大數(shù)據(jù)安全 背景

隨著社會(huì)信息化和網(wǎng)絡(luò)化的發(fā)展，數(shù)據(jù)爆炸式增長(zhǎng)，大數(shù)據(jù)時(shí)代已經(jīng)到來。大數(shù)據(jù)被譽(yù)為是“ 21 世紀(jì)的鉆石礦”，是國(guó)家基礎(chǔ)性戰(zhàn)略資源，正日益對(duì)國(guó)家治理能力、經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式以及各領(lǐng)域的生產(chǎn)、流通、分配、消費(fèi)活動(dòng)產(chǎn)生重要影響，各國(guó)政府都在積極推動(dòng)大數(shù)據(jù)應(yīng)用 與發(fā)展。
大數(shù)據(jù)時(shí)代是機(jī)遇與挑戰(zhàn)并存的時(shí)代。在大數(shù)據(jù)應(yīng)用推廣過程中，必須堅(jiān)持安全與發(fā)展并重的方針，為大數(shù)據(jù)發(fā)展構(gòu)建安全保障體系，在充分發(fā)揮大數(shù)據(jù)價(jià)值的同時(shí)，解決面臨的數(shù)據(jù)安全和個(gè)人信息保護(hù)問題。大數(shù)據(jù)安全標(biāo)準(zhǔn)是大數(shù)據(jù)安全保障體系的重要組成部分，對(duì)其實(shí)施起到引領(lǐng)和指導(dǎo)性作用。為此，亟待從技術(shù)和產(chǎn)業(yè)發(fā)展角度加快推進(jìn)大數(shù)據(jù)安全標(biāo)準(zhǔn) 化工作，為我國(guó)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展提供有效支撐。
黨中央、國(guó)務(wù)院高度重視大數(shù)據(jù)安全及其工作，將其作為國(guó)家發(fā)展戰(zhàn)略予以推動(dòng)。 2015 年 9 月，國(guó)務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，要求“完善法規(guī)制度和標(biāo)準(zhǔn)體系”和“推進(jìn)大數(shù)據(jù)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)”。 2016 年 11 月，第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)通過了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，鼓勵(lì)開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)。 2016年 12 月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，在夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)的戰(zhàn)略任務(wù)中，提出實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略、建立大數(shù)據(jù)安全管理制度、支持大數(shù)據(jù)信息技術(shù)創(chuàng)新和應(yīng)用要求。全國(guó)人大常委會(huì)和工信部、公安部等部門為加快構(gòu)建大數(shù)據(jù)安全保障體系，相繼出臺(tái)了《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法規(guī)和部門規(guī)章制度。與此同時(shí)，還發(fā)布了國(guó)家和行業(yè)的網(wǎng)絡(luò)個(gè)人信息保護(hù)相關(guān) 標(biāo)準(zhǔn)，開展了以數(shù)據(jù)安全為重點(diǎn)的網(wǎng)絡(luò)安全防護(hù)檢查。
為推動(dòng)大數(shù)據(jù)安全工作，全國(guó)信息安全技術(shù)委員會(huì)（以下簡(jiǎn)稱“全國(guó)信安標(biāo)委”，委員會(huì)編號(hào)為TC260）下設(shè)的大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組（SWG-BDS）啟動(dòng)了《大數(shù)據(jù)安全白皮書》的編制工 作。

