CCIA数据安全工作委员会

其他

专家解读 |《生成式人工智能服务管理办法(征求意见稿)》的主要制度和合规义务

在进行算法备案前,企业应设置算法安全机构,建立完善的公司内部规章制度,主要包括算法安全自评估制度、算法安全监测制度、算法安全事件应急处置制度、算法违法违规处置制度算法备案流程**
2023年4月12日
其他

深度分析 | 数据安全治理中数据安全合规的实践思路探讨

伴随着政府、企业、金融、能源、运营商等各行各业的数字化转型加速,数据资产的价值和重要性不断提升,数据泄露、篡改、破坏导致的影响日趋严重。国家层面对数据安全更加重视,涉及数据安全相关法律法规标准持续推出与完善,监管力度不断加大,监管内容不断细化。企业或组织在数据安全治理实践过程中,面对众多的法律法规标准条文,满足数据安全合规的需求愈发主动、强烈。本文阐述数据安全治理的技术体系架构设计思路,通过对数据安全合规部分的重点描述,为企业或组织提供指引。数据安全治理的技术体系设计数据安全治理是以“让数据使用自由而安全”为愿景,治理对象为组织数据和个人信息,旨在平衡数据的发展与安全,个人信息的利用与保护。作为帮助企业或组织应对数据安全挑战的一种理念和一套贯穿整个组织落实数据安全能力的方法论,数据安全治理框架主要包括战略、管理制度、技术和运营四个方面。数据安全治理体系框架图数据安全治理与网络安全和数据治理既有紧密的关联性,又有面向数据的独特性,整体框架需要多体系间融合展开治理。数据安全治理是以数据为中心,其核心思想是面向业务数据流转的动态、按需防护。数据安全技术仍需依托面向网络、设备、应用等数据载体的基础静态安全能力,扩展面向数据流动的分类分级动态安全能力。企业或组织在数据安全治理实践过程中,数据安全合规是一个应突出考虑的重要目标。因此,我们在设计的数据安全技术体系要满足数据安全合规、数据全生命周期、数据流动、基础安全四个方面的需求,以下重点阐述数据安全合规的具体内容。法律法规监管标准库法律法规是指引企业或组织数据安全建设的重要依据,应对解读的安全标准和规范的合规项进行落实,形成合规库,收录并拆解各类与数据安全相关的规范,为数据安全提供参考及评估标准,并根据合规库中的合规项制定各类安全策略规则。法律法规监管标准知识库多为文档形式,难以融入到日常的安全运营工作中去,可通过技术手段建立法律法规库系统,系统提供规范标准的录入、修订、废止、检索功能,通过系统可快速检索组织应执行的合规项,根据各合规项执行的安全策略和具体实施的安全措施。数据资产梳理数据资产梳理是指对目标环境中的数据资产进行全面清查、摸排,通过了解数据资产类型、数据资产分布、数据资产权限、数据资产使用等信息,构建数据资产目录的过程。在数据安全治理实践中,尤其关注针对敏感数据资产的梳理,这是数据安全体系建设及数据资产管理中的一项基础性工作。对数据资产进行及时准确的梳理以掌握其中敏感资产的分布、数量、权限及使用状况,是进行后续数据安全治理工作的基础与先导。数据分类分级为了能够更好地保持数据使用的便捷性和实现数据保护的安全性二者之间进行平衡,促进数据安全能力建设降本增效,通常会对企业或组织的数据(资产)进行分类分级,以便采用精细化的安全管控手段。为应对企业或组织海量数据的分类分级,可采用谓词切分与语义识别技术、知识库与匹配技术和机器建模与匹配等技术,辅助人工快速形成数据分类分级清单。对数据的分类分级因为要密切贴合企业或组织的自身业务特点,一般没有特别通用的规则和方法,通常会根据数据的用途、内容、业务领域等因素进行,而且可能需要随着业务的变化而动态变化。可参考《数据安全法》第二十一条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。可参考标准有:《DB
2023年2月8日
其他

重磅发布 I 《数据安全和个人信息保护社会责任指南》( T/CCIA 002—2022)发布(可下载查阅)

为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术规范《数据安全和个人信息保护社会责任指南》(T/CCIA
其他

专题工作 | “健康码”数据删除等后续处置措施实施指引(可下载查阅)

