近年來，以云計算、大數據、人工智能等為代表的數字技術正在向各行業各領域廣泛滲透，推動著數字經濟與實體經濟深度融合。一方面，數據作為數字經濟時代的基礎戰略資源和新型生產要素，能夠持續放大和增強勞動、土地、資本、技術等傳統生產要素的生產力；另一方面數據要素在流通使用的過程中，面臨著數據確權難、要素定價難、收益分配難、監管治理難、安全保障難等諸多問題。因此，亟需構建一套與數字經濟發展相適應、與數據要素特征相匹配的基礎制度，促進數據的安全保護和有效利用。

“數據二十條”發布

為加快構建數據基礎制度，充分發揮我國海量數據規模和豐富應用場景優勢，激活數據要素潛能，做強做優做大數字經濟，增強經濟發展新動能，構筑國家競爭新優勢，中共中央、國務院于2022年12月出臺《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“數據二十條”），就如何建立和健全數據產權、流通交易、收益分配、安全治理等數據要素基礎制度體系提出了全面、系統的意見。

數據基礎制度建設事關國家發展和安全大局，“數據二十條”提出把安全貫穿數據治理全過程，全文共提及“安全”48次、“數據安全”14次，充分體現其重要性。本文將針對“數據二十條”文件內容，從數據安全角度進行要點解讀，并結合天融信多年來在數據安全領域的技術積累與實踐，為各行業客戶提供“安全錦囊”，助力數據基礎制度有效落實。

主要內容和要點解讀

（1）總體要求

主要內容：以習近平新時代中國特色社會主義思想為指導，深入貫徹黨的二十大精神，明確指出了本文件的前提、主線、重點和目的，明確提出了本文件的五項工作原則。

要點解讀：

在“指導思想”中，提出“以維護國家數據安全、保護個人信息和商業秘密為前提”，這就說明數據基礎制度必須保障國家數據安全、保護個人信息和商業秘密，強調了數據安全是數據要素流通交易的先決條件。

在“工作原則”中，指出“完善治理體系，保障安全發展。統籌發展和安全，貫徹總體國家安全觀，強化數據安全保障體系建設，把安全貫穿數據供給、流通、使用全過程，劃定監管底線和紅線。加強數據分類分級管理，把該管的管住、該放的放開，積極有效防范和化解各種數據風險，形成政府監管與市場自律、法治與行業自治協同、國內與國際統籌的數據要素治理結構。”這也就是說，從思想上要兼顧發展和安全這兩個既矛盾又統一的基本面，一方面，數據的違規使用會帶來數據安全的隱患，無視數據安全底線會帶來系統性風險，但過度的數據保護會傷害數據價值的釋放；另一方面，良好的數據保護會促進數據價值的釋放，而數據的充分使用，也能體現數據的安全保護效果。從行動上一是要落實數據安全保障體系建設工作，完善管理、技術和運營措施，加強機構、經費、人員、裝備等資源保障；二是要開展數據分類分級工作，要明確不同使用場景中的保護對象，為確權授權、安全建設、跨境流通等活動提供精細化的管控依據。進而構筑數據開放共享的安全底座。

安全錦囊①：

天融信提供數據安全保障體系“六步走”建設方案：1）數據安全治理評估，基于成熟的分類分級工具，實現自動化的數據分類分級，并基于分類分級和評估結果，建立符合業務需求的數據安全目標；2）數據安全組織建設，明確定義數據安全權責邊界；3）數據安全管理制度建設，保障管理手段執行落地；4）數據安全保護體系建設，落實精準管控；5）數據安全運營建設，打造長期性、持續性的運營服務；6）數據安全監管建設，形成多方協作生態。“六步走”中的每一步背后都有配套產品和服務的成功實踐。

（2）建立數據產權制度

主要內容：探索建立數據產權制度，推動數據產權結構性分置和有序流通；推進數據分類分級確權授權使用和市場化流通交易，健全數據要素權益保護制度。包括探索數據產權結構性分置制度，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制；推進實施公共數據確權授權機制；推動建立企業數據確權授權機制；建立健全個人信息數據確權授權機制；建立健全數據要素各參與方合法權益保護制度。

要點解讀：

在“推進實施公共數據確權授權機制“中，指出“鼓勵公共數據在保護個人隱私和確保公共安全的前提下，按照“原始數據不出域、數據可用不可見”的要求，以模型、核驗等產品和服務等形式向社會提供......”這重申了公共數據的匯聚共享和開發開放應該以保護個人隱私和確保公共安全為前提條件，并且提出了“數據可用不可見”這種較為先進的技術范式，彰顯對公共數據安全和個人隱私保護的重視程度。

安全錦囊②：

天融信提供公共數據安全共享解決方案，結合傳統安全技術和新興技術，按照“發現識別-策略制定-安全防護-監控響應”四個階段，構建具備數據安全共享感知、決策、指揮、追溯能力閉環的數據安全共享解決方案。以保障數據共享開放公共安全為前提，以數據安全治理為基礎、動態安全防護為手段、全生命周期管理為核心、共享權限控制及審計追溯為保障，確保數據全生命周期可信、可管、可控、可享、可追溯的要求，最終實現“數據可用不可見”。

