【科技观筑】《数据安全法》今起正式施行数据安全产业迎新风口

2021-09-01

*【环球网科技报道记者林梦雪】*9月1日消息，今日《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式开始施行，数据安全工作首次升至国家安全最高监管层级。生效之后，《数据安全法》将与《网络安全法》及即将实施的《个人信息保护法》一起，全面构筑中国信息安全领域的法律框架。

从具体内容来看，《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面，对数据活动进行规制。

作为我国数据安全领域的第一部专门法律，《数据安全法》中明确了数据处理活动（数据的“收集、存储、使用、加工、传输、提供、公开”等）和数据安全。传统企业、互联网、大数据等涉及数据处理和数据安全活动的企业均在本法限制范围内。

新法施行后，数据相关行业面临着新的要求。如何建设数据安全，解决数据安全保障痛点问题？企业如何应对日趋严格的监管？新的发展机遇在哪里？记者就上述问题采访了业界相关企业代表和专家。

数据安全保障存难点

我国数据相关产业正处于蓬勃发展的阶段，行业分析机构 IDC预测，中国大数据市场2021年整体规模超110亿美元（约合人民币714亿元），且有望在2025年超过250亿美元（约合人民币1623亿元），呈现出强劲的增长态势。

保护数据安全已成为数字经济健康发展最紧迫和最基础的安全问题，但是数字产业的产业链，涉及数据的收集、存储、加工、使用、交付、流通等全环节和全流程，在保障数据安全方面，还存在一定的难点需要被攻克。

数字认证研究院院长夏鲁宁表示，“数据安全不是个新兴概念，已经是多年的老话题了。从宏观上讲，数据在网络空间的流动是数据价值的体现，数据在网络空间流动的生命周期包含了收集、传输、存储、加工直至销毁等多个环节。其中，数据在全局层面（而不是某个安全域内）的流动安全性，无论在管理还是技术层面，都是难点。”

他解释称，实物经济的要素是单线流动的，交易后实物就从一方转移到了另一方。但是数据具有天然的复制特性，在全局流动过程中是可以快速扩散的。“如果没有可靠的手段去确认数据的原始来源、保障全局流动过程中的完整性，那么网络中的数据是否可靠无从判断，其价值也无法确认。有些情况下，例如被非授权篡改，甚至会带来负价值。”

从技术难点上看，360集团安全专家认为，大数据技术给数据安全防护带来颠覆性改变。“大数据”具有数据量大、数据类型多、处理速度快和价值密度低四个特性，颠覆了传统的数据管理方式，使传统的数据安全技术无法有效应对大数据应用场景下新出现的安全问题。”

“比如有组织有背景的恶意网络攻击，黑客可将攻击隐藏在大数据中，使安全分析工具难以实现挖掘和分析的效力。”他解释道。

从管理上看，相关人员的数据安全意识薄弱是影响数据安全的重要因素。 360集团安全专家表示，现有企业的管理人员和产品实施人员都是巨大的挑战。“除去不可控因素，所有的数据安全事件都与人有关。”

保障数据安全需技术手段和管理双管齐下

鉴于数据安全在技术和管理上的痛点仍在，技术层面和管理层面的数据安全建设成为保障数据安全的重要手段。

在数据安全建设方面，亚信安全总裁陆光明表示，要以数据为中心，以“可发现、可监视、可防护、可管理”为目标建立构建技术支撑能力，建立健全安全防护框架，在涵盖基础安全能力、及服务的同时，加强细化流程和风险管理、法规遵从、安全协作等方面的工作，构建数据全生命周期的安全治理框架。

陆光明认为，数据安全治理不仅仅是一套工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。数据安全治理是数字治理的重要部分，贯穿数据治理的全生命过程，聚焦数据的安全属性。在“治”之前要先进行“理”，梳理完了才能“治”。“理”是梳理，通过落实组织、人员及制度，梳理数据的分布、数据分类分级、数据安全风险等。“治”是治疗，通过部署安全技术措施对数据处理环境和数据全生命周期提供全方位的安全保护。

此外，360技术专家认为，由于数据涉及的范围广、生命周期阶段性复杂，在数据安全保障方面，企业应该建立以数据安全为中心思想。“把不同阶段从不同角度面临的风险放到一起进行系统性考虑,强调整体而不是某个环节安全能力。”

