国有企业数字化转型中的数据安全与治理路径
——基于信息生态视域

董木欣，徐玉德（博士生导师）

近年来，数字经济持续快速增长，成为重组全球要素资源、重塑全球经济结构[1]、加速全球经济复苏的新引擎。随着大数据、人工智能、物联网等新技术的不断涌现和应用创新，网络和数据安全问题频发，成为数字经济高质量发展及国家安全管理创新的重要制约因素，关乎公民个人隐私保护和社会稳定运行。党的十九届六中全会明确指出，要统筹发展和安全，使我国经济迈上更高质量、更为安全的发展之路。国有企业作为推动我国数字化、智能化升级的排头兵，在建设新型数字基础设施、构建数字经济运行系统的过程中发挥着中坚力量。国有企业涉及国防、能源、铁路、电信、公用事业等关系国计民生的重点领域，国有企业数字化转型中的安全隐患和数据风险问题不仅影响数字化经营主体，更与我国经济社会整体发展息息相关，甚至可能危及国家的总体安全。当前，我国数据安全治理处于发展初期，企业数据安全治理能力参差不齐。《数据安全法》的颁布实施明确了数据安全的范畴，为保护国家、企业和个人的数据安全提供了顶层设计和法律支撑。提升数据安全治理能力成为数字经济发展和国有企业数字化转型面临的紧迫议题。

目前，国内学界对于企业数据安全的研究主要集中在用户隐私保护[2，3]、法律伦理[4-6]、体系构建[7-9]、数字技术[10-12]、数据产权[13，14]、数据开放共享[15，16]等领域，鲜有研究聚焦于国有企业数字化转型带来的数据安全风险问题。本文以信息生态为研究视角，深入分析数字化转型下国有企业信息生态系统的数据资源、数据主体、数据环境和数据技术，构建基于信息生态模型的数据安全治理框架，以期为规划国有企业数据安全治理路径提供借鉴。

一、数字化转型背景下企业信息生态系统的要素分析

信息生态系统由信息、信息人、信息环境和信息技术四个基本因子构成[17]，其核心在于在信息技术的支撑下，信息及周边环境构成一个有机整体，实现信息的流动、循环及整合[18，19]。在数字经济背景下，数据作为新的生产要素，成为企业的核心资产，也是企业数字化转型的运行基础。数据驱动企业转型升级过程中形成的信息生态系统包括数据主体、数据资源、数据环境和数据技术四个基本要素[20]（见图1）。

图1 企业数字化转型的信息生态系统

1.数据主体。在企业进行数字化转型的过程中，企业、政府、社会组织和公众个体构成企业信息生态系统的数据主体，也是数据资源的生产者、传输者、应用者和加工者。各数据主体既是数据的提供者，同时也是数据的使用者和监督者，形成了数据运行共生互惠、竞争依存的协同网络链条，为数据全生命周期管理和数据资源价值挖掘提供保障，支撑数据流动在主体之间的动态平衡和良性循环。

2.数据资源。数据资源是企业和其他数据主体在数字化生产、经营、运行中产生的全部数据的集合，涵盖企业内部经营管理数据、用户行为数据、物联网设备采集数据以及政府、社会、上下游企业关联的外部数据。数据资源全生命周期包括数据的产生、采集、传输、存储、处理、交换、共享和销毁等。在整个数据生命周期中，实现企业数据价值的创造、增值和反馈。数据资源是企业信息生态系统的处理对象，系统以数据资源为核心，联结其他系统要素实现系统稳态运转。

3.数据环境。数据环境提供了数据流动的背景和空间，包括企业内部环境和社会外部环境。其中，内部环境由企业制度规范、流程控制、组织架构、企业文化、数据战略、绩效考核等构成，为企业数据全生命周期管理提供内部保障。外部环境包括国家政策、法律法规、经济环境、市场环境等，能够有效引导数据流向，规范数据治理，深入渗透数据产生、流动、加工、整合、应用的全链路管理。

