2025 年 1 月 15 日�����,國(guó)家發(fā)展改革委、國(guó)家數(shù)據(jù)局等部門正式發(fā)布《關(guān)于完善數(shù)據(jù)流通安全治理 更好促進(jìn)數(shù)據(jù)要素市場(chǎng)化價(jià)值化的實(shí)施方案》(以下簡(jiǎn)稱《方案》)�,旨在構(gòu)建更為完善的數(shù)據(jù)流通安全治理體系,推動(dòng)數(shù)據(jù)要素市場(chǎng)化價(jià)值化進(jìn)程�����。
該《方案》明確提出��,將安全貫穿數(shù)據(jù)供給��、流通���、使用全過(guò)程,落實(shí)國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度�����,明確數(shù)據(jù)跨主體流通中的安全治理規(guī)則�,加強(qiáng)數(shù)據(jù)流通安全技術(shù)應(yīng)用和產(chǎn)業(yè)培育,完善責(zé)任界定和權(quán)益保護(hù)機(jī)制����。到 2027 年底,我國(guó)將基本構(gòu)建起規(guī)則明晰、產(chǎn)業(yè)繁榮���、多方協(xié)同的數(shù)據(jù)流通安全治理體系。該體系將致力于完善企業(yè)數(shù)據(jù)���、公共數(shù)據(jù)�����、個(gè)人信息合規(guī)高效流通機(jī)制���,并顯著提升治理效能,為繁榮數(shù)據(jù)市場(chǎng)�、釋放數(shù)據(jù)價(jià)值提供堅(jiān)強(qiáng)保障。
(一)明晰數(shù)據(jù)流通中的安全治理規(guī)則��,數(shù)據(jù)合規(guī)高效流通機(jī)制更加完善
為全面貫徹總體國(guó)家安全觀��,統(tǒng)籌數(shù)據(jù)高質(zhì)量發(fā)展和高水平安全�����,堅(jiān)持系統(tǒng)思維���、底線思維���,將安全貫穿數(shù)據(jù)供給�、流通���、使用全過(guò)程,落實(shí)國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度��,明晰數(shù)據(jù)流通中的安全治理規(guī)則���,完善權(quán)益保護(hù)和責(zé)任界定機(jī)制等�,《方案》從明晰企業(yè)數(shù)據(jù)流通安全規(guī)則��、加強(qiáng)公共數(shù)據(jù)流通安全管理��、完善數(shù)據(jù)流通安全責(zé)任界定機(jī)制等方面作出了具體部署��。
01 編制數(shù)據(jù)資源目錄���,落實(shí)國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度
《方案》提出,支持企業(yè)通過(guò)編制數(shù)據(jù)資源目錄��、分析流通過(guò)程安全風(fēng)險(xiǎn)、制定分類分級(jí)保護(hù)措施等方式�����,提升數(shù)據(jù)治理能力���。具體措施體現(xiàn)為:(1)鼓勵(lì)企事業(yè)單位設(shè)立首席數(shù)據(jù)官����,加強(qiáng)數(shù)據(jù)治理和數(shù)據(jù)開發(fā)利用���。(2)數(shù)據(jù)處理者應(yīng)按照國(guó)家有關(guān)規(guī)定識(shí)別���、申報(bào)重要數(shù)據(jù),并依法接受監(jiān)管部門的監(jiān)督檢查����。對(duì)確認(rèn)為重要數(shù)據(jù)的,相關(guān)地區(qū)���、部門應(yīng)當(dāng)及時(shí)向數(shù)據(jù)處理者告知或公開發(fā)布����。例如,企業(yè)在數(shù)據(jù)安全分類分級(jí)過(guò)程中����,可通過(guò)引入自動(dòng)化的數(shù)據(jù)掃描與識(shí)別技術(shù)、數(shù)據(jù)訪問(wèn)流量解析技術(shù)�、敏感數(shù)據(jù)智能識(shí)別技術(shù)、分類分級(jí)自動(dòng)化標(biāo)注技術(shù)�,幫助企業(yè)建立起敏感數(shù)據(jù)資產(chǎn)目錄�,高效落實(shí)數(shù)據(jù)分類分級(jí)工作,實(shí)時(shí)洞察企業(yè)敏感數(shù)據(jù)資產(chǎn)����。(3)鼓勵(lì)開展數(shù)據(jù)脫敏等技術(shù)研究,對(duì)于經(jīng)脫敏等技術(shù)處理后��,依據(jù)所屬行業(yè)領(lǐng)域的分類分級(jí)標(biāo)準(zhǔn)規(guī)范重新識(shí)別為一般數(shù)據(jù)的�,可按照一般數(shù)據(jù)開展流通交易。例如����,企業(yè)以敏感數(shù)據(jù)目錄為核心,無(wú)縫銜接數(shù)據(jù)安全保護(hù)技術(shù)措施�,根據(jù)數(shù)據(jù)使用場(chǎng)景配置脫敏算法和脫敏規(guī)則組合����,有的放矢地實(shí)施靈活的敏感數(shù)據(jù)動(dòng)態(tài)脫敏策略。
