數(shù)字化轉(zhuǎn)型背景下企業(yè)數(shù)據(jù)保護成熟度模型構(gòu)建*

池雅瓊 劉 峰 齊佳音

(1.上海對外經(jīng)貿(mào)大學(xué)統(tǒng)計與信息學(xué)院 上海 201620;2.華東師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院 上海 200062;3.上海對外經(jīng)貿(mào)大學(xué)人工智能與變革管理研究院 上海 200336；4.華東師范大學(xué)交叉創(chuàng)新實驗室 上海 200062)

數(shù)字化轉(zhuǎn)型是數(shù)字經(jīng)濟時代企業(yè)運營的大勢所趨，尤其在新冠疫情的沖擊下，各行各業(yè)被迫按下了“暫停鍵”,但企業(yè)的數(shù)字化進程卻按下了“加速鍵”。不僅互聯(lián)網(wǎng)企業(yè)天然是數(shù)據(jù)驅(qū)動運營的企業(yè)，傳統(tǒng)企業(yè)也逐漸向數(shù)據(jù)驅(qū)動轉(zhuǎn)型升級。習近平總書記多次指出，要加快數(shù)字經(jīng)濟發(fā)展，抓住產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化賦予的機遇，抓緊布局數(shù)字經(jīng)濟，推進數(shù)據(jù)資源整合和開放共享，保障數(shù)據(jù)安全。在數(shù)字化浪潮下，“得數(shù)據(jù)者得天下”，數(shù)據(jù)有效保護與數(shù)據(jù)高效應(yīng)用同時成為企業(yè)數(shù)據(jù)資產(chǎn)運營的重要方面。在此背景下，數(shù)據(jù)保護這一議題已經(jīng)被提升到前所未有的戰(zhàn)略高度，數(shù)據(jù)保護日益受到產(chǎn)業(yè)界和學(xué)術(shù)界的關(guān)注。

數(shù)據(jù)保護最早可從歐洲對個人信息保護的系列法規(guī)中初顯端倪，而后，2018年《通用數(shù)據(jù)保護條例》(GDPR)問世則在全球引發(fā)了數(shù)據(jù)保護的廣泛討論與實踐。目前學(xué)術(shù)界對于企業(yè)數(shù)據(jù)保護的研究主要從法律規(guī)制下企業(yè)的數(shù)據(jù)合規(guī)問題、企業(yè)數(shù)據(jù)面臨的信息安全問題、技術(shù)與企業(yè)數(shù)據(jù)安全保護這三個角度來開展。

角度一：法律規(guī)制下企業(yè)的數(shù)據(jù)合規(guī)問題。毋庸置疑，在數(shù)據(jù)保護方面，歐盟始終走在世界前沿，其GDPR為全球的數(shù)據(jù)立法樹立了典范，同時也引起了學(xué)術(shù)界的研究熱潮。學(xué)者們從該法規(guī)的立法、執(zhí)法和司法三個層面，分析GDPR在企業(yè)數(shù)據(jù)實踐操作場景中的適用范圍[1]、數(shù)據(jù)保護原則[2]、數(shù)據(jù)處理的合法性基礎(chǔ)[3]、數(shù)據(jù)主體的權(quán)利等合規(guī)問題[4]。GDPR特別提出的數(shù)據(jù)保護影響評估制度(Data Protection Impact Assessment, DPIA)的理念與實踐也是研究的熱點之一，以風險管理為路徑的數(shù)據(jù)保護體系[5]，是學(xué)者們建議的以促進平臺企業(yè)自證合規(guī)、配合監(jiān)管的DPIA 制度設(shè)計構(gòu)思[6-7]。此外，學(xué)習歐美國家數(shù)據(jù)保護立法的“通過設(shè)計保護隱私機制”也是研究者所提出的我國行業(yè)數(shù)據(jù)合規(guī)的有益借鑒[8]。

角度二：企業(yè)數(shù)據(jù)面臨的信息安全問題。隨著企業(yè)數(shù)據(jù)集中化和匯聚化程度的加劇，企業(yè)面臨的數(shù)據(jù)安全管理也隨之迎來了新的挑戰(zhàn)。這一方面的研究，學(xué)界們從終端、網(wǎng)絡(luò)、機房、數(shù)據(jù)以及系統(tǒng)等方面剖析[9、10]，提出解決以數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)使用共享、安全風險管控為突出問題的企業(yè)信息安全既是大數(shù)據(jù)時代決定企業(yè)成功管理的核心要素[11、12]，也是企業(yè)實現(xiàn)自我發(fā)展的必要措施。并且隨著當前市場數(shù)據(jù)壟斷形勢越發(fā)嚴峻，研究者還提出了三種有效的數(shù)據(jù)治理模式，以促進數(shù)據(jù)安全共享和大數(shù)據(jù)產(chǎn)業(yè)合理規(guī)范發(fā)展[13]。此外，企業(yè)敏感數(shù)據(jù)的安全問題也不容忽視，特別是個人隱私數(shù)據(jù)安全問題，不僅需要規(guī)制系統(tǒng)的法律效力和規(guī)則來保護個人信息[14]，還應(yīng)與企業(yè)對大數(shù)據(jù)的應(yīng)用相聯(lián)系,需辯證地看待大數(shù)據(jù)的利用，通過平衡兩者的利益關(guān)系，以保護企業(yè)數(shù)據(jù)隱私和公民信息安全[15、16]。

