2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南

企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南

目錄

1數(shù)據(jù)安全政策和背景.............................................................9

1.1數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀.........................................................9

1.2數(shù)據(jù)安全政策現(xiàn)狀........................................................13

2數(shù)據(jù)安全風(fēng)險(xiǎn)管理概述..........................................................26

2.1數(shù)據(jù)生命周期處理活動(dòng)概述................................................26

2.2數(shù)據(jù)安全風(fēng)險(xiǎn)概述.......................................................28

2.3數(shù)據(jù)安全風(fēng)險(xiǎn)影響分析...................................................30

2.4數(shù)據(jù)安全風(fēng)險(xiǎn)管理的必要性...............................................33

3數(shù)據(jù)安全風(fēng)險(xiǎn)管理..............................................................34

3.1數(shù)據(jù)安全風(fēng)險(xiǎn)管理框架....................................................34

3.2數(shù)據(jù)安全風(fēng)險(xiǎn)管理規(guī)劃...................................................36

3.3數(shù)據(jù)處理活動(dòng)管理.......................................................39

3.4數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估.......................................................44

3.5數(shù)據(jù)安全風(fēng)險(xiǎn)處置.......................................................50

3.6數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)督改進(jìn)...................................................51

3.7數(shù)據(jù)安全風(fēng)險(xiǎn)溝通與評(píng)審.................................................57

4企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理典型實(shí)踐..................................................60

4.1企業(yè)數(shù)字化建設(shè)背景......................................................60

4.2企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理實(shí)踐...............................................62

附錄A：數(shù)據(jù)安全風(fēng)險(xiǎn)賦值表......................................................67

A.1數(shù)據(jù)重要程度賦值表......................................................67

A.2脆弱性可利用性賦值表....................................................67

A.3威脅動(dòng)機(jī)賦值表..........................................................67

A.4威脅能力賦值表..........................................................68

A.5威脅發(fā)生頻率賦值表......................................................68

附錄B：數(shù)據(jù)安全風(fēng)險(xiǎn)管理工具模板.................................................69

B.1數(shù)據(jù)清單...............................................................69

B.2數(shù)據(jù)處理活動(dòng)場景清單...................................................69

B.3已有安全措施清單.......................................................70

B.4脆弱性清單.............................................................70

B.5應(yīng)用場景脆弱性嚴(yán)重程度.................................................70

B.6數(shù)據(jù)脆弱性嚴(yán)重程度.....................................................70

B.7數(shù)據(jù)脆弱性可造成的損失.................................................70

B.8數(shù)據(jù)安全威脅清單.......................................................71

B.9風(fēng)險(xiǎn)清單...............................................................71

B.10數(shù)據(jù)風(fēng)險(xiǎn)值計(jì)算結(jié)果清單................................................71

B.1I風(fēng)險(xiǎn)處置建議清單......................................................71

附錄C：數(shù)據(jù)安全風(fēng)險(xiǎn)分析資料清單................................................71

C.1常見脆弱性示例..........................................................71

C.2數(shù)據(jù)安全威脅與脆弱性的利用關(guān)系示例......................................81

7

C.3數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)劃分參考表.................................................94

C.4數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告參考模板..............................................95

8

1數(shù)據(jù)安全政策和背景

1.1數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀

1.1.1數(shù)字經(jīng)濟(jì)的概念界定和分類范圍

進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，世界各國對(duì)數(shù)據(jù)的依賴快速上升，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略

資源，對(duì)社會(huì)生活方式、經(jīng)濟(jì)運(yùn)行機(jī)制、國家治理能力等產(chǎn)生重要影響。

數(shù)字經(jīng)濟(jì)，是指以數(shù)據(jù)資源作為關(guān)鍵生產(chǎn)要素、以現(xiàn)代信息區(qū)絡(luò)作為重要載體、以

信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動(dòng)力的一系列經(jīng)濟(jì)活

動(dòng)。

“十三五”期間，我國數(shù)字經(jīng)濟(jì)增長主要體現(xiàn)在網(wǎng)上購物、移動(dòng)支付、在線教育、

短視頻等領(lǐng)域。

“十四五”規(guī)劃綱要中明確指出，進(jìn)一步發(fā)展云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、

區(qū)塊鏈、人工智能、VR與AR、數(shù)字社會(huì)建設(shè)等七大數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)，意味著數(shù)字

經(jīng)濟(jì)正在成為國家的重點(diǎn)發(fā)展對(duì)象。

根據(jù)國家統(tǒng)計(jì)局發(fā)布的《數(shù)字經(jīng)濟(jì)及其核心產(chǎn)業(yè)統(tǒng)計(jì)分類(2021)》，數(shù)字經(jīng)濟(jì)產(chǎn)

業(yè)范圍被確定為：1數(shù)字產(chǎn)品制造業(yè)、2數(shù)字產(chǎn)品服務(wù)業(yè)、3數(shù)字技術(shù)應(yīng)用業(yè)、4數(shù)字要

素驅(qū)動(dòng)業(yè)、5數(shù)字化效率提升業(yè)等5個(gè)大類。

數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)是指為產(chǎn)業(yè)數(shù)字化發(fā)展提供數(shù)字技術(shù)、產(chǎn)品、服務(wù)、基礎(chǔ)設(shè)施和

解決方案，以及完全依賴于數(shù)字技術(shù)、數(shù)據(jù)要素的各類經(jīng)濟(jì)活動(dòng)。分類中1Y大類為數(shù)

字經(jīng)濟(jì)核心產(chǎn)業(yè)：主要包括計(jì)算機(jī)通信和其他電子設(shè)備制造業(yè)、電信廣播電視和衛(wèi)星傳輸

