全国信息安全标准化技术委员会：大数据安全标准化白皮书（2018 版）

大数据安全标准化白皮书（2018版）0LOLOLOOLOOOLO全国信息安全标准化技术委员会大数据安全标准特别工作组2018年4月

大数据安全标准化白皮书 （2018 版） 全国信息安全标准化技术委员会 大数据安全标准特别工作组 2018 年 4 月

《大数据安全标准化白皮书》（2018版）顾问指导组赵泽良高林胡啸杜巍顾建国杜虹杨建军陈吉学全国信息安全标准化技术委员会大数据安全标准特别工作组组长：王建民副组长：陈兴蜀秘书：金涛1

I 《大数据安全标准化白皮书》（2018 版） 顾问指导组 赵泽良 高 林 胡 啸 杜 巍 顾建国 杜 虹 杨建军 陈吉学 全国信息安全标准化技术委员会大数据安全标准特别工作组 组 长：王建民 副组长：陈兴蜀 秘 书：金 涛

编写单位清华大学中国电子技术标准化研究院大唐电信科技产业集团启明星辰信息技术集团股份有限公司中国信息通信研究院北京奇安信科技有限公司（360企业安全集团）西北大学浙江蚂蚁小微金融服务集团股份有限公司阿里巴巴（北京）软件服务有限公司中电长城网际系统应用有限公司深信服科技股份有限公司公安部第三研究所北京中测安华科技有限公司勤智数码科技股份有限公司联想集团四川大学北京天融信科技股份有限公司陕西省网络与信息安全测评中心成都秦川物联网科技股份有限公司天津南大通用数据技术股份有限公司国际商业机器（中国）有限公司北京奇虎科技有限公司中国信息安全测评中心中国移动通信集团有限公司北京三未信安科技发展有限公司西安电子科技大学国家信息中心中国信息安全认证中心CSA云安全联盟新华三技术有限公司湖南科创信息技术股份有限公司山西智杰软件工程有限公司普华永道上海数据交易中心有限公司医渡云（北京）技术有限公司海信集团有限公司腾讯云计算（北京）有限责任公司西安未来国际信息股份有限公司贵州国卫信安科技有限公司深圳市腾讯计算机系统有限公司甲骨文（中国）软件系统有限公司编写人员王建民刘贤刚金涛谢安明汪坤韩晓露郑新华孙骞叶晓俊唐迪李正王昕李克鹏闵京华叶润国刘伯仲陈世武李小丁赵泰孙卡阮树骅徐雨晴吴少华杨帆张磊程海旭鲍旭华都婧陈活江为强任兰芳鹿淑煜詹阳吴迪吕欣叶思海方明张伟桂丽孙晓军石在辉叶荣伟张丽萍赵元勋张敏胡影梁文韬李怡苗光胜王永霞孙茵茵陈先来宋好好钱晓斌金丹代威II

II 编写单位 清华大学 中国电子技术标准化研究院 大唐电信科技产业集团 启明星辰信息技术集团股份有限公司 中国信息通信研究院 北京奇安信科技有限公司（360 企业安全集团） 西北大学 浙江蚂蚁小微金融服务集团股份有限公司 阿里巴巴（北京）软件服务有限公司 中电长城网际系统应用有限公司 深信服科技股份有限公司 公安部第三研究所 北京中测安华科技有限公司 勤智数码科技股份有限公司 联想集团 四川大学 北京天融信科技股份有限公司 陕西省网络与信息安全测评中心 成都秦川物联网科技股份有限公司 天津南大通用数据技术股份有限公司 国际商业机器（中国）有限公司 北京奇虎科技有限公司 中国信息安全测评中心 中国移动通信集团有限公司 北京三未信安科技发展有限公司 西安电子科技大学 中国信息安全认证中心 国家信息中心 CSA 云安全联盟 新华三技术有限公司 湖南科创信息技术股份有限公司 山西智杰软件工程有限公司 普华永道 上海数据交易中心有限公司 医渡云（北京）技术有限公司 海信集团有限公司 腾讯云计算（北京）有限责任公司 西安未来国际信息股份有限公司 贵州国卫信安科技有限公司 深圳市腾讯计算机系统有限公司 甲骨文（中国）软件系统有限公司 编写人员 王建民 刘贤刚 金 涛 谢安明 汪 坤 韩晓露 郑新华 孙 骞 叶晓俊 王 昕 李克鹏 闵京华 叶润国 刘伯仲 唐 迪 陈世武 李 正 李小丁 赵 泰 阮树骅 徐雨晴 吴少华 杨 帆 张 磊 孙 卡 程海旭 鲍旭华 都 婧 陈 湉 江为强 任兰芳 鹿淑煜 詹 阳 吴 迪 吕 欣 叶思海 孙晓军 方 明 石在辉 叶荣伟 张丽萍 赵元勋 张 伟 桂 丽 张敏翀 梁文韬 胡 影 李 怡 苗光胜 王永霞 孙茵茵 陈先来 宋好好 钱晓斌 代 威 金 丹

