數據安全治理專業委員會：2023數據安全治理白皮書5.0（171頁）.pdf

《數據安全治理專業委員會：2023數據安全治理白皮書5.0（171頁）.pdf》由會員分享，可在線閱讀，更多相關《數據安全治理專業委員會：2023數據安全治理白皮書5.0（171頁）.pdf（171頁珍藏版）》請在三個皮匠報告上搜索。

1、中關村網絡安全與信息化產業聯盟數據安全治理專業委員會 編著2023數據安全治理白皮書 5.0中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會以大數據、云計算、人工智能、區塊鏈、物聯網等為代表的新技術與新應用的不斷拓展，推動了產業數字

2、化與數字產業化的巨大變革，數字經濟發展成為推動整體經濟增長的主要引擎之一。當前，數字經濟發展的核心引擎，就是數據價值的發揮。數據作為數字經濟建設關鍵要素，將對其他生產要素起到倍增器的作用，為經濟轉型發展提供新動力。伴隨數據要素化進程的高速發展，數據價值的不斷凸顯，數據安全風險也隨之與日俱增，數據泄露、篡改、濫用等數據安全事件頻發，造成對個人、組織、社會公共利益甚至國家安全的嚴重威脅和損害，極大地制約了數據共享流通使用。數據安全已成為數字經濟時代最緊迫、最基礎的問題，加強數據安全治理，統籌數據發展和安全防護，推動數據依法合理有效利用，已成為維護國家安全和提升國家競爭力的戰略導向。數字經濟時代下，

3、數據呈現體量大、種類多、傳播廣、變化快、可復制等特性，且與業務場景強關聯，數據安全治理面臨巨大挑戰。如何統籌開發利用與安全防護，實現一體兩翼發展，欲達到治理的最佳效果，必須堅持綜合治理的原則，持續踐行以下三個關鍵要素：一是一體化的治理理念，二是全維度的頂層設計，三是先進的技術體系。一體化的治理理念是實現數據安全治理高質量發展的核心，要把數據安全治理融入到整個國家和社會治理體系之中，構建政府負責、社會協同、公眾參與、法治保障的數據安全社會治理體系，從單向的“通辦”、“統管”轉為多元、交互、協同的“共治”，共同織密織牢國家數據安全網。全維度的頂層設計是實現數據安全治理高質量發展的基礎，國家層面要從

4、職責分工、法律法規、政策制定和標準規范等方面做好國家層面的頂層設計，組織層面重點強調因地制宜、量身定制的治理目標，體現組織架構、管理體系和技術體系相融合的核心理念以及圍繞全生命周期的場景化的治理方案。先進的技術體系是實現數據安全治理高質量發展的支撐，要從數據安全治理相關的基礎理論到關鍵共性技術、再到應用技術進行全鏈條的創新研究，積極推動構建自主可控、先進實用的技術和產品體系。本系列白皮書以理論聯系實踐為主導思想，以主冊加各行業分冊為呈現形式，從近年來我國數據戰略及數據安全形勢研判、數據安全治理概念與治理理念及框架、數據安全關鍵技術到多行業的場景化治理實踐等多視角、多維度，較為系統、全面地對數據

5、安全治理I序一Foreword中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會相關內容進行了研究和探索，綜合解讀了監管政策法規及安全事件，梳理厘清了協同治理的相關概念與內涵，深入剖析了數據安全治理面臨的挑戰與治理方法論，整體架構了戰

6、略指導下的管理、技術、運營相結合的治理框架，體系化描述了各類監測與防護技術，列舉了豐富的行業實踐案例并建設性地提出了數據安全治理未來的發展和倡議?！靶羞h自邇，篤行不怠”，期待通過白皮書中圍繞數據安全治理的理論探索與行業治理實踐介紹，為數據安全治理相關人員帶來具體的指引、參考和啟迪，并付諸到實際治理工作當中，同時也期冀大家共同努力，持續探索數據安全治理之道，為加快推進數字中國建設保駕護航。馮登國中國科學院院士II中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

7、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據安全治理白皮書（以下簡稱白皮書）歷經五年多的發展與延續，已升級到 5.0版本。白皮書與中國數據安全治理高峰論壇（以下簡稱高峰論壇）相伴相生，一路走來。2017 年首屆高峰論壇開啟，2018 年第二屆高峰論壇發布數據安全治理白皮書 1.0，此后我們堅持每一屆高峰論壇發布一版白皮書，只有 2020 年新冠黑天鵝降落人間停了一年，即便是 2021 和 2022 年疫情還

8、未消散的時候，我們也依舊堅持著。2017 年，安華金和在國內提出了“數據安全治理”這個概念，當時這個概念很新；業內大家主要談的是網絡安全，看待數據安全也大多基于等保與攻防的視角，由于缺乏法律法規作指引，只能貼著等保走。安華金和自 2009 年開始做數據安全，是國內最早一批專注于數據安全產品、技術研發的企業，積累了大量的實戰經驗，對于數據安全思考也比較多，逐步形成了對數據安全一些自己的認知。最初我們聚焦在“數據庫”安全，在與政府部委、企業數據中心客戶的交流中，逐漸認識到用戶真正關心的是如何保護數據庫中的數據，以及數據在保障安全的基礎上如何得到很好的利用，讓價值得到充分釋放。我們不斷思考和實踐如何

9、達到安全與應用的平衡，在這個過程中領悟到兩方面：一是應以數據為中心，在使用數據的基礎上談安全，結合不同的場景采取精準的數據安全防控措施；二是在促進數據流動的同時，要保證數據安全，應進行分類分級。我們思考并提煉出了一個詞語來概括這些思想，即“數據安全治理”。而后看到國際上對此也有專門的描述，即“Data Security Governance”，發現我們的思考與國際同仁對于數據安全的看法不謀而合。相較網絡安全，數據安全的落地更專注，更要將組織、規范、技術整體統籌推進才有可能做好。2017 年，我們舉辦了第一屆高峰論壇，眾多行業用戶與專家齊聚一堂，共同探討數據安全。在這個過程中，我們認識到，需要對

10、數據安全治理的概念歸納研討做進一步深入的思考和表述，才能在業界的溝通中統一思想和話術。因此在 2018 年第二屆高峰論壇召開前組織完成了數據安全治理白皮書 1.0的撰寫并于峰會上奉獻給大家，同時，在中關村網絡安全與信息化產業聯盟的支持下，牽頭成立了聯盟的數據安全治理專業委員會，持續的推進數據安全治理工作前行。就這樣，高峰論壇和白皮書一直堅持到了現在。2021 年 6 月，中華人民共和國數據安全法頒布施行，作為國家關于數據安全方III序二Foreword中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數

11、據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會面的基礎性法律，明確提出了“維護數據安全應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力”，并把分類分級作為推進數據安全的基礎工作，提出“國家建立數據分類分級保護制度”、“對數據實行分類分級保護”。2021 年 11 月，保護個人信息安全的專門法律中華人民共和國個人信息保護法正式頒布施行。在兩個法律的基礎

12、上，國家互聯網信息辦公室于 2022 年 7 月發布了數據出境安全評估辦法。數據安全法 個人信息保護法 數據出境安全評估辦法分別從國家重要數據保護、個人隱私和權益保護、數據主權維護角度給出了行為指引?？梢哉f，到 2022 年，我國數據安全治理的基礎立法工作基本完成。2022 年起，國家互聯網信息辦公室、工業和信息化部等相關部門陸續出臺一系列規章和規范性文件，全國信安標委、行業管理部門加速推進標準化研究制定工作，隨著各行各業數字化的推進，數據安全產業發展如火如荼。但我們在與客戶溝通時發現，用戶對于如何保障數據安全還是比較困惑。例如數據分類分級與個人信息保護相結合如何開展工作；與國家重要數據保護相

13、結合如何開展工作；還有，分類分級后與數據安全管理的結合，也都存在許多的不確定性。數據安全治理白皮書 5.0在延續慣例對相關的新理論、新政策、新技術進行更新外，重點推出了行業落地實踐集，對行業分類分級標準、數據安全建設要求、檢查辦法、具體化的建設落地案例等進行了介紹，共涵蓋了七個行業。我們希望通過對各行業的治理實踐進行歸納總結，為具體落實數據安全工作提供有價值的借鑒。在梳理行業實踐總結時，我們發現，由于不同行業的數據安全工作進展參差不齊，行業間的相互借鑒、學習尤為重要。未來白皮書更新的重點之一也將是行業落地實踐經驗的匯集交流。當下，數字經濟成為人類新的經濟增長方向，數字化、網絡化、智能化在逐步改

14、變人類生存環境，基于大規模數據學習的人工智能大有替代人類大腦決策之勢；數據安全成為了人類基礎安全保障的核心要素之一，數據安全的重要性前所未有。對此我們可以做的就是熱烈擁抱他的到來。我們希望白皮書成為擁抱這一歷史性變化的一個印跡，和大家一起見證數據安全與數字經濟發展的相伴相行。劉曉韜中關村網絡安全與信息化產業聯盟數據安全治理專業委員會主任北京安華金和科技有限公司董事長兼 CEOIV中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

15、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會 數據安全新形勢背景近年來，我國數字經濟持續快速發展，其產值占國內生產總值比重逐年高速增長，已成為推動經濟增長的重要引擎。國家高度重視數據要素化市場配置改革進程，自 2022 年以來，黨中央、國務院陸續印發了“十四五”數字經濟發展戰略中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見數字中國建設整體布局規劃等一系列數字經濟發展的戰略性文件，我國在加快數據要素市場流通，創新數據要素開發利用

16、機制。但是，數據在廣泛流動釋放價值的同時，也面臨著被竊取、泄露、篡改、破壞、濫用的巨大威脅。新形勢下的數據安全風險形態也呈現多樣化、復雜化特點，造成對個人、組織、社會公共利益甚至國家安全的嚴重威脅和損害。為規范數據處理活動，保障數據依法有序自由流動，近年來，我國數據安全相關法律法規、部門規章持續密集發布，數據安全標準化研究制定工作加速推進，相關審查、評估、認證、審計等制度陸續推出，為各行各業落實數據安全治理、增強數據安全保障能力提供了具體指引和實施參考，持續推動了數據安全的有法可依、有章可循、有標可落。編寫目標在上述形勢背景下，組織在數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動過

17、程中，針對數據安全威脅與監管合規要求，無可避免地需要面對越來越多嚴峻和緊迫的數據安全挑戰。大家都在思考如何在數據資產的開發利用、價值實現與安全保護、履行合規義務之間進行恰當平衡？如何在數據安全方面編制合理的制度策略和選取適宜的技術措施？如何在不斷創新的數據應用場景中持續保護數據安全？為了幫助有關單位解決在開展數據安全治理時面對的眾多困惑和難題，實現數據開發利用與安全防護一體兩翼、平衡發展的目標，本白皮書在數據安全治理白皮書 4.0的基礎上，根據最新進展分析當前我國數字經濟戰略發展與數據安全新形勢新動態，厘清數據安全治理概念并詮釋數據安全治理內涵，完善數據安全治理需求與框架，解讀最新法律法規及標

18、準等監管要求與技術規范，全面、系統介紹圍繞數據生命周期的相關安全技術需求、安全技術工具與技術發展趨勢，歸納 2022 年以來典型的數據安全事件與相關法律案件并進行分析，提出了數據前言PrefaceV中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

19、安全治理專委會安全治理的未來展望和建議。同時，作為本白皮書的突出亮點，推出了典型行業數據安全治理實踐篇。鑒于數據安全與業務場景的強關聯性，踐行場景化數據安全，面向政務、金融、醫療、電信、電力、教育、工業七大數字化轉型相對比較領先的行業領域，由行業內治理專家及領軍企業牽頭，分別給出具備各行業特色的數據安全治理方案與落地實踐案例。數據安全治理白皮書 5.0力圖盡可能體系化、完整地梳理和總結當前與數據安全治理有關的各種資料和最新進展，持續深入探索“讓數據使用有序而安全”的數據安全治理方案，以實現在數據要素釋放價值的同時，堅守安全底線的目標。我們希望能為數據安全運營者、建設者提供指引，為服務支持者（安

20、全服務機構、咨詢機構、律師、法務等法律工作者）提供參考，期望為進一步推廣、普及和完善數據安全治理的理念、方法、體系與實踐添磚加瓦、貢獻力量。讀者對象本白皮書主要面向以下幾類讀者：組織內部數據安全治理相關人員：面向組織內部開展數據安全治理工作相關的決策人員、方案規劃和實施人員、安全管理人員、技術培訓人員，期望能夠幫助他們更加深入全面地了解在數字化轉型過程中正在和將要面對的數據安全威脅、風險和合規性要求以及行業內場景化治理實踐，從而更積極主動地籌劃和開展系統化的數據安全治理，確保能夠有效應對新形勢下的各種數據安全挑戰。數據安全治理相關產品/服務提供商：面向數據安全產業的方案及產品策劃人員、安全治理

21、咨詢服務人員及項目實施人員，期望通過白皮書中對治理框架、技術應用與實踐案例等內容的介紹為產品/服務提供商開展治理方案編制、產品研發和實施服務工作提供啟迪與參考，以更好的服務用戶。數據安全治理相關服務支持者：對安全服務機構、咨詢機構、律師、法務等法律工作者，期望通過對數據安全相關法律法規解讀及相關法律案件分析介紹，給予他們在進行數據安全合規要求和建議工作中提供一定的借鑒參考。此外，本白皮書對于數據安全相關政策法規和標準規范的編制人員、數據安全領域的研究人員，有關管理部門的專業人員等也具有一定參考價值。導讀整個白皮書由主冊和典型行業數據安全治理實踐篇構成，其中：主冊共分為五個正文章節和一個附錄章節

22、。第一章 數據安全治理概念及內涵：對當前數據安全形勢進行整體分析、梳理，厘清數據安全治理概念及內涵，詮釋數據安全治理與相似概念的關系，梳理數據安全治理需求，進一步完善治理愿景、目標及理念。VI中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

23、理專委會第二章 數據安全整體框架：依據數據安全治理理念，圍繞以數據為中心的治理體系不斷演進、深化，組織在整體安全戰略指導下，形成以數據分類分級為治理基石，數據安全管理體系、技術體系與運營體系為治理核心，監督評價體系為效能促進，形成更為完善、合理、全面的治理框架，并給出治理規劃建設實施路徑。第三章 數據安全相關法律法規解讀：在數據安全治理過程中，滿足監管合規要求是重要驅動力之一，重點解讀數據安全相關上位法及 2022 年以來新頒布的法律法規及技術標準等監管合規要求。第四章 數據安全技術需求與主流工具：安全技術措施是數據安全治理的重要支撐，通過從需求和供給兩側對數據安全技術需求和安全技術工具進行全

24、面性、系統化梳理與介紹，并對數據安全技術的發展趨勢進行簡述。第五章 未來展望與倡議：面對數據安全治理實踐涉及的管理、技術與運營過程中的問題，短期內尚無法有效解決的，以展望與倡議的形式予以表述，供行業內人士進行探討。附 錄 作為本白皮書慣例，結合技術創新進一步對主流數據安全技術工具進行詳述，對數據安全相關標準、國際數據安全政策法規進行介紹，并對近年以來重大數據安全事件與法律案件進行分析，為業內人士提供借鑒和參考。典型行業治理實踐篇匯集了金融、政務、醫療、電信、電力、教育、工業七個領域，由行業內治理專家及領軍企業牽頭，從數據安全治理現狀與需求、治理思路與內容、治理實踐案例等多個維度論述各行業的數據

25、安全治理實踐，希望為各行業開展數據安全治理工作起到先行的示范作用。數據安全治理白皮書歷史沿革北京安華金和科技有限公司是在中國倡導數據安全治理理念的發起者和先行者，也是多年來推動數據安全治理理念在我國各行各業應用和實施的實踐引領者。2017 年，由安華金和聯合國內網絡和數據安全界的知名企業，發起成立了中國首個“數據安全治理小組”，并組織召開了首屆中國數據安全治理高峰論壇。2018 年，在中關村網絡安全與信息化產業聯盟的支持和指導下，數據安全治理小組的成員單位共同發起成立全國首家數據安全領域的專業委員會中關村網絡安全與信息化產業聯盟數據安全治理專業委員會。積極促進數據安全治理理念在我國的推廣和普及

26、，為我國數據安全領域的學術研究、技術創新、產業發展和人才培養提供了資源豐富的交流和支撐平臺。成立當年，組織召開了第二屆中國數據安全治理高峰論壇，并組織編撰數據安全治理白皮書 1.0，首次提出數據安全治理的概念定義、治理理念及治理框架，強調業務需求與數據安全的平衡，在論壇上向社會公開發布。2019 年，第三屆中國數據安全治理高峰論壇召開，數據安全治理白皮書 2.0和數VII中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

27、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會據安全治理建設指南公開發布。在國家及行業高度重視數據安全及個人隱私安全的背景下，增加了數據安全相關法規和標準列表說明；補充了個人信息收集與隱私政策測評報告相關解讀，擴展了各行業的數據安全治理實踐，對數據庫防勒索、透明加解密等數據安全相關熱點技術進行了介紹，并更新了 2019 年重要的數據安全事件。2021 年，第四屆中國數據安全治理高峰論壇隆重召開，數據安全治理白皮書 3.0重磅發布。進一步詮釋了“讓數據使

28、用更安全”的治理理念，分析了業內關注的數據安全與網絡安全等概念的近似聯系與區別，匯集了數據安全關鍵技術與前沿技術，解讀了相關法律法規標準要求，整理了覆蓋政務、金融、能源、教育、電信及醫療行業豐富的治理案例，成為數據安全行業較為全面且具有影響力的數據安全治理參考書。2022 年，由中關村網絡安全與信息化產業聯盟數據安全治理專業委員會主編，中國計算機學會計算機安全專業委員會、工業信息安全產業發展聯盟、中關村網絡安全與信息化產業聯盟、北京工業互聯網技術創新與產業發展聯盟、中國電子商會自主創新與安全技術委員會指導，32 家極具影響力的產學研機構共同參編的數據安全治理白皮書 4.0于第五屆中國數據安全治

29、理高峰論壇上發布，白皮書分析研判了當時數據安全形勢與動態，解讀了相關法律法規監管要求，匯集了新形勢下的數據安全治理主要實踐案例及典型數據安全事件，盡可能全面、系統地整理總結了與數據安全治理有關的各類資料和最新進展。VIII中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

30、專委會中關村網信聯盟數據安全治理專委會組織架構 主編方/出品方中關村網絡安全與信息化產業聯盟數據安全治理專業委員會北京安華金和科技有限公司 指導單位中國計算機學會計算機安全專業委員會中關村網絡安全與信息化產業聯盟工業信息安全產業發展聯盟北京工業互聯網技術創新與產業發展聯盟中國電子商會自主創新與安全技術委員會中國信息產業商會信息安全產業分會中國網絡安全產業聯盟數據安全工作委員會中國電力發展促進會網絡安全專業委員會 參編單位國家計算機網絡應急技術處理協調中心 國家信息技術安全研究中心 中國電子技術標準化研究院 中國信息安全測評中心 公安部第一研究所 公安部第三研究所 國家工業信息安全發展研究中心

31、中國軟件評測中心 中國網絡空間研究院 中國科學院軟件研究所 中國科學院信息工程研究所 國家金融科技測評中心 國家衛生健康委醫院管理研究所 北京市政務信息安全保障中心 天翼安全科技有限公司 暨南大學 國網智能電網研究院有限公司 福建省電子產品監督檢驗所 北京世輝律師事務所 光大科技有限公司 北京數字認證股份有限公司 北京安信天行科技有限公司 中國船舶集團有限公司第七九研究所 陜西省信息化工程研究院 北京市中倫律師事務所 西交蘇州信息安全法學所 北京博遵律師事務所 泰和泰律師事務所 北京市中聞（上海）律師事務所 上海創同律師事務所 江西省信息中心 江蘇省信息安全測評中心 山東省國土空間數據遙感技術

32、研究院 山東省社會信用中心 煙臺市大數據局 煙臺市大數據發展集團有限公司 青島市大數據發展管理局 智慧齊魯（山東）大數據科技有限公司 聯通數字科技有限公司 中國民生銀行股份有限公司 工IX中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專

33、委會銀科技有限公司 中國工商銀行安全攻防實驗室 中金金融認證中心有限公司 北京國家金融科技認證中心有限公司 山東高速信聯科技股份有限公司 晉商銀行股份有限公司 江蘇蘇寧銀行股份有限公司 東吳證券股份有限公司 南京證券股份有限公司 中電信數智科技有限公司 中移（蘇州）軟件技術有限公司 中國聯合網絡通信有限公司軟件研究院 上海華東電信研究院(中國信息通信研究院華東分院）西安電子科技大學杭州研究院 恒安嘉新(北京)科技股份公司 山東第一醫科大學附屬省立醫院 江蘇省人民醫院 南京江北醫院 中日友好醫院 山東大學齊魯醫院 中南大學湘雅二醫院 江蘇省中醫院 南方醫科大學第七附屬醫院 東部戰區總醫院 臨沂市

34、人民醫院 濟南市康養事業發展中心 北京深思軟件股份有限公司 華北電力大學 中國南方電網有限責任公司 國網大數據中心 中能融合智慧科技有限公司 中國人民公安大學 南開大學網絡空間安全學院 電子科技大學網絡空間安全研究院 北京科技大學 山東大學 山東財經大學 四川師范大學 華中科技大學 武漢理工大學 北京谷安天下科技有限公司 深圳市聯軟科技股份有限公司 北京銳安科技有限公司 湖北省電子信息產品質量監督檢驗院 山石網科通信技術股份有限公司 中電車聯信安科技有限公司 天津太極風控網絡科技有限公司 京信數據科技有限公司 北京智游網安科技有限公司 天九共享網絡科技集團有限公司 青島中元云冊創新科技有限公司

35、 昆侖太科（北京）技術股份有限公司 中邦網絡安全技術（深圳）有限公司X中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會致 謝感謝以下人員為數據安全治理白皮書 5.0的編制付出的辛勤勞動。編委會專家組組長馮登國指導專家（按姓氏筆畫排序

36、，排名不分先后）于 銳 馬民虎 王偉平 王才有 左曉棟 盧 衛 馮燕春 向小佳 劉龍庚 劉欣然劉海峰 劉哲理 劉曉韜 劉紫千 嚴 明 李新社 李京春 李新友 李建彬 李 俊李吉慧 李洪偉 楊 韜 肖革新 吳 蘭 吳沈括 張 峰 張 力 張 濤 金 波金 濤 單立坡 郝志強 胡紅升 胡光俊 俞克群 姜 偉 姚相振 錢宗政 裴廷睿衡反修編審專家（按姓氏筆畫排序，排名不分先后）王曉光 王新銳 包國峰 劉曦澤 孫立淼 孫 巖 孫建國 李向鋒 李安倫 李 斌李 媛 楊帥鋒 楊海峰 何延哲 何晉昊 張 敏 陳青民 陳 聰 林星辰 季亨卡郝文江 胡 影 徐明迪 高 松 崔媛媛 蔚 晨 譚峻楠 魏 力參編專家

37、（按姓氏筆畫排序，排名不分先后）丁 瑩 于建鵬 于 皓 馬佑平 王 剛 王 瑋 王 杰 王 迪 王美珍 王冠杰王 峰 王浩宇 王海峰 王 翀 王逸君 王超毅 王斌君 王 普 王 蕾 王 巍文 劍 尹曉東 鄧鵬飛 左 蕓 石聰聰 申浩文 田建彤 田 娜 田博文 史 輝白旭東 白 倩 仝 鑫 朱元元 朱劍楠 朱洪濤 朱曉東 劉方斌 劉 楊 劉 暢劉春雷 劉 洋 劉海豐 劉 翀 劉耜杭 劉 穎 衣軍成 許智鑫 許道遠 孫亞東孫明明 孫曉童 蘇 力 杜浩文 李 為 李永在 李 蘇 李松濤 李 欣 李欣韋李 波 李 振 李 蒞 李 輝 李源鑫 李 靜 李 睿 李瀟瑩 李德生 李 巍楊 波 楊學穎 邱 杰

38、 邱 峰 何黎明 宋士明 宋博強 初航正 張小亮 張永禎張 兵 張 勇 張曉云 張曉娜 張 野 張 敏 張 瑞 張騰標 張 豪 張 澍張耀峰 張 鑫 陳小春 陳江江 陳紅松 陳志強 陳 虹 陳 鋼 陳菲琪 范麗珺XI中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會

39、中關村網信聯盟數據安全治理專委會范益天 范道峰 林 闖 金 晨 周 揚 周傳玉 周 映 周劍濤 周 莉 周健雄周愛昭 周 濤 官全龍 房海騰 趙宇博 柳彩云 鐘 強 侯德智 施志暉 宮小茜袁 成 袁 靖 夏杰峰 夏 瑛 顧飛飛 徐羽佳 徐 歡 徐 煦 欒秀梅 欒澤琳高先周 高慶浩 高晨濤 高雅婷 高強裔 郭 莉 郭曉東 郭錚錚 郭超然 郭 騰黃 進 黃 鵬 曹文潔 曹阿龍 龔伏蘭 常景輝 梁明君 隆 峰 彭 遠 彭建輝葛 珊 葛菊平 董子嫻 董 軍 董 楓 韓 云 景慎旗 喻 英 程 娜 程 蕾曾艷春 謝永紅 謝航競 雷嘉賓 闕秀震 廖懷學 魏 東 魏林鋒 版權聲明 白皮書版權屬于中關村網絡安

40、全與信息化產業聯盟數據安全治理專業委員會（簡稱數據安全治理專業委員會），并受法律保護。轉載、摘編或利用其他方式使用本白皮書文字或觀點的，應注明“來源：中關村網絡安全與信息化產業聯盟數據安全治理專業委會編著數據安全治理白皮書 5.0”，違者將被追究法律責任。XII中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

41、安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會目錄Catalog第一章 數據安全治理概念及內涵 11.1.數據安全背景與形勢 11.1.1.數字化轉型進

42、入深水區 11.1.2.數據安全面臨新挑戰 11.1.3.數據安全監管新舉措 21.2.數據安全治理概念和理解 31.2.1.數據安全治理概念 31.2.2.數據安全治理內涵 51.3.數據安全治理面臨挑戰與需求 91.3.1.貫徹數據安全戰略頂層規劃需要布局 101.3.2.跨組織、部門全員協同治理需要加強 101.3.3.個人信息合理利用與權益保護需要重視 111.3.4.面向行業特點的場景化治理需求凸顯 111.3.5.數據分類分級自動化、精準化亟待解決 121.3.6.治理水平稽核評價體系需要建立健全 121.4.數據安全治理理念日趨成熟 121.4.1.數據安全治理愿景 131.4.

