信息通信企業(yè)開展數(shù)據(jù)安全管理工作的指引與實踐

張濱 溫暖 邱勤 周瑩 李文琦

(中國移動通信集團公司信息安全管理與運行中心，北京 100053)

0 引言

當(dāng)前，數(shù)字經(jīng)濟已成為繼農(nóng)業(yè)經(jīng)濟、工業(yè)經(jīng)濟之后的新型經(jīng)濟形態(tài)，數(shù)據(jù)也相應(yīng)成為新的生產(chǎn)要素和重要生產(chǎn)力，是國際基礎(chǔ)性、戰(zhàn)略性、先導(dǎo)性資源[1]。隨著數(shù)字經(jīng)濟不斷發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全正在向“數(shù)字安全”演進，加強數(shù)據(jù)安全管理，是適應(yīng)網(wǎng)絡(luò)化、數(shù)字化、智能化發(fā)展趨勢的必然要求，是建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國、智慧社會的重要保障，對維護國家主權(quán)、安全和發(fā)展利益，保障經(jīng)濟社會發(fā)展和人民群眾合法權(quán)益具有重大意義。

2021年以來，國家數(shù)據(jù)治理工作快速發(fā)展。黨中央、國務(wù)院高度重視，繼《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱《網(wǎng)絡(luò)安全法》)后，《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)相繼施行，為數(shù)據(jù)安全和個人信息保護工作提供了法制保障。國際上圍繞數(shù)據(jù)主權(quán)的競爭日趨激烈，大型互聯(lián)網(wǎng)平臺掌握海量數(shù)據(jù)問題凸顯，國家監(jiān)管思路逐漸清晰，數(shù)據(jù)治理工作朝著精細化方向發(fā)展完善。作為掌握關(guān)鍵信息基礎(chǔ)設(shè)施的信息通信企業(yè)，加強對數(shù)據(jù)安全管理政策法律法規(guī)的深入研究、規(guī)范開展數(shù)據(jù)安全管理工作具有重要意義。

1 數(shù)據(jù)安全管理工作態(tài)勢

1.1 國家高度重視

2021年3月，國務(wù)院發(fā)布《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》，明確強調(diào)要加強涉及國家利益、商業(yè)秘密、個人隱私的數(shù)據(jù)保護，強化數(shù)據(jù)資源全生命周期安全保護[2]。2022年政府工作報告中也強調(diào)，繼續(xù)推進國家安全體系和能力建設(shè)，強化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護[3]。

1.2 法律體系基本建立

《數(shù)據(jù)安全法》和《個人信息保護法》的出臺，是進一步加強數(shù)據(jù)安全和個人信息保護法制保障的客觀要求，是銜接《網(wǎng)絡(luò)安全法》、維護網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實需要，是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措，也標(biāo)志著我國數(shù)據(jù)安全和個人信息保護工作邁入新的發(fā)展階段。此外，《網(wǎng)絡(luò)安全法》重要配套法規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》于2021年9月施行，對關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全和個人信息保護提出了要求；《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》也于2021年11月公開征求意見。至此，我國數(shù)據(jù)安全與個人信息保護法律法規(guī)體系框架基本確立，相關(guān)法律法規(guī)充分體現(xiàn)了“黨管安全”“黨管數(shù)據(jù)”的原則，本質(zhì)高度統(tǒng)一，內(nèi)容各有側(cè)重，互為補充支持。

