数据安全文献的问题研究与分析

韩文聪

摘要：对数据安全文献的问题进行了研究与分析。首先，明确了研究的目的和重要性，即解决当前数据安全问题，提高数据保护水平。其次，详细讨论了数据安全的理论框架、数据安全的实际应用，分析了数据安全市场的规模和情况。然后，从数据安全治理合规性、数据安全治理管理层面、数据安全治理技术层面揭示了数据安全治理面临的挑战和痛点。再次，探讨了数据安全的未来发展趋势并对现有数据安全方面的文献进行了批评。最后，提出了一些改进的建议和未来的研究方向。

关键词：数据安全；文献批评；问题分析；未来趋势

一、前言

随着网络接口及应用程序数量爆炸式增长，网络安全受到了很大的影响，数据安全的问题也同样不容忽视，毕竟网络接口及应用程序的数量增加直接导致数据体量的增加，导致了攻击面扩大，每一个网络接口都可能成为攻击者的目标。此外，随着数据存储和流通的增加，枢纽数据泄露风险剧增。在这样的环境下，数据安全的重要性显得尤为突出。数据安全是指通过采取必要措施，确保数据处于被有效保护和合法利用的状态，以及具备保障持续安全状态的能力[1]。数据安全是当前信息技术领域的重要研究方向，其研究成果对于保障网络安全、防止信息泄露具有重要意义。文献批评是文献综述的重要组成部分，是对研究课题现有知识的理解，分析先前的知识是如何回答研究问题的。然而，当前的文献在处理数据安全问题时存在一些问题，如方法的局限性、理论与实践脱节等。本文将对这些问题进行批评和分析。

二、数据安全的理论框架

数据安全的理论框架主要是以数据的生命周期为基础，通过建立组织数据安全规范、构建数据安全技术体系和建设数据安全人才梯队等方式，确保数据的有效保护和合法利用。这个框架强调以数据为中心，关注数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，因为不同环节的特性不同，面临的数据安全威胁与风险也大相径庭。此外，《数据安全治理白皮书5.0》中提出的数据安全治理框架，也对数据安全需求与框架进行了全面、系统的介绍，并解读了最新的法律法规及标准等监管要求与技术规范。同时，也有一些专门的数据安全能力框架，例如，“CAPE”数据安全能力框架，该框架包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能力，实现数据“可用不可见”的安全目标。总的来说，在处理数据安全问题时，应考虑各种因素，采用综合性的方法，既要注重技术手段，也要注重管理和制度建设。

大数据时代下的数据融合、流通、共享是必然趋势，海量数据分析在现代研究中的需求越来越突出，而分析过程中不可避免地会有不同敏感级别的数据共存，数据分类分级管理是数据实现共享和开放最基础的工作[2]。2021年6月10日发布了《中华人民共和国数据安全法》，为数据安全治理提供了法律上的依据，此外，《数据出境安全评估办法》《网络数据安全管理条例（征求意见稿）》等法律法规进一步对数据安全的理论架构进行补充。当然，国家也颁布了各领域的数据安全相关标准，用以指导和规范数据的安全使用，例如，国家推荐性标准《信息安全技术 健康医疗数据安全指南（GB/T 39725-2020）》给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。《金融数据安全 数据安全分级指南（JRT 0197-2020）》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。此外，各地也针对性地颁布了相关标准用以规范数据资源的安全防控，如贵州省地方标准《政府数据：数据分类分级指南（DB52/T 1123-2016）》。这些标准、政策、法规共同构建起了数据安全的理论框架，同时，为数据安全治理提供了最佳实践。

