数据安全治理及互联网企业实践介绍

7月21日下午，国家互联网信息办公室公布对滴滴全球股份有限公司罚款80.26亿元人民币。这是自2017年《网络安全法》《数据安全法》及《个人信息保护法》生效以来，监管处罚力度最大的一次。从此次处罚可以看出，网络安全、数据安全领域的执法力度越来越大，互联网企业面临较大的数据安全压力。基于该背景，王瑞从企业安全视角出发，体系性介绍了数据安全治理，并结合具体案例探讨了互联网企业的数据合规实践。

01相关法律法规和标准指南总览

数据安全治理在于研究企业合法安全地使用数据的方式。其要点包括：首先，使用数据要合法。企业需要了解其在中国境内经营和开展的业务在数据安全方面需要满足哪些法律法规的要求。其次，要确保数据能够安全使用。企业需要知道其产品或业务到底涉及哪些数据？数据在企业之间如何分布？数据在哪些场景下会被使用？哪些人会使用数据？企业针对数据的使用场景以及接触对象，怎么进行相关的安全保护？从目前开展的一系列针对互联网数据安全的工作来看，整个互联网行业面临的监管要求非常复杂。

国家立法层面：有《网络安全法》《数据安全法》《个人信息保护法》三大法律。《网络数据安全管理条例》则已被列入国务院2022年立法工作计划，由网信办牵头做相关标准的细化和落地。

区域办法方面：各个地区相继出台了数据条例或数据合规指引，各地通信管理局也正在开展2022年度互联网企业数据安全检查。

标准指南方面：各行业按需出台行业标准以及相关的数据安全规范。

在数据运用越来越普遍的当下，我国数据安全治理凸显“自顶向下”模式：国家推动各项法律出台，保障数据安全有法可依；区域、行业依托实际需求，指导企业规范数据治理体系；各服务企业则撰写实践指南，协助落实数据安全治理工作，共同促进数据开发利用。

面对如此纷繁复杂的监管要求、技术标准和频繁的检查，企业在数据安全上需要开展一系列工作。

02数据安全治理全景视图

从2022年互联网数据安全检查工作的监管目标可以看出，监管机构希望能够以查促建、以查促改、以查促管、以查促防。这也证明监管机构的监管决心非常坚定，希望企业能够持续落实数据安全、个人信息保护方面的义务。

数据安全治理旨在保障企业数据安全合规底线、提高数据风险管理，确保数据的充分开发利用，从而实现业务和安全的平衡。数据安全治理包括四个方面：规划(Plan) 、建设(Do)、运营(Operation)和评估(Assessment) 。

规划：该阶段企业需要对自己目前的整体现状以及需要满足的法律法规等做一个需求分析，根据分析结果制定方案，规划组织架构、制度流程、技术工具、人员能力。

建设：进入建设阶段，开始进行组织架构体系、制度流程体系、技术工具体系以及人员能力体系建设。在制度流程体系建设上，需要搭建相关管理规则和操作方式方法；在技术工具体系建设上，需要一系列工具配合数据安全工作的开展；在人员能力体系建设上，需要配备足够的人员去执行数据安全工作。

运营：该阶段需要持续建立自动化、动态化的风险防范（如策略制定、基线扫描、风险评估）、监控预警（如态势监控、日常审计、专项审计）以及应急管理（如应急处置、复盘整改、宣贯宣导）机制。

评估：评估和持续改进阶段包括内部评估（评估自查、应急演练、对抗模拟）和第三方评估（数据安全治理能力评估）。

数据安全治理体系框架：

数据安全治理需要通过体系建设框架去分层执行，结合安永以往的服务经验，数据安全治理体系框架包括数据安全治理、数据安全管控、数据安全技术支撑、数据安全基础保障这四部分。从上到下的治理框架体系清楚地阐述了治理体系下不同的建设层次及每一层所涉及的领域内容，从而指导实践落地。

整个数据安全治理都是围绕着数据生命周期开展的。数据安全治理最基本的工作是数据安全基础保障，包括数据安全人才队伍的建设、数据安全文化建设、监督考评机制、内外部合作。在此基础上，需要明确企业的数据安全策略（包括数据安全政策，目标、方针和原则，数据安全制度体系）。同时，安排相应的组织和人员履行数据安全职责，并进行数据安全管控，配备数据安全技术支撑手段。

03数据安全治理能力

在具体进行相关落地和实施时，有的企业会问：互联网企业业务变化快，人员、产品的流动大，到底需要做哪些事情？自身数据安全的成熟度或能力如何？如何评估哪些能力需要加强？

