隨著數據“升格”為第五大生產要素，數據的價值受到了空前的重視。對于企業而言，掌控和利用數據的能力將成為核心競爭力，決定企業能否長遠發展。在挖掘數據價值、驅動業務增長的同時，企業必須著力推進數據治理以及數據安全建設，保障自身的業務和資產安全。

“合規”是企業數據治理以及數據安全建設的基礎要求。近年來，我國相繼出臺了《個人信息保護法》《數據安全法》《網絡安全法》等法律，《網絡數據安全管理條例（征求意見稿）》等規章制度，以及一系列的數據安全國家標準，形成了層次清晰、架構完整、聯系緊密的數據安全法律法規體系。企業開展數據治理以及數據安全建設之前，必須充分了解相關法律體系，站在全局視角規劃企業的合規路徑。

---

??

一、數據安全法律法規體系分析

我國的數據安全法律法規體系經歷了從無到有、從零散到完備、從借鑒到創新的發展過程。縱觀法律體系的發展歷程和現狀，我們可以總結出以下特點。

1.數據安全法律法規體系日趨完善

近年來，隨著數據安全立法的加速，我國已經初步建立了涵蓋法律、行政法規、部門規章、地方性法規、地方政府規章、規范性文件、國家標準7大層次的法律法規體系。在此體系中，《網絡安全法》《數據安全法》和《個人信息保護法》三部基本法律構成了基礎的治理框架。《網絡數據安全管理條例（征求意見稿）》《數據出境安全評估辦法》等行政法規是對三部上位法的補充、落實和細化。《工業和信息化領域數據安全管理辦法試行（征求意見稿)》《浙江省公共數據條例》等行業規章和地方性法規充分結合行業、地域特點，將合規要求繼續細化。GB/T 41479-2022《信息安全技術 網絡數據處理安全要求》、GB/T 35273-2020《信息安全技術 個人信息安全規范》等一系列國標、行標，為企業數據安全建設提供了明確的框架、具體的路徑、量化的指標。各類數據安全部門規章、地方性法規還在陸續出臺，相關國標也在緊鑼密鼓的編制。日趨完善的法律體系為企業數據安全建設提供了法律依據，也提出了高要求、樹立了嚴標準。

2. 數據合規要求從“保護”演變為“保護與利用并重”

在數據安全法律法規體系快速發展的過程中，數據安全的內涵不斷演進、外延不斷擴大，數據從單純的被保護對象逐步轉變為應用與安全并重的生產要素。在國際標準ISO/IEC 27001和27002以及國家標準GB/T 22080和22081構成的信息管理體系中，信息安全（數據安全）的定義是對信息的保密性、完整性和可用性的保持。而在《個人信息保護法》中，已經將個人信息安全與保護作為數據主體的個人享有個人信息的眾多權益放在了同樣重要的位置。隨著《數據安全法》的發布，數據安全的內涵繼續延展。《數據安全法》第3條規定：“數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”可以看出，數據安全的內涵已經演變為保護和利用并重，并且強調數據的持續安全狀態。隨著法律體系的完善，數據安全與網絡安全的聯系也越發清晰和緊密。《數據安全法》第27條規定：“利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。”在互聯網時代，數據安全合規建立在網絡安全合規基礎之上。企業必須正確處理數據安全和網絡安全的關系，做到全面布局，統籌建設，持續發展。

3. 數據安全監管日趨正規、嚴格

隨著數據安全立法的穩步推進，我國對數據安全的監管也日趨正規化、嚴格化、常態化，執法力度和頻率明顯加大。截至8月31日，2023年已有146起依據《數據安全法》作出行政處罰決定的案例對外公示，涉事單位覆蓋物業、信息技術、零售、娛樂、醫療、教育、餐飲等多個行業，未采取技術措施保障數據安全、未建立健全流程數據安全管理制度、未組織開展數據安全教育培訓是被處罰的主要原因。相比之下，2022年全年公示的案例僅有11起。雖然監管部門的處罰方式以警告、責令改正為主，僅當確實發生數據泄露事件或構成其他嚴重后果時才作罰款或逮捕處理，但企業所面臨的數據安全合規壓力仍舊與日俱增。 ??

