楊建軍  中國電子技術(shù)標(biāo)準(zhǔn)化研究院副院長，全國信安標(biāo)委秘書長

　　第一個(gè)是數(shù)據(jù)安全現(xiàn)狀與態(tài)勢，第二個(gè)是數(shù)據(jù)安全標(biāo)準(zhǔn)化情況。數(shù)據(jù)安全或者說數(shù)據(jù)早就有了，我今天想說的主要是網(wǎng)上跑的數(shù)據(jù)，以前的數(shù)據(jù)比較少，而且數(shù)據(jù)質(zhì)量又不高，大家沒有給數(shù)據(jù)開放利用，也沒有很好的手段，關(guān)注度不夠，現(xiàn)在數(shù)據(jù)量大了，數(shù)據(jù)的質(zhì)量也高了，數(shù)據(jù)的價(jià)值也體現(xiàn)了，特別是大數(shù)據(jù)開始以后，我們所有數(shù)據(jù)的挖掘，這個(gè)數(shù)據(jù)不僅僅是網(wǎng)上跑的，它還可以變成金錢，甚至跟名利相關(guān)，這樣大家比較關(guān)注數(shù)據(jù)問題了，數(shù)據(jù)安全就重視起來了，目前來說數(shù)據(jù)安全是當(dāng)今影響我們世界最大問題之一，每個(gè)人都得關(guān)心數(shù)據(jù)安全，數(shù)據(jù)安全涉及到不僅是每個(gè)人的信息問題，涉及到有關(guān)人的利益，金錢甚至是生命，大家對數(shù)據(jù)安全非常關(guān)注，我做標(biāo)準(zhǔn)的有一個(gè)感受，每年上標(biāo)準(zhǔn)，一上標(biāo)準(zhǔn)大家提了很多數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)，但是對數(shù)據(jù)安全了解多少，大家還是不清楚的，我也不清楚，我們還在探索的過程中，目前數(shù)據(jù)安全的事件非常多，有很多是真的，有很多不一定是真實(shí)的，說明一個(gè)問題，說明對數(shù)據(jù)安全比較關(guān)注，全球的數(shù)據(jù)安全比較關(guān)注，目前的現(xiàn)狀在座人可能都比較清楚，像這兩年這是2018年、2019年的數(shù)據(jù)安全，這些都是我們認(rèn)為比較真實(shí)的網(wǎng)絡(luò)安全事件，每年都會有關(guān)于數(shù)據(jù)安全的問題，有一些是，有一些是不實(shí)的報(bào)道，甚至有大題小作的報(bào)道，做網(wǎng)絡(luò)安全對這個(gè)會有客觀的判斷，不管是不是真實(shí)的，或者是不是虛假的，說明一個(gè)問題，大家對這個(gè)很關(guān)注，對媒體來說如果是不吸引眼球媒體不會關(guān)注，近幾年，關(guān)于數(shù)據(jù)安全，關(guān)于個(gè)人信息保護(hù)非常多，數(shù)據(jù)安全，數(shù)據(jù)的保密性，數(shù)據(jù)的完整性，數(shù)據(jù)的可用性，從近期的事件來看，目前的數(shù)據(jù)安全主要發(fā)生在幾個(gè)方面，第一個(gè)是個(gè)人信息問題，涉及到國家安全，涉及到企業(yè)利益的數(shù)據(jù)，在安全性上面大家關(guān)注數(shù)據(jù)的收集，你收了不該收的數(shù)據(jù)這是大家比較關(guān)注的，手機(jī)上每個(gè)人都說某個(gè)APP收了我們的數(shù)據(jù)，第二個(gè)收了數(shù)據(jù)以后沒有好好保護(hù)，泄露出去了，這涉及到數(shù)據(jù)的保密性，數(shù)據(jù)收了以后用到其他的途徑，用到不該用的地方，這是數(shù)據(jù)安全大家最關(guān)注的三個(gè)點(diǎn)，對國家角度來說涉及到國防，經(jīng)濟(jì)，我說的是對平常老百姓角度關(guān)注的，你收了不該收的信息，拿了數(shù)據(jù)沒有好好保護(hù)，拿了數(shù)據(jù)去賺錢了，315曝了一個(gè)APP，各個(gè)省、協(xié)會都做了關(guān)于手機(jī)APP，數(shù)據(jù)的完整性，數(shù)據(jù)的可用性相對事件還不夠多，比如說某個(gè)數(shù)據(jù)收了，某個(gè)數(shù)據(jù)庫被破壞了，這方面的數(shù)據(jù)安全比較少，我們現(xiàn)在更關(guān)注的是數(shù)據(jù)的保護(hù)層面，怎么保護(hù