人人都在强调数据安全而不顾数据开放效率，怎么破？

2024-10-31

随着国家在安全方面的法律法规相继出台，“严管”成为了很多企业的主旋律，但“严管”不是乱管，我们还是要需要基于底线思维，尽量做到数据安全和效率的平衡，这里有九个策略供你参考！

数据的共享和开放(以下简称数据开放)是很多企业关注的问题，但颇有“一管就死，一放就乱“的特征，随着国家在安全方面的法律法规相继出台，“严管”成为了很多企业的主旋律，但“严管”不是乱管，我们还是要需要基于底线思维(在遵守国家相关法律法规的前提下)，尽量做到数据安全和效率的平衡，这里有九个策略供你参考!

策略一：原则制定

公司应该制定数据管理政策，明确一些基本原则，大家要对此达成共识，这些共识是安全和效率最终能达成平衡的基础，比如以下三条：

第一，数据是公司的战略资产，不是部门的私有资产，这可以防止部门私自对数据共享和开放建章立制。
第二，数据应在满足必要的信息安全的前提下充分共享并明确服务承诺，数据产生部门不得拒绝或延缓跨领域的数据开放需求。
第三，数据需要实施分层分级的管控策略，比如敏感数据安全优先，非敏感数据效率优先。

策略二：组织保障

要成立企业级的数据管理组织，统筹解决数据安全开放的问题，很多数据开放问题其实不是安全问题，而是沟通层级太多导致的信息不对称问题，或者是小鬼当家导致的胡乱决策的问题，当需求方和安全方在企业数据管理组织的安排下凑在一张桌子上打麻将的时候，问题就解决了一半。

策略三：制度约束

数据要素成为生产要素后，企业要加强涉及限制数据开放相关制度和规范的审核和发布，至少要加强管理，源头问题不解决，下游再怎么努力都是事倍功半。

在这个方面要向政府学一学，比如浙江省政府在发布《浙江省公共数据开放与安全管理暂行办法》的时候，广泛征求了各方意见(包括大量企业)，而且这个办法还是暂行的。

但很多企业相关办法的下发往往忽略基层的声音，甚至不征求意见，利益部门只讲办法带来的好处，忽略办法的负面作用或者不知道对企业有什么全局的影响，一旦执行很容易影响生产经营，一线越是强调执行力，受到的影响就越大。

数字化时代到来后，企业成立数据治理委员会来进行制衡很有必要，至少要有专业的组织对涉及影响数据开放的制度规范进行审核。

策略四：认知统一

数据开放的概念没有标准定义，安全方很容易把所有的数据流动都等同数据开放，各种法律法规的相继出台也会让安全方过度解读，打造一部公司级的数据开放管理办法是有必要的，至少要明确数据开放的定义，范围等等，大家必须在同样的语境下沟通和协作，否则鸡同鸭讲没有妥协的余地。

比如“在汇聚各领域数据的基础上，通过数据湖向公司内部各部门提供可机器读取、可再利用和分发的数据的服务”这种数据开放定义，就澄清了很多事情，开放主体是数据湖管理部门，开放对象是公司内部各部门和下属单位，开放内容是可机器读取、可再利用和分发的数据，不包含报表指标、洞察分析等数据应用和生产系统之间的数据服务调用。

策略五：流程优化

企业为实现价值创造，从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的E2E(端对端)业务过程就是业务流程，适配业务流的流程会带来价值提升，是优秀作业实践的总结和固化，推广流程的目的是让不同团队执行流程时获得成功的可复制性。

现实中数据开放的安全要求都是靠通过增加人工安全审核的环节来实现的，导致了冗长的数据开放流程，这需要公司有流程驱动的基因，要设置数据开放的流程CEO，要能进行数据开放流程的运营，要能为数据开放的流程SLA负责，比如针对不同敏感等级的数据设置不同的开放流程(直接开放、可控开放和严控开放)来提升开放效率。