【无标题】数据安全相关法律法规学习记录
国内数据安全法律法规和政策
我国在积极推动大数据产业发展的过程中,非常关注大数据安全问题,近几年发布了一系列大数据产业发展和安全保护相关的法律法规和政 策。
2012 年 12 月,针对数据应用过程中的个人信息保护问题,第十一届全国人民代表大会常务委员会通过了《全国人大常委会关于加强网络信息保护的决定》,该决定要求,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,网络服务提供者和其它企事业单位应当采取技术措施和其它必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。在发生或者可能发生信息泄露、损毁、丢失的情 况时,应当立即采取补救措施。
2013 年 7 月,工业和信息化部公布了《电信和互联网用户个人信息保护规定》。该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实,进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施要求。 2014 年 3 月,我国新的《消费者权益保护法》正式实施。该法明确了消费者享有个人信息依法得到保护的权利,同时要求经营者采取技术措施和其他必要措施,确 保个人信息安全,防止消费者个人信息泄露、丢失。
2015 年 8 月,国务院印发《促进大数据发展行动纲要》(以下简称“行动纲要”),提出加快建设数据强国和释放数据红利,并加快政府数据开放共享,以提升治理能力。同时,行动纲要提出网络空间数据主权保护是国家安全的重要组成部分,要求“强化安全保障、提高管理水平,促进健康发展”,并探索完善安全保密管理规范措施,切实保障数据安全。在大数据安全标准方面,行动纲要提出要进一步完善法规制度和标准体 系,大力推进大数据产业标准体系建设。
2016 年 3 月,第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》(以下简称“十三五规划纲要”)。十三五规划纲要提出实施国家大数据战略,全面实施促进大数据发展行动,同时要强化信息安全保障。该规划纲要提出加强数据资源安全保护,具体表现为要建立大数据安全管理制度、实行数据资源分类分级管理和保 障安全高效可信应用。
2016 年 11 月,全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》(以下简称“网络安全法”)。网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据,并鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。关于网络数据安全保障方面,网络安全法规定,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改,加强对公民个人信息的保护,防止公民个人信息被非法获取、泄露或者非法使用,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据, 网络数据确实需要跨境传输时,需要经过安全评估和审批。
2016 年 12 月,国家互联网信息办公室发布《国家网络空间安全战略》,提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保障国家网络安全夯实产业 基础。
主要标准化组织大数据安全工作情况
目前,多个标准化组织正在开展大数据和大数据安全相关标准化工作,主要有国际标准化组织/国际电工委员会下的ISO/IEC JTC1 WG9(大数据工作组)、ISO/IEC JTC1 SC27(信息安全技术分委员会)、国际电信联盟电信标准化部门(ITU-T)、美国国家标准与技术研究院(NIST)等。国内正在开展大数据和大数据安全相关标准化工作的标准化组织,主要有全国信息技术标准化委员会(以下简称“全国信标委”,委员会编号 为TC28)和全国信安标委(TC260)等。
2.2.1 ISO/IEC JTC
ISO/IEC JTC1 SC27是在ISO和IEC信息技术联合委员会(ISO/IECJTC1)下属安全技术分委员会,成立于 1990 年,其工作范围涵盖信息和ICT(信息与通信技术)保护的标准开发,包括安全与隐私保护方面的方法、技术和指南。目前下设五个工作组,分别为信息安全管理体系工作组(WG1)、密码技术与安全机制工作组(WG2)、安全评价、测试和规范工作组(WG3)、安全控制与服务工作组(WG4)和身份管理与隐私保护技术工作组(WG5)。各工作组负责各自工作范围内的多项标准开发,并根据需要设立相应的研究项目。
