數(shù)據(jù)安全法規(guī)政策及標(biāo)準(zhǔn)綜述

摘 要：本文從標(biāo)準(zhǔn)化的角度，詳細(xì)介紹了美國(guó)、歐盟、俄羅斯、英國(guó)、德國(guó)、日本等發(fā)達(dá)國(guó)家和國(guó)內(nèi)數(shù)據(jù)安全相關(guān)的法規(guī)政策現(xiàn)狀，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）第一聯(lián)合技術(shù)委員會(huì)信息安全網(wǎng)絡(luò)安全和隱私保護(hù)分技術(shù)委員會(huì)ISO/IEC JTC1 SC27、國(guó)際電信聯(lián)盟安全研究組ITU-T SG17、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）、歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）等國(guó)際標(biāo)準(zhǔn)組織和國(guó)內(nèi)數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)化現(xiàn)狀，從制度、機(jī)構(gòu)、應(yīng)用等層面給出我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化方面存在的問(wèn)題，對(duì)其進(jìn)行展望，提出我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化工作建議。

關(guān)鍵詞：數(shù)據(jù)安全，法規(guī)，政策，標(biāo)準(zhǔn)

DOI編碼：10.3969/j.issn.1002-5944.2024.22.003

0 引 言

在數(shù)字化轉(zhuǎn)型大背景下，數(shù)據(jù)對(duì)業(yè)務(wù)的重要性日益明顯，眾多行業(yè)紛紛制訂了數(shù)據(jù)戰(zhàn)略，深度挖掘數(shù)據(jù)價(jià)值，但數(shù)據(jù)在深度應(yīng)用的同時(shí)數(shù)據(jù)安全已成為網(wǎng)絡(luò)空間中最為突出的問(wèn)題：一是大規(guī)模數(shù)據(jù)泄露事件高發(fā)，嚴(yán)重威脅個(gè)人隱私與企業(yè)利益；二是大數(shù)據(jù)分析技術(shù)濫用，沖擊政治安全；三是傳統(tǒng)安全措施難以適配，大數(shù)據(jù)海量、多源、異構(gòu)、動(dòng)態(tài)的特征導(dǎo)致大數(shù)據(jù)系統(tǒng)存儲(chǔ)結(jié)構(gòu)復(fù)雜、開(kāi)放性、分布式計(jì)算和高效精準(zhǔn)的服務(wù)，這些特殊需求傳統(tǒng)安全措施解決不了；四是跨境數(shù)據(jù)流動(dòng)頻繁，進(jìn)一步增加了隱私和數(shù)據(jù)泄露及發(fā)生數(shù)據(jù)安全事件的風(fēng)險(xiǎn)。

本文調(diào)研分析了數(shù)據(jù)安全相關(guān)的國(guó)內(nèi)外法規(guī)政策、標(biāo)準(zhǔn)化現(xiàn)狀，以及我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化方面存在的問(wèn)題，對(duì)其進(jìn)行展望，給出了數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化工作建議，為我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)制定工作提供參考。

1 數(shù)據(jù)安全政策法規(guī)現(xiàn)狀

1.1 國(guó)際數(shù)據(jù)安全政策法規(guī)現(xiàn)狀

國(guó)際數(shù)據(jù)安全政策法規(guī)主要包括美國(guó)、歐盟、俄羅斯、英國(guó)、德國(guó)、日本等發(fā)達(dá)國(guó)家數(shù)據(jù)安全相關(guān)法律法規(guī)情況，具體包括：

（1）美國(guó)制定了一系列數(shù)據(jù)安全相關(guān)規(guī)章制度，包括《消費(fèi)者數(shù)據(jù)隱私保護(hù)》《聯(lián)邦數(shù)據(jù)戰(zhàn)略》《澄清境外數(shù)據(jù)合法使用法案》《規(guī)范在線數(shù)據(jù)使用法案》《國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)法案》《消費(fèi)者隱私法案》《消費(fèi)者數(shù)據(jù)保護(hù)法》《網(wǎng)絡(luò)安全戰(zhàn)略》等；

