互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)方案研究現(xiàn)狀分析與文獻(xiàn)綜述目錄TOC\o"1-3"\h\u136941.1數(shù)據(jù)安全遭受的威脅和挑戰(zhàn) 194411）美國棱鏡計劃 1131042）徐玉詐騙案 244923）移動App違規(guī)收集使用個人信息 2160164）大數(shù)據(jù)廣泛應(yīng)用帶來新的安全挑戰(zhàn) 3295491.2數(shù)據(jù)全生命周期安全保護(hù) 393521.1.1信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的概念和邊界 3224831.1.2數(shù)據(jù)全生命周期體系 423201.1.3數(shù)據(jù)全生命周期中的安全防護(hù) 430507（1）數(shù)據(jù)采集安全 4158251.3國內(nèi)數(shù)據(jù)安全最新政策、法規(guī)研究 5132251.3.1數(shù)據(jù)安全法（草案） 6160531.3.2密碼法 8148561.3.3移動App相關(guān)政策法規(guī) 830961.4自主可控的信息技術(shù)應(yīng)用創(chuàng)新 10157421.4.1發(fā)展信息技術(shù)應(yīng)用創(chuàng)新的背景和現(xiàn)狀 1060141.4.2密碼技術(shù)是安全核心技術(shù) 11205011）密碼技術(shù)的重要性 11243132）國內(nèi)應(yīng)對“棱鏡”的幾種思路 1389681.4.1.3信創(chuàng)為國產(chǎn)商用密碼等技術(shù)工具規(guī)模應(yīng)用提供產(chǎn)業(yè)鏈支持 151.1數(shù)據(jù)安全遭受的威脅和挑戰(zhàn)習(xí)總書記強(qiáng)調(diào)指出“當(dāng)今，我國面臨的國家安全內(nèi)涵和外延比歷史上任何時候都要豐富，時空領(lǐng)域比歷史上任何時候都要寬廣，內(nèi)外因素比歷史上任何時候都要復(fù)雜”。2019年新冠肺炎席卷全球，加劇了國際形勢的復(fù)雜性，我國由強(qiáng)調(diào)“發(fā)展”向“發(fā)展與安全并重”。隨著我國數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，包含數(shù)據(jù)安全在內(nèi)的網(wǎng)絡(luò)空間安全在國家安全體系中重要性不斷凸顯，數(shù)據(jù)安全面臨著前所未有的巨大挑戰(zhàn)。1）美國棱鏡計劃據(jù)調(diào)查，自2007年起美國國家安全局（NSA）開始實施高保密級別的電子監(jiān)聽行動，對即時通信和已經(jīng)存儲的資料進(jìn)行深度監(jiān)聽，以獲得大量的數(shù)據(jù)信息，并命名為棱鏡計劃（PRISM）。監(jiān)聽的內(nèi)容包括電子郵件、圖片、、視頻、交流內(nèi)容、文檔傳輸、注冊和登錄記錄等，以及社交網(wǎng)絡(luò)信息。大數(shù)據(jù)的獲取和分析成為棱鏡計劃的必要途徑，，身處科技前沿的具有豐富大數(shù)據(jù)的科技企業(yè)被卷入了這一計劃。據(jù)文件披露，棱鏡計劃可以使情報人員非法進(jìn)入美國主要的科技公司的網(wǎng)絡(luò)并竊取內(nèi)容，包括微軟、雅虎、谷歌、Facebook、蘋果等，同時有媒體報道，美國政府已經(jīng)基于該計劃成功入侵了世界多國政要、企業(yè)，攻擊目標(biāo)數(shù)量達(dá)到上百個。2）徐玉詐騙案在2016年8月19日，我國發(fā)生了徐玉詐騙案的慘劇。徐玉是一名高考考生，被詐騙者通過電信騙取了學(xué)費9900元，這些錢是該考生家里很不容易湊到的學(xué)費，徐玉發(fā)現(xiàn)被騙后心臟驟停，經(jīng)過搶救還是未能挽回年輕的生命。經(jīng)過警方調(diào)查發(fā)現(xiàn)，詐騙罪犯從網(wǎng)絡(luò)上獲得詐騙對象的個人信息，這起犯罪黑客攻破了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”網(wǎng)站，非法獲取到山東百萬考生的信息，并通過互聯(lián)網(wǎng)進(jìn)行販賣。3）移動App違規(guī)收集使用個人信息隨著移動App的廣泛應(yīng)用，移動App違法違規(guī)收集使用個人信息問題日益嚴(yán)峻。