加强数据安全标准研制 支撑数字治理体系建设

杨建军

全国信息安全标准化技术委员会秘书长

　　各位领导、各位嘉宾、各位参会代表，大家上午好！刚才领导在致辞中提到标准，专家的发言中也提到标准，所以大家对标准还是比较关注的，会议主办方特意安排我给大家介绍一下数据安全相关标准化的基本情况。

　　前面就是想说明数据安全标准的重要性，确实目前数据安全标准受到了广泛的关注，相关的法律法规，特别是《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》的制定，与一系列数据安全相关法律的制定，标志着数据安全已经上升到国家安全的角度，数据安全保障了我们数据要素价值，同时为我们数据要素的流动提供了安全保障。

　　下面，我简单介绍一下整个标准的情况。其实现在数据安全里面有两大链条：

　　第一，个人信息。

　　第二，数据安全。

　　我们简单分开，看看它的重要性。

　　现在整体标准应该说已经有一系列的相关的标准情况，现在在研的或者已经发布的个人信息保护标准有12项，在研的有11项，从这个可以看到量还是比较多的。数据安全相关的标准已发13项，这不包括个人信息的，正在咨询的11项，说起来应该数量不少。当然，其实可能除了这个还有一些数据安全标准，跟它强相关，所以没有列在里头。

　　个人信息里头，个人安全要求类的有27项，涉及方方面面对个人信息保护提的相关要求；14类的指导个人信息如何保护的具体操作层面有12项，检测评估的有8项。整个相关的标准大家可以看到大致的情况，个人信息保护要求有12项，数据安全保护要求有15项，个人信息保护实施指南类标准7项。数据安全实施指南大家可以看到，所以这个数量已经很多了。这么多标准如何用？其实里面所涉及的数据治理体系相关的标准，我们要简单梳理一下。

　　介绍一下我们数据治理相关的一些，特别是《中华人民共和国网络安全法》《中华人民共和国数据安全法》相关的几个标准情况。

　　第一，大家特别注意的数据分类、分级的规则，这个标准应该是从上到下，从国家层面、行业层面都比较关注。因为这个是数据保护里面最基础的标准，所以这个标准是支撑我们建立数据分类分级保护制度一个基础性的标准，它对数据分类分级的规则，包括它的原则、方法、流程进行了详细的规范。

　　这主要用于各个行业或者各个组织，对本行业或本组织内部的一些标准数据进行分类分级提供指导和规范，大家可以参考这个，这个也是落实《中华人民共和国数据安全法》相关的条款要求，所以这个标准大家比较关注，现在已经到征求意见送审阶段。

　　第二，《重要数据识别指南》，我们现在把数据分成三类，其中有一类非常关注的就是重要数据。所以对重要数据我们如何识别，提供了一个标准的参考，它对重要数据的原则以及如何识别重要数据的因素、格式有要求。这个也是我们数据分类分级体系下面的一个标准，这个对数据分类分级标准有作用，因为它是其中一类。

　　第三，数据安全风险评估我们有一系列标准，包括评估的方法、评估机构的能力要求以及评估实施，这个有相关的标准，这已经有3个标准，其实第三个实践指南也是为了提供具体的指导性作用。

　　这三个标准为我们建立的数据安全标准风险评估制度建立了支撑，包括我们对数据安全风险评估整体的概念、流程、方法等内容，以及我们数据安全风险评估的思路、工作内容、流程方法，这主要指导我们数据安全风险评估机构的能力要求，这也是为我们整个体系建设提供指导的，这也是《中华人民共和国数据安全法》相关条款明确要求的。

　　除了前面说的这几个，还有我们大家非常关注的一些APP的个人信息保护。其实围绕APP的个人信息保护，网信办在2017年、2018年就有部署，2019年做了一个专项，围绕APP个人信息开展了一系列的实践性工作，为后续标准确实提供了好的基础。

　　还有大家比较关注的个人信息里面一个匿名化的问题，其实这个标准我们发布的比较早，在2019年就发布了，应该是在2016年、2017年研究的。大家对数据保护、个人信息保护第一个想到的就是如何把个人信息给匿名了。当然，完全匿名以后，个人信息就没有意义了，所以如何进行匿名化，其实我们也提供了一个指南性的意见，如何匿名确实是在研究中的问题。

　　我们针对政务数据的共享、交易、流通这一块，也有一系列的标准。这个标准从体系架构上还没有很完整，但在交易流通环节上已经开始了研究，制定相应的标准供大家参考和引用，这个我就不细说了。还涉及组织的一些数据安全能力数据评估的标准，我们也在推广使用。这个面更广，这不仅仅针对政府部门，还针对一些具体的企业和各个组织去做，这个在业内推广得还是不错的。

　　这是整体的标准化情况，可能标准比较多，没法一一给大家介绍，但是总的来说数据安全标准这几年是比较热的、大家关注比较高的一个领域，所以后面的工作量也是比较大的。

　　下一步，数据安全标准整体在中央网信办网络数据安全管理局指导下开展的，特别是这几年大家对这个标准比较热以后，如何制定数据安全标准确实需要一个顶层的统筹。

　　2023年我们也提了一些标准的要求，比如数据分类分级，大家有一个思维，希望不同的级别的数据有不同的保护措施。还有比如说个人信息保护和规则审计，以及个人信息可携带的技术要求，以及数据接口安全、风险检测、数字水印，以及数据安全、个人信息保护的社会责任等，也在开展相关标准的研究和制定，也希望大家能够积极参与到标准制定。

　　作为信安标准秘书处，我们肯定给大家做好我们的服务和支撑。

　　我就简单给大家介绍这些，谢谢大家！

　　（以上内容根据嘉宾发言速记整理）