数据流通安全标准化白皮书-电子版

目 录第1章数据通安展情况 1据流安全景 1据流安全概与理解 3国数流通全展 8数据通安战布局 8数据通安政法规建设 9数据通安技发展 14数据通安产发展 17数据通安人体系建设 19据流安全重意义 20章小结 22第2章数据通安策法规标准现状 24据流安全略政策法规 24国外据流安战略与策法规 24国内据流安战略与策法规 29据流安全关准工作现状 36国外据流安相关标工作现状 36国内据流安相关标工作现状 40章小结 51第3章数据通安准化需求 52据流安全临风险 52据流安全准需求 53章小结 56第4章数据通安准体系 57据流安全系架 57据流安全准系 59期重工作 69章小结 71第5章数据通安准化工建议 72全数流通全律法规标准系 72进数流通准类分级步骤定 72强数流通全心技术准研制 73广数流通全准示范用 73立数流通全准体系究长机制 74度参数据通全国际准化作 75强数安全通准人才养 76章小结 76第1章数据流通安全发展情况数据流通安全背景当前，数据已经成为全世界各国的战略性资源，而数据的流通对国家治理、国家竞争、科技创新有着非常重要的作用。基于49善的要素市场化配置体制机制的意见》，将数据定义为继土地、劳动力、资本、技术之后的第五大生产要素。20221220231217（2024—20261810工程，深化算网融合，推进算力互联互通，引导数据要素跨区域流通融合。2024年2月印发《关于开展全国数据资源调查的通知》，为贯彻落实《数字中国建设整体布局规划》工作部署，摸清数据资源底数，加快数据资源开发利用，更好发挥数据要素价值20242然而，随着数据汇聚、融合、流动与应用等场景大幅增加，决，也会导致数据供方“不愿、不敢、不想”让数据流通起来，赋能实体经济，同时统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯彻数据供给、流通、使用全过程。当前，我国数据要素市场建设取得积极进展和显著成效，但是依然存在数据权属纷争、数据滥用、数据泄露、失控传播等安全法》、《个人信息保护法》等关于数据和个人信息安全保护的法律法规，《民法典》也首次明确将数据纳入民法保护范围，但是这些政策和法律法规颗粒度比较大，在实际操作中缺乏具体细则，距离落地实施无相关政策和技术标准的支撑。因此，亟待从供给、流通、使用等环节全方位强化数据流通安全的标准化工作，以促进数据安全流通，进而畅通国家数字经济。数据流通安全的概念与理解本节将解析和界定数据、数据要素、数据安全、数据流通、数据流通安全的概念和内涵，明确数据安全与数据流通安全的关系，提出数据流通安全体系框架。一、基本概念1、数据数据指任何以电子或其他方式对信息的记录【GB/T43697-的结果，对客观事物的逻辑归纳。2、数据要素数据要素指将原始数据通过加工整理、确权，使其成为具备潜在利用价值的数据资产。数据要素是推动数字经济发展的核心引擎，是赋能行业数字化转型和智能化升级的重要支撑，也是国家基础性战略资源。3、数据安全数据安全指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力【《中华人民的定义为即通过采用各种技术和管理措施，确保网络数据的可用性、完整性和保密性。4、数据流通数据流通指数据按照一定规则从提供方传递到需求方的过程，是数据在不同主体之间进行转移、共享和使用的过程，发生在数据交易前、交易中、交易后和数据出入境等应用场景。从流通方式来看，包括数据开放、共享和交易等；从流通形态开看，APIIT5、数据流通安全数据使用方、平台管理方、第三方服务提供方等各类市场主体，在数据开放、共享和交易等流通活动中的行为，保障数据流通过程安全可控、可追溯；三是，数据流通设施的安全，即保护数据处理活动所涉及的网络、平台和物理设施的安全，防止数据基础设施上承载的海量数据丢失、泄露、被篡改，保障业务在线和可追溯。综上，数据安全与数据流通安全存在密不可分的关系，数据传输、存储、处理、交换、销毁等数据生存周期全过程。而数据二、数据流通安全体系框架1-1数据应用数据应用数据流通安全基础设施数据流通安全基础设施公共数据开发开放公共数据授权运营数据产业与数商数据交易与跨境流通数据安全体系数据流通制度体系图1-1数据流通安全体系框架公共数据开发开放公共数据授权运营数据产业与数商数据交易与跨境流通数据安全体系数据流通制度体系一个基础是指数据流通安全基础设施数据流通安全基础设施通过有效防范对承载数据流通活动的基础设施的攻击、干扰、破坏、非法使用和意外事故，保障设施安共享开放公共数据，同时加强汇聚共享和开放开发、强化统筹授服务型、应用型和技术型数商，促进数据更加顺畅地交易流通。四是数据交易与跨境流通是促进数据要素价值充分发挥的有效途径。通过建立场内和场外数据交易模式，保障合规高效、场内两大保障是数据流通制度体系和数据安全体系数据流通安全制度体系制度包括数据流通安全基础设施制度、公共数据开发开放制度、公共数据授权运营制度、数据产业与数商发展制度、数据交易与数据安全体系安全和可信安全等方面，数据安全保障体系建设贯穿数据供给、一项目标是指数据应用持续性，充分释放数据要素价值。我国数据流通安全发展当今世界数据体量爆炸式增长，全球进入数字经济时代。各国都在积极部署数据战略，成立国家级数据管理部门或部署国家级数据服务平台，通过数据流通实现开放和共享，在国际数据流通中抢占数据主权，加速颁布相关政策法规，探索数据交易市场性模式，大力推动数据要素市场化配置。同时，数据流通安全的配套措施和发展也被提到了极高的层次。我国在数据流通安全的维度已经开展了众多工作，无论是法律法规与政策标准的发布，还是对技术与产业的发展推动，以及关键的人才梯队培养均有顶层设计和战略布局，为国家安全、个人隐私安全和数字经济发展提供了强有力的支撑。数据流通安全战略布局碑意义，同时为数据流通安全提供了制度保障。二是推动数据要素市场化配置。国家鼓励和支持数据要素的市场化配置，推动数据资源的有效流通和利用。同时，加强数据流通的安全监管，确保数据在流通过程中的合法性和安全性。通过优化数据基础设施布局，提升数据流通的效率和安全性。应对数据流通安全面临的挑战。五是重点推进关键领域与行业发展。针对关键领域和行业，如工业互联网、智慧城市、交通运输等，国家发布了多项指导意见和实施方案，推动这些领域的数据安全保护。例如《深化智慧开发利用贯穿城市全域数字化转型建设始终。数据流通安全政策法规建设近年来，国家相继颁布了《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等一系列法律法规，明确了数据处理的规则、责任主体、法律责任等，为数据安全的监管和执法提供了依据，为数据流通安全提供了有力的法律保障。同时，国家还发布了多项与数据流通和流通安全相关的政策文件，提出了加强数据流通安全的具体措施和要求，包括建立健全数据流通利用安全治理机制、提升数据安全保障能力等。一、数据安全保护法律条例（2016117本的法律框架和安全要求。（）2021610确保数据流通不会损害国家安全、公共利益和个人隐私。《中华人民共和国密码法》（以下简称《密码法》）于20191026础。（保护法》）2021820确保个人信息的安全，防止未经授权的访问、公开披露、使用、修改、损坏、丢失、泄露等。个人信息在流通前必须经过信息主体的同意，且流通目的明确，流通方需采取适当的安全措施保护个人信息。（秘密法》）2024227确保数据流通不会危害国家安全和利益。