1. 哪些數(shù)據(jù)需要關(guān)注

在解讀數(shù)據(jù)安全法規(guī)之前，首先要講清楚的問(wèn)題就是“什么樣的數(shù)據(jù)需要考慮安全問(wèn)題？不同數(shù)據(jù)的安全要求有何不同？”。這里引用一幅摘自網(wǎng)絡(luò)的數(shù)據(jù)分類圖來(lái)說(shuō)明。這幅圖中將數(shù)據(jù)從大的范圍分為兩部分：個(gè)人數(shù)據(jù)與商業(yè)數(shù)據(jù)，再細(xì)分為不同類別。針對(duì)不同類別數(shù)據(jù)，各有其對(duì)應(yīng)的法律法規(guī)保護(hù)。

1)個(gè)人數(shù)據(jù)

針對(duì)個(gè)人數(shù)據(jù)這塊，可概括分為個(gè)人基礎(chǔ)數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、個(gè)人行為數(shù)據(jù)。

個(gè)人基礎(chǔ)數(shù)據(jù)即無(wú)需與任何平臺(tái)或企業(yè)交互即可知的基礎(chǔ)數(shù)據(jù)，如一個(gè)人的性別、身高、體重、年齡等。

個(gè)人隱私數(shù)據(jù)個(gè)人隱私，在民法典和個(gè)人信息保護(hù)法中的表述又不盡相同，分別叫私密信息和敏感個(gè)人信息，兩者并不能完全等同。民法典“隱私”范疇中的“私密信息”既在主觀上“不愿為他人知悉”的部分，又在客觀上能夠識(shí)別自然人的才是“個(gè)人信息”；而“敏感個(gè)人信息”則未必具備隱私權(quán)屬性。

個(gè)人行為數(shù)據(jù)是要與平臺(tái)或企業(yè)產(chǎn)生交互才會(huì)產(chǎn)生的數(shù)據(jù)。這也不難理解，因?yàn)閿?shù)據(jù)是在數(shù)字世界中存在的生產(chǎn)要素，因此，個(gè)人行為數(shù)據(jù)中的“行為”，指的是個(gè)人在數(shù)字世界中的行為，人需要通過(guò)企業(yè)或平臺(tái)進(jìn)入數(shù)字世界，因此必然產(chǎn)生交互。

2)商業(yè)數(shù)據(jù)

針對(duì)商業(yè)數(shù)據(jù)這塊，可概括分為：公共數(shù)據(jù)、平臺(tái)數(shù)據(jù)與企業(yè)數(shù)據(jù)。

• 企業(yè)數(shù)據(jù)企業(yè)數(shù)據(jù)，指企業(yè)業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)。與平臺(tái)數(shù)據(jù)關(guān)系上，一般來(lái)說(shuō)企業(yè)有的數(shù)據(jù)，平臺(tái)理論上都有。當(dāng)然，不排除有些企業(yè)不愿公開(kāi)給平臺(tái)的數(shù)據(jù)，通過(guò)加密方式傳送，導(dǎo)致平臺(tái)沒(méi)有，而企業(yè)有。
• 平臺(tái)數(shù)據(jù)一個(gè)平臺(tái)上會(huì)有多個(gè)企業(yè)，比如金融行業(yè)，貸款超市上的每個(gè)借貸產(chǎn)品，交通出行行業(yè)，聚合打車平臺(tái)上面有多個(gè)打車企業(yè)的產(chǎn)品。
• 公共數(shù)據(jù)公共數(shù)據(jù)涵蓋的范圍最廣，當(dāng)然，也會(huì)有部分?jǐn)?shù)據(jù)，由于企業(yè)或平臺(tái)不愿公開(kāi)，而無(wú)法成為公共數(shù)據(jù)。

3).理解要點(diǎn)

? 如何理解個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)的交叉?

