电信和互联网行业数据安全治理白皮书发布

　　今年4月，中共中央、国务院在发布的《关于构建更加完善的要素市场化配置体制机制的意见》中，强调要“加快培养数据要素”，并将数据正式列为与土地、劳动力、资本、技术等传统生产要素并列的国家基础战略性资源和社会生产创新要素。

　　7月，中国软件评测中心发布《电信和互联网行业数据安全治理白皮书》（2020），白皮书以电信和互联网行业为锚，对数据治理的内涵、应用案例、发展形势，问题阐述、安全建议等人们关注的问题进行了深入的梳理和分析，较清楚的反映了数据治理的重点领域，对了解行业概况有着重要的参考价值。

　　一、白皮书发布背景

　　数据治理是近年来学术界、产业界共同关注的新热点。对数据治理的概念，目前国际上各组织机构尚未完全统一，但普遍认为，数据治理在提升企业的价值实现、国家治理能力、政府公共管理能力的重要组成部分，对经济行为、社会管理、公共服务等多个领域有着重要的意义，具有综合性、复杂性和长期性的特征。

　　在数据治理的基础上，Garner提出了数据安全治理的理念。数据安全治理聚焦于数据的安全属性，以“让数据使用更安全”为目的。在国际数据安全形势日益严峻的今天，数据安全治理迫在眉睫，而电信及互联网行业正是数据资源的强关联方，在数据要素市场具有不可替代的作用，此白皮书的颁布可谓恰逢其时。

　　目前，网络数据主要有两种分类方式。第一种是基于行业特点划分为基础数据和业务数据，基础数据主要包括个人及设备的标识数据、位置及行为的日志数据等，业务数据主要包括社交、电商、用户网络行为等相关数据；第二种是基于服务对象将数据划分为用户数据和企业数据，这个主要跟数据的产生主体相关，较为容易理解。

　　如今网络数据已经被应用于各行各业，如商家基于数据进行用户行为画像实现精准营销，大型企业借助大数据分析系统实现对网络攻击的实时感知预警、以及政府开展政务工作用户如缓解交通、防疫救灾等工作。可以说，数据安全正逐步上升到国家战略层面，某些数据安全事件极有可能发展为影响社会秩序、政治稳定、国家安全的非常事件。

　　二、白皮书内容摘要

　　① 数据安全治理形势及环境

　　随着电信和互联网数字化进程的迅猛推进，复杂的数据流极大模糊了传统数据安全的边界，使得传统基于边界的防护体系逐渐失灵；另外，由于新技术演进带来的攻击手段的多样化等原因，共同造成了近年来数据安全事件呈现出愈演愈烈的态势。

　　5月，美国电信巨头Verizon发布2020年数据泄露调查报告（DBIR）。报告显示，55%的数据泄露事件与有组织犯罪相关，其中，外部攻击占70%，企业内部攻击占30%；58%涉及个人数据泄露，72%的受害者为大型企业。

　　国际普遍认识到了数据安全治理的重要性。近年来，欧盟便通过了《通用数据保护条例》（GDPR）、《欧盟数据战略》、《2019网络安全法案》等多项法律法规，2019年1月，Google就因为违反了GDPR的透明性原则，收到5000万欧元的天价罚单；

　　美国加州于2018年通过第一部数据隐私法案《加州消费者隐私法案》，并于随后提出《数据保护法案》，联邦政府则于2019年12月发布《联邦数据战略与 2020 年行动计划》，描述了联邦政府未来 10 年的数据愿景，并确定了2020 年需采取的20 项关键行动。

　　不仅仅是欧美。2017年至今，日本、澳大利亚、越南、巴西等国也对数据的治理工作表现出极大的热情，纷纷出台了数据相关法律政策。同时，国际各标准制订组织的工作也取得了显著的成果，推出了一系列数据治理相关的国际标准。

　　国内的政策也恰逢其时。近年来，《国家安全法》、《网络安全法》、《电子商务法》、《密码法》等多部相关法律得以颁布并施行，另有《电信法》、《个人信息保护法》、《数据安全法》正在积极推进中。总体来说，国内诸般政策的推进，为国内数据安全治理的法治化提供了可靠的政策环境保障。