（1997314（20131025遵守法律规定，不得非法收集、使用、泄露消费者的个人信息，保障消费者在数据流通过程中的信息安全。（2017315要原则。在数据流通环节，这意味着数据处理者必须尊重个人信息权利，确保数据流通活动不侵犯个人隐私和数据权益。二、数据安全保护战略规划《中共中央国务院关于构建更加完善的要素市场化配置体20204加强对政务数据、企业商业秘密和个人数据的保护。《中华人民共和国国民经济和社会发展第十四个五年规划203520213推进数据跨部门、跨层级、跨地区汇聚融合和深度利用。建立健20221级保护制度，研究推进数据安全标准体系建设，规范数据采集、传输、存储、处理、共享、销毁全生命周期管理，推动数据使用者落实数据安全保护责任。依法依规加强政务数据安全保护，做好政务数据开放和社会化利用的安全管理。健全完善数据跨境流动安全管理相关制度规范，推动提升重要设施设备的安全可靠水平，增强重点行业数据安全保障能力。20226跨部门、跨层级的协同联动机制。二是落实数据安全制度要求。素作用的意见》202212有为政府相结合的数据要素治理格局。国家数据局等17部门联合印发《“数据要素×”三年行动计（2024—2026202312提高交易流通效率，支持行业内企业联合制定数据流通规则、标准，聚焦业务需求促进数据合规流通，提高多主体间数据应用效率。二是打造安全可信流通环境。深化数据空间、隐私计算、联邦学习、区块链、数据沙箱等技术应用，探索建设重点行业和领域数据流通平台，增强数据利用可信、可控、可计量能力，促进数据合规高效流通使用。三是加强数据安全保障。落实数据安全关键信息基础设施安全保护等制度，加强个人信息保护，提升数据安全保障水平。培育数据安全服务，鼓励数据安全企业开展基于云端的安全服务，有效提升数据安全水平。国内数据安全标准化工作已经从顶层设计到行业落地全面开花，但是数据流通是个复杂的话题，目前的标准化工作尚不足以完全指导和满足数据流通安全的需求，未来一段时间，完善标准化工作是重中之重。数据流通安全技术发展我国数据流通安全技术的发展在近年来取得了长足进步，为保障数据安全、促进数据价值合理流动奠定了坚实基础。我们以技术的成熟度作为划分标准，分为通用技术（成熟度较高）和前沿技术（成熟度相对较低），均是我国数据流通安全稳步发展，支撑数字经济发展的重要基石。一、通用技术发展数据流通安全通用技术涉及数据的采集、存储、处理、传输和共享等各个环节，旨在确保数据在流通过程中不被非法获取、篡改、泄露或滥用。这些技术包括数据加密、数据脱敏、访问控制、行为审计、数据水印等多种手段，旨在构建全方位、多层次的数据安全防护体系。我国数据流通安全的通用技术基本到了可以在绝大多数场景下使用的成熟度水平。1CASBSDKAOEUDFTFE达到实战水平。2SQL侧、运维侧、API34普遍的产品。5数据水印技术等等，均已达到可用、好用的程度。但是数据安全的发展永无止境，随着数字化、信息化的不断进步，对数据安全二、前沿技术发展随着需求的不断出新，差分隐私、同态加密、区块链等新技术在数据安全保护领域的需求和应用逐渐增多，进一步提升了数据安全保护能力。1大限度减少识别其记录机会的技术。2算结果在进行对应的同态解密后的明文等同于对明文数据直接进行相同的计算，实现数据的“可算不可见”。即除了能实现基本的加密操作外，还能实现密文间的多种计算功能，即先计算后高信息的安全性。3制、密码学等技术，通过不断增长的数据块链记录交易和信息，确保数据的安全和透明性。4战水平的成熟度。我国数据流通安全技术虽然在多个维度上取得了显著成就，但面对日益复杂的网络环境和攻击手段，单一技术难以提供全方位保护。因此，如何将多种安全技术有效融合，形成综合防御体系，以及持续探索新技术以应对新出现的安全威胁，成为当前和未来一段时间内的紧迫需求。数据流通安全产业发展推动了数据流通安全市场规模的持续性扩张，覆盖从数据加密、脱敏处理到访问权限控制和审计追踪等全方位安全产品与服务的供应。同时，在国家政策推动及数据安全需求的共同驱动下，2025全产业基础能力和综合实力明显增强，数据安全产业规模超过150030%2035入繁荣成熟期。产业政策进一步健全，数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列。一是科技创新步伐加快。国内企业界在数据安全技术的研发上实现了频繁突破，尤其在人工智能辅助的威胁识别、区块链技术确保数据交易的透明度与不可篡改性，以及隐私计算技术在维护数据隐私前提下的价值挖掘等方面，展现了显著的创新成果。这些技术进步极大地拓宽了数据流通安全的实践路径，促进了数据利用的高效与安全并行。二是产业链协同效应显著。数据流通安全产业内部及其与外部关联行业的合作日益紧密，构建了包含安全产品供应商、技术服务提供商、数据交易平台、专业咨询服务公司等多环节的完整产业链生态系统。这种深度协作不仅催化了技术创新与服务模式的融合升级，还加速了安全解决方案在实际场景中的广泛应用。题提出了操作指引，有力促进了产业的规范化与标准化进程。担当与实力。综上所述，我国数据流通安全产业在国家政策的引导下，市场需求的驱动下，科技与资本的双重加持下，以及国际视野的拓展中，正稳健地走向高质量发展的新阶段。数据流通安全人才体系建设人才是“第一资源”，培养数据安全人才是护航数字中国建我国数据流通安全领域的人才体系建设正展现出积极的发展态势，通过教育体系优化、专业认证强化、高端人才引进及科研平业需求同步。政府与行业协会联合推进了一系列专人才引进与交流方面，国家级高层次人才引进项目，吸引了众多海外顶尖数据安全专家回国效力，同时，鼓励国内企业与国际顶尖研究机构、高校建立合作关系，开展联合研究、学术交流和人员互访，有效拓宽了国际视野，促进了技术与理念的双向流动。科研机构人才培养方面，数据安全研究机构和实验室的建设与发展，为人才培育与技术创新提供了重要平台。这些机构聚焦于数据保护技术的前沿探索、安全策略优化、法规标准研究等领域，不仅产出了一系列具有国际影响力的科研成果，还通过研究生培养、博士后工作站等方式，直接参与到高水平专业人才的孵化过程中，为行业输送了大量具备科研创新能力的复合型人才。总之，为了持续激发人才驱动力，我国多年来持续不断营造数据安全人才成长良好环境，深耕数据安全人才“成长沃土”，数据流通安全的重要意义确保数据的可用性、完整性和保密性，是维护各方利益的重要基础。做好数据流通安全工作，对维护国家安全、助推我国数字经济高质量发展、增强企业竞争力，保护个人信息安全具有重要意义。数据资产已成为国家的战略资源和核心资产，数据安全直接关联到国家安全。数据泄露、滥用或不当流通可能对国家安全构成威胁，影响国家政治、经济、社会等方面的稳定。党中央高度重视，就加强数据安全工作和促进数202098贡献中国智慧。国家安全体系中，任何一个安全都离不开数据安全，影响国家安全的因素众多，但唯有数据安全和网络安全具有“牵一发而动全身”的影响。数据已经成为新生产要素，数据安全决定数据要素作用能否发挥，助力数字经济高质量发展。当前各国都在构建以数据为关键要素的数字经济。明晰的权属和有序的流动，是生产要素的本质要求和前提条件，但在全国各地都在纷纷对大数据立法，积极设立数据交易所。但事实上，关于数据开发利用、数据要素流动的一系列问题尚未解决，其中最核心的是数据安全和权益保障问题。目前我国全力推进数据安全顶层设计和政策法规体系建设，将数据要素开发利用工作与数据安全基本制度紧密结合等方式，促进数据要素安全合规有序流通，赋能数字经济高质量发展。三是有利于促进数据安全产业发展。