企业数据安全合规治理的关键问题与纾解

2022-03-24 11:31
贵州社会科学 2022年10期
关键词:数据安全合规企业

何 航

(上海交通大学,上海 200030)

一、问题的提出

数字经济产业已经成为我国经济增长的核心引擎。(1)2021年《中国互联网发展报告》显示,截至2020年底,数字经济持续快速增长,信息技术与实体经济加速融合,规模达到39.2万亿元,总量跃居世界第二。参见中国互联网协会:《中国互联网发展报告(2021)》,中国信息通信研究院:《中国数字经济发展白皮书2021》。然而,企业数字化转型面临“监管高压”“治理脱轨”“工具匮乏”等多重挑战,特别是在企业数据安全和企业数据合规两大问题上。依据《数据安全法》,企业数据安全问题系指因企业内部技术或制度管理失当,或因外部入侵破坏而造成的企业数据泄露或曝于风险之下。而企业数据合规的内涵较为广泛,一般是企业为了防止因内外部数据风险而建立的专项治理机制。鉴于此,企业数据安全合规是企业专门针对数据安全问题所构建的防范治理机制,包括数据安全合规的技术管理流程和制度防范策略。具言之,需要认真对待以下两个问题:

第一,企业数据合规正面临理论与实践的双重考验,应寻求何种方法论纾困?已有研究和实践表明,企业认知已经从“跟风转型”过渡到“数据驱动转型”,以“数据控制”倒逼数据与应用融合[1]。业务形态和场景模式的复杂多变决定了上位制度与下位技术协同治理的重要性。因此,要改变数据安全合规治理迟滞问题,需打通业务与数据的“隔膜”,平衡发展与保护,需要在数据应用研发时,嵌入内生安全框架,前置牵引企业数据安全合规治理和交易价值释放。

第二,基于数据合规治理的新方法论,如何实现企业数据安全的合规图谱设计,更大程度释放企业数据价值?围绕数据合规的制度与技术的可能性组合,企业需要吸收二者理论共性,达成“反思均衡”和“重叠共识”。[2]鉴于此,要利用新型企业数据治理架构,挖掘企业数据价值。

很显然,中国必将紧紧抓住数字化机遇,促动数据要素市场发展,驱动传统产业向信息化、数据化、智能化转型,以占据全球数字经济的领先地位,增强国家综合实力。中国企业数字化转型面临许多机遇和挑战,如何以企业发展为立足点,兼顾数据合规保护的企业数据治理,本研究对以上两个关联问题深入探讨并提出纾解拙见。

二、企业数据安全新挑战及治理反思

随着随着大数据、人工智能等新一代信息技术的加速应用,企业数据安全衍变出新问题。基于传统边界防护的模式不再适用,数据安全风险高度集聚,“流动数据”愈发难以保护,责权边界模糊导致法律责任难以界定等。这更进一步体现出企业数据保护对象的变化,从早期“网端云”安全转变为数据与应用的共生安全。

(一)外部安全威胁及技术性防护滞后

从数据安全攻防视角来看,针对数据和应用的攻击行为愈发激烈,目的是突破系统“围墙”,获取数据和应用。根据最新调研,勒索软件、恶意应用、APT攻击、网络钓鱼等系统性风险,正在极大威胁企业数据安全。尤其随着数据价值的不断挖掘,数据价值已经超过了应用本身价值,例如,对于国企、央企而言,忧患数据、流程、工艺等核心资产被窃取的数据安全风险远比突破篡改访问权限更加严重。无论从企业外部进行黑客或漏洞攻击,抑或是从企业内部产生威胁,即使是从最为严厉的刑法惩治入手,仍无法有效缓解数据被窃取所带来的风险。[3]

对此,企业引入技术防护措施,如数据流量限制、口令访问控制,主要针对系统自身安全,防止外部恶意入侵系统,破坏数据安全环境。这样的技术防护主要体现在网络安全审计和对应用、加密、行为的控制。这些技术防护的共性特征都是事后性补救处理,往往通过购买应用产品、安全设备来实现数据安全防护。但是,此类防护无法解决已经产生的数据安全问题以及法律纠纷,只能是防止损失和法律责任进一步扩大。那么解决已经产生的数据安全问题则需要诉诸其他救济路径,比如投诉、诉讼。

