从数据保护到数据流动，如今谈数据安全治理我

数据安全的重要性正在不断突显。

伴随数字化进程的发展，全球各地数据泄露和数据滥用事件频发，各国对数据安全的重视程度不断提升。在中国，类似的情况也时有发生——不论是此前已被验证的数据库安全市场，还是在近期得到广泛关注的个人隐私保护趋势，都意味着数据安全的需求正在多维展开。当然，需求的旺盛增长也促进了数据安全逐步被纳入合规市场，针对数据的安全建设也在另一更高维度促使企业方不断关注。

在近期举办的第四届中国数据安全治理高峰论坛上，关于数据安全治理的话题也吸引了不少产业人士各抒己见。

尤其，在会中的圆桌环节，公安部信息安全等级保护评估中心技术部主任任卫红、中国建设银行金融科技部信息安全管理处处长陈德锋、北京安华金和科技有限公司创始人&CEO刘晓韬、中国信息协会信息安全专业委员会主任叶红、中关村网信联盟EMCG工作组组长王克五位嘉宾，及主持人数世咨询创始人兼总经理李少鹏，就“数据安全治理实践落地的挑战”这一主题展开讨论。

从数位嘉宾的发言来看，数据安全治理的概念已经从较为传统的数据安全产品，延展到对数据分级分类治理的理念和手段，再覆盖到对保护个人隐私数据的探索中。这在政策、产业两方面均有体现。

首先在政策层面，随着2016年《网络安全法》的发布，如今《数据安全法（草案）》、《个人信息保护法（草案）》的进展也广受关注。另外在产品、技术上，围绕数据库安全的产品在不少客户内已几乎成为刚需，如今它们已经在探索多方安全计算、联邦学习等隐私计算类技术，希望在新型数据安全的技术基础上，帮助达成数据合规流通的需求。这些关于数据的动态变化也意味着，数据安全治理的内涵也在随着需求的变化而不断迭代。

36氪节选了圆桌部分内容，以下是对话部分，供读者参考：

李少鹏：当2016年我们谈数据安全治理的时候，业内很少有人提这个概念。时过四届，现在所有谈论数据安全的人都在讲数据安全治理，这也是「安华金和」帮助更好地推广了这个概念。五年过去了，数据安全治理到底现在的发展形势和落地情况是什么样的，请各位嘉宾各抒己见。

任卫红：数据安全治理方面有很多变化，我个人认为有比较重要的三个方面。

一个是我们现在所处的法律环境越来越好，2016年是《网络安全法》发布的那一年，对等保工作产生实质性的推动。《网络安全法》之后，等保、关保两项制度迟迟没有推出，但是现在有了实质性的进展，关保能够在今年颁布出来。现在又有数安法、个保法将要出来，对现在的数据治理会起到非常大的促进作用。

第二方面，数据的聚集量、应用和复杂度都在这几年得到了飞跃性的发展。复杂的应用会带给我们很多的便利，但这种应用其实也带来非常大的隐忧和风险，数据安全的形势也是不容乐观的。

第三方面，在这样的环境里，数据安全技术也在同步发展。据我了解，安标委大数据组起草了一系列大数据安全的相关标准以及数据安全的相关标准。这说明过去我们理想化对数据保护的做法，现在已经到了可以落地、可以使用的程度，也给我们数据保护提供了更多的一些手段。

但其实我感觉还是存在一些问题，比如对数据保护的评估，我们看到的一些测试和评价，都是集中在对数据治理、数据安全管理、数据安全能力的成熟度。比如有软件的成熟度模型，有工程的成熟度模型，有安全工程的成熟度模型，这些模型的使用大多数都用在服务企业，是自己服务能力的一种证明。但是很多数据处理者其实有自己行业业务的应用，在这些方面，仅仅靠数据成熟度评价的推动还是不够。

李少鹏：谈到技术，开始谈落地，没有人比用户讲更加靠谱。陈处，有请您讲一讲数据安全治理的落地。

陈德锋：借这个话题，我正好是代表金融行业，跟大家汇报一下我们在数据治理方面的一些工作。刚才任主任介绍法律法规方面，我补充一下，在人民银行带领下，金融行业出现了一系列数据安全相关的规范和标准，指导企业合法合规的使用数据，对数据治理提供一些指导。

对企业来说，从这几年来看，我们对数据安全也更加重视了，从早期简单做一些数据安全的保护，比如传统数据防泄露、数据加解密、数据库审计，这些基本的肯定都会有。根据现在最新数据治理方面的发展，大家更侧重于数据的治理，比如现在数据的分级分类，其实是个挺难做的事，因为数据太多了，但是我们可以按照这个标准推进分级分类。再一个，原来我们讲整体的网络安全，现在更侧重安全是为了保护数据，因为数据是最重要的资产。

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2021/0520/1783.html