數(shù)據(jù)流通安全標準化白皮書-電子版

目 錄第1章數(shù)據(jù)通安展情況 1據(jù)流安全景 1據(jù)流安全概與理解 3國數(shù)流通全展 8數(shù)據(jù)通安戰(zhàn)布局 8數(shù)據(jù)通安政法規(guī)建設 9數(shù)據(jù)通安技發(fā)展 14數(shù)據(jù)通安產(chǎn)發(fā)展 17數(shù)據(jù)通安人體系建設 19據(jù)流安全重意義 20章小結(jié) 22第2章數(shù)據(jù)通安策法規(guī)標準現(xiàn)狀 24據(jù)流安全略政策法規(guī) 24國外據(jù)流安戰(zhàn)略與策法規(guī) 24國內(nèi)據(jù)流安戰(zhàn)略與策法規(guī) 29據(jù)流安全關(guān)準工作現(xiàn)狀 36國外據(jù)流安相關(guān)標工作現(xiàn)狀 36國內(nèi)據(jù)流安相關(guān)標工作現(xiàn)狀 40章小結(jié) 51第3章數(shù)據(jù)通安準化需求 52據(jù)流安全臨風險 52據(jù)流安全準需求 53章小結(jié) 56第4章數(shù)據(jù)通安準體系 57據(jù)流安全系架 57據(jù)流安全準系 59期重工作 69章小結(jié) 71第5章數(shù)據(jù)通安準化工建議 72全數(shù)流通全律法規(guī)標準系 72進數(shù)流通準類分級步驟定 72強數(shù)流通全心技術(shù)準研制 73廣數(shù)流通全準示范用 73立數(shù)流通全準體系究長機制 74度參數(shù)據(jù)通全國際準化作 75強數(shù)安全通準人才養(yǎng) 76章小結(jié) 76第1章數(shù)據(jù)流通安全發(fā)展情況數(shù)據(jù)流通安全背景當前，數(shù)據(jù)已經(jīng)成為全世界各國的戰(zhàn)略性資源，而數(shù)據(jù)的流通對國家治理、國家競爭、科技創(chuàng)新有著非常重要的作用?；?9善的要素市場化配置體制機制的意見》，將數(shù)據(jù)定義為繼土地、勞動力、資本、技術(shù)之后的第五大生產(chǎn)要素。20221220231217（2024—20261810工程，深化算網(wǎng)融合，推進算力互聯(lián)互通，引導數(shù)據(jù)要素跨區(qū)域流通融合。2024年2月印發(fā)《關(guān)于開展全國數(shù)據(jù)資源調(diào)查的通知》，為貫徹落實《數(shù)字中國建設整體布局規(guī)劃》工作部署，摸清數(shù)據(jù)資源底數(shù)，加快數(shù)據(jù)資源開發(fā)利用，更好發(fā)揮數(shù)據(jù)要素價值20242然而，隨著數(shù)據(jù)匯聚、融合、流動與應用等場景大幅增加，決，也會導致數(shù)據(jù)供方“不愿、不敢、不想”讓數(shù)據(jù)流通起來，賦能實體經(jīng)濟，同時統(tǒng)籌發(fā)展和安全，貫徹總體國家安全觀，強化數(shù)據(jù)安全保障體系建設，把安全貫徹數(shù)據(jù)供給、流通、使用全過程。當前，我國數(shù)據(jù)要素市場建設取得積極進展和顯著成效，但是依然存在數(shù)據(jù)權(quán)屬紛爭、數(shù)據(jù)濫用、數(shù)據(jù)泄露、失控傳播等安全法》、《個人信息保護法》等關(guān)于數(shù)據(jù)和個人信息安全保護的法律法規(guī)，《民法典》也首次明確將數(shù)據(jù)納入民法保護范圍，但是這些政策和法律法規(guī)顆粒度比較大，在實際操作中缺乏具體細則，距離落地實施無相關(guān)政策和技術(shù)標準的支撐。因此，亟待從供給、流通、使用等環(huán)節(jié)全方位強化數(shù)據(jù)流通安全的標準化工作，以促進數(shù)據(jù)安全流通，進而暢通國家數(shù)字經(jīng)濟。數(shù)據(jù)流通安全的概念與理解本節(jié)將解析和界定數(shù)據(jù)、數(shù)據(jù)要素、數(shù)據(jù)安全、數(shù)據(jù)流通、數(shù)據(jù)流通安全的概念和內(nèi)涵，明確數(shù)據(jù)安全與數(shù)據(jù)流通安全的關(guān)系，提出數(shù)據(jù)流通安全體系框架。一、基本概念1、數(shù)據(jù)數(shù)據(jù)指任何以電子或其他方式對信息的記錄【GB/T43697-的結(jié)果，對客觀事物的邏輯歸納。2、數(shù)據(jù)要素數(shù)據(jù)要素指將原始數(shù)據(jù)通過加工整理、確權(quán)，使其成為具備潛在利用價值的數(shù)據(jù)資產(chǎn)。數(shù)據(jù)要素是推動數(shù)字經(jīng)濟發(fā)展的核心引擎，是賦能行業(yè)數(shù)字化轉(zhuǎn)型和智能化升級的重要支撐，也是國家基礎性戰(zhàn)略資源。3、數(shù)據(jù)安全數(shù)據(jù)安全指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力【《中華人民的定義為即通過采用各種技術(shù)和管理措施，確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。4、數(shù)據(jù)流通數(shù)據(jù)流通指數(shù)據(jù)按照一定規(guī)則從提供方傳遞到需求方的過程，是數(shù)據(jù)在不同主體之間進行轉(zhuǎn)移、共享和使用的過程，發(fā)生在數(shù)據(jù)交易前、交易中、交易后和數(shù)據(jù)出入境等應用場景。從流通方式來看，包括數(shù)據(jù)開放、共享和交易等；從流通形態(tài)開看，APIIT5、數(shù)據(jù)流通安全數(shù)據(jù)使用方、平臺管理方、第三方服務提供方等各類市場主體，在數(shù)據(jù)開放、共享和交易等流通活動中的行為，保障數(shù)據(jù)流通過程安全可控、可追溯；三是，數(shù)據(jù)流通設施的安全，即保護數(shù)據(jù)處理活動所涉及的網(wǎng)絡、平臺和物理設施的安全，防止數(shù)據(jù)基礎設施上承載的海量數(shù)據(jù)丟失、泄露、被篡改，保障業(yè)務在線和可追溯。綜上，數(shù)據(jù)安全與數(shù)據(jù)流通安全存在密不可分的關(guān)系，數(shù)據(jù)傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)生存周期全過程。而數(shù)據(jù)二、數(shù)據(jù)流通安全體系框架1-1數(shù)據(jù)應用數(shù)據(jù)應用數(shù)據(jù)流通安全基礎設施數(shù)據(jù)流通安全基礎設施公共數(shù)據(jù)開發(fā)開放公共數(shù)據(jù)授權(quán)運營數(shù)據(jù)產(chǎn)業(yè)與數(shù)商數(shù)據(jù)交易與跨境流通數(shù)據(jù)安全體系數(shù)據(jù)流通制度體系圖1-1數(shù)據(jù)流通安全體系框架公共數(shù)據(jù)開發(fā)開放公共數(shù)據(jù)授權(quán)運營數(shù)據(jù)產(chǎn)業(yè)與數(shù)商數(shù)據(jù)交易與跨境流通數(shù)據(jù)安全體系數(shù)據(jù)流通制度體系一個基礎是指數(shù)據(jù)流通安全基礎設施數(shù)據(jù)流通安全基礎設施通過有效防范對承載數(shù)據(jù)流通活動的基礎設施的攻擊、干擾、破壞、非法使用和意外事故，保障設施安共享開放公共數(shù)據(jù)，同時加強匯聚共享和開放開發(fā)、強化統(tǒng)籌授服務型、應用型和技術(shù)型數(shù)商，促進數(shù)據(jù)更加順暢地交易流通。四是數(shù)據(jù)交易與跨境流通是促進數(shù)據(jù)要素價值充分發(fā)揮的有效途徑。通過建立場內(nèi)和場外數(shù)據(jù)交易模式，保障合規(guī)高效、場內(nèi)兩大保障是數(shù)據(jù)流通制度體系和數(shù)據(jù)安全體系數(shù)據(jù)流通安全制度體系制度包括數(shù)據(jù)流通安全基礎設施制度、公共數(shù)據(jù)開發(fā)開放制度、公共數(shù)據(jù)授權(quán)運營制度、數(shù)據(jù)產(chǎn)業(yè)與數(shù)商發(fā)展制度、數(shù)據(jù)交易與數(shù)據(jù)安全體系安全和可信安全等方面，數(shù)據(jù)安全保障體系建設貫穿數(shù)據(jù)供給、一項目標是指數(shù)據(jù)應用持續(xù)性，充分釋放數(shù)據(jù)要素價值。我國數(shù)據(jù)流通安全發(fā)展當今世界數(shù)據(jù)體量爆炸式增長，全球進入數(shù)字經(jīng)濟時代。各國都在積極部署數(shù)據(jù)戰(zhàn)略，成立國家級數(shù)據(jù)管理部門或部署國家級數(shù)據(jù)服務平臺，通過數(shù)據(jù)流通實現(xiàn)開放和共享，在國際數(shù)據(jù)流通中搶占數(shù)據(jù)主權(quán)，加速頒布相關(guān)政策法規(guī)，探索數(shù)據(jù)交易市場性模式，大力推動數(shù)據(jù)要素市場化配置。同時，數(shù)據(jù)流通安全的配套措施和發(fā)展也被提到了極高的層次。我國在數(shù)據(jù)流通安全的維度已經(jīng)開展了眾多工作，無論是法律法規(guī)與政策標準的發(fā)布，還是對技術(shù)與產(chǎn)業(yè)的發(fā)展推動，以及關(guān)鍵的人才梯隊培養(yǎng)均有頂層設計和戰(zhàn)略布局，為國家安全、個人隱私安全和數(shù)字經(jīng)濟發(fā)展提供了強有力的支撐。數(shù)據(jù)流通安全戰(zhàn)略布局碑意義，同時為數(shù)據(jù)流通安全提供了制度保障。二是推動數(shù)據(jù)要素市場化配置。國家鼓勵和支持數(shù)據(jù)要素的市場化配置，推動數(shù)據(jù)資源的有效流通和利用。同時，加強數(shù)據(jù)流通的安全監(jiān)管，確保數(shù)據(jù)在流通過程中的合法性和安全性。通過優(yōu)化數(shù)據(jù)基礎設施布局，提升數(shù)據(jù)流通的效率和安全性。應對數(shù)據(jù)流通安全面臨的挑戰(zhàn)。五是重點推進關(guān)鍵領域與行業(yè)發(fā)展。針對關(guān)鍵領域和行業(yè)，如工業(yè)互聯(lián)網(wǎng)、智慧城市、交通運輸?shù)?，國家發(fā)布了多項指導意見和實施方案，推動這些領域的數(shù)據(jù)安全保護。例如《深化智慧開發(fā)利用貫穿城市全域數(shù)字化轉(zhuǎn)型建設始終。數(shù)據(jù)流通安全政策法規(guī)建設近年來，國家相繼頒布了《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等一系列法律法規(guī)，明確了數(shù)據(jù)處理的規(guī)則、責任主體、法律責任等，為數(shù)據(jù)安全的監(jiān)管和執(zhí)法提供了依據(jù)，為數(shù)據(jù)流通安全提供了有力的法律保障。