7月21日下午，國家互聯網信息辦公室公布對滴滴全球股份有限公司罰款80.26億元人民幣。這是自2017年《網絡安全法》《數據安全法》及《個人信息保護法》生效以來，監管處罰力度最大的一次。從此次處罰可以看出，網絡安全、數據安全領域的執法力度越來越大，互聯網企業面臨較大的數據安全壓力。基于該背景，王瑞從企業安全視角出發，體系性介紹了數據安全治理，并結合具體案例探討了互聯網企業的數據合規實踐。

01相關法律法規和標準指南總覽

數據安全治理在于研究企業合法安全地使用數據的方式。其要點包括：首先，使用數據要合法。企業需要了解其在中國境內經營和開展的業務在數據安全方面需要滿足哪些法律法規的要求。其次，要確保數據能夠安全使用。企業需要知道其產品或業務到底涉及哪些數據？數據在企業之間如何分布？數據在哪些場景下會被使用？哪些人會使用數據？企業針對數據的使用場景以及接觸對象，怎么進行相關的安全保護？從目前開展的一系列針對互聯網數據安全的工作來看，整個互聯網行業面臨的監管要求非常復雜。

國家立法層面：有《網絡安全法》《數據安全法》《個人信息保護法》三大法律?！毒W絡數據安全管理條例》則已被列入國務院2022年立法工作計劃，由網信辦牽頭做相關標準的細化和落地。

區域辦法方面：各個地區相繼出臺了數據條例或數據合規指引，各地通信管理局也正在開展2022年度互聯網企業數據安全檢查。

標準指南方面：各行業按需出臺行業標準以及相關的數據安全規范。

在數據運用越來越普遍的當下，我國數據安全治理凸顯“自頂向下”模式：國家推動各項法律出臺，保障數據安全有法可依；區域、行業依托實際需求，指導企業規范數據治理體系；各服務企業則撰寫實踐指南，協助落實數據安全治理工作，共同促進數據開發利用。

面對如此紛繁復雜的監管要求、技術標準和頻繁的檢查，企業在數據安全上需要開展一系列工作。

02數據安全治理全景視圖

從2022年互聯網數據安全檢查工作的監管目標可以看出，監管機構希望能夠以查促建、以查促改、以查促管、以查促防。這也證明監管機構的監管決心非常堅定，希望企業能夠持續落實數據安全、個人信息保護方面的義務。

數據安全治理旨在保障企業數據安全合規底線、提高數據風險管理，確保數據的充分開發利用，從而實現業務和安全的平衡。數據安全治理包括四個方面：規劃(Plan)?、建設(Do)、運營(Operation)和評估(Assessment)?。

規劃：該階段企業需要對自己目前的整體現狀以及需要滿足的法律法規等做一個需求分析，根據分析結果制定方案，規劃組織架構、制度流程、技術工具、人員能力。

建設：進入建設階段，開始進行組織架構體系、制度流程體系、技術工具體系以及人員能力體系建設。在制度流程體系建設上，需要搭建相關管理規則和操作方式方法；在技術工具體系建設上，需要一系列工具配合數據安全工作的開展；在人員能力體系建設上，需要配備足夠的人員去執行數據安全工作。

運營：該階段需要持續建立自動化、動態化的風險防范（如策略制定、基線掃描、風險評估）、監控預警（如態勢監控、日常審計、專項審計）以及應急管理（如應急處置、復盤整改、宣貫宣導）機制。

評估：評估和持續改進階段包括內部評估（評估自查、應急演練、對抗模擬）和第三方評估（數據安全治理能力評估）。

數據安全治理體系框架：

數據安全治理需要通過體系建設框架去分層執行，結合安永以往的服務經驗，數據安全治理體系框架包括數據安全治理、數據安全管控、數據安全技術支撐、數據安全基礎保障這四部分。從上到下的治理框架體系清楚地闡述了治理體系下不同的建設層次及每一層所涉及的領域內容，從而指導實踐落地。

整個數據安全治理都是圍繞著數據生命周期開展的。數據安全治理最基本的工作是數據安全基礎保障，包括數據安全人才隊伍的建設、數據安全文化建設、監督考評機制、內外部合作。在此基礎上，需要明確企業的數據安全策略（包括數據安全政策，目標、方針和原則，數據安全制度體系）。同時，安排相應的組織和人員履行數據安全職責，并進行數據安全管控，配備數據安全技術支撐手段。

03數據安全治理能力

在具體進行相關落地和實施時，有的企業會問：互聯網企業業務變化快，人員、產品的流動大，到底需要做哪些事情？自身數據安全的成熟度或能力如何？如何評估哪些能力需要加強？

