国家数据安全知识随身课堂（五）

  不履行数据安全保护义务，应依法承担对应的民事责任、行政责任和刑事责任。《中华人民共和国数据安全法》将行政责任作为主要的责任形式，对一般违背法律规定的行为，主要是通过责令改正、警告、罚款、没收违法来得到的等方式敦促相关主体落实安全管理要求，对于情节严重的，通过暂停相关业务、停业整顿、吊销相关业务许可证或营业执照、处罚直接负责的主管人员和其他直接责任人等方式来进行运营限制。

  有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可根据规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取一定的措施进行整改，消除隐患。

  国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

  山东省首次适用《中华人民共和国数据安全法》对美公司进行政处罚。2022年3月，枣庄网警在执法检查中发现，某公司自建收费系统，通过公众号采集公民个人隐私信息，存储在第三方云平台上，但对采集的数据未采取安全防护技术措施，未依法履行网络安全保护义务。枣庄市台儿庄网警根据《中华人民共和国数据安全法》第二十七条第一款、第四十五条第一款之规定，对该公司予以行政警告处罚，并责令改正。

  广东警方首次对未履行数据安全保护义务的公司做处罚。2022年7月，广州警方检查发现，某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但该公司没有建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人隐私信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐惠。系统平台一旦被不法分子突破窃取，将导致大量驾校学员个人隐私信息泄露，给广大人民群众个人利益造成重大影响。根据《中华人民共和国数据安全法》的有关法律法规，广州警方对该公司未履行数据安全保护义务的违背法律规定的行为，依法处以警告并处罚款人民币5万元的行政处罚，开创了广东省公安机关适用《中华人民共和国数据安全法》的先例，对数据安全治理作出了积极探索和实践。

  数据加密技术是指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密技术最重要的包含离线信息传输加密、可验证计算等。

  数据脱敏又称为数据漂白、数据去隐私化或数据变形，是指从原始环境向目标环境进行敏感数据交换的过程中，通过一定方法消除原始环境数据中的敏感信息，并保留目标环境业务所需的数据特征或内容的数据处理过程。

  联邦学习是指依靠机器学习技术，各参与方将本地训练的数据，通过通信机制将参数传到中央服务器，中央服务器收集各方参数进行训练以构建全局模型送回各参与方。联邦学习处理数据隐私时，始终将终端数据存储在本地，能够最大限度地避免数据被泄露。

  可信执行环境是基于可信硬件的隐私保护技术，在硬件中为敏感数据单独分配一块隔离的内存，作为安全运算环境，所有敏感数据的计算均在这块内存中进行。可信执行环境技术可确保任何外部攻击者无法窃取运算环境内部的机密数据，也无法恶意控制运算环境算法的执行，充分保证了机密数据的隐私性、完整性与计算正确性。

  数据安全产品覆盖与生产、收集或使用数据有关的全行业、全领域、全流程。目前市场主流的数据安全产品大致上可以分为数据资产管理、数据资产防护、数据处理行为保护、数据开发利用及综合平台等类型。数据资产管理类最重要的包含数据分类分级工具、数据资产地图产品等。数据资产防护类最重要的包含数据库审计系统、数据加密系统、数据脱敏系统、数据防泄露产品等。数据处理行为保护类最重要的包含数据安全评估平台、API安全检测与防护产品、数据安全管控产品等。数据开发利用类最重要的包含隐私计算、数据水印等产品。综合平台类是指对多种数据安全技术方法和策略进行集合，以实现数据安全综合保护能力的产品，最重要的包含数据安全治理平台等。

  当前，数据安全规则体系及技术方法逐渐完备，数据安全服务正处于加快速度进行发展时期。目前市场主流的数据安全服务最重要的包含数据安全咨询、数据安全能力建设、数据安全运营维护、数据安全检查认证、数据安全评估审计、数据安全教育培训、数据开放共享等。未来，面向数据安全合规需求，数据安全规划咨询与建设运维以及数据安全检测、评估、认证服务将迎来加快速度进行发展机遇。