同時，國家還發(fā)布了多項與數(shù)據(jù)流通和流通安全相關(guān)的政策文件，提出了加強數(shù)據(jù)流通安全的具體措施和要求，包括建立健全數(shù)據(jù)流通利用安全治理機制、提升數(shù)據(jù)安全保障能力等。一、數(shù)據(jù)安全保護法律條例（2016117本的法律框架和安全要求。（）2021610確保數(shù)據(jù)流通不會損害國家安全、公共利益和個人隱私?！吨腥A人民共和國密碼法》（以下簡稱《密碼法》）于20191026礎。（保護法》）2021820確保個人信息的安全，防止未經(jīng)授權(quán)的訪問、公開披露、使用、修改、損壞、丟失、泄露等。個人信息在流通前必須經(jīng)過信息主體的同意，且流通目的明確，流通方需采取適當?shù)陌踩胧┍Ｗo個人信息。（秘密法》）2024227確保數(shù)據(jù)流通不會危害國家安全和利益。（1997314（20131025遵守法律規(guī)定，不得非法收集、使用、泄露消費者的個人信息，保障消費者在數(shù)據(jù)流通過程中的信息安全。（2017315要原則。在數(shù)據(jù)流通環(huán)節(jié)，這意味著數(shù)據(jù)處理者必須尊重個人信息權(quán)利，確保數(shù)據(jù)流通活動不侵犯個人隱私和數(shù)據(jù)權(quán)益。二、數(shù)據(jù)安全保護戰(zhàn)略規(guī)劃《中共中央國務院關(guān)于構(gòu)建更加完善的要素市場化配置體20204加強對政務數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護?！吨腥A人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃203520213推進數(shù)據(jù)跨部門、跨層級、跨地區(qū)匯聚融合和深度利用。建立健20221級保護制度，研究推進數(shù)據(jù)安全標準體系建設，規(guī)范數(shù)據(jù)采集、傳輸、存儲、處理、共享、銷毀全生命周期管理，推動數(shù)據(jù)使用者落實數(shù)據(jù)安全保護責任。依法依規(guī)加強政務數(shù)據(jù)安全保護，做好政務數(shù)據(jù)開放和社會化利用的安全管理。健全完善數(shù)據(jù)跨境流動安全管理相關(guān)制度規(guī)范，推動提升重要設施設備的安全可靠水平，增強重點行業(yè)數(shù)據(jù)安全保障能力。20226跨部門、跨層級的協(xié)同聯(lián)動機制。二是落實數(shù)據(jù)安全制度要求。素作用的意見》202212有為政府相結(jié)合的數(shù)據(jù)要素治理格局。國家數(shù)據(jù)局等17部門聯(lián)合印發(fā)《“數(shù)據(jù)要素×”三年行動計（2024—2026202312提高交易流通效率，支持行業(yè)內(nèi)企業(yè)聯(lián)合制定數(shù)據(jù)流通規(guī)則、標準，聚焦業(yè)務需求促進數(shù)據(jù)合規(guī)流通，提高多主體間數(shù)據(jù)應用效率。二是打造安全可信流通環(huán)境。深化數(shù)據(jù)空間、隱私計算、聯(lián)邦學習、區(qū)塊鏈、數(shù)據(jù)沙箱等技術(shù)應用，探索建設重點行業(yè)和領域數(shù)據(jù)流通平臺，增強數(shù)據(jù)利用可信、可控、可計量能力，促進數(shù)據(jù)合規(guī)高效流通使用。三是加強數(shù)據(jù)安全保障。落實數(shù)據(jù)安全關(guān)鍵信息基礎設施安全保護等制度，加強個人信息保護，提升數(shù)據(jù)安全保障水平。培育數(shù)據(jù)安全服務，鼓勵數(shù)據(jù)安全企業(yè)開展基于云端的安全服務，有效提升數(shù)據(jù)安全水平。國內(nèi)數(shù)據(jù)安全標準化工作已經(jīng)從頂層設計到行業(yè)落地全面開花，但是數(shù)據(jù)流通是個復雜的話題，目前的標準化工作尚不足以完全指導和滿足數(shù)據(jù)流通安全的需求，未來一段時間，完善標準化工作是重中之重。數(shù)據(jù)流通安全技術(shù)發(fā)展我國數(shù)據(jù)流通安全技術(shù)的發(fā)展在近年來取得了長足進步，為保障數(shù)據(jù)安全、促進數(shù)據(jù)價值合理流動奠定了堅實基礎。我們以技術(shù)的成熟度作為劃分標準，分為通用技術(shù)（成熟度較高）和前沿技術(shù)（成熟度相對較低），均是我國數(shù)據(jù)流通安全穩(wěn)步發(fā)展，支撐數(shù)字經(jīng)濟發(fā)展的重要基石。一、通用技術(shù)發(fā)展數(shù)據(jù)流通安全通用技術(shù)涉及數(shù)據(jù)的采集、存儲、處理、傳輸和共享等各個環(huán)節(jié)，旨在確保數(shù)據(jù)在流通過程中不被非法獲取、篡改、泄露或濫用。這些技術(shù)包括數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問控制、行為審計、數(shù)據(jù)水印等多種手段，旨在構(gòu)建全方位、多層次的數(shù)據(jù)安全防護體系。我國數(shù)據(jù)流通安全的通用技術(shù)基本到了可以在絕大多數(shù)場景下使用的成熟度水平。1CASBSDKAOEUDFTFE達到實戰(zhàn)水平。2SQL側(cè)、運維側(cè)、API34普遍的產(chǎn)品。5數(shù)據(jù)水印技術(shù)等等，均已達到可用、好用的程度。但是數(shù)據(jù)安全的發(fā)展永無止境，隨著數(shù)字化、信息化的不斷進步，對數(shù)據(jù)安全二、前沿技術(shù)發(fā)展隨著需求的不斷出新，差分隱私、同態(tài)加密、區(qū)塊鏈等新技術(shù)在數(shù)據(jù)安全保護領域的需求和應用逐漸增多，進一步提升了數(shù)據(jù)安全保護能力。1大限度減少識別其記錄機會的技術(shù)。2算結(jié)果在進行對應的同態(tài)解密后的明文等同于對明文數(shù)據(jù)直接進行相同的計算，實現(xiàn)數(shù)據(jù)的“可算不可見”。即除了能實現(xiàn)基本的加密操作外，還能實現(xiàn)密文間的多種計算功能，即先計算后高信息的安全性。3制、密碼學等技術(shù)，通過不斷增長的數(shù)據(jù)塊鏈記錄交易和信息，確保數(shù)據(jù)的安全和透明性。4戰(zhàn)水平的成熟度。我國數(shù)據(jù)流通安全技術(shù)雖然在多個維度上取得了顯著成就，但面對日益復雜的網(wǎng)絡環(huán)境和攻擊手段，單一技術(shù)難以提供全方位保護。因此，如何將多種安全技術(shù)有效融合，形成綜合防御體系，以及持續(xù)探索新技術(shù)以應對新出現(xiàn)的安全威脅，成為當前和未來一段時間內(nèi)的緊迫需求。數(shù)據(jù)流通安全產(chǎn)業(yè)發(fā)展推動了數(shù)據(jù)流通安全市場規(guī)模的持續(xù)性擴張，覆蓋從數(shù)據(jù)加密、脫敏處理到訪問權(quán)限控制和審計追蹤等全方位安全產(chǎn)品與服務的供應。同時，在國家政策推動及數(shù)據(jù)安全需求的共同驅(qū)動下，2025全產(chǎn)業(yè)基礎能力和綜合實力明顯增強，數(shù)據(jù)安全產(chǎn)業(yè)規(guī)模超過150030%2035入繁榮成熟期。產(chǎn)業(yè)政策進一步健全，數(shù)據(jù)安全關(guān)鍵核心技術(shù)、重點產(chǎn)品發(fā)展水平和專業(yè)服務能力躋身世界先進行列。一是科技創(chuàng)新步伐加快。國內(nèi)企業(yè)界在數(shù)據(jù)安全技術(shù)的研發(fā)上實現(xiàn)了頻繁突破，尤其在人工智能輔助的威脅識別、區(qū)塊鏈技術(shù)確保數(shù)據(jù)交易的透明度與不可篡改性，以及隱私計算技術(shù)在維護數(shù)據(jù)隱私前提下的價值挖掘等方面，展現(xiàn)了顯著的創(chuàng)新成果。這些技術(shù)進步極大地拓寬了數(shù)據(jù)流通安全的實踐路徑，促進了數(shù)據(jù)利用的高效與安全并行。二是產(chǎn)業(yè)鏈協(xié)同效應顯著。數(shù)據(jù)流通安全產(chǎn)業(yè)內(nèi)部及其與外部關(guān)聯(lián)行業(yè)的合作日益緊密，構(gòu)建了包含安全產(chǎn)品供應商、技術(shù)服務提供商、數(shù)據(jù)交易平臺、專業(yè)咨詢服務公司等多環(huán)節(jié)的完整產(chǎn)業(yè)鏈生態(tài)系統(tǒng)。這種深度協(xié)作不僅催化了技術(shù)創(chuàng)新與服務模式的融合升級，還加速了安全解決方案在實際場景中的廣泛應用。題提出了操作指引，有力促進了產(chǎn)業(yè)的規(guī)范化與標準化進程。擔當與實力。綜上所述，我國數(shù)據(jù)流通安全產(chǎn)業(yè)在國家政策的引導下，市場需求的驅(qū)動下，科技與資本的雙重加持下，以及國際視野的拓展中，正穩(wěn)健地走向高質(zhì)量發(fā)展的新階段。數(shù)據(jù)流通安全人才體系建設人才是“第一資源”，培養(yǎng)數(shù)據(jù)安全人才是護航數(shù)字中國建我國數(shù)據(jù)流通安全領域的人才體系建設正展現(xiàn)出積極的發(fā)展態(tài)勢，通過教育體系優(yōu)化、專業(yè)認證強化、高端人才引進及科研平業(yè)需求同步。政府與行業(yè)協(xié)會聯(lián)合推進了一系列專人才引進與交流方面，國家級高層次人才引進項目，吸引了眾多海外頂尖數(shù)據(jù)安全專家回國效力，同時，鼓勵國內(nèi)企業(yè)與國際頂尖研究機構(gòu)、高校建立合作關(guān)系，開展聯(lián)合研究、學術(shù)交流和人員互訪，有效拓寬了國際視野，促進了技術(shù)與理念的雙向流動。科研機構(gòu)人才培養(yǎng)方面，數(shù)據(jù)安全研究機構(gòu)和實驗室的建設與發(fā)展，為人才培育與技術(shù)創(chuàng)新提供了重要平臺。這些機構(gòu)聚焦于數(shù)據(jù)保護技術(shù)的前沿探索、安全策略優(yōu)化、法規(guī)標準研究等領域，不僅產(chǎn)出了一系列具有國際影響力的科研成果，還通過研究生培養(yǎng)、博士后工作站等方式，直接參與到高水平專業(yè)人才的孵化過程中，為行業(yè)輸送了大量具備科研創(chuàng)新能力的復合型人才。總之，為了持續(xù)激發(fā)人才驅(qū)動力，我國多年來持續(xù)不斷營造數(shù)據(jù)安全人才成長良好環(huán)境，深耕數(shù)據(jù)安全人才“成長沃土”，數(shù)據(jù)流通安全的重要意義確保數(shù)據(jù)的可用性、完整性和保密性，是維護各方利益的重要基礎。做好數(shù)據(jù)流通安全工作，對維護國家安全、助推我國數(shù)字經(jīng)濟高質(zhì)量發(fā)展、增強企業(yè)競爭力，保護個人信息安全具有重要意義。數(shù)據(jù)資產(chǎn)已成為國家的戰(zhàn)略資源和核心資產(chǎn)，數(shù)據(jù)安全直接關(guān)聯(lián)到國家安全。數(shù)據(jù)泄露、濫用或不當流通可能對國家安全構(gòu)成威脅，影響國家政治、經(jīng)濟、社會等方面的穩(wěn)定。