前言

网络信息技术创新日新月异,数字化、网络化、智能化融合发展,对我国建设网络强国、数字中国、智慧社会发挥着至关重要的作用。世界各国都把推进经济数字化作为创新发展的重要动能,并作出前瞻性布局。以数据为关键要素的数字经济发展历程中,数据价值也由最初的数据资源发展成为数据资产,再进一步发展为数据资本。2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,要求“加快培养数据要素”,将数据作为新型生产要素,正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。

电信和互联网行业(以下简称“行业”)在数据规模、覆盖范围、存储和传输能力,及实时性和多样性方面均具有突出的价值优势。随着行业数据内外部应用的同步拓展和推进,数据安全问题日益凸显,严重阻碍行业数据资源价值释放。做好行业数据安全治理刻不容缓。

白皮书聚焦行业数据安全治理,首先,对数据治理、数据安全治理的内涵,以及行业数据主要分类、典型应用、安全发展形势进行了简要阐述和分析;其次,在梳理国内外数据安全治理环境的基础上提出行业数据安全治理需求,介绍了国内外数据安全治理的典型实践案例,并进行了问题分析;最后,提出行业数据安全治理框架和行业数据安全治理相关建议。

白皮书内容简介

一、概念及内涵

数据治理

国际标准化组织IT服务管理与IT治理分技术委员会(ISO/IEC JTC1/SC40)、国际数据管理协会(DAMA)、国际数据治理研究所(DGI)、IBM数据治理委员会等专业组织和知名研究机构都提出了各自对数据治理的理解。

与国外数据治理大多率先在企业层面成功实践不同,国内对数据治理的研究更多站位国家治理、公共管理,即数据不仅仅是组织(或企业)的资产,更是国家的一种基础战略资源;数据治理主体不仅仅局限于企业,政府、市场、社会及个人也是重要主体,且治理实践不仅要依靠框架、模型和技术,还应结合政策、法律、教育、道德伦理等方法和手段,包括治理主体之间的统筹协调;数据治理目的不仅仅是确保数据的高效合理利用及企业的价值实现,更是为了提升国家治理能力和政府公共管理能力,即数据治理是国家治理体系和治理能力现代化的重要组成部分,影响着经济调节、市场经济、社会管理、公共服务等多个领域,关联着人才、资本、知识等各类要素,是一项系统性工作。

数据治理是多元治理主体以数据生产要素为对象,以释放数据价值为目标,以守住数据安全为底线,以建立健全数据全生命周期秩序规则为核心,以推动数据有序管理和流转为主要活动,以强化数据管理技术手段为支撑的一系列活动,具有综合性、复杂性和长期性等特征。

数据安全治理

数据安全治理是数据治理的一个重要组成部分,贯穿数据治理各个过程及数据全生命周期,聚焦数据的“安全”属性,而数据治理则强调数据的“价值”属性。

二、电信和互联网行业数据安全发展形势

事件影响范围不断扩大

2020年5月19日,美国电信巨头Verizon公司发布2020年数据泄露调查报告(DBIR)。报告显示,81个国家参与调研的数据泄露事件中,55%的泄露事件和有组织犯罪相关,外部攻击占70%,企业内部攻击占30%;58%涉及个人数据泄露,72%的受害者为大型企业。

  • 影响范围从最初的企业和个人逐步向整个行业及全社会蔓延;

  • 影响行业数据合理开放共享的意愿和积极性;

  • 影响用户对行业数据安全治理的信心,从而影响行业新技术新业务与实体经济的深度融合;

  • 为数据跨境流通、数据驻留规管带来负面影响,甚至面临被动局面。

风险危害程度日趋严重

据IBM《2019年全球数据泄露成本报告》显示,过去5年数据泄露成本上升了12%,平均成本已达到392万美元。恶意数据泄露平均会给企业带来445万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。

  • 行业数据价值巨大,一旦出现安全问题,可能会造成企业声誉和经济损失、个人造成巨大的经济损失。

  • 可能危害到用户的生命或财产安全。如个人信息泄露不只是隐私权被侵犯的问题,也可能被犯罪分子利用,进行违法犯罪活动,电信和互联网诈骗事件就是典型,也不乏个人信息泄露有关的命案。