前言中共中央总书记习近平2017年12月8日下午在主持中共中央政治局就实施国家大数据战略学习时强调，大数据发展日新月异，我们应该审时度势、精心谋划、超前布局、力争主动，深入了解大数据发展现状和趋势及其对经济社会发展的影响，分析我国大数据发展取得的成绩和存在的问题，推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全，加快建设数字中国，更好服务我国经济社会发展和人民生活改善。大数据已经上升为国家战略，数据被视为国家基础性战略资源，各行各业的大数据应用风起云涌，大数据在国民经济发展中发挥的作用越来越大。伴随着大数据的广泛应用，大数据安全问题也日益凸显，大数据安全标准作为大数据安全保障的重要抓手越来越被重视。随着大数据安全标准化工作的开展，由于缺乏项层设计和统筹规划，大数据安全标准之间的交叉重复开始出现。为了更好的引导未来大数据安全标准化工作有序开展，全国信息安全标准化技术委员会大数据安全标准特别工作组集众多成员单位之合力，联合大数据系统软件国家工程实验室、大数据流通与交易技术国家工程实验室、大数据协同安全技术国家工程实验室、医疗大数据应用技术国家工程实验室，梳理了大数据应用中面临的安全风险和挑战，研究了国内外大数据安全相关的法律法规，分析了大数据安全标准化需求和目前已有的相关标准，建立了大数据安全标准体系，并给出了大数据安全标准化工作建议，最终形成本版白皮书。全书组织如下：第1章介绍了本书的背景、目的及意义。第2章从保障大数据安全和利用大数据保障网络空间安全两个方面对本书中的大数据安全进行了范围界定，阐述了大数据安全的发展状况和重要意义。第3章从大数据平台与技术、数据安全和个人信息保护、国家社会安全和法规标准三方面分析了大数据安全面临的挑战。第4章介绍了国内外大数据安全相关的法律法规、相关的标准化组织及相应大数据安全标准化工作情况，并介绍了国内外大数据安全相关标准。第5章首先汇总了大数据安全标准化的需求，给出了大数据安全标准的分类，基于分类制定了大数据安全标准图谱，并介绍了大数据安全标准特别工作组已经开展的大数据安全标准工作，指出了急需开展的标准化重点工作。第6章给出了大数据安全标准化工作建议。附录A由各参编成员单位介绍了相关领域大数据应用的特点、安全风险、安全需求以及大数据安全标准化需求。附录B由各参编成员单位介绍了各自在大数据应用中的安全标准应用实践情况，包括使用了哪些标准，成效如何以及基于实践的大数据安全标准化需求。附录C介绍了大数据安全相关的其它网络资源。附录D摘录了大数据安全标准相关的术语定义。附录E介绍了信安标委标准工作程序。附录F给出了缩略语。参考文献部分列出了本白皮书编写过程中参考的相关文献。由于时间仓促，水平有限，错误疏漏在所难免，针对此版白皮书如有任何意见或建议，敬请联系jintaol6@mail.tsinghua.edu.cn。II