此外,事后的技术性防护在后期安全缺乏长线思维。在技术配套的安全运营、过程监督、绩效考核、系统运维、制度落地等各个方面,都无法切实履行,导致技术防护成为“面子工程”,无法有效应对潜在的安全威胁。

因此,数据与应用的防护模式发生重大变化,过去“查缺补漏”式局部整改无法解决问题。传统的网络安全能力体系呈现出体系化缺失、碎片化严重问题,与成熟迭代的信息化系统发展不相匹配,数据合规治理体系需要一种新模式来打破原有壁垒。

(二)内部安全威胁及合规性治理欠乏

除了外部威胁,来自企业内部的威胁正日益加剧,甚至有可能超过外部威胁。在企业内部,安全体系是从属位置,附属于核心业务,因此并不受企业负责人的直接关注,通常由相应的安全主管部门负责,或者由信息化系统部门兼顾。安全的“闸门”容易从内部被突破。例如,人员错误、凭证丢失、网络社交、特权账号泄露、配置错误等人为因素,特别是疫情常态化下,远程办公和BYOD的广泛应用导致攻击面扩大,进一步增加了人员端点的安全风险。(2)BYOD,Bring Your Own Device,即自携带个人办公设备,多指突破了传统的办公环境,员工可以在多种开放场景下(机场、火车站、咖啡店、酒店等等)使用多种个人设备(电脑、手机、平板等等),登录办公系统。基于内部控制,以人不可靠为出发点,设定业务模式,导致高级权限过度,容易形成组合性涉密数据。数据安全管控度粗泛,造成权限控制不合理,上级开口过大,下级权限过窄。

针对上述内部安全威胁,企业缺乏整体性安全合规治理机制。重业务轻安全的根因固化,使得安全防控滞后于业务运营。突破原有安全管理机制成为扩大业务问题常态。外行领导内行现象常在,疲于应付各种安全监管的法律法规。如此折腾,导致既定的制度和规章被无效地执行,企业基层无所适从,中层上下游离,高层一无所知。

那么,是否可以打破并重构企业信息化与数据安全合规呢?在信息化早期,同步嵌入安全技术和合规制度,实现技术标准和治理向前端赋能。保护数据和应用,则需要安全与信息化深度绑定,需要新的体系和方法论。

三、基于安全底线的企业数据特征分析

由组织管理和技术控制到数据控制的趋势暗含了从企业业务营销变现到数据价值变现的转变。由于数据的即看即所得、易复制的技术特点,企业很难通过移转数据自身而索取价值。数据确权悬而未定,交易数据所有权又容易触发法律风险条款。因而,数据从采集到应用的流程中,数据流通价值基本上是围绕通过转化为知识或者服务来体现的。

(一)企业数据流通需求的根本性特征

数据流通不是单纯的数据交换的互动性行为,而是蕴含分级分类、定价评估交易和数据开放价值的复杂性数据活动。[4]在《欧盟数据流通治理指南》中,企业数据价值释放的具体形式有五种,包括数据货币化、数据交易市场、产业数据平台、技术服务者以及数据开放策略。这些形式集中体现了数据流通的资产性、技术性和公益性等特征,并且在流通形式上可分为数据交易、数据交换和数据开放。[5]

数据价值释放内容包括数据获取和数据使用两个方面,至于数据存储、加工可作为数据获取到使用中的活动内容。在数据获取上,企业可通过自主平台、系统应用和网站以及数据传感器等硬件设备收集数据,也可通过与其他外部主体平台或相关应用采集数据,具体采集方式一般有数据爬取、数据交易、数据交换以及数据开放等。[6]

在数据使用方面,基于数据流通理论,[7]可将数据使用划分为内部使用和外部使用,内部使用并未进行数据流通,而向他方提供使用的外部行为促使数据流通。流通企业角度可分为单向许可、互为许可。[8]数据流通的关键问题不在于数据所有权的转让,更具有现实意义的是确定数据访问的组织方式,以及如何更好更快捷地访问和使用共享数据集。那么,对于数据的法律责任则通过制定合同或开放协议予以厘定。