“健康码”自诞生以来,因其简单、易用、高效、互通等特点,为新冠疫情防控的精准施策、动态清零等举措提供了关键支撑,是应用大数据进行疫情防控的重大创新举措。2022年11月以来,为进一步优化落实疫情防控措施,国务院连续发布了“二十条”和“新十条”,公共场合逐步取消了扫场所码、查核酸等要求,“健康码”的使用场合开始大幅度减少。随着疫情防控工作的重心向保障社会正常运转、分类诊治、物资供给等方面转移,“健康码”原有功能的使用场合还可能继续锐减,直至退出服务。12月12日,中国电信、中国联通、中国移动三大运营商均表示,将按照有关法律规定(主要是《个人信息保护法》第四十七条规定的,“处理目的已实现”或“停止提供产品或者服务”,个人信息处理者应当主动删除个人信息的要求),12月13日0时“通信行程卡”下线后,同步删除用户行程数据,依法保障个人信息安全。网友纷纷点赞三大运营商主动表态删除的做法。与“通信行程卡”相关的用户行程数据相比,“健康码”使用场景更广泛,所处理的个人信息种类更庞杂,扮演了“大数据抗疫”的关键角色。但同时,“健康码”所基于的相关数据因与个人实名身份信息强关联,很多属于敏感个人信息的范畴,一旦被泄露、滥用等会直接影响到公众的切身利益,也会对社会公共利益、甚至国家安全产生直接影响,还可能会增加社会治理成本、损害政府公信力。此外,“健康码”由各地独立运营,需要耗费大量算力、存储和网络资源,运营成本高、保障要求高,长期运营也将成为一种“负担”。如果后续“健康码”随着疫情防控重点变化逐步“退场”,如何妥善处理相关数据“遗产”,考验着相关部门的数据治理能力和决心。公众之所以高度关注健康码数据何去何从,与之前“健康码”对人民生产、生活的巨大影响密不可分,“随意赋红码”等个别数据权力滥用事件更是让人们切实感受到“大数据”所产生威力。下一步,健康码数据如何得到妥善处置已经成为了公众、媒体、相关领域专家学者的重点关切,健康码数据“应删尽删”的建议成为主流的声音,“健康码”运营者理应将数据的后续处置尽快提上研究的日程表,形成具体的方案、措施。CCIA数据安全工作委员会为履行社会责任,组织委员会单位专家,联合“数据保护官(DPO)沙龙”的专家组成工作小组,以法律法规、规章标准等为依据,分析数据继续处理的影响,提出健康码数据删除等后续处置的具体工作步骤建议,以及相关的实施参考,形成《“健康码”数据删除等后续处置措施实施指引》(简称“《实施指引》”),以供“健康码”运营者参考。01主要参考依据法
其他

深度分析 | 万字详解数据安全关键技术之数据脱敏(上篇)

数据脱敏是数据安全领域落地场景较为成熟的技术手段,在数据深层次、大范围的共享开放的今天,数据脱敏在不影响数据使用的前提下保护敏感隐私数据,已成为数据安全建设重要内容。本文通过对数据脱敏技术及应用场景等进行梳理,为各行业用户更好的实施数据脱敏技术提供指南,主要内容包括以下四个方面:▼数据脱敏法规政策合规依据▼数据脱敏技术定义及实施过程解析▼数据脱敏典型应用场景▼数据脱敏管理体系的建立数据脱敏法规政策合规依据《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。《数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的加密、去标识化等安全技术措施。《信息安全技术
2022年10月24日
其他