角度三：技術(shù)與企業(yè)數(shù)據(jù)安全保護。企業(yè)數(shù)據(jù)的安全保護與技術(shù)實施密不可分，但技術(shù)的發(fā)展卻也使得企業(yè)的數(shù)據(jù)安全面臨著更易于泄露的風險?；谂で夹g(shù)、加密技術(shù)、匿名技術(shù)以及差分隱私技術(shù)的隱私保護方法等，是現(xiàn)有的數(shù)據(jù)安全保護方法系統(tǒng)架構(gòu)內(nèi)常用的數(shù)據(jù)保護技術(shù)，但這些技術(shù)目前還存在顯而易見的數(shù)據(jù)安全問題。在此背景下研究者提出了數(shù)據(jù)保護架構(gòu)升級改造的設(shè)想，將數(shù)據(jù)平臺與大數(shù)據(jù)時代企業(yè)數(shù)據(jù)中心結(jié)合，使數(shù)據(jù)備份成為企業(yè)數(shù)據(jù)保護最后一道牢靠的防線[17、18]；而基于智能合約、聯(lián)盟區(qū)塊鏈的隱私數(shù)據(jù)保護方法構(gòu)思的出現(xiàn)也進一步提升了個人與企業(yè)之間數(shù)據(jù)安全信任機制[19、20]；同時，針對企業(yè)間的“數(shù)據(jù)孤島”現(xiàn)象，AI技術(shù)聯(lián)邦學(xué)習或是解決企業(yè)數(shù)據(jù)保護難題，實現(xiàn)跨企業(yè)協(xié)同治理的重要技術(shù)手段[21]。

在企業(yè)數(shù)據(jù)安全能力成熟度模型的實踐方面，也有不少學(xué)者和機構(gòu)對此進行了研究和探索：鄭斌以大數(shù)據(jù)背景下數(shù)據(jù)安全能力框架為基礎(chǔ)，分析數(shù)據(jù)安全保護能力的實現(xiàn)路徑[22]；李克鵬基于數(shù)據(jù)安全能力成熟度模型，構(gòu)建了大數(shù)據(jù)安全與隱私保護能力的提升方案[23]。此外，也不乏以國際主流數(shù)據(jù)保護法為導(dǎo)向的各類成熟度模型研究：如以通用的隱私原則(GAPP)為基礎(chǔ)的AICPA/CICA 隱私成熟度模型、Intel隱私成熟度模型；以及以通用數(shù)據(jù)保護條例(GDPR)為背景的GDPR成熟度框架等，為數(shù)據(jù)保護官(DPO)和企業(yè)組織在全球范圍內(nèi)了解數(shù)據(jù)保護、隱私和安全的復(fù)雜性提供了現(xiàn)實經(jīng)驗參考。

然而遺憾的是，現(xiàn)有研究成果主要從宏觀層面分析企業(yè)數(shù)據(jù)保護面臨的困難以及研究各種技術(shù)對企業(yè)數(shù)據(jù)保護的效用，即便是企業(yè)數(shù)據(jù)安全能力成熟度模型的實踐案例也多停留在定性闡述階段，對于企業(yè)數(shù)據(jù)保護能力成熟度的量化評估，相關(guān)學(xué)術(shù)研究還相對缺乏。