基于数据安全治理体系框架，结合中国互联网协会颁布的T/ISC-0011-2021《数据安全治理能力评估方法》，企业可从数据安全战略、数据生命周期安全、基础安全3个领域，数据安全规划、机构人员管理、采集安全、存储安全、使用安全、传输安全、销毁安全、开放共享、平台系统安全管理、备分与恢复、合作方管理、数据分类分级、安全事件应急、权限管理、监控审计、合规管理16个能力项入手进行数据安全治理能力建设。

1. 数据安全战略

“数据安全战略”建设需从“数据安全规划”及“机构人员管理”两个方面考虑。

（1）数据安全规划。规划奠定了企业管理层的态度。从数据安全目标出发，数据安全规划可以通过设计制度流程实现，过程中加以技术工具辅助。制度流程的设计需要考虑到数据安全制度与规程的评估、数据安全治理能力提升计划的制定和数据安全战略规划的总体评估；技术工具可以采用动态调整机制及配套系统。

（2）机构人员管理。为了完成规划的目标，需要配备相对合理的人员，覆盖到组织建设、数据安全等各个业务部门，把控好最开始产生和收集数据的环节。为此，可以建立负责内部数据安全工作的部门和岗位，并与人力资源管理部门联动，防范机构人员管理过程中存在的数据安全风险。具体而言，机构人员管理包括组织建设、制度流程、技术工具、人员能力等方面。组织建设方面，要依照职责分离设置数据安全岗位职责、数据安全管理部门应覆盖各业务部门；制度流程方面，要量化评估技能培训及考核结果、确认安全需求能否在业务中推广；技术工具方面，要配置数据安全意识客观评价工具；人员能力方面，要有数据安全保护意识，整理反馈技能培训及考核情况，不管是专职数据安全岗位人员还是公司的一些业务部门的员工，都需要有相关的数据安全保护意识，并针对不同岗位员工的数据安全意识和能力设置不同的考核或要求标准。

2.   数据生命周期安全

“数据生命周期安全”致力于帮助企业提升数据从采集、存储到销毁的全生命周期各个阶段安全能力，也强调共享、备份以及承载数据的平台系统的安全管理。

企业在开展数据生命周期管理时，需要重点关注以下三方面要点：

数据采集是数据生命周期安全最主要方面。滴滴公司此前就存在数据违法采集、超范围采集、超出必要性采集、采集时未充分告知用户、采集与产品服务本身功能不相关的数据等非常多数据采集问题，因此被通报处罚。

在存储安全方面，需要制定一系列的标准和措施。对滴滴的处罚通报中称，有5,000万条司机的身份证号被明文存储在数据库中。这对企业有一定借鉴意义，因为如果数据是明文存储，一旦被泄露或被外部监管机构发现属于违法，就需要接受相关处罚。

在开放共享方面，互联网企业的数据高度汇聚并被频繁使用，跟外部第三方有频繁的数据交互，那么怎么确保数据在使用和交互共享过程中安全可控？企业可以从以下问题入手解决：分析或梳理有哪些业务场景？什么类型的数据被分享？分享给哪些外部第三方？基于什么样的应用目的？外部第三方怎么使用数据？一旦发生安全事件，双方权利义务怎样划分？

3.基础安全

“基础安全”是数据治理工作的基础保障，体现了企业针对数据安全管理最基础的能力。其涵盖范围广泛，包括“数据分类分级”、“权限管理”、“合作方管理” 等6个方面。

（1）数据分类分级

数据资产梳理

数据分类分级

差异化技术保障措施

数据分类分级是很多企业做数据安全工作时首要开展的工作。企业需要知道自己目前有哪些数据？这些数据如何分布？这些数据中是否有敏感数据或涉及到国家安全的重要数据？针对于不同类型不同级别的数据，设置不同的管控措施。

（2）权限管理

数据访问权限管理要求

数据处理活动平台系统账号管理及权限管控

业务支撑系统访问

权限管理是互联网企业管理的痛难点。互联网企业系统很多，有很多大的数据仓库、数据湖。那么应怎么管理好数据权限？之前，很多企业都专注于按照系统功能进行权限划分。但是现在按照系统功能划分权限将无法满足数据管理要求，企业需要按照岗位职责落实相关的数据权限。

（3）监控审计

日志留存管理

日志操作权限控制

安全审计制度、规范及报告要求管理

监控审计包括根据核心关键岗位人员的行为制定监控或审计策略，从而确保数据在使用过程中未被滥用。

（4）安全事件应急

应急响应制度管理

应急响应预案、演练及处置

举报投诉渠道公开及举报投诉处理

一旦发生数据泄露或数据滥用，要有配套的应急响应机制加以应对。

（5）合规管理

量化风险和需求分析工作

风险和需求分析持续优化开展机制

合规性评估及工作评审机制

合规管理目前也是重中之重。我国在数据安全方面以监管为主要导向，因此合规的价值就体现出来。数据合规部门要随时的、持续性的跟进监管要求、监管的执法力度、监管的重点关注事项等，从而协助企业在满足监管要求的基础上，持续保证业务合规安全的开展。

