数据安全治理的行业实践研究

王庆德 吕 欣 王慧钧 刘海洋 秦天雄

1(国家信息中心 北京 100045)2(腾讯安全云鼎实验室 北京 100086)3(腾讯研究院 北京 100086)(839084971@qq.com)

数据治理是数字时代经济和社会治理的基础性问题，也是当前国内外学术界和产业界高度关注的重要议题.确立科学合理、切实可行的数据安全治理目标是数据安全治理的基石.近年来，随着数据安全治理研究的不断深入，对数据安全治理目标的理解更加注重协同性和发展性，注重把安全能力融入到业务流程中.即数据安全治理应以保障数据本身完整性、保密性与可用性为基础，以防范和控制因数据处理活动给个人、社会、国家等带来的安全风险为核心，以助力业务协同发展为重要方向.既在具体的场景中让数据“遵规守序”，又能为数据发展利用提供适度空间.

1 数据安全治理的政策法规

根据国家法律法规和行业实践，数据安全治理目标应以满足法律法规要求为前提，以符合行业特点为参考，以数据处理者的个性化需要为落脚点.目前我国在政策法规(如表1所示)、标准、技术等方面进行了积极探索，制定了大量的制度性规范.以《中华人民共和国数据安全法》(以下简称《数据安全法》)为例，其将数据治理分为促进数据开发利用和保障数据安全2方面.但由于数据安全治理作为一个新领域本身尚需摸索实践，且数据安全治理过程中面临诸多主体的利益平衡，治理难度和业务协调复杂程度均较高，导致对数据安全治理的内涵、目标存在多种理解.目前行业内已经开展了一些探索：有的从战略规划、安全管理、安全技术维度构建了数据安全保障技术方案[1]；有的提出了包括技术、用户、法规、意识等内容的治理维度[2]；有的提出了涵盖管理、技术、评估和运营等内容的分析框架[3]；有的从各国战略规划、政策制定、立法执法等角度，梳理了主要国家的数据治理理念和治理方案[4].

表1 互联网领域数据安全治理法律体系梳理

这些研究从不同角度推进了对数据安全治理的认识，但直接聚焦于行业数据安全治理顶层设计方面的研究还很少.为探索包容性更强、更科学、更可持续、对行业直接借鉴意义更强的数据安全治理体系，本文通过理论分析与行业实践总结，对构建数据安全治理体系有关的目标、架构、具体内容和行业实践等进行了研究，以期为各行业数据安全监管机关和数据处理者开展数据安全治理提供参考.

2 数据安全治理的技术标准

数据安全治理能力是保障企业数据安全的重要能力，如何认识、评估、建设这一能力是数据安全治理体系构建的重要基础.基于上述数据安全治理目标，结合多年行业实践，本文试图构建一套以描述数据安全决策体系为主要内容的数据安全治理体系.

2.1 国家标准体系

《中华人民共和国数据安全法》第17条明确指出：“国家推进数据开发利用技术和数据安全标准体系建设.国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准.国家支持企业、社会团体和教育、科研机构等参与标准制定.”目前在国家数据安全治理标准方面，已经逐渐搭建起较为全面立体的国家标准体系(如表2所示)，而且在具体的行业领域还在继续制定完善相应的标准体系，比如2022年3月7日工业和信息化部发布了《车联网网络安全和数据安全标准体系建设指南》，提出到2023年底初步构建起车联网网络安全和数据安全标准体系.

表2 数据安全治理的国家标准梳理

2.2 可量化数据安全指标体系

与数据安全密切相关的信息安全行业，多年来在借鉴从定性到定量综合集成的系统科学思想中，不断完善评价相关信息安全保障能力的指标体系，给出了相应的测评方法，以提高认识的科学性和精确性[5].数据安全治理也有必要通过更直观的方式对其能力进行评估，为决策者提供更清晰的判断依据.数据安全治理能力可量化的关键点和难点是对可观察、可计量、可统计的指标体系的搭建.这一搭建过程除了准确理解国家法律法规要求以外，还需有较为丰富的行业实践.本文通过不断地构建、调整、试错、完善，提出了指标体系1.0版(如表3所示).