直播回放 | “《数据安全法》实施经验分享与研讨”直播活动-2022年9月

2021年6月10日,《数据安全法》经第十三届全国人大常委会第二十九次会议通过并正式发布,于2021年9月1日起施行。《数据安全法》是中国为保障数据安全颁布的首部专门性法律,填补了我国数据安全保护立法的空白,为建立健全数据安全治理体系指明了发展方向,对数据安全保障有着不可忽视的重要意义。值此《数据安全法》实施一周年之际,为进一步贯彻CCIA数安委工作主旨,推动法律实施落地和产业创新发展,2022年9月1日下午,由CCIA数据安全工作委员会主办,深圳赛西信息技术有限公司、深圳市腾讯计算机系统有限公司协办的“《数据安全法》实施经验分享与研讨”活动以“线上会议”+“官方公众号视频号直播”的形式举办。此次活动邀请了北京大学粤港澳大湾区知识产权发展研究院的专家就数据处理活动中的社会责任承担问题进行了主题演讲,电子标准院的专家从国家标准支撑《数据安全法》落地实施角度进行了详细解读。同时重点设置了“《数据安全法》实施经验分享”环节,由21位委员单位代表介绍相应委员单位在落实《数据安全法》过程中的优秀经验、案例。此外,在本次活动上CCIA数据安全工作委员会负责人汇报了CCIA数安委成立以来的工作开展情况,并宣布CCIA数据安全工作委员会深圳工作站正式启动。本次宣贯活动共吸引超过2000名CCIA数据安全工作委员会委员单位的相关人员观看。CCIA数据安全工作委员会将持续举办数据安全和个人信息保护相关的直播活动,欢迎持续关注。直播活动的回放视频如下:
其他

深度分析 | 盘活数据经济价值、引导培育数据要素安全交易体系思考与研究

随着《“十四五”数字经济发展规划》提出2025年近景目标,要以“数字经济”为抓手,以“数字中国”为战略方向,将远景目标进行细化,强调要初步建立数据要素市场体系、盘活数据经要素经济价值等。因此,数据资源已日益成为产业增长与变革的驱动力。随着数字产业化、产业数字化的不断深入融合,数据已变成了一种财富,数据量越大、可用数据越多所拥有的固定资产也就越多。从此角度来看,如需将数据要素资产产生经济价值,就需要盘活数据拥有者的数据要素资产,提高数据要素配置效率,引导培育数据交易市场,权衡各方利益主体。提升数据要素交易量的同时,减少外界不可抗因素的干扰,建立数据要素交易平台生态体系,使数据交易生态向着健康、良性、可持续发展方向进行驱动。本文以建立数据要素交易平台为核心,全盘考虑数据要素在交易前、交易中、交易后所涉及的问题,从政务开放数据、企业基本信息、数据要素优化配置、引导培育挖掘、监管体制机制建立、落实各方主体责任及利益,逐步予以完善,并提出方法论,促进数据交易市场良性发展。01本文重点诠释内容说明●[目的]
其他

深度分析 | 政务数据分类分级难点与对策思考

01研究背景党的十八大以来,以习近平同志为核心的党中央围绕实施网络强国战略、大数据战略等作出一系列重大部署,不断推进数字政府建设。近年来,随着大数据、云计算、人工智能等新一代数字技术融入数字政府建设,我国数字政府建设稳步推进,数字政府服务效能显著提升。数字政府作为数字中国、数字经济的重要基础,已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。当前,“一网通办”“跨省通办”、政务“秒批”“秒办”、身份证“网证”、“城市大脑”等试点示范措施,有力促进了政府和社会治理的高效化、精准化和智能化。但不容忽视的是,数字政府系统作为超级数据平台,面临巨大的安全威胁和风险,海量的数据具有覆盖范围广泛、关联关系复杂、涉及大量个人隐私数据和国家重要数据等特点,这使得数据集中统一管理后的数据安全问题更加突出,对数据安全保障工作提出了新的挑战。数据安全是以数据为中心的安全,在流动过程中保护数据的使用安全。建设数据安全的前提是清楚数据的分布、使用情况和安全风险。然后才能从风险应对角度出发实施恰当的保护,根据数据敏感级别不同,配置差异化的保护策略,对数据实施保护。数据资产识别和分类分级是数据使用管理和安全防护的基础,为数据尤其是重要数据制定分类分级制度并依规管理,是实现数据安全目标的重要工作。02数据分类分级的难点研究
其他

专题工作 | “健康码”数据安全和个人信息保护措施与建议(可下载查阅)

