信通院云大所所长何宝宏：数据治理须兼顾安全和发展

数据安全关系到方方面面，小到个人隐私，大到国家安全。如何寻求数据安全与发展的平衡成为当下最受关注的议题。近日，中国信息通信研究院（以下简称信通院）在“2021中国互联网大会——数据治理高峰论坛”上发布了《数据安全治理实践指南（1.0）》（以下简称《指南》）。

信通院云计算与大数据研究所何宝宏表示，“没有数据安全就没有网络安全，没有网络安全就没有数据安全。由于数据本身所具有的流动性、多样性以及可复制性的特点，数据安全的风险在数字经济时代被不断的放大，发展数字经济必须把数据安全放在突出的位置。这要求我们着力解决数据安全领域的突出问题，有效提升数据安全的治理能力。”

他指出，数据安全问题由来已久，尤其是数据上升为轻型生产要素以后面临的挑战越来越大。一方面，各类数据泄露事件频发，为组织和企业的数据安全状况敲响了警钟。另一方面，数据和隐私相关法律法规正在持续的完善和颁布，监管不断地加强。当前数据行业数据安全处于一个发展的初期，与监管的要求还存在较大的差距，整体数据安全治理能力参差不齐，治理方法缺少方法论。数据安全的技术工具不成熟，人才匮乏，提升数据安全治理能力是我们最紧迫的一个议题。

2021年6月，我国《数据安全法》正式颁布，明确提出要“建立健全数据安全治理体系，提高数据安全保障能力”，“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。何宝宏表示，数据安全治理不是强调数据的绝对安全，而是需要兼顾安全和发展的平衡，同时以数据安全保障数据的开发利用和产业发展。

他认为，数据安全治理的目标是在满足数据合规要求控制数据风险前提下，充分利用数据的价值保障业务的持续健康发展，从而实现安全与发展的双项促进。据了解，《指南》依据《数据安全治理能力评估方法》团体标准的内容进行制定，主要包括了数据安全规划、数据全生命周期安全和基础安全。

从实践角度出发，数据安全治理的第一步是治理规划。通过设计组织架构、制度流程、技术工具、人员能力等体系建设实现整个规划方案的设计，最后从可行性、安全性、可持续性三个方面对方案进行论证，以保障方案的切实可行。

“有了明确的规划方案，下面就是具体的实施。”何宝宏指出，明晰的组织体系是保障数据安全工作顺利开展的首要条件。可以参考《指南》内容进行建设，其中决策层是统筹部门，可以采用一把手负责制；管理层是数据安全工作的管理团队；执行层是数据安全工作的具体执行者和参与者；监督层负责对管理层和执行层的工作进行监督，对于违规行为给予纠正。

作为落实各项安全管理要求的有效手段，技术工具是支撑数据安全体系建设能力的底座，围绕参考框架结合实际场景构建完善的技术体系工具，可以体系化的解决数据全生命周期各阶段的安全隐患。何宝宏表示，数据安全治理离不开相应人员的具体执行，因此加强对数据安全人才的培养是数据安全治理的应有之意，需要岗位的职责人员角色明确相应能力的要求，并建立适配的数据安全人员能力培养机制，可以从数据安全意识的提升、数据安全能力的培训、数据安全能力考核三个方面进行培养。

在他看来，“数据安全治理是持续运营的过程，可以打通各环节的建设内容，促进整个体系的良性发展。治理运营分成风险防范、监控预警、应急处理三个方面。值得关注的是，如何评价数据安全治理的成效，并实现治理体系的优化改进，是组织在数据安全治理能力建设过程当中面临的重要问题。”

（作者：边万莉 编辑：周鹏峰）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。