我國數據安全治理發展趨勢、問題與國外數據安全治理經驗借鑒

呂明元，弓亞男

（天津商業大學，天津 300134）

隨著我國數字經濟的迅速發展，數據安全已成為國家安全的重要領域。《中華人民共和國數據安全法》自2021 年9 月正式實施；2021 年11 月中共中央政治局會議上習近平總書記主持審議了《國家安全戰略(2021—2025 年)》，強調加快提升數據安全的治理能力；2022 年6 月中央全面深化改革委員會審議通過《關于構建數據基礎制度更好發揮數據要素作用的意見》。數據安全已經上升到了國家戰略層面，構成數據基礎制度的核心要義之一。我國的數據安全治理處于起步階段，目前針對產業、企業層面數據安全的保護措施未得到細致規定與落實，如何借鑒國外經驗，盡快建立較為成熟的數據安全治理體系，推動我國數據安全治理逐步完善，成為當務之急。

1 研究述評

數據安全領域的國內研究早年往往集中于某一細分領域，對國家整體數據安全治理的研究較少。其中，李雪迎等［1］根據相關法規構建臨床研究數據安全等級劃分策略；張利華等［2］對微電網數據安全進行研究；黃如花等［3］從政策、法律等方面總結了我國政府數據開放過程中的經驗和存在的問題，提出政府開放數據的安全保護對策。近年來，部分學者開始從國家、企業、個人層面對我國數據安全治理展開研究，如董木欣等［4］認為數據風險是國有企業數字化轉型的制約條件，深化數據安全治理對國有企業轉型升級具有重要意義，并從國家、社會和企業層面提出了治理路徑；崔平等［5］立足于我國當下在數據貢獻確算、數據確權和數據安全方面的困難，提出要協調政府與市場作用，確定數據為二元主體共同持有，建立多元共治的數據安全治理體系。同時有部分學者開展了中外數據安全治理的比較研究，如劉春年等［6］將中外數據安全政策進行了比較，認為我國數據安全政策存在覆蓋面不夠、政策要素比例不平衡、激勵較輕等問題；闕天舒等［7］立足于全球視野，認為數據安全治理存在規則分散、機制作用力不夠、治理力度弱等問題，提出我國在參與全球數據安全治理中的可選路徑。

近幾年來，主要發達國家相繼發布了大數據相關的戰略決策，在國外的相關研究中，部分學者分析了各國已發布的數據安全政策、法律對某一對象的影響，如Martin 等［8］研究了歐盟出臺的《通用數據保護條例》對創新創業的影響，其中3 個公司的反饋為刺激創新，3 個公司為限制創新，Momen 等［9］研究表明《通用數據保護條例》實施后應用程序隱私的保護情況得到了改善；也有學者對不同國家的數據安全保護模式進行了比較，如Custers 等［10］以8個歐盟成員國為研究對象，從5個方面進行綜合比較，結論為由于各國法律執行力、可用預算、文化制度差異，導致了各國數據保護機構執行力的差異。

綜上，目前國內的數據安全研究或著重分析某一領域、某類數據的安全治理工作，內容大多偏向法學、情報學，或在進行中外比較時多從單一的政策、法律角度對數據安全治理進行研究，缺乏通過借鑒國外經驗提出針對我國數據安全治理的可行性對策的研究；國外的研究往往著眼于單一國家的范圍，并未進行多個國家的線性梳理及總結。目前還沒有研究從經濟學角度對國內外數據安全治理進行分析、總結國外數據安全治理的方法與經驗，為我國數據安全治理提供借鑒。鑒于此，本研究分析我國數據安全的治理現狀及現存問題，并以美國、德國、日本、韓國作為研究對象，從政府、法律、行業、企業等方面對其相關實踐進行經驗總結，以期為我國盡快建立較為成熟的數據安全治理體系、推動數據安全治理逐步完善提供一些參考。

