专题丨信息通信企业开展数据安全管理工作的指引与实践
作者简介
张滨
中国移动通信集团公司信息安全管理与运行中心总经理,中国网络空间安全协会网络治理与国际合作工作委员会副主任委员,全国信息安全标准化技术委员会(TC260)委员,中国互联网协会个人信息保护工作委员会副主任委员,正高级工程师,长期从事网络与信息安全领域的研究工作。
温暖
中国移动通信集团公司信息安全管理与运行中心品质管理处副经理,高级工程师,主要从事网络与信息安全、数据安全等领域的研究工作。
邱勤
中国移动通信集团公司信息安全管理与运行中心网络安全研发中心副经理,博士,高级工程师,主要从事网络空间安全、5G安全、算力网络安全等领域的研究工作。
周莹
中国移动通信集团公司信息安全管理与运行中心项目经理,工程师,主要从事数据安全、人工智能安全应用等领域的研究工作。
李文琦
中国移动通信集团公司信息安全管理与运行中心项目经理,工程师,主要从事数据安全、个人信息保护领域的研究工作。
论文引用格式:
张滨, 温暖, 邱勤, 等. 信息通信企业开展数据安全管理工作的指引与实践[J]. 信息通信技术与政策, 2022,48(8):19-23.
信息通信企业开展数据安全管理工作的指引与实践
张滨 温暖 邱勤 周莹 李文琦
(中国移动通信集团公司信息安全管理与运行中心,北京 100053)
摘要:目前,国家数据安全法律法规体系框架基本确立,数据安全治理方案初步形成,并呈现协同化、全面化、精细化、多元化的发展趋势。数据安全新发展阶段,需要政府、企业、社会、个人携手构建数据安全管理工作格局和良好生态,信息通信企业作为推动数字经济发展的中坚力量,着力加强数据安全管理和个人信息保护工作,从筑牢管理体系、健全保护能力、优化运营机制和打造价值生态等方面积极开展数据安全管理工作实践。
关键词:数据安全;企业实践;数据治理
中图分类号:TP309.2 文献标志码:A
引用格式:张滨, 温暖, 邱勤, 等. 信息通信企业开展数据安全管理工作的指引与实践[J]. 信息通信技术与政策, 2022,48(8):19-23.
DOI:10.12267/j.issn.2096-5931.2022.08.003
0 引言
当前,数字经济已成为继农业经济、工业经济之后的新型经济形态,数据也相应成为新的生产要素和重要生产力,是国际基础性、战略性、先导性资源[1]。随着数字经济不断发展,传统网络安全正在向“数字安全”演进,加强数据安全管理,是适应网络化、数字化、智能化发展趋势的必然要求,是建设网络强国、数字中国、智慧社会的重要保障,对维护国家主权、安全和发展利益,保障经济社会发展和人民群众合法权益具有重大意义。2021年以来,国家数据治理工作快速发展。党中央、国务院高度重视,继《中华人民共和国网络安全法》(简称《网络安全法》)后,《中华人民共和国数据安全法》(简称《数据安全法》)、《中华人民共和国个人信息保护法》(简称《个人信息保护法》)相继施行,为数据安全和个人信息保护工作提供了法制保障。国际上围绕数据主权的竞争日趋激烈,大型互联网平台掌握海量数据问题凸显,国家监管思路逐渐清晰,数据治理工作朝着精细化方向发展完善。作为掌握关键信息基础设施的信息通信企业,加强对数据安全管理政策法律法规的深入研究、规范开展数据安全管理工作具有重要意义。
1 数据安全管理工作态势
1.1 国家高度重视
2021年3月,国务院发布《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,明确强调要加强涉及国家利益、商业秘密、个人隐私的数据保护,强化数据资源全生命周期安全保护[2]。2022年政府工作报告中也强调,继续推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护[3]。
1.2 法律体系基本建立
《数据安全法》和《个人信息保护法》的出台,是进一步加强数据安全和个人信息保护法制保障的客观要求,是衔接《网络安全法》、维护网络空间良好生态的现实需要,是促进数字经济健康发展的重要举措,也标志着我国数据安全和个人信息保护工作迈入新的发展阶段。此外,《网络安全法》重要配套法规《关键信息基础设施安全保护条例》于2021年9月施行,对关键信息基础设施的数据安全和个人信息保护提出了要求;《网络数据安全管理条例》也于2021年11月公开征求意见。至此,我国数据安全与个人信息保护法律法规体系框架基本确立,相关法律法规充分体现了“党管安全”“党管数据”的原则,本质高度统一,内容各有侧重,互为补充支持。
1.3 中国特色数据安全治理方案初步形成
