《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 楊建軍:數(shù)據(jù)安全及其標(biāo)準(zhǔn)化

楊建軍:數(shù)據(jù)安全及其標(biāo)準(zhǔn)化

2019-08-28
關(guān)鍵詞: 楊建軍 數(shù)據(jù)安全 APP

1.jpg

楊建軍  中國電子技術(shù)標(biāo)準(zhǔn)化研究院副院長,全國信安標(biāo)委秘書長

  第一個是數(shù)據(jù)安全現(xiàn)狀與態(tài)勢,第二個是數(shù)據(jù)安全標(biāo)準(zhǔn)化情況。數(shù)據(jù)安全或者說數(shù)據(jù)早就有了,我今天想說的主要是網(wǎng)上跑的數(shù)據(jù),以前的數(shù)據(jù)比較少,而且數(shù)據(jù)質(zhì)量又不高,大家沒有給數(shù)據(jù)開放利用,也沒有很好的手段,關(guān)注度不夠,現(xiàn)在數(shù)據(jù)量大了,數(shù)據(jù)的質(zhì)量也高了,數(shù)據(jù)的價值也體現(xiàn)了,特別是大數(shù)據(jù)開始以后,我們所有數(shù)據(jù)的挖掘,這個數(shù)據(jù)不僅僅是網(wǎng)上跑的,它還可以變成金錢,甚至跟名利相關(guān),這樣大家比較關(guān)注數(shù)據(jù)問題了,數(shù)據(jù)安全就重視起來了,目前來說數(shù)據(jù)安全是當(dāng)今影響我們世界最大問題之一,每個人都得關(guān)心數(shù)據(jù)安全,數(shù)據(jù)安全涉及到不僅是每個人的信息問題,涉及到有關(guān)人的利益,金錢甚至是生命,大家對數(shù)據(jù)安全非常關(guān)注,我做標(biāo)準(zhǔn)的有一個感受,每年上標(biāo)準(zhǔn),一上標(biāo)準(zhǔn)大家提了很多數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn),但是對數(shù)據(jù)安全了解多少,大家還是不清楚的,我也不清楚,我們還在探索的過程中,目前數(shù)據(jù)安全的事件非常多,有很多是真的,有很多不一定是真實的,說明一個問題,說明對數(shù)據(jù)安全比較關(guān)注,全球的數(shù)據(jù)安全比較關(guān)注,目前的現(xiàn)狀在座人可能都比較清楚,像這兩年這是2018年、2019年的數(shù)據(jù)安全,這些都是我們認為比較真實的網(wǎng)絡(luò)安全事件,每年都會有關(guān)于數(shù)據(jù)安全的問題,有一些是,有一些是不實的報道,甚至有大題小作的報道,做網(wǎng)絡(luò)安全對這個會有客觀的判斷,不管是不是真實的,或者是不是虛假的,說明一個問題,大家對這個很關(guān)注,對媒體來說如果是不吸引眼球媒體不會關(guān)注,近幾年,關(guān)于數(shù)據(jù)安全,關(guān)于個人信息保護非常多,數(shù)據(jù)安全,數(shù)據(jù)的保密性,數(shù)據(jù)的完整性,數(shù)據(jù)的可用性,從近期的事件來看,目前的數(shù)據(jù)安全主要發(fā)生在幾個方面,第一個是個人信息問題,涉及到國家安全,涉及到企業(yè)利益的數(shù)據(jù),在安全性上面大家關(guān)注數(shù)據(jù)的收集,你收了不該收的數(shù)據(jù)這是大家比較關(guān)注的,手機上每個人都說某個APP收了我們的數(shù)據(jù),第二個收了數(shù)據(jù)以后沒有好好保護,泄露出去了,這涉及到數(shù)據(jù)的保密性,數(shù)據(jù)收了以后用到其他的途徑,用到不該用的地方,這是數(shù)據(jù)安全大家最關(guān)注的三個點,對國家角度來說涉及到國防,經(jīng)濟,我說的是對平常老百姓角度關(guān)注的,你收了不該收的信息,拿了數(shù)據(jù)沒有好好保護,拿了數(shù)據(jù)去賺錢了,315曝了一個APP,各個省、協(xié)會都做了關(guān)于手機APP,數(shù)據(jù)的完整性,數(shù)據(jù)的可用性相對事件還不夠多