数据安全每周观察 |《数据安全产品与服务观察报告》发布

政策趋势

全国信安标委就《网络数据安全风险评估实施指引》公开征求意见

日前，全国信息安全标准化技术委员会发布《网络安全标准实践指南—网络数据安全风险评估实施指引（征求意见稿）》，意见反馈截止于5月2日。

《征求意见稿》提出了网络数据安全风险评估思路、主要工作内容、流程和方法，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。其适用于指导数据处理者自行开展风险评估，也可为有关主管监管部门组织开展数据安全检查评估提供参考。《征求意见稿》进一步明确，数据安全风险评估流程，主要包括评估准备、信息调研、风险评估、综合分析、评估总结五个阶段。

”

3.2 评估内容

网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。评估内容框架如图所示

天津市地方标准《网络数据安全监督检查规范》

近日，天津市地方标准《网络数据安全监督检查规范》（DB12/T 1198-2023）由市市场监管委批准发布，将于5月7日起实施。

《规范》围绕为天津经济社会高质量发展提高可靠网络安全保障，聚焦工作实际，明确了网络数据安全监督检查的工作流程，细化了对通用安全、数据收集安全、数据存储安全、数据使用安全、数据加工安全、数据传输安全、数据提供安全、数据公开安全和数据销毁安全等九方面检查的基本要求和增强要求，制定了检查结果得分计算公式，提高了本市网络数据安全监督检查工作规范化、标准化水平。

信安标委发布《2023年度工作要点》

完善数据安全和个人信息保护标准

近日，信安标委发布《全国信息安全标准化技术委员会2023年度工作要点》，提出一是加快重点领域网络安全国家标准研制；二是加强网络安全国家标准宣传培训；三是着力增强我国国际标准技术储备和竞争力；四是不断完善工作机制并加强自身能力建设。相关数据安全部分的内容包括以下几点：

”

1、支撑大型网络平台网络安全评估工作，研制大型网络平台网络安全评估指南，促进平台企业安全规范良性发展；加快大型互联网平台个人信息保护标准研制，完成大型互联网企业设内个人信息保护监督机构要求、基于个人信息的自动化决策安全等标准；配合互联网信息服务深度合成管理工作，研制互联网信息服务深度合成安全要求标准。

2、贯彻落实“数据二十条”，开展数据产权、流通交易、安全治理等领域标准研究，研制数据安全风险评估、数据交易服务安全、政务数据处理安全、公共数据开放安全等标准，争取年底发布出台；支撑国家数据分类分级制度建设，加快推动数据分类分级保护等标准研制；研制个人信息合规审计、可携带等个人信息权利和义务具体标准。

最高检发布《关于加强新时代检察机关网络法治工作的意见》

近日，最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》，共6方面21条，围绕党的二十大关于健全网络综合治理体系的重要部署，结合检察履职实际，从网络立法、执法、司法、普法以及法治研究、队伍建设等方面，对加强新时代检察机关网络法治工作提出具体要求。

”

（五）聚焦人民群众获得感、幸福感、安全感，全链条惩治人民群众反映强烈的网络犯罪。准确把握公民个人信息处理的原则和边界，统筹数据信息开发利用、隐私保护和公共安全，加大涉公民个人信息、隐私权案件的民事检察监督力度。围绕敏感个人信息、特定群体、重点领域的公民个人信息等，持续加大公益诉讼办案力度，积极探索建立民事公益诉讼惩罚性赔偿制度。

（六）聚焦数字经济健康发展，依法保护和规范数字技术、数字产业和数字市场。深入研究数据交易、数据服务等新类型案件涉及的数据权属问题，切实保护权利人在数据收集、使用、交易等过程中的合法权益，推动完善数据权利司法保护规则，促进数据要素市场依法有序发展。

（十三）以大数据赋能推进法律监督提质增效。深入贯彻落实数字检察战略，统筹网络检察和数字检察工作，充分运用大数据推进法律监督全面深化，促进网络诉源治理，加强检务科学管理。

