引用格式:許林波��,柳經(jīng)緯.標(biāo)準(zhǔn)化視野下數(shù)據(jù)安全規(guī)范體系發(fā)展的困境與突破[J].標(biāo)準(zhǔn)科學(xué)�,2025(11):6-15.
基金項目:本文受2021年度國家社會科學(xué)基金重大項目“基于法治��、國家治理和全球治理的技術(shù)法規(guī)研究”(項目編號:21&ZD192)資助�。
數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)��,以及具備保障持續(xù)安全狀態(tài)的能力���。目前��,大數(shù)據(jù)被廣泛運用于多個領(lǐng)域��,但在數(shù)據(jù)處理過程中存在著諸多安全風(fēng)險�����,易發(fā)生侵害公民和組織的合法權(quán)益的現(xiàn)象����,進(jìn)而影響國家安全與經(jīng)濟(jì)社會發(fā)展,因此需要法律對數(shù)據(jù)處理活動給予監(jiān)管以解決信息安全問題�。數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)作為落實數(shù)據(jù)安全相關(guān)法律法規(guī)要求的重要延伸,在針對數(shù)據(jù)是否符合數(shù)據(jù)安全要求��、是否存在侵害公民和組織的合法權(quán)益的危險等技術(shù)問題進(jìn)行判定時���,可作為判定依據(jù)。通過《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)“引用”數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的方式�,形成數(shù)據(jù)安全技術(shù)法規(guī)的規(guī)范體系,共同發(fā)揮著規(guī)范數(shù)據(jù)處理活動��,保障數(shù)據(jù)安全���,促進(jìn)數(shù)據(jù)依法合理開發(fā)利用���,保護(hù)公民、組織的合法權(quán)益的作用���。
1 大模型在標(biāo)準(zhǔn)數(shù)字化領(lǐng)域的應(yīng)用前景
《數(shù)據(jù)安全法》是為了規(guī)范數(shù)據(jù)處理過程中關(guān)于數(shù)據(jù)的收集��、存儲���、使用���、加工、傳輸����、提供、公開等活動的法律規(guī)范�。在我國,它包括《中華人民共和國立法法》規(guī)定的具有法源地位的關(guān)于數(shù)據(jù)安全的法律��、行政法規(guī)���、部門規(guī)章及地方性法規(guī)和規(guī)章����。
在法律層面�����,我國已構(gòu)建了以《數(shù)據(jù)安全法》為核心的數(shù)據(jù)安全法律體系,其內(nèi)容涵蓋了數(shù)據(jù)保護(hù)��、網(wǎng)絡(luò)安全����、個人信息保護(hù)等多個方面,為數(shù)據(jù)安全提供了堅實的法律基礎(chǔ)�����。這些法律相互補(bǔ)充�,共同維護(hù)了國家數(shù)據(jù)安全和公民個人信息安全。2021年9月1日起實施的《數(shù)據(jù)安全法》是我國數(shù)據(jù)安全的基本法�。它規(guī)定了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度����、數(shù)據(jù)安全保護(hù)義務(wù)����、政務(wù)數(shù)據(jù)安全與開放以及法律責(zé)任。除《數(shù)據(jù)安全法》外���,涉及數(shù)據(jù)安全的法律還包括《中華人民共和國保守國家秘密法》《中華人民共和國居民身份證法》《中華人民共和國電子簽名法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》等��。在行政法規(guī)層面���,我國通過制定一系列條例和管理辦法��,對數(shù)據(jù)安全進(jìn)行了全面而細(xì)致的規(guī)范��,不僅加強(qiáng)了對個人信息和重要數(shù)據(jù)的保護(hù)�,還規(guī)范了網(wǎng)絡(luò)數(shù)據(jù)跨境安全管理���,為數(shù)據(jù)安全的監(jiān)管提供了有力的法規(guī)支撐��。其中����,最主要的是國務(wù)院于2024年9月頒布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》�。該條例主要規(guī)定了個人信息保護(hù)、重要數(shù)據(jù)安全���、網(wǎng)絡(luò)數(shù)據(jù)跨境安全管理���、網(wǎng)絡(luò)平臺服務(wù)提供者的義務(wù)、監(jiān)督管理及法律責(zé)任����。此外�,與數(shù)據(jù)安全有關(guān)的行政法規(guī)還包括《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《商用密碼管理條例》《中華人民共和國電信條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《企業(yè)信息公示暫行條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《未成年人網(wǎng)絡(luò)保護(hù)條例》等��。在部門規(guī)章層面�,我國針對數(shù)據(jù)安全的不同領(lǐng)域和環(huán)節(jié),制定了詳細(xì)的規(guī)章制度�。其內(nèi)容不僅涵蓋了數(shù)據(jù)出境、個人信息保護(hù)等關(guān)鍵領(lǐng)域���,還涉及了區(qū)塊鏈����、算法推薦等新興技術(shù)的安全管理���。制定部門以國家互聯(lián)網(wǎng)信息辦公室為主��,根據(jù)調(diào)整的領(lǐng)域不同��,還涉及國家發(fā)展和改革委員會、工業(yè)和信息化部�����、公安部、國家市場監(jiān)督管理總局等部門�。這些規(guī)章的制定和實施,進(jìn)一步細(xì)化了數(shù)據(jù)安全的管理要求�,提高了數(shù)據(jù)安全的監(jiān)管水平。與數(shù)據(jù)安全相關(guān)的部門規(guī)章包括國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《區(qū)塊鏈信息服務(wù)管理規(guī)定》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》��,以及由國家保密局���、國家互聯(lián)網(wǎng)信息辦公室�����、國家發(fā)展和改革委員會�����、工業(yè)和信息化部���、公安部、交通運輸部�����、國家安全部、財政部����、商務(wù)部、教育部���、科學(xué)技術(shù)部����、中國人民銀行���、國家市場監(jiān)督管理總局����、國家廣播電視總局����、中國證券監(jiān)督管理委員會、國家密碼管理局等部門單獨或聯(lián)合發(fā)布的《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《涉密信息系統(tǒng)集成資質(zhì)管理辦法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《網(wǎng)絡(luò)安全審查辦法》《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》《生成式人工智能服務(wù)管理暫行辦法》等�。