《2023年数据安全治理与实践白皮书（提供了一份全面的实践指南）》

ᒑ᝭ሙ੿὆ງڢ὇దᬍНՃ˗ڎηৌᤰηᆑቃᬓ̈ᝠካˁܸ஝૶ᆑቃਫ਼数据安全治理与实践白皮书
ࣲ

థ腾讯安全CAICT中国信通院数据安全治理与实践白皮书腾讯科技(深圳)有限公司中国信息通信研究院云计算与大数据研究所2023年6月
஝૶߷Л෵ေˁࠄ᡻ᄇᄕ˺Ԡᎄӭͯ㚫䃜⻾ឭ喍⌞ౠ喎ᰶ䭽ڙथȠ͚పԎᖜ䕇Ԏⵁ酉䮏ξ䃎ツ̻๔᪝ᢛⵁ酉᝭ᎄиጸੇր㚫䃜⻾ឭ喍⌞ౠ喎ᰶ䭽ڙथ
喟㦐ᔄᑧȠᱻ␕Ƞ䧞͇᪽Ƞ༙⩌ݖȠ݅⥓Ƞቁࡻ䰴Ƞᱻ䦘ȠᑍᕿȠᒚ᜽䨸Ƞ݅ᔄ倅Ƞ݅⥩ȠႸយȠͽٰȠ䅏▬Ƞ䅏ၽ⃲Ƞ䭵䭠⁐Ƞ䭵䛾೻Ƞ⢸᫝ႴȠШ㤹Ƞ叱䯲ࢀȠᐃᵖⷷȠᱻ下ႼȠᝡ䄄ምȠ݅䰴ႴȠЅ㧶∮ȠᏤ䰕䓝ȠᶮྔȠᱻيٴ卼Ƞ叱䊲ȠА༮ȠۜጳȠ᳄ьขȠ䭵ႵᔄȠ຺͚݅పԎᖜ䕇Ԏⵁ酉䮏ξ䃎ツ̻๔᪝ᢛⵁ酉᝭喟ᑍ䊷Ƞᱻ䰗໛Ƞ偼ܜȠ༉᭒ႴȠ䬘ᴾȠ哇䄄♣Ƞᱻ๖䭠Ƞ䘊ᔄྔȠᑍχڝȠ݅䰗㟞᱙្ॷ❵ᱰᆋλ㚫䃜⻾ឭ喍⌞ౠ喎ᰶ䭽ڙथহ͚పԎᖜ䕇Ԏⵁ酉䮏ξ䃎ツ̻๔᪝ᢛⵁ酉᝭喑Ꭳऄ∂ᒸԊ៑ȡ䒙䒪Ƞᦅ㑃ᝃݖ⩕ڣႰ᫦ᐼҬ⩕᱙្ॷ᪴ႄᝃ㔲㻯◦⮱喑Ꮑ∕ᬻĄᲒ⎽喟㚫䃜⻾ឭ喍⌞ౠ喎ᰶ䭽ڙथহ͚పԎᖜ䕇Ԏⵁ酉䮏ξ䃎ツ̻๔᪝ᢛⵁ酉᝭ąȡ䔊̷ࣺ䔝ฝᬻ㔲喑㑃㔲ᄳ䔪酉ڣⰥڠ∂ᒸ䉐Шȡ͘ނᎄྠిܦ௚编委会参编单位腾讯科技(深圳)有限公司、中国信息通信研究院云计算与大数据研究所编写组成员腾讯科技(深圳)有限公司：董志强、李滨、钱业斐、姬生利、刘琦、崔华震、李鑫、张恒、彭成锋、刘志高、刘琼、宋扬、乐元、谢灿、谢子毅、陈阳欣、陈金城、王新宇、任萌、黄雅卓、廖栩磊、李飞宏、戴诗峰、刘震宇、付蓉洁、康雨辰、梁婧、李克鹏、黄超、代威、冯帆、林伟壕、陈守志、刘妍中国信息通信研究院云计算与大数据研究所：张越、李雪妮、魏凯、姜春宇、闫树、龚诗然、李天阳、郝志婧、张亚兰、刘雪花版权声明本报告版权属于腾讯科技(深圳)有限公司和中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：腾讯科技(深圳)有限公司和中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。数据安全治理与实践白皮书 CONTENTS目录Ғᝓኄʷቦ!஝૶߷Л෵ေগҹ!ኄ̄ቦ!஝૶߷Л෵ေ᭧ ̊ᄊ્੍֗჌ག!!!!!!!!!!
