2024数据流通安全标准化白皮书.pdf

资源描述

1、数据流通安全标准化白皮书2024年07月北京网络信息安全1北京软件产品质量1中国科学院信息技术创新产业联盟检测检验中心工程研究所编编委委会会主主编：编：王威副副主主编：编：于晶、张海涛秘秘书：书：周爱民参编人员参编人员（排名不分先后）（排名不分先后）：郭剑虹、张兴、楼莉、李桢、廉小伟、何建锋、刘国栋、马洪军、史保华、周利斌、李文哲、张敬阳、何悦、许小峰、王锐珍、杨天识、黄江平、赵亮、林德成、石磊、鹿淑煜、虞萍、王大伟、王莹丽、兰珊、唐迪、萧云峰、刘为华、张帅辰、胡晓冉、周翯、郑旭蕾、王晋飞、任凤丽主编单位：主编单位：北京网络信息安全技术创新产业联盟中国科学院信息工程

2、研究所北京软件产品质量检测检验中心北京市大数据中心参编参编单位：单位：北京云集至科技有限公司中电长城网际系统应用有限公司西安交大捷普网络科技有限公司北京北信源软件股份有限公司广州市数字政府运营中心北京启明星辰信息安全技术有限公司北京华隆辰信息技术有限公司北京云科安信科技有限公司杭州领信数科信息技术有限公司北京禹宏信安科技有限公司泰和泰（北京）律师事务所三未信安科技股份有限公司中国软件评测中心（工业和信息化部软件与集成电路促进中心）郑州信大捷安信息技术股份有限公司广电计量检测集团股份有限公司内蒙古自治区软件和信息安全测评中心中国农业大学信息化办公室 I 前前

3、言言当前，我国积极推动数字经济发展，先后发布了促进大数据发展行动纲要、“十四五”数字经济发展规划等文件，促使中国数据产量、数字经济规模跃升至世界前列。根据国家互联网信息办公室发布的报告，2022 年中国数据产量达 8.1ZB，同比增长 22.7%，位居世界第二。数字经济规模达 50.2 万亿元，总量稳居世界第二。截止到 2023 年 6 月，全国各地由政府发起、主导或批复的数据交易平台、数据交易中心、数据交易所达到 44 家，头部数据交易所交易规模已达到亿元至十亿元级别，且呈现出爆发式增长趋势。然而，随着数据汇聚、融合、流动与应用等场景大幅增加，数据应用技术的复杂性、数据海量汇聚的风险性、数

4、据深度挖掘隐私安全性均导致数据持有者不敢、不愿参与数据流通，从而形成“数据孤岛”与“数据垄断”等现象。2022 年 12 月 19 日，中共中央、国务院发布关于构建数据基础制度更好发挥数据要素作用的意见，从数据产权、流通交易、收益分配、安全治理等方面，提出二十条政策举措意见，其中数据流通安全标准体系建设是“数据二十条”中提出的一项政策举措，对促进数据安全、合规流通具有重要意义。为了更好的引导未来数据流通安全标准化工作有序开展，促进数据安全、合规流通，北京网络信息安全技术创新产业联盟集众多成员单位之合力，梳理了数据流通中面临的安全需求和挑战，研究了国内外数据流通安全相关的法律法规及技术标准，分析

5、了数据流通安全标准需求，建立了数据流通安全标准体系，并给出II 了数据流通安全标准化工作建议，最终形成本版白皮书。全书组织如下：第 1 章介绍了本书的背景、目的及意义，界定数据流通安全含义，阐述了数据流通安全的发展状况和重要意义。第 2 章介绍了国内外数据流通安全相关的法律法规、相关的标准化组织及相应数据流通安全标准化工作情况，并介绍了国内外数据流通安全相关标准。第 3 章通过分析数据流通安全面临的风险，确定数据流通安全标准化需求，为搭建数据流通安全体系框架奠定基础。第 4 章给出了数据流通安全标准体系框架，构建标准体系结构，并介绍了已经开展的数据流通安全标准化工作，指出了亟需开展的标

6、准化重点工作。第 5 章给出了数据流通安全标准化工作建议。III 目目录录第 1 章数据流通安全发展情况.1 1.1 数据流通安全背景.1 1.2 数据流通安全的概念与理解.3 1.3 我国数据流通安全发展.8 1.3.1 数据流通安全战略布局.8 1.3.2 数据流通安全政策法规建设.9 1.3.3 数据流通安全技术发展.14 1.3.4 数据流通安全产业发展.17 1.3.5 数据流通安全人才体系建设.19 1.4 数据流通安全的重要意义.20 1.5 本章小结.22 第 2 章数据流通安全政策法规和标准化现状.24 2.1 数据流通安全战略与政策法规.24 2.1.1 国外数据

