通过研究数据安全标准来应对大数据安全风险,为建立大数据风险防范,提供了坚实的理论基础.

　　一、我国安全标准发展历程

　　1984年7月全国信息技术标准化委员会组建数据加密标准化分技术委员会，1985年发布了第一个有关信息安全方面的标准；1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会；我国信息安全技术标准系统编号主要有：GB、GB/T、GJB、BMB、GA、YD等。2002年4月15日成立全国信息安全标准化技术委员会（简称信安标委，委员会编号为TC260）。

　　二、我国大数据安全标准成果

　　（一）《信息安全技术个人信息安全规范》

　　《信息安全技术个人信息安全规范》明确定义了个人敏感信息。

　　其中，全国信息安全标准化技术委员会2017年12月29日正式发布的规范《信息安全技术个人信息安全规范》（标准号：GBT35273-2017）已于2018年5月1日正式实施。本标准针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项，法律法规另有规定的，需遵照其规定执行。

　　本规范针对个人信息和个人敏感信息加以定义，其中个人敏感信息personalsensitiveinformation指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

　　（二）《信息安全技术大数据服务安全能力要求》

　　《信息安全技术大数据服务安全能力要求》考察大数据服务安全能力。

　　《信息安全技术大数据服务安全能力要求》（标准号：GB/T35274-2017）于2017年12月29日发布，2018年7月1日实施，本标准规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。

　　本标准适用于对政府部门和企事业单位建设大数据服务安全能力，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。

　　（三）《信息安全技术大数据安全管理指南》

　　2017年5月24日，全国信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术大数据安全管理指南》征求意见稿，公开征求意见。该征求意见稿规定：大数据安全管理原则；大数据安全管理基本概念；制定大数据安全目标、战略和策略；明确大数据安全管理角色与责任；管理大数据安全风险；管理大数据平台运行安全。

　　同时，征求意见稿附录部分还就电信行业数据分类分级、国家基础数据、生命科学大数据风险分析以及大数据安全风险给出了示例和说明。

　　（四）《信息安全技术个人信息安全影响评估指南》

　　2018年6月13日，全国信息安全标准化技术委员会发布国家标准《信息安全技术个人信息安全影响评估指南》征求意见稿征求意见的通知。标准规定了个人信息安全影响评估的基本概念、框架、方法和流程，并提出了特定场景下进行评估的具体方法。

　　适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。

　　（五）《信息安全技术个人信息去标识化指南》

　　2017年9月，国标《信息安全技术个人信息去标识化指南》征求意见稿在全国信息安全标准化技术委员会官网上发布。

　　该标准在内容上汲取了当前国内个人信息处理机构、安全测评机构和研究机构的最新成果，并借鉴了国外个人信息去标识化的最新研究理论，提炼了业内当前通行的最佳实践，通过研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施，提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南，旨在保障个人信息安全的前提下，推动数据的共享开放，充分发挥大数据的价值。

　　（六）《信息安全技术数据安全能力成熟度模型》

　　2017年中旬，全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准--《大数据安全能力成熟度模型》。"大数据安全能力成熟度模型"这项国家标准的研究课题2016年6月立项，2018年，送审稿修订工作完成启动。

　　《信息安全技术数据安全能力成熟度模型》DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力，发现数据安全能力短板，查漏补缺，促进大数据参与方的数据安全能力评估与提升，促进大数据在组织间的交换、共享与流转，发挥大数据的价值，促进我国大数据产业的健康发展。同时，也可以有效地支撑《中国人民共和国网络安全法》、国务院《促进大数据发展行动纲要》、国家十三五规划纲要等国家政策和法规的有效落地。

　　（七）《信息安全技术大数据交易服务安全要求》

　　习总书记在2017年12月8日强调，要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度。我国加快了制定数据交易等制度的步伐，尤其是在安全领域。国家标准化管理委员会在2018年1月9日下达制定国家标准计划《信息安全技术大数据交易服务安全要求》的任务，计划号：20173591-T-469。

　　该标准即将成为我国首个大数据交易安全国家标准，有助于理清数据交易安全界限，促进数据交易行为合法合规。其出台势必会推动我国数据交易机构的安全建设，促进数据交易行为合法合规，使得全国数据要素有序流通，充分释放数据红利，助力"数字中国"建设。

　　（八）《信息安全技术数据出境安全评估指南》

　　2017年，全国信安标委秘书处发布《信息安全技术数据出境安全评估指南》、《信息安全技术网络产品和服务安全通用要求》等六项国家标准，完成征询意见反馈。

　　该指南规定了数据出境安全评估流程、评估要点、评估方法等内容，适用于网络运营者开展的个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。一旦发现存在的安全问题和风险，及时采取措施，防止个人信息未经用户同意向境外提供，损害个人信息主体合法利益，防止国家重要数据未经安全评估和相应主管部门批准存储在境外，给国家安全造成不利影响。据悉，这是"我国的数据出境安全管理办法之中非常重要的文件"。