個(gè)人行為數(shù)據(jù)這塊，既屬于個(gè)人數(shù)據(jù)，又屬于商業(yè)數(shù)據(jù)，為個(gè)人與企業(yè)共有。如企業(yè)或平臺(tái)需使用（產(chǎn)生此數(shù)據(jù)的企業(yè)或平臺(tái)），需征得個(gè)人的授權(quán)同意；如第三方企業(yè)或平臺(tái)需使用，則需征得產(chǎn)生此數(shù)據(jù)的企業(yè)或平臺(tái)，以及個(gè)人雙方/三方的授權(quán)同意。

? 如何理解“重要數(shù)據(jù)和核心數(shù)據(jù)”？

在圖中標(biāo)注的重要數(shù)據(jù)和核心數(shù)據(jù)，是在數(shù)據(jù)安全法規(guī)中提到的。這兩類數(shù)據(jù)，和之前的分類并不在一個(gè)維度。重要數(shù)據(jù)，是指?jìng)€(gè)人數(shù)據(jù)（除個(gè)人隱私外的部分）與企業(yè)、平臺(tái)乃至公共數(shù)據(jù)的結(jié)合，通過(guò)大量數(shù)據(jù)的匯聚、關(guān)聯(lián)、映射而產(chǎn)生數(shù)據(jù)價(jià)值及增值。例如之前頗受關(guān)注的滴滴事件，所暴露出數(shù)據(jù)匯聚后所產(chǎn)生的巨大價(jià)值，其泄露等也會(huì)造成巨大安全風(fēng)險(xiǎn)。重要數(shù)據(jù)中的核心部分，即為核心數(shù)據(jù)。

? 如何理解保護(hù)數(shù)據(jù)的法律法規(guī)？

針對(duì)不同類數(shù)據(jù)，有對(duì)應(yīng)的法律法規(guī)來(lái)保護(hù)。這部分后面會(huì)詳細(xì)談及。

• 民法典保護(hù)個(gè)人隱私，以私密信息為主體。
• 個(gè)人信息保護(hù)法同樣保護(hù)個(gè)人隱私，以敏感個(gè)人信息為主體，并且還涵蓋其他個(gè)人信息。
• 數(shù)據(jù)安全法范圍最廣，涵蓋所有的數(shù)據(jù)。
• 網(wǎng)絡(luò)安全法涉及所有線上的重要數(shù)據(jù)。
• 國(guó)家安全法涉及所有的核心數(shù)據(jù)。

2. 數(shù)據(jù)分類與分級(jí)

1).分類分級(jí)概念

數(shù)據(jù)的分類與分級(jí)，是談到數(shù)據(jù)安全的重要概念。我們可以先簡(jiǎn)單理解下，參照上面的圖中，按照縱向的行業(yè)劃分，即為數(shù)據(jù)分類；在每個(gè)行業(yè)內(nèi)，再將數(shù)據(jù)按照敏感程度分為不同層級(jí)即為數(shù)據(jù)分級(jí)。數(shù)據(jù)的分類分級(jí)管理應(yīng)該貫穿于企業(yè)發(fā)展的始終，數(shù)據(jù)的類別、級(jí)別也應(yīng)依據(jù)相關(guān)要求實(shí)時(shí)進(jìn)行變化、更新。在企業(yè)業(yè)務(wù)發(fā)展的進(jìn)程中，必然會(huì)面臨數(shù)據(jù)量增長(zhǎng)和擴(kuò)展更多數(shù)據(jù)域。按照業(yè)務(wù)發(fā)展需求和法規(guī)標(biāo)準(zhǔn)的要求對(duì)數(shù)據(jù)的分類分級(jí)“量體裁衣”才能適應(yīng)日益多樣化的數(shù)據(jù)使用場(chǎng)景和復(fù)雜的數(shù)據(jù)使用維度，為公司業(yè)務(wù)數(shù)據(jù)劃分完整的分類分級(jí)標(biāo)準(zhǔn)，為公司業(yè)務(wù)發(fā)展提供高效的數(shù)據(jù)支撐。

