数据保护建设的核心内容有哪些？

数据保护建设以“让数据使用更安全”为愿景构建方法论， 核心内容包括：

（1） 满足数据安全保护、数据使用合规、敏感数据管理 三个需求目标； （2） 核心理念包括：数据分级分类、保护等级提升、角 色合理授权、使用场景安全； 《数据安全法》对企业的数据处理活动，提出了五项监管 要求：第一，符合基础性的合规要求，包括建立企业数据安全 管理制度，有相应的基础措施和管理措施。第二，对数据做等 级保护，需要企业做等级保护测评和备案。第三，进行数据分 级分类，企业要根据分类结果采取相应的管理措施。第四，识 别核心数据和处理数据出境问题，比如年检、年报审计。第 五，管理数据交易中介，中介要审核双方身份、流程交易记 录、制定审核清单等。

机构对关键业务的业务连续性要求越来越高，热数据的可 靠性面临新挑战。很多机构当前系统数据保护等级低，没有做 到双活或两地三中心保护。《数据保护产业发展宣言》23指出随 着数据应用场景的不断演进，数据保护的范围越来越广、等级 要求越来越高、数据规模越来越大、保留时间越来越长，需要 全面提升数据保护的规格并围绕数据生命周期提供全面保护。

（3） 数据保护治理的建设步骤包括：组织构建、资产梳 理、合规指引、策略制定、过程控制、行为稽核和持续改善 等；数据治理是一个有机整体，要在国家战略、法律法规、技术 保障、标准建设、行业自律、企业管理等方面同时发力。监管部 门如何给企业提供更多、更详细的合规指引、操作规范，提升企 业数据保护和利用的内驱力是关键。 企业通过制定内部规章制度，设置专门的监管部门或监管人 员，严格保护信息安全。定期开展内部审查，评估信息保护状况 和安全等级，自觉遵守道德和法律规范收集和使用数据，自觉承 担起保护隐私安全的责任，加强企业自律，实现企业自身的长远 发展和市场的健康发展。公众更倾向于把信息提供给信任的企业 帮助企业提高服务质量，形成良性循环。

（4） 核心实现框架为数据保护的人员组织、数据保护的 策略和流程、数据保护的技术支撑三大部分。 制定有效的数据保护策略，建议：定期进行数据保护就绪性 检查，既要重视生产数据，也要重视备份数据，定期做恢复的演 练；将提升网络弹性列为首要任务，遭遇攻击不仅会造成业务的 瘫痪，且会被索要高额的赎金。有效的数据保护包括“三不”： 不因异常情况导致数据不能被使用，不因不可控因素（如数据误 删除、病毒等）导致数据不能被恢复，不因时间流逝导致数据丢 失不能被访问。

金融数据保护建设框架应秉持“用户授权、最小必要、专事 专用、全程防护”的原则，由于金融数据资产庞大，涉及的数据 使用方式多样化，数据使用角色繁杂，金融数据保护治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。建 设金融数据安全保障体系需“技术”与“管理”并重，通过技术 手段与管理措施双管齐下，基于数据全生命周期构建数据安全指 标，借助丰富的数据安全监测及快速响应机制，通过技术手段构 建金融数据保护治框架，以实现金融数据全生命周期的信息脱敏、 安全隔离、权限管控，严防用户数据泄露、篡改和滥用，确保数 据安全和消费者的隐私保护。

各类数据保护治理系统的建设框架24为数据保护治理的有序 实施提供了不同思路和实践路径。数据保护治理框架建设作为数 据保护治理的范式在金融行业中进行推广是科学保护金融数据 的有效路径。