7、流通安全战略与政策法规.24 2.1.2 国内数据流通安全战略与政策法规.29 2.2 数据流通安全相关标准工作及现状.36 2.2.1 国外数据流通安全相关标准工作及现状.36 2.2.2 国内数据流通安全相关标准工作及现状.40 2.3 本章小结.51 第 3 章数据流通安全标准化需求.52 3.1 数据流通安全面临的风险.52 3.2 数据流通安全标准化需求.53 3.3 本章小结.56 第 4 章数据流通安全标准体系.57 4.1 数据流通安全体系框架.57 4.2 数据流通安全标准体系.59 4.3 近期重点工作.69 IV 4.4 本章小结.71 第 5 章数据流通安全标准化

8、工作建议.72 5.1 健全数据流通安全法律法规和标准体系.72 5.2 推进数据流通标准分类分级分步骤制定.72 5.3 加强数据流通安全核心技术标准研制.73 5.4 推广数据流通安全标准示范应用.73 5.5 建立数据流通安全标准体系研究长效机制.74 5.6 深度参与数据流通安全国际标准化工作.75 5.7 加强数据安全流通标准人才培养.76 5.8 本章小结.76 数据流通安全标准化白皮书（2024 版）1 第第1 1章章数据流通安全发展情况数据流通安全发展情况 1.1 数据流通安全背景数据流通安全背景当前，数据已经成为全世界各国的战略性资源，而数据的流通对国家治理、国家竞争、科

9、技创新有着非常重要的作用。基于此，2020 年 4 月 9 日，中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见，将数据定义为继土地、劳动力、资本、技术之后的第五大生产要素。2022 年 12 月，中共中央、国务院印发关于构建数据基础制度更好发挥数据要素作用的意见，指出：“数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各环节，深刻改变着生产方式、生活方式和社会治理方式”。因此，无论是基于国家政策的牵引还是企业之间相互竞争的需要，数据流通已成为今天不可逆的大趋势，更是不该逆的大机遇。2023 年 12 月，为深入贯彻党的二

10、十大和中央经济工作会议精神，落实中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见，国家数据局等 17 部门联合印发“数据要素”三年行动计划（20242026 年），发挥我国超大规模市场、海量数据资源、丰富应用场景等多重优势，推动数据要素与劳动力、资本等要素协同，以数据流引领技术流、资金流、人才流、物资流，突破传统资源要素约束，提高全要素生产率。2024年 1 月印发数字经济促进共同富裕实施方案，以 8 个国家算数据流通安全标准化白皮书（2024 版）2 力枢纽、10 个国家数据中心集群为抓手，立体化实施“东数西算”工程，深化算网融合，推进算力互联互通，引导数据要素跨区域流通融合。

11、2024 年 2 月印发关于开展全国数据资源调查的通知，为贯彻落实数字中国建设整体布局规划工作部署，摸清数据资源底数，加快数据资源开发利用，更好发挥数据要素价值。2024 年 2 月印发关于加强行政事业单位数据资产管理的通知，提出各部门及其所属单位要切实加强行政事业单位数据资产管理，因地制宜探索数据资产管理模式，充分实现数据要素价值，更好发挥数据资产对推动数字经济发展的支撑作用。然而，随着数据汇聚、融合、流动与应用等场景大幅增加，国家数据、企业数据和个人数据等在流通过程中面临着被非法获取和滥用的风险。如果不能保障数据在流通过程中的安全，数据流通越活跃，越会带来可预见和不可预见的各类风险隐患，甚

12、至影响到国家的安全与发展。另外，如果数据流通安全不能很好解决，也会导致数据供方“不愿、不敢、不想”让数据流通起来，会极大的制约数字经济发展，因此，数据流通安全成为了数字经济发展的核心挑战，也是千行百业数字化转型、做强做优做大数字经济的重要前提条件。在关于构建数据基础制度更好发挥数据要素作用的意见中明确提出要促进数据合规、高效流通使用，赋能实体经济，同时统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯彻数据供给、流通、使用全过程。当前，我国数据要素市场建设取得积极进展和显著成效，但是依然存在数据权属纷争、数据滥用、数据泄露、失控传播等安全问题，造成当前局面很重要的一个原因

13、是数据流通的安全标准体系尚未建立起来。虽然我国出台了网络安全法、数据数据流通安全标准化白皮书（2024 版）3 安全法、个人信息保护法等关于数据和个人信息安全保护的法律法规，民法典也首次明确将数据纳入民法保护范围，但是这些政策和法律法规颗粒度比较大，在实际操作中缺乏具体细则，距离落地实施无相关政策和技术标准的支撑。因此，亟待从供给、流通、使用等环节全方位强化数据流通安全的标准化工作，以促进数据安全流通，进而畅通国家数字经济。1.2 数据流通安全的概念与理解数据流通安全的概念与理解本节将解析和界定数据、数据要素、数据安全、数据流通、数据流通安全的概念和内涵，明确数据安全与数据流通安全的关系，提