(二)企业数据的组织控制特征

由业务驱动到数据驱动的数据价值释放过程体现了数据生存周期的流通过程,这实际上离不开工作者的业务活动。将数据要素作为生产对象,数据、劳动者、管理者之间则形成了工作者与管理者围绕数据控制及其利益冲突与分配的过程。值得注意,整个“控制系统”的基础不简单是业务流程和规范制度,也包括将数据加入到“控制系统”中。

数据既是工作者寻求自身利益的凭据,也是管理者管控的基础和重要的资产。埃德沃兹认为,“控制”是“资本家或管理者从工作者身上获得想要的工作行为的能力”,通过“技术控制”理论形成的“控制系统”包含了三个要素:规范工作流程、评估工作优劣以及绩效考核体系。[9]那么,按照这样的理论体系,数据治理应是两条线路的融合:

第一条是以人为核心的业务组织管理,这是明线。通过合理有效的科层结构,建立起业务流水线,从客户需求到原材料输入,经过内部运作,到产品输出、反馈客户、获取收益。此路线解决了数字产业化和产业数字化下企业的业务获利模式和组织管理形式。

第二条是以数据为核心的技术控制,这是暗线。通过信息技术的管控,工作者“自愿”接受评估和考评,以求劳资,管理者以数据作为评估和考评依据,不断调整技术控制策略,获取工作者最大化的“剩余价值”,而“剩余价值”数据化的“等价物”就是数据资产。资产价值化则仍由工作者实施,但管控权限收于管理者。两条路线融合,则体现出数据要素流通之痛点,即笔者前文所述的数据资产价值化存在各类问题。

(三)企业数据的资产价值特征

数据控制权被分配后,数据资产价值化发生了变化,存在被弱化的风险。工作者和管理者的管控关系从流程和制度上的技术控制,在“两化”过程中走向信息化的组织管理和技术控制。[10]由于数据管理机制体制的滞后,导致数据流通上的先天弱化。

数据无法有效聚合,“系统烟囱”和“数据孤岛”导致本该流向数据资产池的数据被留置于工作者或部门管理者手中,数据资产价值的就被削弱了一层。同时,前端业务部门的需求不断增加,而后端数据由于缺失有效的数据管理机制,响应不及时,业务需求和数据供应失衡,供应难以满足需求,那么必然会影响业务分析与决策,更何谈数据知识服务的成形和价值化。

由于利益和风险的综合衡量,工作者往往会忽视或者没有意识到数据生成行为的法律底线。近年来,以数据爬取入罪的案例初见端倪,正印证了这一问题。安全是发展的前提,发展是安全的保障。网络安全问题、数据泄露问题在数据要素市场化之后会更加严重。数据共享权责界定困难,数据流通边界管控困难。非法数据交易的“黑色产业”“灰色产业”亦对数据资产价值生态产生巨大影响。

四、数据合规下内生安全“主动牵引”

面对数据合规治理与信息化发展不匹配问题,需要将安全合规能力内置到业务系统中,感知和响应对业务系统和数据的任何破坏行为,实现数据安全合规的“主动牵引”。除了将“安全左移”作为“事前防控”的应有之义,问题是支撑“安全左移”的理论基础是什么?以及如何促使数据合规治理由查漏补缺“被动挨打”向内生安全“主动牵引”转换?

(一)安全左移的“理论溯源”

回答上述第一个问题,需要回到企业数字化转型之义。数据时代,企业做数据合规的目的不是为了限制自己的发展,而是为了更大范围、更深层次、更安全地获取数字红利。

传统要素生产是通过技术创新实现对劳动机器的控制和剩余价值的最大化攫取。[11]数字产业化和产业数字化将传统产业和互联网产业都推向了数字化道路,以此实现数据要素市场化。从实体机器到信息技术,控制获取剩余价值的方法发生变化,而目的始终未变。20世纪80年布雷弗曼和埃德沃兹提出“技术控制”理论,核心从“控制系统”向“数值控制”的转变。

