在日新月异的数字化浪潮中，数据已成为驱动经济社会发展的关键生产要素，其重要性不言而喻。然而，随着数据量的爆炸式增长，数据安全与个人信息保护的挑战也日益凸显，成为不容忽视的社会议题。近日，全国网络安全标准化技术委员会公布了《数据安全技术 数据安全和个人信息保护社会责任指南》（征求意见稿），标志着我国在推进数据治理现代化、强化个人信息保护责任方面迈出了坚实一步。

一、政策引领强化社会责任

自《数据安全法》与《个人信息保护法》于2021年相继实施以来，国家层面的监管力度显著增强，不仅提升了社会各界的安全意识，更促进了具体防护措施的落地生根。这两部法律的出台，清晰界定了组织在数据处理中的责任与义务，促使企业与机构主动拥抱合规，将数据安全与个人信息保护视为不可推卸的社会责任。

在《数据安全法》第八条明确指出：开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。在《个人信息保护法》第五十八条指出：提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（四）定期发布个人信息保护社会责任报告，接受社会监督。

标准推动深化社会责任实践，2022年12月30日，《数据安全和个人信息保护社会责任指南》（T/CCIA 002—2022）联盟技术规范-社会责任指南正式发布，该技术规范成为国内首个企业履行数据安全和个人信息保护社会责任方面的指导文件。2023年3月，完成第一批试点单位的社会责任评价。2024年6月，《数据安全技术 数据安全和个人信息保护社会责任指南》（征求意见稿）的公布，旨在为各行各业提供明确的操作框架，确保数据处理活动在遵循法律法规的基础上，更加注重社会责任的体现。通过标准的引领，数据处理组织能够系统性地识别风险、评估影响，并采取有效措施，形成全社会共同参与的数据安全保护网。

二、数据安全和个人信息保护面临诸多挑战

数据成为新的关键生产要素，数据安全既关乎国家安全、经济发展和社会稳定，又与每个个体的隐私息息相关。当今数字化时代，履行数据安全与个人信息保护社会责任已成为各组织的重要使命之一。然而，在数字化时代，数据安全和个人信息保护面临着诸多风险和挑战。

1. 安全合规风险

国家出台了一系列政策文件，体现了合规升级、监管趋严的宏观趋势。

《数据安全法》《个人信息保护法》相继出台，对数据安全与个人信息保护作出相关规定。

2021年12月，国务院出台《要素市场化配置综合改革试点总体方案》提出要探索建立数据要素流通规则，加强数据安全保护，推动完善数据分级分类安全保护制度。

2022年12月2日，《关于构建数据基础制度更好发挥数据要素作用的意见》明确指出，数据安全是数据要素流通交易的底线和红线，是开展数据流通交易的首要条件。

2022年12月，工信部印发《工业和信息化领域数据安全管理办法（试行）》，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求等七个方面。

2023年6月，交通运输部印发《公路水路关键信息基础设施安全保护管理办法》提出，切实保障公路水路关键信息基础设施安全，维护网络和数据安全。

2023年7月，《中国人民银行业务领域数据安全管理办法（征求意见稿）》提出，鼓励数据处理者在保障安全合规前提下，积极促进数据高效流通和创新应用。

2024年1月，《“数据要素×”三年行动计划（2024-2026）》的出台以推动数据要素高水平应用为主线，提出要提升数据供给水平、优化数据流通环境、加强数据安全保障。

2.安全威胁加剧

在数字经济时代，数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生，企业面临着盗窃、勒索和恶意软件等多种风险。

3.数据分类分级挑战

数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后，无法有效支撑数据分类分级工作；传统数据分类分级工具在敏感数据的宽度、精度识别率不高；面向海量数据的数据资产分类分级，专业人员数量缺口巨大。

4.数据流动监测挑战

业务对数据流动性要求日益增加，使得数据流动路径变长，给监测带来困难。

5.个人信息保护不足挑战

数据中包含大量的个人信息，部分数据面向社会开放前，未经过脱敏、截断、遮挡等处理，导致个人信息泄露。

三、安全防护体系保障数据安全和个人信息保护

面对复杂的数据安全和个人信息保护形势，道普信息风险管控专家倡导构建全面的构建动态安全防护体系，积极跟踪国内主要政策，切实落实个数据安全和个人信息安全要求，建立起可信赖的个人信息安全环境。

多规管理融合加强安全合规

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，开展等保、密码、关保等多规测评，针对风险提出改进建议，帮助完成合规整改。

健全数据安全治理体系保障数据安全

通过数据治理体系建设，不断开发创新的数据服务，融合目标、流程、方法、工具，建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架，实现数据的资产化、可视化、服务化，保障数据的核心价值。

强化数据安全风险评估，对数据全生命周期进行风险识别和评估，提升数据安全保障能力、风险发现能力，确保数据安全风险可控。

构建安全防护体系保护信息安全

从运营管理、运营运行、运行技术三方面，构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的个人信息安全保障体系，形成终端防护、边界隔离与威胁监测的安全方案。

在法律法规、办法指引与国家标准的协同作用下，数据安全与个人信息保护已从自发行为转变为有章可循、有据可依的规范化操作。《数据安全技术 数据安全和个人信息保护社会责任指南》的发布，不仅是对现有制度的补充和完善，更是对全社会的一次动员令。唯有当每一个数据处理组织都能够积极响应，将数据安全与个人信息保护融入日常运营与企业文化之中，才能真正实现数据安全的全方位保障，促进数据的合理开发利用，保护好每一位公民的隐私权益，维护国家的长治久安。