楊建軍 中國電子技術標準化研究院副院長,全國信安標委秘書長
第一個是數據安全現狀與態勢,第二個是數據安全標準化情況。數據安全或者說數據早就有了,我今天想說的主要是網上跑的數據,以前的數據比較少,而且數據質量又不高,大家沒有給數據開放利用,也沒有很好的手段,關注度不夠,現在數據量大了,數據的質量也高了,數據的價值也體現了,特別是大數據開始以后,我們所有數據的挖掘,這個數據不僅僅是網上跑的,它還可以變成金錢,甚至跟名利相關,這樣大家比較關注數據問題了,數據安全就重視起來了,目前來說數據安全是當今影響我們世界最大問題之一,每個人都得關心數據安全,數據安全涉及到不僅是每個人的信息問題,涉及到有關人的利益,金錢甚至是生命,大家對數據安全非常關注,我做標準的有一個感受,每年上標準,一上標準大家提了很多數據安全相關的標準,但是對數據安全了解多少,大家還是不清楚的,我也不清楚,我們還在探索的過程中,目前數據安全的事件非常多,有很多是真的,有很多不一定是真實的,說明一個問題,說明對數據安全比較關注,全球的數據安全比較關注,目前的現狀在座人可能都比較清楚,像這兩年這是2018年、2019年的數據安全,這些都是我們認為比較真實的網絡安全事件,每年都會有關于數據安全的問題,有一些是,有一些是不實的報道,甚至有大題小作的報道,做網絡安全對這個會有客觀的判斷,不管是不是真實的,或者是不是虛假的,說明一個問題,大家對這個很關注,對媒體來說如果是不吸引眼球媒體不會關注,近幾年,關于數據安全,關于個人信息保護非常多,數據安全,數據的保密性,數據的完整性,數據的可用性,從近期的事件來看,目前的數據安全主要發生在幾個方面,第一個是個人信息問題,涉及到國家安全,涉及到企業利益的數據,在安全性上面大家關注數據的收集,你收了不該收的數據這是大家比較關注的,手機上每個人都說某個APP收了我們的數據,第二個收了數據以后沒有好好保護,泄露出去了,這涉及到數據的保密性,數據收了以后用到其他的途徑,用到不該用的地方,這是數據安全大家最關注的三個點,對國家角度來說涉及到國防,經濟,我說的是對平常老百姓角度關注的,你收了不該收的信息,拿了數據沒有好好保護,拿了數據去賺錢了,315曝了一個APP,各個省、協會都做了關于手機APP,數據的完整性,數據的可用性相對事件還不夠多,比如說某個數據收了,某個數據庫被破壞了,這方面的數據安全比較少,我們現在更關注的是數據的保護層面,怎么保護數據重要性,以及數據的使用層面這是我們目前關注的,全球各國都非常關注數據安全問題,目前已經有107個國家已經有相關的數據安全或者是隱私保護的處罰立項的規定,有66個國家是發展中國家或者是經濟轉型的國家,不管是發達國家、發展中國家大家都比較關注數據安全,目前數據和安全是掛鉤的,現在做數據安全比較好的,從技術、立法比較好的還是在歐美國家,歐美國家對數據安全的相關層面要比發達國家,發展中國家要好很多,像歐美,歐洲,美國,北美都比較好,像亞洲、非洲的比例還好一些,目前還算不是非常普及,目前發達國家基本上都有,發展中國家一半左右,我們做企業在歐洲有公司的都比較關注的,GDPR開始以后,有的就撤回了,我們國家數據和安全相關的法律法規大家也比較清楚,從數據安全法律法規來說到一些部門規章,司法解釋等等,這是一個整體的法律法規體系,我們國家的數據安全它沒有一個整體的數據安全法,比如說法律有一個民法,有個人隱私,像網絡安全法對數據安全,個人信息保護都有非常明確的條文去規定的,還有侵權責任法,消費者權益保護法,全國人大常委會關于加強網絡安全的決定這里面多多少少都含有數據安全等相關的條款,在行政法規目前正式發布了還是比較少,現在也有了做法,部門法規也有一些消費者,消協會做一些保護這些都是基于互聯網業務提出的關于個人信息保護相關的,真正針對數據安全法律法規是沒有的,正在制定過程中,我們2018年像網絡安全法,個人信息保護法已經立于人大常委了,像我們的數據安全法它的地位還是比較高的,跟網絡安全法是并列,這個數據安全法包括跟國家所有的相關數據,剛才說了法律法規,法律