数据安全解决方案白皮书

数据安全解决方案白皮书

大数据已被视为国家基础性战略资源，各行各业的大数据应用正迅猛发展，但随之而来的数据安全问题也日益加剧，有时甚至限制了大数据应用的发展。基于此，无论是国家机关还是企事业单位，都在加紧数据安全体系的建设，甚至项目立项时就需要完成数据安全的设计。

第1章导读

1.1 背景

近年来数据安全事件频出，尤其个人隐私信息保护是行业关注的热点话题，GDPR法案的推出进一步推动了全球数据安全相关的法规和标准的建立和完善，企业的数据安全合规压力陡增，多数企业把数据安全摆在了整个信息安全体系提升的最重要的位置。然而，数据安全牵扯信息化各个层面的问题，在企业探究构建完善的数据安全体系时发现：数据安全体系建设是一项体系化工程，而非简单的技术工具运用，它是个复杂的大工程，从信息安全部门无法推动，尤其是一些IT建设有诸多历史问题的企业，达到法规和标准的合规要求，甚至要考虑信息系统的重构。当前，摆在企业信息安全管理者面前的问题是：如何平衡合规压力和无法改造的复杂业务和信息系统。企业应该构建哪些必备的模块化的数据安全能力，数据安全体系如何分阶段建设。

本白皮书基于数据安全能力图谱，通过客观、全面的对数据安全问题进行剖析，结合安全实践经验，提出数据安全建设思路和方法，旨在帮助企事业单位了解数据安全领域现状，理清数据安全体系建设思路。

1.2 国内法律法规现状

数据保护越来越成为各国关注的焦点，目前我国法律法规的核心是监管和规范企业或个人对于数据的相关行为，以防止滥用数据，以及监管跨境数据转移等内容，重点保障国家、企业、个人的利益。

1）个人信息保护相关的法律法规

《民法典》：第四篇第六章针对隐私权和个人信息保护做出了规定。今后除了严重侵犯公民人身权利、财产权利的重大违法犯罪行为应当依照《刑法》承担刑事责任（可以附带提起民事诉讼）外，对于一般的侵害个人信息权的侵权行为，任何自然人或组织均可以从侵权法的角度进行维权，以个人信息权被侵犯为由提起民事诉讼。《刑法》：2009年的《刑法修正案七》、2015年的《刑法修正案九》明确了任何单位、组织、个人违反有关规定，出售或向他人提供公民个人信息，情节严重的，都将构成犯罪。在2017年的《刑法修正案九司法解释》中，明确了公民个人信息的范围包括身份识别信息和活动情况信息，细化了非法获取、提供公民个人信息的认定标准，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，为司法实践中开展公民个人信息保护提供了强有力的支撑。《网络安全法》第四十条至第四十五条，对个人信息保护做出有关规定，明确了我国个人信息保护的基本原则和框架，网络运营者保护用户信息的义务，要求网络运营者对其收集的用户信息严格保密，建立健全的用户信息保护制度。此外，各行业主管单位也开始高

度重视个人信息的保护工作，出台专门的个人信息保护法律法规。工业和信息化部于2013年出台了《电信和互联网用户个人信息保护规定》（《电信规定》) ，对违反规定的行为应当承担的法律责任进行说明。2014年开始实施的《消费权益保护法》也在第二十九条中对个人信息保护做了明确规定。由国家互联网信息办公室发布，于2019年10月起实施的《儿童个人信息网络保护规定》明确了儿童信息保护的原则和框架。

2）数据安全法律法规

目前针对数据安全法律法规主要是《网络安全法》，其中第十、十八、二十一、二十七、三十一、三十四、三十七、六十六条分别对网络服务中的数据安全保护做了规定，涉及数据安全原则、目标、措施、义务和责任。依据《网络安全法》，各部委也做出了一些相关的法规进行细化完善。目前有2020年的《网络安全审查办法》、2019年的《数据安全管理办法（征求意见稿）》、2018年的《网络安全等级保护条例（征求意见稿）》。此外，已列入本届人大立法计划的《个人信息保护法》、《数据安全法》等法律将与《网络安全法》形成我国数据安全的法律体系。

1.3 持续发力数据安全领域

1）参与制定国家级、行业级规范

国内数据安全标准主要由全国信息安全标准化技术委员会（TC260）负责，围绕数据安全和个人信息保护两个方向，TC260已发布6项国家标准，在研标准10项。