43、2.數據安全治理目標 141.4.3.能力支撐框架設計 14第二章 數據安全治理整體框架 162.1.整體框架設計思路 162.2.規劃數據安全戰略 182.3.開展數據分類分級 182.4.組織架構及管理制度體系 192.4.1.組織架構 19中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

44、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會2.4.2.人員管理 222.4.3.管理制度 242.5.數據安全技術體系 282.6.數據安全運營體系 282.6.1.規劃思路 282.6.2.體系架構 292.6.3.運營服務 322.7.數據安全監督評價體系 322.8.典型數據處理場景 342.8.1.數據跨境 342.8.2.數據交易 352.8.3.大數據處理 362.8.4.合作共享 372.9.數據安全治理規劃建設 372.9.1.數據安全治理整體建設思路 382.9.2.數據安全治理迭代式建設思路 39第三章 我國相關法律法規及標準解讀 403.1.數據安全合

45、規整體體系框架 403.2.重點推進工作 413.2.1.數據安全認證機制完善數據安全監管體系 413.2.2.“三種路徑”推動數據出境規則加快落地453.3.法律 473.3.1.網絡安全法保障網絡與信息安全473.3.2.數據安全法構建數據安全治理框架483.3.3.個人信息保護法保障個人信息權益503.3.4.網絡安全、數據安全與個人信息保護的關系 513.4.行政法規 523.4.1.關鍵信息基礎設施安全保護條例實施關基重點保護523.4.2.網絡數據安全管理條例（征求意見稿）細化數據安全治理規則533.5.部門規章及規范性文件 533.5.1.數據安全的協同治理 533.5.2.重要

46、規章及規范性文件 54中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會3.6.地方性法規 583.6.1.創新數據安全治理新模式 583.6.2.提供公共數據治理的模式借鑒 583.7.國家標準、行業標準及相關指南 59第四章 數據

47、安全技術需求與主流技術工具介紹604.1.數據安全技術需求介紹 604.1.1.平臺化安全防護需求 604.1.2.全生命周期安全防護需求 624.1.3.通用安全防護需求 664.2.數據安全防護主流技術工具介紹 674.2.1.技術工具功能及應用場景簡介 674.2.2.技術工具落地部署示意 754.2.3.技術發展趨勢分析 76第五章 未來展望與倡議785.1.未來展望 785.1.1.治理能力創新 785.1.2.治理體系和制度健全 795.1.3.治理全球化 805.2.持續加強數據安全治理能力的倡議 815.2.1.面向國家角度的倡議 815.2.2.面向學術和產業界的倡議 825

48、.2.3.面向企業和組織的倡議 83附錄 85A.詞匯表85B.數據安全主要產品與關鍵技術87C.2022 年以來重大數據安全事件歸類分析 124D.2022 年以來典型數據安全相關法律案件分析 134E.我國主要數據安全相關標準匯總 137F.國際數據安全政策與法規概述 144中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會

49、中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

50、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據安全治理白皮書 5.0版本修訂說明數據安全治理白皮書 5.0版本中，針對以下內容進行修訂完善與擴展：1.添加數據安全治理概念闡述，首次對“數據安全治理”概念進行了定義與詮釋；2.基于當前數據安全發展形勢，對當前國家數據戰略、風險態勢與監管舉措等進行剖析；3.更新了數據安全治理實踐過程中面臨的新挑戰與關鍵需求；4.進一步深化數據安全治理理念，健全數據安全治理框架，將個人信息保護明確納入數據安全治

51、理體系，并擴展治理框架中的監督評價體系介紹；5.添加數據跨境、數據交易、大數據處理與合作共享等典型、通用安全場景治理需求介紹；6.完善數據安全合規體系框架及相關法律間關系闡述，更新了 2022 年度以來最新的法律法規解讀，對數據安全治理建設提供合規落地指引；7.基于數據安全技術在數據安全治理的關鍵支撐作用愈發顯著，將數據安全技術體系獨立成章，從技術需求到技術工具落地實踐進行了體系化的整體介紹，并在附錄中補充完善了數據安全相關產品與關鍵技術介紹；8.更新數據安全治理協同發展的未來展望和倡議；9.更新 2022 年度以來國內外重大數據安全事件歸類分析與典型的數據安全相關法律案件分析；10.匯總最新

52、的重要國家、行業與地方的數據安全相關標準列表；11.補充了國際數據安全政策與法規介紹；12.全文內容文字和段落結構優化；13.深入踐行“場景化安全”，首次推出面向重點行業的數據安全治理實踐集，形成數據安全治理主冊加各行業分冊的系列化叢書。數據安全治理白皮書 5.01中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟

53、數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會第一章 數據安全治理概念及內涵當前，隨著大數據、人工智能、區塊鏈、云計算等新技術和產業的快速發展，數字化數據呈指數級增長，數據共享流通、開發利用的訴求愈發強烈。由于這類數據本身存在易于復制、確權困難的特點，數據在快速釋放價值的同時

54、，安全風險也與日劇增。同時，在當前全球競爭格局加劇的形勢下，數據安全已上升到國家安全戰略。我國高度重視數據安全，持續出臺相關法律法規，加強并健全系列監管舉措，如何統籌數據開發利用與數據安全的平衡發展，促進和保障數據的有序流動，構建體系化、系統化的數據安全治理需求日益迫切。1.1.數據安全背景與形勢1.1.1.數字化轉型進入深水區建立健全數字基礎設施是打通內、外部循環經濟體系的重要舉措。我國信息化、數字化建設經過 20 余年的高速發展，已經在多點表現出全球領先的顯著優勢。數字革命是開啟第四次工業革命的鑰匙，數字經濟是未來世界經濟的火車頭。執牛耳者，自當奮楫。促進數據共享流通使用，建成完善的數字基

55、礎設施，是“歷史賦予的使命，時代要求的擔當”。當前我國千行百業數字化轉型進入深水區，數字經濟已經成為助力經濟增長的重要引擎。在這個大趨勢中，加快培育壯大數據要素市場，充分發揮數據要素的放大、疊加、倍增作用，是貫徹落實新發展理念、構建新發展格局、推動我國經濟轉型的戰略選擇。2022 年以來，我國圍繞數字經濟發展，在政策方面，國家陸續頒布了關于構建數據基礎制度更好發揮數據要素作用的意見（以下簡稱“數據二十條”）、數字中國建設整體布局規劃等綱領性文件。為持續推進數據要素化市場配置改革，2023 年國務院專門設立了國家數據局，負責協調推進數據基礎制度建設，統籌數據資源整合共享和開發利用，統籌推進數字中

56、國、數字經濟、數字社會規劃和建設。1.1.2.數據安全面臨新挑戰伴隨數據要素化進程的高速發展，數據廣泛、實時流動，在釋放數據價值的同時，數據安全威脅也日益嚴峻。除面臨傳統的泄露、竊取、破壞等安全威脅外，還呈現出如下新的風險態勢：數據跨境流動引發國家和公民安全隱患。隨著經濟全球化的發展，全球貿易往來、金融投資和技術交流日益頻繁，在數據跨境傳輸、訪問和使用過程中，跨境數據流動的種類、數量與頻次持續大幅度上升，涉及的內容也不再局限于個人隱私信息，還包括國家安全、社會治理、企業商業機密等方方面面。伴隨數據價值的攀升，數據被覬覦的風險也持續加大，由于技術漏洞、管理缺位和政策法規不完善等因素，海量的數據跨

57、境流動帶來了潛在的重大系統性風險，不僅會對個人隱私產生數據安全治理白皮書 5.02中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村

58、網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會嚴重影響，這些數據若被境外情報機關獲取并用于對我國的戰略分析，還會使得我國戰略動作易被觀察預測，產生國防安全的重大隱患。濫采濫用個人信息并實施數據壟斷。由于互聯網平臺企業的業務大都由數據驅動，商業推廣、精準營銷、產品迭代等均依賴對數據的海量收集和開發利用，數據成為了平臺企業發展和盈利的核心資源?；跀祿占褂脛撔律虡I營收模式，實現利益最大化，成為了各個平臺企業追逐的商業目標，由此又加劇了個人信息濫采濫用、數據

59、壟斷亂象頻發的數據安全威脅。大數據殺熟與價格歧視。平臺企業利用所掌握的數據以及大數據技術，對消費者的消費行為進行精準刻畫，進而在用戶不知情的情況下，對不同用戶采取不同的價格機制與定價策略，從而最大程度上攫取利益。信息繭房與視野窄化。算法推送技術導致推薦內容過于單調，它不僅讓受眾個體的視野被固化，會在受眾當中形成分區，擴大了不同群體之間的知識鴻溝，甚至導致群體極化事件發生。人工智能技術面臨多重安全風險。一方面模型算法攻擊挑戰嚴峻，模型算法在深入挖掘數據價值的同時，被攻擊、修改、竊取的風險也隨之加劇，例如在網購平臺推薦算法中，惡意混入誤導性數據，導致推薦錯誤；以及利用人臉圖片，欺騙人工智能系統，讓

60、其做出錯誤的判斷。另一方面，基于人工智能的新型攻擊凸顯，基于人工智能具備的機器學習特性，會被黑客利用開展新型攻擊。例如，針對具體人、具體場景，有針對性地生成釣魚郵件，進行精準釣魚；以及使用人工智能技術合成親屬語音，進行網絡詐騙。再一方面，生成式人工智能引起新型數據泄露及濫用風險，伴隨 ChatGPT的興起，生成式 AI 技術的商業化趨勢已經來臨，眾多企業通過將文本理解分析，多模態檢索等智能分析能力融入到在線服務、智能客服等產品和服務中，全面提升自身產品和服務的AI化，在此過程中，涉及的數據非法獲取、數據泄露及惡意濫用等數據安全問題也日益凸顯，例如：ChatGPT 不設限爬取、采集我國各大重要媒

61、體、電商等平臺中的敏感數據、用戶行為軌跡等信息，深度訓練分析我國社情民意，嚴重危害國家安全；以及在應用ChatGPT進行雙向互動請求過程中，會被要求輸入個人敏感信息、業務數據或涉及商業秘密等內容，加劇了數據泄露的風險。1.1.3.數據安全監管新舉措數據是經濟發展的重要生產要素和核心引擎，數據安全已成為我國總體國家安全觀的重要組成部分?！皵祿畻l”提出“統籌發展和安全，貫徹總體國家安全觀，強化數據安全保障體系建設，把安全貫穿數據供給、流通、使用全過程，劃定監管底線和紅線?！睌底种袊ㄔO整體布局規劃提出“強化數字中國關鍵能力，筑牢可信可控的數字安全屏障。增強數據安全保障能力，建立數據分類分級保護

62、基礎制度，健全網絡數據監測預警和應急處置工作體系?！弊?2022 年以來，為充分貫徹數據安全法個人信息保護法等上位法的總體要求，相關部門發布了多項數據安全規章、規范性文件、技術標準，以促進數據安全治理的落地實施，如國家互聯網信息辦公室出臺了數據出境安全評估辦法個人信息跨境處理活動安全認證規范個人信息出境標準合同辦法等系列出境規則體系以及數據安全管理認證實施規則個人信息保護認證實施規則等認證相關部門工作文件。在技術標準方面，國家信安標委頒布了信息安全技術 數據安全治理白皮書 5.03中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

63、安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會網絡數據處

64、理安全要求信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求信息安全技術 網絡數據分類分級要求（征求意見稿）等系列技術標準；在促進產業發展方面，工業和信息化部與國家互聯網信息辦公室等十六部門聯合印發 關于促進數據安全產業發展的指導意見，明確了數據安全產業發展的必要性、指導思想、基本原則和發展目標等頂層設計。由國家數據安全工作協調機制統籌協調，行業主管部門各司其職承擔本行業、本領域的數據安全監管職責，網信部門、公安機關、國家安全機關依法依規承擔各自職責范圍內的數據安全監管職責的多方協同監管體系正在逐步形成并不斷深入完善。1.2.數據安全治理概念和理解自 2017 年 Gartner

65、首先在業界提出數據安全治理概念以來，國際國內對“數據安全治理”這一概念都有不同的詮釋，但一直都沒有給出一個標準化的公認定義。本白皮書從 1.0 到 4.0 版發布以來，本著求同存異的理念，也始終沒有針對“數據安全治理”予以概念定義。伴隨著數據安全治理的深入開展和廣泛應用，在此版白皮書對“數據安全治理”的概念及涉及內涵嘗試予以詮釋，供業界探討。1.2.1.數據安全治理概念數據安全治理，顧名思義，可拆分為“數據安全”與“治理”，數據安全可理解為目標，治理可理解為手段。首先看“數據安全”的定義，在數據安全法中明確將數據安全定義為“通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持

66、續安全狀態的能力”。從核心立意來看，定義中核心強調的是數據開發利用與安全保護的統籌與平衡發展，一方面數字經濟的發展必須在數據安全的前提下開展，沒有數據安全，數字經濟的發展將失去有效的控制支撐；另一方面，數據的開發利用是促進數據價值釋放之必然，不能由于數據安全的過度保護制約數據的流動與共享開放。從防護措施來看，基于“統籌安全與發展”的數據安全核心立意，定義中強調了數據安全保護措施的必要性與持續性，必要性是指面向數據處理活動與場景化需求，采取按需、動態的管理和技術措施落實有效保護，持續性是指伴隨數據圍繞業務發展快速變化，相應的保護措施也需順應變化，落實常態化運維，保持持續安全狀態。其次看“治理”的

67、定義，“治理”對應的英文單詞是“governance”（源自拉丁文或古希臘語“steering”一詞，原意是“引領導航”)，是指遵照具有共識的指導原則，通過協調和配合共同追求一致目標的過程。針對“治理”的概念，在全球治理委員會（CGG）中進一步解釋為“個人與公私機構管理其自身事務的各種不同方式之總和；是使相互沖突或不同利益得以調和并且采取聯合行動的持續的過程”，其中包含四個方面的特征，即：（1）治理不僅僅是一整套規則條例，也不是一種活動，而是一個活動集合的過程；（2）治理過程的基礎不是簡單的控制和支配，更重要的是協調；（3）治理既涉及公共部門，也包括私人部門；數據安全治理白皮書 5.04中關村

68、網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委

69、會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會（4）治理不意味著只是一種固定的制度，而是持續的互動。因此，治理更強調協調和合作，一般不應簡單表述成一套嚴格的規則條例或正式制度，通常是以一種依托法規標準和協調機制，通過多組織、多部門橫向協同配合與持續優化的過程，來實現行動目標。最后，結合數據安全和治理的概念定義，從廣義的社會層面和狹義的組織層面來理解數據安全治理：從廣義的社會層面治理來看，是指在國家整體數據安全戰略指導下，依法依規整合多方相關單位共同參與、協同實施的一系列為實現既定目標活動的集合。其涉及的相關組織包括國家、行業、研究機構、組織及

70、個人等多元實體。其核心活動包括持續建立健全相關法律法規、政策標準體系，創新數據安全關鍵技術，貫徹落實政策法規落地，培養專業人才，營造數據安全產業生態等。數據安全治理是以“讓數據使用有序而安全”為愿景，構建形成全社會共同維護數據安全、促進數據開發利用和產業發展的良好環境，探索在我國易于落地的數據安全建設體系的過程。從狹義的組織層面治理來看，數據安全治理是指從自身視角出發，多部門協作，推動合法合規使用數據的一系列活動的集合。其核心活動包括明確數據安全治理工作的團隊及職責，規劃制定相關制度規范，構建數據安全技術體系等。源引國際咨詢機構 Gartner（數據安全治理倡導者）的經典論述，“數據安全治理不

71、僅僅是一套用工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識，確保采取合理和適當的措施，以最有效的方式保護信息資源?！?，可進一步理解為依據頂層數據安全戰略，從組織、人員、制度、工具等方面，內外部相關方協作實施的一系列治理活動集合，以確保數據安全。具體活動包括建立治理組織架構、建設和培養數據安全人員、制定數據安全制度規范、構建全生命周期技術防護體系等。類似的觀點，微軟提出了專門強調隱私、保密和合規的數據安全治理框架（DGPC），雖然沒有明確指出數據安全治理的定義，但其核心思想指出：

72、“數據安全治理理念主要圍繞人員、流程、技術三個核心能力領域的具體控制要求展開，與現有安全框架體系或標準協同合作以實現治理目標，最終更好實現數據安全風險控制”。在本白皮書中，更多強調的是狹義層面、面向組織的數據安全治理，通過治理活動，確保數據安全，推動發展與安全一體兩翼、平衡發展。數據安全數據安全治理治理依據組織頂層數據安全戰略，從組織、人員、制度、工具等多個方面，內外部相關方協作實施的一系列治理活動集合，以確保組織數據安全，推動發展與安全一體兩翼、平衡發展。防護手段“數據+安全”強調的是數據的合法利用和有效保護間的動態平衡與持續保護治理不是一整套規則條例，而是一個活動集合的過程；治理的過程不是

73、控制和支配，而是協同與持續優化。圖 1-1 數據安全治理概念數據安全治理白皮書 5.05中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會

74、中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會1.2.2.數據安全治理內涵1.2.2.1.數據安全治理內涵整體理解通過對數據安全治理概念的梳理與理解，從多元共治、關注數據處理互動安全、重視管理與技術并舉三個方面對關鍵要點的內涵進行解讀：（1）多元共治與國家和社會治理的其他領域一樣，數據安全治理面臨的基本矛盾也是秩序與活力的矛盾，傳統的數據安全防護體系主要偏向單純的技術體系防護，如保密性、完整性、可用性等方面的技術防護措施，而對于社會倫理、法律合規、公

75、共權益等問題關注度不夠，鑒于數據安全的廣泛性、普遍性與復雜性，面對數據安全領域的諸多挑戰，需要整合國家、社會、組織及個人等多方主體資源，推動企業自治、政府監管、服務與市場調節形成合力，構建系統性、整體性、協同性的數據安全多元共治生態，更好地服務于數字經濟發展，這也與數據安全法第九條中強調建立各方共同參與的工作機制相一致（“推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作”）。同樣，對于治理主體而言，鑒于數據安全與業務的強關聯性，數據開放流通與數據安全防護的天然矛盾，需要從戰略層面出發，統籌安全與發展問題，協調解決業務、科技、審計、風控等各相關方的溝通障礙，統一數據安全共識

76、、從管理和技術等多個方面，發揮各自優勢，緊密配合，共同推進數據有序開發利用，促進數字化轉型健康發展。（2）關注數據處理活動安全實施從以網絡為中心轉向以數據為中心的體系化安全保護策略。對數據進行有效識別并進行分類分級，針對數據的采集、傳輸、存儲、提供、共享、公開、刪除及銷毀等處理活動進行梳理，根據不同的數據敏感等級以及數據處理活動狀態，統籌規劃與設置相應數據保護策略，實現不同級別數據的差異化、動態安全防護，有效貫徹落實數據的合法利用與有效保護，實現數據資產可知、流轉可視、策略可管、風險可控，確保數據全生命周期安全。（3）重視管理與技術并舉面對圍繞數據處理活動的多方協同治理需求，組織在規劃和開展數

77、據安全治理工作時，需要依據數據安全治理的核心理念，從數據安全戰略出發，明確各相關方的職權范圍，制定相應的管理政策與流程，再通過技術措施落實安全防護策略。并能夠根據安全形勢、技術發展和演進趨勢等的動態變化，對數據安全治理體系進行持續優化。在整體治理過程中，安全管理是安全技術的關鍵指導，安全技術是實現安全管理的基礎支撐，通過管理和技術“雙管齊下、深度融合”，解決數據安全保護問題。1.2.2.2.數據安全治理與社會治理的關系隨著信息技術和互聯網的快速發展，超越傳統意義上的數據儲存、管理和分析能力的大數據在帶來數據與信息處理方式的根本性變革的同時，也對社會治理產生了重要影響。2020 年 4 月 9

78、日，中共中央、國務院印發關于構建更加完善的要素市場化配置體制機制的意見，提出土地、勞動力、資本、技術、數據五個要素領域的改革方向和具體舉措。數據作為一種新型生產要素寫入中央文件數據安全治理白皮書 5.06中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯

79、盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中，體現了互聯網大數據時代的新特征。數據要素是數字經濟時代的“石油”，數據流動能夠活躍技術流、物質流、人才流、資金流，為數字經濟創造價值。在這種背景下，數據安全就顯得尤為重要。習近平總書記高度重視保障國家數據安全，強調“要加強關鍵信息基礎設施安全保護，強化國家關鍵數據資源保護能力，增強數據安

