数字化时代的数据安全与治理

青谷数字化研究院            研究员：韩磊

摘要：新一代信息技术不断涌现，正影响着各行各业变革和人们的日常生活。在信息技术支撑下，数字经济驱动着全球各经济体的经济总量不断增长，人类社会迈进数字时代。数据作为数字化时代最核心、最具价值的生产要素，正在加速成为全球经济增长的新动力、新引擎，深刻地改变人类社会的生产和生活方式。5G、人工智能、云计算、区块链、产业互联网、泛在感知等ICT新技术、新模式、新应用无一不是以海量数据为基础，同时又激发数据量呈爆发式增长态势。随着数据量呈指数级增长，数据分析算法和技术迭代更新，数据创新应用和产业优化升级，数据对社会变革的影响更加深远。但数字经济也并非是“脱缰的野马”，数字安全对数字经济建设存在巨大隐患，数字安全是数字经济这座大厦的“地基”，尤其是企业数字化平稳运行离不开数字安全的保驾护航。

关键词：  信息技术  数字经济   企业数字化  数字安全

一、数据安全治理的重要意义

数据具有爆发式增长、海量集聚、无穷尽等特征，是数字经济、企业数字化的关键要素。数据已成为各经济体实现创新发展、重塑人们生活、乃至国家经济社会发展的重要支撑动力。数据安全包括数据存储、处理安全、流动安全、所涉及技术和基础设施的安全以及数据权属带来的安全。在全球合作日益密切的背景下，数据安全对于提升用户信心、保护数据、促进数字经济发展至关重要。

2017年底，中国提出了“要构建以数据为关键要素的数字经济。要切实保障国家数据安全，要加强关键信息基础设施安全 保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力”。2019年7月G20大阪峰会的数字经济特别会议上，中国提出“共同完善数据治理规则，确保数据的安全有序利用；要促进数字经济和实体经济融合发展，加强数字基础设施建设，促进互联互通；要提升数字经济包容性，弥合数字鸿沟”，“数据安全”已上升到了我国国家安全战略高度。

随着数据不断量变和质变，我们面临前所未有的数据安全问题；当数据量变和质变达到一定水平，其数据价值会随之增大，数据安全将在护航数字产业发展生态发挥关键作用。

二、数据安全治理的技术挑战

如前述，数字化已成为全球数字经济发展的主脉络，企业数字化成为了潮流。我国企业数字化转型正处于快速发展阶段，尤其在抗击疫情的过程中，各行各业都加快了数字化转型的步伐。据《中国数字经济发展白皮书（2020）》 报告数据显示，2019年我国数字经济增加值规模占 GDP比重提升到36.2%，数字经济在国民经济中的地位进一步凸显。推动新型基础设施建设（以下简称新基建）是我国数字经济快速发展、企业数字化重要举措。从建设范畴看，新基建覆盖信息基础设施、融合基础设施和创新基础设施三类，分别对应产业、行业及科技。新基建的本质是建设信息数字化的基础设施，核心是企业，关键在于数据基础设施建设和传统企业基础设施的数字化转型，并以数据为中心，深度整合计算、存储、网络和软件资源，充分挖掘数据价值，加快数据共享和融合，使数据“存得下、流得动、用的好”。

随着新基建的持续推进，各行业对数据感知、存储、传输、处理等能力提出了更高要求。同时，数据特点也在不断演进，主要如下： 首先，海量、多元和非结构化成为数据新发展常态。数据环境呈现多样化、复杂化特征，大量文本、图片、视频等非结构化数据被产生、存储和使用。其次，数据实时性处理变得更为迫切。随着新一代信息技术的快速发展，社会运行效率不断被优化和提升，企业新生业务对数据实时性要求日益增加。 最后，新型数字技术催生海量数据呈现多元化处理特征。在云计算、物联网、大数据、人工智能、区块链、边缘计算、5G等 一系列新型数字技术对社会各个行业的渗透和场景中，产生海量数据，提出了多元化处理需求，这对数据中心应用更安全、高效 支撑新型数字技术提出了挑战。

通过以上分析，数据安全对各领域的生产与运营举足轻重，承载企业核心数据的关键信息基础设施都面临着共性的安全挑战。如何构建全方位的数据安全体系，保障数据的安全与合规有序流动，在数据全生命周期过程中确保数据不丢失、不泄露、不被篡改、业务永远在线、可追溯和隐私合规等，已成为数字经济时代对数据安全的核心要求。

