背景与现状

近年来，我国大力推进5G、物联网、云计算、大数据、人工智能、区块链等新技术新应用，坚持创新赋能，激发数字经济新活力，数字生态建设取得积极成效，同时在疫情的倒逼下，各行各业加速了数字化进程，社会经济已全面进入数字生产力快速发展新阶段，数据要素凭借边际成本低、规模效应大、流动性高、可复用性强等区别于传统生产要素的新特点，有力促进了各类要素在生产、分配、流通、消费各环节有机衔接，实现了产业链、供应链、价值链优化升级和融合贯通，正在成为引领中国高质量发展的一个新引擎，持续在各行业为国家决策、企业生产经营、个人生活等方面带来便利。数字经济时代，如何在保护用户隐私的同时，确保数据可用并创造价值，是值得思考也亟待解决的问题。

近年来，陆续出台的《网络安全法》《数据安全法》《个人信息保护法》等法律持续健全我国数据安全法律法规矩阵，构建了我国网络空间治理和数据保护的基本法，再加上《关键信息基础设施安全保护条例》《网络安全审查办法》《互联网信息服务管理办法（修订草案征求意见稿）》等多部目的明确、条文细致的下位法和配套法律、法规、条例、指导意见等，共同组成了我国网络安全法律体系，数据安全步入了强监管时代。国家关于数据安全监管保护的战略布局，充分体现了保护数据安全，保障个人信息合法权益，促进数据合理、有序利用的意志和决心。数据安全合规治理成为企业健康、合规、可持续的发展的基本要求，行业整体的良性发展的基本保障。

随着大数据、云计算、人工智能等新兴技术在数字经济中广泛运用，数据的分布式存储、多渠道流转、多业务共享已成为常态，数据泄露的途径、动机与角色呈现多元化和隐蔽化的特点。一是信息共享、互联网化、云服务、AI等高新技术的追求延伸出新的信息安全风险点；二是系统多方互通、安全边界模糊、应用架构与数据庞杂，难以系统化设置复杂应用场景中的最小化控制、访问控制及数据持续防护安全策略；三是由于高价值数据逐渐得到灰色产业链的觊觎，漏洞利用、数据窃取的人为因素增加；四是由于数据的广泛共享，数据接触者增多，人员安全意识淡薄、企业管理制度不完善等问题，导致数据泄露。

随着人工智能和物联网时代的到来，越来越多的企业在数字化过程受益，企业开始关注企业自身数据对内对外的价值变现，在《“十四五”大数据发展规划》、《要素市场化配置综合改革试点总体方案》等政策指引下，各地政府也协同企业积极探索数据交易范式和模式，开展数据交易新业态的培育与试点，在新业态新模式的试探推广和落地过程中，一方面需要保障数据要素流通中数据交换、数据集成、数据存储、数据资产管理等方面的数据安全技术可用、可靠，另一方面需要考虑新兴安全技术自身技术的安全性，否则数据安全风险或将变得更大，如训练模型数据泄露或模型被污染等。

在以《网络安全法》、《数据安全法》和《个人信息保护法》为基础法，各行业、各部门密集的展开了数据安全相关的实施指南与标准规范的编制和监管执法工作，由于数据安全是一项复杂的系统性工程，涉及规范涉及标准众多，数据安全标准解析与落实难度大，部分多重属性的企业还面临多个行业的考核监管，对企业数据安全领域的人员水平与经济投入提出了更高的要求，同时需要更好的平衡业务发展与数据安全的关系，以避免因数据安全能力建设不足，导致企业业务发展受限或经济受损等情况发生。

在数据全生命周期处理活动中，涉及众多数据技术、数据处理主体，且数据流动范围广，从国家内部的数据流转到跨国界的数据传输，均增大了数据活动场景的复杂性，也提升了数据安全的管控难度。一是互联网技术日新月异，技术和产品不断快速迭代中探索全新的数据处理模式，对数据安全技术和管理流程的革新速度提出了更高要求；二是数据规模极速增长、数据类型与数据形态变换多样给数据安全识别与防护的时效性、可靠性带来挑战；三是数据处理环节繁杂众多，数据流通、应用及共享过程当中涉及了众多数据处理主体，为数据安全策略管理和数据泄露定责带来困难。