80、全預警和溯源能力”。因此，如何將數據安全治理融入社會治理，讓二者相輔相成、相互促進，對于強化網絡、數據等安全保障體系建設和推動數字經濟發展具有重要意義。一方面，社會治理是促進數據安全治理又好又快推進的關鍵環節。近年來，我國在筑牢數字安全屏障方面取得了眾多矚目的成績，出臺了包括國家安全法、網絡安全法、密碼法、數據安全法和個人信息保護法等在內的一系列法律法規，構筑起維護數據安全和促進數字經濟持續健康發展的法律制度保障。但也要看到，在完善數據安全治理的過程中仍存在一些短板項，比如數據安全治理主體責任不明晰，企業數據安全治理流程及效果評價尚未形成統一標準，部分企業對數據安全不夠重視，安全投入不足，層出

81、不窮的新型網絡攻擊造成敏感數據泄露等。單純依靠企業和個體自身的力量難以解決這些問題，必須加快探索構建起黨委領導、政府負責、社會協同、公眾參與、法治保障、技術支撐的數據安全社會治理體系，將數字安全治理從單向的“通辦”、“統管”轉為多元、交互、協同的“共治”。具體來說，首先，需要積極發揮政府和行業協會等主體作用，加強對數據安全治理規則、相關標準制定的組織引導，強化對企業數據安全的監督監管，確保關鍵領域和核心環節的數據安全。其次，進一步明確各類平臺和企業等市場主體在數據安全治理方面的責任，提高居民個體維護自身數據安全的意識和積極性，同心協力維護數據安全，夯實數字經濟持續健康發展的安全基礎。最終，建立

82、安全可控、彈性包容的數據安全治理制度，共同織密織牢國家數據安全網。另一方面，盡管當前數據及其技術的融合應用在政府經濟調節、市場監管、社會管理、公共服務、生態環境保護等各項工作中潛力無限。但由于數據作為新型的生產要素，具有體量巨大、類型眾多、流通極快、易于編輯復制、多維復雜、不斷裂變和虛擬性現實性緊密關聯等新特點，傳統的資源管理模式和安全防護手段難以完全適配和應對新技術帶來的風險和挑戰。因此，需要數據安全治理為社會治理模式創新提供有力的支撐和保障，并更好地賦能社會治理創新，推進政府治理體系和治理能力現代化：第一，數據安全治理是促進社會治理體系變革的“牽引器”。數字化既是技術變革，也是組織與思想變

83、革。數據已經成為連接社會萬物的信息紐帶，現實世界和虛擬世界之間的聯系也變得越來越緊密。虛擬的數字印章和電子證照在現實世界得到普遍認可和使用，使得各類事務辦理的效率大大提升；虛擬的數字貨幣在現實世界得到公開發行和推廣，使得商品交易、貨幣流通和金融監管的成本大大降低。在這背后，離不開依托數據安全治理保障現實世界中不同利益主體的多樣化安全需求，以及具備應對不同場景下的差異化條件的能力。舉例來說，從行為規范角度，數據安全治理要求應用算法和數據必須保障虛擬空間的基本公共秩序，防止出現大數據殺熟、數字壟斷、隱私泄露、數字欺詐等違法犯罪問題；從功能效用角度，要求算法、數據需要匹配現實世界的客觀真實情況，避免

84、產生算法偏見、算法歧視、“信息繭房”等消極負面影響；而從社會公益角度，算法和數據還應考慮人類群體的一般道德倫理，鼓勵推廣愛心通道、“適老”服務、弱勢關懷等數字信息援助?？傊?，數據安全治理是進一步提升政府數字治理的文明程度，促進社會治理體系變革高質量前進的助推器。數據安全治理白皮書 5.07中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

85、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會我們應該通過數據安全治理合力建成共建、共享、共治的良好生態。第二，數據安全治理是提升社會治理質量的“助推器”。當前，我國高度重視數字政府建設并取得了一系列成績。從“推進數字政府建設”到“加強數字社會、數字政

86、府建設”，深刻反映了國家對數據賦能社會治理的認識在不斷深化。但我國是一個大國，地區的社會政治經濟活動涉及諸多領域，具有范圍大、規模大、情況復雜等特點。而過去的信息化建設模式千差萬別，數據質量高低不一，臟數據、不完整數據等也層出不窮。因此決策者往往面臨決策依據不充分、獲取的信息不確定性大等問題。依托數據安全治理能夠綜合運用法律政策、技術手段、標準規范等各類工具，做到數據采集、存儲、處理、共享、開放、開發利用等全鏈條數據活動的管理和監督，規范數據處理、提升數據質量、釋放數據價值、防范安全風險，確保數據流通走向規范化、法律化、制度化軌道，實現從源頭開始對數據質量層層把控，為共建共治共享提供安全、可信

87、的載體、渠道和機制。使所掌握的數據真正的全樣本、干凈、有營養，能夠實事求是地反映客觀現實，基于高質量的數據進行建模、分析、決策和創新，必然事半功倍。第三，數據安全治理是引導良好數字治理理念的“風向標”。數字技術在社會治理中的廣泛應用，既有助于提升社會治理水平，也可能帶來一系列非預期后果。由于數字技術本身并不足以保證社會治理的合法性、合理性和有效性。因此，我們需要依托數據安全治理構建社會治理數字化轉型的堅實基礎環境和有效約束空間。在社會治理現代化進程中，數據安全治理作為一種具有良好治理效果的重要方面，能有效促進社會治理參與者樹立數據安全思維、轉變治理觀念、實現社會治理能力現代化的進步。所以應將數

88、據安全治理緊密結合到社會治理決策、公共服務、社會監管以及社會民生保障等領域建設中，推進社會治理現代化。以數據安全治理推動國家和社會治理的數字化轉型是大勢所趨，更是時代重任。目前，不論在理論還是實踐層面，數據安全治理建設都處于初創階段，還需要在治理技術創新、理論創新、制度完善等領域，進行深入探索和積極開拓，更好促進數字社會的健康發展。1.2.2.3.數據安全治理與數據治理的關系數據治理是指從使用零散數據變為使用統一數據、從具有很少或沒有組織和流程到企業范圍內的綜合數據流轉、從嘗試處理數據混亂狀況到數據井井有條的一個過程；同時又作為組織中涉及數據使用的一整套管理行為，包括數據治理計劃、監控、實施，

89、通過對數據的梳理整合，利用數據驅動業務，實現企業增值。而數據安全治理則強調從戰略層面形成由上而下貫穿組織總體架構的對數據安全治理目標的共識，關注數據處理全生命周期安全，重視管理與技術措施并舉，并能夠根據安全形勢、技術發展和演進趨勢等的動態變化，對數據安全治理體系進行持續優化。目前，關于數據安全治理與數據治理的關系有兩種主流的解讀方式。一種以國際標準（ISO/IEC 38505）數據治理框架和國際數據管理協會（DAMA）的 DAMA-DMBOK 框架為代表，它們認為數據安全治理是整體數據治理的一個重要組成部分，數據安全治理是數據治理的一個子過程。另一種則認為數據治理和數據安全治理有一定的關聯，但

90、從本質上來說并沒有直接的從屬關系，二者是平行的方向，即數據安全治理可獨立運作。GB/T34960.5-2018信息技術服務治理第 5 部分：數據治理規范數據治理被明確定義為：“數數據安全治理白皮書 5.08中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信

91、聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會據資源及其應用過程中相關管控活動、績效和風險管理的集合?！边@項標準還進一步給出了數據治理的目標、任務和框架等：數據治理是“源于組織的外部監管、內部數據管理及應用的需求”；數據治理的目標是“保障數據及其應用過程中的運營合規、風險可控和價值實現”，“組織應通過評估、指導和監督的方法，按照統籌和

92、規劃、構建和運行、監控和評價以及改進和優化的過程，實施數據治理的任務”。在數據治理的三點目標中，運營合規和風險可控是約束條件，價值實現是追求的結果，合規和風控既是使數據能最終實現價值的前提，同時又是必要的保障。為此，數據治理框架包含了數據管理和數據價值兩套體系，前者統攝合規與風控，后者則支撐價值實現。在數據治理的框架下，數據安全是數據管理體系的重要組成部分，組織在實施數據治理的過程中，應“制定數據安全的管理目標、方針和策略，建立數據安全體系，實施數據安全管控，持續改進數據安全管理能力”。此處的數據安全概念相對狹義，基本僅限于為數據及其價值實現過程提供安全保障機制的范疇。如果基于上述狹義的數據安

93、全概念，將數據安全治理解讀為以保護數據及其價值實現為目的而采取的風險評估和安全管控活動，那么，數據安全治理就可視作數據治理概念下專注于安全方面的子集。但從實際操作上來看，兩者之間又有很大的不同：（1）從發起部門來看數據治理主要是由 IT 部門在驅動，而數據安全治理主要是由安全合規部門在驅動。當然兩者的成功都要涉及到業務、運維和管理部門甚至公司最高管理決策層。（2）從目標上看數據治理的目標是數據驅動商業發展，管理企業的數據資產，提升企業數據資產價值。數據安全治理的目標是讓數據的使用更安全，保障數據的安全使用和共享，實質也是保障數據資產價值和促進數據要素價值釋放。（3）從關注點上看數據治理關注于數

94、據本身的組織以及數據使用傳輸、業務支撐等場景下的質量、規范、流程與制度等，數據安全治理則關注于數據在整個生命周期可用性、完整性與機密性的安全保護。（4）從工作內容產出上看數據治理工作產出的一個核心成果就是數據質量提升，通過對數據進行清洗和規范的過程，獲得高質量的數據。數據安全治理的重要產出包括完成對企業數據資產的分類分級，制定合規的安全訪問策略并規劃適宜的管控措施。（5）從數據資產梳理上看數據治理中的主要產出物是元數據，即賦予數據上下文和含義的參考框架。數據安全治理中的資產梳理，則要明確數據分類分級的標準，弄清敏感數據資產的分布、授權和訪問狀況。（6）從結果看數據治理是數據質量的提升，通過數據

95、的清洗、規范，獲得有價值的數據，而數據安全治理是基于數據分類分級實現數據的動態防護，保障數據有序流動。盡管當前在數據治理中也在不斷加強對數據安全方面的要求，但相對數據安全治理而言，數據治理中的安全實踐還是常被置于從屬角色，如同信息安全在信息化建設中的角色一樣，不夠系統和數據安全治理白皮書 5.09中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟

96、數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會深入。近年來，隨著包括大數據在內的數據在數字化社會中的重要性不斷提升，國家已將數據上升到新型生產資料和創新要素的高度，數據對安全形成影響的廣度和深度已超越單純為數據掌握者保護數據自身價值的范疇，例如

97、對個人（數據主體）隱私保護的問題就牽涉到了社會倫理以及關于數據權益的法律認定，而數據出境等問題更是需要在國家安全層面全盤統籌考慮。因此這里的數據安全治理將主要關注以保護數據及其價值實現過程安全為目標的風險管控活動，以達到數據開發利用與安全防護的“一體兩翼，雙輪驅動”的平衡發展。具體到合規性方面，則將以全面覆蓋和滿足國家關于數據安全的所有法律、法規、政策、規范和標準的要求為目標。數據安全治理工作既可在數據治理的框架下作為一個環節或子過程來開展，也可直接依照本書提出的數據安全治理框架獨立實施。1.2.2.4.數據安全治理與數據安全管理的關系“治理”如前述定義，是一種通過多組織、多部門橫向協同和配合

98、與持續優化，以達到通過治理有效平衡數據開發利用與數據安全保障的一體兩翼平衡發展?！肮芾怼睂挠⑽膯卧~則是“management”，是指為達到組織的既定目標而以人為中心對組織擁有的資源進行有效的決策、計劃、組織、領導和控制的過程。更強調的控制和執行，通過自上而下的制度和規范的垂直管理落地，達到安全防護目標。通常會以形成制度和條例規范的形式加以表述和落實。在數據安全范疇內，使用“數據安全治理”的概念比使用“數據安全管理”能夠更好地適應當前的現實情況：一方面，人類正在全面跨入數據時代，為積極順應這一勢不可擋的歷史潮流，國家和各層級的組織機構都迫切需要加強數據保護的意識，盡早啟動和落實關于數據安全的

99、準備和建設工作；另一方面，人類也僅是剛剛看到數據時代和數字化社會形態特征的端倪，數據無論是作為資產、生產資料，還是創新要素，都是方興未艾的新事物，必然要經過一個認知逐漸深入和全面的復雜過程。因此，在這個過程中，鑒于數據安全與業務的緊密聯系，數據安全的復雜性，使用治理而非管理的思路來指引數據安全建設，無疑擁有更好的靈活性、豐富性和包容性，因而也更有利于平衡對數據進行安全保護和在數據使用和價值挖掘方面激發創新。1.3.數據安全治理面臨挑戰與需求數據安全治理覆蓋管理、技術、運營、評估等多個方面，是一項需要多方聯動的復合型、系統型工作。組織數據安全治理能力建設，圍繞數據的產生、加工、使用、流通、銷毀等

100、環節，進行總體布局、全面規劃，需要構建貫穿各層面的數據安全治理組織架構，全面梳理業務場景并設計體系化的安全制度流程，配合應用自動化工具、平臺，實現數據安全治理“一盤棋”。同時，組織可通過搭建專業的人才梯隊與培訓機制，為數據安全管理工作持續積蓄力量。數據安全治理不僅限于解決當前的數據安全困境，還致力于數據安全長遠發展，是一項長期工程。通過不斷優化制度流程落地效果、提升技術與產品應用水平、強化人員安全意識與能力、明確未來數據安全治理發展方向等，實現數據安全治理的全生命周期閉環。數據安全治理工作的復雜性導致現階段存在多方面的挑戰無法滿足。數據安全治理白皮書 5.010中關村網信聯盟數據安全治理專委會

101、中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

102、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會1.3.1.貫徹數據安全戰略頂層規劃需要布局在頂層規劃方面，伴隨法律法規的頒布和各種政策文件的發布，國家數據安全的戰略日趨明確，一是在數據安全供給側，數據安全治理相關的隱私計算等核心關鍵技術要持續提升以逐步滿足商用化需求，數據確權、數據公平交易、數字信任體系等技術也需完善，促進產學研深度融合，培育數據安全領軍企業和數字化安全人才隊伍，是落地國家整體戰略規劃的重要任務。二是數據安全治理關系業務開展、法規要求、技術建設、持續運營等多個維度，需要進行頂層規劃，全面布局。但是，面對各個環節的數據安全風險，組織當前缺乏落實國家數據安

103、全頂層戰略的方針，亦尚未形成一套規范的、行之有效的數據安全管理機制，導致在響應相關法律法規要求還存在很大的挑戰。一是大部分企業不具備研究制定數據全生命周期安全治理的愿景、目標、領域、指導原則、責任模型和保護能力等水平，無法為數據安全建設提供統一指引。二是數據安全治理是需要綜合考慮業務當前與未來發展需要，為保障數據安全所開展的一項系統工程，在為確保內部對數據安全治理的方針達成共識、合理配置數據安全工作任務與資源、如何評估投入產出比等方面，尚缺少有效的支持方法和評價依據。三是數據的動態性要求組織及時根據政策合規與制度規范提升需求，滾動修訂數據安全的制度、流程、標準，保障數據安全的規劃、實施、運行、

104、監督的全程管控，持續提升數據安全能力，在管理和技術措施尚不完善的現狀下，閉環管理落地困難。1.3.2.跨組織、部門全員協同治理需要加強在組織協同方面，組織內部的數據與業務緊密聯系，數據安全需隨數據活動場景變化隨需而變，數據處理活動涉及多個部門，內部組織和協調難度較大。主體多元、利益多元，組織內數據安全與發展、秩序與突破，諸多價值目標在這一問題上交織碰撞，如何滿足內部和外部各方利益關系，實現數據開發利用和安全合規的平衡需求的滿足度，成為保障數據的共享和開放的需求。從法律層面上講，當前數據權屬相關的法律法規和實施細則尚未頒布，在這樣的前提下作為數據使用者如何向外部組織或者個人的數據所有者落實數據管

105、理義務，是組織亟需解決的需求。從實際落地層面上講，作為數據所有者，通過交換、共享、委托等處理活動對外提供的數據流出了自己可控的安全域，對于此類數據的防范屬于自身技術防護的“盲區”。作為數據使用者，在使用數據中，如何落實外部組織或個人的數據所有者提出的數據安全管理義務，并提供合規性檢測證明，以及網絡安全事件發生后的安全取證、責任鑒定等對數據流轉過程中的數據監管需求強烈。由于數據作為特殊資產，其所有權和使用權分離的特性，導致在數據共享交換層面面臨著無法滿足其安全共享和開發的困境。在數據通過共享、交換等過程離開組織之后，數據的跟蹤與溯源問題變得愈加困難。如何統籌各相關部門的治理授權和責任，落實數據從

106、產生、使用到流轉全生命周期中各環節責任主體，強化分行業和跨行業協同治理，完善分類、分級的安全管理要求以及追責機制等配套制度成為行業面臨的共同挑戰。數據安全治理白皮書 5.011中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

107、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會1.3.3.個人信息合理利用與權益保護需要重視在關注熱點方面，對個人信息資源的合理利用和保護，是構建數字經濟社會，繁榮數據要素市場的必由之路。各級組織在個人信息合理利用和開發過程中需要遵守眾多的法律法規和標準，如個人信息保護法歐盟通用數據保護條例（GDPR）等，因此需要盡可能收集與之相關的各類法律法規和監管要求，確保他

108、們在個人信息的合理利用過程中符合所有適用的法規和標準，同時，建立確保其擁有、使用和共享的個人信息得到保護、可追溯和可控制的技術手段、管理制度和運營機制，以符合監管要求，避免面臨高額罰款和聲譽損失。但個人信息保護與合理利用間也存在較大矛盾和沖突，如何對個人信息的保護和利用做出合理規范還存在合規性、監管、個人隱私保護和個人信息治理等多方面的挑戰。由于個人信息的規模和復雜性使得其安全治理變得非常困難，一方面組織的個人信息可能不準確或者存在噪音，這可能導致分析結果出現偏差或錯誤，進而影響個人權益；另外一方面，組織出于商業目的等，可能將數據交由第三方進行研究或分析，導致數據被濫用或不當使用，出現“大數據

109、殺熟”或“算法歧視問題”，或者為了吸引用戶粘性，制造“信息繭房”，束縛用戶可接觸的信息范圍。1.3.4.面向行業特點的場景化治理需求凸顯在行業特性方面，數據安全治理的行業屬性十分突出，是因為數據要素是在特定行業背景下產生的，反映了該行業相關的信息和現象。舉例來說，教育行業的數據要素包括學生的學籍、學校的教務和實驗記錄等，這些數據要素反映了從學生入學到就業、學校教學和科研等特定需求和工作流程。同樣，金融行業的數據要素包括交易記錄、股票價格、匯率數據等，這些數據要素反映了金融行業的市場情況和交易活動。在不同行業間由于業務運轉模式不同、數據特性和數據價值差異，導致其面臨的網絡安全威脅和行業監管差異化

110、也非常大。因此，了解數據要素的行業屬性對于正確理解和實施數據安全治理具有重要意義。在特定行業中，行業特定的場景也需要特定的技術和工具來處理和分析。由于不同行業之間的信息化發展水平的不同，以及針對數據重要性的定義和認知差異較大，導致在數據安全治理中，無法使用通用的手段進行治理。針對數據運營者，面臨著如何定義數據要素的行業屬性并選擇合適的技術和工具進行數據安全治理的挑戰。而數據安全產品和數據安全服務企業方面，則面臨著大量差異化行業的場景產生的復雜的數據形態，以及數據多來源、多協議、異構化、多模態、高并發的現象，研究和開發適合行業屬性的數據治理工具的難度極大。其次，數據治理由單系統單領域走向跨系統全

111、領域，開展行業級或區域級的數據安全治理工作中，跨層級、跨地域、跨系統、跨部門、跨業務成為顯著特征，對數據治理方法和平臺研制都帶來了新的挑戰。本白皮書在編制數據安全治理主冊的同時，面向政務、金融、醫療、電信、電力、教育、工業七個行業，同步推出行業數據安全治理實踐篇，以為不同行業的用戶在開展數據安全治理過程中提供參考和借鑒。數據安全治理白皮書 5.012中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

112、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會1.3.5.數據分類分級自動化、精準化亟待解決在基礎支撐方面，實行數據分類分級是保障數據安全的前提，也是實施數據風險評估、數據安全策略制定、數據

113、權限控制等數據安全治理過程中極為重要的一環。在實際進行數據分類分級的過程中，需要結合業務流程進行考慮，不同的部門或單位采用不同的數據分類標準，不同類型的數據可能存在交叉或重疊，并且數據分類分級是一個持續的過程，基于數據伴隨業務處理活動的持續新增與變化，分類分級也需隨之動態變更。然而目前缺乏分類分級的標準化工具，幾乎所有情況下都需要人工對數據進行手動分類分級，導致效率及準確度低下。實現數據分類分級的自動化、精準化需要借助分類分級標準的統一及在此基礎上研制自動化的工具來逐步解決。1.3.6.治理水平稽核評價體系需要建立健全在治理評價方面，需要在促進數字經濟發展與數據安全保護之間把握好動態平衡，持續

114、探索構建原則性與靈活性相結合的新型監管體系。需要進一步完善數據安全測評標準體系，建立和完善數字技術應用審查機制，開展算法規制、標準制定、安全評估、倫理論證等工作。一方面，避免因監管的越位導致阻礙創新，影響數據資源的開發利用和數據依法有序的自由流動，另一方面，避免監管機構出現“監管迷?！焙汀澳芰θ笔А?，在現實中演化為弱監管和慢監管甚至不敢和不會監管，造成監管的失位。目前，針對組織的數據安全監管工作大多通過訪談評估、人工檢查等形式開展，不可避免的面臨著效率低下、難以量化和標準化的問題。針對敏感數據識別、異常行為監測、敏感數據泄露、非法越權訪問、數據跨境傳輸、數據非法外聯等核心檢查內容，目前采用的漏

115、洞掃描、流量探測、API接口分析等技術，也無法全面支撐自檢查評估與第三方檢查評估的監管實際工作需要，需要持續研究突破自然語言處理、數據血緣分析、算法合規性檢測等技術在合規項解讀、自動化檢測、全鏈路流轉監測等涉及監管的應用能力，提升數據安全檢查、評估的自動化水平，實現以評促建，有效提升組織的數據安全治理水平。1.4.數據安全治理理念日趨成熟在數據安全治理白皮書 4.0中，基于 Gartner 的數據安全治理架構（DSG），提出并詮釋了數據安全治理的愿景、目標及核心理念。伴隨數據安全治理的深入，圍繞“讓數據使用有序而安全”的治理愿景與“滿足數據安全保護、合規性、敏感數據管理”的治理目標，面對數據安

116、全治理的新形勢、新挑戰，進一步完善“個人信息保護與合理利用”的需求覆蓋，突出“全員協同治理”的重要性，強調面向行業特點的“場景化安全”，健全從評估、建設、運營到監督評價的閉環治理體系。旨在持續推動數據開發利用與安全防護的一體兩翼發展，并在我國易于落地的數據安全治理的體系化方法論。數據安全治理白皮書 5.013中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

