新闻中心

行业动态公司新闻媒体动态

数据安全中的数据处理活动与数据全生命周期

2024-01-23 17:21       浏览:471

       数据安全最早出现在20世纪60年代,并于20世纪末在国内有所发展。自2006年前后,国内数据安全领域内开始使用“数据全生命周期安全”的概念,在此后的十余年间,数据全生命周期安全是业内打造数据安全的主要思路。“数据处理活动”则是在2021年《数据安全法》(简称:数安法)中提出,并在后续数据安全相关的办法指引、国标、行标中,形成了数据处理活动的安全为主,数据全生命周期安全并存的趋势。那么,数据处理活动安全与数据全生命周期安全有哪些区别和联系?本文将针对这两者进行解析。



数据处理活动安全从数据所处的业务相关活动的维度做安全保障,包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据处理活动安全是数据处理过程中涉及到的相关活动的安全,以当前活动阶段的安全为特征。

数据全生命周期安全从数据的时间维度做安全保障,包括创建、存储、使用、共享、归档和销毁等过程。数据全生命周期安全是一个长期的过程,涵盖数据从创建到销毁的整个周期,以时间维度上的连续性为特征。

数据处理活动关注数据的处理和操作,如何处理和转化数据以获得有价值的信息,相应的,数据处理活动安全关注数据需要通过开发利用来释放价值,在数据创造价值的过程中保障数据的安全。在这个过程中,数据安全风险的表现和数据安全措施的选择,往往受数据处理活动的影响较为显著。因此数据处理活动安全的重点在于在具体的数据处理活动中,数据可能面临的安全风险以及为了保障数据处理活动安全且顺利地进行,而采取的一系列安全措施。

数据全生命周期关注如何管理数据的整个生命周期,相应的,数据全生命周期安全关注数据从创建到销毁的过程的安全管理,重点在于数据本身的安全。

数据处理活动安全和数据全生命周期安全,在采取具体的安全措施方面有一些相似之处,比如说访问控制、存储加密、数据脱敏等等,但由于两者关注重点的差异,安全措施的适应性和选择原则存在显著不同。

在数据处理活动安全中,不管是数据处理者还是监管侧,其重点是通过数据处理活动来安全的释放价值,这就意味着实施哪些安全措施,如何实施安全措施,需要首先将安全措施与一系列数据处理活动或者与数据处理活动关联的业务流程进行对照和评估,让数据在获得安全保障的同时还能够不影响数据的利用和业务的流转。因此,数字化背景下,数据处理活动安全,实质是要获得数据安全与数据开发利用的平衡,在安全措施方面需要根据数据处理活动的场景进行灵活的选择和适配。

数据全生命周期安全,其重点在于整个生命周期的安全管理,在安全措施方面往往根据数据所处的生命周期阶段来进行选择,安全措施也更固定和直接。

数据处理活动安全在数据处理过程中采取安全措施。同步的,数安法中规定了对影响安全的数据处理活动进行监督和审查。数据处理活动是一系列当期发生的活动,从时间跨度来看是可预测、可控制的一个时间阶段,不管是数据处理者采取安全措施,还是监管部门针对具体的数据处理活动开展审查、监督,都是易于实施的。

数据全生命周期安全在数据从创建到销毁的各个环节中实施相应的安全措施。对于数据从创建到销毁来讲,可能是一个短则几个月、长则可能横跨几十年的过程,在这个过程中不管是对于数据处理者对数据采取安全措施,还是监管部门对数据安全开展审查、监督,相比数据处理活动来讲,落地难度加大,可控性相对来讲弱一些。基于这一原因,在有些场景下,依据数据全生命周期安全的数据安全建设,效果不显著。

 


数据处理活动安全与数据全生命周期安全在维度、关注重点、安全措施、过程控制等方面存在差异,但需要注意的一点是,数据处理活动安全与数据全生命周期安全之间存在紧密的联系:

1. 数据处理活动安全中的特定活动,同时也可以是数据全生命周期安全中的一个环节。比如,数据处理活动中的存储安全、传输安全,在数据全生命周期安全中,也是涉及的。

2. 数据全生命周期安全出现得较早,发展历程较长,在数据全生命周期安全中积累了大量的保障数据安全的措施,这些措施可以选择性地应用于数据处理活动的特定环节,为数据处理活动安全提供支撑。

 

 

 

       数据处理活动安全与数据全生命周期安全之间既存在显著的差异,又包含了紧密的联系。在具体的应用中,选择数据处理活动维度的安全还是数据全生命周期维度的安全,取决于数据处理者利用数据的过程和构建数据安全体系的目标。在数据处理活动较为简单的场景下,数据处理活动本身对数据安全影响不大,而数据处理者更关注对数据本身的安全管理,在这类情况下数据全生命周期安全较为适用;数据处理活动指向特定的处理场景,或者涉及一系列数据处理活动之间交互时,数据处理活动本身对数据安全具有显著的影响,在这类情况下应用数据处理活动安全较为适用。

