè)數(shù)字化轉(zhuǎn)型和人工智能發(fā)展激發(fā)了數(shù)據(jù)流通的需求。國(guó)家層面政策的密集出臺(tái),特別是“可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃”“數(shù)據(jù)要素×”等專(zhuān)項(xiàng)政策的引導(dǎo),極大地激發(fā)了數(shù)據(jù)流通市場(chǎng)活力。同時(shí),企業(yè)數(shù)字化轉(zhuǎn)型深入推進(jìn),人工智能(特別是大模型)快速發(fā)展,促使多樣化的數(shù)據(jù)應(yīng)用場(chǎng)景促進(jìn)了數(shù)據(jù)融合與協(xié)作,進(jìn)—步拓展了數(shù)據(jù)流通的場(chǎng)景。l數(shù)據(jù)流通的復(fù)雜性使數(shù)據(jù)流通安全面臨較高的風(fēng)險(xiǎn)。數(shù)據(jù)流通具有數(shù)據(jù)類(lèi)型多樣、多個(gè)參與方,流通鏈條長(zhǎng)、數(shù)據(jù)價(jià)值高、數(shù)據(jù)流通量大、流通頻率激增等特點(diǎn),再加上人工智能等新應(yīng)用的參與,給數(shù)據(jù)流通安全帶來(lái)了復(fù)雜的安全風(fēng)險(xiǎn)。l從整體發(fā)展階段來(lái)看,國(guó)內(nèi)數(shù)據(jù)流通安全市場(chǎng)整體從起步邁向初期階段。國(guó)家不斷出臺(tái)數(shù)據(jù)相關(guān)的政策和法律法規(guī),數(shù)據(jù)安全法、“數(shù)據(jù)二十條”等為數(shù)據(jù)安全發(fā)展指明了方向。但是復(fù)雜數(shù)據(jù)流通場(chǎng)景的安全認(rèn)知、治理能力和技術(shù)實(shí)踐水平尚在提升,成熟的、可復(fù)制的商業(yè)模式仍在積極構(gòu)建中,國(guó)內(nèi)整體市場(chǎng)正在快速發(fā)展。l數(shù)據(jù)流通安全市場(chǎng)目前主要集中在關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。數(shù)據(jù)流通安全的主要市場(chǎng)集中在擁有大量敏感數(shù)據(jù)的關(guān)鍵基礎(chǔ)設(shè)施行業(yè),如運(yùn)營(yíng)商、政府(特別是大數(shù)據(jù)局、數(shù)字政府)、軍工、能源和金融,這些行業(yè)對(duì)數(shù)據(jù)安全有更高要求且預(yù)算充足。未來(lái),市場(chǎng)將逐步向更多行業(yè)滲透,廠商將深化行業(yè)場(chǎng)景應(yīng)用,提供更細(xì)化的場(chǎng)景解決方案。l公共數(shù)據(jù)和政務(wù)數(shù)據(jù)流通共享是目前重要的應(yīng)用場(chǎng)景。我國(guó)各級(jí)政府基本完成大數(shù)據(jù)平臺(tái)建設(shè)并且匯集了海量的公共數(shù)據(jù)和政務(wù)數(shù)據(jù),重心正從匯聚轉(zhuǎn)向打破數(shù)據(jù)壁壘和安全有效地共享和流通。未來(lái),隨著電子政務(wù)、智慧城市建設(shè)等發(fā)展需求的不斷提出,公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)和可信數(shù)據(jù)空間將成為市場(chǎng)發(fā)展的核心,重點(diǎn)方向是可信數(shù)據(jù)空間的政務(wù)數(shù)據(jù)流通體系。l隱私計(jì)算技術(shù)將快速發(fā)展。目前聯(lián)邦學(xué)習(xí)、多方安全計(jì)算和可信環(huán)境等隱私計(jì)算已經(jīng)開(kāi)始應(yīng)用于聯(lián)合反詐、公安稅務(wù)聯(lián)合執(zhí)法等場(chǎng)景,實(shí)現(xiàn)“數(shù)據(jù)可用不可見(jiàn)”。未來(lái),隱私計(jì)算將是廠商技術(shù)研發(fā)的重點(diǎn)方向,并探索硬件加速和跨技術(shù)融合,應(yīng)用于更多行業(yè)場(chǎng)景。l可信數(shù)據(jù)空間框架的興起。可信數(shù)據(jù)空間正逐漸得到推廣,旨在構(gòu)建—個(gè)安全可控、互操作性強(qiáng)的數(shù)據(jù)流通利用基礎(chǔ)設(shè)施。其核心理念是實(shí)現(xiàn)“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見(jiàn)”,被視5為數(shù)據(jù)流通的基礎(chǔ)設(shè)施。但是可信數(shù)據(jù)空間在國(guó)內(nèi)尚處于早期建設(shè)和試點(diǎn)探索階段,標(biāo)準(zhǔn)正在制定和完善中,并且可信數(shù)據(jù)空間的互操作性、治理機(jī)制、商業(yè)模式等仍需較長(zhǎng)時(shí)間的探索和完善。未來(lái),可信數(shù)據(jù)空間將是數(shù)據(jù)流通安全的重要戰(zhàn)略方向,實(shí)現(xiàn)標(biāo)準(zhǔn)化加速、互聯(lián)互通和生態(tài)構(gòu)建,應(yīng)用從試點(diǎn)探索走向更廣泛的部署,成為數(shù)據(jù)流通的關(guān)鍵基礎(chǔ)設(shè)施。l跨境數(shù)據(jù)流動(dòng)成為新興方向。隨著企業(yè)全球化運(yùn)營(yíng)和跨國(guó)業(yè)務(wù)的增加,數(shù)據(jù)跨境流動(dòng)的安全合規(guī)問(wèn)題日益突出。未來(lái),跨境數(shù)據(jù)流動(dòng)將是數(shù)據(jù)安全領(lǐng)域的新興重點(diǎn)方向,相關(guān)法規(guī)和技術(shù)方案將持續(xù)完善。l人工智能與數(shù)據(jù)安全的深度融合與智能化升級(jí)。AI技術(shù)正從輔助角色加速向數(shù)據(jù)安全的核心驅(qū)動(dòng)力轉(zhuǎn)變,未來(lái)將更深度、更廣泛地賦能數(shù)據(jù)流通安全的各個(gè)環(huán)節(jié),實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)預(yù)測(cè)、智能響應(yīng)的跨越。國(guó)內(nèi)廠商普遍將“AI+數(shù)據(jù)安全”作為核心創(chuàng)新方向。l非結(jié)構(gòu)化數(shù)據(jù)流通安全產(chǎn)品正受到關(guān)注。國(guó)內(nèi)非結(jié)構(gòu)化數(shù)據(jù)流通安全技術(shù)正逐步發(fā)展并獲得關(guān)注,目前主要應(yīng)用于對(duì)數(shù)據(jù)安全和商業(yè)秘密保護(hù)有高要求的行業(yè),以保護(hù)內(nèi)部商業(yè)秘密、技術(shù)資產(chǎn)不被泄露,滿(mǎn)足日益嚴(yán)格的數(shù)據(jù)安全和合規(guī)要求。未來(lái),隨著法規(guī)落地,需求將持續(xù)增長(zhǎng),非結(jié)構(gòu)化技術(shù)將向智能化識(shí)別、分類(lèi)分級(jí)及有效保護(hù)利用發(fā)展。l基于國(guó)產(chǎn)可信硬件的安全生態(tài)體系。廠商正積極利用國(guó)產(chǎn)可信硬件作為安全底座,并構(gòu)建數(shù)據(jù)要素流通安全生態(tài)體系,與上下游伙伴開(kāi)展合作。目標(biāo)是通過(guò)生態(tài)協(xié)同促進(jìn)安全的資產(chǎn)價(jià)值轉(zhuǎn)化和市場(chǎng)化應(yīng)用。未來(lái),生態(tài)合作將成為重要的市場(chǎng)策略,包括技術(shù)底座合作、數(shù)據(jù)應(yīng)用生態(tài)合作和數(shù)據(jù)治理廠商合作等。6數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章第一章數(shù)據(jù)流通安全概述隨著數(shù)字時(shí)代的深入發(fā)展,數(shù)據(jù)成為重要的生產(chǎn)要素,是國(guó)家競(jìng)爭(zhēng)格局的核心戰(zhàn)略資源。近年來(lái),我國(guó)陸續(xù)發(fā)布政策,推動(dòng)數(shù)據(jù)要素市場(chǎng)發(fā)展,數(shù)據(jù)要素價(jià)值加快釋放。數(shù)據(jù)的流通和利用能提升生產(chǎn)效率、優(yōu)化資源配置、創(chuàng)新商業(yè)模式、改善公共服務(wù)。1.1數(shù)據(jù)流通安全的概念數(shù)據(jù)流通安全是指為保障數(shù)據(jù)在跨信任域邊界(如組織內(nèi)不同安全域、不同組織之間)進(jìn)行共享交換、處理、應(yīng)用的全生命周期過(guò)程中所采取的安全管理策略、技術(shù)控制等措施。數(shù)據(jù)流通安全不僅僅是傳統(tǒng)意義上保護(hù)靜態(tài)存儲(chǔ)數(shù)據(jù)的安全,而是聚焦動(dòng)態(tài)的流通環(huán)節(jié),以及數(shù)據(jù)流通后的持續(xù)性保護(hù)與管控。在傳統(tǒng)信息安全的機(jī)密性、完整性、可用性三要素(CIA)基礎(chǔ)上,需要高度關(guān)注隱私保護(hù)、合規(guī)性、數(shù)據(jù)使用控制和可追溯問(wèn)責(zé)等,形成了更復(fù)雜、更具挑戰(zhàn)性的安全領(lǐng)域。1.1.1數(shù)據(jù)流通安全的定義數(shù)據(jù)流通安全是指保障數(shù)據(jù)資源在跨越組織、系統(tǒng)或信任邊界進(jìn)行流動(dòng)、共享、交換、處理和使用的全過(guò)程中,確保其機(jī)密性、權(quán)限、可用性,并保護(hù)重要數(shù)據(jù),滿(mǎn)足法律法規(guī)與合同約定要求,同時(shí)實(shí)現(xiàn)對(duì)數(shù)據(jù)使用的持續(xù)性管控,從而支撐數(shù)據(jù)要素安全、合規(guī)、高效流轉(zhuǎn)和價(jià)值釋放的—系列策略、流程、技術(shù)和實(shí)踐的總和。數(shù)據(jù)流通安全的意義就不僅僅是保護(hù)數(shù)據(jù)本身,更是保障整個(gè)數(shù)據(jù)價(jià)值創(chuàng)造和流通鏈條順暢、可信、合規(guī)運(yùn)行的關(guān)鍵。1.1.2數(shù)據(jù)流通安全的角度數(shù)據(jù)流通安全的角度包括數(shù)據(jù)流通過(guò)程視角、參與方視角、場(chǎng)景視角,這三個(gè)角度并不是相互獨(dú)立的,而是高度關(guān)聯(lián)、相互補(bǔ)充的。數(shù)據(jù)流通安全分析通常需要從這三個(gè)角度進(jìn)行分析。7數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章圖1數(shù)據(jù)流通安全的視角數(shù)據(jù)流通生命周期過(guò)程角度關(guān)注時(shí)間序列和過(guò)程管理的視角,包括數(shù)據(jù)流通前、數(shù)據(jù)流通過(guò)程中和數(shù)據(jù)流通后,強(qiáng)調(diào)數(shù)據(jù)流通安全不是—個(gè)靜態(tài)的點(diǎn),而是—個(gè)完整的生命周期。流通前的準(zhǔn)備和決策直接決定了后續(xù)風(fēng)險(xiǎn)的基礎(chǔ)水平、流通中需要實(shí)時(shí)的技術(shù)保障和監(jiān)控、流通后則涉及持續(xù)的責(zé)任履行、應(yīng)急和追溯、合規(guī)和生命周期終止管理。數(shù)據(jù)流通參與方角度關(guān)注角色化和責(zé)任驅(qū)動(dòng)的視角。數(shù)據(jù)流通不是單—主體的行為,涉及多個(gè)參與方 (提供方、接收方、平臺(tái)運(yùn)營(yíng)方、數(shù)據(jù)服務(wù)方、監(jiān)管方等)。每個(gè)參與方在流通中扮演的角色不同,其目標(biāo)、面臨的風(fēng)險(xiǎn)、承擔(dān)的法律和合同責(zé)任,以及應(yīng)具備的安全能力也各不相同。從各參與方的角度出發(fā)進(jìn)行分析,有助于精準(zhǔn)定位風(fēng)險(xiǎn)來(lái)源、明確的責(zé)任歸屬、并設(shè)計(jì)—個(gè)控制措施和協(xié)同機(jī)制。數(shù)據(jù)流通場(chǎng)景角度關(guān)注不同場(chǎng)景的對(duì)抗性和差異性。數(shù)據(jù)流通場(chǎng)景包括內(nèi)部共享、企業(yè)間共享、公共數(shù)據(jù)開(kāi)放、跨境數(shù)據(jù)傳輸?shù)?不同的場(chǎng)景業(yè)務(wù)目標(biāo)、數(shù)據(jù)敏感度、參與方關(guān)系(信任度)、適用的法律法規(guī),以及整體風(fēng)險(xiǎn)其實(shí)差異較大。不存在適用于所有場(chǎng)景的“萬(wàn)能”安全方案。必須結(jié)合具體的應(yīng)用場(chǎng)景進(jìn)行分析,才能確保措施安全性的相關(guān)性、有效性和適應(yīng)性,避免防護(hù)過(guò)度或防護(hù)不足。