数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态，提供技术、产品和服务的新兴业态。数据要素安全流通需求将为我国数字安全企业提供生存空间和成长环境，有利于数据安全企业推进新型计算模式和网络架构下数据安全基础理论和技术应用研究。有利于数据安全企业优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术，加强隐私计算、数据流转分析等关键技术攻关，研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术，增强数据安全企业核心竞争力，推动数据安全产业高质量发展。数据安全直接关系到个进而造成个人财产损失、身份盗窃等严重后果。数据流通安全涉及数据安全制度、安全技术、安全意识等方面，任何一方面出现缺陷或漏洞，个人信息安全面临严重威胁。当前数据流通组织保障、安全制度和安全技术等日趋成熟完善，多方安全计算、联邦学习、隐私计算、同态加密、区块链、可信环境、零信任等安全技术不断发展，为保护个人信息隐私保护保驾护航。本章小结数据流通安全成为数字经济发展的核心挑战，也是数字化转型、和内涵，明确数据安全与数据流通安全的关系，从“一个基础、四个重点方向、两大保障和一项目标”八个环节构建了数据流通目前的发展现状。最终，阐述了数据流通安全在维护国家安全、促进数字经济高质量发展、促进数据安全产业发展、保障个人信息隐私安全方面的重要意义。第2章数据流通安全政策法规和标准现状数据流通安全战略与政策法规国外数据流通安全战略与政策法规一、欧盟欧盟作为全球数据保护的先行者，尤其强调个人数据安全，通过严格的法律法规构建了坚实的数字防护网，旨在确保个人数据保护的同时促进数据的自由流通与高效利用，表1是其主要政策法规与战略总结。表1欧盟数据流通领域主要的政策法规名称生效时间主要内容全球最严格的数据保护法规之一，规定《通用数据2018年5月了数据主体的权利、数据处理的合法性25日生效规则等。《非个人数据自由流动条例》2018525确保商业数据在欧盟内部自由流通，减少不必要的数据本地化要求，平衡了数据保护与经济发展的需求，促进了商业数据的无障碍流通。处于提案阶《数据法段，需要等待业与政府、企业与企业之间的数据交换案》欧盟立法程序完成据主体的权利。《数据治理法案》2020年底被提议规范公共数据资源复用和企业间数据交易，推动数据共享服务提供者作为中介名称生效时间主要内容《开放数据欧盟各国需在历经多次修订，扩大了公共数据的开放与公共部门2021年7月信息再利用16日前转化为促进公共数据的有效利用和经济价值的指令》国内立法提升。《数字市场法案》《数字服务法案》2022年底由欧洲议会通过针对大型在线平台的市场行为规范，提高在线平台的责任与透明度，间接影响数据流通的安全与合规性。二、美国2政策法规及内容概述。表2美国数据流通领域主要的政策法规名称生效时间主要内容《信息自由法》1966年要求联邦政府机构应公开其记录和信个人隐私等。此法确保了公众有权获取政府信息，提升了政府透明度和数据流通的安全性。《开放政府法》2007年12月31日FOIA效率和透明度，加强了公众获取政府信息的能力，促进了数据流通的及时性和有效性。据平台D2009年上线提供联邦、州政府及企业数据集的集中名称生效时间主要内容《开放政府指令》2009年12月8日要求联邦机构采取具体步骤提高透明可获取性，直接促进了数据流通的安全性和开放性。《开放政府数据法》2019年1月14日要求联邦政府数据默认为开放和机器可标准化和可访问性，推动了数据流通的安全性和效率。战略与20202020年设定了联邦政府数据管理、共享和利用14117行政命令2021年6月9日拜登政府签署，对特定国家的数据传输实施限制，旨在保护国家安全和个人隐私，影响了特定情况下数据流通的范围和安全控制。三、其他主要国家1、英国据开放性，推动政府透明度与社会创新。个人数据保护领域中，在脱欧后提出《数据保护和数字信息法案》（DPDI），旨在平衡个人隐私保护与经济发展需求，确保数据自由流动与安全。针对数据跨境流动，英国实施了《国际数据传输协议》（IDTA），在国际层面上与美国建立“数据桥”，并与欧盟及亚太国家协商，努2、日本G20CPTPP竞争防止法》保护有价值的数据资源。3、韩国韩国通过成立国家数据政策委员会集中了政府与民间的智MyData4、加拿大加拿大政府的开放数据战略不仅局限于数据的简单公布，而且融入了开放政府的广泛理念，旨在通过数据的透明度提升政府治理效能，激发社会创新，并促进经济多元化发展。《开放政府宪章—加拿大行动计划》及其五项原则的提出，为数据开放设定了高标准和明确路径，确保了数据开放的系统性与持续性。在政策法规与平台建设上，通过不断更新的政策框架和开放数据网站等平台的搭建，不仅提高了数据的可获取性，还促进了数据的实用性和创新应用，为科研机构、企业乃至普通公众提供了丰富的数据资源和工具，有效激活了数据的经济和社会价值。5、俄罗斯2017《俄联邦数字经济国家规划》为数字经济增长制定了清晰导向。在个人数据权利保护方面，颁布了《关于信息、信息技术和信息保护法》及《个人数据法》，明确了数据主体的权利和数据处理者的义务，建立了数据流通白名单制度，确保了个人数据在国内得到充分保护。国家数据安全方面，俄罗斯采取了严格的本地化策略，要求个人信息数据库必须位于国内，并对这类数据库的位置进行登记。此外，俄罗斯有权监督并限制数据跨境传输。四、其他国际规则与协定WTO议题制定新规范，逐步优化数据跨境流动的监管环境。系协定》（DEPA）、《区域全面经济伙伴关系协定》（RCEP）以（RCEP）在监管权上拥有更大的灵活性，而《美墨加贸易协定》平洋伙伴关系协定（CPTPP在数据流动的限制上则采取了相对折中的策略。国内数据流通安全战略与政策法规和《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）之后，各地积极响应，展开了一系列积极的探索和实践。各省市均认真贯彻党中央和国务院的战略部署，在数据要素制度体系、公共数据开发开放、数据交易与跨境流通以及数据安全体系等多个方面取得了显著成效。我国针对数据流通安全领域涉及的数据要素制度体系、公共数据开放、数据交易、数据安全和数据跨境流通等尚未有专门的规定，相关要求分散在《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》《密码法》《网络安全等级保护条例》《关键信息基础设施安全保护条例》等法律法规文件中。一、数据要素制度体系3的政策法规。表3数据要素制度体系级别名称国家层面网络安全法数据安全法个人信息保护法政府信息公开条例关键信息基础设施保护条例中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见……地方层面浙江省公共数据条例浙江省数字经济促进条例上海市数据条例北京市数字经济促进条例深圳经济特区数据条例深圳经济特区数字经济产业促进条例广东省政务服务数字化条例级别名称广东省数字经济促进条例天津市促进大数据发展应用条例贵州省信息化条例贵州省大数据发展应用促进条例福建省大数据发展条例厦门经济特区数据条例四川省数据条例海南省大数据开发应用条例安徽省大数据发展条例重庆市数据条例江西省数据应用条例吉林省大数据条例吉林省促进大数据应用条例广西壮族自治区大数据发展条例陕西省大数据条例辽宁省大数据发展条例江苏省数字经济促进条例河北省数字经济促进条例黑龙江省促进大数据发展应用条例河南省数字经济促进条例……二、公共数据开放国家层面在公共数据开发开放方面，陆续出台了诸多条例、公共数据开放管理办法、公共数据资源开放开发管理办法、政府4政策规范。