企业安全体系建设，江苏省档案信息网 业务与新知 国外档案事业同样具有“四大体系”

2021年是我国《“十四五”全国档案事业发展规划》（以下简称《规划》）首发之年，《规划》提出我国档案事业前四项发展目标是“档案治理效能得到新提升、档案资源建设迈出新步伐、档案利用服务达到新水平和档案安全防线得到新加强”；前四项主要任务是“全面推进档案治理体系建设、深入推进档案资源体系建设、档案利用体系建设和档案安全体系建设”。巧合的是，综览2021年国际档案界，档案事业发展的成绩与困境也体现在“治理、资源、利用和安全”四大体系中。2022年伊始，笔者基于2021年《中国档案》专栏“国外档案新闻集萃”，结合其他途径查找的国外档案新闻，依照四大体系的顺序，回顾总结2021年国际档案界的特点并展望趋势。

档案治理提升效能

1. 多主体协同合作，社会力量积极参与

立足学界共识，主体多元并建立协同合作机制是档案治理的基本特点。2021年，国外档案事业显现出参与主体多样和主体间协同合作的特点。开展档案工作的主体除档案机构外，还有政府机构、图书馆、博物馆、高校、企业、慈善组织和个人等。主体多元、合作类型多样：既有档案行政机构与政府机构合作，如1月，美国国家档案与文件署和国务院富布莱特基金委员会合作设立档案遗产科学奖学金，支持档案教育、保护和研究；又有高校与教会合作，如2月，美国扬斯敦州立大学与罗德姆教会合作开展档案项目；也有档案馆与企业合作，如4月，美国盖蒂图像公司与黑人档案馆建立合作伙伴关系；还有政府机构与档案馆合作，如10月，英国伦敦交通局与黑人文化档案馆合作设计地铁图。此外，档案行业与其他行业积极协同：既与时装行业协同，如9月，瑞典H&M公司与日本时装公司Toga共同立足档案推出联名品牌；也与媒体行业协同，如11月，档案数字化公司与英国《汽车》周刊共同推出档案资源在线学习平台；还与艺术行业协同，如11月，美国互联网档案馆与纽约艺术资源联盟共同上线提供重要艺术内容的访问平台。

新闻显示，2021年国外广泛吸纳社会力量参与档案事务。社会力量多指非政府机构、组织和个人。4月，爱尔兰都柏林圣三一学院图书馆收购著名诗人布兰登·肯内利档案以纪念其85岁诞辰；6月，美国纽约州斯特朗国家玩具博物馆举办热门电视游戏节目的档案展览；8月，比利时一家公司进驻档案机构帮助抢救和修复洪灾受损档案；同月，美国儿童博物馆推出知名物理学家阿尔文·温伯格档案供在线利用；同月，英国广播公司启动档案项目展示影视领域85年的发展历程；11月，位于法国的国际香水、化妆品和食品芳香剂研究所建立世界最大的香水档案馆；同月，德国两位博士协助阿罗尔森档案馆开发有关足球运动员在二战期间遭受迫害的档案。案例表明，图书馆、博物馆、高校、研究机构、企业乃至个人都积极参与档案事务，为国外档案事业发展充实力量。

世界香水档案馆的藏品（图片来自 ）

2. 依法治档，加强档案治理的法制保障

一方面，各国不断完善档案法规政策。典型国家有丹麦、法国和澳大利亚。2月企业安全体系建设，江苏省档案信息网 业务与新知 国外档案事业同样具有“四大体系”，丹麦国家档案馆更新数字存档和保护策略，强调保护档案数据并确保其真实性；7月，法国国务院废止第1300号部际一般性指示，开放国防机密档案以增强开放力度；8月，澳大利亚国家档案馆调整职能定位，呼吁政府完善1983年档案法。法律作为治国之重器，良法即是善治之前提。案例表明，各国根据现实情况适时更新档案法规政策，为档案治理及提升效能保驾护航。

另一方面，各国严格遵守档案法规。典型国家有美国、纳米比亚和柬埔寨。美国国家档案与文件署遵循《总统档案法》，宣布自2021年1月20日起合法保管前总统特朗普任职文件，并遵照《联邦档案法》，要求政府管理和预算办公室等联邦机构移交档案；6月，纳米比亚敦促公共机构遵守档案法，规范归档工作，支持决策并留存社会记忆；11月，柬埔寨依据档案法对爱尔兰艺术家马特·洛里无视历史、修改照片、侵犯柬埔寨种族灭绝受害者尊严的行为发出警告。案例表明，只有严格遵照档案法规，才能发挥档案工作对推进国家治理体系和治理能力现代化的基础性、支撑性作用。

