“数据安全管理视角下的数据分类研究”立项汇报
在今天开启的全国信息安全标准化技术委员会2019年第一次工作组会议周中,公号君汇报了一个标准研究项目——“数据安全管理视角下的数据分类研究”。在此把PPT贴出来,以及支撑该PPT的初步研究报告,供大家参考。
以下是支撑该PPT的研究报告:
核心思路:
数据安全的基本要求存在两个层次:
一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性,以及避免数据泄露、损毁、篡改、丢失等安全事件,对个人、组织、社会、国家造成。
二是“新的数据安全”:在数据处理过程中,管控数据滥用行为对外部可能造成的危害。
第二个层次“新的数据安全”中的外部又可以分解为:
1. 个人安全
即数据滥用行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。
2. 组织安全
即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。
此方面可总结为,数据处理行为不得侵害其他组织的专有数据,具体包括两方面:企事业专有数据和政党社团专有数据。企事业专有数据(proprietary data)可定义为:企事业所持有的可能影响其竞争优势的数据。
3. 公共安全、公共利益、公共秩序
即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。
4. 国家主权、安全、发展利益
即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。
非常欢迎大家发来意见或建议!!