“健康码”在我国的疫情防控中发挥了重大作用,为新冠肺炎疫情防控的精准施策、动态清零等举措提供了关键支撑,当前每个人的日常生活、工作都离不开它。“健康码”运转的背后逻辑是海量个人信息的汇集、共享,并利用算法进行自动化决策等等。若“健康码”所处理的大量敏感个人信息一旦被泄露、滥用等均会直接影响到大量民众的切身利益,还可能会增加社会治理成本、损害政府公信力。而此前,各地“健康码”在不断运行完善的过程中,也曾暴露出一些安全方面的问题、隐患,随着“健康码”的持续运行、功能更迭,其数据安全和个人信息保护方面仍需得到高度重视。“CCIA数据安全工作委员会”组织委员会单位专家,联合“数据保护官(DPO)沙龙”的专家组成工作小组,以安全风险、现状、案例为视角,以法律法规、规章和规范性文件、标准等为参考,对“健康码”涉及的数据处理的各个环节进行分析,对数据安全和个人信息保护方面可采取的措施与建议进行研究、归纳,形成了《“健康码”数据安全和个人信息保护措施与建议》(简称“《措施与建议》”),以供“健康码”运营者参考。《措施与建议》内容简要如下:01主要参考依据法
其他

专家解读 | 数据出境风险自评估要点解析

2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》(简称《评估办法》),自2022年9月1日起施行。《评估办法》规定数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。数据出境风险自评估是数据处理者申报数据出境评估的必要条件,由数据处理者自行或者委托第三方机构开展。因此,理解如何高质量开展自评估具有重要意义。自评估目标、依据、机构和时机1、数据出境风险自评估的目标数据出境风险自评估的目标,包括但不限于:1)全面识别数据处理者已经开展和准备开展的数据出境活动情况;2)客观分析可能影响数据出境安全的风险,确保数据出境安全保障能力与评估所识别的风险相适应;3)高质量的数据出境风险自评估报告,为申报网信部门数据出境安全评估提供必要基础和充分补充。2、数据出境风险自评估的依据数据出境风险自评估依据文件,包括但不限于《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》《个人信息出境标准合同规定(征求意见稿)》等数据出境相关政策法规和标准规范。但需注意的是,《信息安全技术
2022年7月12日
其他

专家解读 | 《个人信息出境标准合同规定(征求意见稿)》要点解读

2022年6月30日,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。《个人信息保护法》第三十八条明确列举了三种向中国境外提供个人信息的路径,包括:(1)通过国家网信部门组织的安全评估;(2)通过专业机构进行的个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同。由于订立标准合同兼具成本优势和可操作性,因此出境标准合同也一直是企业关注的重点。作为跨境提供个人信息的选择路径之一,理解标准合同文本的适用及内容有重要意义。
自由知乎 自由微博
其他

专家解读 | 《工业企业数据安全防护要求(草案)》详细解读

数据公开安全:在一般数据全生命周期安全保护中,要求公开前需对其数据进行分析研判,判断是否可公开、是否需脱敏等(如:应在数据公开前对数据公开的必要性、范围、规模、方式等进行分析研判,研判结果为
其他

专家解读 | 《网络安全审查办法》涉及的数据安全思考

在新年的第一个工作日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三个部门联合修订了《网络安全审查办法》(以下简称《办法》),该《办法》自2022年2月15日起施行。新《办法》基本保留了征求意见稿提出的制度框架,同时明确了涉及的审查部门、内部的工作机制以及若干关键问题,其中数据安全的内容尤其引入注目,新修订内容针对数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求。本文重点解析新旧《网络安全审查办法》之间的差异以及对应的数据合规监管要求。01为保障网络安全和数据安全,新增《数据安全法》、《关键信息基础设施安全保护条例》作为立法依据《数据安全法》建立了数据安全审查制度,其中第24条规定对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《关键信息基础设施安全保护条例》第19条亦对采购网络产品和服务可能影响国家安全的运营者设置了数据安全审查的义务。但上述两部规范性文件,仅对数据安全进行原则性的规定,却未明确与数据安全审查制度相配套的触发情形、审查流程等内容。在此前提下,新《办法》增加《数据安全法》《关键信息基础设施安全保护条例》作为立法依据,为监管处理数据活动提供直接的法律依据,同时也有助于相关企业开展网络安全审查制度合规工作的进一步落地。“网络安全审查”并不等同于“数据安全审查”。从《网络安全法》、《数据安全法》等相关法律的体系来看,两者对于审查的内容、对象各有侧重。根据新《办法》第二十二条
其他

专题研讨 | 工业领域数据安全的重点工作方向、工作内容以及如何结合当下监管要求开展工作?