黨中央高度重視，就加強數(shù)據(jù)安全工作和促進數(shù)202098貢獻中國智慧。國家安全體系中，任何一個安全都離不開數(shù)據(jù)安全，影響國家安全的因素眾多，但唯有數(shù)據(jù)安全和網(wǎng)絡安全具有“牽一發(fā)而動全身”的影響。數(shù)據(jù)已經(jīng)成為新生產(chǎn)要素，數(shù)據(jù)安全決定數(shù)據(jù)要素作用能否發(fā)揮，助力數(shù)字經(jīng)濟高質(zhì)量發(fā)展。當前各國都在構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟。明晰的權(quán)屬和有序的流動，是生產(chǎn)要素的本質(zhì)要求和前提條件，但在全國各地都在紛紛對大數(shù)據(jù)立法，積極設立數(shù)據(jù)交易所。但事實上，關(guān)于數(shù)據(jù)開發(fā)利用、數(shù)據(jù)要素流動的一系列問題尚未解決，其中最核心的是數(shù)據(jù)安全和權(quán)益保障問題。目前我國全力推進數(shù)據(jù)安全頂層設計和政策法規(guī)體系建設，將數(shù)據(jù)要素開發(fā)利用工作與數(shù)據(jù)安全基本制度緊密結(jié)合等方式，促進數(shù)據(jù)要素安全合規(guī)有序流通，賦能數(shù)字經(jīng)濟高質(zhì)量發(fā)展。三是有利于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展。數(shù)據(jù)安全產(chǎn)業(yè)是為保障數(shù)據(jù)持續(xù)處于有效保護、合法利用、有序流動狀態(tài)，提供技術(shù)、產(chǎn)品和服務的新興業(yè)態(tài)。數(shù)據(jù)要素安全流通需求將為我國數(shù)字安全企業(yè)提供生存空間和成長環(huán)境，有利于數(shù)據(jù)安全企業(yè)推進新型計算模式和網(wǎng)絡架構(gòu)下數(shù)據(jù)安全基礎理論和技術(shù)應用研究。有利于數(shù)據(jù)安全企業(yè)優(yōu)化升級數(shù)據(jù)識別、分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)權(quán)限管理等共性基礎技術(shù)，加強隱私計算、數(shù)據(jù)流轉(zhuǎn)分析等關(guān)鍵技術(shù)攻關(guān)，研究大數(shù)據(jù)場景下輕量級安全傳輸存儲、隱私合規(guī)檢測、數(shù)據(jù)濫用分析等技術(shù)，增強數(shù)據(jù)安全企業(yè)核心競爭力，推動數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展。數(shù)據(jù)安全直接關(guān)系到個進而造成個人財產(chǎn)損失、身份盜竊等嚴重后果。數(shù)據(jù)流通安全涉及數(shù)據(jù)安全制度、安全技術(shù)、安全意識等方面，任何一方面出現(xiàn)缺陷或漏洞，個人信息安全面臨嚴重威脅。當前數(shù)據(jù)流通組織保障、安全制度和安全技術(shù)等日趨成熟完善，多方安全計算、聯(lián)邦學習、隱私計算、同態(tài)加密、區(qū)塊鏈、可信環(huán)境、零信任等安全技術(shù)不斷發(fā)展，為保護個人信息隱私保護保駕護航。本章小結(jié)數(shù)據(jù)流通安全成為數(shù)字經(jīng)濟發(fā)展的核心挑戰(zhàn)，也是數(shù)字化轉(zhuǎn)型、和內(nèi)涵，明確數(shù)據(jù)安全與數(shù)據(jù)流通安全的關(guān)系，從“一個基礎、四個重點方向、兩大保障和一項目標”八個環(huán)節(jié)構(gòu)建了數(shù)據(jù)流通目前的發(fā)展現(xiàn)狀。最終，闡述了數(shù)據(jù)流通安全在維護國家安全、促進數(shù)字經(jīng)濟高質(zhì)量發(fā)展、促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展、保障個人信息隱私安全方面的重要意義。第2章數(shù)據(jù)流通安全政策法規(guī)和標準現(xiàn)狀數(shù)據(jù)流通安全戰(zhàn)略與政策法規(guī)國外數(shù)據(jù)流通安全戰(zhàn)略與政策法規(guī)一、歐盟歐盟作為全球數(shù)據(jù)保護的先行者，尤其強調(diào)個人數(shù)據(jù)安全，通過嚴格的法律法規(guī)構(gòu)建了堅實的數(shù)字防護網(wǎng)，旨在確保個人數(shù)據(jù)保護的同時促進數(shù)據(jù)的自由流通與高效利用，表1是其主要政策法規(guī)與戰(zhàn)略總結(jié)。表1歐盟數(shù)據(jù)流通領域主要的政策法規(guī)名稱生效時間主要內(nèi)容全球最嚴格的數(shù)據(jù)保護法規(guī)之一，規(guī)定《通用數(shù)據(jù)2018年5月了數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)處理的合法性25日生效規(guī)則等。《非個人數(shù)據(jù)自由流動條例》2018525確保商業(yè)數(shù)據(jù)在歐盟內(nèi)部自由流通，減少不必要的數(shù)據(jù)本地化要求，平衡了數(shù)據(jù)保護與經(jīng)濟發(fā)展的需求，促進了商業(yè)數(shù)據(jù)的無障礙流通。處于提案階《數(shù)據(jù)法段，需要等待業(yè)與政府、企業(yè)與企業(yè)之間的數(shù)據(jù)交換案》歐盟立法程序完成據(jù)主體的權(quán)利?！稊?shù)據(jù)治理法案》2020年底被提議規(guī)范公共數(shù)據(jù)資源復用和企業(yè)間數(shù)據(jù)交易，推動數(shù)據(jù)共享服務提供者作為中介名稱生效時間主要內(nèi)容《開放數(shù)據(jù)歐盟各國需在歷經(jīng)多次修訂，擴大了公共數(shù)據(jù)的開放與公共部門2021年7月信息再利用16日前轉(zhuǎn)化為促進公共數(shù)據(jù)的有效利用和經(jīng)濟價值的指令》國內(nèi)立法提升?！稊?shù)字市場法案》《數(shù)字服務法案》2022年底由歐洲議會通過針對大型在線平臺的市場行為規(guī)范，提高在線平臺的責任與透明度，間接影響數(shù)據(jù)流通的安全與合規(guī)性。二、美國2政策法規(guī)及內(nèi)容概述。表2美國數(shù)據(jù)流通領域主要的政策法規(guī)名稱生效時間主要內(nèi)容《信息自由法》1966年要求聯(lián)邦政府機構(gòu)應公開其記錄和信個人隱私等。此法確保了公眾有權(quán)獲取政府信息，提升了政府透明度和數(shù)據(jù)流通的安全性?！堕_放政府法》2007年12月31日FOIA效率和透明度，加強了公眾獲取政府信息的能力，促進了數(shù)據(jù)流通的及時性和有效性。據(jù)平臺D2009年上線提供聯(lián)邦、州政府及企業(yè)數(shù)據(jù)集的集中名稱生效時間主要內(nèi)容《開放政府指令》2009年12月8日要求聯(lián)邦機構(gòu)采取具體步驟提高透明可獲取性，直接促進了數(shù)據(jù)流通的安全性和開放性?！堕_放政府數(shù)據(jù)法》2019年1月14日要求聯(lián)邦政府數(shù)據(jù)默認為開放和機器可標準化和可訪問性，推動了數(shù)據(jù)流通的安全性和效率。戰(zhàn)略與20202020年設定了聯(lián)邦政府數(shù)據(jù)管理、共享和利用14117行政命令2021年6月9日拜登政府簽署，對特定國家的數(shù)據(jù)傳輸實施限制，旨在保護國家安全和個人隱私，影響了特定情況下數(shù)據(jù)流通的范圍和安全控制。三、其他主要國家1、英國據(jù)開放性，推動政府透明度與社會創(chuàng)新。個人數(shù)據(jù)保護領域中，在脫歐后提出《數(shù)據(jù)保護和數(shù)字信息法案》（DPDI），旨在平衡個人隱私保護與經(jīng)濟發(fā)展需求，確保數(shù)據(jù)自由流動與安全。針對數(shù)據(jù)跨境流動，英國實施了《國際數(shù)據(jù)傳輸協(xié)議》（IDTA），在國際層面上與美國建立“數(shù)據(jù)橋”，并與歐盟及亞太國家協(xié)商，努2、日本G20CPTPP競爭防止法》保護有價值的數(shù)據(jù)資源。3、韓國韓國通過成立國家數(shù)據(jù)政策委員會集中了政府與民間的智MyData4、加拿大加拿大政府的開放數(shù)據(jù)戰(zhàn)略不僅局限于數(shù)據(jù)的簡單公布，而且融入了開放政府的廣泛理念，旨在通過數(shù)據(jù)的透明度提升政府治理效能，激發(fā)社會創(chuàng)新，并促進經(jīng)濟多元化發(fā)展?！堕_放政府憲章—加拿大行動計劃》及其五項原則的提出，為數(shù)據(jù)開放設定了高標準和明確路徑，確保了數(shù)據(jù)開放的系統(tǒng)性與持續(xù)性。在政策法規(guī)與平臺建設上，通過不斷更新的政策框架和開放數(shù)據(jù)網(wǎng)站等平臺的搭建，不僅提高了數(shù)據(jù)的可獲取性，還促進了數(shù)據(jù)的實用性和創(chuàng)新應用，為科研機構(gòu)、企業(yè)乃至普通公眾提供了豐富的數(shù)據(jù)資源和工具，有效激活了數(shù)據(jù)的經(jīng)濟和社會價值。5、俄羅斯2017《俄聯(lián)邦數(shù)字經(jīng)濟國家規(guī)劃》為數(shù)字經(jīng)濟增長制定了清晰導向。在個人數(shù)據(jù)權(quán)利保護方面，頒布了《關(guān)于信息、信息技術(shù)和信息保護法》及《個人數(shù)據(jù)法》，明確了數(shù)據(jù)主體的權(quán)利和數(shù)據(jù)處理者的義務，建立了數(shù)據(jù)流通白名單制度，確保了個人數(shù)據(jù)在國內(nèi)得到充分保護。國家數(shù)據(jù)安全方面，俄羅斯采取了嚴格的本地化策略，要求個人信息數(shù)據(jù)庫必須位于國內(nèi)，并對這類數(shù)據(jù)庫的位置進行登記。此外，俄羅斯有權(quán)監(jiān)督并限制數(shù)據(jù)跨境傳輸。四、其他國際規(guī)則與協(xié)定WTO議題制定新規(guī)范，逐步優(yōu)化數(shù)據(jù)跨境流動的監(jiān)管環(huán)境。系協(xié)定》（DEPA）、《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP）以（RCEP）在監(jiān)管權(quán)上擁有更大的靈活性，而《美墨加貿(mào)易協(xié)定》平洋伙伴關(guān)系協(xié)定（CPTPP在數(shù)據(jù)流動的限制上則采取了相對折中的策略。國內(nèi)數(shù)據(jù)流通安全戰(zhàn)略與政策法規(guī)和《關(guān)于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（簡稱“數(shù)據(jù)二十條”）之后，各地積極響應，展開了一系列積極的探索和實踐。