2019年1月，中央網(wǎng)信辦聯(lián)合四部委發(fā)布的《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，存在著多款移動App非法收集使用個人信息的情況，其中包括宜人貸、拉卡拉等互聯(lián)網(wǎng)信貸平臺，掌閱、起點讀書等電子閱讀類平臺，墨跡天氣等生活服務(wù)類App。與此同時，部分移動App甚至在靜默狀態(tài)下就會悄悄啟動麥克風(fēng)、攝像頭，持續(xù)地采集用戶音視頻數(shù)據(jù)，拍攝和搜集用戶人臉數(shù)據(jù)，還存在少量移動APP被發(fā)現(xiàn)長期在后臺偷偷記錄用戶的通話記錄、短信、通訊錄、位置信息等，并且會上傳到這些移動App所屬企業(yè)的服務(wù)器上。很多企業(yè)處在“多收集一點總沒壞處”的誤區(qū)，既沒有安全防護(hù)能力，又缺乏管理有效管理濫采用戶信息和資料，這些都帶來了巨大的用戶數(shù)據(jù)安全和隱私泄露的風(fēng)險。4）大數(shù)據(jù)廣泛應(yīng)用帶來新的安全挑戰(zhàn)近年來，隨著我國移動互聯(lián)網(wǎng)、人工智能、5G、云計算、大數(shù)據(jù)等新一代信息技術(shù)逐漸走向成熟和大范圍應(yīng)用推廣，新一代信息技術(shù)推動了數(shù)據(jù)利用逐漸走向新需求、新模式、新業(yè)態(tài)，數(shù)據(jù)的深度應(yīng)用也進(jìn)一步給數(shù)據(jù)安全保護(hù)工作帶來巨大的挑戰(zhàn)，數(shù)據(jù)的開發(fā)利用與保護(hù)國家的數(shù)據(jù)資源、保護(hù)企業(yè)商業(yè)秘密、保護(hù)個人隱私信息之間形成三個主要矛盾。矛盾的解決需要在國家戰(zhàn)略層面逐步完善數(shù)據(jù)安全管理體系，加快數(shù)據(jù)安全法制建設(shè)，增強(qiáng)數(shù)據(jù)安全政府監(jiān)管，此外，還需要數(shù)據(jù)控制者，即掌握數(shù)據(jù)資源的企業(yè)或機(jī)構(gòu)提升自身數(shù)據(jù)安全防護(hù)能力，在保證數(shù)據(jù)機(jī)密性、完整性、可用性的同時，必須同時加強(qiáng)國家數(shù)據(jù)資源、企業(yè)商業(yè)秘密、公民個人信息的保護(hù)，免遭數(shù)據(jù)泄漏、竊取及毀損。1.2數(shù)據(jù)全生命周期安全保護(hù)1.1.1信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的概念和邊界廣義的數(shù)據(jù)包括任何以電子形式或者非電子形式記錄的信息。數(shù)據(jù)安全、信息安全與網(wǎng)絡(luò)安全的概念是相互交叉、相互定義且密不可分的。信息安全的目標(biāo)是保證計算機(jī)硬件、軟件及數(shù)據(jù)不會因偶然或者惡意的原因而遭到損壞、更改或者數(shù)據(jù)泄漏，是對于數(shù)據(jù)處理相關(guān)系統(tǒng)建立及采取的技術(shù)或管理方面的安全保護(hù)。狹義的網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)層面的信息采集、存儲、傳輸?shù)日麄€過程的安全防護(hù)。信息安全與網(wǎng)絡(luò)安全既存在相似之處又有不同，二者都涉及信息或數(shù)據(jù)的采集、傳輸、存儲以及使用過程中的安全性，但狹義的網(wǎng)絡(luò)安全被歸為信息安全的一部分，屬于信息安全的一個子集。相對于信息安全這個相對寬泛的概念和定義，數(shù)據(jù)安全定義的內(nèi)容更為精準(zhǔn)。數(shù)據(jù)安全一般會包含以下兩個方面：第一是指數(shù)據(jù)自身的安全，第二則是指對于數(shù)據(jù)防護(hù)的安全，包括但不限于采用現(xiàn)代密碼算法和技術(shù)對數(shù)據(jù)進(jìn)行主動安全保護(hù)。以縱向發(fā)展的角度看，三個名詞表達(dá)了信息安全演變的歷史。在2004年左右，我國各地紛紛開展網(wǎng)絡(luò)大建設(shè)，其結(jié)構(gòu)絕大部分都是星形網(wǎng)絡(luò)，這類網(wǎng)絡(luò)往往缺乏安全域，網(wǎng)絡(luò)建設(shè)的主力即網(wǎng)絡(luò)工程師。當(dāng)這些網(wǎng)絡(luò)被黑客侵入后，這些網(wǎng)絡(luò)工程師就自然而然地承擔(dān)起了安全工程師的角色，而且當(dāng)時黑客入侵的主要途徑就是網(wǎng)絡(luò)，因此那段時間的安全視角為網(wǎng)絡(luò)，也就是狹義的網(wǎng)絡(luò)安全。