数据安全每周观察 | 《数字中国发展报告（2022年）》发布|云计算|信息安全|商用密码管理条例|数字中国发展报告（2022年）|数据安全|网络安全

政策趋势

01《工业领域数据安全标准体系建设指南（2023版）》征求意见稿发布

5月22日，工信部公开征求对《工业领域数据安全标准体系建设指南（2023版）》（征求意见稿）的意见。

其中，基础共性标准用于明确工业数据安全术语；安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理；技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准；安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作；新兴融合领域标准包括智能制造、工业互联网领域数据安全标准；垂直行业标准面向重点工业行业、领域的数据特点和安全需求，制定行业数据安全管理和技术标准规范。

●到2024年，初步建立工业领域数据安全标准体系，有效落实数据安全管理要求，基本满足工业领域数据安全需要，推进标准在重点行业、重点企业中的应用，研制数据安全国家、行业或团体标准30项以上。

● 到2026年，形成较为完备的工业领域数据安全标准体系，全面落实数据安全相关法律法规和政策制度要求，标准的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，贯标工作全面开展，有力支撑工业领域数据安全重点工作，研制数据安全国家、行业或团体标准100项以上。

02信安标委就人脸识别支付场景个人信息保护安全要求征求意见

近日，全国信息安全标准化技术委员会发布《网络安全标准实践指南-人脸识别支付场景个人信息保护安全要求（征求意见稿）》，意见反馈截止于6月6日。本实践指南依据政策法规要求，针对室内外各区域中的人脸识别支付场景，向人脸识别支付的服务提供方及相关场所管理方提出个人信息保护要求。

《征求意见稿》针对室内外区域中的人脸识别支付场景，提出个人信息保护要求。根据《征求意见稿》，人脸识别支付过程中，出于维护公共安全、金融安全等目的，按照有关管理部门明确要求处理的数据，应仅用于其所规定的目的，不应自行用于与其无关的活动。《征求意见稿》还明确了服务提供方安全要求，包括“不应收集人脸识别期间之外的数据：应仅在人工做出点击等明确交互动作后开始收集数据；人脸识别完成后或开始收集数据一分钟后，应停止收集数据”等五个方面。

03我国牵头制定的ITU国际标准《云计算风险管理框架》正式发布

国际电信联盟（ITU）于2023年正式发布云计算风险管理框架标准：ITU-T Y.3539 Cloud computing – Framework of risk management。该项国际标准由中国信通院牵头制定，旨在针对云计算运行过程中面临出现的服务不可用、数据丢失、数据泄露等风险后果提出管理方法。

《ITU-T Y.3539 Cloud computing – Framework of risk management》标准规范了云计算风险管理流程，用于指导企业梳理风险管理薄弱点。

1、风险评估，充分识别云计算环境中的11个关键点，并对其可能遭受的潜在威胁、脆弱性以及风险管理能力进行识别，确定导致潜在损失的诱因，结合云计算应用价值进行风险估算；

2、风险处置，基于云计算风险评估结果，选择风险降低、风险保持、风险回避或风险转移处置手段；

3、云计算风险沟通和监测，云计算安全责任应由云服务商与云服务客户共同承担，双方应建立沟通机制，交换和共享风险信息，此外需要对云计算环境中的威胁和脆弱性进行持续监测，以保障云的可持续运营。

04《商用密码管理条例》修订通过于7月1日起施行

5月24日，《商用密码管理条例》（（以下简称《条例》）经2023年4月14日国务院第4次常务会议修订通过，现予公布，自2023年7月1日起施行。这是《条例》自1999年10月7日发布和施行以来，首次迎来修订，也是贯彻实施2020年1月1日起施行的密码法的重要举措。

本次修订进行了较大幅度的修改，凸显促进商用密码应用与保障安全相统一的价值导向，进一步完善了商用密码科技创新的体制机制，为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障，将极大促进商用密码科技蓬勃发展。

监管动态

1►浙江首批两家企业通过数据出境安全评估

近日，杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司通过国家网信办数据出境安全评估，是浙江省首批通过评估的企业。此次通过评估将有助于提高两家企业在国际市场上的竞争力，同时也为其他企业数据出境安全评估工作提供了参考经验。

下一步，浙江网信办将针对企业在申报过程中存在的难点问题，开展广泛调研，编制索引指南。同时，积极落实即将正式施行的《个人信息出境标准合同办法》有关要求，扎实推进个人信息出境标准合同备案工作，保障个人信息跨境安全自由流动。

业界之声

1《数字中国发展报告（2022年）》发布：我国数字经济规模达50.2万亿元

5月23日，国家互联网信息办公室发布《数字中国发展报告（2022年）》指出，数字安全是数字中国建设的基本保障。2022年，我国数字经济规模达50.2万亿元，总量稳居世界第二，同比名义增长10.3%，占国内生产总值比重提升至41.5%。我国网络安全政策法规持续健全，标准规范建设体系化推进，保障能力显著增强，数据安全管理和个人信息保护成效显现，安全产业发展迈向新阶段。

《报告》认为，2023年是全面推进《数字中国建设整体布局规划》实施的起步之年。要加快建设数字中国，为全面建设社会主义现代化国家提供有力支撑。

●夯实数字中国建设基础

打通数字基础设施大动脉，持续拓展网络基础设施覆盖广度深度，推进算力基础设施优化布局，加快提升应用基础设施水平。畅通数据资源大循环，健全国家数据管理体制机制，加快构建数据基础制度体系，推动公共数据汇聚利用，释放商业数据价值潜能。

●全面赋能经济社会发展

做强做优做大数字经济，培育壮大数字经济核心产业，加快数字技术创新应用和传统产业数字化转型。支持数字企业发展壮大，推动平台企业规范健康发展。发展高效协同的数字政务，加快制度规则创新，完善与数字政务建设相适应的规章制度。强化数字化能力建设，促进信息系统网络互联互通、数据按需共享、业务高效协同。提升数字化服务水平，推进线上线下融合。

●强化数字中国关键能力

构筑自立自强的数字技术创新体系，加快推进数字领域关键核心技术突破，强化企业科技创新主体地位，发挥科技型骨干企业引领支撑作用。筑牢可信可控的数字安全屏障，切实维护网络安全，增强数据安全保障能力，提升个人信息保护水平。

●优化数字化发展环境

建设公平规范的数字治理生态，完善数字领域法律法规体系，加强立法统筹协调，构建技术标准体系，引领带动数字技术产业创新。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋：在数字安全保障体系方面，一个是网络安全，一个是数据安全。网络安全主要是落实网络安全法，相关的法律的细则和有关的标准体系逐步健全，网络安全保障能力显著增强。在数据安全方面，积极落实数据安全法和个人信息保护法相关的专项行动，相关的细则规定不断实施、不断出台，使我们的数据安全管理和个人信息保护能力有了显著提升。