各省市均認真貫徹黨中央和國務院的戰(zhàn)略部署，在數(shù)據(jù)要素制度體系、公共數(shù)據(jù)開發(fā)開放、數(shù)據(jù)交易與跨境流通以及數(shù)據(jù)安全體系等多個方面取得了顯著成效。我國針對數(shù)據(jù)流通安全領域涉及的數(shù)據(jù)要素制度體系、公共數(shù)據(jù)開放、數(shù)據(jù)交易、數(shù)據(jù)安全和數(shù)據(jù)跨境流通等尚未有專門的規(guī)定，相關(guān)要求分散在《國家安全法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《密碼法》《網(wǎng)絡安全等級保護條例》《關(guān)鍵信息基礎設施安全保護條例》等法律法規(guī)文件中。一、數(shù)據(jù)要素制度體系3的政策法規(guī)。表3數(shù)據(jù)要素制度體系級別名稱國家層面網(wǎng)絡安全法數(shù)據(jù)安全法個人信息保護法政府信息公開條例關(guān)鍵信息基礎設施保護條例中共中央國務院關(guān)于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見中共中央國務院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見……地方層面浙江省公共數(shù)據(jù)條例浙江省數(shù)字經(jīng)濟促進條例上海市數(shù)據(jù)條例北京市數(shù)字經(jīng)濟促進條例深圳經(jīng)濟特區(qū)數(shù)據(jù)條例深圳經(jīng)濟特區(qū)數(shù)字經(jīng)濟產(chǎn)業(yè)促進條例廣東省政務服務數(shù)字化條例級別名稱廣東省數(shù)字經(jīng)濟促進條例天津市促進大數(shù)據(jù)發(fā)展應用條例貴州省信息化條例貴州省大數(shù)據(jù)發(fā)展應用促進條例福建省大數(shù)據(jù)發(fā)展條例廈門經(jīng)濟特區(qū)數(shù)據(jù)條例四川省數(shù)據(jù)條例海南省大數(shù)據(jù)開發(fā)應用條例安徽省大數(shù)據(jù)發(fā)展條例重慶市數(shù)據(jù)條例江西省數(shù)據(jù)應用條例吉林省大數(shù)據(jù)條例吉林省促進大數(shù)據(jù)應用條例廣西壯族自治區(qū)大數(shù)據(jù)發(fā)展條例陜西省大數(shù)據(jù)條例遼寧省大數(shù)據(jù)發(fā)展條例江蘇省數(shù)字經(jīng)濟促進條例河北省數(shù)字經(jīng)濟促進條例黑龍江省促進大數(shù)據(jù)發(fā)展應用條例河南省數(shù)字經(jīng)濟促進條例……二、公共數(shù)據(jù)開放國家層面在公共數(shù)據(jù)開發(fā)開放方面，陸續(xù)出臺了諸多條例、公共數(shù)據(jù)開放管理辦法、公共數(shù)據(jù)資源開放開發(fā)管理辦法、政府4政策規(guī)范。表4公共數(shù)據(jù)開放政策規(guī)范級別名稱國家層面國家信息化領導小組關(guān)于我國電子政務建設指導意見關(guān)于加強信息資源開發(fā)利用工作的若干意見政府網(wǎng)站建設指南政府信息公開條例國家信息化發(fā)展綱要政務信息資源共享管理暫行辦法關(guān)于政務信息資源目錄編制指南關(guān)于加強數(shù)字政府建設的指導意見全國一體化政務大數(shù)據(jù)體系建設指南數(shù)字中國建設整體布局規(guī)劃……地方層面北京市公共數(shù)據(jù)管理辦法天津市政務信息資源共享數(shù)據(jù)交換技術(shù)規(guī)范山西省政務數(shù)據(jù)資源共享管理辦法河北省政務數(shù)據(jù)共享應用管理辦法內(nèi)蒙古自治區(qū)政務數(shù)據(jù)資源管理辦法上海市公共數(shù)據(jù)開放暫行辦法江西省公共數(shù)據(jù)管理辦法江蘇省公共數(shù)據(jù)管理辦法浙江省公共數(shù)據(jù)開放與安全管理暫行辦法山東省公共數(shù)據(jù)開放辦法廣東省公共數(shù)據(jù)管理辦法廣州市公共數(shù)據(jù)開放管理辦法海南省公共信息資源管理辦法貴州省政府數(shù)據(jù)共享開放條例級別名稱重慶市公共數(shù)據(jù)開放管理暫行辦法云南省政務信息資源共享管理實施細則陜西省政務信息資源共享管理辦法寧夏回族自治區(qū)政務數(shù)據(jù)資源共享管理辦法湖南省政務信息資源共享管理辦法遼寧省政務數(shù)據(jù)資源共享管理辦法……三、數(shù)據(jù)交易在國家層面上對于數(shù)據(jù)交易的指導原則和規(guī)范融入在一系列綜合性的法規(guī)和政策之中，如數(shù)據(jù)條例、公共數(shù)據(jù)條例、數(shù)據(jù)要素市場化改革實施辦法等。各地區(qū)也陸續(xù)出臺了一系列工作及實施方案，表5是數(shù)據(jù)交易方面部分政策文件。表5數(shù)據(jù)交易政策規(guī)范級別名稱國家層面中共中央國務院關(guān)于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見關(guān)于加強數(shù)據(jù)資產(chǎn)管理的指導意見企業(yè)數(shù)據(jù)資源相關(guān)會計處理暫行規(guī)定關(guān)于加強行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知……地方層面深圳市探索開展數(shù)據(jù)交易工作方案深圳市數(shù)據(jù)產(chǎn)權(quán)登記管理暫行辦法貴陽貴安推進數(shù)據(jù)要素市場化配置改革支持貴陽大數(shù)據(jù)交易所優(yōu)化提升實施方案廣西數(shù)據(jù)交易管理暫行辦法山西省加快建設高標準市場體系實施方案級別名稱海南省數(shù)據(jù)產(chǎn)品超市數(shù)據(jù)產(chǎn)品確權(quán)登記實施細則（暫行）……四、數(shù)據(jù)安全6面部分政策法規(guī)文件。表6公共數(shù)據(jù)開放政策法規(guī)級別名稱國家層面數(shù)據(jù)安全法網(wǎng)絡安全法個人信息保護法關(guān)鍵信息基礎設施保護條例……地方層面上海市政務數(shù)據(jù)分級與安全保護規(guī)范貴州省大數(shù)據(jù)安全保障條例天津市數(shù)據(jù)安全管理辦法廣西政務數(shù)據(jù)安全管理辦法……五、數(shù)據(jù)跨境流通為促進數(shù)據(jù)跨境依法有序自由流動，我國相繼制定實施的《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》，對數(shù)據(jù)跨境流動做出了明確規(guī)定。國家網(wǎng)信辦于2022年7月7日公布《數(shù)據(jù)出境安全評2023222同的方式、流程及需提交的材料等的具體要求做出了說明。20243227表7數(shù)據(jù)跨境流通政策法規(guī)級別名稱法律法規(guī)數(shù)據(jù)安全法網(wǎng)絡安全法個人信息保護法關(guān)鍵信息基礎設施保護條例……實施辦法數(shù)據(jù)出境安全評估辦法個人信息出境標準合同辦法個人信息保護認證實施規(guī)則促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定……數(shù)據(jù)流通安全相關(guān)標準工作及現(xiàn)狀數(shù)據(jù)跨境流轉(zhuǎn)及合規(guī)性的高度重視與積極行動。國際組織ISO/IECJTC1NISTSAC/TC260國外數(shù)據(jù)流通安全相關(guān)標準工作及現(xiàn)狀一、國際組織1、ISO/IECJTC1JTC1ISOIECJTC1/SC27，8標準列表。表8ISO/IECJTC1數(shù)據(jù)流通領域標準列表編號英文名稱說明ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritymanagementsystems-Requirements定義了信息安全管理體系的要求，確保組織能夠識的控制措施以保護信息資全。ISO/IEC27002Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritycontrols提供了選擇和實施信息安制措施直接關(guān)系到數(shù)據(jù)保ISO/IEC27018:2019Informationtechnology-Securitytechniques-Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors關(guān)注公有云環(huán)境中個人數(shù)ISO/IEC27033Informationtechnology-Securitytechniques-Networksecurity涉及網(wǎng)絡安全，確保數(shù)據(jù)在網(wǎng)絡中的安全流通。ISO/IEC27036Cybersecurity-Supplierrelationships涉及供應鏈安全，包括數(shù)據(jù)在供應鏈中的安全流通管理。ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002forprivacyinformationmanagement—RequirementsandguidelinesISO/IEC27001ISO/IEC27002息管理和個人數(shù)據(jù)處理提數(shù)據(jù)流通中的隱私保護至編號英文名稱說明Informationtechnology-Securitytechniques-ISO/IEC27017:2015Codeofpracticeforinformationsecuritycontrolsbasedon為云服務的信息安全管理提供指導，包括數(shù)據(jù)在云端的流通安全。ISO/IEC27002forcloudservicesSecuritytechniques-Selection,deployment關(guān)注信息安全的加密技術(shù)ISO/IECandoperationsof和密碼學應用，為數(shù)據(jù)在傳27039:2015intrusiondetectionand輸和存儲中的加密提供指preventionsystems導。(IDPS)2、NISTNIST（美國國家標準與技術(shù)研究院NationalInstituteofStandardsandTechnology）是美國商務部下屬的一個非監(jiān)管機構(gòu)，旨在促進美國的創(chuàng)新和工業(yè)競爭力，制定了信息安全、信息技術(shù)、制造業(yè)、生物技術(shù)、納米技術(shù)等領域的標準，在網(wǎng)絡安全方面發(fā)布了多個網(wǎng)絡安全標準和指南，確保技術(shù)的安全、可靠性和互操作性，表9是涉及數(shù)據(jù)流通安全的部分NIST標準列表。表9NIST數(shù)據(jù)流通領域標準列表編號英文名稱說明SecurityandPrivacy信息安全控制框架，涵蓋了NISTSPControlsforInformation從物理安全到數(shù)據(jù)保護多800-53Systemsand個方面，包括數(shù)據(jù)在系統(tǒng)間Organizations傳輸時的安全控制。