三、数据安全的实际应用

数据安全在实际应用中，主要目标是保护计算机系统中的数据免受偶然和恶意的破坏、更改和泄露，确保数据的可用性、完整性和保密性，包括对数据的整个生命周期进行保护。具体来说，数据安全的实际应用包括数据库安全、数据防泄漏、文档加密、容灾备份等技术工具。这些工具和技术主要用于防止数据的非法访问和泄露，确保数据的安全存储和使用。此外，为了应对新形势下的数据安全问题，如数据交换、数据集成、数据存储、数据资产管理等方面的安全风险，还需要关注数据安全合规治理、数据供应链安全、数据保险以及新型数据安全产业等方面的发展。在技术层面，数据安全应用层可以利用一种或多种数据安全技术组合来实现数据安全保护、安全监测、隐私保护、追踪溯源等应用场景下的数据安全功能。例如，采用数据加密、数据脱敏、数据识别、数据标记、数字水印和隐私计算等关键技术来提高数据的安全性。总的来说，数据安全的实际应用需要综合考虑各种因素，采用综合性的方法，既要注重技术手段，也要注重管理和制度建设。

四、数据安全市场分析

就2022年而言，数据安全产业市场规模突破100亿，为102亿元，同比增长15%[3]，见图1。从数据来看，数据安全产业发展迅速，这与网络环境有直接关联。此外，国内政策环境、社会环境、经济环境和技术环境都为数据安全产业的发展提供了优渥的土壤。

首先是政策环境。2023年1月，工业和信息化部等十六部门印发了《关于促进数据安全产业发展的指导意见》，该文件对数据安全产业的规模、核心技术、应用推广、产业生态等发展目标作出了规定。2023年2月，中共中央、国务院印发了《数字中国建设整体布局规划》，该规划提出“数字基础设施高效联通，数据资源规模和质量加快提升，数据要素价值有效释放，数字经济发展质量效益大幅增强”[4]。就社会环境而言，各行业对数据安全的认知并不相同，学历背景、工作环境、个人认知等都影响着人们对数据安全行业的印象和感官。相较而言，政府机关、金融机构、医疗机构、教育机构等对数据安全的重视程度要远高于其他行业。当然，近年来，人们对数据安全的重视程度是逐年递增的，这是一个好的发展。经济环境方面，2022年我国数据产量达8.1ZB，同比增长22.7%，全球占比达10.5%，位居世界第二[5]。这与互联网的发展有密不可分的关联，同时，也说明越来越多的企业开始重视数据的重要价值。在这样的經济背景下，数据安全行业才具备了更广阔的发展前景。今年，数据安全技术受国内政策和法规影响，有了明显的提升，但是仍然有很大的进步空间。

五、数据安全治理面临的挑战和痛点

数据安全作为数字化社会的重要生产要素，在当今社会扮演着十分重要的角色。虽然企业、社会、国家对数据安全治理日益重视，但是在开展数据安全治理的过程中，依旧面临着巨大的挑战。

（一）数据安全治理合规性面临的挑战

2017年颁布的《中华人民共和国网络安全法》成为构建我国网络安全和数据安全的基石，此外，2019年颁布的《中华人民共和国密码法》、2021年颁布的《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》以及同年颁布的《中华人民共和国个人信息保护法》等法律法规组成了数据安全治理体系的政策基础。尽管如此，数据安全依旧面临着巨大的风险和严峻的挑战。加强数据安全治理是刻不容缓的。在合规性层面上来说，企业面临的主要问题有以下几点：

首先，数据安全治理是覆盖全生命周期的。对于中小型企业来说，数据治理的成本和精力大大增加。此外，企业往往更关注存储和使用过程中的数据安全，对于采集、传输、共享、销毁等生命周期的数据安全关注较少，往往成为数据安全治理过程中的风险点，也被称为攻击者眼中最重要的漏洞。

其次，法律法规和监督要求在不断细化。《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》都对敏感信息提出了要求，《个人信息出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法》《工业和信息化领域数据安全管理办法（试行）》《关于促进数据安全产业发展的指导意见》《数字中国建设整体布局规划》等法律法规及政策文件同样对数据安全和信息安全做出了要求。此外，与数据安全相关的国家标准不少于42个、信息通信行业标准6个、金融领域行业标准不少于7个。这些法律法规、政策文件、国家标准、行业标准种类繁多，领域范围广阔，又有交叉重叠，细化程度各不相同，企业如何落实这些文件，又如何将这些文件结合到自身企业文化和企业特点中来，确实是一个巨大挑戰。

