2021年1月，巴西的一個數據庫30TB數據被破壞，泄露的數據包含有1.04億輛汽車和約4000萬家公司的詳細信息，受影響的人員數量可能有2.2億；

2021年3月，印度800萬核酸檢測結果泄露，含有姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感個人信息；
2021年3月，美國保險巨頭CNA公司的IT系統被勒索軟件鎖定，攻擊者還竊取了數據，公司支付了4000萬美元勒索贖金；

有研究機構統計，2020年全球數據泄露的數量超過過去15年的總和，這些數據安全的風險影響范圍已經從個人、企業逐步輻射到產業甚至是國家。

當前，全球數字化轉型正在以爆發式速度快速發展，數據作為數字化的核心，已經成為新時代的核心生產要素之一。如果數據發生泄露，那么企業乃至國民經濟運行，公共衛生、農業生產、運輸物流等受到沖擊，并可能引發各領域嚴重后果。

伴隨著9月1日《中華人民共和國數據安全法》的正式實施，對于如何依法做好數據安全建設成為當前各行業負責人最為關心、關注的問題。今天小億就來為大家說說如何從法律角度看數據安全建設，以及企業該如何做好數據安全治理。

一、數據安全的定義
根據《數據安全法》第三條，“數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”

數據安全并不僅僅局限于數據本身的安全，而是一個綜合概念。在數據從客戶端到服務端傳輸過程中，涉及很多風險因素，比如客戶端訪問主體的身份是否真實可靠，數據在傳輸過程中是否完整、防篡改，到達服務端后以明文件存儲還是加密存儲，以及哪些用戶使用等等。

從整體來看，在數據生命周期的每個環節，包括數據收集、存儲、使用、加工、傳輸、提供、公開等，都存在三個重要概念：數據處理主題、數據本身、數據處理行為。

從數據源頭上，要確保數據采集主題身份真實、可信；對于數據本身，在傳輸中要確保其真實性（數據來源真實可信）、完整性（數據未被非授權篡改）、機密性（數據未被非授權者獲得）、可用性（數據可被授權者正常使用）等；對于數據處理行為，要確保其發送或接收行為、時間點的不可否認性。

二、《數據安全法》與企業數字化運營息息相關
在配套法規建設方面，圍繞大數據的生產與再生產，貿易與流通，中國形成了以《國家安全法》為總綱，《網絡安全法》、《數據安全法》和《個人信息保護法》三部法律為基礎的法律監管體系，并以一些部門規章以及政策性文件等作為補充。

具體來看，《網絡安全法》從設施、運營、數據以及內容安全四個維度對于未來的網絡安全進行法規約束，并通過部門分工或者協作的方式制定和頒布進一步的安全細則，如《網絡安全審查辦法》、《關鍵基礎設施信息保護條例》以及《網絡信息內容生態治理規定》等。

《數據安全法》則圍繞“收集、存儲、使用、加工、傳輸、提供、公開”這樣的數據處理流程，對于大數據的各參與方進行法規約束，違反相關安全措施的行為方將受到嚴厲懲罰。剛剛公布的《個人信息保護法》，主要從個人信息保護應遵循的原則和信息處理規則等方面進行約束，法規明確個人信息處理活動中的權利義務邊界，以增強個人在數字經濟時代的安全感。

除此以外，還伴隨細分的行業配套法案陸續落地，比如《信息安全技術網絡安全等級保護基本要求》、《關鍵信息基礎設施安全保護條例》、《網絡安全產業高質量發展三年行動計劃（2021-2023年）》，以及最近剛剛征求意見的《關于加強智能網聯汽車生產企業及產品準入管理的意見》等。

總括來看，從數據安全的技術角度出發，目前已經建立起圍繞大數據的隱私、數據安全以及平臺運營三個層面的立體監管框架。他們構成中國大數據產業安全發展的壓艙石。

三、企業如何做到“合規用數”？4類要求
對于企業而言，數據安全合規工作是題中之義，但實操層面也可能的確存在一些現實困難，例如如何能快速、準確的排查當前的合規差距？如何能最小成本、最小影響的完成合規工作？這里可以從以下4個方面來開展工作：