大數(shù)據(jù)安全 目的及意義

從法規(guī)、政策、標(biāo)準(zhǔn)和應(yīng)用等角度，勾畫出大數(shù)據(jù)安全的整體輪廓，綜合分析大數(shù)據(jù)安全需求，為我國(guó)后續(xù)的大數(shù)據(jù)安全標(biāo)準(zhǔn) 化工作提供指導(dǎo)。
介紹了國(guó)內(nèi)外的大數(shù)據(jù)安全法規(guī)政策和組織工作現(xiàn)狀，分析了大數(shù)據(jù)安全所面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)，制定了大數(shù)據(jù)安全體系框架和近幾年大數(shù)據(jù)安全標(biāo)準(zhǔn)工作規(guī)劃，并提出了開展大數(shù)據(jù) 安全工作的建議。
旨在全面、客觀反映國(guó)內(nèi)外大數(shù)據(jù)安全相關(guān)工作基礎(chǔ)和進(jìn)展，根據(jù)業(yè)界最佳實(shí)踐、認(rèn)知水平，分享大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組在大數(shù)據(jù)安全領(lǐng)域的研究成果和實(shí)踐經(jīng)驗(yàn)，呼吁社會(huì)各界共同關(guān)注大數(shù)據(jù)安全的政策研究、技術(shù)投入和標(biāo)準(zhǔn)建設(shè)，為大數(shù)據(jù)產(chǎn)業(yè)的健康、安 全、有序發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

大數(shù)據(jù)安全法規(guī)政策和現(xiàn)狀

大數(shù)據(jù)安全法律法規(guī)和政策

隨著各國(guó)對(duì)大數(shù)據(jù)安全重要性認(rèn)識(shí)的不斷加深，包括美國(guó)、英國(guó)、澳大利亞、歐盟和我國(guó)在內(nèi)的很多國(guó)家和組織都制定了大數(shù)據(jù)安全相關(guān)的法律法規(guī)和政策來推動(dòng)大數(shù)據(jù)利用和安全保護(hù)，在政府?dāng)?shù)據(jù)開放、數(shù)據(jù)跨境 流通和個(gè)人信息保護(hù)等方向進(jìn)行了探索與實(shí)踐。

國(guó)外數(shù)據(jù)安全法律法規(guī)和政策

（一）政府?dāng)?shù)據(jù)開放相關(guān)法規(guī)和政策
政府?dāng)?shù)據(jù)開放是指在確保國(guó)家安全條件下，政府向公眾開放財(cái)政、資源、人口等公共數(shù)據(jù)信息，以增強(qiáng)公眾參與社會(huì)管理的意愿和能力，進(jìn)而提升政府治理水平。美國(guó)將信息技術(shù)、數(shù)字戰(zhàn)略、信息管理與開放政府治理有機(jī)結(jié)合，以數(shù)據(jù)開放作為新時(shí)期政府治理改革的突破口。美國(guó)為推動(dòng)政府?dāng)?shù)據(jù)開放，發(fā)布的法規(guī)政策主要包括：