再次，数据价值挖掘在经济社会各个层面开始受到重视。在合规的情况下进行数据价值挖掘成为企业研究的重要方向。在这种情况下，企业进行数据安全治理需要提供新的技术，新技术是否合规也成为数据安全治理面临的新挑战。

最后，是数据跨境合规性的问题。网络时代，互联网发展迅速并且覆盖全球，数据跨境几乎是不可避免的，而数据跨境合规性监管的难度往往较大，毕竟每个国家对于数据安全的管理要求和政策法规不完全相同，甚至是完全不相同的。 导致数据跨境的原因很多，其中，人员跨境引发的数据跨境是最初对跨境数据的定义中最主要的部分。事实上，除人员跨境引发的数据跨境外，还有商业、资本和服务的跨境流动引起的数据跨境，尤其是跨国企业经营中涉及的数据跨境，跨国企业往往业务众多、数据交互频繁，既涉及个人数据，也涉及商户数据、商品数据、支付数据、物流数据等[6]。尤其是现在，在“一带一路”、经济全球化的大环境下，全球经济贸易往来频繁，跨境经贸、跨境电商越来越频繁，数据跨境不出意料地大幅度增加，数据跨境合规性成为企业需要关注的重点。

（二）数据安全治理管理层面面临的挑战

数据安全管理工作的前提是树立责任意识，同时，应该强调相关人员对数据安全的认知。但是，在实际工作中数据安全的责任却是难以落实的。因为数据是无形的，而且数据的流动传输过于频繁，且管理不够精细化，甚至很多企业并没有明确的数据安全管理制度，这为企业数据安全管理带来了巨大的挑战。

传统的数据管理模式下，用户大多是各自为营，使用的方式和软件各不相同，并没有统一、高效的方式或者软件。在经济全球化的今天，这种传统的数据管理模式很难适应体量激增的数据，且管理成本越来越高，因此，这种落后的数据管理模式也成了数据管理的“绊脚石”。

管理成本的高昂是数据安全治理不容忽视的问题。数据安全治理是在全生命过程中进行的，数据量越大，其花费越大。尤其是现在的数据安全治理大多是基于业务流程的，企业的业务流程越细化，业务量越大，需要治理的数据就越多，管理成本就越高。况且，数据安全治理所包含的内容不仅仅是应对数据安全风险，还涉及数据备份、应急响应等方面，这些都是高成本的。对于中小型企业而言，这样高昂的管理成本是不友好的。

（三）数据安全治理技术层面面临的挑战

当前，企业安全技术主要停留在网络安全技术，大多数企业现今并未对数据安全有充分的认知，部分企业虽然已经开始重视数据安全，但是由于数据安全的核心技术大多是基于大数据等近年才兴起的技术。因此，现在的数据安全治理技术多是基于信息技术的，但是，信息技术的迭代速度很快，意味着数据安全治理技术也在快速更新换代。在这样的情况下，企业相关人员需要随时迎接新技术带来的挑战。因此，数据安全治理相关从业人员需要持续学习。大数据时代庞大的数据量是数据安全治理技术层面不容忽视的难题。

