安恒观察｜数字化转型背景下数据安全治理难点与破局

随着数字化业务的建设，数据量大、数据调用常态化、数据处理活动复杂，数据流转在终端、应用、组件等，数据安全场景发生巨大改变，数据安全打破传统的网络安全区域划分，传统的边界、主机、系统、终端、数据库的单点防护已无法满足数据安全防护的需求。

近年来，我国数据安全相关法律制度已取得很大进展，《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》的颁布以及《网络数据安全管理条例》《网络数据分类分级指引》等条例的发布，已构成基本的数据安全保障网，是基本的数据安全法律框架。

但目前数据安全法律制度仍不完善，存在边界覆盖不全、操作性不强等问题。特别是数字化转型背景下，各类数据跨行业、跨机构的交换传输越来越多，数据之间的边界越来越模糊，导致监管依据不足，不知如何落实数据安全工作等问题。

数据的分类分级是全行业关注的焦点，数据分类分级离不开数据资产的识别和敏感数据的发现。首先，在数据分类分级方面，从国家到各地均出台了相关的规范和指南，但是不同行业的业务数据差异化明显，很难依据规范开展落地实践的分类分级；其次数字化转型过程中数据量极大，要做到批量的字段级的分类分级，难上加难；而且数据分类分级现有的技术手段有限，针对同一字段不同敏感度的数据难以标识。

数据安全治理的难点和重点在于明确数据的权属关系，没有明确的数据权属关系就无法实现“最小权限”的权限划分，那在数据处理活动的各个环节，过度采集个人隐私数据、数据权限过度放大等情况会常态化和普遍性，数据安全的控制范围和责任就难以确定。

责任到人，建立共建共治的协同管理能力

明确数据安全建设职责，安全不是一个部门的事情，明确好数据提供者、数据平台提供者、数据使用者、数据安全管理者等多角色，充分调用各个角色参与到数据安全的建设工作中，建立共建共治的协同管理能力。

借助识别工具以及元数据管理平台

开展数据分类分级工作

分类分级是数据全流程动态保护的基本前提，多视角开展数据定级工作，从数据共享的视角以及安全视角相结合开展数据定级，例如“公开、有条件申请、审批通过可看……”同时结合安全防护的角度定级，不同级别的数据在存储、传输、共享等流程中需要采取加密、脱敏等措施。

需要注意的是，分类分级的工作需要与数据治理相结合，借助大数据平台的元数据管理以及业务功能完善识别工具无法实现定级的特殊情况，补齐数据分类分级的能力，针对数据量大的问题，需要在数据量大的时候选取前一百行数据等抽样的方式或者借助大数据平台的元数据管理进行标记实现。

开展常态化的数据安全风险评估

基于数字化业务的数据体量大，且数据敏感程度较高，风险不可知等特点，所以开展数据安全建设的首要工作是让风险可知。从合规视角和风险视角开展数据安全风险评估，以“数据”为核心梳理数据业务流和数据流，基于数据流通的业务场景，识别关键节点的数据安全风险，基于风险评估的结果进行数据安全体系化规划，此路径经实践较为科学，可操作性强。

落实数据安全体系化规划和建设

根据分类分级的结果，不同级别的数据，采取不同的防护手段，通过全面了解数据安全威胁，建立数据安全解决方案，数据安全运营能力建设，实现数据安全运营流程化、集中化。同时，数据安全治理需要数据安全管理方建立管理能力和运营监管能力，数据安全运营方建立日常运营(监测和管理)能力，数据作业方建立监测和防护能力，从而构建运营体系、管理体系、技术体系阶段相辅相成的行之有效的数据安全治理体系。

数据驱动业务发展已是数字化转型趋势下的显著特点。在探索和落实数据安全建设的路上，安全与业务的平衡是个永恒的课题，有规划地逐步建设数据安全能力，使得数据安全治理与数字经济的发展相辅相成，才是正确的数据安全治理之道。