III 前言 中共中央总书记习近平 2017 年 12 月 8 日下午在主持中共中央政治局就实施国家大数据 战略学习时强调，大数据发展日新月异，我们应该审时度势、精心谋划、超前布局、力争主 动，深入了解大数据发展现状和趋势及其对经济社会发展的影响，分析我国大数据发展取得 的成绩和存在的问题，推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整 合和开放共享，保障数据安全，加快建设数字中国，更好服务我国经济社会发展和人民生活 改善。 大数据已经上升为国家战略，数据被视为国家基础性战略资源，各行各业的大数据应用 风起云涌，大数据在国民经济发展中发挥的作用越来越大。伴随着大数据的广泛应用，大数 据安全问题也日益凸显，大数据安全标准作为大数据安全保障的重要抓手越来越被重视。随 着大数据安全标准化工作的开展，由于缺乏顶层设计和统筹规划，大数据安全标准之间的交 叉重复开始出现。为了更好的引导未来大数据安全标准化工作有序开展，全国信息安全标准 化技术委员会大数据安全标准特别工作组集众多成员单位之合力，联合大数据系统软件国家 工程实验室、大数据流通与交易技术国家工程实验室、大数据协同安全技术国家工程实验 室、医疗大数据应用技术国家工程实验室，梳理了大数据应用中面临的安全风险和挑战，研 究了国内外大数据安全相关的法律法规，分析了大数据安全标准化需求和目前已有的相关标 准，建立了大数据安全标准体系，并给出了大数据安全标准化工作建议，最终形成本版白皮 书。 全书组织如下： 第 1 章介绍了本书的背景、目的及意义。 第 2 章从保障大数据安全和利用大数据保障网络空间安全两个方面对本书中的大数据安 全进行了范围界定，阐述了大数据安全的发展状况和重要意义。 第 3 章从大数据平台与技术、数据安全和个人信息保护、国家社会安全和法规标准三方 面分析了大数据安全面临的挑战。 第 4 章介绍了国内外大数据安全相关的法律法规、相关的标准化组织及相应大数据安全 标准化工作情况，并介绍了国内外大数据安全相关标准。 第 5 章首先汇总了大数据安全标准化的需求，给出了大数据安全标准的分类，基于分类 制定了大数据安全标准图谱，并介绍了大数据安全标准特别工作组已经开展的大数据安全标 准工作，指出了急需开展的标准化重点工作。 第 6 章给出了大数据安全标准化工作建议。 附录 A 由各参编成员单位介绍了相关领域大数据应用的特点、安全风险、安全需求以及 大数据安全标准化需求。 附录 B 由各参编成员单位介绍了各自在大数据应用中的安全标准应用实践情况，包括使 用了哪些标准，成效如何以及基于实践的大数据安全标准化需求。 附录 C 介绍了大数据安全相关的其它网络资源。 附录 D 摘录了大数据安全标准相关的术语定义。 附录 E 介绍了信安标委标准工作程序。 附录 F 给出了缩略语。 参考文献部分列出了本白皮书编写过程中参考的相关文献。 由于时间仓促，水平有限，错误疏漏在所难免，针对此版白皮书如有任何意见或建议， 敬请联系 jintao16@mail.tsinghua.edu.cn

目录前言山第1章导论1.1背景1.2目的及意义，3第2章大数据安全，42.1大数据安全含义.2.1.1保障大数据安全，2.1.2利用大数据保障网络空间安全.2.2我国大数据安全发展状况2.3大数据安全的重要意义第3章大数据安全挑战..83.1大数据技术和平台安全挑战83.1.1传统安全措施难以适配83.1.2平台安全机制严重不足93.1.3应用访问控制愈加困难..93.1.4基础密码技术驱待突破..103.2数据安全和个人信息保护挑战...103.2.1数据安全保护难度加大...103.2.2个人信息泄露风险加剧...113.2.3数据真实性保障更困难..113.2.4数据所有者权益难保障...123.3国家社会安全和法规标准挑战...123.3.1国家安全深受大数据影响.133.3.2社会治理面临大数据挑战...133.3.3大数据安全法规标准尚需完善.14第4章大数据安全法规政策和标准化现状.154.1大数据安全法规政策现状..15...154.1.1国外数据安全法律法规和政策4.1.2国内数据安全法律法规和政策..224.1.3国内数据安全标准化相关政策..284.2主要标准化组织...294.2.1ISO/IECJTC1..304.2.2 NIST.....314.2.3 ITU-T.....314.2.4 SACTC28......324.2.5 SACTC260...32.324.3大数据安全相关标准现状4.3.1数据安全相关标准334.3.2个人信息安全标准...394.3.3其它大数据安全标准..41IV

