IBM研究显示2022年全球数据泄露平均成本达435万美元，数据非法贩卖、滥用、泄露、敏感数据出境，对国家安全、生活稳定、个人利益造成严重影响。在5月7日“2023西湖论剑·数字安全大会”企业数据安全治理论坛上，“是企业治理数据安全，还是企业数据的安全治理？”“企业数据安全治理应该怎么治理？”等成为专家们热议话题。在中国网络空间研究院网络安全研究所所长姜伟看来，企业数据安全治理单靠企业自身力量难以解决，亟待构建政府、企业、社会组织、个人等多方协同治理体系。

企业数据安全治理体系主体缺乏协同

(相关资料图)

随着数据泄露、数据滥用、敏感数据出境等数据安全频发，数据安全风险日益加剧。而企业是生产和数据留存的最大主体，也是开发利用数据的主要参与者。数据显示，5家头部互联网企业数据存储量达到我国互联网行业领域总存储量的60%。

在论坛上，姜伟提到，平台掌握的海量数据包含数据交易、基础数据、地理测绘等，比很多政府主管部门掌握的数据更全更多。但有的企业现有数据安全治理的管理水平不能适应掌握的海量数据需要。

这也是企业数据安全治理实践中的痛点与难点。联通数科安全合规部总经理林海提到，企业数据安全治理一个痛点就是如何把所要管辖数据资产对象归集、聚集起来，没有归集散落在各个系统的数据如何找到要管辖数据的问题。蚂蚁集团数据安全资深总监宋铮认为数据安全治理挑战集中在三个方面：战略层面对数据安全是否重视及持续性投入；数据安全治理过程相对离散化，缺乏统筹、整体、体系性的设计；面对海量数据等复杂业务场景在技术上有缺失，治理过程存在短板。

在姜伟看来，当前企业数据安全治理主要存在问题包括：企业数据安全治理体系主体缺乏协同、治理手段单一，政府在数据治理过程中限于日常监督、检查、行政处罚、传统行政执法等手段，难以有效管控数据全生命周期安全。不同执法部门对法律理解、手段、方式有差异，导致执法标准难以统一。数据安全法律法规缺乏细化规定与实施规则，缺乏对企业实际业务场景的要求。而且，标准体系相对缺乏系统性、时效性、可操作性，部分标准内容要点不明确，国家标准、地方标准、团标协同不够，等等。

建立以责任为治理机制的整体治理架构

事实上，各行各业的数据安全治理已经成为一项重点工作。哈尔滨工业大学（深圳）计算机学院教授、深圳市数据安全重点实验室主任刘川意表示，数据安全治理不仅仅是一个企业内部的活动，涉及国家安全、涉及合规合法的要求，数据安全治理是数据生产要素化的必要条件。

南都大数据研究院梳理发现，“十四五”规划、国家信息化规划、“十四五”数字经济规划、“数据二十条”等均对数据安全治理作了重要论述。中央全面深化改革委第26次会议强调要把安全贯穿数据治理全过程，构建政府、企业、社会多方协同治理模式，强化分行业、跨领域的协同监管，压实企业数据安全责任。

那么，如何完善企业数据安全治理？在对外经济贸易大学数字经济与法律创新研究中心执行主任许可看来，企业数据治理已经超出企业的范围，是国家治理的重要内容。尽管数据上已有了国家利益，但企业仍是掌控数据的第一责任人，在数据安全治理框架下，核心并不在于国家越俎代庖，需要建立一套协调、整合，以责任为治理机制的整体治理架构。要以核心需求为导向，以整合责任协调为治理机制，实现公共部门和私人部门，政府与企业的协作。企业与企业之间，也需要建立一套不同企业去实现数据安全共享的机制。

虽然数据安全方面监管活动趋于严格，企业国家数据治理涉及到监管部门众多，但姜伟提到需要加强统筹协调、兼顾企业实践，共同完善数据安全制度机制，建立安全可控弹性包容的企业数据安全治理体系，建立构建政府、企业、行业组织、科研机构、社会个人多主体协同机制和法律、标准、技术多元融合支撑机制。针对企业数据夸生态跨系统共享、企业合法利用、监管体系建设，探索建立一种兼顾普适性、敏捷性、安全性企业自监管、执法监管主被动协同监管框架模型。坚持管理制度与技术措施相结合，推进数据安全保障体系与能力建设的现代化。

出品：南都大数据研究院 数据安全治理与发展研究课题组

研究员：袁炯贤

责任编辑：

标签：