1.3 中國特色數(shù)據(jù)安全治理方案初步形成

從全球數(shù)據(jù)安全治理來看，不同的國家存在治理理念上的偏好，這與數(shù)據(jù)權(quán)屬界定、主體利益選擇、地緣政治、國際環(huán)境等緊密相關(guān)。不同于歐盟、美國的數(shù)據(jù)治理[4-5]，從《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)內(nèi)容、國家數(shù)據(jù)安全監(jiān)管實踐以及對APP違法違規(guī)收集使用個人信息開展的整治行動可以看出，我國已初步構(gòu)建了一個符合中國特色社會主義初級階段、與人民過上美好生活愿望相匹配的、趨向精細化與均衡化的數(shù)據(jù)安全治理體系。該體系呈現(xiàn)出以人民為中心、以保障國家安全為底線，統(tǒng)籌發(fā)展與安全的特點，通過動態(tài)平衡國家安全、個人信息保護與企業(yè)正當(dāng)商業(yè)利益三種主體利益，實現(xiàn)安全、有序、健康、向前的發(fā)展。

2 國家數(shù)據(jù)安全治理工作發(fā)展趨勢

國家有關(guān)部門積極貫徹落實《數(shù)據(jù)安全法》《個人信息保護法》等相關(guān)法律法規(guī)，我國數(shù)據(jù)安全治理體系日趨完善，治理工作呈現(xiàn)協(xié)同化、全面化、精細化、多元化的發(fā)展趨勢。

2.1 治理協(xié)同化

按照法律要求，中央國家安全領(lǐng)導(dǎo)機構(gòu)負責(zé)統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全工作，國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和個人信息保護工作，各地區(qū)、各有關(guān)部門承擔(dān)本地區(qū)、本行業(yè)領(lǐng)域的監(jiān)管職責(zé)。經(jīng)過探索實踐，國家已建立數(shù)據(jù)安全工作協(xié)調(diào)機制，各有關(guān)部門協(xié)同處理相關(guān)各項工作。在配套法規(guī)制定方面，國家互聯(lián)網(wǎng)信息辦公室制定了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》并公開征求意見，上海、重慶等18省市制定了《數(shù)據(jù)條例》及相關(guān)草案[6]，工業(yè)和信息化部等部門也公開就《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》征求意見；在工作機制方面，各部門間加強聯(lián)動，如國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合開展APP違法違規(guī)收集使用個人信息治理工作，國家互聯(lián)網(wǎng)信息辦公室聯(lián)合國家郵政局開展了郵政快遞領(lǐng)域數(shù)據(jù)安全和個人信息保護專項行動。同時，政府部門高度重視數(shù)據(jù)安全良好生態(tài)的構(gòu)建，充分組織調(diào)動企事業(yè)單位、社會組織、人民群眾等多方力量，攜手構(gòu)建數(shù)據(jù)安全管理工作新格局，合力推進數(shù)據(jù)安全和個人信息保護工作。

2.2 治理全面化

隨著法律法規(guī)的落地落實，數(shù)據(jù)安全管理和個人信息保護工作機制趨于全面化，形成審查、評估、認證、檢查檢測等多種工作方式相結(jié)合的綜合治理。其中，《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》已先后出臺，明確了網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境安全評估工作的條件、流程和工作機制；認證方面，前期國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室已組織開展APP安全認證，積極推進數(shù)據(jù)安全管理認證機制，中國信息通信研究院正式啟動“數(shù)據(jù)安全管理能力認證”，并公布了已通過評估的企業(yè)名單；檢查檢測作為各部門開展數(shù)據(jù)安全管理和個人信息保護常態(tài)化和專項化治理工作的重要抓手，可通過遠程技術(shù)檢測、現(xiàn)場檢查等方式，查找數(shù)據(jù)和個人信息安全風(fēng)險漏洞，督促數(shù)據(jù)運營者切實整改。上述多種工作機制逐級遞進，互相補充，有效推進法律落地實施，形成全面的數(shù)據(jù)安全治理體系。