如果说多主体协同合作、社会力量广泛参与档案事务体现了国外档案事业已建构治理体系，那么坚持依法治档、加强档案治理的法治保障则表明国外档案事业初步显现治理效能。档案机构建立协同合作机制、吸纳社会力量，能够避免“单打独斗”，获取更多技术和人力资源；档案法治的完善又能为国家治理和社会治理提供支持，使档案事业融入国家治理体系和治理能力现代化进程之中，最终取得促进经济发展、服务社会需求的显著效能。

资源建设注重专题

1. 专题档案数据库类型多样

新闻显示，各国的专题档案数据库类型多样，涵盖历史事件、重大活动和人物等方面。

一些国家建设历史事件专题档案数据库。3月，加拿大国家真相与和解中心建立专题数据库保留19世纪原住民儿童寄宿学校的原始档案，记录学校试图强制“同化”原住民儿童并将其残酷虐待致死的历史；9月，美国斯坦福大学建立“纽伦堡审判事件”专题数据库，以审判记录、庭审听证会笔录、法庭陈述等档案还原欧洲国际军事法庭对纳粹头目审判定罪的史实。

一些国家建设重大活动专题档案数据库。3月，德国借助人工智能技术建立残奥会档案数据库；7月，美国加州建立选举档案数据库，帮助选民、研究者、记者及其他人士追踪公职人员的竞选支出。此外，新冠肺炎疫情专题档案数据库建设以美国最为突出。1月，美国梅克伦堡县建立新冠病毒专题档案库记录当地的流行病史，密尔村也建设记录当地居民疫情期间生活的专题档案库；3月，美国国防部建立健康档案电子系统，留存军人及其家属的新冠疫苗接种数字档案，便于及时查询和定向跟踪。

一些国家建设人物专题档案数据库。4月，波兰建立中欧女性艺术家专题档案数据库以维护女性权益；7月，菲律宾建立“奥运选手生活档案”专题数据库，记录本国奥运选手的辉煌成绩。

1950年纽伦堡审判档案转移到和平宫（图片来自 News）

此外，各国还建有音乐、科研和特定对象等其他类型专题档案数据库。3月，澳大利亚知名歌手考特尼·巴内特建立现场音乐在线档案库；同月，美国国家航空航天局建立“国际空间站生物样本档案数据库”，推动新的科学发现；9月，孟加拉国首次建立“炸弹档案馆”专题数据库，既向公众提供相关知识与必要技能的科普教育，也为爆炸事件的调查研究提供数据支持。

2. 专题档案资源建设注重数字化

新闻显示，各国专题档案资源建设的数字化项目层出不穷，各有特色。

3月，以色列国家图书馆将贝都因人文化档案纳入馆藏，通过转录音频提供在线利用；4月，卢旺达完成盖卡卡法庭档案专题数字化工作；7月，耗资2500万美元、为期5年的国际联盟档案数字化项目在瑞士日内瓦持续进行；8月，美国亚利桑那州立大学完成“跨文化舞蹈档案汇集”数字化项目并提供利用；9月，英国完成阿尔伯特亲王专题档案数字化项目并提供线上服务；11月，荷兰阿姆斯特丹黑人档案馆启动数字化项目，专题呈现荷兰黑人的发展历史。案例表明，各国以数字化项目建设专题档案资源，管理和利用方式均在适应数字变革要求，彰显“存量数字化、增量电子化”的时代大势。

卢旺达首都基加利保存的盖卡卡法庭档案（图片来自The New ）

如果说各国建立类型多样、内容丰富的专题档案数据库体现了对档案资源质量的管控和优化，那么注重专题档案资源建设的数字化则显现国外档案事业的显著成绩。专题库将特定事件、活动、人物和门类的档案集中管理，在满足社会广泛需求的基础上又能提供精细服务或支持专题研究。此外，数字技术既是长期保存档案的关键支撑，也是促进专题档案开放开发和利用服务的重要手段。国外专题档案数字化项目的蓬勃开展即为我国优化档案资源质量和推动档案资源数字转型提供参考。