进一步挖掘“控制”过程,“管控者”与“被管控者”之间的抵牾利益是双方冲突的基础,“控制”的目的是为了削弱冲突的内在张力。在这一过程中,逐步将“控制系统”嵌入到内部的技术与组织结构,通过技术控制赋予业务流程,以流程管人,通过组织控制赋予制度章程,以制度管人,贯穿始终的流程和制度从源头化解了冲突与矛盾。

同理,企业数字化转型是为了更好地挖掘数据价值,实现更多的商业利益。企业数据安全是保障价值释放的基础。但企业业务系统所在的网络场域并不是封闭的,必然存在冲突对抗。那么,如果能够实现企业数据合规治理与企业信息化系统相辅相成,就能够为“对抗竞赛”的安全合规一侧增加“守擂”力量。促使安全合规能力从治理时序的右端(末端)向左侧延伸,主动控制“入侵威胁”和“内部风险”,使其在数据合规的流程中不断“降解”。

(二)内生安全的“能力解构”

回应第二个问题,就是借助企业数字化转型的契机,在信息化解构的同时,按照信息化的工程思维,将安全合规的能力进行解构。以能力为导向的安全合规输出体系化、全局化、实战化的组件式安全模块。

内生安全合规系统要能够适应数据和应用的弥散特征。与系统的整体性不同,数据在用户的“交互授权”和企业“三重授权”下,不断向外扩散。[12]通过安全访问控制能力、敏感数据识别发现能力、数据安全评估能力等一系列能力模块,嵌入式发挥安全保障能力。即使在分散的数据流通中,也可以根据数据的分级分类特征标记,追溯数据行为的发生。

内生安全合规系统要走向深度融合的层次化合规模式。安全合规能力可以是技术能力的分解,如数据安全策略、隐私数据探查、安全渗透测试等等,也可以是基于法律制度的权责界定逻辑。安全技术和信息化技术融合,能够促使安全能力全面融入信息化技术环境。制度策略与安全技术能力融合,可以构建从基础的结构防御到全景的纵深防御体系。

内生安全合规系统需形成更多能力聚合的动态运行体系。单点安全合规能力一般只解决一个问题,但可以通过数据聚合、构建一体化的协同运行能力,形成数据合规能力的大闭环。这样的好处是数据驱动的安全合规是以数据指令为依据,避免了流程上的复杂性,即使不是专业的企业数据合规人员,也能够按照能力的标签内容,实施数据合规治理。

(三)基于安全等级与分类的合规性要求

数据安全可以分为对数据保密性、完整性、可用性的安全保护,根据企业数据遭到入侵、破坏、泄露或非法利用,可能对自然人、企业法人,乃至社会秩序、公共利益和国家安全带来潜在影响,亦是确定数据安全级别的重要依据。企业数据安全影响主要涉及不同对象和影响程度两个方面:不同影响对象是指企业数据安全性遭受到破坏后被影响的对象,一般包括:国家安全、社会秩序、企业利益、个人权益等;影响程度则是基于不同影响对象,所造成的影响后果大小,损失和破坏越大,影响程度越重。

针对企业分类分级数据的安全合规要求,应当有别于其他数据,同时满足企业自身利益诉求和数据监管要求。首先,企业结合安全风险内外风险类型,构建数据安全合规图谱。其次,结合数据分类分级,在企业内部建立唯一性数字身份的数据访问控制。这样做的目的是满足数据安全的保密性要求,将数据安全控制作为一项数据资产与业务功能绑定,促进安全内嵌。再者,不同企业数据领域,对不同级别数据,结合法律法规和技术标准“软法”,根据企业自身性质与规模,在关键基础设施和重要数据目录以及其他数据类型,特别是涉及国家安全、重大民生、重大公共利益的数据,应当严格按照行政监管的数据清单,加以严密保护,禁止对外输出。

五、以流通为核心的企业数据安全合规图谱

内生安全框架体系要遵循企业数据内容特征和数据流通逻辑。聚焦企业数据安全的重点风险,深化内生安全框架牵引体系,以下对合规图谱、访问控制、数据交易、安全合规等重点内容作进一步分析:

