《2024企业数据安全风险管理指南.docx》由会员分享,可在线阅读,更多相关《2024企业数据安全风险管理指南.docx(89页珍藏版)》请在三一办公上搜索。
1、企业数据安全风险管理指南目录1数据安全政策和背景91.1 数字经济发展现状91.2 数据安全政策现状132据安全风险管理262.1 数据生命周期处理活动概述262.2 数据安全风险概述282.3 数据安全风险影响分析302.4 数据安全风险管理的必要性333数据安全风险管理343.1 数据安全风险管理框架343.2 数据安全风险管理规划363.3 数据处理活动管理393.4 数据安全风险评估443.5 数据安全风险处置503.6 数据安全风险监督改进513.7 数据安全风险沟通与评审574企业数据安全风险管理典型实践604.1 企业数字化建设背景604.2 企业数据安全风险管理实践62附录A:
2、数据安全风险赋值表67A.1数据重要程度赋值表67A.2脆弱性可利用性赋值表67A.3威胁动机赋值表67A.4威胁能力赋值表68.5威胁发生频率赋值表68附录B:数据安全风险管理工具模板698.1 数据清单698.2 数据处理活动场景清单698.3 已有安全措施清单708.4 脆弱性清单708.5 应用场景脆弱性严重程度708.6 数据脆弱性严重程度708.7 数据脆弱性可造成的损失708.8 数据安全威胁清单718.9 风险清单71Bl()数据风险值计算结果清单71BJl风险处置建议清单71附录C:数据安全风险分析资料清单71C.1常见脆弱性示例71C.2数据安全威胁与脆弱性的利用关系示例8
3、1C.3数据安全风险等级划分参考表94C.4数据安全风险评估报告参考模板951数据安全政策和背景1.1 数字经济发展现状1.1.1 数字经济的概念界定和分类范围进入数字经济时代,世界各国对数据的依赖快速上升,数据已成为国家基础性战略资源,对社会生活方式、经济运行机制、国家治理能力等产生重要影响。数字经济,是指以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。“十三五”期间,我国数字经济增长主要体现在网上购物、移动支付、在线教育、短视频等领域。“十四五”规划纲要中明确指出,进一步发展云计算、大数据、物联网、工业
4、互联网、区块链、人工智能、VR与AR、数字社会建设等七大数字经济重点产业,意味着数字经济正在成为国家的重点发展对象。根据国家统计局发布的数字经济及其核心产业统计分类(2021),数字经济产业范围被确定为:1数字产品制造业、2数字产品服务业、3数字技术应用业、4数字要素驱动业、5数字化效率提升业等5个大类。数字经济核心产业是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案,以及完全依赖于数字技术、数据要素的各类经济活动。分类中1-4大类为数字经济核心产业:主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等,是数字经济发展的基
5、础;第5大类为产业数字化部分,指应用数字技术和数据资源为传统产业带来的产出增加和效率提升,是数字技术与实体经济的融合。如图1所示:er钝济及其核心产业统计分类(2021)图1数字经济及其核心产业统计分类图1.1.2 我国主要区域相关政策和发展目标目前,我国各省市已陆续出台数字经济相关规划、行动计划、指导意见等,涵盖数字经济、制造业与互联网融合、智慧城市、数字政府等领域,持续推动数字经济战略政策落地实施。2021年我国各省市共出台216个数字经济相关政策,其中,32个顶层设计政策、6个数据价值化政策、35个数字产业化政策、54个产业数字化政策、89个数字化治理政策。我国数字经济发展具有区域聚集特
6、征,京津冀、长三角、珠三角、川渝等区域成为我国数字经济发展的核心区域,这些区域的数字经济发展目标在相关政策文件中基本明确,如表1所示:表1各区域数字经济发展目标表省(市)所属区域政策文件发展目标北京京津冀北京市促进数字经济创新发展行动纲要(2020-2022年)打造成为全国数字经济发展的先导区和示范区;到2022年,数字经济增加值占地区GDP比重达到55%o天津天津市促进数字经济发展行动方案(2019-2023年)到2023年,数字经济占GDP比重全国领先,力争把滨海新区打造成为国家数字经济示范区。河北河北省数字经济发展规划(2020-2025年)到2022年,基本形成以大数据产业、制造业数字