在地方性法規(guī)層面,我國各地根據(jù)本地實際情況和需要����,制定了大量的數(shù)據(jù)安全相關(guān)地方性法規(guī)和規(guī)章���。這些地方性法規(guī)不僅細(xì)化了國家層面的數(shù)據(jù)安全法律要求���,還針對本地特色和需求進(jìn)行了有針對性的規(guī)定��,為數(shù)據(jù)安全提供了更加具體和可操作的法規(guī)依據(jù)�����。根據(jù)國家法律法規(guī)數(shù)據(jù)庫和中國政府網(wǎng)國家規(guī)章庫以及各級人大��、人民政府官網(wǎng)提供的信息�����,江蘇省��、浙江省�����、廣東省���、福建省、安徽省、湖北省����、湖南省、江西省���、貴州省��、四川省���、陜西省、河北省�����、山東省��、遼寧省�、吉林省、北京市��、上海市�����、天津市、重慶市等省���、直轄市���,以及濟(jì)南市���、貴陽市����、深圳市�����、寧波市���、煙臺市等地市相繼制定了與數(shù)據(jù)安全相關(guān)的地方性法規(guī)和規(guī)章�,總計110余部���。其中比較有代表性的�����,如《浙江省數(shù)據(jù)條例》首創(chuàng)“數(shù)據(jù)知識產(chǎn)權(quán)登記”制度����,推動數(shù)據(jù)資產(chǎn)化進(jìn)程,規(guī)范數(shù)據(jù)交易場所運營規(guī)則����;《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》是全國首個綜合性數(shù)據(jù)地方立法,確立“數(shù)據(jù)權(quán)益”法律屬性����,首創(chuàng)“數(shù)據(jù)公平競爭”條款,規(guī)范大數(shù)據(jù)“殺熟”行為�����。
隨著數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的穩(wěn)步推進(jìn)����,數(shù)據(jù)安全領(lǐng)域面臨新的挑戰(zhàn),數(shù)據(jù)安全建設(shè)刻不容緩�。為此,世界各國都在積極構(gòu)建數(shù)據(jù)安全政策法規(guī)體系����,我國通過相關(guān)規(guī)范為數(shù)據(jù)處理活動提供安全保障��,針對數(shù)據(jù)安全領(lǐng)域的立法已逐步進(jìn)入規(guī)范化��、體系化發(fā)展階段���。如上所述,我國在數(shù)據(jù)安全法律規(guī)范體系的構(gòu)建上取得了顯著成就���,形成了法律、行政法規(guī)���、部門規(guī)章和地方性法規(guī)相結(jié)合的全方位���、多層次法律體系。這一體系不僅涵蓋了數(shù)據(jù)安全的各個方面和環(huán)節(jié)���,還針對不同領(lǐng)域和場景進(jìn)行了詳細(xì)規(guī)范���。尤其是地方數(shù)據(jù)立法,更是呈現(xiàn)多樣化�、精細(xì)化趨勢。各具特色的地方立法通過銜接《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法�����,既保障國家安全又促進(jìn)區(qū)域數(shù)字經(jīng)濟(jì)發(fā)展,形成“共性底線+特色創(chuàng)新”的立法范式��。然而�����,隨著技術(shù)的不斷發(fā)展和數(shù)據(jù)安全形勢的不斷變化����,仍需不斷完善和優(yōu)化這一法律體系,以適應(yīng)新的挑戰(zhàn)和需求��。同時�����,加強(qiáng)法律法規(guī)的宣傳和普及工作���,增強(qiáng)全社會的數(shù)據(jù)安全意識也是當(dāng)前和未來的重要任務(wù)��。
2 數(shù)據(jù)安全標(biāo)準(zhǔn)體系
2.1 數(shù)據(jù)安全標(biāo)準(zhǔn)體系基本框架與內(nèi)部聯(lián)系
2.1.1 整體架構(gòu)與組成部分
我國數(shù)據(jù)安全標(biāo)準(zhǔn)體系涵蓋多個方面�,旨在全面保障數(shù)據(jù)在各個環(huán)節(jié)的安全�����。2015年《大數(shù)據(jù)標(biāo)準(zhǔn)化白皮書 v2.0》所提出的大數(shù)據(jù)標(biāo)準(zhǔn)體系框架,包含基礎(chǔ)標(biāo)準(zhǔn)����、技術(shù)標(biāo)準(zhǔn)、產(chǎn)品和平臺標(biāo)準(zhǔn)�����、安全標(biāo)準(zhǔn)�、應(yīng)用和服務(wù)標(biāo)準(zhǔn)五大類別?��;A(chǔ)標(biāo)準(zhǔn)為整個體系奠定總則、術(shù)語等基石����;技術(shù)標(biāo)準(zhǔn)對大數(shù)據(jù)相關(guān)技術(shù)予以規(guī)范,涵蓋數(shù)據(jù)治理����、數(shù)據(jù)質(zhì)量等核心方面;產(chǎn)品和平臺標(biāo)準(zhǔn)針對大數(shù)據(jù)技術(shù)產(chǎn)品及應(yīng)用平臺�����,明確其規(guī)范要求;安全標(biāo)準(zhǔn)貫穿數(shù)據(jù)全生命周期�,從數(shù)據(jù)的產(chǎn)生、存儲����、處理到銷毀,防止數(shù)據(jù)被非法獲取���、篡改或濫用���;應(yīng)用和服務(wù)標(biāo)準(zhǔn)致力于規(guī)范大數(shù)據(jù)的應(yīng)用場景與服務(wù)模式。
隨著大數(shù)據(jù)���、人工智能�、物聯(lián)網(wǎng)等新技術(shù)的快速發(fā)展��,數(shù)據(jù)安全面臨新的威脅和挑戰(zhàn)�����,要求對各個領(lǐng)域的安全標(biāo)準(zhǔn)體系進(jìn)行新的細(xì)化構(gòu)建。以數(shù)據(jù)流通安全標(biāo)準(zhǔn)體系框架為例���,其包括基礎(chǔ)標(biāo)準(zhǔn)��、通用要求���、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)�����、產(chǎn)品與服務(wù)標(biāo)準(zhǔn)及保障能力標(biāo)準(zhǔn)6個部分�。基礎(chǔ)標(biāo)準(zhǔn)為整個體系提供統(tǒng)一的術(shù)語��、模型和框架�;通用要求從分類分級、基線要求和方法指南等方面為數(shù)據(jù)流通提供方向性指導(dǎo)和規(guī)范性約束���;技術(shù)標(biāo)準(zhǔn)針對數(shù)據(jù)流通全生命周期安全,確立了基礎(chǔ)設(shè)施安全�����、數(shù)據(jù)匿名化、風(fēng)險監(jiān)測等關(guān)鍵技術(shù)環(huán)節(jié)的標(biāo)準(zhǔn)�����;管理標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)流通過程中的應(yīng)急處置�、安全事件管理等流程;產(chǎn)品與服務(wù)標(biāo)準(zhǔn)聚焦于保障數(shù)據(jù)安全產(chǎn)品和服務(wù)的質(zhì)量���;保障能力標(biāo)準(zhǔn)著重評估和提升組織在數(shù)據(jù)安全流通方面的能力���。