（6）合作方管理

安全风险动态跟踪、量化考核及监 督管理

数据安全保护责任约束

人员账号、接入系统及物理环境管理

04数据安全治理实施路线

数据安全治理实施路线包括三个阶段。各阶段的阶段特点、阶段目标各不相同。

基础阶段：在该阶段，数据安全组织和人员管理能力不成熟，技术能力建设不完善;数据分类分级颗粒度较粗。这一阶段处于被动梳理阶段，即基础调研阶段。因此，需要做一些较为基础的工作，包括研判和分析企业需要满足的数据安全法律法规以及标准的适用性。同时，对企业现有的数据情况进行摸排，建立数据分类分级标准及管控要求。在摸排的基础上进行数据安全风险及成熟度评估，并进行数据安全建设规划。

优化阶段：相对主动管理的阶段，该阶段是策略优化及能力提升建设阶段。在这一阶段，配合企业的数据情况或能力情况，采取权限责任细化、加密、脱敏、日志审计、防泄漏等措施。同时，利用管理手段和技术手段，开展对数据安全特征库、关于日常数据使用行为的行为特征库、关于数据安全或数据泄露风险的风险特征库、关于围绕数据生命周期管控策略的策略特征库的积累和沉淀。在这一阶段还会进行数据安全事件应急管理及运维以及整体的数据安全意识及技能培训，培养数据安全组织能力，形成数据安全管控机制，部署数据风控及保护措施。

运营阶段：该阶段企业进行日常的运营，以数据安全运营风险管控为阶段目标。阶段任务包括策略中心、事件监测、风险分析以及数据安全的常态化监测和管控。在该阶段，要形成成熟的数据安全组织管理机制，良好的数据安全发展战略，使数据安全平台实现平台化、自动化。

05某互联网企业数据安全治理案例分享

王瑞介绍到，通过对企业业务及相关管理现状调研，洞悉数据合规要求和动态，识别风险和差距，结合管控需求规划数据安全建设蓝图，才能真正助力构建体系化、智能化的数据安全机制以及运营模式。

以某互联网企业为例，该公司通过APP开展业务，目前用户体量为海量级，其中还包含一些海外用户。APP涵盖的功能较多，如社交、电商、短视频、金融支付等等，导致其收集的数据非常复杂，然而企业却没有专职的团队去做数据安全或数据合规这件事。国家出台《数据安全法》《个人信息保护法》后，提出各种各样的要求，企业现在如何满足这些法律要求？是不是已有涉嫌违规的隐患？

解决路径：

可以通过以下三个阶段帮助企业解决相关问题并回答管理层问题，帮企业做好数据安全治理的基础性工作。

1.数据安全现状调研

根据公司业务和数据处理场景，识别敏感数据分布、潜在数据安全风险点和管控现状，快速定位潜在的数据安全风险。

通过现状调研，摸排企业目前产品、业务的情况以及数据情况。根据产品和业务情况做数据安全合规要求适用性分析以及数据合规控制矩阵搭建，与业务团队和IT团队围绕企业的产品进行数据资产的全面盘点。在盘点过程中，围绕数据生命周期梳理出使用场景。在这一环节，帮企业识别出重要和敏感数据，并帮企业进行数据分类分级，在此基础上基于现状进行数据安全风险识别。

2.数据安全评估规划

在全盘调研的基础上，评估数据安全治理差距，分析现有数据安全成熟度，并基于结果进行蓝图规划，拆解出未来三年建设路径，包括引入配套工具、优化流程以及未来开展各个步骤之间的相互关系。

3.数据安全优化建议

基于已有数据安全体系，优化数据安全运营机制，提供数据安全配套技术加固方案建议。在日常运营机制上，搭建数据识别、数据分类分级操作指南，以及数据生命周期的使用规范；在技术工具上，基于现有的系统情况、网络架构、运营模式等引入一些技术加固方案建议，并引进安全工具。

近期文章精选 美国参议院委员会批准更新《儿童和青少年在线隐私保护法》和《儿童在线安全法》 甲骨文、亚马逊等4家公司面临美国立法者审查，有关位置数据政策 首份英美数据访问协议（DAA）于10月3日生效，提供及时的跨境数据访问权限。