1.数据安全治理概念

Gartner 2017年首次提出“数据安全治理”的概念，国内外安全厂商、安全服务商对“数据安全治理”这一概念及其建设方案都有不同的诠释，但一直都没有给出一个标准化的公认定义。一般认为“数据安全治理”应该包含三个要素：数据价值最大化、数据安全保障、数据治理措施。

数据价值最大化，让数据数据流动起来，和土地、劳动力、资本、技术一样产生价值。所有围绕数据及业务所做的安全、运维措施都不应该违背这个原则，数据价值最大化应该是整个数据安全治理过程的中心。

数据安全保障，主要指的是数据的防泄漏、防丢失、完整性及不可抵赖性等，这是数据安全治理的目标。我们为政企单位所做的几乎所有安全措施规范都是服务于数据安全和业务可用两个目的。

数据治理措施，通过技术手段、管理规范、部门协作等方式找到数据价值最大化与数据安全的平衡点。数据治理应该在满足国家相关网络安全法规的框架下，为加快数据价值的挖掘、加快数据生产要素化保驾护航。

国家及行业多次出台政策规范、标准要求企业切实保证数据安全，同时国家将数据作为生产要素写入中央文件。数据安全治理需要解决企业想共享数据但又不敢共享的问题，在保障数据安全的前提下做到数据价值最大化。

 2.早期的数据安全治理特点

严格来说，早期并没有真正的数据安全治理，应该叫做 “数据安全措施”，其目的只是在保障业务正常运转的前提下保障数据不丢失、不泄露即可，如文档透明加解密、数据备份、数据权限管控等措施，根本不会或者很少去考虑数据价值的挖掘问题。究其原因主要是涉及到责任承担及时代的局限性。

1. 国家早期出台的几乎所有的法律规范、行业标准及地方标准等都是在强调数据的安全性及相关处罚措施，极少提及“数据价值的挖掘”，即使提了，也只是作为指导性意见或者作为未来规划提出。也就是说，数据出现了泄露或者丢失后，主体责任人会被追责处罚，但是并没有规范提出数据价值挖掘进展缓慢的处罚措施。出于人趋利避害的本能，单位肯定会将数据安全治理的平衡点更多的倾向于数据安全。

2. 数据量规模及信息化建设也并未达到数据价值挖掘的基础条件。如网络孤岛问题造成数据无法共享、数据规模并未足够大、社会整体信息化能力不足等。随着时间推移，上述的基础条件已经在逐步完善。典型的现实例子如公安天网工程的建设及社会资源接入公安天网工程为办案民警从视频监控中挖掘办案线索提供了视频数据资源。

3.网络安全能力水平的提升及数据爆发为数据价值挖掘提供了基础

国家及社会网络安全能力的提升为数据价值挖掘提供了基础保障。做数据价值挖掘的的首要任务就是保证数据本身的安全，没有安全保障的数据价值挖掘是“无本之木”，如同国家领导人出访为国民谋福利首先保障的就是人身安全。1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护，2007年7月20日信息安全等级保护制度正式开始实施。2007年至今，17年的时间，网络安全已经深入到了几乎每个重点企业尤其是政法、央企单位的骨子里面，整个社会的网络安全意识也提升到了前所未有的高度。有效的数据安全能力可以在技术上解决企业想使用数据共享“生钱或产生社会效益”，但又不敢共享的矛盾问题。

数字经济爆发为数据价值挖掘提供了资源。从2012年到2022年，我国数字经济规模从11万亿元增长到50.2万亿元，总量稳居世界第二，数字经济占国内生产总值比重由21.6%提升至41.5%。2023年5月23日，国家互联网信息办公室发布《数字中国发展报告（2022年）》显示，2022年我国数据产量达8.1ZB（如果按照平均一台电脑存储容量1TB计算，这相当于81亿台电脑的存储量），同比增长22.7%，全球占比达10.5%，位居世界第二。守着这么一座巨大的“数字山”，我们需要数字发挥最大的价值，如医疗临床数据如果可以共享给药企，将会为新型药品的研发带来巨大利好。对于数据价值挖掘我们最深的体验应该是疫情期间，移动设备通讯数据的价值化为疫情防控起到了关键性作用。

4.数据安全治理落地框架

数据安全治理应服务于公司治理战略规划

数据安全治理（或数据经济）总体应该服务于公司治理的战略规划，这一点放在国家级层面同样适用。就国家层面，数字经济规模占据了国家GDP极大的一部分比例，数字经济的增幅将对国家GDP造成举足轻重的影响。2020年4月9日， 中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，提出土地、劳动力、 资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中，将极大的加快数据转换为GDP的速度。