02 明確數(shù)據(jù)流通共享原則�����,確保數(shù)據(jù)安全有序
《方案》進(jìn)一步明確政務(wù)數(shù)據(jù)共享范圍�、用途、條件�,要求確保數(shù)據(jù)在安全前提下有序共享。具體原則:(1)數(shù)據(jù)提供方按照“誰(shuí)主管��、誰(shuí)提供��、誰(shuí)負(fù)責(zé)”的原則�����,承擔(dān)數(shù)據(jù)提供前的安全管理責(zé)任���;(2)數(shù)據(jù)接收方按照“誰(shuí)經(jīng)手���、誰(shuí)使用、誰(shuí)管理�����、誰(shuí)負(fù)責(zé)”的原則�,承擔(dān)數(shù)據(jù)接收后的安全管理責(zé)任。(3)應(yīng)依據(jù)有關(guān)要求明確公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)機(jī)構(gòu)的安全管理責(zé)任����,建立健全數(shù)據(jù)安全管理制度,采取必要安全措施�����,加強(qiáng)關(guān)聯(lián)風(fēng)險(xiǎn)識(shí)別和管控��,保護(hù)公共數(shù)據(jù)安全����。例如,有關(guān)地方和部門開展公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)的��,可通過(guò)定制化的交互式分析工具����,開展多維量化數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè),提高風(fēng)險(xiǎn)識(shí)別與追溯效率。同時(shí)��,做好公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)平臺(tái) API 的訪問(wèn)控制與授權(quán)管理����,避免數(shù)據(jù)濫用與數(shù)據(jù)泄露風(fēng)險(xiǎn)���。
03 建立數(shù)據(jù)流通安全審計(jì)和溯源機(jī)制��,明晰權(quán)責(zé)范圍邊界
《方案》明確了數(shù)據(jù)提供方和數(shù)據(jù)接收方的權(quán)責(zé)邊界�����,數(shù)據(jù)提供方應(yīng)當(dāng)確保數(shù)據(jù)來(lái)源合法����,數(shù)據(jù)接收方應(yīng)嚴(yán)格按照要求使用數(shù)據(jù)�����,防止超范圍使用���。鼓勵(lì)措施如下:(1)鼓勵(lì)供需雙方探索建立數(shù)據(jù)流通安全審計(jì)和溯源機(jī)制�;(2)融合應(yīng)用數(shù)字水印、數(shù)據(jù)指紋����、區(qū)塊鏈等技術(shù)手段,高效支撐數(shù)據(jù)流通過(guò)程中的取證和定責(zé)����。例如,數(shù)據(jù)供需雙方可建立全鏈路的數(shù)據(jù)安全審計(jì)能力����,全面審計(jì)數(shù)據(jù)訪問(wèn)活動(dòng),精準(zhǔn)記錄從用戶���、應(yīng)用�、API到數(shù)據(jù)庫(kù)的完整路徑數(shù)據(jù)訪問(wèn)日志���,自動(dòng)構(gòu)建全鏈路敏感數(shù)據(jù)流轉(zhuǎn)軌跡���,為支撐數(shù)據(jù)流通過(guò)程中的風(fēng)險(xiǎn)監(jiān)測(cè)和溯源分析建立基礎(chǔ)。
(二)支持?jǐn)?shù)據(jù)流通安全技術(shù)創(chuàng)新����,鼓勵(lì)規(guī)模化��、專業(yè)化�����、一體化
