【数据标准体系建设】
国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
【释义】
本条在《数据安全法(一审稿)》中表述为:“国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。”《数据安全法(二审稿)》改为:“国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。”《数据安全法(二审稿)》对参与标准制定的主体进行了细微调整,并无实质变化。最终通过的《数据安全法》与《数据安全法(二审稿)》完全一致。
国家推进数据开发利用技术和数据安全标准体系建设。统一完善的标准对数据开发利用和数据安全保障的市场培育、服务能力提升和行业管理的支撑,都具有重要意义。云计算、大数据、物联网、人工智能等技术的迅速发展,为人类社会发展带来了巨大的机遇和挑战。世界主要标准化组织均加快在数据开发利用技术和数据安全方面的标准体系建设。国际标准化组织/国际电工委员会第一联合技术委员会(Joint Technical Committee,Information Technology,of International Organization for Standardization andInternational Electrotechnical Commission,ISO/IECJTC 1)在2014年成立大数据工作组(ISO/IEC JTC1/WG 9,WG 9), 编制大数据相关标准;ISO/IEC JTC 1于2017年10月决定成立人工智能分技术委员会(ISO/IEC JTC 1/SC 42,SC 42),进行大数据领域标准研究编制。
我国也加快了数据开发利用和数据安全领域的标准体系建设工作。2020年12月17日,工业和信息化部印发《电信和互联网行业数据安全标准体系建设指南》,指南强调,在基础共性标准、关键技术标准、安全管理标准的基础上,结合新一代信息通信技术发展情况,主要在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。[25]2021年4月6日,国家标准化管理委员会印发了《2021年全国标准化工作要点》,其中第12条明确要求:“完善新一代信息技术体系建设,推进物联网、人工智能、大数据、区块链、IPv6等领域标准研制。启动新型基础设施标准化专项行动,促进传统基础设施转型升级。推进新型基础设施领域标准研制,强化信息基础技术领域标准修订,推动网络产品和服务安全、关键信息基础设施安全保护、数据安全、个人信息保护、工业互联网、智能汽车数据采集等重点领域国家标准制定。”[26]目前,《GB/T 38672-2020 信息技术 大数据 接口基本要求》《GB/T 38667-2020 信息技术 大数据 数据分类指南》《GB/T 38673-2020 信息技术 大数据 大数据系统基本要求》《GB/T 38676-2020 信息技术 大数据 存储与处理系统功能测试要求》《GB/T 38643-2020 信息技术 大数据 分析系统功能测试要求》等多项数据开发利用和数据安全保障领域的国家标准正式获批发布,我国数据领域标准体系建设取得了重大成就。推进数据开发利用技术和数据安全标准体系建设,需要进一步结合大数据产业发展需求,建立并不断完善涵盖基础、数据、技术、平台、工具、管理、安全和应用的数据标准体系。《数据安全法》第16条在立法层面对数据开发利用技术和数据安全标准体系建设提出了明确要求。
国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。目前,我国国家标准化行政主管部门为中华人民共和国国家标准化管理委员会。国家标准化行政主管部门是国务院授权履行行政管理职能、统一管理全国标准化工作的主管机构。2018年3月,根据第十三届全国人民代表大会第一次会议批准的《国务院机构改革方案》,将中华人民共和国国家标准化管理委员会职责划入国家市场监督管理总局,对外保留牌子。[27]国家标准化管理委员会以及工业和信息化部、科技部等国务院相关部门组织负有组织数据开发利用技术、产品和数据安全相关标准的制定和修订工作的职责。此外,我国还成立了全国信息技术标准化技术委员会,在国家标准化委员会和工业和信息化部的共同领导下,从事全国信息技术领域标准化工作的技术组织,对口ISO/IEC JTC 1(除ISO/IEC JTC 1/SC 27),全国信息技术标准化技术委员会的工作范围是信息技术领域的标准化,涉及信息采集、表示、处理、传输、交换、描述、管理、组织、存储、检索及其技术,系统与产品的设计、研制、管理、测试及相关工具的开发等标准化工作。[28]2014年12月2日,全国信息技术标准化技术委员会成立了大数据标准工作组,专门从事数据领域标准化工作。[29](https://www.daowen.com)