长期来看，数据安全是一个管理的过程，需要技术和管理双管齐下。夏鲁宁院长也认为，网络安全是三分技术七分管理，他说道：“任何的技术手段都是辅助实现管理目标的作用，最根本的还是要对实体（人、法人等）的行为进行约束，用规章制度规定企业的管理责任和义务，由企业和组织做好管理工作，提升员工数据安全意识和遵纪守法意识。”

对此，新华三集团副总裁、安全产品线总裁孙松儿表示，企业在进行数据安全建设的过程中，除了通过建设数据安全防护体系的整体布局或是借助第三方数据安全治理服务实现数据安全整体建设外，建立健全的全流程数据安全管理制度，组织开展数据安全教育培训也是重点工作。

数据安全保护要求提高

《数据安全法》的施行，引起了社会对数据安全的重视，对数据相关企业和组织提出了新的要求。如何根据新的法条在克服安全保障难点的前提下保护数据安全，是所有相关企业和组织亟待解决的问题。

盛邦安全CEO权小文对记者表示，数据安全是一个持续性的话题，由于数据安全问题造成的企业资产损失、用户隐私泄露等案例不胜枚举，但有针对性的安全保护实施落地仍存在很多问题和挑战，更多的情况下考验的是一个企业的道德约束和灾备能力。

“由于《数据安全法》的出台和施行，当数据出现安全问题时，企业面临的变化是由以往的追究管理责任到现在明确提升到了要追究法律责任的层面，这本身就是一个质的变化的开始。”他说道。

面对日趋严格的数据安全保护要求，360集团安全专家认为，企业需根据相关法律法规、标准规范要求，采用相应的制度、技术手段和产品保护数据安全。

他解释称：“《数据安全法》的正式施行，不仅对掌握数据的互联网企业有影响，对正在进行数字化转型的组织、传统企业也将产生巨大影响，因为他们是未来数字化的主角，智慧城市、智能汽车和工业互联网等都将由数据驱动业务。”

对此，四叶草安全负责人童奕翔也表示认可，他还提到，在前十年的关于网络安全防护中，数据安全也有提及，只是没有系统性规范。“事实上，类似电力、金融等对安全要求较高的行业数据安全防护体系已经很严密了，只是普通行业类似快递、交通等还存在一定的薄弱点。”他说道。

童奕翔补充称，“在前十年的发展中，大部分企业都在大规模研究用数字化技术改变业务模式，对数据安全保护的关注度不够高，随着近些年应用体系的建设和完善，如今对数据安全保护的要求变得更高了”

孙松儿表示，“典型行业和企业须从国家安全高度正确认识该法律，尽早落实数据安全责任，尽快确定数据安全主管部门，建立自上而下的数据分类分级保护制度。”

市场红利显著数据安全相关产业将迎来风口

由于数据安全问题逐渐被重视，数据安全保护的难点也使得数据安全保护相关产业也孕生出新的机遇。信通院安全所信息安全部数据显示，国内数据安全市场规模预计将在2023年预计达到97.5亿，在整体数据安全市场占比达到12.1%。

“非常看好数据安全市场前景，2021年可以说是数据安全产业真正落地生根的产业元年。”孙松儿说道。“对于大数据和整个产业安全而言，新法的施行将带来显而易见的利好，也必将给从事数据相关业务的企业带来新的机会，例如数据安全技术的研发和应用将会形成巨大商机。对于一些从事数字城市、数字运营、数字管理的企业，也起到了一定促进作用。”他解释称，

《数据安全法（草案二审稿）》中提出，支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品和产业体系。

基于此，360集团安全专家和孙松儿都认为，未来数据安全防护、数据安全监测与评估、数据安全咨询与培训等行业将有很大的市场机会。

360集团安全专家表示，做大数据安全，要站在业务视角看待数据产业和规模，数据安全市场未来至少还有30年的红利。

从《数据安全法》、《个人信息保护法》等法律法规的正式通过，到今天《数据安全法》的正式施行，数据和信息保护的重要性已经日益凸显。夏鲁宁院长表示，数据安全保护是一个长期的过程，《数据安全法》的施行只是一个开始，随着之后的具体实践推进，相关的配套法规、制度、标准也将进一步出台，对于数据安全的保护将随着时间的推进不断完善。