2024年3月1日，《信息安全技术 大数据服务安全能力要求》（GB/T 35274-2023）正式实施，从大数据服务提供者的组织管理安全能力、数据处理安全能力、数据服务安全风险管理能力三大方面提出细化要求。本文将从标准的修订背景出发，分析解读其中关键内容，以期帮助读者更好地理解并落实相关要求。

一、背景简介

近年来，大数据已成为推动社会进步和经济发展的关键动力。然而，随着其价值日益凸显，数据安全问题也愈发受到社会各界的广泛关注。2017年12月29日，为响应国务院发布的《促进大数据发展行动纲要》中提出的“建立大数据产业标准规范体系”这一任务要求，规范大数据服务提供者的服务安全能力，全国信安标委发布了《信息安全技术 大数据服务安全能力要求》（GB/T 35274-2017）。继标准发布之后，网络安全、数据安全以及个人信息保护领域的法律法规和标准体系不断完善，《数据安全法》《个人信息保护法》等规定陆续出台，旧标准已不再适应当前的安全环境与法律要求。因此，新标准结合具体实践经验和工作成果，接轨“三驾马车”和相关标准的规定，对2017版标准内容做了同步更新和调整，以确保与时俱进，反映最新的数据安全要求和行业实践。

根据国家市场监督管理总局、国家标准化管理委员会于2023年8月6日发布的中华人民共和国国家标准公告（2023年第7号），全国信息技术安全标准化委员会（以下简称“全国信安标委”）归口的GB/T 35274-2023《信息安全技术 大数据服务安全能力要求》修订版本于2024年3月1日正式实施。

二、主要变化

（一）对标准内容结构进行调整

GB/T 35274-2023在体例结构上做了较大修改，原标准根据数据重要性以及服务系统异常时的影响范围和严重程度，将大数据服务安全能力区分为一般要求和增强要求两个级别。新修订的标准并未延续这一区分模式，而是从组织管理、数据处理及安全风险管理三方面予以规定。

在具体内容上，新标准简化了原标准第五章“基础服务安全能力”内容，只保留了“策略与规程”、“数据与系统资产”、“组织与人员管理”部分条款，并将章节名称调整为“组织管理安全能力”。此外，为了与《数据安全法》的规定保持一致，数据处理阶段被重新划分为数据收集、存储、使用、加工、传输、提供、公开和销毁八个阶段。标准还引入了全新的“数据服务风险安全管理能力要求”章节，围绕风险识别、安全防护、安全监测、安全检查、安全响应以及安全恢复等六大关键环节，构建了一套全面的风险管理框架，旨在提升大数据服务提供者在面对各种安全威胁时的应对能力。

（二）对关键术语进行明确定义

作为面向有大数据服务提供者的国家标准，GB/T 35274-2023明确了大数据应用、系统、服务、使用者及服务提供者等概念，将大数据服务提供者定义为拥有或可获得大数据服务所需数据资产的网络运营者。同时，新标准采用了《信息技术 大数据 术语》（GB/T 35295-2017）中对于“大数据”的定义，即具有体量巨大、来源多样、生成极快、宜多变等特征，并且难以用传统数据体系结构有效处理的包含大量数据集的数据。

值得关注的是，新标准删除了一些旧的术语定义，如数据生命周期、数据服务、数据交换和数据共享等。取而代之的是更为细化和具体的概念，例如数据采集、数据使用、数据加工和数据传输等，这些新增的定义填补了以往标准中的空白，在一定程度上增强了标准的实用性和操作性。以实务中较难区分的“数据使用”和“数据加工”为例，新标准将“数据使用”定义为依据数据权属及使用目的，基于访问控制策略，对数据资产进行读取、检索、展示等操作的数据处理活动，并通过注释强调了访问数据前的条件约束和使用后的义务履行。而数据加工则定义为通过数据变换、转换、编码、计算、压缩和分析等操作，生成新数据（集）的活动，强调了对数据自身的改变。