二、企業面臨的數據安全合規挑戰

隨著數據安全法律法規體系日趨完善，企業的數據安全合規建設也進入了新階段。基于現有法條的要求，結合未來的立法趨勢，企業普遍建設面臨以下幾方面的合規挑戰。

1. 提升對數據安全合規建設的認知

縱覽數據安全立法進程，合規要求已經從單純的保護數據安全，逐步轉變為數據的有效保護和合法利用。隨著企業數字化轉型持續深入、業務數字化水平持續提升，企業掌握的數據將成為核心資產，不但能持續為企業業務賦能，未來還能夠作為生產要素對外交易。保護數據的安全，就是保護企業生存和發展的權利。受限于自身的能力，企業不足以憑借一己之力規劃、建設兼具前瞻性與落地性、滿足體系化與場景化需求的數據安全體系。因此，按照法律體系的合規要求展開數據安全建設是企業的“最優解”。同時，企業還必須正視數據安全的外部性，認識到與大眾個人信息有關的數據事關國家安全與社會穩定，保障數據安全是企業天然的義務和責任。

2. 建立數據分類分級保護制度

數據分類分級保護制度是數據安全合規建設的基礎。《數據安全法》第21條規定：“國家建立數據分類分級保護制度”，“各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。”《信息安全技術 網絡數據分類分級要求》(征求意見稿) 進一步明確了數據分類分級框架和考慮要素，細化了分類分級工作的參考規則和實施流程，對行業領域數據和個人信息分類分級等具體工作提供了指引。一系列行業性、地方性的數據分類分級標準也相繼發布，對企業的要求更加細致、量化。盡管國標、行標給出了數據分類分級的基本流程，但企業在落實相關要求時普遍面臨三大挑戰。第一，企業的數據資產數量大、分布散、類型雜，難以高效識別和梳理。第二，受限于人力資源和技術水平，企業普遍對數據分級分類缺乏高效的指導技術和方法，導致耗費大量人力且實踐效果不佳。第三，隨著數字化轉型不斷深入，企業的數據資產規模持續快速增長，類型更加豐富，企業必須建立動態的分類分級標準，采用自動化的工具，才能提高效率，保證合規建設的延續性和持久性。

3.構建切實有效的數據安全管理制度

管理制度為數據安全合規建設提供制度保障。《數據安全法》第27條規定:“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度”，“重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。” 《網絡數據安全管理條例（征求意見稿）》第6條要求：“數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求，建立完善數據安全管理制度和技術保護機制。”長久以來，企業的信息安全工作都由IT運維部門負責，在數據安全合規建設中容易出現以下管理問題。第一，數據流通流轉貫穿于數字化業務流程的全流程，數據安全也隨之成為業務安全的“原生需求”。但受限于原有的組織架構和管理制度，業務部門并不承擔數據安全職能，對相關工作也不夠重視。企業迫切需要通過調整管理制度，明確責任歸屬，建立制度規范，開展技能培訓，制定應急預案，提升業務部門對數據安全的參與度。第二，企業的數據安全負責人兼具法律、業務、技術三種視角，才能規劃出合規建設的最佳路徑，充分整合內外部資源，高效推動項目建設。

4. 提升網絡安全防護能力，推進網絡安全合規建設

數字時代，數據安全合規建設必須建立在網絡安全合規的基礎之上。GB/T 41479-2022《信息安全技術 網絡數據處理安全要求》對數據的“風險防控”提出了具體的要求，網絡運營者“開展數據處理活動應加強風險監測，發現數據安全缺陷、漏洞等風險時，應采取加密、脫敏、備份、訪問控制、審計等技術或者其它必要措施，加強數據安全防護，保護數據免受泄密、竊取、篡改、損毀、不當使用等”，并對數據的收集、存儲、使用、加工、傳輸、提供、公開等環節做出了細化要求。這對企業的網絡安全建設提出了“內”與“外”兩方面的要求。在內部管理上，應重點關注數據的備份、加密和訪問控制。在對外的數據傳輸和存儲上，企業需要保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用。面對快速變化的網絡安全態勢，企業在“內”“外”兩個層次上都必須進行動態的、持續的安全建設。2023年，ChatGPT等生成式人工智能工具的快速普及使得企業面臨嚴峻的釣魚攻擊威脅，API攻擊的爆發式增長給企業帶來新的網絡安全挑戰。企業必須持續強化、更新網絡安全防御體系，才能滿足數據安全合規需求。

5.打造常態化的數據安全運營體系

《數據安全法》第3條規定：“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”這就要求企業不但要關注數據的即時狀態，還要通過數據安全評估、數據風險監測、事件響應處置等措施，保證數據長期、持續的安全狀態。建立長效的數據安全評估機制，其目的在于督促企業建立動態的、可持續的數據安全運營體系，引導企業的數據安全防護體系從一次性的建設向常態化的運營轉變。企業應以數據安全評估為契機，打造覆蓋“策略→防護→監測→響應”的數據安全閉環管理流程，借助安全評估、實戰演練，持續強化數據安全防護、提升數據安全水平，讓數據更好地為企業發展賦能。