• 數(shù)據(jù)分類從業(yè)務(wù)角度出發(fā)，梳理哪些元數(shù)據(jù)屬于哪個(gè)業(yè)務(wù)范疇，也就是類別。這個(gè)業(yè)務(wù)范疇囊括的范圍可大可小，完全依托于企業(yè)前期基于業(yè)務(wù)的梳理結(jié)果。做數(shù)據(jù)分類，并不是業(yè)務(wù)越細(xì)分越好，大部分細(xì)分之后的數(shù)據(jù)均具有多重屬性，會(huì)導(dǎo)致數(shù)據(jù)的多重劃分，這是典型分類失敗的體現(xiàn)。反之，如果分類過(guò)于粗獷，對(duì)于企業(yè)的指導(dǎo)意義也明顯下降，找到分類顆粒度的平衡點(diǎn)，這很重要。
• 數(shù)據(jù)分級(jí)不同于數(shù)據(jù)分類，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，更多是從滿足監(jiān)管要求的角度出發(fā)。數(shù)據(jù)分級(jí)屬于數(shù)據(jù)安全領(lǐng)域，或許稱其為敏感等級(jí)更為貼切。企業(yè)中的數(shù)據(jù)密級(jí)程度有的高、有的低、有的可公開(kāi)、有的不可公開(kāi)，敏感等級(jí)不同的數(shù)據(jù)對(duì)內(nèi)使用時(shí)受到的保護(hù)策略不同，對(duì)外共享開(kāi)放的程度也不同。如果企業(yè)對(duì)自己內(nèi)部的數(shù)據(jù)沒(méi)有一個(gè)明確的認(rèn)識(shí)，會(huì)為企業(yè)的運(yùn)營(yíng)帶來(lái)嚴(yán)重的隱患。

2)分類分級(jí)實(shí)踐：電信

下面以電信企業(yè)為例，說(shuō)明如何進(jìn)行數(shù)據(jù)分類分級(jí)。

 ? 數(shù)據(jù)分類分級(jí)原則

• 安全性原則：從利于數(shù)據(jù)安全管控的角度對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。
• 穩(wěn)定性原則：分類分級(jí)設(shè)置在相當(dāng)長(zhǎng)一個(gè)時(shí)期內(nèi)是穩(wěn)定的，對(duì)各類數(shù)據(jù)涵蓋廣，包容性強(qiáng)。
• 可執(zhí)行原則：為保障數(shù)據(jù)分類分級(jí)后續(xù)的可操作性,數(shù)據(jù)分類分級(jí)應(yīng)貼近企業(yè)實(shí)際運(yùn)營(yíng)情況，不應(yīng)過(guò)于復(fù)雜或過(guò)于粗獷。企業(yè)的安全防護(hù)要求均應(yīng)在此分類分級(jí)基礎(chǔ)上進(jìn)行展開(kāi)。
• 時(shí)效性原則：數(shù)據(jù)的級(jí)別會(huì)依據(jù)相關(guān)要求進(jìn)行動(dòng)態(tài)變化和更新，企業(yè)應(yīng)預(yù)留一定的管理和技術(shù)儲(chǔ)備，以便應(yīng)對(duì)數(shù)據(jù)級(jí)別變化產(chǎn)生的影響。
• 自主性原則：基礎(chǔ)電信企業(yè)可依據(jù)電信企業(yè)自身的特點(diǎn)，根據(jù)企業(yè)的戰(zhàn)略目標(biāo)、轉(zhuǎn)型方向、風(fēng)險(xiǎn)識(shí)別的結(jié)果等進(jìn)行數(shù)據(jù)安全分類分級(jí)。但分級(jí)結(jié)果應(yīng)符合就高不就低原則，不應(yīng)未經(jīng)評(píng)估將高等級(jí)數(shù)據(jù)降低為低等級(jí)數(shù)據(jù)。
• 完整性原則：對(duì)數(shù)據(jù)狀態(tài)描述的全面程度，完整的數(shù)據(jù)應(yīng)基于業(yè)務(wù)全流程進(jìn)行全面劃分。
• 就高不就低原則：不同級(jí)別的數(shù)據(jù)被同時(shí)處理、應(yīng)用時(shí)且無(wú)法精細(xì)化管控時(shí)應(yīng)按照其中級(jí)別最高的要求來(lái)實(shí)施保護(hù)。
• 關(guān)聯(lián)疊加效應(yīng)原則：對(duì)于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場(chǎng)景，關(guān)聯(lián)后的數(shù)據(jù)級(jí)別應(yīng)高于原始數(shù)據(jù)。