7、化、服务业数字化、电子信息产业为支撑的数字经济发原格局;到2025年,全省电子信息产业主营业务收入突破5000亿元。上海长三角关于全面推进上海城市数字化转型的意见到2025年,上海全面推进城市数字化转型取得显著成效,国际数字之都建设形成基本框架;到2035年,成为具有世界影响力的国际数字之都。浙江浙江省国家数字经济创新发展试验区建设工作方案到2022年,浙江数字经济增加值要达到4万亿元以上,占全省国民经济生产总值比重超过55%,基本建成全国领先的数字政府先行区、数字经济体制机制创新先导区、数字社会发展样板区、数字产业化发展引领区和产业数字化转型标杆区。江苏关于深入推进数字经济发展的意见以建设数
8、字经济强省为总目标,全力打造具有世界影响力的数字技术创新、国际竞争力的数字产业发展、未来引领力的数字社会建设和全球吸引力的数字开放合作“4”大高地。广东珠三角广东省培育数字经济产业集群行动计划(2019-2025年)建成“国家数字经济发展先导区”,力争2022年数字经济规模达7万亿元,占GDP比重接近55%o深圳深圳市数字经济产业创新发展实施方案(征求意见稿)到2022年,全市数字经济产业增加值突破2400亿元,年均t触15%左右;努力建成全国领先、全球一流的数字经济产业创新发展引领城市。佛山佛山市推动数字经济发展实施方案2035年全市数字经济总体规模达2万亿元,努力将佛山打造成全国数字经济发
9、展标杆城市之一。重庆川渝重庆建设国家数字经济创新发展试验区工作方案力争到2022年,数字经济总量达到万亿级规模,占GDP比重达到40%以上。四川国家数字经济创新发展试验区(四川)建设工作方案力争到2022年,全省数字经济规模超过2万亿元,占GDP比重达到40%o成都成都市推进数字经济发展实施方案到2022年,基本形成较为完善的数字经济生态体系,数字经济重点领域产业规模超过3000亿元。1.13数字经济时代的数据安全治理数据已经成为数字经济时代发展的核心生产要素,数据的安全保护和合法共享也被视为数字经济发展的重大挑战。从产业发展规律来看,数据安全作为新兴产业,仍面临制度体系、技术和管理体系、产品
10、体系、标准体系、人才体系、评价体系、生态体系等不完备的问题,对产业及企业发展形成诸多制约。现阶段,国家、行业主管部门的法律法规不断出台,产业、行业的标准规范也在加紧编制、发布,以数据安全合规和数据安全治理为主题发布的白皮书层出不穷,为各行业落实数据安全法律法规要求和初步试行数据安全治理提供了有效的参考和依据。但是,由于数据确权、敏感数据识别、数据流转保护等法律、技术难题的客观存在,从具体行业应用场景来讲,有效、可靠、方便、可负担的解决方案还是不够。本白皮书以企业数据处理者视角切入,从企业的合规遵循需求、业务发展需求、风险防控需求出发,尝试给出数据生命周期的风险管理方法和运营方案,以保障企业数字
11、化转型的顺利开展,促进数字经济的进一步发展。1.2数据安全政策现状国家竞争焦点正从土地、人口、资本、资源的争夺转向对数据的争夺。未来国家层面的竞争力将部分体现为一国拥有数据的规模、开发利用以及掌控的能力,“数据主权”将成为继边防、海防、空防之后另一个大国博弈的空间。发达国家和领先的发展中国家都在快速布局和完善数据安全政策和法规,以避免在数字经济发展中落后、受困。1.2.1 国内数据安全政策现状和趋势1.2.1.1 法律法规近年来,我国网络安全法数据安全法个人信息保护法等数据安全相关法律法规的相继颁布,为数据安全建设提供了制度支撑和法律保障。2015年7月1日,我国公布并施行了国家安全法,并提出