从全球数据安全治理来看,不同的国家存在治理理念上的偏好,这与数据权属界定、主体利益选择、地缘政治、国际环境等紧密相关。不同于欧盟、美国的数据治理[4-5],从《数据安全法》和《个人信息保护法》等法律法规内容、国家数据安全监管实践以及对APP 违法违规收集使用个人信息开展的整治行动可以看出,我国已初步构建了一个符合中国特色社会主义初级阶段、与人民过上美好生活愿望相匹配的、趋向精细化与均衡化的数据安全治理体系。该体系呈现出以人民为中心、以保障国家安全为底线,统筹发展与安全的特点,通过动态平衡国家安全、个人信息保护与企业正当商业利益三种主体利益,实现安全、有序、健康、向前的发展。
2 国家数据安全治理工作发展趋势
国家有关部门积极贯彻落实《数据安全法》《个人信息保护法》等相关法律法规,我国数据安全治理体系日趋完善,治理工作呈现协同化、全面化、精细化、多元化的发展趋势。
2.1 治理协同化
按照法律要求,中央国家安全领导机构负责统筹协调国家数据安全工作,国家网信部门负责统筹协调网络数据安全和个人信息保护工作,各地区、各有关部门承担本地区、本行业领域的监管职责。经过探索实践,国家已建立数据安全工作协调机制,各有关部门协同处理相关各项工作。在配套法规制定方面,国家互联网信息办公室制定了《网络数据安全管理条例(征求意见稿)》并公开征求意见,上海、重庆等18省市制定了《数据条例》及相关草案[6],工业和信息化部等部门也公开就《工业和信息化领域数据安全管理办法(试行)》征求意见;在工作机制方面,各部门间加强联动,如国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合开展APP违法违规收集使用个人信息治理工作,国家互联网信息办公室联合国家邮政局开展了邮政快递领域数据安全和个人信息保护专项行动。同时,政府部门高度重视数据安全良好生态的构建,充分组织调动企事业单位、社会组织、人民群众等多方力量,携手构建数据安全管理工作新格局,合力推进数据安全和个人信息保护工作。
2.2 治理全面化
随着法律法规的落地落实,数据安全管理和个人信息保护工作机制趋于全面化,形成审查、评估、认证、检查检测等多种工作方式相结合的综合治理。其中,《网络安全审查办法》《数据出境安全评估办法》已先后出台,明确了网络安全审查、数据出境安全评估工作的条件、流程和工作机制;认证方面,前期国家市场监督管理总局、国家互联网信息办公室已组织开展APP安全认证,积极推进数据安全管理认证机制,中国信息通信研究院正式启动“数据安全管理能力认证”,并公布了已通过评估的企业名单;检查检测作为各部门开展数据安全管理和个人信息保护常态化和专项化治理工作的重要抓手,可通过远程技术检测、现场检查等方式,查找数据和个人信息安全风险漏洞,督促数据运营者切实整改。上述多种工作机制逐级递进,互相补充,有效推进法律落地实施,形成全面的数据安全治理体系。
2.3 治理精细化
信息技术革命及其商业化特点决定了数字经济、互联网经济领域通常会经历由野蛮生长演变为精细化管理的发展过程,国家治理体系往往在一些特定时期或遇到一些标准性事件后出现跃迁和完善。按照“统筹国内国际两个大局、发展安全两件大事”[7]、“要为资本设置‘红绿灯’,要支持和引导资本规范健康发展”[8]等系列重要指示,国家数据安全治理工作日趋精细,一方面追求的是恰当充分而非绝对的保护;另一方面建立数据分类分级保护制度,由各行业主管部门制定本行业本领域的重要数据目录,针对重要数据和达到一定规模的个人信息提出更高的安全管理要求。
2.4 治理多元化
前期,数据安全和个人信息保护工作的监督管理主要通过负面处罚方式开展,如数据和个人信息泄露案件、公开通报违法违规收集使用个人信息行为、约谈相应数据和个人信息处理者、下架违法违规收集使用个人信息应用等方式。随着工作机制日趋健全,数据安全治理工作呈现正面引导与负面处罚相结合的多元化治理趋势。一方面,对数据安全管理不当、违法违规收集使用个人信息行为起到警示和震慑作用;另一方面,通过引入试点示范案例、建立正面清单等方式,给数据处理者和个人信息处理者提供优秀的案例,起到正向引导和带动作用,促进数据和个人信息安全保护水平得到普遍提升。例如,工业和信息化部2021年组织开展基础电信企业行业数据安全标准贯标优秀案例遴选活动,有效推进了行业标准贯标工作。立足国家数据安全治理新形势和上述治理趋势,企业应当积极参与到数据安全治理方案的探索和建立过程中,遵守以下原则开展数据安全管理工作。一是要提高政治站位。落实总体国家安全观,充分认识到数据管理工作关乎国家安全和人民权益的重要地位,清醒地认识到每个企业都有自己的国别属性和责任义务。二是要确保工作合规。严格依法依规开展数据安全管理工作,强化安全管理和技术能力水平,并积极参与到国家数据安全体系构建中,贡献企业智慧和力量。三是统筹发展和安全。正确处理好促进发展和防范风险、开放共享和确保安全的关系,以安全保发展,以发展促安全,在合规的前提下寻求正当的商业利益,推动数据合理有效的利用,发挥数据对发展的驱动作用。