同時對于企業(yè)來說，數(shù)據(jù)保護成熟度的量化研究不但是企業(yè)迫于數(shù)字時代數(shù)據(jù)治理的壓力,也是企業(yè)實現(xiàn)戰(zhàn)略目標的關(guān)鍵成功因素。相比于各國自行設(shè)立監(jiān)管法案而言，作為“地緣政治對手無法比擬的全球監(jiān)管霸主”，歐盟的行動從國際視角反映了大數(shù)據(jù)背景下企業(yè)數(shù)據(jù)保護的終極價值追求[24]。因而本文從企業(yè)實際開展業(yè)務(wù)過程中的數(shù)據(jù)監(jiān)管問題出發(fā)，以隱私影響評估(PIA)為指南，以能力成熟度模型和數(shù)據(jù)安全能力成熟度模型為理論基礎(chǔ)，借鑒AICPA/CICA 隱私成熟度模型、GDPR成熟度框架以及Intel隱私成熟度模型，構(gòu)建企業(yè)數(shù)據(jù)保護成熟度評估模型，并將模型運用于國內(nèi)三個典型行業(yè)：金融、保險業(yè)；信息傳輸、計算機服務(wù)與軟件業(yè)；批發(fā)、零售業(yè)。結(jié)果不僅表明本模型對企業(yè)數(shù)據(jù)保護成熟度評估的適用性，更揭示出不同發(fā)展水平的企業(yè)數(shù)據(jù)保護的不足之處和加強方向，從而能夠更加充分地了解現(xiàn)階段大數(shù)據(jù)背景下企業(yè)數(shù)據(jù)保護可能存在的風險，幫助企業(yè)更加及時、客觀、準確地了解其在數(shù)據(jù)保護方面的成熟度，為數(shù)字經(jīng)濟背景下的企業(yè)數(shù)據(jù)運營從保護與合規(guī)角度提供了參考。

文章余下部分結(jié)構(gòu)安排：第二部分為相關(guān)理論介紹；第三部分為模型構(gòu)建；第四部分為模型應(yīng)用；第五部分為結(jié)論與展望。

1 相關(guān)理論

1.1隱私影響評估隱私影響評估(privacy impact assessment，PIA)被定義為一種用于在組織風險管理框架內(nèi)識別、分析、消除與個人信息處理相關(guān)的活動對隱私產(chǎn)生的影響的制度[25]。作為信息安全領(lǐng)域的常規(guī)手段，PIA規(guī)定了包括軟硬件設(shè)施安全、外部非法入侵以及與員工活動等在內(nèi)的系列信息安全典型威脅。PIA不僅適用于各種類型和規(guī)模的組織機構(gòu)以及信息系統(tǒng)，同時還確定了相關(guān)的隱私防護要求、涉及的資源與人員、威脅與發(fā)生可能性等系列重要過程，成為了很多標準實施過程中的必選理論[26]。如以歐盟GDPR引入的數(shù)據(jù)保護影響評估( DPIA) 為首的制度就是基于PIA理論的創(chuàng)新表現(xiàn)；此外，該理論的政府數(shù)據(jù)開放實踐成效也在以美國、英國等為代表的開放政府聯(lián)盟成員國發(fā)布的隱私影響評估政策中有顯著體現(xiàn)[7,27]。

1.2能力成熟度模型成熟度模型的概念始于1986年Humphrey等人應(yīng)美國國防部軟件工程研究所(SEI)的要求，為評估政府承包人交付軟件項目的能力所提出的成熟度框架簡要概述[28]，該框架后來在Humphrey的《管理軟件過程》一書中又進行了擴展[29]；并以此為基礎(chǔ)，經(jīng)歷了四年的演化最終形成了能力成熟度模型(CMM)[30]。是目前國際上最流行實用的軟件生產(chǎn)過程標準和軟件企業(yè)成熟度等級認證標準；該模型雖然來自軟件開發(fā)領(lǐng)域，但它也被用作一般模式來輔助業(yè)務(wù)流程。

CMM的理論內(nèi)涵在于軟件開發(fā)過程中的問題實際上是由組織者管理軟件過程的方法引起的，基于提高生產(chǎn)率和利潤率的目標，組織需要建立一個有規(guī)律的、成熟的軟件過程。因此CMM目的正是幫助開發(fā)人員選擇過程改進策略，通過確定他們當前的過程成熟度和鎖定最關(guān)鍵的問題，來改進他們的軟件質(zhì)量和過程[30]。CMM基于軟件工程的歷史經(jīng)驗教訓(xùn)，提供了一個階梯式的改進框架，明確軟件開發(fā)方面的主要工作、其中的聯(lián)系，以及開展工作的先后順序，一步一步地指引組織做好這些工作并以增量方式逐步引入變化，同時將這些演化步驟劃分為五個成熟度級別：初始級、可重復(fù)級、已定義級、已管理級以及優(yōu)化級[30]，促進軟件組織走向成熟。

1.3數(shù)據(jù)安全能力成熟度模型(DSMM)數(shù)據(jù)安全能力成熟度理論來源于產(chǎn)業(yè)實踐積累沉淀，并逐漸形成國家標準《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》，由中國國家標準化管理委員會于2019年正式發(fā)布，作為組織機構(gòu)評估自身數(shù)據(jù)安全能力的科學(xué)依據(jù)及參考。