服務(wù)、互聯(lián)網(wǎng)和相關(guān)服務(wù)、軟件和信息技術(shù)服務(wù)業(yè)等，是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)；第5大

類為產(chǎn)業(yè)數(shù)字化部分，指應(yīng)用數(shù)字技術(shù)和數(shù)據(jù)資源為傳統(tǒng)產(chǎn)業(yè)帶來的產(chǎn)出增加和效率提升,

是數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)的融合。如圖1所示：

9

產(chǎn)jirntn美（202i））

圖1數(shù)字經(jīng)濟(jì)及其核心產(chǎn)業(yè)統(tǒng)計(jì)分類圖

L1.2我國主要區(qū)域相關(guān)政策和發(fā)展目標(biāo)

目前，我國各省市已陸續(xù)出臺(tái)數(shù)字經(jīng)濟(jì)相關(guān)規(guī)劃、行動(dòng)計(jì)劃、指導(dǎo)意見等，涵蓋數(shù)字

經(jīng)濟(jì)、制造業(yè)與互聯(lián)網(wǎng)融合、智慧城市、數(shù)字政府等領(lǐng)域，持續(xù)推匆數(shù)字經(jīng)濟(jì)戰(zhàn)略政策落

地實(shí)施。

2021年我國各省市共出臺(tái)216個(gè)數(shù)字經(jīng)濟(jì)相關(guān)政策，其中，32個(gè)頂層設(shè)計(jì)政策、6

個(gè)數(shù)據(jù)價(jià)值化政策、35個(gè)數(shù)字產(chǎn)業(yè)化政策、54個(gè)產(chǎn)業(yè)數(shù)字化政策、89個(gè)數(shù)字化治理政

策。

我國數(shù)字經(jīng)濟(jì)發(fā)展具有區(qū)域聚集特征，京津冀、長三角、珠三角、川渝等區(qū)域成為

我國數(shù)字經(jīng)濟(jì)發(fā)展的核心區(qū)域，這些區(qū)域的數(shù)字經(jīng)濟(jì)發(fā)展目標(biāo)在相關(guān)政策文件中基本明確,

如表1所示：

10

表1各區(qū)域數(shù)字經(jīng)濟(jì)發(fā)展目標(biāo)表

省(市)所屬區(qū)域政策文件發(fā)展目標(biāo)

打造成為全國數(shù)字經(jīng)濟(jì)發(fā)展的先

《北京市促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新

導(dǎo)區(qū)和示范區(qū)；到2022年，數(shù)字

北京發(fā)展行動(dòng)綱要(2020-2022

經(jīng)濟(jì)增加值占地區(qū)GDP比重達(dá)到

年)》

55%。

到2023年，數(shù)字經(jīng)濟(jì)占GDP比重

《天津市促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展

天津全國領(lǐng)先，力爭把濱海新區(qū)打造成

行動(dòng)方案(2019-2023年)》

京津冀為國家數(shù)字經(jīng)濟(jì)示范區(qū)。

到2022年，基本形成以大數(shù)據(jù)產(chǎn)

業(yè)、制造業(yè)數(shù)字化、服務(wù)業(yè)數(shù)字化、

《河北省數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃電子信息產(chǎn)業(yè)為支撐的數(shù)字經(jīng)濟(jì)發(fā)展

河北

(2020-2025年)》格局；到2025年，全省電子

信息產(chǎn)業(yè)主營業(yè)務(wù)收入突破5000

億元。

到2025年，上海全面推進(jìn)城市數(shù)

字化轉(zhuǎn)型取得顯著成效，國際數(shù)字

《關(guān)于全面推進(jìn)上海城市數(shù)

上海之都建設(shè)形成基本框架；到2035

字化轉(zhuǎn)型的意見》

年，成為具有世界影響力的國際數(shù)

字之都。

到2022年，浙江數(shù)字經(jīng)濟(jì)增加值

長三角要達(dá)到4萬億元以上，占全省國民

經(jīng)濟(jì)生產(chǎn)總值比重超過55%,基本

《浙江省國家數(shù)字經(jīng)濟(jì)創(chuàng)新建成全國領(lǐng)先的數(shù)字政府先行區(qū)、

浙江

發(fā)展試驗(yàn)區(qū)建設(shè)工作方案》數(shù)字經(jīng)濟(jì)體制機(jī)制創(chuàng)新先導(dǎo)區(qū)、數(shù)

字社會(huì)發(fā)展樣板區(qū)、數(shù)字產(chǎn)業(yè)化

發(fā)展引領(lǐng)區(qū)和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型標(biāo)

桿區(qū)。

11

以建設(shè)數(shù)字經(jīng)濟(jì)強(qiáng)省為總目標(biāo)，全

力打造具有世界影響力的數(shù)字技

《關(guān)于深入推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)術(shù)創(chuàng)新、國際競爭力的數(shù)字產(chǎn)業(yè)發(fā)

江蘇

展的意見》展、未來引領(lǐng)力的數(shù)字社會(huì)建設(shè)和

全球吸引力的數(shù)字開放合作“4”大

高地。

《廣東省培育數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)建成“國家數(shù)字經(jīng)濟(jì)發(fā)展先導(dǎo)區(qū)”，

廣東集群行動(dòng)計(jì)劃（2019-2025力爭2022年數(shù)字經(jīng)濟(jì)規(guī)模達(dá)7萬

年）》億元，占GDP比重接近55%。

到2022年，全市數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)增

《深圳市數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)創(chuàng)新加值突破2400億元年均增速15%

