網絡信息技術創新日新月異,數字化、網絡化、智能化融合發展,對我國建設網絡強國、數字中國、智慧社會發揮著至關重要的作用。世界各國都把推進經濟數字化作爲創新發展的重要動能,並作出前瞻性布局。以數據爲關鍵要素的數字經濟發展曆程中,數據價值也由最初的數據資源發展成爲數據資産,再進一步發展爲數據資本。2020年4月9日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,要求“加快培養數據要素”,將數據作爲新型生産要素,正式與土地、勞動力、資本、技術等傳統生産要素並列爲國家基礎戰略性資源和社會生産創新要素之一。
電信和互聯網行業(以下簡稱“行業”)在數據規模、覆蓋範圍、存儲和傳輸能力,及實時性和多樣性方面均具有突出的價值優勢。隨著行業數據內外部應用的同步拓展和推進,數據安全問題日益凸顯,嚴重阻礙行業數據資源價值釋放。做好行業數據安全治理刻不容緩。
白皮書聚焦行業數據安全治理,首先,對數據治理、數據安全治理的內涵,以及行業數據主要分類、典型應用、安全發展形勢進行了簡要闡述和分析;其次,在梳理國內外數據安全治理環境的基礎上提出行業數據安全治理需求,介紹了國內外數據安全治理的典型實踐案例,並進行了問題分析;最後,提出行業數據安全治理框架和行業數據安全治理相關建議。
白皮書內容簡介
一、概念及內涵
01數據治理
國際標准化組織IT服務管理與IT治理分技術委員會(ISO/IEC JTC1/SC40)、國際數據管理協會(DAMA)、國際數據治理研究所(DGI)、IBM數據治理委員會等專業組織和知名研究機構都提出了各自對數據治理的理解。
與國外數據治理大多率先在企業層面成功實踐不同,國內對數據治理的研究更多站位國家治理、公共管理,即數據不僅僅是組織(或企業)的資産,更是國家的一種基礎戰略資源;數據治理主體不僅僅局限于企業,政府、市場、社會及個人也是重要主體,且治理實踐不僅要依靠框架、模型和技術,還應結合政策、法律、教育、道德倫理等方法和手段,包括治理主體之間的統籌協調;數據治理目的不僅僅是確保數據的高效合理利用及企業的價值實現,更是爲了提升國家治理能力和政府公共管理能力,即數據治理是國家治理體系和治理能力現代化的重要組成部分,影響著經濟調節、市場經濟、社會管理、公共服務等多個領域,關聯著人才、資本、知識等各類要素,是一項系統性工作。
數據治理是多元治理主體以數據生産要素爲對象,以釋放數據價值爲目標,以守住數據安全爲底線,以建立健全數據全生命周期秩序規則爲核心,以推動數據有序管理和流轉爲主要活動,以強化數據管理技術手段爲支撐的一系列活動,具有綜合性、複雜性和長期性等特征。
02數據安全治理
數據安全治理是數據治理的一個重要組成部分,貫穿數據治理各個過程及數據全生命周期,聚焦數據的“安全”屬性,而數據治理則強調數據的“價值”屬性。
二、電信和互聯網行業數據安全發展形勢
01事件影響範圍不斷擴大
2020年5月19日,美國電信巨頭Verizon公司發布2020年數據泄露調查報告(DBIR)。報告顯示,81個國家參與調研的數據泄露事件中,55%的泄露事件和有組織犯罪相關,外部攻擊占70%,企業內部攻擊占30%;58%涉及個人數據泄露,72%的受害者爲大型企業。
▪ 影響範圍從最初的企業和個人逐步向整個行業及全社會蔓延;
▪ 影響行業數據合理開放共享的意願和積極性;
▪ 影響用戶對行業數據安全治理的信心,從而影響行業新技術新業務與實體經濟的深度融合;
▪ 爲數據跨境流通、數據駐留規管帶來負面影響,甚至面臨被動局面。
02風險危害程度日趨嚴重
據IBM《2019年全球數據泄露成本報告》顯示,過去5年數據泄露成本上升了12%,平均成本已達到392萬美元。惡意數據泄露平均會給企業帶來445萬美元的損失,比系統故障和人爲錯誤等意外原因導致的數據泄露高出100多萬美元。