)數(shù)據(jù)重要性，以及數(shù)據(jù)的使用層面這是我們目前關(guān)注的，全球各國都非常關(guān)注數(shù)據(jù)安全問題，目前已經(jīng)有107個(gè)國家已經(jīng)有相關(guān)的數(shù)據(jù)安全或者是隱私保護(hù)的處罰立項(xiàng)的規(guī)定，有66個(gè)國家是發(fā)展中國家或者是經(jīng)濟(jì)轉(zhuǎn)型的國家，不管是發(fā)達(dá)國家、發(fā)展中國家大家都比較關(guān)注數(shù)據(jù)安全，目前數(shù)據(jù)和安全是掛鉤的，現(xiàn)在做數(shù)據(jù)安全比較好的，從技術(shù)、立法比較好的還是在歐美國家，歐美國家對數(shù)據(jù)安全的相關(guān)層面要比發(fā)達(dá)國家，發(fā)展中國家要好很多，像歐美，歐洲，美國，北美都比較好，像亞洲、非洲的比例還好一些，目前還算不是非常普及，目前發(fā)達(dá)國家基本上都有，發(fā)展中國家一半左右，我們做企業(yè)在歐洲有公司的都比較關(guān)注的，GDPR開始以后，有的就撤回了，我們國家數(shù)據(jù)和安全相關(guān)的法律法規(guī)大家也比較清楚，從數(shù)據(jù)安全法律法規(guī)來說到一些部門規(guī)章，司法解釋等等，這是一個(gè)整體的法律法規(guī)體系，我們國家的數(shù)據(jù)安全它沒有一個(gè)整體的數(shù)據(jù)安全法，比如說法律有一個(gè)民法，有個(gè)人隱私，像網(wǎng)絡(luò)安全法對數(shù)據(jù)安全，個(gè)人信息保護(hù)都有非常明確的條文去規(guī)定的，還有侵權(quán)責(zé)任法，消費(fèi)者權(quán)益保護(hù)法，全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)安全的決定這里面多多少少都含有數(shù)據(jù)安全等相關(guān)的條款，在行政法規(guī)目前正式發(fā)布了還是比較少，現(xiàn)在也有了做法，部門法規(guī)也有一些消費(fèi)者，消協(xié)會做一些保護(hù)這些都是基于互聯(lián)網(wǎng)業(yè)務(wù)提出的關(guān)于個(gè)人信息保護(hù)相關(guān)的，真正針對數(shù)據(jù)安全法律法規(guī)是沒有的，正在制定過程中，我們2018年像網(wǎng)絡(luò)安全法，個(gè)人信息保護(hù)法已經(jīng)立于人大常委了，像我們的數(shù)據(jù)安全法它的地位還是比較高的，跟網(wǎng)絡(luò)安全法是并列，這個(gè)數(shù)據(jù)安全法包括跟國家所有的相關(guān)數(shù)據(jù)，剛才說了法律法規(guī)，法律法規(guī)還有一個(gè)部門的規(guī)范性文件，上個(gè)月網(wǎng)信辦發(fā)了一個(gè)數(shù)據(jù)安全管理辦法，就類似于規(guī)范性文件，落實(shí)網(wǎng)絡(luò)安全法非常有效的指導(dǎo)性文件，昨天網(wǎng)信辦又出了一個(gè)征求意見稿，個(gè)人信息出境安全評估方法，這也是針對數(shù)據(jù)安全非常有針對性的文件，這兩個(gè)文件近期推出以后對后續(xù)數(shù)據(jù)安全工作有非常大的促進(jìn)推動，說了這么多的法律法規(guī)，咱們說一說標(biāo)準(zhǔn)，標(biāo)準(zhǔn)是落實(shí)法律法規(guī)很好的手段，因?yàn)榉煞ㄒ?guī)都比較泛，真正要落實(shí)的時(shí)候，必須要有相應(yīng)的標(biāo)準(zhǔn)，相應(yīng)的技術(shù)手段去落實(shí)相關(guān)的法律法規(guī)，標(biāo)準(zhǔn)化工作非常重要，每次大家說到法律法規(guī)落實(shí)都說到標(biāo)準(zhǔn)是多少，支撐法律法規(guī)的標(biāo)準(zhǔn)是多少，我們網(wǎng)絡(luò)安全法的工作主要是為了落實(shí)網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，數(shù)據(jù)安全同樣，都是我們網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作中的重要內(nèi)容。