　　② 现实需求和治理框架

　　自今年3月，中央政治局会议强调加快5G 网络、数据中心等新兴基础设施建设以来，各地方政府纷纷公布新基建计划，各种新技术、新应用将迎来一波新的发展机遇。为避免因安全和数据黑产等问题造成巨大的经济和社会损失，数据安全保障措施的规划和保障建设至关重要。

　　对数据安全治理的重视，不仅是如上文介绍的来自安全发展的驱动，也有数据拥有者的期待。

　　据中国互联网络信息中心CNNIC第45次《中国互联网络发展状况统计报告》显示，截至2020年3月，中国网民规模已达9.04亿。同时，在线教育、在线政务、网络支付、网络购物等应用的用户规模较之去年涨幅超过了10%。在如此庞大的用户规模下，如用户个人姓名、身份证号、手机号码、家庭住址等一系列同个人权益密切相关的数据信息会被网络服务商所采集，公众则迫切的期待相应的体系化措施来保护其个人的数据安全。

　　在具体的治理框架上，中国软件测评中心网安中心提出了数据安全治理的体系框架，框架主要包括治理层、管理层、执行层和监督层四个层面，其中：

　　· 治理层：主要包括组织职能的架构设计，如决策管理审计等各部门的安排，以及制度建设和流程规范等；

　　· 管理层：基于治理层的决策和体系负责具体的建设，如各种规范类、组织类、流程类的活动；

　　· 执行层：将数据安全具体划分为行为、内容、环境等方面以支持管理层体系的落地执行；

　　· 监督层：主要对数据安全治理体系进行监督和评估，提交体系的运行情况和具体需求等，以促进体系的优化；

　　③ 实践对比与分析

　　在数据安全治理领域，国外已经有了一些典型的实践案例。比如微软早在2010年就提出针对隐私、保密和合规的数据治理（DGPC）框架，知名咨询机构Gartner也曾于2018年提出相应的数据安全治理（DSG）框架。DGPC主要依靠团队组织、文件流程、技术能力三个核心能力来开展工作，DSG的基本思路是对全生命周期的数据集进行识别、分类和优先级排序，进而明确配置数据安全策略并部署安全产品，持续定期检查功能的适用性。

　　与国外自下而上的趋势相对，国内的方式主要是自上而下。短期由网信办、工信部等部门明确开展数据安全保护治理和违法违法收集个人信息的专项治理，中长期则由工信部等部门牵头开展网络数据安全合规性评估，并加快完善企业数据安全管理制度及行业数据安全标准体系，这一过程受到相关法律法规的监督。

　　在官方的牵头下，国内企业如中国移动、阿里云等，都提出了针对大数据的治理方案。总的来说，国内外的数据安全治理标志性实践进程基本一致。Garner预测，到2021年将有超过 31%的企业实施数据安全治理架构，国内于2018年成立全国首个数据安全领域的专项委员会——数据安全治理委员会，并发布了《数据安全治理白皮书》。

　　虽然实践中成果显著，但也有一些不足之处。首当其冲便是顶层的驱动力不足，数据安全治理倘若仅依靠个别安全部门的推动，那进度实在太过缓慢了。此外，还存在数据安防的落后和侵犯用户权益等严峻的问题亟待解决。

　　三、写在最后

　　毫无疑问，为更好的开展数据安全治理工作，企业应该以国情政策、行业法规、市场现状为基础，建立明确的数据安全治理体系框架，正视数据安全的组织建设；对监管部门来说，应制定精细化的数据分类分级制度，低级别、权属相对清晰的数据可以优先进入市场，而高级别的数据则需配备相应安全保护措施。

　　八分量自创建以来，以技术标准化输出为核心，与市场顶端资源构建行业解决方案，面向渠道输出成熟的可复制产品。目前已有可信安全、可信区块链、可信节点等三条产品线推向市场，用以保障企业数据的完整可用，在金融（含银行和证券）、公安、政府等三个行业得到认可和应用。下一步，八分量将与合作单位、业界同仁、专家学者一起，深度结合可信计算、区块链等技术，为数据安全治理的健康发展贡献力量。