▪ 行業數據價值巨大,一旦出現安全問題,可能會造成企業聲譽和經濟損失、個人造成巨大的經濟損失。
▪ 可能危害到用戶的生命或財産安全。如個人信息泄露不只是隱私權被侵犯的問題,也可能被犯罪分子利用,進行違法犯罪活動,電信和互聯網詐騙事件就是典型,也不乏個人信息泄露有關的命案。
▪ 隨著各國的數據戰略部署,數據治理逐步上升到國家戰略層面,某些數據安全事件極有可能發展爲影響社會秩序、政治穩定、國家安全的非常事件。
03安全治理難度持續升級
▪ 數據安全風險源、惡意攻擊動機、途徑的複雜性增加了數據安全風險防範難度。
▪ 行業新網絡形態、新技術新應用場景,衍生出新的數據類型、數據生産方式、數據處理方式和終端形式等,引發新一輪數據安全事件爆發,安全挑戰不斷加劇。
▪ 數字化的加速推進促進了複雜網絡中的數據流,極大的模糊了傳統數據安全的邊界,使得行業基于邊界或網元的防護體系不再能滿足當前數據安全治理需求。
三、電信和互聯網行業數據安全主要風險
01互聯網暴露面問題突出
中國軟件評測中心網安中心近幾年持續支撐工信部等監管機構,開展對電信和互聯網行業的威脅監測和遠程檢測,發現的安全漏洞或問題80%和數據安全相關,主要包括SQL注入、非授權訪問、數據泄露三大類。其中實現非授權訪問的原因多樣,包括弱口令、授權繞過、未進行身份驗證等。數據泄露方面甚至存在源代碼泄露。
02數據不可控性明顯增加
▪ 行業數據産出以幾何級增加,大數據中心和大數據系統應運而生。海量數據的生産、彙聚、存儲、提煉、挖掘、應用等數據流轉處理環節和流程大大增加。
▪ 就目前我國大數據技術架構而言,多數使用Hadoop、Spark、MongoDB等開源軟件搭建平台,存在數據安全不可控的風險。
▪ 越來越普及的雲計算,具有數據所有權和管理權分離的特點,用戶對被存儲在雲端的數據是否完整無誤或被濫用,受到損壞後是否可恢複,以及數據的存儲策略、保留的副本數量、存儲位置、銷毀執行是否均按照SLA協議執行等均不可控。
03數據安全管理體系不完善
▪ 缺乏數據安全方面的管理機構。
▪ 數據安全控制措施不力。
▪ 數據安全優先級不足。
▪ 對數據安全合規性認識不足。
四、電信和互聯網行業數據安全治理環境
總體來說,全球政策法律環境由前期的以信息自由、數據共享爲價值導向,逐步發展到以個人信息及隱私保護爲重點,而後向全面的數據治理擴張,爲數據安全治理及其法治化提供了良好的政策環境保障。
01國際數據安全治理環境
歐盟密集立法深刻影響全球治理格局。歐盟“數據”和“安全”相關法律立法密集,與其“數字化單一市場”戰略齊頭並進,深刻影響國際數據治理格局,包括美國、日本、韓國、印度、加拿大等在內的十幾個國家爲了打通歐盟立法産生的數據壁壘,與其已經達成或正在談判以達成數據傳輸保護協議。
美國多點立法捍衛其多元化社會利益。特朗普簽署《外國情報監視法案修正案》第702條的更新授權,同意授權美國國家安全局(NSA)監聽境外目標人員並收集其相關數據情報。並簽署《澄清合法使用海外數據法》,根據該法案,無論美國網絡服務提供商的數據是否存儲在美國境內,只要是提供商擁有、控制或監管的數據,均須按照該法令的要求保存、備份和披露。同時允許“適格外國政府”執法機構調取美國存儲數據,但“適格”認定、調取規則以及上述域外數據采集要求均以美國利益爲先加以制衡。
國際數據治理情緒高漲配套動作頻繁。近幾年,日本、澳大利亞、越南、巴西、加拿大、印度、新加坡、ODCE經合組織等國家或組織紛紛出台數據相關政策法律,全球數據安全標准發展迅速。美國主導下的亞太隱私數據跨境體系(APEC CBPRs)也在沉寂期後迎來實質性進展。2018年,新加坡、澳大利亞和中國台北獲APEC批准,加入CBPRs體系。截至目前,在APEC 21個經濟體中,已有包括美國、日本、加拿大、韓國、新加坡等8個經濟體加入CBPRs體系。
