國有企業數字化轉型中的數據安全與治理路徑
——基于信息生態視域

董木欣，徐玉德（博士生導師）

近年來，數字經濟持續快速增長，成為重組全球要素資源、重塑全球經濟結構[1]、加速全球經濟復蘇的新引擎。隨著大數據、人工智能、物聯網等新技術的不斷涌現和應用創新，網絡和數據安全問題頻發，成為數字經濟高質量發展及國家安全管理創新的重要制約因素，關乎公民個人隱私保護和社會穩定運行。黨的十九屆六中全會明確指出，要統籌發展和安全，使我國經濟邁上更高質量、更為安全的發展之路。國有企業作為推動我國數字化、智能化升級的排頭兵，在建設新型數字基礎設施、構建數字經濟運行系統的過程中發揮著中堅力量。國有企業涉及國防、能源、鐵路、電信、公用事業等關系國計民生的重點領域，國有企業數字化轉型中的安全隱患和數據風險問題不僅影響數字化經營主體，更與我國經濟社會整體發展息息相關，甚至可能危及國家的總體安全。當前，我國數據安全治理處于發展初期，企業數據安全治理能力參差不齊。《數據安全法》的頒布實施明確了數據安全的范疇，為保護國家、企業和個人的數據安全提供了頂層設計和法律支撐。提升數據安全治理能力成為數字經濟發展和國有企業數字化轉型面臨的緊迫議題。

目前，國內學界對于企業數據安全的研究主要集中在用戶隱私保護[2，3]、法律倫理[4-6]、體系構建[7-9]、數字技術[10-12]、數據產權[13，14]、數據開放共享[15，16]等領域，鮮有研究聚焦于國有企業數字化轉型帶來的數據安全風險問題。本文以信息生態為研究視角，深入分析數字化轉型下國有企業信息生態系統的數據資源、數據主體、數據環境和數據技術，構建基于信息生態模型的數據安全治理框架，以期為規劃國有企業數據安全治理路徑提供借鑒。

一、數字化轉型背景下企業信息生態系統的要素分析

信息生態系統由信息、信息人、信息環境和信息技術四個基本因子構成[17]，其核心在于在信息技術的支撐下，信息及周邊環境構成一個有機整體，實現信息的流動、循環及整合[18，19]。在數字經濟背景下，數據作為新的生產要素，成為企業的核心資產，也是企業數字化轉型的運行基礎。數據驅動企業轉型升級過程中形成的信息生態系統包括數據主體、數據資源、數據環境和數據技術四個基本要素[20]（見圖1）。

圖1 企業數字化轉型的信息生態系統

1.數據主體。在企業進行數字化轉型的過程中，企業、政府、社會組織和公眾個體構成企業信息生態系統的數據主體，也是數據資源的生產者、傳輸者、應用者和加工者。各數據主體既是數據的提供者，同時也是數據的使用者和監督者，形成了數據運行共生互惠、競爭依存的協同網絡鏈條，為數據全生命周期管理和數據資源價值挖掘提供保障，支撐數據流動在主體之間的動態平衡和良性循環。

2.數據資源。數據資源是企業和其他數據主體在數字化生產、經營、運行中產生的全部數據的集合，涵蓋企業內部經營管理數據、用戶行為數據、物聯網設備采集數據以及政府、社會、上下游企業關聯的外部數據。數據資源全生命周期包括數據的產生、采集、傳輸、存儲、處理、交換、共享和銷毀等。在整個數據生命周期中，實現企業數據價值的創造、增值和反饋。數據資源是企業信息生態系統的處理對象，系統以數據資源為核心，聯結其他系統要素實現系統穩態運轉。

3.數據環境。數據環境提供了數據流動的背景和空間，包括企業內部環境和社會外部環境。其中，內部環境由企業制度規范、流程控制、組織架構、企業文化、數據戰略、績效考核等構成，為企業數據全生命周期管理提供內部保障。外部環境包括國家政策、法律法規、經濟環境、市場環境等，能夠有效引導數據流向，規范數據治理，深入滲透數據產生、流動、加工、整合、應用的全鏈路管理。