除上述应用方式之外,还有一部分应用以特定的数据使用(处理)的场景或目的为主体框架,阐述数据安全。总体上来看,在数安法发布后,主要以数据处理活动安全为主,各办法指引、标准的阐述角度如下表。

数据处理活动安全

分类

名称

颁布/发布机构

颁布/发布时间

法律

法规

中华人民共和国数据安全法

第十三届全国人大

常务委员会

2021

6/10

法律

法规

中华人民共和国个人信息保护法

第十三届全国人大

常务委员会

2021

8/20

条例

《网络数据安全管理条例

(征求意见稿)》

国家互联网信息办公室

2021

11/14

规定

汽车数据安全管理若干规定

(试行)

国家互联网信息办公室

国家发展和改革委员会

工业和信息化部

公安部

交通运输部

2021

8/16

国家

标准

GB/T 35274-2023 信息安全技术

大数据服务安全能力要求

国家市场监督管理总局

国家标准化管理委员会

2023

8/6

国家

标准

GB/T 42447-2023 信息安全技术

电信领域数据安全指南

国家市场监督管理总局

国家标准化管理委员会

2023

3/17

国家

标准

GB/T 41819-2022 信息安全技术

人脸识别数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 41806-2022 信息安全技术

基因识别数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 41773-2022 信息安全技术

步态识别数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 41807-2022 信息安全技术

声纹识别数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42014-2022 信息安全技术

网上购物服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42012-2022 信息安全技术

即时通信服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42015-2022 信息安全技术

网络支付服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42017-2022 信息安全技术

网络预约汽车服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42016-2022 信息安全技术

网络音视频服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 42013-2022 信息安全技术

快递物流服务数据安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 41479-2022 信息安全技术 网络数据处理安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

4/15

国家

标准

GB/T 37973-2019 信息安全技术 大数据安全管理指南

国家市场监督管理总局

国家标准化管理委员会

2019

8/30

国家

标准

GB/T 35273-2020 信息安全技术 个人信息安全规范

国家市场监督管理总局

国家标准化管理委员会

2020

3/6

行业

标准

YD/T 3802-2020 电信网和互联网数据安全通用要求

工业和信息化部

2020

12/9

 

数据全生命周期安全

分类

名称

颁布/发布机构

颁布/发布时间

办法

《工业和信息化领域数据安全管理办法(试行)》

工业和信息化部

2022

12/8

国家

标准

GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型

国家市场监督管理总局

国家标准化管理委员会

2019

8/30

行业

标准

YDT 3865-2021

工业互联网数据安全保护要求

工业和信息化部

2021

5/17

行业

标准

YD/T 3751-2020 车联网信息服务

数据安全技术要求

工业和信息化部

2020

8/31

 

特定的数据使用(处理)的场景或目的

分类

名称

颁布/发布机构

颁布/发布时间

国家

标准

GB/T 41871-2022 信息安全技术

汽车数据处理安全要求

国家市场监督管理总局

国家标准化管理委员会

2022

10/14

国家

标准

GB/T 39725-2020 信息安全技术

健康医疗数据安全指南

国家市场监督管理总局

国家标准化管理委员会

2020

12/14

国家

标准

GB/T 39477-2020 信息安全技术

政务信息共享 数据安全技术要求

国家市场监督管理总局

国家标准化管理委员会

2020

11/19

国家

标准

GB/T 37373-2019 智能交通

数据安全服务

国家市场监督管理总局

国家标准化管理委员会

2019

5/10

国家

标准

GB/T 36618-2018 信息安全技术

金融信息服务安全规范

国家市场监督管理总局

国家标准化管理委员会

2018

9/17

国家

标准

GB/T 34978-2017 信息安全技术

移动智能终端个人信息保护技术要求

国家市场监督管理总局

国家标准化管理委员会

2017

11/1

国家

标准

GB/Z 28828-2012 信息安全技术

公共及商用服务信息系统个人信息保护指南

国家市场监督管理总局

国家标准化管理委员会

2012

11/5

 

       数字化背景下,数据处理活动本身需要应用新的处理技术,再加上新形势、新场景的出现,数据面临着更为复杂的安全风险,解决数据安全问题也需要以具体的数据处理活动作为出发点,探索新的数据安全技术作为数据安全措施,这也是数据处理活动安全在这类场景下具备适应性的重要原因。

(本文作者:北京数安行科技有限公司 郭灵)


摘自-安全内参