思考与建议

参考国外Gartner DSG、Microsoft DGPC、NIST IPDRR及国内DSMM、信通院数据安全合规治理框架等众多数据安全模型，围绕以数据和人为中心，将数据安全建设作为一个系统化工程展开，聚焦组织、流程、技术、人员等方面，从讨论对齐、体检分析、诊断治疗、持续监护、执行监督等维度进行综合考虑，建立数据可知、风险可视、体系防护、持续有效的数据安全合规治理体系，数据安全合规治理建议从以下几个方面展开：

以“专家+工具”模式，依据国家法律法规、上级监管部门、国标行标及企业内部数据安全相关要求，围绕数据生命周期各环节中数据采集、传输、存储、使用、共享、销毁的数据分布、数据分类分级、业务场景、数据流转环节及管控措施等详情展开梳理、搜集与分析，形成数据资产台账、数据安全管理规范矩阵，并通过调研访谈、文档审阅、上机查验、技术检测、流程穿越等方式，从组织架构、管理体系、技术体系、数据全生命周期等方面开展数据安全现状分析，评估差异与不足，量化评价风险，绘制数据资产安全信息全貌，明确合规治理目标。同时根据数据载体类型、数据内容属性等信息定期开展面向个人信息、APP、大数据、云平台等各类主题或对象的安全评估活动，不断更新丰富数据资产安全维度信息，细化合规治理路径。

坚持数据安全合规治理中七分是管理，三分是技术原则，依托数据资产安全信息，从组织架构体系、责任体系、运作机制、风险管理、内控措施等方面建立合规框架体系。一是构建从策略层到管理层，以及控制层和执行层的从上至下的一体化组织体系，二是建立标准化、覆盖数据全生命周期的数据安全管理机制，把制度建在流程上，流程建在系统上，把安全数据的控制理念贯穿于整个生产流程的操作过程中，让合规要求落实到每个环节及责任人，使数据安全合规建设从被动转变为主动，三是建立合规策略体系，使安全合规持续同步法律法规要求及业务发展需要，形成从制定计划、评估安全、执行解决方案、到总结经验的数据安全闭环管理流程，使数据安全合规建设有的放矢、安全标准规范落地、安全能力循序提升。

以组织数据安全建设为基础，围绕数据安全生命周期安全的各项要求，建立与制度流程相配套并保证有效执行的技术和工具。一是建立数据安全管理能力，实现数据安全管理流程、策略、规范及数据资产的电子化、信息化管理；二是建立数据全生命周期的安全防护能力，如数据加密、脱敏、数字水印、访问控制、数据防泄露等，支撑数据安全管理工作的落地执行；三是建设数据安全监测与审计能力，构建一个可控、可查、可见的统一的数据安全闭环管理体系，通过对数据安全风险及业务数据场景的持续运营，梳理资产、数据、用户、权限等要求，指导安全技术、管理、运营能力的体系化建设与协作。

数据安全合规治理是多元主体共同参与的过程，其中人员是数据安全各项要求有效实施的基石，也是安全风险的重要来源，应加强人员安全意识培养、技能提升、规范流程演练，以明确安全职责、部门协同机制等，提升应急响应与处置能力。一是建立人员安全意识培养机制，通过定期开展培训，将法律法规、标准规范、案例事件等进行宣贯，逐步提升人员对数据安全的价值认识和威胁识别能力；二是加强合规治理参与人员的技能培训，对不同岗位的人员制定科学合理的培训计划，按照必备优先，先基础、后专业、再全面的原则，逐步提升人员的专业技能。三是建立应急演练机制，通过定期或事件触发机制，对实际业务场景中的各类风险主题的处理方式、协作流程及响应机制等进行模拟演练，确保安全措施落实到位，安全处置流程正确有效等，全面提升数据安全合规治理运营保障能力。

总结与展望