2.3 治理精細化

信息技術(shù)革命及其商業(yè)化特點決定了數(shù)字經(jīng)濟、互聯(lián)網(wǎng)經(jīng)濟領(lǐng)域通常會經(jīng)歷由野蠻生長演變?yōu)榫毣芾淼陌l(fā)展過程，國家治理體系往往在一些特定時期或遇到一些標(biāo)準(zhǔn)性事件后出現(xiàn)躍遷和完善。按照“統(tǒng)籌國內(nèi)國際兩個大局、發(fā)展安全兩件大事”[7]、“要為資本設(shè)置‘紅綠燈’，要支持和引導(dǎo)資本規(guī)范健康發(fā)展”[8]等系列重要指示，國家數(shù)據(jù)安全治理工作日趨精細，一方面追求的是恰當(dāng)充分而非絕對的保護；另一方面建立數(shù)據(jù)分類分級保護制度，由各行業(yè)主管部門制定本行業(yè)本領(lǐng)域的重要數(shù)據(jù)目錄，針對重要數(shù)據(jù)和達到一定規(guī)模的個人信息提出更高的安全管理要求。

2.4 治理多元化

前期，數(shù)據(jù)安全和個人信息保護工作的監(jiān)督管理主要通過負面處罰方式開展，如數(shù)據(jù)和個人信息泄露案件、公開通報違法違規(guī)收集使用個人信息行為、約談相應(yīng)數(shù)據(jù)和個人信息處理者、下架違法違規(guī)收集使用個人信息應(yīng)用等方式。隨著工作機制日趨健全，數(shù)據(jù)安全治理工作呈現(xiàn)正面引導(dǎo)與負面處罰相結(jié)合的多元化治理趨勢。一方面，對數(shù)據(jù)安全管理不當(dāng)、違法違規(guī)收集使用個人信息行為起到警示和震懾作用；另一方面，通過引入試點示范案例、建立正面清單等方式，給數(shù)據(jù)處理者和個人信息處理者提供優(yōu)秀的案例，起到正向引導(dǎo)和帶動作用，促進數(shù)據(jù)和個人信息安全保護水平得到普遍提升。例如，工業(yè)和信息化部2021年組織開展基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)貫標(biāo)優(yōu)秀案例遴選活動，有效推進了行業(yè)標(biāo)準(zhǔn)貫標(biāo)工作。

立足國家數(shù)據(jù)安全治理新形勢和上述治理趨勢，企業(yè)應(yīng)當(dāng)積極參與到數(shù)據(jù)安全治理方案的探索和建立過程中，遵守以下原則開展數(shù)據(jù)安全管理工作。

一是要提高政治站位。落實總體國家安全觀，充分認識到數(shù)據(jù)管理工作關(guān)乎國家安全和人民權(quán)益的重要地位，清醒地認識到每個企業(yè)都有自己的國別屬性和責(zé)任義務(wù)。

二是要確保工作合規(guī)。嚴(yán)格依法依規(guī)開展數(shù)據(jù)安全管理工作，強化安全管理和技術(shù)能力水平，并積極參與到國家數(shù)據(jù)安全體系構(gòu)建中，貢獻企業(yè)智慧和力量。

三是統(tǒng)籌發(fā)展和安全。正確處理好促進發(fā)展和防范風(fēng)險、開放共享和確保安全的關(guān)系，以安全保發(fā)展，以發(fā)展促安全，在合規(guī)的前提下尋求正當(dāng)?shù)纳虡I(yè)利益，推動數(shù)據(jù)合理有效的利用，發(fā)揮數(shù)據(jù)對發(fā)展的驅(qū)動作用。

3 信息通信企業(yè)數(shù)據(jù)安全管理工作實踐

作為信息通信領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運營者、推動數(shù)字經(jīng)濟發(fā)展的中堅力量，基礎(chǔ)電信運營商應(yīng)著力加強數(shù)據(jù)安全管理和個人信息保護工作。例如，中國移動以“維護國家安全、保障用戶權(quán)益、提升企業(yè)價值”為數(shù)據(jù)安全管理主要目標(biāo)，從筑牢管理體系、健全保護能力、優(yōu)化運營機制和打造價值生態(tài)等方面開展數(shù)據(jù)安全管理工作，全面促進數(shù)據(jù)安全使用，充分釋放數(shù)據(jù)要素價值。