基于數據安全治理體系框架，結合中國互聯網協會頒布的T/ISC-0011-2021《數據安全治理能力評估方法》，企業可從數據安全戰略、數據生命周期安全、基礎安全3個領域，數據安全規劃、機構人員管理、采集安全、存儲安全、使用安全、傳輸安全、銷毀安全、開放共享、平臺系統安全管理、備分與恢復、合作方管理、數據分類分級、安全事件應急、權限管理、監控審計、合規管理16個能力項入手進行數據安全治理能力建設。

1. 數據安全戰略

“數據安全戰略”建設需從“數據安全規劃”及“機構人員管理”兩個方面考慮。

（1）數據安全規劃。規劃奠定了企業管理層的態度。從數據安全目標出發，數據安全規劃可以通過設計制度流程實現，過程中加以技術工具輔助。制度流程的設計需要考慮到數據安全制度與規程的評估、數據安全治理能力提升計劃的制定和數據安全戰略規劃的總體評估；技術工具可以采用動態調整機制及配套系統。

（2）機構人員管理。為了完成規劃的目標，需要配備相對合理的人員，覆蓋到組織建設、數據安全等各個業務部門，把控好最開始產生和收集數據的環節。為此，可以建立負責內部數據安全工作的部門和崗位，并與人力資源管理部門聯動，防范機構人員管理過程中存在的數據安全風險。具體而言，機構人員管理包括組織建設、制度流程、技術工具、人員能力等方面。組織建設方面，要依照職責分離設置數據安全崗位職責、數據安全管理部門應覆蓋各業務部門；制度流程方面，要量化評估技能培訓及考核結果、確認安全需求能否在業務中推廣；技術工具方面，要配置數據安全意識客觀評價工具；人員能力方面，要有數據安全保護意識，整理反饋技能培訓及考核情況，不管是專職數據安全崗位人員還是公司的一些業務部門的員工，都需要有相關的數據安全保護意識，并針對不同崗位員工的數據安全意識和能力設置不同的考核或要求標準。

2.???數據生命周期安全

“數據生命周期安全”致力于幫助企業提升數據從采集、存儲到銷毀的全生命周期各個階段安全能力，也強調共享、備份以及承載數據的平臺系統的安全管理。

企業在開展數據生命周期管理時，需要重點關注以下三方面要點：

數據采集是數據生命周期安全最主要方面。滴滴公司此前就存在數據違法采集、超范圍采集、超出必要性采集、采集時未充分告知用戶、采集與產品服務本身功能不相關的數據等非常多數據采集問題，因此被通報處罰。

在存儲安全方面，需要制定一系列的標準和措施。對滴滴的處罰通報中稱，有5,000萬條司機的身份證號被明文存儲在數據庫中。這對企業有一定借鑒意義，因為如果數據是明文存儲，一旦被泄露或被外部監管機構發現屬于違法，就需要接受相關處罰。

在開放共享方面，互聯網企業的數據高度匯聚并被頻繁使用，跟外部第三方有頻繁的數據交互，那么怎么確保數據在使用和交互共享過程中安全可控？企業可以從以下問題入手解決：分析或梳理有哪些業務場景？什么類型的數據被分享？分享給哪些外部第三方？基于什么樣的應用目的？外部第三方怎么使用數據？一旦發生安全事件，雙方權利義務怎樣劃分？

3.基礎安全

“基礎安全”是數據治理工作的基礎保障，體現了企業針對數據安全管理最基礎的能力。其涵蓋范圍廣泛，包括“數據分類分級”、“權限管理”、“合作方管理”?等6個方面。

（1）數據分類分級

數據資產梳理

數據分類分級

差異化技術保障措施

數據分類分級是很多企業做數據安全工作時首要開展的工作。企業需要知道自己目前有哪些數據？這些數據如何分布？這些數據中是否有敏感數據或涉及到國家安全的重要數據？針對于不同類型不同級別的數據，設置不同的管控措施。

（2）權限管理

數據訪問權限管理要求

數據處理活動平臺系統賬號管理及權限管控

業務支撐系統訪問

權限管理是互聯網企業管理的痛難點。互聯網企業系統很多，有很多大的數據倉庫、數據湖。那么應怎么管理好數據權限？之前，很多企業都專注于按照系統功能進行權限劃分。但是現在按照系統功能劃分權限將無法滿足數據管理要求，企業需要按照崗位職責落實相關的數據權限。