4.数据技术。数据技术是企业信息生态系统的基础支撑和全面挖掘数据价值的技术保障，包括数字技术和企业信息基础设施。新一代数字化浪潮席卷各行各业，以“大智移云物区”为代表的数字技术被迅速应用到企业数字化转型的各个业务场景，并在动态监控、智能预测、辅助决策、科学管理等方面发挥了算法、算力的智能引领作用。信息基础设施包括骨干线路、宽带接入等网络基础设施和业务平台、信息系统等应用基础设施。信息基础设施为数据流转、运行提供媒介通道和质效保障。

二、国有企业数字化转型引发数据安全与风险挑战

在企业信息生态系统中，数据主体、数据环境和数据技术在与数据资源联通的过程中，由于法律不健全、制度不完善、管控不到位、技术局限、保护意识欠缺等，容易引发不同程度的数据风险。国有企业遍及国民经济的核心领域，同时承接通信、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业的关键基础设施建设。国有企业数据一旦遭到破坏，导致功能丧失或信息泄露，将严重危害国家安全、国计民生和国民公共利益。创新与安全是国有企业数字化转型的一体两翼，数据安全治理瓶颈与追求高质量赋能之间的矛盾，向国有企业数据风险管控提出了更高的要求。随着国有企业数字化转型纵深推入，数据安全的不确定性愈发凸显。因此，在充分激发数据要素活力的同时，也需及早研判数据驱动引发的数据风险问题。

1.数据主体间的数据流动存在安全隐忧。在国有企业、政府、上下游企业、用户等数据主体内部与主体之间进行数据传输、交换与共享的过程中，形成的数据开放性与安全性的治理冲突，也对传统数据监管秩序提出了挑战。在用户数据索取环节，通常通过浏览器、APP等用户终端进行数据采集[21]，人脸识别、指纹采集等设备可以直接获取个人生物敏感信息，一旦保护不当即可造成个人隐私泄露。在上下游企业数据交换和监管机构数据提交环节，数据在不同主体的远程服务器中进行存储和加工，以实现数据流动。因行业及企业间差异较大，不同主体的数据接口规范和通信协议有很大差别，在数据采集过程中企业为获取更加全面的数据容易引发过度索权和数据泄露风险。同时，国有企业主责主业与各行各业紧密关联，数据相关方呈复杂网络关联状态，数据权属情况不够清晰，在数据保护中容易造成责任推诿，增加数据安全保护的难度。

2.数据环境中制度缺位造成数据安全漏洞。在企业内部环境中，数据安全意识欠缺、数据安全管理制度不健全、组织架构流程不完善、数据安全保护战略不明晰等均会带来数据安全管理漏洞，增加数据流转、加工、应用环节的泄露风险。在已发生的数据安全事件中，很多员工都因安全警觉性不够高而遭受外部攻击，导致关键数据泄露。在企业外部环境中，《网络安全法》《数据安全法》和《个人信息保护法》是构建我国数字生态安全的法制基石，为数字经济发展提供了网络和数据安全保护的法律屏障。然而，数据分级分类管理制度仍待细化，数据产权归属问题仍需明确，数据开放与数据保护边界仍未界定，企业数据安全管理办法尚待落实，导致企业在追求数据价值创造的过程中，容易忽视数据安全保护问题，造成隐匿数据风险。

3.数据技术嵌入应用容易引发数据泄露风险。数据技术是数字化转型的双刃剑。5G、大数据、人工智能、云计算、物联网等技术的嵌入应用为企业数字化转型升级提供了必要的技术支撑。但随着新技术的普及应用，恶意代码植入、系统篡改、数据窃取等风险事件也频繁发生。近年来，互联网个人隐私泄露事件频发，平台数据泄露问题屡见不鲜。一是基础设施入侵风险。新兴技术往往采用更加高速、灵活、开放的网络架构，同时联结大量的虚拟设备、传感器和控制器等。国有企业在建设数字化基础设施的过程中，网络结构愈发复杂，设备数量与多源异构数据量显著增长，为黑客提供了更多的攻击目标，极大地提升了风险指数。二是云平台数据泄露风险。随着云技术的广泛应用，业务云、监管云、安全云层出不穷，在国有企业的应用不占少数。因存在关联主体多、管理链条长、安全能力弱等问题，如果国有企业对云存储的依赖持续增强，可能会引发严重的数据安全问题。