（2）歐盟針對(duì)數(shù)據(jù)安全立法，包括《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)自由流通的第95/46/EC/號(hào)指令》《一般數(shù)據(jù)保護(hù)條例（GDPR）》《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》《網(wǎng)絡(luò)安全法案》《歐洲數(shù)據(jù)戰(zhàn)略》《數(shù)據(jù)治理法案》《數(shù)據(jù)法案（草案）》《數(shù)字市場(chǎng)法案》《數(shù)字服務(wù)法案》等；

（3）俄羅斯數(shù)據(jù)與信息安全法規(guī)體系以《俄羅斯聯(lián)邦憲法》為基礎(chǔ)的統(tǒng)一立法，主要包括《關(guān)于信息、信息化與信息保護(hù)法》《個(gè)人數(shù)據(jù)法》《國(guó)家秘密法》《俄羅斯聯(lián)邦安全法》和《商業(yè)秘密法》《大眾信息傳媒法》《計(jì)算機(jī)程序和數(shù)據(jù)庫(kù)法法律保障》《著作權(quán)與鄰接權(quán)法》《參與國(guó)際信息交流法》《通信法》《個(gè)人信息法》《信息、信息技術(shù)與信息保護(hù)法》等；

（4）英國(guó)數(shù)據(jù)保護(hù)政策法規(guī)主要包括《數(shù)據(jù)保護(hù)法》《隱私與電子通信條例（PECR）》《網(wǎng)絡(luò)和信息系統(tǒng)安全法規(guī)》《英國(guó)通用數(shù)據(jù)保護(hù)條例GDPR》《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略 2022—2030》《數(shù)據(jù)改革法案》等；

（5）德國(guó)最早通過(guò)明確立法對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)，已建成從中央立法到地方立法、從一般立法到專(zhuān)門(mén)領(lǐng)域立法的全方位數(shù)據(jù)保護(hù)法律體系框架，主要包括《聯(lián)邦個(gè)人信息保護(hù)法》《聯(lián)邦數(shù)據(jù)保護(hù)法》《IT 安全法2.0 》《聯(lián)邦數(shù)據(jù)戰(zhàn)略》等；

（6）日本數(shù)據(jù)安全在廣泛借鑒歐美先進(jìn)立法經(jīng)驗(yàn)的同時(shí)，也充分考慮了日本本國(guó)的實(shí)際情況，采取了較為中立的統(tǒng)分結(jié)合立法監(jiān)管模式，主要包括《行政機(jī)關(guān)計(jì)算機(jī)處理的個(gè)人信息保護(hù)法》《保護(hù)信息系統(tǒng)免受網(wǎng)絡(luò)攻擊行動(dòng)計(jì)劃》《網(wǎng)絡(luò)安全戰(zhàn)略》《網(wǎng)絡(luò)安全基本法》《促進(jìn)公共-私人數(shù)據(jù)利用的基本法》《網(wǎng)絡(luò)安全戰(zhàn)略總部關(guān)于公私數(shù)據(jù)使用基本計(jì)劃草案的意見(jiàn)》等。

1.2 國(guó)內(nèi)數(shù)據(jù)安全政策法規(guī)現(xiàn)狀

國(guó)內(nèi)數(shù)據(jù)安全相關(guān)政策法規(guī)包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》《數(shù)據(jù)出境安全評(píng)估辦法》《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全審查辦法》《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》“數(shù)據(jù)二十條”《關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告》《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃（2024—2026年）》等。

2 數(shù)據(jù)安全標(biāo)準(zhǔn)化現(xiàn)狀

2.1 數(shù)據(jù)安全國(guó)際標(biāo)準(zhǔn)化現(xiàn)狀

國(guó)際上開(kāi)展數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)化工作機(jī)構(gòu)主要包括國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）第一聯(lián)合技術(shù)委員會(huì)ISO/IEC JTC1信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分技術(shù)委員會(huì)SC27、國(guó)際電信聯(lián)盟安全研究組ITU-T SG17、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（N I ST）、歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）等，具體包括：