3 信息通信企业数据安全管理工作实践
作为信息通信领域关键信息基础设施运营者、推动数字经济发展的中坚力量,基础电信运营商应着力加强数据安全管理和个人信息保护工作。例如,中国移动以“ 维护国家安全、保障用户权益、提升企业价值”为数据安全管理主要目标,从筑牢管理体系、健全保护能力、优化运营机制和打造价值生态等方面开展数据安全管理工作,全面促进数据安全使用,充分释放数据要素价值。
3.1 完善制度体系
成熟完备的数据安全管理体系是数据安全治理的骨架与支柱。优秀的管理体系通过清晰统一的文本明确数据安全治理工作体系、职责分工,形成自上而下的数据安全共识和话语体系,并将全流程工作进行规范固化,使数据安全治理工作有章可循、有据可依。按照不同的效力层级和适用领域,初步建立起以集团公司级制度、集团部门级制度、省专公司级制度为“三横”,以通用基础管理办法、通用领域工作规范、重点领域管理要求为“三纵”的“三横三纵”制度体系框架,以数据安全管理办法为基本核心,将个人信息保护制度、重要数据保护制度、分类分级工作规范、数据安全评估工作规范、数据出境管理实施规范等通用领域要求纳入体系。在重点领域,结合新一代信息通信技术发展情况,在5G、大数据、云计算、移动互联网、工业互联网、物联网、人工智能、区块链等方面进行布局,结合其发展情况和数据安全需求,制定专项数据安全管理要求,推进数据安全制度系统性覆盖。制度文本涵盖安全策略、安全原则、管理要求、工作规范、实施指南、图表文档等多种形式,确保从宏观战略到中观管理、再到微观实施的一致性。同时,积极将成熟实践及时转化为标准化成果,稳步构建涵盖了管理、技术、重点领域和平台产品四大方面的基础电信企业数据安全标准体系,并深度参与国家、行业数据安全标准的制定。
3.2 健全保护能力
技术管控能力是数据安全保护的基石,是数据安全的基础前提,是管理要求在执行层面的具体落实,企业在系统规划建设时期,需要同步考虑安全保障相关功能,在数据处理各个环节强化安全管控技术的应用实施,并不断提升技术能力水平。
3.2.1 技术能力宜全覆盖
数据安全保障能力应全面覆盖数据处理中收集、存储、传输、使用、加工、共享、公开和销毁等各个环节,针对每个环节的特点采取相应的技术管控,如采集阶段应注重数据源鉴别、存储阶段要注重备份恢复、传输阶段要注重加密等,从防范数据泄露、毁损、丢失、篡改、误用、滥用等风险的角度,建立全面的数据安全技术管控体系。
3.2.2 技术能力宜复用
在数据安全能力建设过程中,中国移动利用自主建设的智慧中台,主动沉淀数据资产自动识别、数据脱敏、数据水印、数据密钥分发管理、异常行为审计等数据安全通用能力,将成熟运营的能力在智慧中台进行部署,供各单位进行复用,有效节约建设成本,避免“烟囱式”建设。
3.2.3 技术能力宜完善
数据安全技术能力的建设从不是一蹴而就的,需要分阶段、分场景地逐步推进,既要确保新场景、新应用的数据安全,也要不断探索新技术、新能力在数据安全领域的应用。践行“以安全保发展、以发展促安全”理念,中国移动强化企业侧数据安全重点技术能力建设和使用,针对数据资产的识别脱敏、接口安全管理、访问和操作行为安全审计等关键技术能力,划定重点系统、重点字段、重点场景覆盖基线。
3.3 强化安全运营
数据安全运营,主要是指日常业务开展时,嵌入其中的用于保障数据安全的流程和日常活动。数据安全运营是数据安全治理体系的血脉,通过流程的实施和活动的开展,确保企业数据处理活动的有效合规运转。法律法规和行业监管要求明确了数据处理者的责任义务、用户的权利和政府的管理需求,企业需要在生产运营中健全完善数据安全运营机制,实现全流程数据合规使用,具体包括以下方面。
(1)事前,企业要有完备的数据安全评估机制,对即将开展的业务开展合规性评估、数据处理风险评估、个人信息保护影响评估等多项评估,充分分析业务模式和数据安全防护水平。
(2)事中,一是要有用户个人信息保护机制,确保业务开展过程中的个人信息安全,保障用户权益;二是要有风险监测审计机制,及时发现业务过程中的异常行为;三是要有应急响应机制,对可能发生的数据安全事件进行及时有效地处理。
(3)事后,要有数据安全考核体系,对数据安全工作有效性进行评价。通过上述多项机制协同,确保实现业务运营过程中的数据安全目标和要求。
3.4 打造价值生态
