國內數據安全法律法規和政策

我國在積極推動大數據產業發展的過程中，非常關注大數據安全問題，近幾年發布了一系列大數據產業發展和安全保護相關的法律法規和政 策。
2012 年 12 月，針對數據應用過程中的個人信息保護問題，第十一屆全國人民代表大會常務委員會通過了《全國人大常委會關于加強網絡信息保護的決定》，該決定要求，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，網絡服務提供者和其它企事業單位應當采取技術措施和其它必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、損毀、丟失。在發生或者可能發生信息泄露、損毀、丟失的情 況時，應當立即采取補救措施。
2013 年 7 月，工業和信息化部公布了《電信和互聯網用戶個人信息保護規定》。該規定是對全國人大常委會《關于加強網絡信息保護的決定》的貫徹落實，進一步明確了電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施要求。 2014 年 3 月，我國新的《消費者權益保護法》正式實施。該法明確了消費者享有個人信息依法得到保護的權利，同時要求經營者采取技術措施和其他必要措施，確 保個人信息安全，防止消費者個人信息泄露、丟失。
2015 年 8 月，國務院印發《促進大數據發展行動綱要》（以下簡稱“行動綱要”），提出加快建設數據強國和釋放數據紅利，并加快政府數據開放共享，以提升治理能力。同時，行動綱要提出網絡空間數據主權保護是國家安全的重要組成部分，要求“強化安全保障、提高管理水平，促進健康發展”，并探索完善安全保密管理規范措施，切實保障數據安全。在大數據安全標準方面，行動綱要提出要進一步完善法規制度和標準體 系，大力推進大數據產業標準體系建設。
2016 年 3 月，第十二屆全國人大四次會議表決通過了《關于國民經濟和社會發展第十三個五年規劃綱要》（以下簡稱“十三五規劃綱要”）。十三五規劃綱要提出實施國家大數據戰略，全面實施促進大數據發展行動，同時要強化信息安全保障。該規劃綱要提出加強數據資源安全保護，具體表現為要建立大數據安全管理制度、實行數據資源分類分級管理和保 障安全高效可信應用。
2016 年 11 月，全國人民代表大會常務委員會發布了《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）。網絡安全法定義網絡數據為通過網絡收集、存儲、傳輸、處理和產生的各種電子數據，并鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創新和經濟社會發展。關于網絡數據安全保障方面，網絡安全法規定，要求網絡運營者采取數據分類、重要數據備份和加密等措施，防止網絡數據被竊取或者篡改，加強對公民個人信息的保護，防止公民個人信息被非法獲取、泄露或者非法使用，要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據， 網絡數據確實需要跨境傳輸時，需要經過安全評估和審批。
2016 年 12 月，國家互聯網信息辦公室發布《國家網絡空間安全戰略》，提出要實施國家大數據戰略，建立大數據安全管理制度，支持大數據、云計算等新一代信息技術創新和應用，為保障國家網絡安全夯實產業 基礎。

主要標準化組織大數據安全工作情況

目前，多個標準化組織正在開展大數據和大數據安全相關標準化工作，主要有國際標準化組織/國際電工委員會下的ISO/IEC JTC1 WG9（大數據工作組）、ISO/IEC JTC1 SC27（信息安全技術分委員會）、國際電信聯盟電信標準化部門（ITU-T）、美國國家標準與技術研究院（NIST）等。國內正在開展大數據和大數據安全相關標準化工作的標準化組織，主要有全國信息技術標準化委員會（以下簡稱“全國信標委”，委員會編號 為TC28）和全國信安標委（TC260）等。