我國數(shù)據(jù)安全標(biāo)準(zhǔn)文件根據(jù)功能性質(zhì)可分為數(shù)個類別,包括術(shù)語/導(dǎo)則���、合規(guī)測評�����、基礎(chǔ)設(shè)施���、密碼技術(shù)、行業(yè)安全��、應(yīng)用場景����、IPDRR框架等多個類別��,每個類別下又包含眾多具體標(biāo)準(zhǔn)���,共同構(gòu)成了一個全面且層次分明的標(biāo)準(zhǔn)體系架構(gòu)。例如�,在術(shù)語/導(dǎo)則方面,GB/T 25069—2022《信息安全技術(shù) 術(shù)語》等標(biāo)準(zhǔn)對網(wǎng)絡(luò)信息數(shù)據(jù)安全領(lǐng)域的相關(guān)概念進(jìn)行了統(tǒng)一界定��,為整個標(biāo)準(zhǔn)體系奠定了基礎(chǔ)�����;合規(guī)測評類標(biāo)準(zhǔn)如�����,GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》等����,為衡量組織的數(shù)據(jù)安全狀況提供了依據(jù)�,確保其符合相關(guān)法規(guī)和標(biāo)準(zhǔn)要求���。
2.1.2 數(shù)據(jù)安全各領(lǐng)域相關(guān)標(biāo)準(zhǔn)體系之間的關(guān)系
數(shù)據(jù)安全標(biāo)準(zhǔn)體系可細(xì)化為多個領(lǐng)域的安全標(biāo)準(zhǔn)體系�����,各個領(lǐng)域之間又存在著區(qū)別和聯(lián)系����。如上文提及的數(shù)據(jù)流通安全標(biāo)準(zhǔn)體系更側(cè)重于數(shù)據(jù)流動過程中的安全性�����,關(guān)注跨主體�����、跨系統(tǒng)、跨境流通時的法律合規(guī)性��,以及數(shù)據(jù)在多個平臺或系統(tǒng)間流動時的監(jiān)控��、識別和追溯���。而工業(yè)和信息化部印發(fā)的《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》從基礎(chǔ)共性、關(guān)鍵技術(shù)、安全管理和重點領(lǐng)域等方面形成了電信和互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)體系整體框架���,與數(shù)據(jù)流通安全標(biāo)準(zhǔn)體系相互補(bǔ)充��,共同構(gòu)建起全面的數(shù)據(jù)安全保障體系。同時���,網(wǎng)絡(luò)信息數(shù)據(jù)安全標(biāo)準(zhǔn)體系與其他相關(guān)領(lǐng)域標(biāo)準(zhǔn)體系(如信息技術(shù)標(biāo)準(zhǔn)體系�、通信行業(yè)標(biāo)準(zhǔn)體系等)也存在一定的關(guān)聯(lián)與交叉��,在實際應(yīng)用中需要相互協(xié)調(diào)與配合���,以確保整個數(shù)字化生態(tài)系統(tǒng)的安全穩(wěn)定運行����。
在數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架構(gòu)建方面�,我國已形成較為完善的架構(gòu),涵蓋了從基礎(chǔ)標(biāo)準(zhǔn)到應(yīng)用標(biāo)準(zhǔn)的多個層次��,為數(shù)據(jù)安全保障提供了全面的指導(dǎo)���。我國數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)由全國專業(yè)標(biāo)準(zhǔn)化技術(shù)組織和部委、協(xié)會或者集團(tuán)公司組織參與制定��。具體來說,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和全國數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會是負(fù)責(zé)數(shù)據(jù)安全標(biāo)準(zhǔn)制定的主要標(biāo)準(zhǔn)化技術(shù)委員會�����。數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)可基本分為國家標(biāo)準(zhǔn)�����、行業(yè)標(biāo)準(zhǔn)��、地方標(biāo)準(zhǔn)�����、團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)�,其中國家標(biāo)準(zhǔn)數(shù)量較多,行業(yè)標(biāo)準(zhǔn)��、地方標(biāo)準(zhǔn)�、團(tuán)體標(biāo)準(zhǔn)數(shù)量相對較少。對于現(xiàn)行數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的研究�����,本文認(rèn)為基礎(chǔ)標(biāo)準(zhǔn)已有堅實的研究基礎(chǔ),應(yīng)當(dāng)將研究重點放在應(yīng)用層面的關(guān)鍵技術(shù)標(biāo)準(zhǔn)和管理評估標(biāo)準(zhǔn)上��,才能夠與數(shù)據(jù)安全標(biāo)準(zhǔn)的現(xiàn)實應(yīng)用緊密結(jié)合��。
2.2 數(shù)據(jù)安全標(biāo)準(zhǔn)體系的主要內(nèi)容
數(shù)據(jù)安全標(biāo)準(zhǔn)體系的建構(gòu)必須圍繞數(shù)據(jù)處理的全生命周期展開����,服務(wù)數(shù)據(jù)收集����、存儲��、使用����、加工、傳輸���、提供��、公開的每個環(huán)節(jié)�����。因此���,按照標(biāo)準(zhǔn)的作用范圍���,我國現(xiàn)有的數(shù)據(jù)安全標(biāo)準(zhǔn)體系主要包括以下內(nèi)容。
2.2.1 應(yīng)用型關(guān)鍵技術(shù)標(biāo)準(zhǔn)體系
(1)數(shù)據(jù)加密與訪問控制技術(shù)標(biāo)準(zhǔn)