深圳珠三角發(fā)展實(shí)施方案（征求意見左右；努力建成全國領(lǐng)先、全球一流

稿）》的數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)創(chuàng)新發(fā)展引領(lǐng)城

市。

2035年全市數(shù)字經(jīng)濟(jì)總體規(guī)模達(dá)2

《佛山市推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展

佛山萬億元，努力將佛山打造成全國數(shù)字

實(shí)施方案》

經(jīng)濟(jì)發(fā)展標(biāo)桿城市之一。

力爭到2022年，數(shù)字經(jīng)濟(jì)總量達(dá)

《重慶建設(shè)國家數(shù)字經(jīng)濟(jì)創(chuàng)

重慶到萬億級(jí)規(guī)模，占GDP比重達(dá)到

新發(fā)展試驗(yàn)區(qū)工作方案》

40%以上。

力爭到2022年，全省數(shù)字經(jīng)濟(jì)規(guī)

《國家數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展試

四川川渝模超過2萬億元，占GDP比重達(dá)

驗(yàn)區(qū)（四川）建設(shè)工作方案》

到40%o

到2022年，基本形成較為完善的

《成都市推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展

成都數(shù)字經(jīng)濟(jì)生態(tài)體系，數(shù)字經(jīng)濟(jì)重點(diǎn)

實(shí)施方案》

領(lǐng)域產(chǎn)業(yè)規(guī)模超過3000億元。

1.1.3數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全治理

12

數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟(jì)時(shí)代發(fā)展的核心生產(chǎn)要素，數(shù)據(jù)的安全保護(hù)和合法共享也被

視為數(shù)字經(jīng)濟(jì)發(fā)展的重大挑戰(zhàn)。

從產(chǎn)業(yè)發(fā)展規(guī)律來看，數(shù)據(jù)安全作為新興產(chǎn)業(yè)，仍面臨制度體系、技術(shù)和管理體系、產(chǎn)

品體系、標(biāo)準(zhǔn)體系、人才體系、評(píng)價(jià)體系、生態(tài)體系等不完備的問題，對(duì)產(chǎn)業(yè)及企業(yè)發(fā)展形

成諸多制約。

現(xiàn)階段，國家、行業(yè)主管部門的法律法規(guī)不斷出臺(tái)，產(chǎn)業(yè)、行業(yè)的標(biāo)準(zhǔn)規(guī)范也在加緊

編制、發(fā)布，以數(shù)據(jù)安全合規(guī)和數(shù)據(jù)安全治理為主題發(fā)布的白皮書層出不窮，為各行業(yè)落

實(shí)數(shù)據(jù)安全法律法規(guī)要求和初步試行數(shù)據(jù)安全治理提供了有效的參考和依據(jù)。但是，由于

數(shù)據(jù)確權(quán)、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)流轉(zhuǎn)保護(hù)等法律、技術(shù)難題的客觀存在，從具體行業(yè)應(yīng)用

場景來講，有效、可靠、方便、可負(fù)擔(dān)的解決方案還是不夠。

本白皮書以企業(yè)數(shù)據(jù)處理者視角切入，從企業(yè)的合規(guī)遵循需求、業(yè)務(wù)發(fā)展需求、風(fēng)

險(xiǎn)防控需求出發(fā)，嘗試給出數(shù)據(jù)生命周期的風(fēng)險(xiǎn)管理方法和運(yùn)營方案，以保障企業(yè)數(shù)字化

轉(zhuǎn)型的順利開展，促進(jìn)數(shù)字經(jīng)濟(jì)的進(jìn)一步發(fā)展。

1.2數(shù)據(jù)安全政策現(xiàn)狀

國家競爭焦點(diǎn)正從土地、人口、資本、資源的爭奪轉(zhuǎn)向?qū)?shù)據(jù)的爭奪。未來國家層面

的競爭力將部分體現(xiàn)為一國擁有數(shù)據(jù)的規(guī)模、開發(fā)利用以及掌控的能力，“數(shù)據(jù)主權(quán)”將成

為繼邊防、海防、空防之后另一個(gè)大國博弈的空間。

發(fā)達(dá)國家和領(lǐng)先的發(fā)展中國家都在快速布局和完善數(shù)據(jù)安全政策和法規(guī)，以避免在

數(shù)字經(jīng)濟(jì)發(fā)展中落后、受困。

1.2.1國內(nèi)數(shù)據(jù)安全政策現(xiàn)狀和趨勢

L2.1.1法律法規(guī)

近年來，我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等數(shù)據(jù)安全相關(guān)法

律法規(guī)的相繼頒布，為數(shù)據(jù)安全建設(shè)提供了制度支撐和法律保障。

2015年7月1日，我國公布并施行了《國家安全法》，并提出“維護(hù)國家網(wǎng)絡(luò)空間主

權(quán)、安全和發(fā)展利益”，為后續(xù)《數(shù)據(jù)安全法》等針對(duì)性法律的出臺(tái)，奠定了基礎(chǔ)。

13

2017年6月1日，《網(wǎng)絡(luò)安全法》施行，提出“采取技術(shù)措施和其他必要措施，

維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”。

2020年1月1口，《密碼法》施行，為規(guī)范密碼應(yīng)用和管理'促進(jìn)密碼事業(yè)發(fā)展、

保障網(wǎng)絡(luò)與信息安全，提供有效法律支撐。

2021年，《民法典》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》相繼施行，標(biāo)志著我國以數(shù)

據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展全面進(jìn)入法治化軌道，重要數(shù)據(jù)及個(gè)人信息保護(hù)成