表4公共数据开放政策规范级别名称国家层面国家信息化领导小组关于我国电子政务建设指导意见关于加强信息资源开发利用工作的若干意见政府网站建设指南政府信息公开条例国家信息化发展纲要政务信息资源共享管理暂行办法关于政务信息资源目录编制指南关于加强数字政府建设的指导意见全国一体化政务大数据体系建设指南数字中国建设整体布局规划……地方层面北京市公共数据管理办法天津市政务信息资源共享数据交换技术规范山西省政务数据资源共享管理办法河北省政务数据共享应用管理办法内蒙古自治区政务数据资源管理办法上海市公共数据开放暂行办法江西省公共数据管理办法江苏省公共数据管理办法浙江省公共数据开放与安全管理暂行办法山东省公共数据开放办法广东省公共数据管理办法广州市公共数据开放管理办法海南省公共信息资源管理办法贵州省政府数据共享开放条例级别名称重庆市公共数据开放管理暂行办法云南省政务信息资源共享管理实施细则陕西省政务信息资源共享管理办法宁夏回族自治区政务数据资源共享管理办法湖南省政务信息资源共享管理办法辽宁省政务数据资源共享管理办法……三、数据交易在国家层面上对于数据交易的指导原则和规范融入在一系列综合性的法规和政策之中，如数据条例、公共数据条例、数据要素市场化改革实施办法等。各地区也陆续出台了一系列工作及实施方案，表5是数据交易方面部分政策文件。表5数据交易政策规范级别名称国家层面中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见关于加强数据资产管理的指导意见企业数据资源相关会计处理暂行规定关于加强行政事业单位数据资产管理的通知……地方层面深圳市探索开展数据交易工作方案深圳市数据产权登记管理暂行办法贵阳贵安推进数据要素市场化配置改革支持贵阳大数据交易所优化提升实施方案广西数据交易管理暂行办法山西省加快建设高标准市场体系实施方案级别名称海南省数据产品超市数据产品确权登记实施细则（暂行）……四、数据安全6面部分政策法规文件。表6公共数据开放政策法规级别名称国家层面数据安全法网络安全法个人信息保护法关键信息基础设施保护条例……地方层面上海市政务数据分级与安全保护规范贵州省大数据安全保障条例天津市数据安全管理办法广西政务数据安全管理办法……五、数据跨境流通为促进数据跨境依法有序自由流动，我国相继制定实施的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，对数据跨境流动做出了明确规定。国家网信办于2022年7月7日公布《数据出境安全评2023222同的方式、流程及需提交的材料等的具体要求做出了说明。20243227表7数据跨境流通政策法规级别名称法律法规数据安全法网络安全法个人信息保护法关键信息基础设施保护条例……实施办法数据出境安全评估办法个人信息出境标准合同办法个人信息保护认证实施规则促进和规范数据跨境流动规定……数据流通安全相关标准工作及现状数据跨境流转及合规性的高度重视与积极行动。国际组织ISO/IECJTC1NISTSAC/TC260国外数据流通安全相关标准工作及现状一、国际组织1、ISO/IECJTC1JTC1ISOIECJTC1/SC27，8标准列表。表8ISO/IECJTC1数据流通领域标准列表编号英文名称说明ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritymanagementsystems-Requirements定义了信息安全管理体系的要求，确保组织能够识的控制措施以保护信息资全。ISO/IEC27002Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritycontrols提供了选择和实施信息安制措施直接关系到数据保ISO/IEC27018:2019Informationtechnology-Securitytechniques-Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors关注公有云环境中个人数ISO/IEC27033Informationtechnology-Securitytechniques-Networksecurity涉及网络安全，确保数据在网络中的安全流通。ISO/IEC27036Cybersecurity-Supplierrelationships涉及供应链安全，包括数据在供应链中的安全流通管理。ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002forprivacyinformationmanagement—RequirementsandguidelinesISO/IEC27001ISO/IEC27002息管理和个人数据处理提数据流通中的隐私保护至编号英文名称说明Informationtechnology-Securitytechniques-ISO/IEC27017:2015Codeofpracticeforinformationsecuritycontrolsbasedon为云服务的信息安全管理提供指导，包括数据在云端的流通安全。ISO/IEC27002forcloudservicesSecuritytechniques-Selection,deployment关注信息安全的加密技术ISO/IECandoperationsof和密码学应用，为数据在传27039:2015intrusiondetectionand输和存储中的加密提供指preventionsystems导。(IDPS)2、NISTNIST（美国国家标准与技术研究院NationalInstituteofStandardsandTechnology）是美国商务部下属的一个非监管机构，旨在促进美国的创新和工业竞争力，制定了信息安全、信息技术、制造业、生物技术、纳米技术等领域的标准，在网络安全方面发布了多个网络安全标准和指南，确保技术的安全、可靠性和互操作性，表9是涉及数据流通安全的部分NIST标准列表。表9NIST数据流通领域标准列表编号英文名称说明SecurityandPrivacy信息安全控制框架，涵盖了NISTSPControlsforInformation从物理安全到数据保护多800-53Systemsand个方面，包括数据在系统间Organizations传输时的安全控制。ProtectingControlled专门针对非联邦系统中受NISTSPUnclassifiedInformation800-171inNonfederalSystems其中包括数据的传输安全andOrganizations要求。编号英文名称说明NISTSP800-122GuidetoProtectingtheConfidentialityofPersonallyIdentifiableInformation(PII)PII含了数据传输和分享过程NISTSP800-154GuidetoData-CentricSystemThreatModeling侧重于公共云环境，也提供了关于数据在云环境中的流通和保护的相关指南。NISTSP800-181WorkforceFrameworkforCybersecurity(NICEFramework)关注网络安全人员的技能框架，支持了数据流通安全的实现。