“隐私政策”的书写、展示、使用方式如何能兼顾监管要求、用户体验?第四期:专题研讨
其他

重磅发布 | 《数据安全法》实施参考(第一版)

《中华人民共和国数据安全法》已于2021年9月1日起正式施行,数据安全的法律法规方面的顶层设计已然清晰。《数据安全法》确立了以安全促发展的原则,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。同时,《数据安全法》确立了一系列国家层面需要逐步建立完善的数据安全管理机制,提出了开展数据处理活动应当承担的数据安全保护责任与义务,明确了违法行为的法律责任。可以预见,在后续有关主管、监管部门不断充实、完善数据安全管理机制,开展监管活动时,《数据安全法》将成为根本遵循。作为开展数据处理活动的广大企业,应当将遵守《数据安全法》作为企业经营活动的红线。为进一步推动网络安全产业在数据安全方面的创新发展、促进数据安全法律法规标准的有效落地,营造行业自律和数据合规利用的良好环境,2021年7月,中国网络安全产业联盟数据安全工作委员会(简称“CCIA数安委”)在中国网络安全产业联盟、全国信息安全标准化技术委员会秘书处指导下,组织学界、业界专家,开始编制“《数据安全法》实施参考”(简称《实施参考》),以推动产业界凝聚共识,提出实用、管用的解决方案和产品服务,促进各行业通过实施《数据安全法》切实提升数据安全保障能力。经过五十余家参编单位专家的共同努力,目前已经形成了《实施参考》(第一版),于2022年4月正式发布。《实施参考》(第一版)共计约30万字,以《数据安全法》七章五十五条为基础,共分为八个章节,分别是第一章总则、第二章数据安全与发展、第三章数据分类分级制度、第四章数据安全监管机制、第五章数据安全保护义务、第六章数据处理规范性、第七章政务数据安全与开放、第八章法律责任与附则。《实施参考》(第一版)每一章节从释义参考、法条适用要点难点、国内外法律政策动态以及标准规范为基础,给出了可供参考的实施方法。同时,《实施参考》根据法律条款自身特点,对内容进行灵活安排,对将数据安全相关的国外、国内(国家、行业、地方层面)的相关资料等进行关联分析,便于读者参考。获取方式截至4月10日,关注公众号“CCIA数据安全工作委员会”的用户可以在微信公众号留言,免费申请一本《实施参考》,留言格式为“企业名/个人姓名+邮箱”,最终发放名单将从留言用户中随机抽取80名用户,并通过邮箱联系后免费邮寄。
其他

专题研讨 | 如何把握“数据安全风险评估”工作的对象、范围、方法,以提升评估的有效性?

如何理解和规范App接入的第三方服务处理个人信息的情形?第三期:专题研讨
其他

专家解读 | 《互联网信息服务算法推荐管理规定》系列解读二:算法备案的制度要求与具体流程

此前的文章中(《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单),梳理了《互联网信息服务算法推荐管理规定》(以下简称《算法规定》)中算法推荐服务提供者的“十不得”与“十六应当”。本文作为系列解读的第二篇,聚焦于算法备案制度,分析这一制度下企业需要履行的合规义务。作为国家互联网信息办公室(以下简称“网信办”)的监管手段之一,“备案”这一制度要求并非第一次出现,如在2019年施行的《区块链信息服务管理规定》中,区块链信息服务提供者需通过区块链信息服务备案管理系统进行备案。具体到算法备案这一制度,哪些企业需要备案、哪些材料需要准备,哪些流程需要注意,是各企业关注的重点问题,本文根据互联网信息服务算法备案系统的使用手册与文件模板,对上述问题进行分析。01算法备案主体《算法规定》对算法备案主体进行了界定,认为其应具有舆论属性和社会动员能力。结合网信办此前发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,我们理解算法备案主体应包括以下两种类型:一是为公众舆论提供表达渠道的服务提供者,如微信、微博、抖音、豆瓣等论坛、博客、通讯群组等;二是具有发动社会公众从事特定活动的互联网信息服务商。上述主体履行算法备案义务,主要是为了防范信息内容安全风险。此前,信通院发布的《算法治理蓝皮书》中提到,算法应用中呈现了一系列突出问题:一是内容呈现泛娱乐化,缺乏价值观和客观性;二是容易导致信息单一性,形成信息茧房;三是算法可能操作用户思想,影响社会舆论。算法备案通过对上述主体“登记备查”,以在后续审查过程中发现备案人使用的算法与备案事项不符,有权要求其改正并追责,从而可以促进算法的合理使用,加强信息安全管理,降低舆论操纵风险。02算法备案主体制度要求《算法规定》明确算法推荐服务提供者应当落实算法安全主体责任。故在算法备案主体进行算法备案填报时,企业需对落实情况进行说明。我们注意到,互联网信息服务算法备案系统中提供了《落实算法安全主体责任基本情况》的填报模板,这一模板从机构设置与管理制度两方面为企业提出了一系列具体要求。然而,大部分企业在现阶段并不能满足相应要求,因此,在进行算法备案之前,企业应按下述要求建立完善公司内部规章制度。类别制度具体内容算法安全机构设置算法安全专职机构算法安全专职机构名称及其组织架构机构负责人基本信息和主要工作职责算法安全工作人员的任职要求算法安全工作人员配备的规模算法安全技术保障措施算法安全管理制度算法安全自评估制度算法自评估的制度设计考虑论证制度的合理性、完备性和可落地性为制度执行所采取的保障措施算法安全监测制度信息安全监测:信息内容安全、信息源安全等方面的监测制度与技术保障措施数据安全监测:服务开发过程中和上线后的数据安全监测制度与技术保障措施用户个人信息安全监测:服务开发或上线后的用户个人信息安全监测制度与技术保障措施算法安全监测:算法应用过程中算法推荐服务自身的安全监测算法安全事件应急处置制度在发生算法安全事件时应急处置的操作步骤、责任人、协调调度机制算法违法违规处置制度算法违法违规处置的情形及实施处罚的条文规则其他包括但不限于科技伦理审查制度等
2022年3月3日
其他