IV 目录 前言 .III 第 1 章 导论.1 1.1 背景.1 1.2 目的及意义.3 第 2 章 大数据安全.4 2.1 大数据安全含义.4 2.1.1 保障大数据安全.4 2.1.2 利用大数据保障网络空间安全.5 2.2 我国大数据安全发展状况.5 2.3 大数据安全的重要意义.6 第 3 章 大数据安全挑战.8 3.1 大数据技术和平台安全挑战.8 3.1.1 传统安全措施难以适配.8 3.1.2 平台安全机制严重不足.9 3.1.3 应用访问控制愈加困难.9 3.1.4 基础密码技术亟待突破.10 3.2 数据安全和个人信息保护挑战.10 3.2.1 数据安全保护难度加大.10 3.2.2 个人信息泄露风险加剧.11 3.2.3 数据真实性保障更困难.11 3.2.4 数据所有者权益难保障.12 3.3 国家社会安全和法规标准挑战.12 3.3.1 国家安全深受大数据影响.13 3.3.2 社会治理面临大数据挑战.13 3.3.3 大数据安全法规标准尚需完善.14 第 4 章 大数据安全法规政策和标准化现状 .15 4.1 大数据安全法规政策现状.15 4.1.1 国外数据安全法律法规和政策.15 4.1.2 国内数据安全法律法规和政策.22 4.1.3 国内数据安全标准化相关政策.28 4.2 主要标准化组织.29 4.2.1 ISO/IEC JTC1.30 4.2.2 NIST.31 4.2.3 ITU-T.31 4.2.4 SAC TC28.32 4.2.5 SAC TC260.32 4.3 大数据安全相关标准现状.32 4.3.1 数据安全相关标准.33 4.3.2 个人信息安全标准.39 4.3.3 其它大数据安全标准.41

第5章大数据安全标准体系..435.1大数据安全标准化需求435.2大数据安全标准分类..44..455.2.1标准主题分类..5.2.2标准类型分类......475.2.3其它分类..485.3大数据安全标准图谱...485.4大数据安全标准特别工作组标准工作.495.4.1标准制定项目.495.4.2标准研究项目...535.5近期重点工作方向.....555.5.1开展大数据安全参考框架研制...555.5.2完善个人信息安全相关标准研制.55.555.5.3推进数据交换共享相关安全标准研制.565.5.4加快数据出境安全相关标准研制，5.5.5推动大数据安全检测评估相关标准研制..565.5.6启动重点领域大数据安全标准研制...56第6章大数据安全标准化工作建议.58.586.1健全大数据安全法律法规体系..586.2加强大数据安全核心技术研发，6.3大力推广大数据安全标准示范应用....586.4建立大数据安全标准体系研究长效机制....586.5加强大数据安全标准化人才培养...596.6深度参与大数据安全国际标准化工作.59附录A典型领域大数据安全标准需求..60A.1安全应用大数据..60..60A.1.1安全应用大数据特点，A.1.2安全应用大数据应用领域...60A.1.3安全应用大数据标准需求...62A.2政务大数据.....62A.2.1.政务大数据特点.62A.2.2政务大数据安全风险和需求，..63A.2.3政务大数据安全标准需求..63A.3健康医疗大数据...64A.3.1健康医疗大数据特点...64A.3.2健康医疗大数据安全风险和需求..65A.3.3健康医疗大数据安全标准需求.66A.4教育大数据......67..67A.4.1教育大数据特点..A.4.2教育大数据安全风险和需求....68A.4.3教育大数据安全标准需求...68A.5金融大数据.69..69A.5.1金融大数据特点，A.5.2金融大数据安全风险和需求.70v