12、“维护国家网络空间主权、安全和发展利益”,为后续数据安全法等针对性法律的出台,奠定了基础。2017年6月1日,网络安全法施行,提出“采取技术措施和其他必要措施,维护网络数据的完整性、保密性和可用性”。2020年1月1口,密码法施行,为规范密码应用和管理、促进密码事业发展、保障网络与信息安全,提供有效法律支撑。2021年,民法典数据安全法个人信息保护法相继施行,标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道,重要数据及个人信息保护成为时代需求。从“五法一典”的发布进程来看,我国数据安全政策体系经历了从草创到完善的过程,数据安全领域的基础法规架构已初步构建完成,数据安全产业从此进
13、入新的发展快车道,迎来发展的黄金期。1.2.1.2 地方政策从地方维度看,广东省在数据安全立法方面,出台相关政策最多,高达7项;浙江省紧随其后,出台相关政策5项;其次是贵州省、山东省、江苏省、山西省等地区。此外,北京、上海、天津等数据要素市场化进程较深入的直辖市,均有出台相关政策。而地方性政策的发布时间,主要集中在2019年、2020年和2021年。近几年作为我国工业经济向数字经济迈进的关键时期,地方致力于促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好融入新发展格局,并以“数据”为中心,积极出台针对性政策条例。目前比较有代表性的地方性数据安全政策有深圳经济特区数
14、据条例和上海市数据条例等,这些地方性安全政策的不断出台,将为地方推动数字经济更好服务和融入新发展格局,奠定基础。中国各省份、直辖市,乃至主要城市,在未来几年内,将会陆续出台更多地方性数据安全相关政策,以保障地方在数据要素市场化以及数字化转型过程中数据的安全。1.2.1.3 行业政策从行业维度看,适用全行业的数据安全政策数量较多,为整体上落实数据安全措施提供多场景规范性指导作用。此外,从行业属性出发,政府领域因其行业特性,数据价值度高、敏感性强,针对数据安全的相关要求更高,成为出台数据安全政策数量最多的领域;互联网因为涉及大量用户个人信息,对数据安全也有较高要求,其次是金融、工业、医疗、教育、交
15、通、电信等行业,其相关政策数量分别为74项、36项、25项、17项、15项、9项、8项、7项、6项。数据安全政策分布图2数据安全行业政策分布从政策数量分布来看,数据安全政策的覆盖范围并不仅仅是政府、互联网等行业,而是全行业、全场景、全方位的。但由于数据安全治理和企业的业务运营高度相关,数据流转应用的场景和问题乂纷繁复杂,如何更好地既符合法规、政策要求,又满足企业业务发展,仍需要进一步细化的业务场景化的示范指南、标准规范来进一步支撑。12L4发展趋势中央关于“十四五”规划和二。三五年远景目标建议明确提出建设网络强国、数字中国,发展数字经济,建立数据安全保护基础制度和标准规范,保障国家数据安全。一
16、是数据安全产业政策环境进一步完善。“十四五”大数据产业发展规划对推动数据安全产业发展做出明确部署。数据安全法出台后,网络数据安全管理条例(征求意见稿)工业和信息化领域数据安全管理办法(试行)等数据安全相关行政法规、部门规章也陆续公开征求意见,催生数据安全产品和服务市场需求不断攀升,助推数据安全产业繁荣发展。二是数据安全标准体系进一步健全。安全发展,标准先行,标准化工作是保障数据安全的重要基础。2020年,工业和信息化部印发电信和互联网行业数据安全标准体系建设指南后,满足行业监管需要、符合行业发展需求的数据安全标准体系逐步健全完善。三是数据安全人才培养持续稳步推进。2022年4月,在工业和信息化
17、部网络安全管理局指导下,中国信通院、中国互联网协会发起“电信和互联网行业数据安全人才强基计划”,分阶段、分重点有序推进数据安全人才培养核心能力建设,面向紧缺岗位开展数据安全人才培养与能力认定,建设素质优良的行业数据安全人才库。四是数据安全产业生态协同机制逐渐形成。近日,在工业和信息化部网络安全管理局的指导下,中国互联网协会成立数据安全与治理工作委员会,积极发挥平台作用,助力技术创新和产业发展。1.2.2 国外数据安全政策总体情况各国数据保护法律法规主要围绕数据提供者、数据基础设施提供者、数据服务提供者、数据消费者、数据监管者等参与方,目的是将数据保护范围、各参与方对应的权利和义务、相关行为准则