（1）ISO/IEC JTC 1/SC 27

ISO/IEC JTC 1/SC 27與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)和研究項(xiàng)目主要集中在安全控制與服務(wù)工作組（WG4）和身份管理與隱私保護(hù)技術(shù)工作組（WG5 ）。

WG 4組主要負(fù)責(zé)信息安全控制與服務(wù)方面的標(biāo)準(zhǔn)研制和維護(hù)。WG 4組中與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)包括ISO/ I EC 19 086 - 4《云計(jì)算服務(wù)水平協(xié)議（SLA）框架第4部分：安全與PII保護(hù)》、ISO/IEC27030《信息技術(shù)安全技術(shù)物聯(lián)網(wǎng)的安全和隱私指南》、ISO/IEC 20547-4《信息技術(shù)大數(shù)據(jù)參考架構(gòu)第4部分：安全與隱私保護(hù)》、ISO/IEC 27045《大數(shù)據(jù)安全與隱私保護(hù)過(guò)程》。WG5組主要負(fù)責(zé)身份管理和隱私保護(hù)方面的標(biāo)準(zhǔn)研制和維護(hù)，與數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)包括ISO/IEC 27570《信息技術(shù)安全技術(shù)智慧城市隱私指南》、ISO/IEC 29100：2011《信息技術(shù)安全技術(shù)隱私保護(hù)框架》、ISO/IEC 29134《信息技術(shù)安全技術(shù)隱私影響評(píng)估指南》、I S O/ I EC27552《信息技術(shù)安全技術(shù)ISMS在隱私管理中的擴(kuò)展》、ISO/IEC 29151《信息技術(shù)安全技術(shù)PII保護(hù)實(shí)踐指南》、ISO/IEC 27550《信息技術(shù)安全技術(shù)隱私保護(hù)工程》、ISO/IEC 29190《信息技術(shù)安全技術(shù)隱私保護(hù)能力評(píng)估模型》、ISO/IEC 20889《隱私增強(qiáng)數(shù)據(jù)去標(biāo)識(shí)化技術(shù)》。

（2）ITU-T SG17

ITU-T SG17與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)項(xiàng)目主要為信息通信技術(shù)業(yè)務(wù)中涉及的個(gè)人信息、生物特征信息安全問(wèn)題，云計(jì)算的數(shù)據(jù)安全，大數(shù)據(jù)安全等。目前，ITU-T SG17 已發(fā)布和在研的標(biāo)準(zhǔn)項(xiàng)目包括X.1033《運(yùn)營(yíng)商提供的個(gè)人信息服務(wù)安全指南》、X.sup32《電信組織個(gè)人可識(shí)別信息保護(hù)實(shí)用規(guī)程》、X.fdip《電信服務(wù)提供商去識(shí)別處理服務(wù)框架》、X.tsfpop《防范垃圾信息時(shí)保護(hù)用戶個(gè)人信息的技術(shù)安全框架》、X.1641《云服務(wù)客戶數(shù)據(jù)安全指南》、X.1603《云計(jì)算監(jiān)控服務(wù)的數(shù)據(jù)安全要求》、X.1147《移動(dòng)互聯(lián)網(wǎng)服務(wù)中大數(shù)據(jù)分析的安全要求和框》、X.GSBDaas《大數(shù)據(jù)服務(wù)安全指南》、X.sgBDI P《大數(shù)據(jù)基礎(chǔ)設(shè)施和平臺(tái)安全指南》、X.sgtBD《電信大數(shù)據(jù)生命周期管理的安全指南》、X.1040《電子商務(wù)業(yè)務(wù)數(shù)據(jù)生命周期管理的安全參考體系結(jié)構(gòu)》等。