1.技術建設類
技術建設類可分為技術措施建設和風險監測能力建設，技術措施根據實際數據活動情況，采取相應的技術措施即可，比較常用的技術措施有動態脫敏技術、訪問控制、電子認證技術、數據加密存儲技術和敏感數據發現技術。

傳統的建設方式是直接采購相應的數據安全產品，數據場景不復雜的情況下比較適用，反之，則會造成功能冗余、產品堆砌、運維工作加重等附加工作。因此，在開展數據安全技術建設時建議采用平臺化的方式，靈活、簡捷，擴充能力強，在新法律法規不斷頒布的同時，可以通過配置調整予以應對。

數據安全技術的運用，應做到精準化管控，“一桿子”的方式不利于數據活動的發展和數據價值發揮，精準化管控可基于分類分級進行設計。

2.排查與整改類
排查與整改類主要包括合理性、業務完善、數據跨境三個方面。該類的工作主要是排查自身業務是否存在違法違規的情況，主要應對手段是業務的整改和應用功能的整改。

通過數據資產自動發現技術能夠快速、準確的輔助排查出合規風險點，節省大量的人力投入。整改工作完成后，還可以通過數據資產發現技術對數據的使用和變化情況進行實時監控，及時發現違規情況，降低違規風險。

合理性主要是指數據的采集應遵循最小夠用原則，并在國家或行業規定的范圍內開展數據活動，在開展數據活動前應當告知數據主體，并得到其授權，并嚴格按照約定管理數據，保障數據主體的合法權益。

3.管理完善類
切實可行的管理制度是保障數據安全的基礎和依據，《數安法》中所提到的管理要求可歸納為管理制度、數據交易管理、數據認責、重要數據目錄和分類分級五項。

管理制度可以基于數據活動進行制定，考慮事前、事中、事后三個維度，明確角色和義務，落實到人。

數據認責可以通過數據的擁有量、訪問量、新增量、更新量等維度作為依據進行劃分，認責的同時還要建設相應的自動化管理工具，輔助數據責任人管理數據。

數據交易管理首先要明確當前業務下所有數據的來源是否合法，大體可分為自采集和外購兩類。外購類則應留存來源的相關證明材料。如果是從事數據交易的機構，則需要對買賣雙方的身份進行驗證，并在協議中說明數據用途、使用時長、使用形式等內容。

重要數據目錄和分類分級是實現數據安全精準防護的基礎和目標，因此，需要在數據安全技術建設前開展。為達到數據安全防護的最佳效果，重要數據目錄的建立和分類分級應遵循全面性、合理性、明確性原則。

4.機制建設類
常態化數據安全管控需要相關的機制作為保障，包括安全培訓機制、安全補救機制、應急處置機制和風險評估機制四類。
數據安全培訓的目的是加強企業內部人員的意識，提升技術人員的技能水平，從而實現整體的數據安全防護水平提升。培訓工作要有計劃、有目的、有考核的開展，方可保證培訓效果。

安全補救和應急處置是應對安全漏洞和安全事件的預案，應定期開展演練工作，確保真正發生時能快速應對，必要時可以聘請相關機構和專家共同開展。

對于重要數據的處理，應定期開展風險評估工作，確保數據處理是在可信、可靠的環境下開展，對于潛在的風險能夠盡早發現、盡早防范。

四、企業數據安全治理的5個步驟
1.數據安全治理評估
首先從業務視角出發，對業務應用的現狀、使用情況進行調研、分析，確定業務的關聯關系 、訪問的關鍵路徑、數據的流向及演變過程，結合對基礎安全管控措施的分析，找出主要業務所面臨的管理、技術及運營風險。

其次，集合多個業務系統的調研結果，找出系統間的共性問題，為制定業務的數據安全管理規范提供第一手的參考依據。針對業務各系統及數據資產全面開展評估梳理工作，形成《數據資產清單》，明確相關平臺各系統的輸入輸出，數據所在位置及其處理、共享、交換等使用過程中數據重要度等內容。

