在大數據時代背景下，數據已成為企業最重要的資產。2017年開始，大數據轉向數據服務階段，與此同時，新技術和新應用的迭代更新也不斷催生出新的風險，數據質量、數據安全、隱私保護、共享開放等問題日益突出。近幾年來，數據安全事件層出不窮，個人隱私大范圍泄露，在數據高速發展的時代，數據安全治理逐步成為關注的焦點并引發各界深度思考。

目前，各國相繼出臺法律法規，對個人、企業和國家重要數據進行保護。國際社會進入了數據安全立法的快速發展期，規則體系日趨復雜。2018年，歐盟正式施行《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR），掀起了個人數據保護立法的改革浪潮。我國也在加緊推進和完善相應的制度建設，加強對數據生態的監管和治理。2017年正式生效《中華人民共和國網絡安全法》，確立了關鍵信息基礎設施中的個人數據和重要數據的本地化存儲和跨境傳輸原則，2018年正式生效《信息安全技術個人信息安全規范》。2019年出臺《數據安全管理辦法》《個人信息出境安全評估辦法》等征求意見稿，進一步明確敏感數據全生命周期的管理規范。另外在金融行業，2018年5月銀保監會發布了《銀行業金融機構數據治理指引》，明確提出數據安全治理的要求。這些法規都把數據作為最為重要的保護對象，并提出了安全要求，對于這些法規的遵守將影響企業的聲譽、合規甚至存亡。

如何保障數據的安全，某種意義上講，將數據全部物理隔絕，變成“死”數據是最“安全”的，既拿不走，也破壞不了。但是數據通過使用才能創造價值，對數據的使用讓數據變成“活”數據，數據安全治理的使命是對“活”數據開展一系列的有效管理，保障數據在安全可控的情況下使用并發揮價值。國際咨詢機構Gartner認為數據安全治理不僅僅是一套工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。

在大數據背景下，要實現數據安全治理，要厘清兩個關系。

1. 大數據治理和數據安全治理的關系。DAMA（國際數據管理協會）在其《DAMA數據管理知識體系指南》中提出數據治理是對數據資產管理行使權力和控制的活動集合（規劃、監控和執行），因此數據治理和數據安全治理密不可分。

首先，大數據治理框架中，數據安全與隱私管理是其中的一個領域，對數據治理的邊界要求也適用于數據安全治理。隨著對數據資產的高度重視和對個人隱私數據的強監管要求，數據共享越來越頻繁，數據安全領域變得更加重要，成為數據治理領域里非常突出和核心的子領域。

其次，數據安全治理的框架、組織架構、管理對象、管理目標、管理視角，參與組織等多個維度與數據治理都是高度一致的。治理的框架一般都包括政策、流程制度、人才機制、技術工具等各方面，組織架構都由決策層、組織協調層和執行層組成，全組織單元參與。數據治理和數據安全治理都是覆蓋行內外所有類型的數據，實現數據全生命周期的管理，提升數據資產的質量，讓數據資產在安全可控的范圍內使用，并發揮數據的價值。

最后，數據安全治理工作要依托數據治理的成果同步開展。數據治理中的元數據是數據安全分級分類的核心對象和依據，依托數據資產開展數據分級分類，了解敏感數據資產的分布、訪問情況和授權情況。數據安全管理要求的落地，與數據模型設計相結合，做到事前控制，并在數據的采集、存儲、加工和使用流程中實現數據安全管理要求，滿足合規要求。

2. 大數據體系下的數據安全治理和傳統的數據安全治理的關系。大數據體系下，數據的種類、使用環境、使用場景都發生了變化，數據安全工作隨著大數據的發展需要與時俱進，相比傳統的數據安全管理工作，大數據體系下的數據安全治理有以下幾個特點。

首先，數據安全治理對象全覆蓋。傳統的針對敏感數據、隱私數據的既定范圍內的數據管理，大數據體系下的數據安全治理覆蓋敏感數據、隱私數據、重要業務數據等全視角的數據，行內外結構化、非結構化的所有數據都是數據安全管理的范疇，并針對不同的數據對象進行分級和分類管理，制訂不同的管理策略和要求。

其次，數據安全治理環境全覆蓋。傳統的數據安全管理為防止數據跨域的數據安全進行強制的數據分區分域，限制數據的共享使用。大數據體系下的數據安全治理允許數據無界受控使用，覆蓋生產環境、開發環境、測試環境、辦公環境以及到行外環境的傳輸，通過明確全面的數據管理策略，讓數據流動起來，為數據的應用和發揮價值創造條件。

再次，數據安全治理人員全覆蓋。傳統的是以防范別人進來竊取數據為主，通過事后檢查的機制防止發生數據安全事件。大數據體系下的數據安全治理，變被動為主動，防止接觸數據的人員有意無意地泄露數據，覆蓋所有能接觸數據的內外部人員。

最后，數據安全治理流程全覆蓋。傳統的數據安全管理主要從制度上進行要求，從管理上進行限制和審批，偏事后檢查和審計。大數據體系下的數據安全治理是和數據日常工作深度結合，在數據的采集、加工、存儲、應用、銷毀等數據流程中提出具體明確的要求，通過管理和日常工作流程的結合，從事前、事中、事后多個維度全面開展數據安全工作。