數(shù)據(jù)加密是保障數(shù)據(jù)機(jī)密性的關(guān)鍵技術(shù)�,相關(guān)標(biāo)準(zhǔn)對加密算法的選擇�����、密鑰管理����、加密技術(shù)應(yīng)用及合規(guī)性檢查等進(jìn)行了規(guī)范。我國在密碼領(lǐng)域積極推進(jìn)安全標(biāo)準(zhǔn)體系建設(shè)��,其國家標(biāo)準(zhǔn)已包括基礎(chǔ)類標(biāo)準(zhǔn)�、基礎(chǔ)設(shè)施類標(biāo)準(zhǔn)、產(chǎn)品類標(biāo)準(zhǔn)��、應(yīng)用支撐類標(biāo)準(zhǔn)等���。例如��,GB/T 36322—2018《信息安全技術(shù) 密碼設(shè)備應(yīng)用接口規(guī)范》詳細(xì)規(guī)定了密碼設(shè)備在數(shù)據(jù)加密過程中的應(yīng)用接口要求���,確保加密操作的規(guī)范性和安全性�����。訪問控制技術(shù)標(biāo)準(zhǔn)則致力于提出合理的訪問控制要求和方法�,確保只有授權(quán)用戶才能夠訪問敏感數(shù)據(jù)�����,以此防止數(shù)據(jù)泄露和非法訪問���。例如,GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》明確了不同安全等級下的訪問控制策略�,對網(wǎng)絡(luò)信息系統(tǒng)中的訪問權(quán)限進(jìn)行嚴(yán)格管理��。
(2)數(shù)據(jù)匿名化與隱私保護(hù)技術(shù)標(biāo)準(zhǔn)
為保護(hù)用戶隱私�����,數(shù)據(jù)匿名化技術(shù)標(biāo)準(zhǔn)日益受到重視���。這些標(biāo)準(zhǔn)明確了隱私技術(shù)的多種方法和實施步驟�,如差分隱私、數(shù)據(jù)脫敏等技術(shù)的應(yīng)用標(biāo)準(zhǔn)�����,在數(shù)據(jù)利用與隱私保護(hù)之間尋求平衡����。隱私保護(hù)技術(shù)標(biāo)準(zhǔn)包括差分隱私標(biāo)準(zhǔn)、匿名化標(biāo)準(zhǔn)���、去標(biāo)識化標(biāo)準(zhǔn)等��,為數(shù)據(jù)處理過程中的隱私保護(hù)提供了技術(shù)指導(dǎo)����,如GB/T 37964—2019《信息安全技術(shù) 個人信息去標(biāo)識化指南》����,該標(biāo)準(zhǔn)詳細(xì)闡述了個人信息去標(biāo)識化的原則、方法和實施流程����,為數(shù)據(jù)處理者在保護(hù)用戶隱私的前提下進(jìn)行數(shù)據(jù)開發(fā)利用提供了操作規(guī)范���。
(3)數(shù)據(jù)溯源與風(fēng)險監(jiān)測技術(shù)標(biāo)準(zhǔn)
數(shù)據(jù)溯源技術(shù)標(biāo)準(zhǔn)規(guī)定了對數(shù)據(jù)來源和流轉(zhuǎn)過程進(jìn)行記錄和追蹤的方法�����,以便在發(fā)生安全事件時能夠快速定位問題源頭���。風(fēng)險監(jiān)測技術(shù)標(biāo)準(zhǔn)則著重于對數(shù)據(jù)流通環(huán)節(jié)中的風(fēng)險進(jìn)行實時監(jiān)控和預(yù)警�,及時發(fā)現(xiàn)潛在的安全威脅�����。例如�,GB/T 36635—2018《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南》對網(wǎng)絡(luò)安全監(jiān)測的范圍����、方法、流程及監(jiān)測數(shù)據(jù)的處理和分析等方面進(jìn)行了規(guī)定��,為網(wǎng)絡(luò)信息數(shù)據(jù)的風(fēng)險監(jiān)測提供了技術(shù)依據(jù)�����;GB/T 31722—2015《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理》則從風(fēng)險管理的角度為數(shù)據(jù)溯源和風(fēng)險監(jiān)測提供了整體的框架和方法����,指導(dǎo)組織識別、評估和應(yīng)對數(shù)據(jù)安全風(fēng)險�。
2.2.2 管理與評估標(biāo)準(zhǔn)體系
(1)數(shù)據(jù)安全管理體系標(biāo)準(zhǔn)
數(shù)據(jù)安全管理體系標(biāo)準(zhǔn)規(guī)范了組織在數(shù)據(jù)安全管理方面的各項工作,包括安全策略制定�、人員管理、安全培訓(xùn)���、應(yīng)急響應(yīng)等�。例如�����,GB/T 32916—2023《信息安全技術(shù) 信息安全控制評估指南》為組織評估其信息安全控制措施的有效性提供了方法和指導(dǎo)�����,有助于組織及時發(fā)現(xiàn)管理體系中的薄弱環(huán)節(jié)并加以改進(jìn)�。
(2)安全評估與認(rèn)證標(biāo)準(zhǔn)
安全評估標(biāo)準(zhǔn)用于衡量組織的數(shù)據(jù)安全狀況,確定其是否符合相關(guān)法規(guī)和標(biāo)準(zhǔn)要求��。認(rèn)證標(biāo)準(zhǔn)則為組織提供了一種證明其數(shù)據(jù)安全能力的方式����,增強(qiáng)市場信任度��。信息安全評估相關(guān)國家標(biāo)準(zhǔn)包括系統(tǒng)類標(biāo)準(zhǔn)���、產(chǎn)品類標(biāo)準(zhǔn)、服務(wù)類標(biāo)準(zhǔn)等��,用于規(guī)范安全評估����、測試與評價��、檢測與認(rèn)證等工作����。在認(rèn)證標(biāo)準(zhǔn)方面,GB 42250—2022《信息安全技術(shù) 網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》對網(wǎng)絡(luò)安全專用產(chǎn)品的安全性提出了明確要求��。
(3)數(shù)據(jù)流通安全管理標(biāo)準(zhǔn)
在數(shù)據(jù)流通環(huán)節(jié)����,管理標(biāo)準(zhǔn)確保了數(shù)據(jù)提供方����、使用方、平臺管理方等各參與方的行為安全可控��、可追溯���。行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)結(jié)成一張大網(wǎng)��,共同構(gòu)建安全管理標(biāo)準(zhǔn)體系�。以YD/T 4241—2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估技術(shù)實施指南》為代表的行業(yè)標(biāo)準(zhǔn)為電信和互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)流通安全評估提供了具體的技術(shù)指導(dǎo)和操作方法�����,有助于規(guī)范數(shù)據(jù)流通行為�,防范數(shù)據(jù)安全風(fēng)險;地方標(biāo)準(zhǔn)DB3201/T 1040—2021《政務(wù)數(shù)據(jù)安全管理指南》則針對政務(wù)數(shù)據(jù)的流通特點���,制定了相應(yīng)的安全管理規(guī)范����,保障政務(wù)數(shù)據(jù)在流通中的安全合規(guī)���。
2.2.3 現(xiàn)行數(shù)據(jù)安全標(biāo)準(zhǔn)體系的審視與發(fā)展