而到了2007年左右，“業(yè)務(wù)”開始成為了黑客主要入侵和攻擊的目標(biāo)，各類的系統(tǒng)網(wǎng)絡(luò)也逐漸開始劃分安全域，對業(yè)務(wù)安全的被提上日程，也有了更加專業(yè)的安全工程師，但此階段更多的是安全產(chǎn)品的部署運維。在2010年前后，黑客的攻擊目標(biāo)聚焦到了數(shù)據(jù)上，各種針對數(shù)據(jù)庫的拖庫橫行，對于數(shù)據(jù)安全的保障逐漸成為安全的重心領(lǐng)域。網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重大趨勢之一是新一代信息安全框架體系，有個形象的比喻命名：將以數(shù)據(jù)安全命名為“核安全”，將物理安全、系統(tǒng)安全、應(yīng)用安全和狹義的網(wǎng)絡(luò)安全稱之為“殼安全”。在人工智能、云計算、大數(shù)據(jù)深度應(yīng)用的數(shù)字經(jīng)濟(jì)時代背景下，新的安全框架體系將助力有效解決傳統(tǒng)安全體系無法處理和安全防護(hù)難題。1.1.2數(shù)據(jù)全生命周期體系根據(jù)在實際組織和業(yè)務(wù)運轉(zhuǎn)過程中的數(shù)據(jù)傳輸情況，可將數(shù)據(jù)相關(guān)活動劃分為六個主要的生命周期階段：數(shù)據(jù)采集階段是新數(shù)據(jù)的產(chǎn)生或者現(xiàn)有數(shù)據(jù)更新的過程，采集分為組織內(nèi)部中新生成數(shù)據(jù)，也包括從組織外部收集數(shù)據(jù)。數(shù)據(jù)存儲階段涵蓋把已采集數(shù)據(jù)以各種格式進(jìn)行物理或邏輯存儲的過程。數(shù)據(jù)處理階段包括組織機(jī)構(gòu)在內(nèi)部針對采集到數(shù)據(jù)進(jìn)行各類操作或處理的過程。數(shù)據(jù)傳輸階段主要包含了將數(shù)據(jù)從組織內(nèi)部的一個實體通過網(wǎng)絡(luò)傳輸?shù)搅硗庖粋€實體的過程。數(shù)據(jù)交換指組織內(nèi)部將數(shù)據(jù)與個人或其它組織進(jìn)行交互，提供數(shù)據(jù)的過程。數(shù)據(jù)銷毀采用某種操作手段對已采集或已存儲的數(shù)據(jù)進(jìn)行刪除，且數(shù)據(jù)不可恢復(fù)的階段。1.1.3數(shù)據(jù)全生命周期中的安全防護(hù)（1）數(shù)據(jù)采集安全數(shù)據(jù)采集過程中根據(jù)維度的不同分為個人信息及商業(yè)數(shù)據(jù)兩類，社會的進(jìn)步對個人隱私信息、商業(yè)信息的安全性提出了更高的要求。數(shù)據(jù)采集是企業(yè)獲得數(shù)據(jù)資源的第一步，為了保證數(shù)據(jù)的安全性防止泄露乃至濫用，數(shù)據(jù)在采集之前按照《數(shù)據(jù)安全法（草案）》的要求，在權(quán)屬清晰的前提下，企業(yè)必須要得到數(shù)據(jù)主體的授權(quán)，并且在獲得授權(quán)許可之后應(yīng)保證采集的手段和方式是合規(guī)的，以竊取或者任何其他非法方式獲取數(shù)據(jù)并不被許可。遵照相關(guān)法律法規(guī)、行政規(guī)章制度，數(shù)據(jù)采集者在進(jìn)行數(shù)據(jù)采集之后，按照最小必要原則收集和使用數(shù)據(jù)，不得私自交易數(shù)據(jù)信息。此外，數(shù)據(jù)安全保護(hù)與數(shù)據(jù)業(yè)務(wù)之間需要找到一個平衡點。數(shù)據(jù)傳輸安全。數(shù)據(jù)傳輸過程是指將數(shù)據(jù)從一個實體傳送到另一個實體的過程或流程。數(shù)據(jù)加密技術(shù)常常作為數(shù)據(jù)保護(hù)的重要技術(shù)手段，用于保護(hù)數(shù)據(jù)安全傳輸。數(shù)據(jù)加密（密碼學(xué)）的目的是為了讓信息被授權(quán)訪問的對象得到，同時防止被不應(yīng)該獲取、未被授權(quán)的人得到。數(shù)據(jù)加密一定是有兩個過程：第一個過程，我們稱之為加密，在這個過程中將可識別的數(shù)據(jù)（或稱為明文）加密為無法識別的形式（也就是密文）；第二個過程是把密文進(jìn)行解密，并且還原為普通的原始明文。