02國內數據安全治理環境
國內政策多頭並進迎來治理新格局。2015年以來,國家出台多部重大立法,《國家安全法》、《網絡安全法》、《電子商務法》、《密碼法》、《民法典》等多部法律頒布並施行,分別從不同角度不同程度地對個人信息和數據保護做了相關規定。此外,從1980年提議到被納入十三屆全國人大常委會立法規劃的《電信法》,曆時39年終于迎來新進展,同樣被納入規劃的《個人信息保護法》和《數據安全法》已列入2020年立法工作計劃,其中《個人信息保護法》已形成草案稿(尚未提請審議),《數據安全法(草案)》已于2020年6月28日提請十三屆全國人大常委會第二十次會議審議。
國內數據治理標准化進展領先國際。2014年,ITSS分委會啓動了數據治理標准預研工作,並向SC40/WG1提交了《數據治理白皮書》(英文版)和數據治理研究技術報告,獲得國際專家一致認可。2015年5月,在巴西SC40全會上,中國代表團正式提出“數據治理國際標准”新工作項目建議並獲通過。目前國際上僅有的兩個數據治理國際標准均由我國主導編輯研制。已獲得國際標准化組織批准,並正式發布。項目期間,ITSS分委會同步開展了數據治理國家標准的研制工作,並于2018年6月7日正式發布GB/T 34960.5-2018《信息技術服務治理第5部分:數據治理規範》。
五、電信和互聯網行業數據安全治理需求
01國內外政策形勢緊迫
2019年1月,Google由于其個性化廣告推送服務中違反GDPR的透明性原則,且在處理用戶信息前未獲得有效同意,被罰5000萬歐元。截止目前,依據GDPR全球共開出大約300張罰單,涉及金額約35億歐元,被罰企業不乏德國寬帶運營商1&1、意大利電信運營商TIM等電信企業。
▪ 歐盟GDPR深刻影響全球數據治理生態,尤其是明確規定了歐盟境外的主體在特定條件下也必須遵循GDPR相關規範。迫使包括中國在內的治理主體在數據治理戰略部署,及中國企業在內的跨境數據運營主體在業務合規過程中,必須考慮、評估GDPR的約束和實際影響力。
▪ 美國、日本、韓國、加拿大、澳大利亞等發達國家和巴西、印度等發展中國家也在數據治理進程中表現出極大熱情,在指導各自境內企業或組織保障個人信息和數據安全同時,均在全球化數字經濟中盡可能最大化自身利益。
▪ 國內對“數據要素”的定位,及數據安全相關立法的滯後,也對數據安全治理提出要求和挑戰。受國際及國內關于“數據”、“安全”及其他配套政策和立法形勢影響,行業數據安全治理迫在眉睫。
02安全和發展雙重驅動
習近平總書記在2016年4月19日的網絡安全和信息化工作座談會上強調,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。自2020年3月4日,中央政治局會議強調加快5G網絡、數據中心等新興基礎設施建設以來,全國各地方政府紛紛公布新基建投資計劃。
▪ 新基建戰略爲我國數字化增速轉型提供新動能,行業發展也迎來新機遇,但同時也會面臨新的安全風險,爲避免因安全問題造成巨大的經濟和社會損失,同步規劃、建設數字新基建安全保障措施勢在必行,其中,數據安全保障措施的規劃和建設首當其沖。
▪ 網絡信息時代,大數據、雲計算、人工智能等新型技術,物聯網、車聯網、工業互聯網等新形態網絡,以及遠程醫療、在線教育、直播新媒體等新型應用蓬勃發展,新技術新業務的安全管理、安全評估、安全測評等能力尚不成熟,行業數據安全面臨更嚴峻的挑戰。
▪ 數字經濟飛速發展,數據價值催生了數據黑産,從黑客、內鬼非法盜取個人信息,到個人數據在互聯網被公開兜售、暗網數據交易,再到電信互聯網詐騙、企業精准營銷“殺熟”、虛擬資産盜取等數據黑産及濫用亂象,反向刺激了行業數據安全的監管需求及治理思考。
03數據擁有者權益期待