以采集、傳輸、存儲、處理、交換、銷毀六項數(shù)據(jù)生存周期過程的安全為核心的數(shù)據(jù)安全能力成熟度模型標準為組織數(shù)據(jù)安全能力的成熟度提供了基礎(chǔ)模型架構(gòu)，主要體現(xiàn)在安全能力、能力成熟度等級、數(shù)據(jù)安全過程三個方面。其中對組織建設(shè)、制度流程、技術(shù)工具以及數(shù)據(jù)安全工作的人員安全意識和相關(guān)能力均嚴格要求的指標是安全能力維度的四個重要衡量方面；以企業(yè)數(shù)據(jù)安全過程計劃程度為依據(jù)劃分出五個層次成熟度作為組織的數(shù)據(jù)安全能力成熟度等級；最后圍繞數(shù)據(jù)生存周期過程和諸如數(shù)據(jù)安全策略規(guī)劃、鑒別與訪問控制等11項通用安全過程域構(gòu)成的數(shù)據(jù)安全過程維度評估指標，聯(lián)合形成了數(shù)據(jù)安全能力成熟度模型開展企業(yè)數(shù)據(jù)保護評估實踐的理論內(nèi)涵[31]。

綜上可知，隱私影響評估注重在組織風險管理框架內(nèi)有關(guān)隱私影響的各方面，致力于減輕相關(guān)威脅為隱私保護造成的不良影響，并為影響劃分等級，為組織及信息系統(tǒng)的信息安全提供了經(jīng)典的數(shù)據(jù)保護理論思路，這與能力成熟度模型及數(shù)據(jù)安全能力成熟度模型的本質(zhì)是一致的。結(jié)合隱私影響評估的制度原理和成熟度模型的理論內(nèi)涵，本文將構(gòu)建數(shù)據(jù)保護成熟度模型來量化企業(yè)數(shù)據(jù)保護踐行成效，推動企業(yè)數(shù)據(jù)資產(chǎn)合規(guī)運營。

2 企業(yè)數(shù)據(jù)保護成熟度模型的構(gòu)建

2.1數(shù)據(jù)保護成熟度評估體系構(gòu)建隱私影響評估(PIA)從隱私保護實踐涉及的各方重要過程角度來設(shè)計確保隱私保護過程直至項目部署完成，為后續(xù)許多信息安全風險評估標準提供了慣例參考；能力成熟度模型和數(shù)據(jù)安全能力成熟度模型從操作運營角度分別圍繞組織工作過程改進、數(shù)據(jù)生存周期提出了成熟度實踐的演化步驟。企業(yè)實踐層面，以通用隱私原則(GAPP)和通用數(shù)據(jù)保護條例(GDPR)的法律合規(guī)為導(dǎo)向，以企業(yè)生產(chǎn)實際的數(shù)據(jù)保護計劃為基礎(chǔ)的AICPA/CICA 隱私成熟度模型、Intel隱私成熟度模型以及GDPR成熟度框架，為數(shù)據(jù)保護提供了行業(yè)標準示范和全球數(shù)據(jù)保護的實踐示例。因此，將數(shù)據(jù)保護的理論基礎(chǔ)與企業(yè)實踐的成熟度模型結(jié)合就可構(gòu)建企業(yè)數(shù)據(jù)保護成熟度評估模型。

根據(jù)DSMM對鑒別與訪問控制等通用安全過程域的要求，以及PIA的典型威脅項目組成和隱私保護過程，將軟硬件安全和外部非法入侵用平臺風險表示，其中針對軟硬件安全，細分為信息系統(tǒng)缺陷、網(wǎng)絡(luò)協(xié)議漏洞、物理環(huán)境缺陷和隱私安全設(shè)置四項基本指標；針對外部非法入侵用黑客竊取指標來表示[33]。

根據(jù)PIA強調(diào)的以員工為主體的涉及隱私影響的活動也作為一般威脅項目，CMM、DSMM以及Intel隱私成熟度模型對組織建設(shè)、數(shù)據(jù)安全工作的人員安全意識和相關(guān)能力的內(nèi)在要求，用企業(yè)行為維度來系統(tǒng)概括，并將該維度細分為以員工活動為核心的數(shù)據(jù)隱私意識、數(shù)據(jù)隱私管理制度、信息保護行為疏忽三個指標。