4.數據技術。數據技術是企業信息生態系統的基礎支撐和全面挖掘數據價值的技術保障，包括數字技術和企業信息基礎設施。新一代數字化浪潮席卷各行各業，以“大智移云物區”為代表的數字技術被迅速應用到企業數字化轉型的各個業務場景，并在動態監控、智能預測、輔助決策、科學管理等方面發揮了算法、算力的智能引領作用。信息基礎設施包括骨干線路、寬帶接入等網絡基礎設施和業務平臺、信息系統等應用基礎設施。信息基礎設施為數據流轉、運行提供媒介通道和質效保障。

二、國有企業數字化轉型引發數據安全與風險挑戰

在企業信息生態系統中，數據主體、數據環境和數據技術在與數據資源聯通的過程中，由于法律不健全、制度不完善、管控不到位、技術局限、保護意識欠缺等，容易引發不同程度的數據風險。國有企業遍及國民經濟的核心領域，同時承接通信、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業的關鍵基礎設施建設。國有企業數據一旦遭到破壞，導致功能喪失或信息泄露，將嚴重危害國家安全、國計民生和國民公共利益。創新與安全是國有企業數字化轉型的一體兩翼，數據安全治理瓶頸與追求高質量賦能之間的矛盾，向國有企業數據風險管控提出了更高的要求。隨著國有企業數字化轉型縱深推入，數據安全的不確定性愈發凸顯。因此，在充分激發數據要素活力的同時，也需及早研判數據驅動引發的數據風險問題。

1.數據主體間的數據流動存在安全隱憂。在國有企業、政府、上下游企業、用戶等數據主體內部與主體之間進行數據傳輸、交換與共享的過程中，形成的數據開放性與安全性的治理沖突，也對傳統數據監管秩序提出了挑戰。在用戶數據索取環節，通常通過瀏覽器、APP等用戶終端進行數據采集[21]，人臉識別、指紋采集等設備可以直接獲取個人生物敏感信息，一旦保護不當即可造成個人隱私泄露。在上下游企業數據交換和監管機構數據提交環節，數據在不同主體的遠程服務器中進行存儲和加工，以實現數據流動。因行業及企業間差異較大，不同主體的數據接口規范和通信協議有很大差別，在數據采集過程中企業為獲取更加全面的數據容易引發過度索權和數據泄露風險。同時，國有企業主責主業與各行各業緊密關聯，數據相關方呈復雜網絡關聯狀態，數據權屬情況不夠清晰，在數據保護中容易造成責任推諉，增加數據安全保護的難度。

2.數據環境中制度缺位造成數據安全漏洞。在企業內部環境中，數據安全意識欠缺、數據安全管理制度不健全、組織架構流程不完善、數據安全保護戰略不明晰等均會帶來數據安全管理漏洞，增加數據流轉、加工、應用環節的泄露風險。在已發生的數據安全事件中，很多員工都因安全警覺性不夠高而遭受外部攻擊，導致關鍵數據泄露。在企業外部環境中，《網絡安全法》《數據安全法》和《個人信息保護法》是構建我國數字生態安全的法制基石，為數字經濟發展提供了網絡和數據安全保護的法律屏障。然而，數據分級分類管理制度仍待細化，數據產權歸屬問題仍需明確，數據開放與數據保護邊界仍未界定，企業數據安全管理辦法尚待落實，導致企業在追求數據價值創造的過程中，容易忽視數據安全保護問題，造成隱匿數據風險。

3.數據技術嵌入應用容易引發數據泄露風險。數據技術是數字化轉型的雙刃劍。5G、大數據、人工智能、云計算、物聯網等技術的嵌入應用為企業數字化轉型升級提供了必要的技術支撐。但隨著新技術的普及應用，惡意代碼植入、系統篡改、數據竊取等風險事件也頻繁發生。近年來，互聯網個人隱私泄露事件頻發，平臺數據泄露問題屢見不鮮。一是基礎設施入侵風險。新興技術往往采用更加高速、靈活、開放的網絡架構，同時聯結大量的虛擬設備、傳感器和控制器等。國有企業在建設數字化基礎設施的過程中，網絡結構愈發復雜，設備數量與多源異構數據量顯著增長，為黑客提供了更多的攻擊目標，極大地提升了風險指數。二是云平臺數據泄露風險。隨著云技術的廣泛應用，業務云、監管云、安全云層出不窮，在國有企業的應用不占少數。因存在關聯主體多、管理鏈條長、安全能力弱等問題，如果國有企業對云存儲的依賴持續增強，可能會引發嚴重的數據安全問題。