就企事业单位而言，并非所有单位都适用数据安全治理概念。如字节跳动、滴滴、高德、京东、医疗、政务等亟需数据安全治理等，其数据拥有的共同特点包括数据量大、来源范围广、可以创造经济价值或社会价值。法律规范强制该类企业数据合规，基于自身利益考虑企事业单位也需要做到数据价值最大化。一般的中小企业，其数据范围小、数据量小，不需要收到国家法律规范的强制性合规要求，数据价值也仅限于满足企业自身正常运转，该类企业目前只需要做到基本的数据安全，保证自身利益即可。

1. 建立数据安全治理委员会

建立专业的数据安全治理委员会（或其他类似机构）是执行数据安全治理的第一步，也是最关键的一步，它决定着整个数据治理流程是否合规、是否符合公司治理战略规划、是否能够贯彻落实。数据安全治理涉及到公司治理战略符合性、企业业务运转、法律合规、数据使用监管、规范制度制定等，涉及范围极广。委员会人员应包括公司高层、法律、业务、财务、IT、安全专家、数据使用者、数据维护者及数据分发者等，便于在讨论规划策略、规章制度制定时能够尽可能的合规、满足企业业务需要、服务于公司治理的战略规划。委员会中的高层人员的职务应当足够高，有权利协调下属所有相关责任人，以便委员会的相关决策能够得到充分落实。委员会的主要职责是对公司的数据安全及数据价值最大化提供最优的决策支撑，并完成公司相关制度制定及审核工作，保障相关决定能够有效的落地执行。

2. 数据安全治理—盘家底

“盘家底”，是落实企业数据分布、数据存储及数据敏感性的操作，可以为后面的数据治理措施提供目标依据。通过对数据的收集、分析得到企业数据资产清单，形成数据资产地图。数据分类分级是完成数据资产收集后的进一步操作，其目的是数据来源、属性、业务部门等对数据进行分类，明确各项数据责任主体。依据数据重要程度、敏感度、及相关法规标准进行不同的安全级别定义，做到数据保护“有理有据”。

除国家级相关数据分类分级指南外，医疗行业、金融行业及能源行业等均已发布适合本行业的数据分类分级指引标准。金融行业的特殊性使得其网络安全建设始终走在各行业前列，如工商银行在2020年便启动了资产管理项目建设，参考人民银行《金融数据安全分级指南》完成数据资产目录的建设、资产属性的编制及相关责任人的制定等。

5.数据安全治理—做防护

数据安全治理的安全防护措施应当在安全和数据价值最大化之间找到一个平衡点，不应该为了安全而放弃数据价值最大化，更不可为了数据价值最大化而放弃安全。单纯保障数据安全很简单，让数据“静止”即可保证安全，如同保障国家领导人24小时待在官邸一样安全，但是这也就失去了数据本身的价值意义。数据安全治理的难点就在于既要安全又要“抛头露面”，十分考验企业管理者的魄力。

数据的安全防护体系建设涵盖了数据的产生、传输、存储、使用、销毁整个生命流程，数据生命周期的每个阶段都会面临着数据的丢失、泄露的风险，目前在数据生命周期的每个阶段都有着比较成熟的安全解决方案。数据安全基本的技术解决思路便是监测、密码技术及备份技术等。

数据安全监测。使用专业的网络安全监测，对数据的安全态势进行感知，如企业数据库是否存在被攻击的可能性，数据中心防火墙配置是否存在安全漏洞等。

密码技术。主要用了保证数据的机密性、完整性及不可抵赖性等。

备份技术。主要防止人为或者自然灾害造成的数据丢失问题，能够快速的完成数据的恢复工作。

6.数据安全治理--用

不谈数据价值最大化只谈数据安全的数据安全治理就是在耍流氓，保障数据安全很简单，保持数据静止或者数据仅用作支撑本公司业务运作即可。随着数据作为生产要素被写入中央文件，我们的追求的是数据价值的最大化，即“数据生钱，数据产生社会效益”。

数据交易是较为典型的数据价值最大化场景之一，如医院将临床数据“移交”给药企进行药效分析作为新药研发的参考依据，在药企对临床数据进行分析时又无法获得患者身份信息等敏感且不必要的数据。此种方式做到了医院、药企、社会的三赢效果。数据交易所涉及到的技术也相对复杂一些，包括联邦学习、隐私计算、多方安全计算等技术。

7.恪守法律红线

法律是我们所有行为的底线，“法有禁止不可为”应该成为每个公民、 企业的行为准则。围绕数据安全、个人隐私及促进数据安全价值最大化，国家、部分行业出台了大量的法规及标准规范。除了对法规的遵守外，行业标准也应成为企业落实数据安全治理的重要标准依据。

8.部分数据产品技术

单纯的数据安全防护手段起步较早，数据安全产品相对较为成熟，随着信息化进程的加快，相对新的数据安全防护手段也在不断的出现，如API接口监测与管理。本文列举了部分常见的数据安全防护产品，下列产品中有可能有的安全厂商、服务商对于产品的名字叫法不一致。