专题研讨 | “隐私政策”的书写、展示、使用方式如何能兼顾监管要求、用户体验?

在完整版的隐私政策中插入一些细分方向的个人信息处理规则的链接属于一种保证内容完备性的常见做法。以链接展示的处理规则还可以单独文本的方式独立在产品或服务的交互页面中展示。☆
其他

专家解读 |《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单

2021年12月31日,国家网信办会同工信部、公安部、市场监管总局出台《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐管理规定》”),全面规范互联网信息服务算法活动,旨在实现算法技术创新与用户权益保障之间的动态平衡。本文将对《算法推荐管理规定》的监管关注点以及企业需要着重注意的合规要求进行分析。01算法推荐服务的监管关注点随着数字经济的高速发展,算法应用本身带来的社会问题不断积累,引起社会的广泛关注,《算法推荐管理规定》可谓是一个阶段性的法律回应。需要明确的是,算法监管的对象不是算法技术或应用本身,而是设计和使用算法的人。规则的设计意在通过义务设置引导人的行为。
2022年1月7日
其他

标准应用 | 数据存储安全、脱敏、监控与审计等在企业数据治理中的实践应用

当前业务系统中,存有大量的商业信息、企业信息等敏感数据。内部数据库维护人员或外部攻击者可能利用自身拥有的高权限或数据库漏洞,非法获取、泄露、篡改甚至破坏数据;
其他

专题研讨 | 如何理解和规范App接入的第三方服务处理个人信息的情形?

关于“共同处理者”模式。如果App与SDK共同决定个人信息的处理目的、方式(也就是说同一个处理目的,必须两个角色共同参与),那么可能构成“共同处理者”,且都应该对用户以“处理者”的名义来明示告知。☆
其他

专题研讨 | 如何理解和规范LBS场景下“位置权限”的使用?

研讨背景LBS(基于位置的服务)场景已成为各类智能终端、App等普遍支持的服务模式,业务功能获取位置信息(粗略/精准)和行踪轨迹等成为了常见做法,但其中不乏一些过度收集、使用不当等侵犯个人信息等问题。对此,用户关心、监管关注,企业如何在依法依规的前提下合理使用“位置信息”成为了数据合规工作的实务难点之一。针对LBS场景下“位置权限”的使用”这个难点,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。研讨过程中,与会专家从厘清基础概念、探索实践路径、提出安全建议等角度各抒己见。现就研讨中形成的主要观点以会议纪要方式公开,以供各界参考、指正。参与此次研讨的专家来自:中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院、公安部第一研究所、北京理工大学等研究机构,以及部分CCIA数据安全工作委员会委员单位。以下观点仅代表专家个人观点。本期研讨主题如何理解和规范LBS场景下“位置权限”的使用?研讨问题研讨问题1:“位置信息”与“位置权限”的关系是什么?“位置权限”所指的具体范围是什么?“精准位置信息”与“粗略位置信息”的区分点在哪?精彩观点如下:☆
其他

热点点评 | App后台读取相册被曝光引发热议,如何看待该问题的成因?有解决方案吗?

