大数据技术标准推进委员会 CAICT中国信通院 中国通信标准化协会 聚焦产业真问题 探索破局新思路 L g Data Technology and Standard Co 2023大数据产业发展大会 Big Data Industrial Development Conference 2023 从业务视角重塑数据安全 北京炼石网络技术有限公司 创始人、CEO 白小勇 大数据技术标准推进委员会 CAICT 中国信通院 中国通信标准化协会 聚焦产业真问题 探索破局新思路 Big Data Technology and Standard Committee atiol 01数据安全始于业务终于业务 02应用改造成本抵消安全增益 03切面数据安全重塑攻防形势 CAICT中国信通院 中国通信标准化协会 大数据技术标准推进委员会 聚焦产业真问题 探索破局新思路 D Big Data Technology and Standard Committee China Communicatio s Standards Associatior 内在风险：数字化伴生数据风险 企业IT发展进入数字时代 权威消息 《焦点访谈》曝光上海某公 DATA ·二十大报告提出， “加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争 向境外出售中国高铁数据 ENCRYPTION 力的数字产业集群” ·数据要素是数字经济深化发展的核心引擎。数据对提高生产效率具有乘数作用，数据的爆发增长 首例适用《数据安全法》案例 、海量集聚蕴藏巨大价值，用好数据要素将为经济社会数字化发展带来强劲动力。 广州一公司未履行数据安全保护义务 国家安全机关破获我国首例涉及高铁 致1000多万数据面临泄漏风险被罚 数据风险：伴生数据处理如影随形 运行安全的危害国家安全类案件 5万 银保监罚决字【2021】1号 行政处 移动 流程 法定代表 业务 自动化 人姓名 （一）发生重要信息系统突发事件未报告 （二）制卡数据违规明文留有 客户 收入 体验 来源 主要违法违规事实 不当 (案由) （四）数据安全管理较粗放，存在数据泄 企业 某银行被处罚420万 2亿条中国公民数据 数据驱 产品 数字化 创新 银保监会1号罚单 动业务 在暗网被公开售卖 核酸检测 员工 供应链 分明星人脸识别照片疑似泄漏 生产力 优化 现场 加工 NOTNULI 使用 专辅 公开 5.38亿条数据，0.177比特币 2元可买70张 某互联网平台数据泄露 提供 明星素颜健康码照片被售卖 收集 存储 CAICT中国信通院 中国通信标准化协会 大数据技术标准推进委员会 聚焦产业真问题 探索破局新思路 “次要地位” 但数据安全建设往往处于 业务发展 90 100001110 数据安全预算 安全建设滞后于 现在的信息化系统 安全投入比例不足 业务建设 安全威胁严峻 从预算上 从进度上 从结果上 中国通信标准化协会 大数据技术标准推进委员会 聚焦产业真问题 CAICT中国信通院 D 探索破局新思路 Big Data Technology and Standard Committee 四法四例四规”} 外部合规： 驱动全行业数据保护 《网络安全法》 《密码法》 《数据安全法》 《人人信息保护法》 第五十一条第三款：采取相应的加密、去标识 二十七条法律、行政法规和国家有关规定要 第二十七条开展数据处理活动应当依照法律、 第二十一条国家实行网络安全等级保护制度。 化等安全技术措施; 求使用商用密码进行保护的关键信息基础设 法规的规定，建立健全全流程数据安全管理制 其安全保护义务第4条明确采取数据分类、重 第六十六条：情节严重的，由省级以上履行个 施，其运营者应当使用商用密码进行保护。 度，组织开展数据安全教育培训，采取相应的 要数据备份和加密等措施。 技术措施和其他必要措施，保障数据安全。利 人信息保护职责的部门责令改正，没收违法所 关键信息基础设施运营者，应当自行或者委 用互联网等信息网络开展数据处理活动，应当 得，并处五千万元以下或者上一年度营业额百 托商用密码检测机构开展商用密码应用安全 在网络安全等级保护制度的基础上，履行上述 分之五以下罚款……· 性评估。 数据安全保护义务。 《网络安全等级保护条例》 《网络数据安全管理条例》 《关键信息基础设施安全保护条例》 《商用密码管理条例》 (征求意见稿) (征求意见稿） 《关键信息基础设施安全保护条例》(国令 《商用密码管理条例》提出法律、行政法规 国家对个人信息和重要数据进行重点保护，对核 国家密码管理部门根据网络的安全保护等级、涉 第745号）规定履行个人信息和数据安全保护 心数据实行严格保护。