大家都知道数据安全很重要,但真正落到企业里,为什么还是没多大动静?

从目前的执法案例可以看出,监管虽然还在有选择地处罚(只挑明显、基础的问题,比如未加密、未去标识化),但这反而是一个强信号:最基本的要求都必须落实,否则就是“硬伤”。

未来随着国家标准和行业办法逐步细化,检查的颗粒度只会越来越高,留给企业的试错空间会越来越小。

换句话说,今天你可能觉得“成本太高,等一等”;但明天就可能因为一个最基础的缺陷而被点名,甚至影响品牌声誉。

《数据安全技术 数据安全保护要求》目前在研中,虽然未来发布也是推荐性国标,但不排除监管将其作为执法参考依据。

再看立法趋势,近些年,几乎所有高风险行业(金融、能源、交通、医疗……)都发布了自己的数据安全管理办法。《数据安全法》像“母法”定了原则,但行业管理办法正在把要求落到更细的颗粒度。例如《中国人民银行业务领域数据安全管理办法》,在第四章列出了全流程业务数据安全技术要求:

1. 访问控制和账号管理

  • 严格控制业务数据处理账号权限,尤其是特权账号。

  • 特权账号使用必须事前审批+ 事后审查,自动化操作也要事先安全检查。

  • 强口令、多因素认证、二次确认、超时退出等机制要落实。

2. 日志与溯源

  • 业务数据处理活动必须有日志,满足风险追溯和事件处置需求。

  • 高敏感性数据项日志原则上要脱敏处理。

  • 日志留存时间分级:至少6 个月,重要数据相关至少1 年,核心数据相关至少3 年。

3. 数据收集

  • 优先直接录入或系统间交互,避免人工中间环节。

  • 高敏感性数据项系统间交互需验证对方身份。

  • 要通过交叉验证等手段提高准确性。

  • 使用自动化工具收集数据时,不得破坏他人网络服务或权益。

4. 数据存储

  • 开发测试与生产环境必须隔离。

  • 存储重要数据系统应满足三级等保,核心数据系统应满足四级等保或关基保护要求。

  • 高敏感性数据项原则上必须加密存储,不加密要有严格规范。

  • 数据冗余备份、恢复能力要符合要求,备份同时防篡改、防破坏。

5. 脱敏与展示

  • 明确高敏感数据的脱敏策略,降低再识别风险。

  • 数据展示、打印时要标识账号和时间。

  • 生产环境数据如果要用于开发测试,必须审批并脱敏。

6. 算法风险管理

  • 对数据加工算法建立风险评估机制。

  • 针对可解释性差、脆弱性强的算法,要有替代方案和风险缓释措施。

7. 数据传输

  • 优先使用专线、VPN等安全手段。

  • 高敏感性数据项原则上必须加密传输。

  • 定期评估传输线路容量,保证冗余和安全。

8. 接口与共享

  • 动态维护前置网关和API 清单,变更前要做安全测试。

  • 使用隐私计算等新技术时,要有风险评估和控制。

9. 公开数据管理

  • 制定明确规则,规定哪些公开数据允许自动化采集。

  • 必须采取措施防止公开数据被篡改。

10. 介质销毁

  • 明确数据存储介质销毁的策略和流程。

  • 要有规范的销毁实施和监督机制。

总结来说:

颗粒度更细:从“要加密”到“哪些数据必须加密存储、哪些日志必须脱敏、多久留存”。

覆盖全流程:收集、存储、使用、传输、销毁,每个环节都有明确安全措施。

具有行业特色:金融领域特别强调特权账号管控、交易数据日志、商用密码使用等。

你会发现,行业监管正在收紧,而且是有章可循的。

而放眼国际,趋势也很清晰:欧盟、美国、甚至东南亚都在加强数据合规和安全的结合度。过去可能是信息安全部门管安全,法务合规部门管合规,现在逐渐变成“合规和安全是一件事”。

对企业来说,技术措施就是合规措施。没有加密、没有访问控制,就可能被认为“未尽保护义务”。

对监管来说,处罚案例里很少再区分“你是网络安全问题”还是“你是隐私合规问题”,而是直接定性为“违反数据保护要求”。

所以,现在很多跨国企业开始有一个新趋势:

DPO(数据保护官)和CISO(首席信息安全官)联动甚至合并工作。一些公司里,他们甚至同属一个团队。

审计时,合规检查表里会直接包含安全控制项。比如“是否对传输数据加密”既是IT 安全问题,也是合规问题。

这就是为什么说,合规和安全越来越成了一件事。在实际操作中,企业要做的不只是“写政策”或者“装工具”,而是把两者结合在一起,才能真正“过得了检查,扛得住风险”。

回答开始的问题是,为什么很多企业依然没什么大动作?

合规vs 安全vs 商业价值:企业的三角困境

在很多企业内部,数据安全常常陷入一个“三角关系”:

合规视角:法律法规已经明确提出要求,比如个人信息保护法要求采取加密、去标识化等措施。问题是,法规写得很抽象,怎么落实?做到什么程度算合格?企业往往没有把握。比如加密到底是数据库层、传输层,还是展示层?加密是不是都要到字段级别?没有标准答案,很多公司就选择观望。

安全视角:安全团队知道应该做更多,但这意味着预算、人力、复杂度的增加。而且安全投入的价值往往是“没出事”,很难像营收一样直接衡量。

商业价值视角:业务部门关心的是速度和体验。比如用户注册流程如果因为“安全校验”变得繁琐,转化率就会下降。于是,安全在业务价值面前经常被弱化。另一方面,企业也会算账:如果现在没有触发执法,那是不是可以等等?是不是先把钱花在能直接带来收入的地方?

这种三角关系的矛盾,正是很多企业虽然知道数据安全重要,却迟迟没有动作的根本原因。

合规是底线,安全是手段,商业价值是目标。你可以延迟,但不能忽略。尤其是在数据安全已经从“部门问题”变成“公司必答题”的今天。

所以,真正值得思考的问题是:你要等到出事才开始补课,还是在还来得及的时候主动布局?

Call back一下社群线下聚会的金句:你所在行业数据保护合规的紧急程度决定了合规工作的幸福度。

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。