（3）監控審計

日志留存管理

日志操作權限控制

安全審計制度、規范及報告要求管理

監控審計包括根據核心關鍵崗位人員的行為制定監控或審計策略，從而確保數據在使用過程中未被濫用。

（4）安全事件應急

應急響應制度管理

應急響應預案、演練及處置

舉報投訴渠道公開及舉報投訴處理

一旦發生數據泄露或數據濫用，要有配套的應急響應機制加以應對。

（5）合規管理

量化風險和需求分析工作

風險和需求分析持續優化開展機制

合規性評估及工作評審機制

合規管理目前也是重中之重。我國在數據安全方面以監管為主要導向，因此合規的價值就體現出來。數據合規部門要隨時的、持續性的跟進監管要求、監管的執法力度、監管的重點關注事項等，從而協助企業在滿足監管要求的基礎上，持續保證業務合規安全的開展。

（6）合作方管理

安全風險動態跟蹤、量化考核及監 督管理

數據安全保護責任約束

人員賬號、接入系統及物理環境管理

04數據安全治理實施路線

數據安全治理實施路線包括三個階段。各階段的階段特點、階段目標各不相同。

基礎階段：在該階段，數據安全組織和人員管理能力不成熟，技術能力建設不完善;數據分類分級顆粒度較粗。這一階段處于被動梳理階段，即基礎調研階段。因此，需要做一些較為基礎的工作，包括研判和分析企業需要滿足的數據安全法律法規以及標準的適用性。同時，對企業現有的數據情況進行摸排，建立數據分類分級標準及管控要求。在摸排的基礎上進行數據安全風險及成熟度評估，并進行數據安全建設規劃。

優化階段：相對主動管理的階段，該階段是策略優化及能力提升建設階段。在這一階段，配合企業的數據情況或能力情況，采取權限責任細化、加密、脫敏、日志審計、防泄漏等措施。同時，利用管理手段和技術手段，開展對數據安全特征庫、關于日常數據使用行為的行為特征庫、關于數據安全或數據泄露風險的風險特征庫、關于圍繞數據生命周期管控策略的策略特征庫的積累和沉淀。在這一階段還會進行數據安全事件應急管理及運維以及整體的數據安全意識及技能培訓，培養數據安全組織能力，形成數據安全管控機制，部署數據風控及保護措施。

運營階段：該階段企業進行日常的運營，以數據安全運營風險管控為階段目標。階段任務包括策略中心、事件監測、風險分析以及數據安全的常態化監測和管控。在該階段，要形成成熟的數據安全組織管理機制，良好的數據安全發展戰略，使數據安全平臺實現平臺化、自動化。

05某互聯網企業數據安全治理案例分享

王瑞介紹到，通過對企業業務及相關管理現狀調研，洞悉數據合規要求和動態，識別風險和差距，結合管控需求規劃數據安全建設藍圖，才能真正助力構建體系化、智能化的數據安全機制以及運營模式。

以某互聯網企業為例，該公司通過APP開展業務，目前用戶體量為海量級，其中還包含一些海外用戶。APP涵蓋的功能較多，如社交、電商、短視頻、金融支付等等，導致其收集的數據非常復雜，然而企業卻沒有專職的團隊去做數據安全或數據合規這件事。國家出臺《數據安全法》《個人信息保護法》后，提出各種各樣的要求，企業現在如何滿足這些法律要求？是不是已有涉嫌違規的隱患？

解決路徑：

可以通過以下三個階段幫助企業解決相關問題并回答管理層問題，幫企業做好數據安全治理的基礎性工作。

1.數據安全現狀調研

根據公司業務和數據處理場景，識別敏感數據分布、潛在數據安全風險點和管控現狀，快速定位潛在的數據安全風險。

通過現狀調研，摸排企業目前產品、業務的情況以及數據情況。根據產品和業務情況做數據安全合規要求適用性分析以及數據合規控制矩陣搭建，與業務團隊和IT團隊圍繞企業的產品進行數據資產的全面盤點。在盤點過程中，圍繞數據生命周期梳理出使用場景。在這一環節，幫企業識別出重要和敏感數據，并幫企業進行數據分類分級，在此基礎上基于現狀進行數據安全風險識別。

2.數據安全評估規劃

在全盤調研的基礎上，評估數據安全治理差距，分析現有數據安全成熟度，并基于結果進行藍圖規劃，拆解出未來三年建設路徑，包括引入配套工具、優化流程以及未來開展各個步驟之間的相互關系。

3.數據安全優化建議

基于已有數據安全體系，優化數據安全運營機制，提供數據安全配套技術加固方案建議。在日常運營機制上，搭建數據識別、數據分類分級操作指南，以及數據生命周期的使用規范；在技術工具上，基于現有的系統情況、網絡架構、運營模式等引入一些技術加固方案建議，并引進安全工具。

近期文章精選 美國參議院委員會批準更新《兒童和青少年在線隱私保護法》和《兒童在線安全法》 甲骨文、亞馬遜等4家公司面臨美國立法者審查，有關位置數據政策 首份英美數據訪問協議（DAA）于10月3日生效，提供及時的跨境數據訪問權限。