可喜的是，2021年我国也立足国情建设类型多样的专题数据库，包括红色档案、扶贫档案以及疫情防控档案等专题库。特别是国家档案局第16号令《重大活动和突发事件档案管理办法》规定“责任部门档案以专题方式进行管理且具备建设条件的，应开展本系统或本单位档案专题数据库建设”，为重大活动和突发事件专题数据库建设提供政策依据。另一方面，我国也在推进档案资源的数字转型，2021年新修订的档案法增加“档案信息化建设”专章，对符合要求的电子档案，确立其法律效力，旨在扫清档案资源数字转型的法律障碍。

利用服务加强创新

1. 注重开放档案场馆

档案开放一直受到各国关注。2021年国外档案新闻既涉及历史档案开放，如乌兹别克斯坦国家档案馆开放犹太历史档案，印度比哈尔邦档案馆开放抗英起义档案纪念本国独立75周年；又涉及名人档案开放，如美国史密森学会开放著名艺术家和民权活动家查尔斯·怀特的档案；还涉及社群档案开放，如美国MOCA博物馆开放纽约唐人街华裔美国人的照片档案，等等。这些开放实践值得肯定，但笔者认为注重开放场馆才是2021年的亮点。

国外开放的档案馆有实体场馆，也有虚拟档案馆。开放实体档案场馆的目的各有侧重。4月，美国田纳西州档案馆新馆开放，意图为来馆用户提供私密舒适的空间；5月，阿塞拜疆国家档案馆连科兰分馆面向学生举办公开游览课，意图寓教于乐；8月，加拿大萨尼亚市长麦克·布拉德利将其办公室作为非正式档案馆开放，意图向访客展示本地历史。虚拟档案馆多为线上开放。4月，加拿大高贵林市档案馆线上开放，展示本馆工作；5月，英国广播公司开放虚拟档案馆“莎士比亚档案资源”，提供学术利用；9月，英国卫报新闻与媒体档案馆以线上方式展示企业历史，向社会开放。

美国田纳西州立图书馆和档案馆新馆图片（图片来自The  ）

开放实体场馆的新意一是将档案馆作为教学与游览的结合体，寓教于乐；二是实体场馆的范围愈发广泛，政府官员将其办公室视为可开放的非正式档案馆，凸显强烈的档案意识和开放意识。同时，线上开放档案馆虽可能是疫情下的被迫选择，却也体现未来档案馆开放的主流方式和乐观前景。

2. 强化育人功能

档案工作存史资政育人。新闻显示，各国注重档案的文化和教育作用，不断强化档案馆育人功能。阿联酋国家档案馆尤为突出。

阿联酋国家档案馆发挥育人功能的亮点是细分对象和注重合作。一方面，该馆针对学生、教师、特殊群体和社会公众提供培训和教育资源。2月，向阿布扎比索邦大学“档案管理与档案科学”专业学生提供专业讲座，将本馆出版物分发给阿布扎比和其他地区的知名咖啡馆，提高公众的档案意识和文化素养；3月，引进新设备帮助视障人群阅读馆藏，还设置特殊浏览区提供专属服务；7月，举办全国第八届教师培训论坛，帮助教师了解本国历史和文化遗产。另一方面，该馆积极协同合作，发挥育人功能。1月，在谢赫·扎耶德文化遗产节设置“国家记忆”版块，展出历史档案教化民众；2月，与教育部合作提供《国家记忆》等10部纪录片，并将纪录片与教科书进行整合企业安全体系建设，开展爱国主义教育。

阿联酋国家档案馆向阿布扎比索邦大学“档案管理与档案科学”学生提供线上讲座

（图片来自 of Arab ）

国外众多主体还细分资源发挥档案的育人功能。9月，美国国家档案馆利用“9·11恐怖袭击事件”专题档案设计教学内容，教育学生铭记历史。除国家档案馆外，企业和高校也大力参与学校和社会的文化教育。2月，英国玛莎百货企业档案馆向中小学生推出免费在线课程，助其了解企业历史与时装、面料和食品的有关知识；美国威斯康星大学绿湾分校向知名演员托尼·沙洛布提供家谱档案和家族史课程；5月，英国广播公司向社会开放莎士比亚档案资源库，促进公众了解本国最重要的文化遗产。可见，重大事件档案、企业档案、名人档案和家谱档案均可发挥育人功能。

