顧 璨

（上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院，上海 200003）

0 引 言

隨著大數(shù)據(jù)時(shí)代的來(lái)臨，一方面，數(shù)據(jù)在社會(huì)生產(chǎn)生活中正占據(jù)著越來(lái)越重要的作用，并開(kāi)始成為至關(guān)重要的生產(chǎn)要素；另一方面，在數(shù)據(jù)越發(fā)重要的背景下，當(dāng)下數(shù)據(jù)泄露問(wèn)題頻發(fā)，數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)，如何在充分利用數(shù)據(jù)作為生產(chǎn)要素推動(dòng)我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的同時(shí)保障數(shù)據(jù)安全，是大數(shù)據(jù)時(shí)代我們必須處理好的問(wèn)題。對(duì)于中國(guó)而言，開(kāi)展數(shù)據(jù)安全治理迫在眉睫，《中華人民共和國(guó)數(shù)據(jù)安全法》的出臺(tái)打響了我國(guó)數(shù)據(jù)安全治理的第一槍?zhuān)谶@樣的情況下，我們有必要開(kāi)展數(shù)據(jù)安全治理的細(xì)化研究，進(jìn)一步發(fā)展和完善我國(guó)數(shù)據(jù)安全治理體系，促進(jìn)我國(guó)數(shù)據(jù)安全治理能力的提升。

1 數(shù)據(jù)安全現(xiàn)狀概述

在國(guó)家大數(shù)據(jù)戰(zhàn)略的大力推動(dòng)下，我國(guó)大數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)業(yè)創(chuàng)新層出不窮，各種“互聯(lián)網(wǎng)+”應(yīng)用和服務(wù)大大縮短了企業(yè)和用戶(hù)的距離。一方面，人工智能等技術(shù)在城市治理、金融、醫(yī)療、交通、家居、制造等領(lǐng)域廣泛應(yīng)用，數(shù)據(jù)采集終端越來(lái)越多，傳輸速度越來(lái)越快。個(gè)人用戶(hù)成為萬(wàn)物互聯(lián)、人機(jī)交互、天地一體的智能化網(wǎng)絡(luò)空間中重要數(shù)據(jù)的生產(chǎn)者和消費(fèi)者。作為機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等人工智能技術(shù)的根基，數(shù)據(jù)也成為“智能+”時(shí)代企業(yè)制勝的法寶。與此同時(shí)，數(shù)據(jù)作為重要資產(chǎn)，受到安全威脅的程度也越來(lái)越嚴(yán)重，數(shù)據(jù)遭濫用和泄露的現(xiàn)象極為普遍。另一方面，目前我國(guó)電子政務(wù)進(jìn)入了改革深水區(qū)，為加強(qiáng)數(shù)據(jù)交換和信息共享，將各領(lǐng)域政務(wù)數(shù)據(jù)、公民個(gè)人信息遷移至政務(wù)云平臺(tái)，加強(qiáng)網(wǎng)絡(luò)和信息安全保護(hù)成為重中之重的任務(wù)。

2019年10月，黨的十九屆四中全會(huì)決議通過(guò)的《中共中央關(guān)于堅(jiān)持和完善中國(guó)特色社會(huì)主義制度推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化若干重大問(wèn)題的決定》（以下簡(jiǎn)稱(chēng)《決定》），首次增列“數(shù)據(jù)”為生產(chǎn)要素，要求健全勞動(dòng)、資本、土地、知識(shí)、技術(shù)、管理、數(shù)據(jù)等生產(chǎn)要素由市場(chǎng)評(píng)價(jià)貢獻(xiàn)、按貢獻(xiàn)決定報(bào)酬的機(jī)制?？v觀社會(huì)經(jīng)濟(jì)發(fā)展，從以土地、勞動(dòng)力為生產(chǎn)要素的農(nóng)業(yè)經(jīng)濟(jì)時(shí)代，到以資本、技術(shù)為生產(chǎn)要素的工業(yè)經(jīng)濟(jì)時(shí)代，演進(jìn)到如今以數(shù)據(jù)生產(chǎn)要素為核心推動(dòng)力的數(shù)字經(jīng)濟(jì)時(shí)代，生產(chǎn)要素形態(tài)的演進(jìn)具有鮮明的社會(huì)經(jīng)濟(jì)發(fā)展時(shí)代特征。

1.1 全球數(shù)據(jù)安全事件頻發(fā)

云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新技術(shù)的快速發(fā)展，使網(wǎng)絡(luò)邊界開(kāi)始不斷地被打破，數(shù)字雙生、敏捷創(chuàng)新、安全合規(guī)驅(qū)動(dòng)快速轉(zhuǎn)型，社會(huì)和企業(yè)都面臨著數(shù)字化轉(zhuǎn)型所帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)[1]。數(shù)字化的程度越高，數(shù)據(jù)安全風(fēng)險(xiǎn)暴露面、攻擊面便越廣，加之?dāng)?shù)據(jù)價(jià)值的提升，數(shù)據(jù)市場(chǎng)的驅(qū)動(dòng)，數(shù)據(jù)利益相關(guān)方趨之若鶩，圍繞網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取和數(shù)據(jù)交易形成的數(shù)據(jù)黑市已經(jīng)成為大規(guī)模、有組織的犯罪集團(tuán)，數(shù)據(jù)黑灰產(chǎn)猖獗，數(shù)據(jù)濫用及數(shù)據(jù)安全事件愈演愈烈。