数字经济时代,促进数据要素释放价值,使得数据活动参与各方都能够从中获益是数据安全治理的核心要义。因此,数据安全治理应着力打造数据价值经营生态,构建内外联动、多方协调的数据安全环境,保障数据依法有序自由流动,促使数据价值有效发挥,营造良性互动的清朗生态。
4 结束语
本文分析了国家数据安全治理发展现状和发展趋势,阐述了信息通信企业开展数据安全管理工作的基本思路和实践,具有借鉴意义。通过研究、落实国家法律法规和主管部门要求,充分把握数据安全管理工作原则,并结合行业发展态势和企业定位,系统地开展数据安全制度、手段、标准、生态建设,更多地贡献企业智慧,推动数据安全管理工作健康发展。
参考文献
[1] 中共中央, 国务院. 关于构建更加完善的要素市场化配置体制机制的意见[Z], 2020.
[2] 中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要[Z], 2021.
[3] 国务院. 中华人民共和国国务院政府工作报告[Z], 2022.
[4] 邵晶晶, 韩晓峰. 国内外数据安全治理现状综述[J]. 信息安全研究, 2021,7(10):922-932.
[5] 阙天舒, 王子玥. 数字经济时代的全球数据安全治理与中国策略[J]. 国际安全研究, 2022,40(1):130-154+158.
[6] 澎湃号. 18省市公布《数据条例》[EB/OL]. (2022-06-02)[2022-06-30]. https://www.thepaper.cn/newsDetail_forward_18408014.
[7] 习近平. 把握数字经济发展趋势和规律 推动我国数字经济健康发展[N]. 人民日报, 2021-10-20(001).
[8] 新华社. 习近平出席中央经济工作会议并发表重要讲话[Z], 2021.
Research and practice of data security management in information and communication enterprises
ZHANG Bin, WEN Nuan, QIU Qin, ZHOU Ying, LI Wenqi
(China Mobile Information Security Center, Beijing 100053, China)
Abstract: At present, the framework of the national data security laws system has been basically established, and the data security governance scheme has taken shape, showing a collaborative, comprehensive, fine and diversified development trend. The government, enterprises, social organizations and individuals need to work together to build a positive data security management ecology. The information and communication enterprises now attach great importance to data security management. By building management system, improving technical capability, optimizing operation mechanism and creating value ecology, CMCC actively explores data security management practice.
Keywords: data security; enterprise practice; data governance
本文刊于《信息通信技术与政策》2022年 第8期
主办:中国信息通信研究院
《信息通信技术与政策》官网开通啦!
为进一步提高期刊信息化建设水平,为广大学者提供更优质的服务,我刊于2020年11月18日起正式推出官方网站,现已进入网站试运行阶段。我们将以更专业的态度、更丰富的内容、更权威的报道,继续提供有前瞻性、指导性、实用性的优秀文稿,为建设网络强国和制造强国作出更大贡献!
推荐阅读
专家论坛丨沈昌祥院士:主动免疫可信计算打造安全可信网络产业生态体系
你“在看”我吗?