NISTSP800-190ApplicationContainerSecurityGuide关注容器安全和数据流通安全，特别是涉及到容器化应用中的数据移动。3、IEEEInstituteofElectricalandElectronics10IEEE表10IEEE数据流通领域标准列表编号名称IEEE2830-2021IEEEStandardforTechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbasedSharedMachineLearningP3227StandardforaReferenceFrameworkofDataSecurityCirculationSystemBasedonBlockchainandFederatedComputationIEEE2813-2020IEEEStandardforBigDataBusinessSecurityRiskAssessment编号名称IEEE3158-2024IEEEApprovedDraftStandardforTrustedDataMatrixSystemArchitecture国内数据流通安全相关标准工作及现状一、国家标准1、全国网络安全标准化技术委员会化活动。近期，全国网络安全标准化技术委员会成立了“WG8-作。TC26011。表11TC260数据流通领域标准列表标准名称标准概述发布时间GB/T43207-2023信息系统密码应用设计指南,包括信息系统密码应用框架、密码应用方案设计原则、密码应用方案设计过程和密码应用方案设计指南。2023年9月GB/T20945-20232023年5信息安全技术网规定了网络安全审计产品的技术月络安全审计产品技要求并描述了测评方法。术规范标准名称标准概述发布时间GB/T42460-2023信息安全技术个提供了个人信息去标识化效果分2023年3人信息去标识化效级与评估的指南。月果评估指南规定了信息系统第一级到第四级的密码应用的基本要求,从物理和GB/T39786-2021环境安全、网络和通信安全、设信息安全技术信备和计算安全、应用和数据安全2021年息系统密码应用基四个技术层面提出了密码应用技10月本要求术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求。GB/T39477-2020信息安全技术政务信息共享数据安全技术要求该标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。202011GB/T38647.2-2020名第2202011规定了开展收集、存储、使用、GB/T35273-2020信息安全技术个人信息安全规范202010人信息处理活动。GB/T37932-2019规定了通过数据交易服务机构进行数据交易服务的安全要求，包括数据交易参与方、交易对象和交易过程的安全要求。2019年8月GB/T37973-2019信息安全技术大数据安全管理指南要求、评估大数据安全风险。2019年8月标准名称标准概述发布时间GB/T37964-2019描述了个人信息去标识化的目标和原则，提出了去标识化过程和管理措施，针对微数据提供具体的个人信息去标识化指导。2019年8月GB/T37988-2019信息安全技术数据安全能力成熟度模型该标准给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。2019年8月GB/T36624-2018旨在为公共及商用服务信息系统中的个人信息保护提供一套指导原则和实践方法，以提升数据安全和隐私保护水平。2018年9月GB/T42572-2023确立了可信执行环境服务的技术框架体系，规定了相关安全技术要求及测试评价的方法。2023年5月GB/T42571-2023信息安全技术区块链信息服务安全规范规定了区块链信息服务提供者的安全技术要求和安全管理要求，描述了相应测试评估方法和检查评估方法。2023年5月GB/T42570-2023信息安全技术区块链技术安全框架2023年5月GB/T41388-2022信息安全技术可信执行环境基本安全规范确立了可信执行环境系统整体技术架构，描述了可信执行环境基础要求、可信虚拟化系统可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。2022年4月GB/T43557-2023信息安全技术网络安全信息报送指南给出了网络安全信息报送的信息类型和要素，以及网络安全信息报送活动的要素和关系、基本流程、报送方式等。2024年1月标准名称标准概述发布时间GB/T43697-2024信息安全技术数据分类分级指南和核心数据。2024年3月GB/T32907-2016SM4规定了SM4分组密码算法的算法结构和算法描述，包括加密算法和解密算法。2016年8月GB/T32918.1-2016SM2SM2定义等。2016年8月GB/T33133-2016对祖冲之序列密码算法进行了规范，适用于相关信息安全领域。2016年2月GB/T38635.1-2020等信息安全技术SM9标识密码算法SM9制和公钥加密算法等。2020年4月GB/T32905-2016信息安全技术SM3密码杂凑算法对SM3密码杂凑算法进行了定义和规范，用于生成消息的杂凑值2016年8月GB/T37964-2019信息安全技术个人信息去标识化指南描述了个人信息去标识化的目标和原则，提出了去标识化过程和管理措施。2019年8月GB/T37988-2019信息安全技术个人信息去标识化效果评估指南规定了个人信息去标识化效果的评估方法和流程，以确定去标识化处理后的个人信息是否达到预期的保护效果。2020年3月GB/T39205信息安全技术轻量级鉴别与访问控制机制规定了轻量级的鉴别机制和访问控制机制2020102、全国信息技术标准化技术委员会全国信息技术标准化技术委员会（SACTC28）负责信息技术领域的标准化工作，组织开展信息技术领域的标准化研究、技术交流和合作，推动信息技术标准的国际化。表12TC28数据流通领域标准列表标准名称标准概述发布时间GB/T33770.2-20192规定了信息技术外包服务中数据保护所涉及的数据生命周期、数据主体权利、数据管理者、数据管理、管理机制、数据获取、数据处理、安全管理、过程管理、应急管理等方面的基本规则和要求。2019年8月GB/T38664指导和规范政务数据有效地开放和共享，以促进政府数据资源的利用和社会经济的发展。2020年4月GB/T38667-2020信息技术大数据数据分类指南提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导，适用于指导大数据分类。2020年4月3、全国数据标准化技术委员会2024年5月底全国数据标准化技术委员会正式获得批复筹建。业务指导单位为国家数据局，秘书处承担单位为中国电子技术标准化研究院，这标志着我国在数据标准化工作中迈出了整合与集中的关键一步。其将负责数据资源、数据技术、数据流通、智慧城市、数字化转型等基础通用标准，以及支撑数据流通利用的数据基础设施标准和保障数据流通利用的安全标准制修订工作。旨在从顶层规划和设计出发，统一协调全国范围内的数据安全标准化活动，减少重复建设，提高标准的系统性和实用性。二、行业标准13涉及数据流通安全的部分行业标准列表。表13数据流通领域行业标准列表标准名称标准概述发布时间JT/T1480-2023交通运输数据脱敏指南适用于交通运输数据脱敏工作的实施和管理。