2018年以來(lái)，全球各地爆發(fā)了多起大規(guī)模數(shù)據(jù)泄露事件，其中造成較大影響的包括印度公民身份數(shù)據(jù)庫(kù)Aadhaar數(shù)據(jù)泄露、Facebook數(shù)據(jù)泄露、雅虎數(shù)據(jù)泄露，以及微博用戶(hù)數(shù)據(jù)被出售等，這些事件不管是在涉及人數(shù)，還是在引發(fā)的輿論關(guān)注度，抑或是經(jīng)濟(jì)賠償額度等多個(gè)方面都影響巨大。相關(guān)數(shù)據(jù)泄露事件的發(fā)生地既涵蓋了擁有全球數(shù)字技術(shù)霸權(quán)的美國(guó)，也包括中國(guó)、印度等技術(shù)大國(guó)和人口大國(guó)，這些事件表明數(shù)據(jù)泄露已經(jīng)對(duì)全球民眾的個(gè)人隱私與數(shù)據(jù)安全帶來(lái)了極大挑戰(zhàn)，也體現(xiàn)出當(dāng)前開(kāi)展數(shù)據(jù)安全治理刻不容緩。

1.2 各國(guó)數(shù)據(jù)安全監(jiān)管艱難前行

面對(duì)嚴(yán)峻的數(shù)據(jù)安全和隱私保護(hù)形勢(shì)，全球各國(guó)監(jiān)管機(jī)構(gòu)都采取了應(yīng)對(duì)措施，力圖通過(guò)立法加強(qiáng)企業(yè)和組織的數(shù)據(jù)保護(hù)主體責(zé)任。截至目前，100多個(gè)國(guó)家和地區(qū)已經(jīng)制定了專(zhuān)門(mén)的個(gè)人信息保護(hù)法。然而數(shù)據(jù)安全法規(guī)的實(shí)施和執(zhí)行并不順暢，尤其是對(duì)于已掌握海量數(shù)據(jù)的科技公司來(lái)說(shuō)，難以及時(shí)完成數(shù)據(jù)梳理并落實(shí)滿(mǎn)足法律法規(guī)要求的數(shù)據(jù)保護(hù)措施。2018年5月，歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）正式實(shí)施后，社會(huì)隱私組織和監(jiān)管機(jī)構(gòu)都將目光投向谷歌、Facebook、亞馬遜等全球科技巨頭，對(duì)其開(kāi)展數(shù)據(jù)隱私保護(hù)審查。其中，谷歌因違反GDPR被法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)處以5000萬(wàn)歐元罰款。同時(shí)，這些科技公司也遭到了來(lái)自俄羅斯、日本等地監(jiān)管機(jī)構(gòu)的調(diào)查和起訴，例如，2019年1月俄羅斯通信監(jiān)管機(jī)構(gòu)宣布對(duì)Facebook和Twitter發(fā)起民事訴訟，原因是其未能履行俄羅斯的數(shù)據(jù)保護(hù)法。從全球來(lái)看，各國(guó)數(shù)據(jù)安全監(jiān)管處于起步階段，科技巨頭首當(dāng)其沖成為被監(jiān)管的焦點(diǎn)。然而，數(shù)據(jù)安全監(jiān)管任重道遠(yuǎn)，如何平衡數(shù)據(jù)安全保障和數(shù)據(jù)價(jià)值實(shí)現(xiàn)仍是亟待解決的全球難題。

就我國(guó)而言，2021年6月《中華人民共和國(guó)數(shù)據(jù)安全法》正式公布，明確提出應(yīng)“建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力”[2]。從業(yè)內(nèi)數(shù)據(jù)安全治理研究及實(shí)踐情況來(lái)看，2019年發(fā)布的國(guó)家標(biāo)準(zhǔn)GB/T 37988—2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（DSMM標(biāo)準(zhǔn)）積極推動(dòng)了我國(guó)數(shù)據(jù)安全治理的發(fā)展。中央網(wǎng)信辦于2021年發(fā)布的《數(shù)據(jù)安全治理能力評(píng)估方法》明確了數(shù)據(jù)安全治理能力評(píng)估框架[3]。

1.3 全球數(shù)據(jù)安全合作方興未艾

數(shù)據(jù)安全對(duì)于一國(guó)開(kāi)展數(shù)字治理、維護(hù)網(wǎng)絡(luò)安全、推動(dòng)數(shù)字經(jīng)濟(jì)的穩(wěn)步發(fā)展具有重要現(xiàn)實(shí)意義?；诖?，包括網(wǎng)絡(luò)空間國(guó)家行為體、非國(guó)家行為體在內(nèi)的數(shù)字治理多利益攸關(guān)方有必要通力協(xié)作，開(kāi)展全球數(shù)據(jù)安全合作，促進(jìn)數(shù)據(jù)安全在全球各國(guó)落地生根，更好地為數(shù)字治理、數(shù)字經(jīng)濟(jì)服務(wù)。