1.3國內(nèi)數(shù)據(jù)安全最新政策、法規(guī)研究近幾年，我國出臺了一系列網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)法律法規(guī)、部門規(guī)章，以此來推動國家網(wǎng)絡(luò)安全建設(shè)促進(jìn)我國數(shù)據(jù)安全水平的提升，具體如表1所示。表1我國數(shù)據(jù)安全規(guī)范文件匯總1.3.1數(shù)據(jù)安全法（草案）在2020年7月，《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱：《數(shù)據(jù)安全法（草案）》）順利通過全國人大常委會審議，開始向全社會公開征集意見?！稊?shù)據(jù)安全法（草案）》與《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個人信息保護(hù)法（草案）》共同構(gòu)成了我國在網(wǎng)絡(luò)安全、信息安全及數(shù)據(jù)安全領(lǐng)域的重要法律框架，其立法具有極其重大的價值?！稊?shù)據(jù)安全法（草案）》重點規(guī)制了數(shù)據(jù)本身的安全，并且試圖將網(wǎng)絡(luò)的電子數(shù)據(jù)安全與傳統(tǒng)的非電子數(shù)據(jù)信息安全納入統(tǒng)一保護(hù)框架，形成國家全面的數(shù)據(jù)信息安全的保護(hù)框架?！稊?shù)據(jù)安全法（草案）》在數(shù)據(jù)安全保護(hù)各個領(lǐng)域有著較多進(jìn)展和突破。首先，該草案突出強(qiáng)調(diào)了數(shù)據(jù)保護(hù)與數(shù)據(jù)利用并重的原則，肯定了充分發(fā)揮數(shù)據(jù)要素的重要性，通過以下思維導(dǎo)圖梳理了部分內(nèi)容。其次，《數(shù)據(jù)安全法（草案）》進(jìn)一步完善了數(shù)據(jù)分類分級保護(hù)制度和保護(hù)原則。數(shù)據(jù)分類分級在保障數(shù)據(jù)安全過程中至關(guān)重要，它是數(shù)據(jù)安全保護(hù)的基礎(chǔ)，數(shù)據(jù)分類的目的是要明確數(shù)據(jù)的業(yè)務(wù)范疇，數(shù)據(jù)分級從滿足數(shù)據(jù)監(jiān)管要求角度出發(fā)，依據(jù)數(shù)據(jù)的敏感程度制定不同的數(shù)據(jù)安全防護(hù)要求和防護(hù)測評，數(shù)據(jù)的有效分級是組織內(nèi)部數(shù)據(jù)管理體系編寫的基礎(chǔ)。做好數(shù)據(jù)的分類分級是一個長期工程，在不同行業(yè)中數(shù)據(jù)特性不同，數(shù)據(jù)分類可以按數(shù)據(jù)行業(yè)進(jìn)行劃分，劃分原則可以依照數(shù)據(jù)泄露或損毀對于國家安全、社會公共利益和公民個人權(quán)益的危害程度。首先考慮重要數(shù)據(jù)，國家要通過建立重要數(shù)據(jù)目錄保護(hù)制度來保障數(shù)據(jù)安全；其次考慮敏感數(shù)據(jù)和一般數(shù)據(jù)，而敏感數(shù)據(jù)是可能通過與一般數(shù)據(jù)進(jìn)行關(guān)聯(lián)形成重要數(shù)據(jù)，因此敏感數(shù)據(jù)應(yīng)受到一定程度的保護(hù)?！稊?shù)據(jù)安全法（草案）》在數(shù)據(jù)分級分類方面的相關(guān)內(nèi)容對于數(shù)據(jù)分級分類做了明確而具體的規(guī)定，并進(jìn)一步完善了維護(hù)國家安全、社會公眾利益和公民個人權(quán)益等相關(guān)的數(shù)據(jù)安全要求。由于《數(shù)據(jù)安全法》維護(hù)國家安全和社會公共利益的公法定位，《數(shù)據(jù)安全法》僅在特定情景下為個人信息提供公法上的保護(hù)：一是當(dāng)數(shù)據(jù)違法違規(guī)行為涉及到海量個人信息，進(jìn)而危害社會公共利益時；二是當(dāng)數(shù)據(jù)違法行為涉及到關(guān)乎國家安全的特殊人物及其近親屬的個人信息時。在制度構(gòu)造上，《數(shù)據(jù)安全法》應(yīng)當(dāng)以安全義務(wù)為中心構(gòu)造違反數(shù)據(jù)安全規(guī)定的行政責(zé)任和刑事責(zé)任，與此同時，《個人信息保護(hù)法》是基于知情權(quán)、訪問權(quán)等核心的權(quán)利法體系。