《中国经济周刊》记者 张宇轩｜全国两会报道

数字是新的战略资源，是企业的资产和命脉，越来越受到重视。数据安全也日益成为影响我国经济、社会发展，甚至是国家安全的重要因素。在今年的全国两会上，全国政协委员、天津市政协副主席张金英主张强化企业数据安全管理与评估，建议完善企业数据安全评估体系，推动数据安全合法评估，突出数据安全风险防范，明确数据安全管理要点。

张金英认为，目前，企业数据安全评估受多部法律、法规以及地方管理条例等诸多约束和规范，企业要面对“多头监管”的复杂性现状；具体安全评估工作中，不同的数据有着差异化的保障内容和措施，其安全评估过程难以统一到一个标准化的评价体系；我国企业数据安全评估还面对一个市场化困境，国内第三方数据安全评估工作目前仍处于起步阶段，诸多核心问题亟待解决。

首先，应完善数据安全评估体系。张金英建议，应由工信部牵头，从企业、政府和评估单位三方需求出发，构建数据安全评估体系。“一方面，考虑数据安全的定位、目标、法规、标准等内容，在概念层面构建多场景‘综合评估模型’，以满足数据安全采集、安全传输、安全存储、安全处理、安全共享、安全交换及安全销毁等多领域、多应用需求；另一方面，通过系统调研，从科学性、有效性、精确性、适应性、现实性角度出发，给出数据安全评估‘参考指标体系’；同时，明确各项指标数据采集、核查和精度评定的技术要求，给出完整的数据安全评估‘操作技术要求’。”张金英表示。

其次是推动数据安全合法评估。张金英表示，数据管理和评估的核心在于依据国家、行业的法律法规及标准要求，重点评估运营者及其他数据处理者关于数据安全的落实情况，包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况，以及其他法律法规、政策文件和标准规范落实情况等。

同时，应突出数据安全风险防范。“数据安全管理与评估需要以《中华人民共和国数据安全法》为根本出发点，以网络安全风险评估理论框架为准绳，其内容和指标都要以数据为核心对象，以发现数据安全风险为主要目的”，张金英表示，由于数据是一类特殊的评估对象，具备动态性。数据在不同环境下的流动，面临的安全风险也有所不同。不能以某个标准为基础来设置评估项，也无需固化模式，应围绕被评估的特定数据所面临的威胁和脆弱点，综合开展风险评估，找出其在特定威胁环境下面临的风险。

张金英还提示，要明确数据安全管理要点。一是需要通过风险评估促进运营者落实数据分类分级制度体系建设和重点保护措施，做到重要数据和核心数据重点保护，明确保护对象范围，厘清保护责任和保护主体；二是需要通过风险评估找出可能导致重要数据失窃、泄露、破坏的安全隐患，降低重要数据一旦遭受攻击后可能带来的恶劣影响；三是需要通过风险评估促进数据安全防御体系的改进提升，达到“以评促建”。

责编：吕江涛

（版权属《中国经济周刊》杂志社所有，任何媒体、网站或个人未经授权不得转载、摘编、链接、转贴或以其他方式使用。）