? 數(shù)據(jù)分類方法

根據(jù)基礎(chǔ)電信企業(yè)業(yè)務(wù)運(yùn)營(yíng)特點(diǎn)和企業(yè)內(nèi)部管理方法收集企業(yè)內(nèi)所有部門的數(shù)據(jù)資源，梳理所有數(shù)據(jù)資源。按照線分類法，按照業(yè)務(wù)屬性（或特征），將基礎(chǔ)電信企業(yè)數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個(gè)大類的數(shù)據(jù)分為若干層級(jí)，每個(gè)層級(jí)分為若干子類，同一分支的同層級(jí)子類之間構(gòu)成并列關(guān)系，不同層級(jí)子類之間構(gòu)成隸屬關(guān)系。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹(shù)，如下圖所示。目錄樹(shù)的所有葉子節(jié)點(diǎn)是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或相似的一組數(shù)據(jù)。為便于對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理及應(yīng)用，根據(jù)基礎(chǔ)電信企業(yè)生產(chǎn)經(jīng)營(yíng)管理現(xiàn)狀和企業(yè)自身管理特點(diǎn)，將基礎(chǔ)電信企業(yè)掌握的數(shù)據(jù)整合納入兩大類。

? 數(shù)據(jù)分級(jí)方法

在數(shù)據(jù)分類基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對(duì)國(guó)家安全、社會(huì)秩序、企業(yè)經(jīng)營(yíng)管理和公眾利益造成的影響和危害程度，對(duì)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源進(jìn)行分級(jí)。數(shù)據(jù)分級(jí)按照下圖所示的步驟和方法進(jìn)行，具體如下。

根據(jù)數(shù)據(jù)對(duì)象對(duì)客體的影響程度，取影響程度中的最高影響等級(jí)為該數(shù)據(jù)對(duì)象的重要敏感程度。例如，若某數(shù)據(jù)對(duì)象發(fā)生安全事件時(shí)對(duì)國(guó)家安全和社會(huì)公共利益的影響程度為低，對(duì)企業(yè)利益影響程度為低，對(duì)用戶利益影響程度為高，則該數(shù)據(jù)對(duì)象的重要敏感程度取三者中最高，即為高。按照數(shù)據(jù)對(duì)象的重要敏感程度，可以將基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源分為四個(gè)安全級(jí)別，其對(duì)應(yīng)的安全要求逐級(jí)遞減，分別為第四級(jí)、第三級(jí)、第二級(jí)和第一級(jí)。

• 第四級(jí)數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會(huì)對(duì)國(guó)家安全、社會(huì)公共利益或企業(yè)利益或用戶利益造成特別嚴(yán)重影響的數(shù)據(jù)，安全管控要求最高。
• 第三級(jí)數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會(huì)對(duì)國(guó)家安全、社會(huì)公共利益或企業(yè)利益或用戶利益造成嚴(yán)重影響的數(shù)據(jù)，應(yīng)實(shí)施較強(qiáng)的安全管控。
• 第二級(jí)數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會(huì)對(duì)國(guó)家安全、社會(huì)公共利益或企業(yè)利益或用戶利益造成一定程度影響的數(shù)據(jù)，執(zhí)行基本的安全管控。
• 第一級(jí)數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀對(duì)國(guó)家安全、社會(huì)公共利益或企業(yè)利益或用戶利益造成影響較小或無(wú)影響的數(shù)據(jù)，對(duì)安全管控不作要求。

3. 解讀法規(guī)與標(biāo)準(zhǔn)

1)多層次法規(guī)與標(biāo)準(zhǔn)

