- 作者|姜钰
- 来源|翼安研习社
- 发布时间|2021-12-30
1. 我国商用密码标准体系框架分为管理维、技术维、应用维 体系架构
1、管理维主要体现密码标准管理层级和归口单位的不同, 商用密码国家标准由全国信息安全标准化技术委员会(简称“信安标委”)提出并归口,行业标准由国家密码管理局归口管理,团体标准由密码领域学会、行业协会等社会组织协调相关市场主体共同制定以满足市场和创新需要。截至2021年8月,已发布密码国家标准39项,密码行业标准115项,团体标准正在积极研究探索。
2、技术维主要从标准所处技术层次的角度进行刻画,分为七大类 ,包括密码基础类、基础设施类、密码产品类、应用支撑类、密码应用类、密码测评类、密码管理类。
3、应用维从密码应用领域的视角来刻画密码标准体系, 既包括不同的社会行业,如金融、电力、交通等,也包括不同的应用领域,如物联网、云计算等,任何应用领域的密码标准体系,其技术维和管理维框架都是相同的,即在技术层次上皆遵循相同的层次结构,也都包括国家标准和行业标准等。
4、 商用密码标准体系的详细内容可参考密码行业标准化技术委员会网站 (www.gmbz.org.cn)发布并年度更新的GM/Y 5001《密码标准使用指南》。
2 、我国《个人信息保护法》下的密码技术《个人信息保护法》历经三次审议及两次公开征求意见后,由第十三届全国人民代表大会表决通过,正式于2021年11月1日起施行。《个人信息保护法》在当前网络环境中个人信息不断被非法获取、滥用的背景下出台,完善了我国在网络安全和数据保护领域的顶层设计,作为个人信息保护领域的基础性法律,与《数据安全法》、《网络安全法》、《密码法》共同构建了我国数据治理法律框架,是我国数字经济时代重要法律基石。
《个人信息保护法》规定了对个人信息处理的保护要求及各方的责任与权力,其中个人信息处理者负有个人信息安全保护的主体责任。这就意味着将有更多的信息处理者需要用密码技术来约束数据处理,密码技术的应用领域将被拓宽。个人信息处理者在个人信息的处理中,将用到数据加密、数据去标识化、数据匿名化、数据防篡改等技术,密码技术的引入将使个人信息的处理应用更规范,推动数据的安全应用。
第四条
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第五十一条
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(三)采取相应的加密、去标识化等安全技术措施;
第七十三条
本法下列用语的含义:
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
所涉及的密码技术:
1 数据加密
《个人信息保护法》把加密作为一个安全技术措施点名提出。数据加密是最常用的信息保护技术,用来防止信息泄漏或非法获取。常见的数据加密场景包括数据库加密、文件加密、磁盘加密、传输加密等。
2 去标识化
《个人信息保护法》在要求安全保护的同时,也提出了“促进个人信息合理利用”,定义了“去标识化”这一实现方法,并作为安全技术措施提出。去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。通过去标识化的个人信息,可以支持对个人信息的处理,同时也保护了个人信息与个人的对应关系,避免对个人产生不利影响。采用数据去标识化技术既可以处理数据,又实现个人信息保护。去标识化的数据处理,由于满足个人信息的保护要求,因此在信息处理应用上场景用途会更加广泛。举例:支付标记化,实现了支付信息对交易平台的个人隐私保护,和交易信息对支付平台的个人隐私保护,但是支付结果却是安全可信的。车联网假名证书,实现了车车协同、车路协同中车辆个人信息的隐私保护,同时也保证了车辆身份的可信性。
3 数据匿名化
匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。数据匿名化处理后,不再属于个人信息,可以公开并处理。因此匿名化处理,可以解放个人信息的大量使用场景。举例来说,海量的网上购物交易信息,在非匿名化的情况下可以被用来“用户画像”,从而出现大数据杀熟等不公平现象;而匿名化的网上购物交易信息,可以被交易平台用来统计分析改进整体交易服务,但不会针对个人出现宰客杀熟问题。《个人信息保护法》中在第四条规定了匿名化之后的信息不再属于个人信息范畴,这一规定在规范个人信息使用的同时扩展了个人信息处理的方法,将推动个人信息的利用。匿名化的技术手段和去标识化的手段类似,采用假名、屏蔽、泛化、随机化等方式。匿名化与去标识化的不同之处在于匿名化要求是不应从匿名数据识别出特定个人,而去标识化在特定条件下是可识别个人的。
4 防篡改
《个人信息保护法》五十一条还点名了个人信息的“篡改”问题。个人信息处理者需要保证其所处理的个人信息保证其完整性、真实性和不可否认性。一般来说,在信息的存储和传输中最容易出现非法篡改的问题,需要通过数字指纹、数字签名等密码技术来实现。
特别提醒:此条信息来自于互联网,目的在于传递更多信息,并不代表本主体赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本主体有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