根據(jù)DSMM對數(shù)據(jù)保護的技工工具使用要求，AICPA/CICA 隱私成熟度模型、Intel隱私成熟度模型和GDPR成熟度框架對相關(guān)隱私保護法律特別是數(shù)據(jù)跨境傳輸方面的重視程度，以及對企業(yè)敏感數(shù)據(jù)保護的主旨要求，以外部威脅維度來表示，結(jié)合一級指標知識產(chǎn)權(quán)破壞、政策影響、隱私保護技術(shù)代差、數(shù)據(jù)跨境傳輸保護四個方面來度量。

同時引入CMM和DSMM的五個成熟度等級，從整體出發(fā)，以平臺風險、企業(yè)行為、外部威脅為企業(yè)數(shù)據(jù)保護的三個重要維度的協(xié)同度量，來劃分企業(yè)數(shù)據(jù)保護成熟度評估等級，并使用1到5評分對應(yīng)五個成熟度等級。基于目前在成熟度詳細打分方法介紹方面的文獻較少的情況，本文參考Intel隱私成熟度模型分值粒度劃分的企業(yè)實踐，將本模型打分方式的分值粒度設(shè)為0.5，如0.5-1定義為初始化階段，1-1.5定義為第一階段向第二階段發(fā)展的過程當中(如表1)，以便于模型計算。

從理論基礎(chǔ)到企業(yè)數(shù)據(jù)保護成熟度模型的構(gòu)建見圖1所示，指標定義如圖2所示，成熟度打分如表1所示。

圖1 模型構(gòu)建

圖2 指標定義

結(jié)合表1給出的數(shù)據(jù)保護成熟度打分表，即可為企業(yè)實際數(shù)據(jù)保護程度進行初始評分。

表1 成熟度打分(分值粒度0.5)

2.2數(shù)據(jù)保護層次模型構(gòu)建及模型指標權(quán)重計算在企業(yè)數(shù)據(jù)保護成熟度評估模型中大多數(shù)指標都是定性化，具有一定的模糊性，因此在能力評分的初始值基礎(chǔ)上結(jié)合指標權(quán)重，量化評估結(jié)果。為確定指標權(quán)重，將指標進行定量分析，本文采用九級標度法量化風險評估指標相對重要性[32]。傳統(tǒng)的層次分析法是確定指標權(quán)重的一般方法，但是該方法僅僅適用于單專家決策時使用，存在判定結(jié)果主觀性較強的問題。為避免單專家決策造成的主觀性強以及權(quán)重系數(shù)不合理的問題，基于群決策層次分析法可以有效將各專家評分聚集的特性，本文采用群決策層次分析法，邀請32位專家共同參與決策，借助專家經(jīng)驗，更科學(xué)地測量分析評估指標權(quán)重。然后為更進一步降低群決策層次分析法的指標權(quán)重主觀性，再運用香農(nóng)信息熵，計算各項評價指標的熵值，確定指標客觀權(quán)重，最后將主客觀指標進行綜合分析[33]，獲得最終的模型評估指標權(quán)重值。

2.2.1 數(shù)據(jù)保護層次模型構(gòu)建 群決策層析分析步驟與一般層次分析法類似，包括構(gòu)建多級遞階的層次模型、構(gòu)造判斷矩陣、層次單排序及一致性檢驗、層次總排序及一致性檢驗四個步驟[34]，該法僅在構(gòu)造判斷矩陣部分有差異，其差異表現(xiàn)在需將各專家單獨的判斷矩陣聚合成一個共識的判斷矩陣。本文根據(jù)上述數(shù)據(jù)保護成熟度指標體系三大領(lǐng)域及十二項要素，構(gòu)建數(shù)據(jù)保護層次結(jié)構(gòu)模型(見圖3)。

圖3 層次結(jié)構(gòu)模型

本文使用群決策層次分析法計算軟件yaaph(Yet Another AHP)[34]，構(gòu)建各專家判斷矩陣并計算其一致性檢驗，然后再聚合判斷矩陣。其中均通過一致性檢驗的單專家判斷矩陣為聚合后的專家共識判斷矩陣提供有效數(shù)據(jù)支持。

2.2.2 模型指標權(quán)重計算 模型指標權(quán)重計算方式為群決策層次分析法獲得的主觀權(quán)重與信息熵獲得的客觀權(quán)重的加權(quán)值，本文主要參考了文獻[33]的信息熵計算公式：

a.首先對由群決策層次分析法得到的初始主觀指標值進行標準化：

(1)

其中xij是指標aij標準化后的指標，aijmin為指標aij的最小值，aijmax為aij的最大值。得到標準化判斷矩陣A=(xij)m×n。

再對矩陣A中各元素歸一化：

(2)

b.確定各項指標的熵值：

(3)

c.各項指標變異系數(shù)的獲?。?/p>

Gj=1-Hj

(4)

d.定義各項指標的客觀權(quán)重：

(5)

e.主客觀指標權(quán)重的加權(quán)計算[33]：

Ej=λ×Aj+(1-λ)×Bj

(6)