1.2國(guó)家戰(zhàn)略與政策導(dǎo)向國(guó)家戰(zhàn)略與政策推動(dòng)數(shù)據(jù)要素發(fā)展,促進(jìn)數(shù)據(jù)流通與市場(chǎng)建設(shè),釋放數(shù)字經(jīng)濟(jì)潛能。政策從頂層規(guī)劃到基礎(chǔ)制度逐步明確目標(biāo),強(qiáng)調(diào)市場(chǎng)與政府協(xié)同,推動(dòng)數(shù)據(jù)跨行業(yè)應(yīng)用,并加快培育數(shù)據(jù)市場(chǎng),完善流通生態(tài)和基礎(chǔ)設(shè)施,促進(jìn)多場(chǎng)景應(yīng)用與產(chǎn)業(yè)發(fā)展。數(shù)據(jù)市場(chǎng)快速發(fā)展,生產(chǎn)規(guī)模擴(kuò)大,交易需求旺盛,但再生、流通效率和價(jià)值變現(xiàn)仍面臨挑戰(zhàn),未來(lái)需完善機(jī)制與安全體系,助力數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。8數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章圖2數(shù)據(jù)流通安全背景1.2.1國(guó)家發(fā)展數(shù)據(jù)要素的戰(zhàn)略與政策導(dǎo)向我國(guó)高度重視數(shù)字經(jīng)濟(jì)的發(fā)展,將數(shù)據(jù)要素作為新型生產(chǎn)要素戰(zhàn)略,通過(guò)開(kāi)展數(shù)字經(jīng)濟(jì)的規(guī)劃和數(shù)據(jù)基礎(chǔ)制度的建設(shè),構(gòu)建和完善數(shù)據(jù)要素市場(chǎng),促進(jìn)數(shù)據(jù)流通和市場(chǎng)發(fā)展,以激活數(shù)據(jù)潛能,賦能數(shù)字經(jīng)濟(jì)新動(dòng)能,提升國(guó)家競(jìng)爭(zhēng)力。圖3國(guó)家戰(zhàn)略和政策導(dǎo)向1)以數(shù)據(jù)要素為基礎(chǔ)的數(shù)字經(jīng)濟(jì)發(fā)展的頂層規(guī)劃9數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章我國(guó)將數(shù)據(jù)生產(chǎn)要素視為數(shù)字經(jīng)濟(jì)的核心引擎和國(guó)家競(jìng)爭(zhēng)新優(yōu)勢(shì)的關(guān)鍵。強(qiáng)調(diào)頂層設(shè)計(jì),構(gòu)建基礎(chǔ)制度,為市場(chǎng)發(fā)展提供規(guī)則保障。強(qiáng)調(diào)發(fā)揮市場(chǎng)在資源配置中的決定性作用,通過(guò)市場(chǎng)機(jī)制來(lái)釋放數(shù)據(jù)價(jià)值,發(fā)揮政府在規(guī)劃引導(dǎo)、規(guī)則制定、安全監(jiān)管和公共利益保障方面的作用。同時(shí)重視以實(shí)際應(yīng)用需求牽引數(shù)據(jù)要素的供給和流通,推動(dòng)數(shù)據(jù)在各行各業(yè)的落地應(yīng)用,實(shí)現(xiàn)價(jià)值倍增。確定發(fā)展數(shù)據(jù)經(jīng)濟(jì)的國(guó)家戰(zhàn)略部署。習(xí)近平總書(shū)記指出,要構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì),并圍繞“發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用”做出多項(xiàng)重要戰(zhàn)略部署。2015年9月,國(guó)務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,旨在全面推進(jìn)大數(shù)據(jù)發(fā)展和應(yīng)用,加快建設(shè)數(shù)據(jù)強(qiáng)國(guó)。2016年發(fā)布的《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》,明確國(guó)家實(shí)施大數(shù)據(jù)的戰(zhàn)略,把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源,全面實(shí)施促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng),加快推動(dòng)數(shù)據(jù)資源共享開(kāi)放和開(kāi)發(fā)應(yīng)用,助力產(chǎn)業(yè)轉(zhuǎn)型升級(jí)和社會(huì)治理創(chuàng)新。明確發(fā)展數(shù)據(jù)市場(chǎng)的發(fā)展導(dǎo)向。2019年10月,黨的十九屆四中全會(huì)首次將數(shù)據(jù)明確與土地、勞動(dòng)力、資本、技術(shù)并列的新型生產(chǎn)要素,提出要加快健全數(shù)據(jù)要素的市場(chǎng),推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展,促進(jìn)要素市場(chǎng)化配置。2020年3月,中共中央、國(guó)務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》 (以下簡(jiǎn)稱(chēng)“要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)”)明確2025年的主要目標(biāo)之—是加快數(shù)據(jù)要素市場(chǎng)化流通,初步建立數(shù)據(jù)要素市場(chǎng)體系。制定數(shù)字經(jīng)濟(jì)規(guī)劃和目標(biāo)。2021年3月,《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》提出要激活數(shù)據(jù)要素潛能,推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè),加快建設(shè)數(shù)字經(jīng)濟(jì),充分發(fā)揮海量數(shù)據(jù)和豐富應(yīng)用場(chǎng)景優(yōu)勢(shì),促進(jìn)數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)深度融合,賦能傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí),催生新產(chǎn)業(yè)新業(yè)態(tài)新模式,壯大經(jīng)濟(jì)發(fā)展新引擎。2022年1月,國(guó)務(wù)院發(fā)布《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》,將數(shù)據(jù)要素市場(chǎng)體系初步建立作為重要目標(biāo),提出要充分發(fā)揮數(shù)據(jù)要素作用,強(qiáng)化高質(zhì)量數(shù)據(jù)要素供給。并提出2025年的主要目標(biāo)是初步建立數(shù)據(jù)要素市場(chǎng)體系。2023年2月,中共中央、國(guó)務(wù)院印發(fā)了《數(shù)字中國(guó)建設(shè)整體布局規(guī)劃》(以下簡(jiǎn)稱(chēng)“規(guī)劃”),明確2025年的目標(biāo)是實(shí)現(xiàn)數(shù)字基礎(chǔ)設(shè)施高效聯(lián)通,數(shù)據(jù)資源規(guī)模和質(zhì)量加快提升,數(shù)據(jù)要素價(jià)值有效釋放,數(shù)字經(jīng)濟(jì)發(fā)展質(zhì)量效益大幅增強(qiáng),政務(wù)數(shù)字化智能化水平明顯提升,并且到2035年,數(shù)字化發(fā)展水平進(jìn)入世界前列,數(shù)字中國(guó)建設(shè)取得重大成就。2)為數(shù)據(jù)經(jīng)濟(jì)發(fā)展奠定制度基礎(chǔ)構(gòu)建基礎(chǔ)制度框架。2022年12月2日,中共中央、國(guó)務(wù)院發(fā)布了《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(以下簡(jiǎn)稱(chēng)“數(shù)據(jù)二十條”),是指導(dǎo)數(shù)據(jù)要素市場(chǎng)發(fā)展的綱領(lǐng)性文件。系統(tǒng)性地提出了構(gòu)建四大數(shù)據(jù)基礎(chǔ)制度框架,規(guī)范和指導(dǎo)構(gòu)建數(shù)據(jù)產(chǎn)權(quán)制度、建立合規(guī)高效、場(chǎng)內(nèi)外結(jié)合的流通交易體系、構(gòu)建收益分配制度、構(gòu)建數(shù)據(jù)要素治理制度,形成有效市場(chǎng)和有為政府相結(jié)合的數(shù)據(jù)要素治理格局。2024年7月18日黨的二十屆三中全會(huì)《中共中央關(guān)于進(jìn)—步全面深化改革推進(jìn)中國(guó)式現(xiàn)代化的決定》再次強(qiáng)調(diào)要加快建立數(shù)據(jù)產(chǎn)權(quán)、市場(chǎng)交易、收益分配、安全治理等制度,提升數(shù)據(jù)安全治理監(jiān)管能力,建立便利安全的數(shù)據(jù)跨境流動(dòng)機(jī)制。使數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)成為國(guó)家深化改革的核心組成部分。3)促進(jìn)數(shù)據(jù)流動(dòng)和市場(chǎng)發(fā)展加快培育數(shù)據(jù)要素市場(chǎng)。2020年3月發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章明確要加快培育數(shù)據(jù)要素市場(chǎng),構(gòu)建多領(lǐng)域數(shù)據(jù)開(kāi)發(fā)利用場(chǎng)景。擴(kuò)大數(shù)據(jù)高質(zhì)量供給。2024年9月21日,中共中央辦公廳、國(guó)務(wù)院辦公廳發(fā)布《關(guān)于加快公共數(shù)據(jù)資源開(kāi)發(fā)利用的意見(jiàn)》,推動(dòng)數(shù)據(jù)資源標(biāo)準(zhǔn)體系建設(shè),提高數(shù)據(jù)質(zhì)量。特別關(guān)注公共數(shù)據(jù)的匯聚共享、開(kāi)放開(kāi)發(fā)和授權(quán)運(yùn)營(yíng)。培育流通生態(tài)。2024年12月發(fā)布的《關(guān)于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)高質(zhì)量發(fā)展的指導(dǎo)意見(jiàn)》,提出鼓勵(lì)發(fā)展數(shù)據(jù)商和第三方專(zhuān)業(yè)服務(wù)機(jī)構(gòu),提升全流程服務(wù)能力。構(gòu)建數(shù)據(jù)流通的基礎(chǔ)設(shè)施。2024年11月國(guó)家數(shù)據(jù)局印發(fā)了《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃(2024—2028年)》(以下簡(jiǎn)稱(chēng)“可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃”),將可信數(shù)據(jù)空間定位為“實(shí)現(xiàn)數(shù)據(jù)資源共享的—種數(shù)據(jù)流通利用基礎(chǔ)設(shè)施”,通過(guò)可信數(shù)據(jù)空間來(lái)構(gòu)建安全、可信、高效的數(shù)據(jù)流通環(huán)境,解決多方互信和數(shù)據(jù)控制問(wèn)題,降低流通成本和門(mén)檻。促進(jìn)數(shù)據(jù)多場(chǎng)景應(yīng)用。2023年12月15日,國(guó)家數(shù)據(jù)局起草并發(fā)布了《“數(shù)據(jù)要素×”(2024—2026年)(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)“數(shù)據(jù)要素×”),以數(shù)據(jù)要素乘數(shù)效應(yīng),作為整個(gè)行動(dòng)計(jì)劃的核心理念,重點(diǎn)推進(jìn)協(xié)三大乘數(shù)效應(yīng),鼓勵(lì)在多個(gè)領(lǐng)域深化數(shù)據(jù)融合應(yīng)用,大力推動(dòng)數(shù)據(jù)在實(shí)際場(chǎng)景中流通,以需求供給帶動(dòng)和流通。發(fā)揮企業(yè)主體作用。2024年12月20日,國(guó)家數(shù)據(jù)局等部門(mén)發(fā)布了《關(guān)于促進(jìn)企業(yè)數(shù)據(jù)資源開(kāi)發(fā)利用的意見(jiàn)》,充分發(fā)揮企業(yè)主體作用,推進(jìn)企業(yè)數(shù)據(jù)資源開(kāi)發(fā)利用,提升企業(yè)競(jìng)爭(zhēng)力,賦能產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型。