阿联酋高度重视档案馆教育功能并持续开展既丰富多样又细分对象的教育活动，并非简单地普及档案知识、提升档案意识，还激发了民众的爱国情感、提高了国家归属感和民族认同感。同时，众多主体积极发挥档案育人功能，特别是企业和高校档案馆面向学校、社会开放资源或提供课程，说明其正在调整定位，不再局限于服务本单位，外向思维愈发明显，跨界融合的特点也更加鲜明。

3. 凸显创意开发

档案开发是活化资源的必由之路。新闻显示，各国档案开发创意十足是2021年的亮点。创意是在美学、道德、政治和社会意义下所产生的新意巧思，其特征是富于创造性、创新性和想象力。各国的创意开发在主题、方式、角度3方面均有体现。

档案开发主题富于创意。3月，英国国家档案馆以“复活节七巧板”主题开发档案，指导儿童参考馆藏自制七巧板以培养其创造力和想象力；5月，英国威斯敏斯特男装档案馆举办展览，展示52种品牌口罩，展现疫情时期的“时尚配饰”；6月，英国国家档案馆以“海员的故事”为主题开发档案，让青少年立足馆藏，以插画形式描绘海员的船上生活；11月，阿联酋国家档案馆以“青年历史学家”为主题开发档案，鼓励学生参与馆藏开发并进行创意写作。

档案开发的形式和方式富于创意。1月，英国威尔士档案馆与克莱维德剧院联合制作女性独白电影，通过影视化形式从女性视角开发档案；同月，阿联酋国家档案馆举办“火星探测之旅”虚拟展览，观众借助AR技术观看探测器从设计到空间传输的全过程；8月，英国布莱克斯顿黑人文化档案馆布置沉浸式体验空间，让观众身临其境地感受历史。

档案开发角度富于创意。5月，墨西哥通过开发织物档案制作服装，实现经典与前卫的融合；6月，马耳他选择气象档案角度进行开发，收集历年降水、阳光、风和温度走势的历史记录；7月，菲律宾从奥运选手角度开发档案，建设专题网站；同月，美国温斯顿-塞勒姆市从纹身角度开发档案，展示纹身的风格变迁。

马耳他展出的气象档案（图片来自News Book）

国外档案创意开发成效显著，创造力和想象力让档案资源本身和活动内容的吸引力大增；各种形式和方式的技术支持和场景沉浸能让用户自由“穿越”、身临其境；角度的丰富又使档案开发充满奇趣，令人流连忘返。

综合来看，国外档案利用服务开放场馆的创新思路、育人服务能力的提升、资源开发的创意值得我国借鉴。未来档案馆需凸显场域优势、促进育人功能，丰富开发创意，成为创新之地。

档案安全面临困境

1. 馆库建设和管理陷入困境

档案馆库建设和管理是档案事业的设施基础。新闻显示，2021年国外档案馆库建设和管理的主要困境是资金链断裂和疫情困扰。

（1）资金链断裂导致运行经费不足

资金对档案馆库建设和管理的重要性不言而喻。一些国家因财政困难导致档案馆资金链断裂，工作停滞，甚至危及档案安全。典型案例有美国和印度。3月，美国威斯特摩兰县档案馆存储空间用尽，2000箱文件滞留在县法院难以进馆；2020年年初以来，因美国国家档案馆西雅图分馆的维护费用过高，联邦公共建筑改革委员会决定将其关闭，2021年4月，在民众的抗议和议员的诉讼下，拜登政府才取消之前出售西雅图档案大楼的决定；7月，印度特伦甘纳邦档案馆建筑墙上出现明显裂缝，电线横生，许多设备损坏，但当地政府因缺乏预算无法拨款修缮。案例表明，馆藏积压、设施老化导致档案馆运行成本居高不下，政府缺乏预算或档案馆经费不足又导致馆库建设雪上加霜，这样的恶性循环对档案安全造成严重威胁。

近年来，资金短缺是国外档案事业的普遍问题，原因复杂。既可能是档案机构缺乏主动争取政府拨款、社会捐赠等资金的意识和途径；也可能是政府官员对档案重要性的认识不足，迫于现实利益采取短视行为。特别是关闭和出售西雅图档案馆事件，若非议员和民众抗争，可能酿成行业悲剧，教训深刻！

