1.1 《數(shù)據(jù)安全法》合規(guī)分析

《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域最基礎(chǔ)、最重要的一部法律，是包括政務(wù)數(shù)據(jù)在內(nèi)的各行各業(yè)數(shù)據(jù)處理都必須嚴(yán)格遵守的法律。《數(shù)據(jù)安全法》明確規(guī)定了各類數(shù)據(jù)處理者在數(shù)據(jù)處理活動(dòng)中所應(yīng)該遵守的數(shù)據(jù)安全相關(guān)責(zé)任與義務(wù)，數(shù)據(jù)處理者角色除了面向所有數(shù)據(jù)的通用數(shù)據(jù)處理者外，其他還包括重要數(shù)據(jù)的處理者、數(shù)據(jù)交易中介、國家機(jī)關(guān)等，政務(wù)數(shù)據(jù)的合規(guī)要考慮除了數(shù)據(jù)交易中介之外的所有數(shù)據(jù)處理者所應(yīng)該遵守的法律責(zé)任和義務(wù)。針對(duì)政務(wù)數(shù)據(jù)處理者所應(yīng)該遵守的《數(shù)據(jù)安全法》中的法律要求及合規(guī)思路分析見表1。

?

1.2 《個(gè)人信息保護(hù)法》合規(guī)分析

《個(gè)人信息保護(hù)法》中涉及的個(gè)人信息處理者角色包括：面向所有個(gè)人信息處理場(chǎng)景的個(gè)人信息處理者、境外個(gè)人信息處理者、重要互聯(lián)網(wǎng)平臺(tái)服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者、接受委托處理個(gè)人信息的受托人、處理個(gè)人信息的國家機(jī)關(guān)。依據(jù)政務(wù)數(shù)據(jù)相關(guān)業(yè)務(wù)特點(diǎn)，政務(wù)數(shù)據(jù)涉及其中的個(gè)人信息處理者、重要互聯(lián)網(wǎng)平臺(tái)服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者、接受委托處理個(gè)人信息的受托人、處理個(gè)人信息的國家機(jī)關(guān)等幾個(gè)角色的相關(guān)法律要求，具體相關(guān)分析見表2。

表2 《個(gè)人信息保護(hù)法》合規(guī)分析

?

?

1.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》合規(guī)分析

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確規(guī)定了包括電子政務(wù)在內(nèi)的領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施，因此對(duì)于電子政務(wù)平臺(tái)上的相關(guān)政務(wù)數(shù)據(jù)安全合規(guī)也必須符合該條例中的相關(guān)要求。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提出了一系列安全責(zé)任和義務(wù)，這些責(zé)任義務(wù)大部分也都在《數(shù)據(jù)安全法》中有所體現(xiàn)，下面僅針對(duì)《數(shù)據(jù)安全法》中沒有體現(xiàn)的條款進(jìn)行合規(guī)分析。

（1）第十二條提出“三同步”原則，即安全保護(hù)措施要與關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行同步規(guī)劃、同步建設(shè)和同步使用。這也就要求電子政務(wù)等相關(guān)平臺(tái)或應(yīng)用在規(guī)劃和建設(shè)時(shí)必須同步考慮安全的規(guī)劃和建設(shè)，其中也涵蓋數(shù)據(jù)安全及個(gè)人信息保護(hù)相關(guān)內(nèi)容。

（2）第十四條提出需要對(duì)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。

（3）第十七條提出需要每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。

（4）第十九條提出采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，需要進(jìn)行網(wǎng)絡(luò)安全審查。

（5）第二十條提出應(yīng)當(dāng)與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議。

1.4 地方法規(guī)合規(guī)分析

近年來，很多地方都出臺(tái)了地方數(shù)據(jù)法規(guī)，這也是地方政務(wù)數(shù)據(jù)合規(guī)所必須嚴(yán)格遵守的法規(guī)依據(jù)。地方數(shù)據(jù)相關(guān)法規(guī)都是在國家法律的基礎(chǔ)上，結(jié)合當(dāng)?shù)財(cái)?shù)據(jù)相關(guān)產(chǎn)業(yè)發(fā)展特色及要求提出了更有針對(duì)性的相關(guān)要求，但是對(duì)于數(shù)據(jù)安全相關(guān)要求大部分還是在《數(shù)據(jù)安全法》等基礎(chǔ)上提出一些具體要求。以2022年3月1日起施行的《浙江省公共數(shù)據(jù)條例》[3]為例進(jìn)行地方法規(guī)合規(guī)分析。