表3 数据安全治理能力可量化指标体系(部分)

具体而言，指标体系将数据安全治理能力细分为6个1级类别，分别是：数据资产管理能力、数据安全运营能力、数据安全管控能力、数据环境安全能力、数据安全感知能力、数据处理合规能力.同时在6个1级类别之下进一步区分了多项2级类别，并在此基础上进一步细化具体的能力点.按照得分表进行打分，打分标准采用百分制.不同行业、企业，具体打分表不完全相同.在具体打分规则上，为提高科学性，将分数分为2部分：一部分是能力得分=已具备能力数量/应具备能力数量×100，另一部分是能力有效性得分=(能力a得分+能力b得分+……)/总分数×100(能力有效性按1～10打分).其中通过前者可明确知悉自身当前治理能力距离目标能力的差距；而后者则可清晰表达出当前特定能力的上升空间，从而明确数据安全治理工作的方向和内容.两者分数相加，能力得分×50%+能力有效性得分×50%，即为该数据处理者的数据安全治理能力可量化得分.以某民航企业为例，经过打分，其数据安全治理能力如图1所示.该民航企业通过对其数据安全治理能力进行量化分析，对其目前具有的数据安全治理能力以及需要完善方向都清晰掌握，在此基础上制定有针对性的数据安全治理能力提升方案.需要说明的是，该指标体系并非封闭的体系，不同企业、行业组织都可根据自己的情况进行调整，完善形成适合本组织的指标体系，并依据该指标体系清晰掌握自身的数据安全能力(如图1所示).

图1 某企业的数据安全治理能力图

2.3 多元化数据治理体系

产业数字化的快速发展必将积累越来越多的数据，这些数据规模大、种类多、变化快、处理难度大，涉及的个人、组织众多，安全问题复杂程度高、数据安全目标趋于多元化，协调数据安全治理的目标、手段就显得愈加重要，也更加迫切需要用体系化的思维建立系统性的治理思路.具体而言，数据安全治理体系化的含义是：数据安全治理要利用各种制度建立衔接，从制度、人员、技术、审计、运营5个维度全面开展，并相互关联和支撑，将数据安全治理相关能力进行统一管理，统一实施，从顶层进行统筹建设实现能力建设集中化、能力输出标准化.具体而言，企业数据安全相关管理制度是企业开展数据安全治理工作的依据；企业的人员组织是保障数据安全治理顺利开展的人力保障；数据安全技术是开展数据安全治理的重要手段；企业数据安全审计机制是各项制度要求正确执行的重要保障；企业数据安全运营是通过隐患排查、风险评估、模拟攻击、规范流程等手段持续形成“业务-发展-安全”闭环管理，并对数据安全治理相关内容持续完善，不断提升治理体系化水平.总体来看，这5个维度相互促进，作为协调的整体缺一不可.

多元化的知识结构和团队构成对于数据安全治理具有重要意义.国内有研究人员提出：数据人才需要横跨3个专业：数学、商科、计算机[6].国际数据管理协会所制定的数据管理知识体系中则包含11大类知识[7]，多元的知识结构是数据安全治理领域的特殊要求.缺乏多元知识结构很难全面达到数据安全治理综合性的要求.

3 数据安全治理的行业实践

在上述基础上，本文从数据安全治理能力应当可量化、轻量化、体系化、知识结构多元化、常态化5方面，并结合民航、汽车、金融、能源和零售行业实践展开分析.