三、数据安全治理的策略

数据安全已经上升到国家主权的高度，是国家竞争力的直接体现，是企业数字化转型发展的基础。数据安全不是单方面强调数据的绝对安全，关键在于维护数据安全性和促进数据开发利用并重，以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

3.1数据安全总体策略

3.1.1合法合规

严格遵循国家相关数据安全治理的法律法规，维护开放、公正、非歧视性的原则，推动实现互利共赢、共同发展，无论企业还是个人，尊重他国主权、司法管辖权和对数据的安全管理权，并在此基础上发展数据安全保护技术。

3.1.2数据安全与发展兼顾

数据流通与交易有利于促进数据的融合挖掘，从而释放数据资源的价值。然而，数据使用又必须明确数据保护的责任与义务,尤其是对个人隐私数据的保护。因此，需要辩证看待隐私保护、数据安全与数据共享利用效率之间的矛盾，以“数据安全与发展兼顾”为核心目标对数据进行开发和利用。

3.1.3 以数据为中心构建安全体系架构

当前数据安全面临的威胁和风险不仅针对数据本身，也包括承载数据的关键信息基础设施，因此，我们需要以数据为中心，构建全方位的数据安全治理体系，保护数据资源，在风险可控的基础上实现数据的增值和自由流转。

四、数据安全治理理念

4.1Gartner数据安全治理理念

Gartner认为数据安全治理不仅仅是一套用工具组合的产品级解决方案，是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源，这也是Gartner对“安全和风险管理”的基本定义。

Gatner数据安全治理框架

第一步：业务需求与安全（风险/威胁/合规性）之间的平衡

这里需要考虑5个维度的平衡：经营策略、治理、合规、IT策略和风险容忍度，这也是治理队伍开展工作前需要达成统一的5个要素。

第二步：数据优先级

进行数据分级分类，对不同级别数据实行对应的、合理的安全手段。

第三步：策略制定，降低安全风险

一是明确数据的访问者（应用用户/数据管理人员）、访问对象、访问行为；二是基于这些信息制定不同的、有针对性的数据安全策略。

第四部：实行安全工具

数据是动态的、流动的，数据结构和形态会在整个生命周期中不断变化，需要采用多种安全工具支撑安全策略的实施。Gartner在DSG体系中提出了实现安全和风险控制的5个工具：Crypto、DCAP、DLP、CASB、IAM，这5个工具是指5个安全领域，其中可能包含多个具体的技术手段。

第五步：策略配置同步

策略配置同步主要针对DCAP的实施而言，集中管理数据安全策略是DCAP的核心功能，而无论访问控制、脱敏、加密、令牌化，哪种手段都必须注意对数据访问和使用的安全策略保持同步下发，策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。

4.2Microsoft的DGPC理念

由微软开发的隐私，保密和合规性（DGPC）框架的数据治理计划，是为了企业和组织能够以统一、跨学科的方式来实现以下三个目标，而非组织内不同部门独立解决这三个不同的问题：

（1）传统的IT安全方法侧重于IT基础设施，通过边界安全与终端安全进行保护。重点应该加强对存储数据的保护，并随基础设施移动，加强保护；

（2）隐私相关的保护措施必须超越与安全重叠的隐私保护措施，包括：重点获取、保护和执行客户对如何及何时收集、处理或第三方共享的行为保护措施；

（3）数据安全和数据隐私合规责任需要通过一套统一的控制目标和控制行为，进行合理化处理，以满足合规。

DGPC框架与企业现有的IT管理和控制框架（如COBIT）以及ISO / IEC 27001/27002和支付卡行业数据安全标准（PCI DSS）等安全标准协同工作。DGPC框架围绕三个核心能力领域组织，涵盖人员，流程和技术三个部分。

在以上国际视角对数据安全理解的基础上，并且和我国一些具体的安全实践相结合，国内一些机构也提出了一套在中国易于落地的数据安全建设的体系化方法论。

数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论，核心内容包括：

（1）满足数据安全保护（Protection）、合规性（Compliance）、敏感数据管理（Sensitive）三个需求目标；

（2）核心理念包括：分级分类（Classfiying）、角色授权（Privilege）、场景化安全（Scene）；

（3）数据安全治理的建设步骤包括：组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善；

（4）核心实现框架为数据安全