其中,WG5负责身份管理和隐私保护相关标准的研制和维护。WG结合其工作范围和重点,开发了标准路线图,概括了WG5已有标准项目、新工作项目提案,以及将来WG5可能涉及到的标准化主题等内容。WG工作组负责制定的隐私保护方面标准包括已发布的ISO/IEC 29100:《信息技术 安全技术 隐私保护框架》、ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架》、ISO/IEC 29190:2015《信 息技术 安全技术 隐私保护能力评估模型》、ISO/IEC 29191:
《信息技术 安全技术 部分匿名、部分不可链接鉴别要求》和ISO/IEC27018:2014《信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南》,即将发布的ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》和ISO/IEC 29151《信息技术 安全技术 可识别个人信息(PII)保护实践指南》,以及正在工作草案阶段的ISO/IEC29184 《在线隐私通知和准许指南》、ISO/IEC 27550《隐私保护工程》和 ISO/IEC 27551《对ISO/IEC 27001在隐私保护管理方面的增强要求》。
ISO/IEC JTC1 WG9是ISO/IEC JTC1于 2014 年 11 月成立的大数据工作组,目前正在开展ISO/IEC 20546《信息技术 大数据 概述和词汇》和ISO/IEC 20547《信息技术 大数据参考架构》两项国际标准编制。ISO/IEC 20547为多部分标准,包括ISO/IEC TR 20547-1《第 1 部分:框架和应用过程》、ISO/IEC TR 20547-2《第 2 部分:用例和衍生需求》、ISO/IEC20547-3《第 3 部分:参考架构》、ISO/IEC 20547-4《第 4 部分:安全与隐 私保护》、ISO/IEC TR 20547-5《第 5 部分:标准路线图》。
其中,ISO/IEC 20547-4《信息技术 大数据参考架构 第 4 部分:安全与隐私保护》标准编制项目根据ISO/IEC JTC1 JAG(JTC1咨询小组)2016 年 3 月巴黎会议决定被转交给了ISO/IEC JTC1 SC27,现由SC27下属 WG4和WG5共同负责,并任命中国专家担任项目编辑。
ITU-T
ITU-T在 2013 年 11 月发布了《大数据:今天巨大,明天平常》报告,并 在其下属相关研究组开展了多项大数据和大数据安全相关的标准化工作。
ITU-T SG13(聚焦于IMT-2020、云计算和可信网络基础设施的未来网络研究组)负责制定的大数据相关标准包括:已发布的ITU Y.3600《大数据 基于云计算的要求和能力》,以及在编制中的《大数据 元数据框架和概念模型》、《大数据 数据集成概述和功能要求》、《大数据 数据溯源要求》、《大数据交换框架和要求》、《数据存储联合的要求和能力》、《大数据即服务的功能架构》、《大数据 数据保全概述和要求》、《大数据驱动联网要求》、《基于DPI的大数据驱动联网框架》和 《应用于网络大数据语境下的深度包检测机制》等。
ITU-T SG17(安全研究组)负责制定的大数据安全相关标准包括编制中的《移动互联网服务中的大数据分析安全要求和框架》、《大数据即服 务的安全指南》,《电子商务业务数据生命周期管理安全参考架构》等。
NIST
美国国家标准与技术研究院(NIST)于 2012 年 6 月启动了大数据相关基本概念、技术和标准需求的研究, 2013 年 5 月成立了NIST大数据公开工作组(NBG-PWG), 2015 年 9 月编写形成并发布了NIST SP 1500《NIST大数据互操作框架》系列标准(第一版),包括 7 个分册,即:NIST SP1500-1《第 1 册 定义》、NIST SP 1500-2《第 2 册 大数据分类法》、NISTSP 1500-3《第 3 册 用例和一般要求》、NIST SP 1500-4《第 4 册 安全和隐私保护》、NIST SP 1500-5《第 5 册 架构调研白皮书》、NIST SP 1500-《第 6 册 参考架构》和NIST SP 1500-7《第 7 册 标准路线图》。其中,NIST SP 1500-4《NIST大数据互操作框架:第 4 册 安全与隐私 保护》由NIST NBD-PWG的安全与隐私保护小组编写。