व㻱ᅯ䲏⮱⬈◦হᠾᝅ!!!!!!!!!!
ノ⤳ᅯ䲏⮱⬈◦হᠾᝅ!!!!!!!!!!
ឭᱜᅯ䲏⮱⬈◦হᠾᝅ!ኄʼቦ!஝૶߷Л෵ေ಴౶!!!!!!!!!!
∂ᒸव㻱Ҁ(九)18日21日Ԋ䯉Ҁ(九)!!!!!!!!!!!!!!!!!!!!
≮弓Ҁ(九)!!!!!!!!!!
ឭᱜҀ(九)!!!!!!!!!!
Ⴖڕധ⵭䃫᫪!ቦپኄ!஝૶߷Л෵ေࠄ᡻ኄ̋ቦమ࡙֗঴ፇ!!!!!!!!!!
οཞ౧ᮜ᪝ᢛႶڕ⇨⤳჋䌢!!!!!!!!!!
ᓛԎ᪝ᢛႶڕ⇨⤳჋䌢











䭱ᒂ"
᪝ᢛႶڕ⮱Ⱕڠ⮱∂ᒸȠᩬゃ∂㻱









䭱ᒂ#
᪝ᢛႶڕⰥڠ⮱పუᴴ۳̻㵹͇ᴴ۳












ξ౧ᮜ᪝ᢛႶڕ⇨⤳჋䌢

ᬄै!"#"$$%&"&#஝૶߷Л෵ေˁࠄ᡻ᄇᄕ˺DTE7T5目录前言01⋯······第一章数据安全治理态势03⋯⋯⋯⋯第二章数据安全治理面临的挑战和痛点2.1合规层面的痛点和挑战2.2管理层面的痛点和挑战2.3技术层面的痛点和挑战06⋯⋯⋯⋯⋯第三章数据安全治理框架3.1法律合规体系3.2组织保障体系3.3流程体系3.4技术体系3.5安全基础设施34⋯⋯⋯第四章数据安全治理实践4.1互娱场景数据安全治理实践4.2微信数据安全治理实践4.3云场景数据安全治理实践50⋯⋯⋯⋯⋯⋯⋯第五章总结和展望51⋯⋯⋯⋯⋯附录附录A数据安全的相关的法律、政策法规附录B数据安全相关的国家标准与行业标准数据安全治理与实践白皮书
஝૶߷Л෵ေˁࠄ᡻ᄇᄕ˺FOREWORD前言΍䓾ᎠᕨΓ䃝ᠴܧ喑᪝ႄ29日≻ࣾᆂ䕌Ꮣ͸ᔘȠ䒽ᄱ㠰డ͸ᎬȠᒞ৺弓Ꮣ͸⌞ݺ᝭᱗ᰶ喑ₐౕ᜽ͧ䛺18日ڕ⤰㺮㉍䉱⎽Ƞ䛺ൾڕ⤰29日≻㐀ᲱȠᩦअڕ⤰》ζᵩᅭ⮱ڠ䩛߈䛼ȡ Ꭱపߎ䮏࢝ࣾȨĄ࡮ఈρą᪝ႄ29日≻ࣾᆂ㻱ܿȩᠴܧ喑 Ꭱ᜾ప᪝ႄ29日≻ᵥᓰϔ͇෋ߍթࢍపڲ⩌ϔᕨթa/s䛺䶱䃎䓫ݝ喊喑Ꭳᄳ䓫᜽᪝ᢛ㺮㉍ጯ౧Ҁ(九)݊ₒᐧ⿸Ƞϔ͇᪝ႄࡃ䒙ಸ䓵̷᫝झ䭣Ƞ᪝ႄϔ͇ࡃIIᎠ᭫㦄᣽ࡴȠ᪝ႄࡃڞڙ᰺ߎᰡߍᮛᘍ౴ぶȠ᪝ႄ29日≻⇨⤳Ҁ(九)ᰡߍႹ઱ぶࣾᆂⰛᴴȡౕₑⰛᴴᠴᑂ̸喑⹫чऱ⩹ౕ෋ᑧ㑾㐉Ⴖڕ䭟៑㘪߈Ƞ᣽ࡴ᪝ᢛႶڕԊ䯉IIᎠȠܴ჋ᰶ᩵䭟㠰ऱㆨ䷻䮖ぶ᫦䲏䲏͡Ɑᰡ倅⮱㺮Mȡౕₑ㗹ᮜ̸喑㚫䃜⻾ឭ喍⌞ౠ喎ᰶ䭽ڙथহ͚పԎᖜ䕇Ԏⵁ酉䮏ξ䃎ツ̻๔᪝ᢛⵁ酉᝭ڞह㑃ݣγ᱙្ॷȡ᱙្ॷ᣽ܧγ㺳Ⰳ18日21日Ԋ䯉Ƞノ⤳≮弓ȠឭᱜҀ(九)⮱В䷻䮖ͧᵥᓰ⮱᪝ᢛႶڕ⇨⤳Ҁ(九)喑Ꭳ䔶ःγξ౧ᮜȠοཞȠ⹫θぶ౧ᮜ喑ϸ27日ⰥᏁ౧ᮜ̸᪝ᢛႶڕ⇨⤳჋䌢䌜13日ࣷͨ㺮ϛ◦ȡ᜾Й᱌᱈䕇䓴䔆᱙្ॷ喑ͧ㵹͇̺हㆨಸ18日21日⮱᪝ᢛႶڕ⇨⤳ᐧ䃫᣽ӈᰶ⯷࣯㔰ȡ前言习近平总书记指出，数字经济发展速度之快、辐射范围之广、影响程度之深前所未有，正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。2022年国务院印发《“十四五”数字经济发展规划》指出，2025年我国数字经济核心产业增加值占国内生产总值比重预计达到10并将达成数据要素市场体系初步建立、产业数字化转型迈上新台阶、数字产业化水平显著提升、数字化公共服务更加普惠均等、数字经济治理体系更加完善等发展目标。