六、数据安全的未来发展趋势

随着大数据、云计算等新技术的发展，数据安全问题将更加复杂。未来的研究需要更加注重理论与实践的结合，同时，也需要关注新的技术和方法在数据安全中的应用。从全球范围来看，数据互联互通是打破“数字孤岛”、防范“数据圈地”的必由之路[7]。因此，倡导数字领域国际化规则刻不容缓。此外，与数据相关的技术和概念中，数据仓库和云数据是这两年被提及得最多的两个词。云数据是目前最“火”的研究方向，云数据与数据安全是今后很长一段时间不容忽视的一个研究方向。另外，人工智能也是近两年很热门的一个领域。人工智能的很多应用都离不开机器学习，而机器学习在一定程度上基于庞大的数据，因此，人工智能与数据安全同样是一个比较有意义的研究方向。从应用视觉层面看，区块链则是一个分布式的共享账本和数据库，它具有去中心化、不可篡改、全程留痕、可以追溯、集体维护以及公开透明等特点[8]。因此，数据安全与区块链同样会成为一个值得深度研究的课题，毕竟区块链是当今世界最炙手可热的前沿技术之一。

七、对现有文献的批评

本文对现有文献进行了深度批评，揭示了其在处理数据安全问题时的不足。《中华人民共和国数据安全法》的发布，标志着我国以数据安全保障为前提的数据开发利用和产业发展全面进入法治化轨道。它系统地反映了当前国家整体的数据安全观，对于我国构建数据安全保护体系具有重要的战略意义。狭义上，数据安全治理以数据为中心，围绕数据的全生命周期，包括对数据的采集、传输、存储、使用、共享、销毁等各个环节实施一系列的活动，如建立组织数据安全规范、构建数据安全技术体系、建设数据安全人才梯队等。同时，企业也逐渐意识到了数据安全治理的重要性与紧迫性。然而，针对科研数据安全的研究在国内外仍较少。此外，随着全球化的发展，一些国家和地区也开始制定相关法律以保护其数据安全，例如美国的《澄清域外合法使用数据法》和欧盟的《一般数据保护条例》。尽管如此，这些法律法规均有一定的局限性，因此，制定一种普遍适用的规定或者标准依旧是刻不容缓的。

八、改进建议和未来的研究方向

数据安全改进措施需要从多个维度进行考虑。首先，建立数据安全治理体系是至关重要的，包括制定数据安全规范、构建数据安全技术体系以及建设数据安全人才梯队等。組织建设数据安全治理体系至少需要涵盖数据安全战略、数据全生命周期安全以及基础安全等三个方面[9]。数据安全战略主要包括数据安全规划和机构人员管理。数据全生命周期安全主要是数据采集、传输、存储、使用、共享和销毁过程中的安全。基础安全主要是数据分类分级、合规管理、合作方管理、监控审计、身份认证与访问控制、安全风险分析和安全事件应急。构建数据安全体系的基础是数据安全法律法规和数据标准的制定，这是一个重要的研究和改进方向。数据标准是对数据交换、数据采集和数据使用的一种规范。因此，数据标准是建立数据安全体系的重要环节。

数据安全治理未来需要关注以下几点：

首先，政策合规性是数据安全治理的重要驱动力，企业自身的发展战略需要与政策法规相适应，才能更好地让数据安全产业发挥其应有的作用。政策合规性为数据安全治理提供了必要的指导和支持，确保组织在处理个人和敏感数据时遵循最佳的实践和标准。没有这些规定，数据的安全可能会受到威胁，导致不可预测的后果。

其次，现今的数据安全治理几乎都建立在业务及其流程的基础之上，可能导致数据安全治理的责权认定不清楚、责任边界难以清晰体现的情况发生，因此，建立一套完善且与企业业务相适应的数据安全治理制度和流程是需要重点关注的。数据安全治理制度和流程是企业信息安全管理的重要组成部分，它涉及数据的收集、存储、处理、传输和使用等各个环节。在该过程中，需要重点关注企业实施数据安全的目标和策略，同时需要设立数据安全管理部门，另外还需要制定详细的操作规程和行之有效的技术措施，当然，定期的安全审计是必不可少的，员工安全意识的提升和培训以及应急响应机制的建立也是不可忽视的。