18、等要点界定清晰。表2列举了美国、欧盟、澳大利亚、俄罗斯、新加坡等国已制定或发布的数据保护相关法律法规,这些国家的数据安全法律法规分为两类:一是制定专门的数据保护法律法规,并明确相应的数据安全管理部门,如欧盟、俄罗斯、新加坡等。其中,俄罗斯有关数据安全的主要法律是个人数据保护法窠,涉及到的主要监管部门是俄罗斯电信/信息技术和大众传媒联邦监管局。新加坡有关数据保护的主要法律是个人数指保护法令(PDPA).同时,为了执行个人数据保护法令,新加坡专门成立了个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。二是数据保护的相关要求分散地体现各国各项法律法规及部门规章的相关条款中,但尚未颁布数据
19、保护的专门法律法规,也未设置相应的管理部门,如美国、澳大利亚等。表2国外数据保护相关法律规范国家/地区法律法规名称条款内容生效时间美国隐私法案针对联邦行政部门收集、利用和保护个人数据等方面做出规定,适用于美国公民和在美国取得永久居留权的外国人。侧重四个政策目标:1)限制披露各机构保存的个人信息记录;2)限制披露各机构保存的个人信息记录;3)授予个人修改信息记录的权利;4)要求政府机构遵守收集、维护和公开记录的法定规范。1974年12月美国国会通过电子通信隐私法详细规定了执法机关访问电子通信和相关数据的标准,不仅针对动态传输的有线、口头与电子通信保护作出具体规定,还规范了对静态存储的电子通信的安
20、全保障要求,协碉国家安全与个人隐私、通信秘密保障之间的冲突。包括“笔式记录器法”“窃听法”“存储通讯法三个主要章节。1) “笔式记录器法”针对执法机关利用笔式记录器或类似的追踪记录设备,记录或解码由传输有线或电子通信的仪器或设施传输的拨号、路由、寻址或信令信息的设备或过程,但该等信息不包括任何通信的内容;2) “窃听法”管理实时性拦截通过线路进行传输的通讯,并将范围扩大到电子通信;3) “存储通讯法”涉及对存储的有线和电子通信或账户记录的访问和披露,特别的是这部分首次界定了“电子储存”的概念。1986年美国国会制定计算机欺诈和滥用法鼓励研究者出于公共利益去根除漏洞,为善意的安全研究人员提供明确
21、的规定以促进网络安全的发展。列举了获取国家安全信息、泄露机密、侵入政府电脑、获取欺诈和获取价值、损坏计算机或信息、贩卖密码、威胁要损坏计算机七类犯罪活动,以及“侵入计算机的局外人”“超出其授权范围的入侵者”两种违法情形。1986年10月16日美国总统R.里根签署澄清海外合法使该法案提出,无论服务提供者的通信、记录2018年3月用数据法案或其他信息是否存储在美国境内,只要相关通信内容、记录或其他信息为该服务提供者拥有、控制或者监管,均应当按照法令要求,保存、备份、披露。该法案打破了以往跨国数据类证据调取过程中遵循的数据属地管辖模式,构建了一套全新的以数据控制者实际数据控制权限为衡量依据的标准框架
22、。该法案单方面赋予美国政府对全球绝大多数互联网数据的“长臂管辖权”,有关人士指出,这是美国政府对他国数据主权的挑衅,不仅侵犯个人隐私,而且与多国立法存在冲突,威胁到跨国企业的互利合作。该法案主要规定包括:1)美国政府证据调取范围、2)明确服务提供者域外司法协助义务、服务提供者域外司法协助义务的例外、外国政府向美国企业请求获取数据的司法协助等。23日美国国会通过消费者隐私法案2018年6月,美国加利福尼亚州州长签署公布消费者隐私法案(CaIifomiaConsumerProtectionAct,CCPA),并于2020年1月1日生效。CCPA为消费者控制个人信息提供了合法途径,被认为是全美当前最
23、严格的隐私立法。尽管,CcPA是一部专门针对加州消费者的隐私保护法律,但加州的经济体量与科技创新实力居于世界领先,因此该部立法的意义深远超出其原本的立法层级,对其他州的立法进程起到重要标杆作用。CCPA的主要内容包括法案出台的背景、消费者的权利、企业的义务以及法案中用语的详细解释四个部分。消费者隐私法案规定,一旦企业违反隐私保护要求,将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的罚款。2018年6月美国加州州长签署2020年1月1日生效关于加强国家网络安全的行政命令行政命令旨在采用大胆举措提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力,是
