要素驱动打造安全合规的数据底座
导读
当前,国家正在加快推进数据开放共享。但是很多企业并不知道该怎么使用这些技术,面临不敢开放、成本高等难题。
来源 | 数据观(转载请注明来源)
撰稿 | 朱琳
当前,以数据要素为核心生产要素的数字经济蓬勃发展,数据通过开放共享、流通交易正在撬动巨大的社会经济总价值。党的二十大报告作出了“数字中国”重大战略部署,指出要构建以数据为关键要素的数字经济,《数字中国建设整体布局规划》把“夯实数据资源体系”作为数字中国建设两大基础之一,提出要“畅通数据资源大循环”,明确了数据要素对促进数字中国建设的重要基础性作用。
随着数据作为战略资源地位凸显,推动数据资源整合共享和开发利用,最大程度释放数据要素价值,成为各地开展数据要素市场化、资产化探索实践的中心课题。
安全是发展的前提。数据开放共享往往涉及较多的公共利益和公共安全,因此统筹数据开放、隐私保护和公共安全,是推进数据开放利用、激发数据要素价值的基本要求,规范有序对数据开放共享利用尤为重要。
近年来,我国网络安全相关法律法规体系不断完善,数据安全与隐私保护相关的法律法规体系基本建成。2022年12月19日,中共中央、国务院正式对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)并专设数据要素安全治理章节,从明确监管红线、完善数据全流程合规监管、压实企业数据安全责任、建立数据登记及披露制度等方面,进一步强化数据安全保障制度。2023年2月,中共中央、国务院联合印发《数字中国建设整体布局规划》,明确数字中国建设的主要目标、重点任务和保障措施。提出要筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。法律法规、政策文件相继出台和监管日趋完善,为加快推进数据合规共享、使用打下坚实根基。
同时,我国强化互联网领域的顶层设计和战略部署,互联网治理成效显著,网信基础设施建设、网信技术研发、网络安全防护等多方面共同发力,相关部门持续开展“净网”“剑网”等专项行动,进一步压实企业主体责任,切实解决扰乱市场秩序、侵害用户权益、威胁数据安全等问题,为保障数据要素安全、持续激发数字经济活力提供了有力保障。
除了加强对数据的保护外,《互联网信息服务管理办法》等行政法规;《上海市数据条例》《深圳经济特区数据条例》等地方性法规;以及《大数据安全管理指南》《金融数据安全——数据安全分级指南》《个人信息安全规范》《个人信息安全影响评估指南》等国家及行业标准中亦有对数据保护的相关规定和要求。
除了顶层设计外,数据合规也越来越受到各界关注。近年来,为保护数据安全,许多国家和地区纷纷制定了规范数据收集、存储、传输、处理、使用等活动的法律法规。例如美国的《国家安全与个人数据保护法》《加州消费者保护法》,欧盟的《通用数据保护条例》,俄罗斯的《个人数据法》,印度的《个人数据保护法》等。
数据安全合规的重要性不言而喻。对于数据使用者而言,不仅要在数据收集和使用的过程中有效控制风险,更要规范数据使用的目的和行为。以企业为例,企业数据不仅来源于经营中产生的数据,也涉及大量的公共数据。对于关键基础设施的运营者和重要数据的处理者更是要符合更为严格的网络和数据安全保护的要求。从企业经营中产生的由企业所有的数据可通过商业秘密、知识产权等法律制度进行保护,涉及公民个人数据常常引发大量数据权益纠纷。
因此对企业来说,在数据的收集、使用、处理、存储和传输等环节中,数据使用权限以及限制行为内容等都涉及数据合规的核心规则。相反,若在数据活动中违法违规,企业则可能面临严重的行政处罚。例如2021年,美国亚马逊公司也因违反《通用数据保护条例》被卢森堡数据保护机构处以7.46亿欧元的天价罚款。2021年7月,滴滴出行、货车帮、BOSS直聘因涉嫌数据处理活动违法违规。
筑牢数据安全合规使用屏障,释放数据商业价值
对于企业来说,数据安全对企业业务平稳发展起着重要作用。在数字经济时代,如何在确保数据安全的前提下有效发挥数据资产的商业价值,成为企业数字化亟须解决的问题。