當(dāng)前，全球數(shù)據(jù)安全合作仍處于早期階段，開(kāi)展全球數(shù)據(jù)安全合作的國(guó)際規(guī)則仍不夠明確，這也是下一階段各個(gè)國(guó)家、互聯(lián)網(wǎng)企業(yè)、技術(shù)社群等數(shù)據(jù)安全利益相關(guān)方需要重點(diǎn)討論的課題。但盡管如此，部分國(guó)家已經(jīng)吹響了開(kāi)展全球數(shù)據(jù)安全合作的號(hào)角，中國(guó)是推動(dòng)全球數(shù)據(jù)安全合作的領(lǐng)頭羊。2020年9月8日，中國(guó)提出了《全球數(shù)據(jù)安全倡議》，歡迎政府、國(guó)際組織、信息技術(shù)企業(yè)、技術(shù)社群、民間機(jī)構(gòu)和公民個(gè)人等各主體秉持共商共建共享理念，齊心協(xié)力促進(jìn)數(shù)據(jù)安全，并呼吁各國(guó)在因執(zhí)法等需要調(diào)取跨境數(shù)據(jù)時(shí)，應(yīng)通過(guò)司法協(xié)助或兩國(guó)雙邊協(xié)議解決相關(guān)問(wèn)題，互相尊重對(duì)方在數(shù)據(jù)安全領(lǐng)域的權(quán)益[4]。2021年3月29日，中國(guó)同阿拉伯國(guó)家共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》，阿拉伯國(guó)家成為全球首個(gè)與中國(guó)共同發(fā)表數(shù)據(jù)安全倡議的地區(qū)[5]。對(duì)于中國(guó)而言，應(yīng)秉承習(xí)近平主席提出的網(wǎng)絡(luò)空間命運(yùn)共同體理念，根據(jù)民主原則構(gòu)建各方都能接受的、平衡各方利益的數(shù)據(jù)治理國(guó)際規(guī)則[6]，并在此基礎(chǔ)上推動(dòng)全球數(shù)據(jù)安全合作，在維護(hù)我國(guó)數(shù)據(jù)安全的同時(shí)，促進(jìn)全球數(shù)據(jù)安全整體水平的提升，改善數(shù)字治理環(huán)境，為促進(jìn)全球數(shù)字經(jīng)濟(jì)發(fā)展作出中國(guó)貢獻(xiàn)。

2 數(shù)據(jù)安全治理理念

數(shù)據(jù)安全治理是一種特殊的數(shù)據(jù)安全管理體系，與傳統(tǒng)數(shù)據(jù)安全管理體系有所不同的是，數(shù)據(jù)安全治理更貼近數(shù)據(jù)全生命周期流轉(zhuǎn)。總體而言，數(shù)據(jù)安全治理在提升數(shù)據(jù)資產(chǎn)價(jià)值、提高業(yè)務(wù)效益、降低企業(yè)安全風(fēng)險(xiǎn)的同時(shí)，實(shí)現(xiàn)了數(shù)據(jù)安全保障的最優(yōu)化。

以治理范圍為劃分標(biāo)準(zhǔn)，數(shù)據(jù)安全治理可以分為國(guó)家數(shù)據(jù)安全治理和組織數(shù)據(jù)安全治理，前者是針對(duì)國(guó)家戰(zhàn)略層面落實(shí)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全統(tǒng)籌發(fā)展的策略，后者是基于數(shù)據(jù)生命周期建立涵蓋組織保障、制度規(guī)范、安全技術(shù)和人才建設(shè)等多重維度的策略[7]。

數(shù)據(jù)治理的目標(biāo)可歸納為運(yùn)營(yíng)合規(guī)、風(fēng)險(xiǎn)可控、價(jià)值創(chuàng)造。數(shù)據(jù)治理的框架主要分為五大域別，即管理域，主要包括戰(zhàn)略、組織、制度、流程；過(guò)程域，主要包括分析、設(shè)計(jì)、執(zhí)行、評(píng)估、數(shù)據(jù)架構(gòu)、管控平臺(tái)、治理工具；治理域，主要包括主數(shù)治理、業(yè)務(wù)數(shù)據(jù)治理、分析數(shù)據(jù)治理；價(jià)值域，主要包括數(shù)據(jù)流通、數(shù)據(jù)服務(wù)、數(shù)據(jù)洞察。

數(shù)據(jù)安全治理的觀念可在隱私保護(hù)和數(shù)據(jù)權(quán)兩種概念下加以理解：在隱私保護(hù)的概念下，數(shù)據(jù)安全治理的目標(biāo)是去除數(shù)據(jù)中的隱私信息，涉及的關(guān)鍵技術(shù)有差分隱私、數(shù)據(jù)匿名化和數(shù)據(jù)脫敏技術(shù)；與前者概念下數(shù)據(jù)所有者與其數(shù)據(jù)失去聯(lián)系不同，在數(shù)據(jù)權(quán)的概念下，數(shù)據(jù)所有者能夠保障關(guān)于數(shù)據(jù)的各項(xiàng)權(quán)利，并從數(shù)據(jù)中獲取利益，在此概念下的數(shù)據(jù)使用安全技術(shù)保證使用者無(wú)須接觸原始數(shù)據(jù)即可完成使用，既不消除隱私信息也不侵犯數(shù)據(jù)隱私。