在“建立健全個人信息數據確權授權機制“中，要求“規范對個人信息的處理活動，不得采取‘一攬子授權‘、強制同意等方式過度收集個人信息......創新技術手段，推動個人信息匿名化處理，保障使用個人信息數據時的信息安全和個人隱私”一是從管理上要求不得過度收集個人信息，二是從技術上要求推動個人信息匿名化處理，管理和技術相結合，強調了數據處理者、數據使用者“保障信息安全和個人隱私”的主體責任。

安全錦囊③：

天融信提供個人信息保護保護方案，一方面以服務的形式，依托專業的評估模型，深入了解APP的個人信息收集使用情況，針對不同監管機構的考核要求輸出合規報告，并可協助客戶整改。另一方面，采用技術措施，如數據脫敏，對敏感數據進行去標識化、匿名化處理，實現對真實數據的變形，同時可以保證脫敏后數據的有效性和可用性，為企業在開發、測試、復制、共享等場景下的數據安全使用提供保障。

（3）建立數據要素流通和交易制度

主要內容：構建促進使用和流通、場內場外相結合的交易制度體系；建立數據來源可確認、使用范圍可界定、流通過程可追溯、安全風險可防范的數據可信流通體系。包括完善數據全流程合規與監管規則體系，統籌構建規范高效的數據交易場所，培育數據要素流通和交易服務生態，構建數據安全合規有序跨境流通機制。

要點解讀：

在“完善數據全流程合規與監管規則體系“中，提出“強化市場主體數據全流程合規治理......加強企業數據合規體系建設和監管......建立實施數據安全管理認證制度，引導企業通過認證提升數據安全管理水平。”強調了合規評估和安全認證的重要性，市場方應建立數據流通準入標準規則，做好數據合規治理；企業方應持續進行數據合規體系建設，有條件的可開展數據安全管理認證；最終確保數據要素高效安全的流通和交易。

安全錦囊④：

天融信提供數據安全監管合規評估方案，為市場方提供安全合規評估插件（模塊），并為企業方提供數據安全合規評估平臺/工具。企業方通過接口調用（或市場方對企業方推送）獲取合規評估問卷及填報模板，并通過問卷填報及附件上傳進行評估回應。市場方通過評估插件（模塊）對填報的文件進行數據收集和分析，通過企業側數據安全探針的輔助配合，可以實現自動化評估流程判定，從而為市場方提供基于數據安全要求的合規評估報告。

安全錦囊⑤：

天融信提供數據安全能力成熟度評估服務，以《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》等標準為依據，分析企業的業務依賴關系、交互過程、數據處理活動，識別關鍵業務場景下的數據安全風險，從數據生命周期通用安全、數據采集安全、數據存儲安全、數據傳輸安全、數據處理安全、數據交換安全、數據銷毀安全等各階段開展符合性評估工作，以能力圖、列表圖、餅圖多個維度展示數據安全能力等級，給出數據安全建設和整改的建議，并協助企業方通過數據安全能力成熟度認證、數據安全合規治理認證、數據安全管理能力認證等數據安全認證。

在“構建數據安全合規有序跨境流通機制“中，要求“探索安全規范的數據跨境流動方式......統籌數據開發利用和數據安全保護，探索建立跨境數據分類分級管理機制......探索構建多渠道、便利化的數據跨境流動監管機制”既闡明了我國數據跨境流通的具體場景，也為數據交易、流通的相關技術應用提供了方向性指引。應將數據出境的事前評估和持續監督相結合、風險自評估與安全監督相結合，從技術與制度兩方面切入，共同保障數據跨境流通的安全合規。

安全錦囊⑥：

天融信提供數據跨境監測和防護解決方案，通過出境數據合規自查、敏感數據檢測與阻斷、出境傳輸協議審計與監管和出境異常行為風險判別能力，為數據處理者的數據跨境流通活動保駕護航。針對數據的出境方式、文件類型、文件大小、文件名稱、數據內容、數據類別、數據級別、出境范圍、出境量級等進行具備配置，快速、精準、全面地對業務中涉及到的個人信息、重要數據跨境場景進行定義，采用強管控方式保護境內企業內部敏感數據，實現跨境數據流通行為的全面可防、可控、可審計、可追溯。

（4）建立數據要素收益分配制度

主要內容：完善數據要素市場化配置機制，擴大數據要素市場化配置范圍和按價值貢獻參與分配渠道。包括健全數據要素由市場評價貢獻、按貢獻決定報酬機制，更好發揮政府在數據要素收益分配中的引導調節作用等。