14、出数据流通安全体系框架。一、基本概念一、基本概念 1 1、数据、数据数据指任何以电子或其他方式对信息的记录【GB/T 43697-2024数据安全技术数据分类分级规则】。数据是事实或观察的结果，对客观事物的逻辑归纳。2 2、数据要素、数据要素数据要素指将原始数据通过加工整理、确权，使其成为具备潜在利用价值的数据资产。数据要素是推动数字经济发展的核心引擎，是赋能行业数字化转型和智能化升级的重要支撑，也是国家基础性战略资源。3 3、数据安全、数据安全数据安全指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力【中华人民数据流通安全标准化白皮书（2024

15、版）4 共和国数据安全法第三条】。国际标准化组织（ISO）的定义为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露，即通过采用各种技术和管理措施，确保网络数据的可用性、完整性和保密性。4 4、数据流通数据流通数据流通指数据按照一定规则从提供方传递到需求方的过程，是数据在不同主体之间进行转移、共享和使用的过程，发生在数据交易前、交易中、交易后和数据出入境等应用场景。从流通方式来看，包括数据开放、共享和交易等；从流通形态开看，包括原始数据直接流通、使用 API 接口流通等；从流通范围来看，可以分为内部不同部门之间的流动、跨组织的业务

16、体系内的流动、跨组织无业务生态关联；从流通参与主体来看，包括数据提供方、数据使用方、平台管理方、第三方服务提供方等市场主体；从流通载体来看，数据流通设施是数据要素流通活动的主要载体，流通设施是传统 IT 基础设施的延伸，以数据为中心，服务于数据，最大化数据价值，包括传输数据的基础通信网络，存储、计算数据的基础物理设施，提供数据共享、交易、分析和管理的信息化平台。5 5、数据流通安全、数据流通安全数据流通安全的含义可以从三个层面来理解。一是数据本身的安全，即保证数据采集、传输、存储、处理、交换、销毁等流通全过程的安全。二是数据流通活动的安全，即规范数据提供方、数据使用方、平台管理方、第三方服务

17、提供方等各类市场主体，在数据开放、共享和交易等流通活动中的行为，保障数据流通过数据流通安全标准化白皮书（2024 版）5 程安全可控、可追溯；三是，数据流通设施的安全，即保护数据处理活动所涉及的网络、平台和物理设施的安全，防止数据基础设施上承载的海量数据丢失、泄露、被篡改，保障业务在线和可追溯。综上，数据安全与数据流通安全存在密不可分的关系，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，涵盖了数据的采集、传输、存储、处理、交换、销毁等数据生存周期全过程。而数据流通安全则是数据安全体系的重要组成部分，特指在数据流通环节中的安全保障措施，确保数

18、据在流通过程中不被泄露、篡改或非法利用，主要涉及采集、传输、处理和交换等过程中的重要场景。二、数据流通安全体系框架、数据流通安全体系框架为实现数据要素的社会化配置，拓展数据的流通价值，保障数据流通安全，梳理数据流通安全体系框架，主要由“一个基础、一个基础、四个重点方向、两大保障和一项目标四个重点方向、两大保障和一项目标”共八个关键环节构成。其中，六个横向环节分别是国家数据安全基础设施、公共数据开发开放、公共数据授权运营主体、数据产业和数商发展、数据交易与跨境流通、数据应用，两个纵向环节分别是数据要素制度体系和数据安全体系，具体如图 1-1 所示。数据流通安全标准化白皮书（2024 版）6 数

19、据应用数据流通制度体系数据安全体系数据流通安全基础设施数据交易与跨境流通数据产业与数商公共数据授权运营公共数据开发开放图 1-1 数据流通安全体系框架数据安全体系架构数据安全体系架构包括一个基础、四个重点方向、两大保障包括一个基础、四个重点方向、两大保障和一项目标和一项目标，其中一个基础是指一个基础是指数据流通安全基础设施数据流通安全基础设施，支撑数据流通安全基础制度实施，支持集约高效的数据流通基础设施构建，促进场内集中交易和场外分散交易流通环境有效运行的平台。数据流通安全基础设施通过有效防范对承载数据流通活动的基础设施的攻击、干扰、破坏、非法使用和意外事故，保障设施安全可靠、稳定运行，以及