產(chǎn)業(yè)培育。2024年12月28日,國(guó)家發(fā)展改革委、國(guó)家數(shù)據(jù)局等部門(mén)聯(lián)合印發(fā)《關(guān)于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)高質(zhì)量發(fā)展的指導(dǎo)意見(jiàn)》,將數(shù)據(jù)作為—個(gè)完整的新興產(chǎn)業(yè)來(lái)培育和發(fā)展,提出要優(yōu)化產(chǎn)業(yè)布局、培育多元主體、加速技術(shù)創(chuàng)新、提高資源開(kāi)發(fā)水平、發(fā)展流通交易等。1.2.2數(shù)據(jù)市場(chǎng)快速發(fā)展,數(shù)據(jù)流通應(yīng)用加速中國(guó)數(shù)據(jù)市場(chǎng)正經(jīng)歷規(guī)模積累到價(jià)值釋放的關(guān)鍵轉(zhuǎn)型期。在數(shù)據(jù)生產(chǎn)、基礎(chǔ)設(shè)施建設(shè)和政策設(shè)計(jì)方面取得了顯著進(jìn)展,但在數(shù)據(jù)有效再生、流通效率、深度應(yīng)用和價(jià)值變現(xiàn)等方面仍面臨較大挑戰(zhàn)。未來(lái)的發(fā)展重點(diǎn)將是完善市場(chǎng)機(jī)制、提升數(shù)據(jù)質(zhì)量與處理能力、深化應(yīng)用場(chǎng)景、搭建安全與合規(guī)體系,最終實(shí)現(xiàn)數(shù)據(jù)最大化的充分釋放,支撐數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章圖4數(shù)據(jù)市場(chǎng)快速發(fā)展1)大模型發(fā)展和政策驅(qū)動(dòng)根據(jù)《全國(guó)數(shù)據(jù)資源調(diào)查報(bào)告(2024年)》報(bào)告,國(guó)內(nèi)數(shù)據(jù)市場(chǎng)快速發(fā)展的主要驅(qū)動(dòng)在于大模型的加快應(yīng)用、公共數(shù)據(jù)資源供給和企業(yè)用數(shù)需求雙向拉動(dòng)。人工智能加速發(fā)展需求。2024年,新增238款人工智能服務(wù)在國(guó)家網(wǎng)信辦完成備案。開(kāi)發(fā)或應(yīng)用人工智能的企業(yè)數(shù)量同比增長(zhǎng)36%,高質(zhì)量數(shù)據(jù)集數(shù)量同比增長(zhǎng)27.4%,有力支撐人工智能訓(xùn)練和應(yīng)用。利用大模型的數(shù)據(jù)技術(shù)企業(yè)同比增長(zhǎng)57.21%,數(shù)據(jù)應(yīng)用企業(yè)同比增長(zhǎng)37.14%。提升政務(wù)服務(wù)水平。公共數(shù)據(jù)資源開(kāi)發(fā)利用步伐加快,共享樞紐平臺(tái)累計(jì)支撐調(diào)用超5400億次,有力支撐“高效辦成—件事”改革。2024年,全國(guó)地市級(jí)以上地方公共數(shù)據(jù)開(kāi)放平臺(tái)數(shù)量增長(zhǎng)7.5%,開(kāi)放的數(shù)據(jù)量增長(zhǎng)7.1%5。國(guó)家公共數(shù)據(jù)資源開(kāi)發(fā)利用“1+3”政策文件發(fā)布后,各省(自治區(qū)、直轄市)、計(jì)劃單列市中,超六成啟動(dòng)授權(quán)運(yùn)營(yíng)工作。企業(yè)數(shù)據(jù)資源開(kāi)發(fā)利用提速。2024年,66.1%的行業(yè)龍頭企業(yè)購(gòu)買(mǎi)過(guò)數(shù)據(jù),企業(yè)數(shù)據(jù)與公共數(shù)據(jù)融合應(yīng)用場(chǎng)景加速增長(zhǎng)?；钴S數(shù)據(jù)總量同比提升22.73%,活躍數(shù)據(jù)總量占存儲(chǔ)數(shù)據(jù)總量為62.04%。企業(yè)數(shù)據(jù)要素在企業(yè)內(nèi)部關(guān)鍵環(huán)節(jié),如技術(shù)研發(fā)、生產(chǎn)協(xié)同、產(chǎn)品營(yíng)銷(xiāo)、售后服務(wù)等環(huán)節(jié)中發(fā)揮了重要作用,產(chǎn)業(yè)鏈供應(yīng)鏈韌性不斷提升。2)數(shù)據(jù)應(yīng)用進(jìn)入提速期數(shù)據(jù)流通安全概述數(shù)據(jù)流通安全概述第—章我國(guó)數(shù)據(jù)市場(chǎng)在數(shù)字中國(guó)建設(shè)、發(fā)展數(shù)字經(jīng)濟(jì)的國(guó)家戰(zhàn)略與政策指導(dǎo)下,數(shù)據(jù)要素市場(chǎng)得到快速發(fā)展,并且在新技術(shù)的驅(qū)動(dòng)下,國(guó)內(nèi)的數(shù)據(jù)生產(chǎn)規(guī)模持續(xù)擴(kuò)大,數(shù)據(jù)流通交易的需求旺盛。數(shù)據(jù)生產(chǎn)、存儲(chǔ)規(guī)?？偭砍掷m(xù)擴(kuò)大。根據(jù)《全國(guó)數(shù)據(jù)資源調(diào)查報(bào)告(2024年)》報(bào)告,由于5G、人工智能、物聯(lián)網(wǎng)技術(shù)及智能設(shè)備的驅(qū)動(dòng),我國(guó)數(shù)據(jù)生產(chǎn)規(guī)模持續(xù)擴(kuò)大。2024年,全國(guó)年度數(shù)據(jù)生產(chǎn)總量達(dá)到41.06澤字節(jié)(ZB),同比增長(zhǎng)25%,增速提高2.56個(gè)百分點(diǎn)。人均年度數(shù)據(jù)生產(chǎn)量約為31.31太字節(jié)(TB),智能家居、智能網(wǎng)聯(lián)汽車(chē)、無(wú)人機(jī)等智能設(shè)備數(shù)據(jù)增速位居前列。全國(guó)數(shù)據(jù)存儲(chǔ)總量為2.09澤字節(jié)(ZB),同比增長(zhǎng)20.81%。存儲(chǔ)空間利用率為61%,同比增長(zhǎng)2個(gè)百分點(diǎn)。數(shù)據(jù)流通與交易需求旺盛。根據(jù)《數(shù)據(jù)價(jià)值化與數(shù)據(jù)要素市場(chǎng)發(fā)展報(bào)告(2024年)》報(bào)告,多元流通模式正在探索,數(shù)據(jù)資產(chǎn)化進(jìn)程加速。2023年,全國(guó)數(shù)據(jù)總流量同比增長(zhǎng)7.6%,消費(fèi)領(lǐng)域數(shù)據(jù)交互活躍度較高。中央企業(yè)和平臺(tái)企業(yè)發(fā)揮行業(yè)樞紐作用,探索數(shù)據(jù)交互機(jī)制。數(shù)據(jù)要素市場(chǎng)呈現(xiàn)場(chǎng)內(nèi)和場(chǎng)外多種形態(tài)結(jié)合。數(shù)據(jù)需求也在快速增長(zhǎng)。數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章第二章數(shù)據(jù)流通安全要求與挑戰(zhàn)國(guó)家數(shù)據(jù)政策的核心思路是在“發(fā)展”和“安全”之間尋求平衡?！矫嫱ㄟ^(guò)構(gòu)建基礎(chǔ)制度、培育市場(chǎng)、促進(jìn)流通、驅(qū)動(dòng)應(yīng)用來(lái)最大化釋放數(shù)據(jù)要素的經(jīng)濟(jì)和社會(huì)價(jià)值;另—方面通過(guò)建立健全法律法規(guī)、完善治理體系、強(qiáng)化安全措施來(lái)有效防范化解數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn),將安全貫穿數(shù)據(jù)活動(dòng)的“全過(guò)程”,確保數(shù)據(jù)要素市場(chǎng)健康有序發(fā)展,最終服務(wù)于國(guó)家高質(zhì)量發(fā)展和現(xiàn)代化建設(shè)大局。圖5數(shù)據(jù)流通安全要求2.1數(shù)據(jù)流通的安全要求隨著要素市場(chǎng)發(fā)展和數(shù)據(jù)流通需求激增的同時(shí),數(shù)據(jù)流通帶來(lái)了較大的數(shù)據(jù)流通安全風(fēng)險(xiǎn),我國(guó)陸續(xù)發(fā)布法律法規(guī),推動(dòng)數(shù)據(jù)流通安全的發(fā)展。2.1.1構(gòu)建國(guó)家法律框架數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章我國(guó)陸續(xù)發(fā)布《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī),構(gòu)建了核心的法律框架,作為數(shù)據(jù)安全的法律法規(guī)基礎(chǔ)。2017年6月1日起施行的《網(wǎng)絡(luò)安全法》,是中國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律,構(gòu)建了網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)信息安全等基本制度框架。2019年12月1日起施行的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,是配合網(wǎng)絡(luò)安全法的實(shí)施,針對(duì)安全保護(hù)需求提出安全要求。要求對(duì)數(shù)據(jù)開(kāi)展全生命周期的保障,保障數(shù)據(jù)和信息全過(guò)程中的安全等。2021年9月1日起施行的數(shù)據(jù)安全法,是中國(guó)對(duì)數(shù)據(jù)安全的專(zhuān)門(mén)法律,構(gòu)建了我國(guó)數(shù)據(jù)安全保護(hù)的框架設(shè)計(jì),對(duì)數(shù)據(jù)處理活動(dòng)提出了全面的安全要求。如要求對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理,明確重要數(shù)據(jù)的范圍,并采取相應(yīng)的安全保護(hù)措施等。2021年9月1日起施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,對(duì)承載重要數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施提出了更高的安全保護(hù)要求。如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)建立健全網(wǎng)絡(luò)安全保護(hù)制度,采取技術(shù)措施防范數(shù)據(jù)泄露安全威脅等。2021年11月1日起施行的《個(gè)人信息保護(hù)法》,是針對(duì)個(gè)人信息保護(hù)的法律,規(guī)范個(gè)人信息處理活動(dòng),并對(duì)個(gè)人信息跨境流動(dòng)等規(guī)定了嚴(yán)格規(guī)定。如合法合規(guī)收集個(gè)人信息,應(yīng)明確告知用戶(hù)個(gè)人,并獲得用戶(hù)的明確同意。應(yīng)采取匿名化等技術(shù)手段,降低個(gè)人信息泄露風(fēng)險(xiǎn)?？缇硞鬏攽?yīng)進(jìn)行安全評(píng)估、簽訂跨境傳輸協(xié)議等。2022年9月1日起施行的《數(shù)據(jù)出境安全評(píng)估辦法》,明確對(duì)向境外提供重要數(shù)據(jù)和個(gè)人信息要進(jìn)行事前安全評(píng)估,并持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合。2.1.2數(shù)據(jù)安全的相關(guān)要求通過(guò)—系列政策的發(fā)布,明確了數(shù)據(jù)安全治理目標(biāo)是建立規(guī)則明晰、產(chǎn)業(yè)繁榮、多方協(xié)同、安全高效的數(shù)據(jù)安全治理體系,應(yīng)依據(jù)統(tǒng)籌發(fā)展和安全、分類(lèi)分級(jí)保護(hù)、全過(guò)程安全管控、多方協(xié)同治理的數(shù)據(jù)安全基本原則,開(kāi)展—般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的差異化安全管理要求的數(shù)據(jù)分類(lèi)分級(jí)安全管理。通過(guò)隱私計(jì)算、數(shù)據(jù)脫敏/匿名化、區(qū)塊鏈存證、可信執(zhí)行環(huán)境等關(guān)鍵技術(shù)進(jìn)行數(shù)據(jù)安全技術(shù)保障。數(shù)據(jù)分類(lèi)分級(jí)保護(hù)。數(shù)據(jù)分類(lèi)分級(jí)是中國(guó)數(shù)據(jù)安全和數(shù)據(jù)要素治理體系中的—項(xiàng)基礎(chǔ)性、關(guān)鍵性制度。其核心目的是根據(jù)數(shù)據(jù)的屬性、內(nèi)容、重要程度以及—旦遭到篡改、破壞、泄露或者非法獲取、非法利用可能造成的危害程度,對(duì)數(shù)據(jù)進(jìn)行分類(lèi)和劃分不同安全等級(jí),并據(jù)此實(shí)施差異化的保護(hù)和管理措施。