V 第 5 章 大数据安全标准体系 .43 5.1 大数据安全标准化需求.43 5.2 大数据安全标准分类.44 5.2.1 标准主题分类.45 5.2.2 标准类型分类.47 5.2.3 其它分类.48 5.3 大数据安全标准图谱.48 5.4 大数据安全标准特别工作组标准工作.49 5.4.1 标准制定项目.49 5.4.2 标准研究项目.53 5.5 近期重点工作方向.55 5.5.1 开展大数据安全参考框架研制.55 5.5.2 完善个人信息安全相关标准研制.55 5.5.3 推进数据交换共享相关安全标准研制.55 5.5.4 加快数据出境安全相关标准研制.56 5.5.5 推动大数据安全检测评估相关标准研制.56 5.5.6 启动重点领域大数据安全标准研制.56 第 6 章 大数据安全标准化工作建议 .58 6.1 健全大数据安全法律法规体系.58 6.2 加强大数据安全核心技术研发.58 6.3 大力推广大数据安全标准示范应用.58 6.4 建立大数据安全标准体系研究长效机制.58 6.5 加强大数据安全标准化人才培养.59 6.6 深度参与大数据安全国际标准化工作.59 附录 A 典型领域大数据安全标准需求 .60 A.1 安全应用大数据.60 A.1.1 安全应用大数据特点.60 A.1.2 安全应用大数据应用领域.60 A.1.3 安全应用大数据标准需求.62 A.2 政务大数据.62 A.2.1 政务大数据特点.62 A.2.2 政务大数据安全风险和需求.63 A.2.3 政务大数据安全标准需求.63 A.3 健康医疗大数据.64 A.3.1 健康医疗大数据特点.64 A.3.2 健康医疗大数据安全风险和需求.65 A.3.3 健康医疗大数据安全标准需求.66 A.4 教育大数据.67 A.4.1 教育大数据特点.67 A.4.2 教育大数据安全风险和需求.68 A.4.3 教育大数据安全标准需求.68 A.5 金融大数据.69 A.5.1 金融大数据特点.69 A.5.2 金融大数据安全风险和需求.70

A.5.3金融大数据安全标准需求..71A.6互联网金融大数据..72..72A.6.1互联网金融大数据特点...A.6.2互联网金融大数据安全风险和需求.73A.6.3互联网金融大数据安全标准需求....74A.7电信大数据..75A.7.1电信大数据特点....75A.7.2电信大数据安全风险和需求.75A.7.3电信大数据安全标准需求..76A.8能源大数据....77A..8..能源大数据特点.....77A.8.2能源大数据安全风险和需求.77A.8.3能源大数据安全标准需求...78A.9交通大数据....78A.9.1交通大数据特点.78A.9.2交通大数据安全风险和需求..79A.9.3交通大数据安全标准需求....80A.10电商大数据....80A.10.1电商大数据特点..80A.10.2电商大数据安全风险和需求...81A.10.3电商大数据安全标准需求..81附录B大数据安全标准应用实践....83B.1360企业安全集团大数据安全标准应用实践..83B.2IBM大数据安全标准应用实践.84B.3阿里巴巴大数据安全标准应用实践...87..90B.4海信交通大数据安全标准应用实践B.5联想大数据安全标准应用实践....92..94B.6蚂蚁金服大数据安全标准应用实践..B.7南大通用大数据安全标准应用实践....96B.8启明星辰能源大数据安全标准应用实践....98B.9勤智数码互联网金融大数据安全标准应用实践.101B.10三未信安大数据安全标准应用实践...102B.11腾讯云大数据安全标准应用实践，.104B.12医渡云大数据安全标准应用实践...107B.13中电长城网际大数据安全标准应用实践.111B.14中国移动大数据安全标准应用实践.113附录C其它相关资源介绍.116C.1大数据安全报告...116C.2安全管理及框架..116C.3数据分类........117C.4个人信息保护.117C.5数据驻留和跨境流动.118C.6行业数据安全..118C.7标准文本..118VI

VI A.5.3 金融大数据安全标准需求.71 A.6 互联网金融大数据.72 A.6.1 互联网金融大数据特点.72 A.6.2 互联网金融大数据安全风险和需求.73 A.6.3 互联网金融大数据安全标准需求.74 A.7 电信大数据.75 A.7.1 电信大数据特点.75 A.7.2 电信大数据安全风险和需求.75 A.7.3 电信大数据安全标准需求.76 A.8 能源大数据.77 A.8.1 能源大数据特点.77 A.8.2 能源大数据安全风险和需求.77 A.8.3 能源大数据安全标准需求.78 A.9 交通大数据.78 A.9.1 交通大数据特点.78 A.9.2 交通大数据安全风险和需求.79 A.9.3 交通大数据安全标准需求.80 A.10 电商大数据.80 A.10.1 电商大数据特点.80 A.10.2 电商大数据安全风险和需求.81 A.10.3 电商大数据安全标准需求.81 附录 B 大数据安全标准应用实践.83 B.1 360 企业安全集团大数据安全标准应用实践.83 B.2 IBM 大数据安全标准应用实践 .84 B.3 阿里巴巴大数据安全标准应用实践.87 B.4 海信交通大数据安全标准应用实践.90 B.5 联想大数据安全标准应用实践.92 B.6 蚂蚁金服大数据安全标准应用实践.94 B.7 南大通用大数据安全标准应用实践.96 B.8 启明星辰能源大数据安全标准应用实践.98 B.9 勤智数码互联网金融大数据安全标准应用实践.101 B.10 三未信安大数据安全标准应用实践.102 B.11 腾讯云大数据安全标准应用实践.104 B.12 医渡云大数据安全标准应用实践.107 B.13 中电长城网际大数据安全标准应用实践.111 B.14 中国移动大数据安全标准应用实践.113 附录 C 其它相关资源介绍 .116 C.1 大数据安全报告.116 C.2 安全管理及框架.116 C.3 数据分类.117 C.4 个人信息保护.117 C.5 数据驻留和跨境流动.118 C.6 行业数据安全.118 C.7 标准文本.118