3 各典型行業(yè)數(shù)據(jù)安全需求

3.1 政務(wù)數(shù)據(jù)安全需求

電子政務(wù)數(shù)據(jù)安全治理是數(shù)據(jù)安全治理在電子政務(wù)行業(yè)的擴(kuò)展和落地應(yīng)用。其治理對(duì)象包括政府在社會(huì)公共事務(wù)治理中所產(chǎn)生、使用、共享、開(kāi)放和交換的數(shù)據(jù)。所涉及的業(yè)務(wù)流程包括政府信息公開(kāi)、公共資源整合交換共享、政府社會(huì)公共事務(wù)處理等，滲透于數(shù)據(jù)產(chǎn)生、導(dǎo)入、處理、使用、銷(xiāo)毀、導(dǎo)出生命周期的各個(gè)階段[8]。

電子政務(wù)數(shù)據(jù)作為國(guó)家基礎(chǔ)性戰(zhàn)略資源，已經(jīng)成為當(dāng)代社會(huì)政務(wù)服務(wù)、政務(wù)監(jiān)管以及社會(huì)治理的核心支柱。而公共資源的整合，政務(wù)服務(wù)和數(shù)據(jù)的交換、共享和協(xié)同，更是極大地推進(jìn)了政府治理能力現(xiàn)代化。電子政務(wù)數(shù)據(jù)事關(guān)國(guó)家政治經(jīng)濟(jì)運(yùn)行、國(guó)防和社會(huì)穩(wěn)定，具有敏感程度高、經(jīng)濟(jì)價(jià)值高、數(shù)據(jù)量龐大、數(shù)據(jù)關(guān)聯(lián)關(guān)系復(fù)雜等特點(diǎn)。隨著電子政務(wù)數(shù)據(jù)利用開(kāi)發(fā)的快速發(fā)展、數(shù)據(jù)安全威脅和形勢(shì)的日益嚴(yán)峻，以及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》等法律法規(guī)的出臺(tái)，都對(duì)電子政務(wù)數(shù)據(jù)安全治理提出了更高的要求。推動(dòng)全市政務(wù)數(shù)據(jù)集中共享的基礎(chǔ)是完成政務(wù)數(shù)據(jù)治理，即通過(guò)梳理和整合政府所掌握的政務(wù)、企業(yè)和個(gè)人數(shù)據(jù)，基于數(shù)據(jù)生命周期全過(guò)程閉環(huán)管理理論，對(duì)政務(wù)數(shù)據(jù)資產(chǎn)進(jìn)行科學(xué)管理，利用數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)，通過(guò)數(shù)據(jù)公示及數(shù)據(jù)資產(chǎn)服務(wù)和實(shí)現(xiàn)數(shù)據(jù)的增值。對(duì)于政務(wù)數(shù)據(jù)的安全需求，主要包括以下幾個(gè)方面：

第一，數(shù)據(jù)合規(guī)安全需求。在整個(gè)“數(shù)字底座”即政務(wù)數(shù)據(jù)大腦的建設(shè)過(guò)程中，首先應(yīng)清晰了解政務(wù)數(shù)據(jù)大腦數(shù)據(jù)治理所需遵從的國(guó)家法律法規(guī)，以便確定與政務(wù)數(shù)據(jù)安全目標(biāo)所匹配的政策、規(guī)范、流程、框架以及合規(guī)邊界，解決“怎樣控制風(fēng)險(xiǎn)”以及“需要遵循的底線”，從而指導(dǎo)今后政務(wù)數(shù)據(jù)共享過(guò)程中的一系列數(shù)據(jù)安全管理和技術(shù)活動(dòng)。

各委辦局單位的網(wǎng)絡(luò)安全、數(shù)據(jù)安全等均由信息化管理部門(mén)負(fù)責(zé)管理，但針對(duì)數(shù)據(jù)安全尚無(wú)獨(dú)立的組織架構(gòu)，當(dāng)前數(shù)據(jù)安全的管理與信息安全管理組織架構(gòu)是復(fù)用的。有些單位按照業(yè)務(wù)劃分來(lái)具體落實(shí)相關(guān)系統(tǒng)的安全管理。所有調(diào)研單位均對(duì)數(shù)據(jù)安全“一把手”負(fù)責(zé)制有了解，但在一些信息化與安全建設(shè)相對(duì)滯后的單位，安全管理組織還需進(jìn)一步明確分工職責(zé)，將安全管理落到實(shí)處。

各委辦局單位均設(shè)立有信息安全相關(guān)崗位，但均為兼職，對(duì)于一些網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)為三級(jí)的系統(tǒng)也是如此，在人員不足的情況下，安全專(zhuān)職崗位難以落實(shí)。

在巡檢和檢查制度方面，運(yùn)維類(lèi)巡檢落實(shí)較好，對(duì)于網(wǎng)絡(luò)和硬件的巡檢通常能夠保證每季度執(zhí)行一次，但整體化的安全檢查未常態(tài)化。絕大部分調(diào)研單位沒(méi)有安全相關(guān)的獎(jiǎng)懲制度，通常是基于某一安全事件或安全問(wèn)題進(jìn)行通報(bào)或發(fā)布整改要求，并未形成固化制度或流程。