,比如說某個數(shù)據(jù)收了,某個數(shù)據(jù)庫被破壞了,這方面的數(shù)據(jù)安全比較少,我們現(xiàn)在更關(guān)注的是數(shù)據(jù)的保護層面,怎么保護數(shù)據(jù)重要性,以及數(shù)據(jù)的使用層面這是我們目前關(guān)注的,全球各國都非常關(guān)注數(shù)據(jù)安全問題,目前已經(jīng)有107個國家已經(jīng)有相關(guān)的數(shù)據(jù)安全或者是隱私保護的處罰立項的規(guī)定,有66個國家是發(fā)展中國家或者是經(jīng)濟轉(zhuǎn)型的國家,不管是發(fā)達國家、發(fā)展中國家大家都比較關(guān)注數(shù)據(jù)安全,目前數(shù)據(jù)和安全是掛鉤的,現(xiàn)在做數(shù)據(jù)安全比較好的,從技術(shù)、立法比較好的還是在歐美國家,歐美國家對數(shù)據(jù)安全的相關(guān)層面要比發(fā)達國家,發(fā)展中國家要好很多,像歐美,歐洲,美國,北美都比較好,像亞洲、非洲的比例還好一些,目前還算不是非常普及,目前發(fā)達國家基本上都有,發(fā)展中國家一半左右,我們做企業(yè)在歐洲有公司的都比較關(guān)注的,GDPR開始以后,有的就撤回了,我們國家數(shù)據(jù)和安全相關(guān)的法律法規(guī)大家也比較清楚,從數(shù)據(jù)安全法律法規(guī)來說到一些部門規(guī)章,司法解釋等等,這是一個整體的法律法規(guī)體系,我們國家的數(shù)據(jù)安全它沒有一個整體的數(shù)據(jù)安全法,比如說法律有一個民法,有個人隱私,像網(wǎng)絡(luò)安全法對數(shù)據(jù)安全,個人信息保護都有非常明確的條文去規(guī)定的,還有侵權(quán)責(zé)任法,消費者權(quán)益保護法,全國人大常委會關(guān)于加強網(wǎng)絡(luò)安全的決定這里面多多少少都含有數(shù)據(jù)安全等相關(guān)的條款,在行政法規(guī)目前正式發(fā)布了還是比較少,現(xiàn)在也有了做法,部門法規(guī)也有一些消費者,消協(xié)會做一些保護這些都是基于互聯(lián)網(wǎng)業(yè)務(wù)提出的關(guān)于個人信息保護相關(guān)的,真正針對數(shù)據(jù)安全法律法規(guī)是沒有的,正在制定過程中,我們2018年像網(wǎng)絡(luò)安全法,個人信息保護法已經(jīng)立于人大常委了,像我們的數(shù)據(jù)安全法它的地位還是比較高的,跟網(wǎng)絡(luò)安全法是并列,這個數(shù)據(jù)安全法包括跟國家所有的相關(guān)數(shù)據(jù),剛才說了法律法規(guī),法律法規(guī)還有一個部門的規(guī)范性文件,上個月網(wǎng)信辦發(fā)了一個數(shù)據(jù)安全管理辦法,就類似于規(guī)范性文件,落實網(wǎng)絡(luò)安全法非常有效的指導(dǎo)性文件,昨天網(wǎng)信辦又出了一個征求意見稿,個人信息出境安全評估方法,這也是針對數(shù)據(jù)安全非常有針對性的文件,這兩個文件近期推出以后對后續(xù)數(shù)據(jù)安全工作有非常大的促進推動,說了這么多的法律法規(guī),咱們說一說標(biāo)準(zhǔn),標(biāo)準(zhǔn)是落實法律法規(guī)很好的手段,因為法律法規(guī)都比較泛,真正要落實的時候,必須要有相應(yīng)的標(biāo)準(zhǔn),相應(yīng)的技術(shù)手段去落實相關(guān)的法律法規(guī),標(biāo)準(zhǔn)化工作非常重要,每次大家說到法律法規(guī)落實都說到標(biāo)準(zhǔn)是多少,支撐法律法規(guī)的標(biāo)準(zhǔn)是多少,我們網(wǎng)絡(luò)安全法的工作主要是為了落實網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),數(shù)據(jù)安全同樣,都是我們網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作中的重要內(nèi)容。