　　數(shù)據(jù)安全是網(wǎng)絡(luò)標(biāo)準(zhǔn)安全的一部分，全國信安標(biāo)委是2002年成立，是國家網(wǎng)絡(luò)安全主管部門，七個(gè)主管部門共同的平臺，包括網(wǎng)信辦，網(wǎng)信辦是牽頭，里面有公安，公信，保密，安全密碼，主要國家網(wǎng)絡(luò)安全主管部門都在信安標(biāo)委，咱們國家的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是由網(wǎng)信辦和主任委員，標(biāo)準(zhǔn)化委員會層次比較高，而且標(biāo)準(zhǔn)化工作任務(wù)也比較，主要負(fù)責(zé)的是網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，現(xiàn)在成員比較多，工作組成員應(yīng)該有888家，成立以來，信安標(biāo)委已經(jīng)做了將近四百個(gè)標(biāo)準(zhǔn)，其中兩百多個(gè)已經(jīng)發(fā)布了，里面涉及到網(wǎng)絡(luò)安全相關(guān)的，其中有一部分是數(shù)據(jù)安全，數(shù)據(jù)安全以前我們不是很重視，但是2016年網(wǎng)信辦成立以后，對數(shù)據(jù)安全重視以后，成立了一個(gè)信安標(biāo)委大數(shù)據(jù)工作組，要把數(shù)據(jù)安全工作重視起來，當(dāng)時(shí)專門成立了一個(gè)大數(shù)據(jù)工作組，工作組主要負(fù)責(zé)的大數(shù)據(jù)安全以及相關(guān)的云計(jì)算，物聯(lián)網(wǎng)等數(shù)據(jù)應(yīng)用相關(guān)的標(biāo)準(zhǔn)，這是數(shù)據(jù)化安全標(biāo)準(zhǔn)化工作的要求，數(shù)據(jù)安全標(biāo)準(zhǔn)，咱們國家是2016年成立，國際上做的比較早，國際最早的時(shí)候他們最早體現(xiàn)在隱私保護(hù)，隱私保護(hù)當(dāng)時(shí)是由美國人提出來的，由于隱私保護(hù)在不同國家制度不一樣，這一個(gè)標(biāo)準(zhǔn)推動非常的艱難，歐洲保護(hù)跟美國保護(hù)，跟日本的不一樣，當(dāng)時(shí)我們國家還沒有在這方面做太多的工作，自從成立大數(shù)據(jù)標(biāo)準(zhǔn)工作組以后，我們國家的很多企業(yè)、專家在這方面做了大量的工作，在這個(gè)方面我們在國際上標(biāo)準(zhǔn)還是往前走了一步現(xiàn)在大數(shù)據(jù)標(biāo)準(zhǔn)大部分都是中國提出來的，2018年我們在武漢專門提出了一個(gè)成立數(shù)據(jù)安全國際標(biāo)準(zhǔn)工作組，由中國牽頭，很快美國人就反對，美國人很清楚，如果我們牽頭做，這一塊相當(dāng)于我們在引領(lǐng)，他們不樂意，當(dāng)時(shí)我們成立一個(gè)研究所，經(jīng)過一年研究以后取得了很大的收獲。