附录D大数据安全标准术语摘录.120D.1《信息安全技术个人信息安全规范》术语...120D.2《信息安全技术大数据服务安全能力要求》术语....121D.3《信息安全技术个人信息去标识化指南》术语，.122D.4《信息安全技术大数据安全管理指南》术语......124D.5《信息安全技术数据安全能力成熟度模型》术语..125D.6《信息安全技术数据交易服务安全要求》术语....126附录E信安标委标准工作程序.128E.1标准项目申请立项程序.128E.2标准项目制修订程序.128附录F缩略语..130参考文献.133VII

VII 附录 D 大数据安全标准术语摘录 .120 D.1 《信息安全技术 个人信息安全规范》术语.120 D.2 《信息安全技术 大数据服务安全能力要求》术语.121 D.3 《信息安全技术 个人信息去标识化指南》术语.122 D.4 《信息安全技术 大数据安全管理指南》术语.124 D.5 《信息安全技术 数据安全能力成熟度模型》术语.125 D.6 《信息安全技术 数据交易服务安全要求》术语.126 附录 E 信安标委标准工作程序.128 E.1 标准项目申请立项程序.128 E.2 标准项目制修订程序.128 附录 F 缩略语.130 参考文献 .133

第1章导论1.1背景随着大数据时代的到来，数据已经成为与物质资产和人力资本同样重要的基础生产要素。2013年7月，习近平总书记指出：“大数据是工业社会的“自由，资源，谁掌握了数据，谁就掌握了主动权”。2014年2月27日，习近平总书记在中央网络安全和信息化领导小组第一次会议义进一步强调：“网络信息是跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志”。2017年10月18日，习近平同志代表第十八届中央委员会向党的十九大作报告指出：“加快建设制造强国，加快发展先进制造业，推动互联网、大数据、人工智能和实体经济深度融合，在中高端消费、创新引领、绿色低碳、共享经济、现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数据规模及运用能力已逐步成为综合国力的重要组成部分，对数据的占有权和控制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格局，被誉为是“21世纪的钻石矿”，更是国家基础性战略资源，正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响，国家竞争焦点也已经从资本、土地、人口、资源的争夺扩展到对大数据的竞争。在大数据时代，机遇与挑战并存，大数据开辟了国家治理的新路径，国家社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参与型、由粗放型向精细型，以及由静态型向动态型转变的五位一体的全面变革。大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理，快速获得有价值信息，提高公共决策能力，从而逐步改变国家治理架构和模式。2016年10月9日，习近平同志主持中共中央政治局第三十六次集体学习指出，我们要深刻认识互联网在国家管理和社会治理中的作用，以推行电子政务、建设新型智慧城市等为抓手，以数据集中和共享为途径，建设全国一体化的国家大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。要强化互联网思维，利用互联网扁平化、交互式、快捷性优势，推进政府决策科学化、社会治理精准化、公共服务高效化，用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。2016年12月，国务院印发《“十三五”国家信息化规划》（以下称《“十三五”规划》）建议提出：“实施国家大数据战略，推进数据资源开放共享。”因此，必须要正视大数据安全对社会发展带来的挑战，在大数据应用推广过程中，坚持安全与发展并重的方针，既充分发挥大数据价值，又避免数据泄露和个人隐私暴露等带来的安全问题，从而构建大数据安全保障体系，完善大数据社会管理体制机制建设和大数据国家战略，促进大数据时代的社会发展。大数据作为产业发展的创新要素，不仅在数据科学与技术层面，而且在商业模式、产业格局、生态价值与教育层面，均带来了新理念和新思维。大数据与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷高1