ProtectingControlled專門針對非聯(lián)邦系統(tǒng)中受NISTSPUnclassifiedInformation800-171inNonfederalSystems其中包括數(shù)據(jù)的傳輸安全andOrganizations要求。編號英文名稱說明NISTSP800-122GuidetoProtectingtheConfidentialityofPersonallyIdentifiableInformation(PII)PII含了數(shù)據(jù)傳輸和分享過程NISTSP800-154GuidetoData-CentricSystemThreatModeling側(cè)重于公共云環(huán)境，也提供了關(guān)于數(shù)據(jù)在云環(huán)境中的流通和保護的相關(guān)指南。NISTSP800-181WorkforceFrameworkforCybersecurity(NICEFramework)關(guān)注網(wǎng)絡安全人員的技能框架，支持了數(shù)據(jù)流通安全的實現(xiàn)。NISTSP800-190ApplicationContainerSecurityGuide關(guān)注容器安全和數(shù)據(jù)流通安全，特別是涉及到容器化應用中的數(shù)據(jù)移動。3、IEEEInstituteofElectricalandElectronics10IEEE表10IEEE數(shù)據(jù)流通領域標準列表編號名稱IEEE2830-2021IEEEStandardforTechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbasedSharedMachineLearningP3227StandardforaReferenceFrameworkofDataSecurityCirculationSystemBasedonBlockchainandFederatedComputationIEEE2813-2020IEEEStandardforBigDataBusinessSecurityRiskAssessment編號名稱IEEE3158-2024IEEEApprovedDraftStandardforTrustedDataMatrixSystemArchitecture國內(nèi)數(shù)據(jù)流通安全相關(guān)標準工作及現(xiàn)狀一、國家標準1、全國網(wǎng)絡安全標準化技術(shù)委員會化活動。近期，全國網(wǎng)絡安全標準化技術(shù)委員會成立了“WG8-作。TC26011。表11TC260數(shù)據(jù)流通領域標準列表標準名稱標準概述發(fā)布時間GB/T43207-2023信息系統(tǒng)密碼應用設計指南,包括信息系統(tǒng)密碼應用框架、密碼應用方案設計原則、密碼應用方案設計過程和密碼應用方案設計指南。2023年9月GB/T20945-20232023年5信息安全技術(shù)網(wǎng)規(guī)定了網(wǎng)絡安全審計產(chǎn)品的技術(shù)月絡安全審計產(chǎn)品技要求并描述了測評方法。術(shù)規(guī)范標準名稱標準概述發(fā)布時間GB/T42460-2023信息安全技術(shù)個提供了個人信息去標識化效果分2023年3人信息去標識化效級與評估的指南。月果評估指南規(guī)定了信息系統(tǒng)第一級到第四級的密碼應用的基本要求,從物理和GB/T39786-2021環(huán)境安全、網(wǎng)絡和通信安全、設信息安全技術(shù)信備和計算安全、應用和數(shù)據(jù)安全2021年息系統(tǒng)密碼應用基四個技術(shù)層面提出了密碼應用技10月本要求術(shù)要求,并從管理制度、人員管理、建設運行和應急處置四個方面提出了密碼應用管理要求。GB/T39477-2020信息安全技術(shù)政務信息共享數(shù)據(jù)安全技術(shù)要求該標準適用于指導各級政務信息共享交換平臺數(shù)據(jù)安全體系建設,規(guī)范各級政務部門使用政務信息共享交換平臺交換非涉及國家秘密數(shù)據(jù)安全保障工作。202011GB/T38647.2-2020名第2202011規(guī)定了開展收集、存儲、使用、GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范202010人信息處理活動。GB/T37932-2019規(guī)定了通過數(shù)據(jù)交易服務機構(gòu)進行數(shù)據(jù)交易服務的安全要求，包括數(shù)據(jù)交易參與方、交易對象和交易過程的安全要求。2019年8月GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南要求、評估大數(shù)據(jù)安全風險。2019年8月標準名稱標準概述發(fā)布時間GB/T37964-2019描述了個人信息去標識化的目標和原則，提出了去標識化過程和管理措施，針對微數(shù)據(jù)提供具體的個人信息去標識化指導。2019年8月GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型該標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。2019年8月GB/T36624-2018旨在為公共及商用服務信息系統(tǒng)中的個人信息保護提供一套指導原則和實踐方法，以提升數(shù)據(jù)安全和隱私保護水平。2018年9月GB/T42572-2023確立了可信執(zhí)行環(huán)境服務的技術(shù)框架體系，規(guī)定了相關(guān)安全技術(shù)要求及測試評價的方法。2023年5月GB/T42571-2023信息安全技術(shù)區(qū)塊鏈信息服務安全規(guī)范規(guī)定了區(qū)塊鏈信息服務提供者的安全技術(shù)要求和安全管理要求，描述了相應測試評估方法和檢查評估方法。2023年5月GB/T42570-2023信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架2023年5月GB/T41388-2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范確立了可信執(zhí)行環(huán)境系統(tǒng)整體技術(shù)架構(gòu)，描述了可信執(zhí)行環(huán)境基礎要求、可信虛擬化系統(tǒng)可信操作系統(tǒng)、可信應用與服務管理、跨平臺應用中間件等主要內(nèi)容及其測試評價方法。2022年4月GB/T43557-2023信息安全技術(shù)網(wǎng)絡安全信息報送指南給出了網(wǎng)絡安全信息報送的信息類型和要素，以及網(wǎng)絡安全信息報送活動的要素和關(guān)系、基本流程、報送方式等。2024年1月標準名稱標準概述發(fā)布時間GB/T43697-2024信息安全技術(shù)數(shù)據(jù)分類分級指南和核心數(shù)據(jù)。2024年3月GB/T32907-2016SM4規(guī)定了SM4分組密碼算法的算法結(jié)構(gòu)和算法描述，包括加密算法和解密算法。2016年8月GB/T32918.1-2016SM2SM2定義等。2016年8月GB/T33133-2016對祖沖之序列密碼算法進行了規(guī)范，適用于相關(guān)信息安全領域。2016年2月GB/T38635.1-2020等信息安全技術(shù)SM9標識密碼算法SM9制和公鑰加密算法等。2020年4月GB/T32905-2016信息安全技術(shù)SM3密碼雜湊算法對SM3密碼雜湊算法進行了定義和規(guī)范，用于生成消息的雜湊值2016年8月GB/T37964-2019信息安全技術(shù)個人信息去標識化指南描述了個人信息去標識化的目標和原則，提出了去標識化過程和管理措施。2019年8月GB/T37988-2019信息安全技術(shù)個人信息去標識化效果評估指南規(guī)定了個人信息去標識化效果的評估方法和流程，以確定去標識化處理后的個人信息是否達到預期的保護效果。2020年3月GB/T39205信息安全技術(shù)輕量級鑒別與訪問控制機制規(guī)定了輕量級的鑒別機制和訪問控制機制2020102、全國信息技術(shù)標準化技術(shù)委員會全國信息技術(shù)標準化技術(shù)委員會（SACTC28）負責信息技術(shù)領域的標準化工作，組織開展信息技術(shù)領域的標準化研究、技術(shù)交流和合作，推動信息技術(shù)標準的國際化。表12TC28數(shù)據(jù)流通領域標準列表標準名稱標準概述發(fā)布時間GB/T33770.2-20192規(guī)定了信息技術(shù)外包服務中數(shù)據(jù)保護所涉及的數(shù)據(jù)生命周期、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)管理者、數(shù)據(jù)管理、管理機制、數(shù)據(jù)獲取、數(shù)據(jù)處理、安全管理、過程管理、應急管理等方面的基本規(guī)則和要求。2019年8月GB/T38664指導和規(guī)范政務數(shù)據(jù)有效地開放和共享，以促進政府數(shù)據(jù)資源的利用和社會經(jīng)濟的發(fā)展。2020年4月GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南提供了大數(shù)據(jù)分類過程及其分類視角、分類維度和分類方法等方面的建議和指導，適用于指導大數(shù)據(jù)分類。2020年4月3、全國數(shù)據(jù)標準化技術(shù)委員會2024年5月底全國數(shù)據(jù)標準化技術(shù)委員會正式獲得批復籌建。業(yè)務指導單位為國家數(shù)據(jù)局，秘書處承擔單位為中國電子技術(shù)標準化研究院，這標志著我國在數(shù)據(jù)標準化工作中邁出了整合與集中的關(guān)鍵一步。其將負責數(shù)據(jù)資源、數(shù)據(jù)技術(shù)、數(shù)據(jù)流通、智慧城市、數(shù)字化轉(zhuǎn)型等基礎通用標準，以及支撐數(shù)據(jù)流通利用的數(shù)據(jù)基礎設施標準和保障數(shù)據(jù)流通利用的安全標準制修訂工作。旨在從頂層規(guī)劃和設計出發(fā)，統(tǒng)一協(xié)調(diào)全國范圍內(nèi)的數(shù)據(jù)安全標準化活動，減少重復建設，提高標準的系統(tǒng)性和實用性。二、行業(yè)標準13涉及數(shù)據(jù)流通安全的部分行業(yè)標準列表。表13數(shù)據(jù)流通領域行業(yè)標準列表標準名稱標準概述發(fā)布時間JT/T1480-2023交通運輸數(shù)據(jù)脫敏指南適用于交通運輸數(shù)據(jù)脫敏工作的實施和管理。2023年11月YD/T4386-2023可信數(shù)據(jù)服務可信數(shù)據(jù)流通平臺評估要求規(guī)定了數(shù)據(jù)流通平臺提供數(shù)據(jù)服務時，在平臺管理、流通參與主體管理、流通品管理、流通過程管理等方面應滿足和體現(xiàn)的服務能力與服務質(zhì)量的要求。