24、美国政府对SOIarWindS供应链攻击、微软Exchange漏洞攻击,以及ColonialPipeline输油管道等一连串备受瞩目的重大网络安全事件的响应。2021年5月12日美国总统拜登签署行政命令包括九个部分的内容:政策、移除威胁信息共享的障碍、联邦政府网络安全现代化、增强软件供应链的安全、成立网络安全审查委员会、联邦政府网络安全漏洞和事件应急响应标准化、加强联邦政府网络中网络安全漏洞的检测能力、加强联邦政府网络安全事件的调查、修复能力、国家安全系统。消费者数据保护2021年3月2日,美国弗吉尼亚州州长拉2021年3月2法尔夫诺森(RalphNortham)签署了消费者数据保护法,于20
25、23年1月I日生效。这一法案的出台,使得弗吉尼亚州成为美国第二个具备数据隐私立法的州。CDPA参考借鉴了加州CCPA以及欧盟GDPR的成果,在推进企业保护消费者数据隐私、赋予消费者相关权利等方面更为完善。CDPA除了赋予消费者访问、更正、删除和获取个人数据副本的权利外,还明确消费者享有自由选择出售自身个人数据以及允许自身个人数据用于定向广告或分析决策的权利。日美国弗吉尼亚州州长*署2023年1月1日生效统一个人数据保2021年8月,美国统一法律委员会投票通2021年8月护法过了UPDPA,这是一项旨在统一各州隐私立法的示范法案,于颁布之日起180日生效。UPDPA基于数据实践有利于或不利于数据
26、主体的可能性,对“兼容”不兼容和禁止的数据实践做出区分;对假名数据提供宽泛的豁免。UPDPA主要内容包括:适用范围,个人数据主体所持有的个人数据,个人数据主体的访问权和更正权,假名数据,兼容、不兼容和禁止的数据实践,收集控制者、第三方控制者和实践者的责任,自愿共识标准,执行和规则制定。该法适用于在该州范围内的由数据控制者或者数据处理者开展的活动,包括商务、生产产品或者是为本州居民提供服务。美国统一法律委员会投票通过颁布后180日生效欧盟个人数据自动化处理中的个人保护公约108号公约是世界上第一部关于数据保护的国际公约。旨在确保在每个缔约方在其管辖范围内的公民,不管其国籍或居住地,在对其个人数据
27、进行自动化处理过程中得到保护,尊重其权利和基本自由,特别是对于隐私权方面的尊重。108号公约(2018年版)由一般规则、数据保护基本原则、个人数据跨境流通、监管机构、相互协作、公约委员会、公约修正案、最后条款等八章节、32条款构成。建立了有关个人数据保护的基本原则以及各缔约国之间的基本义务,并将对个人基本自由与权利的保护作为缔约国履行条约规定的国家义务的出发点。此外,公约委员会的建立,在一定程度上建立起了针对个人数据保护的多国合作框架。1981年欧洲委员会通过关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC/号指令95指令直接以指令而非条约的形式要求各成员国完善数据保护立
28、法,致力于协调各国对自然人在数据处理领域的基本权利和自由的保护,消除个人数据在共同体内部自由流通的障碍。首次提出知情同意原则,将“数据主体已明确表示同意”作为数据处理的合法条件之一;采用统一立法模式,规定建立独立的数据保护机构,是个人信息保护法中主张域外效力的典型代表。95指令包括72条序言和34条条款,旨在提高欧洲个人信息保护法律的统一程度,弥补1980年出台的第108号公约,虽对成员国具有约束力,但真正执行国家并不多,实施效果也存在差异的现实情况,进而应对高速发展的信息技术时代带来的保护个人数据权利、消除法规不一所造成的数据流通障碍的双重挑战。1995年10月24FI通过通用数据保护条例2
29、016年4月14日,欧洲议会和欧盟理事会通过了通用数据保护条例,简称GDPR,于2018年5月25日正式生效。GDPR被称为“史上最严隐私法案”。一方面,GDPR赋予了个体用户对于自身数据更多的自主权和选择权;另一方面,GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则,有力地推进欧盟数字单一市场的建立。GDPR具有域外效力管辖权设计,全球企业都可能受到GDPR的管制,GDPR同时设2016年4月14日通过2018年5月25日生效立数据保护官等制度辅助企业义务的履行以及监督机构的监管。GDPR在95指令的基础上重新制定,共计11章99条,相较于仅34条的95指令来说,做出了多达