差異化安全保護(hù)。分類(lèi)分級(jí)的結(jié)果是實(shí)施不同強(qiáng)度安全保護(hù)措施的基礎(chǔ)。不同級(jí)別的數(shù)據(jù)對(duì)應(yīng)不同的管理要求、技術(shù)防護(hù)手段和操作權(quán)限。如企業(yè)應(yīng)按照數(shù)據(jù)分類(lèi)分級(jí)保護(hù)要求,采取不同的安全技術(shù)開(kāi)展數(shù)據(jù)流通。鼓勵(lì)企業(yè)“針對(duì)不同敏感級(jí)別的數(shù)據(jù)和數(shù)據(jù)處理場(chǎng)景,采取差異化的數(shù)據(jù)安全與合規(guī)管理措施”。2.1.3數(shù)據(jù)流通安全的相關(guān)要求數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章數(shù)據(jù)流通是數(shù)據(jù)實(shí)現(xiàn)經(jīng)濟(jì)市場(chǎng)的重要環(huán)節(jié),數(shù)據(jù)流通安全也是數(shù)據(jù)安全的重要部分。我國(guó)對(duì)數(shù)據(jù)流通環(huán)節(jié)的安全要求是全方位、全流程的。不僅僅關(guān)注傳輸過(guò)程本身,更強(qiáng)調(diào)流通前的合規(guī)準(zhǔn)備與風(fēng)險(xiǎn)評(píng)估,以及流通中和流通后的持續(xù)控制、監(jiān)控與管理。核心在于落實(shí)數(shù)據(jù)分類(lèi)分級(jí),對(duì)個(gè)人信息和重要數(shù)據(jù)等敏感類(lèi)型進(jìn)行重點(diǎn)保護(hù),明確各方安全責(zé)任,并通過(guò)技術(shù)與管理相結(jié)合的方式,最終實(shí)現(xiàn)風(fēng)險(xiǎn)可控、過(guò)程可溯、權(quán)責(zé)清晰、合規(guī)可信的數(shù)據(jù)流通。1)全生命周期安全要求強(qiáng)調(diào)所有數(shù)據(jù)流通全過(guò)程(采集、存儲(chǔ)、加工、傳輸、提供、公開(kāi)等)活動(dòng)必須嚴(yán)格遵守?cái)?shù)據(jù)安全法、網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法以及相關(guān)行業(yè)法規(guī)和國(guó)家標(biāo)準(zhǔn),確保來(lái)源合法、隱私保護(hù)到位、流通交易規(guī)范。建立健全全流程數(shù)據(jù)安全管理制度。參與流通的組織應(yīng)建立健全內(nèi)部數(shù)據(jù)安全管理制度和操作規(guī)程,明確負(fù)責(zé)部門(mén)和人員的安全管理責(zé)任。如《數(shù)據(jù)安全法》要求建立全流程數(shù)據(jù)安全管理制度;“數(shù)據(jù)二十條”強(qiáng)調(diào)壓實(shí)企業(yè)治理責(zé)任。安全審計(jì)與日志記錄:應(yīng)對(duì)數(shù)據(jù)流通的關(guān)鍵環(huán)節(jié)和操作行為(如訪問(wèn)、使用、傳輸、授權(quán)變更)進(jìn)行全面、準(zhǔn)確、不可篡改的日志記錄,并具備審計(jì)能力,以滿(mǎn)足追溯和問(wèn)責(zé)需求,并可計(jì)量。如要求記錄日志;提出應(yīng)探索建立流通安全審計(jì)和溯源機(jī)制。安全事件應(yīng)急處置。應(yīng)制定應(yīng)急預(yù)案,能夠在發(fā)生數(shù)據(jù)泄露、毀損、丟失等安全事件時(shí),及時(shí)采取補(bǔ)救措施,并按規(guī)定向用戶(hù)、監(jiān)管部門(mén)和 (若涉及)合作伙伴進(jìn)行告知。如要求制定應(yīng)急預(yù)案,定期開(kāi)展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件;實(shí)施方案提出應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。2)流通前安全要求數(shù)據(jù)提供方在共享前應(yīng)確保合法并進(jìn)行脫敏處理。確保數(shù)據(jù)來(lái)源合法與處理授權(quán):必須保證其擁有合法的數(shù)據(jù)來(lái)源和處理權(quán)限,特別是流通個(gè)人信息時(shí),必須獲得個(gè)人同意。應(yīng)強(qiáng)調(diào)數(shù)據(jù)提供方應(yīng)當(dāng)確保數(shù)據(jù)來(lái)源合法,并強(qiáng)調(diào)個(gè)人信息的匿名化。個(gè)人信息保護(hù)法要求取得個(gè)人的同意后,個(gè)人信息處理者方可處理個(gè)人信息。數(shù)據(jù)最小化與脫敏等處理:要求貫徹?cái)?shù)據(jù)最小化原則,僅流通為達(dá)成特定目的所必需的數(shù)據(jù)。在可能的情況下,通過(guò)脫敏、假名化、匿名化、聚合等方式對(duì)敏感數(shù)據(jù)進(jìn)行處理,降低風(fēng)險(xiǎn)。如鼓勵(lì)開(kāi)展數(shù)據(jù)脫敏等研究,對(duì)于經(jīng)脫敏等技術(shù)處理后,依據(jù)所屬行業(yè)領(lǐng)域的分類(lèi)分級(jí)標(biāo)準(zhǔn)規(guī)范重新識(shí)別為—般數(shù)據(jù)的,可按照—般數(shù)據(jù)開(kāi)展流通交易。特定評(píng)估程序。根據(jù)數(shù)據(jù)類(lèi)型和流通場(chǎng)景(尤其是跨境),完成必要的法定前置程序,如數(shù)據(jù)出境安全評(píng)估申報(bào)、個(gè)人信息出境標(biāo)準(zhǔn)合同備案、個(gè)人信息保護(hù)認(rèn)證等。3)流通中環(huán)節(jié)安全要求應(yīng)保護(hù)數(shù)據(jù)傳輸、交換,以及被外部主體訪問(wèn)或處理的過(guò)程中的安全。保障數(shù)據(jù)流通傳輸安全。必須采用加密等安全措施保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的機(jī)密性和完整性。強(qiáng)化數(shù)據(jù)流通訪問(wèn)控制。確保只有經(jīng)過(guò)身份認(rèn)證和授權(quán)的主體才能訪問(wèn)流通中的數(shù)據(jù)或相關(guān)接口。應(yīng)通過(guò)技術(shù)或管理手段,限制數(shù)據(jù)被訪問(wèn)后的使用行為,使其符合約定的目的和范圍。如鼓勵(lì)對(duì)重要數(shù)據(jù)采用“可用不可見(jiàn)、可控可計(jì)量”方式;開(kāi)展數(shù)據(jù)流通安全風(fēng)險(xiǎn)評(píng)估。應(yīng)對(duì)數(shù)據(jù)接收方開(kāi)展風(fēng)險(xiǎn)評(píng)估。如提出應(yīng)探索建立數(shù)據(jù)接收方數(shù)據(jù)安全管理風(fēng)險(xiǎn)評(píng)估制度,確保數(shù)據(jù)在安全前提下有序共享。積極應(yīng)用隱私保護(hù)計(jì)算。對(duì)于需要在保護(hù)原始數(shù)據(jù)隱私前提下進(jìn)行計(jì)算或分析的場(chǎng)景,鼓勵(lì)采用隱私增強(qiáng)技術(shù)或可信執(zhí)行環(huán)境。如鼓勵(lì)通過(guò)“數(shù)據(jù)可用不可見(jiàn)”等數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章方式,依法依規(guī)實(shí)現(xiàn)數(shù)據(jù)價(jià)值開(kāi)發(fā)。開(kāi)展數(shù)據(jù)流通安全監(jiān)控:對(duì)數(shù)據(jù)接口、平臺(tái)或處理環(huán)境的訪問(wèn)日志、操作行為進(jìn)行持續(xù)監(jiān)控,及時(shí)發(fā)現(xiàn)異?；顒?dòng)或潛在安全威脅。4)流通后環(huán)節(jié)安全要求數(shù)據(jù)接收方在完成主要流通環(huán)節(jié)后,仍有持續(xù)的安全和管理要求:落實(shí)接收方安全責(zé)任。數(shù)據(jù)接收方在收到數(shù)據(jù)后,應(yīng)履行協(xié)議約定和法律規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù),對(duì)其接收的數(shù)據(jù)負(fù)責(zé)。如數(shù)據(jù)安全法對(duì)數(shù)據(jù)處理者要求開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè),發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施。如《實(shí)施方案》要求數(shù)據(jù)接收方按照“誰(shuí)經(jīng)手、誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)”的原則,承擔(dān)數(shù)據(jù)接收后的安全管理責(zé)任。審計(jì)支持與可追溯性驗(yàn)證。接收方應(yīng)支持提供方或監(jiān)管機(jī)構(gòu)對(duì)法律或合同進(jìn)行審計(jì),以驗(yàn)證其數(shù)據(jù)使用行為的合規(guī)性。同時(shí),利用在“流通中”前期產(chǎn)生的日志和記錄,能實(shí)現(xiàn)對(duì)關(guān)鍵處理活動(dòng)的事后追溯?！秾?shí)施方案》提出“探索建立數(shù)據(jù)流通安全審計(jì)和溯源機(jī)制,融合應(yīng)用數(shù)字水印、數(shù)據(jù)指紋、區(qū)塊鏈等技術(shù)手段,高效支撐數(shù)據(jù)流通過(guò)程中的取證和定罪?！卑踩录f(xié)同響應(yīng)與通知。如果接收方發(fā)生涉及流通的數(shù)據(jù)安全事件(如丟失、丟失),必須及時(shí)通知數(shù)據(jù)提供方,并落實(shí)預(yù)案和合同約定,與提供方協(xié)同地進(jìn)行事件發(fā)生、影響評(píng)估和事故。同時(shí),雙方需履行對(duì)監(jiān)管部門(mén)和(若涉及個(gè)人信息)個(gè)人信息主體的告知義務(wù)。如《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》均規(guī)定了安全事件的事故消除和報(bào)告/通知義務(wù),這些義務(wù)同樣適用于流通數(shù)據(jù)的接收方。2.2數(shù)據(jù)流通安全面臨的挑戰(zhàn)中國(guó)數(shù)據(jù)市場(chǎng)的蓬勃發(fā)展正將數(shù)據(jù)安全推向更加重要的戰(zhàn)略位置。巨大的市場(chǎng)潛力和日益增長(zhǎng)的數(shù)據(jù)流通需求,與日益復(fù)雜的安全挑戰(zhàn)和不斷發(fā)生的威脅并存。圖6數(shù)據(jù)流通安全面臨的挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章2.2.1數(shù)據(jù)流通安全面臨的挑戰(zhàn)中國(guó)推出新型生產(chǎn)要素,并大力推動(dòng)要素?cái)?shù)據(jù)市場(chǎng)化配置,這無(wú)疑極大加速了數(shù)據(jù)的產(chǎn)生、匯聚、處理和流通。這種快速發(fā)展帶來(lái)了外部的機(jī)遇,但也對(duì)數(shù)據(jù)流通安全構(gòu)成了巨大的壓力,并且數(shù)據(jù)流通復(fù)雜的特點(diǎn)也給安全帶來(lái)了挑戰(zhàn):l數(shù)據(jù)量和流通頻率激增:市場(chǎng)的活躍意味著數(shù)據(jù)交換和共享的更大規(guī)模、更高頻率。數(shù)據(jù)流動(dòng)的范圍擴(kuò)大、速度加快,使得追蹤、監(jiān)控和保護(hù)數(shù)據(jù)變得更加困難,攻擊面顯著增加。l數(shù)據(jù)類(lèi)型多樣,支撐各異:流通的數(shù)據(jù)不僅包括商業(yè)信息,還可能涉及大量的個(gè)人信息、重要的工業(yè)數(shù)據(jù),甚至可能損害國(guó)家秘密或公共利益。如何對(duì)不同類(lèi)型、不同敏感程度的數(shù)據(jù)進(jìn)行分類(lèi)保護(hù)和合規(guī)流轉(zhuǎn),是巨大的管理壓力。l多個(gè)參與方,責(zé)任鏈條復(fù)雜:數(shù)據(jù)流通涉及數(shù)據(jù)提供方、使用方、處理方、交易平臺(tái)、技術(shù)服務(wù)商等多個(gè)環(huán)節(jié)和主體。數(shù)據(jù)在不同主體間流轉(zhuǎn)、責(zé)任總監(jiān)、風(fēng)險(xiǎn)介入和統(tǒng)—安全標(biāo)準(zhǔn)的實(shí)施變得極為復(fù)雜,任何—個(gè)環(huán)節(jié)的薄弱都可能導(dǎo)致整體安全風(fēng)險(xiǎn)。