法規還有一個部門的規范性文件,上個月網信辦發了一個數據安全管理辦法,就類似于規范性文件,落實網絡安全法非常有效的指導性文件,昨天網信辦又出了一個征求意見稿,個人信息出境安全評估方法,這也是針對數據安全非常有針對性的文件,這兩個文件近期推出以后對后續數據安全工作有非常大的促進推動,說了這么多的法律法規,咱們說一說標準,標準是落實法律法規很好的手段,因為法律法規都比較泛,真正要落實的時候,必須要有相應的標準,相應的技術手段去落實相關的法律法規,標準化工作非常重要,每次大家說到法律法規落實都說到標準是多少,支撐法律法規的標準是多少,我們網絡安全法的工作主要是為了落實網絡安全相關的法律法規,數據安全同樣,都是我們網絡安全標準化工作中的重要內容。
數據安全是網絡標準安全的一部分,全國信安標委是2002年成立,是國家網絡安全主管部門,七個主管部門共同的平臺,包括網信辦,網信辦是牽頭,里面有公安,公信,保密,安全密碼,主要國家網絡安全主管部門都在信安標委,咱們國家的網絡安全標準是由網信辦和主任委員,標準化委員會層次比較高,而且標準化工作任務也比較,主要負責的是網絡安全國家標準,現在成員比較多,工作組成員應該有888家,成立以來,信安標委已經做了將近四百個標準,其中兩百多個已經發布了,里面涉及到網絡安全相關的,其中有一部分是數據安全,數據安全以前我們不是很重視,但是2016年網信辦成立以后,對數據安全重視以后,成立了一個信安標委大數據工作組,要把數據安全工作重視起來,當時專門成立了一個大數據工作組,工作組主要負責的大數據安全以及相關的云計算,物聯網等數據應用相關的標準,這是數據化安全標準化工作的要求,數據安全標準,咱們國家是2016年成立,國際上做的比較早,國際最早的時候他們最早體現在隱私保護,隱私保護當時是由美國人提出來的,由于隱私保護在不同國家制度不一樣,這一個標準推動非常的艱難,歐洲保護跟美國保護,跟日本的不一樣,當時我們國家還沒有在這方面做太多的工作,自從成立大數據標準工作組以后,我們國家的很多企業、專家在這方面做了大量的工作,在這個方面我們在國際上標準還是往前走了一步現在大數據標準大部分都是中國提出來的,2018年我們在武漢專門提出了一個成立數據安全國際標準工作組,由中國牽頭,很快美國人就反對,美國人很清楚,如果我們牽頭做,這一塊相當于我們在引領,他們不樂意,當時我們成立一個研究所,經過一年研究以后取得了很大的收獲。
第二個我們提出了很多大數據相關的工作,包括大數據架構國外還沒有注意到這個事情的時候我們就提出來了,大數據安全隱私以及數據安全,這些項目都是由中國提出的,國際這一塊數據安全在一定程度上目前中國是取得領先位置,阻力也不小,數據安全確實涉及到美國的利潤,走的太快美國人也不愿意,歐洲也不愿意,整個數據安全是由歐美主導的,從國際來看現在我們的數據安全標準已經是越走越快了,抓緊推動數據安全國際和國內的調查工作,從目前來看在國際上還是取得領先位置。國內的數據安全標準啟動也是比較早的,做的時候也是比較艱難的,數據安全這個東西大家都知道它的概念比較泛,數據安全的保護也比較難,很難定義數據是否重要,跟場景是密切相關的,現在做的很多法規、標準里一提到重要數據,什么叫重要數據,每次大家都會提什么叫重要數據,哪些是個人數據,聽起來很簡單,真正要做到標準是很難的,作為一個法律條款更難,我們現在出的數據安全管理辦法等,這些文件出的難度比較大,但是又不能不做,咱們國內做標準也是為了支撐網絡安全,包括數據的聲明,個人信息的保護怎么去保護,現在數據安全主要是為了網絡安全法以及人大關于信息保護的決定有一些明法的要求,現在針對網絡數據安全辦法,都制定了一系列的相關數據安全標準,整個數據安全標準我認為是對整個數據法律法規政策配套的細化和支撐,前兩天我們發布了個人信息APP違法違規使用個人信息征信辦法,都是對某個法律里面的某一段細化的,信安標委已經發布的標準有個人信息保護規范,這個已經發布了,現在正在修訂,這個規范對我們數據安全,個人信息保護起了很大的指導作用,還有大數據服務安全能力要