筑牢个人信息保护防线, 提升数据安全治理与保护能力【安华金和】
作者:安华金和 发布时间:2023-06-07

随着互联网技术的发展和普及,数据获取、传输的途径都变得更加便捷,数据安全的风险成为国家、社会、企业、个人等多层面面临的突出问题,如何加强数据安全治理和个人信息保护成为当下迫切需要解决的主题。在日前举行的“第六届中国数据安全治理高峰论坛——数据安全治理与个人信息保护分论坛”上,与会专家共同研判前沿趋势,为各行业组织机构提升数据安全治理、个人信息保护能力提供借鉴。

1.jpg

全国信安标委副秘书长、中国电子技术标准化研究院网络安全研究中心副主任上官晓丽在致辞时表示,数据安全和个人信息保护要以合法合规为基础,需要科技创新和技术革新,形成良好的生态和强大的合力,并需要充分的履责和主动作为。数据安全和个人信息保护工作是一个系统化的复杂性工作,既需要我们不断创新,也需要我们潜心修炼。

1.jpg



标准助力构建治理体系

制度压实运营者主体责任


中国网络安全审查技术与认证中心网络安全审查二部主任陈世翔对个人信息保护认证制度做出详尽介绍。个人信息保护认证的对象是个人信息处理者开展的个人信息处理活动,认证申请主体应为个人信息处理者。个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督五个主要环节。数据安全管理认证和个人信息保护认证可以起到以下三方面的作用:发挥质量管理“体检证”作用;发挥数据流动“通行证”作用;发挥市场经济“信用证”作用。

认证制度是个人信息保护项下众多制度中的一个制度,要积极加强统筹,促进认证制度同其他制度衔接、采信;此外,还需加强能力建设,确保认证实施质量和认证有效性;积极跟踪国外认证制度,探索国际互认,促进国际交流互动。

1.jpg

北京理工大学法学院教授、全国信息安全技术标准化委员会委员洪延青在“生成式AI与个人信息保护关系初探”主题报告中谈到,算法和人工智能需要独立的归制,而不是完全仅从个人信息保护的角度出发。生成式AI与个人信息保护在预训练阶段、私有化部署、运营阶段密切相关,生成式AI可能会产生不利于个人信息保护的有害数据,通过技术黑盒等测评方法生成需要判别数据质量的训练数据,它所输出的数据、自身的模型是否可以看作个人信息仍有待探讨,这也将是数据安全未来发展的一个新征程。

图片

国家信息技术安全研究中心技术研究事业部副部长杨韬在“数据安全风险评估方法和要点探讨”主题报告中表示,数据安全风险评估在方法的角度包含个人信息安全/隐私影响评估,区别在于前者关注的对象更广,后者侧重于个人权益影响。信息安全风险评估与数据安全风险评估是交集关系,共同点在于评估对象均是资产,前者侧重信息系统资产,后者侧重数据资产(数据处理活动),不同点在于前者通过威胁、脆弱性进行风险分析,后者通过风险源(问题操作)进行风险分析。

数据安全风险评估的三个核心步骤为:风险识别、风险分析、风险评价,即通过风险事件的影响程度和它发生的可能性,来判断风险等级的高低,这是风险评估的基础方法。数据安全风险评估要点包含数据安全要素的识别、聚焦风险源等客观问题、开展风险评价与风险控制。数据安全风险评估定位是“主动发现、积极防范”,不仅是监管要求,也是能够帮助数据处理者改善和提升数据安全保障的重要手段。

1.jpg

中国电子技术标准化研究院网络安全研究中心数据治理方向负责人任英杰介绍,围绕《数据安全法》,可分为数据安全制度、数据安全与发展、数据安全保护义务、政务数据安全与开放、行业领域数据安全等五大标准化主题。

现有数据安全国家标准已发GB/T 35274—2017《大数据服务安全能力要求》、GB/T 37973—2019《大数据安全管理指南》、GB/T 37988—2019《数据安全能力成熟度模型》、GB/T 41479—2022《网络数据处理安全要求》、GB/T 39477—2020《政务信息共享 数据安全技术要求》、GB/T 39725—2020《健康医疗数据安全指南》、GB/T 37932—2019《数据交易服务安全要求》(修订中)、GB/T 31500—2015《存储介质数据恢复服务要求》、GB/T 29765—2021《数据备份与恢复产品技术要求与测试评价方法》、GB/T 42447—2023《电信领域数据安全指南》、GB/T 41871《汽车数据处理安全要求》,以及GB/T 42017《网络预约汽车服务数据安全要求》等6项网络平台数据安全标准,共17项标准。在研《数据分类分级规则》《重要数据识别指南》《数据安全风险评估》等9项标准。这些标准作为落实数据安全以及个人信息保护相关法律法规要求的重要抓手和举措,发挥了重要作用。

1.jpg

中国汽车工业协会数据分会执行秘书长滕添益在“汽车行业的数据生态建设”主题报告中表示,汽车企业在数据领域有四大挑战需要解决,一是数据体量不足,二是各个企业形成的数据孤岛没有有效打通,三是数据安全,四是数据价值变现。在数据安全方向,各企业均在开展数据安全合规和管理,并通过技术手段保障数据安全,我们呼吁各个企业更加重视数据安全工作,确保汽车产品的合规,推进数据能力建设,建立闭环能力,统一数据格式,进行分类分级的管理,推进数据资产化。