117、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會（1）滿足安全合規（Compliance）、數據發展與安全（Development and Security）、個人信息合理利用與保護（Privacy）三個需求目標；（2）核心內容包括：

118、數據分類分級（Classifying）、敏感個人信息識別（Identify）、風險評估（Risk Assessment）、場景化安全（Scene）；（3）數據安全治理的建設步驟包括：組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善；（4）核心安全框架為數據安全人員組織（Person）、數據安全使用的策略和流程（Policy&Process）、數據安全技術支撐（Technology）。愿景：讓數據使用有序而安全需求覆蓋核心內容數據分類分級敏感個人信息識別風險評估場景化安全安全框架人員組織 策略流程技術支撐組織構建資產梳理策略制定過程控制行為稽核持續改善建設步驟安全合規數據發展與安全個人

119、信息合理利用保護圖 1-2 數據安全治理理念1.4.1.數據安全治理愿景網絡安全法“第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用”，為關基信息系統安全技術措施落地應貫穿信息系統全生命周期提供依據。數據安全法對數據的安全和發展在國家層面給出明確指示，“第十三條國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展?！眰€人信息保護法：“第一條為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法?！备鶕陨先糠上嚓P條款，將治理愿景更加清晰地表述

120、為以滿足數據安全和個人信息保護的合規要求為基礎，盡可能發揮數據價值，促進數據安全有序流動，提高全員安全意識，更好地為建設數字中國服務，不斷提高數據安全治理水平。數據安全治理白皮書 5.014中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

121、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會1.4.2.數據安全治理目標（1）安全合規國家層面對數據安全和個人信息保護更加重視，國家及行業涉及數據安全相關法律法規標準持續推出與完善，安全合規要求持續增加，監管力度不斷加大，監管內容不斷細化，面對眾多的法律法規標準條文，需要圍繞管理和技術要求進行解析，尋找合規途徑，落實合規措施。法律法規是指引數據安全

122、建設的重要依據，應對解讀的安全標準和規范的合規項進行落實，形成合規庫，收錄并拆解各類與數據安全相關的規范、標準，為數據安全管理提供參考及評估標準，并根據合規庫中的合規項制定各類安全策略規則。（2）數據發展與安全數據作為新型生產要素，其強流動性是產生和釋放數據價值的前提，針對數據廣泛流動過程中可能產生的數據泄露、篡改、破壞、非法利用等風險，如何采取有效的防護手段，保障開發利用與安全防護的一體兩翼、雙輪驅動發展，促進數據有序流動是數據安全治理的關鍵目標。（3）個人信息合理利用與保護隨著個人信息價值的凸顯，個人信息收集亂象突出，個人信息泄露事件頻發，個人信息濫用程度嚴重，極大地威脅了公民財產以及個人

123、身份信息的安全，甚至危及國家安全。國家高度重視個人隱私保護，密集頒布系列法律、法規、標準保障個人信息安全。對個人信息進行有效治理，促進個人信息合理利用與保護個人隱私并重，成為又一關鍵目標。1.4.3.能力支撐框架設計數據安全治理絕非是平地起高樓，與網絡安全和數據治理既有緊密的關聯性，又有面向數據的獨特性，整體框架需要多體系間融合展開治理。分類分級敏感個人信息識別角色授權安全評估場景化安全數據安全治理（DSG）元數據管理數據模型數據匯聚和集成參考數據和主數據數據分析數據開放共享數據質量數據安全數據治理（DCMM)技術層面安全物理環境、安全區域邊界、安全網絡通信、安全計算環境、安全管理中心管理層面

124、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理網絡安全（等保標準)組織/制度/流程/運營數據安全全生命周期數據資產梳理組織/制度/流程/運營/運維數據CIA數據載體安全強調開發利用圍繞數據全生命周期強調數據治理和安全防護并舉強調數據載體安全和靜態數據安全圖 1-3 能力支撐推動數據安全治理框架設計數據安全治理白皮書 5.015中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

125、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據安全治理是以數據為中心，其核心思想是面向業務數據流轉的動態、按需防護。在防護技術上，仍需依托網絡安全中面向網絡、設備、應用等數據載體的靜態防護

126、能力，擴展面向數據流動的分類分級動態防護能力。在安全管理上，在網絡安全管理體系的基礎上，補充、完善面向數據安全管理制度、策略和運營規范，形成圍繞數據本身和數據載體的整體數據安全防護能力。在與數據治理的關系方面，數據分類分級是基礎，通過對數據資產的識別與梳理，與數據治理中的元數據管理進行集成打通，直接獲取統一的數據標準，作為數據分類分級的資產標識，提高數據梳理準確性，避免重復工作，形成面向數據應用的數據治理體系與面向數據安全的場景化安全治理體系的融合與統一。數據安全治理能力劃分為“人員組織、策略流程、技術支撐”三個核心能力領域。人員組織：建立數據安全治理團隊，并明確團隊中各成員的管理職責，團隊組

127、成依組織的具體情況，可以是實際存在的也可以是各部門成員組成的虛擬團隊，是數據安全治理工作開展的基礎資源保障。策略流程：設定相關的管理制度、標準規范、管理策略及流程，并圍繞策略流程，構建運營管控機制，以運營思路開展數據安全治理工作，充分考慮與網絡安全管理的融合，實現“可持續化的數據安全治理能力”。技術支撐：落實策略流程貫徹所涉及的數據全生命周期的數據安全防護技術建設，并融合數據治理和網絡安全相關技術，形成完整的技術支撐體系。組織內部通過專業的數據安全治理團隊、明確的數據安全治理策略和流程、全面的數據安全運營機制、覆蓋數據全生命周期的技術手段為支撐，圍繞數據使用的業務場景活動，分析安全需求，同時加

128、強數據安全宣傳、培訓、教育，提升數據資產的體系化保障能力。組織一方面應遵守法律法規、國家和行業標準、借鑒行業數據安全最佳實踐，另一方面要積極配合國家、行業主管單位和集團的數據安全檢查，健全數據安全監督評價體系，這是多元治理的重要一環。數據安全治理白皮書 5.016中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數

129、據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會第二章 數據安全治理整體框架依據數據安全治理理念，圍繞以數據為中心的治理體系不斷演進、深化，組織在整體安全戰略指導下，形成以數據分類分級為治理基石，數據安全管理體系、技術體系與運營體系為治理核心，監督評價體系為效能促進，形成更為完善

130、、合理、全面的治理框架。2.1.整體框架設計思路數據分類分級與敏感個人信息識別可明確數據保護對象，是開展差異化、動態化數據安全治理的前提。數據安全管理制度體系是開展多元化安全治理工作的先導。數據安全技術體系是在數據處理活動中落實安全技術需求與工具支撐。數據安全運營體系將管理和技術體系進行有效銜接，實現持續化防護。通過管理、技術、運營體系三位一體、有機融合，數據安全治理形成以動態數據安全管控策略為中心，以管理體系為驅動，以運營體系為紐帶、以技術體系為落地支撐的治理核心。數據安全監督評價體系則是指對數據安全治理情況進行總體的監督、稽核與評價，從而有效促進規模較大組織的治理水平提升。數據安全運營體系

131、數據安全管理制度體系數據安全技術體系數據安全動態管控策略要求指導貫徹支撐發布制定落地數據安全戰略數據安全監督評價體系數據分類分級與敏感個人信息識別支撐報送監管圖 2-1 數據安全治理體系之間的聯系依據上述治理體系的構建思路，從數據安全戰略出發，以數據分類分級與敏感個人信息識別為支撐，構筑數據安全管理體系、數據安全技術體系、數據安全運營體系與數據安全監督評價體系的整體數據安全治理體系框架。數據安全治理白皮書 5.017中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安

132、全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據全生命周期安全通用安全訪問控制公鑰基礎設施數據安全審計組織管理制度體系身

133、份認證人員管理安全意識技能培訓文化建設方針政策數據安全管理辦法管理制度分類分級管理生命周期管理數據安全評估合作方管理應急響應與處置流程規范執行文檔數據處理場景實施細則日志、表單、報告組織戰略IT戰略安全風險（篡改、泄漏、破壞、非法獲取和利用）合規遵從（法律/法規/監管辦法/標準）數據安全戰略目標和任務規范和策略管理發現/管理數據資產敏感數據管理應用信息備案數據安全合規防護數據流轉監測安全風險分析事件響應處置運營稽核與優化IPDR大數據云計算移動互聯網物聯網數據跨境數據交易大數據處理合作共享治理愿景：讓數據使用有序而安全。治理對象：組織數據和個人信息。治理目標：安全合規，數據發展與安全，個人信息

134、利用與保護。定崗定責決策層CIODPO管理層執行層監督層知識技能安全管理動態提升數據接口安全數據安全監督評價體系家和行業主管單位數據處理場景多元異構環境數據安全治理框架數據資產梳理數據分類數據分級審核上報目錄動態更新管理審核不通過數據發生變化車聯網身聯網其他新技術新應用環境數據安全戰略數據采集安全數據安全戰略數據安全技術體系組織架構及管理制度數據安全運營體系數據安全治理依據國家法律法規行業監管標準行業最佳實踐認證評估監測預警事件調查處置監督檢查糾正問責平臺安全數據安全運營數據安全協同數據安全監測數據安全風險評估數據傳輸安全數據存儲安全數據使用安全數據加工安全數據提供和公開安全數據刪除和銷毀安全

135、數據分類分級常態化持續運營數據安全風險評估圖 2-2 數據安全治理的總體框架在數據安全戰略方面，需要從組織戰略、IT戰略、安全風險（篡改、泄露、破壞、非法獲取和利用）、合規遵從（法律/法規/監管辦法/標準），四個方面綜合平衡考量，形成組織的數據安全戰略目標和任務，指導整體數據安全治理建設。數據分類分級是數據安全治理體系的基石，面向組織數據和個人信息，首先需開展數據資產的發現與梳理，然后基于識別備案的數據資產，落實從業務角度出發的數據分類標識以及從安全角度出發的數據定級標識，形成數據分類分級目錄，最后對數據目錄進行審核、發布，基于數據伴隨業務處理活動的持續新增與變化，分類分級也需隨之動態變更。面

136、向數據安全多元化治理特點，落實人員組織架構和管理制度體系，建立覆蓋決策、管理、執行與監督等多層級的組織架構，各級部門協同配合工作，定崗定責落實治理行動；在人員管理維度，需注重能力的培養與提升，并加強安全意識教育；在管理制度維度，需圍繞數據處理活動，構建從方針政策、管理制度、流程規范到執行文檔的層級全面的制度集合，并伴隨治理過程持續進行優化與調整。在技術體系方面，基于分類分級成果，構建通用安全、數據全生命周期安全、平臺安全的技術防護體系，明確各層級的安全技術保護要求。在運營體系方面，展開定期或由特定數據處理場景觸發的數據安全風險評估，基于經典IPDR理論，分別從識別、防護、監測與響應處置及優化四

137、個維度出發，形成常態化、集中化、規范化的數據安全運營。實現事前預防、事中管控、事后審計溯源的持續、全面數據安全防護。在監督評價體系方面，行業主管單位通過評估認證、監測預警、事件調查處置、監督檢查、糾正問責等活動實現數據安全治理。鑒于數據與業務的緊密聯系，數據安全技術不能是孤立的和外掛的，應是嵌入的和內生的，在整個信息系統的規劃組織、設計開發、實施交付、運行維護與系統廢棄的全過程中，都需同步規劃、數據安全治理白皮書 5.018中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯

138、盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會同步建設、同步使用，圍繞數據跨境、數據流通交易、大數據處理、合作共享

139、等眾多典型數據處理場景，面向大數據、云計算、移動互聯網、終端、物聯網、車聯網、身聯網等復雜多元異構環境，方能真正實現數據使用的“貼身保鏢”。2.2.規劃數據安全戰略數據安全戰略是推動數據安全整體工作的置頂要求，組織在實施數據安全治理工作之前，首先需要制定積極、有效的數據安全戰略，并按戰略要求指導數據安全防護體系建設，這對保障數據安全防護效果至關重要。戰略目標與總體任務設定應考慮提高安全價值的四個基本觀點：經濟、系統、長遠、動態，符合經濟學規律，如：安全成本（安全投資、安全投入）、安全收益（安全價值）和安全效益，用有限的安全投入實現最大的安全，在達到特定安全水平的前提下盡量節約安全成本。組織的業

140、務戰略、IT 戰略、風險容忍度和合規遵從是制定數據安全戰略的關鍵要素，其中：（1）業務戰略：需要保持與業務發展戰略、數字化轉型戰略的制定和實施統一。（2）IT 戰略：需要保持與整體的信息化戰略同步。（3）安全風險：對數據被篡改、泄露、破壞、非法獲取和利用的安全風險容忍度。（4）合規遵從：面臨的法律、法規、監管辦法、標準的合規要求。在制定數據安全戰略時，需要基于上述四個要素，充分考慮業務發展需求與風險、威脅、合規性的平衡，明確數據安全治理的總體目標、關鍵性原則、適用的對象和場景范圍，闡明實現目標的主要戰略以及所要遵守的相關合規性法律、法規及標準要求，形成基于目標的治理規劃與任務。其中，安全合規作

141、為重要的數據安全治理驅動力，是指導數據安全治理建設的重要指引，也是業務開展的約束項，對相關法律、法規及標準的相關合規要求的詳細解讀參見“第三章 我國相關法律法規及標準解讀”。2.3.開展數據分類分級數據分類分級保護是我國數據安全管理基礎制度之一。數據處理者應對數據進行分類分級，根據數據的密級和敏感程度制定不同的管理和使用策略，盡可能做到有差別和針對性的防護，避免敏感數據的防護不足，非敏感數據的過度防護。分類是依照數據的來源、內容和用途對數據進行分類；分級是按照數據的價值、內容的敏感程度、影響和分發范圍不同對數據進行敏感級別劃分。數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護

142、措施。國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。分類分級更多是依據標準，對業務數據進行定義的過程，是一個研究審批的過程。數據處理者不應該只是形成一份數據資產清單就結束了，因為數據是動態和流動的，業務也是不斷新增和變化的，分類分級清單也會不斷變化，應建立符合分類分級和審核上報目錄的閉環流程，并按照數據的敏感數據安全治理白皮書 5.019中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安

143、全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會程度和密級制定防護策略。圖 2-3 分類分級流程個人信息處理的前提是敏感個人信息識別，識別是依據制定的分類分級標準，在業務處理流程中，更多依

144、靠自動化的裝備與系統進行標記或標簽化的動作。綜合個人信息的處理目的、處理方式以及可能對個人權益造成的影響等方面，判斷構成敏感個人信息的處理行為，敏感個人信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。2.4.組織架構及管理制度體系2.4.1.組織架構數據安全治理需要從組織的戰略層面出發，協調管理層、執行層等各相關方，打通不同部門之間的溝通障礙，統一內部數據安全共識，實現數據安全防護建設一盤棋，這也與數據安全法中強調建立各方共同參與的工作機制相一致。以安全合規為基礎，數據開發利用與安全保護為目的，涉及國家、行業、組織及個人共同參與的多

145、元化主體共同參與工作的數據安全治理需求愈發明確。數據安全組織，就是數據安全治理策略從制定到落地，并持續優化改進的組織保障。數據安全組織架構建設和管理是數據安全治理工作開展的基礎。以數據為中心，面向業務場景，縱、橫向拉通各部門間的合作，合理定崗定責定員，明確職責分工，為數據安全治理的健康可持續發展提供支撐。面向數據安全，組織內部通常設立數據安全治理委員會或數據安全治理小組來負責對數據安全治理工作的管理、執行和監督。團隊職責在于對數據進行分類、分級、保護、使用和管理原則的制定。團隊成員應包括內部的數據安全專家，以及所有與數據安全有關部門（如IT支持、人資、法律、財務、業務和市場、運營和維護、知識產

146、權、風險管理、審計、保密等）的人員代表；在一些大型的組織中，因為數據安全正日益變成影響發展的重要因素，數據安全治理委員會或數據安全治理小組成員甚至會包括主管副總裁、董事會成員等高級管理人員。數據安全治理團隊的成員同時也是數據安全制度的受眾。他們是數據安全策略、規范和流程的執行者和被管理者，同時也是數據的使用者、管理者、維護者、分發者。只有將這些角色的人員代表納入到團隊中，才能使得在數據安全治理中制定的安全原則、安全措施和安全規范能夠在具體執行中得到有效貫徹落實。數據安全治理組織自上而下包含決策層、管理層、執行層，另外還存在一個貫穿整個數據安全治理過程的監督層對整個過程進行監督、審計。人員不應出

147、現交叉，即一個人不可同時擔任兩個層級中的角色，避免出現因受利益和工作方便影響從而降低或繞過標準的情形。團隊內部每個人應分配滿足工作要求的最小權限，不可因管理因素而獲得超出角色范圍的權限。團隊內部的關鍵崗位應設立“雙人雙崗，權限分離，互相監督”機制，即在工作過程中相同崗位應最少設立兩名人員參與，數據安全治理白皮書 5.020中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安

148、全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會權限分離，互相監督，同時對結果負責。各層的崗位如下：?圖 2-4 數據安全治理團隊的職能架構2.4.1.1.決策層決策層作為數據安全治理組織的頂層決策層，也是數據安全管理工

149、作的決策機構，一般成員會包括組織內主管數據價值實現的最高負責人（如首席運營官、首席戰略官等），或者信息安全方面的最高負責人（如首席信息官、首席信息安全官等），甚至可以考慮由負責推動數字化轉型的高級副總裁、負責戰略新興業務拓展的高級副總裁來出任決策層的組長。比如：數據安全管理委員會領導小組建議由分管數據安全的高級管理層及相關部門負責人擔任，并作為直接責任人，牽頭數據安全規劃，參與到業務發展決策，主要職責包括：（1）制定組織的數據安全戰略目標和任務；（2）負責統籌、規劃數據安全分級工作，并對其它數據安全建設提供必要的資源支撐；（3）指導管理層數據安全工作的開展；（4）負責對重大數據安全事項進行協調

150、以及統籌決策；（5）對數據安全策略和規劃，制度與規范等進行發布；（6）對組織開展和實施數據安全治理的體系目標、范圍等進行決策。2.4.1.2.管理層管理層在組織數據安全治理中具有舉足輕重的地位，基于決策層給出的策略，對數據安全實際工作制定詳細方案，做好業務發展與數據安全之間的平衡，保障數據安全全面落地工作，是開展數據安全工作最核心的部門或崗位，同時牽頭承擔單位整體數據安全管理工作，落實數據安全保護責任，對數據安全提出具體管理要求，一般由數據安全部門、數據資產管理或者數據治理部門牽頭，協調各相關部門開展數據保護工作，監督數據安全管理制度和措施落地執行情況等，主要負責數據分級相關工作的組織、管理、

151、審查、統籌協調等工作，具體如下：（1）牽頭對組織現有的數據資產進行梳理，調研分析數據使用部門與數據安全有關的業務需求、安全風險等；（2）組織制定數據安全管理策略、規劃、制度和規范，并推動在組織內的推廣和落地實施；（3）負責數據安全治理體系的建設、運營維護等工作；（4）組織開展數據安全風險監測、預警與應急處置；（5）組織開展數據安全教育宣貫培訓，提升員工數據全保護意識與技能；數據安全治理白皮書 5.021中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

152、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會（6）對執行層進行管理，并提出數據安全要求；（7）組織開展數據安全評估和審查；（8）統籌建

153、立數據安全應急管理機制；（9）保持外部溝通，包括國家及行業監管、第三方咨詢服務商（安全咨詢、安全廠商）、測評機構（認證及認可機構、安全測評機構）；（10）維護數據安全制度持續運轉的保障工作，并及時做出更新、調整和優化，以更好適應和支撐業務發展。2.4.1.3.執行層執行層與管理層是緊密配合的關系，面向組織的數據安全場景、數據安全分級工作等，執行層需要協助管理層詳細了解并深入理解組織在業務開展過程中的各種數據安全需求，需要認真貫徹執行管理層提出的明確的數據安全要求，對設定的流程進行逐個實現，就數據安全執行情況和重大事項進行匯報，對管理層提出的數據安全操作規程等制度和方案的可行性和易用性，進行細致

154、的分析和評估，并將結果反饋給決策層，以支撐后者做出明智、正確的決策。數據安全制度正式發布實施后，執行層要在其日常例行工作中嚴格遵守數據安全操作規程，并積極發現和報告制度規范中的漏洞和潛在風險，促進管理層及時響應，盡快對數據安全的制度和措施做出更新、調整和優化。執行層一般由業務部門、數據安全技術保護部門組成，考慮到數據應用場景不同，范圍有可能擴充，比如：某金融單位執行層由科技、業務、法律合規、風險管理等部門具體數據安全崗位相關工作人員構成。他們是數據的使用者、管理者、維護者、分發者，同時也是數據安全策略、規范和流程的重要執行者和管理對象，負責落實數據安全標準，主導或協同實施數據安全防護和事件處置

155、，落實數據安全運營工作，如：制定、發布和更新數據安全管理制度、規程與細則；組織開展數據分級工作，識別并維護數據資產清單；組織開展數據安全風險評估；制定個人信息保護政策和相關規程；監督內外部（合作方）數據安全管理情況等。2.4.1.4.監督層數據安全治理工作的順利開展，離不開各部門工作的協同配合，更離不開完善的監督審核機制，監督層人員必須具備獨立性，不能與其它管理小組、執行小組等人員共同兼任，確保其審計核查工作不會受到來自其他三層，特別是管理層和執行層的相關利益或動機的影響和干擾，從而保證組織能夠及時發覺其數據安全制度在落地執行層面的問題和風險。監督層負責定期將管理層、執行層數據安全工作情況進行

156、監督，并向決策層進行匯報，對數據安全治理工作進行監督落實。監督層一般由風險管理、內控合規和審計部門組成。主要職責包括：（1）定期對數據安全方面的制度、策略、規范等的貫徹落實和執行遵守情況進行考查與審核，并將結果匯報給決策層；（2）對數據安全工具執行有效性監督；（3）對數據安全風險開展監控與審計。數據安全治理白皮書 5.022中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

157、安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會2.4.2.人員管理人員管理是組織管理的核心內容，管理的精要是將合適的人員配備到合適的職位上，并讓其從事合適的工作，從而實現“人適其位，位得其人”，這也是數據安全管理體系

158、的重要一環，主要體現在兩方面：一方面是人員流動管理，另一方面是人員安全意識和綜合素質培養管理。組織機構的數據安全策略、制度流程等的落實和推進離不開工作人員的參與和執行。由于組織機構內不同部門、不同層級及不同來源的員工，其工作難免需要在不同場景下直接或間接地接觸數據資產，因此數據安全風險始終離不開工作人員本身，組織和人員管理部門需要聯合人力資源部門在員工的招聘/引進、入職、轉崗/調崗、離職等各個環節設置相應的風險控制措施，以降低個人本身問題所導致的數據安全風險。同時，在數據安全快速發展的時代大背景下，對人員的數據安全素質和安全意識提出了更高的要求，越來越多的組織賦予數據安全文化新的傳承和使命。2

159、.4.2.1.登記審查隨著數字化的不斷發展，數據成為國家基礎戰略資源，面臨竊取、泄露、篡改等多種風險，引發數據安全事件的因素有很多，有來自內部的缺陷，有來自外部的攻擊，不管有意還是無意帶來的數據安全事件，人都是關鍵因素。因此組織開展數據安全應加強人員登記、審查，統籌制定人員管理制度，明確數據使用、訪問等管理措施，同時對數據安全管理機構負責人、關鍵崗位人員、接觸個人信息或重要數據等人員進行資格審查，包括不限于身份、背景、專業資格和資質等，同時簽署保密協議，日常落實審批和登記流程，明確數據訪問范圍、操作權限、人員調崗、離職保密要求、保密期限、違約責任等，定期審查其行為，有效約束其數據操作行為。另外