三、國有企業數字化轉型的數據安全治理框架

數據安全對各行業領域國有企業的生產運營舉足輕重，如何構建全方位的數據安全體系，保障數據流動合規有序，在數據全生命周期過程中確保數據不丟失、不泄露、可追溯、不被篡改等，已成為數字經濟時代對企業數據安全的核心要求。當然，數據安全不是單方面強調數據的絕對封閉，關鍵在于維護數據完整安全和促進數據價值創造相平衡[22]。國有企業在數字化轉型的過程中，需解決數據累積問題，充分挖掘數據價值，全面開展數據治理工作需要統籌業務數字化、數據安全治理和企業轉型升級三方面的協同管理。國有企業數字化轉型過程中的數據安全治理框架[23]如圖2所示。

圖2 國有企業數字化轉型中的數據安全治理框架

1.數據資源匯聚是國有企業數據安全治理的邏輯起點。財務、營銷、生產、辦公、組織等業務數字化處理過程中產生的大量數據形成企業內部數據資源，政府、社會組織、上下游企業、用戶個人產生的數據作為外部數據資源，匯聚流入企業數據資源中心，構成國有企業數據安全治理的邏輯起點。數據資源具有海量、多源、異構等特點，包括主數據、元數據、業務數據、分析數據、時序數據等。

2.數據全生命周期管理是國有企業數據安全治理的核心。對數據資源的安全治理應覆蓋數據全生命周期管理，包括數據采集、傳輸、存儲、處理、交換、共享、應用和銷毀安全。在數據采集階段，要明確數據采集規范，健全數據采集風險評估制度，避免過度采集；在數據傳輸階段，使用適當的加密算法對數據進行加密傳輸，保證數據傳輸安全；在數據存儲階段，制定存儲介質和存儲系統的安全防護標準，防范數據存儲風險；在數據處理階段，對數據進行適當的脫敏處理，避免關鍵信息泄露；在數據交換、共享和應用階段，通過數據“可用不可見”加密算法，在實現數據價值最大化的同時確保數據安全；在數據銷毀階段，保證數據被徹底銷毀，無法復原，防范數據泄露風險。

3.數據安全基礎設施為國有企業數據安全治理提供技術保障和運營支撐。以5G網絡、大數據、物聯網、邊緣計算、人工智能等新一代數據技術為基礎的數據安全基礎設施為數據安全治理提供底層技術工具，服務數據全生命周期管理，也是國有企業數字化轉型的技術保障。在算法、算力的支撐下，數據安全運營中心對數據資源中心進行實時監控，包括數據服務、數據分析、合規監管和態勢分析等。通過對匯聚數據的動態分析，及時預警并針對異常進行處理，切實保障數據安全。

4.內外部數據環境為國有企業數據流動提供良性治理空間。企業數據安全戰略、制度、組織和人員構成企業內部數據環境，包含數據效益、數據質量、數據標準等全功能、全流程管理，同時為全面數據安全治理提供組織架構、管理機制和人員保障。內部數據環境與國家政策、法律法規、經濟、文化等外部環境共同構成企業數據環境，為企業數據安全流動提供良性治理空間。

5.數據安全是促進國有企業轉型升級的基礎和前提。以國有企業數據安全治理為基礎，全面保證產品創新、生產運營、用戶服務、產業體系的轉型升級，以數據開發利用和企業創新發展促進數據安全防范，以數據安全治理保障數據價值增值和企業轉型升級，最終實現數據價值創造的數據安全管控循環。