為時(shí)代需求。

從“五法一典”的發(fā)布進(jìn)程來看，我國數(shù)據(jù)安全政策體系經(jīng)歷了從草創(chuàng)到完善的過程,

數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)法規(guī)架構(gòu)已初步構(gòu)建完成，數(shù)據(jù)安全產(chǎn)業(yè)從此進(jìn)入新的發(fā)展快車道，

迎來發(fā)展的黃金期。

1.2.1.2地方政策

從地方維度看，廣東省在數(shù)據(jù)安全立法方面，出臺(tái)相關(guān)政策最多，高達(dá)7項(xiàng)；浙江

省緊隨其后，出臺(tái)相關(guān)政策5項(xiàng)；其次是貴州省、山東省、江蘇省、山西省等地區(qū)。

此外，北京、上海、天津等數(shù)據(jù)要素市場化進(jìn)程較深入的直轄市，均有出臺(tái)相關(guān)政策。

而地方性政策的發(fā)布時(shí)間，主要集中在2019年、2020年和2021年。

近幾年作為我國工業(yè)經(jīng)濟(jì)向數(shù)字經(jīng)濟(jì)邁進(jìn)的關(guān)鍵時(shí)期，地方致力于促進(jìn)數(shù)據(jù)依法有

序自由流動(dòng)，保障數(shù)據(jù)安全，加快數(shù)據(jù)要素市場培育，推動(dòng)數(shù)字經(jīng)濟(jì)更好融入新發(fā)展格局,

并以“數(shù)據(jù)”為中心，積極出臺(tái)針對(duì)性政策條例。

目前比較有代表性的地方性數(shù)據(jù)安全政策有《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》和《上海市

數(shù)據(jù)條例》等，這些地方性安全政策的不斷出臺(tái)，將為地方推動(dòng)數(shù)字經(jīng)濟(jì)更好服務(wù)和融入

新發(fā)展格局，奠定基礎(chǔ)。

中國各省份、直轄市，乃至主要城市，在未來幾年內(nèi)，將會(huì)陸續(xù)出臺(tái)更多地方性數(shù)據(jù)

安全相關(guān)政策，以保障地方在數(shù)據(jù)要素市場化以及數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)的安全。

1.2.1.3行業(yè)政策

從行業(yè)維度看，適用全行業(yè)的數(shù)據(jù)安全政策數(shù)量較多，為整體上落實(shí)數(shù)據(jù)安全措施提

供多場景規(guī)范性指導(dǎo)作用。

14

此外，從行業(yè)屬性出發(fā)，政府領(lǐng)域因其行業(yè)特性，數(shù)據(jù)價(jià)值度高、敏感性強(qiáng)，針對(duì)數(shù)

據(jù)安全的相關(guān)要求更高，成為出臺(tái)數(shù)據(jù)安全政策數(shù)量最多的領(lǐng)域：互聯(lián)網(wǎng)因?yàn)樯婕按罅坑?/p>

戶個(gè)人信息，對(duì)數(shù)據(jù)安全也有較高要求，其次是金融、工業(yè)、醫(yī)療、教育、交通、電信

等行業(yè)，其相關(guān)政策數(shù)量分別為74項(xiàng)、36項(xiàng)、25項(xiàng)、17項(xiàng)、15項(xiàng)、9項(xiàng)、8項(xiàng)、7項(xiàng)、

6項(xiàng)。

數(shù)據(jù)安全政策分布

圖2數(shù)據(jù)安全行業(yè)政策分布

從政策數(shù)量分布來看，數(shù)據(jù)安全政策的覆蓋范圍并不僅僅是政府、互聯(lián)網(wǎng)等行業(yè),

而是全行業(yè)、全場景、全方位的。

但由于數(shù)據(jù)安全治理和企業(yè)的業(yè)務(wù)運(yùn)營高度相關(guān)，數(shù)據(jù)流轉(zhuǎn)應(yīng)用的場景和問題又紛

繁復(fù)雜，如何更好地既符合法規(guī)、政策要求，又滿足企業(yè)業(yè)務(wù)發(fā)展，仍需要進(jìn)一步細(xì)化的

業(yè)務(wù)場景化的示范指南、標(biāo)準(zhǔn)規(guī)范來進(jìn)一步支撐。

L2.L4發(fā)展趨勢

中央關(guān)于“十四五”規(guī)劃和二。三五年遠(yuǎn)景目標(biāo)建議明確提出建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中

國，發(fā)展數(shù)字經(jīng)濟(jì)，建立數(shù)據(jù)安全保護(hù)基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范，保障國家數(shù)據(jù)安全。

一是數(shù)據(jù)安全產(chǎn)業(yè)政策環(huán)境進(jìn)一步完善?！丁笆奈濉贝髷?shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》對(duì)推動(dòng)

數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展做出明確部署?！稊?shù)據(jù)安全法》出臺(tái)后，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例

（征求意見稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等數(shù)據(jù)安全相關(guān)行

政法規(guī)、部門規(guī)章也陸續(xù)公開征求意見，催生數(shù)據(jù)安全產(chǎn)品和服務(wù)市場需求不斷攀升，

15

助推數(shù)據(jù)安全產(chǎn)業(yè)繁榮發(fā)展。

二是數(shù)據(jù)安全標(biāo)準(zhǔn)體系進(jìn)一步健全。安全發(fā)展，標(biāo)準(zhǔn)先行，標(biāo)準(zhǔn)化工作是保障數(shù)據(jù)

安全的重要基礎(chǔ)。2020年，工業(yè)和信息化部印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建

