【干货】数据安全治理能力提升（一）

T

大家好，我是龚诗然，来自中国信息通信研究院，我分享的内容是数据安全治理能力提升，跟我之前提供的标题可能会有一些不同，具体原因会在后面详细介绍。我现在是在信通院云大所，参与数据安全治理以及相关评估标准文件制定的工作，我的工作经验和性质和常见的网络信息安全技术开发测试不相关，大家可以简单理解为我是一个安全方面的合规辉咨询顾问。只不过我以前是在公司的内部提供一些合规咨询，现在我以第三方的视角为我们的成员单位或者是我们参加评估的企业提供合规评估的视角。我本人是在企业的数据安全方面的组织规划、人员管理制度体系、流程机制方面的痛点问题有一定经验。

再向大家简单介绍一下中国信息通信研究院，我们是工信部直属的科研事业单位，是国家在信息通信领域的支撑单位和政策方面的依托单位。在信息通信业发展战略，自主创新等方面，是基本经验提升能力，致力于提供我们的行业解决方案。我所在的研究所是云计算与大数据研究所，我们所是院方围绕着云计算大数据人工智能数据中心等关键领域，开展技术和标准研究，然后推出一系列产品测试评估工作，承接国家重大科技项目，产业化项目，咨询服务的研究所。

因为我本人近期是在参与企业的数据安全治理能力评估，我原计划是在本次峰会和论坛上分享一些评估过程中我发现的共性问题的，还有部分企业的优秀解决方案，或者说安全合规治理，或者整改思路。但是因为我们的评估项目刚刚进入第二批，部分企业的评估结论还在内部评审的过程中，所以这次暂时不能跟大家分享。所以把内容暂时调整成了常规的法律解读，此外是我们在数据安全治理，也就是DSG评估项目中的一些工作思路和具体进展，还有我们在数据安全法发布同天发起的数据安全推进计划的工作和进展，以及云大所现在的一些其他的优势活动和工作内容。

首先在第一part，要给大家介绍立法背景、立法沿革、还有一些理念与特点、框架与要点的内容。

立法背景也是老生常谈的一个话题了，我个人认为分两个方面，一方面是外力驱动，一方面是内部需求。在外力驱动方面，主要有两条，一个是美国的《澄清域外合法使用数据》和欧盟的GDPR，现在全球有100个国家和地区制定了数据安全和保护的法律，数据安全保护专项立法已经成为国际的惯例，演变成了一个全球范围的利益协调和主权斗争的工具。从这两个方案来看，立法趋势也表现在争夺数据的话语权方面，积极推行符合自己国家利益的诉求的国际社会的数据规则体系，扩张自己本国法律的适用范围和指导行为的域外效力。

随着我们国家综合国力的提升，数据安全成为一些部分国家对于中国的专门立法的一个重要关系，也成为了一些抑制我们创新技术发展的借口，营造不太利于国家的舆论氛围，挤压我们的生存空间，所以这就是外力驱动方面的背景介绍。从内部需求方面来看，包括数字经济发展蓬勃，增速快；数据安全政策导向明确，国家数据战略清晰。这部分内容在我们今年的中国数字经济发展白皮书中，也有一些比较详细的内容如果有兴趣可参考左下角标注。

从立法严格的角度来说，数据安全法正式发布，进一步的完善了立法的顶层设计，搭建了一个网络安全治理的基本规则框架，也成为了我们国家这数据保护的基本方法之一。有利于提升数据安全保障能力，也同时加速了个人信息保护进程。这些法律法规总结起来是这样的框架，大家可以根据自己所在的这个行业特点，或者是相应的需求去进行学习和检索。

数据安全法的总体理念和特点在前面对背景介绍和体系框架图这两层铺垫下就很明确了。数据安全法延续了网安法和国安法的基本法律框架，面向当前局势是将数据作为单独管理的对象抽离出来，制定了当前数字经济时代的主脉络。总体理念是用数据的开发利用和产业发展来促进数据安全，用数据安全再反过来保障开发利用和产业的发展。具体来说可以总结为三个特点：兼顾数据安全与发展，加强制度和治理框架的衔接，回应社会公众的关切。具体来说，首先数据安全法，在内容上设立专章去支持促进安全发展做了一些规定，保护个人和组织与数据有关的相应的权益，提升数据治理和开发利用的水平。另一方面，说到加强制度和体系框架的衔接，数据安全法从基础定义，安全管理，数据分析，还有重要数据出现等方面，进一步加强了与网络安全法的法律衔接。另一方面回应公众关切，加大了数据处理违法违规处罚力度，建设重要数据管理和行业自律以及数据交易自律的制度。在实践过程中回应社会公众比较关注的一些问题。