2 我國數據安全治理現狀及存在的問題

2.1 數據安全治理進展

（1）制度政策和基礎設施方面推進數據安全建設。2016 年8 月，中共中央網絡安全和信息化委員會辦公室發布《關于加強國家網絡安全標準化工作的若干意見》，在發展高端制造業和《促進大數據發展行動綱要》等國家戰略的要求下，推進關鍵信息基礎設施保護、大數據安全、網絡安全等領域的標準研究和制定工作。2017 年《網絡安全法》正式實施，網絡運行安全和關鍵信息基礎設施安全、網絡安全等級保護制度等工作逐步加強。2021 年3 月，國家互聯網信息辦公室聯合四部門共同發布《常見類型移動互聯網應用程序必要個人信息范圍規定》，對過度利用個人信息的現象進行整治。2021 年4 月，《關鍵信息基礎設施安全保護條例》出臺，我國大力推進以5G、人工智能、工業互聯網、數據中心為代表的新型基礎設施建設，為實現數據安全奠定基礎。除國家層面出臺的政策文件外，各省區市也在積極探索數據安全保護政策，如《貴陽市大數據安全管理條例》（2018 年）、《海南省大數據開發應用條例》（2019 年）、《天津市數據安全管理辦法（暫行）》（2019 年）和《深圳經濟特區數據條例（征求意見稿）》（2021 年）等。

（2）法律上逐步形成數據安全保護體系。2021年《數據安全法》和《個人信息保護法》的相繼出臺，填補了我國在數據安全立法上的空白，與《網絡安全法》《民法典》共同構成數據安全保護基本框架。《數據安全法》首次明確數據權益，規定國家保護個人、組織與數據有關的權益，承認了數據的權益性特征。《個人信息保護法》規范了個人信息收集過程，對個人信息所有者的權益給予了法律上的強制保護。目前，中國沒有設立專門的數據保護機構，對危害數據安全的行為主要由有關主管部門責令改正、給予警告，如國家互聯網信息辦公室負責與互聯網安全相關的監督工作，工業和信息化部下屬網絡安全監管局和各省級電信管理部門、公安部、各級市場監管局等相關部門負責其管轄范圍內的數據安全監督工作。

（3）完善數據安全治理制度與機制。一是建立數據分類分級保護制度，以數據在經濟社會發展中的重要程度和遭到披露會造成的危害程度為衡量標準，對數據實行分類分級保護。對重要數據建立重要數據目錄；對關系到國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據，實行更加嚴格的管理制度。二是建立數據安全風險評估、報告、信息共享、監測預警機制，建立數據安全審查制度和數據安全應急處置機制。三是強調政務數據的安全與保護。制定政務數據開放目錄，建設政務數據開放平臺，在保障政務數據安全的前提下推動政務數據開放利用。

（4）特定行業中數據安全得到保障。近幾年各行業出臺了一系列數據安全相關的標準，如：中國人民銀行等制定了《個人金融信息保護技術規范》（2020 年）、《金融數據安全 數據生命周期安全規范》（2021 年）；中國銀保監會發布了《中國銀保監會監管數據安全管理辦法（試行）》（2021 年）；國家互聯網信息辦公室起草了《汽車數據安全管理若干規定（征求意見稿）》（2021 年）；工信部印發了《電信和互聯網行業數據安全標準體系建設指南》（2020 年）。這些標準指南與已有的行業行政法規一起，共同保障行業數據安全。

（5）探索建設數據安全產業示范區。2017 年，貴陽經濟技術開發區經批準建立了全國第一個大數據安全認證示范區，致力于促進貴陽市大數據安全產業集聚。截至2020 年，該示范區已有大數據安全企業及相關機構120 余家［11］，是全國大數據安全企業的重要聚集地，初步形成了大數據安全產業生態體系，為國內其他地區發展大數據安全產業提供了可借鑒經驗。

2.2 數據安全治理存在的問題

（1）數字基礎設施建設有待加強。根據世界銀行［12］數據，2020 年中韓接入固定寬帶互聯網用戶率分別為33.6%和43.5%，2010 年我國這一數據僅為9.2%，而美德日韓均在26.5%以上，其中韓國為34.7%。可見，我國數字基礎設施的服務能力在短時間內與發達國家仍有一段距離，數據安全治理起步較晚。國家統計局［13］560數據顯示，2020 年長途光纜線路長度四川省（最大值）與海南省（最小值）相差121 873 km。地區間的數字基礎設施配置不平衡，特別在一些偏遠貧困地區，老舊的生產設備難以支撐數據安全的實現，區域基礎設施建設的不同步，必然導致地區間“數字鴻溝”問題日益嚴重［14］。2020 年，西藏自治區一般預算收入合計約為廣東省的1.7%［13］225-227。西藏等地區地方政府的財政收入難以支撐本地區長期的基礎設施建設，導致對基礎設施研發資金的投入不足。同時，投資渠道狹窄使得我國在關鍵核心技術上與發達國家存在差距，只有牢牢掌握核心技術，才能在激烈的國際競爭中展現中國力量，真正走在數字基礎設施建設的前列。