設(shè)指南》后，滿足行業(yè)監(jiān)管需要、符合行業(yè)發(fā)展需求的數(shù)據(jù)安全標(biāo)準(zhǔn)體系逐步健全完善。

三是數(shù)據(jù)安全人才培養(yǎng)持續(xù)穩(wěn)步推進(jìn)。2022年4月，在工業(yè)和信息化部網(wǎng)絡(luò)安全管

理局指導(dǎo)下，中國信通院、中國互聯(lián)網(wǎng)協(xié)會(huì)發(fā)起“電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全人才強(qiáng)基計(jì)

劃”，分階段、分重點(diǎn)有序推進(jìn)數(shù)據(jù)安全人才培養(yǎng)核心能力建設(shè)，面向緊缺崗位開展數(shù)據(jù)

安全人才培養(yǎng)與能力認(rèn)定，建設(shè)素質(zhì)優(yōu)良的行業(yè)數(shù)據(jù)安全人才庫。

四是數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)協(xié)同機(jī)制逐漸形成。近日，在工業(yè)和信息化部網(wǎng)絡(luò)安全管理

局的指導(dǎo)下，中國互聯(lián)網(wǎng)協(xié)會(huì)成立數(shù)據(jù)安全與治理工作委員會(huì)，積極發(fā)揮平臺(tái)作用，助力

技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展。

1.2.2國外數(shù)據(jù)安全政策總體情況

各國數(shù)據(jù)保護(hù)法律法規(guī)主要圍繞數(shù)據(jù)提供者、數(shù)據(jù)基礎(chǔ)設(shè)施提供者、數(shù)據(jù)服務(wù)提供

者、數(shù)據(jù)消費(fèi)者、數(shù)據(jù)監(jiān)管者等參與方，目的是將數(shù)據(jù)保護(hù)范圍、各參與方對(duì)應(yīng)的權(quán)利和

義務(wù)、相關(guān)行為準(zhǔn)則等要點(diǎn)界定清晰。

表2列舉了美國、歐盟、澳大利亞、俄羅斯、新加坡等國已制定或發(fā)布的數(shù)據(jù)保護(hù)相

關(guān)法律法規(guī)，這些國家的數(shù)據(jù)安全法律法規(guī)分為兩類：

一是制定專門的數(shù)據(jù)保護(hù)法律法規(guī)，并明確相應(yīng)的數(shù)據(jù)安全管理部門，如歐盟、俄羅

斯、新加坡等。其中，俄羅斯有關(guān)數(shù)據(jù)安全的主要法律是《個(gè)人數(shù)據(jù)保護(hù)法案》，涉及到的

主要監(jiān)管部門是俄羅斯電信/信息技術(shù)和大眾傳媒聯(lián)邦監(jiān)管局。新加坡有關(guān)數(shù)據(jù)保護(hù)的主

要法律是《個(gè)人數(shù)指保護(hù)法令》(PDPA)。同時(shí)，為了執(zhí)行《個(gè)人數(shù)據(jù)俁護(hù)法令》，新加坡專

門成立了個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(PDPC)來承擔(dān)PDPA的制定和實(shí)施工作。

二是數(shù)據(jù)保護(hù)的相關(guān)要求分散地體現(xiàn)各國各項(xiàng)法律法規(guī)及部門規(guī)章的相關(guān)條款中，

但尚未頒布數(shù)據(jù)保護(hù)的專門法律法規(guī)，也未設(shè)置相應(yīng)的管理部門，如美國、澳大利亞等。

16

表2國外數(shù)據(jù)保護(hù)相關(guān)法律規(guī)范

國家/地區(qū)法律法規(guī)名稱條款內(nèi)容生效時(shí)間

美國《隱私法案》針對(duì)聯(lián)邦行政部門收集、利用和保護(hù)個(gè)人數(shù)據(jù)1974年12月

等方面做出規(guī)定，適用于美國公民和在美國取美國國會(huì)通

得永久居留權(quán)的外國人。過

測重四個(gè)政策目標(biāo)：

1）限制披露各機(jī)構(gòu)保存的個(gè)人信息記

錄；

2）限制披露各機(jī)構(gòu)保存的個(gè)人信息記

錄；

3）授予個(gè)人修改信息記錄的權(quán)利；

4）要求政府機(jī)構(gòu)遵守收集、維護(hù)和公開記

錄的法定規(guī)范。

《電子通信隱私詳細(xì)規(guī)定了執(zhí)法機(jī)關(guān)訪問電子通信和相關(guān)數(shù)1986年美國

法》據(jù)的標(biāo)準(zhǔn)，不僅針對(duì)動(dòng)態(tài)傳輸?shù)挠芯€、口頭國會(huì)制定

與電子通信保護(hù)作出具體規(guī)定，還規(guī)范了對(duì)

靜態(tài)存儲(chǔ)的電子通信的安全保障要求，協(xié)調(diào)

國家安全與個(gè)人隱私、通信秘密保障之間的沖

突。

包括“筆式記錄器法”“竊聽法”“存儲(chǔ)通訊

法''三個(gè)主要章節(jié)。

1）“筆式記錄器法”針對(duì)執(zhí)法機(jī)關(guān)利用筆

式記錄器或類似的追蹤記錄設(shè)備，記錄

或解碼由傳輸有線或電子通信的儀器或

設(shè)施傳輸?shù)膿芴?hào)、路由、尋址或信令信

息的設(shè)備或過程，但該等信息不包括

任何通信的內(nèi)容：

2）“竊聽法”管理實(shí)時(shí)性攔截通過線路進(jìn)