l數(shù)據(jù)價(jià)值凸顯,吸引力增強(qiáng):隨著數(shù)據(jù)要素價(jià)值被認(rèn)可,關(guān)鍵業(yè)務(wù)數(shù)據(jù)、用戶(hù)數(shù)據(jù)、行業(yè)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值即將提升,成為不法分子(黑客、內(nèi)部人員、商業(yè)間諜)和高級(jí)持續(xù)性威脅 (APT)組織的主要目標(biāo)攻擊。l新應(yīng)用帶來(lái)的新風(fēng)險(xiǎn):大數(shù)據(jù)分析、人工智能(特別是大模型訓(xùn)練)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用,在促進(jìn)數(shù)據(jù)利用的同時(shí),也引入了新的安全脆弱點(diǎn),如模型安全、API安全、云安全環(huán)境配置、海量接入安全等。l嚴(yán)格的合規(guī)要求與發(fā)展需求的平衡:國(guó)家在鼓勵(lì)數(shù)據(jù)流通的同時(shí),同時(shí)出臺(tái)了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等配套法規(guī)和標(biāo)準(zhǔn),對(duì)數(shù)據(jù)處理活動(dòng)(尤其是跨境流動(dòng))提出了嚴(yán)格的合規(guī)要求。需要在保障安全合規(guī)與促進(jìn)數(shù)據(jù)要素價(jià)值釋放之間找到平衡點(diǎn),給監(jiān)管和市場(chǎng)帶來(lái)了挑戰(zhàn)。2.2.2企業(yè)和政府參與數(shù)流通的需求和挑戰(zhàn)企業(yè)和政府部門(mén)在數(shù)據(jù)流通安全方面最迫切的需求和面臨的主要挑戰(zhàn)/痛點(diǎn)包括:1)核心需求l滿(mǎn)足合規(guī)要求:這是當(dāng)前最直接和普遍的需求,特別是滿(mǎn)足《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、等保2.0、行業(yè)監(jiān)管以及數(shù)據(jù)出境等規(guī)定。l保障核心數(shù)據(jù)資產(chǎn)安全:保護(hù)商業(yè)秘密、知識(shí)產(chǎn)權(quán)、重要客戶(hù)信息、個(gè)人隱私等敏感數(shù)據(jù)在流通過(guò)程中不泄露、不被濫用。l實(shí)現(xiàn)“可用不可見(jiàn)”的數(shù)據(jù)共享:在不暴露原始敏感數(shù)據(jù)的前提下,與合作伙伴或第三方進(jìn)行數(shù)數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章?lián)诤戏治?、?lián)合建模，以挖掘數(shù)據(jù)價(jià)值。l對(duì)外提供數(shù)據(jù)服務(wù)的安全可控:確保通過(guò)API等方式對(duì)外提供數(shù)據(jù)服務(wù)時(shí)，訪問(wèn)可控、行為可審計(jì)、風(fēng)險(xiǎn)可防。l提升數(shù)據(jù)流轉(zhuǎn)效率與便捷性:在保障安全的前提下，盡可能簡(jiǎn)化流程，提高數(shù)據(jù)共享和交換的效率，避免安全措施成為業(yè)務(wù)瓶頸。l安全事件的可追溯與責(zé)任界定:發(fā)生安全事件后，能夠快速定位問(wèn)題源頭，明確責(zé)任。2)主要痛點(diǎn)l數(shù)據(jù)資產(chǎn)家底不清:難以全面、準(zhǔn)確地識(shí)別和梳理企業(yè)內(nèi)部(包括業(yè)務(wù)系統(tǒng)和非結(jié)構(gòu)化文件中)的敏感數(shù)據(jù)和重要數(shù)據(jù)，分類(lèi)分級(jí)落地困難。lAPI接口管不過(guò)來(lái):API數(shù)量眾多、版本迭代快、缺乏統(tǒng)—管理，“影子API”、“僵尸API”風(fēng)險(xiǎn)突出，接口權(quán)限控制粗放，易受攻擊。l外部共享落地失控:數(shù)據(jù)—旦通過(guò)文件、郵件等方式共享給外部合作方，后續(xù)的使用和流通難以有效控制，泄露風(fēng)險(xiǎn)高。l多方協(xié)作信任缺失:企業(yè)間因擔(dān)心數(shù)據(jù)泄露、濫用或知識(shí)產(chǎn)權(quán)受損，不愿或不敢共享數(shù)據(jù)，數(shù)據(jù)孤島問(wèn)題嚴(yán)重。l新技術(shù)用不起來(lái):隱私計(jì)算等新興技術(shù)原理復(fù)雜、成本高、性能有待提升、與現(xiàn)有業(yè)務(wù)系統(tǒng)集成難度大，企業(yè)缺乏專(zhuān)業(yè)人才進(jìn)行評(píng)估和部署。l安全與業(yè)務(wù)平衡兩難:過(guò)于嚴(yán)格的安全措施可能影響業(yè)務(wù)效率和用戶(hù)體驗(yàn)，而過(guò)于寬松則無(wú)法滿(mǎn)足合規(guī)和風(fēng)險(xiǎn)控制要求。l安全事件溯源困難:數(shù)據(jù)流轉(zhuǎn)鏈條長(zhǎng)、環(huán)節(jié)多，發(fā)生泄露或?yàn)E用后，難以快速、準(zhǔn)確地定位泄露源頭和責(zé)任方。l合規(guī)壓力大且成本高:面對(duì)密集出臺(tái)的法規(guī)政策，企業(yè)在理解和落實(shí)合規(guī)要求方面投入巨大，且擔(dān)心因理解偏差或執(zhí)行不到位而面臨處罰。2.2.3數(shù)據(jù)安全威脅態(tài)勢(shì)日益嚴(yán)峻的挑戰(zhàn)傳統(tǒng)原始數(shù)據(jù)搬家模式難以適應(yīng)安全合規(guī)要求，數(shù)據(jù)安全事件頻發(fā)，需要高度關(guān)注數(shù)據(jù)安全威脅趨勢(shì):l勒索軟件攻擊持續(xù)升級(jí):攻擊者利用數(shù)據(jù)的高價(jià)值，封鎖地加密關(guān)鍵數(shù)據(jù)資產(chǎn)，索要高額贖金，且攻擊手段(如雙重勒索)不斷重建。l數(shù)據(jù)泄露:除了外部攻擊，內(nèi)部人員(竊取或無(wú)意)導(dǎo)致的數(shù)據(jù)泄露、系統(tǒng)配置錯(cuò)誤(如云上權(quán)限設(shè)置不當(dāng))、API接口漏洞、合作伙伴泄露等依然高發(fā)。數(shù)據(jù)泄露造成了泄露風(fēng)險(xiǎn)。數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章l供應(yīng)鏈攻擊頻繁較弱:攻擊者通過(guò)攻擊防護(hù)相對(duì)薄弱的第三方軟件供應(yīng)商或服務(wù)商,將其作為跳板,進(jìn)—步攻擊目標(biāo)企業(yè)竊取數(shù)據(jù)。l針對(duì)AI/大模型的攻擊:隨著AI應(yīng)用普及,針對(duì)模型本身的攻擊(如數(shù)據(jù)投毒、模型攻擊等)以及利用AI進(jìn)行更廣泛的攻擊(如自動(dòng)化釣魚(yú))成為新趨勢(shì)。lAPI安全風(fēng)險(xiǎn)凸顯:數(shù)據(jù)流通和系統(tǒng)集成大量依賴(lài)API,不安全的API設(shè)計(jì)、認(rèn)證授權(quán)缺陷、傳輸加密不足等問(wèn)題,為數(shù)據(jù)竊取和破壞提供了可乘之機(jī)。l個(gè)人信息和重要數(shù)據(jù)的精準(zhǔn)竊取價(jià)值:攻擊者不再滿(mǎn)足于泛化的數(shù)據(jù)竊取,而是更傾向于精準(zhǔn)定位高的個(gè)人敏感信息、商業(yè)秘密、關(guān)鍵技術(shù)數(shù)據(jù)等。l合規(guī)性風(fēng)險(xiǎn)與安全風(fēng)險(xiǎn)構(gòu)成:未能滿(mǎn)足數(shù)據(jù)安全法律法規(guī)的要求本身就構(gòu)成—種風(fēng)險(xiǎn)(面臨處罰、處罰、加重),同時(shí)也可能因?yàn)榘踩胧┎坏轿欢鴮?dǎo)致實(shí)際的數(shù)據(jù)安全事件。今年典型的數(shù)據(jù)安全事件案例:2024年8月,美國(guó)國(guó)家公共數(shù)據(jù)公司遭遇黑客攻擊事件,影響約1.7億人。黑客在2023年底開(kāi)始滲透美國(guó)國(guó)家公共數(shù)據(jù)的系統(tǒng),利用公共基礎(chǔ)設(shè)施中的多個(gè)安全漏洞,包括未及時(shí)修補(bǔ)的軟件缺陷和不嚴(yán)密的訪問(wèn)控制機(jī)制。攻擊者竊取數(shù)據(jù)后于2024年4月將數(shù)據(jù)上傳至暗網(wǎng)并出售。2024年8月,泄露事件的全部規(guī)模被完全揭露,導(dǎo)致多起針對(duì)NPD的集體訴訟。為應(yīng)對(duì)升級(jí)的財(cái)務(wù)和法律危機(jī),NPD于2024年10月正式向法院申請(qǐng)破產(chǎn)保護(hù),并最終在同年12月宣布關(guān)閉運(yùn)營(yíng)。(消息來(lái)源:securityintelligence)2024年3月,AT&T客戶(hù)敏感在暗網(wǎng)待售,涉及7300萬(wàn)美國(guó)民眾。美國(guó)AT&T公司宣布,發(fā)現(xiàn)超過(guò)7300萬(wàn)名現(xiàn)有及前任客戶(hù)的個(gè)人數(shù)據(jù)在暗網(wǎng)上被泄露。該事件的數(shù)據(jù)集源自2019年或更早,涉及數(shù)據(jù)的用戶(hù)包括約760萬(wàn)名現(xiàn)有賬戶(hù)持有者和約6540萬(wàn)名前賬戶(hù)持有者,泄露的數(shù)據(jù)可能通過(guò)第三方途徑外泄。 (消息來(lái)源:Independent)2023年3月,南昌市公安局工作發(fā)現(xiàn),江西某職業(yè)技術(shù)大學(xué)師生個(gè)人信息疑似遭泄露。經(jīng)查,該學(xué)校未健全全流程數(shù)據(jù)安全管理制度,未采取數(shù)據(jù)加密等相應(yīng)技術(shù)措施保障數(shù)據(jù)安全,導(dǎo)致學(xué)校數(shù)據(jù)庫(kù)被黑客非法入侵,師生個(gè)人敏感信息數(shù)據(jù)遭泄露。南昌市公安局依據(jù)數(shù)據(jù)安全法第二十七條、第四十五條之規(guī)定,對(duì)該學(xué)校給予行政處罰。2023年5月,江西某股份有限公司因履行數(shù)據(jù)安全保護(hù)義務(wù)不到位導(dǎo)致0A系統(tǒng)感染了可獲取服務(wù)器文件管理權(quán)限和命令執(zhí)行權(quán)限的木馬程序,并且在開(kāi)展數(shù)據(jù)處理活動(dòng)未加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè),在發(fā)現(xiàn)數(shù)據(jù)安全漏洞風(fēng)險(xiǎn)和事件時(shí)未采取補(bǔ)救措施,未履行風(fēng)險(xiǎn)監(jiān)測(cè)、補(bǔ)救處置等義務(wù),相關(guān)行為違反了數(shù)據(jù)安全法第二十九條規(guī)定。南昌市網(wǎng)信辦依據(jù)第45條的規(guī)定,對(duì)江西某股份有限公司處以警告、罰款50萬(wàn)元,對(duì)直接負(fù)責(zé)的主管人員處以罰款5萬(wàn)元的行政處罰。2023年6月,衡陽(yáng)網(wǎng)信部門(mén)在數(shù)據(jù)安全領(lǐng)域開(kāi)出的首張“罰單”。衡南縣某醫(yī)院未履行數(shù)據(jù)安全保護(hù)義務(wù),造成部分?jǐn)?shù)據(jù)泄露,違反數(shù)據(jù)安全法第二十九條規(guī)定。衡南縣網(wǎng)信辦依據(jù)第45條,對(duì)該醫(yī)院作數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章出責(zé)令整改、罰款5萬(wàn)元的行政處罰。同時(shí),對(duì)第三方技術(shù)公司及相關(guān)責(zé)任人處以1.2萬(wàn)元罰款。2022年,由于滴滴公司涉及違法收集、過(guò)度收集乘客人臉識(shí)別信息等,中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)滴滴全球股份有限公司依法對(duì)滴滴全球股份有限公司處80.26億元(人民幣,下同)罰款,對(duì)滴滴全球股份有限公司董事長(zhǎng)兼CE0程維、總裁柳青各處人民幣100萬(wàn)元罰款。2.3常見(jiàn)的數(shù)據(jù)流通安全風(fēng)險(xiǎn)數(shù)據(jù)流通的風(fēng)險(xiǎn)是動(dòng)態(tài)的,并隨著參與者角色和流通階段的變化而演變。并且每個(gè)環(huán)節(jié)都需要所有相關(guān)參與者高度警惕并采取針對(duì)性的防范措施,應(yīng)識(shí)別并管理不同階段、不同參與者所面臨的風(fēng)險(xiǎn),通過(guò)事前充分準(zhǔn)備、事中嚴(yán)格控制、事后有效驗(yàn)證與管理,形成閉環(huán)的風(fēng)險(xiǎn)管理體系。圖7常見(jiàn)的數(shù)據(jù)流通安全風(fēng)險(xiǎn)1)流通前階段主要風(fēng)險(xiǎn)此階段的風(fēng)險(xiǎn)主要源于數(shù)據(jù)識(shí)別不清、合規(guī)基礎(chǔ)不牢、合作方評(píng)估不足、共享目錄約定不明以及內(nèi)部決策與準(zhǔn)備不充分。