三、要点内容

（一）大数据组织管理安全能力要求

GB/T 35274-2023对于大数据服务提供者的组织管理安全能力要求，主要围绕策略与规程、组织与人员、资产管理三方面展开。

首先，就策略与规程要求而言，GB/T 35274-2023提出大数据服务提供者应按照信息安全管理体系，制定相应的大数据安全管理制度。这些制度应覆盖数据处理活动、数据供应链管理、大数据应用安全技术机制、数据风险评估以及数据安全投诉举报机制等多个方面，确保各项数据处理活动都在严格的规范之下进行。此外，对于涉及个人信息的处理活动，大数据服务提供者还需制定相应的个人信息保护实施细则和操作规范，建立个人信息保护影响评估机制，并实施个人信息保护法律法规的责任考核制度，从顶层设计上保障个人信息的安全与合规。

其次，在组织与人员管理方面，《数据安全法》第27条要求重要数据处理者应明确数据安全负责人和管理机构，落实数据安全保护责任。标准在此基础上进一步细化了有关组织职责、岗位职责、人员管理和培训管理的安全要求。具体而言，大数据服务提供者应明确数据安全负责人，负责组织日常的数据安全管理工作。同时，应围绕数据处理活动设置相应的数据操作岗位，明确岗位的安全职责。此外，服务提供者还应建立大数据用户授权策略和访问控制模型，明确不同岗位或用户角色的访问机制安全要求。为了提升人员的数据安全意识和操作技能，大数据服务提供者应定期对关键岗位的员工进行教育培训。这不仅包括数据安全法律法规的知识普及，还应涵盖实际操作技能的培训，以确保员工能够在日常工作中有效识别和应对潜在的数据安全风险。

最后，在资产管理方面，GB/T 35274-2023从数据资产和系统资产两方面提出了具体要求。对于数据资产，标准提出大数据服务提供者应建立数据分类分级策略，根据数据资产的业务基础属性、类别、级别及相关方责任等建立数据资产清单；对于系统资产，标准要求服务提供者完善对系统资产建设和运营管控的措施，通过自动化手段，对系统资产进行数字化管理。

（二）大数据处理安全能力要求

GB/T 35274-2023围绕数据处理活动的八大环节——数据收集、存储、使用、加工、传输、提供、公开和销毁——提出了详细的数据保护要求，从全流程保护的角度构建一套完善的大数据处理安全能力框架。

1. 数据收集

数据收集环节的安全能力建设不仅涵盖数据获取阶段，还延伸至数据清洗、数据标识和数据加载阶段。在数据获取时，GB/T 35274-2023参考《网络数据安全管理条例（征求意见稿）》第17条规定，要求大数据服务提供者开展数据获取环境评估，确保其活动不会影响数据提供者的网络服务可用性。此外，一旦发现任何违法行为，服务提供者应立即采取措施进行纠正。标准还遵循《数据安全法》中风险监测的要求，进一步强调大数据服务提供者应具备“对超出法律法规规定和合同约定规模、范围获取数据的异常行为进行检测告警能力”的要求。

至于数据清洗、数据标识和数据加载阶段，大数据服务提供者应制定相应的操作规程，明确操作要求、规则和方法。同时，采用技术手段和管理措施对数据进行保护，及时删除操作过程中产生的临时数据或缓存数据。

2. 数据存储

数据存储环节的安全管理是维护整个数据处理流程安全的关键之一，GB/T 35274-2023提出了一系列详尽的安全要求，涵盖了存储架构设计、数据副本与备份策略、数据归档要求、数据留存措施、密钥管理实践以及多租户数据存储安全等方面。在规则制定层面，标准提出大数据服务提供者可根据不同数据类型、数据容量、业务需求和数据用户的安全管理要求，采取数据分离存储、分布式存储等方法和技术机制。在存储技术安全措施层面，大数据服务提供者可通过身份鉴别、访问控制、完整性校验等措施对数据备份资料进行安全管控。

实践中，不少数据处理者因忽视数据存储安全而面临惩罚。以贵州某医院为例，该医院的信息系统对数据未实行分类存储，并且缺乏必要的安全防护措施，导致攻击者可以轻易通过反序列化漏洞获得主机权限，并进一步侵入了内部网络数据库。这起安全事件不仅侵犯了患者的合法权利，也导致医院收到了相关监管部门的警告，并被命令在规定时间内完成整改。因此，建议大数据服务提供者尽快开展数据存储环节的合规性建设，确保数据存储的安全性和可靠性，从而避免潜在的风险和不良后果。

