一、对数据要素的利用必须以安全为前提

数据要素的利用，在于提升数据的可访问性、可解释性和可索引性。同样一份数据，经过不同使用者的处理，能够发挥出不同的数据价值，这是数据要素利用的关键。数据中的信息涉及商业机密、个人隐私和国家安全，所以对数据要素的利用需要以安全为前提。

二、数据安全的中长期规划和短期目标的平衡

构建数据安全保障体系的目标是降低数据所面临的风险，而风险贯穿于数据的全生命周期之中。企业开展数字业务，构建数据安全体系，首先要明确自身的行业属性和业务数据的属性。企业开展数据安全治理工作，应充分考虑相关法律、行业标准、安全技术等要求，制定适合自身实际情况的中长期数据安全治理目标，并围绕目标开展数据安全治理的规划，通过行业经验和实践，达到数据利用与数据安全之间的平衡。

三、数据安全治理成本与收益的平衡

数据安全治理工作需要考虑成本与收益的平衡，才能取得企业需要的治理效果。数据安全治理工作的各项成本，包括经济成本、管理成本、人力成本。数据安全治理的收益，包括数据安全合规，降低企业商业风险，协助企业数据资产有效利用。对企业内部数据资源的挖掘利用，以及数据对外的共享与协同利用，需要在合法合规以及有效技术手段下。

数据安全治理的核心内容是 “降低数据风险，促进数据有序利用”。在运营过程中，将管理者的思路落实，并根据企业内外部的环境变化，不断调整优化管理制度和技术运用，做到对合规变化和风险变化的及时应对。

一、中国本土企业的数据安全合规

简单来说企业需要了解自身所属行业面临的合规要求，制定数据安全目标，分析数据使用的各个重点场景，通过 “管理 + 技术” 的手段来降低数据安全风险。并能够通过数据安全各类评估，证明企业履行了数据安全保护义务。

二、出海企业、跨国公司的数据安全合规

跨国公司往往面临着两种以上数据安全相关法律体系的制约和要求，简单做法是分而治之，各国分公司都遵循当地的数据安全法律行事。但这样的做法也会带来弊端，企业在管理、经营、决策等方面的成本更高。我国数据出境要使用网信办的标准合同并备案审核，企业应根据两地法律监管体系对数据出境要求的差异，有针对性地设计符合两地法律体系的数据出境企业规则。

三、数据安全治理技术综合运用的成效

多种数据安全技术的综合使用，是大中型企业降低数据安全风险的有效手段。

数据安全治理落地的一些典型挑战

一、数据分类分级的智能化、自动化

很多企业已通过专业咨询机构完成对数据的分类分级，形成了数据分类分级清单和一些数据安全管理制度。面对庞大的数据量，分类分级要以 “自动化” 为主，“人工” 为辅。

二、数据的分级分域存储

数据的分级分域存储需要在数据分类分级的基础上进行，根据安全需求和业务需求制定。但是，数据分级分域存储对大多数企业来说，目前难度较高。绝大多数企业在应用设计时，数据结构是以业务需求为第一位的。如果要求数据分级分域存储，那么在应用设计之初，就要以数据安全和数据分类分级为基准，构建新的数据结构。

三、个人删除权与可携带权的运用

在《个人信息保护法》及很多行业规范中，都提到针对个人信息删除的问题。与欧盟的《通用数据保护条例》中规定的删除权不同，我国对个人信息删除的规定在技术上相对容易实现，即要求企业做到已删除的个人信息为 “不可检索、不可访问” 的状态。

四、个人信息安全影响评估

《个人信息保护法》要求个人信息处理者定期进行个人信息安全影响评估，《信息安全技术个人信息安全影响评估指南》也对评估方法进行了相应阐述。从技术角度来看，个人信息安全影响的评估难度较大，主要有以下原因：准确定位个人信息评估的主体；影响个人信息安全评估的技术。

五、数据交易的合规性

近年来，数据的流通与交易已被行业和市场认可。交易只是其中的一个环节，还有很多环节需要不断夯实。比如：重要数据、个人信息在交易的时候，还面临着法律层面的监管。

企业做好数据安全治理，需要完善数据安全治理规划，提高数据安全技术防护能力，并且，要将数据安全贯穿在数据经济的发展过程中。同时，要注意不能一味强调安全而过度防范，这样容易导致影响企业经济发展。正确的数据安全治理之道是：有规划地建设发展，使数据安全治理和数据经济相辅相成。