1.3.2密碼法《中華人民共和國密碼法》（以下簡稱：《密碼法》），《密碼法》的頒布，對于商用密碼產(chǎn)業(yè)的發(fā)展具有十分重要的價值和意義。第一，《密碼法》對于密碼的進(jìn)出口做了分類管理規(guī)定，避免出現(xiàn)密碼技術(shù)“嚴(yán)管”甚至一刀切的管理方式或管理模式，有助于我們推動國內(nèi)密碼企業(yè)、產(chǎn)品技術(shù)走出國門，同時能夠引進(jìn)國外的先進(jìn)經(jīng)驗和關(guān)鍵技術(shù)。第二，密碼在《密碼法》的定義有了進(jìn)一步的延伸和擴(kuò)展，建立了特定產(chǎn)品應(yīng)用的強(qiáng)制檢測認(rèn)證制度，推動針對不同密碼產(chǎn)品及服務(wù)的檢測、認(rèn)證、評估需求快速上升，有效推動了國內(nèi)密碼檢測認(rèn)證產(chǎn)業(yè)的發(fā)展成熟。第三，隨著我國國產(chǎn)化產(chǎn)品替代、自主可控技術(shù)等政策的深入推進(jìn)的進(jìn)一步落地，金融、政務(wù)、能源、通信等重要行業(yè)在以密碼技術(shù)為核心的產(chǎn)品、系統(tǒng)或服務(wù)替換改造建設(shè)相關(guān)工作將會快速推進(jìn)，同步會釋放出巨大的需求量，這將進(jìn)一步拓展我國商用密碼的市場，整個產(chǎn)業(yè)將迎來發(fā)展黃金期。隨著我國密碼技術(shù)及產(chǎn)品實行分類管理，我國自主推出的SM系列國產(chǎn)密碼算法得到廣泛和深入應(yīng)用，基于國密算法的產(chǎn)品、服務(wù)可能會大量涌現(xiàn)?，F(xiàn)階段，歐美等國家的國際密碼算法仍然應(yīng)用在大部分的系統(tǒng)或產(chǎn)品中，加強(qiáng)我國國產(chǎn)密碼的應(yīng)用和國際交流，有助于推動和促進(jìn)我國國產(chǎn)密碼算法和技術(shù)安全性水平的提升。我國密碼算法需要在國際交流過程中，得到世界范圍內(nèi)的專家、學(xué)者的檢驗和認(rèn)證，促使我國密碼算法基礎(chǔ)研究領(lǐng)域的不斷推陳出行，進(jìn)而提升我國在密碼算法領(lǐng)域的話語權(quán)和主動性，提高我國的網(wǎng)絡(luò)安全水平和安全防護(hù)能力。1.3.3移動App相關(guān)政策法規(guī)近年來，移動互聯(lián)網(wǎng)迅猛發(fā)展，移動App快速普及并深入應(yīng)用到我們生活的方方面面，移動App安全問題日益凸顯。2019年，中央網(wǎng)信辦等四部委聯(lián)合出擊，對于App違法違規(guī)收集使用個人信息的進(jìn)行專項治理，成立了專項治理工作組開展治理行動，陸續(xù)針對幾個批次的存在違規(guī)違法行為的App進(jìn)行“點名”，責(zé)令違規(guī)App進(jìn)行整改，體現(xiàn)了監(jiān)管部門對綜合治理App網(wǎng)絡(luò)安全的決心。同年12月，專項治理工作組印發(fā)了《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》，該認(rèn)定方法詳細(xì)規(guī)范了App違法違規(guī)收集使用個人信息的各類行為，為監(jiān)管部門認(rèn)定違法行為、為App商店和運營者開發(fā)和審查App、為網(wǎng)民社會監(jiān)督提供了較為明確的依據(jù)和指引。2020年2月，中國人民銀行要求與個人金融信息相關(guān)的客戶端應(yīng)用軟件及應(yīng)用軟件開發(fā)工具包（SDK）應(yīng)符合客戶端應(yīng)用軟件有關(guān)安全技術(shù)要求，并在上線前進(jìn)行安全評估。同年4月，提出各地人民銀行分支機(jī)構(gòu)及相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)相關(guān)法律制度、標(biāo)準(zhǔn)規(guī)范開展專項摸排工作，“移動金融客戶端應(yīng)用軟件”成為主要摸排對象之一，以此加強(qiáng)個人金融信息保護(hù)，提高風(fēng)險監(jiān)測能力，健全投訴處理機(jī)制等。2020年7月，工信部印發(fā)了《關(guān)于開展縱深推進(jìn)App侵害用戶權(quán)益專項整治行動的通知》，在電信和互聯(lián)網(wǎng)領(lǐng)域深入推進(jìn)技管結(jié)合，加強(qiáng)監(jiān)督檢查，通過專項整治行動切實加強(qiáng)用戶個人信息保護(hù)，為人民群眾提供更安全、更健康、更干凈的信息環(huán)境。