盡管目前我國數(shù)據(jù)安全領(lǐng)域的標(biāo)準(zhǔn)體系研究取得了一定進(jìn)展��,但仍面臨諸多挑戰(zhàn)��。未來數(shù)據(jù)安全標(biāo)準(zhǔn)體系將朝著更加精細(xì)化�、智能化����、國際化的方向發(fā)展。隨著數(shù)據(jù)安全形勢的日益嚴(yán)峻����,標(biāo)準(zhǔn)將更加注重對新興技術(shù)和應(yīng)用場景的適應(yīng)性,如量子加密技術(shù)��、邊緣計算等���。人工智能技術(shù)將被廣泛應(yīng)用于標(biāo)準(zhǔn)的制定���、評估和監(jiān)測過程中,提高標(biāo)準(zhǔn)的科學(xué)性和有效性���。同時,標(biāo)準(zhǔn)體系將更加注重與法律法規(guī)的銜接�����,確保數(shù)據(jù)安全管理的合規(guī)性。隨著數(shù)據(jù)安全相關(guān)法律法規(guī)的不斷完善�,標(biāo)準(zhǔn)將進(jìn)一步細(xì)化和落實法律要求,為數(shù)據(jù)安全監(jiān)管提供有力支持�����。
為應(yīng)對上述挑戰(zhàn)����,我國現(xiàn)行數(shù)據(jù)安全標(biāo)準(zhǔn)體系的建立健全主要圍繞以下重點方向:(1)加強(qiáng)標(biāo)準(zhǔn)制定機(jī)構(gòu)之間的溝通與協(xié)作,建立統(tǒng)一的標(biāo)準(zhǔn)協(xié)調(diào)機(jī)制�����,定期對現(xiàn)有標(biāo)準(zhǔn)進(jìn)行梳理和整合�;(2)加大對新興技術(shù)標(biāo)準(zhǔn)研究的投入,鼓勵產(chǎn)學(xué)研用各方共同參與標(biāo)準(zhǔn)制定���,提高標(biāo)準(zhǔn)的前瞻性和適應(yīng)性�;(3)重視對標(biāo)準(zhǔn)實施監(jiān)督機(jī)制的查缺補(bǔ)漏�,加強(qiáng)對標(biāo)準(zhǔn)執(zhí)行情況的檢查和評估,對不符合標(biāo)準(zhǔn)的行為進(jìn)行及時糾正和處罰����,通過建立專門的監(jiān)督機(jī)構(gòu)或利用第三方評估機(jī)構(gòu),對組織的數(shù)據(jù)安全標(biāo)準(zhǔn)執(zhí)行情況進(jìn)行監(jiān)督和評估�;(4)加強(qiáng)國際交流與合作,積極參與國際標(biāo)準(zhǔn)制定���,提升我國在網(wǎng)絡(luò)信息數(shù)據(jù)安全領(lǐng)域的國際話語權(quán)�����。通過參與國際標(biāo)準(zhǔn)制定����,將我國的先進(jìn)經(jīng)驗和技術(shù)融入國際標(biāo)準(zhǔn)中�����,以此掌握主動權(quán)���,推動我國標(biāo)準(zhǔn)體系的不斷完善���。
3 數(shù)據(jù)安全規(guī)范體系建設(shè)的多維困境
隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展�,數(shù)據(jù)安全已成為國家安全的重要組成部分��。我國雖已初步建立數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)體系�,但在體系協(xié)調(diào)性����、技術(shù)適配性及執(zhí)行有效性方面仍面臨嚴(yán)峻挑戰(zhàn)�。數(shù)據(jù)安全法律規(guī)范普遍性引用相關(guān)標(biāo)準(zhǔn)的共存模式,也限制了數(shù)據(jù)安全規(guī)范體系中規(guī)范功能的全面發(fā)揮�����。
3.1 標(biāo)準(zhǔn)體系碎片化帶來的系統(tǒng)性風(fēng)險
我國數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)體系的整合協(xié)調(diào)困境集中表現(xiàn)為“三重復(fù)三缺失”的結(jié)構(gòu)性矛盾��。中國信息通信研究院發(fā)布的《數(shù)據(jù)安全標(biāo)準(zhǔn)體系研究報告(2023)》顯示����,現(xiàn)行有效的數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)達(dá)156項,其中國家標(biāo)準(zhǔn)58項����,行業(yè)標(biāo)準(zhǔn)98項,涉及33個標(biāo)準(zhǔn)化技術(shù)委員會�。這種多頭管理的標(biāo)準(zhǔn)化模式,導(dǎo)致不同部門制定的標(biāo)準(zhǔn)存在內(nèi)容重復(fù)�����、技術(shù)指標(biāo)沖突等問題�。例如,GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》與JR/T 0197—2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》在加密算法應(yīng)用要求上存在參數(shù)差異���。更深層次的矛盾在于標(biāo)準(zhǔn)體系框架的頂層設(shè)計缺失����。雖然《數(shù)據(jù)安全法》確立了“國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制”���,但標(biāo)準(zhǔn)制定過程中部門利益博弈�、行業(yè)特性差異等因素�,導(dǎo)致跨領(lǐng)域數(shù)據(jù)安全要求的系統(tǒng)性整合難以實現(xiàn)。以醫(yī)療數(shù)據(jù)為例�����,其既要符合GB/T 39725—2020《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》的匿名化處理要求��,又要滿足《人口健康信息管理辦法(試行)》的可追溯性規(guī)定�����,這種技術(shù)標(biāo)準(zhǔn)的沖突直接制約了醫(yī)療大數(shù)據(jù)的開發(fā)利用�。
3.2 技術(shù)迭代加速引發(fā)的標(biāo)準(zhǔn)滯后性矛盾
當(dāng)前數(shù)據(jù)安全標(biāo)準(zhǔn)體系面臨技術(shù)迭代加速帶來的“標(biāo)準(zhǔn)有效期悖論”�����。國際IT咨詢機(jī)構(gòu)Gartner發(fā)布的《2023年數(shù)據(jù)安全技術(shù)成熟度曲線》顯示��,生成式AI����、量子計算等前沿技術(shù)的演進(jìn)周期已縮短至12~18個月����,而我國標(biāo)準(zhǔn)制修訂周期平均需要24個月。這種時滯性導(dǎo)致標(biāo)準(zhǔn)尚未發(fā)布即面臨技術(shù)過時的風(fēng)險���。以聯(lián)邦學(xué)習(xí)技術(shù)為例�,雖然國內(nèi)已開展相關(guān)標(biāo)準(zhǔn)預(yù)研�����,但2023年3月17日發(fā)布的GB/T 42452—2023《系統(tǒng)與軟件工程功能規(guī)模測量 COSMIC方法》在模型逆向攻擊防護(hù)等方面尚未覆蓋最新的差分隱私增強(qiáng)技術(shù)。其具體表現(xiàn)在3個方面:(1)標(biāo)準(zhǔn)預(yù)研機(jī)制缺乏前瞻性�,對技術(shù)發(fā)展趨勢的預(yù)判能力不足;(2)快速通道機(jī)制應(yīng)用受限���,現(xiàn)行《國家標(biāo)準(zhǔn)管理辦法》規(guī)定的應(yīng)急標(biāo)準(zhǔn)程序啟動條件嚴(yán)苛����;(3)企業(yè)參與度不足��,頭部科技企業(yè)的技術(shù)創(chuàng)新成果難以及時轉(zhuǎn)化為標(biāo)準(zhǔn)內(nèi)容���。這種狀況導(dǎo)致我國在區(qū)塊鏈數(shù)據(jù)存證���、AI模型安全檢測等