三、国有企业数字化转型的数据安全治理框架

数据安全对各行业领域国有企业的生产运营举足轻重，如何构建全方位的数据安全体系，保障数据流动合规有序，在数据全生命周期过程中确保数据不丢失、不泄露、可追溯、不被篡改等，已成为数字经济时代对企业数据安全的核心要求。当然，数据安全不是单方面强调数据的绝对封闭，关键在于维护数据完整安全和促进数据价值创造相平衡[22]。国有企业在数字化转型的过程中，需解决数据累积问题，充分挖掘数据价值，全面开展数据治理工作需要统筹业务数字化、数据安全治理和企业转型升级三方面的协同管理。国有企业数字化转型过程中的数据安全治理框架[23]如图2所示。

图2 国有企业数字化转型中的数据安全治理框架

1.数据资源汇聚是国有企业数据安全治理的逻辑起点。财务、营销、生产、办公、组织等业务数字化处理过程中产生的大量数据形成企业内部数据资源，政府、社会组织、上下游企业、用户个人产生的数据作为外部数据资源，汇聚流入企业数据资源中心，构成国有企业数据安全治理的逻辑起点。数据资源具有海量、多源、异构等特点，包括主数据、元数据、业务数据、分析数据、时序数据等。

2.数据全生命周期管理是国有企业数据安全治理的核心。对数据资源的安全治理应覆盖数据全生命周期管理，包括数据采集、传输、存储、处理、交换、共享、应用和销毁安全。在数据采集阶段，要明确数据采集规范，健全数据采集风险评估制度，避免过度采集；在数据传输阶段，使用适当的加密算法对数据进行加密传输，保证数据传输安全；在数据存储阶段，制定存储介质和存储系统的安全防护标准，防范数据存储风险；在数据处理阶段，对数据进行适当的脱敏处理，避免关键信息泄露；在数据交换、共享和应用阶段，通过数据“可用不可见”加密算法，在实现数据价值最大化的同时确保数据安全；在数据销毁阶段，保证数据被彻底销毁，无法复原，防范数据泄露风险。

3.数据安全基础设施为国有企业数据安全治理提供技术保障和运营支撑。以5G网络、大数据、物联网、边缘计算、人工智能等新一代数据技术为基础的数据安全基础设施为数据安全治理提供底层技术工具，服务数据全生命周期管理，也是国有企业数字化转型的技术保障。在算法、算力的支撑下，数据安全运营中心对数据资源中心进行实时监控，包括数据服务、数据分析、合规监管和态势分析等。通过对汇聚数据的动态分析，及时预警并针对异常进行处理，切实保障数据安全。

4.内外部数据环境为国有企业数据流动提供良性治理空间。企业数据安全战略、制度、组织和人员构成企业内部数据环境，包含数据效益、数据质量、数据标准等全功能、全流程管理，同时为全面数据安全治理提供组织架构、管理机制和人员保障。内部数据环境与国家政策、法律法规、经济、文化等外部环境共同构成企业数据环境，为企业数据安全流动提供良性治理空间。

5.数据安全是促进国有企业转型升级的基础和前提。以国有企业数据安全治理为基础，全面保证产品创新、生产运营、用户服务、产业体系的转型升级，以数据开发利用和企业创新发展促进数据安全防范，以数据安全治理保障数据价值增值和企业转型升级，最终实现数据价值创造的数据安全管控循环。

