数据安全最早出现在20世纪60年代,并于20世纪末在国内有所发展。自2006年前后,国内数据安全领域内开始使用“数据全生命周期安全”的概念,在此后的十余年间,数据全生命周期安全是业内打造数据安全的主要思路。“数据处理活动”则是在2021年《数据安全法》(简称:数安法)中提出,并在后续数据安全相关的办法指引、国标、行标中,形成了数据处理活动的安全为主,数据全生命周期安全并存的趋势。那么,数据处理活动安全与数据全生命周期安全有哪些区别和联系?本文将针对这两者进行解析。
维 度 不 同
数据处理活动安全从数据所处的业务相关活动的维度做安全保障,包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据处理活动安全是数据处理过程中涉及到的相关活动的安全,以当前活动阶段的安全为特征。
数据全生命周期安全从数据的时间维度做安全保障,包括创建、存储、使用、共享、归档和销毁等过程。数据全生命周期安全是一个长期的过程,涵盖数据从创建到销毁的整个周期,以时间维度上的连续性为特征。
关 注 重 点 的 差 异
数据处理活动关注数据的处理和操作,如何处理和转化数据以获得有价值的信息,相应的,数据处理活动安全关注数据需要通过开发利用来释放价值,在数据创造价值的过程中保障数据的安全。在这个过程中,数据安全风险的表现和数据安全措施的选择,往往受数据处理活动的影响较为显著。因此数据处理活动安全的重点在于在具体的数据处理活动中,数据可能面临的安全风险以及为了保障数据处理活动安全且顺利地进行,而采取的一系列安全措施。
数据全生命周期关注如何管理数据的整个生命周期,相应的,数据全生命周期安全关注数据从创建到销毁的过程的安全管理,重点在于数据本身的安全。
安 全 措 施 的 选 择 不 同
数据处理活动安全和数据全生命周期安全,在采取具体的安全措施方面有一些相似之处,比如说访问控制、存储加密、数据脱敏等等,但由于两者关注重点的差异,安全措施的适应性和选择原则存在显著不同。
在数据处理活动安全中,不管是数据处理者还是监管侧,其重点是通过数据处理活动来安全的释放价值,这就意味着实施哪些安全措施,如何实施安全措施,需要首先将安全措施与一系列数据处理活动或者与数据处理活动关联的业务流程进行对照和评估,让数据在获得安全保障的同时还能够不影响数据的利用和业务的流转。因此,数字化背景下,数据处理活动安全,实质是要获得数据安全与数据开发利用的平衡,在安全措施方面需要根据数据处理活动的场景进行灵活的选择和适配。
数据全生命周期安全,其重点在于整个生命周期的安全管理,在安全措施方面往往根据数据所处的生命周期阶段来进行选择,安全措施也更固定和直接。
过 程 控 制 不 同
数据处理活动安全在数据处理过程中采取安全措施。同步的,数安法中规定了对影响安全的数据处理活动进行监督和审查。数据处理活动是一系列当期发生的活动,从时间跨度来看是可预测、可控制的一个时间阶段,不管是数据处理者采取安全措施,还是监管部门针对具体的数据处理活动开展审查、监督,都是易于实施的。
数据全生命周期安全在数据从创建到销毁的各个环节中实施相应的安全措施。对于数据从创建到销毁来讲,可能是一个短则几个月、长则可能横跨几十年的过程,在这个过程中不管是对于数据处理者对数据采取安全措施,还是监管部门对数据安全开展审查、监督,相比数据处理活动来讲,落地难度加大,可控性相对来讲弱一些。基于这一原因,在有些场景下,依据数据全生命周期安全的数据安全建设,效果不显著。
数据处理活动安全与数据全生命周期安全在维度、关注重点、安全措施、过程控制等方面存在差异,但需要注意的一点是,数据处理活动安全与数据全生命周期安全之间存在紧密的联系:
1. 数据处理活动安全中的特定活动,同时也可以是数据全生命周期安全中的一个环节。比如,数据处理活动中的存储安全、传输安全,在数据全生命周期安全中,也是涉及的。
2. 数据全生命周期安全出现得较早,发展历程较长,在数据全生命周期安全中积累了大量的保障数据安全的措施,这些措施可以选择性地应用于数据处理活动的特定环节,为数据处理活动安全提供支撑。
数据处理活动安全与数据全生命周期安全之间既存在显著的差异,又包含了紧密的联系。在具体的应用中,选择数据处理活动维度的安全还是数据全生命周期维度的安全,取决于数据处理者利用数据的过程和构建数据安全体系的目标。在数据处理活动较为简单的场景下,数据处理活动本身对数据安全影响不大,而数据处理者更关注对数据本身的安全管理,在这类情况下数据全生命周期安全较为适用;数据处理活动指向特定的处理场景,或者涉及一系列数据处理活动之间交互时,数据处理活动本身对数据安全具有显著的影响,在这类情况下应用数据处理活动安全较为适用。
除上述应用方式之外,还有一部分应用以特定的数据使用(处理)的场景或目的为主体框架,阐述数据安全。总体上来看,在数安法发布后,主要以数据处理活动安全为主,各办法指引、标准的阐述角度如下表。
数据处理活动安全 | |||
分类 | 名称 | 颁布/发布机构 | 颁布/发布时间 |
法律 法规 | 中华人民共和国数据安全法 | 第十三届全国人大 常务委员会 | 2021 6/10 |
法律 法规 | 中华人民共和国个人信息保护法 | 第十三届全国人大 常务委员会 | 2021 8/20 |
条例 | 《网络数据安全管理条例 (征求意见稿)》 | 国家互联网信息办公室 | 2021 11/14 |
规定 | 汽车数据安全管理若干规定 (试行) | 国家互联网信息办公室 国家发展和改革委员会工业和信息化部公安部交通运输部 | 2021 8/16 |