2023年7月YD/T4251-2023電信運營商大數(shù)據(jù)安全管控分類分級技術(shù)要求規(guī)定了基礎電信企業(yè)各系統(tǒng)或平臺涉及的用戶數(shù)據(jù)安全管控的具體分類分級技術(shù)要求，包括電信大數(shù)據(jù)安全管控分類分級原則、電信大數(shù)據(jù)分類、電信大數(shù)據(jù)分級、對外開放分級安全管控技術(shù)要求和內(nèi)部分級安全管控技術(shù)要求等。2023年5月YD/T4245-2023電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏技術(shù)要求和測試方法規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏的技術(shù)要求與測試方法，適用于電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)的脫敏工作，脫敏技術(shù)能力的設計、研發(fā)、測試、評估和驗收等，包括數(shù)據(jù)脫敏的提供商、用戶、測評機構(gòu)和監(jiān)管機構(gòu)等。2023年5月YD/T4242-2023電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全日志審計指南規(guī)范了基于數(shù)據(jù)生命周期各環(huán)節(jié)數(shù)據(jù)訪問和操作日志的審計工作，包括日志審計組織方式、審計對象和重點、審計工作技術(shù)支撐條件等，重點從應對組織機構(gòu)內(nèi)外部數(shù)據(jù)安全風險出發(fā)，場景化梳理了數(shù)據(jù)安全日志審計的策略。2023年5月標準名稱標準概述發(fā)布時間YD/T2441-2013互聯(lián)網(wǎng)數(shù)據(jù)中心技術(shù)及分級分類標準規(guī)定了互聯(lián)網(wǎng)數(shù)據(jù)中心的技術(shù)要求和分級分類方法，主要涉及機房設施、網(wǎng)絡技術(shù)、資源管理、安全保障等方面。2013年4月YD/T3592-2019法描述了電信大數(shù)據(jù)平臺中數(shù)據(jù)脫敏的具體實施方法和流程。2019年8月YD/T3768-2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏技術(shù)要求和測試方法規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)中數(shù)據(jù)脫敏的技術(shù)要求以及相應的測試方法。2020年4月YD/T4219-20235G移動通信網(wǎng)數(shù)據(jù)流轉(zhuǎn)安全技術(shù)要求5G5G5G2023年5月T/TAF137-2022基于差分隱私的用戶個人信息保護技術(shù)要求針對移動互聯(lián)網(wǎng)應用程序（App）的個人信息收集、使用和保護，旨在規(guī)范App開發(fā)者和運營商在處理用戶個人信息時的行為，保障用戶數(shù)據(jù)安全和隱私。2022年11月DL/T2549-2022電力數(shù)據(jù)脫敏實施規(guī)范2022年11月YD/T3954-2021保護能力參考框架適用于第三方機構(gòu)對云計算服務提供者的用戶數(shù)據(jù)安全保護能力審查和評估提供依據(jù)，為云計算服務提供者的用戶數(shù)據(jù)安全保護能力建設提供參考。2021年12月GY/T351-2021廣播電視和網(wǎng)絡視聽收視綜合評價數(shù)據(jù)脫敏規(guī)則規(guī)定了廣播電視和網(wǎng)絡視聽收視綜合評價數(shù)據(jù)的脫敏原則、脫敏技術(shù)、脫敏流程和脫敏要求。2021年5月標準名稱標準概述發(fā)布時間YD/T3806-2020電信大數(shù)據(jù)平臺數(shù)據(jù)脫敏實施方法適用于電信大數(shù)據(jù)平臺、安全管控平臺中的數(shù)據(jù)脫敏。2020年12月JR/T0197-2020南給出了金融數(shù)據(jù)安全分級的目標、原則和范圍，以及數(shù)據(jù)安全定級的要素、規(guī)則和定級過程。2020年9月GA/T913-2019信息安全技術(shù)數(shù)據(jù)庫安全審計產(chǎn)品安全技術(shù)要求適用于數(shù)據(jù)庫安全審計產(chǎn)品的設計、開發(fā)及測試。2019年1月JR/T0295-2023證券期貨業(yè)信息安全運營管理指南提供了開展信息安全運營管理中安全管理、基礎安全管理、信息資產(chǎn)管理、漏洞管理、開發(fā)安全管理、數(shù)據(jù)安全管理、集中監(jiān)控與響應管理以及持續(xù)改進管理的指導思路及方法。2023年10月JR/T0197—2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南規(guī)定了金融數(shù)據(jù)安全分級的目標、原則和范圍，以及數(shù)據(jù)安全級別的劃分方法和定級規(guī)則。2020年9月JR/T0223—2021針對金融數(shù)據(jù)在其整個生命周期中的安全管理提出規(guī)范要求。2020年9月NB/T11302-2023電動汽車充電設施及運營平臺信息安全技術(shù)規(guī)范規(guī)定了電動汽車充電設施及運營平臺的網(wǎng)絡信息安全防護要求，適用于與電動汽車充電設施及運營平臺、充電設備、移動智能終端充電軟件的信息安全防護設計、信息安全評估等。2023年10月GM/T0126-2023HTML密碼應用置標語法HTML2023年12月標準名稱標準概述發(fā)布時間GM/T0127-2023規(guī)定了移動終端密碼模塊的結(jié)構(gòu)模型、數(shù)據(jù)類型定義、應用接口及安全要求。2023年12月GM/T0128-2023數(shù)據(jù)報傳輸層密碼協(xié)議規(guī)范規(guī)定了數(shù)據(jù)傳輸層密碼協(xié)議，包括記錄層協(xié)議、握手協(xié)議族和密鑰計算。2023年12月GM/T0129-2023SSH密碼協(xié)議規(guī)范SSH2023年12月GM/T0130-2023SM2SM22023年12月GM/T0131-2023電子簽章應用接口規(guī)范規(guī)定了電子簽章系統(tǒng)對外提供的服務接口，為電子簽章系統(tǒng)與應用系統(tǒng)之間提供統(tǒng)一的數(shù)據(jù)交換格式。2023年12月GM/T0132-2023信息系統(tǒng)密碼應用實施指南給出了信息系統(tǒng)密碼應用的流程指導和建議，描述了規(guī)劃、建設、運行及終止階段的實施過程及主要活動。2023年12月GM/T0032-2014基于角色的授權(quán)與訪問控制技術(shù)規(guī)范規(guī)定了基于角色的授權(quán)與訪問控制框架結(jié)構(gòu)及框架內(nèi)各組成部分的邏輯關(guān)系，定義了各組成部分的功能、操作流程及操作協(xié)議，定義了訪問控制策略描述語言、授權(quán)策略描述語言的統(tǒng)一格式和訪問控制協(xié)議的標準入口。2014年2月三、地方標準上海、江西、四川、江蘇、陜西、浙江等地分別在數(shù)據(jù)流通等安全層面提出了數(shù)據(jù)流通安全規(guī)范，規(guī)定了公共數(shù)據(jù)共享安全管理的管理要求，表14是涉及數(shù)據(jù)流通安全的部分地方標準列表。表14數(shù)據(jù)流通領域地方標準列表標準編號標準名稱地區(qū)發(fā)布時間DB34/T4631.2—2023政務數(shù)據(jù)第2部分：脫敏技術(shù)規(guī)范安徽省2023年10月DB3203/T1024—2023公共數(shù)據(jù)分類分級指南徐州市2023年5月DB51/T3058—2023政務數(shù)據(jù)數(shù)據(jù)脫敏規(guī)范四川省2023年4月DB31/T1446—2023公共數(shù)據(jù)安全分級指南上海市2023年1月DB36/T1713—2022公共數(shù)據(jù)分類分級指南江西省2022年12月DB3212/T1116—2022政務數(shù)據(jù)安全分類分級指南泰州市2022年12月DB3212/T1118—2022政務數(shù)據(jù)共享與開放安全管理規(guī)范泰州市2022年12月DB61/T1636—2022數(shù)據(jù)安全審計規(guī)范陜西省2022年12月DB36/T1585—2022基于政務云平臺密碼服務技術(shù)規(guī)范江西省2022年5月DB3301/T0363—2022公共數(shù)據(jù)脫敏管理規(guī)范杭州市2022年4月DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級指南浙江省2021年7月DB31/T1311—-2021數(shù)據(jù)去標識化共享指南上海市2021年7月DB34/T3821—2021智慧社區(qū)公共安全數(shù)據(jù)交換與共享安徽省2021年1月DB15/T2199—2021數(shù)據(jù)交易安全技術(shù)要求內(nèi)蒙古2021年5月DB52/T1557—2021大數(shù)據(jù)開放共享安全管理規(guī)范貴州省2021年1月DB37/T3523.2—2019公共數(shù)據(jù)開放第2部分：數(shù)據(jù)脫敏指南山東省2019年3月四、團體標準國內(nèi)相關(guān)團體已發(fā)布大量團體標準，例如中國通訊標準化協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會、中國通信協(xié)會以及部分省份的大數(shù)據(jù)協(xié)會先后公布了明確了數(shù)據(jù)流通安全的應用標準，表15是涉及數(shù)據(jù)流通安全的部分地方標準列表。表15數(shù)據(jù)流通領域團體標準列表標準編號標準名稱發(fā)布單位發(fā)布時間T/CSEE0309.3-2022能源大數(shù)據(jù)第3部分：分級分類電力信息化專業(yè)委員會2023年8月T/CAAAD004-2022互聯(lián)網(wǎng)廣告數(shù)據(jù)匿名化實施指南中國廣告協(xié)會2023年1月T/CCSA472-2023隱私計算應用面向金融場景的應用要求中國通信標準化協(xié)會2023年10月T/CCSA473-2023隱私計算應用面向政務場景的應用要求中國通信標準化協(xié)會2023年10月T/CCSA481-2023車聯(lián)網(wǎng)應用軟件通用安全技術(shù)規(guī)范中國通信標準化協(xié)會2023年10月T/TSIA004-2023互聯(lián)網(wǎng)軟件運營安全管理規(guī)范天津市軟件行業(yè)協(xié)會2023年10月T/TSIA005-2023網(wǎng)絡安全第三方服務機構(gòu)管理規(guī)范天津市軟件行業(yè)協(xié)會2023年10月T/NIFA21—2023金融數(shù)據(jù)安全技術(shù)防護規(guī)范中國互聯(lián)網(wǎng)金融協(xié)會2023年11月T/NIFA22—2023金融數(shù)據(jù)安全應急響應和處置指引中國互聯(lián)網(wǎng)金融協(xié)會2023年11月T/QGCML2131—2023數(shù)據(jù)安全風險評估規(guī)范全國城市工業(yè)品貿(mào)易中心聯(lián)合會2023年11月T/QGCML2169—2023網(wǎng)絡安全威脅檢測分析系統(tǒng)全國城市工業(yè)品貿(mào)易中心聯(lián)合會2023年11月T/SDBDA51—2023大數(shù)據(jù)平臺網(wǎng)絡安全等級劃分指南山東省大數(shù)據(jù)協(xié)會2023年11月T/STMA011—2023城市網(wǎng)絡安全綜合防控平臺設計指南四川省技術(shù)市場協(xié)會2023年11月標準編號標準名稱發(fā)布單位發(fā)布時間T/SHMHZQ016—2023數(shù)據(jù)安全管理評價指標管理規(guī)范2023年11月T/CIQA76-2024檢驗檢測行業(yè)數(shù)據(jù)安全工作指南中國出入境檢驗檢疫協(xié)會2024年1月T/CIQA77-2024檢驗檢測行業(yè)網(wǎng)絡安全等級保護實施指南中國出入境檢驗檢疫協(xié)會2024年1月T/ZGTXXH091-2024面向算網(wǎng)安全的隱私計算技術(shù)要求中國通信學會2024年1月本章小結(jié)國際合作等諸多方面依舊存在許多需求與挑戰(zhàn)需要通過標準化第3數(shù)據(jù)流通安全面臨的風險數(shù)據(jù)流通安全面臨的風險涉及多個層面，這些風險不僅影響數(shù)據(jù)的完整性、可用性和保密性，還可能對業(yè)務運營、法律合規(guī)以及國家安全造成重大影響。