2021年9月1日，《中华人民共和国数据安全法》生效施行，提出国家推进数据安全标准体系建设，参与数据安全国际标准制定的要求。全国信息安全标准化技术委员会（TC260）作为负责网络安全国家标准的专业技术组织，已经制定26项数据安全国家标准（其中7项已发布），研制发布3项技术文件和实践指南，主导和参与5项国际标准（其中主导提出4项）。值此一周年之际，信安标委秘书处分析了《数据安全法》标准化需求，梳理出已有30余项标准可为《数据安全法》21项条款落地实施提供支撑，提出了下一步标准研制建议，供各方参阅。

一、数据安全制度

1、数据分类分级保护

【法律条款】：《数据安全法》第21条。

【标准需求】：明确数据分类分级、重要数据和核心数据识别的规则和方法，对数据实行分类分级保护，加强对重要数据的保护。

【已有标准】：《网络数据分类分级要求》（征求意见稿）、《重要数据识别指南》（送审稿）、《重要数据处理安全要求》（草案）。

2、数据安全风险评估

【法律条款】：《数据安全法》第22条、第30条。

【标准需求】：明确数据安全风险评估的方法、流程、评估报告编制等内容，给出数据安全评估机构和人员管理、资格评定、技术能力等相关要求。

【已有标准】：《数据安全风险评估方法》（草案）、《数据安全评估机构能力要求》（草案）。

3、数据安全风险信息监测预警

【法律条款】：《数据安全法》第22条、第29条。

【标准需求】：支撑数据安全风险信息的获取、报告、共享、分析、研判、监测预警等工作，指导数据处理者开展数据处理活动加强风险监测，发现数据安全缺陷、漏洞等风险时立即采取补救措施。

【已有标准】：可参考网络安全信息监测预警相关标准，如GB/T 36643-2018《网络安全威胁信息格式规范》、GB/T 32924-2016《网络安全预警指南》、《网络安全信息共享指南》（送审稿）、《网络安全信息报送指南》（征求意见稿）、《网络安全态势感知通用技术要求》（报批稿）等。

4、数据安全应急处置

【法律条款】：《数据安全法》第23条、第29条。

【标准需求】：明确数据安全事件、应急预案、应急处置措施等相关要求或指南，指导数据处理者发生数据安全事件时立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

【已有标准】：可参考网络安全应急处置相关标准，如GB/Z 20986《信息安全事件分类分级指南》（修订中）、GB/T 38645-2020《网络安全事件应急演练指南》、GB/T 20985.2-2020《信息安全事件管理 第2部分：事件响应规划和准备指南》、《网络安全应急能力评估准则》（送审稿）等。

二、数据安全与发展

1、数据要素市场安全

【法律条款】：《数据安全法》第7条。

【标准需求】：围绕以数据为关键要素的数字经济健康发展需求，明确数据共享、交易、开放、开发利用、融合计算等相关安全规则，促进数据依法有序自由流动。

【已有标准】：GB/T 39477-2020《政务信息共享 数据安全技术要求》、GB/T 37932《数据交易服务安全要求》（修订中）、《公共数据开放安全要求》（草案）等。

2、智能化公共服务安全

【法律条款】：《数据安全法》第15条。

【标准需求】：智能化公共服务充分考虑老年人、残疾人的数据安全保护需求，避免对老年人、残疾人的日常生活造成障碍。

3、数据安全技术和产品

【法律条款】：《数据安全法》第16条。

【标准需求】：规范数据安全产品开发使用，引导推广数据安全技术应用和产业实践。

【已有标准】：《机密计算通用框架》（草案）、GB/T 29765-2021《数据备份与恢复产品技术要求与测试评价方法》、GB/T 29766-2021《网站数据恢复产品技术要求与测试评价方法》等。

4、数据安全检测评估认证

【法律条款】：《数据安全法》第18条。

【标准需求】：支撑数据安全检测评估、认证等专业机构开展服务活动，促进数据安全检测评估、认证等服务发展。

【已有标准】：GB/T 41479-2022《网络数据处理安全要求》、GB/T 37988-2019《数据安全能力成熟度模型》、《数据安全评估机构能力要求》（草案）、《数据安全风险评估方法》（草案）等。