(一)基于安全风险的合规图谱设计

数字化企业具有覆盖范围广泛、数据结构多样、关联关系复杂、涉及大量个人信息数据和重要数据等特点。在企业数据运作中,数据的共享和交换成为常态,数据流动路径变得非常复杂。数据跨系统、跨部门、跨业务、跨层级的流动,也使数据合规变得更加困难。具体而言,数据自身安全漏洞和外部入侵威胁主要分为:一是自身面临的数据安全风险与治理挑战,包括训练数据污染、运行数据异常、数据逆向还原、开源框架风险;二是场景应用导致的数据安全风险与治理挑战,包括数据过度采集、数据偏见歧视、数据资源滥用、数据智能窃取、数据深度伪造;三是场景应用加剧的数据安全风险与治理挑战,包括数据权属问题和数据违规跨境。[13]

在促进企业数据价值释放的同时,以个人隐私保护和数据安全“兜底”的企业数据合规治理,也是法律规则要考虑的问题。在企业数据的“生老病死”中,解决数据“死亡”需要联通整个数据全生命周期,数据治理设计覆盖了采集、聚合、整理、萃取、使用、共享和销毁的全流程“合规性”图谱。

(二)基于数字身份的数据访问制度

数据生命周期的防护理念只是一种概念上的设计,于数据安全合规体系而言,核心问题在于数据资产的确定、分类和识别。数据资产管理和安全治理的重点是识别和发现个人信息与非个人信息数据,并做标签化的分级分类。

基于数据资产的不同颗粒度构建数据安全访问主体与客体之间的访问控制关系。在明确了数据类型和重要性等级后,基于属性的身份数字化管理,可以针对性设计不同身份和不同时间的访问鉴权和授权。[14]在制度设计上,可以就访问主客体属性设计不同权限策略;在访问机制上,采取“零信任”访问控制,避免隐私数据泄露,拒绝未授权访问。

针对基础设施环境的不同管控方式,实施不同层级的防泄漏措施。针对身份证号、生物特征数据等个人敏感信息,可以施加权限等级差异以及掩码或数据脱敏等保护措施。

当然,安全治理与数据共享交换、数据交易并不冲突,治理的目的是数据的使用和流通,因此,好的企业数据合规是指能够保障正常的数据共享交换和交易流通下实现安全治理。

(三)基于领域政策的数据安全前导

在制度层面,数据分类分级的标准规范并不一致。目前,各地区各行业各自出台数据分类分级规范,缺少统一筹划,结果是不同地区、不同行业数据分类分级的方法和规范不一致。因此,需要通过顶层协调,在统一方法和思路的基础上再行斟酌各地区各行业数据分类分级制度的特色。

在技术层面,尽管有产品可以对数据进行分类分级,但难以满足数据分类分级工作的现实需求。所以,在数据分类分级领域,尚需发挥以人工智能为等代表的高新技术的作用,通过更加先进的技术提高数据分类分级的智能化和自动化水平,提升公共数据治理整体效能 。

数据分级分类以多维度方式作用于企业数据安全合规,综合国内外相关文献,数据分类分级工具具备数据资产视图、自动数据资产发现、数据分级分类管理、元数据管理、数据标签管理等多种功能。在业务上,这些数据分级分类工具有利于打通数据底层的互通性,使得业务部门之间、业务和技术之间、统计指标之间统一认识与口径,提升数据的可用性,使数据标准能够成为数据资产管理的核心要素。数据标准从多个方面支撑企业的数字化转型。在技术上,数据标准能够帮助构建规范的物理数据模型,实现数据在跨系统间敏捷交互,减少数据清洗的工作量,便于数据融合分析。

六、构建企业数据安全合规治理架构

数据治理是外部法律监管和企业内部数据管理及应用的需求,企业数据治理的落脚点有:运营合规、风险可控、价值变现三个方面。在这三点中,运营合规和风险可控是前提条件,价值实现是目标结果,因此数据治理框架包含了数据管理和数据价值两套体系。当前,数据中台模式在实现这两套体系上有着理论和架构上的优势。

(一)标准化的数据安全合规治理模式

数据中台模式是一种数据管理理念上的改变。以数据中台为内核的数据治理体系是强调以数据驱动下的资源整合、集中配置、能力沉淀、分布执行、按需分配、风险管控的模块集合。从广义上来看,数据中台是一种组织管理和技术控制的方法论集成。企业可依据自身能力,定义、选择和利用数据组件搭建治理框架。