　　第二個(gè)我們提出了很多大數(shù)據(jù)相關(guān)的工作，包括大數(shù)據(jù)架構(gòu)國外還沒有注意到這個(gè)事情的時(shí)候我們就提出來了，大數(shù)據(jù)安全隱私以及數(shù)據(jù)安全，這些項(xiàng)目都是由中國提出的，國際這一塊數(shù)據(jù)安全在一定程度上目前中國是取得領(lǐng)先位置，阻力也不小，數(shù)據(jù)安全確實(shí)涉及到美國的利潤，走的太快美國人也不愿意，歐洲也不愿意，整個(gè)數(shù)據(jù)安全是由歐美主導(dǎo)的，從國際來看現(xiàn)在我們的數(shù)據(jù)安全標(biāo)準(zhǔn)已經(jīng)是越走越快了，抓緊推動數(shù)據(jù)安全國際和國內(nèi)的調(diào)查工作，從目前來看在國際上還是取得領(lǐng)先位置。國內(nèi)的數(shù)據(jù)安全標(biāo)準(zhǔn)啟動也是比較早的，做的時(shí)候也是比較艱難的，數(shù)據(jù)安全這個(gè)東西大家都知道它的概念比較泛，數(shù)據(jù)安全的保護(hù)也比較難，很難定義數(shù)據(jù)是否重要，跟場景是密切相關(guān)的，現(xiàn)在做的很多法規(guī)、標(biāo)準(zhǔn)里一提到重要數(shù)據(jù)，什么叫重要數(shù)據(jù)，每次大家都會提什么叫重要數(shù)據(jù)，哪些是個(gè)人數(shù)據(jù)，聽起來很簡單，真正要做到標(biāo)準(zhǔn)是很難的，作為一個(gè)法律條款更難，我們現(xiàn)在出的數(shù)據(jù)安全管理辦法等，這些文件出的難度比較大，但是又不能不做，咱們國內(nèi)做標(biāo)準(zhǔn)也是為了支撐網(wǎng)絡(luò)安全，包括數(shù)據(jù)的聲明，個(gè)人信息的保護(hù)怎么去保護(hù)，現(xiàn)在數(shù)據(jù)安全主要是為了網(wǎng)絡(luò)安全法以及人大關(guān)于信息保護(hù)的決定有一些明法的要求，現(xiàn)在針對網(wǎng)絡(luò)數(shù)據(jù)安全辦法，都制定了一系列的相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn)，整個(gè)數(shù)據(jù)安全標(biāo)準(zhǔn)我認(rèn)為是對整個(gè)數(shù)據(jù)法律法規(guī)政策配套的細(xì)化和支撐，前兩天我們發(fā)布了個(gè)人信息APP違法違規(guī)使用個(gè)人信息征信辦法，都是對某個(gè)法律里面的某一段細(xì)化的，信安標(biāo)委已經(jīng)發(fā)布的標(biāo)準(zhǔn)有個(gè)人信息保護(hù)規(guī)范，這個(gè)已經(jīng)發(fā)布了，現(xiàn)在正在修訂，這個(gè)規(guī)范對我們數(shù)據(jù)安全，個(gè)人信息保護(hù)起了很大的指導(dǎo)作用，還有大數(shù)據(jù)服務(wù)安全能力要求以及數(shù)據(jù)促進(jìn)質(zhì)量標(biāo)準(zhǔn)，最近我們又提出了一系列標(biāo)準(zhǔn)，數(shù)據(jù)安全標(biāo)準(zhǔn)體系逐漸在完善過程中，現(xiàn)在有22項(xiàng)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)項(xiàng)目，5項(xiàng)是與個(gè)人信息保護(hù)相關(guān)，15項(xiàng)與數(shù)據(jù)安全相關(guān)，而且它的標(biāo)準(zhǔn)化對象也比較廣，涉及到數(shù)據(jù)服務(wù)，數(shù)據(jù)產(chǎn)品，范圍覆蓋包括醫(yī)療、政務(wù)、能源等等，現(xiàn)在是全面做數(shù)據(jù)安全標(biāo)準(zhǔn)，還涉及個(gè)人信息去標(biāo)識，隱私工程，隱私影響，隱私保護(hù)，數(shù)據(jù)分類分級，數(shù)據(jù)安全，數(shù)據(jù)交易等等，我說的22項(xiàng)只是我們覺得應(yīng)該馬上要做的，當(dāng)時(shí)提出來的就不止幾倍，我們一步步來，現(xiàn)在目前有安全要求的標(biāo)準(zhǔn)，有大數(shù)據(jù)服務(wù)能力要求，數(shù)據(jù)交易服務(wù)安全，政務(wù)信息共享等，這是技術(shù)要求類，還包括實(shí)施指南類幫助我們一般的網(wǎng)民或者是企業(yè)去做數(shù)據(jù)安全，像個(gè)人信息去標(biāo)識，把個(gè)人信息的特征給去掉，還有個(gè)人信息安全工程，個(gè)人信息不是數(shù)據(jù)出來了，有了數(shù)據(jù)才有數(shù)據(jù)安全，數(shù)據(jù)安全是從系統(tǒng)建設(shè)要考慮的，是工程性問題，現(xiàn)在國際上提出要數(shù)據(jù)安全保護(hù)工程，我們現(xiàn)在叫做個(gè)人信息安全工程，現(xiàn)在很多APP都告知同意我要收取你的信息，檢測評估類的有四項(xiàng)，實(shí)施指南類有八項(xiàng)，基礎(chǔ)框架類三項(xiàng)，我剛才說的我們老百姓比較關(guān)注的是個(gè)人信息，國家比較關(guān)注的是重要數(shù)據(jù)，很多企業(yè)數(shù)據(jù)是企業(yè)層面來保護(hù)的，目前的標(biāo)準(zhǔn)關(guān)注的點(diǎn)還是在重要數(shù)據(jù)和個(gè)人信息相關(guān)的，企業(yè)做數(shù)據(jù)安全在座的最有發(fā)言權(quán)，在座的也最有經(jīng)驗(yàn)，如果在座有覺得可以推廣，可以給大家采用的經(jīng)驗(yàn)可以提出來，作為國家標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)去推廣使用。