（3）美國(guó)國(guó)家標(biāo)準(zhǔn)化研究院（NIST）

NIST發(fā)布的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括SP1800-11《數(shù)據(jù)完整性：從勒索軟件和其他破壞性事件中恢復(fù)》、SP800-171《非聯(lián)邦信息系統(tǒng)和組織的受控非機(jī)密信息的保護(hù)》、SP800-171A《受控非保密信息的安全要求評(píng)估》、SP800-154《以數(shù)據(jù)為中心的系統(tǒng)威脅建模指南》、SP800-122《個(gè)人可識(shí)別信息機(jī)密保護(hù)指南》、NISTIR8053《個(gè)人可識(shí)別信息去標(biāo)識(shí)化》、SP800-53《聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制措施》等。

（4）歐盟

歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）是負(fù)責(zé)制定歐洲電信產(chǎn)業(yè)相關(guān)標(biāo)準(zhǔn)的非營(yíng)利組織，其發(fā)布的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括ETSI EN 303 645消費(fèi)類(lèi)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

2.2 數(shù)據(jù)安全國(guó)內(nèi)標(biāo)準(zhǔn)化現(xiàn)狀

國(guó)內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)組織主要包括全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC 260、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)CCSA TC 8。

（1）全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC 260

TC 260下設(shè)WG8大數(shù)據(jù)工作組，主要開(kāi)展了GB/T 43697—2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類(lèi)分級(jí)規(guī)則》、GB/T 35274—2023《數(shù)據(jù)安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》、GB/T 42447—2023《信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南》、GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》、GB/T 37988—2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》等30余項(xiàng)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的制訂。

（2）中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA TC 8）

CCSA TC8研究范圍包括信息通信網(wǎng)絡(luò)與數(shù)據(jù)安全、融合新興技術(shù)和業(yè)務(wù)安全等，下設(shè)數(shù)據(jù)安全工作組（WG 3），主要開(kāi)展了數(shù)據(jù)通信安全相關(guān)標(biāo)準(zhǔn)制定工作。

3 數(shù)據(jù)安全法規(guī)政策及標(biāo)準(zhǔn)工作展望

3.1 存在的問(wèn)題

當(dāng)前，我國(guó)在數(shù)據(jù)安全法規(guī)及標(biāo)準(zhǔn)領(lǐng)域開(kāi)展了大量卓有成效的工作，但也存在一些問(wèn)題，主要包括：

（1）數(shù)據(jù)安全制度體系不完善。我國(guó)已出臺(tái)《數(shù)據(jù)安全法》，但數(shù)據(jù)安全相關(guān)落地實(shí)施的具體政策文件尚未正式出臺(tái)，缺乏對(duì)數(shù)據(jù)安全落地實(shí)施指導(dǎo)。

（2）數(shù)據(jù)安全政策和標(biāo)準(zhǔn)化工作的統(tǒng)籌力度不夠，數(shù)據(jù)安全主要由各行業(yè)自行加強(qiáng)數(shù)據(jù)安全工作，缺少對(duì)數(shù)據(jù)安全進(jìn)行統(tǒng)籌管理的機(jī)構(gòu)和組織。

（3）數(shù)據(jù)安全標(biāo)準(zhǔn)應(yīng)用不足：我國(guó)目前已制定發(fā)布了30余項(xiàng)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)，但標(biāo)準(zhǔn)宣貫培訓(xùn)及應(yīng)用力度不夠，對(duì)行業(yè)數(shù)據(jù)安全指導(dǎo)不足。

3.2 展望及建議

針對(duì)我國(guó)在數(shù)據(jù)安全法規(guī)及標(biāo)準(zhǔn)領(lǐng)域存在的問(wèn)題，提出如下建議：

（1）加快完善數(shù)據(jù)安全制度體系建設(shè)。及時(shí)修訂已發(fā)布《數(shù)據(jù)安全法》，加快推進(jìn)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等落地實(shí)施法規(guī)的出臺(tái)，更好指導(dǎo)數(shù)據(jù)安全管理工作，完善我國(guó)數(shù)據(jù)安全制度體系。