一是數(shù)據(jù)流通法律法規(guī)要求不統(tǒng)一。在數(shù)據(jù)流通安全方面，但是不同國家和地區(qū)對于數(shù)據(jù)流通的法律法規(guī)和政策要求存在較大差距，這導致跨國數(shù)據(jù)流通時難以確保全面合規(guī)。另外，隨濫用的風險。數(shù)據(jù)流通基礎設施包括保障數(shù)據(jù)流通安全的網(wǎng)絡、存儲、計算等的資源，仍然存在基礎設同時，如果數(shù)據(jù)在傳輸和存儲過程中遭受攻擊或泄露，將影響數(shù)據(jù)流通的安全性。四是新技術(shù)帶來的不確定性。隨著區(qū)塊鏈、人工智能等新興技術(shù)的發(fā)展，雖然在某個方面提高了數(shù)據(jù)的安全性，但也可能引發(fā)其他的安全風險和問題。例如人工智能技術(shù)在數(shù)據(jù)分析和處理中的廣泛應用，雖然提高了數(shù)據(jù)流通的智能化水平，但同時也帶來了數(shù)據(jù)污染和誤判的風險。五是數(shù)據(jù)安全技術(shù)和手段不足。數(shù)據(jù)流通過程中數(shù)據(jù)安全技術(shù)和手段不足的風險，涉及數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失等多個方面，這些風險直接威脅到數(shù)據(jù)的機密性、完整性和可用性。例如數(shù)據(jù)流通過程中采用的加密技術(shù)不夠先進或存在漏洞，攻擊者可能通過破解加密算法或利用加密過程中的弱點來獲取未加密的數(shù)據(jù)，導致數(shù)據(jù)泄露。訪問控制機制不完善或執(zhí)行不嚴，攻擊者可能通過偽造身份、繞過安全策略等方式非法訪問數(shù)據(jù)。數(shù)據(jù)在流通過程中可能經(jīng)過多個環(huán)節(jié)和多個參與方，如果缺乏有效的完整性驗證機制，數(shù)據(jù)可能被篡改而未及時發(fā)現(xiàn)。將引起很多安全風險，例如企業(yè)員工可能因疏忽（賬號密碼、誤發(fā)郵件等）、惡意行為（感信息等）據(jù)泄露。數(shù)據(jù)流通安全標準化需求一、規(guī)范數(shù)據(jù)流通安全相關(guān)術(shù)語和框架統(tǒng)一行業(yè)內(nèi)對數(shù)據(jù)流通安全概念、模型和框架的理解，消除交流障礙，為后續(xù)標準制定提供清晰、一致的術(shù)語基礎，確保不同參與者在數(shù)據(jù)流通活動中能夠準確識別安全角色、明確職責界限，以及理解數(shù)據(jù)生命周期中各階段的安全活動，主要工作內(nèi)容包括：數(shù)據(jù)流通安全術(shù)語標準：建立一套詳盡的數(shù)據(jù)流通安階段等，附帶實例解釋和使用場景。安全模型與框架標準：構(gòu)建數(shù)據(jù)流通安全參考模型，示各安全角色之間的互動關(guān)系，以及數(shù)據(jù)流通安全體系的結(jié)構(gòu)、功能模塊和它們之間的邏輯關(guān)聯(lián)。二、推動數(shù)據(jù)流通基礎設施安全建設確保數(shù)據(jù)流通基礎設施的安全性，為數(shù)據(jù)的采集、傳輸、存儲、處理等關(guān)鍵操作提供堅固的技術(shù)支撐，防止數(shù)據(jù)泄露、篡改和非法訪問，提升數(shù)據(jù)流通整體的安全防護能力，主要工作內(nèi)容包括：基礎設施安全技術(shù)規(guī)范：制定數(shù)據(jù)流通基礎設施（控制、入侵檢測系統(tǒng)等。安全運維管理標準：建立數(shù)據(jù)流通基礎設施安全運維標準化流程，涵蓋日常維護、安全事件響應、定期審計等。安全技術(shù)應用指南：提供數(shù)據(jù)流通基礎設施安全技術(shù)應用指南，包括如何實施安全技術(shù)、如何進行安全技術(shù)的評估和選擇。三、保障數(shù)據(jù)流通生命周期的安全管理確保數(shù)據(jù)在全生命周期內(nèi)的安全，從數(shù)據(jù)的產(chǎn)生到銷毀，每一個環(huán)節(jié)都應有明確的安全管理流程和措施，減少內(nèi)部和外部數(shù)據(jù)安全風險，保護數(shù)據(jù)的完整性和隱私性，主要工作內(nèi)容包括：數(shù)據(jù)生命周期安全策略：儲、共享、銷毀等各階段的詳細安全策略和操作規(guī)程。（如個人數(shù)據(jù)重要數(shù)據(jù)）制定特定的保護措施和安全等級劃分。數(shù)據(jù)安全事件應急響應機制：建立數(shù)據(jù)安全事件的應等。四、支撐數(shù)據(jù)服務的安全管理確保數(shù)據(jù)服務提供商能夠提供安全可靠的服務，通過規(guī)范數(shù)據(jù)服務的安全能力、數(shù)據(jù)交易服務的安全操作，以及數(shù)據(jù)安全治理機制，增強數(shù)據(jù)服務的安全性和透明度，支持數(shù)據(jù)流通市場的健康發(fā)展，主要工作內(nèi)容包括：數(shù)據(jù)服務安全能力評價體系：建立一套全面的數(shù)據(jù)服安全能力評價標準，包括安全能力成熟度模型和評價方法。數(shù)據(jù)交易服務安全操作指南：全操作規(guī)范，包括數(shù)據(jù)驗證、隱私保護、合同條款等。數(shù)據(jù)安全治理框架：安全策略、風險管理、合規(guī)性檢查等方面的具體要求。五、數(shù)據(jù)流通產(chǎn)品和服務安全評估通過建立數(shù)據(jù)流通相關(guān)安全產(chǎn)品和服務的評估標準和指南，確保市場上流通的安全產(chǎn)品和服務具有明確的安全性能指標，能夠有效地保護數(shù)據(jù)在處理、傳輸過程中的安全，促進安全技術(shù)的健康發(fā)展和廣泛應用，主要工作內(nèi)容包括：可信執(zhí)行環(huán)境等技術(shù)產(chǎn)品，制定具體的安全技術(shù)要求和性能指標。安全產(chǎn)品測評指南：制定安全產(chǎn)品測評的流程、方法的測試。六、促進數(shù)據(jù)應用的安全和持續(xù)發(fā)展安全發(fā)展，主要工作內(nèi)容包括：醫(yī)療等行業(yè)制定特定的數(shù)據(jù)分類、保護和共享標準。行業(yè)數(shù)據(jù)流通安全指南：針對不同行業(yè)發(fā)布數(shù)據(jù)流通全操作指南，提供行業(yè)特定的合規(guī)建議、安全控制措施和風險管理策略。本章小結(jié)在數(shù)據(jù)流通過程中，數(shù)據(jù)流通安全面臨的風險是多方面的，這些風險不僅影響數(shù)據(jù)的完整性、可用性和保密性，還可能對業(yè)務運營、法律合規(guī)等方面造成嚴重影響。通過數(shù)據(jù)流通安全風險分析，確定包括規(guī)范相關(guān)術(shù)語和框架、推動基礎設施安全建設、保障數(shù)據(jù)流通生命周期和數(shù)據(jù)服務的安全管理、建立數(shù)據(jù)流通產(chǎn)品和服務安全評估體系，促進數(shù)據(jù)應用的安全和持續(xù)發(fā)展的標準化需求，為搭建數(shù)據(jù)流通安全體系框架奠定基礎。第4章數(shù)據(jù)流通安全標準體系堅實的標準支撐，促進數(shù)字經(jīng)濟健康發(fā)展。數(shù)據(jù)流通安全體系框架數(shù)據(jù)流通安全標準框架以數(shù)據(jù)保護為核心，依托于安全法律法規(guī)，從基礎通用要求、技術(shù)與管理、產(chǎn)品與服務以及能力保障等方面來構(gòu)建，確保數(shù)據(jù)在流通中安全可靠，為政府和行業(yè)主管部門的監(jiān)督管理提供有力支撐，具體數(shù)據(jù)流通安全標準體系框架如圖4-1所示。圖4-1數(shù)據(jù)流通安全標準體系框架數(shù)據(jù)流通安全標準體系框架主要分為基礎標準、通用要求、技術(shù)標準、管理標準、產(chǎn)品與服務標準以及保障能力六大類，每個大類又細分為若干子類，標準大類與標準子類共同構(gòu)成標準體系框架，每個子類下包含若干現(xiàn)行標準和未來需要制定的標準。其中：基礎設施安全、數(shù)據(jù)匿名化、數(shù)據(jù)加密、數(shù)據(jù)溯源、風險監(jiān)測、數(shù)字資產(chǎn)識別、數(shù)據(jù)脫敏和訪問控制等相關(guān)要求和指南。流通制度、流通過程安全管理、數(shù)據(jù)流通安全事件管理等方面制定相關(guān)標準。數(shù)據(jù)流通安全標準體系以數(shù)據(jù)流通安全體系框架為基礎，深入細化各類標準，有效規(guī)范數(shù)據(jù)安全流通，降低數(shù)據(jù)流通風險，促進數(shù)據(jù)的合理利用和價值釋放，構(gòu)建面向工程、面向系統(tǒng)的數(shù)據(jù)流通安全標準。涵蓋數(shù)據(jù)安全流通過程提供全流程支撐和保障，在已有標準規(guī)范的基礎上，設計完善體系框架，查漏補缺，形成數(shù)據(jù)流通標準體系，參見圖4-2。圖4-2數(shù)據(jù)流通安全標準體系結(jié)構(gòu)圖一、基礎標準數(shù)據(jù)基礎類安全標準是整個數(shù)據(jù)流通安全標準體系總體性、框架性和基礎性的標準規(guī)范，提供包括術(shù)語、模型、框架等通用基礎標準，明確數(shù)據(jù)流通過程中各類安全角色及相關(guān)的安全活動或功能定義，為其他標準的制定奠定基礎。術(shù)語術(shù)語類標準明確數(shù)據(jù)流通安全相關(guān)術(shù)語，用于統(tǒng)一數(shù)據(jù)流通安全相關(guān)概念，為其他標準的制定奠定基礎。模型模型類標準用于理解數(shù)據(jù)流通安全，表達數(shù)據(jù)流通安全相關(guān)的概念以及概念之間的關(guān)系。該模型主要包括數(shù)據(jù)流通安全責任共擔模型和數(shù)據(jù)流通安全通用模型?？