2023年11月YD/T4386-2023可信数据服务可信数据流通平台评估要求规定了数据流通平台提供数据服务时，在平台管理、流通参与主体管理、流通品管理、流通过程管理等方面应满足和体现的服务能力与服务质量的要求。2023年7月YD/T4251-2023电信运营商大数据安全管控分类分级技术要求规定了基础电信企业各系统或平台涉及的用户数据安全管控的具体分类分级技术要求，包括电信大数据安全管控分类分级原则、电信大数据分类、电信大数据分级、对外开放分级安全管控技术要求和内部分级安全管控技术要求等。2023年5月YD/T4245-2023电信网和互联网数据脱敏技术要求和测试方法规定了电信网和互联网数据脱敏的技术要求与测试方法，适用于电信网和互联网数据的脱敏工作，脱敏技术能力的设计、研发、测试、评估和验收等，包括数据脱敏的提供商、用户、测评机构和监管机构等。2023年5月YD/T4242-2023电信网和互联网数据安全日志审计指南规范了基于数据生命周期各环节数据访问和操作日志的审计工作，包括日志审计组织方式、审计对象和重点、审计工作技术支撑条件等，重点从应对组织机构内外部数据安全风险出发，场景化梳理了数据安全日志审计的策略。2023年5月标准名称标准概述发布时间YD/T2441-2013互联网数据中心技术及分级分类标准规定了互联网数据中心的技术要求和分级分类方法，主要涉及机房设施、网络技术、资源管理、安全保障等方面。2013年4月YD/T3592-2019法描述了电信大数据平台中数据脱敏的具体实施方法和流程。2019年8月YD/T3768-2020电信网和互联网数据脱敏技术要求和测试方法规定了电信网和互联网中数据脱敏的技术要求以及相应的测试方法。2020年4月YD/T4219-20235G移动通信网数据流转安全技术要求5G5G5G2023年5月T/TAF137-2022基于差分隐私的用户个人信息保护技术要求针对移动互联网应用程序（App）的个人信息收集、使用和保护，旨在规范App开发者和运营商在处理用户个人信息时的行为，保障用户数据安全和隐私。2022年11月DL/T2549-2022电力数据脱敏实施规范2022年11月YD/T3954-2021保护能力参考框架适用于第三方机构对云计算服务提供者的用户数据安全保护能力审查和评估提供依据，为云计算服务提供者的用户数据安全保护能力建设提供参考。2021年12月GY/T351-2021广播电视和网络视听收视综合评价数据脱敏规则规定了广播电视和网络视听收视综合评价数据的脱敏原则、脱敏技术、脱敏流程和脱敏要求。2021年5月标准名称标准概述发布时间YD/T3806-2020电信大数据平台数据脱敏实施方法适用于电信大数据平台、安全管控平台中的数据脱敏。2020年12月JR/T0197-2020南给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。2020年9月GA/T913-2019信息安全技术数据库安全审计产品安全技术要求适用于数据库安全审计产品的设计、开发及测试。2019年1月JR/T0295-2023证券期货业信息安全运营管理指南提供了开展信息安全运营管理中安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理以及持续改进管理的指导思路及方法。2023年10月JR/T0197—2020金融数据安全数据安全分级指南规定了金融数据安全分级的目标、原则和范围，以及数据安全级别的划分方法和定级规则。2020年9月JR/T0223—2021针对金融数据在其整个生命周期中的安全管理提出规范要求。2020年9月NB/T11302-2023电动汽车充电设施及运营平台信息安全技术规范规定了电动汽车充电设施及运营平台的网络信息安全防护要求，适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。2023年10月GM/T0126-2023HTML密码应用置标语法HTML2023年12月标准名称标准概述发布时间GM/T0127-2023规定了移动终端密码模块的结构模型、数据类型定义、应用接口及安全要求。2023年12月GM/T0128-2023数据报传输层密码协议规范规定了数据传输层密码协议，包括记录层协议、握手协议族和密钥计算。2023年12月GM/T0129-2023SSH密码协议规范SSH2023年12月GM/T0130-2023SM2SM22023年12月GM/T0131-2023电子签章应用接口规范规定了电子签章系统对外提供的服务接口，为电子签章系统与应用系统之间提供统一的数据交换格式。2023年12月GM/T0132-2023信息系统密码应用实施指南给出了信息系统密码应用的流程指导和建议，描述了规划、建设、运行及终止阶段的实施过程及主要活动。2023年12月GM/T0032-2014基于角色的授权与访问控制技术规范规定了基于角色的授权与访问控制框架结构及框架内各组成部分的逻辑关系，定义了各组成部分的功能、操作流程及操作协议，定义了访问控制策略描述语言、授权策略描述语言的统一格式和访问控制协议的标准入口。2014年2月三、地方标准上海、江西、四川、江苏、陕西、浙江等地分别在数据流通等安全层面提出了数据流通安全规范，规定了公共数据共享安全管理的管理要求，表14是涉及数据流通安全的部分地方标准列表。表14数据流通领域地方标准列表标准编号标准名称地区发布时间DB34/T4631.2—2023政务数据第2部分：脱敏技术规范安徽省2023年10月DB3203/T1024—2023公共数据分类分级指南徐州市2023年5月DB51/T3058—2023政务数据数据脱敏规范四川省2023年4月DB31/T1446—2023公共数据安全分级指南上海市2023年1月DB36/T1713—2022公共数据分类分级指南江西省2022年12月DB3212/T1116—2022政务数据安全分类分级指南泰州市2022年12月DB3212/T1118—2022政务数据共享与开放安全管理规范泰州市2022年12月DB61/T1636—2022数据安全审计规范陕西省2022年12月DB36/T1585—2022基于政务云平台密码服务技术规范江西省2022年5月DB3301/T0363—2022公共数据脱敏管理规范杭州市2022年4月DB33/T2351—2021数字化改革公共数据分类分级指南浙江省2021年7月DB31/T1311—-2021数据去标识化共享指南上海市2021年7月DB34/T3821—2021智慧社区公共安全数据交换与共享安徽省2021年1月DB15/T2199—2021数据交易安全技术要求内蒙古2021年5月DB52/T1557—2021大数据开放共享安全管理规范贵州省2021年1月DB37/T3523.2—2019公共数据开放第2部分：数据脱敏指南山东省2019年3月四、团体标准国内相关团体已发布大量团体标准，例如中国通讯标准化协会、中国互联网金融协会、中国通信协会以及部分省份的大数据协会先后公布了明确了数据流通安全的应用标准，表15是涉及数据流通安全的部分地方标准列表。