行傳輸?shù)耐ㄓ崳⒎秶鷶U(kuò)大到電子通

信；

3）''存儲(chǔ)通訊法''涉及對(duì)存儲(chǔ)的有線和電

子通信或賬戶記錄的訪問和披露，特別

的是這部分首次界定了“電子儲(chǔ)存”

的概念。

《計(jì)算機(jī)欺詐和濫鼓勵(lì)研究者出于公共利益去根除漏洞，為善意1986年10月

用法》的安全研究人員提供明確的規(guī)定以促進(jìn)網(wǎng)絡(luò)16日美國總

安全的發(fā)展。統(tǒng)R.里根簽

列舉了獲取國家安全信息、泄露機(jī)密、侵入署

政府電腦、獲取欺詐和獲取價(jià)值、損壞計(jì)算機(jī)

或信息、販賣密碼、威脅要損壞計(jì)算機(jī)七類犯

罪活動(dòng)，以及“侵入計(jì)算機(jī)的局外人”“超

出其授權(quán)范圍的入侵者”兩種違法情

形。

《澄清海外合法使該法案提出，無論服務(wù)提供者的通信、記錄2018年3月

17

用數(shù)據(jù)法案》或其他信息是否存儲(chǔ)在美國境內(nèi)，只要相關(guān)23日美國國

通信內(nèi)容、記錄或其他信息為該服務(wù)提供者會(huì)通過

擁有、控制或者監(jiān)管，均應(yīng)當(dāng)按照法令要求，

保存、備份、披露。

該法案打破了以往跨國數(shù)據(jù)類證據(jù)調(diào)取過

程中遵循的數(shù)據(jù)屬地管轄模式，構(gòu)建了一套

全新的以數(shù)據(jù)控制者實(shí)際數(shù)據(jù)控制權(quán)限為

衡量依據(jù)的標(biāo)準(zhǔn)框架。

該法案單方面賦予美國政府對(duì)全球絕大多

數(shù)互聯(lián)網(wǎng)數(shù)據(jù)的“長臂管轄權(quán)”，有關(guān)人士指

出，這是美國政府對(duì)他國數(shù)據(jù)主權(quán)的挑釁，

不僅侵犯個(gè)人隱私，而且與多國立法存在沖

突，威脅到跨國企業(yè)的互利合作。

該法案主要規(guī)定包括：

1)美國政府證據(jù)調(diào)取范圍、

2)明確服務(wù)提供者域外司法協(xié)助義務(wù)、服

務(wù)提供者域外司法協(xié)助義務(wù)的例外、外國

政府向美國企業(yè)請(qǐng)求獲取數(shù)據(jù)的司法林助

等。

《消費(fèi)者隱私法2018年6月,美國加利福尼亞州州長簽署2018年6月

案》公布《消費(fèi)者隱私法案》(California美國加州州

ConsumerProtectionAct.CCPA),并丁2020長簽署

年1月1日生效。

CCPA為消費(fèi)者控制個(gè)人信息提供了合法2020年1月1

途徑，被認(rèn)為是全美當(dāng)前最嚴(yán)格的隱私立日生效

法。

盡管，CCPA是一部專門針對(duì)加州消費(fèi)者的

隱私保護(hù)法律，但加州的經(jīng)濟(jì)體量與科技創(chuàng)

新實(shí)力居于世界領(lǐng)先，因此該部立法的意義

深遠(yuǎn)超出其原本的立法層級(jí)，對(duì)其他州的立

法進(jìn)程起到重要標(biāo)桿作用。

CCPA的主要內(nèi)容包括法案出臺(tái)的背景、消

費(fèi)者的權(quán)利、企業(yè)的義務(wù)以及法案中用語的

詳細(xì)解釋四個(gè)部分?！断M(fèi)者隱私法案》規(guī)

定,一旦企業(yè)違反隱私保護(hù)要求，將面臨支

付給每位消費(fèi)者最高750美元的賠償金以

及最高7500美元的罰款。

《關(guān)于加強(qiáng)國家網(wǎng)《行政命令》旨在采用大膽舉措提升美國政府2021年5月

絡(luò)安全的行政命網(wǎng)絡(luò)安全現(xiàn)代化、軟件供應(yīng)鏈安全、事件12日美國總

令》檢測和響應(yīng)以及對(duì)威脅的整體抵御能力，是統(tǒng)拜登簽署

美國政府對(duì)SolarWinds供應(yīng)鏈攻擊、微軟

Exchange漏洞攻擊，以及ColonialPipeline

輸油管道等一連串備受矚目的重大網(wǎng)絡(luò)安

全事件的響應(yīng)。

18

《行政命令》包括九個(gè)部分的內(nèi)容：政策、

移除威脅信息共享的障礙、聯(lián)邦政府網(wǎng)絡(luò)安

全現(xiàn)代化、增強(qiáng)軟件供應(yīng)鏈的安全、成立網(wǎng)

絡(luò)安全審查委員會(huì)、聯(lián)邦政府網(wǎng)絡(luò)安全漏洞

和事件應(yīng)急響應(yīng)標(biāo)準(zhǔn)化、加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)

中網(wǎng)絡(luò)安全漏洞的檢測能力、加強(qiáng)聯(lián)邦政府

網(wǎng)絡(luò)安全事件的調(diào)查、修復(fù)能力、國家安全

系統(tǒng)。

《消費(fèi)者數(shù)據(jù)保護(hù)2021年3月2日，美國弗吉尼亞州州長拉2021年3月2

法》爾夫-諾森(RalphNortham)簽署了《消費(fèi)日美國弗吉

者數(shù)據(jù)保護(hù)法》，于2023年1月1日生效。尼亞州州長

這一法案的出臺(tái)，使得弗吉尼亞州成為美國簽署

第二個(gè)具備數(shù)據(jù)隱私立法的州。

CDPA參考借鑒了加州CCPA以及歐盟2023年1月1

GDPR的成果，在推進(jìn)企業(yè)保護(hù)消費(fèi)者數(shù)據(jù)日生效

隱私、賦予消費(fèi)者相關(guān)權(quán)利等方面更為完

善,.