······

国家网信办等五部门：调整网络安全专用产品安全管理有关事项

4月17日，国家互联网信息办公室等五部门发布关于调整网络安全专用产品安全管理有关事项的公告，自2023年7月1日起，列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

自2023年7月1日起，停止颁发《计算机信息系统安全专用产品销售许可证》产品生产者无需申领。停止执行《关于调整信息安全产品强制性认证实施要求的公告》。国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一公布和更新符合要求的网络关键设备和网络安全专用产品清单，供社会查询和使用。

监管动态

1►

首例涉及虚构数据干扰算法推荐的不正当竞争案

近日，杭州中院公开宣判了首例涉及虚构数据干扰算法推荐引发的不正当竞争案。据悉，涉案刷量软件是一款名为“抖竹”的APP，抖音认为，抖竹模拟真人行为规律，进行规模化、自动化批量操作，制造虚假流量，妨碍了抖音的正常运行和短视频分享生态，有违诚信原则和公认的商业道德，构成不正当竞争。经过法院审理，一审判决被告停止涉案不正当竞争行为，发布声明消除影响，并应赔偿抖音经济损失及合理费用共计100万元。

政策趋势

《数据安全产品与服务观察报告》发布

近日，数据安全推进计划依托图谱调研工作与五十家厂商进行了积极探索与研讨，发布了并提炼了十项观察。

”

1、智能化浪潮来临：数据安全产品技术升级

人工智能技术的应用本质上也反映了从静到动的安全防护策略转变，能够提升数据分类分级产品技术的准确性及工作效能、数据安全风险监测技术的自动化响应能力，但其自身存在的以数据污染、泄露、滥用为代表的安全威胁也将导致攻防态势愈发激烈。

2、 新技术：深刻影响数据安全产品发展

隐私计算：尽管隐私计算“可用不可见”一定程度上解决了数据使用中的安全问题，但在规模化应用过程中依然面临安全与性能平衡、通用解决方案难以应对复杂场景、互联互通阻碍这三大挑战。

量子计算：量子加密技术能够为数据安全产品提供更高强度的加密处理能力，并持续提供高性能的并发处理支撑，未来或将成为数据安全产品的必要组成部分。然而，由于技术应用成本高，当前落地应用仍面临挑战。

区块链一定程度上解决了数据交换的过程中面临的所有权界定问题，但其自身存在的安全问题也逐渐显现，且由于区块链节点无法避免实体干预，如何最小程度避免人为因素扰动，保障数据在上链前与链下存储的安全可信，将是区块链与数据安全融合亟需考虑的重要问题。

3、第三方评测：“以评促建”创造厂商新优势

第三方评测一定程度上能够拉通对齐供需双侧认知，为需求侧解决对产品、服务的疑惑，推动服务机构持续完善产品、服务质量，助力培育良好的行业生态。

······

《关键信息基础设施安全保护要求》国家标准宣贯会在京举办

为做好国家标准的落地实施和应用指导工作，不断提升关键信息基础设施安全保护能力，4月19日，《关键信息基础设施安全保护要求》国家标准宣贯会在北京举办。会上，公安部关键信息基础设施保护中心、公安部网络安全等级保护评估中心重点解读了《关键信息基础设施安全保护要求》的具体内容和应用实践。能源、水利、金融等重点行业领域有关负责同志，分享了关键信息基础设施安全保护实践经验。

上海银保监局：强化第三方数据安全评估防范外部数据源合规风险

近日，上海银保监局召开2023年度信息科技监管工作会议，指出将围绕“切实筑牢数据安全防线”、“持续加强信息科技外包管理和业务连续性风险管理”等四个重点领域展开。

其中关于数据安全防线，上海银保监局明确提出，要严格落实有关法律法规要求，强化数据安全管理职责，着力构建数据安全防护体系，建立健全客户信息保护制度、机制、流程。加强数据安全风险监测与处置，将数据安全、客户信息保护纳入全面风险管理体系，严格落实国家关于数据出境安全评估和安全审查要求，强化第三方数据的安全评估，防范外部数据源合规风险。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。

相关阅读