2.2.4 TC
为推动和规范我国大数据产业的快速发展,培育大数据产业链,并与国际标准接轨,全国信标委在 2014 年 12 月成立了大数据标准化工作组(以下简称“大数据工作组”,BDWG),工作组主要负责制定和完善我国大数据领域标准体系,组织开展大数据相关技术和标准的研究,推动国际标准化活动,对口ISO/IEC JTC1 WG9大数据工作组。目前,工作组正在制定的国家标准有 12 项,其中《信息技术 大数据 术语》等 6 项国家标准进入报批阶段,《信息技术 数据交易服务平台 交易数据描述》等 3 项标准进入 征求意见阶段、 1 项标准完成草案, 2 项标准完成草案框架。
TC260
为了加快推动我国大数据安全标准化工作,全国信安标委在 2016 年4 月成立大数据安全标准特别工作组(以下简称“特别工作组”,SWG-BDS),主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。目前,特别工作组正在制定《信息安全技术 个人信息安全规范》、《信息安全技术 大数据服务安全能力要求》、《信息安全技术 大数据安全管理指南》等国家标准。其中,《信息安全技术 个人信息安全规范》和《信息安全技术 大数据服务安全能力要求》已经推进到征求意见稿阶段。同时,特别工作组组织开展了针对大数据安全能力成熟度模型、大数据交易安全要求、数据出境安全评估等国家标准 的研究工作。
大数据安全相关标准现状
数据安全以数据为中心,重点考虑数据生命周期各阶段中的数据安全问题。大数据应用中包含海量数据,存在对海量数据的安全管理,因此,在分析大数据安全相关标准时,需要对传统数据采集、组织、存储、处理等安全相关标准进行适用性分析。此外,在大数据场景下,个人信息安全问题备受关注。由于大数据场景下的多源数据关联分析可能导致传统的个人信息保护技术失效,因此,大数据场景下更需要考虑个人信息安全问题,必须对现有个人信息保护技术和标准进行适用性分析。最后,大数据应用作为一个特殊的信息系统,除存在与传统信息安全一样的保密性、完整性和可用性要求外,还需要从管理角度研究大数据场景下信息系统的安全,因此,传统信息系统的大部分信息安全管理体系和管理要求类标准仍然是适用的。下面对和大数据安全相关的传统数据安全标准、个人信息保 护标准和专门为大数据应用制定的大数据安全相关标准进行梳理分析。
传统数据安全标准规范
(一)支付卡行业数据安全标准介绍
支付卡行业数据安全标准(PCI-DSS)是PCI安全标准委员会制定的数据安全标准。PCI-DSS标准目标在于严格控制对支付卡持卡人数据的处理、存储和传输,以保障银行卡用户在线交易的安全。PCI-DSS标准按每年交易量将商家分为四个等级,为不同等级商家提出不同强度的安全要求。PCI-DSS要求所有涉及信用卡支付的企业必须满足PCI-DSS标准。PCI-DSS安全标准部分主要内容包括 6 大类要求:
1 )构建和维护一个安全的网络;
2 )保护持卡人数据;
3 )维护一个脆弱性管理流程;
4 )实施强制访问控制措施;
5 )定期监控和测试网络;
6 )维护一个信息安全策略。
对于每一类要求,PCI-DSS对其进行了详细规定,达到可操作的要求,比如,对于第 1 类安全要求(构建和维护一个安全的网络),其规定:
1 )安全维护一个防火墙配置来保护持卡人数据;
2 )不要在系统密码和其它安全参数方面使用默认值。
PCI-DSS也处于不断发展之中,比如,针对云计算新型环境,PCI- DSS制定了专门的补充标准《信息补充:PCI-DSS云计算指南》。
(二)NCHHSTP数据安全和私密性指南
美国艾滋病、肝炎、性传播疾病与结核病预防中心(NCHHSTP)发布了旨在实现HIV、病毒性肝炎、性传播疾病,和肺结核监护数据共享的数据安全和私密性指南。该指南详细分析了共享数据、维护安全和私密性的好处、风险和代价。给出了实现数据收集、存储、共享和使用过程安全和私密性的 10 大指导原则,并制定了实现数据收集、存储、共享和使用过程中安全和私密性的安全指南。
NCHHSTP数据安全 10 大原则为:1 )公共健康数据的获取、使用、披露和存储必须为合法公共健康目的服务;
2 )应该只收集最小数量的个人识别数据以执行必要的公共安全活动;
3 )必须拥有保护个人识别数据隐私和安全的强安全策略;
4 )数据的收集和适用策略必须反映出对个人和社区组织的尊重,且要减轻他们不必要的负担;
5 )必须有确保所采集和使用数据质量的策略和流程;
6 )有责任及时使用和分发摘要数据给相关干系人;
7 )数据共享应该只限于合法的公共健康目的,且必须及时为数据共享建立数据使用协议;