　　2019年新申請的立項(xiàng)標(biāo)準(zhǔn)，這七個(gè)項(xiàng)目是我們2019最近這批大家提出的要制定的項(xiàng)目，像告知同意，大數(shù)據(jù)軟件安全，數(shù)據(jù)安全評估，云服務(wù)數(shù)據(jù)安全，人工智能算法等，這相關(guān)的與數(shù)據(jù)安全的新立項(xiàng)標(biāo)準(zhǔn)以及研究性，重要數(shù)據(jù)，分類研究等等，這些基礎(chǔ)工作已經(jīng)全面鋪開了，大家有興趣可以參與到這個(gè)項(xiàng)目中來。

　　這是典型數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)內(nèi)容，我就不細(xì)說了，這里面的內(nèi)容比較多，像個(gè)人信息安全規(guī)范主要圍繞是個(gè)人信息保護(hù)相關(guān)的，怎么收集、保護(hù)、分發(fā)、銷毀，整個(gè)個(gè)人信息的全生命周期予以規(guī)范。

　　數(shù)據(jù)出境安全評估指南，個(gè)人信息安全影響評估，健康醫(yī)療信息安全指南，這些信息的保護(hù)標(biāo)準(zhǔn)也是對我們行業(yè)提供指導(dǎo)的，這些標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。

　　目前有一些標(biāo)準(zhǔn)已經(jīng)用上了，個(gè)人信息安全規(guī)范，2017年在網(wǎng)信辦牽頭下我們做了個(gè)人信息保護(hù)提升行動，對我們所有的APP個(gè)人隱私，所謂個(gè)人隱私就是收什么數(shù)據(jù)用什么數(shù)據(jù)，評估，發(fā)現(xiàn)基本都不符合，當(dāng)時(shí)我們有十家互聯(lián)網(wǎng)企業(yè)給他的APP系統(tǒng)進(jìn)行評估，效果比較好，評估以后一方面提升了企業(yè)對APP的認(rèn)知，手段也提高了，聲明、條款這些方面明顯提高，2018年我們又重新做了三十家企業(yè)，對企業(yè)的促進(jìn)作用比較大。

　　還有一個(gè)數(shù)據(jù)安全能力成熟度模型，大家都知道大數(shù)據(jù)就是一個(gè)框，你的安全能力你有沒有能力保護(hù)這些數(shù)據(jù)安全，這是關(guān)鍵的，我要評估一下大數(shù)據(jù)的能力，或者自己評估一下有沒有能力保護(hù)的數(shù)據(jù)，這個(gè)標(biāo)準(zhǔn)在貴州有數(shù)百家使用這個(gè)標(biāo)準(zhǔn)，對保護(hù)安全能力建設(shè)是非常重要的，有一個(gè)尺度，我知道怎么建好數(shù)據(jù)安全能力，這個(gè)也是比較重要的標(biāo)準(zhǔn)。

　　第三個(gè)健康醫(yī)療信息安全指南，不僅僅是個(gè)人信息，涉及到整個(gè)國家的，通過清華大學(xué)做一個(gè)醫(yī)療信息安全指南，如何收集保護(hù)使用信息，希望標(biāo)準(zhǔn)對我們后續(xù)的健康醫(yī)療，一方面要用起來，第二個(gè)要保護(hù)數(shù)據(jù)個(gè)人的安全，保護(hù)國家的安全。

　　還有個(gè)人信息相關(guān)的，今年初四部門網(wǎng)信辦牽頭，工業(yè)和信息化部，公安部門，市場監(jiān)管總局發(fā)起一個(gè)APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的發(fā)布會，網(wǎng)絡(luò)安全法規(guī)定收集信息必須要公開明示，怎么公開明示，是不是在哪個(gè)地方放著就公開了，個(gè)人隱私政策有但是找不到，有的能打開但是看不懂，這個(gè)要明示，怎么公開，怎么明示，什么叫明示同意，要把這些東西規(guī)范起來，也提出了相應(yīng)的技術(shù)法規(guī)，包括認(rèn)定辦法，還有APP要收什么樣的信息，不能收什么樣的信息，都要有相應(yīng)的規(guī)范，目前通過這個(gè)專項(xiàng)行動對大批的APP進(jìn)行了評估，也希望大家后續(xù)有機(jī)會可以多關(guān)注我們行動的情況。

　　目前做的行動，給企業(yè)做了評估指南，企業(yè)怎么做。第二個(gè)對大眾使用的APP做一些必要的規(guī)范，告訴APP能收什么樣的信息，別超范圍收取，還有認(rèn)定辦法。