1 ）美國(guó)于 1966 年通過《信息自由法》，規(guī)定民眾在獲得行政信息方面的權(quán)利和行政機(jī)關(guān)在向民眾提供行政信息方面的義務(wù)。該法秉持“以公開為原則、不公開為例外”的原則，規(guī)定政府有義務(wù)對(duì)公眾的信息公開請(qǐng)求作出回應(yīng)。
2 ）《開放政府指令》是美國(guó)政府 2009 年在數(shù)據(jù)開放方面的最新行動(dòng)，確立了透明、參與和協(xié)作的開放政府三原則，要求政府通過網(wǎng)站發(fā)布數(shù)據(jù)等方式，使公眾了解更多的政府信息，促進(jìn)公共對(duì)話，提升公眾對(duì)政府的信任感。
3 ）美國(guó)在 2012 年 5 月出臺(tái)了《數(shù)字政府戰(zhàn)略》，將政府開放數(shù)據(jù)作為電子政府發(fā)展的重要支撐，它要求政府?dāng)?shù)據(jù)在默認(rèn)狀態(tài)處于“開放和機(jī)器可讀”，從而使得公眾可隨時(shí)隨地訪問高質(zhì)量的政府?dāng)?shù)據(jù)信息和服務(wù)。英國(guó)作為最早實(shí)施數(shù)據(jù)開放的國(guó)家，通過開放政府?dāng)?shù)據(jù)提升政府治理水平，并致力于將數(shù)據(jù)開放推廣應(yīng)用到公共服務(wù)、經(jīng)濟(jì)增長(zhǎng)、反對(duì)腐敗、加強(qiáng)民主等諸多方面。英國(guó)于 2000 年正式通過《信息自由法》，規(guī)定了任何人都有獲取政府信息的權(quán)利，政府有答復(fù)公眾請(qǐng)求的義務(wù)，同時(shí)給出了25 種公開豁免情況。英國(guó)政府在 2013 年 4 月發(fā)布的《開放政府伙伴 2013 —2015 英國(guó)國(guó)家行動(dòng)方案》中進(jìn)一步拓展數(shù)據(jù)開放承諾，表示將開放政府?dāng)?shù) 據(jù)，以改善公共服務(wù)，促進(jìn)經(jīng)濟(jì)增長(zhǎng)、提高政府透明度。
歐盟十分重視政府?dāng)?shù)據(jù)開放，歐盟執(zhí)行委員會(huì)承認(rèn)政府部門資料開放使用的重要性，積極鼓勵(lì)各成員國(guó)展開政府開放數(shù)據(jù)的行動(dòng)。 2005 年出臺(tái)的《歐洲透明度倡議》(ETI)是歐盟推行開放數(shù)據(jù)戰(zhàn)略的基礎(chǔ)，也是歐盟開放、透明、治理改革理念的繼續(xù)與發(fā)展?！稓W洲透明度倡議》目的在于建立信息再利用，包括監(jiān)管公共部門的共同法律框架，消除公共信息壟斷和不透明障礙。 2010 年 11 月，歐盟通信委員會(huì)向歐洲議會(huì)提交了《開放數(shù)據(jù):創(chuàng)新、增長(zhǎng)和透明治理的引擎》報(bào)告，該報(bào)告以開放數(shù)據(jù)為核心，制定了應(yīng)對(duì)大數(shù)據(jù)安全挑戰(zhàn)的戰(zhàn)略。 2011 年 12 月 12 日，歐盟數(shù)字議程正式推 進(jìn)數(shù)據(jù)開放戰(zhàn)略，將其作為實(shí)現(xiàn)歐盟“ 2020 目標(biāo)”的新路徑與新動(dòng)力。
（二）數(shù)據(jù)跨境流動(dòng)相關(guān)法規(guī)和政策