（2）數據保護法律體系有待完善。我國數據保護法律體系的不完善不僅表現在細分法律的缺失上，如在數據跨境流動的法律規范上沒有出臺專項法規，只在《數據安全法》的個別條例中對數據的跨境流動進行規范。如《數據安全法》第三十一條規定關鍵信息基礎設施的數據處理者在境內運營產生的重要數據的跨境流動要遵循《網絡安全法》，其他數據處理者在境內運營產生的重要數據的跨境流動由國家網信部門和其他相關部門制定。由于沒有對數據跨境流動進行專門的法律規定，直接導致已有條例具體實施的難度增大，以及大眾對數據跨境流動法律規定的認知不足。同時《數據安全法》和《個人信息保護法》剛剛實行，法律在現實環境中的具體應用情況還不明朗，在個人、政府、社會數據的收集、使用和管理上還沒有形成完善、成熟的流程。截至2022 年6 月，在中國裁判文書網搜索與數據安全、數據保護相關的案件裁定書僅有708 份。由此可見，目前我國用戶對個人信息的使用情況不能被充分告知，維護自身數據主權的意識淡薄，在個人權益受到侵害時往往處于被動；數據處理者普遍把數據作為一種工具，沒有意識到擁有數據的同時應承擔的責任。

（3）行業和企業數據安全監管有待加強。2021年我國重大數據泄露事件中，遭到泄露的數據來源廣泛，涉及到銀行、社交媒體、購物軟件、求職平臺、電銷公司……2022 年廣州數據安全論壇峰會上，中國工程院院士方濱興指出，近年來數據安全事件涉及領域廣，包括工業、金融、醫療健康、教育等多個行業［15］。數據安全事件頻發反映出目前大多行業和企業對數據的重視程度不夠，投入的人力、物力、財力資源不足，缺少專門的數據安全的監管機構，沒有針對自身情況制定合適的數據管理制度、申訴制度、數據保護官制度，同時員工對數據安全的界定不清晰，數據安全意識淡薄；大部分企業沒有根據實際業務需要對數據收集的詳細程度作出明確規定，組織內的數據流動具有隨意性，容易在此過程中發生數據泄露。2019 年阿里云用戶注冊信息泄露事件中，浙江省通信管理局對阿里云作出責令整改的處理［16］，并未對企業和泄露數據員工作出實際處罰，數據遭泄露者是否得到相應賠償也未公開說明，用戶未來遇到類似事件的維權流程依然不透明。規范行業和企業內部對數據安全事件的事前防范和事后彌補仍然任重道遠。

（4）國家數據主權問題不容忽視。隨著國際數據競爭的加劇，日益頻繁的數據跨境流動形成了潛在的國家安全隱患，國家數據主權問題也日益受到關注。根據Synergy Research Group［17］的數據，截至2021 年9 月末，全球超大規模數據中心數量增加到700 個，美國關鍵信息技術（IT）負載量占全部數據中心總和的49%，是名副其實的“數據中心國”。2020 年夏天，美國聯合印度、澳大利亞等國，以數據安全為借口，以安全調查結果違規為由，對我國互聯網公司TikTok 進行公開的限制和使用［18］。該事件說明，美國實際上已經開始了對我國的數據打壓，意圖把我國排除在國際數據安全治理體系之外，不排除未來會推出將有損我國數據安全的審查規則、侵犯我國的國家數據主權。美國以數據安全為由對他國行使“長臂管轄”，進而侵犯他國國家數據主權的現象值得高度重視。