2020年9月，隨著《移動互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請使用指南》《移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息保護(hù)常見問題及處置指南》等系列移動App相關(guān)規(guī)范性文件陸續(xù)發(fā)布，移動App運營和開發(fā)者在申請系統(tǒng)使用權(quán)限行為以及申請和使用個人信息等方面有了更加明確和具體的依據(jù)和指導(dǎo)，移動App安全環(huán)境進(jìn)一步提升。2021年3月，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》印發(fā)，該規(guī)定進(jìn)一步對互聯(lián)網(wǎng)行業(yè)的地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通信、網(wǎng)絡(luò)購物等39類移動App必要個人信息范圍進(jìn)行了規(guī)范和指引，同時約束了App提供方不得由于用戶拒絕提供非必要個人信息而限制使用的行為。2021年4月，工信部發(fā)言人宣布，APP個人信息保護(hù)管理暫行規(guī)定，明確了知情同意和最小必要兩項個人信息保護(hù)基本原則。知情同意原則要求從事APP個人信息處理活動，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分支持的前提下做出自愿、明確的意思表示。最小必要原則要求從事APP個人信息處理活動，應(yīng)當(dāng)具有明確合理的控制，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。移動App系列標(biāo)準(zhǔn)規(guī)范的密集出臺，進(jìn)一步彰顯了國家對于App違法違規(guī)收集使用個人信息的懲處和治理的決心，也體現(xiàn)出當(dāng)前移動App面臨著復(fù)雜的安全環(huán)境。1.4自主可控的信息技術(shù)應(yīng)用創(chuàng)新1.4.1發(fā)展信息技術(shù)應(yīng)用創(chuàng)新的背景和現(xiàn)狀信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)（以下簡稱：信創(chuàng)產(chǎn)業(yè)）涵蓋了新一代信息技術(shù)下的云計算、系統(tǒng)和應(yīng)用軟件(操作系統(tǒng)、中間件、數(shù)據(jù)庫、各類應(yīng)用軟件)、硬件(GPU/CPU、主機(jī)、各類終端)、安全(網(wǎng)絡(luò)安全)等領(lǐng)域，范圍涵蓋了從IT軟硬件到應(yīng)用軟件的整個產(chǎn)業(yè)鏈。信創(chuàng)產(chǎn)業(yè)主要源于以下方面原因：一是國家安全，過去中國IT底層標(biāo)準(zhǔn)、架構(gòu)、產(chǎn)品、生態(tài)基本都是由國外企業(yè)把控的，存在重大的難以繞開的安全問題。二是卡脖子的風(fēng)險，華為事件標(biāo)志著美國在科技領(lǐng)域?qū)ξ覀兊亩糁埔呀?jīng)撤掉了遮羞布，毫無底線可言。因此從硬件到軟件，無論是外部環(huán)境因素還是自身經(jīng)濟(jì)循環(huán)的需求，我們都必須逐步建立基于自己的IT底層架構(gòu)和標(biāo)準(zhǔn)的體系，促使信創(chuàng)產(chǎn)業(yè)加速升級，產(chǎn)業(yè)鏈加速成熟，提升安全可控能力的同時降低成本。圖X中國信創(chuàng)領(lǐng)域相關(guān)技術(shù)成熟度及與全球技術(shù)水平的差距分析1.4.2密碼技術(shù)是安全核心技術(shù)1）密碼技術(shù)的重要性密碼技術(shù)是國家安全方面的三大支撐技術(shù)之一，該技術(shù)具有極其重要的價值和意義。十九世紀(jì)五十年代，二戰(zhàn)期間，德國的戰(zhàn)敗原因之一是密碼系統(tǒng)被英國破譯，而破解德國英格碼的主要參與者就有阿蘭圖靈。由于對德國英格碼的破解，推動而第二次世界大戰(zhàn)的勝利。事實上，不管對于國家、企業(yè)還是還是其他應(yīng)用系統(tǒng)的，當(dāng)系統(tǒng)的密碼體系被攻破，這個系統(tǒng)主體的任何信息傳遞、存儲都會變成不安全的，在當(dāng)前的信息社會，這個主體就會完全變成信息“透明”的，任何信息都可能會第三方獲取和掌控。