3.1 汽车行业实践

数据安全治理能力在可量化实践中已经进行了诸多探索.汽车行业在数据安全相关法律法规颁布以前，并未形成系统化开展数据安全治理工作的思路，通常是以配置单个安全产品的方式应对单点安全风险.《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《汽车数据安全管理若干规定(试行)》等法律法规颁布以后，为满足数据安全合规要求，通过引入可量化能力体系，开展了数据资产梳理和数据处理活动梳理等工作，并基于对汽车行业需要满足的数据安全法规，进行安全风险分析，采用自动化智能工具梳理数据资产.不仅全面梳理出各类数据资产(包括数据库、表、字段、账号、权限等)，同时借助人工智能技术自动将敏感数据识别出来，形成敏感数据清单(汽车敏感数据包括车主身份证、手机号、行车轨迹、车牌号、地址等)，在此基础上，形成特色鲜明、切实可行的量化指标体系，化解了业务便捷性和安全合规性之间的矛盾.根据量化清单和打分标准进行第1次合规体检后，该企业发现了其治理能力的不足与短板，后据此制定数据治理能力提升方案，并确定了提升目标，实施以后达到预期效果.

3.2 民航业行业实践

数据安全治理能力在实践中对轻量化具有很强的诉求，数据安全治理最有效的手段是通过网关的模式、验证等的手段，实现对数据处理风险的拦截.但网关模式会造成数据业务的连续性和性能减弱问题，大多场景下都无法实际采用.按照轻量化的思路，可采取不改变网络结构、不改变数据流动过程、不进行定制开发和改造，采取旁路阻断、面向应用的加解密技术、画像分析等方式.例如在旁路阻断中，可通过数据访问流量的分析，判断是否予以拦截，并在数据访问结束前进行干扰，采取屏蔽等措施实现阻断的效果，未成功阻断的则及时告警.再比如就数据加密而言，数据安全一方面是要通过加密技术对数据本身起到保护的作用，另一方面是对数据的操作行为进行管控；网关式的管控能够拦截违规行为，但对数据业务影响很大；通过旁路数据安全审计的方式起不到拦截的作用.因此，需将2项技术的能力进行融合并对实现方式进行调整，做到既能拦截违规行为，又不影响数据业务.通过流量抓取技术对所有数据访问行业进行获取，并通过协议解析技术拆解协议内容，判断该次数据访问是否违规.如果判断属违规行为，则会通过流量抓取技术对数据访问的返回请求进行抓取并篡改，对其数据访问过程进行干扰，最终实现拦截的效果.在民航业，为追求数据业务的便捷性和安全性，曾采用诸多非轻量的手段，产生了一些问题.例如：我国某民航企业，曾通过SDK接口与加密机进行交互来实现数据加密，并对各应用均进行开发和改造，导致集成工作大幅增加，但由于加密运算依赖加密机，导致性能出现瓶颈，给业务连续性带来负面影响.后来按照数据安全治理能力的运用应当轻量化的思路，该民航企业通过采用面向应用的加解密等轻量化技术，只对应用的中间件进行修改即可完成集成工作，免去了对应用程序的改造.同时，加解密的运算基于应用程序的服务器，将运算压力进行分解，使性能达到最优.由于只对中间件进行少量轻量化改造，未对应用和数据库进行改动，因此不仅解决了业务连续性问题，而且投入少、性能高、见效快，取得了良好的治理效果.

3.3 金融行业实践

随着移动支付技术的发展，银行业对数据安全治理体系化有了更高需求，但也开始出现数据安全制度和数据安全技术匹配不及时、衔接不力、协调性不足的问题，潜在的数据安全风险迟迟未能有效解决.以某银行为例，在发现上述问题后采用了体系化的思路，从制度、人员、技术、审计、运营5个维度开始同步建设，并结合数据业务和法规制订制度与规范，委托第三方来增强组织人员的能力，以“人工+工具”的方式建立数据安全治理的审计能力，并不断优化管理制度和规范，从而形成较为体系化的数据安全治理能力，数据安全治理水平得到大幅提高.