3 發達國家數據安全治理的主要經驗

3.1 加強政府規劃引導和數據安全頂層設計

（1）美國強化政府在國家數據安全中的主導作用。2015 年美國發布新版《美國創新戰略》，通過政府投資支持下一代信息通信技術（ICT）研究作為其創新戰略的基石，強化了政府在國家數據安全中的作用。同時，美國把維護互聯網空間安全作為重點工作，2019 年制定為期10 年（2020—2030）的聯邦數據戰略（FDS），采取合理的數據安全措施確保數據使用的可問責性和透明度，建立公眾信任。

（2）德國推動政產學研合作共建數字生態系統。2020 年1 月，德國倡議打造“歐洲數據云計劃”（GAIA-X），使數據生態系統和基礎設施生態系統聯系起來，共同組成了數字生態系統。公共部門可以借此進行數據安全存儲；私人企業能通過該基礎設施充分利用數字環境的優勢進行合作。

（3）日本設立專門機構保障數據安全。2000 年，日本國際貿易與工業部宣布“安全電子政務行動計劃”。日本還設立了專門保護個人信息安全的機構，2016 年設立個人信息保護委員會（PPC）監督《個人信息保護法》的應用，為維護個人信息安全提供指導。PPC 還與金融廳、厚生勞動省聯合發布財務指南及個人醫療信息保護指南。

（4）韓國政府專設數據安全保障機構。2004 年，韓國信息產業部為保障“IT839”戰略下的數據安全，致力于研發加密和認證技術、輕量級隱私保護加密技術。政府部門在發布戰略時會重點考慮數據安全問題，總理辦公室下設個人信息保護委員會（PIPC），作為韓國負責數據保護的主導機構，并指定韓國互聯網和安全局（KISA）為有權接收個人信息泄露報告的專屬機構。

3.2 強化法律規范，建立數據安全保護體系

（1）美國完善數據安全立法，建立數據安全保護體系。2000 年以前，美國已出臺一系列聯邦層次的個人信息保護法，形成了美國數據安全保護體系的基礎。1966 年出臺《信息自由法案》保護信息安全。1973 年頒布的《記錄、計算機和公民權利》首次提出了公平信息實踐法則，開創性地賦予信息所有者一系列權利并規定了信息處理者的義務，對美國乃至世界的信息安全相關法律影響巨大。目前，美國數據安全立法沒有統一的聯邦數據安全法，而是針對不同的行政區域、部門、行業、人群進行單獨立法。

（2）德國注重數據安全與經濟發展新平衡。德國《聯邦數據保護法》自1977 年頒布以來，考慮到數字經濟時代數據自由流動帶來的經濟效應，修訂法案逐漸對之前嚴格的數據保護作出讓步。歐洲層面上，從《自動化處理個人數據之個人保護公約》（1981 年）到《通用數據保護條例》（2016 年），都體現出其捍衛數據安全以及數據主體權利的堅定態度。此外，歐盟委員會的《數據治理法案》（2020年）將促進整個歐盟以及各部門之間的數據共享，為歐盟經濟發展和社會治理提供支撐。

（3）日本通過“三法合一”，統一管理公私部門數據安全。1988 年以來，日本相繼出臺《行政機關計算機處理的個人信息保護法案》等3 部與個人信息保護相關的法律，2021 年將此3 部法律合一，新的《個人信息保護法》統一了地方公共團體在個人信息保護方面的規則。

（4）韓國“三法”分立，構建數據安全法律體系。韓國設立了《個人信息保護法》《信息通信網絡的利用促進與信息保護法》及《信用信息使用及保護法》，并通過不斷修正完善數據保護法律體系。此外，《信息保護產業振興法》（2015 年）、《國家網絡法案》（2017 年）等其他法律也在數據安全方面發揮著作用。

3.3 加強行業和企業的數據安全管理

（1）美國針對農作物保護業和電信業的數據安全措施。在農作物保護業，美國針對與該行業產品相關的重要數據制定了保護措施，給予數據擁有者為期10 年的知識產權保護［19］。美國電信業為解決多種質量標準并行帶來的成本過高問題，成立了QUEST 論壇，通過多種技術手段為相關公司數據安全提供保護［20］。