（2）疫情持续致使线下工作受阻

2021年，新冠肺炎疫情持续在全球蔓延，疫情防控进入常态化。一些国家的档案工作因疫情反复遭受困扰。典型案例有瑞士、美国、加拿大和新西兰。1月，瑞士联邦档案馆遵守联邦委员会疫情防控规则，控制线下利用者数量；2月，加拿大因疫情封锁限制用户线下访问国家图书档案馆，导致研究项目进展延缓；4月，美国国家人事文件中心受疫情影响人手不足，导致50多万份档案的利用申请处理延迟；10月，加拿大国家图书档案馆规定每周仅开放3天线下阅览，研究人员和高校学生在线预约相当困难，受疫情影响，该馆还被迫对利用需求进行区分和取舍，虽然采用了在线答疑方式，但服务效率不高、效果不佳；11月，新西兰奥克兰档案馆因疫情防控等级下降逐步恢复各项职能，但开放程度和服务效率依然受限。

疫情持续对档案工作造成很大阻碍，线下服务频频受阻，用户满意度下降。如果说资金短缺主要妨碍馆库建设，疫情则困扰馆库运行。笔者之前建议各国档案部门“直面疫情，化危为机”，面对可能长期持续的疫情，档案馆库管理需调整工作重心，加大数字化建设，提供更多的线上服务并提高效率，应对馆库运行和管理的挑战。

2. 档案安全遭遇威胁

档案保管保护以安全为生命线，但2021年国外发生多起自然灾害破坏档案实体的事件。典型案例有南非、新西兰、比利时和巴西。4月，南非开普敦的森林大火烧毁了开普敦大学贾格图书馆，馆藏记录非洲历史的珍贵档案悉数尽毁；6月，新西兰惠灵顿国家档案馆发现馆藏《怀唐伊条约》《争取妇女选举权的请愿书》等珍贵档案的鼠啮痕迹明显；7月，比利时洪灾使得国家档案馆和地方档案馆馆藏受损，其中瓦隆地区档案馆损失最惨重，因其馆藏存放在地下库房，装具多为木箱，许多档案面目全非；同月，负责保存电影档案的巴西电影院发生火灾，并迅速蔓延至保存2000多份胶片档案的大楼，导致两个房间保存的薄膜制品及其他档案被毁。

比利时档案馆内被洪水破坏的档案（图片来自比利时联邦档案馆）

自然灾害虽是客观性破坏因素，但案例表明国外档案馆并未做好安全保护，未能做好安全检查、应急预案等提高馆内抗灾水平的档案安全体系建设，损失惨重，警示明显。一方面，档案馆需建立健全安全管理责任制，提高防灾减灾意识，建立档案管理防灾抗灾机制；同时推进应急处置演练常态化，加强保护技术研究、保护修复人才的培养储备，确保有备无患。另一方面，档案馆需加强与其他部门的联系，按照预案尽快采取抢救措施，启动灾后恢复重建机制，尽量把损失减到最低。

3. 档案数字资源安全管理能力尚不充足

数字时代要求档案机构提升数字资源安全管理能力，实现管理系统和档案信息可管可控。但受限于经费状况、技术条件和专业水平等因素，各国档案数字资源安全管理能力尚不充足，存在安全风险。3月，澳大利亚国家档案馆声称因资金不足难以达到档案法规定的“满足数字传输、存储、解密和公共访问量”要求，次月，又声称因资金不足无法进行技术系统升级，面临数字信息丢失风险；4月，斯里兰卡国家档案局进行数字化项目，但缺乏数字档案保护措施；同月，塞浦路斯在线交易网站发生大规模数据泄露事件，泄露内容包括个人数据、财务档案和政府文件等；9月，日本通讯软件公司交易档案外泄，约13万条交易档案信息误传上网公开引发风险；11月，印度特伦甘纳邦秘书处、财政部和税务部等政府机构因预算不足尚未启动历史档案数字化，面临安全风险。案例表明无论发达国家还是发展中国家，均需提升档案数字资源安全管理能力，规避风险。

档案数字资源安全管理十分必要，即使开展了档案数字资源建设、建立起数字档案管理系统，若不具备资源安全管理能力，档案机构也无法达到数字时代的要求。澳大利亚的教训说明政府部门应重视档案数字资源安全管理能力的重要性，为档案部门提供经费长效保障机制。

综合来看，国外档案安全体系建设困境明显，对我国既是提醒，更是警示。这正体现《规划》要求深入推进安全体系建设的现实意义。可喜的是，我国新修订的档案法强化安全要求，从机制、责任、技术、方法等方面进行了规定，且总则规定“把档案事业纳入国民经济和社会发展规划，将档案事业发展经费列入政府预算”，显示出我国制度的优越性。