當(dāng)前，部分國(guó)家和地區(qū)在規(guī)范跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)的法律法規(guī)，以便對(duì)跨境數(shù)據(jù)接收地的法律環(huán)境提出要求，要求接收地法律能夠提供與本國(guó)、本地個(gè)人數(shù)據(jù)保護(hù)法律相當(dāng)?shù)谋Ｗo(hù)。規(guī)范個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的根本目的，不是禁止個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移，而是要根據(jù)實(shí)際情況，確保本國(guó)、本地區(qū)公民數(shù)據(jù)在境外受到合理保護(hù)?？傮w上，基本立場(chǎng)是鼓勵(lì)數(shù)據(jù)跨境自由流動(dòng)。具體與數(shù)據(jù)跨境流動(dòng)相關(guān)的政策及法規(guī)包括:
歐盟在 1995 年《數(shù)據(jù)保護(hù)指令》中確立了數(shù)據(jù)跨境傳輸?shù)幕驹瓌t，對(duì)世界其他國(guó)家和地區(qū)的信息保護(hù)、信息流動(dòng)產(chǎn)生了深遠(yuǎn)的影響。 2015 年通過的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）提出了更為苛刻的數(shù)據(jù)保護(hù)規(guī)定。GDPR的適用范圍相比《數(shù)據(jù)保護(hù)指令》有所擴(kuò)展，對(duì)于那些即使成立地在歐盟以外的機(jī)構(gòu)來說，只要其在提供產(chǎn)品或者服務(wù)的過程中涉及歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)，將同樣適用。在跨境數(shù)據(jù)流動(dòng)方面，GDPR增 加了新的制度安排，包括認(rèn)證機(jī)制和行為準(zhǔn)則等。
澳大利亞《隱私保護(hù)原則》第 8 條規(guī)定，數(shù)據(jù)主體獲得明確告知后同意的，可以將個(gè)人數(shù)據(jù)傳輸至境外數(shù)據(jù)接收者。告知必須解釋跨境傳輸帶來的數(shù)據(jù)主體應(yīng)當(dāng)知道的后果或風(fēng)險(xiǎn)，包括:1)海外接收者可能不承擔(dān)類似澳大利亞《隱私保護(hù)原則》規(guī)定的隱私保護(hù)義務(wù)；2)數(shù)據(jù)主體可能無法在海外司法管轄區(qū)獲得救濟(jì)；3)海外數(shù)據(jù)接收者可能會(huì)根據(jù)法律將個(gè)人信息 披露給第三方，比如外國(guó)政府機(jī)構(gòu)。
巴西司法部于 2015 年公布的《個(gè)人數(shù)據(jù)保護(hù)法》（草案）也借鑒了歐盟有關(guān)充分性數(shù)據(jù)保護(hù)的規(guī)定，要求跨境數(shù)據(jù)傳輸時(shí)，數(shù)據(jù)接收國(guó)的個(gè)人 數(shù)據(jù)保護(hù)必須達(dá)到充分性保護(hù)的水平。
韓國(guó) 2011 年發(fā)布的《個(gè)人信息保護(hù)法》規(guī)定，如果個(gè)人信息的國(guó)際數(shù)據(jù)傳輸涉及第三方，那么必須取得用戶的明確同意。 2012 年發(fā)布的《促進(jìn)信息技術(shù)網(wǎng)絡(luò)利用和信息保護(hù)法》要求則更為明確：如果用戶的個(gè)人信息被轉(zhuǎn)移到境外實(shí)體，在線服務(wù)提供商必須告知并獲得用戶的明示同意。日本 2015 年修訂的《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息可以“傳輸?shù)綖槿毡緜€(gè)人信息保護(hù)委員會(huì)（PIPC）所認(rèn)可的、與日本國(guó)內(nèi)個(gè)人信息保護(hù) 水平相當(dāng)?shù)膰?guó)家或地區(qū)”。
亞太經(jīng)合組織（APEC）于 2003 年發(fā)布了《APEC隱私保護(hù)框架》，它采取使用企業(yè)自律性隱私政策來保護(hù)跨境數(shù)據(jù)流動(dòng)中數(shù)據(jù)（隱私）權(quán)利的做法，在《APEC隱私保護(hù)框架》下建立跨境隱私保護(hù)規(guī)則體系。APEC不僅僅是將跨境隱私保護(hù)規(guī)則看作是跨境數(shù)據(jù)轉(zhuǎn)移中保護(hù)隱私的一種手段， 更將其作為執(zhí)行《APEC隱私保護(hù)框架》的重要機(jī)制。
（三）個(gè)人數(shù)據(jù)保護(hù)相關(guān)法規(guī)和政策