8 )公共健康数据应该在一个安全环境中保存,以及通过安全方法传输;
9 )最小化被授权访问可识别个人信息的人员和实体的数量;
10 )职员应该主动负责对公共健康数据的管理。
NCHHSTP数据安全和隐私性指南包括五个方向:策略和责任、数据 的收集和使用、数据的共享和发布、物理安全和电子数据安全。
个人信息安全标准规范
(一)ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》
该标准为信息与通信技术(ICT)系统内可识别个人信息(PII)的保护提供了一个高层次隐私保护框架。该隐私保护框架规范了通用的隐私保护术语;定义了处理PII中的参与者及其角色;描述了隐私保护的考虑事项;为实现由许多国际组织开发的 11 个隐私保护原则提供指导。 11 个隐私保护原则包括同意和选择、意图合法性和规约、收集限制、数据最小化、使用/保留/披露限制、准确和质量、开放/透明/告知、个体参与和访问、可核查性、信息安全、隐私保护合规。该标准适用于涉及规范、获取、构建、设计、开发、测试、维护、管理和运行需要隐私保护控制措施来处理PII的ICT系统或服务的任何自然人和组织。
(二)ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架》
该标准定义了一个隐私参考体系结构框架,该框架明确提出了处理PII的ICT系统的关心点,列出了实现这种系统的组件,并提供了将这些组件语境化的体系结构视图。该标准适用于涉及规划、获取、构建、设计、测试、维护、管理和运行处理PII的ICT系统的实体。
(三)ISO/IEC 29190:2015《信息技术 安全技术 隐私保护能力评估模型》
该标准为组织评估其管理隐私保护相关过程的能力提供高层指南,规范了确定隐私保护能力的评估过程和评估级别,为评估隐私保护能力的关键过程域及其实现,以及如何将隐私保护能力评估继承到组织运行中提供 了指南。
(四)ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南》
该标准依据ISO/IEC 29100给出的隐私保护原则,为在公有云计算环境中保护可识别个人信息(PII),建立了普遍接受的控制目标、控制措施和测量实现指南。特别是,该标准考虑到在公有云提供者的信息安全风险环境下适用的PII保护法规要求,基于ISO/IEC 27002给出指南。该标准适用于作为PII处理者通过云计算提供信息处理服务的所有类型和规模的组织。
(五)ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》该标准为隐私影响评估(PIA)过程以及PIA报告的结构和内容给出指南。该标准适用于所有类型和规模组织。
(六)ISO/IEC 29151《信息技术 安全技术 可识别个人信息(PII)保护实践指南》
该标准为满足通过可识别个人信息(PII)保护相关的风险和影响评估而识别的要求,建立了控制目标和控制措施,并提供了控制措施实现指南。该标准考虑到在组织信息安全风险环境下适用的PII处理要求,基于ISO/IEC 27002给出指南。该标准适用于作为PII控制者的所有类型和规模的组织。
(七)BS 10012:2009《数据保护 个人信息管理系统规范》
该标准由英国标准协会(BSI)于 2009 年 6 月发布,主要是针对个人信息保护所提出的“个人信息保护标准”,其中参考了经济开发合作组织(OECD)的个人隐私权保护的八大原则,用于支撑欧盟隐私保护条例和英国的数据保护法案,强调要建立一个管理体系,并且就个人信息跨境管理的情况给出了建议。
该标准规范了个人信息管理体系(PIMS)要求,提供了一个框架用于维护和改进数据保护的合规性和最佳实践。该标准适用于任何规模和行业的组织,主要为在其内部启动、实施和维护PIMS的组织所用。该标准旨在提供个人信息管理的共同基础,以便增强个人信息管理的信心,并使 得内部和外部评估者能够有效地评估数据保护的合规性和最佳实践。
(八)《信息安全技术 个人信息安全规范》(国家标准,在研)该标准提出了通过计算机系统处理个人信息时,应当遵循的原则和采取的安全控制措施。该标准要求个人信息控制者在使用计算机系统对个人信息进行处理时,应遵循以下基本原则:目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、个体参与原则、问责原则、披露限制原则。该标准用于指导组织内部建立个人信息保护策略,并用于指导产品、服务、内部信息系统的设计、开发和实现。
参考文档
tc260 大数据安全标准化白皮书 2018版