  • 随着各国的数据战略部署,数据治理逐步上升到国家战略层面,某些数据安全事件极有可能发展为影响社会秩序、政治稳定、国家安全的非常事件。

安全治理难度持续升级

  • 数据安全风险源、恶意攻击动机、途径的复杂性增加了数据安全风险防范难度。

  • 行业新网络形态、新技术新应用场景,衍生出新的数据类型、数据生产方式、数据处理方式和终端形式等,引发新一轮数据安全事件爆发,安全挑战不断加剧。

  • 数字化的加速推进促进了复杂网络中的数据流,极大的模糊了传统数据安全的边界,使得行业基于边界或网元的防护体系不再能满足当前数据安全治理需求。

三、电信和互联网行业数据安全主要风险

互联网暴露面问题突出

中国软件评测中心网安中心近几年持续支撑工信部等监管机构,开展对电信和互联网行业的威胁监测和远程检测,发现的安全漏洞或问题80%和数据安全相关,主要包括SQL注入、非授权访问、数据泄露三大类。其中实现非授权访问的原因多样,包括弱口令、授权绕过、未进行身份验证等。数据泄露方面甚至存在源代码泄露。

数据不可控性明显增加

  • 行业数据产出以几何级增加,大数据中心和大数据系统应运而生。海量数据的生产、汇聚、存储、提炼、挖掘、应用等数据流转处理环节和流程大大增加。

  • 就目前我国大数据技术架构而言,多数使用Hadoop、Spark、MongoDB等开源软件搭建平台,存在数据安全不可控的风险。

  • 越来越普及的云计算,具有数据所有权和管理权分离的特点,用户对被存储在云端的数据是否完整无误或被滥用,受到损坏后是否可恢复,以及数据的存储策略、保留的副本数量、存储位置、销毁执行是否均按照SLA协议执行等均不可控。

数据安全管理体系不完善

  • 缺乏数据安全方面的管理机构。

  • 数据安全控制措施不力。

  • 数据安全优先级不足。

  • 对数据安全合规性认识不足。

四、电信和互联网行业数据安全治理环境

总体来说,全球政策法律环境由前期的以信息自由、数据共享为价值导向,逐步发展到以个人信息及隐私保护为重点,而后向全面的数据治理扩张,为数据安全治理及其法治化提供了良好的政策环境保障。

国际数据安全治理环境

欧盟密集立法深刻影响全球治理格局。欧盟“数据”和“安全”相关法律立法密集,与其“数字化单一市场”战略齐头并进,深刻影响国际数据治理格局,包括美国、日本、韩国、印度、加拿大等在内的十几个国家为了打通欧盟立法产生的数据壁垒,与其已经达成或正在谈判以达成数据传输保护协议。

美国多点立法捍卫其多元化社会利益。特朗普签署《外国情报监视法案修正案》第702条的更新授权,同意授权美国国家安全局(NSA)监听境外目标人员并收集其相关数据情报。并签署《澄清合法使用海外数据法》,根据该法案,无论美国网络服务提供商的数据是否存储在美国境内,只要是提供商拥有、控制或监管的数据,均须按照该法令的要求保存、备份和披露。同时允许“适格外国政府”执法机构调取美国存储数据,但“适格”认定、调取规则以及上述域外数据采集要求均以美国利益为先加以制衡。

国际数据治理情绪高涨配套动作频繁。近几年,日本、澳大利亚、越南、巴西、加拿大、印度、新加坡、ODCE经合组织等国家或组织纷纷出台数据相关政策法律,全球数据安全标准发展迅速。美国主导下的亚太隐私数据跨境体系(APEC CBPRs)也在沉寂期后迎来实质性进展。2018年,新加坡、澳大利亚和中国台北获APEC批准,加入CBPRs体系。截至目前,在APEC 21个经济体中,已有包括美国、日本、加拿大、韩国、新加坡等8个经济体加入CBPRs体系。