其中λ為賦權(quán)系數(shù)，可隨實際評價成效選取，Aj為群決策層次分析法計算獲得的主觀權(quán)重，Bj為信息熵計算所得的客觀權(quán)重，因此成熟度評價模型的指標向量表示為：

E=(E1,E2,…,En)

(7)

3 企業(yè)數(shù)據(jù)保護成熟度評估模型應(yīng)用

3.1典型行業(yè)分析為了采用上述數(shù)據(jù)保護成熟度評估方法和模型對我國大數(shù)據(jù)企業(yè)的數(shù)據(jù)保護現(xiàn)狀進行評估，本文選擇國內(nèi)三個行業(yè)：金融、保險業(yè)；信息傳輸、計算機服務(wù)與軟件業(yè)；批發(fā)、零售業(yè)，并對行業(yè)數(shù)據(jù)保護成熟度評估進行了應(yīng)用，通過問卷發(fā)放的方式不僅獲得三個行業(yè)數(shù)據(jù)保護的實際情況，還邀請了32個涉及金融、管理、貿(mào)易、法律、信息技術(shù)、數(shù)據(jù)隱私等各領(lǐng)域的專家來為模型指標權(quán)重賦值(本文研究涉及的原始數(shù)據(jù)均放置于網(wǎng)址：https://github.com/CHIYAQIONG/Original-data-of-questionnaire.git)。根據(jù)專家問卷，考慮到問卷獲得的判斷矩陣中可能存在多項數(shù)據(jù)的小誤差累積，以及專家在輸入數(shù)據(jù)時，有可能因為某點專業(yè)知識的欠缺或理解錯誤，或者由于誤操作給出了錯誤的判斷數(shù)據(jù)兩方面因素，本文利用yaahp軟件分別計算并修正各專家的單獨判斷矩陣后，所有判斷矩陣均具有一致性(具體數(shù)據(jù)見附錄)，再集結(jié)所有專家判斷矩陣，計算方式采用數(shù)值平均來降低誤差，最終獲得如表2一級指標總排序，專家各層級共識判斷矩陣見附錄文件。

表2 一級指標總排序

在獲得的一級指標總排序表的基礎(chǔ)上，按照上述信息熵方法繼續(xù)計算客觀權(quán)重，并設(shè)定賦權(quán)系數(shù)λ=0.4，得到如下數(shù)據(jù)保護各因素權(quán)重計算匯總結(jié)果表3。

表3 數(shù)據(jù)保護各因素權(quán)重計算匯總結(jié)果

結(jié)合回收到的300份來自三個行業(yè)(行業(yè)比例1∶1∶1)的數(shù)據(jù)保護成熟度初始評分有效問卷數(shù)據(jù)(Cronbach’s Alpha=0.888，KMO=0.932)，最終得到如表4行業(yè)對比結(jié)果。

表4 金融業(yè)、信息技術(shù)業(yè)、零售業(yè)數(shù)據(jù)保護成熟度最終評估情況

對比三個行業(yè)各自數(shù)據(jù)保護評估得分可發(fā)現(xiàn)：金融業(yè)總體成熟度得分位列第一，其次是零售業(yè)，最后是信息技術(shù)業(yè)。具體分析如下：

隨著數(shù)據(jù)增長新紀元的到來，全球數(shù)據(jù)積累存量正逐漸引爆新一輪的時代變遷，金融行業(yè)作為天然擁有海量數(shù)據(jù)的市場，其金融數(shù)據(jù)在全球數(shù)據(jù)總量占比極高，科技技術(shù)的落地生根更是使得金融業(yè)正孕育著百年未有之大變局。數(shù)據(jù)已經(jīng)成為了現(xiàn)代金融行業(yè)的經(jīng)濟命脈，數(shù)據(jù)的安全保護也成為金融行業(yè)穩(wěn)健運行不可或缺的一方面。上述結(jié)果與當前金融行業(yè)積極維護數(shù)據(jù)安全這一核心競爭力的現(xiàn)狀相符，同時也歸因于國家層面相關(guān)法規(guī)在金融界的優(yōu)先體現(xiàn)，如以《外國機構(gòu)在中國境內(nèi)提供金融信息服務(wù)管理規(guī)定》為代表的法規(guī)，是我國在針對金融信息服務(wù)方面較早的監(jiān)管條文。