坂口安吾:对我这样的人来说,青春绝不意味着美丽,也不是什么特别的东西。倘若如此,青春是什么呢?青春只是使我活着的力量,是各种愚蠢但又一直多少支撑着我生命燃烧的东西,一切支撑着我生命的事物都是我青春经历的对象,这就是我的青春。

技术上,在数据价值挖掘中,多种数据技术构建了数据中台的基础,实现高效的数据采集、处理、存储、计算、分析以及可视化,将数据与业务链条打通,转为数据核心资产。

规范上,在数据资产安全框架中,通过法律法规、组织管理制度、技术标准实现个人信息保护、数据分级分类、数据交易监管、数据跨境审核以及其他一系列规则治理措施,弄清楚敏感数据资产和价值资产的分布、授权和访问状态。

(二)重构数据聚合与价值赋能体系

数据控制理论下的数据中台采集和引入全业务、多终端、多模态的数据,经过数据计算和处理,建立质量指标评估体系,实现数据指标结构化、规范化的方式,统一数据指标归集口径,即实现数据领域服务下的元数据统一标准,存储到企业既存的数据库、数据仓库或者数据湖中,实现数据资产化管理。通过数据控制和组织管理机制,向上提供各类所需数据领域服务,面向业务构建统一的数据服务接口和数据查询入口,提供数据分析和展示界面,形成以数据价值量化为链路的综合和领域型标签体系,深度萃取数据资产价值。

基于数据资产价值化和数据资产安全双路径建设,以技术和规则为驱动,实现文档管理体系、内容赋能体系,利用知识图谱、自然语言处理等人工智能技术洞察非结构化数据。目前在类案类判强制检索、刑事罪名刑期预测、法律知识库等方面已经具有较为丰富的应用。

(三)前置嵌入隐私保护和数据安全规则

数据治理中以个人隐私保护和数据安全为核心的治理目标是法律规则需要考虑的问题。通常,数据的法治治理集中在对数据本身的治理以及算法规则两个维度。[15]如何利用好数据,促进数据流通,同时满足个人信息保护、企业利益维护以及综合社会安全的衡平。[16]而算法规制方面,随着互联网平台肆意使用数据,大数据杀熟、网络身份等级标签、算法歧视、算法滥用等问题频频发生,的确有必要展开算法审计、算法问责等理论实务研究。

近年来,数据属性内涵已经发生深刻变化。不同语境下,数据呈现的形式愈发多样化,但值得注意的是,以个人信息保护为核心的数据立法是数据法治的重中之重。对于个人信息或个人数据的定义是立法保护的出发点。在《民法典》《网络安全法》以及相关司法解释、部门条例、技术指引已有相对明确的规定。

个人信息保护这一研究主题在欧美等国家及组织间已得到广泛关注并予以司法实践。基本上存在两种基础制度理论:“硬监管”和“软治理”。前者是以欧盟《通用数据保护条例》为轴心的个人信息保护制度和非个人信息自由流动规则,二者共同构建严密的紧缩性数据共享机制和数据再使用机制,其主旨是以个人信息保护为贯通性基础要求,在可区分“个人”与“非个人”的前提下开展数据流动,确立处理个人数据的七项原则。作为个人信息保护的标杆,《通用数据保护条例》启发和影响了世界各国和地区的个人信息保护立法。后者则以美国倡导市场自律为核心的数据共享机制,该机制与欧盟制度存有差异,注重个人信息保护、企业发展和技术创新的衡平发展,[17]如美国加州《消费者隐私保护法案》(以下简称“CCPA”)在法律适用上做了宽松性处理,合理排除三类数据实体(3)在受规则的实体上,CCPA做了三类合理排除,具体包括:①仅提供数据服务的企业(processor);②非盈利机构;③和没有达到适用门槛的中小企业。,并且在“知情同意”原则上使用“默认同意”(opt-out)机制,即除非用户明确拒绝,否则公司可继续处理用户个人信息。[18]我国《民法典》将个人信息保护区分为了隐私权和个人信息,《个人信息保护法》对个人信息的采集、处理和使用作了详细规定。