目前對(duì)于一些有明確行業(yè)要求的數(shù)據(jù)，例如地理信息數(shù)據(jù)等，已有相對(duì)明確的管理要求，但就各個(gè)調(diào)研單位自身而言，對(duì)于數(shù)據(jù)資產(chǎn)的識(shí)別完整性還有待提升，細(xì)化程度仍需加強(qiáng)。體系化的數(shù)據(jù)分級(jí)分類(lèi)工作普遍尚未開(kāi)展，涉及數(shù)據(jù)共享或數(shù)據(jù)公開(kāi)的情況通常由信息化管理部門(mén)向業(yè)務(wù)部門(mén)征詢(xún)意見(jiàn)，以確定數(shù)據(jù)的重要性和共享或公開(kāi)的程度。

在人員管理方面，特別是針對(duì)外部人員的管理，各單位雖有相關(guān)要求，但細(xì)化程度不足，或是受實(shí)際網(wǎng)絡(luò)條件限制，一些管控措施難以有效實(shí)現(xiàn)。對(duì)于第三方提供運(yùn)維服務(wù)或研發(fā)服務(wù)的廠商，進(jìn)入工作區(qū)或申請(qǐng)運(yùn)維所需網(wǎng)絡(luò)資源均有相應(yīng)的審批流程，但對(duì)于網(wǎng)絡(luò)資源的使用權(quán)限細(xì)化程度不足，無(wú)法對(duì)所有操作進(jìn)行有效管理。對(duì)于一些涉及關(guān)鍵業(yè)務(wù)系統(tǒng)的操作，需要專(zhuān)人現(xiàn)場(chǎng)監(jiān)督，防止違規(guī)，管理成本較高，也帶來(lái)了不可控的安全風(fēng)險(xiǎn)。

目前，各單位雖然已經(jīng)具備了一些安全用數(shù)的規(guī)定、業(yè)務(wù)流程，但尚未完成完備的數(shù)據(jù)安全治理策略和流程的制定，與之對(duì)應(yīng)的數(shù)據(jù)安全政策文件也未成體系，距離“有章可循”還存在較大差距。與之相關(guān)的一系列管理、標(biāo)準(zhǔn)與規(guī)范、業(yè)務(wù)流程、業(yè)務(wù)操作指南、業(yè)務(wù)申請(qǐng)或?qū)徟０宓任募€沒(méi)有上升到政策文件體系建設(shè)的高度。

第二，數(shù)據(jù)共享安全需求。隨著工作的不斷深入，政務(wù)應(yīng)用服務(wù)、政務(wù)數(shù)據(jù)服務(wù)等業(yè)務(wù)對(duì)上下游數(shù)據(jù)的匯集、流轉(zhuǎn)、處理和共享的需求不斷增加。當(dāng)前政務(wù)公共數(shù)據(jù)的開(kāi)放和基礎(chǔ)數(shù)據(jù)資源跨部門(mén)、跨區(qū)域共享，這方面已經(jīng)看到了初步成效。市政務(wù)數(shù)據(jù)大腦一方面基于數(shù)據(jù)驅(qū)動(dòng)政務(wù)業(yè)務(wù)創(chuàng)新價(jià)值，另一方面對(duì)政務(wù)數(shù)據(jù)的完整性、保密性和可用性提出更多的安全需求。

此外，為了達(dá)成政務(wù)數(shù)據(jù)安全開(kāi)放共享的整體目標(biāo)，還需要圍繞數(shù)據(jù)共享相關(guān)業(yè)務(wù)的開(kāi)展情況，進(jìn)行詳細(xì)的風(fēng)險(xiǎn)調(diào)研、分析，產(chǎn)出數(shù)據(jù)風(fēng)險(xiǎn)報(bào)告，梳理流動(dòng)性敏感數(shù)據(jù)資產(chǎn)、敏感數(shù)據(jù)流動(dòng)情況，識(shí)別并檢測(cè)流動(dòng)性敏感數(shù)據(jù)風(fēng)險(xiǎn)，并基于風(fēng)險(xiǎn)報(bào)告輸出符合各用數(shù)單位的實(shí)際業(yè)務(wù)需求，并且推動(dòng)數(shù)據(jù)安全風(fēng)險(xiǎn)治理建議的實(shí)施。

第三，數(shù)據(jù)安全體系化建設(shè)需求。在推動(dòng)數(shù)據(jù)安全體系的建設(shè)過(guò)程中應(yīng)注意管理與技術(shù)并重并舉，安全管理體系化是安全技術(shù)防護(hù)手段充分發(fā)揮作用的關(guān)鍵，數(shù)據(jù)共享的安全管理應(yīng)在明確權(quán)責(zé)、數(shù)據(jù)分級(jí)分類(lèi)的基礎(chǔ)上統(tǒng)一要求。在策略方面不僅需要建立起相關(guān)完善的管理策略，還需要建立符合業(yè)務(wù)實(shí)際的技術(shù)策略，同時(shí)這些策略需要及時(shí)同步給各數(shù)據(jù)接入單位，以便更好地開(kāi)展日常運(yùn)維和管理，將安全管理落到實(shí)處。

在數(shù)據(jù)分級(jí)分類(lèi)的基礎(chǔ)上，安全保護(hù)應(yīng)圍繞數(shù)據(jù)的全生命周期開(kāi)展，在采集、傳輸、處理、存儲(chǔ)、消費(fèi)、銷(xiāo)毀等各個(gè)環(huán)節(jié)，通過(guò)安全控制措施實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性、可用性、可控性和不可否認(rèn)性的安全目標(biāo)，做到對(duì)外部攻擊、信息泄漏、篡改、越權(quán)和抵賴(lài)等威脅的防范。