20、所承载数据的完整性、保密性和可用性。四个重点方向，一是四个重点方向，一是公共数据开发开放公共数据开发开放，是畅通数据资源循环的重要环节，以开放共享为原则，不开放共享为例外，最大限度地数据流通安全标准化白皮书（2024 版）7 共享开放公共数据，同时加强汇聚共享和开放开发、强化统筹授权使用和管理。二是二是公共数据授权运营公共数据授权运营，是推进公共数据互联互通，发挥公共数据资源价值，推动数据要素市场化运营的有效模式。三是三是数据产业和数商发展数据产业和数商发展，以数据技术为基础，在数据流通安全中，着力构筑基础层、核心层、安全层数据产业，大力发展服务型、应用型和技术型数商，促进数据更加顺畅地交易流

21、通。四是四是数据交易与跨境流通数据交易与跨境流通是促进数据要素价值充分发挥的有效途径。通过建立场内和场外数据交易模式，保障合规高效、场内外结合的数据要素流通和交易制度，综合构建规则、市场、生态、跨境等方面的数据要素市场体系。两大保障两大保障是数据流通制度体系是数据流通制度体系和数据安全体系和数据安全体系。数据流通安全制度体系数据流通安全制度体系是以法律法规、政策文件等形式，规范数据开放、共享、交换和交易等数据流通活动和相关过程。按照制度所规范的对象和内容，数据流通制度体系可分为综合性制度和专门性制度。围绕构建数据流通基本制度，逐步完善主要领域关键环节的具体法律法规以及监管要求。专门性制度包括数

22、据流通安全基础设施制度、公共数据开发开放制度、公共数据授权运营制度、数据产业与数商发展制度、数据交易与跨境流通制度、数据应用制度和数据安全制度等。数据安全体系数据安全体系是数据安全风险防范的重要保障,涵盖数据安全、技术安全、平台安全和可信安全等方面，数据安全保障体系建设贯穿数据供给、流通、使用全过程,确保了流通数据来源合法、隐私保护到位、流通和交易规范。一项目标是指一项目标是指数据应用数据应用，在数据流通制度体系规范下，在数据流通安全数据基础设施载体上，加大公共数据开发开放力度，实现公共数据授权运营，构筑多元化数据产业和数商经营环境，促进打通数据链路，提升数据要素安全流通的敏捷性、数据流通安全

23、标准化白皮书（2024 版）8 持续性，充分释放数据要素价值。1.3 我国数据流通安全发展我国数据流通安全发展当今世界数据体量爆炸式增长，全球进入数字经济时代。各国都在积极部署数据战略，成立国家级数据管理部门或部署国家级数据服务平台，通过数据流通实现开放和共享，在国际数据流通中抢占数据主权，加速颁布相关政策法规，探索数据交易市场性模式，大力推动数据要素市场化配置。同时，数据流通安全的配套措施和发展也被提到了极高的层次。我国在数据流通安全的维度已经开展了众多工作，无论是法律法规与政策标准的发布，还是对技术与产业的发展推动，以及关键的人才梯队培养均有顶层设计和战略布局，为国家安全、个人隐私安全和

24、数字经济发展提供了强有力的支撑。1.3.1 数据流通安全战略布局数据流通安全战略布局一是构建数据基础制度体系。一是构建数据基础制度体系。国家通过制定相关法律法规和政策文件，初步搭建了数据基础制度体系，例如中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见从数据产权、流通交易、收益分配、安全治理四个方面初步搭建我国数据基础制度体系，提出了二十条政策举措，对加快我国数据基础制度建设，推动我国数字经济高质量纵深发展具有划时代的里程碑意义，同时为数据流通安全提供了制度保障。二是推动数据要素市场化配置。二是推动数据要素市场化配置。国家鼓励和支持数据要素的市场化配置，推动数据资源的有效流通和利

25、用。同时，加强数据数据流通安全标准化白皮书（2024 版）9 流通的安全监管，确保数据在流通过程中的合法性和安全性。三是优化数据基础设施布局。三是优化数据基础设施布局。加快全国一体化算力网和数据流通基础设施建设，为数据流通提供高效、安全的基础设施支持。通过优化数据基础设施布局，提升数据流通的效率和安全性。四是加强国际合作与交流。四是加强国际合作与交流。积极参与国际数据治理规则的制定和谈判，推动形成公平、合理、互利的国际数据流通规则体系。同时，加强与其他国家在数据流通安全领域的合作与交流，共同应对数据流通安全面临的挑战。五是重点推进关键领域与行业发展。五是重点推进关键领域与行业发展。针对关键领域