三、芯盾時代零信任數據安全解決方案

面對企業的數據安全合規建設需求，芯盾時代基于對數據安全法律法規體系的深度理解、在企業數據安全建設上的豐富經驗，將零信任理念引入數據安全領域，推出了數據安全態勢感知解決方案，采用新理念、新架構、新技術，幫助企業升級數據安全防護體系，滿足合規要求，提升防護水平。芯盾時代數據安全態勢感知解決方案具備以下特點：

1. 以合規為基石，構建立體化數據安全體系

芯盾時代綜合考慮數據安全合規要求，結合企業自身業務特點，為企業量身定制最優的數據安全合規建設路徑。結合海量數據安全建設實踐、完善的數據安全產品線，幫助企業制定數據安全戰略，明確組織架構與管理制度，建立數據安全技術體系，打造數據安全運營體系，為企業構建數據安全基座。

2. 借助AI技術，建立數據分類分級保護制度

嚴格按照《數據安全法》、《網絡數據安全管理條例（征求意見稿）》、《信息安全技術 網絡數據分類分級要求（征求意見稿）》等法律法規的要求，采用大數據技術和AI技術，為企業建立具備自適應學習能力的數據度量模型，幫助企業主動發現數據資產，精準標識生產經營數據，并持續調優分類標準，實現數據分類分級的動態化、智能化，更好的滿足合規要求。

3. 制定數據安全管理制度，梳理、優化組織架構

幫助企業建立自上而下的組織架構，明確數據安全管理機構與專職崗位的權限與職責，明確考核機制。在管理制度上，整合豐富的數據安全項目經驗，參考DSMM（數據安全成熟度模型），幫助企業制定符合法律法規、滿足業務需求的、層次清晰的數據安全規范體系。同時，幫助企業開展數據安全培訓、建立應急預案，全方位提升企業的數據安全能力。

4. 提升網絡安全防護能力，保障數據安全流通流轉

按照網絡安全等級保護制度的要求，從身份、設備、行為三個維度為企業構建零信任架構，幫助企業強化網絡安全防護體系。借助自主研發的用戶身份與訪問管理平臺（IAM）、零信任業務安全平臺（SDP）、智能終端密碼模塊（PMIT）、API安全網關等產品，為企業建立以“身份”為核心的動態訪問控制體系，實現對數據資源訪問的最小化授權。在收斂數據資源暴露面、減少網絡攻擊的同時，通過對數據的加密、脫敏，保證數據被安全傳輸和存儲。

5. 監督與評估并重，實現數據安全可持續運營

為企業建立數據安全監督體系，針對數據全生命周期各階段的安全管理情況進行監控與審計，以保證數據安全治理可以有效、持續地創造價值。借助監督體系，定期開展數據安全評估，對規章制度體系、安全防護體系、安全運營體系的實際運轉情況進行檢查，并根據評估結果持續改進數據安全體系，確保數據安全運營的有效性和持續性，滿足法律法規的評估要求。目前，我國企業的數據應用剛剛起步，主要集中在精準營銷等有限場景，未能從業務轉型角度開展預測性和決策性分析，沒有更深層次挖掘數據資產的潛在價值。隨著企業數據安全合規建設的逐步深入，企業將構建堅實的數據安全基座，更好地拓寬數據的應用場景、發掘數據的潛在價值，讓數據成為數字化時代的“新石油”，成為企業的長遠發展的源動力。

郭曉鵬

■北京市政協委員

■芯盾時代創始人、董事長

本科畢業于清華大學，研究生畢業于中國科學院，長期深耕于網絡與信息安全領域，對安全市場有廣闊的視野和深入的理解。現擔任北京市工商聯執行委員、中國指揮與控制學會公共安全數據工程專委會委員、中國計算機學會抗惡劣環境計算機專委會委員，中國通信學會公共安全通信委員會委員、中國能源研究會專委會委員等社會職務。

孫 悅

■芯盾時代創始人、CTO

本科、研究生畢業于北京郵電大學，現清華大學五道口金融學院EMBA在讀。孫悅率先提出“以人為核心的業務安全”理念，開創性地解決開放網絡環境下各行業在數字化發展過程中遇到的業務安全問題。現擔任中國網絡安全產業聯盟專家庫專家、全國金融標準化技術委員會專項工作組專家、中國能源研究會專委會委員、新基建創新研究院信創專家、北京市門頭溝區工商聯副主席等社會職務。 - End - ? ?

往期 · 推薦

數據安全“最優解”丨以零信任理念，助力企業數據安全合規建設

數據安全“芯”方案丨芯盾時代入選《數據安全保護義務履行參考案例集》

芯盾時代亮相ICT技術發展與企業數字化轉型高峰論壇 詳解零信任數據安全建設之道

芯盾時代參與編寫《零信任數據安全白皮書》 給出數據安全“芯”方案