160、，對數據安全人員履職情況留存相關工作記錄，如數據安全管理人員數據安全管理監督檢查記錄，數據安全責任人數據安全事件信息報送記錄等，以便待查和追溯。2.4.2.2.文化建設數字經濟時代，數據已經成為重要的基礎性戰略資源，更是企業的核心資產，不能把數據安全只當作專業人士或者專業工具的事，要建立數據安全教育培訓制度，明確培訓周期、培訓對象、培訓內容、考核評價等。定期組織數據安全培訓工作，并留存相關記錄（如培訓計劃、培訓通知、培訓課件、簽到表、培訓考核情況等相關記錄文件）。例如，針對組織全員，培訓內容包括但不限于數據安全意識、法律法規等；針對數據安全崗位人員，培訓內容包括但不限于標準規范、技能培訓、安全

161、評估、應急響應、應急演練等。通過開展培訓，宣傳強化員工的數據安全意識，形成全員共同維護數據安全和促進發展的良好環境，把數據安全文化納入企業文化體系，成為企業立身之本，發展之計。2.4.2.3.定崗定員數據安全治理團隊的職能架構確定后，如何制定出高質可行的操作規程和管理制度并實現這些制度規范的高效運作和部門職責的有效達成，就成為組織要面對和解決的首要問題。定崗定員、專數據安全治理白皮書 5.023中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信

162、聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會業化分工是解決問題、實現目標的基本方法。定崗是指對數據安全職能架構中各個層次內的職責進行更細致的分

163、工，將一系列相互間關聯緊密的工作任務集合設定為一個崗位。定員則是指明確固定某一個或一組人承擔某個崗位的任務和職責。定崗的本質是分工，定員的核心是明確職責，二者被共同用于在分工基礎上為組織實現降低成本、提高效率的終極目標。在數據安全治理實踐中，定崗定員應特別注意遵循以下原則：（1）不應出現人員跨層交叉從上節對數據安全治理團隊職能架構的介紹不難發現，決策層、管理層、執行層、監督層之間一方面存在著密切的配合與合作，另一方面也同時存在著相互制約與平衡。這些不同層間的相互制約與平衡是必不可少的，只有如此，才能有效降低人的主觀因素中潛藏的負面影響。一旦有人在不同層內同時扮演多個角色，難免會出現因考慮個人相

164、關利益而降低標準、通融遷就的情況。例如，如果一個人既在管理層內負責起草數據安全的技術實施方案，又在決策層內負責對方案的可行性進行審批，則難免會出現方案敷衍或濫用數據安全建設預算的問題；而如果有人同時出現在監督層和其他層，則監督層對后者的審計核查作用必然會大打折扣，甚至形同虛設。（2）僅授予相關角色或人員完成崗位職責所需的最小權限對于重要崗位或操作規程，應權限分離或安排多人互相監督，并對重要崗位人員開展背景調查，對重要數據的修改應安排不同人員分別進行操作、審批和復核，以防范內部人員對數據的違規篡改，例如，加密數據庫的密碼不應告知操作系統管理員，以防范后者用拖庫的方法竊取數據等。（3）信任要基于崗

165、位職能和人員角色，而非人員身份要培訓員工樹立和加強安全意識：在數據安全治理的職能框架下，默認不信任外部的任何人或設備，除非按照定崗定員的分工結果被授予了相應權限，否則即使是上級領導，也不能違反數據安全制度規定的操作規程，越權訪問或使用敏感數據。2.4.2.4.提升考核新的法律法規、行業標準的實施，和對已實施法律法規及行業標準的重新認識，都會觸發安全人員進行重新解讀，轉化為新的安全管控策略；業務系統的變更需對涉及的數據資產進行重新分類分級，更新安全策略；安全事件的發生也會促進安全運營人員優化數據安全措施，不斷提升。（1）能力提升基本知識掌握法律法規和標準、信息安全基礎、數據安全策略、數據安全技術

166、、數據安全檢測評估認證等基本知識?；炯寄茚槍祿杉?、傳輸、存儲、處理、交換和銷毀等生命周期各環節，能夠采取措施保障數據安全。針對個人信息收集、存儲、使用、共享、轉讓、公開披露、刪除等環節開展個人信息安全保護和合規管理。崗位職責根據數據安全管理、數據安全工程規劃設計和實施建設、數據安全技術開發與運維、數據安全數據安全治理白皮書 5.024中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

167、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會監測與應急處置、數據安全評估等不同的崗位，提出具體要求。（可參考數據安全工程技術人員國家職業標準）（2）人員考核落實管理體系規范和流程，發揮技術體系監測和

168、防護能力，需要常態化、完善的運營能力做支撐。日常運營日常數據安全運營服務參照運營體系中的內容從數據安全摸底、數據安全策略的制定與升級、數據安全風險管理，以及數據安全策略優化等方面對數據安全開展全方位的工作。運營監管通過可視化的運營監管能力，建設運營監測中心，幫助管理者全面掌握數據安全運營狀況。服務保障通過日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現數據安全常態化能力。2.4.3.管理制度數據安全治理不僅要建立自上而下的覆蓋四個層面的數據安全管理體系，制度更需要體系化建設，即面向內部組織人員和第三方組織，構建四級的管理制度體系，從而在管理層面形成完善的數據安全制度體系架構和各級制度

169、文檔，進而幫助組織快速落地數據安全治理體系建設。圖 2-5 管理制度建設思路從上圖可知，數據安全管理制度體系從上至下總共分為四級，每一級都作為上一層的支撐。一級文件是由決策層根據組織的發展目標、公司戰略、業務需求，制定的數據安全管理方針、政策，應明確數據安全治理的目標重點，比如“以分類分級為基準，以權限控制為措施，管理與技術并重”的數據安全治理方針。二級文件是由管理層為了落實方針、戰略制定的管理規范、標準，應建立數據安全管理制度、組織人員與崗位職責、應急響應、監測預警、合規評估、檢查評價、教育培訓等制度。三級文件一般由各執行環節的具體操作流程、手冊組成，比如數據分類分級操作指南、數據安全治理能

170、力評估、技術防護操作規范、數據安全審計規范等指導性文件。四級文件是各項具體制度執行時產生的過程性文檔，一般包括申請表單、安全記錄、安全報告、合同協議等內容。面向組織頂層數據安全管理方針，考慮風險防范需求，滿足合規需求為目標，以數據為中心，從資產管理入手，圍繞數據生命周期保護要求，形成以下四級制度體系架構：數據安全治理白皮書 5.025中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

171、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據安全管理辦法數據資產管理規范數據全生命周期管理規范應急響應與處置規范人員安全管理規范數據安全評估規范第三方機構管理規范數據安全審計規范數據分類分級規程1.數

172、據資產清單2.數據分類分級清單通用類規程1.權限管理2.日志數據管理3.數據操作審計4.存儲介質管理5.密碼使用和密鑰管理6.數據脫敏場景類規程1.大數據處理2.數據跨境3.外部引入4.合作共享5.數據交易數據安全事件應急預案培訓及考核方案問責處置方案各類申請單、協議、記錄、表單、規則1.調查記錄和事件清單2.數據安全事件報告1.保密協議2.安全崗位責任協議3.培訓與考核記錄1.檢查評估計劃2.安全評估報告3.安全評估審查記錄1.第三方安全合同協議2.第三方數據安全能力評估表申請單類數據采集、傳輸、分級分域存儲、使用、加工、共享、轉移、公開、跨境、刪除銷毀、訪問權限變更等申請單協議類數據采集、

173、委托處理、數據共享、聯合處理、轉移等協議記錄類數據共享操作、存儲介質管理、刪除和銷毀、日志審計等記錄表單類數據備份恢復、賬號/權限申請及審批、數據安全相關崗位角色權限矩陣規則類數據脫敏、敏感數據標識數據安全審計報告一級制度二級規范三級規程四級表單日志報告圖 2-6 數據安全管理制度體系內容如圖 2-6 所示，一級數據安全管理辦法：應按照國家數據安全與發展政策要求，根據自身發展戰略，制定數據安全保護戰略，明確管理責任分工，建立涵蓋數據安全生命周期的管控機制，落實保護措施。二級文檔包括：數據資產管理規范：應建立數據資產地圖，以數據分類分級為基礎明確數據保護對象，圍繞數據處理活動實施安全管理。數據安

174、全評估規范：在開展數據委托處理、聯合處理、轉移、公開、集團內共享等對數據主體有較大影響，或處理敏感級及以上數據的業務活動時，事先開展數據安全評估，編制數據安全評估報告。根據數據處理目的、性質和范圍，按照法律法規和倫理道德規范要求，分析數據安全風險和對數據主體權益影響，評估數據處理必要性、合規性，評估數據安全風險及防控措施有效性。建立數據安全評估、個人信息安全影響評估以及內外部數據安全檢查與評估制度。數據安全生命周期管理規范包括：（1）數據采集要求：采集數據應堅持“合法、正當、必要”原則，明確數據采集和處理的目的、方式、范圍、規則，保障采集過程的數據安全性、數據來源可追溯。（2）外部數據采購要求

175、：制定外部數據采購、合作引入的集中審批管理制度，統籌建立數據需求、安全評估、采集引入、數據運維、登記備案和監督評價管理機制，對數據來源的真實性、合法性進行安全審查，評估數據提供者的安全保障能力及其數據安全風險，明確雙方數據安全責任及義務。（3）數據跨境存儲要求：中華人民共和國境內產生的數據原則上應在境內存儲，國家或行業監督部門另有規定的除外。（4）數據使用要求：開展數據清洗轉換、匯聚融合、分析挖掘等數據加工活動時，當采用匿名數據安全治理白皮書 5.026中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟

176、數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會化等措施保護數據主體權益。數據匯聚融合

177、衍生敏感級及以上數據，或導致數據安全級別變化的，及時評估、調整安全保護措施。數據使用不應超出數據采集時所聲明的目的和范圍。（5）數據加工要求：目前數據使用業務場景的目的、范圍、審批流程（含權限授予、變更、撤銷等）、人員崗位職責等，在保障安全，數據合法正當使用的情況下開展數據利用。根據不同數據使用場景，明確安全管理要求，采用安全處理措施（如去標識化、匿名化、脫敏、數據訪問控制等），并采取技術措施保證匯聚大量數據時不暴露敏感信息，降低數據敏感度及暴露風險。（6）數據共享要求：明確對內、對外數據共享策略，評估數據共享使用的必要性、合規性、安全性、是否符合倫理道德規范要求，建立數據安全隔離的防火墻，并

178、對共享數據進行有效保護。（7）數據委托處理、外部共享要求：機構在委托數據處理、對外共享數據時，明確所涉數據外部使用和處理的條件、場景、方式。委托處理數據時，以合同協議方式約定委托的目的、期限、處理方式、數據范圍、保護措施、雙方的數據安全責任和義務，以及受托方返還或刪除數據的方式等，對數據處理活動進行記錄和審計，可對外公開披露的數據除外。（8）數據聯合處理要求：與第三方機構進行數據聯合處理時，應以合同協議等方式予以明確，制定方案并采取有效保護措施，確保數據“可用不可見”，并以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務。（9）數據轉移要求：因兼并、重組、破產等需要轉移數據，明確數據轉

179、移內容，通過協議、承諾等方式約定數據接收方面承接對應數據的安全保護義務，通過公告等告知數據主體。數據轉移采用安全可靠方式進行，并確保過程可追溯。涉及敏感級及以上數據轉移，向主管監管單位進行報告。（10）數據公開要求：建立公開披露數據的審批機制，研判可能產生的影響，數據公開應在機構官方渠道進行發布，確保數據真實、準確、防篡改，記錄審批和發布情況。敏感級及以上數據不得公開，國家法律法規另有規定或取得數據主體授權同意的除外。（11）數據跨境要求：遵循“合法、正當、必要”原則建立數據出境評估與管控機制，評估出境數據內容、范圍、安全級別、數據接收方的數據安全責任和保護能力等，編制出境報告。數據出境應采取

180、妥善安全保護措施，避免數據泄露、篡改、破壞。核心數據不得出境。向境外提供在中華人民共和國境內運營中收集和產生的重要數據，應當按照國家相關政策要求通過數據出境安全評估。敏感級數據出境需獲得數據主體授權同意。（12）數據刪除與銷毀要求：按照國家、行業有關規定與數據主體的約定進行數據刪除或匿名化處理，制定數據銷毀管理制度。應急響應與處置規范：制定應急響應與事件處置規范，建立完善的應急響應與事件處置和問責機制，做好應急預案。建立數據安全事件應急管理機制，建立機構內部協調聯動機制，及時處置風險隱患及安全事件。建立數據安全事件報告機制，根據事件安全等級制定報告流程，發生數據安全事件時按照規定及時報告，同時

181、按照合同、協議等有關約定履行客戶及合作告知義務。發生數據安全事件或使用的網絡產品和服務存在安全缺陷、漏洞時，應立即開展調查評估，及時采取補救措施，防止危害擴大。人員安全管理規范：加強在人員錄用及日常管理、人員培訓和教育、關鍵崗位設置等方面的管理。數據安全治理白皮書 5.027中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關

182、村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會第三方機構管理規范：對參與本機構數據全生命周期過程中的第三方機構進行管理，確保不因與第三方機構合作或第三方應用接入而危害數據安全。建立第三方機構管理制度，對接入和涉及的第三方產品和服務進行專門的數據安全管理。數據安全審計

183、規范：制定數據安全審計規范，開展數據安全內部審計和分析，發現并反饋問題和風險，并對機構后續相關整改工作進行監督。開展外部審計相關的組織和協調工作。明確定期開展審計、監督檢查與評價問責，督促問題整改。審計部門應每年至少開展一次數據安全審計，發生重大數據安全事件后應及時開展專項審計。三級文檔包括：權限管理規程：建設分層分級的數據權限管控體系。日志數據管理規程：明確日志的存儲、分析、檢查等要求。數據分類分級規程：應制定本機構數據分級規程，識別并維護本機構數據資產清單，并標注相應的數據級別。密碼使用和密鑰管理技術規程：建立合理、統一的密碼使用和密鑰管理技術規范和制度。數據操作審計規程：明確一定級別以上

184、數據的操作應當進行記錄和審計。數據脫敏技術規程：明確不同安全級別數據脫敏規則、脫敏方法和脫敏數據的使用限制，配置脫敏數據識別和脫敏效果驗證服務組件或技術手段，確保數據脫敏的有效性和合規性。數據存儲介質管理規程：明確管理責任分工，建立存儲數據安全管控機制，落實保護措施。數據安全事件應急預案：制定數據安全事件應急預案，定期開展應急響應培訓和應急演練。發生數據安全事件后，應立即啟動應急處置、分析事件原因、評估事件影響、開展事件定級，按照預案及時采取業務、技術等措施控制事態。數據安全培訓及考核方案：組織開展數據安全宣貫培訓，提升員工數據安全保護意識與技能。制定數據安全相關崗位人員的安全專項培訓計劃，并

185、對培訓結果進行評價、記錄和歸檔，開展專業化培訓和考核。數據安全問責處置方案：建立數據安全責任制，明確各層級負責人的責任，明確違規和責任追究事項，落實問責處置機制。四級文檔包括：各類申請表單：全生命周期數據使用申請單，比如：數據采集申請單、數據加工申請單等。各類合同協議模板：全生命周期數據安全協議：數據采集協議、數據共享協議、數據聯合處理協議等。各類安全報告：在開展應急響應、安全審計過程中產生的安全報告，比如：數據安全審計報告、數據安全評估報告等。各類安全記錄：數據共享操作記錄、存儲介質管理記錄、數據安全培訓與考核記錄、日志審計記錄等。清單要求：數據分類分級清單、數據資產清單、調查記錄和事件清單

186、、數據安全相關崗位角色權限清單等。數據安全治理白皮書 5.028中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

187、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會2.5.數據安全技術體系數據安全整體的技術體系面向數據的全生命周期進行構建，以覆蓋全生命周期的數據采集安全、數據傳輸安全、數據存儲安全、數據使用安全、數據提供安全、數據公開安全、數據刪除和銷毀安全技術為核心，以支撐生命周期各環節的通用安全技術為基石，以平臺化的協同計算、安全監測與安全運營為總控，形成完備的識別、監測與防護的技術體系，支撐管理體系與運營體系的落地。具體的技術體系涉及的需求及安全工具介紹參見“第四章 數據安全技術需求

188、與主流技術工具介紹”。2.6.數據安全運營體系2.6.1.規劃思路在數據安全治理體系的基礎上，參照經典的 PDCA 模型，強化數據安全運營體系在數據安全治理中的軸心作用，有效上承管理制度體系，下接技術體系，落實數據流動性帶來的持續、動態、閉環管理。P資產梳理敏感個人信息識別分級分類風險評估A持續優化D全生命周期安全防護C風險監測與防護效果評估以數據為中心使用圖 2-7 參照 PDCA 模型的運營體系規劃思路首先制定數據安全規劃（P），通過對組織應遵循的法律法規和行業標準進行解讀，結合業務情況，輸出并持續更新數據資產分類分級知識庫和數據安全合規庫，并進行數據資產梳理及分類分級，摸清數據資產家底，

189、評估風險暴露面缺陷，再依照合規性要求，針對風險點設定動態分級防護策略；然后落實全生命周期安全防護（D），依據規劃制定的安全策略，面向不同級別的敏感數據對象，構建覆蓋數據全生命周期節點的按需、動態防御技術能力體系；其次，開展風險監測與防護效果評估（C），實時監測數據安全運行風險，對安全事件進行響應處置，并對安全防護效果進行合規性綜合評價；最后，根據風險監測和防護效果評估結果，結合業務變革，進行持續改善、優化（A），迭代驅動下數據安全治理白皮書 5.029中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數

190、據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會一個安全規劃（P）。2.6.2.體系架構

191、管理制度和技術體系需要落地，離不開數據安全運營體系。數據安全運營體系主要包括兩部分，一是定期或特定數據處理場景（數據跨境、數據交易等）觸發的數據安全風險評估；二是常態化持續運營工作，依據 I（識別）、P（防護）、D（監測）、R（響應）模型形成的一系列治理活動。數據安全運營要考慮“數據資產、安全策略、安全事件、安全風險”等關鍵因素，明確哪里做的好、好到什么程度，又有哪些做的不足、哪里需要改進和優化等等，不斷地豐富和提升完整性和成熟度。整體安全運營體系包括如下內容：規范和策略管理發現/管理數據資產敏感數據管理應用信息備案數據安全合規管理風險監測和事件響應處置運營稽核與優化自動/主動發現人工錄入建立

192、數據資產清單核實/認領數據資產數據庫資源評估敏感數據特征模板數據分類分級策略模板掃描發現敏感數據敏感數據自動分類分級建立敏感數據清單敏感數據核實確認(人工/自動)數據資產自動關聯合規策略業務自動關聯合規策略合規要求設置策略策略下發數據分析訪問數據資產流量提取訪問行為特征和對象自動識別應用(接口)/運維終端和賬戶自動建立應用備案信息清單人工核實完善備案信息標準規范錄入合規項解讀合規項策略設計分類分級策略數據發現策略風險監測策略數據保護策略行為與備案信息不符監測合規規則監測對外接口/生產運維/數據生命周期風險生成告警事件事件認領和處置根據誤報關聯待完善的備案信息和策略完善備案信息完善風險監測策略和

193、規則形成管理閉環識別(I)防護(P)監測(D)響應與優化(R)數據安全運營體系定期或特定數據處理場景數據安全風險評估常態化持續運營圖 2-8 數據安全運營體系架構如圖 2-8 所示，具體內容如下：（1）定期或特定數據處理場景觸發的數據安全風險評估數據安全風險評估的目的旨在掌握數據安全總體狀況，發現存在的數據安全風險和違法違規問題，為進一步健全數據安全管理制度和技術措施，提高數據安全治理能力奠定基礎。從評估要素看，數據安全風險評估涉及數據、數據處理活動、業務、安全措施、數據安全風險等基本要素，開展數據安全風險評估應充分考慮要素間關系。從評估對象看，數據安全風險評估主要圍繞數據處理者的數據和數據處

194、理活動，對可能影響數據保密性、完整性、可用性和數據處理活動合理性的安全風險進行分析和評價。數據安全風險分析主要涉及數據、數據處理活動、風險源、安全措施等基本要素。從評估內容看，數據安全風險評估既包括涉及數據處理者、業務和信息系統的基本情況調研，也包括處理的數據、開展的數據處理活動情況識別，還包括數據處理活動、數據安全管理、數據安全技術、個人信息保護、重要數據處理等方面的評估內容。從評估方法看，數據安全風險評估主要包括人員訪談、文檔審核、系統核查、技術測試。其中：數據安全治理白皮書 5.030中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

195、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會

196、人員訪談是指評估人員采取調查問卷、現場溝通等形式對被評估方的數據、數據處理活動和數據安全實施情況等進行了解、分析和取證。文檔審核是指評估人員通過對數據安全相關管理制度體系的完整性、健全性進行評估，包括管理辦法，安全規范、流程機制及配套的表單/日志/報告等進行審核、查驗、分析，全面梳理被評估方的數據安全實施情況。系統核查是指評估人員通過旁站查看被評估方數據安全相關網絡、系統、設備的配置、功能或界面，驗證數據處理系統和數據安全技術工具實施情況。技術測試是指評估人員通過手動測試或自動化工具進行技術測試，驗證被評估方的數據安全措施有效性，發現可能存在的數據安全風險。從實施流程看，數據安全風險評估主要包

197、括評估準備、數據和數據處理活動識別、風險源識別、風險分析、評估總結五個階段。風險溝通和評估過程文檔管理需要貫穿于整個風險評估過程。其中：評估準備工作主要包括確定評估目標、明確評估范圍、組建評估團隊、展開評估前期調研。數據和數據活動識別工作主要包括數據發現、分類分級和數據處理活動的識別。風險源識別工作主要是指從數據處理活動風險、數據安全管理維度進行風險識別。風險分析工作主要是指對識別的各項風險進行歸類，并從風險危害程度、發生可能性多個角度進行風險評價與定級。評估總結工作主要是指對評估結果進行分析總結，編制數據安全風險評估報告，并針對風險缺陷給出整改建議。數據安全風險評估工作是持續性的活動，當被評

198、估對象的政策環境、外部威脅環境、業務目標、安全目標等發生變化時，需要重新開展風險評估。在涉及到個人信息處理活動的應用場景時，組織還應開展個人信息保護影響評估，檢驗個人信息處理的合法合規程度，判斷對個人信息主體合法權益造成損害的各種風險，評估用于保護個人信息主體的各項防護措施的有效性。個人信息保護影響評估的規模往往取決于受到影響的個人信息主體范圍，數量和受影響的程度。通常，組織在實施該類個人信息安全影響評估時，個人信息的類型、敏感程度、數量，涉及個人信息主體的范圍和數量，以及能訪問個人信息的人員范圍等，都會成為影響評估規模的重要因素?？蓞⒖紓€人信息保護法第五十五條有下列情形之一的，個人信息處理者

199、應當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權益有重大影響的個人信息處理活動。第五十六條個人信息保護影響評估應當包括下列內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；數據安全治理白皮書 5.031中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

200、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會（三）所采取的保護措施是否合法、有效并與風險程度相適應。個人信息

