信息安全技术 数据安全基本要求

由全国信息安全标准化技术委员会主办，全国信息安全标准化技术委员会秘书处及中国电子技术标准化研究院承办的信安标委2019年第二次工作组“会议周”于2019年10月26日-10月30日在重庆召开。大成上海办公室高级合伙人陈立彤律师作为科盈法律咨询（上海）有限公司（“科盈法律”）的首席数据官参加了TC260-大数据安全标准特别工作组（“大数据工作组”）会议——科盈法律（Science in Law）是大数据工作组单位成员并被评为先进个人

本次会议议程干货满满，所讨论的很多问题也是实务中大家所关心的问题，对此我们与大数据工作组请示是否可以写一些报道将会议相关内容与大家分享。在得到明确回复“会议本身就是公开开放的”情况下，我们将陆续与大家分享参加本次会议的一些心得体会。

本次大数据工作组的会议所涉及到的标准和指南都很重要，我们今天给大家介绍的是第7工作组所负责起草的【WG7-2019 制定】《信息安全技术 数据安全管理认证规范》，也是我们的标题所说的《信息安全技术 数据安全基本要求》。大家可以看出，这个标准的标题发生了重大的变化。之所以会发生这个重大变化，是因为标准的目标使用对象发生了变化，前者是认证机构，而后者是网络运营者、数据提供方、数据接收方、数据控制者、数据处理者、数据接收者、第三方。换言之，这个标准关系到数据产业链上所有的环节。

这个标准之所以重要还因为这个标准将是《数据安全管理办法》的配套标准。因为《数据安全管理办法》的广泛实用性，这个标准的适用也将非常广泛。至于《数据安全管理办法》如何广泛，它对“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理”都适用。它不仅适用有关“个人信息”，还适用有关“个人敏感信息”和“重要数据”相关活动。真的要问大家“惊不惊喜？意不意外？”

在这次会议上，大家围绕这个标准展开了头脑风暴、建言献策，并提了不少问题有待后续进一步讨论。比如，这个标准如果是一个可以认证的标准，它的认证是针对一个服务主体还是服务主体所提供的产品与服务？再比如，目前标准的题目（虽然是暂定）是否应当从《信息安全技术 数据安全基本要求》改为《信息安全技术 数据安全管理基本要求》？这是我的建言——加了“管理”两个字，但似乎更好地反映了标准的内容且与《数据安全管理办法》更好地呼应。另外，本标准是否能够更好地与其他标准兼容或者合并也是大家热烈讨论的话题之一。我们将在今后继续向大家介绍这个草拟中的标准及其中所提供的市场最佳实践。