È«Öª¿Æ¼¼£¨º¼ÖÝ£©ÓÐÏÞÔðÈι«Ë¾ °æȨÉùÃ÷ µÚ2Ò³ Êý¾Ý°²È«ÖÎÀíÖ®Êý¾Ý°²È«·çÏÕÆÀ¹À°×ƤÊéȨÀû¹éÊôÓÚÈ«Öª¿Æ¼¼ (º¼ÖÝ)ÓÐÏÞ ÔðÈι«Ë¾ËùÓС£Î´¾­Ðí¿É£¬ÈκÎÈ˲»µÃ½«±¨¸æµÄÈ«²¿ÄÚÈÝ»ò²¿·ÖÄÚÈÝΪӪÀûÄ¿ µÄ³ö°æ¡¢±à¼­¡¢·­Òë¡¢ÍøÂç´«²¥¡¢×ªÈûò³öÊ۵ȷ½Ê½Ê¹Óá£×ª ÔØ¡¢Õª±àʹÓñ¾ °×ƤÊéÎÄ×Ö»ò¹ÛµãӦעÃ÷À´Ô´¡£ µÚ3Ò³ µÚ4Ò³ 中国数字经济快速发展。相关数据显示，2020年中国数字经济规模已达 到39.2万亿元人民币，占GDP的38.6%，居世界第二位，已成为中国经济增长 的重要价值。因此，识别数据安全风险、构建数据安全治理机制的重要性日 益凸显。 随着数字经济的快速发展以及传统业务的数字化转型推进，数据价值化 加速推进，数据安全已成为数字经济时代最紧迫和最基础的安全问题。如何 能系统、全面、有效的建设和提升数据安全防护能力，在数据经济、数据价 值和数据安全之间达到平衡，是当下国家、行业以及各企业和组织都非常关 注的问题。数据安全治理也成为了近年国际国内的热点，这是一个覆盖了组 织架构、数据资产、风险防范、运营监测等多个方面的，从整体策略到具体 执行的大命题。 1.1.数据安全治理介绍 数据安全治理，是指依照法律、法规、国家标准、行业标准规范等的规 定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措 施，保障数据安全。数据安全治理的必要性： 一是法律有规定，数据安全上升到国家层面，国际上欧盟发布《欧洲数 据保护监管局战略计划(2020-2024)》，继续加强数据安全保护，保证个人 隐私的基本权利美国发布《联邦数据战略与2020年行动计划》，确立了保护 数据完整性、确保流通数据真实性、数据存储安全性等基本原则。我国在2021 年6月《中华人民共和国数据安全法》正式颁布，2021年9月1日正式实施， 第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理 体系，提高数据安全保障能力。 二是数据价值有待释放，数据是企业重要的生产要素，对数据的合理利 用能有效打破数据孤岛，推进各地区各部门各组织之间的数据要素流通，能 进一步鼓励数据价值的探索和提升。数据价值的释放，对数据的共享开放提 出了要求，特别是政务数据在经过了长年累月的积累，形成了海量且权威的 数据资源，具备极大的数据价值释放需求和能力。目前各地方也都在积极开 展公共数据共享开放的规范制定，数据安全也自然成为了数据共享开放过程 中的安全保障基础。 三是现实的需求，数据作为新型生产要素，由于其本身具有流动性、分 散性、可复制性等不同于传统生产要素的特性，随着数据价值的升高，个人 隐私信息、商业机密甚至国家重要情报均面临着不同程度的敏感数据泄露、 数据贩卖、数据篡改、数据跨境流动等数据安全风险。 1.2.数据安全治理主流认知 数据安全相关的法律法规对数据安全职责、数据资产安全、数据处理活 动、数据安全风险评估、数据安全监测等均提出了要求，各行业也在陆续开 µÚ5Ò³ 展有针对性的规范和指导细化。满足法律法规要求，实现数据安全风险管控， 是各企业和组织开展数据安全治理的首要目标。 企业和组织需要在实用性和时效性的前提下，识别其当前存在和面临的 数据安全风险，特别是需要迫切解决的风险，从而有目标地快速实现数据安 全防护能力的提升。数据安全风险评估，是数据安全治理的起点。风险评估 能够帮助企业或组织发现业务和自身数据安全问题，明确数据安全治理需求， 为建设数据安全管理和数据安全风险处置手段指明方向，给出可落地的实施 方案。 目前国家层面密集发布的各种法律法规，结合监管指引的各种要求，企 业在落实数据安全治理责任的过程中，广泛遇到的问题，除了合法合规要求 的落地执行外，更多的是基于生产经营过程中，如何平衡发展与安全特性的 要求，保证数据生产要素发挥更大的价值。数据作为生产资料所体现的新特 性，是现阶段治理落地面临的新问题，是企业面临的新难点。以往的数据安 全治理往往延续了之前信息系统安全防护的惯性理念，从边界防护出发，试 图将数据锁在“笼子”里。但不管从国家出台颁布的相关法律法规也好，还 是企业自身经营过程中面临的新发展新问题也好，数据安全治理都是从保证 数据流动产生价值的核心出发，在保证价值前提下的安全防护。基于数据流 动的特性，数据安全治理工作也面临新的挑战，如何在企业纷繁复杂的生产 经营活动中，既能保证数据安全治理工作的顺利进行，又能平衡生产与安全 的要求。 基于多年对企业和组织在数据安全治理工作上的实践经验，本白皮书提 出了基于数据与数据处理活动的数据安全治理框架（如图1所示），包括数 据资产梳理、数据安全风险评估、数据安全风险处置三部分内容。 图1基于数据与数据处理活动的数据安全治理框架 µÚ6Ò³ 本数据安全治理框架内容，着重于从企业数据资产本身出发，基于企业 生产经营活动中所经历的各阶段数据处理活动的不同内容，紧贴法律法规、 行业规范等要求，解决企业合法合规经营和生产活动风险安全可控两方面的 需求。基于数据与数据处理活动的数据安全治理框架由以下三个方面内容构 成： 1)数据资产梳理，提供了企业数据资产盘点与数据分类分级相关工作的 实践指南。 2)数据安全风险评估，基于企业数据资产梳理工作的内容，提供了企业 在不同数据处理活动中，通过数据安全风险评估方法提供实施落地指 导，落实数据安全风险评估工作。 3)数据安全风险处置，基于数据安全风险评估结果，依据不同的发展阶 段和生产经营中解决问题的优先级，参照国家法律法规、行业规范等 要求，通过数据安全管理、数据本体保护、数据安全管控、数据风险 监测等手段，提高企业履行保护管理责任和保障持续安全状态能力。 µÚ7Ò³ µÚ8Ò³