201、保護影響評估報告和處理情況記錄應當至少保存三年，可參考標準有 GB/T 39335-2020信息安全技術 個人信息安全影響評估指南，GB/T 35273-2020 信息安全技術 個人信息安全規范，GB/T 41391-2022移動互聯網應用程序（APP）收集個人信息基本要求，GB/T 39725-2020信息安全技術 健康醫療數據安全指南，JR_T 0171-2020 個人金融信息保護技術規范。（2）常態化持續運營工作1）識別（I）規范和策略管理組織應調研相關的國內外數據安全相關監管要求、業界數據安全治理相關方法論和架構體系，作為數據安全治理優化工作的方法論和框架體系依據，形成數據分類分級策略

202、、風險監測策略和數據保護策略。發現/管理數據資產運用數據安全管理平臺的自動發現工具，結合手工調研梳理，對數據資產進行持續維護，發現敏感數據庫和敏感數據的位置和分布，統計重要數據，并對數據資產的歸屬部門、責任人、使用方等信息進行備案登記，形成數據資產列表。并對數據庫資產進行安全評估，識別數據庫資產的脆弱點。敏感數據管理基于數據分類分級策略模板，借助敏感數據發現技術和數據自動分類分級工具，對新發現的數據資產進行分類分級識別與打標，快速建立數據分類分級清單，并進行人工核實確認。應用信息備案收集分析數據資產訪問流量，提取訪問行為特征和對象，識別應用賬號和運維賬號，建立應用信息備案清單，并由人工進行備案

203、信息核實完善。2）防護（P）數據安全合規管理梳理評估各級別數據資產在整個數據生命周期流動中的安全風險，借助數據安全管理平臺的安全策略管理工具，針對風險設定各安全防護節點的防護策略，對數據安全進行合規管控。特別強調的是涉及國家關鍵信息基礎設施的單位，依據國家法律、行政法規和有關規定，要求其運營者應當使用商用密碼落實數據保護，并需自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。3）監測（D）風險監測和事件處置構建面向用戶、終端、應用、數據的全鏈路數據安全風險監測能力，實現圍繞數據全生命周期的統一流轉監測與審計，并基于形成的數據流轉視圖，持續分析、研判數據流轉風險，針對產生的安全事件告警，落

204、實應急響應與事件處置與溯源取證。4）響應與優化（R）運營稽核與優化建立面向安全策略、安全風險、安全事件的 KPI 指標分析，對數據安全運營情況進行整體稽核，數據安全治理白皮書 5.032中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委

205、會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會根據稽核考核結果進行持續完善和優化。2.6.3.運營服務組織落實管理體系規范和流程，發揮技術體系監測和防護能力，需要常態化、完善的運營能力做支撐。日常數據安全運營服務參照運營體系中的內容從數據安全摸底、數據安全策略的制定與升級、數據安全風險管理，以及數據安全策略優化等方面對數據安全開展全方位的工作。運營監管：

206、通過可視化的運營監管能力，建設運營監測中心，幫助管理者全面掌握數據安全運營狀況。服務保障：通過日常運營服務、專家服務、護網保障、重保服務、培訓服務，實現數據安全常態化能力。（1）日常運營服務數據安全運營是一個持續化運營的過程，在日常運營服務中需安排安全運營人員持續進行數據安全風險監測。建設集中化、日?；臄祿踩\營業務流程，從數據安全摸底、數據安全策略的制定與升級、數據安全風險管理，以及數據安全策略優化等方面日常的數據安全運營工作。新的法律法規、行業標準的實施，和對已實施法律法規及行業標準的重新認識，都會觸發運營人員進行重新解讀，轉化為新的安全管控策略；業務系統的變更需對涉及的數據資產進行重

207、新分類分級，更新安全策略；安全事件的發生也會促進安全運營人員優化數據安全措施，不斷完善數據安全治理體系。（2）應急保障服務應急保障針對每年國內重大、重要事件，以及全網突發的重大安全事件提供應急支持服務。主要工作內容包含但不限于：制定數據安全應急方案、工作要求及相關制度；在事前為應急響應做好預備性的工作，做好數據備份；在安全事件發生后，按要求及時對異常的系統、網絡進行分析，確定安全事件的各項技術細節，保留相關證據并制定進一步的響應策略；及時采取行動限制安全事件擴散和影響的范圍，限制潛在的損失與破壞，保障系統正常運行，恢復受到毀損的數據；事后通過對有關安全事件或異常行為的分析結果，找出根源，明確相

208、應的補救措施并協助完成徹底清除；協助恢復安全事件所涉及的系統，并還原到正常狀態，使業務能夠正常運行。2.7.數據安全監督評價體系組織要服從和積極配合行業主管單位的數據安全監管，形成監督管理和自律管理相結合的數據安全治理體系，主要途徑有評估認證、監測預警、事件調查處置、監督檢查、糾正問責，這是多元治理的重要一環。（1）評估認證國家陸續推出數據安全管理、個人信息保護等認證制度，鼓勵網絡運營者通過認證方式規范網數據安全治理白皮書 5.033中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

209、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會絡數據處理活動，加強網絡數據安全保護，如APP安全認證、數

210、據安全管理認證、個人信息保護認證等。組織還應在每年固定時間前向行業監管部門報送本年度數據安全風險評估報告，報告內容包括數據安全治理、技術保護、數據安全風險監測、事件處置、委托和聯合處理、數據出境、數據安全評估與審查情況，數據安全投訴和處理情況。（2）監測預警行業監管單位通過數據安全風險評估報告、監測預警、通報處置機制，持續監測數據安全風險，向行業發布風險提示，制定行業數據安全事件應急預案，處置數據安全風險事件。與國家數據安全管理部門建立聯防聯控管理機制，建立信息共享平臺，實施數據安全信息共享、風險和威脅監測、預警及數據安全事件處置。（3）事件調查處置數據安全事件是指由于管理控制不足導致數據被篡

211、改、泄露、破壞、非法獲取、非法利用等，對個人或組織合法權益、行業安全、國家安全造成負面影響的事件。根據其影響范圍和程度，分為四級：特別重大事件、重大數據安全事件、較大數據安全事件、一般數據安全事件。行業監管單位對被監管單位的數據安全風險及防范能力進行評估，并納入監管評價、評估體系，開展數據安全事件調查和處置。審計部門應每年至少開展一次數據安全審計，發生重大數據安全事件后應及時開展專項審計。對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。針對投訴舉報事

212、件，有關主管部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照規定的權限和程序對有關組織、個人進行約談，并要求有關組織、個人采取措施進行整改，消除隱患。（4）監督檢查國家通過數據安全審查、監督檢查與違規處罰等相關制度落實監管，比如：2022 年 2 月 15 日正式施行的網絡安全審查辦法將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查，并明確掌握超過 100 萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。同時國家還通過專項治理（協同打擊）、“清朗”行動等系列專項行動，以及網絡安全等級保護（基本要求）、關鍵基礎設施保護（重點保

213、護）、密碼評估管理等系列測評開展監督檢查。（5）糾正問責組織違反辦法要求的，行業監管單位依法予以糾正，根據違規情況實施問責處置或行政處罰。具體措施包括：采取監督監管措施，責令改正，給予警告。對有關負責人、直接負責的主管人員和其他直接責任人員問責或處以罰款，包括禁止其在一定期限內從事數據安全保護工作、擔任責任人。對設計違規處理行為的系統及應用，責任暫?；蛘呓K止服務。對涉及違規處理或產生重大風險、事件或案件的第三方機構，責令暫?；蛘咄Ｖ古c其開展合作，數據安全治理白皮書 5.034中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

214、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會必要時將有關情況

215、移交司法機關。2.8.典型數據處理場景數據安全治理的核心關注點在于場景化安全。組織目前存在數據安全技術使用不夠普及，比如：區塊鏈、隱私計算、同態加密等對業務的支撐沒有廣泛應用，主要原因是技術人員與業務人員割裂，技術與業務缺乏深度結合。隨著數據要素市場持續健全和深化，數據交易、數據出境等數據運用新模式持續涌現，不同用戶基于業務、訪問途徑和使用需求，會產生不同的使用場景，一刀切、固化的防護方式已無法適應不同場景下安全防護要求。在保證數據被正常使用的目標下，基于不同的使用場景特點及時發現數據風險暴露面，數據安全技術與業務深度結合，制定相應的數據安全策略，使數據安全治理更具針對性，在個人和組織與數據有

216、關的權益得到充分保護的基礎上，依法推動數據合理有效利用和依法有序自由流動。組織內的數據要跨部門、跨數據生命周期進行流轉。比如：大數據的處理過程就包括數據抽取轉換、數據傳輸、數據匯聚存儲、數據加工生產、數據分發共享、用數訪問。組織間的數據圍繞合作共享、數據交易、數據跨境等眾多數據運用新模式。如圖 2-9 所示圍繞典型的數據使用場景，從不同用戶、訪問途徑、使用需求、場景特點、安全策略五個方面，闡述有針對性的場景化數據安全治理思路。境內數據跨境數據交易境外數據交易中心組織A大數據處理組織B組織C圖 2-9 典型用數場景2.8.1.數據跨境數據跨境場景主要是對從事跨境數據活動的數據處理者提出合規要求，

217、個人信息處理者和境外接收方在跨境處理個人信息時應滿足法律法規的規定，遵循合法、正當、必要的原則，重要數據境內存儲，數據跨境要評估，同時做好個人信息保護，也要取得個人信息主體同意。數據跨境主要的途徑包括登錄查詢、拷貝復制、數據備份、WEB 服務、區塊鏈、平臺服務、數據遷移等。使用需求包括互聯網跨境數據訪問、境內訪問路由至境外等、互聯網數據推送與交換至境外、數據鏡像至境外、數據遷移至境外、租用物理跨境專線至境外等。數據安全治理白皮書 5.035中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專

218、委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據處理者從事跨境數據活動應當按照國家數據跨境安全監

219、管要求，建立健全相關技術和管理措施，明確數據接收方履行數據安全保護義務，保證數據安全。雖然數據跨境傳輸是個法律問題，但是可以通過技術手段來降低風險。組織采用的安全策略包括通過技術手段進行個人信息脫敏，這將會大大降低數據跨境傳輸合規的風險。制定離境數據規范，明確離境評估機構要求進行安全評估，留存數據出境安全評估報告。同時在數據傳輸的過程中，要注意數據安全保護，與技術服務商簽訂業務合同能夠有效劃分責任，針對數據出境行為明確征求數據主體的授權也將有利于企業數據跨境傳輸合規?？蓞⒖嫉臄祿踩Ｗo技術標準：GB/T 22239網絡安全等級保護基本要求、GB/T 39786信息系統密碼應用基本要求、GB/

220、T 35274大數據服務安全能力要求，GB/T 37932數據交易服務安全要求，GB/T 41479網絡數據處理安全要求等。組織側：采用境內存儲、系統保護，產品和服務保護、傳輸過程保護，境外的同等保護；數據轉移保護：完整性保護、機密性保護。監管側：（1）檢查數據跨境的合法性。檢查跨境數據的分類分級（重要數據或一般數據）、數據跨境類型、方式等，以及用途、內容、數量、范圍等是否合法必要正當；檢查個人信息主體同意機制或匿名化處理情況。（2）檢查標準合規性。檢查數據保護措施和風險控制、應急預案等，檢查同等保護原則或情況，關注平臺側、網絡側、終端側、邊緣側、邊界側等保護。（3）持續監督數據跨境合法合規有

221、效性。監督數據泄露事件處置、檢查應急處置情況、損失評估和整改情況等。2.8.2.數據交易數據交易場景交易主體要定期開展數據流通交易安全風險評估，不斷健全完善數據流通交易安全管理機制，保障交易活動安全；強化全流程數據安全管理，切實保障數據安全；數據交易場所應當制定重大安全風險監測、風險警示、風險處置等風險控制制度以及突發事件應急處置預案，并報告主管單位；網信、公安、密碼管理等部門在數據流通交易安全監督管理中，發現存在較大安全風險的，提出改進要求并督促整改。在數據交易場景中，交易主體傳輸交易標的訪問途徑可以通過 API/SDK 接口、數據集、數據報告、算法模型、算力資源部署、數據系統部署及其他數據

222、服務等方式進行交付。交易主體采用云計算、區塊鏈、聯邦學習、多方安全計算等技術，建設安全可信的數據流通交易平臺，構建數據流通交易基礎設施環境，實現原始數據“可用不可見”、數據產品“可控可計量”、流通行為“可信可追溯”。數據交易場景主要參與方包括交易用戶、數據提供方、數據需求方、數據商、數據中介、交易標的、數據產品和服務、算力資源、算法工具，數據流通交易按照主體登記、標的登記、交易磋商、簽訂合同、交易結算、交易備案等流程組織實施。數據交易場景安全策略以數據分類分級保護為基礎，實施差異化安全管理要求，不同行業領域數據安全治理白皮書 5.036中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

223、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

224、安全治理專委會中關村網信聯盟數據安全治理專委會安全策略不同。比如：工信領域鼓勵要求企業按一般數據、重要數據、核心數據實施分級保護，金融領域二級數據優先考慮業務需求，四級數據優先考慮安全需求，四級及以上數據不應對外傳輸、匯聚融合、共享等。以保障數據安全過程安全為目標，明確安全管理基礎規則。破解數據流通交易的中數據安全問題，可以充分應用區塊鏈、隱私計算等技術，從隱私保護技術、安防監管方面進行化解。（1）利用區塊鏈、隱私計算等新型技術實現數據“可用不可見”，有效管控數據計算價值使用的目的和方式，實現數據使用的事前評估和持續監督相結合、風險自評估與安全監督相結合，保障數據使用的安全與合法，破解數據濫用

225、、隱私泄露、用戶歧視等問題。（2）改進提高監管技術和手段，建立數據交易平臺，依托大數據技術建立健全違法線索線上發現、流轉、調查處理等機制，提升分析預警、線上執法、信息公示等監管能力。同時，鼓勵條件成熟的地區開展試點創新，以點帶面提高數據交易流通安全保障能力。監管方面，統籌各相關部門的治理授權和責任，落實數據從產生、使用到流轉全生命周期中各環節責任主體，強化分行業和跨行業協同監管，完善追責機制等配套制度。機制方面，在開展數據要素流通交易、跨境傳輸、爭議解決等立法研究的基礎上，建立數據流通交易負面清單制度，明確不能交易或嚴格限制交易的數據項，推動形成有規可循、安全可控的數據流通交易機制。2.8.3

226、.大數據處理大數據處理場景涉及大數據提供者、大數據使用者、大數據服務者（大數據平臺提供者、大數據應用提供者和大數據服務協調者）五種角色。在開展數據處理活動應當依照法律、法規的規定，建立健全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護和敏感個人信息保護責任。大數據處理場景是通過大數據平臺組件進行訪問，大數據流動（數據的產生、流動、處理等），用戶個人數據收集和挖掘（逐步形成用戶畫像）

227、；從事大數據相關產業的組織和個人訪問，主要有大數據平臺、大數據流動、大數據使用、大數據源數據使用和大數據隱私 5 個方面使用需求。大數據處理場景應主要防止外部黑客攻擊，滿足合規性，敏感數據的安全管理和使用，采用安全策略包括大數據服務提供者應具有的基礎安全能力、大數據服務生命周期安全能力以及大數據服務平臺與應用相關的系統服務安全能力。大數據服務提供者在風險識別、安全防護、安全監測、安全響應和安全恢復環節的安全能力建設要求。大數據安全評估：評估當前大數據平臺、大數據流轉、大數據使用等多種安全狀態；分類分級：結合業務對數據進行不同類別和密級劃分，并制定不同的管理和使用原則，做到有差別和針對性的防護。

228、大數據授權控制：針對不同角色制定不同安全策略，常見的角色包括：業務人員（要進一步角數據安全治理白皮書 5.037中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

229、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會色細分）、數據運維人員、開發測試人員、分析人員、外包人員、數據共享第三方等。大數據安全審計與稽核：行為審計分析、權限變化監控、異常行為分析、數據接口審計。大數據使用安全控制：業務系統數據訪問安全管控、大數據安全運維管控、開發測試環境數據安全使用、BI 分析數據安全管控、數據對外分發管控、數據內部存儲安全。2.8.4.合作共享數據合作共享場景對數據分發源單位和數據分發對象單位提出合規

230、要求，僅靠書面合同難以實現對數據接收方的數據處理活動進行監控，極易造成數據濫用，要求委托方和受托方均應履行數據安全保護義務。數據合作共享環節實現跨組織的數據授權管理和數據流向追蹤，需要滿足數據流動安全防護的需求，通過動態變化的視角分析和判斷數據安全風險，構建以數據為中心、連續的數據安全防護。在開展業務時數據需要對外共享，數據一旦對外分發共享，安全保護的責任主體變化，數據安全責任分不同場景以及過錯情況等，承擔責任不同，接收方與發送方均履行好各自承擔的數據安全責任。比如：數據共享中的接收方在接收到數據后并沒有對數據的安全保護起到應盡的責任，從而引發了數據二次擴散泄露事件。因此，對于數據分發后的安全

231、性需要通過技術手段監管起來。數據合作共享場景可以采用數據分發水印機制，對于將要發布到外界的數據預先進行水印處理，在水印中植入數據接收者的相關信息。嵌入原始數據中的水印是不可除的，并且能夠提供完整的版權證據。在原始數據中嵌入水印標記信息不易察覺，不影響原始數據的可用性。從數據水印中溯源水印標記信息的能力。一旦發現泄露，可以通過提取泄露的數據樣本對樣本數據進行水印信息提取和分析。水印類型包括文本屬性水印、偽行/偽列水印和仿真水印等，也可以采用數據脫敏，對數據中如：身份證號、銀行卡號、電話號碼等敏感數據進行脫敏處理，防止用戶數據泄露。2.9.數據安全治理規劃建設從組織構建到持續改善是一個系統化的建設

232、步驟，可有效指導數據安全治理全面建設的落地。（1）組織構建組建專門的數據安全團隊，是作為數據安全治理建設的首要任務，是保證數據安全治理工作能夠持續執行的基礎。（2）資產梳理資產梳理是數據資產安全管理的第一步，通過資產梳理能夠掌握數據資產分布、數據責任確權、數據使用流向等，使數據資產安全管理更全面。（3）策略制定掌握了數據資產概況后，需要制定安全策略作為數據資產管控的安全規則。通過數據分類分級與重要數據識別，區分人員角色權限及場景，制定針對性的安全策略，能夠實現對敏感數據進行分級管控，使數據在生命周期中安全流動。數據安全治理白皮書 5.038中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

233、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟

234、數據安全治理專委會中關村網信聯盟數據安全治理專委會（4）過程控制策略制定后需要將安全規則落地，通過數據安全管理體系、技術體系、運營體系的有效配合，能夠幫助組織進行數據資產安全管理的過程控制。要對數據的訪問過程進行審計，要判斷這些數據訪問行為過程是否符合所制定的安全策略；要對數據的安全訪問狀況進行深度評估，看在當前的安全策略有效執行的情況下，是否還有潛在的安全風險。數據安全需要動態跟蹤，持續改善?？赏ㄟ^資產梳理，持續掌握數據資產動態；通過預警演練，提升應急響應能力；通過數據安全評估，了解數據安全管控現狀，持續優化安全策略等。圖 2-10 數據安全治理體系建設依據上述指導性的建設步驟，數據運營者可

235、根據組織的業務關注點、風險容忍度等實際情況，首先考慮核心業務且易實施、見效的防護手段先行實踐，然后在治理深度上逐步構建形成體系化、全周期的數據安全防護體系，再在治理廣度上逐步覆蓋到數據運營全業務，并在過程中持續優化。2.9.1.數據安全治理整體建設思路基礎階段基礎防護建設階段數據分類分級指南數據資產管理規范組織架構定崗定責數據安全評估敏感個人信息識別數據安全建設規劃優化階段策略優化及能力提升建設階段運營階段數據安全運營風險管控階段資產/準入基線用戶權限責任矩陣數據安全事件應急管理及運維數據風險策略特征庫數據安全意識&技能培訓流轉行為庫加密脫敏審計防泄漏策略中心事件監測風險分析數據安全管控平臺數

236、據采集數據處理數據交換數據存儲數據傳輸數據刪除圖 2-11 三階段數據安全治理建設思路數據安全治理白皮書 5.039中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關

237、村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據安全治理規劃建設，圍繞收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動，分為三個階段建設：基礎階段-基礎防護建設，主要以咨詢服務為主，包括資產管理、數據分類分級、安全評估、管理制度建設、安全策略建設、方案規劃。優化階段-策略優化及能力提升建設，主要以產品為主，依據管理流程和安全策略部署自動化防護工具，解決業務風險。運營階段-數據安全管控平臺建設，主要基于管理流程、安全

238、策略、業務場景和防護積累的經驗，形成行為特征庫、安全事件知識庫、結合業務場景的積累，形成風險分析模型，建立數據安全管控平臺，有監測、有預警、有管理、有控制、有審計、有運維、可感知。2.9.2.數據安全治理迭代式建設思路圖 2-12 迭代式數據安全治理建設思路在數據安全治理實踐中，一次性建立完整的數據安全體系存在方案復雜、投入高、周期長，見效慢、效果不可控等問題，且各單位數據安全建設基礎情況不一，宜循序漸進地開展數據安全治理建設工作。用戶需堅持以業務數據資產為核心，基于當前的數據安全現狀。數據安全治理體系的建設劃分為多個階段，并將管理+技術+運營的建設思想貫穿在每一個階段的建設任務中，快速達成階

239、段性目標，再由前一個階段的建設成果指導下一個階段的建設目標，一步步證明路線選擇的正確性，通過“小步快跑，不斷迭代”的方式，橫向形成應用全面納管，縱向持續優化防護策略，逐步建成數據安全閉環管控體系。數據安全治理白皮書 5.040中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

240、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會第三章 我國相關法律法規及標準解讀2022 年以來，為推進數據安全法個人信息保護法的深入貫徹實施，國家、地方及各行業監管部門密集出臺了圍繞數據安全與個人信息保護的系列合規政策與辦法，持續建立、健全覆蓋建設、認證、評估、審計等數據安全合規監管體系與技術標準，為組織開展數據

241、安全治理建設給出了細化的要求和指引。通過對數據安全相關法律、法規及標準的解讀，幫助組織了解和梳理相關政策和標準內涵，保障數據安全治理過程中的有法可依，有章可循。3.1.數據安全合規整體體系框架數據的開發利用必須要依法依規開展，滿足合規要求是數據安全底線。通過對國內、國際數據安全相關的法律法規解讀，了解監管層面對有序推動數據價值發揮的安全保障要求，為數據安全治理的開展奠定合規依據。我國已經形成以法律、行政法規、部門規章及規范性文件、地方性法規、以及相關行業標準、指南等相結合的綜合性數據安全監督評價體系。同時，數據安全監管也通過認證、評估、審計等抓手予以落實，做到事前、事中、事后全流程監管。目前已

242、形成“數據安全管理認證”和“個人信息保護認證”等的認證、數據出境安全評估、個人信息處理的合規審計等制度。網絡安全法從法律層面保障了廣大人民群眾在網絡空間的利益，有效維護了國家網絡空間主權和安全，是國家基本法律；數據安全法是相關領域的基礎性法律，個人信息保護法是我國關于保護個人信息的專門性法律，二者從法律層面提供了數據安全保障和個人信息保護。網絡安全法數據安全法以及個人信息保護法共同構成了我國數據保護的基礎體系，整體的法律法規脈絡關系如下表所示：數據安全治理白皮書 5.041中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