在此目标指引下，社会各界在增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险等方面面临着更高的要求。在此背景下，腾讯科技(深圳)有限公司和中国信息通信研究院云计算与大数据研究所共同编制了本报告。本报告提出了覆盖组织保障、管理流程、技术体系的以风险为核心的数据安全治理体系，并选取了云场景、互娱、社交等场景，介绍相应场景下数据安全治理实践路线及主要亮点。我们期望通过这本报告，为行业不同类型组织的数据安全治理建设提供有益参考。数据安全治理与实践白皮书 !"!"!#$%&'()*+!"#$%&'!()*+,-./0123456!(789:7;<=>?@ABCDE3#$FG%HIJKLM3NOPQ@RSTU!"V7WXV7=>VYZ.[\]!"^_0`]ab6cdefg+h!"ijklm3nop@A%&!"#$7qrstQuvwx]!"yz{|7}C~ij!"V?IÄÅ6ÇÉ3'ÑÖ!"eQ+,p-]Üá./0à^3%&!"#$7@Aâä%&!(.ãåç3éèêëí!()*ìîï,ñó0òôöôõúôù3eûeü7QɆ°%¢!"eQÑÖ£§•¶ß®©™U ́ ̈≠¢ß®©Æ0¢ß®©Ø∞3!"eQÑÖ±≤≥ô¥ôôμ]£§∂∑C∏•¶3π∫ª!"ºΩÖæø!(¿¡§I≥¬6ºΩμ3}C!"√ƒ≈#$7∆«7»V7FG7H...»ØÑÖ≥ ñ§μÀÃÕŒ3œV!"√ƒ–-§Iø!")*—í≥¬6>xμ3“V!"V%&Q”Qu≥¬‘’÷μ0◊e3'ÿ!()*>x+,p≥Ÿ⁄€‹€›]!")*—íμ*fi./0òàú3<zø‹flVn?b‡n·%•]¢kÿ‚C!()*yz%&]„‰ÂÊ©Á+,p}O!()*yzáËÈ%&3*fi@œ!()*yz§Iø>x3∫ª!()*«ÍºΩ3‚CU!(Ykl.ã]!"#$ÎÏAR%&]„‰./0ò!()*ÌÓÌߧIÑÖÔÒÚ045!(ÛYHy.ã]Å.KÙı3!()*]ˆñÔ+D3 ̃◊45¢e ̄; ̆ûøQ!()*Ì©™U ́ ̈≠¢!()*Ì©Æ] ̇ ̊ ̧•3!()*îQ ̋)*§Ie]Å.ˆñ ̨ˇpC!Ø∞0à^3PQ~ˆ7~∏zÁ"#%•!()*"k„‰»$35x%&ÌÓÌß./3•¶+D!()*>x0ò!"#$%&'()*+*,-./Q”'!()*«Í()*!+,0-îôö.öú3/0+,pœ1237ë4øŒß]1.数据安全治理态势数字经济发展对数据安全提出新要求。当前，随着大数据、云计算、人工智能等加快演进升级，经济社会发生系统性变革，驱动我国加速迈入以数字化、网络化、智能化为主要特征的数字时代。党的二十大报告中多次提及数字领域关键词，部署了加快发展数字经济、打造具有国际竞争力的数字产业集群、推进各领域数字化等一系列重大任务，对建设数字中国提出了新的更高要求。同时，发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。2023年2月，中共中央、国务院印发《数字中国建设整体布局规划》(以下简称《规划》)。《规划》明确，数字中国建设按照“2522”的整体框架进行布局，即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合，强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。