2021年9月和11月,《数据安全法》《个人信息保护法》分别实施生效。二者与2017年实施的《网络安全法》以及2020年实施的《密码法》共同构成我国网络安全领域的法律基座,对维护社会安全稳定、保护公民及各类主体的合法权益意义重大。与此同时,随着法律体系的建设完善,围绕数据开放共享的安全问题成为数字政府建设工作过程中的关注重点。
01
搭建数据治理体系
宁波作为浙江重要的经济及港口贸易城市,在国家长三角一体化发展战略中承担着重要角色。围绕电子政务及数字政府建设主题,实现政务数据高效安全互联互通,是推动落实“放管服”改革基础且关键的工作。宁波率先探索了数据在政务领域的管理与运营模式,围绕数据流在应用场景切换与跨组织共享的管理难题开展了研究。基于数据全生命周期搭建数据治理体系是进行政务网络与数据平台建设的先决条件,以顶层设计引导数据安全有序建设是宁波一直在推进的工作。数据治理体系如图1所示。
图1 数据治理体系在数据安全治理体系构建过程中,首先需要区分数据治理与数据管理的职责定义与职能切分,尤其是政府多部门协调合作,数据在业务流程中跨部门、跨业务共享,履行数据治理职责的机构与实际数据管理责任机构必须加以区分定义。数据安全管理从实际业务出发,需要跨越规划、建设、运营、监控四大阶段,各阶段均需将安全需求纳入,从而总体降低数据安全综合风险。数据安全管理职能的有效落实,将直接输出反馈至数据治理职能机构,通过数据安全评估,指导下一步数据安全管理工作。与此同时,将数据治理纳入监督职能,一方面落实数据统管统筹的权限,推动数据规模化集成共享;另一方面,监督权的落实能够发挥政府协调监管的职能优势,与指导、评估、管理相关工作形成闭环。
02
围绕数据生命周期分步建设
数据治理体系构建过程中另一关键点,是必须结合实际围绕数据生命周期分步建设,相关可以参考国家标准GB/T37988-2019有关数据安全能力成熟度模型(如图2所示)。但模型的导入落地必须贴近实际,其它省份、行业的案例不能直接套用,必须充分考虑本省的经济发达程度、业务部门职权切分、当前信息化建设水平、未来信息化预算规模、企业对接关系等内容,而这一系列工作也成为后期顺利推进信息化建设任务落地的关键。只有基于如上基础,才能推动有关数据分类分级、数据权属梳理。浙江省作为互联网技术及国内信息化建设水平的代表性省份,在政务数据安全治理领域试水并探索了一系列场景,随着数字政府建设水平的不断提升,未来数据融合规模不断扩大、业务场景不断丰富,数据安全治理的工作也将进一步细化。
基于数据安全治理体系,政府监管侧应鼓励数据依法有效利用,保障数据有序合规自由流动,更重要的是借此营造并推动以数据为关键要素的数字经济环境建设,在当前受疫情影响急需扩大内需的环境下,有利于发挥政府大数据的正向推动引导职能。
此外,数据治理是一项动态的工作,组织与平台的搭建均需考虑容错能力与弹性,所以在未来我国经济不断发展的背景下,跨境数据交流、交换的业务场景将变成新的重点。相关内容依然可以在顶层数据治理体系的框架内加以分析并落实。在考量不同区域、国家法律法规要求下,针对不同的业务诉求,明确监管侧责任,进而确定企业和组织对外发展过程中的数据安全治理与管理的义务与边界。