数据治理在我国的现状

前 言

2021 年 6 月《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式颁布，标志着我国数据安全进入有法可依、依法建设的新发展阶段。《数据安全法》明确提出在坚持总体国家安全观基础上，建立健全数据安全治理体系，提高数据安全保障能力。由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制？如何平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进？如何构建覆盖数据全生命周期安全的治理框架？如何在各组织中落实数据安全治理的具体要求？这些都是当前数据安全治理面临的重要问题。本指南参考数据安全领域的相关标准，重点以中国互联网协会T/ISC- 0011 - 2021 《数据安全治理能力评估方法》为基础，阐述了数据安全治理的内涵；从组织如何落实数据安全治理要求的角度出发，提出数据安全治理总体视图；按照数据安全治理目标、治理框架、治理实践路径分别提出落地建议，并对未来发展进行展望。此外，指南还 收录了部分企业开展数据安全治理的实践经验。

一、 数据安全治理概述

(一) 数据安全治理概念内涵

随着数据作为生产要素的重要性凸显，数据安全的地位不断提升，尤其随着《数据安全法》的正式颁布，数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数 据安全领域的突出问题，有效提升数据安全治理能力。
为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，中国互联网协会发布团体标准T/ISC- 0011 - 2021 《数据安全治理能力评估方法》，为不断提升数据安全治理能力提供标准依据。本指南以上述标准为基础，梳理数据安全治理概念内涵，认为应该从广义 和狭义两个角度进行理解。
广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维护数据安全和促进发展的良好环境，国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设与实施标准体系， 研发并应用关键技术，培养专业人才等。
狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保数据处于有效保护和合法利用的状态，多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队，制定数据安全相关制度规范，构建数据安全技术体系，建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则，围绕数据全生命周期构建相应安全体系，需要组织内部多利益相关方统一共识，协同工作，平衡数据 安全与发展。

(二) 数据安全治理要点阐释

无论是广义还是狭义的数据安全治理，都可以从以下三个要点进 行阐释。

1.以数据为中心

数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，由于不同环节的特性不同，面临的数据安全威胁与风险也大相径庭。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针 对性地识别并解决其中存在的数据安全问题，防范数据安全风险。

2.多元化主体共同参与

无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《数据安全法》中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等各相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。 因此，数据安全治理必然是涉及多元化主体共同参与的工作。

3.兼顾发展与安全

随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提，因此，必须要辩证的看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全，同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝 对安全，而是需要兼顾发展与安全的平衡。

参考文档

信通院 数据安全治理实践指南-1.0
信通院 数据安全风险分析及应对策略研究-2022年