六部门发文!进一步加强数据流通安全技术应用与加强敏感个人信息保护

2025 年 1 月 15 日,国家发展改革委、国家数据局等部门正式发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(以下简称《方案》),旨在构建更为完善的数据流通安全治理体系,推动数据要素市场化价值化进程。

该《方案》明确提出,将安全贯穿数据供给、流通、使用全过程,落实国家数据分类分级保护制度,明确数据跨主体流通中的安全治理规则,加强数据流通安全技术应用和产业培育,完善责任界定和权益保护机制。到 2027 年底,我国将基本构建起规则明晰、产业繁荣、多方协同的数据流通安全治理体系。该体系将致力于完善企业数据、公共数据、个人信息合规高效流通机制,并显著提升治理效能,为繁荣数据市场、释放数据价值提供坚强保障。


(一)明晰数据流通中的安全治理规则,数据合规高效流通机制更加完善


为全面贯彻总体国家安全观,统筹数据高质量发展和高水平安全,坚持系统思维、底线思维,将安全贯穿数据供给、流通、使用全过程,落实国家数据分类分级保护制度,明晰数据流通中的安全治理规则,完善权益保护和责任界定机制等,《方案》从明晰企业数据流通安全规则、加强公共数据流通安全管理、完善数据流通安全责任界定机制等方面作出了具体部署。


01 编制数据资源目录,落实国家数据分类分级保护制度


《方案》提出,支持企业通过编制数据资源目录、分析流通过程安全风险、制定分类分级保护措施等方式,提升数据治理能力。具体措施体现为:(1)鼓励企事业单位设立首席数据官,加强数据治理和数据开发利用。(2)数据处理者应按照国家有关规定识别、申报重要数据,并依法接受监管部门的监督检查。对确认为重要数据的,相关地区、部门应当及时向数据处理者告知或公开发布。例如,企业在数据安全分类分级过程中,可通过引入自动化的数据扫描与识别技术、数据访问流量解析技术、敏感数据智能识别技术、分类分级自动化标注技术,帮助企业建立起敏感数据资产目录,高效落实数据分类分级工作,实时洞察企业敏感数据资产。(3)鼓励开展数据脱敏等技术研究,对于经脱敏等技术处理后,依据所属行业领域的分类分级标准规范重新识别为一般数据的,可按照一般数据开展流通交易。例如,企业以敏感数据目录为核心,无缝衔接数据安全保护技术措施,根据数据使用场景配置脱敏算法和脱敏规则组合,有的放矢地实施灵活的敏感数据动态脱敏策略。


02 明确数据流通共享原则,确保数据安全有序


《方案》进一步明确政务数据共享范围、用途、条件,要求确保数据在安全前提下有序共享。具体原则:(1)数据提供方按照“谁主管、谁提供、谁负责”的原则,承担数据提供前的安全管理责任;(2)数据接收方按照“谁经手、谁使用、谁管理、谁负责”的原则,承担数据接收后的安全管理责任。(3)应依据有关要求明确公共数据授权运营机构的安全管理责任,建立健全数据安全管理制度,采取必要安全措施,加强关联风险识别和管控,保护公共数据安全。例如,有关地方和部门开展公共数据授权运营的,可通过定制化的交互式分析工具,开展多维量化数据安全风险监测,提高风险识别与追溯效率。同时,做好公共数据授权运营平台 API 的访问控制与授权管理,避免数据滥用与数据泄露风险。


03 建立数据流通安全审计和溯源机制,明晰权责范围边界


《方案》明确了数据提供方和数据接收方的权责边界,数据提供方应当确保数据来源合法,数据接收方应严格按照要求使用数据,防止超范围使用。鼓励措施如下:(1)鼓励供需双方探索建立数据流通安全审计和溯源机制;(2)融合应用数字水印、数据指纹、区块链等技术手段,高效支撑数据流通过程中的取证和定责。例如,数据供需双方可建立全链路的数据安全审计能力,全面审计数据访问活动,精准记录从用户、应用、API到数据库的完整路径数据访问日志,自动构建全链路敏感数据流转轨迹,为支撑数据流通过程中的风险监测和溯源分析建立基础。