2021年国外档案事业成绩显著却面临困境——档案治理提质增效，专题建设优化质量，服务创新扩大影响，安全困境破坏根基。新年的钟声已经敲响，踏上2022年新征程，每一位中外同行还需保持“千磨万击还坚劲，任尔东西南北风”的精神，不畏险阻，勇攀高峰！

信息安全管理体系建设，数字化改革下保障数据安全的难点与对策思考

01 以我国政策为抓手，看驱动力转变

党的十九大报告中提出加快“数字中国”建设的战略目标。我国在2020年全面建成小康社会、实现第一个百年奋斗目标的基础上，提出《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革，打好第二个百年的开篇。围绕远景目标，在《“十四五”数字经济发展规划》提出2025年近景目标，以“数字经济”为抓手，以“数字中国”为战略方向，将远景目标进行细化，强调要初步建立数据要素市场体系、产业数字化转型迈向新台阶、数字产业化水平显著提升、数字经济治理体系更加完善、保障强化数字经济安全等。因此，加大“数字化改革”力度，强化 “数字产业化、产业数字化”成为了第二个百年目标前期的必要手段。回顾“十三五”，我国加速数字技术与产业的融合，即取得了积极成果（如：加速了传统产业数字化转型、一体化政府服务和监管效能明显提升、新的生产生活方式加速推广等），也暴露了发展中亟需解决的问题（如：数据安全问题、数字鸿沟问题、数据价值潜力释放问题、数字经济治理体系完善问题等）。展望“十四五”，我们需要强化取得的积极成果，解决发展过程中衍生问题，在数据安全领域，要以数据资产为关键要素，以现在信息网络为主要载体，从产、学、研、用的角度出发，为促进数字经济可持续发展，构建坚实的数据安全防御底座，优化数据安全防御理念、建立数据安全防御体系、强化数据安全风险研判能力、保障数据要素流通安全、培育数据安全合规自律、加强重要信息监管力度等。

02 数字化改革下保障数据安全的难点思考

对于“数字化转型”在《“十四五”数字经济发展规划》中给出了明确的转型指导和方向指引。企业层面：要求无条件的企业从数字化转型迫切环节入手，以点逐步强化到面；要求有条件的企业（如：大型企业）建立一体化数字平台，以面覆盖到点，并要求开放数字化资源、开放数字化能力、赋能中小型企业转型。产业层面：通过数字化转型提高各产业要素生产率，以数字技术促进产业融合发展，引导各类要素加快集聚与共享。业态层面：围绕技术、资本、人才、数据等，加强产业共性解决方案供给、建设供给资源池、建立公共数字化转型促进中心、搭建转型供需对接平台等。本文结合《“十四五”数字经济发展规划》对“数字化转型”的指引及当前数据安全产业现状，归纳现有数据安全防御难点、预判未来数据安全防御能力建设风险。具体内容如下：

（一）数据流动加剧数据安全风险。

数字化转型带来了大量数据的共享交换，在前期发展阶段信息安全管理体系建设，各系统之间、各部门之间、内部与外部之间会进行大量数据共享交换，当数字化转型发展到一定阶段时，各行业之间、各产业之间同样会进行共享交换，加速产业融合发展，这些数据的流动在带来巨大价值的同时，也带来了极大的安全风险，随着数据的持续流动，安全能力、控制能力必然会逐步减弱。因此，数据拥有者需要能够时刻看到数据流动去向及安全情况，才能有效降低安全风险。

（二）数据安全体系尚未健全。

政府数字化转型依托数据共享交换实现信息资源集约化、服务化和标准化供给，各部门及企事业单位可实现业务需求的快速响应，有效降低了系统建设和运维管理成本。然而安全建设集约化和服务化能力却尚未形成，各部门及企事业单位在数据中台上构建自身业务应用时，仍需自行进行安全体系设计并完成相关安全产品的选型、购买、部署等工作，这种传统的安全建设模式需要较长建设周期，降低了业务上线的效率。

（三）上下游黑灰产业链分工明确、隐蔽性极高。

我国虽然出台了《个人信息保护法》，但我国个人信息非法买卖问题依然严峻，从窃取 、清洗、加工、贩卖的分工明确、上下游协同的黑灰产业，具有非法贩卖、跨境传输等风险，对取证、侦查工作提升了难度。