刚才为大家简要介绍了数据安全法的重要特点。如果把这个整体目录展开来看，我自己总结应该是这样框架。

总体来说是明确各部门的责任，重要的部分是在建立数据分类分级保护的制度，在这部法律里强调了关于数据分类分级保护的制度，以及关于制定重要数据的目录，加强重要数据的保护这方面的内容。特别的是在数据安全检测评估和认证方面，因为有了数据安全保护的大的国家趋势，但是企业需要在执行落地的时候，需要一些指导。因为作为一个基本性法律它再具体的一些细节方面无法完全覆盖，所以在这部法律里国家强调关于数据安全方面的检测评估认证服务，应该促进发展，支持做相应的检测评估认证，开展服务活动，支持有关部门行业组织，企业，教育科研机构做数据安全的风险评估防范处理这方面的工作。这个在第二part我会展开来讲。

还有一些其他的重点，但是我相信大家如果对数据安全法有所关注的话，应该也看过很多相应的解读内容了。比较有特点的是建立数据安全应急处置机制和安全审查制度，比如说在数据处理活动中发生的安全事件应该怎样去启动应急预案，采取相应的应急处置措施，然后向社会发布相应的警示信息。案件审查方面在去年国家网信办联合多部门发布了网络安全审查办法，对于运营者采购网络产品和服务，影响或者可能影响国家安全方面，进行网络安全审查。这次数据安全法也明确了国家建立了数据安全检查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查，这意味着安全审查不能通过行政复议行政诉讼这样的方法进行救急。

其他方面包括健全数据安全的管理制度，比如说在第27条明确说明建立健全全流程的数据安全管理制度，组织开展数据安全培训教育，采取相应的技术措施和必要措施来保证数据安全。以及第30条重要数据的处理者应该按照规定，决定及开展风险评估，并向有关部门报送风险评估报告。这一方面为什么要特别展开来说呢？在我们实践评估的过程中发现企业缺乏指导，也不太清楚应该如何开展这方面的工作。这时我们在实践过程中发现了一些问题。

刚才提到的是数据安全法推出之后，工作趋势和企业需要关注的合规监管要求。那么关于数据安全治理方面，在这一部分进行展开。

总结来说，数据安全法高频提到的词是建立健全数据安全治理体系，管理制度。明确的表示了组织在开展数据安全治理，数据开发利用，国家标准制定这些领域的交流合作，也表示了对数据安全检测评估认证这样的一个外部服务的支持。通过数据安全治理提升业的数据安全水平，已经成为一种行业共识。关于落实数据安全保护，还有个人信息保护，因为有很多企业涉及到处理大量的用户个人信息，所以说落实这一方面的保护和保护义务，也需要马上建立数据安全的治理体系，数据安全的治理体系我理解不仅仅是一套工具，组合，产品解决方案。数据安全治理不仅是一套工具和产品级解决方案，还包括了从决策层，技术层，从管理制度到工具支撑是整个从上而下贯穿整个组织和架构的完整的链条，所以四个小图表示我们对数据安全治理体系的一个观点，也就是说在数据安全治理体系中，首先要有明确的组织架构作为我们治理体系的保障，另一方面需要体系化的制度流程作为管理依据，然后完备的技术工具作为企业数据安全治理的能力底座，最后也是我们经常提到的，安全是需要一直做支撑的，也就是说合格的人员意识以及安全的相应能力才能成为企业数据安全治理的有效支撑。

再展开来说，在实践的过程当中，这四方面其实结合起来也变成了三个大的问题。在做评估时，有些企业虽然规模很大，或者是所涉及到的数据，个人信息体量特别大，但是没有非常完善和健全管理组织体系和组织架构，也就是说针对于数据信息的保护、安全措施，很难规划说是哪一个部门在管，没有一个清晰的一个管理组织机构。我们也认为在企业的数据安全管理很大一部分取决于这个公司的主要领导是否重视，是否具备一个完善的数据安全管理的组织。这个在我们评估过程中是比较重要的一个点。比较理想的状态是能形成一种管理层重视，一把手负责，全员参与的管理模式。我们见到在企业的治理方面做的比较好的一些单位，他们都是是基本上是这种组织形式。首先是管理层非常重视，牵头的那位领导资源和话语权比较大，另一方面是各条线的业务线负责人直接负责，然后全员有明确的分工并且落实到了具体的制度文件或者人员清单中。