CDPA除了賦予消費(fèi)者訪問、更正、刪除和

獲取個(gè)人數(shù)據(jù)副本的權(quán)利外，還明確消費(fèi)者

享有自由選擇出售自身個(gè)人數(shù)據(jù)以及允許

自身個(gè)人數(shù)據(jù)用于定向廣告或分析決策的

權(quán)利。

《統(tǒng)一個(gè)人數(shù)據(jù)保2021年8月，美國統(tǒng)一法律委員會(huì)投票通2021年8月

護(hù)法》過了UPDPA,這是一項(xiàng)旨在統(tǒng)一各州隱私美國統(tǒng)一法

立法的示范法案，于頒布之日起180日生律委員會(huì)投

效。票通過

UPDPA基于數(shù)據(jù)實(shí)踐有利于或不利于數(shù)據(jù)

主體的可能性，對(duì)“兼容”"不兼容''和"禁頒布后180

止'’的數(shù)據(jù)實(shí)踐做出區(qū)分；對(duì)假名數(shù)據(jù)提供日生效

寬泛的豁免。

UPDPA主要內(nèi)容包括；

適用范圍，個(gè)人數(shù)據(jù)主體所持有的個(gè)人數(shù)

據(jù)，個(gè)人數(shù)據(jù)主體的訪問權(quán)和更正權(quán)，假名

數(shù)據(jù)，兼容、不兼容和禁止的數(shù)據(jù)實(shí)踐，收

集控制者、第三方控制者和實(shí)踐者的責(zé)任，

自愿共識(shí)標(biāo)準(zhǔn)，執(zhí)行和規(guī)則制定。

該法適用于在該州范圍內(nèi)的由數(shù)據(jù)控制者

或者數(shù)據(jù)處理者開展的活動(dòng)，包括商務(wù)、生

產(chǎn)產(chǎn)品或者是為本州居民提供服務(wù)。

19

歐盟《個(gè)人數(shù)據(jù)自動(dòng)化《108號(hào)公約》是世界上第一部關(guān)于數(shù)據(jù)保1981年歐洲

處理中的個(gè)人保護(hù)護(hù)的國際公約。旨在確保在每個(gè)締約方在其委員會(huì)通過

公約》管轄范圍內(nèi)的公民，不管其國籍或居住地，

在對(duì)其個(gè)人數(shù)據(jù)進(jìn)行自動(dòng)化處理過程中得

到保護(hù)，尊重其權(quán)利和基本自由，特別是對(duì)

于隱私權(quán)方面的尊重。

《108號(hào)公約》（2018年版）由一般規(guī)則、

數(shù)據(jù)保護(hù)基本原則、個(gè)人數(shù)據(jù)跨境流通、監(jiān)

管機(jī)構(gòu)、相互協(xié)作、公約委員會(huì)、公約修正

案、最后條款等八章節(jié)、32條款構(gòu)成，建

立了有關(guān)個(gè)人數(shù)據(jù)保護(hù)的基本原則以及各

締約國之間的基本義務(wù)，并將對(duì)個(gè)人基本自

i1與權(quán)利的保護(hù)作為締約國履行條約規(guī)定

的國家義務(wù)的出發(fā)點(diǎn)。此外，公約委員會(huì)的

建立，在一定程度上建立起了針對(duì)個(gè)人數(shù)據(jù)

保護(hù)的多國合作框架。

《關(guān)于涉及個(gè)人數(shù)《95指令》直接以指令而非條約的形式要1995年10月

據(jù)處理的個(gè)人保護(hù)求各成員國完善數(shù)據(jù)保護(hù)立法，致力于協(xié)調(diào)24日通過

以及此類數(shù)據(jù)自由各國對(duì)自然人在數(shù)據(jù)處理領(lǐng)域的基本權(quán)利

流通的第95/46/EC/和自由的保護(hù)，消除個(gè)人數(shù)據(jù)在共同體內(nèi)部

號(hào)指令》自由流通的障礙。首次提出知情同意原則，

將”數(shù)據(jù)主體已明確表示同意”作為數(shù)據(jù)處

理的合法條件之一；采用統(tǒng)一立法模式，觀

定建立獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，是個(gè)人信息保

護(hù)法中主張域外效力的典型代表。

《95指令》包括72條序言和34條條款，

旨在提高歐洲個(gè)人信息保護(hù)法律的統(tǒng)一程

度，彌補(bǔ)1980年出臺(tái)的《第108號(hào)公約》，

雖對(duì)成員國具有約束力，但真正執(zhí)行國家并

不多，實(shí)施效果也存在差異的現(xiàn)實(shí)情況，進(jìn)

而應(yīng)對(duì)高速發(fā)展的信息技術(shù)時(shí)代帶來的保

護(hù)個(gè)人數(shù)據(jù)權(quán)利、消除法規(guī)不一所造成的數(shù)