国内数据安全治理环境

国内政策多头并进迎来治理新格局。2015年以来,国家出台多部重大立法,《国家安全法》、《网络安全法》、《电子商务法》、《密码法》、《民法典》等多部法律颁布并施行,分别从不同角度不同程度地对个人信息和数据保护做了相关规定。此外,从1980年提议到被纳入十三届全国人大常委会立法规划的《电信法》,历时39年终于迎来新进展,同样被纳入规划的《个人信息保护法》和《数据安全法》已列入2020年立法工作计划,其中《个人信息保护法》已形成草案稿(尚未提请审议),《数据安全法(草案)》已于2020年6月28日提请十三届全国人大常委会第二十次会议审议。

国内数据治理标准化进展领先国际。2014年,ITSS分委会启动了数据治理标准预研工作,并向SC40/WG1提交了《数据治理白皮书》(英文版)和数据治理研究技术报告,获得国际专家一致认可。2015年5月,在巴西SC40全会上,中国代表团正式提出“数据治理国际标准”新工作项目建议并获通过。目前国际上仅有的两个数据治理国际标准均由我国主导编辑研制。已获得国际标准化组织批准,并正式发布。项目期间,ITSS分委会同步开展了数据治理国家标准的研制工作,并于2018年6月7日正式发布GB/T 34960.5-2018《信息技术服务治理第5部分:数据治理规范》。

五、电信和互联网行业数据安全治理需求

国内外政策形势紧迫

2019年1月,Google由于其个性化广告推送服务中违反GDPR的透明性原则,且在处理用户信息前未获得有效同意,被罚5000万欧元。截止目前,依据GDPR全球共开出大约300张罚单,涉及金额约35亿欧元,被罚企业不乏德国宽带运营商1&1、意大利电信运营商TIM等电信企业。

  • 欧盟GDPR深刻影响全球数据治理生态,尤其是明确规定了欧盟境外的主体在特定条件下也必须遵循GDPR相关规范。迫使包括中国在内的治理主体在数据治理战略部署,及中国企业在内的跨境数据运营主体在业务合规过程中,必须考虑、评估GDPR的约束和实际影响力。

  • 美国、日本、韩国、加拿大、澳大利亚等发达国家和巴西、印度等发展中国家也在数据治理进程中表现出极大热情,在指导各自境内企业或组织保障个人信息和数据安全同时,均在全球化数字经济中尽可能最大化自身利益。

  • 国内对“数据要素”的定位,及数据安全相关立法的滞后,也对数据安全治理提出要求和挑战。受国际及国内关于“数据”、“安全”及其他配套政策和立法形势影响,行业数据安全治理迫在眉睫。

安全和发展双重驱动

习近平总书记在2016年4月19日的网络安全和信息化工作座谈会上强调,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。自2020年3月4日,中央政治局会议强调加快5G网络、数据中心等新兴基础设施建设以来,全国各地方政府纷纷公布新基建投资计划。

  • 新基建战略为我国数字化增速转型提供新动能,行业发展也迎来新机遇,但同时也会面临新的安全风险,为避免因安全问题造成巨大的经济和社会损失,同步规划、建设数字新基建安全保障措施势在必行,其中,数据安全保障措施的规划和建设首当其冲。

  • 网络信息时代,大数据、云计算、人工智能等新型技术,物联网、车联网、工业互联网等新形态网络,以及远程医疗、在线教育、直播新媒体等新型应用蓬勃发展,新技术新业务的安全管理、安全评估、安全测评等能力尚不成熟,行业数据安全面临更严峻的挑战。

  • 数字经济飞速发展,数据价值催生了数据黑产,从黑客、内鬼非法盗取个人信息,到个人数据在互联网被公开兜售、暗网数据交易,再到电信互联网诈骗、企业精准营销“杀熟”、虚拟资产盗取等数据黑产及滥用乱象,反向刺激了行业数据安全的监管需求及治理思考。

数据拥有者权益期待

据中国互联网络信息中心CNNIC第45次《中国互联网络发展状况统计报告》,截至2020年3月,我国网民规模为9.04亿,互联网普及率达64.5%。受疫情影响,网络应用的用户规模呈现较大幅度增长。其中,在线教育、在线政务、网络支付、网络视频、网络购物、即时通信、网络音乐、搜索引擎等应用的用户规模较2018年底增长迅速,增幅均在10%以上。

