2025数据安全治理实践指南5.0
AI智能总结
版权声明 本报告版权属于“数智安全行动计划”,并受法律保护。转载、摘编或者利用其他方式使用本报告文字、图表或者观点的,应注明“来源:数智安全行动计划”。违反上述声明者,编者将追究其相关法律责任。 前言 随着人工智能技术的发展与应用,企业数据安全治理正向智能化迈进,依托大模型等新技术推动数据安全治理智能化升级,释放数据价值,支撑业务可持续发展。与此同时,大模型自身也带来新的安全挑战:作为训练“燃料”的数据,在生成、训练与调优过程中面临泄露、篡改、窃取等风险。为此,企业需要建立面向人工智能场景的数据安全保障机制,实现人工智能技术应用与安全保障的协同发展。 为帮助企业有效开展数据安全治理实践工作,提升数据安全治理水平,数智安全行动计划编制了《数据安全治理实践指南》系列报告。该指南经过五年精心打磨,基于丰富的企业数据安全治理实践经验,阐明了数据安全治理的核心概念,提出了数据安全建设实践路线,并深入探讨了实践中的难点问题。相较于前序版本,5.0版本亮点在于: (1)人工智能数据安全专项 聚焦AI场景,提出人工智能数据安全管理思路,强调企业需构建兼顾数据全生命周期安全合规与大模型特有风险的治理体系,通过模型数据处理、数据集及标注安全管理,保障大模型应用的可靠性与安全性。 (2)数据分类分级专项 聚焦大模型技术对分类分级工具的赋能作用,剖析其在数据预处理、策略生成以及打标复核等关键环节的主流应用思路。为构建兼具高效、精准与智能特性的数据分类分级体系提供理论参考与实践借鉴。 目录 一、数据安全治理概述......................................................................................................................................1(一)数据安全治理概念内涵...............................................................................................................1(二)数据安全治理原则........................................................................................................................2二、数据安全治理总体视图.............................................................................................................................4(一)数据安全治理目标........................................................................................................................4(二)数据安全治理体系........................................................................................................................5(三)数据安全治理维度........................................................................................................................8(四)数据安全治理专项......................................................................................................................19(五)数据安全治理实践......................................................................................................................19三、数据安全治理实践路线...........................................................................................................................20(一)全局数据安全体系规划............................................................................................................20(二)数据安全场景有序建设............................................................................................................22(三)数据安全运营持续加强............................................................................................................25(四)数据安全评估助力优化............................................................................................................29四、数据安全治理专项开展思路.................................................................................................................32(一)人工智能数据安全专项........................................................................................................32(二)数据分类分级专项.................................................................................................................36(三)数据安全风险评估及治理专项..........................................................................................38(四)合作方数据安全管理专项...................................................................................................41五、数据安全治理总结与展望......................................................................................................................44 一、数据安全治理概述 发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理原则。 (一)数据安全治理概念内涵 为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据通信行业标准《数据安全治理能力通用评估方法》(YD/T4558-2023),梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。 狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。 广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的 一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。 (二)数据安全治理原则 1.以数据为中心 数据的高效开发和利用,涵盖了数据的收集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。 2.多元化主体共同参与 无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》(以下简称《数据安全法》)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。 3.兼顾发展与安全 随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。 二、数据安全治理总体视图 本指南结合前期大量调研和数据安全治理能力评估实践,依据通信行业标准《数据安全治理能力通用评估方法》(YD/T4558-2023),提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图1所示。 (一)数据安全治理目标 数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。 满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全 合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。 治理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效治理必然是数据安全治理的重要使命。 促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的