3. 数据使用

在数据使用环节，GB/T 35274-2023在原标准的基础上，补充了对收集和汇聚数据的授权管理机制，对原始数据处理权限、汇聚数据资产控制权限等提出了合规性要求。同时，标准强调大数据服务提供者应综合主体角色与安全级别、数据分类分级与业务需要、数据使用时效性等因素，制定访问授权有关制度，并通过不同技术层级的访问接口、管理命令等措施协助制度的落地。

4. 数据加工

数据加工环节的安全管理同样不容忽视，尤其是当涉及到分布式计算、大数据分析、密文计算和数据脱敏等复杂处理时。以大数据分析为例，大数据服务提供者应从合规的数据源获取数据，并在数据汇聚前进行安全评估。此外，根据《互联网信息服务算法推荐管理规定》，大数据服务提供者在提供算法推荐服务或基于自动化决策的服务时，应赋予用户关闭推荐功能和调整参数配置的选项。GB/T 35274-2023在此基础上进一步提出，对于涉及多方参与的算法服务，大数据服务提供者应当具备对第三方提供集成算法的审核能力。

5. 数据传输

数据传输阶段，标准对传输场景、传输接口、传输链路等方面做出了详细的规定，旨在确保数据传输的完整性、保密性和真实性。同时，标准对大数据服务提供者提出了进一步的要求，即应具备对传输双方的数据安全级别评估能力，避免将高安全等级数据传输至低安全登记的安全域。

6. 数据提供

对内提供时，大数据服务提供者应制定清晰的组织内数据安全操作规范，并采取数据加密、安全传输通道等技术措施来确保数据的安全传输。同时，还应定期对数据传输通道的安全性进行评估。

对外提供时，需重点关注是否通过合同、协议等形式明确双方的数据安全保护责任和义务。若涉及对外提供个人信息，还应当遵守《个人信息保护法》的相关规定，取得个人的单独同意；如果涉及向境外提供重要数据和敏感个人信息，还应事先开展数据出境安全自评估，并根据法律规定执行数据出境合规流程。

7. 数据公开

数据公开是数据处理活动的重要组成部分，它包括数据发布和在线访问两个主要方面。在对于数据发布，大数据服务提供者应制定一份数据发布清单，包含数据的摘要信息、格式以及更新频率等关键要素。在在线访问方面，则应建立一套明确的公开访问授权操作规范，并通过自动化与人工审计相结合的方法，对访问操作进行监控和记录，以确保数据的安全性。

8. 数据销毁

在数据销毁环节，标准对数据删除和介质管理提出了具体的操作规范，要求建立物理删除和逻辑删除的方法和技术。针对不同类型和等级的数据，企业应明确相应的删除方式。通过在事前明确规则、事中具体技术要求、事后效果评估及复核，确保数据能够被彻底删除，从而降低数据泄露和其他安全事件的风险。

（三）大数据服务安全风险管理能力

《数据安全法》第29条规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。同时，参照现有数据安全风险管理架构，GB/T 35274-2023从“风险识别、安全防护、安全检测、安全检查、安全响应和安全恢复”六个方面，对大数据服务提供者的安全风险管理能力提出要求，现简要梳理如下：

四、合规建议

首先，企业应根据自身的业务性质、数据处理的规模、复杂性等方面入手，自查是否属于大数据服务提供者。具体而言，就是判断企业是否拥有大数据系统，是否利用大数据技术开展数据处理活动，并以服务方式向用户提供有价值的数据处理功能。

在确认自身为大数据服务提供者后，企业应进一步结合其所在行业特点、业务流程以及产品和服务链等方面，对在生产经营或运营过程中产生或控制的数据进行全面梳理。在充分了解自身数据资产和系统资产管理状况后，企业应参照相关标准规定，评估现有网络安全和数据安全管理制度的适用性和有效性，并根据评估结果对管理策略进行调整和完善。此外，企业还可从人员培训、数据处理流程优化、风险评估机制建立、以及应急处置完善等方面着手，全面提升企业组织管理、数据处理安全和风险管理的能力。随着大数据领域立法和标准体系的不断完善，监管机构对于大数据合规的执法标准日益清晰，执法的力度也将愈加严厉。鉴于此，企业应从实际出发，构建和完善大数据服务的安全能力体系，以便更有效地应对未来可能出现的监管挑战。

作者：吴丹君律师团队

首发：微信公众号“大数据法律研究”