綜上，在國有企業數字化轉型過程中，數據主體、數據資源、數據環境和數據技術相互協同，促進業務數據匯聚、實現數據安全治理、推動企業轉型升級，最終服務企業價值創造。

四、數字化轉型過程中國有企業數據安全治理的路徑選擇

在國有企業數字化轉型的進程中，大多數國有企業領導已明確數據安全治理的重要意義，目前已有近60%①的國有企業實現了關鍵設備數據安全防護的自主可控。在數據安全管理上，越來越多的國有企業從針對個體軟件、設備的被動式安全管理轉向構建全系統的主動安全防御體系。國有企業數據涉及國家安全的各個領域，近年來國家層面不斷加大對數據安全的監管力度，如何在滿足數據安全的前提下，實現數據開放和應用，是每個國有企業必須面對的問題。在推進國有企業數字化轉型的進程中，應充分平衡數據價值創新與數據安全保護難題，同時發揮國有企業在產業生態中的引領作用，推動我國數字經濟健康、安全發展。深入國有企業數字化改革，加強數據治理，保障數據安全，需要在國家層面、社會層面和企業層面協同發展，共同推進國有企業轉型升級，對標世界一流企業邁進。

1.加強頂層設計，強化國家、行業層面數據安全指引。

（1）完善監管體系，為國有企業數據安全治理提供指導。以《數據安全法》為指引，完善行業數據安全管理辦法，建立國有企業數據安全管理規范，明確安全主體責任和防護要求，構建覆蓋企業信息生態系統的全域安全監管體系。圍繞數據全生命周期的安全保護要求，制定更加細化的數據分級分類管理辦法，加快推進數據安全監控、數據脫敏、數據加密等核心安全技術攻關。強化關鍵領域數字基礎設施安全保障，確保系統、算法、硬件等數據基礎設施自主可控。

（2）建立考核機制，加快推進國有企業數據安全治理進程。管規則是“黨管數據”的重要體現。國資委應進一步加強國資數據統一監管，使國有企業成為“黨管數據”的重要載體，做到國有企業數據管得住、用得好。同時，國資委應用好績效考核的指揮棒，細化國有企業數據安全治理戰略、規劃、路線和管理的指標要求，將數據安全治理工作量化，全面配合“黨管數據”的實施和落實，切實保障國有企業數據安全。

2.加強社會監督，實現數據安全全域協同監管。社會團體、社會組織、大眾傳媒和公眾個人等為保障國家、社會公眾利益可對國有企業開展廣泛的社會監督，提高行業、企業的監管效率。社會監督是數字化環境下規范企業數據安全治理，防范數據風險，彌補信息不對稱缺陷的重要途徑，接受公眾和輿論監督也是國有企業履行社會責任的重要體現。國有企業應適時披露數字化轉型進程及數據安全治理的相應舉措和成效，加強數據安全審計，通報數據安全典型案例及用戶隱私保護情況，及時防范因數據泄露造成企業、個人利益損失甚至國家安全威脅。建立網格化社會全域協同監督機制，提高公民參與監督數據安全的積極性，充分發揮國有企業在產業生態中的引領作用，帶動生態企業形成互相監督、互相促進的數據安全治理良性循環，以社會監督反饋政府監督，建立政府、社會組織、企業、用戶個人協同監督的數據安全治理新局面。

3.加強內部風險管控，全面重構國有企業內部數據安全管理機制。“打鐵還需自身硬”，加強國有企業數據安全治理的核心落腳點在于提高國有企業自身安全意識、組織流程、制度規范、基礎設施的軟科學和硬實力。一是在國資管理部門的指導下，制定與國有企業戰略規劃相匹配的數據安全治理戰略，支撐數據安全治理路徑實施與過程管控。完善業務流程和安全管理制度，加強職工安全培訓，增強數據安全保護意識，提高應對風險的敏感性。二是繼續加快關鍵數字基礎設施的國產化替代，保證基礎軟件、基礎硬件、應用軟件等獨立自主。提高軟件系統穩健性，預防外部代碼入侵和內部程序缺陷導致的系統崩潰和信息泄露，同時加強網絡、平臺、硬件設施的安全防護，確保關鍵數據的網絡安全和存儲安全。三是建立國有企業首席數據官（Chief Data O fficer，CDO）制度，統一解決國有企業數據安全治理相關問題。目前，首席數據官形式在部分企業和政府機構已開展一些探索[24]，是數據治理的重要組織載體，可有效統籌國有企業數字化轉型進程中存在的數據治理和數據安全問題。國有企業應注重平衡創新與安全、開放與風險、數據挖掘與隱私保護的關系，保障數據物理安全、網絡安全、系統安全和應用安全，為建立更加科學、安全的數字化轉型機制保駕護航。