在厘清上述關系的基礎上，中國光大銀行（以下簡稱我行）結合自身大數據治理和數據安全管理的實踐經驗，規劃設計了大數據體系下的數據安全治理框架（見圖1）。

圖1 數據安全治理框架

1. 組織建設。從組織業務的適用性、承擔的工作職責的明確性及運作、溝通協調的有效性三方面考慮，我行已建立以信息科技與數據管理委員會為決策層、數據管理工作小組為組織協調層、總分行各部門及其數據安全崗為執行層的三層數據安全組織結構，并在數據安全管理辦法中明確各層工作職責和協調機制。

2. 制度流程。以明確數據安全方針和總綱、數據安全管理規范、數據安全操作指南和作業指導為主要內容，確定相關相關模板和表單和工作流程等，我行制訂并發布了《數據安全管理辦法》《辦公環境數據安全管理細則》《個人敏感信息安全處理規范》等各項管理制度和技術規范，指導數據安全日常工作的開展。

3. 技術工具。綜合所有安全域進行整體規劃和實現，和業務系統進行銜接，全方位立體地保障數據安全。通過打造五大名品工具，將數據安全管理要求落地：一是數據保管箱和數據偵探名品，推進業務系統數據下載對接數據保管箱，數據偵探監控辦公環境敏感數據文件存放，實現辦公環境敏感數據“零存放”；二是云桌面名品，實現開發、測試環境敏感數據“安全隔離”；三是加密平臺和脫敏平臺名品，確保生產環境敏感數據“安全使用”。

4. 基礎保障。以提升數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力為目標，全面開展數據安全文化和人員能力建設，通過多渠道多形式落實數據安全宣傳工作，培養員工數據安全意識和能力，為我行營造一個保障業務良好運轉的數據安全環境。在具體操作層面，我行已建立了從網絡宣傳、行內集中培訓考試到現場數據安全檢查和考評等三位一體的數據安全宣傳、人員培養、檢查及考評機制。

在大數據安全治理框架下，我行個人隱私保護、外部數據管理及數據合規共享等方面積累了一些切實的工作經驗。

一是加強個人隱私保護，防止個人敏感信息泄露。在信息科技與數據管理委員會的數據安全戰略指導下，我行成立了個人信息安全合規工作小組，推動個人信息保護相關工作方案的實施。在組織建設、制度流程、技術工具及基礎保障層面構建個人信息保護的多重保障。通過制訂和落地全行的技術規范以保證我行個人敏感信息的加工和處理的數據安全，通過個人敏感信息采集的要求和明示，保障個人敏感信息的采集和使用安全。

二是數據合規共享，實現數據價值。數據共享無罪，有罪的是數據沒有被安全合規地共享使用。我行《數據安全管理辦法》明確了數據合規共享要求及相關審批流程，要求事前須獲取授權或去標識化、并進行安全評估，事中由專人負責、并進行安全加密，事后由專人負責及時清理銷毀相關數據，共享雙方及相關參與人員須簽署保密協議。明確的數據共享機制，保障了我行數據共享行為合規有序。

做到什么程度可以拍著胸脯說數據是絕對安全的？時代在發展，行業在發展，數據的環境和場景在發展，數據安全治理是一個有底線而無上限的工作，這個問題應該是沒有答案。大數據時代，每個人都是大數據的使用者和生產者，提倡數據開放共享，讓數據在流動中創造價值。大數據的這些特性，也對大數據安全提出了新的挑戰。

5G時代來臨，云計算、物聯網、移動互聯網等新技術新應用使得數據更加散落分布，數據類型復雜多樣，數據源眾多，流通性高，碎片化的數據對訪問控制、安全審計管理提出了更高要求。同時數據的頻繁共享共生，數據不斷的被加工、被分享和變換形態，數據安全的核心對象也以不同的形象出現，當數據與第三方共享后，就脫離了企業掌控，存在被濫用和泄露的可能。

面對以上挑戰，未來企業應轉變思路，開展系統的、動態的、全面的、常態化的、前瞻性、持續性的數據安全治理工作，實現數據安全與業務發展的平衡，使數據在不同場景下有效合規地使用。主要包括：以數據資產為核心，識別數據安全資產目錄和地圖，識別敏感數據資產的分布和流動，建立企業統一的數據安全策略，實現對各類數據風險的實時監測。

有效運用云計算、區塊鏈、人工智能等熱點技術，構建智能高效的數據安全防控網。以合規要求為前提，以數據應用為基礎，以滿足業務用數需求為驅動，從技術導向轉變為業務和管理導向，進行統籌規劃。如通過大數據挖掘技術，識別工作中存在的數據安全泄露風險，通過區塊鏈技術，本質解決信任問題，推進跨領域數據共享和內部信任。將數據安全治理工作和實際的工作緊密結合，以潤物細無聲的理念，將數據安全無縫深入到工作中的細節，讓安全無處不在，無時不在。

實際工作中要時刻關注數據安全治理的目標，既要全面數據安全治理，保障數據安全，又要適度數據安全治理，為數據發揮價值保駕護航。數據安全無小事，從事數據安全工作要始終繃著一根弦，做一個幕后英雄，為數據使用創造一個安全好用的環境，讓數據使用者放心大膽的專心致力于數據價值的挖掘。