  數(shù)據(jù)安全是網(wǎng)絡(luò)標(biāo)準(zhǔn)安全的一部分,全國信安標(biāo)委是2002年成立,是國家網(wǎng)絡(luò)安全主管部門,七個主管部門共同的平臺,包括網(wǎng)信辦,網(wǎng)信辦是牽頭,里面有公安,公信,保密,安全密碼,主要國家網(wǎng)絡(luò)安全主管部門都在信安標(biāo)委,咱們國家的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是由網(wǎng)信辦和主任委員,標(biāo)準(zhǔn)化委員會層次比較高,而且標(biāo)準(zhǔn)化工作任務(wù)也比較,主要負責(zé)的是網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn),現(xiàn)在成員比較多,工作組成員應(yīng)該有888家,成立以來,信安標(biāo)委已經(jīng)做了將近四百個標(biāo)準(zhǔn),其中兩百多個已經(jīng)發(fā)布了,里面涉及到網(wǎng)絡(luò)安全相關(guān)的,其中有一部分是數(shù)據(jù)安全,數(shù)據(jù)安全以前我們不是很重視,但是2016年網(wǎng)信辦成立以后,對數(shù)據(jù)安全重視以后,成立了一個信安標(biāo)委大數(shù)據(jù)工作組,要把數(shù)據(jù)安全工作重視起來,當(dāng)時專門成立了一個大數(shù)據(jù)工作組,工作組主要負責(zé)的大數(shù)據(jù)安全以及相關(guān)的云計算,物聯(lián)網(wǎng)等數(shù)據(jù)應(yīng)用相關(guān)的標(biāo)準(zhǔn),這是數(shù)據(jù)化安全標(biāo)準(zhǔn)化工作的要求,數(shù)據(jù)安全標(biāo)準(zhǔn),咱們國家是2016年成立,國際上做的比較早,國際最早的時候他們最早體現(xiàn)在隱私保護,隱私保護當(dāng)時是由美國人提出來的,由于隱私保護在不同國家制度不一樣,這一個標(biāo)準(zhǔn)推動非常的艱難,歐洲保護跟美國保護,跟日本的不一樣,當(dāng)時我們國家還沒有在這方面做太多的工作,自從成立大數(shù)據(jù)標(biāo)準(zhǔn)工作組以后,我們國家的很多企業(yè)、專家在這方面做了大量的工作,在這個方面我們在國際上標(biāo)準(zhǔn)還是往前走了一步現(xiàn)在大數(shù)據(jù)標(biāo)準(zhǔn)大部分都是中國提出來的,2018年我們在武漢專門提出了一個成立數(shù)據(jù)安全國際標(biāo)準(zhǔn)工作組,由中國牽頭,很快美國人就反對,美國人很清楚,如果我們牽頭做,這一塊相當(dāng)于我們在引領(lǐng),他們不樂意,當(dāng)時我們成立一個研究所,經(jīng)過一年研究以后取得了很大的收獲。