26、和行业，如工业互联网、智慧城市、交通运输等，国家发布了多项指导意见和实施方案，推动这些领域的数据安全保护。例如深化智慧城市发展推进城市全域数字化转型的指导意见要求以数据融通、开发利用贯穿城市全域数字化转型建设始终。1.3.2 数据流通安全数据流通安全政策法规建设政策法规建设近年来，国家相继颁布了中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等一系列法律法规，明确了数据处理的规则、责任主体、法律责任等，为数据安全的监管和执法提供了依据，为数据流通安全提供了有力的法律保障。同时，国家还发布了多项与数据流通和流通安全相关的政策文件，提出了加强数据流通安全的具体措施

27、和要求，包括建立健全数据流通利用安全治理机制、提升数据安全保障能力等。一、一、数据安全保护法律条例数据安全保护法律条例数据流通安全标准化白皮书（2024 版）10 中华人民共和国网络安全法中华人民共和国网络安全法（以下简称网络安全法）于 2016 年 11 月 7 日实施，在数据流通安全视角方面，网络安全法要求网络运营者在数据收集、存储、使用、加工、传输等环节采取技术措施和其他必要措施，保障数据安全，防止数据泄露、毁损、丢失。对于涉及个人信息的数据流通，强调了获取用户同意的原则，保护个人信息的合法权益，为数据流通设立了基本的法律框架和安全要求。中华人民共和国数据安全法中华人民共和国数据安全

28、法（以下简称数据安全法）于 2021 年 6 月 10 日实施，在数据流通安全方面特别提出，数据处理者在数据交易活动中应当遵守国家有关规定，履行数据安全保护义务，不得泄露或者非法向他人提供数据。它强调了数据分类分级保护的重要性，要求对重要数据的处理活动进行安全审查，确保数据流通不会损害国家安全、公共利益和个人隐私。中华人民共和国密码法中华人民共和国密码法（以下简称密码法）于 2019年 10 月 26 日实施，旨在规范密码管理，促进密码技术应用，保障网络与信息安全，对数据流通安全起着基石作用。该法将密码分为核心密码、普通密码和商用密码，推动商用密码的普及与创新，为数据加密、解密、电子签名等提

29、供法律依据，确保数据在传输、存储过程中的安全性与隐私保护，同时建立了密码检测认证体系，强化了对个人信息和商业秘密的保护，促进了国际间密码技术的合作与交流，为构建安全的数据流通环境奠定了法律基础。中华人民共和国个人信息保护法中华人民共和国个人信息保护法（以下简称个人信息保护法）于 2021 年 8 月 20 日实施，对个人信息的处理、流通设置了严格限制，要求处理个人信息应当遵循最小必要原则，并数据流通安全标准化白皮书（2024 版）11 确保个人信息的安全，防止未经授权的访问、公开披露、使用、修改、损坏、丢失、泄露等。个人信息在流通前必须经过信息主体的同意，且流通目的明确，流通方需采取适当的安全

30、措施保护个人信息。中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法（以下简称保守国家秘密法）于 2024 年 2 月 27 日实施，主要针对国家秘密的管理和保护，在数据流通安全方面，强调了对涉及国家秘密信息的严格管控。任何单位和个人在数据流通中，若涉及国家秘密，必须遵守保密规定，不得非法获取、持有、泄露或传播国家秘密信息，确保数据流通不会危害国家安全和利益。中华人民共和国刑法中华人民共和国刑法（以下简称刑法）于 1997 年 3月 14 日实施，刑法中有关于侵犯公民个人信息罪的规定，对非法获取、出售或者提供公民个人信息的行为予以刑事处罚。在数据流通领域，这一规定对遏制非法数据交易、保护

31、个人信息安全起到了关键作用，确保数据流通活动合法合规，不触犯刑法界限。中华人民共和国消费者权益保护法中华人民共和国消费者权益保护法（以下简称消费者权益保护法）于 2013 年 10 月 25 日实施，从数据流通安全视角，赋予消费者对其个人信息享有的权利，包括知悉权、决定权、删除权等。该法要求经营者在处理消费者个人信息时，必须严格遵守法律规定，不得非法收集、使用、泄露消费者的个人信息，保障消费者在数据流通过程中的信息安全。中华人民共和国民法典中华人民共和国民法典（以下简称民法典）于 2017年 3 月 15 日实施，在该法律中提出个人信息保护的规定，进一步强化了对个人信息权利的保护，明确自然人的

32、个人信息受法律保护，任何组织或个人在处理个人信息时都应遵循合法、正当、必数据流通安全标准化白皮书（2024 版）12 要原则。在数据流通环节，这意味着数据处理者必须尊重个人信息权利，确保数据流通活动不侵犯个人隐私和数据权益。二、数据安全保护战略规划二、数据安全保护战略规划中共中央中共中央国务院关于构建更加完善的要素市场化配置体国务院关于构建更加完善的要素市场化配置体制机制的意见制机制的意见2020 年 4 月发布，正式将数据定义为第五生产要素，强调要加强数据资源整合和安全保护。探索建立统一规范的数据管理制度，提高数据质量和规范性，丰富数据产品。研究根据数据性质完善产权性质，制定数据隐私保护