表15数据流通领域团体标准列表标准编号标准名称发布单位发布时间T/CSEE0309.3-2022能源大数据第3部分：分级分类电力信息化专业委员会2023年8月T/CAAAD004-2022互联网广告数据匿名化实施指南中国广告协会2023年1月T/CCSA472-2023隐私计算应用面向金融场景的应用要求中国通信标准化协会2023年10月T/CCSA473-2023隐私计算应用面向政务场景的应用要求中国通信标准化协会2023年10月T/CCSA481-2023车联网应用软件通用安全技术规范中国通信标准化协会2023年10月T/TSIA004-2023互联网软件运营安全管理规范天津市软件行业协会2023年10月T/TSIA005-2023网络安全第三方服务机构管理规范天津市软件行业协会2023年10月T/NIFA21—2023金融数据安全技术防护规范中国互联网金融协会2023年11月T/NIFA22—2023金融数据安全应急响应和处置指引中国互联网金融协会2023年11月T/QGCML2131—2023数据安全风险评估规范全国城市工业品贸易中心联合会2023年11月T/QGCML2169—2023网络安全威胁检测分析系统全国城市工业品贸易中心联合会2023年11月T/SDBDA51—2023大数据平台网络安全等级划分指南山东省大数据协会2023年11月T/STMA011—2023城市网络安全综合防控平台设计指南四川省技术市场协会2023年11月标准编号标准名称发布单位发布时间T/SHMHZQ016—2023数据安全管理评价指标管理规范2023年11月T/CIQA76-2024检验检测行业数据安全工作指南中国出入境检验检疫协会2024年1月T/CIQA77-2024检验检测行业网络安全等级保护实施指南中国出入境检验检疫协会2024年1月T/ZGTXXH091-2024面向算网安全的隐私计算技术要求中国通信学会2024年1月本章小结国际合作等诸多方面依旧存在许多需求与挑战需要通过标准化第3数据流通安全面临的风险数据流通安全面临的风险涉及多个层面，这些风险不仅影响数据的完整性、可用性和保密性，还可能对业务运营、法律合规以及国家安全造成重大影响。一是数据流通法律法规要求不统一。在数据流通安全方面，但是不同国家和地区对于数据流通的法律法规和政策要求存在较大差距，这导致跨国数据流通时难以确保全面合规。另外，随滥用的风险。数据流通基础设施包括保障数据流通安全的网络、存储、计算等的资源，仍然存在基础设同时，如果数据在传输和存储过程中遭受攻击或泄露，将影响数据流通的安全性。四是新技术带来的不确定性。随着区块链、人工智能等新兴技术的发展，虽然在某个方面提高了数据的安全性，但也可能引发其他的安全风险和问题。例如人工智能技术在数据分析和处理中的广泛应用，虽然提高了数据流通的智能化水平，但同时也带来了数据污染和误判的风险。五是数据安全技术和手段不足。数据流通过程中数据安全技术和手段不足的风险，涉及数据泄露、数据篡改、数据丢失等多个方面，这些风险直接威胁到数据的机密性、完整性和可用性。例如数据流通过程中采用的加密技术不够先进或存在漏洞，攻击者可能通过破解加密算法或利用加密过程中的弱点来获取未加密的数据，导致数据泄露。访问控制机制不完善或执行不严，攻击者可能通过伪造身份、绕过安全策略等方式非法访问数据。数据在流通过程中可能经过多个环节和多个参与方，如果缺乏有效的完整性验证机制，数据可能被篡改而未及时发现。将引起很多安全风险，例如企业员工可能因疏忽（账号密码、误发邮件等）、恶意行为（感信息等）据泄露。数据流通安全标准化需求一、规范数据流通安全相关术语和框架统一行业内对数据流通安全概念、模型和框架的理解，消除交流障碍，为后续标准制定提供清晰、一致的术语基础，确保不同参与者在数据流通活动中能够准确识别安全角色、明确职责界限，以及理解数据生命周期中各阶段的安全活动，主要工作内容包括：数据流通安全术语标准：建立一套详尽的数据流通安阶段等，附带实例解释和使用场景。安全模型与框架标准：构建数据流通安全参考模型，示各安全角色之间的互动关系，以及数据流通安全体系的结构、功能模块和它们之间的逻辑关联。二、推动数据流通基础设施安全建设确保数据流通基础设施的安全性，为数据的采集、传输、存储、处理等关键操作提供坚固的技术支撑，防止数据泄露、篡改和非法访问，提升数据流通整体的安全防护能力，主要工作内容包括：基础设施安全技术规范：制定数据流通基础设施（控制、入侵检测系统等。安全运维管理标准：建立数据流通基础设施安全运维标准化流程，涵盖日常维护、安全事件响应、定期审计等。安全技术应用指南：提供数据流通基础设施安全技术应用指南，包括如何实施安全技术、如何进行安全技术的评估和选择。三、保障数据流通生命周期的安全管理确保数据在全生命周期内的安全，从数据的产生到销毁，每一个环节都应有明确的安全管理流程和措施，减少内部和外部数据安全风险，保护数据的完整性和隐私性，主要工作内容包括：数据生命周期安全策略：储、共享、销毁等各阶段的详细安全策略和操作规程。（如个人数据重要数据）制定特定的保护措施和安全等级划分。数据安全事件应急响应机制：建立数据安全事件的应等。四、支撑数据服务的安全管理确保数据服务提供商能够提供安全可靠的服务，通过规范数据服务的安全能力、数据交易服务的安全操作，以及数据安全治理机制，增强数据服务的安全性和透明度，支持数据流通市场的健康发展，主要工作内容包括：数据服务安全能力评价体系：建立一套全面的数据服安全能力评价标准，包括安全能力成熟度模型和评价方法。数据交易服务安全操作指南：全操作规范，包括数据验证、隐私保护、合同条款等。数据安全治理框架：安全策略、风险管理、合规性检查等方面的具体要求。五、数据流通产品和服务安全评估通过建立数据流通相关安全产品和服务的评估标准和指南，确保市场上流通的安全产品和服务具有明确的安全性能指标，能够有效地保护数据在处理、传输过程中的安全，促进安全技术的健康发展和广泛应用，主要工作内容包括：可信执行环境等技术产品，制定具体的安全技术要求和性能指标。安全产品测评指南：制定安全产品测评的流程、方法的测试。六、促进数据应用的安全和持续发展安全发展，主要工作内容包括：医疗等行业制定特定的数据分类、保护和共享标准。行业数据流通安全指南：针对不同行业发布数据流通全操作指南，提供行业特定的合规建议、安全控制措施和风险管理策略。本章小结在数据流通过程中，数据流通安全面临的风险是多方面的，这些风险不仅影响数据的完整性、可用性和保密性，还可能对业务运营、法律合规等方面造成严重影响。通过数据流通安全风险分析，确定包括规范相关术语和框架、推动基础设施安全建设、保障数据流通生命周期和数据服务的安全管理、建立数据流通产品和服务安全评估体系，促进数据应用的安全和持续发展的标准化需求，为搭建数据流通安全体系框架奠定基础。第4章数据流通安全标准体系坚实的标准支撑，促进数字经济健康发展。数据流通安全体系框架数据流通安全标准框架以数据保护为核心，依托于安全法律法规，从基础通用要求、技术与管理、产品与服务以及能力保障等方面来构建，确保数据在流通中安全可靠，为政府和行业主管部门的监督管理提供有力支撑，具体数据流通安全标准体系框架如图4-1所示。图4-1数据流通安全标准体系框架数据流通安全标准体系框架主要分为基础标准、通用要求、技术标准、管理标准、产品与服务标准以及保障能力六大类，每个大类又细分为若干子类，标准大类与标准子类共同构成标准体系框架，每个子类下包含若干现行标准和未来需要制定的标准。其中：基础设施安全、数据匿名化、数据加密、数据溯源、风险监测、数字资产识别、数据脱敏和访问控制等相关要求和指南。流通制度、流通过程安全管理、数据流通安全事件管理等方面制定相关标准。数据流通安全标准体系以数据流通安全体系框架为基础，深入细化各类标准，有效规范数据安全流通，降低数据流通风险，促进数据的合理利用和价值释放，构建面向工程、面向系统的数据流通安全标准。涵盖数据安全流通过程提供全流程支撑和保障，在已有标准规范的基础上，设计完善体系框架，查漏补缺，形成数据流通标准体系，参见图4-2。