3.1 完善制度體系

成熟完備的數(shù)據(jù)安全管理體系是數(shù)據(jù)安全治理的骨架與支柱。優(yōu)秀的管理體系通過清晰統(tǒng)一的文本明確數(shù)據(jù)安全治理工作體系、職責(zé)分工，形成自上而下的數(shù)據(jù)安全共識和話語體系，并將全流程工作進行規(guī)范固化，使數(shù)據(jù)安全治理工作有章可循、有據(jù)可依。

按照不同的效力層級和適用領(lǐng)域，初步建立起以集團公司級制度、集團部門級制度、省專公司級制度為“三橫”，以通用基礎(chǔ)管理辦法、通用領(lǐng)域工作規(guī)范、重點領(lǐng)域管理要求為“三縱”的“三橫三縱”制度體系框架，以數(shù)據(jù)安全管理辦法為基本核心，將個人信息保護制度、重要數(shù)據(jù)保護制度、分類分級工作規(guī)范、數(shù)據(jù)安全評估工作規(guī)范、數(shù)據(jù)出境管理實施規(guī)范等通用領(lǐng)域要求納入體系。在重點領(lǐng)域，結(jié)合新一代信息通信技術(shù)發(fā)展情況，在 5G、大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等方面進行布局，結(jié)合其發(fā)展情況和數(shù)據(jù)安全需求，制定專項數(shù)據(jù)安全管理要求，推進數(shù)據(jù)安全制度系統(tǒng)性覆蓋。

制度文本涵蓋安全策略、安全原則、管理要求、工作規(guī)范、實施指南、圖表文檔等多種形式，確保從宏觀戰(zhàn)略到中觀管理、再到微觀實施的一致性。同時，積極將成熟實踐及時轉(zhuǎn)化為標(biāo)準(zhǔn)化成果，穩(wěn)步構(gòu)建涵蓋了管理、技術(shù)、重點領(lǐng)域和平臺產(chǎn)品四大方面的基礎(chǔ)電信企業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，并深度參與國家、行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的制定。

3.2 健全保護能力

技術(shù)管控能力是數(shù)據(jù)安全保護的基石，是數(shù)據(jù)安全的基礎(chǔ)前提，是管理要求在執(zhí)行層面的具體落實，企業(yè)在系統(tǒng)規(guī)劃建設(shè)時期，需要同步考慮安全保障相關(guān)功能，在數(shù)據(jù)處理各個環(huán)節(jié)強化安全管控技術(shù)的應(yīng)用實施，并不斷提升技術(shù)能力水平。

3.2.1 技術(shù)能力宜全覆蓋

數(shù)據(jù)安全保障能力應(yīng)全面覆蓋數(shù)據(jù)處理中收集、存儲、傳輸、使用、加工、共享、公開和銷毀等各個環(huán)節(jié)，針對每個環(huán)節(jié)的特點采取相應(yīng)的技術(shù)管控，如采集階段應(yīng)注重數(shù)據(jù)源鑒別、存儲階段要注重備份恢復(fù)、傳輸階段要注重加密等，從防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風(fēng)險的角度，建立全面的數(shù)據(jù)安全技術(shù)管控體系。

3.2.2 技術(shù)能力宜復(fù)用

在數(shù)據(jù)安全能力建設(shè)過程中，中國移動利用自主建設(shè)的智慧中臺，主動沉淀數(shù)據(jù)資產(chǎn)自動識別、數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)密鑰分發(fā)管理、異常行為審計等數(shù)據(jù)安全通用能力，將成熟運營的能力在智慧中臺進行部署，供各單位進行復(fù)用，有效節(jié)約建設(shè)成本，避免“煙囪式”建設(shè)。