33、制度和安全审查制度，推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。中华人民共和国国民经济和社会发展第十四个五年规划中华人民共和国国民经济和社会发展第十四个五年规划和和 20352035 年远景目标纲要年远景目标纲要2021 年 3 月发布，强调加强公共数据开放共享，建立健全国家公共数据资源体系，确保公共数据安全，推进数据跨部门、跨层级、跨地区汇聚融合和深度利用。建立健全数据要素市场规则，统筹数据开发利用、隐私保护和公共安全，加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。完善适用于大数据环境下的数据分类分级保护制度。

34、加强数据安全评估，推动数据跨境安全有序流动。国务院关于印发“十四五”数字经济发展规划的通知国务院关于印发“十四五”数字经济发展规划的通知 2022年 1 月发布，提出全力提升数据安全保障水平，建立健全数据安全治理体系，研究完善行业数据安全管理政策。建立数据分类分级保护制度，研究推进数据安全标准体系建设，规范数据采集、传输、存储、处理、共享、销毁全生命周期管理，推动数据使用者落实数据安全保护责任。依法依规加强政务数据安全保护，做数据流通安全标准化白皮书（2024 版）13 好政务数据开放和社会化利用的安全管理。健全完善数据跨境流动安全管理相关制度规范，推动提升重要设施设备的安全可靠水平，增强重点

35、行业数据安全保障能力。国务院关于加强数字政府建设的指导意见国务院关于加强数字政府建设的指导意见 2022 年 6 月发布，提出构建数字政府全方位安全保障体系。一是强化安全管理责任。构建全方位、多层级、一体化安全防护体系，形成跨地区、跨部门、跨层级的协同联动机制。二是落实数据安全制度要求。建立健全数据分类分级保护等制度，加强数据全生命周期安全管理和技术防护。三是构建开放共享的数据资源体系。加快推进全国一体化政务大数据体系建设，加强数据治理，依法依规促进数据高效共享和有序开发利用，充分释放数据要素价值，确保各类数据和个人信息安全。中共中央、国务院关于构建数据基础制度更好发挥数据要中共中央、国务院关

36、于构建数据基础制度更好发挥数据要素作用的意见素作用的意见2022 年 12 月发布，一是要求构建数据安全合规有序跨境流通机制。开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作，推进跨境数字贸易基础设施建设，积极参与数据流动、数据安全、认证评估、数字货币等国际规则和数字技术标准制定。坚持开放发展，探索安全规范的数据跨境流动方式，统筹数据开发利用和数据安全保护，探索建立跨境数据分类分级管理机制。二是建立安全可控、弹性包容的数据要素治理制度。把安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式，明确各方主体责任和义务，形成有效市场和有为政府相结合的数据要素治理格局。数据流通安

37、全标准化白皮书（2024 版）14 国家数据局等国家数据局等 1717 部门联合印发“数据要素”三年行动计部门联合印发“数据要素”三年行动计划（划（2024202420262026 年）年）于 2023 年 12 月发布，旨在充分发挥数据要素乘数效应，赋能经济社会发展。一是强调优化数据流通环境。提高交易流通效率，支持行业内企业联合制定数据流通规则、标准，聚焦业务需求促进数据合规流通，提高多主体间数据应用效率。二是打造安全可信流通环境。深化数据空间、隐私计算、联邦学习、区块链、数据沙箱等技术应用，探索建设重点行业和领域数据流通平台，增强数据利用可信、可控、可计量能力，促进数据合规高效流通使用。三

38、是加强数据安全保障。落实数据安全法规制度，完善数据分类分级保护制度，落实网络安全等级保护、关键信息基础设施安全保护等制度，加强个人信息保护，提升数据安全保障水平。培育数据安全服务，鼓励数据安全企业开展基于云端的安全服务，有效提升数据安全水平。国内数据安全标准化工作已经从顶层设计到行业落地全面开花，但是数据流通是个复杂的话题，目前的标准化工作尚不足以完全指导和满足数据流通安全的需求，未来一段时间，完善标准化工作是重中之重。1.3.3 数据流通安全技术发展数据流通安全技术发展我国数据流通安全技术的发展在近年来取得了长足进步，为保障数据安全、促进数据价值合理流动奠定了坚实基础。我们以技术的成熟度作