3.2 企業(yè)數(shù)據(jù)安全需求

對(duì)于企業(yè)而言，數(shù)據(jù)安全治理絕不僅僅是一個(gè)產(chǎn)品或解決方案“套餐”，而是從決策層到技術(shù)層、從業(yè)務(wù)部門(mén)到技術(shù)部門(mén)、從管理制度到技術(shù)支撐的一種自上而下貫穿企業(yè)各個(gè)部門(mén)的完整覆蓋，并且要與期間的各個(gè)環(huán)節(jié)相匹配和適應(yīng)。企業(yè)內(nèi)的各個(gè)層級(jí)之間也需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨達(dá)成共識(shí)，確保采取合理和適當(dāng)?shù)姆椒▽?duì)數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)有效保護(hù)，從而產(chǎn)生以下安全需求。

第一，應(yīng)對(duì)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。在數(shù)據(jù)價(jià)值越來(lái)越受重視的同時(shí)，針對(duì)數(shù)據(jù)的攻擊、違規(guī)行為也越發(fā)激烈。有調(diào)查顯示，除了黑客攻擊，有內(nèi)部人員參與的信息販賣(mài)、共享第三方的違規(guī)泄露事件也層出不窮，約三分之二的安全威脅是從組織內(nèi)部發(fā)起的[9]。另外終端環(huán)境的不可控也可能帶來(lái)安全威脅，因?yàn)檩p量級(jí)設(shè)備類(lèi)型多樣、安全能力相對(duì)較弱，且用戶(hù)缺乏對(duì)惡意軟件的防范意識(shí)，同時(shí)，隨著無(wú)人機(jī)、智能電視、智能音箱、智能攝像頭、智能穿戴設(shè)備、智能醫(yī)療設(shè)備等物聯(lián)設(shè)備終端大量聯(lián)網(wǎng)，這些設(shè)備也存在可被攻擊者利用的安全漏洞，導(dǎo)致數(shù)據(jù)安全敞口極速擴(kuò)大，數(shù)據(jù)安全風(fēng)險(xiǎn)加劇。

第二，應(yīng)對(duì)新技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)。關(guān)注云計(jì)算帶來(lái)的數(shù)據(jù)安全和信息泄露風(fēng)險(xiǎn)、大數(shù)據(jù)帶來(lái)的個(gè)人和企業(yè)隱私透明問(wèn)題、物聯(lián)網(wǎng)帶來(lái)的業(yè)務(wù)模式重構(gòu)風(fēng)險(xiǎn)、區(qū)塊鏈帶來(lái)的共享風(fēng)險(xiǎn)、人工智能帶來(lái)的倫理風(fēng)險(xiǎn)等，保障新技術(shù)高效可信運(yùn)行。

第三，應(yīng)對(duì)監(jiān)管規(guī)定。2019年1月，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局四部門(mén)聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》，成立了App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組[10]。2019年全年，App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組依托專(zhuān)業(yè)評(píng)估機(jī)構(gòu)和行業(yè)專(zhuān)家的力量，對(duì)用戶(hù)規(guī)模大、與生活關(guān)系密切、問(wèn)題反映集中的1000余款A(yù)pp進(jìn)行了評(píng)估，對(duì)發(fā)現(xiàn)問(wèn)題的App督促其整改，對(duì)未落實(shí)整改要求的App建議有關(guān)監(jiān)管部門(mén)進(jìn)行下架處理。

隨著2020年“3·15”晚會(huì)曝光多款手機(jī)App曝光隱私信息，專(zhuān)項(xiàng)整治工作力度不斷加大，取得了顯著的成效，App運(yùn)營(yíng)者履行個(gè)人信息保護(hù)責(zé)任義務(wù)的意愿不斷加強(qiáng)，廣大用戶(hù)的個(gè)人信息安全保護(hù)意識(shí)不斷提升。

3.3 金融行業(yè)數(shù)據(jù)安全需求

首先，行業(yè)性安全監(jiān)管壓力。隨著有關(guān)數(shù)據(jù)安全的各項(xiàng)法律法規(guī)的發(fā)布，針對(duì)金融行業(yè)的數(shù)據(jù)安全也備受關(guān)注。2012年3月，中國(guó)人民銀行發(fā)布了《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶(hù)個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)〔2012〕80號(hào)），要求金融機(jī)構(gòu)加強(qiáng)客戶(hù)個(gè)人金融信息保護(hù)。近年來(lái)，銀監(jiān)會(huì)先后印發(fā)了《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全與客戶(hù)信息保護(hù)有關(guān)事項(xiàng)的通知》（銀監(jiān)辦發(fā)〔2017〕2號(hào)）、《中國(guó)銀監(jiān)會(huì)關(guān)于進(jìn)一步深化整治銀行業(yè)市場(chǎng)亂象的通知》（銀監(jiān)發(fā)〔2018〕4號(hào)）等要求，明確“強(qiáng)化工作機(jī)制，做好內(nèi)部防控；完善技術(shù)手段，提高安全水平；優(yōu)化服務(wù)流程，加大宣傳力度”，嚴(yán)防“違法違規(guī)查詢(xún)、獲取、使用、泄露、出售客戶(hù)信息或商業(yè)秘密，以謀取私利”行為。在監(jiān)管越來(lái)越受到重視的情況下，個(gè)人信息也是數(shù)據(jù)安全治理的要地。2020年以來(lái)，中國(guó)人民銀行為加強(qiáng)個(gè)人金融信息安全管理，指導(dǎo)各相關(guān)機(jī)構(gòu)規(guī)范處理個(gè)人金融信息，最大程度保障個(gè)人金融信息主體合法權(quán)益，維護(hù)金融市場(chǎng)穩(wěn)定，頒布了JR/T 0171—2020《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，并于2020年3月正式實(shí)施。