1 第 1 章 导论 1.1 背景 随着大数据时代的到来，数据已经成为与物质资产和人力资本同样重要的 基础生产要素。2013 年 7 月，习近平总书记指出：“大数据是工业社会的‘自 由’资源，谁掌握了数据，谁就掌握了主动权”。2014 年 2 月 27 日，习近平总 书记在中央网络安全和信息化领导小组第一次会议又进一步强调：“网络信息是 跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要 生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志”。 2017 年 10 月 18 日，习近平同志代表第十八届中央委员会向党的十九大作报告 指出：“加快建设制造强国，加快发展先进制造业，推动互联网、大数据、人工 智能和实体经济深度融合，在中高端消费、创新引领、绿色低碳、共享经济、 现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数 据规模及运用能力已逐步成为综合国力的重要组成部分，对数据的占有权和控 制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格 局，被誉为是“21 世纪的钻石矿”，更是国家基础性战略资源，正逐步对国家 治理能力、经济运行机制、社会生活方式产生深刻影响，国家竞争焦点也已经 从资本、土地、人口、资源的争夺扩展到对大数据的竞争。 在大数据时代，机遇与挑战并存，大数据开辟了国家治理的新路径，国家 社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参 与型、由粗放型向精细型，以及由静态型向动态型转变的五位一体的全面变革。 大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理，快 速获得有价值信息，提高公共决策能力，从而逐步改变国家治理架构和模式。 2016 年 10 月 9 日，习近平同志主持中共中央政治局第三十六次集体学习指出， 我们要深刻认识互联网在国家管理和社会治理中的作用，以推行电子政务、建 设新型智慧城市等为抓手，以数据集中和共享为途径，建设全国一体化的国家 大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨 系统、跨部门、跨业务的协同管理和服务。要强化互联网思维，利用互联网扁 平化、交互式、快捷性优势，推进政府决策科学化、社会治理精准化、公共服 务高效化，用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。 2016 年 12 月，国务院印发《“十三五”国家信息化规划》（以下称《“十三五” 规划》）建议提出：“实施国家大数据战略，推进数据资源开放共享。”因此，必 须要正视大数据安全对社会发展带来的挑战，在大数据应用推广过程中，坚持 安全与发展并重的方针，既充分发挥大数据价值，又避免数据泄露和个人隐私 暴露等带来的安全问题，从而构建大数据安全保障体系，完善大数据社会管理 体制机制建设和大数据国家战略，促进大数据时代的社会发展。 大数据作为产业发展的创新要素，不仅在数据科学与技术层面，而且在商 业模式、产业格局、生态价值与教育层面，均带来了新理念和新思维。大数据 与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、 科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷高

效。大数据已经逐渐成为企业升级转型发展的有力引擎，在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协同共进，国家战略加快经济社会各领域的大数据开发与利用，催生出更多的新产业、新业态、新模式，推动国家、行业、企业在数据的应用需求和发展水平方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下，我压涌现出一批从传统业务扩展甚至转型到大数据业务的企业，尤其是大数据细分市场，新应用新模式层出不穷，大数据产业呈现出蓬勃发展的态势。在此背景下，在跟踪研究大数据，提升对大数据的认知和理解的同时，也要充分意识到大数据安全与大数据应用是一体之两翼、驱动之双轮，必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。大数据安全标准是大数据安全保障体系的基础组成部分，对大数据安全保障体系的实施起到引领和指导作用，主要体现在如下方面：一是规范大数据系统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理；二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据全生命周期的管理，防控来自组织内外部的安全风险；三是通过规范大数据服务组织的基础安全管理、数据安全管理、系统安全建设、安全运维，提升系统防范安全风险的能力；四是规范行业大数据安全体系。在构建大数据安全标准体系时，须统筹考虑数据在行业之间或组织之间的交换与共享问题，以指导各行业的大数据安全建设和运营，支撑行业大数据应用的快速发展。为此，驱待从技术和产业发展角度加快推进大数据安全标准化工作，为我国大数据产业的健康发展提供有效支撑。党中央、国务院高度重视大数据安全及其标准化工作，将其作为国家发展战略予以推动。2015年9月，国务院发布《促进大数据发展行动纲要》（以下称《纲要》），要求“完善法规制度和标准体系”并“推进大数据产业标准体系建设”。2016年8月，中央网信办、国家质检总局、国家标准委联合印发了《关于加强国家网络安全标准化工作的若干意见》，其中对加强网络安全标准化工作做出部署，要求围绕国家战略需求，开展关键信息基础设施保护、网络安全审查、工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标准研制工作，从而提升标准信息服务能力和标准符合性测试能力，并在政策文件制定、相关工作部署时积极采用国家标准，积极参与制定相关国际标准并发挥作用。2016年11月，第十二届全国人民代表大会常务委员会通过了《中华人民共和国网络安全法》，鼓励开发网络数据安全保护和利用技术。2016年12月国家互联网信息办公室发布了《国家网络空间安全战略》，提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系，相继出台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等一系列法规和部门规章制度。与此同时，相关标准研制机构还发布了国家和行业的网络个人信息保护相关标准，开展以数据安全为重点的网络安全防护检查。为了贯彻落实国家大数据安全标准化工作要求，全国信息安全标准化技术委员会（以下简称“全国信安标委”，委员会编号TC260）下设了大数据安全标准特别工作组（SWG-BDS），并在已开展的大数据安全相关标准工作的基础上启动了《大数据安全标准化白皮书》的编制工作。2