39、为划分标准，分为通用技术（成熟度较高）和前沿技术（成熟度相对较低），均是我国数据流通安全稳步发展，支撑数字经济发展的重要基石。数据流通安全标准化白皮书（2024 版）15 一、一、通用技术发展通用技术发展数据流通安全通用技术涉及数据的采集、存储、处理、传输和共享等各个环节，旨在确保数据在流通过程中不被非法获取、篡改、泄露或滥用。这些技术包括数据加密、数据脱敏、访问控制、行为审计、数据水印等多种手段，旨在构建全方位、多层次的数据安全防护体系。我国数据流通安全的通用技术基本到了可以在绝大多数场景下使用的成熟度水平。1 1、数据加密技术：、数据加密技术：通过加密算法对数据进行加密处理，确保数据在传

40、输和存储过程中的机密性和完整性。国内数据加密技术已经涵盖了结构化数据和非结构化数据，可以满足不同类型数据的加密场景。从技术角度分类包括 CASB 代理网关技术、集成密码SDK、AOE 面向切面加密、数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF 用户自定义函数加密、TFE 透明文件加密等技术路线，每种技术路线均有成熟产品和代表厂商，其实用性已经达到实战水平。2 2、数据脱敏技术：、数据脱敏技术：对敏感数据进行脱敏处理，如删除、替换、扰乱等方式，以在不泄露敏感信息的前提下实现数据的共享和使用。脱敏技术已经涵盖了静态脱敏和动态脱敏的两大类场景，也走出了 SQL 语句改写、结果集改写两类

41、技术路线，可以解决业务侧、运维侧、API 接口侧等不同场景的使用需求。3 3、访问控制技术：、访问控制技术：通过设置不同的访问权限和身份认证机制，确保只有经过授权的人员才能访问和使用数据。访问控制技术是对身份验证、授权管理和协议解析等技术的综合利用，实现对外的攻击防御和对内的访问控制。通过访问控制技术衍生出了数据库防火墙、API 网关、运维防护等产品。数据流通安全标准化白皮书（2024 版）16 4 4、行为审计技术：、行为审计技术：监控数据库的访问和操作活动，了解谁在何时何地访问数据库，做了哪些操作，通过事中告警和事后溯源的核心能力，及时发现和防止潜在的安全风险。国内审计技术已实现各种复杂场

42、景的支持和兼容，成为数据安全市场需求最广泛、普遍的产品。5 5、其他技术、其他技术：通用技术还包括漏洞扫描技术、数据识别技术、数据水印技术等等，均已达到可用、好用的程度。但是数据安全的发展永无止境，随着数字化、信息化的不断进步，对数据安全技术的新需求也在不断涌现，而新技术、前沿技术的发展则需要时间逐步积累。二、前沿技术发展二、前沿技术发展随着需求的不断出新，差分隐私、同态加密、区块链等新技术在数据安全保护领域的需求和应用逐渐增多，进一步提升了数据安全保护能力。1 1、差分隐私技术：、差分隐私技术：通过以受控方式向数据添加噪声来防止识别个别记录，同时仍允许从数据中提取有价值的信息，旨在提供一种

43、当从统计数据库查询时，最大化数据查询的准确性，同时最大限度减少识别其记录机会的技术。2 2、同态加密技术：、同态加密技术：指满足密文同态运算性质的加密算法，即数据经过同态加密之后，对密文进行特定的计算，得到的密文计算结果在进行对应的同态解密后的明文等同于对明文数据直接进行相同的计算，实现数据的“可算不可见”。即除了能实现基本的加密操作外，还能实现密文间的多种计算功能，即先计算后解密可等价于先解密后计算，利用同态加密技术可以实现让解密方只能获知最后的结果，而无法获得每一个密文的消息，可以提数据流通安全标准化白皮书（2024 版）17 高信息的安全性。3 3、区块链技术：、区块链技术：是一种块链式

44、存储、不可篡改、安全可信的去中心化分布式账本，结合了分布式存储、点对点传输、共识机制、密码学等技术，通过不断增长的数据块链记录交易和信息，确保数据的安全和透明性。4 4、其他技术、其他技术：包括联邦学习、多方安全计算等等前沿技术在国内也快速发展和应用，但是前沿技术的发展时间尚短，技术挑战很大，且均存在一定的短板，还需要较长的时间才可以达到实战水平的成熟度。我国数据流通安全技术虽然在多个维度上取得了显著成就，但面对日益复杂的网络环境和攻击手段，单一技术难以提供全方位保护。因此，如何将多种安全技术有效融合，形成综合防御体系，以及持续探索新技术以应对新出现的安全威胁，成为当前和未来一段时间内的紧迫需