l數(shù)據(jù)識(shí)別與分類(lèi)分級(jí)不準(zhǔn)確風(fēng)險(xiǎn):未能準(zhǔn)確識(shí)別數(shù)據(jù)中包含的個(gè)人信息(特別是敏感個(gè)人信息)、重要數(shù)據(jù)、商業(yè)秘密,導(dǎo)致后續(xù)保護(hù)措施等級(jí)不足或選擇了錯(cuò)誤的合規(guī)路徑。或?qū)?shù)據(jù)價(jià)值、質(zhì)量、時(shí)效性評(píng)估不準(zhǔn),影響共享決策和后續(xù)應(yīng)用效果。l合規(guī)性基礎(chǔ)風(fēng)險(xiǎn):共享個(gè)人信息未能獲得合法的個(gè)人信息主體同意(如未進(jìn)行單獨(dú)同意告知等);共享流通數(shù)據(jù)的范圍不符合法律法規(guī)要求(如超出最小必要原則等);未能按規(guī)定啟動(dòng)必要的事前評(píng)估程序(如個(gè)人信息保護(hù)影響評(píng)估、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估等)。l接收方盡職調(diào)查不足風(fēng)險(xiǎn):對(duì)數(shù)據(jù)接收方的安全保障能力、技術(shù)水平等缺乏充分的調(diào)查和評(píng)估,選擇能力不足的合作伙伴,為后續(xù)數(shù)據(jù)泄露或?yàn)E用埋下隱患。數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章l數(shù)據(jù)處理與準(zhǔn)備不當(dāng)風(fēng)險(xiǎn):數(shù)據(jù)共享范圍超出最小必要范圍的數(shù)據(jù)。數(shù)據(jù)脫敏、匿名化或假名化處理不徹底或方法不當(dāng),導(dǎo)致數(shù)據(jù)仍存在較高的重識(shí)別風(fēng)險(xiǎn)或敏感信息泄露風(fēng)險(xiǎn)。數(shù)據(jù)加密措施選擇不當(dāng)或密鑰管理存在缺陷。2)流通中的主要風(fēng)險(xiǎn)此階段風(fēng)險(xiǎn)主要集中在技術(shù)安全漏洞、操作管理疏忽和行為合規(guī)偏離。l通用操作與環(huán)境風(fēng)險(xiǎn):n人為操作失誤風(fēng)險(xiǎn):如安全配置錯(cuò)誤、數(shù)據(jù)誤發(fā)送給錯(cuò)誤接收方、弱密碼使用、意外點(diǎn)擊惡意鏈接導(dǎo)致系統(tǒng)被入侵等。n內(nèi)部惡意行為風(fēng)險(xiǎn):任何參與方(提供方、接收方、平臺(tái)方)的內(nèi)部人員濫用訪問(wèn)權(quán)限,主動(dòng)竊取、泄露、篡改或破壞流通中的數(shù)據(jù)。n外部網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn):針對(duì)數(shù)據(jù)傳輸通道、存儲(chǔ)節(jié)點(diǎn)、處理系統(tǒng)、API接口、參與方端點(diǎn)設(shè)備等進(jìn)行各種網(wǎng)絡(luò)攻擊(如數(shù)據(jù)嗅探、SQL注入、DDoS攻擊、勒索軟件、APT攻擊等),以竊取、篡改或破壞數(shù)據(jù)。l數(shù)據(jù)提供方的特定風(fēng)險(xiǎn):n傳輸接口/通道泄露風(fēng)險(xiǎn):因選用的數(shù)據(jù)傳輸通道(如API等)安全配置不當(dāng)、協(xié)議存在漏洞,導(dǎo)致數(shù)據(jù)在傳輸給接收方過(guò)程中被攔截或泄露。n訪問(wèn)控制/使用控制失效風(fēng)險(xiǎn):提供方部署的訪問(wèn)控制策略被繞過(guò),或(若有)數(shù)據(jù)使用控制技術(shù)失效,導(dǎo)致接收方可能超范圍獲取或使用數(shù)據(jù)。l數(shù)據(jù)接收方的特定風(fēng)險(xiǎn):n落地存儲(chǔ)與處理泄露風(fēng)險(xiǎn):接收到的數(shù)據(jù)在己方系統(tǒng)存儲(chǔ)或處理時(shí),因自身安全措施不足(如存儲(chǔ)未加密、內(nèi)部訪問(wèn)控制不嚴(yán)、處理環(huán)境存在漏洞)導(dǎo)致數(shù)據(jù)泄露。n數(shù)據(jù)污染/完整性破壞風(fēng)險(xiǎn):在處理過(guò)程中意外或惡意破壞了接收數(shù)據(jù)的準(zhǔn)確性和完整性。n數(shù)據(jù)濫用與合規(guī)偏離風(fēng)險(xiǎn):實(shí)際使用數(shù)據(jù)的行為超出了與提供方約定的目的、范圍或方式,或違反了相關(guān)法律法規(guī)(如對(duì)個(gè)人信息進(jìn)行二次畫(huà)像用于其他目的)。l數(shù)據(jù)流通平臺(tái)特定風(fēng)險(xiǎn)(若有):n平臺(tái)運(yùn)營(yíng)方自身安全漏洞風(fēng)險(xiǎn):平臺(tái)系統(tǒng)(API、數(shù)據(jù)庫(kù)、可信空間等基礎(chǔ)設(shè)施)被黑客攻擊、遭受DDoS攻擊導(dǎo)致服務(wù)中斷或平臺(tái)軟件漏洞被利用,可能導(dǎo)致通過(guò)平臺(tái)流通的所有數(shù)據(jù)泄露、被篡改或平臺(tái)功能失效。n平臺(tái)運(yùn)營(yíng)方監(jiān)控與審計(jì)失效風(fēng)險(xiǎn):平臺(tái)未能有效監(jiān)控其上的數(shù)據(jù)交換行為和參與者活動(dòng),無(wú)法及時(shí)發(fā)現(xiàn)違規(guī)操作、數(shù)據(jù)濫用或安全事件。數(shù)據(jù)流通安全要求與挑戰(zhàn)數(shù)據(jù)流通安全要求與挑戰(zhàn)第二章n平臺(tái)運(yùn)營(yíng)方策略執(zhí)行不力風(fēng)險(xiǎn):平臺(tái)未能有效執(zhí)行其制定的流通規(guī)則、安全策略或數(shù)據(jù)使用控制要求，導(dǎo)致不合規(guī)或不安全的流通行為發(fā)生。l第三方服務(wù)商風(fēng)險(xiǎn)(若有):n依賴(lài)的第三方技術(shù)服務(wù)(如云存儲(chǔ)、隱私計(jì)算服務(wù)、安全服務(wù))自身存在安全漏洞或運(yùn)營(yíng)事故，導(dǎo)致數(shù)據(jù)風(fēng)險(xiǎn)。3)流通后的主要風(fēng)險(xiǎn)此階段指數(shù)據(jù)在接收方處被應(yīng)用，以及流通關(guān)系終止后的管理，風(fēng)險(xiǎn)主要源于持續(xù)性責(zé)任履行不到位、數(shù)據(jù)殘留和審計(jì)追溯困難。l數(shù)據(jù)濫用與目的改變風(fēng)險(xiǎn):接收方在長(zhǎng)期使用過(guò)程中，將數(shù)據(jù)用于超出最初約定或授權(quán)的新目的，或與更多內(nèi)部數(shù)據(jù)進(jìn)行不當(dāng)關(guān)聯(lián)分析，產(chǎn)生新的隱私或合規(guī)風(fēng)險(xiǎn)。l合規(guī)舉證不足風(fēng)險(xiǎn):在面臨提供方、數(shù)據(jù)主體或監(jiān)管機(jī)構(gòu)的審計(jì)或調(diào)查時(shí)，接收方無(wú)法提供充分的證據(jù)證明其在數(shù)據(jù)接收、存儲(chǔ)、使用、處理和銷(xiāo)毀等環(huán)節(jié)的持續(xù)合規(guī)性。l數(shù)據(jù)泄露/濫用追溯困難風(fēng)險(xiǎn):因日志記錄不完整、不規(guī)范或缺乏多方關(guān)聯(lián)分析能力，導(dǎo)致發(fā)生問(wèn)題后難以準(zhǔn)確追溯數(shù)據(jù)泄露的源頭或?yàn)E用行為的軌跡。l訪問(wèn)權(quán)限未及時(shí)撤銷(xiāo)風(fēng)險(xiǎn):數(shù)據(jù)提供方或平臺(tái)方在合作結(jié)束后，未能及時(shí)、徹底地撤銷(xiāo)授予接收方的所有相關(guān)系統(tǒng)訪問(wèn)權(quán)限、API密鑰、賬戶(hù)等，留下安全后門(mén)。l安全事件響應(yīng)不足風(fēng)險(xiǎn):引發(fā)安全事件(如發(fā)現(xiàn)數(shù)據(jù)泄露)，對(duì)安全事件響應(yīng)能力不足，或可能因責(zé)任界定不清、溝通渠道不暢導(dǎo)致協(xié)同響應(yīng)不力。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章第三章數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施通過(guò)構(gòu)建完善、科學(xué)且行之有效的數(shù)據(jù)流通安全治理框架、技術(shù)架構(gòu)和數(shù)據(jù)流通安全風(fēng)險(xiǎn)評(píng)估,可以有效保障流通全程安全、賦能可信數(shù)據(jù)流通、指導(dǎo)技術(shù)選型與建設(shè)、提升數(shù)據(jù)流通安全管理能力。3.1數(shù)據(jù)流通安全治理框架數(shù)據(jù)流通安全治理參考框架可以指導(dǎo)組織系統(tǒng)性地建立和運(yùn)行其數(shù)據(jù)流通安全管理體系,并且強(qiáng)調(diào)核心原則的統(tǒng)—性和具體實(shí)踐的場(chǎng)景適應(yīng)性,為后續(xù)的安全能力和技術(shù)框架提供頂層指引。治理框架是組織在復(fù)雜的數(shù)據(jù)流通環(huán)境中實(shí)現(xiàn)安全、合規(guī)與價(jià)值創(chuàng)造目標(biāo)的重要保障。3.1.1數(shù)據(jù)流通安全治理框架的目標(biāo)和原則面對(duì)數(shù)據(jù)流通帶來(lái)的復(fù)雜風(fēng)險(xiǎn)和嚴(yán)格的合規(guī)要求,應(yīng)構(gòu)建可整合零散控制措施的系統(tǒng)性方法。數(shù)據(jù)流通安全治理框架是—座嚴(yán)格運(yùn)營(yíng)的“安全數(shù)據(jù)橋梁”,治理框架即這座橋梁的總體設(shè)計(jì)藍(lán)圖和運(yùn)營(yíng)維護(hù)手冊(cè),其目的是提供結(jié)構(gòu)化的途徑,確保數(shù)據(jù)流通活動(dòng)在受控、合規(guī)、可信的環(huán)境下進(jìn)行。1)數(shù)據(jù)流通安全治理框架的核心目標(biāo)是:l確保合規(guī):系統(tǒng)性滿(mǎn)足國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)及合同約定。l管理風(fēng)險(xiǎn):有效識(shí)別、評(píng)估、處置和監(jiān)控?cái)?shù)據(jù)流通中的各類(lèi)安全與隱私風(fēng)險(xiǎn)。l明晰權(quán)責(zé):清晰界定數(shù)據(jù)流通各參與方及內(nèi)部角色的安全責(zé)任與權(quán)利。l建立信任:通過(guò)透明的規(guī)則和可靠的保障措施,在參與方之間建立和維護(hù)信任。l支撐價(jià)值實(shí)現(xiàn):在安全可控的前提下,保障數(shù)據(jù)要素價(jià)值的順暢流動(dòng)與釋放。l促進(jìn)能力提升:為組織系統(tǒng)性地構(gòu)建和提升數(shù)據(jù)流通安全所需的核心能力提供指引2)數(shù)據(jù)流通安全治理框架的原則是:l合規(guī)驅(qū)動(dòng):將遵守適用的法律法規(guī)(如數(shù)據(jù)安全法、個(gè)人信息保護(hù)法)、監(jiān)管要求、行業(yè)標(biāo)準(zhǔn)和合同義務(wù)作為所有治理活動(dòng)的基線(xiàn)和出發(fā)點(diǎn)。l風(fēng)險(xiǎn)為本:治理措施的制定、安全控制的選擇和資源投入的優(yōu)先級(jí),應(yīng)基于對(duì)具體數(shù)據(jù)流通場(chǎng)景的全面風(fēng)險(xiǎn)評(píng)估結(jié)果。l權(quán)責(zé)清晰:必須明確界定數(shù)據(jù)流通鏈條中每—個(gè)參與者(內(nèi)部角色和外部伙伴)的安全責(zé)任、數(shù)據(jù)權(quán)數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章利(或使用權(quán)限)和相關(guān)義務(wù),確保責(zé)任可追溯。l全程可控:治理和安全控制應(yīng)力求覆蓋數(shù)據(jù)流通的全生命周期,尤其關(guān)注數(shù)據(jù)離開(kāi)原始控制域后的使用行為管控。l透明可信:治理規(guī)則應(yīng)盡可能透明,關(guān)鍵操作應(yīng)可審計(jì),技術(shù)保障措施應(yīng)可靠,以此構(gòu)建參與方之間的互信基礎(chǔ)。l持續(xù)改進(jìn):治理體系應(yīng)具備動(dòng)態(tài)監(jiān)測(cè)、定期評(píng)估、反饋學(xué)習(xí)和迭代優(yōu)化的機(jī)制,以適應(yīng)不斷變化的內(nèi)外部環(huán)境。