5、数据交易安全

【法律条款】：《数据安全法》第19条、第33条。

【标准需求】：明确数据交易中介服务机构、数据交易的参与方、交易对象和交易过程的安全要求，规范数据交易行为。

【已有标准】：GB/T 37932《数据交易服务安全要求》（修订中）。

6、数据安全人才培养

【法律条款】：《数据安全法》第20条。

【标准需求】：支撑数据安全相关教育和培训，促进数据安全专业人才培养。

【已有标准】：可参考网络安全人员相关标准，如《网络安全从业人员能力基本要求》（报批稿）。

三、数据安全保护义务

1、全流程数据安全治理

【法律条款】：《数据安全法》第27条。

【标准需求】：给出覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理全流程的数据安全管理和技术措施，为数据处理者建立健全全流程数据安全治理提供指引。

【已有标准】：GB/T 37988-2019《数据安全能力成熟度模型》、GB/T 35274《大数据服务安全能力要求》（修订中）、GB/T 37973-2019《大数据安全管理指南》。

2、数据处理伦理

【法律条款】：《数据安全法》第28条。

【标准需求】：开展数据处理活动以及研究开发数据新技术，应当符合社会公德和伦理。

【已有标准】：《机器学习算法安全评估规范》（送审稿）、《基因识别数据安全要求》（报批稿）、标准化技术文件《网络安全标准实践指南—人工智能伦理安全风险防范指引》。

3、数据收集合法正当

【法律条款】：《数据安全法》第32条。

【标准需求】：收集数据采取合法、正当的方式，不得窃取或者以其他非法方式获取数据，在法律、行政法规规定的目的和范围内收集、使用数据。

【已有标准】：目前标准主要集中在个人信息收集方面，如GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序（App）收集个人信息基本要求》等。

四、政务数据安全与开放

1、政务数据安全

【法律条款】：《数据安全法》第38条、第39条、第40条。

【标准需求】：规范政务部门自行和委托第三方开展的政务数据处理活动，明确政务数据处理安全管理要求、安全技术要求及对各类数据处理者的安全监督要求。

【已有标准】：《政务数据处理安全要求》（草案）、GB/T 39477-2020《政务信息共享 数据安全技术要求》。

2、政务数据共享和开放

【法律条款】：《数据安全法》第42条。

【标准需求】：明确政务数据或公共数据共享、开放的个人信息保护要求、数据安全技术和管理要求，推动政务数据共享和开放平台建设及政务数据开放利用。

【已有标准】：GB/T 39477-2020《政务信息共享 数据安全技术要求》、《公共数据开放安全要求》（草案）。

五、行业领域数据安全

【法律条款】：《数据安全法》第6条。

【标准需求】：在通用共性数据安全标准基础上，结合重点行业领域的数据分类分级、数据处理活动特点和数据安全需求，研究行业领域数据安全指南，为行业领域数据安全工作提供参考。

【已有标准】：

● 电信领域：《电信领域数据安全指南》（报批稿）。

● 互联网领域：《网络预约汽车服务数据安全要求》（报批稿）、《网上购物服务数据安全要求》（报批稿）、《即时通信服务数据安全要求》（报批稿）、《快递物流服务数据安全要求》（报批稿）、《网络支付服务数据安全要求》（报批稿）、《网络音视频服务数据安全要求》（报批稿）。

● 智能网联汽车：《汽车数据处理安全要求》（报批稿）。

● 卫生健康领域：GB/T 39725-2020《健康医疗数据安全指南》。

六、下一步标准建议

1、数据安全技术和产品：为进一步支撑《数据安全法》第16条，还需针对数据安全特色技术、急需的数据安全产品、数据安全产业等开展相关标准研制。

2、数据安全风险监测和应急：为进一步支撑《数据安全法》第22条、第23条、第29条，可在网络安全风险监测预警、事件应急等相关标准基础上，结合数据安全监测和应急的特点，开展数据安全风险监测报送、应急处置等相关标准研制。

3、数据要素市场安全：为进一步支撑《数据安全法》第7条，促进数字经济有序健康发展，还需围绕数据开发利用、数据共享、数据公开、多方融合计算等方面开展相关标准研制。

4、其他数据安全标准主题：为进一步支撑《数据安全法》第15条、第20条、第32条等，还需开展智能化公共服务数据安全、数据安全人员、自动化采集数据安全等相关标准研制。

附件：国家标准支撑《数据安全法》落地实施——导图v1.0.pdf