（四）数据交易安全风险加剧，加速推进数据要素安全交易体系建设。

国家大力倡导盘活数据经济价值，数据交易变成为了不可或缺的手段，如何保障可交易数据质量、如何判断是否为可交易数据、如何在合理合规的条件下进行交易、如何确定数据要素价值、如何对数据进行确权、如何提高数据要素优化配置效率、如何在交易前中后建立数据监管能力、如何植入数据安全技术保障数据交易安全，成为了建立数据安全交易体系必须考量的要点。

（五）复杂应用场景面临身份管理挑战。

随着数字化改革、“最多跑一次”“互联网 +政务服务”为广大企业和市民提供便捷、高效、多样化的业务服务，整体业务环境将更加开放，业务生态将更加复杂，参与提供数据服务和应用服务的角色也将更加多元。众多的应用给使用人员以及服务提供方带来了复杂的身份和权限管理问题，确保所有人员合法合规访问被授权的业务应用和数据资源成为挑战。一方面，需要防范内部和服务提供方合法人员被数据的价值吸引而违规、违法的获取、处理和泄露数据；另一方面，需要防范外部访问人员恶意的数据窃取和数据破坏行为。

（六）加速培养数据安全专业人才，提升政企事业单位数据安全合规自律。

随着相关法律实施与政策落地，人才缺口成为企业数据安全建设的新难题，我国企业数据安全岗位大多由人员兼职，专业数据安全人才供需缺口大，针对数据安全专业人才的评价和认证体系有待建立。数据安全人才短缺必然导致合规安全意识淡薄，通过培养一批数据安全专业人才，加速面向市场赋能，提升各领域数据安全合规及安全防范自律。

03 数字化改革下保障数据安全的对策思考

（一）在危机中育新机、在变局中开新局（持续性比较分析，细微处洞察事务变迁）。

1. 样本足量问题考量。无论是对威胁洞察、风险研判，在精准度层面都存在一个本质性的问题“样本量的大小”，由于相对于正常状态，数据安全发生威胁还是小概率的，也就是说正常状态的样本量要比非正常状态的样本量多出很多，基于样本正常状态的分析要比基于非正常状态的分析更为科学、准确、覆盖面更广、可参考价值更大。因此，我们要在构建防御能力中，检测对象从数据安全问题转变为，面向检测样本足量的数据安全的正常状态基于首位，其次，在对数据安全非正常状态问题进行检测；

2. 承认漏洞存在的事实。近些年，攻防演练尤为盛行，原本攻防演练的出发点是希望通过攻防演练验证防御能力、找出防御体系漏洞、持续对防御体系进行加固、减少自身漏洞。但直到目前得出来的结论，漏洞并没有因为攻防演练发现问题、解决问题而逐步减少，反而呈现出漏洞递增的状态。因此，我们需要承认漏洞存在的一种客观现实，即使当前漏洞全部修复也并不意味这没有漏洞。所以，我们在建立数据安全防御体系中，需要以与漏洞长期共存的视角出发，建立数据安全防御能力，并考虑隔离漏洞理念，让漏洞与漏洞之间互不影响，当某一漏洞被入侵，只把入侵者锁定在此应用软件本身，不会交叉感染，使风险控制在最小域中。

3. 数据只有在流动中才会持续产生价值。需要保障数据无边无际流动的同时，提升数据安全能力，并非为了提升安全性而去阻断数据的流动，这不利于盘活数据要素经济价值的良性发展。保障数据无边无际的流动，需要承认数据有可能流经到我们所不知道的区域中，同时数据的流通总是从高安全区域流动到低安全区域，最终流动到不受控制的区域。因此，我们需要在“未知流动”和“失控流动”中建立安全保护能力。在不可靠的网络中以人、边界、资产寻求建立可靠的支撑点，并承认无边界访问的事实，并在此基础上定义出新的边界，实现基于上下文的风险动态访问策略，持续判断上下文行为的变化、持续评估信任等级，基于上下文的动态访问控制，简化身份构成信息安全管理体系建设，数字化改革下保障数据安全的难点与对策思考，把人、终端、应用、账户之外的其他动态信息从身份中剥离出来，构成上下文空间，使身份和行为在上下文空间中进行活动，并对上下文空间的身份持续开展评估，遵循“旧事物就是可信的、新事物就是不可信的”基本原则，以概率评估的基本方法来影响信任度和风险度。

