杨建军 中国电子技术标准化研究院副院长,全国信安标委秘书长
摘要:全面解析了数据安全及其标准化。介绍了数据安全有关国家标准的基本情况和我国2019年新申请立项的标准。
第一个是数据安全现状与态势,第二个是数据安全标准化情况。数据安全或者说数据早就有了,我今天想说的主要是网上跑的数据,以前的数据比较少,而且数据质量又不高,大家没有给数据开放利用,也没有很好的手段,关注度不够,现在数据量大了,数据的质量也高了,数据的价值也体现了,特别是大数据开始以后,我们所有数据的挖掘,这个数据不仅仅是网上跑的,它还可以变成金钱,甚至跟名利相关,这样大家比较关注数据问题了,数据安全就重视起来了,目前来说数据安全是当今影响我们世界最大问题之一,每个人都得关心数据安全,数据安全涉及到不仅是每个人的信息问题,涉及到有关人的利益,金钱甚至是生命,大家对数据安全非常关注,我做标准的有一个感受,每年上标准,一上标准大家提了很多数据安全相关的标准,但是对数据安全了解多少,大家还是不清楚的,我也不清楚,我们还在探索的过程中,目前数据安全的事件非常多,有很多是真的,有很多不一定是真实的,说明一个问题,说明对数据安全比较关注,全球的数据安全比较关注,目前的现状在座人可能都比较清楚,像这两年这是2018年、2019年的数据安全,这些都是我们认为比较真实的网络安全事件,每年都会有关于数据安全的问题,有一些是,有一些是不实的报道,甚至有大题小作的报道,做网络安全对这个会有客观的判断,不管是不是真实的,或者是不是虚假的,说明一个问题,大家对这个很关注,对媒体来说如果是不吸引眼球媒体不会关注,近几年,关于数据安全,关于个人信息保护非常多,数据安全,数据的保密性,数据的完整性,数据的可用性,从近期的事件来看,目前的数据安全主要发生在几个方面,第一个是个人信息问题,涉及到国家安全,涉及到企业利益的数据,在安全性上面大家关注数据的收集,你收了不该收的数据这是大家比较关注的,手机上每个人都说某个APP收了我们的数据,第二个收了数据以后没有好好保护,泄露出去了,这涉及到数据的保密性,数据收了以后用到其他的途径,用到不该用的地方,这是数据安全大家最关注的三个点,对国家角度来说涉及到国防,经济,我说的是对平常老百姓角度关注的,你收了不该收的信息,拿了数据没有好好保护,拿了数据去赚钱了,315曝了一个APP,各个省、协会都做了关于手机APP,数据的完整性,数据的可用性相对事件还不够多,比如说某个数据收了,某个数据库被破坏了,这方面的数据安全比较少,我们现在更关注的是数据的保护层面,怎么保护数据重要性,以及数据的使用层面这是我们目前关注的,全球各国都非常关注数据安全问题,目前已经有107个国家已经有相关的数据安全或者是隐私保护的处罚立项的规定,有66个国家是发展中国家或者是经济转型的国家,不管是发达国家、发展中国家大家都比较关注数据安全,目前数据和安全是挂钩的,现在做数据安全比较好的,从技术、立法比较好的还是在欧美国家,欧美国家对数据安全的相关层面要比发达国家,发展中国家要好很多,像欧美,欧洲,美国,北美都比较好,像亚洲、非洲的比例还好一些,目前还算不是非常普及,目前发达国家基本上都有,发展中国家一半左右,我们做企业在欧洲有公司的都比较关注的,GDPR开始以后,有的就撤回了,我们国家数据和安全相关的法律法规大家也比较清楚,从数据安全法律法规来说到一些部门规章,司法解释等等,这是一个整体的法律法规体系,我们国家的数据安全它没有一个整体的数据安全法,比如说法律有一个民法,有个人隐私,像网络安全法对数据安全,个人信息保护都有非常明确的条文去规定的,还有侵权责任法,消费者权益保护法,全国人大常委会关于加强网络安全的决定这里面多多少少都含有数据安全等相关的条款,在行政法规目前正式发布了还是比较少,现在也有了做法,部门法规也有一些消费者,消协会做一些保护这些都是基于互联网业务提出的关于个人信息保护相关的,真正针对数据安全法律法规是没有的,正在制定过程中,我们2018年像网络安全法,个人信息保护法已经立于人大常委了,像我们的数据安全法它的地位还是比较高的,跟网络安全