新興領(lǐng)域持續(xù)處于標(biāo)準(zhǔn)跟隨狀態(tài)�。
3.3 執(zhí)行監(jiān)督缺位導(dǎo)致的標(biāo)準(zhǔn)虛化困境
數(shù)據(jù)安全標(biāo)準(zhǔn)落地難的本質(zhì)是治理效能的結(jié)構(gòu)性缺失����,這種差異折射出監(jiān)管資源配置的失衡問題���,現(xiàn)有監(jiān)督體系過度依賴行政檢查�,未能構(gòu)建多元共治格局���。具體癥結(jié)包括:標(biāo)準(zhǔn)符合性評估體系不健全��,缺乏權(quán)威的第三方認(rèn)證機(jī)構(gòu)�����;違規(guī)成本偏低��,《數(shù)據(jù)安全法》第四十五條第一款規(guī)定的最高200萬元罰款與數(shù)據(jù)泄露可能造成的數(shù)億元損失嚴(yán)重失衡�;技術(shù)支持手段不足,監(jiān)管部門難以對海量企業(yè)的標(biāo)準(zhǔn)執(zhí)行情況進(jìn)行動態(tài)監(jiān)測����。以數(shù)據(jù)出境安全評估為例�,雖然GB/T 35273—2020《信息安全技術(shù) 個人信息安全規(guī)范》已對評估流程作出規(guī)定,但基層監(jiān)管部門普遍缺乏專業(yè)人才和技術(shù)工具進(jìn)行有效審查����。
3.4 普遍性引用為主的援引模式造成的標(biāo)準(zhǔn)適用乏力
對于法律而言,標(biāo)準(zhǔn)發(fā)揮著重要的支撐作用���。目前在環(huán)境保護(hù)�、醫(yī)藥衛(wèi)生����、產(chǎn)品質(zhì)量����、安全生產(chǎn)��、食品安全�、工程建設(shè)、能源等領(lǐng)域����,法律援引標(biāo)準(zhǔn)已成為十分醒目的法律現(xiàn)象。這是因為標(biāo)準(zhǔn)與法律均具有“假定條件”和“行為模式”的構(gòu)造�����,標(biāo)準(zhǔn)的具體性和更新及時性有助于將抽象的法律規(guī)范轉(zhuǎn)換為充滿細(xì)節(jié)的技術(shù)要求和技術(shù)方案�,使之成為及時回應(yīng)且可操作的行為指引。對于技術(shù)而言�����,標(biāo)準(zhǔn)發(fā)揮著重要的增效作用���。盡管標(biāo)準(zhǔn)不屬于我國正式法源��,不具有形式上的約束力�,但由于鮮明的行為導(dǎo)向功能和信號功能,不僅能經(jīng)由法院和行政機(jī)關(guān)援引產(chǎn)生規(guī)范效果��,還能夠構(gòu)成行政機(jī)關(guān)判斷事實認(rèn)定構(gòu)成要件的基準(zhǔn)�,從而拘束行政機(jī)關(guān)的決定�。因此,標(biāo)準(zhǔn)一方面通過“專業(yè)性術(shù)語體系部分”統(tǒng)一紛繁多樣的技術(shù)表達(dá)和方案��,另一方面通過“含有技術(shù)要求的法律文本部分”強(qiáng)制或指導(dǎo)相關(guān)領(lǐng)域的產(chǎn)品或行為��,成為參照系數(shù)���,以符合社會普遍期望����。
基于上述緊密聯(lián)系與功能互補(bǔ)�,在數(shù)據(jù)領(lǐng)域�,標(biāo)準(zhǔn)治理已獲得我國法律明確認(rèn)可,法律引用標(biāo)準(zhǔn)的情況普遍存在����。引用標(biāo)準(zhǔn)的方式可分為直接引用與普遍性引用��。其中�����,普遍性引用是指在法規(guī)中不直接�����、具體地引用某標(biāo)準(zhǔn)(即無標(biāo)準(zhǔn)代號��、順序號及名稱等標(biāo)準(zhǔn)內(nèi)容)�����,而是指定特定機(jī)構(gòu)的或具體領(lǐng)域內(nèi)的所有標(biāo)準(zhǔn)作為引用標(biāo)準(zhǔn)的一種引用方式�����,亦可稱為間接引用��、指引性引用���。《中華人民共和國網(wǎng)絡(luò)安全法》第十五條、《數(shù)據(jù)安全法》第十六條��、《中華人民共和國個人信息保護(hù)法》第五十八條�����,從不同維度確立了國家建立網(wǎng)絡(luò)安全����、數(shù)據(jù)安全、個人信息保護(hù)標(biāo)準(zhǔn)體系的立法目標(biāo)���?����?傮w而言����,我國現(xiàn)行數(shù)據(jù)安全領(lǐng)域的法律引用標(biāo)準(zhǔn)的情況絕大部分屬于普遍性引用�;行政法規(guī)部分則呈現(xiàn)對半現(xiàn)象�,最多一半行政法規(guī)普遍性引用標(biāo)準(zhǔn);大部分部門規(guī)章普遍性引用標(biāo)準(zhǔn)�,其中尤以國家互聯(lián)網(wǎng)信息辦公室出臺的規(guī)章為主;地方性立法中絕大部分地區(qū)均普遍性引用標(biāo)準(zhǔn),部分欠發(fā)達(dá)地區(qū)甚至并未引用�。可見����,普遍性引用是我國數(shù)據(jù)安全法律規(guī)范與技術(shù)標(biāo)準(zhǔn)關(guān)聯(lián)構(gòu)造的主要模式。以《數(shù)據(jù)安全法》第二十七條為例��,其規(guī)定數(shù)據(jù)處理活動“應(yīng)當(dāng)依照法律���、法規(guī)的規(guī)定”�����,但對具體技術(shù)標(biāo)準(zhǔn)僅作“符合相關(guān)標(biāo)準(zhǔn)”的籠統(tǒng)規(guī)定�?���!秱€人信息保護(hù)法》第五十一條要求采取“加密��、去標(biāo)識化等安全技術(shù)措施”��,同樣未指明具體技術(shù)參數(shù)�����。這種“宣示性”條款形成“法律定框架、標(biāo)準(zhǔn)定細(xì)則”的銜接機(jī)制�。
法律與標(biāo)準(zhǔn)的銜接機(jī)制直接決定著規(guī)范體系的運行效能。現(xiàn)有法律文本普遍采用“應(yīng)符合相關(guān)技術(shù)標(biāo)準(zhǔn)要求”等普遍性引用模式�,這種制度設(shè)計在實踐中的結(jié)構(gòu)性矛盾日益凸顯。數(shù)據(jù)安全規(guī)范體系中的普遍性引用模式帶來的直接后果是數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)的適用乏力�,具體表現(xiàn)為法律實施效能弱化、標(biāo)準(zhǔn)效力位階錯位及技術(shù)創(chuàng)新與標(biāo)準(zhǔn)迭代脫節(jié)3個方面��。
4 完善數(shù)據(jù)安全規(guī)范體系的應(yīng)對策略