（2）德國針對工業和機器人行業的數據安全措施。德國保障制造業系統安全措施包括制定統一的數據安全架構和標準，對生產要素和生產流程等進行安全評級，制定預案減少數據安全受損帶來的利潤損失，以及通過公司培訓和高校必修課設立提高公眾數據安全知識素養［21］。在機器人行業，通過機器人公司對個人數據進行假名化處理，保證數據在傳輸過程中的安全；在企業內部設立數據保護專員，專職負責數據安全問題［22］。

（3）日本在管理制度和技術層面加強企業數據安全管理。管理制度層面，IBM 日本分公司以日本《個人信息保護法》為基礎制定了內部隱私保護政策。在技術層面，富士通公司推出數據去識別化方案，使操作者能夠在對系統進行最小化改動的基礎上進行各種類型的數據匿名化操作［23］。

（4）韓國數據安全的法律保障與行業協會監管。韓國《個人信息保護法》規定了數據主體的個人信息泄露時管理者的應對措施，韓國政府賦予行業委員會保護數據安全的職責。韓國通信委員會負責監督《位置信息使用及保護法》的實施，金融服務委員會負責監督金融行業與信用信息有關的業務，監督《信用信息使用及保護法》的執行情況。

3.4 規范數據安全治理的規則與標準

（1）美國注重數據安全國家標準的制定與推行。美國國家標準與技術研究院2014 年出版《工業控制系統安全指南》（SP 800-82），國土安全部2011年發布《控制系統安全目錄：對標準開發人員的建議》等文件，保障數據采集、監視控制及工業控制系統的安全性。

（2）美國信息系統認證規范化是數據安全治理的重要手段。美國是最先開始信息系統認證與認可的國家［24］。美國國防部早在《防御信息保證認證和鑒定流程》2001 版中就把保護信息系統和國防信息基礎設施管理流程進行了細化，2005 版進一步提升信息系統和信息基礎設施的安全管理。

（3）德國信息技術安全標準的制定與實施。德國在1991 年制定了《貿易與工業部信息技術安全評估標準》（ITSEC），2004 年發布了《信息技術基線保護手冊》（ITBPM）等信息安全管理系統指南。ITBPM 強調信息技術安全，提供與信息技術基礎設施相關的通信方法，設立了8 個步驟和62 個模塊，把管理流程分為7 個階段：確定保護目標、界定安全概念、檢驗基本的安全級別、界定易變的核對清單、核對合適的保護等級、確定實施情況、自我認證。

（4）韓國信息技術安全管理規范化。韓國信息系統認證與認可（certification and accreditation，C&A）指南有：通信委員會信息安全管理系統認證（ISMS，2008 年）、信息安全檢查服務（ISCS）。ISMS 專注事先預防和事后補救措施，強調信息技術的安全性，設立了14 個管理要求和137 個控制目標以及5個階段，包括制定信息安全政策、管理系統范圍設定、風險管控、實際應用和崗位管理［25］。

4 發達國家數據安全治理經驗對我國的啟示

4.1 加強數字基礎設施建設是國家數據安全治理的重要保障

一是加大對關鍵數字基礎設施研發的投資力度。2016 年美國成立促進國家網絡安全委員會，撥款31億美元到信息技術現代化基金［26］；德國政府對“可信云計劃”“智能數據計劃”等數字技術進行了投資。通過借鑒美德政府在數據安全治理中展開的工作可知，加大加深政府參與度，深化政產學研合作，加大投資新興數字技術，建設數字基礎設施相關的高水平實驗室，牢牢掌握關鍵核心技術并實現核心技術的市場化，制定評估新技術實施效果的評價機制，對推動國家數據安全治理至關重要。

二是特別要重視欠發達地區數字基礎設施的建設，建立強大的覆蓋度廣的數字基礎設施。2015 年美國成立寬帶機會委員會，特別重視農村地區的寬帶普及率，為寬帶服務水平低下的社區引入寬帶，鼓勵新進入者和投資者，以提高寬帶質量和服務。以此為參考，可以在我國欠發達地區有針對性地設立專門機構，提高數字基礎設施的整體覆蓋率。發達國家十分注重基礎設施的共享性，共享基礎設施不僅能節約成本、緩解資源壓力，而且對于各方開展合作、集中力量開發數字創新技術也會起到不可忽略的作用。可以借鑒國外的“GAIA-X”計劃、國家制造業創新網絡、行業數據庫等共享基礎設施形式，致力于建設成熟的行業創新網絡群、數據庫，做到在完成數字基礎設施建設的覆蓋度與成熟度這類硬性指標目標的同時，提高基礎設施共享性等軟性指標。