其次，開(kāi)放銀行模式增加數(shù)據(jù)泄漏風(fēng)險(xiǎn)。開(kāi)放銀行是一種平臺(tái)化商業(yè)模式，通過(guò)與商業(yè)生態(tài)系統(tǒng)共享數(shù)據(jù)、算法、交易、流程和其他業(yè)務(wù)功能，為商業(yè)生態(tài)系統(tǒng)的客戶(hù)、員工、第三方開(kāi)發(fā)者、金融科技公司、供應(yīng)商和其他合作伙伴提供服務(wù)，使銀行創(chuàng)造出新的價(jià)值，構(gòu)建新的核心能力[11]。同時(shí)開(kāi)放銀行連接了服務(wù)的提供方、交易發(fā)起方等眾多主體，新興的業(yè)務(wù)場(chǎng)景也會(huì)使業(yè)務(wù)數(shù)據(jù)的訪問(wèn)、操作和使用面臨諸多風(fēng)險(xiǎn)，需要明確數(shù)據(jù)分級(jí)部署的安全、系統(tǒng)接口和傳輸?shù)陌踩约皺?quán)限和訪問(wèn)控制的安全。同時(shí)，數(shù)據(jù)還可能被提取出來(lái)進(jìn)行統(tǒng)計(jì)匯總和特定分析，數(shù)據(jù)將從線上轉(zhuǎn)移到線下，如何保證數(shù)據(jù)的安全導(dǎo)出和線下利用、保管，也是數(shù)據(jù)安全關(guān)注的重點(diǎn)之一。

最后，現(xiàn)代化數(shù)據(jù)安全工具需求。隨著金融數(shù)字化轉(zhuǎn)型和信息技術(shù)（IT）環(huán)境的改變，金融行業(yè)更加需要能夠簡(jiǎn)化數(shù)據(jù)安全場(chǎng)景和降低復(fù)雜性的解決方案，同時(shí)，這些工具應(yīng)能夠既涵蓋內(nèi)部傳統(tǒng)安全問(wèn)題，又能適應(yīng)現(xiàn)代的、基于云的數(shù)字轉(zhuǎn)型技術(shù)?，F(xiàn)代化的數(shù)據(jù)安全工具包括能夠落地的敏感數(shù)據(jù)發(fā)現(xiàn)工具、數(shù)據(jù)自動(dòng)化分類(lèi)分級(jí)工具、數(shù)據(jù)脫敏工具、UEBA等。

4 數(shù)據(jù)安全治理建議

當(dāng)前，大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨，諸如信息竊取、數(shù)據(jù)泄露等數(shù)據(jù)安全事件將與日俱增，給全球數(shù)據(jù)安全帶來(lái)巨大挑戰(zhàn)。面對(duì)此種情況，一方面，我們要提升我國(guó)在數(shù)據(jù)安全治理中的能力，這是我國(guó)開(kāi)展數(shù)據(jù)安全治理的重要基石；另一方面，我們也要積極開(kāi)展數(shù)據(jù)安全治理的全球合作，加強(qiáng)各國(guó)數(shù)據(jù)安全保護(hù)協(xié)調(diào)工作，推動(dòng)各國(guó)數(shù)字經(jīng)濟(jì)及全球經(jīng)濟(jì)的發(fā)展。

4.1 提升我國(guó)數(shù)據(jù)安全治理能力

結(jié)合我國(guó)數(shù)據(jù)安全治理的實(shí)際情況，為提升我國(guó)數(shù)據(jù)安全治理能力，推動(dòng)我國(guó)數(shù)據(jù)安全治理的進(jìn)一步發(fā)展，建議如下：

第一，普及數(shù)據(jù)安全與數(shù)據(jù)權(quán)的相關(guān)知識(shí)。加強(qiáng)數(shù)據(jù)安全保護(hù)知識(shí)的普及，幫助我國(guó)民眾了解數(shù)據(jù)運(yùn)行流轉(zhuǎn)的方式，普及數(shù)據(jù)安全相關(guān)法律法規(guī)，培養(yǎng)民眾保護(hù)自身及他人數(shù)據(jù)權(quán)的意識(shí)，并提升民眾鑒別違規(guī)數(shù)據(jù)操作的能力。上述措施將有助于形成良好的數(shù)據(jù)保護(hù)環(huán)境，便于推進(jìn)數(shù)據(jù)安全治理。

第二，加強(qiáng)數(shù)據(jù)安全治理研究。目前我國(guó)已初步形成一套數(shù)據(jù)安全治理研究體系，但仍需要在兩方面進(jìn)行突破和改進(jìn)：一方面，應(yīng)在多學(xué)科領(lǐng)域下進(jìn)行多視角的研究，深入探究數(shù)據(jù)安全治理背后的影響因素和作用機(jī)理；另一方面，應(yīng)立足于我國(guó)甚至立足于當(dāng)?shù)靥厥馇闆r展開(kāi)具有本土化特色的研究，構(gòu)建具有地方特色的數(shù)據(jù)安全治理研究體系。