加解密簡單原理示意圖一直以來，我國長久采用的是國外的安全協(xié)議以及加密算法，關(guān)鍵系統(tǒng)或者設(shè)備的安全性、自主性以及可控性無法有效保障，網(wǎng)絡(luò)安全存在很大的技術(shù)壁壘。因此，我國的國家密碼管理局一直致力于國產(chǎn)密碼算法和技術(shù)應(yīng)用的標(biāo)準(zhǔn)化工作，近年來已經(jīng)取得了顯著的進(jìn)展。國密算法是我國自主研發(fā)創(chuàng)新具有自主知識產(chǎn)權(quán)的一套密碼算法，這套密碼算法經(jīng)過了多年發(fā)展，目前已經(jīng)逐漸建立和形成了多個算法標(biāo)準(zhǔn)，包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法（ZUC)等。在這些算法標(biāo)準(zhǔn)中，SM2、SM3、SM4三種商用密碼算法應(yīng)用范圍最為廣泛，包括非對稱加密算法、哈希算法和對稱加密算法，當(dāng)前我國互聯(lián)網(wǎng)企業(yè)應(yīng)用最廣泛的是SM2算法。各類國密算法如表2所示。表2各類國密算法匯總序號國密算法應(yīng)用范圍及描述對應(yīng)的國際算法1非對稱加密SM2身份認(rèn)證數(shù)據(jù)簽名，密碼足奐，256位橢圓曲線RSA、RSA40962對稱加密SM1128位數(shù)據(jù)加密，算法不公開，僅以IP核的形式存在于芯片中。智能IC卡、智能密碼鑰匙、加密卡、加密機(jī)DES、3DESAESQ28）、AES192、AES256，AES是取代DES的算法SM4128位數(shù)據(jù)加密,相當(dāng)于AES(128)3完整性運算SM3256位數(shù)據(jù)摘要計算，相當(dāng)于SHA256SHA1、SHA-256、SHA-384、SHA-512公開數(shù)據(jù)顯示，截止到2019年底，我國的國家標(biāo)準(zhǔn)化管理委員會共發(fā)布商用密碼國家標(biāo)準(zhǔn)25項，國家密碼管理局發(fā)布商用密碼行業(yè)標(biāo)準(zhǔn)91項，這些標(biāo)準(zhǔn)覆蓋了商用密碼技術(shù)、產(chǎn)品、服務(wù)、應(yīng)用、檢測和管理等眾多領(lǐng)域，目前已經(jīng)建立形成了相對完備的商用密碼標(biāo)準(zhǔn)體系和標(biāo)準(zhǔn)框架，有效發(fā)揮了商用密碼標(biāo)準(zhǔn)在引領(lǐng)科技進(jìn)步、推動產(chǎn)業(yè)發(fā)展、促進(jìn)互聯(lián)互通、助力應(yīng)用推進(jìn)、優(yōu)化管理服務(wù)等方面的重要作用。隨著標(biāo)準(zhǔn)化進(jìn)程的不斷加快，我國商用密碼產(chǎn)品支撐能力不斷提升，能夠更加有效得支持和滿足網(wǎng)絡(luò)空間條件下差異化、多樣化應(yīng)用需求。我國商用密碼企業(yè)數(shù)量不斷增加，產(chǎn)業(yè)快速成長目前商用密碼相關(guān)單位已超過1000家，并且形成了一批具有較強(qiáng)國際影響力的密碼企業(yè)，形成了分布較為合理、競爭規(guī)范有序、創(chuàng)新能力活躍的商用密碼企業(yè)團(tuán)體。商用密碼產(chǎn)品種類不斷豐富。在產(chǎn)品形態(tài)方面，商用密碼產(chǎn)品覆蓋了密碼芯片、密碼板卡、密碼整機(jī)、密碼系統(tǒng)等各類產(chǎn)品；在產(chǎn)品功能和性能方面，基本已經(jīng)逐漸形成功能層次分明、結(jié)構(gòu)完善、性能優(yōu)越得產(chǎn)品體系，并形成了一大批強(qiáng)功能和高性能得產(chǎn)品成功推向市場；在應(yīng)用場景方面，密碼產(chǎn)品體系的完善，形成了能夠滿足金融、稅務(wù)、交通、電力、公安等行業(yè)的密碼應(yīng)用解決方案，在移動互聯(lián)網(wǎng)、人工智能、云計算、物聯(lián)網(wǎng)等方面也有很多優(yōu)質(zhì)密碼產(chǎn)品不斷涌現(xiàn)。2）國內(nèi)應(yīng)對“棱鏡”的幾種思路“棱鏡”事件給我國乃至全球的國家安全敲響了警鐘，為降低此類事件可能造成的風(fēng)險和危害，我國相關(guān)主管部門積極采取行動，廣泛聽取各界聲音，深入研討提煉了幾種應(yīng)對解決方案。一是各類軟硬件系統(tǒng)的完全國產(chǎn)化。