  • 就疫情期间而言,包括个人姓名、身份证、手机号码、具体住址等大量实名信息被社区、酒店、餐饮业等组织或机构强制性收集,而多数数据收集者并不具备个人信息保护的意识和能力,个人数据权益无从保障,数据拥有者急切期待相应体系化措施更有力且正当化地保护其个人数据。

  • 而日常情形下,公众依然希望企业或组织尊重个人隐私,数据拥有者依然期望数据掌控权不要脱离或失控,并期待提高采集和使用其数据的相关行为透明度。行业在发展和建设过程中,数据拥有者的权益衡量和基于行业的利益平衡需要给予更多关注。

六、电信和互联网行业数据安全治理实践

国外典型实践案例

  • 微软之DGPC框架

  • Gartner之DSG框架

国内典型实践案例

  • 监管层主要实践

  • 企业层实践案例

国内外实践对比

总体来说,国内外的数据安全治理标志性实践进程基本一致。

行业实践问题分析

  • 企业顶层驱动力不足。企业层面大多由单个部门(如IT部门或安全部门)主导驱动,缺乏高层的有效参与,顶层驱动不足。负责决策、管理、技术及监督的人员责权不明晰,问责机制不严密,大多数企业的数据安全工作聚焦在管理层和执行性,甚至只在执行层开展相关工作,在治理层进展很少,尚未形成安全治理体系。

  • “网元”模式待升级。行业数据释放价值的过程必然是其流动、共享、交易和使用的过程,数据滥用、数据泄露、数据确权等问题不可避免,目前以网络或系统单元为中心的安全防护模式,往往不能将数据的安全措施和安全需求精确匹配。

  • 缺乏用户侧权益考量。默认勾选、霸王条款、未经授权的电信和互联网营销、电信和互联网诈骗等现象在日常生活中屡见不鲜,用户并没有实质的选择机会或权力,权益被侵害时缺乏便利且有效的渠道去维护,行业对用户数据权益的合理考量尚欠缺。

七、电信和互联网行业数据安全治理框架

中国软件评测中心网安中心综合上述分析,提出数据安全治理体系框架,框架主要由治理层、管理层、执行层和监督层四个层面组成。

数据安全治理体系框架

数据安全治理层

治理层主要活动包括数据安全治理体系的战略决策,组织职能架构设计,制度体系框架设计及治理流程体系设计等。

数据安全管理层

管理层主要基于治理层的战略决策和体系设计负责数据安全治理体系的具体建设,包括管理体系、技术体系、流程体系建设,及指导体系的落地执行。是承上启下的一层,对上贯彻和落实决策层的意志和决策,对下指导和规范执行层的行为。

数据安全执行层

执行层将数据安全的技术手段分为从数据行为安全、数据内容安全和数据环境安全等方面,以全面支持管理层各体系的落地执行。该层是技术能力和人员意识的密集养成层和体现层,也是数据安全治理需求的主要提出层,第三方安全服务商提供的数据安全解决方案绝大部分集中在该层。目前行业内的防护执行主要采用以系统或网络为单元的“网元”模式。

数据安全监督层

监督层主要活动为对数据安全治理体系设计、建设和运行情况的监督、审计和评价,包括了监管部门的监督管理工作,安全审计部门的专项审计以及第三方机构的安全评估工作等,并向决策层、管理层按流程反馈体系运行情况及执行层的数据安全治理需求等,促进整个体系的持续优化。

八、电信和互联网行业数据安全治理建议

政策协调为逻辑起点

建立系统、明确的数据安全治理体系框架,是指导行业更规范有效进行数据安全治理的前提,也是行业目前迫切需要开展的工作。无论是立足国情放眼国际的差别性顶层设计,还是基于行业性质的利益平衡规则构建,都要将确保政策体系的整体协调,作为行业数据安全治理及其体系框架构建的逻辑起点。

  • 要立足国情,遵循国家现行相关法律法规、政策标准,跟进并接轨正在立法阶段的《电信法》、《数据安全法》、《个人信息保护法》等法律法规;