求以及數據促進質量標準,最近我們又提出了一系列標準,數據安全標準體系逐漸在完善過程中,現在有22項數據安全相關標準項目,5項是與個人信息保護相關,15項與數據安全相關,而且它的標準化對象也比較廣,涉及到數據服務,數據產品,范圍覆蓋包括醫療、政務、能源等等,現在是全面做數據安全標準,還涉及個人信息去標識,隱私工程,隱私影響,隱私保護,數據分類分級,數據安全,數據交易等等,我說的22項只是我們覺得應該馬上要做的,當時提出來的就不止幾倍,我們一步步來,現在目前有安全要求的標準,有大數據服務能力要求,數據交易服務安全,政務信息共享等,這是技術要求類,還包括實施指南類幫助我們一般的網民或者是企業去做數據安全,像個人信息去標識,把個人信息的特征給去掉,還有個人信息安全工程,個人信息不是數據出來了,有了數據才有數據安全,數據安全是從系統建設要考慮的,是工程性問題,現在國際上提出要數據安全保護工程,我們現在叫做個人信息安全工程,現在很多APP都告知同意我要收取你的信息,檢測評估類的有四項,實施指南類有八項,基礎框架類三項,我剛才說的我們老百姓比較關注的是個人信息,國家比較關注的是重要數據,很多企業數據是企業層面來保護的,目前的標準關注的點還是在重要數據和個人信息相關的,企業做數據安全在座的最有發言權,在座的也最有經驗,如果在座有覺得可以推廣,可以給大家采用的經驗可以提出來,作為國家標準,行業標準去推廣使用。
2019年新申請的立項標準,這七個項目是我們2019最近這批大家提出的要制定的項目,像告知同意,大數據軟件安全,數據安全評估,云服務數據安全,人工智能算法等,這相關的與數據安全的新立項標準以及研究性,重要數據,分類研究等等,這些基礎工作已經全面鋪開了,大家有興趣可以參與到這個項目中來。
這是典型數據安全相關的標準內容,我就不細說了,這里面的內容比較多,像個人信息安全規范主要圍繞是個人信息保護相關的,怎么收集、保護、分發、銷毀,整個個人信息的全生命周期予以規范。
數據出境安全評估指南,個人信息安全影響評估,健康醫療信息安全指南,這些信息的保護標準也是對我們行業提供指導的,這些標準是推薦性標準。
目前有一些標準已經用上了,個人信息安全規范,2017年在網信辦牽頭下我們做了個人信息保護提升行動,對我們所有的APP個人隱私,所謂個人隱私就是收什么數據用什么數據,評估,發現基本都不符合,當時我們有十家互聯網企業給他的APP系統進行評估,效果比較好,評估以后一方面提升了企業對APP的認知,手段也提高了,聲明、條款這些方面明顯提高,2018年我們又重新做了三十家企業,對企業的促進作用比較大。
還有一個數據安全能力成熟度模型,大家都知道大數據就是一個框,你的安全能力你有沒有能力保護這些數據安全,這是關鍵的,我要評估一下大數據的能力,或者自己評估一下有沒有能力保護的數據,這個標準在貴州有數百家使用這個標準,對保護安全能力建設是非常重要的,有一個尺度,我知道怎么建好數據安全能力,這個也是比較重要的標準。
第三個健康醫療信息安全指南,不僅僅是個人信息,涉及到整個國家的,通過清華大學做一個醫療信息安全指南,如何收集保護使用信息,希望標準對我們后續的健康醫療,一方面要用起來,第二個要保護數據個人的安全,保護國家的安全。
還有個人信息相關的,今年初四部門網信辦牽頭,工業和信息化部,公安部門,市場監管總局發起一個APP違法違規收集使用個人信息專項治理的發布會,網絡安全法規定收集信息必須要公開明示,怎么公開明示,是不是在哪個地方放著就公開了,個人隱私政策有但是找不到,有的能打開但是看不懂,這個要明示,怎么公開,怎么明示,什么叫明示同意,要把這些東西規范起來,也提出了相應的技術法規,包括認定辦法,還有APP要收什么樣的信息,不能收什么樣的信息,都要有相應的規范,目前通過這個專項行動對大批的APP進行了評估,也希望大家后續有機會可以多關注我們行動的情況。
目前做的行動,給企業做了評估指南,企業怎么做。第二個對大眾使用的APP做一些必要的規范,告訴APP能收什么樣的信息,別超范圍收取,還有認定辦法。