（2）隨著國(guó)家數(shù)據(jù)局的組建，數(shù)據(jù)安全工作將有了一個(gè)強(qiáng)有力的數(shù)據(jù)安全統(tǒng)籌協(xié)調(diào)部門(mén)，更好地推動(dòng)數(shù)據(jù)采集、共享、交換、傳輸安全等工作，更好地協(xié)調(diào)不同行業(yè)數(shù)據(jù)安全工作。

（3）在數(shù)據(jù)安全標(biāo)準(zhǔn)制定過(guò)程中，加強(qiáng)試點(diǎn)示范工作，同時(shí)在標(biāo)準(zhǔn)發(fā)布后，在行業(yè)及地方加大數(shù)據(jù)安全標(biāo)準(zhǔn)宣貫力度，真正推動(dòng)數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)能夠落地實(shí)施，有力支撐數(shù)據(jù)安全政策法規(guī)的推行。

4 結(jié) 語(yǔ)

本文調(diào)研分析了數(shù)據(jù)安全相關(guān)的國(guó)內(nèi)外法規(guī)政策、標(biāo)準(zhǔn)化現(xiàn)狀，以及我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化方面存在的問(wèn)題，對(duì)其進(jìn)行展望，給出了數(shù)據(jù)安全政策及標(biāo)準(zhǔn)化工作建議，為我國(guó)數(shù)據(jù)安全政策及標(biāo)準(zhǔn)制定工作提供參考，下一步將重點(diǎn)研究數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)綜合體，使用綜合標(biāo)準(zhǔn)化的現(xiàn)代標(biāo)準(zhǔn)化方法，解決數(shù)據(jù)保護(hù)的問(wèn)題和痛點(diǎn)，為主管部門(mén)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)化規(guī)劃決策工作提供依據(jù)。

參考文獻(xiàn)

[1]信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求：GB/T 35274—2017[S].

[2]信息安全技術(shù) 大數(shù)據(jù)安全管理指南：GB/ T 37973—2019[S].

[3]馮登國(guó)，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù).計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：246-258

[4]呂欣，韓曉露，畢鈺，等.大數(shù)據(jù)安全保障框架與評(píng)價(jià)體系研究[J].信息安全研究，2016，2（10）：913-919.

[5]楊晨，楊建軍，王惠蒞.NIST信息安全標(biāo)準(zhǔn)化研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（3）：48-51.

[6]盧微.大數(shù)據(jù)時(shí)代的信息安全和隱私保護(hù)[J].信息記錄材料，2018，19（7）：127-128.

[7]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) 大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組.大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(shū)[R].2018.

[8]張彬.“大智物云”時(shí)代數(shù)據(jù)治理國(guó)家戰(zhàn)略比較分析[J].電子政務(wù)，2019（6）：100-112.

作者簡(jiǎn)介

公偉，碩士，高級(jí)工程師，研究方向?yàn)榫W(wǎng)絡(luò)安全標(biāo)準(zhǔn)化。

范德軍，本科，工程師，研究方向?yàn)闃?biāo)準(zhǔn)化。

王曙光，本科，研究員，研究方向?yàn)閿?shù)字技術(shù)標(biāo)準(zhǔn)化。

（責(zé)任編輯：袁文靜）

基金項(xiàng)目：本文是山東省社會(huì)科學(xué)規(guī)劃研究項(xiàng)目“數(shù)字化轉(zhuǎn)型背景下山東數(shù)據(jù)安全戰(zhàn)略及數(shù)據(jù)保護(hù)綜合標(biāo)準(zhǔn)化研究”（項(xiàng)目編號(hào)：23CSDJ51）研究成果。