3.4 能源行业实践

能源行业同样存在数据安全治理体系化能力不足的问题.在对数据安全治理能力进行统一管理和标准化输出的过程中，实践的难点在于如何使一套标准满足所有应用的需求，并将繁杂不一的各数据安全厂商产品进行统一接入，保障高扩展性，以适应未来新安全技术的引入.实际上通过采用“上下游接口”的方式，在使用层面通过适应应用的架构和调用方法，形成一套标准的接口，即“上游接口”；在能力接入方面，通过对各数据安全治理能力的研究，去异求同，形成统一的流程和方法，即“下游接口”，使得能力需求方和提供方在集成接入时快速改造即可实现.以某能源企业为例，其曾存在诸如重复投入、数据安全治理能力统筹效果差等问题，导致资金投入居高不下，但数据治理效果却迟迟未能见效.在采取体系化思路后，将所有数据安全产品的能力输出形成统一标准，供业务使用，最终实现了运维工作减轻、集成工作简易化、资金投入性价比增加的效果，从而有效控制了资金投入的大幅增长.

3.5 零售行业实践

实践中，数据安全治理工作往往需要法务、业务、数据安全等部门密切配合，需要数据处理者具备多元的知识结构，但这方面人才非常稀缺.为此，一方面需加强对数据安全治理工作参与人员的综合性培训，另一方面也需建立高效的沟通机制，加强信息的传递.以某知名零售企业为例，其经过咨询专门的团队，加大了对数据安全治理机制的构建和人才培养.通过采用“统一目标、责任共担、知识融合”策略，将具备这3方面能力的人员组成专班或专项组，制定顶层目标，即数据业务全部合规.当发生合规事件或安全事件时，由专班或专项组共同承担责任，避免合规工作消极对待的现象发生.同时，通过不断地沟通和磨合，相互融合知识，达到人员能力横向发展的目的，使得各部门代表在专项组中知识结构得到多元化发展，从而制定出既满足合规要求，又切实可行的数据安全治理要求，在具体的数据安全治理中发挥了良好效果.

4 数据安全治理的建议对策

2022年1月，国家发展改革委发布了《“十四五”推进国家政务信息化规划》，要求强化政务数据安全管理，这对政务数据常态化安全保障进一步指明了发展方向，是“十四五”期间政务数据安全管理的重要纲领性文件.除了政务领域以外，其他领域的数据安全工作亦是环环相扣，相互影响，建立内部协调的体系化机制有助于提高数据安全治理的水平.具体建议如下：

1) 提升数据安全治理能力建设财力投入的体系化.在数据安全治理体系建设之初即从顶层设计层面统一调研、统一安排、统一支出、统一建设，从根本上提高治理的体系化水平，提高协同性，在具体的财力投入审批过程中，对投入的关联性、重复性和有效性进行分析，避免重复财力投入，充分发挥数据安全治理能力的价值，提高数据安全治理经济投入的成效.

2) 提升数据安全治理手段的标准化.不同的安全产品具有不同的功能和不同的使用流程，很难适用于所有的数据安全治理，而且当互相不兼容的安全产品集中以后，可能带来流程不统一、治理效率低的问题.通过体系化的手段，不仅在流程层面实现流程标准化，而且在此基础上进一步实现调用接口的标准化，通过填补流程缺陷，大幅提高治理效率.

3) 提升数据安全策略的统一化.不同企业、以及同一企业的不同产品都可能存在数据安全策略不统一的情况.可能带来不法人员利用策略不统一、不衔接的问题实施网络攻击的隐患，导致数据安全风险.建立统一协调的安全策略可避免各数据业务分支因安全人员能力差异导致的安全策略参差不齐的问题.

5 结束语

数字化治理以数据为依托，但数据不是目的而是手段.把握数据使用的尺度才能最大限度地保障公共利益.数据安全治理工作具有行业性和场景性，很难形成统一，因此，数据处理者开展数据安全治理工作需从自身数据业务出发，在借鉴产业实践的基础上，探索符合自身的数据安全治理实践.随着数据安全治理实践的不断丰富，必将形成具有我国特色，符合行业实践，最大程度满足个人、企业、社会、国家等多方需求的数据安全治理体系.加强数据安全治理是全球层面的共同趋势，任何一国对本文所涉问题提出的有效解决方案，都必将对他国产生影响，从而一定程度上实现对国际规则的贡献.