30、3500处具体修改,GDPR生效的两年后95指令被废止。同时,GDPR整合了之前的隐私保护指令、电子通信隐私保护指令以及欧盟公民权利指令等,通过统一欧盟法规来协调整个欧洲的数据隐私法律,保护所有欧洲公民免受隐私侵犯和数据泄露的侵害,并简化国际业务中对于数据隐私的监管方式。非个人数据自由流动条例条例旨在统一有关非个人数据的自由流动规则,与已经实施生效的GDPR形成数据治理的统一框架,以此平衡个人数据保护、数据安全,推进欧盟在单一数字市场战略下打造富有竞争力的数字经济。条例包括39条序言和9条条款,从禁止数据本地化与推动发展新技术两方面,规范非个人数据流动。条例界定了非个人数据的范畴,即为GDPR
31、中界定的个人数据(任何已识别或可识别的自然人相关的信息)以外的数据;明确非个人数据在欧盟境内跨境流动的规则,为整个欧洲的数据存储和处理设定了框架,禁止数据本地化限制;允许有权机关为根据欧盟法或国家法履行其职责要求获取数据访问的权力,有权机关对数据的访问不得以数据在另一成员国处理为由受到拒绝:鼓励和促进欧盟层面自律性行为守则的制定,其以透明性和交互性原则为基础,合理考虑开放标准,保障数据转移和数据服务商自由转换。2018年11月14日颁布2019年5月28日生效数据治理法案法案的出台,被视为落实欧洲数据战略所采取的重要立法举措,一定程度上强化了欧盟对于公共数据的赋能,为欧洲新的数据治理方式奠定了
32、基础。法案构建了三项适于各个行业的数据共享机制:1)公共部门数据再利用机制;2)数据中介机构及通知制度;3)数据利他主义制度。法案共九章38条,包括一般规定、重复使用公共部门机构持有的某些类别的受2021年11月25日欧盟委员会发布2022年4月6日批准生效保护数据、适用于数据中介服务的要求、数据利他主义、主管当局和程序规定、欧洲数据创新委员会、国际访问和转移、授权和委员会程序、最终和过渡条款。法案明确了公共部门数据再利用条件。允许自然人或法人在公共部门所提供的安全处理环境中访问并再利用公共数据。法案针对可以被再利用的数据进行敏感性方面的限制,要求开展数据再利用的公共部门具有技术设备上的相关保
33、障,各成员国必须设立一个单一联络点,支持研究人员和创新企业使用数据,以及必须建立能够通过技术手段和法律援助对公共部门进行支撑的数据再利用体系。公共部门机构应施加条件,以保持所使用的安全处理环境的技术系统功能的完整性。法案倡议建立非营利性质的“数据中介机构”,为公共数据空间提供基础设施。数据中介机构需要在指定的主管当局进行备案。德国联邦数据保护法联邦数据保护法旨在通过数据保护实现一般人格权的保护,同时强化个人信息自决权理论,这意味着德国将个人数据保护的法律站位上升到落实宪法(即德国基本法的高度而不是简单的政府执法工作。该法使德国数据保护法律制度与欧盟2016年颁布的通用数据保护条例(GDPR)和
34、关于有权机构在预防、调查、侦察或批捕犯罪嫌疑人或执行刑事处罚中自然人保护和有关数据自由流通的指令相互衔接。联邦数据保护法的主要内容为:1)法律主旨优先处理欧洲法而非国内宪法;2)保护的直接客体并非一般意义上的数据,而是与个人具有关联性的个人数据;3)立法目标和保护客体决定了该法保护权益的特殊性;4)明确侵犯公民个人信息自决权行为的犯罪构成要件和罚则。1977年德国联邦议会出台最新修订于2019年11月IT安全法2021年5月28日,德国联邦议院颁布IT安全法2.0版本,旨在保护重要基础设施数据安全,通过弥补法律漏洞并扩大监管框架,以提高德国IT系统的安全性,并加强国家安全。2021年5月28日
35、颁布IT安全法的主要内容为:1)扩大联邦信息安全办公室(BSD的权限;2)加强对数字消费者的保护;3)新增制造商、供应商和关键基础设施部门的义务;4)对跨国传输要求设置官方查询联络点;5)对有关罚款的规定进行修订。澳大利亚隐私法隐私法于1988年颁布,是个人信息保护的一项法律,其三个特点为:1)APP实体必须采取合理措施保护个人信息免遭滥用、侵犯和丢失,以及未经授权的访问、修改或披露,并在收集个人信息的目的不再需要时销毁或取消其身份。2)制定了有关收集、管理、处理、使用、披露和以其他方式处理个人信息的要求。3)向境外传输个人信息之前,APP实体必须采取合理措施,确保海外接收方不会违反与该个人信