《方案》提出�,將安全貫穿數(shù)據(jù)供給���、流通�����、使用全過(guò)程���,加強(qiáng)數(shù)據(jù)流通安全技術(shù)應(yīng)用和產(chǎn)業(yè)培育,提升安全治理能力��?�!斗桨浮穼?duì)加強(qiáng)數(shù)據(jù)流通安全技術(shù)應(yīng)用����、豐富數(shù)據(jù)流通安全服務(wù)供給等做出具體部署,進(jìn)一步促進(jìn)產(chǎn)業(yè)繁榮。
01 支持?jǐn)?shù)據(jù)流通安全技術(shù)創(chuàng)新����,鼓勵(lì)企業(yè)采取差異化數(shù)據(jù)安全措施
《方案》支持?jǐn)?shù)據(jù)流通安全技術(shù)創(chuàng)新,完善數(shù)據(jù)流通安全標(biāo)準(zhǔn)���。鼓勵(lì)企業(yè)按照數(shù)據(jù)分類分級(jí)保護(hù)要求���,采取不同的安全技術(shù)開展數(shù)據(jù)流通,具體建議措施:(1)對(duì)于不涉及風(fēng)險(xiǎn)問(wèn)題的一般數(shù)據(jù)����,鼓勵(lì)自行采取必要安全措施進(jìn)行流通利用。(2)對(duì)于未認(rèn)定為重要數(shù)據(jù)��,但企業(yè)認(rèn)為涉及重要經(jīng)營(yíng)信息的�����,鼓勵(lì)數(shù)據(jù)提供方���、數(shù)據(jù)接收方接入和使用數(shù)據(jù)流通利用基礎(chǔ)設(shè)施,促進(jìn)數(shù)據(jù)安全流動(dòng)���。(3)對(duì)于重要數(shù)據(jù)���,在保護(hù)國(guó)家安全�、個(gè)人隱私和確保公共安全的前提下���,鼓勵(lì)通過(guò)“原始數(shù)據(jù)不出域�、數(shù)據(jù)可用不可見(jiàn)�����、數(shù)據(jù)可控可計(jì)量”等方式��,依法依規(guī)實(shí)現(xiàn)數(shù)據(jù)價(jià)值開發(fā)�。例如�����,企業(yè)在數(shù)據(jù)安全分類分級(jí)�、建立數(shù)據(jù)資產(chǎn)目錄的基礎(chǔ)上,通過(guò)用戶認(rèn)證代理�����、數(shù)據(jù)訪問(wèn)控制等安全技術(shù),根據(jù)企業(yè)業(yè)務(wù)情況自定義數(shù)據(jù)集以及用戶/用戶組���、敏感數(shù)據(jù)類型�����、安全級(jí)別來(lái)配置訪問(wèn)控制策略�����,進(jìn)而允許�、拒絕或告警特定用戶對(duì)特定數(shù)據(jù)集的訪問(wèn)�,實(shí)現(xiàn)細(xì)粒度的數(shù)據(jù)訪問(wèn)權(quán)限管控。
02 豐富數(shù)據(jù)流通安全服務(wù)供給��,提升安全服務(wù)效能����,降低應(yīng)用成本
《方案》提出繁榮數(shù)據(jù)安全服務(wù)市場(chǎng),壯大數(shù)據(jù)安全治理服務(wù)規(guī)模�,創(chuàng)新數(shù)據(jù)安全服務(wù)業(yè)態(tài)的重要任務(wù)。具體措施有:(1)支持?jǐn)?shù)據(jù)安全服務(wù)機(jī)構(gòu)加強(qiáng)基礎(chǔ)理論研究��、核心技術(shù)攻關(guān)和產(chǎn)品創(chuàng)新應(yīng)用�����;(2)向規(guī)模化����、專業(yè)化、一體化方向發(fā)展���,提升安全服務(wù)效能��,降低應(yīng)用成本��;(3)培育數(shù)據(jù)流通安全檢測(cè)評(píng)估����、安全審計(jì)等服務(wù)�;(4)鼓勵(lì)有條件的企業(yè)拓展面向中小企業(yè)的數(shù)據(jù)安全托管服務(wù)�。例如����,企業(yè)可采用支持跨多種數(shù)據(jù)類型、存儲(chǔ)系統(tǒng)和生態(tài)系統(tǒng)����,以及集成多種數(shù)據(jù)安全能力的一體化數(shù)據(jù)安全平臺(tái)��,建立從敏感數(shù)據(jù)發(fā)現(xiàn)�、識(shí)別�����、保護(hù)��、監(jiān)督到治理的一體化技術(shù)保護(hù)措施���,構(gòu)建體系化的數(shù)據(jù)流通安全治理體系�����。
(三)防范數(shù)據(jù)濫用風(fēng)險(xiǎn)��,加強(qiáng)保護(hù)個(gè)人信息和商業(yè)秘密