（1）公共數(shù)據(jù)收集與歸集的合規(guī)要求包括：遵循合法、正當(dāng)、必要原則，按照法定權(quán)限、范圍、程序等收集；通過身份證件驗(yàn)明身份的，不得強(qiáng)制收集指紋等隱私信息進(jìn)行驗(yàn)證。

（2）公共數(shù)據(jù)共享的合規(guī)要求包括：科學(xué)評(píng)估并制定公共數(shù)據(jù)共享屬性；共享的數(shù)據(jù)僅限履行法定職責(zé)需要，不得用于其他目的。

（3）公共數(shù)據(jù)開放與利用的合規(guī)要求包括：遵循依法、規(guī)范、公平、優(yōu)質(zhì)、便民的原則；編制開放目錄，可能危及國家安全、公共利益、個(gè)人信息及商業(yè)秘密等禁止開放；涉及個(gè)人信息并匿名化處理、涉及商業(yè)秘密并脫敏處理等可以受限或無條件開放；獲取開放數(shù)據(jù)應(yīng)具備數(shù)據(jù)安全保護(hù)能力。

（4）公共數(shù)據(jù)安全總體要求包括：實(shí)行誰收集誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的責(zé)任制；建立數(shù)據(jù)安全管理制度，明確責(zé)任人，定期組織培訓(xùn)，加強(qiáng)日常管理與檢查，監(jiān)測(cè)平臺(tái)風(fēng)險(xiǎn)，制定應(yīng)急預(yù)案等。這些總體要求基本與《數(shù)據(jù)安全法》等保持一致。

數(shù)據(jù)安全合規(guī)評(píng)估主要開展思路如下。

（1）數(shù)據(jù)安全法律法規(guī)知識(shí)庫構(gòu)建與分析結(jié)合組織所屬行業(yè)及所在地區(qū)，全面梳理及分析該組織所應(yīng)遵循的國家法律，以及國家、地方及行業(yè)相關(guān)的政策法規(guī)，并輸出合規(guī)評(píng)估相關(guān)材料，包括但不限于合規(guī)調(diào)研問卷、合規(guī)知識(shí)庫、合規(guī)指標(biāo)參數(shù)等。

（2）制定數(shù)據(jù)安全合規(guī)能力成熟度模型構(gòu)建數(shù)據(jù)安全合規(guī)能力成熟度模型參見圖1。

?

圖1 數(shù)據(jù)安全合規(guī)能力成熟度模型

數(shù)據(jù)安全合規(guī)能力成熟度模型包括三個(gè)方面：數(shù)據(jù)安全合規(guī)覆蓋整個(gè)數(shù)據(jù)處理活動(dòng)，包括數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供/共享、公開/開放、銷毀/刪除；數(shù)據(jù)安全合規(guī)涵蓋數(shù)據(jù)安全組織保障、規(guī)范制度與技術(shù)工具各個(gè)方面；數(shù)據(jù)安全合規(guī)成熟度等級(jí)分為基礎(chǔ)級(jí)、標(biāo)準(zhǔn)級(jí)和優(yōu)化級(jí)。

（3）執(zhí)行數(shù)據(jù)安全合規(guī)評(píng)估

基于合規(guī)分析及數(shù)據(jù)安全合規(guī)能力成熟度模型，執(zhí)行數(shù)據(jù)安全合規(guī)評(píng)估，主要評(píng)估要點(diǎn)如表4所示。執(zhí)行數(shù)據(jù)安全合規(guī)評(píng)估可以基于評(píng)估人員現(xiàn)場(chǎng)調(diào)研及采用自動(dòng)化評(píng)估工具進(jìn)行，但是基于評(píng)估人員調(diào)研的方式存在調(diào)研人員評(píng)估業(yè)務(wù)技能要求很高、評(píng)估時(shí)效性比較差、與數(shù)據(jù)應(yīng)用強(qiáng)耦合的應(yīng)用場(chǎng)景難以覆蓋等問題，因此建議采用以自動(dòng)化評(píng)估工具為主、人工調(diào)研為輔的方式進(jìn)行展開。

表4 數(shù)據(jù)安全合規(guī)評(píng)估要點(diǎn)

?

2.3 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)

政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)總體框架如圖2所示。

?