36、息有关的APPo隐私法的原则是对于有关个人信息的操作管理设定概括性的标准,它所适用的情形包括:个人信息的收集(例如,填写表格);个人信息的使用和透露;个人信息的准确性;个人信息持有的安全性;个人取阅个人信息的权利等等。1988年颁布电信法电信法于1997年颁布,确立了执法和情报部门要求私营部门提供针对加密技术的自愿性和强制性技术协助的法律框架。被纳入国家关键基础设施范围内的电信运营商按照电信安全改革框架,采取措施全面提高网络安全水平。电信法共计包括四个附表,附表一为标准运营商许可条件包括十个章节88条,附表二为标准服务提供商规则包括六个章节20条,附表三为承运人的权利与豁免包括三个章节63条,
37、附表四ACMA可审查决定包括两个章节。1997年颁布俄罗斯俄罗斯联邦个人数据法俄罗斯联邦个人数据法颁布于2006年7月27日,是个人信息保护领域重要法律,也是数据与信息安全法律制度体系中主要法律准则。其两个特点为:2006年7月颁布最新修订于1)个人信息匿名化处理条件。个人信息的匿名化只能在获得个人同意的情况下进行,或者在俄罗斯联邦法律在个人数据领域中规定的其他情况下才能进行。2)强化数据安全,保护数据主权。在跨境数据流动方面,实行严格管控制度,推行数据本地化制度其中包括隐私保护、维护网络安全、便利执法等具体监管目标,并且要求开始跨境传输个人数据之前,处理者有义务确保在个人数据传输到的外国国家
38、对个人数据主体的权利提供充分的保护。2020年12月1()日,俄罗斯联邦会议国家杜马发布俄罗斯联邦个人数据法修正案,进一步明确公共个人数据处理规则,旨在建立保护个人数据主体权利和自由的机制。2020年12月10日新加坡个人数据保护法新加坡的数据保护法律体系以2012年通过的PDPA为主.PDPA承认个人有权保护其个人数据,而各组织则需要为一个合理的人在这种情况下认为适当的目的而收集、使用和披露个人数据。为了更好地执行PDPA,新加坡个人数据保护委员会(PDPC)出台了一系列条例及指引,包括:2021年2021个人数据保护条例、2021年个人数据保护(数据泄露通知)条例2021年个人数据保护(违
39、法构成)条例、2021年个人数据保护(执行)条例、2013年个人数据保护(请勿致电登记处)条例等。此外,PDPC还发布了咨询指南,用以解释PDPA以供企业合规参考。PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体,无论该等自然人或实体是否依据新加坡法律设立,是否为新加坡居民或居民企业,或是否在新加坡具有办事处或营业地,只要以上自然人或实体具备以下数据处理行为,均适用于PDPAo2012年通过韩国个人信息保护法PIPA颁布时间为2011年3月29日,作为韩国管辖权范围内具有统一性、一般性、专门性的个人数据保护法律。对个人信息保护的基本原则、个人信息保护的基准、信息主体的权利保障
40、、个人信息自决权的救济等问题作出了全面的规定。具有以下4个特点:1)明确数据跨境流动的多种渠道;2)建立隐私政策审查机制;3)引入数据可携权;4)对于自动化决策的拒绝权和解释权。PlPA主要包括十章节76条,主要包括个人信息保护原则、数据主体权利、国家责任和与其他法律关系、隐私策略制定、个人信息处理和安全管理、数据主体权利保障、信息通信服务提供者等处理个人信息的特殊情况、个人信息纠纷调解委员会、个人信息集体诉讼等,规定了个人信息的管理、个人信息的安全措施、信息主体的权利保障、个人信息的团体诉讼等制度,旨在保护所有公民的个人信息权益,以防信息收集、泄露、不当使用与滥用。法律的适用范围涵盖公共与私