  • 要基于行业,与现行行业政策、法律法规、行业标准互补、兼容,并推陈出新,同时注重与国内政策的体系化综合运用;

  • 不容忽视的是对动态复杂的全球数据治理态势和规则的研判、分析,尤其涉及数据跨境,须明确治理立场,政策法律宣示兼以程序设定、公共监管兼以行业自律,提高政策确定性和可操作性,提升国际市场信任水平。

权责分明为框架主线

数据安全治理较数据安全管理,意味着更顶层的战略决策、更合理的权责安排及更严密的问责机制。行业应将参与数据要素市场的各方主体,包括但不限于主管部门、行业相关企业或组织、行业数据拥有者等,在治理体系中明晰的权利和责任作为行业数据安全治理体系框架的主线。

  • 可将针对数据拥有者权益的合理衡量和务实便利的权益变现,作为行业数据安全治理的理念特色,因为从国家或行业监管层面,不管是《民法典人格权编》,还是《个人信息保护法》、《数据安全法》等相关法律法规,用户隐私权及其他数据权益的依法正当化维护已是趋势。

  • 在企业层面,须有高层参与从对治理体系战略目标、范围、策略的决策,到对治理体系的建设,再到对治理体系运行的监督、反馈等不同层级的组织建设及定岗定责。纵向的定岗定责和各层级横向的定岗定人,结合合理分明的权责安排和问责机制,形成企业数据安全治理的主轴线。

分级分类为实践基础

数据分类分级是差异化安全策略制定和精细化安全管控的基础,是数据安全治理实践的基础。“网元”模式有分类分级的加持,可统筹考虑“网元”与其承载数据的安全级别,尽量避免安全需求与安全等级措施的不匹配问题。

监管部门制定行业数据分类分级制度规范,指导协调各参与主体开展数据分类分级工作。

  • 企业应综合考虑数据主体、业务属性、用途、安全需求等因素,对数据资产的使用情况、权限状态、使用分布等进行系统全面的梳理,并按照一定的原则和方法进行分类和标识,在企业层面形成行业数据分类清单,明确数据安全主体责任及防护边界。

  • 企业应在分类标识的基础上,综合分析数据的保密性、完整性、可用性和可控性等属性遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,进行数据逐类安全定级和标识,明确各级别的安全需求配套相应保障措施,实现分级管理。

  • 数据拥有者可根据其数据分类分级情况,维护相应权益。低级别、权属相对清晰的数据可优先进入市场,促进数据更大空间的流动、共享、交易和使用,而对高级别的数据可以重点防护,在配备相应安全保护措施保障数据安全的前提下最大限度地释放数据价值。

治理评估为落地支撑

政策、体系、制度终需落地,并在监管过程中发现企业或组织在组织建设、制度流程、技术工具和人员能力等方面的数据安全能力差距并持续优化。数据安全治理能力直接反映数据安全治理主体当前实践、流程、方法的能力水平,并影响相关主体对治理主体的治理信心。而数据安全治理能力的评估是发现能力差距、评价数据安全治理程度和效果的关键方法。

  • 根据工信部印发《关于2020年电信和互联网行业网络数据安全管理管理工作的通知》,行业数据安全治理的评估工作至少应包括企业整体数据安全防护水平评估、企业重点业务数据安全合规性评估、企业核心数据处理活动平台系统数据安全合规性评估、新领域新应用数据安全评估等工作。

  • 行业可结合自身特点,在上述行业数据安全评估的基础上,参考数据安全能力成熟度模型(DSMM)定义的安全能力、能力成熟度等级、数据安全过程等三个维度,规范和指引行业通过自评估或有相应服务能力的第三方机构开展数据安全治理能力评估工作。

  • 综合评估以分析其资产梳理差异、合规性差距、安全能力差距等,并提出相关建议,最后以数据安全治理能力综合评估报告反馈,为数据安全治理工作机制持续优化提供参考。


中国软件评测中心网络空间安全测评工程技术中心致力于信息系统的网络安全防护和安全运行,支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。

下载白皮书:http://www.cstc.org.cn/filespath/files/20200703184332.pdf

声明:本文来自中国软件评测中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。