还有一种情况,就以透明化机制中,对于App调用权限的频次进行记录的功能为例,完全可以通过人为操作的原因,导致一些数据被刷上去,如果这时候拿这个数据质疑App的行为,恐怕更为离谱了。
其他

深度分析 | 数字中国如火如荼,数字乡村需同步构筑数据安全

数字经济不应受地理限制,当发展数字经济,建设数字中国成为十四五重点规划,中国的腾飞必然要全面协调发展,应用数字桥梁,将摒弃过去不协调的发展鸿沟,如沿海与内地之别。城市、产业数字升级的同时,数字乡村建设也在大跨步走来,全面的数字中国如火如荼,民族全面复兴指日可待。2019年5月,中共中央办公厅、国务院办公厅印发《数字乡村发展战略纲要》,将数字中国这把火烧向了乡村,这将是加快构建新发展格局、实现乡村全面振兴的关键一环。随后相关部门迅速出台一系列文件,贯彻落实数字乡村战略部署,积极探索数字乡村发展模式,数字乡村建设开局态势良好。2021年9月,多部门联合参与编写了《数字乡村建设指南1.0》(以下简称指南)发布,提出了数字乡村建设的总体参考架构以及若干可参考的应用场景,供各地区推进数字乡村建设时借鉴使用。指南主要面向省、县两级政府和相关部门、机构,适用指导以县域为基本单元的数字乡村建设、运营和管理。信息基础设施升级,消除乡村发展制约指南中乡村信息基础设施的建设内容包括网络基础设施、信息服务基础设施,以及传统基础设施数字化升级等。在网络基础设施中,重点提出实现村级宽带接入全覆盖,有条件的更要提供千兆光纤接入,推动IPv6部署和应用,并适时推进5G网络建设。在传统基础设施数字化升级方面,通过引入互联网、大数据、人工智能等新一代信息技术,实现数字化、智能化改造升级,升级现有包括水利、气象、电力、交通、农业生产和物流等基础设施,为农业生产经营和农村居民生活提供更为便利的条件。观点:数字经济不受地理限制,但确受基础设施制约,通过全面的级升改造,数字化乡村发展制约将得以消除。积极推动数据共享,消除乡村数据孤岛指南重点强调应建立公共支撑平台,构建服务“三农”的公共数据平台,平台实现数字乡村相关数据的全汇聚,全面支撑数字乡村业务和应用。利用共享交换体系横向融通农业农村、商务、民政、公安、市场监管、自然资源等相关部门数据,汇聚形成省、市、县、乡、村各级有关农村生产、生活和管理的数据集。平台同时向上连通国家基础数据库,提供人口、法人、空间地理等基础数据。平台实现数字乡村相关数据治理,及支撑数字乡村相关应用。数字乡村相关数据治理方面:基于政务信息资源目录,对原始数据进行集成、清洗、脱敏和归集,保证一数一源,形成关于乡村数字经济、数字治理、网络文化等一系列专题数据库。在使用过程中注意及时更新数据,不断提升数据质量。数字乡村相关应用方面:利用专题数据库,对各级部门行政事项和服务场景进行全映射,支撑各类数字乡村应用。通过开放授权系统、数据空间、数据加工工具等方式向社会提供服务,为授权机构及个人利用开放数据进行应用创新提供便利,凝聚社会力量参与数字乡村建设。观点:建设数字乡村,就要用数字来说话,这点与近期不断出台的地区级数据条例相似,重点规划内容就是数据共享机制的建设与使用,作用就是让数据协调指导发展和生产。农业生产数字化,升级产业模式指南要求通过大数据、人工智能、物联网和智能装备的全产业链应用,加快农业生产数字化升级,全面提升种业、种植、林草、畜牧、渔业数字化水平。如在种植业数字化方面,通过获取、记录农业生产经营各环节数据,并计算分析得出应对方案,为种植各环节流程提供智能决策,提高生产效率。指南中提供了数十个典型场景案例,用于各地区参考部署,如全国著名的草莓生产基地安徽长丰县,就是农业生产数字化升级的典型代表。