在網(wǎng)絡(luò)安全公司 Trustwave 發(fā)布的2019年全球安全報告中指出，零售業(yè)以18%的數(shù)據(jù)泄露占比成為數(shù)據(jù)泄露事件最多的行業(yè)[35]。如歷來為用戶詬病的電商快遞企業(yè)客戶信息“裸奔”問題，以及行業(yè)高度依賴第三方安全服務(wù)導(dǎo)致系統(tǒng)漏洞的忽視等，均是零售業(yè)數(shù)據(jù)保護能力成熟度弱的行業(yè)表現(xiàn)，而究其原根本原因就行業(yè)的低安全標準。首先出于行業(yè)性質(zhì)，相比金融行業(yè)，零售業(yè)對數(shù)據(jù)保護的意識原本就相對薄弱；再者許多傳統(tǒng)零售企業(yè)都處于轉(zhuǎn)型升級的階段，零售業(yè)需要依靠數(shù)字化技術(shù)來轉(zhuǎn)型，但是本身行業(yè)又無力自主提供技術(shù)保障；最后行業(yè)內(nèi)多數(shù)交易都是以合作方約定俗成的方式進行，缺乏有關(guān)數(shù)據(jù)保護的統(tǒng)一行業(yè)規(guī)范。

而信息技術(shù)行業(yè)雖然作為數(shù)據(jù)保護的關(guān)鍵技術(shù)支持行業(yè)，但是據(jù)McAfee發(fā)布的一份報告顯示，盡管安全技術(shù)不斷進步，但絕大多數(shù)IT技術(shù)人員表示仍然難以保障企業(yè)的數(shù)據(jù)免受泄露。即使是像Facebook這樣的科技巨頭公司也無法完全避免諸如黑客的攻擊和病毒木馬此類的數(shù)據(jù)泄露的頭號殺手?？v觀IT行業(yè)數(shù)據(jù)保護問題的來源，首先IT行業(yè)作為各行各業(yè)的技術(shù)依仗，頻繁出現(xiàn)的數(shù)據(jù)泄露事件使得IT專業(yè)人員信心缺乏，導(dǎo)致投資和技術(shù)始終落后于環(huán)境威脅的變化速度；其次技術(shù)差距問題是一個備受爭議的問題，RSA Conference(國際信息安全峰會)副主席兼負責人Sandra Toms指出，大部分IT企業(yè)招聘團隊因缺乏充分重視受聘人才的多樣性，導(dǎo)致IT人才的流失，行業(yè)水準層次不齊；而技術(shù)差距會使得許多企業(yè)尋求外援，那么內(nèi)部人員和外包商也擴大了行業(yè)數(shù)據(jù)安全的威脅。

此外，三者最薄弱的領(lǐng)域均為外部威脅，具體而言，三個行業(yè)的薄弱指標均體現(xiàn)在物理缺陷、隱私安全設(shè)置、黑客竊取、信息保護行為疏忽、數(shù)據(jù)跨境傳輸方面。對于一般行業(yè)而言企業(yè)均首先在平臺的搭建方面投入大量的人力物力以及財力，作為企業(yè)發(fā)展的基石，因此各行各業(yè)的第一發(fā)展規(guī)劃中應(yīng)對平臺風險首當其沖；那么隨著社會數(shù)據(jù)安全意識的不斷提高，企業(yè)開始意識到數(shù)據(jù)保護的重要性，逐漸將數(shù)據(jù)安全意識納入企業(yè)文化當中，并施以一定的保護制度作為約束企業(yè)員工數(shù)據(jù)泄露的措施，但是企業(yè)的數(shù)據(jù)分級分類、隱私保護的量化評估始終在處在開始階段，因此在企業(yè)行為領(lǐng)域中疏于信息保護行為；并且企業(yè)的相關(guān)約束一直是偏向于對企業(yè)員工的約束，較少考慮到外部威脅，尤其是面向數(shù)據(jù)跨境傳輸?shù)膯栴}上，雖然GDPR作為最嚴格的數(shù)據(jù)保護法規(guī)此前對于中國企業(yè)的約束并不明顯體現(xiàn)，但隨著國際大潮流的變化，該法規(guī)終將對中國企業(yè)的貿(mào)易產(chǎn)生巨大影響，各行各業(yè)需引起重視。

3.2典型企業(yè)分析為驗證行業(yè)評估標準，以企業(yè)數(shù)據(jù)保護研究為主旨，訪談了國內(nèi)的三家企業(yè)A、B、C，分別對應(yīng)于金融業(yè)，信息技術(shù)業(yè)，零售業(yè)，充分了解各企業(yè)的數(shù)據(jù)保護情況，并在訪談人員的指導(dǎo)下，邀請受訪企業(yè)嚴格根據(jù)數(shù)據(jù)保護成熟度評估的三大領(lǐng)域和十二項指標內(nèi)容，各指標成熟度階段描述，以及成熟度分值劃分方式為自身企業(yè)的成熟度情況給出客觀謹慎的評分。表5是各企業(yè)數(shù)據(jù)保護成熟度得分情況對比。