2.2.1 ISO/IEC JTC
ISO/IEC JTC1 SC27是在ISO和IEC信息技術聯合委員會（ISO/IECJTC1）下屬安全技術分委員會，成立于 1990 年，其工作范圍涵蓋信息和ICT（信息與通信技術）保護的標準開發，包括安全與隱私保護方面的方法、技術和指南。目前下設五個工作組，分別為信息安全管理體系工作組（WG1）、密碼技術與安全機制工作組（WG2）、安全評價、測試和規范工作組（WG3）、安全控制與服務工作組（WG4）和身份管理與隱私保護技術工作組（WG5）。各工作組負責各自工作范圍內的多項標準開發，并根據需要設立相應的研究項目。
其中，WG5負責身份管理和隱私保護相關標準的研制和維護。WG結合其工作范圍和重點，開發了標準路線圖，概括了WG5已有標準項目、新工作項目提案，以及將來WG5可能涉及到的標準化主題等內容。WG工作組負責制定的隱私保護方面標準包括已發布的ISO/IEC 29100:《信息技術　安全技術　隱私保護框架》、ISO/IEC 29101:2013《信息技術　安全技術　隱私保護體系結構框架》、ISO/IEC 29190:2015《信 息技術　安全技術　隱私保護能力評估模型》、ISO/IEC 29191:
《信息技術　安全技術　部分匿名、部分不可鏈接鑒別要求》和ISO/IEC27018:2014《信息技術　安全技術　可識別個人信息（PII）處理者在公有云中保護PII的實踐指南》，即將發布的ISO/IEC 29134《信息技術　安全技術　隱私影響評估指南》和ISO/IEC 29151《信息技術　安全技術　可識別個人信息（PII）保護實踐指南》，以及正在工作草案階段的ISO/IEC29184 《在線隱私通知和準許指南》、ISO/IEC 27550《隱私保護工程》和 ISO/IEC 27551《對ISO/IEC 27001在隱私保護管理方面的增強要求》。
ISO/IEC JTC1 WG9是ISO/IEC JTC1于 2014 年 11 月成立的大數據工作組，目前正在開展ISO/IEC 20546《信息技術　大數據　概述和詞匯》和ISO/IEC 20547《信息技術　大數據參考架構》兩項國際標準編制。ISO/IEC 20547為多部分標準，包括ISO/IEC TR 20547-1《第 1 部分：框架和應用過程》、ISO/IEC TR 20547-2《第 2 部分：用例和衍生需求》、ISO/IEC20547-3《第 3 部分：參考架構》、ISO/IEC 20547-4《第 4 部分：安全與隱 私保護》、ISO/IEC TR 20547-5《第 5 部分：標準路線圖》。
其中，ISO/IEC 20547-4《信息技術　大數據參考架構　第 4 部分：安全與隱私保護》標準編制項目根據ISO/IEC JTC1 JAG（JTC1咨詢小組）2016 年 3 月巴黎會議決定被轉交給了ISO/IEC JTC1 SC27，現由SC27下屬 WG4和WG5共同負責，并任命中國專家擔任項目編輯。

ITU-T

ITU-T在 2013 年 11 月發布了《大數據：今天巨大，明天平常》報告，并 在其下屬相關研究組開展了多項大數據和大數據安全相關的標準化工作。
ITU-T SG13（聚焦于IMT-2020、云計算和可信網絡基礎設施的未來網絡研究組）負責制定的大數據相關標準包括：已發布的ITU Y.3600《大數據　基于云計算的要求和能力》，以及在編制中的《大數據　元數據框架和概念模型》、《大數據　數據集成概述和功能要求》、《大數據　數據溯源要求》、《大數據交換框架和要求》、《數據存儲聯合的要求和能力》、《大數據即服務的功能架構》、《大數據　數據保全概述和要求》、《大數據驅動聯網要求》、《基于DPI的大數據驅動聯網框架》和 《應用于網絡大數據語境下的深度包檢測機制》等。
ITU-T SG17（安全研究組）負責制定的大數據安全相關標準包括編制中的《移動互聯網服務中的大數據分析安全要求和框架》、《大數據即服 務的安全指南》，《電子商務業務數據生命周期管理安全參考架構》等。

NIST

美國國家標準與技術研究院（NIST）于 2012 年 6 月啟動了大數據相關基本概念、技術和標準需求的研究， 2013 年 5 月成立了NIST大數據公開工作組（NBG-PWG）， 2015 年 9 月編寫形成并發布了NIST SP 1500《NIST大數據互操作框架》系列標準（第一版），包括 7 個分冊，即：NIST SP1500-1《第 1 冊 定義》、NIST SP 1500-2《第 2 冊 大數據分類法》、NISTSP 1500-3《第 3 冊 用例和一般要求》、NIST SP 1500-4《第 4 冊 安全和隱私保護》、NIST SP 1500-5《第 5 冊 架構調研白皮書》、NIST SP 1500-《第 6 冊 參考架構》和NIST SP 1500-7《第 7 冊 標準路線圖》。其中，NIST SP 1500-4《NIST大數據互操作框架：第 4 冊 安全與隱私 保護》由NIST NBD-PWG的安全與隱私保護小組編寫。

2.2.4 TC

為推動和規范我國大數據產業的快速發展，培育大數據產業鏈，并與國際標準接軌，全國信標委在 2014 年 12 月成立了大數據標準化工作組（以下簡稱“大數據工作組”，BDWG），工作組主要負責制定和完善我國大數據領域標準體系，組織開展大數據相關技術和標準的研究，推動國際標準化活動，對口ISO/IEC JTC1 WG9大數據工作組。目前，工作組正在制定的國家標準有 12 項，其中《信息技術 大數據 術語》等 6 項國家標準進入報批階段，《信息技術 數據交易服務平臺 交易數據描述》等 3 項標準進入 征求意見階段、 1 項標準完成草案， 2 項標準完成草案框架。