41、人部门管理的一切个人信息,通过规定与个人信息的处理和保护有关的事项,保护个人的自由和权利,实现个人的尊严和价值。2011年3月29日颁布最新修订于2020年2数据安全风险管理概述2.1 数据生命周期处理活动概述ZLl数据生命周期定义的思考在GB/T35274-2017信息安全技术大数据服务安全能力要求中对“数据生命周期(datalifecycle)”定义为:数据从产生,经过数据采集、数据传输、数据存储、数据处理(如计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。该标准中的“数据生命周期(datalifecycle)”概念与GB/T35295-2017信息技术大数据术语中
42、“数据生存周期(datalifecycle)”概念是一致的。GB/T35295-2017将“数据生存周期(datalifecycle)”定义为“将原始数据转化为可用于行动的知识的一组过程”,但是并没有给出具体的过程描述。在GBZT37988-2019信息安全技术数据安全能力成熟度模型中沿用了“数据生存周期”的概念,并定义了6个阶段,其命名与GBT352742017完全一致。GB/T37988-2019对数据生存周期6个阶段的具体说明如下: 数据采集:组织内部系统中新产生数据,以及从外部系统收集数据的阶段; 数据传输:数据从一个实体传输到另一个实体的阶段; 数据存储:数据以任何数字格式进行存储的
43、阶段; 数据处理:组织在内部对数据进行计算、分析、可视化等操作的阶段; 数据交换:组织与组织或个人进行数据交换的阶段;数据销毁:对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个阶段或是其中的几个阶段。在其他一些标准中对“数据生命周期”的提法虽略有差异,但总体来说基本与GB/T37988-2019的定义比较接近。例如: GB/T22239-2019信息安全技术网络安全等级保护基本要求数据全生命周期包括并不限于数据采集、存储、处理、应用、流动、销毁等过程。 JR/T0223-2021金融数据安全数据生命
44、周期安全规范金融数据生命周期是指金融业机构在开展业务和进行经营管理的过程中,对金融数据进行采集、传输、存储、使用、删除、销毁的整个过程。 YD/T3802-2020电信网和互联网数据安全通用要求与YD/T3956-2021电信网和互联网数据安全评估规范数据全生命周期各阶段(数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁)。此外,以下标准则直接采纳了GB/T35274-2017中“数据生命周期(datalifecycle)”的定义: GB/T39725-2020信息安全技术健康医疗数据安全指南数据生命周期内的各项活动,包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁
45、等。 联盟团标TISEAA(X)2-2021信息安全技术网络安全等级保护大数据基本要求同GB/T35274-2017o为了方便拉齐认知,本文将统一采用“数据生命周期”的概念,并以“采集、传输、存储、处理、交换、销毁”作为通用的6个阶段描述。针对不同业务场景,如无特殊说明,将统一采用上述说法。2.1.2数据处理活动与数据生命周期的关系在数据安全法中并没有“数据生命周期”的提法,但是其对“数据处理”的定义“包括数据的收集、存储、使用、加工、传输、提供、公开等。”实际上与“数据生命周期”有非常紧密的关联。为方便理解,我们将数据处理的7个活动与数据生命周期的6个阶段做了一个简单的对照,如下表所示。表3
46、数据安全生存周期与数据处理活动对比GB/T37988-2019数据生存周期6个阶段数据安全法数据处理7个活动数据采集组织内部系统中新产生数据,以及从外部系统收集数据的阶段;数据收集数据传输数据从一个实体传输到另一个实体的阶段;数据传输数据存储数据以任何数字格式进行存储的阶段;数据存储数据处理组织在内部对数据进行计算、分析、可视化等操作的阶段;数据使用、加工数据交换组织与组织或个人进行数据交换的阶段数据提供、公开数据销毁对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。未定义从以上对比可知,二者主要差异在于数据安全法未提及“数据销毁”活动。我们认为,数据处理活动强调的是关键活动场景,而