要點解讀：

在“更好發揮政府在數據要素收益分配中的引導調節作“中，明確提出“開展數據知識普及和教育培訓，提高社會整體數字素養，著力消除不同區域間、人群間數字鴻溝”數字素養的根本在于對數據要素的認知和利用水平，這也體現了我國在數字文明時代，通過數據要素實現增進社會公平、保障民生福祉、促進共同富裕的中國特色。毫無疑問，數據安全也是數據知識和培訓的重要組成部分。

安全錦囊⑦：

天融信提供數據安全認證培訓服務，2022年5月，天融信與中國信息安全測評中心在原有的注冊數據安全治理專業人員（CISP-DSG）合作的基礎上，推出進階級的注冊信息安全專業人員-數據安全官（CISP-DPO）認證。CISP-DSG認證培訓是針對數據安全人才的培養認證，是業界首個針對數據安全治理方向的認證培訓，知識體系結構共包含四個知識類，分別為：信息安全知識、數據安全基礎體系、數據安全技術體系、數據安全管理體系；CISP-DPO認證培訓從“數據安全合規知識體系”、“數據安全管理體系”、“數據安全管理過程”、“數據安全治理與技術防護”四個能力維度，劃分“了解”、“理解”和“掌握”三類深度要求，幫助數據安全領域人才進行體系化學習，使其儲備體系化的數據安全相關能力，為企業落實數據安全體系化建設提供支撐。

（5）建立數據要素治理制度

主要內容：把安全貫穿數據治理全過程，構建政府、企業、社會多方協同的治理模式，包括創新政府數據治理機制、壓實企業的數據治理責任、充分發揮社會力量多方參與的協同治理作用等。

要點解讀：

在“創新政府數據治理機制“中，提出了“守住安全底線，明確監管紅線...... 建立數據要素生產流通使用全過程的合規公證、安全審查、算法審查、監測預警等制度，指導各方履行數據要素流通安全責任和義務。建立健全數據流通監管制度……”強調了數據要素流通過程中的各項工作重點，在此過程當中，要實現綜合防御能力和監測預警能力，則需要一體化的數據安全平臺作為強有力的技術支撐。

安全錦囊⑧：

天融信提供數據安全智能管控平臺，利用大數據、云計算、隱私計算等新型技術，構建快速部署、全面數據識別、綜合策略管控、數據態勢可視、智能策略優化的綜合一體化數據安全平臺。實現結構化和非結構化數據資產全面管理、重要數據和敏感個人信息多維度分類分級、數據安全基礎設施能力集成、業務數據訪問權限管理、數據全生命周期安全威脅智能化挖掘、安全告警流程化協同處置、多主題數據安全態勢綜合化呈現等功能，滿足數據資產的合規管理要求，確保數據安全風險可管可控、快速響應、智能處置，打造數據全生命周期的追蹤溯源，保障數據要素的可持續安全狀態。

在“壓實企業的數據治理責任“中，提出了“嚴格落實相關法律規定，在數據采集匯聚、加工處理、流通交易、共享利用等各環節，推動企業依法依規承擔相應責任......規范企業參與政府信息化建設中的政務數據安全管理”強調了企業在內部數據處理全流程和外部數據流通全過程中，必須履行相應的法律責任。企業不應該簡單抱著“法無禁止即可為”或者“延續慣例”的想法，而是應當牢固樹立數據安全相關的責任意識和自律意識。

安全錦囊⑨：

天融信提供數據安全治理咨詢服務，以安全治理牽引安全建設，基于現狀調研、數據資產梳理、數據分類分級、敏感數據識別、風險評估等結果，識別分析企業數據處理和流通各環節各場景，進而梳理出合規責任清單。并通過數據安全保護體系框架設計、數據安全組織建設、數據安全管理制度建設等，對數據安全進行統一規劃。通過完善的數據安全組織和管理制度，持續保障數據全生命周期安全措施的落地，最終確保企業落實數據安全責任。

（6）保障措施

主要內容：鼓勵有條件的地方和行業在制度建設、技術路徑、發展模式等方面先行先試，鼓勵企業創新內部數據合規管理體系，包括切實加強組織領導、加大政策支持力度、積極鼓勵試驗探索、穩步推進制度建設等。

要點解讀：

在“積極鼓勵試驗探索“中，提出了“支持有條件的部門、行業加快突破數據可信流通、安全治理等關鍵技術......探索完善數據要素產權、定價、流通、交易、使用、分配、治理、安全的政策標準和體制機制”這就闡明了應積極推動區塊鏈、隱私計算等先進技術應用創新，從技術層面有效解決數據確權、定價、可信流通、安全治理等問題。

結束語

“數據二十條”是我國第一份專門針對某一生產要素的基礎制度，明確了數據要素安全治理的制度規則、管理標準與創新機制。構建數據基礎制度體系，是新時代我國改革開放事業持續向縱深推進的標志性、全局性、戰略性舉措，而“安全”是數據基礎制度體系中的主旋律。天融信作為國內網絡安全行業的領軍企業，將持續加強數據安全領域的研究、創新與實踐，更好地助力數字經濟和實體經濟的發展，書寫數字時代的安全答卷。