在数字化浪潮席卷全球的今天，数据已成为驱动经济社会发展的关键要素。然而，随着数据的海量增长与广泛应用，数据泄露的风险也日益凸显。近年来，数据泄露事件频发，2024年刚刚过半，却已经发生了近年来规模最大、破坏性最强的数据泄露事件。其中有些黑客攻击似乎已经达到了极限，但事态却还在进一步恶化。个人隐私的脆弱性、企业信誉的损伤，乃至国家安全的潜在威胁，无一不在警醒我们，数据保护已刻不容缓。

Change Healthcare被盗走“大部分美国人”的医疗数据

2024年，Change遭勒索软件攻击，因安全措施不足致敏感数据大量失窃，影响广泛，包括医院运营停摆。联合健康支付赎金获取数据副本，CEO Andrew Witty透露约三分之一美国人信息或已泄露，具体影响仍在评估中。

Synnovis勒索软件攻击引发伦敦各家医院广泛停运

2024年6月，英国病理实验室Synnovis遭俄勒索软件攻击，致伦敦医疗服务数周中断，推迟数千手术。3亿患者数据被盗，部分已在线泄露，Synnovis拒付5000万美元赎金。受影响的NHS信托基金长期未达标，政府紧急应对潜在大规模数据曝光。

Snowflake黑客事件导致Ticketmaster 5.6亿条记录被盗

Snowflake云数据平台遭受黑客攻击，未强制的多因素认证缺失致165家企业数据被盗，其中包括Ticketmaster的5.6亿条记录。Advance Auto Parts和TEG也受影响，被盗记录总计数亿。Mandiant确认多家大型组织数据遭殃，预计更多企业将确认此安全事件。

黑客攻击与内部威胁：企业数据保护不力

2024年上半年，侵害公民个人信息、盗取泄露数据资产的情况在全球范围内持续上升，成为网络空间安全的最大风险。

两家银行被罚：1月5日，国家金融监管总局对两家银行分别处以430万元和400万元的罚款，原因是两家银行在信息系统管理、灾备建设、网络安全等方面存在多项违规行为，导致数据泄露风险增加。

生物技术公司数据泄露

1月8日，公安部网安局公布的案例中，某生物技术有限公司因未加密测试数据，导致“基因外显子数据分析系统”中的数据泄露，总量达19.1GB，包含大量公民信息和技术信息，被依法警告并罚款五万元。

一、国家安全层面的数据保护需求凸显

面对数据泄露事件的频发，国家层面对于数据安全的重视达到了前所未有的高度，我国坚持数据安全与发展并重，安全是发展的前提，发展是安全的保障。为规范数据处理活动，防范化解数据安全风险，有效保障数据安全，《中华人民共和国数据安全法》（以下简称《数据安全法》）明确提出建立数据安全风险评估机制要求。

当前，我国数据安全评估制度在加紧建设形成中，呈现出国家顶层设计与行业探索同步推进的现状。

在国家标准层面，2023 年 5 月发布了《网络安全标准实践指南——网络数据安全风险评估实施指引》（以下简称《指引》），以《指引》为底本的国家标准《信息安全技术 数据安全风险评估方法》 目前也处于报批阶段，待正式发布。

在行业探索方面，工业和信息化部于 2022 年 12 月印发了《工业和信息化领域数据安全管理办法（试行）》，明确工业和信息化部指导、鼓励具备相应资质的机构，依据相关标准开展行业数据安全检测、认证工作；制定行业数据安全评估管理制度，开展评估机构管理工作；制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、出境安全评估等工作。中国通信标准化协会也正在加快组织研究制定工业、电信领域数据安全风险评估规范等行业标准。全国金融标准化技术委员会陆续发布了 JR/T 0223-2021《金融数据安全 数据生命周期安全规范》《金融数据安全 数据安全评估规范（征求意见稿）》等标准。

总之，我国以《数据安全法》为上位法依据，构建了数据安全风险评估制度体系。

二、数据安全仍面临诸多风险

步入大数据时代，数据已成为驱动经济增长的新石油，但随之而来的数据泄露、滥用、篡改等安全风险如同暗流涌动，威胁着社会经济的健康发展。各行业面临的数据安全挑战日益严峻，使得开展高效、精准的数据安全风险评估显得尤为紧迫和必要，它不仅是合规的基石，更是维护国家安全和社会稳定的关键环节。

数据安全合规挑战

我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的网络和数据安全法规保障体系，必须确保数据处理活动符合法律法规要求，否则将面临法律制裁和信誉损失。

数据分类分级挑战

数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后，无法有效支撑数据分类分级工作；传统数据分类分级工具在敏感数据的宽度、精度识别率不高；面向海量数据的数据资产分类分级，专业人员数量缺口巨大。

数据流动监测挑战

业务对数据流动性要求日益增加，使得数据流动路径变长，给监测带来困难。

数据泄露和信息安全威胁挑战

在数字经济时代，数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生，企业面临着盗窃、勒索和恶意软件等多种风险。

三、风险评估成为保障数据安全的重要途径

面对日益加剧的数据安全威胁，数据安全风险评估是实施数据安全建设，确保数据安全风险可控的基础工作，评估的结果也是形成数据安全治理策略的重要依据。它不仅能够帮识别潜在威胁，提前布局防御措施，还能优化数据管理流程，提升整体安全态势。通过科学的风险评估，企业能有效降低数据安全事件发生的概率，确保业务连续性和竞争力，为数字经济的稳健发展保驾护航。

道普信息数据安全风险评估专家表示，借助专业的第三方评估服务，基于数据分类分级的风险评估模型，通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面，从组织建设、制度流程、技术工具、人员能力4个维度，对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估，发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。

评估准备

数据安全风险评估准备的内容，主要包括：评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。

风险识别

主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。

风险分析

通过采取适当的方法与工具，可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度，从而得到数据安全风险值。

风险评价

企业在执行完数据安全风险分析后，通过风险值计算方法，会得到风险值的分布状况，对风险等级进行划分，一般会划分为：高、中、低三个等级。依据风险评价中风险值的等级，明确风险评估结果内容。

当前，数据泄露事件愈发严重，数据安全领域面临的挑战日益严峻。为了有效应对这些风险，我们必须建立健全的数据安全风险评估制度，加强数据安全的监管和防护力度。只有这样，才能确保数据在推动经济发展的同时，不成为威胁个人隐私和社会稳定的“定时炸弹”。让我们携手共进，共同守护这片数据的蓝海，为数字经济的健康发展保驾护航。