蚣軈⒖技軜?gòu)相關(guān)標準是對數(shù)據(jù)流通安全內(nèi)在的要求、設計結(jié)構(gòu)和運行建立的一個開放的數(shù)據(jù)流通安全技術(shù)模型，規(guī)范數(shù)據(jù)流通安全體系架構(gòu)有助于準確理解數(shù)據(jù)流通安全保障包含的結(jié)構(gòu)層次、功能要素及其關(guān)系，指導數(shù)據(jù)安全的頂層設計和架構(gòu)建立，為規(guī)劃和設計數(shù)據(jù)流通安全其他標準提供基礎參考。二、通用要求分類分級數(shù)據(jù)分類分級指南為了落實數(shù)據(jù)分級防護的政策要求，要對流通中的數(shù)據(jù)進行分類分級防護，結(jié)合國家已發(fā)布的相關(guān)標準對數(shù)據(jù)進行分類分級，在數(shù)據(jù)分類分級指南中進一步明確，通用的分類分級標準也是數(shù)據(jù)安全保護要求標準的基礎。與此同時，可以結(jié)合各個行業(yè)數(shù)據(jù)分類分級的特殊需求，結(jié)合數(shù)據(jù)分類分級指南制定行業(yè)數(shù)據(jù)分類分級指南，為不同行業(yè)領域應用場景、數(shù)據(jù)流通過程的安全保護提供基礎的支撐標準?；疽髷?shù)據(jù)流通安全保護標準是數(shù)據(jù)流通安全的技術(shù)標準，也是數(shù)據(jù)流通安全保護的基本標準，在該標準中覆蓋數(shù)據(jù)流通全生命周期，提出數(shù)據(jù)流通安全數(shù)據(jù)保護的基本要求。與此同時，可以結(jié)合各個行業(yè)數(shù)據(jù)保護的特殊需求，結(jié)合數(shù)據(jù)安全保護要求制定行業(yè)數(shù)據(jù)保護要求。方法指南數(shù)據(jù)安全設計要求和實施指南為了落實數(shù)據(jù)安全保護要求，需要提出數(shù)據(jù)流通安全通用技術(shù)框架，并提出具體的實施過程和控制要求，為數(shù)據(jù)服務提供者或者是數(shù)據(jù)運營者針對數(shù)據(jù)流通安全提供參考。三、技術(shù)標準數(shù)據(jù)流通安全保護技術(shù)類標準是基于對數(shù)據(jù)保護的要求，提出針對支撐數(shù)據(jù)流通基礎設施安全和數(shù)據(jù)流通全生命周期安全相關(guān)技術(shù)標準的制定。數(shù)據(jù)流通基礎設施數(shù)據(jù)流通基礎設施安全技術(shù)標準是基于對數(shù)據(jù)保護的要求，提出針對支撐數(shù)據(jù)流通基礎設施安全相關(guān)標準的制定，包括數(shù)據(jù)流通基礎設施安全技術(shù)要求、設計要求及測評要求等。數(shù)據(jù)加密確保數(shù)據(jù)流通過程中的安全性。主要涉及加密算法的選擇、密鑰管理、加密技術(shù)的應用以及合規(guī)性檢查等多個方面。數(shù)據(jù)匿名化數(shù)據(jù)流通匿名化技術(shù)指南旨在說明隱私技術(shù)涉及多種技術(shù)以便用戶能夠基于統(tǒng)一標準對不同技術(shù)產(chǎn)品進行評估和選擇。風險監(jiān)測數(shù)據(jù)流通安全風險監(jiān)測旨在規(guī)定數(shù)據(jù)流通過程中對有可能產(chǎn)生安全風險的環(huán)節(jié)進行監(jiān)控的要求。流通溯源數(shù)據(jù)流通溯源風險監(jiān)測旨在規(guī)定在突發(fā)數(shù)據(jù)安全泄露事件時對基于數(shù)據(jù)使用者、敏感數(shù)據(jù)、事件屬性等信息建立統(tǒng)一的數(shù)據(jù)質(zhì)量標準規(guī)則。數(shù)據(jù)資產(chǎn)識別數(shù)據(jù)流通資產(chǎn)識別技術(shù)指南明確數(shù)據(jù)流通全生命周期中的資產(chǎn)識別方法，為相關(guān)進行資產(chǎn)識別提供指導。數(shù)據(jù)脫敏數(shù)據(jù)流通數(shù)據(jù)脫敏技術(shù)標準旨在國家現(xiàn)有數(shù)據(jù)脫敏技術(shù)的基礎上，根據(jù)各行業(yè)自身實際情況和需求，制定統(tǒng)一的數(shù)據(jù)脫敏和匿名化處理標準，確保在數(shù)據(jù)流通過程中個人信息得到有效保護，避免隱私泄露風險。訪問控制數(shù)據(jù)流通訪問控制技術(shù)指南是以現(xiàn)有國家行業(yè)標準為基礎，結(jié)合數(shù)據(jù)流通過程，提出訪問控制要求和方法。四、管理標準數(shù)據(jù)流通安全保護管理類標準與安全技術(shù)類標準共同落實數(shù)據(jù)安全保護要求，從流通過程、安全事件等方面支撐數(shù)據(jù)可信流通，構(gòu)建數(shù)據(jù)流通各環(huán)節(jié)的安全基礎。管理體系數(shù)據(jù)流通管理體系是一個綜合性的框架，通過應用風險管理過程來確保數(shù)據(jù)在流通過程中的保密性、完整性和可用性，并為相關(guān)方樹立風險得到充分管理的信心。規(guī)定了在組織環(huán)境下建立實現(xiàn)維護和持續(xù)改進管理體系的要求。流通過程不同環(huán)節(jié)提出安全管理要求。安全事件數(shù)據(jù)流通安全事件分類分級指南旨在明確安全事件分類和分級的方法，界定安全事件類別和級別，并明確，安全事件分類監(jiān)測預警和應急處置等活動提供指導。應急處置數(shù)據(jù)流通應急處置方法是以安全事件分類分級為基礎，針對不同級別的風險選擇適當?shù)目刂拼胧?，制定應急處置計劃并獲得風險責任人對應急處置計劃批準的過程。五、產(chǎn)品與服務數(shù)據(jù)流通產(chǎn)品和服務類標準，包括數(shù)據(jù)流通安全服務安全基本要求、數(shù)據(jù)流通安全服務安全評測指南、數(shù)據(jù)流通安全產(chǎn)品安全基本要求和數(shù)據(jù)流通安全產(chǎn)品安全測評指南等相關(guān)標準。六、保障能力數(shù)據(jù)流通安全保障能力標準指導和規(guī)范數(shù)據(jù)流通參與方能力的評估，包括對數(shù)據(jù)提供方、數(shù)據(jù)服務提供方、第三方數(shù)據(jù)安全評估機構(gòu)的管理要求、評估要求、評估體系要求；還包括對數(shù)據(jù)服務組織的數(shù)據(jù)服務安全能力成熟度評估標準，以及數(shù)據(jù)自身的安全評價等相關(guān)標準。數(shù)據(jù)安全評價數(shù)據(jù)安全評價要求是針對數(shù)據(jù)流通過程中各相關(guān)方、對象、評價管理、評價體系、評價指標、過程管理、人員管理、文檔管評價規(guī)則，及數(shù)據(jù)安全評價實施提供指導。數(shù)據(jù)提供方數(shù)據(jù)提供方安全能力評估要求針對數(shù)據(jù)提供方提出具體的要求，如數(shù)據(jù)提供方的合法身份、數(shù)據(jù)提供方提供數(shù)據(jù)的質(zhì)量、完整性及安全性等，確保采集到的數(shù)據(jù)來源可靠、數(shù)據(jù)可信。數(shù)據(jù)服務提供方數(shù)據(jù)服務提供方安全能力要求針對數(shù)據(jù)服務提供方所具有的安全服務能力提出評估的要求，確保具有一定安全防護能力的數(shù)據(jù)服務提供方才能運營數(shù)據(jù)、提供數(shù)據(jù)服務。數(shù)據(jù)評估機構(gòu)數(shù)據(jù)安全評估機構(gòu)能力要求是對第三方評估機構(gòu)在開展安全評估時應具備的安全服務能力要求進行描述，數(shù)據(jù)流通安全第三方評估科學合理開展做好支撐。表16數(shù)據(jù)流通標準列表序號標準類型標準名稱1基礎標準術(shù)語信息安全技術(shù)數(shù)據(jù)流通安全技術(shù)術(shù)語2模型信息安全技術(shù)數(shù)據(jù)流通安全責任共擔模型序號標準類型標準名稱3信息安全技術(shù)數(shù)據(jù)流通安全通用模型4信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型（已發(fā)布）5框架信息安全技術(shù)數(shù)據(jù)流通安全參考框架6通用要求分類分級通用信息安全技術(shù)數(shù)據(jù)分類分級指南（已發(fā)布）7信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南（已發(fā)布）8行業(yè)金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南（已發(fā)布）9互聯(lián)網(wǎng)數(shù)據(jù)中心技術(shù)及分級分類標準（已發(fā)布）10其他行業(yè)數(shù)據(jù)分類分級指南11基線要求通用信息安全技術(shù)數(shù)據(jù)流通安全保護要求12行業(yè)行業(yè)數(shù)據(jù)流通安全保護要求13方法指南要求信息安全技術(shù)數(shù)據(jù)流通安全設計要求14指南信息安全技術(shù)數(shù)據(jù)流通安全實施指南15技術(shù)標準基礎設施安全信息安全技術(shù)數(shù)據(jù)流通基礎設施安全要求16信息安全技術(shù)數(shù)據(jù)流通基礎設施安全建設指南17數(shù)據(jù)匿名化信息安全技術(shù)數(shù)據(jù)匿名化指南18風險監(jiān)測信息安全技術(shù)數(shù)據(jù)安全風險監(jiān)測指南19流通溯源信息安全技術(shù)數(shù)據(jù)流通溯源風險監(jiān)測指南20數(shù)據(jù)資產(chǎn)識別信息安全技術(shù)數(shù)據(jù)資產(chǎn)識別技術(shù)指南21數(shù)據(jù)加密信息安全技術(shù)SM4分組密碼算法（已發(fā)布）22SM2（已發(fā)布）序號標準類型標準名稱23信息安全技術(shù)祖沖之序列密碼算法（已發(fā)布）24信息安全技術(shù)SM9標識密碼算法（已發(fā)布）25信息安全技術(shù)SM3密碼雜湊算法（已發(fā)布）26信息技術(shù)安全技術(shù).加密算法.第6部分:同態(tài)加密(第一版)（已發(fā)布）27其他數(shù)據(jù)加密技術(shù)標準28數(shù)據(jù)脫敏信息安全技術(shù)個人信息去標識化指南（已發(fā)布）29信息安全技術(shù)個人信息去標識化效果評估指南（已發(fā)布）30電信大數(shù)據(jù)平臺數(shù)據(jù)脫敏實施方法（已發(fā)布）31電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏技術(shù)要求和測試方法（已發(fā)布）32金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范（已發(fā)布）33電力數(shù)據(jù)脫敏實施規(guī)范（已發(fā)布）34交通運輸數(shù)據(jù)脫敏指南（已發(fā)布）35其他數(shù)據(jù)脫敏技術(shù)標準36訪問控制信息安全技術(shù)輕量級鑒別與訪問控制機制（已發(fā)布）37基于角色的授權(quán)與訪問控制技術(shù)規(guī)范（已發(fā)布）38其他訪問控制技術(shù)標準39管理標準管理體系信息安全技術(shù)數(shù)據(jù)流通安全管理體系要求40流通過程信息安全技術(shù)