数据处理者应当采取备份 密网络的密级和保护等级，确定密码的配备、使 和国家有关规定要求使用商用密码进行保护 责任，建立健全个人信息和数据安全保护制 的关键信息基础设施，其运营者应当使用商 加密、访问控制等必要措施，保障数据免遭泄露 用、管理和应用安全性评估要求，制定网络安全 度。关键信息基础设施中的密码使用和管理， 用密码进行保护。 窃取、篡改、毁损、丢失、非法使用；数据处理 等级保护密码标准规范。 应当遵守相关法律、行政法规。 者应当使用密码对重要数据和核心数据进行保护。 等保 密评 数评 关保 HW 对网络运营者开展数据收集、存储、使用、加 等保2.0建设，结合HVV攻防演练 对关键信息基础设施的增强保护 政务、等保、关基等领域，落实“密码三同步” 工、传输、提供、公开等处理活动进行认证 中国通信标准化协会 大数据技术标准推进委员会 聚焦产业真问题 CAICT中国信通院 D 探索破局新思路 Big Data Technology and Standard Committee 四法四例四规”} 外部合规： 驱动全行业数据保护 《网络安全法》 《密码法》 《数据安全法》 《人人信息保护法》 第五十一条第三款：采取相应的加密、去标识 二十七条法律、行政法规和国家有关规定要 第二十七条开展数据处理活动应当依照法律、 第二十一条国家实行网络安全等级保护制度。 化等安全技术措施; 求使用商用密码进行保护的关键信息基础设 法规的规定，建立健全全流程数据安全管理制 其安全保护义务第4条明确采取数据分类、重 第六十六条：情节严重的，由省级以上履行个 施，其运营者应当使用商用密码进行保护。 度，组织开展数据安全教育培训，采取相应的 要数据备份和加密等措施。 技术措施和其他必要措施，保障数据安全。利 人信息保护职责的部门责令改正，没收违法所 关键信息基础设施运营者，应当自行或者委 用互联网等信息网络开展数据处理活动，应当 得，并处五千万元以下或者上一年度营业额百 托商用密码检测机构开展商用密码应用安全 在网络安全等级保护制度的基础上，履行上述 分之五以下罚款……· 性评估。 数据安全保护义务。 《网络安全等级保护条例》 《网络数据安全管理条例》 《关键信息基础设施安全保护条例》 《商用密码管理条例》 (征求意见稿) (征求意见稿） 《关键信息基础设施安全保护条例》(国令 《商用密码管理条例》提出法律、行政法规 国家对个人信息和重要数据进行重点保护，对核 国家密码管理部门根据网络的安全保护等级、涉 第745号）规定履行个人信息和数据安全保护 心数据实行严格保护。数据处理者应当采取备份 密网络的密级和保护等级，确定密码的配备、使 和国家有关规定要求使用商用密码进行保护 责任，建立健全个人信息和数据安全保护制 的关键信息基础设施，其运营者应当使用商 加密、访问控制等必要措施，保障数据免遭泄露 用、管理和应用安全性评估要求，制定网络安全 度。关键信息基础设施中的密码使用和管理， 用密码进行保护。 窃取、篡改、毁损、丢失、非法使用；数据处理 等级保护密码标准规范。 应当遵守相关法律、行政法规。 者应当使用密码对重要数据和核心数据进行保护。 等保 密评 数评 关保 HW 对网络运营者开展数据收集、存储、使用、加 等保2.0建设，结合HVV攻防演练 对关键信息基础设施的增强保护 政务、等保、关基等领域，落实“密码三同步” 工、传输、提供、公开等处理活动进行认证 中国通信标准化协会 大数据技术标准推进委员会 聚焦产业真问题 CAICT中国信通院 D 探索破局新思路 Big Data Technology and Standard Committee 四法四例四规”} 外部合规： 驱动全行业数据保护 《网络安全法》 《密码法》 《数据安全法》 《人人信息保护法》 第五十一条第三款：采取相应的加密、去标识 二十七条法律、行政法规和国家有关规定要 第二十七条开展数据处理活动应当依照法律、 第二十一条国家实行网络安全等级保护制度。 化等安全技术措施; 求使用商用密码进行保护的关键信息基础设 法规的规定，建立健全全流程数据安全管理制 其安全保护义务第4条明确采取数据分类、重 第六十六条：情节严重的，由省级以上履行个 施，其运营者应当使用商用密码进行保护。 度，组织开展数据安全教育培训，采取相应的 要数据备份和加密等措施。 技术措施和其他必要措施，保障数据安全。利 人信息保护职责的部门责令改正，没收违法所 关键信息基础设施运营者，应当自行或者委 用互联网等信息网络开展数据处理活动，应当 得，并处五千万元以下或者上一年度营业额百 托商用密码检测机构开展商用密码应用安全 在网络安全等级保护制度的基础上，履行上述 分之五以下罚款……· 性评估。 数据安全保护义务。 《网络安全等级保护条例》 《网络数据安全管理条例》 《关键信息基础设施安全保护条例》 《商