TC260

為了加快推動我國大數據安全標準化工作，全國信安標委在 2016 年4 月成立大數據安全標準特別工作組（以下簡稱“特別工作組”，SWG-BDS），主要負責制定和完善我國大數據安全領域標準體系，組織開展大數據安全相關技術和標準研究。目前，特別工作組正在制定《信息安全技術 個人信息安全規范》、《信息安全技術 大數據服務安全能力要求》、《信息安全技術 大數據安全管理指南》等國家標準。其中，《信息安全技術 個人信息安全規范》和《信息安全技術 大數據服務安全能力要求》已經推進到征求意見稿階段。同時，特別工作組組織開展了針對大數據安全能力成熟度模型、大數據交易安全要求、數據出境安全評估等國家標準 的研究工作。

大數據安全相關標準現狀

數據安全以數據為中心，重點考慮數據生命周期各階段中的數據安全問題。大數據應用中包含海量數據，存在對海量數據的安全管理，因此，在分析大數據安全相關標準時，需要對傳統數據采集、組織、存儲、處理等安全相關標準進行適用性分析。此外，在大數據場景下，個人信息安全問題備受關注。由于大數據場景下的多源數據關聯分析可能導致傳統的個人信息保護技術失效，因此，大數據場景下更需要考慮個人信息安全問題，必須對現有個人信息保護技術和標準進行適用性分析。最后，大數據應用作為一個特殊的信息系統，除存在與傳統信息安全一樣的保密性、完整性和可用性要求外，還需要從管理角度研究大數據場景下信息系統的安全，因此，傳統信息系統的大部分信息安全管理體系和管理要求類標準仍然是適用的。下面對和大數據安全相關的傳統數據安全標準、個人信息保 護標準和專門為大數據應用制定的大數據安全相關標準進行梳理分析。

傳統數據安全標準規范

（一）支付卡行業數據安全標準介紹
支付卡行業數據安全標準（PCI-DSS）是PCI安全標準委員會制定的數據安全標準。PCI-DSS標準目標在于嚴格控制對支付卡持卡人數據的處理、存儲和傳輸，以保障銀行卡用戶在線交易的安全。PCI-DSS標準按每年交易量將商家分為四個等級，為不同等級商家提出不同強度的安全要求。PCI-DSS要求所有涉及信用卡支付的企業必須滿足PCI-DSS標準。PCI-DSS安全標準部分主要內容包括 6 大類要求：
1 ）構建和維護一個安全的網絡；
2 ）保護持卡人數據；
3 ）維護一個脆弱性管理流程；
4 ）實施強制訪問控制措施；
5 ）定期監控和測試網絡；
6 ）維護一個信息安全策略。
對于每一類要求，PCI-DSS對其進行了詳細規定，達到可操作的要求，比如，對于第 1 類安全要求（構建和維護一個安全的網絡），其規定：
1 ）安全維護一個防火墻配置來保護持卡人數據；
2 ）不要在系統密碼和其它安全參數方面使用默認值。
PCI-DSS也處于不斷發展之中，比如，針對云計算新型環境，PCI- DSS制定了專門的補充標準《信息補充：PCI-DSS云計算指南》。
（二）NCHHSTP數據安全和私密性指南
美國艾滋病、肝炎、性傳播疾病與結核病預防中心（NCHHSTP）發布了旨在實現HIV、病毒性肝炎、性傳播疾病，和肺結核監護數據共享的數據安全和私密性指南。該指南詳細分析了共享數據、維護安全和私密性的好處、風險和代價。給出了實現數據收集、存儲、共享和使用過程安全和私密性的 10 大指導原則，并制定了實現數據收集、存儲、共享和使用過程中安全和私密性的安全指南。
NCHHSTP數據安全 10 大原則為：1 ）公共健康數據的獲取、使用、披露和存儲必須為合法公共健康目的服務；
2 ）應該只收集最小數量的個人識別數據以執行必要的公共安全活動；
3 ）必須擁有保護個人識別數據隱私和安全的強安全策略；
4 ）數據的收集和適用策略必須反映出對個人和社區組織的尊重，且要減輕他們不必要的負擔；
5 ）必須有確保所采集和使用數據質量的策略和流程；
6 ）有責任及時使用和分發摘要數據給相關干系人；
7 ）數據共享應該只限于合法的公共健康目的，且必須及時為數據共享建立數據使用協議；
8 ）公共健康數據應該在一個安全環境中保存，以及通過安全方法傳輸；
9 ）最小化被授權訪問可識別個人信息的人員和實體的數量；
10 ）職員應該主動負責對公共健康數據的管理。
NCHHSTP數據安全和隱私性指南包括五個方向：策略和責任、數據 的收集和使用、數據的共享和發布、物理安全和電子數據安全。