45、求。1.3.4 数据流通安全产业发展数据流通安全产业发展随着社会各界对数据安全保障的重视提升至全新高度，直接推动了数据流通安全市场规模的持续性扩张，覆盖从数据加密、脱敏处理到访问权限控制和审计追踪等全方位安全产品与服务的供应。同时，在国家政策推动及数据安全需求的共同驱动下，数据安全产业将进入高速发展的快车道。预计到 2025 年，数据安全产业基础能力和综合实力明显增强，数据安全产业规模超过1500 亿元，年复合增长率超过 30%。到 2035 年，数据安全产业进入繁荣成熟期。产业政策进一步健全，数据安全关键核心技术、数据流通安全标准化白皮书（2024 版）18 重点产品发展水平和专业服务能力

46、跻身世界先进行列。一是科技创新步伐加快。一是科技创新步伐加快。国内企业界在数据安全技术的研发上实现了频繁突破，尤其在人工智能辅助的威胁识别、区块链技术确保数据交易的透明度与不可篡改性，以及隐私计算技术在维护数据隐私前提下的价值挖掘等方面，展现了显著的创新成果。这些技术进步极大地拓宽了数据流通安全的实践路径，促进了数据利用的高效与安全并行。二是产业链协同效应显著。二是产业链协同效应显著。数据流通安全产业内部及其与外部关联行业的合作日益紧密，构建了包含安全产品供应商、技术服务提供商、数据交易平台、专业咨询服务公司等多环节的完整产业链生态系统。这种深度协作不仅催化了技术创新与服务模式的融合升级，还加

47、速了安全解决方案在实际场景中的广泛应用。三是政策导向与标准规范清晰。三是政策导向与标准规范清晰。国家层面的高度重视，通过一系列密集发布的政策法规，为数据流通安全产业的健康发展设定了清晰的政策导向与法律框架。同时，行业内部标准与规范的不断完善，针对数据分类管理、跨境数据流动安全评估等具体问题提出了操作指引，有力促进了产业的规范化与标准化进程。四四是资本投入力度加大。是资本投入力度加大。基于对行业前景的乐观预期，风险投资基金、私募股权等资本力量显著增加了对数据流通安全领域企业的资金支持，为初创企业的茁壮成长和成熟企业的市场拓展提供了坚实的资金后盾，加速了整个行业的规模扩张和技术迭代。五五是国际化布

48、局与合作深化。是国际化布局与合作深化。在全球化经济格局中，我国数据流通安全企业积极参与国际交流与合作，主动融入全球产业链，引入国际先进技术和管理理念，同时也在激烈的国际竞争中不断提升自身的竞争力与品牌影响力，展现中国数据安全产业的国际数据流通安全标准化白皮书（2024 版）19 担当与实力。综上所述，我国数据流通安全产业在国家政策的引导下，市场需求的驱动下，科技与资本的双重加持下，以及国际视野的拓展中，正稳健地走向高质量发展的新阶段。1.3.5 数据流通安全人才体系建设数据流通安全人才体系建设人才是“第一资源”，培养数据安全人才是护航数字中国建设的重要任务，是推动数据安全产业健康发展的前提条

49、件。当前，我国数据流通安全领域的人才体系建设正展现出积极的发展态势，通过教育体系优化、专业认证强化、高端人才引进及科研平台建设等多维度策略，打造一支既深谙理论又精通实践的数据安全专业队伍，为我国数据经济的健康可持续发展保驾护航。教育与培训体系方面，教育与培训体系方面，国家采取了一系列前瞻性和系统性措施。一方面，高等教育体系内，数据安全、网络空间安全等相关专业得到快速发展，课程设置紧跟行业前沿，涵盖了数据加密技术、隐私保护、风险管理等多个核心领域，为行业输送了大量基础知识扎实的毕业生。另一方面，继续教育和职业培训体系亦不断完善，通过线上平台与线下研讨会、工作坊等形式，为在职人员提供实时更新的知识

50、体系和技能提升机会，确保人才技能与行业需求同步。专业认证与培训方面，专业认证与培训方面，政府与行业协会联合推进了一系列专业资质认证项目，如数据安全工程师、信息安全管理人员等认证，旨在通过严格的考核体系，验证并提升从业者的专业能力和职业道德，为行业树立了高标准的人才评价基准。此类认证不仅提升数据流通安全标准化白皮书（2024 版）20 了个人职业竞争力，也为企业招聘及团队建设提供了权威参考。人才引进与交流方面，人才引进与交流方面，通过“千人计划”、“万人计划”等国家级高层次人才引进项目，吸引了众多海外顶尖数据安全专家回国效力，同时，鼓励国内企业与国际顶尖研究机构、高校建立合作关系，开展联合研究、

展开阅读全文