下面将解析数据安全治理 概念内涵,分析数据安全治理原则与未来展望。
为指导行业数据安全治理能力建设,促进行业数据安全治理能力 发展,依据中国通信标准化协会大数据技术标准推进委员会 BDC 91- 2022 《数据安全治理能力评估方法》,梳理数据安全治理概念内涵,本 指南认为应该从广义和狭义两个角度进行理解。 狭义地说,数据安全治理是指在组织数据安全战略的指导下,为 确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安 全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立 数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术 体系,建设数据安全人才梯队等。
广义地说,数据安全治理是在国家数据安全战略的指导下,为形 成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的 一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设 实施标准体系,研发应用关键技术,培养专业人才等。
1. 以数据为中心 数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、 共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临 丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数 据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性 地识别并解决其中存在的数据安全问题,防范数据安全风险。
2. 多元化主体共同参与 无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠 一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的 诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势, 紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代 要求的协同治理模式。这也与《中华人民共和国数据安全法》(以下 简称《数据安全法》)中强调建立各方共同参与的工作机制相一致。 对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理 层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据 安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然 是涉及多元化主体共同参与的工作。
3. 兼顾发展与安全 随着国内数字化建设的快速推进,无论是政府部门,还是其他组 织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流 动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提, 因此,必须要辩证看待数据安全治理。正如《数据安全法》提出的“坚 持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开 发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是 需要兼顾发展与安全的平衡。
随着国家数据局的成立,数据要素市场化进度加快,数据流通交 易力度加强,数据安全的重要性愈发突出。同时,由人工智能等新技 术发展带来的数据安全风险愈加严峻,未来: 数据要素市场化进程加快,数据安全进入流通安全深水区。国家 数据局于 2023 年 10 月 25 日正式揭牌,标志着数据资源整合共享与 开发利用进程加快,各组织机构的数据将逐渐由组织“内”流通转向 组织“外”流通,数据安全问题随之而来。一方面,流通环节涉及的 责任主体增多,如何有效划分各方数据安全责任,成为数据高效流通 的基本保障;另一方面,多频次、广范围的数据流转将带来更大的风 险暴露面,如何保障流通环节的安全合规是现实问题。因此随着数据 要素市场化的发展,数据安全风险在流通场景下会不断放大,数据安 全工作难度也随之加深。
人工智能浪潮席卷全球,数据安全面临新发展与新挑战。人工智 能技术可以通过对海量数据的收集分析与实时学习建立大模型文件, 以驱动数据分类分级、数据安全风险监测等数据安全治理工作向智能 化、高效化、精准化方向演进。同时,数据作为人工智能技术的主要 输入之一,在训练、调优等过程面临数据窃取、数据泄露、数据篡改 等安全风险,训练生成的模型文件也有可能遭到安全攻击,因此,大 模型数据安全风险管理必将成为行业新议题。
数据生态日益复杂,数据安全能力运营愈发关键。一方面,面对 数据流通交易场景下愈加复杂多样的数据生态,数据安全的常态化实 践与持续运营成为各机构提升流通效率,降低流通风险的关键手段。 另一方面,数据安全运营能力的构建能够打破各组织既有数据安全产 品之间的壁垒,实现策略的有效整合,提升数据安全工作成效。