数据安全规则以《网络安全法》和《数据安全法》为双轴,主要分为境内数据安全和数据跨境流通安全。从上位法层面,既有倡导数据资源开放共享,也要求企业应积极履行数据安全保护义务,如《网络安全法》第18条规定“国家鼓励开放网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展”,第21条规定“网络运营者应当按照网络安全等级保护制度要求,履行包括采取数据分类、重要数据备份和加密等措施在内的安全保护义务”。

(四)基于场景驱动的企业数据全流程合规

除了数据安全保护,各行业中企业同样面临数据采集和使用的合规问题。企业数据安全合规治理对于多种场景的适用,应当有所区分,实现领域情景的集成与统分结合。一是从数据采集的源头端,公众的隐私诉求和企业数据使用存在紧张关系,对个人数据肆意采集,泛滥使用无法有效遏制。二是缺乏体系化的治理逻辑,目前我国针对不同行业的合规治理体系尚未完善,需要专门的机构发挥引领作用。[19]并且,不同行业之间合规治理的标准不一,甚至同一行业不同企业从自身利益出发,存在合规性要求不一的问题,形成数据滥用的恶性循环。对此,基于场景驱动的企业数据全流程合规成为必要。下面针对相对典型的两类场景做具体分析。

在银行金融业领域,面对金融数据安全治理缺乏责任制度、数据标准不一、数据质量参差、行业细分差异、缺少数据定价规则、数据孤岛严重等问题,建立贯穿金融数据全生命周期的安全合规技术和流程标准,是金融银行业数据治理高效发展的基础。[20]近年来,数据的统一管理和标准化越来越受到重视。例如,银行业金融机构的数据治理、数据应用和数据风险防控标准由原银监会于2017年7月实施的《银监会银行业监管数据标准化》规定。其次,修复金融数据质量,建立闭环数据质量管理机制,将组织、技术和过程有机结合起来,实施数据全生命周期质量控制。再者,促使数据使用制度规范化。金融机构的数据治理目标不同,数据应用目的不同,当前的数据管理基础也不同,这就要求金融机构根据自身特点采用定制的金融数据治理方式。

在电商平台行业领域,我国电商行业数据安全治理还存在一些不足,主要表现在数据信息安全面临的挑战、数据安全治理技术标准水平较低、保障数据安全的前提下开放性不足、数据安全治理创新不足、隐私数据或敏感信息泄露等问题。在收集个人用户数据时,个人隐私泄露的风险往往会扩大,导致个人信息被贩运的现象仍屡禁不止。[21]对此,电商数据安全治理应从个人数据安全逐级提升至社会公共秩序与利益层面,在“单一安全转向整体安全”、“数据与信息分离”的背景下,《数据安全法》、《网络安全法》、《个人信息保护法》等法律法规应保持整合和相互支持。[22]构建以“攻防兼备的数据主权”和“数据安全与数据利用的平衡”为基础的数据安全,结合电商个性化的特征,合理利用大数据技术,避免过度对用户隐私的侵犯。

七、结论

对于企业而言,通过数据治理”安全左移“的规制方法,实现了从局部组织或流程扩散到整个企业的核心范围内的综合数据流转,将数据控制混乱状态打理到井井有条集权适中的过程。简言之,数据合规治理按照一定规则秩序将数据吸收、聚合、整理到一个可控的数据池内,实现业务数据化,经过一系列数据萃取,实现数据资产化,再由管理者决定数据的价值变现和知识服务,实现资产价值化。[23]这一治理目的是通过技术与规则标准,提升数据质量,为更大范围促进开放利用,提交数据交易可能性,做好数据价值量化的准备性工作。[24]数据质量在精在细,而由于业务口径的差异,数据生产目的的不同,数据质量参差不齐。那么,在尽可能不改变原有业务组织管理的情况下,将数据聚合控制和合规价值释放融合,数据中台模式是一条契合企业治理体系之路。

猜你喜欢
数据安全合规企业
企业
企业
企业
敢为人先的企业——超惠投不动产
对企业合规风险管理的思考
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全