中国信通院：新形势下的数据安全风险治理思考与建议（2023）（18页）.pdf

1、新形势下的数据安全风险治理思考与建议中国信息通信研究院 云计算与大数据研究所龚诗然国家战略：“数据要素化”走向“要素市场化”2014年3月2015年8月国务院印发促进大数据发展的行动纲要2016年3月中国大数据政策元年2019年3月2017年12月“大数据”开始成为热点国家层面开始“大数据”顶层设计2017年10月十九大报告提出“推动大数据与实体经济深度融合”大数据首次写入政府工作报告十三五规划纲要第二十七章“实施国家大数据战略”大数据上升国家战略中央政治局就实施国家大数据战略进行集体学习大数据连续6年写入政府工作报告2016年12月工信部发布大数据产业发展规划（2016-2020年）国家大数

2、据战略2019年10月十九届四中全会首次公开提出“数据可作为生产要素按贡献参与分配”关于构建更加完善的要素市场化配置体制机制的意见数据被正式列为新型生产要素2020年4月数据要素市场化配置上升国家战略2020年5月全国人大第十四个五年规划预热阶段起步阶段落地阶段深化阶段从“数据大国”迈向“数据强国”关于新时代加快完善社会主义市场经济体制的意见提出“加快培育发展数据要素市场”2021年3月国务院办公厅要素市场化配置综合改革试点总体方案2022年1月中共中央 国务院关于加快建设统一大市场的意见2022年4月加强数据管理，释放数据要素价值，已经成为各个行业高度重视的基础性工作思考1：数据安全风险防范

3、与治理刻不容缓网络数据安全关键技术研发、产业化规范、促进风险评估等信息安全服务提升重要信息系统和工业系统的安全可靠水平十三五：注重数据安全流动与保护，为要素化奠基十二五：加强网络数据安全技术研发，打造良好开端以边界安全保数据安全，重点关注关键基础设施和重要领域安全国家安全法（2015）网络安全法（2017）等级保护（2018）逐步聚焦数据在全行业领域、全生命周期的安全注重数据安全保护，加强数据全生命周期安全保护数据加解密等数据安全技术研发应用建立跨境数据流动安全监管制度十四五：强化数据全生命周期保护，加速数字化进程加强国家、商业、个人隐私数据安全保护加快推进数据安全、个人信息保护等领域立法强化

4、数据资源全生命周期安全，推动数据跨境安全有序数据安全、隐私保护与网络安全保障体系衔接，形成“大安全”体系数安法、个保法等（2021）数据滥用事件层出不穷大数据“杀熟”、不当自动化决策2021年全年，351款违法违规收集使用个人信息的App遭到通报，平均每月1000+违规获取权限的App上线应用商店数据泄露事件井喷式增长2013-2021 年，全 球 数 据 泄 露 记 录 达981.03亿条，泄露事件达44000余起其中，2020年数据泄漏记录较前年增长140.9%数据破坏事件防不胜防2018年，顺丰工程师误删数据库，关键业务停摆10小时2018年，链家9TB财务数据被删2020年，微盟核心运

5、维泄私愤删库7天影响300万客户，损失30亿未区域隔离数据泄露运维权限过高服务器拒绝访问请求明文传输敏感数据管理缺陷接口攻击传输链路不安全窃听弱口令密码缺乏多重校验检测失灵明文存储敏感数据系统漏洞加密程度低数据破坏副本不可用数据滥用违规传输非法访问数据投毒过度画像合作方数据泄露国家战略高度重视数据安全，数据安全威胁来源多样，数据安全事件严重危及社会公众安全国家战略布局不断演进，持续聚焦数据安全数据泄露、破坏、滥用已成社会问题威胁源头相互衍生、作用1国际研究覆盖数据安全风险管理“前中后”三阶段，仅聚焦风险事前评估或将与组织数据安全管理“脱节”思考2：数据安全风险理论研究尚有探索空间NIST SP

6、 1800-11数据完整性：从勒索软件和其他破坏性事件中恢复关键词：数据破坏 数据恢复ISO/IEC 29134信息技术 安全技术 隐私影响评估指南关键词：隐私风险 风险评估ISO/IEC 20889隐私增强数据去标识化技术关键词：去标识化 防重识别ITU X.sgBDIP大数据基础设施和平台安全指南关键词：风险评估NIST SP 800-53联邦信息系统和组织的安全和隐私控制措施关键词：隐私风险 风险控制ITU X.sgtBD电信大数据生命周期管理的安全指南关键词：大数据安全 风险管理ITU X.1040电子商务业务数据生命周期管理的安全参考体系结构关键词：大数据安全 风险管理事前事中事后注