English | 南开大学

李凯:数智商务的基座——企业数据安全治理

发布时间: 2022-10-25
浏览次数: 10

近年来,在人工智能、大数据、云计算、物联网等产业和技术的驱动下,众多企业将数智化升级视为发展的重点,产业的数智化变革已经成为当前时代最大的确定性和机遇。企业数智化升级背后是海量的数据,近年来企业数据安全事件频发,众多企业的利益、声誉受损,一些平台企业的数据安全问题甚至危害到了国家安全。因此,企业数据安全治理已经成为未来数智化时代企业发展的一个重要的基础性命题。

在我国,企业数据安全治理问题研究主要可以从以下几个方面开展:

第一、企业数据安全治理的标准体系、制度结构与基础理论

从国际数据安全治理形势来看,数据安全治理已经成为各国所关注的重点问题,但是由于各个国家及地区的利益诉求、价值理念以及经济需求的考虑和诉求都存在差异,导致各个国家对于数据安全治理的法律法规、体系框架等均存在着明显的差异。这一现象导致了目前全球的数据安全治理呈现出“分而治之”的局面。

而从我国目前的数据安全治理形势来看,尽管我国已经初步建立起以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部法律为基础的数据安全法律体系,但相较于美国、欧盟等具有相对完整的数据安全治理体系的国家或国家集团,在数据安全治理细则上仍需进一步的探索与完善,建立中国特色的数据安全治理体系。在满足我国数字经济发展的同时加强我国在数据安全领域的国际话语权,为全球数据安全治理体系创新贡献新智慧和新方案。

企业作为数据安全治理体系重要的参与主体,建立健全企业数据安全治理体系对于国家数据安全以及社会经济发展的意义重大。因此,从理论研究层面对我国企业的数据安全治理实践进行体系化的总结归纳,实现中国特色企业数据安全治理的基础理论创新,并基于相关理论基础提出系统性的标准规范、制度结构对企业数据安全治理实践具有重大指导意义。

第二、企业数字安全治理的风险识别与防护问题

企业作为一个组织严密的系统,充满着多变性和复杂性,在生产经营活动中面临着各种风险因素,包括外部风险和内部风险。从外部风险来说,企业有可能遭到法律、机构、职能等各种阻碍和冲击。从内部风险来说,企业有可能因为员工的风险意识不强或是管理者的知识结构不合理等阻碍自身的发展。这些风险对企业来的影响是潜移默化的,作为一个独立组织机构,企业应该时刻关注内外部环境的变化,并能及时识别可能面临的风险,做出相应的有效和规范的策略。

现有关于企业数字安全治理的风险识别和防护机制的研究大多是从理论出发,在数字经济时代下,技术的发展十分重要且不可忽视。现代企业正面对日趋复杂的内外部环境,随着市场竞争激烈及经济环境的变化,企业传统的发展模式难以承受住经济环境变化所带来的冲击,在如此复杂的经济环境下,企业必须要更快更准确地对内外部环境的变化做出快速反应,全面、系统、精准地识别企业数据开放过程中潜藏的风险,助益风险治理,推动数据开放进程,顺应数据共享的趋势,组织一个广泛的网络支撑对风险的测量和优化,构建一个有普适性以便容纳所有类型的风险及其来源的架构。企业风险识别就是保证其快速感知内外部环境所蕴藏的各类风险,并为企业及时应对风险做好铺垫的一种科学机制,也是企业走内涵式发展模式的必然之路。因此,基于数智技术对企业面临的风险类型进行识别并规范防护机制将是企业和政府等主体的未来趋势。

第三、企业数据安全治理监管问题

面向日益严峻的数据安全形势,我国在健全法律体系上已做出努力,奠定了数据安全监管的法律基础,但数据安全监管领域的研究文献仍较少。随着大数据时代的到来,数据泄露事件在全球范围内频繁发生,数据安全治理更加迫在眉睫,而数据安全监管就是其中的关键环节。另外,由于部分涉及国家安全的数据由企业掌握,企业的数据泄露也将使国家的数据安全出现隐患,尤其是一些企业通过运用大数据技术将海量、高增长率和多样化的信息资产进行分析处理,使得企业内部数据情况更加复杂,因而企业数据安全的监管机制是整体数据安全治理的关键环节。

社会共治要求各监管主体在法律和政策制度框架下,以优势互补的方式共同参与公共事务治理,以实现公共利益最大化。这与企业数据安全治理的要求相契合,因此,基于社会共治视角对平台企业数据安全监管进行研究,探讨如何利用新兴技术保障国家和企业数据安全,并构建平台企业数据安全监管社会共治机制意义重大。

第四、企业数据安全治理应急机制

一些平台企业掌握着企业端和用户端的海量数据,其数据安全问题直接关系到企业发展、网络安全甚至是国家安全。国家虽然出台了数据安全领域战略性的总体应急预案——《国家网络安全事件应急预案》,推进了平台企业数据安全应急机制的建设进程。但是根据Ponemon研究所的调查研究,77%的企业缺乏正式的应急响应计划。显然,数据安全治理的应急机制在企业的实践层面仍然存在应急方案缺失、应急响应速度缓慢以及应急响应体系不完善等问题,这也是Facebook、滴滴等平台企业数据安全事件频发的主要原因之一。在这样的背景下,如何构建一个统一指挥、反应灵敏、上下联动、平战结合的数据安全治理应急机制,科学有效的提高数据安全应急管理能力,维护国家安全、公共安全和社会秩序等一系列问题都迫切需要相关理论研究的指导。

第五、企业数据安全治理参与主体的协同问题

在由企业、政府监管机构、个人用户等关键主体构成的企业数据安全链上,各个主体是有限理性的,不同的主体根据自身的现实情况、预测分析能力以及行为习惯选择对应的数据安全治理策略并进行相应的探索行为。一般来说,短期效应不是最优的。相反,稳定的最优状态需要通过多次演化博弈才可以建立。在实际中,企业、政府监管机构、个人用户在数据安全治理过程中的关注点各有侧重。以政府为例,极度严格的数据安全监管政策的确可以很大程度上杜绝数据安全事件发生。但是,过于严格的数据管理措施会限制数据价值的创造过程。相反,过于宽松的数据安全监管策略在给予企业数据自由的同时,增加了数据泄露的风险。严重情况下,甚至会影响国家数据安全。因此,企业往往倾向于在兼顾数据安全的前提下,促进数据有序流动。不难看出,企业数据安全的保护是一个动态、多主体、长期的协作过程。因此,探究安全链上各关键主体之间的协作机制是必要且迫切的。本课题拟从利益共享机制、成本共担机制、信息协同机制三个角度进一步分解关键主体间的协同机制。

综上所述,数据安全治理是一个复杂的综合性和系统性问题,涉及数据安全治理关键问题的识别、数据安全风险识别和防范、安全监管、数据安全事件应急处置、治理参与主体的有效协同等诸多方面。《数据安全法》也从多个方面规定了相关企业的数据安全义务,包括制度管理、风险监测、风险评估、数据收集、数据交易、经营备案和配合调查等多个方面。在未来数智商务时代,企业数据安全治理研究具有重要理论和实践价值,也符合国家整体数据安全以及总体国家安全观的战略要求。