法是并列,这个数据安全法包括跟国家所有的相关数据,刚才说了法律法规,法律法规还有一个部门的规范性文件,上个月网信办发了一个数据安全管理办法,就类似于规范性文件,落实网络安全法非常有效的指导性文件,昨天网信办又出了一个征求意见稿,个人信息出境安全评估方法,这也是针对数据安全非常有针对性的文件,这两个文件近期推出以后对后续数据安全工作有非常大的促进推动,说了这么多的法律法规,咱们说一说标准,标准是落实法律法规很好的手段,因为法律法规都比较泛,真正要落实的时候,必须要有相应的标准,相应的技术手段去落实相关的法律法规,标准化工作非常重要,每次大家说到法律法规落实都说到标准是多少,支撑法律法规的标准是多少,我们网络安全法的工作主要是为了落实网络安全相关的法律法规,数据安全同样,都是我们网络安全标准化工作中的重要内容。
数据安全是网络标准安全的一部分,全国信安标委是2002年成立,是国家网络安全主管部门,七个主管部门共同的平台,包括网信办,网信办是牵头,里面有公安,公信,保密,安全密码,主要国家网络安全主管部门都在信安标委,咱们国家的网络安全标准是由网信办和主任委员,标准化委员会层次比较高,而且标准化工作任务也比较,主要负责的是网络安全国家标准,现在成员比较多,工作组成员应该有888家,成立以来,信安标委已经做了将近四百个标准,其中两百多个已经发布了,里面涉及到网络安全相关的,其中有一部分是数据安全,数据安全以前我们不是很重视,但是2016年网信办成立以后,对数据安全重视以后,成立了一个信安标委大数据工作组,要把数据安全工作重视起来,当时专门成立了一个大数据工作组,工作组主要负责的大数据安全以及相关的云计算,物联网等数据应用相关的标准,这是数据化安全标准化工作的要求,数据安全标准,咱们国家是2016年成立,国际上做的比较早,国际最早的时候他们最早体现在隐私保护,隐私保护当时是由美国人提出来的,由于隐私保护在不同国家制度不一样,这一个标准推动非常的艰难,欧洲保护跟美国保护,跟日本的不一样,当时我们国家还没有在这方面做太多的工作,自从成立大数据标准工作组以后,我们国家的很多企业、专家在这方面做了大量的工作,在这个方面我们在国际上标准还是往前走了一步现在大数据标准大部分都是中国提出来的,2018年我们在武汉专门提出了一个成立数据安全国际标准工作组,由中国牵头,很快美国人就反对,美国人很清楚,如果我们牵头做,这一块相当于我们在引领,他们不乐意,当时我们成立一个研究所,经过一年研究以后取得了很大的收获。
第二个我们提出了很多大数据相关的工作,包括大数据架构国外还没有注意到这个事情的时候我们就提出来了,大数据安全隐私以及数据安全,这些项目都是由中国提出的,国际这一块数据安全在一定程度上目前中国是取得领先位置,阻力也不小,数据安全确实涉及到美国的利润,走的太快美国人也不愿意,欧洲也不愿意,整个数据安全是由欧美主导的,从国际来看现在我们的数据安全标准已经是越走越快了,抓紧推动数据安全国际和国内的调查工作,从目前来看在国际上还是取得领先位置。国内的数据安全标准启动也是比较早的,做的时候也是比较艰难的,数据安全这个东西大家都知道它的概念比较泛,数据安全的保护也比较难,很难定义数据是否重要,跟场景是密切相关的,现在做的很多法规、标准里一提到重要数据,什么叫重要数据,每次大家都会提什么叫重要数据,哪些是个人数据,听起来很简单,真正要做到标准是很难的,作为一个法律条款更难,我们现在出的数据安全管理办法等,这些文件出的难度比较大,但是又不能不做,咱们国内做标准也是为了支撑网络安全,包括数据的声明,个人信息的保护怎么去保护,现在数据安全主要是为了网络安全法以及人大关于信息保护的决定有一些明法的要求,现在针对网络数据安全办法,都制定了一系列的相关数据安全标准,整个数据安全标准我认为是对整个数据法律法规政策配套的细化和支撑,前两天我们发布了个人信息APP违法违规使用个人信息征信办法,都是对某个法律里面的某一段细化的,信安标委已经发布的标准有个人信息保护规范,这个已经发布了,现在正在修订,这个规范对我们数据安全,个人信息保护起了很大