面對數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)體系建設(shè)的現(xiàn)實困境����,應(yīng)當(dāng)從系統(tǒng)性視角剖析現(xiàn)有問題,有針對性地通過增強(qiáng)法律條款可操作性����、構(gòu)建完整責(zé)任鏈條、促進(jìn)標(biāo)準(zhǔn)體系動態(tài)發(fā)展�,全面提升數(shù)據(jù)安全標(biāo)準(zhǔn)治理效能,提出具有可操作性的治理路徑�。在援引模式方面,則需在深入剖析現(xiàn)行引用模式的制度缺陷的基礎(chǔ)上���,嘗試建立“直接引用為主��、普遍性引用為輔”的新型模式�����,并構(gòu)建一套系統(tǒng)性轉(zhuǎn)型方案���。
4.1 建構(gòu)立體化標(biāo)準(zhǔn)治理體系
破解標(biāo)準(zhǔn)體系碎片化困局,需要構(gòu)建“三維協(xié)同”的標(biāo)準(zhǔn)化治理新范式��。首先在制度維度���,建議建立國家數(shù)據(jù)安全標(biāo)準(zhǔn)化委員會�����,整合現(xiàn)有33個標(biāo)準(zhǔn)化技術(shù)委員會的職能���,嚴(yán)格遵循《國家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》的整體布局,明確標(biāo)準(zhǔn)制定權(quán)限劃分與協(xié)調(diào)機(jī)制����。通過建立標(biāo)準(zhǔn)沖突識別算法模型,運用自然語言處理技術(shù)對既有標(biāo)準(zhǔn)進(jìn)行數(shù)字化比對�,系統(tǒng)識別并解決技術(shù)指標(biāo)矛盾�����。其次在技術(shù)維度�,推行“核心標(biāo)準(zhǔn)+行業(yè)擴(kuò)展”的模塊化標(biāo)準(zhǔn)架構(gòu)���。參照歐盟《數(shù)據(jù)治理法案》經(jīng)驗����,建立具有強(qiáng)制效力的基礎(chǔ)性標(biāo)準(zhǔn)框架(如數(shù)據(jù)分類分級���、加密算法基準(zhǔn))���,各行業(yè)在此框架下制定擴(kuò)展性實施指南。以工業(yè)數(shù)據(jù)安全為例����,可在《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求的基礎(chǔ)上����,針對電力、制造等細(xì)分領(lǐng)域制定補(bǔ)充技術(shù)要求�。最后在國際化維度�����,建立標(biāo)準(zhǔn)互認(rèn)的動態(tài)調(diào)整機(jī)制���。深度參與ISO/IEC 27000信息安全管理體系標(biāo)準(zhǔn)的制修訂工作�����,推動我國自主可控的加密算法納入國際標(biāo)準(zhǔn)�����。依托“數(shù)字絲綢之路”建設(shè)��,與東盟�����、金磚國家等建立區(qū)域性標(biāo)準(zhǔn)互認(rèn)聯(lián)盟����,構(gòu)建具有中國特色的標(biāo)準(zhǔn)國際化路徑。通過這三重維度的協(xié)同推進(jìn)��,可有效解決標(biāo)準(zhǔn)體系的整合協(xié)調(diào)難題。
4.2 創(chuàng)設(shè)敏捷化標(biāo)準(zhǔn)演進(jìn)機(jī)制
構(gòu)建面向未來的數(shù)據(jù)安全標(biāo)準(zhǔn)體系����,需要建立“三螺旋”創(chuàng)新驅(qū)動機(jī)制����。(1)技術(shù)預(yù)見機(jī)制創(chuàng)新,建議組建國家數(shù)據(jù)安全技術(shù)預(yù)見中心����,運用專利地圖分析、技術(shù)路線圖等方法���,建立新興技術(shù)風(fēng)險評估模型�。例如����,針對量子計算可能破解現(xiàn)有加密體系的風(fēng)險,提前布局抗量子加密算法標(biāo)準(zhǔn)研制����。(2)標(biāo)準(zhǔn)研制模式變革,推行“開源標(biāo)準(zhǔn)”新范式。借鑒Linux基金會“開放鏈”項目經(jīng)驗��,建立數(shù)據(jù)安全標(biāo)準(zhǔn)開源社區(qū)���,允許企業(yè)���、科研機(jī)構(gòu)在標(biāo)準(zhǔn)草案框架下進(jìn)行技術(shù)驗證與迭代優(yōu)化。在自動駕駛數(shù)據(jù)安全領(lǐng)域����,可先行試點開源標(biāo)準(zhǔn)模式���,通過多方協(xié)同快速形成技術(shù)共識��。(3)建立“沙盒監(jiān)管”標(biāo)準(zhǔn)試驗機(jī)制��。在自由貿(mào)易試驗區(qū)��、國家數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展試驗區(qū)設(shè)立標(biāo)準(zhǔn)應(yīng)用沙盒����,對新制定的數(shù)據(jù)跨境流動安全標(biāo)準(zhǔn)�����、AI倫理治理標(biāo)準(zhǔn)等進(jìn)行壓力測試。例如���,在上海自由貿(mào)易試驗區(qū)臨港新片區(qū)開展智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全標(biāo)準(zhǔn)試點,通過真實場景驗證標(biāo)準(zhǔn)有效性��,縮短技術(shù)成熟到標(biāo)準(zhǔn)落地的傳導(dǎo)周期�����。這3個維度的創(chuàng)新將有效提升標(biāo)準(zhǔn)體系的技術(shù)響應(yīng)能力�。
4.3 打造全生命周期監(jiān)管生態(tài)
破解標(biāo)準(zhǔn)實施難題需要構(gòu)建“四維一體”的治理新體系:第一維度是完善法治保障,建議在將來《數(shù)據(jù)安全法》修訂時�����,在“總則”部分增加強(qiáng)調(diào)數(shù)據(jù)安全法律規(guī)范引用數(shù)據(jù)安全標(biāo)準(zhǔn)的條款��,并專設(shè)“數(shù)據(jù)安全標(biāo)準(zhǔn)引用規(guī)則”一章��,明確標(biāo)準(zhǔn)實施的剛性約束��。借鑒歐盟《數(shù)字服務(wù)法案》經(jīng)驗����,建立標(biāo)準(zhǔn)執(zhí)行分級管理制度�,對關(guān)鍵信息基礎(chǔ)設(shè)施運營者設(shè)定強(qiáng)制性認(rèn)證要求����,對中小企業(yè)提供合規(guī)指導(dǎo)服務(wù)。第二維度是技術(shù)創(chuàng)新應(yīng)用�,建設(shè)國家數(shù)據(jù)安全標(biāo)準(zhǔn)智能監(jiān)管平臺。該平臺應(yīng)集成區(qū)塊鏈存證�、AI合規(guī)檢查等技術(shù),實現(xiàn)對標(biāo)準(zhǔn)執(zhí)行情況的全流程追溯�。例如,利用知識圖譜技術(shù)構(gòu)建標(biāo)準(zhǔn)條款數(shù)據(jù)庫��,自動比對企業(yè)的數(shù)據(jù)安全措施是否符合相關(guān)技術(shù)要求�。在數(shù)據(jù)分類分級管理領(lǐng)域�����,可開發(fā)智能識別系統(tǒng)輔助企業(yè)完成數(shù)據(jù)資產(chǎn)盤點����。第三維度是市場機(jī)制培育,發(fā)展標(biāo)準(zhǔn)認(rèn)證服務(wù)產(chǎn)業(yè)����。制定《數(shù)據(jù)安全標(biāo)準(zhǔn)認(rèn)證機(jī)構(gòu)管理辦法》����,培育具有國際公信力的第三方認(rèn)證機(jī)構(gòu)���。