3.2.3 技術(shù)能力宜完善

數(shù)據(jù)安全技術(shù)能力的建設(shè)從不是一蹴而就的，需要分階段、分場景地逐步推進，既要確保新場景、新應(yīng)用的數(shù)據(jù)安全，也要不斷探索新技術(shù)、新能力在數(shù)據(jù)安全領(lǐng)域的應(yīng)用。踐行“以安全保發(fā)展、以發(fā)展促安全”理念，中國移動強化企業(yè)側(cè)數(shù)據(jù)安全重點技術(shù)能力建設(shè)和使用，針對數(shù)據(jù)資產(chǎn)的識別脫敏、接口安全管理、訪問和操作行為安全審計等關(guān)鍵技術(shù)能力，劃定重點系統(tǒng)、重點字段、重點場景覆蓋基線。

3.3 強化安全運營

數(shù)據(jù)安全運營，主要是指日常業(yè)務(wù)開展時，嵌入其中的用于保障數(shù)據(jù)安全的流程和日常活動。數(shù)據(jù)安全運營是數(shù)據(jù)安全治理體系的血脈，通過流程的實施和活動的開展，確保企業(yè)數(shù)據(jù)處理活動的有效合規(guī)運轉(zhuǎn)。法律法規(guī)和行業(yè)監(jiān)管要求明確了數(shù)據(jù)處理者的責(zé)任義務(wù)、用戶的權(quán)利和政府的管理需求，企業(yè)需要在生產(chǎn)運營中健全完善數(shù)據(jù)安全運營機制，實現(xiàn)全流程數(shù)據(jù)合規(guī)使用，具體包括以下方面。

(1)事前，企業(yè)要有完備的數(shù)據(jù)安全評估機制，對即將開展的業(yè)務(wù)開展合規(guī)性評估、數(shù)據(jù)處理風(fēng)險評估、個人信息保護影響評估等多項評估，充分分析業(yè)務(wù)模式和數(shù)據(jù)安全防護水平。

(2)事中，一是要有用戶個人信息保護機制，確保業(yè)務(wù)開展過程中的個人信息安全，保障用戶權(quán)益；二是要有風(fēng)險監(jiān)測審計機制，及時發(fā)現(xiàn)業(yè)務(wù)過程中的異常行為；三是要有應(yīng)急響應(yīng)機制，對可能發(fā)生的數(shù)據(jù)安全事件進行及時有效地處理。

(3)事后，要有數(shù)據(jù)安全考核體系，對數(shù)據(jù)安全工作有效性進行評價。通過上述多項機制協(xié)同，確保實現(xiàn)業(yè)務(wù)運營過程中的數(shù)據(jù)安全目標(biāo)和要求。

3.4 打造價值生態(tài)

數(shù)字經(jīng)濟時代，促進數(shù)據(jù)要素釋放價值，使得數(shù)據(jù)活動參與各方都能夠從中獲益是數(shù)據(jù)安全治理的核心要義。因此，數(shù)據(jù)安全治理應(yīng)著力打造數(shù)據(jù)價值經(jīng)營生態(tài)，構(gòu)建內(nèi)外聯(lián)動、多方協(xié)調(diào)的數(shù)據(jù)安全環(huán)境，保障數(shù)據(jù)依法有序自由流動，促使數(shù)據(jù)價值有效發(fā)揮，營造良性互動的清朗生態(tài)。

4 結(jié)束語

本文分析了國家數(shù)據(jù)安全治理發(fā)展現(xiàn)狀和發(fā)展趨勢，闡述了信息通信企業(yè)開展數(shù)據(jù)安全管理工作的基本思路和實踐，具有借鑒意義。通過研究、落實國家法律法規(guī)和主管部門要求，充分把握數(shù)據(jù)安全管理工作原則，并結(jié)合行業(yè)發(fā)展態(tài)勢和企業(yè)定位，系統(tǒng)地開展數(shù)據(jù)安全制度、手段、標(biāo)準(zhǔn)、生態(tài)建設(shè)，更多地貢獻企業(yè)智慧，推動數(shù)據(jù)安全管理工作健康發(fā)展。