一方面,企业在日常经营中能够对敏感数据进行识别和有效保护,在主动落实数据安全和个人信息保护合规要求的同时,也能通过对数据的分类、分级管理,方便快捷地找到企业内部有价值的数据资产并快速加以利用,与合作伙伴以及产业上下游的其他企业进行安全高效的数据共享与协同分析,帮助企业实现商业变现。同时企业可以统一地监控与管理所有数据安全业务,以帮助安全团队制定合理的安全事件策略和进行快速应对。
另一方面,数据合规使用能够帮助企业防范法律风险,或者在发生法律风险时减轻企业责任。企业只有加强自身数据合规体系建设,堵塞制度漏洞,坚守数据合规底线,强化数据合规意识,才能帮助企业防范数据法律风险,增强数据资源核心竞争力,树立企业的品牌声誉,筑牢企业健康可持续发展的基石。
以车险行业为例,中国车险从定价到风险评估以车辆为主,一直缺乏以驾驶者为主的从人风险评估因子。对此,全球领先的专业信息分析和决策工具提供商励讯集团(RELX)旗下公司律商联讯风险信息(以下简称“律商风险”)在中国已独立运营八年,专注于车险细分领域并将产品覆盖了车险全生命周期,从展业到理赔每个环节上为保险公司优化业务结构,提升了车险企业流程效率,降低了业务风险,运用通讯、消费等维度数据打造了车险行业首个真正的从人风险评分,助力企业进一步释放数据要素价值,实现创新增长。
律商风险把数据安全作为践行业务的宗旨,致力于保护个人隐私和数据的安全使用,并做到了ISO 27001信息安全体系认证和中国信息系统安全等级保护三级认证,以最高安全标准来运营业务,确保在数据不断增长的世界行稳致远。
当前,国家正在加快推进数据开放共享。但是很多企业并不知道该怎么使用这些技术,面临不敢开放、成本高等难题。
从政府层面来说,数据开放共享仍面临普及范围有限、开放程度较浅、开放阻力较大等诸多困境,不论是积极消除数据开放阻力,还是建立科学数据的权属规则,亦或设立了数据分类分级体系,都是统筹推进数据安全保护和数据开放共享的有力保障和基础。
在科学数据的权属规则方面,政府在数据开放共享的过程中,围绕数据产权分置的改革方向,加快持有权、使用权、收益权等数据确权,实现科学数据相关主体间利益的合理分配,避免数据的滥用和侵权,完善数据使用的共享机制,能够使供需双方都能获得合规收益。
在体系建设上,政府健全数据分类分级管理等条例,有效落实分类分级管理规定,对数据使用全流程进行监督和管理。此外,优化科学数据流通共享模式,建立合规高效的科学数据流通制度,提升数据主体的数据安全素养,明确各方在数据开放共享过程中对各级各类数据安全的责任与义务,共同推动数据规范健康使用。
对于企业而言,企业数字化转型是为了更好地挖掘数据价值,实现更多的商业利益,企业数据安全是保障价值释放的基础。企业业务系统所在的网络场域并不是封闭的,要达到数据合规治理目标,需要协同内、外部信息化系统,达到数据使用的主动控制和内部风险防范,降低数据在合规使用流程中的风险。
以励讯集团为例,其通过组织、流程、制度和培训4个维度来确保数据合规和安全。在制度管理上,通过制定“数据安全管理和规范制度”,对潜在初始风险的日常化报告制度,确保决策层和管理层掌握风险情况,针对应急安全事故,将反馈和处理机制落实到关键员工,采用金融领域、人力资源领域的客户安全风险直报模式,并对员工、合作第三方进行培训、教育和资质测评等。
在流程设置方面,将安全合规能力内置到业务系统中,主动实现数据安全合规使用。励讯集团在从监督层、执行层、管理层、决策层对数据安全和隐私保护进行垂直管理,其中决策层组建信息安全管理委员会,对信息安全负有终极责任,各管理部门根据分工均承担一定的信息安全管理职责和权限。
企业在对信息化解构的同时,按照信息化的工程思维,将安全合规的能力进行解构。首先,根据数据的应用特征对内部安全合规系统进行分类和优化,确保数据在流通过程中,通过安全访问控制能力、敏感数据识别发现能力、数据安全评估能力等模块,根据数据的分级分类特征标记,追溯数据行为的发生,保障各环节的数据安全。
因此,在充分认识数据开放风险的情况下,数据安全保护和数据开放共享之间需统筹推进,除了推进政府数智化转型,保护市场经济秩序,大力推进政府数据开放外,企业应积极开发利用数据增强自身竞争力,实现数据开放共享良性循环。
▐ 风口洞察
▐ 行业报告
▐ 国际要闻
▐ 数据观出品