3)數(shù)據(jù)流通安全治理框架的價(jià)值數(shù)據(jù)流通安全治理框架的價(jià)值在于其系統(tǒng)性與—致性,提供全面視角來(lái)管理數(shù)據(jù)流通安全,確保各方面工作協(xié)調(diào)—致;同時(shí)通過(guò)風(fēng)險(xiǎn)評(píng)估和場(chǎng)景適配,聚焦關(guān)鍵風(fēng)險(xiǎn),提高治理效率;它還能將法律法規(guī)要求融入日常管理流程,降低合規(guī)風(fēng)險(xiǎn),明確關(guān)鍵能力領(lǐng)域,指導(dǎo)組織發(fā)展,并通過(guò)場(chǎng)景適配機(jī)制,靈活應(yīng)對(duì)多樣化的業(yè)務(wù)需求和變化的外部環(huán)境。3.1.2數(shù)據(jù)流通安全治理框架的內(nèi)容和核心組件本框架借鑒DAMA數(shù)據(jù)管理知識(shí)體系、IS03100風(fēng)險(xiǎn)管理等最佳實(shí)踐框架,結(jié)合中國(guó)政策法規(guī)的強(qiáng)制性要求(如數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)保護(hù)、跨境流動(dòng)規(guī)則),為在國(guó)內(nèi)組織構(gòu)建有效的數(shù)據(jù)流通安全治理體系提供—個(gè)既有堅(jiān)實(shí)理論支撐、又具有高度實(shí)踐指導(dǎo)性的藍(lán)圖框架。1)治理框架參考安全牛借鑒融合了國(guó)際成熟理論與最佳實(shí)踐(如DAMA數(shù)據(jù)管理知識(shí)體系、IS03100風(fēng)險(xiǎn)管理等),緊密結(jié)合并深度適配了中國(guó)特定的法律法規(guī)環(huán)境、政策導(dǎo)向和數(shù)據(jù)要素市場(chǎng)發(fā)展戰(zhàn)略,并整合了應(yīng)對(duì)數(shù)據(jù)流通獨(dú)特挑戰(zhàn)(如多方信任建立、使用過(guò)程控制、隱私與效用平衡)的最佳實(shí)踐和新興技術(shù)治理考量,探索形成—個(gè)既有理論基礎(chǔ),又能夠適應(yīng)中國(guó)獨(dú)特監(jiān)管環(huán)境和戰(zhàn)略目標(biāo),兼具適應(yīng)性與創(chuàng)新性的框架。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章圖8安全治理框架參考l國(guó)際最佳實(shí)踐:IS0/IEC27000系列(信息安全管理體系):借鑒IS027000構(gòu)建信息安全管理體系的系統(tǒng)化方法,如風(fēng)險(xiǎn)評(píng)估與處理的核心地位,以及全面的安全控制域如訪問(wèn)控制、密碼學(xué)、物理安全、運(yùn)維安全、供應(yīng)商關(guān)系等,為治理框架的政策與標(biāo)準(zhǔn)、核心流程域提供實(shí)踐指導(dǎo)。安全牛將這些通用的安全管理原則和控制要求,作為數(shù)據(jù)流通安全治理的基礎(chǔ)性、普適性要求融入框架的策略、流程和技術(shù)治理中。C0BIT(IT治理與管理框架):借鑒C0BIT治理與管理分離的思想、端到端的業(yè)務(wù)流程視角,以及明確的流程域劃分和治理組件(如原則、策略、流程、組織結(jié)構(gòu)、文化、技能、信息等)。為框架的結(jié)構(gòu)化設(shè)計(jì)、強(qiáng)調(diào)與業(yè)務(wù)目標(biāo)對(duì)齊提供實(shí)踐指導(dǎo)。NIST網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理框架:借鑒NIST的“識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)”五大功能為思考安全全生命周期管理提供了高層視角,以及風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的方法論。為框架的“風(fēng)險(xiǎn)為本”核心原則以及“核心治理流程域”中的風(fēng)險(xiǎn)評(píng)估與處置流程,提供實(shí)踐指導(dǎo)。DAMADMB0K(數(shù)據(jù)管理知識(shí)體系):借鑒DAMA的數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、元數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全等關(guān)鍵的數(shù)據(jù)管理知識(shí)領(lǐng)域。數(shù)據(jù)資產(chǎn)管理與分類(lèi)分級(jí)、數(shù)據(jù)安全知識(shí)域?yàn)楸究蚣芴峁┝藘?nèi)容參2)治理框架內(nèi)容通過(guò)借鑒國(guó)際最佳實(shí)踐的成熟框架,結(jié)合中國(guó)特點(diǎn)環(huán)境,安全治理框架的要求包括風(fēng)險(xiǎn)為本、價(jià)值協(xié)同、合理驅(qū)動(dòng)、場(chǎng)景適配。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章圖9安全治理框架數(shù)據(jù)流通安全治理框架的五大組件包括治理結(jié)構(gòu)與角色、政策與標(biāo)準(zhǔn)體系、核心治理流程域、能力建設(shè)與意識(shí)框架、技術(shù)治理與選型指導(dǎo),這五個(gè)核心組件相互關(guān)聯(lián),共同支撐起數(shù)據(jù)流通安全活動(dòng)。圖10數(shù)據(jù)流通安全治理框架數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章安全治理框架的核心組件包括:l組織架構(gòu)與角色:組織架構(gòu)是執(zhí)行策略和流程的基礎(chǔ)。組織應(yīng)建立清晰的組織架構(gòu)、決策機(jī)制和角色分工,確保數(shù)據(jù)流通安全治理有人負(fù)責(zé)、有人決策、有人執(zhí)行、有人監(jiān)督。提供組織保障,包括如定義清晰的決策、管理和執(zhí)行層級(jí)(如數(shù)據(jù)安全委員會(huì)、CD0/CIS0/DP0辦公室、數(shù)據(jù)所有者等),明確各角色的權(quán)限和責(zé)任,并建立有效的跨部門(mén)溝通和協(xié)作機(jī)制。重點(diǎn)應(yīng)關(guān)注考慮效率與制衡。l制度與標(biāo)準(zhǔn)體系:制度體系將合規(guī)要求和風(fēng)險(xiǎn)控制目標(biāo)轉(zhuǎn)化為明確的內(nèi)部規(guī)則,指導(dǎo)流程設(shè)計(jì)、技術(shù)選型和人員管理。組織應(yīng)建立制定和維護(hù)—套清晰、完整、—致的數(shù)據(jù)流通安全政策和標(biāo)準(zhǔn),作為所有相關(guān)活動(dòng)的行為準(zhǔn)則和衡量依據(jù)。如制定多層次的政策和標(biāo)準(zhǔn)文檔,包括頂層的數(shù)據(jù)流通安全總策略,以及針對(duì)數(shù)據(jù)分類(lèi)分級(jí)、風(fēng)險(xiǎn)評(píng)估、訪問(wèn)控制、加密使用、隱私保護(hù)、第三方管理、事件響應(yīng)、跨境傳輸?shù)鹊木唧w政策、標(biāo)準(zhǔn)操作程序(S0P)和技術(shù)規(guī)范。重點(diǎn)應(yīng)關(guān)注具體條款的適用性受場(chǎng)景適配調(diào)節(jié)。l流程管理:流程管理是治理框架的執(zhí)行中樞,將策略落地為行動(dòng),依賴(lài)組織角色執(zhí)行和技術(shù)工具支撐,并接受審計(jì)與改進(jìn)。組織應(yīng)將政策和標(biāo)準(zhǔn)轉(zhuǎn)化為可執(zhí)行、可重復(fù)、可審計(jì)的標(biāo)準(zhǔn)操作流程,規(guī)范數(shù)據(jù)流通安全的關(guān)鍵管理活動(dòng)。重點(diǎn)應(yīng)關(guān)注流程細(xì)節(jié)和控制點(diǎn)強(qiáng)度受場(chǎng)景適配引擎調(diào)節(jié)。如針對(duì)標(biāo)準(zhǔn)化關(guān)鍵治理活動(dòng)的流程,確保其—致性、有效性和可審計(jì)性。主要流程包括:n數(shù)據(jù)資產(chǎn)識(shí)別與分類(lèi)分級(jí)管理n流通場(chǎng)景定義與常態(tài)化風(fēng)險(xiǎn)評(píng)估n安全策略制定、審批與發(fā)布n參與方(內(nèi)外部)安全調(diào)查與協(xié)議管理n數(shù)據(jù)流通活動(dòng)的申請(qǐng)、審批與授權(quán)n安全控制措施的設(shè)計(jì)、實(shí)施與運(yùn)維n持續(xù)的安全監(jiān)控、日志記錄與分析n安全事件的應(yīng)急響應(yīng)與處置n合規(guī)性檢查、審計(jì)報(bào)告n治理效果評(píng)估與持續(xù)改進(jìn)反饋l技術(shù)架構(gòu)指導(dǎo):技術(shù)架構(gòu)可以治理要求轉(zhuǎn)化為具體的技術(shù)實(shí)現(xiàn)需求,指導(dǎo)技術(shù)架構(gòu)的選擇與應(yīng)用。組織應(yīng)設(shè)定引入、評(píng)估、使用和管理數(shù)據(jù)流通安全相關(guān)技術(shù)的原則和流程,確保技術(shù)選擇與治理目標(biāo)、風(fēng)險(xiǎn)偏好和合規(guī)要求相—致,并指導(dǎo)如何有效利用技術(shù)框架中的能力。l能力建設(shè)與意識(shí)框架:能力建設(shè)為治理框架的有效運(yùn)作提供人員的保障,降低人為風(fēng)險(xiǎn),支撐所有其他支柱的有效性。組織應(yīng)規(guī)劃如何識(shí)別、培養(yǎng)和維持執(zhí)行治理任務(wù)所需的組織能力和人員技能,數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章包括制定培訓(xùn)計(jì)劃、提升全員安全意識(shí)、建設(shè)安全文化等。3.1.3數(shù)據(jù)流通治理框架的應(yīng)用模式數(shù)據(jù)流通安全治理框架強(qiáng)調(diào)在統(tǒng)—的核心原則和結(jié)構(gòu)下,通過(guò)場(chǎng)景化的風(fēng)險(xiǎn)評(píng)估和需求分析,進(jìn)行差異化的策略部署和流程執(zhí)行。圖11“統(tǒng)—核心+多場(chǎng)景適配”的框架應(yīng)用合規(guī)與風(fēng)險(xiǎn)管理。合規(guī)與風(fēng)險(xiǎn)管理是治理框架的基石,為所有其他治理活動(dòng)設(shè)定底線(xiàn)和行動(dòng)邊界;風(fēng)險(xiǎn)評(píng)估結(jié)果是場(chǎng)景適配引擎和制定具體策略、流程、技術(shù)控制的關(guān)鍵輸入。組織應(yīng)確保所有數(shù)據(jù)流通活動(dòng)符合內(nèi)外部的合規(guī)要求,并建立系統(tǒng)性的風(fēng)險(xiǎn)管理機(jī)制,識(shí)別、評(píng)估和處置相關(guān)風(fēng)險(xiǎn)。關(guān)鍵組件包括法律法規(guī)跟蹤與解讀、行業(yè)標(biāo)準(zhǔn)采納、合同合規(guī)性審查、內(nèi)部合規(guī)政策、風(fēng)險(xiǎn)識(shí)別與評(píng)估、風(fēng)險(xiǎn)偏好設(shè)定、風(fēng)險(xiǎn)處置策略、風(fēng)險(xiǎn)監(jiān)控與報(bào)告等。場(chǎng)景適配引擎。場(chǎng)景適配引擎是治理框架的核心機(jī)制,確保通用框架的靈活性和實(shí)用性,可落地到千差萬(wàn)別的具體場(chǎng)景實(shí)踐中。接收來(lái)自風(fēng)險(xiǎn)管理和監(jiān)控審計(jì)的輸入,并指導(dǎo)所有治理支柱的具體運(yùn)作。組織應(yīng)根據(jù)具體數(shù)據(jù)流通場(chǎng)景的上下文信息,動(dòng)態(tài)調(diào)整和定制治理框架各組件的具體要求和控制強(qiáng)度,實(shí)現(xiàn)風(fēng)險(xiǎn)與效率的平衡。如通過(guò)輸入具體場(chǎng)景的特征,根據(jù)內(nèi)置處理邏輯確定該場(chǎng)景的治理強(qiáng)度,最終輸出針對(duì)該場(chǎng)景的定制化治理要求清單,明確政策條款、操作步驟、審批節(jié)點(diǎn)、技術(shù)控制基線(xiàn)及監(jiān)控重點(diǎn)等,從而實(shí)現(xiàn)精準(zhǔn)治理。關(guān)鍵組件包括場(chǎng)景、數(shù)據(jù)類(lèi)型/級(jí)別、參與方風(fēng)險(xiǎn)、法律要求、業(yè)務(wù)目標(biāo)、基于風(fēng)險(xiǎn)定級(jí)、合規(guī)觸發(fā)條件的規(guī)則庫(kù)或決策模型、該場(chǎng)景的特定監(jiān)管合規(guī)要求等。