长丰县利用物联网、大数据、区块链、人工智能等技术,建设“数字草莓”大数据中心、草莓园区智能管理、草莓品质品牌数字管理等数字化系统,构建长丰草莓“产业布局、病虫害识别、肥水管控、农产品质量安全追溯、销售网络”一张大图,实现草莓生产温、光、气、土、肥、药可视化和联动控制,打造草莓资源数字化、生产智能化、管理精准化、服务远程化、质量监管网络化“五化”体系,形成可复制、可推广的数字农业应用场景模式。在国家级现代农业示范区和全国休闲农业与乡村旅游示范区的所在地,天津市西青区的案例中,在推进农业农村现代化建设过程中,通过与国内顶尖龙头企业深度合作,实现各生产环节数据化、可视化,搭建智慧农场系统用数字说话。数字技术助力移栽、数字技术辅助作用生长、数字技术获取农业数据。观点:过去农业生产,多是父辈经验传递的向天讨饭模式,如今通过农业生产数字化升级,农业生产得到的是现代化科学升级,这是包括生产、经营等在内全方位的升级,即通过农业数字化带来产业模式的彻底转变,有利于地标农产品品牌建设与推广,更符合现代商业机制。数字乡村建设,需同步构筑数据安全指南要求,加强数字乡村建设的同时,安全要同步进行,这点要从两个方向入手,一是关键信息基础设施系统的安全防护,另一个就是数据本身的安全管控。信息系统安全要从落实等级保护制度作为起点,持续展开信息风险安全评估和安全检查。推动重要系统与网络安全设施同步设计、同步建设、同步运行、同步管理。数据保护方面,要求建立数据安全管理和应急防控机制,防止信息泄露、损毁、丢失,确保收集、产生的数据和个人信息安全。指南进一步明确提出,数字乡村实施数据资源分类管理,围绕数据采集、传输、存储、处理、交换、销毁等环节,构筑数据全生命周期安全防护体系。严格执行《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规。指南督促数字乡村建设运营企业建立用户信息保护制度,严禁泄露、篡改、损毁、出售用户个人身份、联系方式、信用记录等隐私信息。要求定期开展网络安全意识普及活动,提高农村居民个人信息保护意识。观点:安全是企业生产的前提,除了生产安全、食品安全等,建设数字乡村,本体数据安全也同样重要,特别是《网络安全法》出台之后,今年又出台《数据安全法》《个人信息保护法》,后两部新法规都强调数据本体的风险管理与安全保护,所有的经营主体都要有遵守与合规义务,开展数字乡村建设,面临严峻新挑战。流通是数字特性,数据安全合规任重道远数字化升级改造,数据是其核心,而数据只有在处于流动过程中才能创造价值,这也造成了传统的安全理念存在的防护边界问题,难以开展数据安全合规运营。此时,需要一种全新的安全理念来为处于流动过程中的数据提供风险态势感知及安全保障能力,即为数据提供全生命周期保护。建立数据风险态势感知,首先要求强大的数据挖掘与发现能力,生产运营过程中积累的数据,要按级别予以分类,对应不同等级的防护策略,同时延展相应法规合规要求。强调数据全生命周期保护,则要求数据运营过程中内嵌数据安全属性,对数据进行全流程追踪,即数据在不同环境、不同业务系统下、不同权限调用人等复杂应用下,均可智能匹配相应安全策略,才能做到数据全生命周期防护不留死角。全局的数据挖掘,与数据全流程追踪,智能匹配相应的安全措施,才能建立数据风险态势感知。同时,从以往数据泄露事件来看,人的因素往往占比更重,建设数字乡村,应收拢数据应用管理权限,同时加强数据安全教育与技能培训。在系统层,随着零信任技术的日益成熟,其持续验证、永不信任的核心理念,对于数据防护将拥有更强的适用性,对于越权调用数据将起到更好的防护。当然,零信任技术应用于数据安全,不仅仅用于人的验证。观点:数据运营过程中数据形态复杂多变,数据的数量也会曾几何式增长,这会导致数据检测追踪和保护变得异常的困难,人为的管理或者是传统的安全设备的堆叠,要去解决这样的问题的时候,会变得异常的不现实,从数据运营角度这个全新视角才是未来数据保护工作的重中之重。(本文作者:北京数安行科技有限公司