（二）时代之大变局下，不能只限于一时一事、一城一域（需要深刻而宏阔的时代之变）。

1. 数据安全防护。承认无边界访问事实之上重新定义安全边界，在不可靠的网络中建立人、边界、资产支撑点，以加密重构新边界，把无限开放的供给面与边界最大程度缩小为理念，建立存储域；以资产和边界为主动体，考虑客体、属性、标签、策略访问控制为原则，构建访问域；以降低或者避免外网直接攻击及避免入侵后内网攻击传播为原则，将隐蔽防御与诱饵进行连用，建立终端域；以保障数据可无边无际的流动为前提，以匿名化和脱敏为手段，以让私有数据成为公开数据从而支持无边无际的流动为原则，建立流动域。以简化身份构成、构建上下文空间、建立基于上下文动态变动的持续自适应风险与信息方法为原则，构建管理域。

2. 数据安全统一运营。将运营人员经验与智能化工具有机结合，建立“以人为本、工具为辅”的数据安全运营理念，如使数据安全运营的安全防御效能最大化，需进行分层建设，逐层提供建设辅助能力，为运营人员提供高效数据安全运营辅助，并从“人”、“数据”、“业务”三个维度建立数据安全管控策略，以“人”为中心建立基于行为场景的访问控制策略，以“数据”为中心建立全面的数据库安全审计、容灾备份、数据库智能运维，以“业务”为中心建立基于数据的业务访问、业务接口、业务互联的风险管理，形成监测、分析、响应、报告于一体的风险管理能力，并将数据安全持续运营中形成的能力进行不同维度的可视化呈现，为指挥决策提供态势的感知能力。

3. 数据安全治理。以人员经验为前提，借助数据安全治理工具，持续开展数据安全治理工作，摸清数据资产、确定敏感数据，结合数据全生命周期、数据安全能力模型、开展数据安全风险持续评估。

4. 数据安全自律。结合《数据安全能力成熟度模型》从组织建设、制度流程、技术工具和人员能力四个维度建立赋能培训课程，辅助相关单位建设知法、懂法、用法、落法的相关能力，形成积极开展合规建设、填补自身法律空缺、补齐自身数据安全人才、建立内部人员合规自律意识等，填补数据安全培训服务供给侧存在的较大空白。

（三）小船经不起风浪，巨舰才能顶住惊涛骇浪（能力汇聚与释放）。

1.巨舰。构建数据要素流通中的合规管理和安全治理框架，将合规要求、地方法规、治理、监督、流通环节、基础能力及技术保障进行综合考量，形成能够抵住数据要素流通中面对所有风险的巨舰。

2. 制造巨舰（遵循“五部一体”原则）。

第一步，建立健全数据交易安全规范体系。参考各数据安全标准和指南，建立健全数据交易安全规范体系，覆盖参与数据交易的各行业。

第二步，构建确保数据要素有序流通的基础能力。建立统一的数据分类目录、数据分级原则、数据安全知识库、数据安全组织保障等。

第三步，建立统一的交易数据中转平台。要求经过交易服务平台交易地数据，必须经过平台配套中转平台进行中转，以规范数据供需双方场外交易行为。

第四步，健全交易数据安全技术保障能力。从技术层面、管理层面、流程层面、措施层面进行建立。

第五步，健全数据交易合规监督体系并落实责任。通过数据安全监督审核流程和常态化的数据安全检查，掌握数据交易过程中存在的安全风险和造成事件影响，促建、促管、促改、促防，推动数据交易安全保障体系的优化完善，进一步保障数据交易有序安全开展，同时也具备了数据交易过程中的安全事件取证和溯源能力。

一体，重点围绕重要数据、个人信息和数据跨境等交易这三个维度来开展。针对重要数据的合规治理，首先应当识别各交易是否涉及重要数据，其次交易双方以及平台本身是否在交易过程各阶段充分履行相关安全义务，通过不断地开展此项合规治理工作，小到避免合规风险，大到维护国家安全。针对个人信息的合规治理，通过规范和技术等多种措施来强化平台对个人信息的合规治理势在必行，如建立提供用户协议等机制以确保数据供应方应履行数据主体知情权并征得其同意，同时建立因数据供给方未履行安全责任而触发暂停交易、阻断数据传输等程序或技术能力。针对跨境交易的合规治理，如涉及重要数据出境地重点将关注是否经过安全评估，如涉及个人信息出境地应关注是否经过个人信息影响评估等，同时还应核查是否有履行审批程序，同时建立因数据供给方未履行安全责任而触发暂停/中断交易、阻断数据传输等程序或技术能力。