據中國互聯網絡信息中心CNNIC第45次《中國互聯網絡發展狀況統計報告》,截至2020年3月,我國網民規模爲9.04億,互聯網普及率達64.5%。受疫情影響,網絡應用的用戶規模呈現較大幅度增長。其中,在線教育、在線政務、網絡支付、網絡視頻、網絡購物、即時通信、網絡音樂、搜索引擎等應用的用戶規模較2018年底增長迅速,增幅均在10%以上。
▪ 就疫情期間而言,包括個人姓名、身份證、手機號碼、具體住址等大量實名信息被社區、酒店、餐飲業等組織或機構強制性收集,而多數數據收集者並不具備個人信息保護的意識和能力,個人數據權益無從保障,數據擁有者急切期待相應體系化措施更有力且正當化地保護其個人數據。
▪ 而日常情形下,公衆依然希望企業或組織尊重個人隱私,數據擁有者依然期望數據掌控權不要脫離或失控,並期待提高采集和使用其數據的相關行爲透明度。行業在發展和建設過程中,數據擁有者的權益衡量和基于行業的利益平衡需要給予更多關注。
六、電信和互聯網行業數據安全治理實踐
01國外典型實踐案例
▪ 微軟之DGPC框架
▪ Gartner之DSG框架
02國內典型實踐案例
▪ 監管層主要實踐
▪ 企業層實踐案例
03國內外實踐對比
總體來說,國內外的數據安全治理標志性實踐進程基本一致。
04行業實踐問題分析
▪ 企業頂層驅動力不足。企業層面大多由單個部門(如IT部門或安全部門)主導驅動,缺乏高層的有效參與,頂層驅動不足。負責決策、管理、技術及監督的人員責權不明晰,問責機制不嚴密,大多數企業的數據安全工作聚焦在管理層和執行性,甚至只在執行層開展相關工作,在治理層進展很少,尚未形成安全治理體系。
▪ “網元”模式待升級。行業數據釋放價值的過程必然是其流動、共享、交易和使用的過程,數據濫用、數據泄露、數據確權等問題不可避免,目前以網絡或系統單元爲中心的安全防護模式,往往不能將數據的安全措施和安全需求精確匹配。
▪ 缺乏用戶側權益考量。默認勾選、霸王條款、未經授權的電信和互聯網營銷、電信和互聯網詐騙等現象在日常生活中屢見不鮮,用戶並沒有實質的選擇機會或權力,權益被侵害時缺乏便利且有效的渠道去維護,行業對用戶數據權益的合理考量尚欠缺。
七、電信和互聯網行業數據安全治理框架
中國軟件評測中心網安中心綜合上述分析,提出數據安全治理體系框架,框架主要由治理層、管理層、執行層和監督層四個層面組成。
▲數據安全治理體系框架
01數據安全治理層
治理層主要活動包括數據安全治理體系的戰略決策,組織職能架構設計,制度體系框架設計及治理流程體系設計等。
02數據安全管理層
管理層主要基于治理層的戰略決策和體系設計負責數據安全治理體系的具體建設,包括管理體系、技術體系、流程體系建設,及指導體系的落地執行。是承上啓下的一層,對上貫徹和落實決策層的意志和決策,對下指導和規範執行層的行爲。
03數據安全執行層
執行層將數據安全的技術手段分爲從數據行爲安全、數據內容安全和數據環境安全等方面,以全面支持管理層各體系的落地執行。該層是技術能力和人員意識的密集養成層和體現層,也是數據安全治理需求的主要提出層,第三方安全服務商提供的數據安全解決方案絕大部分集中在該層。目前行業內的防護執行主要采用以系統或網絡爲單元的“網元”模式。
04數據安全監督層
監督層主要活動爲對數據安全治理體系設計、建設和運行情況的監督、審計和評價,包括了監管部門的監督管理工作,安全審計部門的專項審計以及第三方機構的安全評估工作等,並向決策層、管理層按流程反饋體系運行情況及執行層的數據安全治理需求等,促進整個體系的持續優化。
八、電信和互聯網行業數據安全治理建議
01政策協調爲邏輯起點
建立系統、明確的數據安全治理體系框架,是指導行業更規範有效進行數據安全治理的前提,也是行業目前迫切需要開展的工作。無論是立足國情放眼國際的差別性頂層設計,還是基于行業性質的利益平衡規則構建,都要將確保政策體系的整體協調,作爲行業數據安全治理及其體系框架構建的邏輯起點。
