數據安全治理的本質

2021年6月10日《數據安全法》的發布為我國建立健全數據安全治理體系指明了方向。其中，第4條“維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力”和第7條“國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展”，數據安全治理將以體系化的方式保障數據安全。

國外主流的安全治理體系包括Gartner的DSG Gartner及微軟的DGPC方法。

• DSG Gartner認為數據安全治理絕不僅是一套用工具組合而成的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下、貫穿整個組織架構的完整鏈條。組織內的各個層級需要對數據安全治理的目標和宗旨達成共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。

• 微軟DGPC方法提倡組織從人員、過程和技術3個核心能力領域，實現數據相關的安全及隱私風險保護。

  • 人員領域：涉及組織、角色和責任，需要有適當的組織結構和資源，對DGPC的目標和職責有嚴格的要求并針對每個組織的獨特情況進行調整。

  • 過程領域：涉及風險管理和政策定義，需要熟悉數據安全相關的法律法規、標準及制度，確定數據的合規要求，轉化為本組織的制度與流程，實現數據安全實踐。

  • 技術領域：涉及風險評估和減輕，需要將DGPC需求轉化為技術控制和能力，并管理信息流中的風險。其中，風險/差距分析矩陣是最關鍵的組成部分，它將信息生命周期和技術領域與數據隱私和保密原則相結合，采取相應的措施來保護數據免受隱私、機密性和合規性威脅，并管理剩余風險。

上述定義均體現了數據安全治理并不是單純使用技術工具就能實現的。從宏觀上看，數據安全治理要處理好制度、組織、人員、工具間的關系；從微觀上看，數據安全治理的本質則是要處理好各類人員（身份）對組織資產（IAAS/PAAS/SAAS/各類數據）所施加的行為，若某人員對組織資產采取了不恰當的行為，將導致資產所承載信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）受損，便會產生數安事件。

例如：某電商企業的數據分析師每月通過訂單事實表匯總銷售額并配置看板，該行為符合預期。若分析師在沒有特殊業務要求的情況下查看用戶訂單明細數據，則該行為不恰當。此類行為應該被治理。

數據安全治理的目標

在2016年以前，我國對于數據保護相關的立法相對零散，普遍是以國家或行業的推薦性標準形式存在。自2017年網絡安全法頒布以來，各類法律法規、國家強制性標準更加密集、更有針對性地頒布，這些法律文書大多思路明確、規則具體、處罰嚴重，若不遵守相關法律法規、履行數據安全保護義務，企業可能會被立案處罰。

當下企業在開展數據處理相關業務時，只要存在數據收集、處理、使用等行為，就需要從以下方面保障企業的經營合法合規。

• 重點關注及遵守相關法律法規，時刻監督自己是否存在違規行為。例如，網絡安全法、數據安全法、個性信息保護法、民法典及國家強制性標準保2.0等）。

• 參考相關行動指南（例如，《數據安全治理實踐指南》、《DSMM》、特定行業相關標準等）或購買安全廠商提供的安全產品或服務，開展數據安全治理項目。

從前，企業購買并使用安全產品僅僅是為了防范風險、治理風險，確保業務連續、確保資產不被濫用、泄露或控制，在這個時代，數據是企業命脈。

而當下，企業開展數據安全治理活動則是要讓自己合規，合規的目的并不是為了向監管部門“交作業”，而是讓每一個被搜集數據的公民享有自己的合法權益、保證個人隱私不受侵犯，讓個人享受到數據帶來的便利、效益和福祉，這是企業社會責任的關鍵體現。

附錄：數據安全相關法律法規

• 數據安全法

  • 第21條規定，應該對數據實行分類分級保護。該要求也存在于國家或其他行業推薦性標準中。

  • 第24條提到的數據安全審查，落地到數據安全治理中則為操作審計；第29條提到的對數據安全缺陷、漏洞、安全事件的補救及處置措施，落地到數據安全治理中則為對風險的響應，主要包括告警、阻斷、審批等。

    這些要求在其他具備法律效力的文書中也存在，但不同行業存在某些場景化的要求。

• 個人金融信息保護技術規范JR/T0171-2020

• 個人金融信息保護技術規范JR/T0171-2020