综上，在国有企业数字化转型过程中，数据主体、数据资源、数据环境和数据技术相互协同，促进业务数据汇聚、实现数据安全治理、推动企业转型升级，最终服务企业价值创造。

四、数字化转型过程中国有企业数据安全治理的路径选择

在国有企业数字化转型的进程中，大多数国有企业领导已明确数据安全治理的重要意义，目前已有近60%①的国有企业实现了关键设备数据安全防护的自主可控。在数据安全管理上，越来越多的国有企业从针对个体软件、设备的被动式安全管理转向构建全系统的主动安全防御体系。国有企业数据涉及国家安全的各个领域，近年来国家层面不断加大对数据安全的监管力度，如何在满足数据安全的前提下，实现数据开放和应用，是每个国有企业必须面对的问题。在推进国有企业数字化转型的进程中，应充分平衡数据价值创新与数据安全保护难题，同时发挥国有企业在产业生态中的引领作用，推动我国数字经济健康、安全发展。深入国有企业数字化改革，加强数据治理，保障数据安全，需要在国家层面、社会层面和企业层面协同发展，共同推进国有企业转型升级，对标世界一流企业迈进。

1.加强顶层设计，强化国家、行业层面数据安全指引。

（1）完善监管体系，为国有企业数据安全治理提供指导。以《数据安全法》为指引，完善行业数据安全管理办法，建立国有企业数据安全管理规范，明确安全主体责任和防护要求，构建覆盖企业信息生态系统的全域安全监管体系。围绕数据全生命周期的安全保护要求，制定更加细化的数据分级分类管理办法，加快推进数据安全监控、数据脱敏、数据加密等核心安全技术攻关。强化关键领域数字基础设施安全保障，确保系统、算法、硬件等数据基础设施自主可控。

（2）建立考核机制，加快推进国有企业数据安全治理进程。管规则是“党管数据”的重要体现。国资委应进一步加强国资数据统一监管，使国有企业成为“党管数据”的重要载体，做到国有企业数据管得住、用得好。同时，国资委应用好绩效考核的指挥棒，细化国有企业数据安全治理战略、规划、路线和管理的指标要求，将数据安全治理工作量化，全面配合“党管数据”的实施和落实，切实保障国有企业数据安全。

2.加强社会监督，实现数据安全全域协同监管。社会团体、社会组织、大众传媒和公众个人等为保障国家、社会公众利益可对国有企业开展广泛的社会监督，提高行业、企业的监管效率。社会监督是数字化环境下规范企业数据安全治理，防范数据风险，弥补信息不对称缺陷的重要途径，接受公众和舆论监督也是国有企业履行社会责任的重要体现。国有企业应适时披露数字化转型进程及数据安全治理的相应举措和成效，加强数据安全审计，通报数据安全典型案例及用户隐私保护情况，及时防范因数据泄露造成企业、个人利益损失甚至国家安全威胁。建立网格化社会全域协同监督机制，提高公民参与监督数据安全的积极性，充分发挥国有企业在产业生态中的引领作用，带动生态企业形成互相监督、互相促进的数据安全治理良性循环，以社会监督反馈政府监督，建立政府、社会组织、企业、用户个人协同监督的数据安全治理新局面。

3.加强内部风险管控，全面重构国有企业内部数据安全管理机制。“打铁还需自身硬”，加强国有企业数据安全治理的核心落脚点在于提高国有企业自身安全意识、组织流程、制度规范、基础设施的软科学和硬实力。一是在国资管理部门的指导下，制定与国有企业战略规划相匹配的数据安全治理战略，支撑数据安全治理路径实施与过程管控。完善业务流程和安全管理制度，加强职工安全培训，增强数据安全保护意识，提高应对风险的敏感性。二是继续加快关键数字基础设施的国产化替代，保证基础软件、基础硬件、应用软件等独立自主。提高软件系统稳健性，预防外部代码入侵和内部程序缺陷导致的系统崩溃和信息泄露，同时加强网络、平台、硬件设施的安全防护，确保关键数据的网络安全和存储安全。三是建立国有企业首席数据官（Chief Data O fficer，CDO）制度，统一解决国有企业数据安全治理相关问题。目前，首席数据官形式在部分企业和政府机构已开展一些探索[24]，是数据治理的重要组织载体，可有效统筹国有企业数字化转型进程中存在的数据治理和数据安全问题。国有企业应注重平衡创新与安全、开放与风险、数据挖掘与隐私保护的关系，保障数据物理安全、网络安全、系统安全和应用安全，为建立更加科学、安全的数字化转型机制保驾护航。