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章3.2數(shù)據(jù)流通安全技術(shù)架構(gòu)技術(shù)參考架構(gòu)可以有效落地治理要求、保障流通全程安全、賦能可信數(shù)據(jù)流通、指導(dǎo)技術(shù)選型與建設(shè)、提升數(shù)據(jù)流通安全管理能力,并促進(jìn)技術(shù)的標(biāo)準(zhǔn)化。技術(shù)架構(gòu)的設(shè)計(jì)與實(shí)施應(yīng)遵循安全內(nèi)嵌、縱深防御、零信任理念應(yīng)用、模塊化與可組合性、標(biāo)準(zhǔn)化與互操作性以及彈性與韌性等核心原則。3.2.1數(shù)據(jù)流通安全架構(gòu)原則和目標(biāo)模塊化的安全技術(shù)框架能力視圖能夠系統(tǒng)性地描繪了實(shí)現(xiàn)安全、可信、合規(guī)的數(shù)據(jù)流通所需的關(guān)鍵技術(shù)能力域,實(shí)現(xiàn)對(duì)安全治理框架的策略落地、流程執(zhí)行和風(fēng)險(xiǎn)控制。安全技術(shù)框架通過(guò)功能分層的方式,系統(tǒng)性地描繪了保障數(shù)據(jù)流通安全所需的關(guān)鍵技術(shù)能力域,為后續(xù)的技術(shù)選型和方案設(shè)計(jì)提供結(jié)構(gòu)化指引。為應(yīng)對(duì)上述挑戰(zhàn)并支撐治理框架落地,技術(shù)參考架構(gòu)旨在實(shí)現(xiàn)以下核心目標(biāo):l有效落地治理要求提供實(shí)現(xiàn)治理框架中安全策略、風(fēng)險(xiǎn)控制和合規(guī)指令的技術(shù)手段。l保障流通全程安全:構(gòu)建縱深防御,全面保障數(shù)據(jù)流通全生命周期的機(jī)密性、完整性、可用性、隱私性、可控性和可追溯性。l賦能可信數(shù)據(jù)流通:通過(guò)技術(shù)手段建立和增強(qiáng)參與方之間的信任,促進(jìn)數(shù)據(jù)安全流動(dòng)。l指導(dǎo)技術(shù)選型與建設(shè):提供結(jié)構(gòu)化的技術(shù)能力視圖,幫助組織根據(jù)治理需求合理選擇、組合、配置技術(shù)方案。l提升安全能力成熟度:作為技術(shù)能力建設(shè)的參照系,支撐組織系統(tǒng)性提升數(shù)據(jù)流通安全的技術(shù)水平。l促進(jìn)標(biāo)準(zhǔn)化與互操作:引導(dǎo)技術(shù)應(yīng)用走向標(biāo)準(zhǔn)化,促進(jìn)生態(tài)互聯(lián)互通。為達(dá)成這些目標(biāo),技術(shù)架構(gòu)的設(shè)計(jì)與實(shí)施應(yīng)遵循以下核心原則:l安全內(nèi)嵌:安全能力應(yīng)深度集成到數(shù)據(jù)流通的各個(gè)環(huán)節(jié)和所使用的平臺(tái)、工具中,而非后期附加。l縱深防御:不依賴(lài)單—技術(shù),通過(guò)多層次、多樣化的安全控制措施協(xié)同作用,構(gòu)建層層遞進(jìn)的防護(hù)體l零信任理念應(yīng)用:對(duì)參與流通的任何主體(人、設(shè)備、應(yīng)用)和數(shù)據(jù)訪問(wèn)行為,都進(jìn)行持續(xù)的身份驗(yàn)證和動(dòng)態(tài)授權(quán),不基于網(wǎng)絡(luò)位置產(chǎn)生默認(rèn)信任。l模塊化與可組合性:架構(gòu)應(yīng)由相對(duì)獨(dú)立的功能模塊組成,便于根據(jù)需要靈活選擇、組合和替換技術(shù)組件。l標(biāo)準(zhǔn)化與互操作性:盡可能采用開(kāi)放標(biāo)準(zhǔn)和協(xié)議,以支持不同技術(shù)、平臺(tái)和參與方之間的互聯(lián)互通。l彈性與韌性:架構(gòu)應(yīng)具備—定的容錯(cuò)能力和快速恢復(fù)能力,以應(yīng)對(duì)潛在的故障或安全事件。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章3.2.2數(shù)據(jù)流通安全技術(shù)架構(gòu)設(shè)計(jì)思路安全技術(shù)能力架構(gòu)的設(shè)計(jì),源于對(duì)數(shù)據(jù)流通安全本質(zhì)需求的了解,并借鑒了成熟的安全設(shè)計(jì)原則與框架,同時(shí)特別針對(duì)流通場(chǎng)景的挑戰(zhàn)進(jìn)行了強(qiáng)調(diào):l安全訪問(wèn)的第—性原理。身份認(rèn)證先于授權(quán)。在多方、低信任的流通環(huán)境中,身份認(rèn)證是所有后續(xù)安全控制的基礎(chǔ),因此將身份管理與信任建立作為獨(dú)立且首要的功能層。l保護(hù)核心資產(chǎn)。需要保護(hù)數(shù)據(jù)在流轉(zhuǎn)和被第三方使用時(shí)自身的機(jī)密性和完整性。當(dāng)數(shù)據(jù)離開(kāi)原始控制域,針對(duì)數(shù)據(jù)的加密、脫敏、完整性校驗(yàn)等保護(hù)措施成為內(nèi)生安全屏障。l應(yīng)對(duì)流通核心挑戰(zhàn)。數(shù)據(jù)共享后的風(fēng)險(xiǎn)和隱私暴露風(fēng)險(xiǎn)。需要超越傳統(tǒng)訪問(wèn)控制,實(shí)現(xiàn)對(duì)數(shù)據(jù)“使用行為”的控制,并支持在保護(hù)隱私前提下的計(jì)算,因此將流通控制和隱私計(jì)算能力整合為關(guān)鍵的功能層。l滿(mǎn)足問(wèn)責(zé)與合規(guī)需求。安全管理中的可問(wèn)責(zé)性原則和合規(guī)要求。在多方參與、過(guò)程復(fù)雜的流通活動(dòng)中,必須有可靠機(jī)制記錄,以實(shí)現(xiàn)透明度、信任、責(zé)任認(rèn)定和風(fēng)險(xiǎn)計(jì)量,因此需要專(zhuān)門(mén)的監(jiān)控審計(jì)與溯源能力層。l遵循縱深防御與系統(tǒng)思維:上層安全措施的有效性都依賴(lài)于底層基礎(chǔ)設(shè)施的安全。數(shù)據(jù)流通跨越不同環(huán)境,確保端到端路徑上的網(wǎng)絡(luò)、系統(tǒng)、平臺(tái)安全是整體安全不可或缺的基礎(chǔ),故設(shè)立基礎(chǔ)設(shè)施安全層。3.2.3數(shù)據(jù)流通安全技術(shù)架構(gòu)設(shè)計(jì)根據(jù)對(duì)數(shù)據(jù)流通安全技術(shù)的原則、目標(biāo)和安全需求的理解,數(shù)據(jù)流通安全技術(shù)架構(gòu)可以大致劃分為身份認(rèn)證、數(shù)據(jù)狀態(tài)、數(shù)據(jù)流通控制、監(jiān)控審計(jì)和安全基礎(chǔ)設(shè)施五個(gè)相互關(guān)聯(lián)的功能能力層。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章圖12數(shù)據(jù)流通安全技術(shù)架構(gòu)L1:身份認(rèn)證與信任層核心功能:可靠地識(shí)別和驗(yàn)證所有參與流通的實(shí)體身份,建立數(shù)字信任的起點(diǎn)。關(guān)鍵能力:身份認(rèn)證、訪問(wèn)憑證管理、聯(lián)邦身份/單點(diǎn)登錄、設(shè)備認(rèn)證、數(shù)字身份管理、參與方資質(zhì)驗(yàn)證支持。L2:數(shù)據(jù)狀態(tài)安全保護(hù)層核心功能:運(yùn)用密碼學(xué)等手段保障數(shù)據(jù)在存儲(chǔ)、傳輸、使用等狀態(tài)下的機(jī)密性、完整性,并按需降低數(shù)據(jù)敏感度。關(guān)鍵能力:數(shù)據(jù)分類(lèi)與標(biāo)簽化支撐、傳輸信道加密、存儲(chǔ)數(shù)據(jù)加密、應(yīng)用層/字段級(jí)加密、同態(tài)加密、數(shù)據(jù)脫敏/標(biāo)記化/匿名化/合成數(shù)據(jù)生成、數(shù)據(jù)完整性校驗(yàn)。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章L3:流通控制與隱私計(jì)算層核心功能:精確控制數(shù)據(jù)的訪問(wèn)權(quán)限和使用行為;在保護(hù)隱私的前提下使能數(shù)據(jù)的計(jì)算與分析。這是實(shí)現(xiàn)可控、可用不可見(jiàn)的關(guān)鍵技術(shù)層。關(guān)鍵能力:細(xì)粒度訪問(wèn)控制、數(shù)據(jù)使用控制策略執(zhí)行、安全多方計(jì)算(MPC)執(zhí)行、聯(lián)邦學(xué)習(xí)協(xié)調(diào)與執(zhí)行、可信執(zhí)行環(huán)境應(yīng)用。L4:監(jiān)控、審計(jì)與溯源層核心功能:全面記錄流通活動(dòng),實(shí)時(shí)監(jiān)控風(fēng)險(xiǎn)與異常,提供事后審計(jì)、追責(zé)和數(shù)據(jù)來(lái)源追蹤的能力。這是實(shí)現(xiàn)“可計(jì)量”和透明可信的重要支撐。關(guān)鍵能力:安全日志(生成、采集、存儲(chǔ)、防篡改)、實(shí)時(shí)安全事件監(jiān)控與告警、用戶(hù)與實(shí)體行為分析、數(shù)據(jù)血緣追蹤、操作行為審計(jì)、數(shù)據(jù)水印/指紋應(yīng)用(用于溯源)。L5:安全基礎(chǔ)設(shè)施與運(yùn)維層核心功能:為上層所有安全能力的運(yùn)行提供穩(wěn)定、可靠、安全的基礎(chǔ)環(huán)境,并保障持續(xù)的安全運(yùn)維。關(guān)鍵能力:網(wǎng)絡(luò)安全(隔離、防護(hù)、安全接入)、端點(diǎn)安全、數(shù)據(jù)安全態(tài)勢(shì)管理、漏洞管理與補(bǔ)丁修復(fù)、云平臺(tái)安全配置管理和安全開(kāi)發(fā)。3.3數(shù)據(jù)流通關(guān)鍵技術(shù)安全技術(shù)參考架構(gòu)提供了—個(gè)全面的高階藍(lán)圖視圖。在實(shí)際應(yīng)用中,必須以治理框架為羅盤(pán),以風(fēng)險(xiǎn)評(píng)估為導(dǎo)航,結(jié)合具體場(chǎng)景的實(shí)際條件,從技術(shù)框架中選擇和組合最合適的技術(shù)能力,確保數(shù)據(jù)流通的安全和價(jià)值實(shí)現(xiàn)。典型的數(shù)據(jù)流通安全的數(shù)據(jù)處理流程,應(yīng)全面覆蓋數(shù)據(jù)流通前、流通中和流通后的整個(gè)生命周期中,確保全流程都能得到充分的保護(hù),防止數(shù)據(jù)泄露、篡改、丟失或?yàn)E用。數(shù)據(jù)流通安全管控措施數(shù)據(jù)流通安全管控措施第三章圖13數(shù)據(jù)流通關(guān)鍵技術(shù)3.3.1數(shù)據(jù)流通基礎(chǔ)安全技術(shù)數(shù)據(jù)流通安全的基礎(chǔ)性安全技術(shù)構(gòu)成了數(shù)據(jù)流通安全的基石,雖然新興技術(shù)不斷涌現(xiàn),但這些基礎(chǔ)安全能力的扎實(shí)落地是保障—切流通活動(dòng)安全的基本前提。包括數(shù)據(jù)加密技術(shù)、身份認(rèn)證與訪問(wèn)管理、API安全、數(shù)據(jù)防泄露、安全審計(jì)技術(shù)等。它們?cè)趹?yīng)對(duì)數(shù)據(jù)跨域流動(dòng)的特定挑戰(zhàn)時(shí)有不同的應(yīng)用要點(diǎn)、特殊考量和局限性。1)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密是保障數(shù)據(jù)流通過(guò)程安全機(jī)密性的核心技術(shù)手段,數(shù)據(jù)加密的原理是通過(guò)密碼算法和密鑰將原始數(shù)據(jù)(明文)轉(zhuǎn)換為不可直接讀取的密文形式,從而在數(shù)據(jù)跨越不受信任的網(wǎng)絡(luò)或被不受信任的第三方存儲(chǔ)時(shí),提供最基礎(chǔ)也是最關(guān)鍵的保護(hù)屏障。數(shù)據(jù)加密原理是利用密碼學(xué)對(duì)明文數(shù)據(jù)施加特定的數(shù)學(xué)變換(加密算法),使其呈現(xiàn)為無(wú)意義的亂碼或密文,可利用解密密鑰的才能將其還原為可讀的明文。在數(shù)據(jù)流通安全場(chǎng)景中,數(shù)據(jù)—旦離開(kāi)原始控制域,就面臨著在傳輸途中被竊聽(tīng)、截獲、篡改,或在第三方存儲(chǔ)環(huán)境中因?qū)Ψ桨踩杪?、惡意行為?dǎo)致泄露的風(fēng)險(xiǎn)。因此,可以將數(shù)據(jù)加密技術(shù)廣泛應(yīng)用于傳輸加密、存儲(chǔ)加密,以及敏感數(shù)據(jù)的應(yīng)用層加密等環(huán)節(jié)。傳輸加密,例如強(qiáng)制所有API接口、文件傳輸、遠(yuǎn)程訪問(wèn)等使用TLS1.3或同等級(jí)別的強(qiáng)加密協(xié)議(如IPsecvPN),是保障企業(yè)A向企業(yè)B共享訂單數(shù)據(jù)這類(lèi)跨網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)的基本要求,能夠有效抵御中間人