據(jù)流通障礙的雙重挑戰(zhàn)。

《通用數(shù)據(jù)保護(hù)條2016年4月14日，歐洲議會(huì)和歐盟理事會(huì)2016年4月

例》通過了《通用數(shù)據(jù)保護(hù)條例》，簡稱GDPR,14日通過

于2018年5月25日正式生效。

GDPR被稱為“史上最嚴(yán)隱私法案”。一方2018年5月

面,GDPR賦予了個(gè)體用戶對(duì)于自身數(shù)據(jù)更25日生效

多的自主權(quán)和選擇權(quán)；另一方面，GDPR針

對(duì)用戶數(shù)據(jù)的控制主體和處理主體制定了

十分嚴(yán)格的限制性規(guī)則，有力地推進(jìn)歐盟數(shù)

字單一市場的建立。

GDPR具有域外效力管轄權(quán)設(shè)計(jì)，全球企業(yè)

都可能受到GDPR的管制，GDPR同時(shí)設(shè)

20

立數(shù)據(jù)保護(hù)官等制度輔助企業(yè)義務(wù)的履行

以及監(jiān)督機(jī)構(gòu)的監(jiān)管。

GDPR在《95指令》的基礎(chǔ)上重新制定，

共計(jì)11章99條,相較于僅34條的《95指

令》來說，做出了多達(dá)3500處具體修改，

GDPR生效的兩年后《95指令》被廢止。

同時(shí)，GDPR整合了之前的隱私保護(hù)指

令、

電子通信隱私保護(hù)指令以及歐盟公民權(quán)利

指令等，通過統(tǒng)一歐盟法規(guī)來協(xié)調(diào)整個(gè)歐洲

的數(shù)據(jù)隱私法律，保護(hù)所有歐洲公民免受隙

私侵犯和數(shù)據(jù)泄露的侵害，并簡化國際業(yè)務(wù)

中對(duì)于數(shù)據(jù)隱私的監(jiān)管方式。

《非個(gè)人數(shù)據(jù)自由《條例》旨在統(tǒng)一有關(guān)非個(gè)人數(shù)據(jù)的自由流2018年11月

流動(dòng)條例》動(dòng)規(guī)則，與已經(jīng)實(shí)施生效的GDPR形成數(shù)14日頒布

據(jù)治理的統(tǒng)一框架，以此平衡個(gè)人數(shù)據(jù)保

護(hù)、數(shù)據(jù)安全，推進(jìn)歐盟在單一數(shù)字市場戰(zhàn)2019年5月

略下打造富有競爭力的數(shù)字經(jīng)濟(jì)。28日生效

《條例》包括39條序言和9條條款，從禁

止數(shù)據(jù)本地化與推動(dòng)發(fā)展新技術(shù)兩方面，規(guī)

范非個(gè)人數(shù)據(jù)流動(dòng)。

《條例》界定了非個(gè)人數(shù)據(jù)的范疇，即為

GDPR中界定的個(gè)人數(shù)據(jù)（任何已識(shí)別或可

識(shí)別的自然人相關(guān)的信息）以外的數(shù)據(jù)；明

確非個(gè)人數(shù)據(jù)在歐盟境內(nèi)跨境流動(dòng)的規(guī)則，

為整個(gè)歐洲的數(shù)據(jù)存儲(chǔ)和處理設(shè)定了把架，

禁止數(shù)據(jù)本地化限制；允許有權(quán)機(jī)關(guān)為根據(jù)

歐盟法或國家法履行其職責(zé)要求獲取數(shù)據(jù)

訪問的權(quán)力，有權(quán)機(jī)關(guān)對(duì)數(shù)據(jù)的訪問不得以

數(shù)據(jù)在另一成員國處理為由受到拒絕；鼓勵(lì)

和促進(jìn)歐盟層面自律性行為守則的制定，n

以透明性和交互性原則為基礎(chǔ)，合理考慮開

放標(biāo)準(zhǔn)，保障數(shù)據(jù)轉(zhuǎn)移和數(shù)據(jù)服務(wù)商自由轉(zhuǎn)

換。

《數(shù)據(jù)治理法案》《法案》的出臺(tái)，被視為落實(shí)《歐洲數(shù)據(jù)戰(zhàn)2021年11月

略》所采取的重要立法舉措，一定程度上強(qiáng)25日歐盟委

化了歐盟對(duì)于公共數(shù)據(jù)的賦能，為歐洲新的員會(huì)發(fā)布

數(shù)據(jù)治理方式奠定了基礎(chǔ)。

《法案》構(gòu)建了三項(xiàng)適于各個(gè)行業(yè)的數(shù)據(jù)共2022年4月6

享機(jī)制：日批準(zhǔn)生效

1）公共部門數(shù)據(jù)再利用機(jī)制；

2）數(shù)據(jù)中介機(jī)構(gòu)及通知制度；

3）數(shù)據(jù)利他主義制度。

《法案》共九章38條，包括一般規(guī)定、重

更使用公共部門機(jī)構(gòu)持有的某些類別的受

21

保護(hù)數(shù)據(jù)、適用于數(shù)據(jù)中介服務(wù)的要求,數(shù)據(jù)

利他主義、主管當(dāng)局和程序規(guī)定、歐洲數(shù)據(jù)創(chuàng)

新委員會(huì)、國際訪問和轉(zhuǎn)移、授權(quán)和委員會(huì)程

聲、最終和過渡條款?！斗ò浮访鞔_了公共部

數(shù)據(jù)再利用條件。允許自然人或法人在公共

部門所提供的安全處理環(huán)境中訪問并再利

，用公共數(shù)據(jù)?！斗ò浮丰槍?duì)可以被再利用的

數(shù)據(jù)進(jìn)行敏感性方面的限制，要求開展數(shù)據(jù)

再利用的公共部門具有技術(shù)設(shè)備上的相關(guān)