【注 释】

①数据来源：《2021国有企业数字化转型发展指数与方法路径白皮书》，中关村信息技术和实体经济融合发展联盟、中国企业联合会，2021年12月。

【主要参考文献】

［1］习近平.不断做强做优做大我国数字经济［EB/OL］.http://www.qstheory.cn/dukan/qs/2022-01/15/c_1128261632.htm，2022-01-15.

［2］刘权.数据安全认证：个人信息保护的第三方规制［J］.法学评论，2022（1）：118～130.

［3］黄国彬，刘馨然.移动网络环境下企业引发的个人数据安全风险研究［J］.图书情报工作，2017（10）：57～67.

［4］朱雪忠，代志在.总体国家安全观视域下《数据安全法》的价值与体系定位［J］.电子政务，2020（8）：82～92.

［5］韩洪灵，陈帅弟，刘杰，陈汉文.数据伦理、国家安全与海外上市：基于滴滴的案例研究［J］.财会月刊，2021（15）：13～23.

［6］许多奇.论跨境数据流动规制企业双向合规的法治保障［J］.东方法学，2020（2）：185～197.

［7］孙红梅，贾瑞生.大数据时代企业信息安全管理体系研究［J］.科技管理研究，2016（19）：210～213.

［8］朱姝姝.基于COBIT框架的企业敏感数据安全保护系统架构和功能设计［J］.信息安全与通信保密，2020（7）：115～121.

［9］冷晓彦.大数据时代的信息安全策略研究［J］.情报科学，2019（12）：105～109.

［10］冯朝胜，秦志光，袁丁.云数据安全存储技术［J］.计算机学报，2015（1）：150～163.

［11］陈左宁，王广益，胡苏太，韦海亮.大数据安全与自主可控［J］.科学通报，2015（Z1）：427～432.

［12］董军，程昊.大数据技术的伦理风险及其控制——基于国内大数据伦理问题研究的分析［J］.自然辩证法研究，2017（11）：80～85.

［13］马宇飞.企业数据权利与用户信息权利的冲突与协调——以数据安全保护为背景［J］.法学杂志，2021（7）：160～172.

［14］秦荣生.企业数据资产的确认、计量与报告研究［J］.会计与经济研究，2020（6）：3～10.

［15］盛小平，郭道胜.科学数据开放共享中的数据安全治理研究［J］.图书情报工作，2020（22）：25～36.

［16］张涛.藏智于民：开放政府数据的法理基础与规范重塑［J］.电子政务，2019（8）：75～90.

［17］霍明奎，蒋春芳.基于信息生态理论的政务微信平台用户互动意愿影响因素及提升策略研究［J］.电子政务，2020（3）：110～120.

［18］Davenport T.H.，Prusak L..Information Ecology：M astering the Information and Know ledge Environment［J］.Academy of Management Executive，1997（3）：86～90.

［19］Nardi B.A.，Vichi L.O..Information Ecologies：Using Technology w ith Heart［M］.Massachusetts：The M IT Press，1999.

［20］佟林杰，刘博.信息生态视域下政府数据开放中的数据安全和隐私保护问题研究［J］.图书馆理论与实践，2020（5）：67～72.

［21］朱光，丰米宁，刘硕.大数据流动的安全风险识别与应对策略研究——基于信息生命周期的视角［J］.图书馆学研究，2017（9）：84～90.

［22］王轶辰.数据治理应平衡好安全与创新［N］.经济日报，2021-09-04.

［23］徐玉德，董木欣.国有企业财务数字化转型的逻辑、框架与路径［J］.财务与会计，2021（17）：4～7+21.

［24］张涛.数据治理的组织法构造：以政府首席数据官制度为视角［J］.电子政务，2021（9）：58～72.