  第二個我們提出了很多大數(shù)據(jù)相關(guān)的工作,包括大數(shù)據(jù)架構(gòu)國外還沒有注意到這個事情的時候我們就提出來了,大數(shù)據(jù)安全隱私以及數(shù)據(jù)安全,這些項目都是由中國提出的,國際這一塊數(shù)據(jù)安全在一定程度上目前中國是取得領(lǐng)先位置,阻力也不小,數(shù)據(jù)安全確實涉及到美國的利潤,走的太快美國人也不愿意,歐洲也不愿意,整個數(shù)據(jù)安全是由歐美主導(dǎo)的,從國際來看現(xiàn)在我們的數(shù)據(jù)安全標(biāo)準(zhǔn)已經(jīng)是越走越快了,抓緊推動數(shù)據(jù)安全國際和國內(nèi)的調(diào)查工作,從目前來看在國際上還是取得領(lǐng)先位置。國內(nèi)的數(shù)據(jù)安全標(biāo)準(zhǔn)啟動也是比較早的,做的時候也是比較艱難的,數(shù)據(jù)安全這個東西大家都知道它的概念比較泛,數(shù)據(jù)安全的保護也比較難,很難定義數(shù)據(jù)是否重要,跟場景是密切相關(guān)的,現(xiàn)在做的很多法規(guī)、標(biāo)準(zhǔn)里一提到重要數(shù)據(jù),什么叫重要數(shù)據(jù),每次大家都會提什么叫重要數(shù)據(jù),哪些是個人數(shù)據(jù),聽起來很簡單,真正要做到標(biāo)準(zhǔn)是很難的,作為一個法律條款更難,我們現(xiàn)在出的數(shù)據(jù)安全管理辦法等,這些文件出的難度比較大,但是又不能不做,咱們國內(nèi)做標(biāo)準(zhǔn)也是為了支撐網(wǎng)絡(luò)安全,包括數(shù)據(jù)的聲明,個人信息的保護怎么去保護,現(xiàn)在數(shù)據(jù)安全主要是為了網(wǎng)絡(luò)安全法以及人大關(guān)于信息保護的決定有一些明法的要求,現(xiàn)在針對網(wǎng)絡(luò)數(shù)據(jù)安全辦法,都制定了一系列的相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn),整個數(shù)據(jù)安全標(biāo)準(zhǔn)我認為是對整個數(shù)據(jù)法律法規(guī)政策配套的細化和支撐,前兩天我們發(fā)布了個人信息APP違法違規(guī)使用個人信息征信辦法,都是對某個法律里面的某一段細化的,信安標(biāo)委已經(jīng)發(fā)布的標(biāo)準(zhǔn)有個人信息保護規(guī)范,這個已經(jīng)發(fā)布了,現(xiàn)在正在修訂,這個規(guī)范對我們數(shù)據(jù)安全,個人信息保護起了很大的指導(dǎo)作用,還有大數(shù)據(jù)服務(wù)安全能力要求以及數(shù)據(jù)促進質(zhì)量標(biāo)準(zhǔn),最近我們又提出了一系列標(biāo)準(zhǔn),數(shù)據(jù)安全標(biāo)準(zhǔn)體系逐漸在完善過程中,現(xiàn)在有22項數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)項目,5項是與個人信息保護相關(guān),15項與數(shù)據(jù)安全相關(guān),而且它的標(biāo)準(zhǔn)化對象也比較廣,涉及到數(shù)據(jù)服務(wù),數(shù)據(jù)產(chǎn)品,范圍覆蓋包括醫(yī)療、政務(wù)、能源等等,現(xiàn)在是全面做數(shù)據(jù)安全標(biāo)準(zhǔn),還涉及個人信息去標(biāo)識,隱私工程,隱私影響,隱私保護,數(shù)據(jù)分類分級,數(shù)據(jù)安全,數(shù)據(jù)交易等等,我說的22項只是我們覺得應(yīng)該馬上要做的,當(dāng)時提出來的就不止幾倍,我們一步步來,現(xiàn)在目前有安全要求的標(biāo)準(zhǔn),有大數(shù)據(jù)服務(wù)能力要求,數(shù)據(jù)交易服務(wù)安全,政務(wù)信息共享等,這是技術(shù)要求類,還包括實施指南類幫助我們一般的網(wǎng)民或者是企業(yè)去做數(shù)據(jù)安全,像個人信息去標(biāo)識,把個人信息的特征給去掉,還有個人信息安全工程,個人信息不是數(shù)據(jù)出來了,有了數(shù)據(jù)才有數(shù)據(jù)安全,數(shù)據(jù)安全是從系統(tǒng)建設(shè)要考慮的,是工程性問題,現(xiàn)在國際上提出要數(shù)據(jù)安全保護工程,我們現(xiàn)在叫做個人信息安全工程,現(xiàn)在很多APP都告知同意我要收取你的信息,檢測評估類的有四項,實施指南類有八項,基礎(chǔ)框架類三項,我剛才說的我們老百姓比較關(guān)注的是個人信息,國家比較關(guān)注的是重要數(shù)據(jù),很多企業(yè)數(shù)據(jù)是企業(yè)層面來保護的,目前的標(biāo)準(zhǔn)關(guān)注的點還是在重要數(shù)據(jù)和個人信息相關(guān)的,企業(yè)做數(shù)據(jù)安全在座的最有發(fā)言權(quán),在座的也最有經(jīng)驗,如果在座有覺得可以推廣,可以給大家采用的經(jīng)驗可以提出來,作為國家標(biāo)準(zhǔn),行業(yè)標(biāo)準(zhǔn)去推廣使用。