2 效。大数据已经逐渐成为企业升级转型发展的有力引擎，在提升产业竞争力和 推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协 同共进，国家战略加快经济社会各领域的大数据开发与利用，催生出更多的新 产业、新业态、新模式，推动国家、行业、企业在数据的应用需求和发展水平 方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下，我国 涌现出一批从传统业务扩展甚至转型到大数据业务的企业，尤其是大数据细分 市场，新应用新模式层出不穷，大数据产业呈现出蓬勃发展的态势。在此背景 下，在跟踪研究大数据，提升对大数据的认知和理解的同时，也要充分意识到 大数据安全与大数据应用是一体之两翼、驱动之双轮，必须从国家网络空间安 全战略的高度认真研究与应对当前大数据安全面临的复杂问题。 大数据安全标准是大数据安全保障体系的基础组成部分，对大数据安全保 障体系的实施起到引领和指导作用，主要体现在如下方面：一是规范大数据系 统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理； 二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据 全生命周期的管理，防控来自组织内外部的安全风险；三是通过规范大数据服 务组织的基础安全管理、数据安全管理、系统安全建设、安全运维，提升系统 防范安全风险的能力；四是规范行业大数据安全体系。在构建大数据安全标准 体系时，须统筹考虑数据在行业之间或组织之间的交换与共享问题，以指导各 行业的大数据安全建设和运营，支撑行业大数据应用的快速发展。为此，亟待 从技术和产业发展角度加快推进大数据安全标准化工作，为我国大数据产业的 健康发展提供有效支撑。 党中央、国务院高度重视大数据安全及其标准化工作，将其作为国家发展 战略予以推动。2015 年 9 月，国务院发布《促进大数据发展行动纲要》（以下称 《纲要》），要求“完善法规制度和标准体系”并“推进大数据产业标准体系建 设”。2016 年 8 月，中央网信办、国家质检总局、国家标准委联合印发了《关于 加强国家网络安全标准化工作的若干意见》，其中对加强网络安全标准化工作做 出部署，要求围绕国家战略需求，开展关键信息基础设施保护、网络安全审查、 工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标 准研制工作，从而提升标准信息服务能力和标准符合性测试能力，并在政策文 件制定、相关工作部署时积极采用国家标准，积极参与制定相关国际标准并发 挥作用。2016 年 11 月，第十二届全国人民代表大会常务委员会通过了《中华人 民共和国网络安全法》，鼓励开发网络数据安全保护和利用技术。2016 年 12 月， 国家互联网信息办公室发布了《国家网络空间安全战略》，提出实施国家大数据 战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国 人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系，相继出 台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等 一系列法规和部门规章制度。与此同时，相关标准研制机构还发布了国家和行 业的网络个人信息保护相关标准，开展以数据安全为重点的网络安全防护检查。 为了贯彻落实国家大数据安全标准化工作要求，全国信息安全标准化技术 委员会（以下简称“全国信安标委”，委员会编号 TC260）下设了大数据安全标 准特别工作组（SWG-BDS），并在已开展的大数据安全相关标准工作的基础上， 启动了《大数据安全标准化白皮书》的编制工作