243、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會表 3-1 數據安

244、全相關法律法規關系脈絡層級規范名稱上位法基本法律基礎性法律專門性法律網絡安全法數據安全法個人信息保護法下位法行政法規關鍵信息基礎設施安全保護條例網絡安全等級保護條例（征求意見稿）網絡數據安全管理條例（征求意見稿）部門規章網絡安全審查辦法數據出境安全評估辦法個人信息出境標準合同辦法互聯網信息服務算法推薦管理規定規范性文件個人信息保護認證規則數據安全管理認證實施規則（DSM）汽車數據安全管理若干規定（試行）工業和信息化領域數據安全管理辦法（試行）網絡產品安全漏洞管理規定銀行業金融機構數據治理指引 國家健康醫療大數據標準、安全和服務管理辦法（試行）地方性法規北京市公共數據管理辦法深圳經濟特區數據條例

245、上海市數據條例浙江省公共數據條例廈門經濟特區數據條例重慶市數據條例吉林省促進大數據發展應用條例四川省數據條例 陜西省大數據條例 遼寧省大數據發展條例 安徽省大數據發展條例廣西壯族自治區大數據發展條例福建省大數據發展條例山西省大數據發展應用促進條例山東省大數據發展促進條例貴州省政府數據共享開放條例標準、指南等GB/T 35273-2020信息安全技術 個人信息安全規范GB/T 41479-2022信息安全技術 網絡數據處理安全要求GB/T 41391-2022信息安全技術移動互聯網應用程序（App）收集個人信息基本要求GB/T 39335-2020信息安全技術 個人信息安全影響評估指南GB/T

246、39204-2022信息安全技術 關鍵信息基礎設施安全保護要求GB/T 38667-2020信息技術 大數據數據分類指南GB/T 37973-2019信息安全技術 大數據安全管理指南GB/T 37964-2019信息安全技術 個人信息去標識化指南GB/T 37932-2019信息安全技術 數據交易服務安全要求GB/T 37988-2019信息安全技術 數據安全能力成熟度模型GB/T 20984-2022信息安全技術 信息安全風險評估方法GB/T 22239-2019信息安全技術 網絡安全等級保護基本要求3.2.重點推進工作3.2.1.數據安全認證機制完善數據安全監管體系數據安全相關的認證包括“

247、數據安全管理認證”（DSM）和“個人信息保護認證”（PIP），是對數據處理者和對個人信息處理者對數據安全和個人信息保護水平的認證。對兩項認證的具體內容分別論述如下：（1）數據安全管理認證（DSM）2022 年 6 月 9 日，國家市場監管總局、國家互聯網信息辦公室聯合發布關于開展數據安全管數據安全治理白皮書 5.042中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

248、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會理認證工作的公告，正式宣告數據安全管理認證的啟動，鼓勵網絡運營者通過認證方式規范網絡數據處理活動，加強網絡數據安全保護。認證目的我國既有法律法規并未明確將 DSM 認證設置為強

249、制性義務，而是鼓勵網絡運營者通過認證的方式規范網絡數據處理活動，意義在于促進網絡運營者數據安全建設規范化，加強數據安全的防護力度。認證推出勢必會增強組織對數據安全落地的積極性，對于對暫不符合認證要求的，機構可要求認證委托人限期整改，促使認證對象加快數據安全標準建設內容。在認證有效期內，要求企業須持續接受機構監督，確保數據安全工作持續落到實處。認證依據DSM 認證是按照數據安全管理認證實施規則來實施，此規則的制定依據是中華人民共和國認證認可條例。而認證認可條例所稱的“認證”是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。從數據處理全生命周期

250、的安全技術要求（包括收集、存儲、使用、傳輸、提供、刪除、訪問控制等），和安全管理要求（包括數據安全負責人、人力保障、事件應急處置）這兩個維度來進行評估認證。認證對象針對網絡運營者的數據安全管理體系開展的認證活動，以驗證網絡運營者是否建立了有效的數據安全管理體系來進行網絡數據的收集、存儲、使用、加工、傳輸、提供、公開等處理活動。數據安全管理認證不是針對某個產品或服務的單獨認證，而是對于企業管理體系的綜合認證。認證依據GB/T 41479-2022信息安全技術 網絡數據處理安全要求及相關標準規范。認證模式與流程數據安全管理認證的認證模式是“技術驗證+現場審核+獲證后監督”，具體流程如下圖：圖 3-

251、1 數據安全管理認證流程圖數據安全治理白皮書 5.043中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會

252、中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會證書期限認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發認證證書，認證證書有效期為 3 年。不同于網絡安全等級保護認證，不需要按照等級劃分。（2）個人信息保護認證（PIP）2022 年 11 月 4 日，國家市場監督管理總局、國家互聯網信息辦公室發布關于實施個人信息保護認證的公告，正式宣告我國個人信息保護認證制度正式建立。個人信息保護法發布以來，落實法律要求的個人信

253、息保護制度不斷出臺，由于個人信息特性及其處理活動的復雜性，個人信息保護認證實施規則將在落實個人信息保護法要求、支撐個人信息保護工作、促進個人信息合法有序利用等方面發揮重要作用。國家，鼓勵個人信息處理者通過認證方式提升個人信息保護能力，同時要求從事個人信息保護認證工作的認證機構經批準后開展有關認證活動。認證目的我國個人信息保護法個人信息保護認證實施規則系統規定了個人信息保護認證的適用范 圍、認證依據、認證模式、認證實施程序、認證證書和認證標志等內容，明確對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。根據是否包含跨境處理活動，

254、個人信息保護認證可以劃分為 PIP 認證（不含跨境處理活動）和PIPCB 認證（包含跨境處理活動），這種劃分實質體現了個人信息保護認證在合規能力證明和跨境提供制度的雙重價值。在個人信息保護法確定的“舉證責任倒置”原則下，個人信息保護認證在證明個人信息處理者合規能力水平方面有著重要的作用。個人信息保護認證細化和豐富了個人信息跨境提供制度，個人信息保護法首次將其規定為數據出境三種路徑之一，符合認證申請條件的企業可通過該認證實現數據跨境傳輸。認證依據個人信息處理者應當符合 GB/T 35273-2020信息安全技術 個人信息安全規范（以下簡稱“個人信息安全規范”）的要求，對于開展跨境處理活動的個人信

255、息處理者，還應符合 TC260-PG-20222A網絡安全標準實踐指南個人信息跨境處理活動安全認證規范（以下簡稱“跨境認證規范”）的要求。個人信息安全規范 從個人信息安全基本原則、個人信息的收集、存儲、使用、委托處理、共享、轉讓、公開披露，以及個人信息主體的權利、個人信息安全事件處理、個人信息安全管理要求等諸方面做出了相關要求?？缇痴J證規范主要針對個人信息跨境處理活動從基本原則、個人信息處理者和境外接收方的基本要求、個人信息主體權益保障等方面提出了要求。認證對象和范圍個人信息保護認證的對象是個人信息處理者開展的個人信息處理活動，認證申請主體應為個人信息處理者。個人信息處理活動包括個人信息收集、

256、存儲、使用、加工、傳輸、公開、跨境提供等，認證范圍涵蓋個人信息處理活動涉及的組織范圍、業務范圍、系統范圍等，涉及個人信息處理活動數據安全治理白皮書 5.044中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

257、專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會的組織管理、制度措施、技術處理等方面。個人信息保護認證涉及數據跨境場景，個人信息處理者應梳理對照個人信息向境外提供的管理要求，選擇適合自身情況的管理方式。對不屬于評估范圍的情形，個人信息處理者通過認證后可直接向境外提供；對屬于評估范圍的情形，認證結果可作為個人信息出境安全評估輸入。結合認證制度特點，適合采用認證方式滿足向境外提供個人信息

258、管理要求的個人信息處理者包括但不限于：1）向境外接收方持續提供個人信息的個人信息處理者；2）跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動；3）落實法規標準要求，亟需加強個人信息跨境提供安全制度措施、規范開展個人信息處理活動的個人信息處理者；4）為向個人信息主體、境外接收方等明示個人信息處理達到相關標準要求的個人信息處理者。認證模式與流程認證模式是“技術驗證+現場審核+獲證后監督”，具體流程如下：圖 3-2 個人信息保護認證流程圖認證時限及證書有效期自認證受理之日起至作出認證決定所實際發生的工作日，包括認證申請資料審核時間、技術驗證時間、現場審核時間、認證決定和證

259、書批準以及制作時間，一般為70個工作日（不包含整改時間）。認證證書有效期為 3 年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。證書到期還需延續使用的，個人信息處理者應在有效期屆滿前 6 個月內向認證機構提出認證申請。認證機構采用獲證后監督的方式，對符合認證要求的委托換發新證書。如何申請個人信息保護認證個人信息處理者在認證申請時，應提交認證申請書、自評價表以及相關附件證明材料。為便于認證順利開展，提高認證工作效率，申請認證的個人信息處理者可提前了解標準要求和認證流程、下載相應模板，如實、準確填報認證申請書、自評估表，準備好附件證明材料。個人信息保護認證范圍與個人信息種類、數量、

260、敏感程度以及個人信息處理情況、個人信息處理者組織管理等密切相關，不同業務場景的評價方法和指標不盡相同，需要企業的密切配合和充分溝通。數據安全治理白皮書 5.045中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

261、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會3.2.2.“三種路徑”推動數據出境規則加快落地2022 年，數據出境走向規范化，數據出境傳輸的規則、辦法陸續出臺，為涉及跨境服務的數據運營者構建了可落地實操的數據出境三種途徑，即：（1）通過網信部門的數據出境安全評估；（2）經專業機構進行個人信息保護認證；（3）與境外接收方簽訂標準合同條款。鑒于個人信息保護認證制度已于前文論述，以

262、下主要對數據出境安全評估和數據出境標準合同進行說明。2022 年 7 月 7 日，國家互聯網信息辦公室發布了數據出境安全評估辦法（以下簡稱“評估辦法”），辦法于 9 月 1 日起施行。評估辦法為數據出境安全評估在監管模式、評估范圍、評估要求等方面提供了具有可操作性的依據。（1）數據出境安全評估在評估范圍上，評估辦法在第四條中明確以下主體在進行數據出境時必須通過數據出境安全評估：1）數據處理者向境外提供重要數據；2）關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者；3）自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者。在評估方式上

263、，數據出境安全評估采取“風險自評估與安全評估相結合”的方式，在向網信部門申報安全評估前，需先進行數據出境風險自評估。數據出境風險自評估自評估主要關注“數據出境的合法性、正當性、必要性”、“出境數據的重要程度”、“境外接收方的責任義務和數據安全能力”、“數據出境的風險”、“數據出境的法律文件”等內容。個人信息保護影響評估個人信息保護法第 55 條明確向境外提供個人信息前，應當進行個人信息保護影響評估（“PIA”）。由此可知，個人信息保護法下個人信息出境前進行 PIA 屬于強制性義務，無論企業適用個人信息保護法第 38 條中任何一個出境路徑，都需進行 PIA。在評估內容上，數據出境安全評估與風險自

264、評估都會關注“數據出境的合法性、正當性、必要性”、“出境數據的風險”、“與境外接收方擬訂立的法律文件”等的事項。但對于數據出境安全評估而言，境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安全的影響應是評估重點。與自評估事項的另一個顯著區別在于，數據出境安全評估還會關注“守法情況”。在監管模式上，評估辦法構建了自上而下的數據出境逐級審查監管模式，第一步是省級網信部門的完備性查驗，第二步則是國家網信部門組織國務院有關部門、省級網信部門、專門機構等開展的實質性安全評估。數據安全治理白皮書 5.046中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯

265、盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關

266、村網信聯盟數據安全治理專委會圖 3-3 評估辦法數據出境評估認證流程圖評估辦法對數據出境安全評估的設定了 2 年的有效期，自安全評估結果出具之日起計算。2 年有效期的設定為企業開展數據出境活動提供了較為穩定的預期。有效期屆滿，需要繼續開展數據出境活動的，應當在有效期屆滿 60 個工作日前重新申報評估。（2）個人信息出境標準合同2023 年 2 月 22 日，國家互聯網信息辦公室發布個人信息出境標準合同辦法（簡稱“標準合同辦法”）。該標準合同辦法對標準合同具體適用條件、標準合同主要內容和備案要求等內容作出規定，并以附件形式提供了國家網信辦制定的個人信息出境標準合同模板。標準合同辦法第四條明確提出

267、采取標準合同方式向境外提供個人信息的個人信息處理者應當同時滿足以下條件：（1）非關鍵信息基礎設施運營者；（2）處理個人信息不滿 100 萬人的；（3）自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的；（4）自上年 1 月 1 日起累計向境外提供敏感個人信息不滿 1 萬人的。數據安全治理白皮書 5.047中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

268、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會在使用該標準合同文本時可以進一步關注下述事項：與其他出境相關的合同的關系個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。而在實踐中，其他法域的監管機構也規定

269、了通過相應的標準合同文本管理跨境個人信息傳輸的相應場景和條件（例如歐盟 SCCs 等），因此跨國企業將會面臨著協調不同法域標準合同文本的問題。關于適用委托處理的場景個人信息保護法規定個人信息處理者和受托人的角色。個人信息處理者在個人信息處理活動中可以自主決定個人信息處理目的、處理方式，而受托人則是接受個人信息處理者委托而處理個人信息。標準合同模板中規定了個人信息處理者向境外接收方提供個人信息的模式，另標準合同模板在境外接收方義務中，規定了“受個人信息處理者委托處理個人信息”的義務，說明境外接收方可以是受托人的角色，接受委托處理個人信息。單獨同意標準合同模板在“個人信息處理者的義務”及境外接收方

270、的義務中，均規定了“單獨同意”的要求，與個人信息保護法的要求保持一致。責任承擔標準合同模板明確規定了“個人信息處理者”的義務、“境外接收方”的義務。在責任承擔上，任何一方因違反標準合同而侵害個人信息主體享有的權利，應當對個人信息主體承擔民事法律責任，且不影響相關法律法規規定個人信息處理者應當承擔的行政、刑事等法律責任。雙方依法承擔連帶責任的，個人信息主體有權請求任何一方或者雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時，有權向另一方追償。3.3.法律我國目前已形成以 網絡安全法 數據安全法 個人信息保護法 三部法律為核心的法律架構，并分別從數據所承載系統的安全保障、數據本身的安全保護以

271、及個人信息的安全保護的層面構建較為完整的數據安全保護體系。3.3.1.網絡安全法保障網絡與信息安全我國于 2016 年頒布并于 2017 年施行的網絡安全法是我國網絡安全管理方面的第一部基礎性立法，旨在應對我國網絡安全領域的嚴峻形勢，以制度建設加強網絡空間治理，規范網絡信息傳播秩序，懲治網絡違法犯罪。網絡安全法全面地規定網絡與信息安全治理的基本規則，以網絡運營者及關鍵信息基礎設施運營者為主要規制對象，明確網絡運行安全、網絡信息安全、監測預警與應急處置等方面的義務。近年來，各機構因網絡安全防護能力薄弱進而導致的網絡攻擊、網絡安全事件層出不窮、數據泄露及毀損危機凸顯，由于網絡安全的一大重要內容即是

272、保障網絡數據的完整性、保密性、可用性數據安全治理白皮書 5.048中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

273、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會的能力，因此網絡安全法對于構建數據安全保障體系有著重要的意義。具體而言，網絡安全法通過規定下述措施，以強化數據安全保障。（1）保障網絡運行安全網絡安全法第 21 條構建了網絡安全等級保護制度，在保障網絡系統安全的組織架構及管理體系上，網絡安全法要求制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任。在保障網絡系統安全的技術體系上，網絡安全法要求采取包括防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的

274、技術措施；采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；采取數據分類、重要數據備份和加密等措施。針對關鍵信息基礎設施的運營者，網絡安全法 在第三章第二節中施加了更多的安全保護義務。而且，網絡安全法第 37 條強化對關鍵信息基礎設施運營者數據跨境傳輸的監管，提出數據本地化存儲及跨境傳輸安全評估的要求，明確“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定”。（2）保障網絡用戶

275、信息安全在保障網絡數據安全的總體要求上，網絡安全法第 10 條提出保障網絡數據完整性、保密性和可用性的要求；第 18 條強調了數據利用與數據安全之間的平衡，鼓勵開發網絡數據安全保護和利用技術。在保障網絡用戶信息安全的管理體系上，網絡安全法 第40條要求建立健全用戶信息保護制度。在保障網絡用戶信息安全的技術措施上，網絡安全法第 40、42 條重點要求對其收集的用戶信息嚴格保密；采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。同時，網絡安全法第 47 條加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措

276、施，防止信息擴散，保存有關記錄，并向有關主管部門報告。3.3.2.數據安全法構建數據安全治理框架由于數據安全已成為事關國家安全與經濟社會發展的重大問題，為了有效應對數據這一非傳統領域的國家安全風險與挑戰，切實加強數據安全保護，維護公民、組織的合法權益，并發揮數據的基礎資源作用和創新引擎作用，推進政務數據資源開放和開發利用，2021 年我國頒布并實施數據安全法。數據安全法 作為數據安全領域的基礎性法律，重點確立數據安全保護管理各項基本制度，構建起數據安全治理的框架，強調數據開發利用與保障數據安全并重的思路，將個人、企業和公共機構的數據安全納入保障體系，確立了對數據領域的全方位監管。數據安全治理白

277、皮書 5.049中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網

278、信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會（1）數據開發利用與數據安全并重數據安全法在第 1 條立法目的中就將“保障數據安全，促進數據開發利用”納入，強調數據開發利用與保障數據安全并重的思路。而且，數據安全法在第二章也對數據安全與發展進行專章規定，提出一系列促進數據開發利用的思路及措施，包括：國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展；國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用；國家推進數據開發利用技術和數據安全標準體系建

279、設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定；國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場等。（2）構建數據安全制度體系由于不同維度的數據的價值不一，而且對于國家利益、社會利益、個人利益有著不同程度的影響，數據安全治理首先需要實施數據的分類分級保護，以避免因重要數據泄露、損毀帶來影響國家安全、社會安全的嚴重后果。鑒于此，數據安全法第 21 條確立了以數據分類分級為核心的安全制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或

280、者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。同時，數據安全法第 22 條要求建立相應的數據安全風險評估、報告、信息共享、監測預警機制及數據安全應急處置機制等。對于開展數據處理活動的主體，可以數據分類分級為基礎，形成組織、管理、技術體系相融合的數據安全治理體系。（3）實施全生命周期的數據安全保護數據安全法第四章緊盯數據泄露、數據漏洞以及非法使用數據的風險，從數據處理的全生命周期提出合規要求，包括開展數據處理活動應當建立健全全流程數據安全管理制度；采取相應的技術措施和其他必要措施，保障數據安全；加強風險監測，發現數據安全缺陷、漏洞等風險時

281、，應當立即采取補救措施；不得竊取或者以其他非法方式獲取數據等。為了實現數據生命周期安全保護的要求，開展數據處理活動可采取集中策略管控能力與單點防護能力結合的防控措施，統一部署防護策略，在數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動中采取相適應的防護技術和能力。（4）推進政務數據的安全與開放數據安全法第五章推進政務數據的安全與開放，強調提升運用數據服務經濟社會發展的能力。在保障政務數據安全方面，要求國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全；國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序

282、，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。數據安全治理白皮書 5.050中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委

283、會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會在推進政務數據開放方面，要求國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據；國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。3.3.3.個人信息保護法保障個人信息權益相較于一般數據，個人信息因對個人權益的影響需要進行專門的保護。為了

284、解決一些企業、機構甚至個人，從商業利益等出發，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用，2021 年頒布并施行的個人信息保護法是我國首部關于保護個人信息的專門性法律。這部法律以數據中的“個人信息”為主要規范對象，劃定個人信息全生命周期處理的安全保護規則，以保護個人信息權益、促進個人信息合理利用。具體如下：（1）個人信息全生命周期處理的防護根據個人信息保護法，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等的全生命周期，相應個人信息處

285、理的風險也貫穿于個人信息處理的始終。例如，在個人信息采集傳輸階段，因網絡端口及傳輸通道的安全性問題而導致個人信息的毀損和丟失；在個人信息存儲階段，因未采取加密、脫敏存儲而導致敏感信息的泄露；在個人信息使用階段，因超權限的訪問或者未經授權的使用而導致個人信息對外泄露、個人信息濫用；在個人信息銷毀階段，因未及時、有效銷毀存儲介質上的個人信息而導致的個人信息泄露等等。鑒于此，個人信息保護法以第一章總則及第二章的一般規定劃定了個人信息全生命周期處理的規則，要求個人信息處理應具備包括征得個人主體同意在內的合法基礎，告知個人完整的個人信息處理事項。同時，個人信息保護法也對需要重點保護的敏感個人信息、風險程

286、度較高的個人信息跨境提供予以特別規定。在個人信息保護法第二章第二節項下，對于處理敏感個人信息的，需具備具有特定的目的和充分的必要性及采取嚴格保護措施下方可處理，并且還要求取得個人的單獨同意等；在個人信息保護法第三章項下，對于個人信息跨境提供，劃定應當具備的條件，根據第 38 條，滿足下列條件之一才可向境外提供個人信息，包括：（1）通過國家網信部門組織的安全評估；（2）經專業機構進行個人信息保護認證；（3）按照國家網信部門制定的標準合同與境外接收方訂立合同等條件；（4）法律、行政法規或者國家網信部門規定的其他條件。（2）明確個人信息處理者所應采取的組織措施及技術措施在個人信息保護法第五章規定了個

287、人信息保護的組織架構及管理體系，個人信息處理者應當承擔個人信息保護的主要責任；在作為個人信息處理者的組織機構內部，要求制定內部管理制度和操作規程；合理確定個人信息處理的操作權限；指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督等，并對重要平臺、大型個人信息運營者設定了額外個人信息保護義務。在個人信息保護的技術措施上，要求采取措施防止未經授權的訪問以及個人信息泄露、篡改、丟失，包括對個人信息實行分類管理；采取相應的加密、去標識化等安全技術措施。數據安全治理白皮書 5.051中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中

288、關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理

289、專委會（3）賦予個人充分的個人信息權利，保障個人信息權益根據個人信息保護法第四章，我國賦予個人充分的個人信息權利，包括個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；個人有權向個人信息處理者查閱、復制其個人信息；個人有權請求個人信息處理者更正、補充不準確或不完整的個人信息；個人在特定情形下有權請求個人信息處理者刪除個人信息；個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明等。而且，個人信息保護法第 50 條要求個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制，并賦予個人可以在個人信息處理者拒絕個人行使權利的請求下向法院起訴的權利。上述做

290、法充分保障了個人在其個人信息處理活動中的權益。3.3.4.網絡安全、數據安全與個人信息保護的關系數據天然具有流動性、可復制性等特點，導致在使用過程中存在易泄露、篡改和濫用等安全風險，為個人、企業乃至國家的利益和安全都帶來了嚴峻的挑戰。網絡安全、數據安全和個人信息保護都繞不開數據話題，因此這些都是安全領域中要解決的基本問題，也是數字經濟可持續發展、企業數字化轉型成功實施和依托數字技術不斷提升國家治理能力現代化水平的基本要求。如前所述，我國圍繞網絡安全、數據安全及個人信息安全所構建的法律體系已經相對成熟；回歸到三者關系的本質上，既有密切的聯系，又有區別。首先，從層次和功能來看，三者都屬于可被視為信