第三，大力發(fā)展數(shù)據(jù)安全相關(guān)技術(shù)。除理論研究外，數(shù)據(jù)安全技術(shù)是為數(shù)據(jù)安全治理提供可行性的重要保障，而目前眾多安全技術(shù)距離實(shí)際大規(guī)模應(yīng)用仍有相當(dāng)差距，如同態(tài)加密和安全多方計(jì)算的運(yùn)算效率仍需大幅提高，數(shù)據(jù)信托在法律層面和實(shí)施層面的完備性也需進(jìn)一步探索[12]。繼續(xù)推動(dòng)數(shù)據(jù)安全技術(shù)的發(fā)展是數(shù)據(jù)安全治理中至關(guān)重要的組成部分。

4.2 開(kāi)展全球數(shù)據(jù)安全治理合作

數(shù)據(jù)安全風(fēng)險(xiǎn)是各國(guó)面臨的共同挑戰(zhàn)，化解這一風(fēng)險(xiǎn)需要各國(guó)建立互信、深化合作，同時(shí)要求數(shù)據(jù)安全治理各利益攸關(guān)方共同參與?；诖?，建議如下：

第一，開(kāi)展全球數(shù)據(jù)安全治理合作的機(jī)制化建設(shè)。當(dāng)前，全球數(shù)據(jù)安全合作仍處于早期階段，數(shù)據(jù)安全治理合作的溝通機(jī)制、突發(fā)數(shù)據(jù)安全事件的響應(yīng)機(jī)制、跨國(guó)數(shù)據(jù)安全的合作機(jī)制等仍不明確。因此，國(guó)際社會(huì)有必要通過(guò)機(jī)制化建設(shè)進(jìn)一步夯實(shí)全球數(shù)據(jù)安全治理合作的基礎(chǔ)。同時(shí)，鑒于中國(guó)在當(dāng)前全球數(shù)據(jù)安全合作中的領(lǐng)先角色，我國(guó)依然可以在合作機(jī)制的建設(shè)上發(fā)揮重要作用。

第二，鼓勵(lì)非國(guó)家行為體參與到全球數(shù)據(jù)安全治理合作之中。包括私營(yíng)部門(mén)、公民社會(huì)在內(nèi)的非國(guó)家行為體和國(guó)家行為體一樣，都是網(wǎng)絡(luò)空間治理、數(shù)據(jù)安全治理中的重要行為者和參與者，特別是，目前部分全球性跨國(guó)科技企業(yè)掌握著海量數(shù)據(jù)，相關(guān)企業(yè)的參與必將有助于全球數(shù)據(jù)安全治理合作邁上一個(gè)新的臺(tái)階。

第三，推動(dòng)跨境數(shù)據(jù)的安全、有序流動(dòng)。一方面，跨境數(shù)據(jù)的流動(dòng)對(duì)于數(shù)字經(jīng)濟(jì)、全球經(jīng)濟(jì)的發(fā)展至關(guān)重要，有數(shù)據(jù)表明，跨境數(shù)據(jù)流動(dòng)在2005到2015年的十年間使全球國(guó)內(nèi)生產(chǎn)總值增長(zhǎng)了約10%，數(shù)據(jù)流所產(chǎn)生的附加值估計(jì)為2.8萬(wàn)億美元，已經(jīng)超過(guò)了貨物貿(mào)易的貢獻(xiàn)[13]；另一方面，跨境數(shù)據(jù)的安全、有序流動(dòng)是數(shù)據(jù)流能夠產(chǎn)生價(jià)值的前提所在。因此，國(guó)際社會(huì)應(yīng)共同努力，確保跨境數(shù)據(jù)的安全、有序流動(dòng)，從而為全球經(jīng)濟(jì)發(fā)展注入新的活力。

5 結(jié) 語(yǔ)

數(shù)據(jù)安全治理的成效將在很大程度上對(duì)我國(guó)網(wǎng)絡(luò)空間安全、經(jīng)濟(jì)社會(huì)發(fā)展產(chǎn)生直接影響，特別是在當(dāng)下全球數(shù)據(jù)泄露事件頻發(fā)、數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)的背景下，構(gòu)建我國(guó)數(shù)據(jù)安全治理體系具有極大的現(xiàn)實(shí)意義，對(duì)于推動(dòng)我國(guó)數(shù)據(jù)安全綜合治理能力的提升、維護(hù)我國(guó)和全球數(shù)據(jù)安全意義重大。為了實(shí)現(xiàn)這一目標(biāo)，要求我們結(jié)合我國(guó)政務(wù)、企業(yè)、金融等不同行業(yè)的數(shù)據(jù)安全需求，構(gòu)建我國(guó)數(shù)據(jù)安全治理框架與模型，在提升我國(guó)自身數(shù)據(jù)安全治理能力的同時(shí)，積極開(kāi)展全球數(shù)據(jù)安全治理合作，實(shí)現(xiàn)我國(guó)數(shù)據(jù)安全治理與全球合作的結(jié)合，從而更好地推動(dòng)我國(guó)數(shù)據(jù)安全發(fā)展，維護(hù)全球數(shù)據(jù)安全與穩(wěn)定。