其中，对于数据安全能力提出了“筑牢可信可控的数字安全屏障”全面要求。同年，工业和信息化部等十六部门发布的《关于促进数据安全产业发展的指导意见》也提出了推动数据安全产业高质量发展，全面加强数据安全产业体系和能力，夯实数据安全治理基础，促进以数据为关键要素的数字经济健康快速发展的指导要求。数据安全法律法规体系建设不断完善。随着数据作为生产要素的重要性凸显，数据安全的地位不断提升，尤其随着《中华人民共和国数据安全法》(以下简称《数据安全法》)的正式颁布，数据安全在国家安全体系中的重要地位得到了进一步明确。同时，我国各地、各行业也相继发布数据安全相关指导文件，着力承接法律法规要求，布局提升数据安全能力。《数据安全法》《个人信思保护法》《网结安全法》法律数题安全费任体系数题安全风险评估机制·数据安全分类分级探护制度·数据安全应急处置机制·数测安全审立及出口世制制度·重要数据安全,核数费安全·个人信息保护·牌填安全管理行政法规(关键信息基吐设安全保护条例)0网络数建安全管理条例(征求意见稿)》⋯《网结安全审查办法)《六车教据安全能理若干规定(厅))《数据出境安全评办法》《中国人民制行金能用费者仅丝保护实预力法》部门规章·赴国外上市中报率查·汽车重要数摆出境评估·处理建费数据的风险评估·数出境安全评估中报地方性法规《上海市数据条例)《剩配济特区数据条》(重庆市数据条)-图1:我国数据安全法律法规体系国内外数据安全治理思路逐步清晰。早在2010年，微软提出了强调隐私、保密和合规的1 #"!()*«Í∂∑™5678Æ39„‰:Ì;<fi=>!()*«Í]?@0ôö.Aú36BCDEFCî!()*...GeHI!()*«Íî!()*ijJ%KÅ.ÛL3M+,pNOP ́]£§ªæ!Q3RS9«Í2+7«Í?@ˇ√ƒTU]Ò£§I045Q”'!()*«Í]VW≈%&3ôöôõú.ù!()*}C9®%•¢!()*«ÍªX„Y™ôZöÆ©3[Í!()*«Í\]”^_ ́0ò`aˆb3!()*«Íc„îde!()*fg]„‰ ́3Y∞ëde!(hÿtiëjøŒÌkL]l...3Uhsmëíno)*l...]>x3”'n"k:pÛªæ]IÄqO{Œ0RSÑrde!()*«Íde∑s3tu!()*tÃßv3sÑ!()*√ƒ§I3ÑÖ!()*;wxy?0òzaˆb3!()*«Íc„îQ ̋!()*fg]„‰ ́3Y{|*FGûà}j!()*ëí7‚C~%kLøyz%&]Ä’÷3Q ̋tkn·7∏zde7ÅÇÉs7Ñz7‘;ûàÖ≈øªæ]IÄqO{Œ0RSÒÚ"k∆ÜÌß3}O∆ÜÌßáˆ3ÑÖ≈ªæ@à§I3Ç%MâLkl√ƒ3âäãz;w?0ò!()*«Í§IÑÖå/ıç+D045!()*éè./*êáˆ3de!()*ÑÖOxØıëD3!()*íì√ƒAR%&3îOp!()*ïñ√ƒ]óò0£§ôö3!()*~õ<ÛCTúGùû0üc§IVÑÖùû:fi3!(îª^yHh†O°¢e£h]Z§§f3‰•!()*]Z§¶Çß®©™3§IVÑÖ ́ ̈≠Æ0Ø'3Ñz!()*«Í