【注 釋】

①數據來源：《2021國有企業數字化轉型發展指數與方法路徑白皮書》，中關村信息技術和實體經濟融合發展聯盟、中國企業聯合會，2021年12月。

【主要參考文獻】

［1］習近平.不斷做強做優做大我國數字經濟［EB/OL］.http://www.qstheory.cn/dukan/qs/2022-01/15/c_1128261632.htm，2022-01-15.

［2］劉權.數據安全認證：個人信息保護的第三方規制［J］.法學評論，2022（1）：118～130.

［3］黃國彬，劉馨然.移動網絡環境下企業引發的個人數據安全風險研究［J］.圖書情報工作，2017（10）：57～67.

［4］朱雪忠，代志在.總體國家安全觀視域下《數據安全法》的價值與體系定位［J］.電子政務，2020（8）：82～92.

［5］韓洪靈，陳帥弟，劉杰，陳漢文.數據倫理、國家安全與海外上市：基于滴滴的案例研究［J］.財會月刊，2021（15）：13～23.

［6］許多奇.論跨境數據流動規制企業雙向合規的法治保障［J］.東方法學，2020（2）：185～197.

［7］孫紅梅，賈瑞生.大數據時代企業信息安全管理體系研究［J］.科技管理研究，2016（19）：210～213.

［8］朱姝姝.基于COBIT框架的企業敏感數據安全保護系統架構和功能設計［J］.信息安全與通信保密，2020（7）：115～121.

［9］冷曉彥.大數據時代的信息安全策略研究［J］.情報科學，2019（12）：105～109.

［10］馮朝勝，秦志光，袁丁.云數據安全存儲技術［J］.計算機學報，2015（1）：150～163.

［11］陳左寧，王廣益，胡蘇太，韋海亮.大數據安全與自主可控［J］.科學通報，2015（Z1）：427～432.

［12］董軍，程昊.大數據技術的倫理風險及其控制——基于國內大數據倫理問題研究的分析［J］.自然辯證法研究，2017（11）：80～85.

［13］馬宇飛.企業數據權利與用戶信息權利的沖突與協調——以數據安全保護為背景［J］.法學雜志，2021（7）：160～172.

［14］秦榮生.企業數據資產的確認、計量與報告研究［J］.會計與經濟研究，2020（6）：3～10.

［15］盛小平，郭道勝.科學數據開放共享中的數據安全治理研究［J］.圖書情報工作，2020（22）：25～36.

［16］張濤.藏智于民：開放政府數據的法理基礎與規范重塑［J］.電子政務，2019（8）：75～90.

［17］霍明奎，蔣春芳.基于信息生態理論的政務微信平臺用戶互動意愿影響因素及提升策略研究［J］.電子政務，2020（3）：110～120.

［18］Davenport T.H.，Prusak L..Information Ecology：M astering the Information and Know ledge Environment［J］.Academy of Management Executive，1997（3）：86～90.

［19］Nardi B.A.，Vichi L.O..Information Ecologies：Using Technology w ith Heart［M］.Massachusetts：The M IT Press，1999.

［20］佟林杰，劉博.信息生態視域下政府數據開放中的數據安全和隱私保護問題研究［J］.圖書館理論與實踐，2020（5）：67～72.

［21］朱光，豐米寧，劉碩.大數據流動的安全風險識別與應對策略研究——基于信息生命周期的視角［J］.圖書館學研究，2017（9）：84～90.

［22］王軼辰.數據治理應平衡好安全與創新［N］.經濟日報，2021-09-04.

［23］徐玉德，董木欣.國有企業財務數字化轉型的邏輯、框架與路徑［J］.財務與會計，2021（17）：4～7+21.

［24］張濤.數據治理的組織法構造：以政府首席數據官制度為視角［J］.電子政務，2021（9）：58～72.