圖2 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)框架

政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐主要包括以下方面。

（1）梳理合規(guī)依據(jù)。主要涉及國家法律、中央及地方政府法規(guī)、政府行業(yè)相關(guān)的規(guī)范、國家/行業(yè)/地方等標(biāo)準(zhǔn)，以及相關(guān)組織內(nèi)的規(guī)章制度等都是合規(guī)重要的參考依據(jù)，這些材料的重要性不完全相同，如果相關(guān)要求存在沖突或不一致，應(yīng)以上位法律法規(guī)相關(guān)要求為準(zhǔn)。

（2）合規(guī)咨詢?cè)u(píng)估。主要對(duì)于所有梳理的合規(guī)依據(jù)進(jìn)行相關(guān)法律法規(guī)以及標(biāo)準(zhǔn)規(guī)范等的分析解讀，重點(diǎn)是根據(jù)組織所在的業(yè)務(wù)及地區(qū)等相關(guān)要求進(jìn)行合規(guī)性分析，并提取相關(guān)的合規(guī)要點(diǎn)，進(jìn)一步根據(jù)合規(guī)要點(diǎn)輸出合規(guī)知識(shí)等信息以及對(duì)評(píng)估中發(fā)現(xiàn)的合規(guī)風(fēng)險(xiǎn)及問題提出合理的改進(jìn)建議。

（3）合規(guī)知識(shí)庫的建設(shè)。重點(diǎn)根據(jù)合規(guī)咨詢?cè)u(píng)估等獲取的合規(guī)知識(shí)，持續(xù)進(jìn)行積累和更新。

（4）合規(guī)運(yùn)營管理平臺(tái)的建設(shè)。主要包括合規(guī)數(shù)據(jù)采集、合規(guī)數(shù)據(jù)分析及合規(guī)數(shù)據(jù)運(yùn)營等基礎(chǔ)功能組件。合規(guī)運(yùn)營管理平臺(tái)主要是基于合規(guī)知識(shí)庫，采用大數(shù)據(jù)分析、自然語言處理NLP、用戶實(shí)體行為分析 UEBA等相關(guān)技術(shù)對(duì)采集的合規(guī)數(shù)據(jù)進(jìn)行深入分析，并對(duì)數(shù)據(jù)安全合規(guī)結(jié)果進(jìn)行閉環(huán)處置管理。

2.4 政務(wù)數(shù)據(jù)合規(guī)自動(dòng)化監(jiān)控設(shè)計(jì)思路

對(duì)于政務(wù)數(shù)據(jù)合規(guī)的自動(dòng)化監(jiān)控，主要是基于“合規(guī)運(yùn)營管理平臺(tái)”的承載和支撐，從數(shù)據(jù)處理活動(dòng)的各個(gè)數(shù)據(jù)處理活動(dòng)出發(fā)，結(jié)合數(shù)據(jù)相關(guān)的業(yè)務(wù)場(chǎng)景識(shí)別其合規(guī)要點(diǎn)并制定針對(duì)性的合規(guī)監(jiān)控策略。合規(guī)監(jiān)控策略是指能夠?qū)?shù)據(jù)處理業(yè)務(wù)場(chǎng)景中所發(fā)生的數(shù)據(jù)處理活動(dòng)本身的合規(guī)符合度進(jìn)行持續(xù)性、周期性或按需觸發(fā)地分析判定，分析判定的依據(jù)和被判定的對(duì)象來源能夠被采集、被識(shí)別、關(guān)聯(lián)和持續(xù)學(xué)習(xí)。自動(dòng)化監(jiān)控中合規(guī)性判定的方向主要有三個(gè)方面。

（1）需要聚焦到政府組織內(nèi)組織架構(gòu)設(shè)立的正式發(fā)文、人員責(zé)任落實(shí)記錄、制度規(guī)范的關(guān)鍵細(xì)則與施行情況記錄、涉及到個(gè)人信息的告知/同意/授權(quán)等服務(wù)協(xié)議的關(guān)鍵細(xì)則等靜態(tài)數(shù)據(jù)的掃描檢測(cè)等方面。

（2）需要落實(shí)到具體數(shù)據(jù)處理相關(guān)的行為稽核，通過法律法規(guī)的深入解讀和規(guī)則化的轉(zhuǎn)化，能夠?qū)?shù)據(jù)處理行為進(jìn)行捕捉記錄、環(huán)境背景等因素的綜合關(guān)聯(lián)以及最終的合規(guī)性校驗(yàn)分析。

（3）針對(duì)技術(shù)手段應(yīng)用的滿足度和有效性進(jìn)行檢測(cè)，典型如加密、脫敏技術(shù)措施的應(yīng)用與否判斷，以及應(yīng)用后的密文數(shù)據(jù)加密強(qiáng)度、脫敏數(shù)據(jù)再識(shí)別的風(fēng)險(xiǎn)等情況。

?