三是推廣綠色數據中心建設。美國的企業選擇在可再生能源豐富的地區建立自己的數據中心，利用可再生能源提供電力［27］。目前我國的綠色數據中心大多在互聯網行業和金融、通信領域，應全面推進各個行業綠色數據中心的建設工程。首要對發達城市如上海、深圳、北京、廣州等地大企業的數據中心進行綠色改造，再充分選擇可再生能源豐富的地區新建一批數據中心，最終將綠色數據中心的建設范圍擴展到全國以及中小企業中。

4.2 更新修訂完善數據安全治理的法律體系

美德日韓在數據安全法等系列法律實施過程中，均會依據數字經濟的發展態勢對相關法規進行修訂，同時根據現實情況考慮法律之間的合并與拆分，進而不斷完善國家數據安全治理的法律體系。美國各州根據本地的數據流動和經濟發展情況正在積極制定各自的數據保護法案。與美德等聯邦制國家不同，我國可以充分借鑒日韓數據安全法律體系，根據現實情況適時進行相關法律修訂，找尋數據安全與經濟發展平衡點。以《數據安全法》和《個人信息保護法》為基礎，在各地區、各行業制定細分法律，完善我國數據安全法律體系；同時，可以選擇部分地區、行業（領域）建立試點，探索建立個人信息安全保護體系。

歐盟2016 年的《通用數據保護條例》（GDPR）采用了“選擇進入”機制，要求在進行數據后續處理前先取得數據主體的同意。而美國2018 年的《加州消費者隱私法案》（CCPA）更傾向于“選擇退出”機制。“選擇退出”機制詳細規定了個人信息處理者的行為，如企業在收集個人信息時無須征求用戶同意，但需要告知用戶被收集信息的內容以及目的，且在企業后續使用有關信息過程中用戶擁有選擇退出或拒絕個人信息被使用的權利。在法規實際操作和后續配套法律的制定上，“選擇退出”機制對個人信息處理者制定更加詳細的規則對我國具有借鑒意義，包括規定個人信息處理者回應時間、要求個人信息處理者制定專門程序，對個人選擇退出的請求予以重視，充分利用“雙機制”來保護個人信息安全等等。

4.3 設立數據保護專職機構專事數據安全管理工作

科學管理、有條不紊的數據保護機構能有效保護數據安全。2016 年美國建立聯邦隱私委員會，對保護公民和企業的數據安全和強化聯邦政府和州政府的網絡安全能力起到很大作用［28］。美德日韓的數據保護機構不僅有權監督法律的實施情況，而且可以授權其他單位共同開展數據保護工作。這些國家的數據保護機構雖然在權責劃分上不盡相同，但他們高效的運行機制和公信力是促進其所在國家數據安全取得一定成功的重要因素。我國行政人員眾多，擁有省、自治區、直轄市并存的行政區劃，充分考慮我國國情，設立單一的國家層面的數據保護機構無法有效保障數據安全的落實。而德國不僅設立了聯邦數據保護機構，其16 個州也都設立了各自的數據保護機構［29］，分別負責聯邦公共部門和州內各個實體的數據安全。借鑒德國的做法，我國可考慮同時在各個省、自治區和直轄市設立專門的數據保護機構，專職專責，監督各地區對《數據安全法》《個人信息保護法》等數據安全相關法律的應用，協助地方政府制定并實施地區數據安全政策與計劃，管理規范各部門在數據處理過程中的行為，及時對危害到數據安全的行為進行處置，積極實施補救措施。

此外，參考日本個人信息保護委員會（PPC）與金融廳、厚生勞動省聯合發布的專業指南，設立的數據保護機構可以與金融、教育、工業、醫療等行業協會展開合作，對轄區內重點產業進行定期檢查，對違反數據保護機構規定的行為進行處罰，不斷探索地區間合作機制，共同促進國家數據安全。