表5 A企業(yè)、B企業(yè)、C企業(yè)數(shù)據(jù)保護成熟度最終評估情況

分析A企業(yè)、B企業(yè)、C企業(yè)數(shù)據(jù)保護成熟度最終評估情況可知：三個企業(yè)得分都或多或少低于或者高于行業(yè)標準，如A、C企業(yè)得分均明顯低于所屬金融行業(yè)、零售行業(yè)的一般水平，而B企業(yè)則遠超出信息技術(shù)行業(yè)的平均現(xiàn)狀，說明不同行業(yè)內(nèi)不同水平的企業(yè)發(fā)展參差不齊，但值得關(guān)注的是薄弱環(huán)節(jié)與行業(yè)趨勢保持一致，即外部威脅是三個企業(yè)最大的薄弱領(lǐng)域。對于A、C企業(yè)來說，薄弱指標首先均覆蓋行業(yè)薄弱指標(物理環(huán)境缺陷、隱私安全設(shè)置、黑客竊取、信息保護行為疏忽、數(shù)據(jù)跨境傳輸)，但由于企業(yè)發(fā)展水平的差異，A企業(yè)在政策影響和隱私保護技術(shù)代差方面也存在不足；而相比之下C企業(yè)新增了網(wǎng)絡(luò)協(xié)議漏洞一項，說明這兩個企業(yè)在業(yè)內(nèi)表現(xiàn)稍遜，需多方面考慮數(shù)據(jù)保護措施，更近一步向行業(yè)標準靠近。但B企業(yè)僅覆蓋黑客竊取和數(shù)據(jù)跨境傳輸兩項行業(yè)薄弱指標，且成熟度得分遠高于行業(yè)標準，亦表明該企業(yè)為業(yè)界翹楚，該企業(yè)僅需在保持原有數(shù)據(jù)保護水平的基礎(chǔ)上，加強上述兩項指標即可向更高水準的數(shù)據(jù)保護方向發(fā)展。

4 結(jié)論與展望

4.1結(jié)論本文從企業(yè)實際開展業(yè)務(wù)過程中的數(shù)據(jù)監(jiān)管問題出發(fā)，以隱私影響評估(PIA)為指南，以能力成熟度模型和數(shù)據(jù)安全能力成熟度模型為理論基礎(chǔ)，借鑒AICPA/CICA 隱私成熟度模型、GDPR成熟度框架以及Intel隱私成熟度模型，運用群決策層析分析及信息熵構(gòu)建企業(yè)數(shù)據(jù)保護成熟度評估模型，并以國內(nèi)三個典型行業(yè)：金融、保險業(yè)，信息傳輸、計算機服務(wù)與軟件業(yè)，批發(fā)、零售業(yè)及對應(yīng)于三個行業(yè)的A，B，C企業(yè)為例。實踐結(jié)果發(fā)現(xiàn)了企業(yè)數(shù)據(jù)保護的諸多不足之處，同時對于不同發(fā)展水平的企業(yè)而言，還存在更多的數(shù)據(jù)保護問題。表明本模型對企業(yè)數(shù)據(jù)保護成熟度評估的適用性，能夠幫助企業(yè)更加及時、客觀、準確地了解其在數(shù)據(jù)保護方面的成熟度，為數(shù)字經(jīng)濟背景下的企業(yè)數(shù)據(jù)運營從保護與合規(guī)角度提供了參考。

4.2研究局限本研究為大數(shù)據(jù)背景下企業(yè)數(shù)據(jù)保護成熟度提供了可量化的評價工具，深化了企業(yè)數(shù)據(jù)安全的理論研究,推進了大數(shù)據(jù)企業(yè)數(shù)據(jù)安全監(jiān)管的實踐應(yīng)用。同時本文還存在不足之處，須在今后的研究中加以改進：評估指標及權(quán)重的確定主要通過參考文獻、企業(yè)調(diào)研和邀請專家問卷打分，專家群決策等方式確定，盡管采用信息熵來實踐主客觀權(quán)重的加權(quán)計算，但依然存在主觀偏差，且問卷填寫人員、訪談人員和企業(yè)對訪談問題的理解程度差異，指標的覆蓋范圍和數(shù)據(jù)保護成熟度初始分值的客觀性可能有所欠缺，企業(yè)數(shù)據(jù)保護成熟度模型分析方法的適用性還有待提高。