這類方案屬于一種直擊問題根基的治本方案，如果能夠?qū)崿F(xiàn)則能夠徹底擺脫美國對我國在信息技術(shù)領(lǐng)域的根本性控制。然而這種方案也存在著實際執(zhí)行中的問題，我國的信息化研發(fā)起步晚，自主創(chuàng)新能力同美國等仍存在一定差距，雖然有些領(lǐng)域具備了國產(chǎn)替代的能力，但是想在信息技術(shù)領(lǐng)域全面趕超美國，仍然需要數(shù)十年不懈奮斗才能夠?qū)崿F(xiàn)。二是廣泛應(yīng)用可信計算。可信計算是基于可信計算理論，建立我國獨立的完全可信任的安全計算平臺。然而目前市場上可信計算應(yīng)用的芯片、主板、操作系統(tǒng)和應(yīng)用軟件都無法真正繞開國外供給，難以實現(xiàn)國產(chǎn)替代。三是將重要信息系統(tǒng)加強(qiáng)網(wǎng)絡(luò)隔離，在重要信息系統(tǒng)層面上優(yōu)先實現(xiàn)自主可控和國產(chǎn)化。這種解決方案在部分需求單一的應(yīng)用場景下可能能夠嘗試實現(xiàn)，但隨著數(shù)字經(jīng)濟(jì)時代的到來和企業(yè)數(shù)字化轉(zhuǎn)型的加速，各類系統(tǒng)和應(yīng)用也在加速融合和貫通，物理隔離或深度的網(wǎng)絡(luò)隔離已然越來越難以實現(xiàn)。四是推廣數(shù)據(jù)安全為核心的國產(chǎn)密碼技術(shù)應(yīng)用。這一解決方案也是當(dāng)前安全業(yè)界較為推崇和倡導(dǎo)的。這一方案主要是基于當(dāng)前國內(nèi)的信息化系統(tǒng)和產(chǎn)品難以在短時間內(nèi)實現(xiàn)自主可控的突破這一現(xiàn)實情況，因此寄希望于使用國產(chǎn)密碼技術(shù)和產(chǎn)品將這些系統(tǒng)和應(yīng)用的數(shù)據(jù)保護(hù)起來，從而在一定程度上降低數(shù)據(jù)泄露的風(fēng)險，降低類似“棱鏡”事件造成的危害。這一方案也具有相對較高的可實施性，也能夠為我國軟硬件信息系統(tǒng)的自主可控和國產(chǎn)化爭取時間。總結(jié)以上四類解決方案，第一、二類解決方案能夠較為徹底的解決問題，是治本之方案，需要我們長期堅持和投入努力，但是并非短期能夠起效的方案。而第三種解決方案在信息化和數(shù)字化不斷深化的今天，與潮流和趨勢所悖，難以起到實際效果。最后一種方案可行性較高，且能夠在短期內(nèi)起效，應(yīng)用我國現(xiàn)有的密碼技術(shù)和算法積累，提升我國數(shù)據(jù)安全的保護(hù)水平，構(gòu)建數(shù)據(jù)安全堡壘，且能夠為我國徹底解決相應(yīng)安全問題爭取時間，因此是最為值得推崇和鼓勵的方案。為了將第四類解決方案應(yīng)用好，我們需要充分把握數(shù)據(jù)安全的方方面面，構(gòu)建數(shù)據(jù)安全全生命周期的密碼防護(hù)方案，最大程度的保護(hù)數(shù)據(jù)安全。1.4.1.3信創(chuàng)為國產(chǎn)商用密碼等技術(shù)工具規(guī)模應(yīng)用提供產(chǎn)業(yè)鏈支持以國產(chǎn)商用密碼為例，其產(chǎn)業(yè)鏈上下游主要為電子元器件、IT設(shè)備及軟件開發(fā)工具等軟硬件生產(chǎn)制造行業(yè)。電子元器件、芯片等上游產(chǎn)品的更新升級也決定了下游產(chǎn)品相應(yīng)的更新?lián)Q代，其發(fā)展水平在一定程度上也制約了商用密碼產(chǎn)品的發(fā)展。保持產(chǎn)品功能、性能等與上游產(chǎn)品相匹配是商用密碼產(chǎn)品需考慮的因素。需要強(qiáng)調(diào)的是，隨著國產(chǎn)自主可替代計劃的推進(jìn)，電子元器件、集成電路、安全芯片趨于國產(chǎn)化，對國外提供商的依賴將有所降低。產(chǎn)業(yè)鏈上游供給的增加、成本的降低在直接影響密碼行業(yè)成本和利潤的同時，也提升了相關(guān)產(chǎn)品的安全系數(shù)和可信度。芯片行業(yè)在國外的起步比國內(nèi)早很多，我國早期使用的芯片大部分都來自于國外廠商，其中密碼芯片更是屈指可數(shù)。芯片技術(shù)特別是密碼芯片技術(shù)處于整個密碼產(chǎn)業(yè)供應(yīng)鏈的上游成為制約整個密碼產(chǎn)業(yè)的發(fā)展的關(guān)鍵。我國網(wǎng)絡(luò)完全技術(shù)產(chǎn)業(yè)多年致力于該技術(shù)的探索與研究，現(xiàn)已取得長足的進(jìn)步。由于對速率等性能要求并不苛刻，也不要求過高的工藝水平，經(jīng)