  2019年新申請的立項標(biāo)準(zhǔn),這七個項目是我們2019最近這批大家提出的要制定的項目,像告知同意,大數(shù)據(jù)軟件安全,數(shù)據(jù)安全評估,云服務(wù)數(shù)據(jù)安全,人工智能算法等,這相關(guān)的與數(shù)據(jù)安全的新立項標(biāo)準(zhǔn)以及研究性,重要數(shù)據(jù),分類研究等等,這些基礎(chǔ)工作已經(jīng)全面鋪開了,大家有興趣可以參與到這個項目中來。

  這是典型數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)內(nèi)容,我就不細說了,這里面的內(nèi)容比較多,像個人信息安全規(guī)范主要圍繞是個人信息保護相關(guān)的,怎么收集、保護、分發(fā)、銷毀,整個個人信息的全生命周期予以規(guī)范。

  數(shù)據(jù)出境安全評估指南,個人信息安全影響評估,健康醫(yī)療信息安全指南,這些信息的保護標(biāo)準(zhǔn)也是對我們行業(yè)提供指導(dǎo)的,這些標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。

  目前有一些標(biāo)準(zhǔn)已經(jīng)用上了,個人信息安全規(guī)范,2017年在網(wǎng)信辦牽頭下我們做了個人信息保護提升行動,對我們所有的APP個人隱私,所謂個人隱私就是收什么數(shù)據(jù)用什么數(shù)據(jù),評估,發(fā)現(xiàn)基本都不符合,當(dāng)時我們有十家互聯(lián)網(wǎng)企業(yè)給他的APP系統(tǒng)進行評估,效果比較好,評估以后一方面提升了企業(yè)對APP的認知,手段也提高了,聲明、條款這些方面明顯提高,2018年我們又重新做了三十家企業(yè),對企業(yè)的促進作用比較大。

  還有一個數(shù)據(jù)安全能力成熟度模型,大家都知道大數(shù)據(jù)就是一個框,你的安全能力你有沒有能力保護這些數(shù)據(jù)安全,這是關(guān)鍵的,我要評估一下大數(shù)據(jù)的能力,或者自己評估一下有沒有能力保護的數(shù)據(jù),這個標(biāo)準(zhǔn)在貴州有數(shù)百家使用這個標(biāo)準(zhǔn),對保護安全能力建設(shè)是非常重要的,有一個尺度,我知道怎么建好數(shù)據(jù)安全能力,這個也是比較重要的標(biāo)準(zhǔn)。

  第三個健康醫(yī)療信息安全指南,不僅僅是個人信息,涉及到整個國家的,通過清華大學(xué)做一個醫(yī)療信息安全指南,如何收集保護使用信息,希望標(biāo)準(zhǔn)對我們后續(xù)的健康醫(yī)療,一方面要用起來,第二個要保護數(shù)據(jù)個人的安全,保護國家的安全。

  還有個人信息相關(guān)的,今年初四部門網(wǎng)信辦牽頭,工業(yè)和信息化部,公安部門,市場監(jiān)管總局發(fā)起一個APP違法違規(guī)收集使用個人信息專項治理的發(fā)布會,網(wǎng)絡(luò)安全法規(guī)定收集信息必須要公開明示,怎么公開明示,是不是在哪個地方放著就公開了,個人隱私政策有但是找不到,有的能打開但是看不懂,這個要明示,怎么公開,怎么明示,什么叫明示同意,要把這些東西規(guī)范起來,也提出了相應(yīng)的技術(shù)法規(guī),包括認定辦法,還有APP要收什么樣的信息,不能收什么樣的信息,都要有相應(yīng)的規(guī)范,目前通過這個專項行動對大批的APP進行了評估,也希望大家后續(xù)有機會可以多關(guān)注我們行動的情況。

  目前做的行動,給企業(yè)做了評估指南,企業(yè)怎么做。第二個對大眾使用的APP做一些必要的規(guī)范,告訴APP能收什么樣的信息,別超范圍收取,還有認定辦法。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。