最后，基于業務場景梳理數據操作過程中的主體（人、用戶、賬號）、客戶（數據）、過程（操作的時域、地域、權限、結果等）屬性；以角色控制為視角，明確被審計用戶（賬號）的類型、角色，包括應用程序所有者（業務賬號）、應用程序終端用戶（業務終端）、數據管理賬號（數據庫管理員）等；建立符合業務最小夠用的安全策略模型。

2.數據安全組織架構建設
數據安全管理是一項需要多方聯動型的復合型工作，在開展組織架構建設時，需要考慮組織層面實體的管理團隊及執行團隊，同時也要考慮虛擬的聯動小組，所有部門均需要參與安全建設當中。同時，需要根據部門職責建立不同的數據安全角色以滿足數據安全建設的需求。

3.數據安全管理制度建設
數據安全保障體系的規范一般從業務數據安全需求、數據安全風險控制需要及法律法規合規性要求等幾個方面進行梳理，最終確定數據安全防護的目標、管理策略及具體的標準、規范、程序等。

一般情況下，數據安全管理規體系文件可分為四個層面：
（1）一級文件是由決策層確定管理要求、目標及基本原則；
（2）二級文件是由管理層根據一級管理要求制定通用的管理辦法、制度及標準。二級文件作為上層的管理要求，應具備科學性、合理性、完善性及普遍的適用性；
（3）三級文件一般由管理層、執行層根據二級管理辦法確定各業務、各環節的具體操作指南、規范；
（4）四級文件屬于輔助文件，一般包括操作程序、工作計劃、資產清單、過程記錄等過程性文檔。四級文件是對上層管理要求的細化解讀，用于指導具體業務場景的具體工作。

4.數據安全技術保護體系建設
不同安全級別的數據，可參照數據生命周期的原則進行數據安全應用執行。具體保護要求及措施，可參照國家相關法律、法規、標準及自身的數據安全相關管理制度、規范、標準執行。

5.數據安全運營管控建設
數據安全保障體系因其業務的持續性，需要進行長期性服務，建立完善的數據安全運營團隊是必然選擇。數據安全運營主要包括以下內容：

（1）數據安全運維：主要是數據安全措施的使用、運維，駐場或定期對數據安全產品的使用情況進行分析，并結合管理要求，持續進行管控措施策略和配置的優化，并定期輸出數據安全運維報告和策略優化建議等；

（2）應急預案與演練：按照相關要求，制定數據安全事件應急預案。并按照制定的應急規劃，按照安全事件的危害程度、影響范圍等對安全事件建分級，定期進行應急預案演練；

（3）監測預警：圍繞數據安全目標，依據相關安全標準，建立數據安全監測預警和安全事件通報制度，收集分析數據安全信息，對安全風險及時上報，包括按需發布數據安全監測預警信息等；

（4）應急處置：相關方按照應急預案，在發生安全事件時，采取應急處置措施，向主管部門上報重大安全事件，定期對應急預案和處置流程優化完善；

（5）災難恢復：在數據安全事件發生后，根據安全事件的影響和優先級，采取合適的恢復措施，確保信息系統業務流程按照規劃目標恢復。

五、注意事項
1.數據安全法里強調堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展，核心是發展，不發展才是最大的不安全；

2.在數據安全建設過程中，數據存儲和傳輸安全是容易做的，但剩下的數據采集、使用、交換、銷毀環節卻是數據安全最核心、最難做的痛點；

3.數據安全必須要緊密結合業務，一旦跟業務脫離，數據安全將無法落到實處。除此以外，業務層面數據的重要程度如何去判定，如何去做分類分級也是一個難點；

4.企業要盡快去學習法律，調整自身的行為，建立數據安全治理的體系來適應潮流，誰適應的快、誰的經營風險就低、未來競爭力就更高。

六、小結
當前，數據安全已成為數字經濟時代最緊迫和最基礎的安全問題，加強數據安全治理已成為維護國家安全和國家競爭力的戰略需要。

近幾年來，數據安全保護相關法律框架的落地或頒布，為數據安全保障提供了制度和法律支撐。

企業通過有效的數據安全能力的建設，不僅可以對自身的敏感數據進行有效的防護，同時促進企業數據的共享，擴大數據資源的交互能力，從而存進企業的數據的進一步的分析與挖掘，大大的增加其在市場洪流中的競爭優勢。