4.4 在企業層面建立一體化工作機制保障企業數據安全

德國企業設立數據保護專員負責數據安全工作，為企業數據安全提供了很大保障。我國中小企業可以在企業內部設立1～2 個數據安全保護相關職位，使員工與當地網信部門進行對接，并向企業高層匯報。同時，借鑒日本企業數據安全管理機制，全面考慮管理和技術層面，在企業內部建立數據安全一體化工作機制，培養企業數據安全意識文化，重視對人的管理和對機構的管理，制定詳細的獎懲措施。

一是明確企業數據安全的目標。針對不同數據所要求達到的數據安全級別不同，包括員工數據安全、產業鏈中涉及到與上下游企業溝通合作時的數據安全、客戶數據安全、企業外包業務的數據安全等等，嚴格把控對外來訪問系統的管理。二是管控企業數據安全風險。建立適應企業發展的數據安全管理制度。明確劃分責任范圍，保證企業在數據安全方面的投入。建立數據安全的應急處理程序，確保員工熟知公司數據安全管理制度，防止數據安全事件的發生。三是評估企業數據安全效率。建立數據安全成熟度評價體系，指定專門人員進行評估、分析結果、制定改進計劃的工作，定期對企業數據安全成熟度評級，并據此改進企業數據安全管理，不斷完善成熟度評價標準。四是提升數據安全技術和數據安全管理。日本富士通公司研發的信息網關和相關算法能夠保證企業與外部組織進行數據交流中的數據安全［30］。在數據安全技術上，要注重培養全經濟社會積極研發數據安全技術的風氣，鼓勵機構、組織、單位根據自身業務需要不斷研發新技術，改進舊技術。

4.5 結合行業不同特點制定行業數據安全管理標準

首先，制定特定行業數據安全標準是解決行業數據安全問題的關鍵。行業數據安全是國家數據安全的重要組成部分。參考美國在農作物保護業和電信業采取的措施、德國的《貿易與工業部信息技術安全評估標準》（ITSEC）等，制定行業數據安全標準。以現有法律規定為主要依據，在已出臺的數據保護相關法律基礎上，制定能夠規范特定行業數據安全的標準，使對信息技術安全性的判斷更加科學一致［31］。

其次，行業數據安全管理應結合我國各行業的不同特點。借鑒美德在農作物保護業、電信業、制造業和機器人行業推出的數據安全管理措施，根據不同行業的特點實行相應舉措；行業數據安全標準的試行和推廣應先在部分地區的優勢行業試行，在取得一定成效后向全國推廣。行業內部可以成立自發性組織負責監督行業數據安全，充分發揮政產學研合作的優勢，推動不同行業的數據安全管理工作。

再次，重視培育具備數據素養的高素質人才。韓國政府賦予行業委員會以保護數據安全的職責［32］，以便更好地實現法律對特定行業數據安全的保護作用。針對行業委員會需要的高數據素養型人才培養，應該從學校教育抓起，如設立數據安全課程，將數據安全思維深植在課堂教學中；在行業人員從業資格考試中針對數據安全有關的知識點設置題目，提高數據敏感行業的從業門檻。

5 結論

數字經濟時代，數據安全成為各國發展數字經濟的重要議題，我國正積極從制度政策、數字基礎設施、法律制定、行業規范等方面推進數據安全治理工作。由于我國數據安全治理目前尚處于起步階段，在數字基礎設施地區配置比例、數據保護相關法律的完整度、實施效果和大眾認知程度、行業監管、國際數據流動等方面存在諸多問題。美德日韓四國數據安全治理工作推進較早且積累較多經驗，在政府、法律、行業、企業、標準制定等方面實施的一些數據安全治理措施能夠為我國數據安全治理工作提供一些有益的啟示。強化新型基礎設施建設，重視區域配置平衡；更新完善現有數據保護相關法律法規，探索“雙機制”保護模式；分區設立數據保護專職機構；企業內部建立數據安全一體化工作機制；考慮行業特點，制定數據安全標準等等思路和舉措，可以作為我國有效推動數據安全治理工作的借鑒和參考。