图4-2数据流通安全标准体系结构图一、基础标准数据基础类安全标准是整个数据流通安全标准体系总体性、框架性和基础性的标准规范，提供包括术语、模型、框架等通用基础标准，明确数据流通过程中各类安全角色及相关的安全活动或功能定义，为其他标准的制定奠定基础。术语术语类标准明确数据流通安全相关术语，用于统一数据流通安全相关概念，为其他标准的制定奠定基础。模型模型类标准用于理解数据流通安全，表达数据流通安全相关的概念以及概念之间的关系。该模型主要包括数据流通安全责任共担模型和数据流通安全通用模型。框架参考架构相关标准是对数据流通安全内在的要求、设计结构和运行建立的一个开放的数据流通安全技术模型，规范数据流通安全体系架构有助于准确理解数据流通安全保障包含的结构层次、功能要素及其关系，指导数据安全的顶层设计和架构建立，为规划和设计数据流通安全其他标准提供基础参考。二、通用要求分类分级数据分类分级指南为了落实数据分级防护的政策要求，要对流通中的数据进行分类分级防护，结合国家已发布的相关标准对数据进行分类分级，在数据分类分级指南中进一步明确，通用的分类分级标准也是数据安全保护要求标准的基础。与此同时，可以结合各个行业数据分类分级的特殊需求，结合数据分类分级指南制定行业数据分类分级指南，为不同行业领域应用场景、数据流通过程的安全保护提供基础的支撑标准。基本要求数据流通安全保护标准是数据流通安全的技术标准，也是数据流通安全保护的基本标准，在该标准中覆盖数据流通全生命周期，提出数据流通安全数据保护的基本要求。与此同时，可以结合各个行业数据保护的特殊需求，结合数据安全保护要求制定行业数据保护要求。方法指南数据安全设计要求和实施指南为了落实数据安全保护要求，需要提出数据流通安全通用技术框架，并提出具体的实施过程和控制要求，为数据服务提供者或者是数据运营者针对数据流通安全提供参考。三、技术标准数据流通安全保护技术类标准是基于对数据保护的要求，提出针对支撑数据流通基础设施安全和数据流通全生命周期安全相关技术标准的制定。数据流通基础设施数据流通基础设施安全技术标准是基于对数据保护的要求，提出针对支撑数据流通基础设施安全相关标准的制定，包括数据流通基础设施安全技术要求、设计要求及测评要求等。数据加密确保数据流通过程中的安全性。主要涉及加密算法的选择、密钥管理、加密技术的应用以及合规性检查等多个方面。数据匿名化数据流通匿名化技术指南旨在说明隐私技术涉及多种技术以便用户能够基于统一标准对不同技术产品进行评估和选择。风险监测数据流通安全风险监测旨在规定数据流通过程中对有可能产生安全风险的环节进行监控的要求。流通溯源数据流通溯源风险监测旨在规定在突发数据安全泄露事件时对基于数据使用者、敏感数据、事件属性等信息建立统一的数据质量标准规则。数据资产识别数据流通资产识别技术指南明确数据流通全生命周期中的资产识别方法，为相关进行资产识别提供指导。数据脱敏数据流通数据脱敏技术标准旨在国家现有数据脱敏技术的基础上，根据各行业自身实际情况和需求，制定统一的数据脱敏和匿名化处理标准，确保在数据流通过程中个人信息得到有效保护，避免隐私泄露风险。访问控制数据流通访问控制技术指南是以现有国家行业标准为基础，结合数据流通过程，提出访问控制要求和方法。四、管理标准数据流通安全保护管理类标准与安全技术类标准共同落实数据安全保护要求，从流通过程、安全事件等方面支撑数据可信流通，构建数据流通各环节的安全基础。管理体系数据流通管理体系是一个综合性的框架，通过应用风险管理过程来确保数据在流通过程中的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心。规定了在组织环境下建立实现维护和持续改进管理体系的要求。流通过程不同环节提出安全管理要求。安全事件数据流通安全事件分类分级指南旨在明确安全事件分类和分级的方法，界定安全事件类别和级别，并明确，安全事件分类监测预警和应急处置等活动提供指导。应急处置数据流通应急处置方法是以安全事件分类分级为基础，针对不同级别的风险选择适当的控制措施，制定应急处置计划并获得风险责任人对应急处置计划批准的过程。五、产品与服务数据流通产品和服务类标准，包括数据流通安全服务安全基本要求、数据流通安全服务安全评测指南、数据流通安全产品安全基本要求和数据流通安全产品安全测评指南等相关标准。六、保障能力数据流通安全保障能力标准指导和规范数据流通参与方能力的评估，包括对数据提供方、数据服务提供方、第三方数据安全评估机构的管理要求、评估要求、评估体系要求；还包括对数据服务组织的数据服务安全能力成熟度评估标准，以及数据自身的安全评价等相关标准。数据安全评价数据安全评价要求是针对数据流通过程中各相关方、对象、评价管理、评价体系、评价指标、过程管理、人员管理、文档管评价规则，及数据安全评价实施提供指导。数据提供方数据提供方安全能力评估要求针对数据提供方提出具体的要求，如数据提供方的合法身份、数据提供方提供数据的质量、完整性及安全性等，确保采集到的数据来源可靠、数据可信。数据服务提供方数据服务提供方安全能力要求针对数据服务提供方所具有的安全服务能力提出评估的要求，确保具有一定安全防护能力的数据服务提供方才能运营数据、提供数据服务。数据评估机构数据安全评估机构能力要求是对第三方评估机构在开展安全评估时应具备的安全服务能力要求进行描述，数据流通安全第三方评估科学合理开展做好支撑。表16数据流通标准列表序号标准类型标准名称1基础标准术语信息安全技术数据流通安全技术术语2模型信息安全技术数据流通安全责任共担模型序号标准类型标准名称3信息安全技术数据流通安全通用模型4信息安全技术数据安全能力成熟度模型（已发布）5框架信息安全技术数据流通安全参考框架6通用要求分类分级通用信息安全技术数据分类分级指南（已发布）7信息技术大数据数据分类指南（已发布）8行业金融数据安全数据安全分级指南（已发布）9互联网数据中心技术及分级分类标准（已发布）10其他行业数据分类分级指南11基线要求通用信息安全技术数据流通安全保护要求12行业行业数据流通安全保护要求13方法指南要求信息安全技术数据流通安全设计要求14指南信息安全技术数据流通安全实施指南15技术标准基础设施安全信息安全技术数据流通基础设施安全要求16信息安全技术数据流通基础设施安全建设指南17数据匿名化信息安全技术数据匿名化指南18风险监测信息安全技术数据安全风险监测指南19流通溯源信息安全技术数据流通溯源风险监测指南20数据资产识别信息安全技术数据资产识别技术指南21数据加密信息安全技术SM4分组密码算法（已发布）22SM2（已发布）序号标准类型标准名称23信息安全技术祖冲之序列密码算法（已发布）24信息安全技术SM9标识密码算法（已发布）25信息安全技术SM3密码杂凑算法（已发布）26信息技术安全技术.加密算法.第6部分:同态加密(第一版)（已发布）27其他数据加密技术标准28数据脱敏信息安全技术个人信息去标识化指南（已发布）29信息安全技术个人信息去标识化效果评估指南（已发布）30电信大数据平台数据脱敏实施方法（已发布）31电信网和互联网数据脱敏技术要求和测试方法（已发布）32金融数据安全数据生命周期安全规范（已发布）33电力数据脱敏实施规范（已发布）34交通运输数据脱敏指南（已发布）35其他数据脱敏技术标准36访问控制信息安全技术轻量级鉴别与访问控制机制（已发布）37基于角色的授权与访问控制技术规范（已发布）38其他访问控制技术标准39管理标准管理体系信息安全技术数据流通安全管理体系要求40流通过程信息安全技术