個人信息安全標準規范

（一）ISO/IEC 29100:2011《信息技術 安全技術 隱私保護框架》
該標準為信息與通信技術（ICT）系統內可識別個人信息（PII）的保護提供了一個高層次隱私保護框架。該隱私保護框架規范了通用的隱私保護術語；定義了處理PII中的參與者及其角色；描述了隱私保護的考慮事項；為實現由許多國際組織開發的 11 個隱私保護原則提供指導。 11 個隱私保護原則包括同意和選擇、意圖合法性和規約、收集限制、數據最小化、使用/保留/披露限制、準確和質量、開放/透明/告知、個體參與和訪問、可核查性、信息安全、隱私保護合規。該標準適用于涉及規范、獲取、構建、設計、開發、測試、維護、管理和運行需要隱私保護控制措施來處理PII的ICT系統或服務的任何自然人和組織。
（二）ISO/IEC 29101:2013《信息技術 安全技術 隱私保護體系結構框架》
該標準定義了一個隱私參考體系結構框架，該框架明確提出了處理PII的ICT系統的關心點，列出了實現這種系統的組件，并提供了將這些組件語境化的體系結構視圖。該標準適用于涉及規劃、獲取、構建、設計、測試、維護、管理和運行處理PII的ICT系統的實體。
（三）ISO/IEC 29190:2015《信息技術　安全技術　隱私保護能力評估模型》
該標準為組織評估其管理隱私保護相關過程的能力提供高層指南，規范了確定隱私保護能力的評估過程和評估級別，為評估隱私保護能力的關鍵過程域及其實現，以及如何將隱私保護能力評估繼承到組織運行中提供 了指南。
（四）ISO/IEC 27018:2014《信息技術 安全技術 可識別個人信息（PII）處理者在公有云中保護PII的實踐指南》
該標準依據ISO/IEC 29100給出的隱私保護原則，為在公有云計算環境中保護可識別個人信息（PII），建立了普遍接受的控制目標、控制措施和測量實現指南。特別是，該標準考慮到在公有云提供者的信息安全風險環境下適用的PII保護法規要求，基于ISO/IEC 27002給出指南。該標準適用于作為PII處理者通過云計算提供信息處理服務的所有類型和規模的組織。
（五）ISO/IEC 29134《信息技術 安全技術 隱私影響評估指南》該標準為隱私影響評估（PIA）過程以及PIA報告的結構和內容給出指南。該標準適用于所有類型和規模組織。
（六）ISO/IEC 29151《信息技術 安全技術 可識別個人信息（PII）保護實踐指南》
該標準為滿足通過可識別個人信息（PII）保護相關的風險和影響評估而識別的要求，建立了控制目標和控制措施，并提供了控制措施實現指南。該標準考慮到在組織信息安全風險環境下適用的PII處理要求，基于ISO/IEC 27002給出指南。該標準適用于作為PII控制者的所有類型和規模的組織。
（七）BS 10012:2009《數據保護 個人信息管理系統規范》
該標準由英國標準協會（BSI）于 2009 年 6 月發布，主要是針對個人信息保護所提出的“個人信息保護標準”，其中參考了經濟開發合作組織（OECD）的個人隱私權保護的八大原則，用于支撐歐盟隱私保護條例和英國的數據保護法案，強調要建立一個管理體系，并且就個人信息跨境管理的情況給出了建議。
該標準規范了個人信息管理體系（PIMS）要求，提供了一個框架用于維護和改進數據保護的合規性和最佳實踐。該標準適用于任何規模和行業的組織，主要為在其內部啟動、實施和維護PIMS的組織所用。該標準旨在提供個人信息管理的共同基礎，以便增強個人信息管理的信心，并使 得內部和外部評估者能夠有效地評估數據保護的合規性和最佳實踐。
（八）《信息安全技術 個人信息安全規范》（國家標準，在研）該標準提出了通過計算機系統處理個人信息時，應當遵循的原則和采取的安全控制措施。該標準要求個人信息控制者在使用計算機系統對個人信息進行處理時，應遵循以下基本原則：目的明確原則、同意和選擇原則、最少夠用原則、開放透明原則、質量保證原則、確保安全原則、個體參與原則、問責原則、披露限制原則。該標準用于指導組織內部建立個人信息保護策略，并用于指導產品、服務、內部信息系統的設計、開發和實現。

參考文檔

tc260 大數據安全標準化白皮書 2018版

總結

以上是生活随笔為你收集整理的【无标题】数据安全相关法律法规学习记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。