隨著對(duì)數(shù)據(jù)安全重視不斷加強(qiáng)，國(guó)家/地區(qū)、行業(yè)出臺(tái)一系列法律法規(guī)與標(biāo)準(zhǔn)引導(dǎo)數(shù)據(jù)安全建設(shè)。總體來(lái)說(shuō)，可分為三個(gè)層面：法律、行政法規(guī)和國(guó)家或地方標(biāo)準(zhǔn)，如下圖。

? 法律

在法律層面，國(guó)家陸續(xù)出臺(tái)包括國(guó)家安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全法及密碼法等一系列法律來(lái)規(guī)范指導(dǎo)。下圖摘自安全廠商-煉石科技的對(duì)外公開(kāi)資料。

其中2015年施行的《國(guó)家安全法》第25條明確提出“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。在2017年施行的《網(wǎng)絡(luò)安全法》將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全范疇，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、個(gè)人信息保護(hù)制度等為保障數(shù)據(jù)安全提供重要制度支撐。2021年實(shí)施的《數(shù)據(jù)安全法》則全面貫徹落實(shí)總體國(guó)家安全觀，確立國(guó)家數(shù)據(jù)安全工作體制機(jī)制，構(gòu)建數(shù)據(jù)安全協(xié)同治理體系，明確預(yù)防、控制和消除數(shù)據(jù)安全風(fēng)險(xiǎn)的一系列制度、措施，提升國(guó)家整體數(shù)據(jù)安全保障能力。

? 行政法規(guī)

各行業(yè)根據(jù)自身特點(diǎn)，出臺(tái)系列帶有行業(yè)屬性的規(guī)范、指引等，粗略整理如下：

? 國(guó)家或地方標(biāo)準(zhǔn)

在標(biāo)準(zhǔn)方面出臺(tái)一系列國(guó)家或地方標(biāo)準(zhǔn)，粗略整理如下：

2).解讀：GB/T 35273-2020 《 個(gè)人信息安全規(guī)范》

下面以國(guó)家標(biāo)準(zhǔn)-個(gè)人信息安全規(guī)范為例，說(shuō)明如何定義（分類分級(jí)）及約束數(shù)據(jù)及相關(guān)行為。

? 數(shù)據(jù)定義（分類分級(jí)）

• 個(gè)人信息 personal information

個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定。自然人身份或者反映特定自然人活動(dòng)情況的各種信息，如姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。判定某項(xiàng)信息是否屬于個(gè)人信息，應(yīng)考慮以下兩條路徑：一是識(shí)別，即從信息到個(gè)人，由信息本身的特殊性識(shí)別出特定自然人。個(gè)人信息應(yīng)有助于識(shí)別出特定個(gè)人。二是關(guān)聯(lián)，即從個(gè)人到信息，如已知特定自然人，由該特定自然人在其活動(dòng)中產(chǎn)生的信息(如個(gè)人位置信息、個(gè)人通話記錄、個(gè)人瀏覽記錄等)即為個(gè)人信息。符合上述兩種情形之一的信息，均應(yīng)判定為個(gè)人信息。

• 個(gè)人敏感信息 personal sensitive information?

個(gè)人敏感信息，是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。通常情況下，14歲以下(含)兒童的個(gè)人信息和涉及自然人隱私的信息屬于個(gè)人敏感信息?？蓮囊韵陆嵌扰卸ㄊ欠駥儆趥€(gè)人敏感信息：

- 泄露：個(gè)人信息一旦泄露，將導(dǎo)致個(gè)人信息主體及收集、使用個(gè)人信息的組織和機(jī)構(gòu)喪失對(duì)個(gè)人信息的控制能力，造成個(gè)人信息擴(kuò)散范圍和用途的不可控。某些個(gè)人信息 在泄漏后，被以違背個(gè)人信息主體意愿的方式直接使用或與其他信息進(jìn)行關(guān)聯(lián)分析，可能對(duì)個(gè)人信息主體權(quán)益帶來(lái)重大風(fēng)險(xiǎn)，應(yīng)判定為個(gè)人敏感信息。例如，個(gè)人信息主體的身份證復(fù)印件被他人用于手機(jī)號(hào)卡實(shí)名登記、銀行賬戶開(kāi)戶辦卡等。