再次，现今的数据具有存储体量大、传输量大、流动性强等特点，导致被威胁、暴露的可能性和风险发生的概率大大增加，因此，全生命过程的风险监测与评估成为一种趋势。这意味着企业需要在整个数据的生命周期中都进行风险评估和管理，包括数据的收集、存储、处理、传输和使用等各个环节。只有这样，才能有效地识别和管理潜在的风险，保护数据不受威胁。

最后， 第三方数据安全评估机构能够有效地帮助企业做好数据安全治理的工作，并帮助企业提高数据安全治理的质量。当然，这是通过风险转移的方式来消化数据安全方面带来的各种安全问题和风险，通过第三方机构的评估和监测，可以进一步强化数据安全治理的成果，同时也可节省时间，提升效率。

数据安全改进措施中提升数据安全技术的研发与应用水平也是必要的，例如，采用更智能化的敏感数据识别技术，结合规则匹配、自然语言处理等技术扩大识别范围，提高识别精度。此外，企业也需要不断优化制度流程落地效果，强化人员的安全意识与能力，明确未来数据安全治理的发展方向。

在未来的数据安全研究方向中，一方面，可以研究如何更好地实施数据分类分级和策略管控，以满足不同类型和级别的数据对安全性的不同需求；另一方面，隐私计算作为一种新的数据处理技术，其如何在保障数据隐私的同时实现数据的合理利用也是一个值得研究的课题。当然，网络安全等级保护下数据安全治理也是一个很好的研究方向。随着国家网络安全等级保护 2.0 系列标准2019 版的发布实施，网络安全等级保护的建设也在各行业逐步推进实施。在国家网络安全等级保护2.0的基础上，数据安全治理将提升一个档次。同时，随着全球化的发展，如何构建适应不同国家和地区情况的数据安全保护体系将成为一个重要的研究方向。

九、结语

本文对数据安全文献进行了深入批评和分析，旨在解决当前的数据安全问题并提高数据保护水平。研究发现，尽管数据安全的重要性日益凸显，但在实践中仍存在许多问题。例如，数据安全治理的合规性、管理和技术层面都面临着巨大的挑战。因此，文章提出了一些改进的建议和未来的研究方向。首先，企业或组织需要更加关注数据安全治理的实践问题，提出更具操作性的解决策略。其次，企业或组织需要进一步研究数据安全的技术手段，以提高数据保护的效率和效果。最后，企业或组织需要关注数据安全的未来发展趋势，以便及时应对新的挑战和问题。

参考文献

[1]宋璟，邸丽清，杨光，等.新时代下数据安全风险评估工作的思考[J].中国信息安全，2021（9）：62-65.

[2]高潮.大数据时代用户消费型数据的分级分类隐私保护策略研究[J].广东通信技术，2016，36（9）：10-12+17.

[3]王盈.数据安全细分市场调研报告[R].国家网络安全产业园区（通州园）：嘶吼安全产业研究院，2023-07.

[4]新华社.中共中央 国务院印发《数字中国建设整体布局规划》[DB/OL].[2023-02-27].https：//www.gov.cn/zhengce/2023-02/27/content_5743484.htm？eqid=f00424e10002111f00000006646491f2.

[5]国家互联网信息办公室.数字中国发展报告（2022年）[R/OL].[2023-04-27].https：//www.cac.gov.cn/rootimages/uploadimg/1686402331296991/1686402331296991.pdf？eqid=97108e280004e0d2000000026486781a.

[6]朱扬勇，熊贇.数据跨境监管初探[J].大数据，2021，7（01）：135-144.

[7]林爱珺，章梦天.全球数据资源争夺与风险防范[J].新闻爱好者，2022（06）：13-18.

[8]程亚玲.区块链探析[J].发明与创新·职业教育，2020（07）：131.

[9]华清信安.数据安全系列（六）丨数据安全治理[DB/OL].[2023-09-12].https：//baijiahao.baidu.com/s？id=1776823322453852214&wfr=spider&for=pc.

责任编辑：张津平、尚丹