1.jpg

中国人寿财产保险股份有限公司系统运行部信息安全团队负责人刘思远分享了集团开展数据安全治理的实践经验。中国人寿财险公司依照《网络安全法》《数据安全法》《个人信息保护法》,金融行业相关要求,中国人寿集团相关制度,构建了包括《数据安全管理办法》《数据分类分级管理办法》《数据全生命周期安全管理办法》在内的信息安全制度体系,并参照中国人民银行《金融数据安全 数据安全分级指南》和《个人金融信息保护技术规范》,结合财险业务数据特点制定了分类分级标准,建立了数据安全分类分级目录。在分类分级工作的基础上,公司对敏感数据使用过程制定了分级管控与监控措施。随着各类数据安全技术引入完善,与数据分类分级形成有效联动,建立了基于数据分类分级结果的动态数据安全防护体系。2023年5月,中国人寿财险公司通过了国家数据安全能力成熟度评估3级认证,标志着公司在数据安全能力建设方面达到了一定的水平。

1.jpg

北京安华金和科技有限公司副总裁、工程技术中心总经理何晋昊在“数据安全治理体系落地实践的新思考”主题报告中表示,数据安全本身就是应对变化的过程,不应是简单的技术清单式的建设模式。数据安全建设面临意识、结构、技术的多重挑战,数据处理者和供应商需要共同努力践行“数据+安全”的这一融合的理念。正本清源,数据安全面对的是不断变化的场景、业务目标及业务活动,要把分类分级这一动态校验的过程作为建设数据安全的首要方法。数据安全规划,我们提倡全体系、全系统、全面覆盖,实际落地的时候一定是按照“微循环”理念,即解决数据的定义、识别、监测、防护,并构建支撑微循环的能力底座,包括数据安全技术、组织人员及管理制度,来支撑各类数据活动。其中我们首要需选准切入点及区域,在一个局部的区域中建立循环,以便应对万变的业务场景。

1.jpg




破解多元安全挑战

促进治理实践高效开展


我国持续建设、完善多层次数据安全治理制度,其落地实施情况成为当下备受关注的问题之一。国家信息技术安全研究中心技术研究事业部副部长杨韬谈到,从分类分级角度出发,相关法律法规和标准已经对其有了明确的阐释,对不同敏感程度或者可能发生数据安全事件后有危害影响的数据采取相应的保护措施,是分类分级制度的核心理念;在风险评估方面,国标《数据安全风险评估方法》正在制定,制定过程中存在需要进一步探索和明确基本原则方向的问题,尤其在影响程度和可能性的判断方面。需要强调的是,风险评估不仅仅是一项监管要求,也是组织自身提升能力的一个手段。此外,一定要注意数据流动性,流动性能反映组织处理数据的整体视角。

中国电子技术标准化研究院数据治理方向负责人任英杰从标准方面做出补充。国家分类分级标准是依据框架提出了相应的分级要素以及级别确定的规则,行业在具体实施中可以总结出适合各单位的分类分级规则和方法。此外,认证也是国家有关数据安全管理的重要制度,在个人信息保护领域,可参考个人信息保护认证标准开展自评估活动,从而发现自己的安全水位在哪里。作为质量管理的“体检证”、数据流动的“通行证”、市场经济的“信用证”, 很好诠释了认证在数据安全体系里的关键作用。

对企业侧而言,《数据安全法》、《个人信息保护法》的落地也面临着多重考验。中国人寿财产保险股份有限公司信息安全团队负责人刘思远表示,挑战可以用“大、广、高、少”这四个字来概括。“大”指阻力大,对于业务侧使用数据门槛较高;“广”指涉及范围较广,涉及系统的每个环节,交叉组合的面非常广;“高”指投入高,涉及到的设备、人力,以及所有的应用系统都要改造;“少”是人少,懂理念、懂分类分级、懂业务的人才较少,人才培养亟需加快。

山东高速信联科技股份有限公司研发中心总经理李斌表示,数据安全风险主要包括数据泄露、数据篡改以及数据丢失。如何解决呢?在落地时,数据安全、网络安全需要高度融合。在我看来,数据安全主要是认识的问题,即如何理解业务、如何对数据分类分级,分类分级是数据安全的核心工作;而网络安全更侧重从技术角度如何防止内外部对规则策略的破坏。

天融信科技集团工业领域数据安全专家李一鸣分享了如何应用新技术支撑保护隐私的同时让数据发挥更大价值。他强调,隐私计算技术可以帮助解决我们数据所有权的问题,实现的特定计算任务包含多方联合查询、多方联合运算、联合建模三个方面,此外它还可以帮助解决数据交易定价的问题,在保障数据所有权的情况下,能做到数据用量可控可计量的效果,通过量化的方式可以进一步方便数据的价值判断。

1.jpg

数据安全治理与个人信息保护论坛由中国电子技术标准化研究院主办、北京安华金和科技有限公司承办。