《方案》明確��,防范數(shù)據(jù)濫用風(fēng)險(xiǎn)����,堅(jiān)決維護(hù)國(guó)家安全�����,保護(hù)個(gè)人信息和商業(yè)秘密,以成本最小化實(shí)現(xiàn)安全最優(yōu)化�����,推動(dòng)數(shù)據(jù)高質(zhì)量發(fā)展和高水平安全良性互動(dòng)�,充分釋放數(shù)據(jù)價(jià)值,促進(jìn)數(shù)據(jù)開發(fā)利用��。其中�,再次強(qiáng)調(diào)個(gè)人信息流通保障,依法嚴(yán)厲打擊非法獲取��、出售或提供數(shù)據(jù)的黑灰產(chǎn)業(yè)��,加強(qiáng)敏感個(gè)人信息保護(hù)���。
01 強(qiáng)化個(gè)人信息保護(hù)����,完善個(gè)人數(shù)據(jù)權(quán)益保障機(jī)制
《方案》明確要求���,個(gè)人數(shù)據(jù)流通應(yīng)當(dāng)依法依規(guī)取得個(gè)人同意或經(jīng)過(guò)匿名化處理����,不得通過(guò)強(qiáng)迫��、欺詐��、誤導(dǎo)等方式取得個(gè)人同意��。具體保障措施有:(1)制定個(gè)人信息匿名化相關(guān)標(biāo)準(zhǔn)規(guī)范�����,明確匿名化操作規(guī)范�����、技術(shù)指標(biāo)和流通環(huán)境要求���;(2)完善個(gè)人信息權(quán)益保障機(jī)制,鼓勵(lì)采用國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等多種方式�,強(qiáng)化個(gè)人信息保護(hù);(3)加強(qiáng)對(duì)個(gè)人信息處理活動(dòng)的規(guī)范引導(dǎo)����,健全個(gè)人信息保護(hù)投訴舉報(bào)處置渠道��。
02 加強(qiáng)重點(diǎn)行業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)���,防范數(shù)據(jù)濫用風(fēng)險(xiǎn)
《方案》將依法嚴(yán)厲打擊非法獲取、出售或提供數(shù)據(jù)的黑灰產(chǎn)業(yè)作為重要部署任務(wù)��,加強(qiáng)敏感個(gè)人信息保護(hù)��,限制超出授權(quán)范圍使用個(gè)人信息���。具體措施有:(1)依法依規(guī)懲處利用數(shù)據(jù)開展壟斷�����、不正當(dāng)競(jìng)爭(zhēng)等行為����,維護(hù)各方主體權(quán)益和市場(chǎng)公平競(jìng)爭(zhēng)秩序����;(2)加強(qiáng)重點(diǎn)行業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè),持續(xù)增強(qiáng)風(fēng)險(xiǎn)分析��、監(jiān)測(cè)和處置能力��,防范發(fā)生系統(tǒng)性����、大范圍數(shù)據(jù)安全風(fēng)險(xiǎn);(3)研究完善數(shù)據(jù)流通安全事故或糾紛處置機(jī)制�,提升流通風(fēng)險(xiǎn)應(yīng)對(duì)能力����。例如,涉及海量高價(jià)值��、高敏感個(gè)人信息的企業(yè)�����,以及強(qiáng)監(jiān)管下的金融�、醫(yī)療����、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域,可通過(guò)基于數(shù)據(jù)權(quán)限最小化原則收斂敏感數(shù)據(jù)暴露面��,降低數(shù)據(jù)使用與流通共享中的泄露風(fēng)險(xiǎn),同時(shí)�����,可實(shí)施細(xì)粒度到人(不同角色)的訪問(wèn)權(quán)限即時(shí)管控��,實(shí)時(shí)監(jiān)控���、及時(shí)發(fā)現(xiàn)高危特權(quán)賬戶����,數(shù)據(jù)訪問(wèn)留痕至真實(shí)數(shù)據(jù)操作者���。此外���,加強(qiáng)敏感數(shù)據(jù)動(dòng)態(tài)脫敏、數(shù)據(jù)庫(kù)存儲(chǔ)加密��、全鏈路數(shù)據(jù)安全審計(jì)��、數(shù)據(jù)風(fēng)險(xiǎn)流轉(zhuǎn)監(jiān)測(cè)等技術(shù)措施建設(shè)落地�����,保障個(gè)人數(shù)據(jù)流通安全,降低企業(yè)重要數(shù)據(jù)與客戶個(gè)人信息泄露���、濫用風(fēng)險(xiǎn)�����。
