简评《网络数据安全标准化体系建设指南》我国电信和互联网行业在释放数字经济发展潜力、促进数字经济加快成长的高速发展过程中,面临着严峻的安全形势。数据泄露事件频繁发生,过度收集、滥用用户个人信息问题大量存在,非法数据共享与交易带来的安全挑战愈加严峻。随着《网络安全法》的出台以及各领域各项执法行动的有序铺开,网络安全、数据安全以及个人信息保护相关法律法规的管理要求亟待补充和细化。4 月 10 日,工业和信息化部(“工信部”)公布其组织起草的《网络数据安全标准体系建设指南(征求意见稿)》(“《建设指南》”),旨在指导电信和互联网行业的网络数据安全标准化工作。01 背景和主旨正如《建设指南》前言所述,随着信息技术和人类生产生活交汇融合,全球数据呈现爆发增长、海量聚集的特点,大数据产业正值活跃发展期,技术演进和应用创新并行加速推进,数据资源已成为国家基础战略性资源和社会生产的创新要素。由于法律存在滞后性,目前的标准化制定与实施存在着体系性不强、部分问题和重点领域存在标准的空白等问题。为应对复杂严峻的现实安全风险,加速构建网络数据安全保障体系,工信部拟通过《建设指南》,加快落实网络数据安全制度的标准化工作。《建设指南》指出,到 2021 年,将初步建立网络数据安全标准体系,有效落实网络数据安全管理要求,基本满足行业网络数据安全保护需要,推进标准在重点企业、重点领域中的应用,硏制网络数据安全行业标准将达到20 项以上。到 2023 年,健全完善网络数据安全标准体系,标准技术水平、应用水平和国际化水平显著提高,有力促进行业网络数据安全保护能力提升,硏制网络数据安全行业标准将达到 50 项以上。随着标准体系的完善,企业的网络数据安全技术管理、制度管理也将有据可依,有制可循;同时,也意味着监管部门对企业网络数据安全情况的监督管理有了“硬性”要求。一言以蔽之,《建设指南》是政府监管部门制标以治本的措施之一。02 网络数据安全标准体系为加强网络数据全生命周期各环节的安全保护,针对各应用领域和业务场景形成闭环安全管理模式,落实网络安全与信息保护的各项法律法规要求,《建设指南》所提出的网络数据安全标准体系建设,包括基础共性、关键技术、安全管理、重点领域四大类标准。1•基础共性类标准包括术语定义、数据安全框架、数据分类分级等,为各类标准提供基础性支撑。2•关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全...