数据安全治理,顾名思义,可拆分为“数据安全”与“治理”,数据安全可理解为目标,治理 可理解为手段。
首先看“数据安全”的定义,在《数据安全法》中明确将数据安全定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。
从核心立意来看,定义中核心强调的是数据开发利用与安全保护的统筹与平衡发展,一方面数字经济的发展必须在数据安全的前提下开展,没有数据安全,数字经济的发展将失去有效的控制支撑;另一方面,数据的开发利用是促进数据价值释放之必然,不能由于数据安全的过度保护制约数据的流动与共享开放。从防护措施来看,基于“统筹安全与发展”的数据安全核心立意,定义中强调了数据安全保护措施的必要性与持续性,必要性是指面向数据处理活动与场景化需求,采取按需动态的管理和技术措施落实有效保护,持续性是指伴随数据围绕业务发展快速变化,相应的保护措施也需顺应变化,落实常态化运维,保持持续安全状态。
其次看“治理”的定义,“治理”对应的英文单词是“governance”(源自拉丁文或古希腊语“steering一词,原意是“引领导航”),是指遵照具有共识的指导原则,通过协调和配合共同追求一致目标的过程。针对“治理”的概念,在全球治理委员会(CGG)中进一步解释为“个人与公私机构管理其自身事务的各种不同方式之总和: 是使相互冲突或不同利益得以调和并且采取联合行动的持续的过程”其中包含四个方面的特征,即:
(1) 治理不仅仅是一整套规则条例,也不是一种活动,而是一个活动集合的过程:(2) 治理过程的基础不是简单的控制和支配,更重要的是协调;(3) 治理既涉及公共部门,也包括私人部门;(4)治理不意味着只是一种固定的制度,而是持续的互动。
因此,治理更强调协调和合作,一般不应简单表述成一套严格的规则条例或正式制度,通常是 以一种依托法规标准和协调机制,通过多组织、多部门横向协同配合与持续优化的过程,来实现行 动目标。
最后,结合数据安全和治理的概念定义,从广义的社会层面和狭义的组织层面来理解数据安全 治理:
从广义的社会层面治理来看,是指在国家整体数据安全战略指导下,依法依规整合多方相关单 位共同参与、协同实施的一系列为实现既定目标活动的集合。其涉及的相关组织包括国家、行业、 研究机构、组织及个人等多元实体。其核心活动包括持续建立健全相关法律法规、政策标准体系, 创新数据安全关键技术,贯彻落实政策法规落地,培养专业人才,营造数据安全产业生态等。数据 安全治理是以“让数据使用有序而安全”为愿景,构建形成全社会共同维护数据安全、促进数据开 发利用和产业发展的良好环境,探索在我国易于落地的数据安全建设体系的过程。
从狭义的组织层面治理来看,数据安全治理是指从自身视角出发,多部门协作,推动合法合规 使用数据的一系列活动的集合。其核心活动包括明确数据安全治理工作的团队及职责,规划制定相 关制度规范,构建数据安全技术体系等。
源引国际咨询机构 Gartner(数据安全治理倡导者)的经典论述,“数据安全治理不仅仅是一套 用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整 个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保 采取合理和适当的措施,以最有效的方式保护信息资源。”,可进一步理解为依据顶层数据安全战略, 从组织、人员、制度、工具等方面,内外部相关方协作实施的一系列治理活动集合,以确保数据安 全。具体活动包括建立治理组织架构、建设和培养数据安全人员、制定数据安全制度规范、构建全 生命周期技术防护体系等。类似的观点,微软提出了专门强调隐私、保密和合规的数据安全治理框 架(DGPC),虽然没有明确指出数据安全治理的定义,但其核心思想指出:“数据安全治理理念主 要围绕人员、流程、技术三个核心能力领域的具体控制要求展开,与现有安全框架体系或标准协同 合作以实现治理目标,最终更好实现数据安全风险控制”。