▪ 要立足國情,遵循國家現行相關法律法規、政策標准,跟進並接軌正在立法階段的《電信法》、《數據安全法》、《個人信息保護法》等法律法規;
▪ 要基于行業,與現行行業政策、法律法規、行業標准互補、兼容,並推陳出新,同時注重與國內政策的體系化綜合運用;
▪ 不容忽視的是對動態複雜的全球數據治理態勢和規則的研判、分析,尤其涉及數據跨境,須明確治理立場,政策法律宣示兼以程序設定、公共監管兼以行業自律,提高政策確定性和可操作性,提升國際市場信任水平。
02權責分明爲框架主線
數據安全治理較數據安全管理,意味著更頂層的戰略決策、更合理的權責安排及更嚴密的問責機制。行業應將參與數據要素市場的各方主體,包括但不限于主管部門、行業相關企業或組織、行業數據擁有者等,在治理體系中明晰的權利和責任作爲行業數據安全治理體系框架的主線。
▪ 可將針對數據擁有者權益的合理衡量和務實便利的權益變現,作爲行業數據安全治理的理念特色,因爲從國家或行業監管層面,不管是《民法典人格權編》,還是《個人信息保護法》、《數據安全法》等相關法律法規,用戶隱私權及其他數據權益的依法正當化維護已是趨勢。
▪ 在企業層面,須有高層參與從對治理體系戰略目標、範圍、策略的決策,到對治理體系的建設,再到對治理體系運行的監督、反饋等不同層級的組織建設及定崗定責。縱向的定崗定責和各層級橫向的定崗定人,結合合理分明的權責安排和問責機制,形成企業數據安全治理的主軸線。
03分級分類爲實踐基礎
數據分類分級是差異化安全策略制定和精細化安全管控的基礎,是數據安全治理實踐的基礎。“網元”模式有分類分級的加持,可統籌考慮“網元”與其承載數據的安全級別,盡量避免安全需求與安全等級措施的不匹配問題。
監管部門制定行業數據分類分級制度規範,指導協調各參與主體開展數據分類分級工作。
▪ 企業應綜合考慮數據主體、業務屬性、用途、安全需求等因素,對數據資産的使用情況、權限狀態、使用分布等進行系統全面的梳理,並按照一定的原則和方法進行分類和標識,在企業層面形成行業數據分類清單,明確數據安全主體責任及防護邊界。
▪ 企業應在分類標識的基礎上,綜合分析數據的保密性、完整性、可用性和可控性等屬性遭到破壞後可能對國家安全、經濟運行、社會秩序、公衆利益的危害程度,進行數據逐類安全定級和標識,明確各級別的安全需求配套相應保障措施,實現分級管理。
▪ 數據擁有者可根據其數據分類分級情況,維護相應權益。低級別、權屬相對清晰的數據可優先進入市場,促進數據更大空間的流動、共享、交易和使用,而對高級別的數據可以重點防護,在配備相應安全保護措施保障數據安全的前提下最大限度地釋放數據價值。
04治理評估爲落地支撐
政策、體系、制度終需落地,並在監管過程中發現企業或組織在組織建設、制度流程、技術工具和人員能力等方面的數據安全能力差距並持續優化。數據安全治理能力直接反映數據安全治理主體當前實踐、流程、方法的能力水平,並影響相關主體對治理主體的治理信心。而數據安全治理能力的評估是發現能力差距、評價數據安全治理程度和效果的關鍵方法。
▪ 根據工信部印發《關于2020年電信和互聯網行業網絡數據安全管理管理工作的通知》,行業數據安全治理的評估工作至少應包括企業整體數據安全防護水平評估、企業重點業務數據安全合規性評估、企業核心數據處理活動平台系統數據安全合規性評估、新領域新應用數據安全評估等工作。
▪ 行業可結合自身特點,在上述行業數據安全評估的基礎上,參考數據安全能力成熟度模型(DSMM)定義的安全能力、能力成熟度等級、數據安全過程等三個維度,規範和指引行業通過自評估或有相應服務能力的第三方機構開展數據安全治理能力評估工作。
▪ 綜合評估以分析其資産梳理差異、合規性差距、安全能力差距等,並提出相關建議,最後以數據安全治理能力綜合評估報告反饋,爲數據安全治理工作機制持續優化提供參考。
更多內容,請關注公衆號“ccid-2014”