数据开发利用技术、产品和数据安全相关标准的制定和修订工作,应遵守《标准化法》的相关要求。《标准化法》第15条规定:“制定强制性标准、推荐性标准,应当在立项时对有关行政主管部门、企业、社会团体、消费者和教育、科研机构等方面的实际需求进行调查,对制定标准的必要性、可行性进行论证评估;在制定过程中,应当按照便捷有效的原则采取多种方式征求意见,组织对标准相关事项进行调查分析、实验、论证,并做到有关标准之间的协调配套。”第16条规定:“制定推荐性标准,应当组织由相关方组成的标准化技术委员会,承担标准的起草、技术审查工作。制定强制性标准,可以委托相关标准化技术委员会承担标准的起草、技术审查工作。未组成标准化技术委员会的,应当成立专家组承担相关标准的起草、技术审查工作。标准化技术委员会和专家组的组成应当具有广泛代表性。”第22条规定:“制定标准应当有利于科学合理利用资源,推广科学技术成果,增强产品的安全性、通用性、可替换性,提高经济效益、社会效益、生态效益,做到技术上先进、经济上合理。禁止利用标准实施妨碍商品、服务自由流通等排除、限制市场竞争的行为。”第24条规定:“标准应当按照编号规则进行编号。标准的编号规则由国务院标准化行政主管部门制定并公布。”这些规范,为数据领域标准的制定、修订工作提出了具体的要求。
国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。一方面,国家强制性标准、推荐性标准的制定,需要企业、研究机构、高等学校、相关行业组织的广泛参与。《标准化法》第15条明确规定:“制定强制性标准、推荐性标准,应当在立项时对有关行政主管部门、企业、社会团体、消费者和教育、科研机构等方面的实际需求进行调查,对制定标准的必要性、可行性进行论证评估;在制定过程中,应当按照便捷有效的原则采取多种方式征求意见,组织对标准相关事项进行调查分析、实验、论证,并做到有关标准之间的协调配套。”我国数据开发利用和数据安全保障领域的国家标准制定、修订,离不开企业、研究机构、高等学校、相关行业组织的参与。比如,便由华为技术有限公司、中国电子技术标准化研究院、中国人民大学、阿里云计算有限公司等14家单位参与研制。[30]另一方面,国家鼓励支持行业组织、企业在数据领域制定团体标准、企业标准。《标准化法》第18条第1款规定:“国家鼓励学会、协会、商会、联合会、产业技术联盟等社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准,由本团体成员约定采用或者按照本团体的规定供社会自愿采用。”第19条规定:“企业可以根据需要自行制定企业标准,或者与其他企业联合制定企业标准。”第20条规定:“国家支持在重要行业、战略性新兴产业、关键共性技术等领域利用自主创新技术制定团体标准、企业标准。”在数据开发利用和数据安全保障这一新兴领域,国家应该进一步鼓励、支持团体标准、企业标准的制定,但团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。
推进数据开发利用技术和数据安全标准体系建设,还应加强我国大数据标准化组织与相关国际组织的交流合作。组织我国产学研用资源,加快国际标准提案的推进工作。支持相关单位参与国际标准化工作并承担相关职务,承办国际标准化活动,扩大国际影响。《标准化法》第8条规定:“国家积极推动参与国际标准化活动,开展标准化对外合作与交流,参与制定国际标准,结合国情采用国际标准,推进中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与国际标准化活动。”我国专家积极参与数据开发利用技术和数据安全保障领域的国际标准体系建设工作。比如,我国专家积极参与SC 27 大数据安全标准化相关工作(ISO/IEC JTC 1/SC 27是ISO/IEC JTC 1下属信息安全分技术委员会,该委员会成立于1990 年,工作范围涵盖信息和信息通信技术保护的标准制修订),目前SC27 与数据安全直接相关的标准化工作有4项,分别是:ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分:安全与隐私保护》、ISO/IEC 27045《大数据安全与隐私保护过程》以及2项研究项目《大数据安全实施指南》和《数据安全》,均由我国专家主导。[31]
【关联规定】
《中华人民共和国标准化法》第15~16条、第18~22条、第24条
(撰稿人:韩富鹏)