- 非法提供：某些個(gè)人信息僅因在個(gè)人信息主體授權(quán)同意范圍外擴(kuò)散，即可對(duì)個(gè)人信息主體權(quán)益帶來(lái)重大風(fēng)險(xiǎn)，應(yīng)判定為個(gè)人敏感信息。例如,性取向、存款信息、傳染病史等。

- 濫用：某些個(gè)人信息在被超出授權(quán)合理界限時(shí)使用(如變更處理目的、擴(kuò)大處理范圍等)，可能對(duì)個(gè)人信息主體權(quán)益帶來(lái)重大風(fēng)險(xiǎn)，應(yīng)判定為個(gè)人敏感信息。例如，在未取得個(gè)人信息主體授權(quán)時(shí)，將健康信息用于保險(xiǎn)公司營(yíng)銷和確定個(gè)體保費(fèi)高低。

? 約束行為

4. 落地痛點(diǎn)分析及解法

企業(yè)在數(shù)據(jù)安全領(lǐng)域落地，是存在一系列痛點(diǎn)與難點(diǎn)。這里主要來(lái)自兩個(gè)方面：一是對(duì)安全法規(guī)及標(biāo)準(zhǔn)的解讀；二是如何結(jié)合企業(yè)自身情況，制定并落地?cái)?shù)據(jù)安全改進(jìn)。針對(duì)前者，通過(guò)上面一系列內(nèi)容的解讀，相信讀者已對(duì)數(shù)據(jù)安全法規(guī)及標(biāo)準(zhǔn)有了大致的認(rèn)識(shí)，在具體操作上可遵循先法律法規(guī)、后標(biāo)準(zhǔn)規(guī)范，先國(guó)家行業(yè)、后區(qū)域地方的原則進(jìn)行解讀，摸清企業(yè)數(shù)據(jù)應(yīng)遵循的安全原則。很多安全或咨詢公司，也提供此類安全咨詢服務(wù)，幫助企業(yè)做好政策解讀。針對(duì)后者，則相對(duì)較為復(fù)雜，一方面需要摸清企業(yè)數(shù)據(jù)家底，一方面需建立數(shù)據(jù)全生命周期安全規(guī)劃，根據(jù)前面的解讀，有針對(duì)性地采取一系列安全改造措施。如下圖是個(gè)人簡(jiǎn)單整理的數(shù)據(jù)生命周期的各階段所涉及的主要安全能力，包括從數(shù)據(jù)識(shí)別、傳輸、存儲(chǔ)、使用、銷毀多環(huán)節(jié)。

上述安全能力在具體構(gòu)建上，是需要有一系列技術(shù)支撐才能完成。受限于對(duì)數(shù)據(jù)安全認(rèn)識(shí)不足，大部分企業(yè)并沒(méi)有在早期就有這個(gè)意識(shí)去構(gòu)建，因而存在邊上馬邊改造，邊摸索邊實(shí)施的問(wèn)題。這也是困擾很多企業(yè)數(shù)據(jù)安全工作的痛點(diǎn)。特別是針對(duì)數(shù)據(jù)重要載體-數(shù)據(jù)庫(kù)方面，企業(yè)存在多數(shù)據(jù)庫(kù)棧林立、各產(chǎn)品安全能力各異、云與非云環(huán)境并存等痛點(diǎn)，無(wú)法建立統(tǒng)一的數(shù)據(jù)安全治理體系。通常的思路是在企業(yè)應(yīng)用層去解決上述問(wèn)題，但又會(huì)對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)造成很大困擾，因而在數(shù)據(jù)庫(kù)與應(yīng)用之間構(gòu)建這一能力成為“必然”。針對(duì)這一實(shí)踐理念，個(gè)人有些實(shí)踐，感興趣的小伙伴可與我聯(lián)系。