在金融、醫(yī)療等重點領(lǐng)域推行標(biāo)準(zhǔn)認(rèn)證結(jié)果互認(rèn)機(jī)制����,將認(rèn)證結(jié)果納入企業(yè)信用評價體系。對通過認(rèn)證的企業(yè)給予政府采購加分���、稅收優(yōu)惠等政策激勵�����。第四維度是能力建設(shè)提升�,實施“數(shù)據(jù)安全標(biāo)準(zhǔn)官”制度�����。參照歐盟數(shù)據(jù)保護(hù)官(DPO)模式�����,在重點行業(yè)/企業(yè)設(shè)立專職標(biāo)準(zhǔn)合規(guī)崗位,建立從業(yè)人員資格認(rèn)證體系�。同時加強(qiáng)基層監(jiān)管隊伍的專業(yè)化建設(shè),在省級市場監(jiān)管部門設(shè)立數(shù)據(jù)安全標(biāo)準(zhǔn)執(zhí)法大隊��,配備專業(yè)技術(shù)檢測設(shè)備�。通過這4個維度的協(xié)同發(fā)力,可顯著提升標(biāo)準(zhǔn)實施監(jiān)督效能���。
4.4 建立“直接引用為主���、普遍性引用為輔”的梯度引用體系
《中華人民共和國標(biāo)準(zhǔn)化法》第二條明確賦予標(biāo)準(zhǔn)“技術(shù)法規(guī)”屬性。直接引用模式通過立法授權(quán)實現(xiàn)標(biāo)準(zhǔn)效力轉(zhuǎn)化����,符合法律保留原則。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第九條直接援引ISO/IEC 27001標(biāo)準(zhǔn)的實踐表明���,該模式具有法理可行性。數(shù)據(jù)安全領(lǐng)域的標(biāo)準(zhǔn)援引體系建設(shè)應(yīng)當(dāng)從現(xiàn)有的普遍性引用出發(fā)�����,以實現(xiàn)直接引用為目標(biāo),并兼顧考慮數(shù)據(jù)安全規(guī)范工作的專業(yè)特點����,從以下3個角度推行梯度化、差異化�、推進(jìn)式改革:(1)基礎(chǔ)性標(biāo)準(zhǔn)直接引用。對數(shù)據(jù)分類分級��、加密算法等基礎(chǔ)規(guī)范��,直接在法律條款中列明標(biāo)準(zhǔn)代號��,如規(guī)定“個人信息加密應(yīng)當(dāng)符合GB/T 39786—2021二級以上要求”�����。(2)專業(yè)性標(biāo)準(zhǔn)授權(quán)引用�����。在附則中授權(quán)監(jiān)管部門制定標(biāo)準(zhǔn)清單���,建立動態(tài)調(diào)整機(jī)制����。(3)新興領(lǐng)域標(biāo)準(zhǔn)預(yù)留接口。對量子加密等前沿領(lǐng)域����,設(shè)置“符合國家規(guī)定的最新標(biāo)準(zhǔn)”等彈性條款。
此外���,在配套措施方面亦應(yīng)有所創(chuàng)新��,如在《數(shù)據(jù)安全法》實施細(xì)則中設(shè)立技術(shù)標(biāo)準(zhǔn)審查專章�����,明確標(biāo)準(zhǔn)制定�、修訂的法定程序���;參照美國NIST SP 800-53模式�����,建立標(biāo)準(zhǔn)分級引用目錄�,區(qū)分強(qiáng)制性標(biāo)準(zhǔn)與推薦性標(biāo)準(zhǔn)����;借鑒歐盟標(biāo)準(zhǔn)化委員會(CEN)經(jīng)驗,設(shè)定年度標(biāo)準(zhǔn)復(fù)審周期���,確保法律引用的標(biāo)準(zhǔn)版本時效性等���。再如,對現(xiàn)行數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)進(jìn)行合規(guī)性審查�,開展標(biāo)準(zhǔn)法律適用性評估,確定可直接引用的標(biāo)準(zhǔn)清單���;在《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》修訂中���,增設(shè)標(biāo)準(zhǔn)直接引用示范條款;設(shè)立跨部門技術(shù)標(biāo)準(zhǔn)協(xié)調(diào)委員會����,解決標(biāo)準(zhǔn)交叉引用產(chǎn)生的規(guī)范沖突。
值得注意的是�����,為防控標(biāo)準(zhǔn)滯后性風(fēng)險�����,還應(yīng)配套建立“標(biāo)準(zhǔn)版本動態(tài)標(biāo)注”制度,在法律引用條款中注明“現(xiàn)行有效版本”��,授權(quán)標(biāo)準(zhǔn)化行政主管部門定期更新版本信息�����。同時設(shè)置標(biāo)準(zhǔn)緊急修訂程序�,對重大技術(shù)變革建立綠色通道。同時���,須建立標(biāo)準(zhǔn)體系頂層設(shè)計機(jī)制����,按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的要求規(guī)范標(biāo)準(zhǔn)制定程序����,實施標(biāo)準(zhǔn)間協(xié)調(diào)性審查,避免標(biāo)準(zhǔn)交叉重復(fù)����。
5 結(jié) 語
數(shù)據(jù)安全規(guī)范體系的建設(shè)與完善是一項包含技術(shù)標(biāo)準(zhǔn)體系與法律規(guī)范體系在內(nèi)��,圍繞標(biāo)準(zhǔn)與法律的完善及二者的融合展開的系統(tǒng)性工作。數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)體系的完善是一個動態(tài)演進(jìn)的過程�����,需要制度創(chuàng)新與技術(shù)賦能的深度融合����。通過構(gòu)建系統(tǒng)化的整合機(jī)制�����、敏捷化的創(chuàng)新機(jī)制�����、立體化的實施機(jī)制���,不僅能有效解決現(xiàn)有標(biāo)準(zhǔn)體系的三大核心問題���,更為數(shù)字中國建設(shè)提供堅實的技術(shù)規(guī)則保障。未來研究可進(jìn)一步關(guān)注標(biāo)準(zhǔn)體系與法律規(guī)范的互動模式創(chuàng)新�,探索建立技術(shù)標(biāo)準(zhǔn)法律地位動態(tài)調(diào)整機(jī)制,推動形成具有中國特色的數(shù)據(jù)治理現(xiàn)代化方案�����,構(gòu)建新型法律標(biāo)準(zhǔn)引用模式則是完善數(shù)據(jù)安全治理體系的關(guān)鍵制度創(chuàng)新。通過建立以直接引用為主的新型范式�,不僅能夠提升法律規(guī)范的系統(tǒng)性、操作性和時效性�,更有利于形成法律與標(biāo)準(zhǔn)協(xié)同共治的現(xiàn)代化治理格局。這需要立法機(jī)關(guān)�、標(biāo)準(zhǔn)化組織、產(chǎn)業(yè)主體等多方協(xié)同��,在法治框架下推進(jìn)技術(shù)標(biāo)準(zhǔn)與法律制度的深度融合����,為數(shù)字中國建設(shè)提供堅實的制度保障。