1）歐盟《通用數(shù)據(jù)保護(hù)條例》
歐盟頒布的《通用數(shù)據(jù)保護(hù)條例》（GDPR）為一個(gè)數(shù)據(jù)隱私權(quán)標(biāo)準(zhǔn)法規(guī)，它旨在取代 1995 年發(fā)布的《數(shù)據(jù)保護(hù)指令》。GDPR主要為了保護(hù)歐盟公民個(gè)人數(shù)據(jù)的隱私權(quán)，并對(duì)數(shù)據(jù)保護(hù)規(guī)則進(jìn)行了改革和更新。如GDPR引入了新型的數(shù)據(jù)主體權(quán)利，包括“數(shù)據(jù)可攜帶權(quán)”和“被遺忘權(quán)”，為個(gè)人有效行使權(quán)利提供了堅(jiān)實(shí)的法律保障。GDPR要點(diǎn)包括個(gè)人擁有管理自己個(gè)人數(shù)據(jù)的權(quán)利、數(shù)據(jù)泄露獲得通知的權(quán)利以及“被遺忘權(quán)”。GDPR由兩部分組成：通用數(shù)據(jù)保護(hù)條例，這“將讓人們更好地控制其個(gè)人數(shù)據(jù)”；數(shù)據(jù)保護(hù)指令，對(duì)于警察和刑事司法領(lǐng)域，這“可確保數(shù)據(jù)受害人、證人和犯罪嫌疑人在刑事調(diào)查或執(zhí)法行動(dòng)中受到應(yīng)有的保護(hù)。”這些明確的法規(guī)特別適合數(shù)字時(shí)代，能提供強(qiáng)有力的保護(hù)，同時(shí)在歐洲數(shù)字單一市場(chǎng)創(chuàng)造機(jī)會(huì)和鼓勵(lì)創(chuàng)新，將讓公民和企業(yè)都受益。
2）美國(guó)健康保險(xiǎn)攜帶和責(zé)任法案
1996 年，美國(guó)總統(tǒng)簽署適用于提供健康保健的醫(yī)療組織和其它符合健康計(jì)劃組織的健康保險(xiǎn)攜帶和責(zé)任法案（HIPAA）。HIPAA目標(biāo)是確保健康信息的安全性和隱私性，其主要內(nèi)容包括隱私條例和安全條例。隱私條例保護(hù)所有由適用實(shí)體保存的可識(shí)別個(gè)體的受保護(hù)健康信息（PHI）。根據(jù)美國(guó)衛(wèi)生和福利部的規(guī)定，PHI包括以下數(shù)據(jù)信息：與個(gè)人以往、目前或?qū)淼纳眢w（或精神）健康或狀況有關(guān)的數(shù)據(jù)；個(gè)人接受健康保健服務(wù)的相關(guān)數(shù)據(jù)；個(gè)人以往、目前或?qū)斫邮芙】当＝》?wù)的費(fèi)用支付相關(guān)的數(shù)據(jù)。隱私條例的基本規(guī)定是企業(yè)只有在隱私條例允許范圍內(nèi)或者獲得數(shù)據(jù)主體的個(gè)人書面同意之后才能夠披露PHI。隱私條例還包含了一些通知規(guī)定和管理規(guī)定，保證企業(yè)保持?jǐn)?shù)據(jù)記錄行為的恰當(dāng)性，以及確保個(gè)人明確自己受HIPAA條例保護(hù)的權(quán)利。安全條例包含了電子受保護(hù)健康信息（ePHI）的安全保護(hù)，規(guī)定了企業(yè)在其所有需要處理ePHI數(shù)據(jù)的系統(tǒng)里必須具有的策略、流程和報(bào)告機(jī)制。HIPAA還規(guī)定了用于保護(hù)ePHI的保密性、完整性和可獲得性的具體實(shí)施規(guī)定。這些規(guī)定包含管理防護(hù)、物理防護(hù)、技術(shù)防護(hù)、組織要求、企業(yè)策略和流程。
3）美國(guó)家庭教育權(quán)和隱私權(quán)法案
1974 年，美國(guó)聯(lián)邦法案家庭教育權(quán)和隱私權(quán)法案（FERPA）出臺(tái)，用以保護(hù)學(xué)生的個(gè)人可識(shí)別信息（PII）的安全，適用于教育行業(yè)。FERPA規(guī)定，未滿 18 歲的學(xué)生或符合條件的學(xué)生家長(zhǎng)可以查看并申請(qǐng)修正學(xué)生的教育記錄。該法案還規(guī)定，學(xué)校必須取得學(xué)生家長(zhǎng)或符合條件的學(xué)生的書面許可才能披露學(xué)生的個(gè)人信息。

大數(shù)據(jù)安全標(biāo)準(zhǔn)白皮書

參考文檔

tc260 大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書 2018版文章來源地址http://www.zghlxwxcb.cn/news/detail-458277.html

到了這里，關(guān)于大數(shù)據(jù)在國(guó)外發(fā)展現(xiàn)狀研究學(xué)習(xí)筆記的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！