国家 标准 | GB/T 35274-2023 信息安全技术 大数据服务安全能力要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2023 8/6 |
国家 标准 | GB/T 42447-2023 信息安全技术 电信领域数据安全指南 | 国家市场监督管理总局 国家标准化管理委员会 | 2023 3/17 |
国家 标准 | GB/T 41819-2022 信息安全技术 人脸识别数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 41806-2022 信息安全技术 基因识别数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 41773-2022 信息安全技术 步态识别数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 41807-2022 信息安全技术 声纹识别数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42014-2022 信息安全技术 网上购物服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42012-2022 信息安全技术 即时通信服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42016-2022 信息安全技术 网络音视频服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 42013-2022 信息安全技术 快递物流服务数据安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 41479-2022 信息安全技术 网络数据处理安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 4/15 |
国家 标准 | GB/T 37973-2019 信息安全技术 大数据安全管理指南 | 国家市场监督管理总局 国家标准化管理委员会 | 2019 8/30 |
国家 标准 | GB/T 35273-2020 信息安全技术 个人信息安全规范 | 国家市场监督管理总局 国家标准化管理委员会 | 2020 3/6 |
行业 标准 | YD/T 3802-2020 电信网和互联网数据安全通用要求 | 工业和信息化部 | 2020 12/9 |
数据全生命周期安全 | |||
分类 | 名称 | 颁布/发布机构 | 颁布/发布时间 |
办法 | 《工业和信息化领域数据安全管理办法(试行)》 | 工业和信息化部 | 2022 12/8 |
国家 标准 | GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型 | 国家市场监督管理总局 国家标准化管理委员会 | 2019 8/30 |
行业 标准 | YDT 3865-2021 工业互联网数据安全保护要求 | 工业和信息化部 | 2021 5/17 |
行业 标准 | YD/T 3751-2020 车联网信息服务 数据安全技术要求 | 工业和信息化部 | 2020 8/31 |
特定的数据使用(处理)的场景或目的 | |||
分类 | 名称 | 颁布/发布机构 | 颁布/发布时间 |
国家 标准 | GB/T 41871-2022 信息安全技术 汽车数据处理安全要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2022 10/14 |
国家 标准 | GB/T 39725-2020 信息安全技术 健康医疗数据安全指南 | 国家市场监督管理总局 国家标准化管理委员会 | 2020 12/14 |
国家 标准 | GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2020 11/19 |
国家 标准 | GB/T 37373-2019 智能交通 数据安全服务 | 国家市场监督管理总局 国家标准化管理委员会 | 2019 5/10 |
国家 标准 | GB/T 36618-2018 信息安全技术 金融信息服务安全规范 | 国家市场监督管理总局 国家标准化管理委员会 | 2018 9/17 |
国家 标准 | GB/T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求 | 国家市场监督管理总局 国家标准化管理委员会 | 2017 11/1 |
国家 标准 | GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 | 国家市场监督管理总局 国家标准化管理委员会 | 2012 11/5 |
数字化背景下,数据处理活动本身需要应用新的处理技术,再加上新形势、新场景的出现,数据面临着更为复杂的安全风险,解决数据安全问题也需要以具体的数据处理活动作为出发点,探索新的数据安全技术作为数据安全措施,这也是数据处理活动安全在这类场景下具备适应性的重要原因。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。