291、息安全的子領域。具體來說，網絡安全所保護的是數據所承載系統的運行，數據安全和個人信息安全都聚焦于數據本身的安全，數據安全宏觀性地對數據保護和數據處理者提出制度要求，包括個人信息和非個人信息，個人信息安全將范圍限縮為與個人密切相關的數據信息在更多具體場景的保護。從法律層面看，網絡安全法對應網絡系統的安全管理，數據安全法對應數據的安全管控，個人信息保護法對應個人信息的安全保障；網絡安全法和數據安全法旨在維護國家安全、社會公共利益和組織權益，前者強調網絡安全與網絡空間的國家主權，后者側重于數據安全以及基于數據安全所體現的國家安全。個人信息保護法以個人主體出發，為了維護公民個人的隱私、人格、人身、財產

292、等權益，規范個人信息處理活動，促進個人信息有序開發利用。從技術層面來看，三者有共性也有差異性。個人信息往往以結構化數據或非結構化數據形式存儲在各類信息或數據庫系統中，也會和其他類型的數據一樣歷經采集、存儲、處理、傳輸、交換、銷毀等階段。在數據全生命周期的各個階段也面臨著和一般數據相似的完整性、可用性和保密性等方面的風險和挑戰。因此，保護個人信息和保護一般數據的技術防護手段也高度相近，加密、脫敏、分類分級、安全評估等體系化的關鍵數據安全技術都能夠有效地支撐個人信息保護業務；而為了實現個人信息安全和數據安全，網絡安全作為其存儲系統，必然需要在前述各階段提升產品、服務的安全性。不同之處主要體現在數據

293、處理者相較于個人信息處理者需要在數據交易及中介、數據分級分類、數據安全風險監控與報送等層面達到相應技術要求，網絡運營者相較于前兩者則更側重網絡安全等級制度、安全認證和檢測、關鍵信息基礎設施運營等層面的達到相應技術要求。此外，從目標來看，三者具有共同的目標。網絡安全、數據安全與個人信息保護都屬于信息安數據安全治理白皮書 5.052中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟

294、數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會全的重要部分，都以保障信息資產的機密性、完整性和可用性為重心，即 CIA（Confidentiality，Integrity，Availability）三大原則。因此

295、，數據安全治理需要三者協同作用。實現高度的信息安全離不開數據安全策略的實施、網絡安全的持續保護和不斷完善的個人信息保護制度、技術。在沒有可靠數據安全措施的情況下，信息資產將面臨更大風險，從而損害個人信息乃至整個組織的信息安全水平?？傊?，網絡安全、數據安全和個人信息保護是相輔相成的關系，三者涉及個人、企業、國家多個層面。個人是網絡安全、數據安全和個人信息保護的最廣泛參與者，需要加強對個人信息保護，保障個人的合法權益，維護人格尊嚴；企業是網絡安全、數據安全和個人信息保護的關鍵主體，保障企業數據安全對于產業健康發展具有重要意義，企業層面要保證合法合規地搜集和利用個人數據，促進產業有序發展；網絡安全、

296、數據安全目前是網絡空間安全的焦點，是事關國家安全與經濟社會發展的重大問題，在國家層面要保障經濟穩定和國家安全，維護國家網絡空間安全和數據主權，才能為個人信息保護提供最堅實的基礎。3.4.行政法規3.4.1.關鍵信息基礎設施安全保護條例實施關基重點保護（1）重點防范關鍵信息基礎設施風險我國秉承“抓重點、保關鍵”的立法思路，2017 年 6 月 1 日生效的網絡安全法第 31 條以列舉的方式引入了關鍵信息基礎設施的概念，列舉了公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務 7 個重要行業和領域，并規定關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。為配合 網絡安全法 第31條

297、的實施，2021年9月1日生效的 關鍵信息基礎設施安全保護條例第二章專門規定了關鍵信息基礎設施的認定程序，規定公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。保護工作部門制定關鍵信息基礎設施認定規則，并根據該認定規則組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。通過制定關鍵信息基礎設施安全保護條例，我國實施對關鍵信息基礎設施的重點保護。（2）重點強調對數據安全的保護網絡安全法數據安全法關鍵信息基礎設施安全保護條例均對涉及關鍵信息基礎設施的數據

298、進行特別保護。網絡安全法第 37 條強調關鍵信息基礎設施運營者在中國境內收集個人信息和重要數據本地化存儲及跨境數據傳輸安全評估的義務。數據安全法第 31 條也提出關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據的出境安全管理適用于網絡安全法的規定。關鍵信息基礎設施安全保護條例進一步強調對數據安全的保障，包括關鍵信息基礎設施運營者應維護數據的完整性、保密性和可用性；履行個人信息和數據安全保護責任，建立健全個人信數據安全治理白皮書 5.053中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據

299、安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會息和數據安全保護制度；發生重要數據泄露、較

300、大規模個人信息泄露等情形時，保護工作部門及時向國家網信部門、國務院公安部門報告的義務等。關鍵信息基礎設施安全保護條例明確規定了責任的落實，第十三條規定：“運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題?！庇梅钜幎ā爸饕撠熑素摽傌煛睂嵭幸话咽重撠熤?，在網安領域是第一次。同時，為了進一步發現安全風險，關鍵信息基礎設施安全保護條例第 17 條也要求運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評

301、估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。3.4.2.網絡數據安全管理條例（征求意見稿）細化數據安全治理規則2021 年國家互聯網信息辦公室代國務院頒布網絡數據安全管理條例（征求意見稿），對網絡安全法 數據安全法 個人信息保護法 的規則予以進一步的細化，推動上述法律的進一步落地。網絡數據安全管理條例（征求意見稿）規定了數據安全的一般規則、個人信息保護、重要數據安全、數據跨境安全管理、互聯網平臺運營者義務等的重要內容，具體而言：（1）要求數據處理者應當采取備份、加密、訪問控制等必要措施，保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用，應對數據安全事件，防范針對和利用數據的

302、違法犯罪活動，維護數據的完整性、保密性、可用性；按照網絡安全等級保護的要求，加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護；（2）細化取得個人同意的合規要求、個人信息處理規則等內容；（3）重要數據安全，進一步明確數據安全管理機構的具體職責，并要求數據處理者履行制定數據安全培訓計劃、優先采購安全可信的網絡產品和服務等義務；（4）數據跨境安全管理，要求建立健全數據跨境安全相關技術和管理措施；（5）要求互聯網平臺運營者對接入其平臺的第三方產品和服務承擔數據安全管理責任，利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動，按照國家有關規定進行安全評估。3.5.部門規章及規范性文件3.5.

303、1.數據安全的協同治理數據安全對于各行各業都十分重要，在國家互聯網信息辦公室負責全國互聯網信息內容管理工作、并負責監督管理執法的統籌協調下，各領域內各相關部門協同共治。在網絡和數據安全領域，國家網信部門負責統籌協調網絡數據安全和相關監管工作。各地區、各部門在本地區、本部門工作中負責網絡安全保護和監督管理工作，對收集和產生的數據及數據安數據安全治理白皮書 5.054中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信

304、聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會全負責；國務院電信主管部門、公安部門和其他有關機關在各自職責范圍內承擔數據安全監管職責；工業、電信、交通、金融、自然資源、衛生健康

305、、教育、科技等主管部門承擔本行業、本領域網絡數據安全監管職責；縣級以上地方人民政府有關部門的網絡數據安全保護和監督管理職責，按照國家有關規定確定。以關鍵信息基礎保護為例，參照關鍵信息基礎設施安全保護條例和貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見，在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作；國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作；省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。網信部門、工信部門、公安部門以及金融、衛

306、生等行業主管機構均在各自職責范圍內頒布了數據安全治理的規章及規范文件。例如，國家互聯網信息辦公室、工信部等五部門發布汽車數據安全管理若干規定（試行），國家互聯網信息辦公室、國家發改委等十三部門聯合發布網絡安全審查辦法，國家互聯網信息辦公室發布數據出境安全評估辦法、工信部發布工業和信息化領域數據安全管理辦法（試行）、中國銀行保險監督管理委員會發布銀行業金融機構數據治理指引、國家衛生健康委員會發布的國家健康醫療大數據標準、安全和服務管理辦法（試行）等。3.5.2.重要規章及規范性文件（1）整體要求總體規范上，2021 年 12 月 28 日，國家互聯網信息辦公室、國家發改委等十三部門聯合發布網絡安

307、全審查辦法（“辦法”），適用于關鍵信息基礎設施運營者采購網絡產品和服務，網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的情形。辦法規定了網絡安全審查應考慮的國家安全風險因素，明確網絡安全審查的具體流程。其中，在網絡安全審查應考慮的國家安全風險因素中，特別考慮數據安全的因素，將“核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險”、“上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險”納入。2021 年 10 月 29 日，國家互聯網信息辦公室發布數據出境安全評估辦法，旨在規范數據出境活動

308、，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、有序流動。該辦法明確需要申報數據出境安全評估的情形、數據出境風險自評估及數據出境安全評估所考慮的事項等。（2）金融領域2020 年 5 月 21 日，中國銀行保險監督管理委員發布了銀行業金融機構數據治理指引（“指引”），指引是為引導銀行業金融機構加強數據治理，提高數據質量，充分發揮數據價值，提升經營管理水平，全面向高質量發展轉變而制定的法規。指引共七章五十五條，其中明確了數據治理架構，要求確保數據治理資源充足配置，明確董事會、監事會和高管層等的職責分工，提出可結合實際情況設立首席數據官。指引還明確了監管機構的監管責任、監管方式和

309、監管要求。數據安全治理白皮書 5.055中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數

310、據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會對于數據治理不滿足有關法律法規和監管規則要求的銀行業金融機構，要求其制定整改方案，責令限期改正；或與公司治理評價、監管評級等掛鉤；也可依法采取其他相應監管措施及實施行政處罰。指引實施將進一步提升銀行業金融機構的數據治理能力，同時也對數據合規提出了更高的要求。2021 年 1 月，銀保監會發布中國銀保監會監管數據安全管理辦法（試行），該辦法規范了銀保監會監管數據安全管理工作，提高了監管數據安全保護能力，目的是建立健全監管數據安全協同管理體系，推動銀保監會

311、有關業務部門、各級派出機構、受托機構等共同參與監管數據安全保護工作，加強培訓教育，形成共同維護監管數據安全的良好環境。2021 年 9 月，中國人民銀行發布了征信業務管理辦法，并于 2022 年 1 月 1 日正式實施。明確征信機構采集個人信用信息應當采取合法、正當的方式，遵循最小、必要的原則，并明確告知信息主體采集信用信息的目的，取得信息主體本人同意。通過信息提供者取得個人同意的，信息提供者應當向信息主體履行告知義務。同時，該辦法也設專章對信用信息整理、保存、加工進行了規定，明確了征信機構采集的個人不良信息保存期限等。2022 年 1 月，中國人民銀行印發金融科技發展規劃（2022-2025

312、 年）（“規劃”），強調全面加強數據能力建設，在保障安全和隱私前提下推動數據有序共享與綜合應用，充分激活數據要素潛能，有力提升金融服務質效。2022 年 12 月，銀保監會發布銀行保險機構消費者權益保護管理辦法，并于 2023 年 3 月 1日正式實施。其中明確規定，銀行保險機構應當建立消費者個人信息保護機制，完善內部管理制度、分級授權審批和內部控制措施，對消費者個人信息實施全流程分級分類管控。2023 年 2 月，中國證券監督管理委員會發布證券期貨業網絡和信息安全管理辦法，并將于2023 年 5 月 1 日起施行。證券期貨業網絡和信息安全管理辦法對證券期貨業網絡和信息安全監督管理體系、網絡和

313、信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理與法律責任等方面提出了要求。（3）工業和互聯網領域2019年11月，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了 App違法違規收集使用個人信息行為認定方法，該辦法落實網絡安全法等法律法規，明確 App 違法違規收集使用個人信息的主要情形，可以為監督執法提供參考，也可以為企業履責合規指明方向，為網民社會監督提供依據。2021 年 3 月，國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定了常見類型移動互聯網應用程序必要個人信息范圍

314、規定（“個人信息范圍規定”），該規定明確了 39 類常見 App 的基本功能服務和必要個人信息范圍，這些 App 覆蓋了大眾衣食住行、學習工作等日常生活主要方面。個人信息范圍規定明確要求 App 運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務，在保障 App 正常運行的同時，保障了用戶對 App基本功能服務的使用權，以及對收集使用非必要個人信息的知情權和決定權。2022 年 12 月 8 日，工業和信息化部印發工業和信息化領域數據安全管理辦法（試行）（以下簡稱“管理辦法”），自 2023 年 1 月 1 日起施行。該辦法的發布標志著工業和電信數據邁向全面行業監管，對規范

315、工業和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據安全治理白皮書 5.056中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

316、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會數據開發利用，保護個人、組織的合法權益，維護國家安全和發展利益起著重要指導作用。具體而言：規范工業和信息化領域數據處理活動該辦法對在工業和信息化領域對國家數據安全管理制度要求進行了細化：一是對基本概念進行了明確。管理辦法第三條明確了工業和信息化領域數據處理者為工業和信息化領域數據處理者是指能夠在工業和信息化領域數據處理活動中自主決定處理目的、處理方式的各類主體；數據范圍包括工業數據、電信數據和無線

317、電數據等。處理活動包括數據收集、存儲、使用、加工、傳輸、提供、公開等。二是構建數據分類分級保護體系。管理辦法第二章規定了對工業和信息化領域數據進行一般數據、重要數據和核心數據分級的“三分法”，并在法規層面對各類數據的范圍進行了明確劃定，并針對各類數據明確了安全保護要求。包括工業和信息化領域的數據范圍、工業和信息化領域數據處理者；二是建立數據全生命周期安全管理制度。管理辦法第三章針對不同級別數據，從數據收集、存儲、使用、加工、傳輸、提供、公開等全命周期環節提出分級保護要求，并進一步規定了數據處理者的主體責任。加強數據安全管理，保障數據安全一是構建工業和信息化領域數據安全監督評價體系。管理辦法第四

318、條、第五條、第六條明確工業和信息化部負責督促指導，各地方行業監管部門負責開展數據安全監管，對工業和信息化領域的數據處理活動和安全保護進行監督管理。從而構建了“工業和信息化部、地方行業監管部門”兩級監管機制。二是明確重要數據和核心數據處理者安全保護義務。包括建立覆蓋本單位相關部門的數據安全工作體系、明確數據處理關鍵崗位和崗位職責以及建立內部登記、審批等工作機制等。三是建立數據安全監測預警與應急管理機制。管理辦法第四章要求工業和信息化部和地方行業監管部門分別建設國家層面的和本地區的數據安全風險監測預警機制，以及組織開展數據安全風險監測、預警信息發布、及時排查安全隱患等工作機制。促進數據開發利用一是

319、在自動化決策上，管理辦法第十六條規定，工業和信息化領域數據處理者利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪問控制。二是在數據共享上，第十八條規定，工業和信息化領域數據處理者對外提供數據，應當明確提供的范圍、類別、條件、程序等。提供重要數據和核心數據的，應當與數據獲取方簽訂數據安全協議，對數據獲取方數據安全保護能力進行核驗，采取必要的安全保護措施。三是在數據出境上，管理辦法第二十一條規定，重要數據和核心數據確需向境外提供的，應當依法依規進行數據出境安全評估。維護國家安全和發展利益一是在數據分類上，管理辦法將與國家安全相關的重點領域相

320、關的數據作為重要數據和核心數據分類的標準。二是在數據共享上，管理辦法第十九條規定，數據處理者應當在數據公開前分析研判可能對國家安全、公共利益產生的影響，存在重大影響的不得公開。三是規定了中央企業的數據安全保護義務。包括督促所屬公司按照屬地行業監管部門要求，履行重要數據目錄備案、風險信息上報等，并且要求中央企業應當全面梳理匯總企業集團本部、所屬公司的數據安全相關情況，數據安全治理白皮書 5.057中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信

321、聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會并及時報送工業和信息化部。（4）交通運輸領域2022 年 8 月，交通運輸部就公路水路關鍵信息基礎

322、設施安全保護管理辦法（征求意見稿）公開征求意見，進一步細化了公路水路關鍵信息基礎設施認定的考慮因素與責任部門，推動構建交通運輸主管部門依法管理、運營者實施主動防護、社會力量共同參與的綜合治理體系，更有效、更規范地推進公路水路關鍵信息基礎設施安全保護工作。同年 3 月，工信部、公安部、交通運輸部、應急管理部與國家市場監督管理總局聯合發布關于進一步加強新能源汽車企業安全體系建設的指導意見。要求企業要依法落實關鍵信息基礎設施安全保護、網絡安全等級保護、車聯網卡實名登記、汽車產品安全漏洞管理等要求。對車輛網絡安全狀態進行監測，采取有效措施防范網絡攻擊、入侵等危害網絡安全的行為。（5）醫療衛生領域202

323、2 年 8 月 29 日，國家衛生健康委、國家中醫藥局、國家疾控局印發醫療衛生機構網絡安全管理辦法。要求“各醫療衛生機構應履行數據安全保護義務，堅持保障數據安全與發展并重，建立健全個人信息保護和數據安全保護制度，建立本單位數據分類分級標準，加強數據全生命周期安全管理工作?！保?）電力領域2022 年 4 月 16 日，國家發展和改革委員會發布電力可靠性管理辦法（暫行），規定，電力企業應當落實網絡安全等級保護、關鍵信息基礎設施安全保護和數據安全制度，加強網絡安全審查、容災備份、監測審計、態勢感知、縱深防御、信任體系建設、供應鏈管理等工作；同年 12 月，國家能源局發布電力行業網絡安全管理辦法及電

324、力行業網絡安全等級保護管理辦法。對電力行業關鍵信息基礎設施運營者的安保責任進行了細化規定，要求電力企業主要負責人對關鍵信息基礎設施安全保護負總責，要明確一名領導班子成員作為首席網絡安全官，專職管理或分管關鍵信息基礎設施安全保護工作。國家能源局及其派出機構結合關鍵信息基礎設施網絡安全檢查，定期組織對運營有第三級及以上網絡的電力企業開展抽查。（7）物流領域2022 年 1 月，國家郵政局發布快遞市場管理辦法（修訂草案）（征求意見稿），該草案特別增加了有關個人信息保護的相關規定，包括要求經營快遞業務的企業應當建立用戶個人信息安全管理制度和操作規程，處理用戶個人信息活動符合法律、行政法規以及國務院郵政

325、管理部門的規定，并要求快遞企業應當合法處理用戶個人信息，采取加密、去標識化等安全技術措施保護快遞運單信息安全，不得完整顯示自然人身份信息。2023 年 2 月，國家郵政局發布寄遞服務用戶個人信息安全管理規定。根據寄遞服務用戶個人信息安全管理規定，寄遞企業應當建立健全寄遞服務用戶個人信息安全保障制度和措施，明確企業部門、崗位的安全保護責任，合理確定寄遞服務用戶個人信息處理的操作權限，定期對從業人員進行安全教育和培訓。寄遞企業應當對快遞電子運單單號資源實施全過程管理，并采用射頻識別、虛擬安全號碼、電子紙等有效技術手段對快遞電子運單信息進行去標識化處理，防止運單信息在寄數據安全治理白皮書 5.058

326、中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治

327、理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會遞過程中泄露。（8）廣播傳媒領域2022 年 5 月 30 日，國家廣播電視總局印發廣播電視和網絡視聽領域經紀機構管理辦法，明確要求廣播電視和網絡視聽領域經紀機構、經紀人員收集、處理、使用個人信息，應當遵守國家有關法律規定，對于廣播傳媒領域落實個人信息保護法中個人信息保護的要求有著重要指導意義。3.6.地方性法規我國各地方同樣在不斷探索數據安全治理的規則及模式，已出臺的 深圳經濟特區數據條例 上海市數據條例浙江省公共數據條例貴州省大數據安全保障條例等均在不斷深化我國的數據安全治理的模式，提出

328、了一些數據安全治理的新措施。3.6.1.創新數據安全治理新模式深圳經濟特區數據條例涵蓋個人數據、公共數據、數據要素市場、數據安全等方面，可以認為是國內數據領域首部基礎性、綜合性立法。在個人數據部分，深圳經濟特區數據條例明確規定自然人對其個人數據享有人格權益，細化個人信息處理、告知與同意、個人信息權利等的具體規則；在數據安全部分，深圳經濟特區數據條例明確數據處理全流程記錄、數據存儲進行分域分級管理、重要系統和核心數據的容災備份、建立數據銷毀規程等的要求。上海市數據條例涉及數據權益保障、公共數據、數據要素市場、數據資源開發和應用、浦東新區數據改革、長三角區域數據合作等重點內容，強調數據資源的利用與

329、開發，以及數據資源的合作，并通過明確數據安全責任制、開展數據處理活動所應履行的義務、健全數據分類分級保護制度等保障數據安全。此外，其他一些省市地區也制定了數據發展與安全促進相關的法律類文件。典型的包括天津市促進大數據發展應用條例 貴陽市大數據安全管理條例 重慶市數據條例 蘇州市數據條例等。3.6.2.提供公共數據治理的模式借鑒上述地方性法規也突出對公共數據的處理的保護，明確公共數據共享、利用的規則。這也為相關政務大數據共享、政務數據安全檢測及敏感數據防泄露等提供有益的指導。深圳經濟特區數據條例明確對公共數據進行分類管理，實行公共數據目錄管理制度，推動公共數據的共享，以共享為原則，以不共享為例外

330、，并構建公共數據共享、公共數據開放、公共數據利用的治理體系；上海市數據條例同樣建立公共數據共享和開放的機制，也特別規定了公共數據授權運營的模式，提高公共數據社會化開發利用水平；浙江省公共數據條例全面規定公共數據平臺、公共數據收集與歸集、公共數據共享、公共數據開放與利用、公共數據安全等的內容，數據安全治理白皮書 5.059中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全

331、治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會促進公共數據應用創新，保護自然人、法人和非法人組織合法權益，保障數字化改革。此外，廣東省首席數據官制度試點工作方案提出的政府首席數據官和部門首席數據官也體現出地方在公共數據資

332、源開發利用上的積極嘗試與探索。3.7.國家標準、行業標準及相關指南“安全發展，標準先行”，標準化工作是保障網絡數據安全的重要基礎。為落實國家出臺的數據安全相關法律法規要求，圍繞數據安全和個人隱私保護，全國信息安全標準化技術委員會及金融、電信、工業、互聯網等重點行業、地區頒布了一系列的國家、行業、地方技術標準及相關指南，對法律法規中較為原則性的規定給予了具體的指導。從防止數據泄露、保護個人權益、提升數據安全治理能力等多方面、多角度，提出細化的保護要求與防護措施，對指導各行業組織合法、合規的開展數據安全治理工作，促進數據充分利用、有序流動和安全共享，推動數字經濟發展具有重要意義。網絡數據安全標準體

333、系包括基礎共性、安全技術、安全管理、重點領域四大類標準：（1）基礎共性標準包括術語定義、數據安全框架、數據分類分級，相關標準為各類標準提供基礎性支撐；（2）安全技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等數據全生命周期維度對數據安全關鍵技術進行規范；（3）安全管理標準從網絡數據安全保護的管理視角出發，指導行業有效落實法律法規關于網絡數據安全管理的要求，包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等；（4）重點領域標準結合相關領域的實際情況和具體要求，圍繞移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能等重點領域指導行業有效開展網絡數據安全保護工作。具體內容參見附錄 E：我國主要數據安全相關標準匯總。數據安全治理白皮書 5.060中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信聯盟數據安全治理專委會中關村網信