的指导作用,还有大数据服务安全能力要求以及数据促进质量标准,最近我们又提出了一系列标准,数据安全标准体系逐渐在完善过程中,现在有22项数据安全相关标准项目,5项是与个人信息保护相关,15项与数据安全相关,而且它的标准化对象也比较广,涉及到数据服务,数据产品,范围覆盖包括医疗、政务、能源等等,现在是全面做数据安全标准,还涉及个人信息去标识,隐私工程,隐私影响,隐私保护,数据分类分级,数据安全,数据交易等等,我说的22项只是我们觉得应该马上要做的,当时提出来的就不止几倍,我们一步步来,现在目前有安全要求的标准,有大数据服务能力要求,数据交易服务安全,政务信息共享等,这是技术要求类,还包括实施指南类帮助我们一般的网民或者是企业去做数据安全,像个人信息去标识,把个人信息的特征给去掉,还有个人信息安全工程,个人信息不是数据出来了,有了数据才有数据安全,数据安全是从系统建设要考虑的,是工程性问题,现在国际上提出要数据安全保护工程,我们现在叫做个人信息安全工程,现在很多APP都告知同意我要收取你的信息,检测评估类的有四项,实施指南类有八项,基础框架类三项,我刚才说的我们老百姓比较关注的是个人信息,国家比较关注的是重要数据,很多企业数据是企业层面来保护的,目前的标准关注的点还是在重要数据和个人信息相关的,企业做数据安全在座的最有发言权,在座的也最有经验,如果在座有觉得可以推广,可以给大家采用的经验可以提出来,作为国家标准,行业标准去推广使用。
2019年新申请的立项标准,这七个项目是我们2019最近这批大家提出的要制定的项目,像告知同意,大数据软件安全,数据安全评估,云服务数据安全,人工智能算法等,这相关的与数据安全的新立项标准以及研究性,重要数据,分类研究等等,这些基础工作已经全面铺开了,大家有兴趣可以参与到这个项目中来。
这是典型数据安全相关的标准内容,我就不细说了,这里面的内容比较多,像个人信息安全规范主要围绕是个人信息保护相关的,怎么收集、保护、分发、销毁,整个个人信息的全生命周期予以规范。
数据出境安全评估指南,个人信息安全影响评估,健康医疗信息安全指南,这些信息的保护标准也是对我们行业提供指导的,这些标准是推荐性标准。
目前有一些标准已经用上了,个人信息安全规范,2017年在网信办牵头下我们做了个人信息保护提升行动,对我们所有的APP个人隐私,所谓个人隐私就是收什么数据用什么数据,评估,发现基本都不符合,当时我们有十家互联网企业给他的APP系统进行评估,效果比较好,评估以后一方面提升了企业对APP的认知,手段也提高了,声明、条款这些方面明显提高,2018年我们又重新做了三十家企业,对企业的促进作用比较大。
还有一个数据安全能力成熟度模型,大家都知道大数据就是一个框,你的安全能力你有没有能力保护这些数据安全,这是关键的,我要评估一下大数据的能力,或者自己评估一下有没有能力保护的数据,这个标准在贵州有数百家使用这个标准,对保护安全能力建设是非常重要的,有一个尺度,我知道怎么建好数据安全能力,这个也是比较重要的标准。
第三个健康医疗信息安全指南,不仅仅是个人信息,涉及到整个国家的,通过清华大学做一个医疗信息安全指南,如何收集保护使用信息,希望标准对我们后续的健康医疗,一方面要用起来,第二个要保护数据个人的安全,保护国家的安全。
还有个人信息相关的,今年初四部门网信办牵头,工业和信息化部,公安部门,市场监管总局发起一个APP违法违规收集使用个人信息专项治理的发布会,网络安全法规定收集信息必须要公开明示,怎么公开明示,是不是在哪个地方放着就公开了,个人隐私政策有但是找不到,有的能打开但是看不懂,这个要明示,怎么公开,怎么明示,什么叫明示同意,要把这些东西规范起来,也提出了相应的技术法规,包括认定办法,还有APP要收什么样的信息,不能收什么样的信息,都要有相应的规范,目前通过这个专项行动对大批的APP进行了评估,也希望大家后续有机会可以多关注我们行动的情况。
目前做的行动,给企业做了评估指南,企业怎么做。第二个对大众使用的APP做一些必要的规范,告诉APP能收什么样的信息,别超范围收取,还有认定办法。