(二)支持数据流通安全技术创新,鼓励规模化、专业化、一体化


《方案》提出,将安全贯穿数据供给、流通、使用全过程,加强数据流通安全技术应用和产业培育,提升安全治理能力。《方案》对加强数据流通安全技术应用、丰富数据流通安全服务供给等做出具体部署,进一步促进产业繁荣。


01 支持数据流通安全技术创新,鼓励企业采取差异化数据安全措施


《方案》支持数据流通安全技术创新,完善数据流通安全标准。鼓励企业按照数据分类分级保护要求,采取不同的安全技术开展数据流通,具体建议措施:(1)对于不涉及风险问题的一般数据,鼓励自行采取必要安全措施进行流通利用。(2)对于未认定为重要数据,但企业认为涉及重要经营信息的,鼓励数据提供方、数据接收方接入和使用数据流通利用基础设施,促进数据安全流动。(3)对于重要数据,在保护国家安全、个人隐私和确保公共安全的前提下,鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式,依法依规实现数据价值开发。例如,企业在数据安全分类分级、建立数据资产目录的基础上,通过用户认证代理、数据访问控制等安全技术,根据企业业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,进而允许、拒绝或告警特定用户对特定数据集的访问,实现细粒度的数据访问权限管控。


02 丰富数据流通安全服务供给,提升安全服务效能,降低应用成本


《方案》提出繁荣数据安全服务市场,壮大数据安全治理服务规模,创新数据安全服务业态的重要任务。具体措施有:(1)支持数据安全服务机构加强基础理论研究、核心技术攻关和产品创新应用;(2)向规模化、专业化、一体化方向发展,提升安全服务效能,降低应用成本;(3)培育数据流通安全检测评估、安全审计等服务;(4)鼓励有条件的企业拓展面向中小企业的数据安全托管服务。例如,企业可采用支持跨多种数据类型、存储系统和生态系统,以及集成多种数据安全能力的一体化数据安全平台,建立从敏感数据发现、识别、保护、监督到治理的一体化技术保护措施,构建体系化的数据流通安全治理体系。


(三)防范数据滥用风险,加强保护个人信息和商业秘密


《方案》明确,防范数据滥用风险,坚决维护国家安全,保护个人信息和商业秘密,以成本最小化实现安全最优化,推动数据高质量发展和高水平安全良性互动,充分释放数据价值,促进数据开发利用。其中,再次强调个人信息流通保障,依法严厉打击非法获取、出售或提供数据的黑灰产业,加强敏感个人信息保护。


01 强化个人信息保护,完善个人数据权益保障机制


《方案》明确要求,个人数据流通应当依法依规取得个人同意或经过匿名化处理,不得通过强迫、欺诈、误导等方式取得个人同意。具体保障措施有:(1)制定个人信息匿名化相关标准规范,明确匿名化操作规范、技术指标和流通环境要求;(2)完善个人信息权益保障机制,鼓励采用国家网络身份认证公共服务等多种方式,强化个人信息保护;(3)加强对个人信息处理活动的规范引导,健全个人信息保护投诉举报处置渠道。


02 加强重点行业领域数据安全风险监测,防范数据滥用风险


《方案》将依法严厉打击非法获取、出售或提供数据的黑灰产业作为重要部署任务,加强敏感个人信息保护,限制超出授权范围使用个人信息。具体措施有:(1)依法依规惩处利用数据开展垄断、不正当竞争等行为,维护各方主体权益和市场公平竞争秩序;(2)加强重点行业领域数据安全风险监测,持续增强风险分析、监测和处置能力,防范发生系统性、大范围数据安全风险;(3)研究完善数据流通安全事故或纠纷处置机制,提升流通风险应对能力。例如,涉及海量高价值、高敏感个人信息的企业,以及强监管下的金融、医疗、互联网等行业领域,可通过基于数据权限最小化原则收敛敏感数据暴露面,降低数据使用与流通共享中的泄露风险,同时,可实施细粒度到人(不同角色)的访问权限即时管控,实时监控、及时发现高危特权账户,数据访问留痕至真实数据操作者。此外,加强敏感数据动态脱敏、数据库存储加密、全链路数据安全审计、数据风险流转监测等技术措施建设落地,保障个人数据流通安全,降低企业重要数据与客户个人信息泄露、滥用风险。



上一篇:2024 年度盘点|破局、成长、求变、感恩

下一篇:没有了!