數(shù)據(jù)合規(guī)迎大年

曹彥君　江昱玢

2021年，是中國數(shù)據(jù)合規(guī)的“元年”。

2021年6月上旬，《中華人民共和國數(shù)據(jù)安全法》 （下稱《數(shù)據(jù)安全法》）正式通過表決，并于同年9月1日正式實施。這改變了我國數(shù)據(jù)問題在國家立法層面無法可依的局面。

數(shù)據(jù)安全提升到國家安全戰(zhàn)略高度，天融信、深信服、奇安信、山石網(wǎng)科等多家網(wǎng)絡安全行業(yè)概念股受到關注，大量需求涌入行業(yè)。

數(shù)據(jù)顯示，多家網(wǎng)絡安全企業(yè)的數(shù)據(jù)安全業(yè)務錄得三位數(shù)的季度增長。從2021年三季度財報來看，綠盟科技、安恒信息的單季營收分別達4.6億元和4.04億元，同比增長17.08%和18.72%;奇安信、啟明星辰、深信服營收分別達12.19億元、8.85億元、17.9億元。

行業(yè)層面，2021年12月3日，央行發(fā)布《金融數(shù)據(jù)安全評估規(guī)范（征求意見稿）》，金融行業(yè)率先落地數(shù)據(jù)安全標準建設。

地方層面，2022年1月1日起，《上海市數(shù)據(jù)條例》正式施行，作為國內(nèi)首部省級人大制定的數(shù)據(jù)條例，探索地方“數(shù)治”新范式。

業(yè)界認為，后續(xù)行業(yè)及地區(qū)標準的細化和政策的落地，將開啟各行業(yè)數(shù)據(jù)安全的黃金時代。中國信通院數(shù)據(jù)顯示，2020年數(shù)據(jù)安全產(chǎn)業(yè)的規(guī)模約為356億元，預計未來5年的行業(yè)復合增長率約為15%。

網(wǎng)絡時代，數(shù)據(jù)為王。全球已有近百個國家和地區(qū)制定了數(shù)據(jù)安全相關法律，針對數(shù)據(jù)安全問題專項立法，已成為國際慣例。

作為我國首部以“數(shù)據(jù)”命名的法律，《數(shù)據(jù)安全法》的出臺標志著我國數(shù)據(jù)開發(fā)與應用全面進入法治化，重點關注三方面：數(shù)據(jù)責任與主體職責、數(shù)據(jù)來源合法性與數(shù)據(jù)分級分類治理。

北京韜安律師事務所首席合伙人、歐盟認證數(shù)據(jù)保護官王軍向《21CBR》記者表示，法案出臺對國內(nèi)數(shù)據(jù)安全領域意義重大，“一是確立了國家、地域、行業(yè)、主管部門、數(shù)據(jù)主體縱橫立體的治理結構，二是平衡兼顧數(shù)據(jù)安全與數(shù)據(jù)利用兩方面的問題”。

國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬認為，《數(shù)據(jù)安全法》的亮點包括：納入發(fā)展數(shù)字經(jīng)濟的理念，推動政務數(shù)據(jù)開放利用，培育數(shù)據(jù)交易市場;增加對數(shù)據(jù)泄露危及國家安全的處罰力度，最高處以1000萬元罰款。

山石網(wǎng)科的市場資深總監(jiān)榮鈺直言，過去網(wǎng)絡安全行業(yè)的主要難點是量化，比如違反法規(guī)之后的損失、處罰、賠付，都沒有明確量化指標。

《數(shù)據(jù)安全法》首次量化各項標準。天融信科技集團副總裁王奇飛表示，數(shù)據(jù)領域的灰色地帶將變得清晰，未來會出現(xiàn)更多基于數(shù)據(jù)開發(fā)、交換、交易的應用場景。

相關行業(yè)管理實施細則陸續(xù)出臺。網(wǎng)信辦等五部門聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》自2021年10月1日起施行，開啟了我國汽車數(shù)據(jù)安全強監(jiān)管時代。

2021年7月2日，網(wǎng)絡安全審查辦公室就滴滴“可能泄露國家敏感數(shù)據(jù)”展開調查，引發(fā)大眾對數(shù)據(jù)跨境流動合規(guī)的關注。同年10月29日，網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，對涉及國家安全和重大公共利益的數(shù)據(jù)出境環(huán)節(jié)，釋放從嚴監(jiān)管信號。

此外，數(shù)據(jù)分類分級處理方面，2021年最后一天出臺的《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》，對網(wǎng)絡數(shù)據(jù)分類分級的原則、框架和方法進行了辨明，用于指導和監(jiān)督數(shù)據(jù)處理者開展相關合規(guī)工作。

數(shù)據(jù)安全市場正在升溫，管制配套產(chǎn)業(yè)將被激活。

啟明星辰VF專家團資深網(wǎng)絡安全專家楊天識表示，《數(shù)據(jù)安全法》正式通過后，客戶產(chǎn)生大量數(shù)據(jù)安全新需求：“有咨詢法律條款解讀的，有咨詢數(shù)據(jù)安全治理方案的，有咨詢數(shù)據(jù)安全保障解決方案的，也有行業(yè)客戶請我們協(xié)助制定行業(yè)數(shù)據(jù)分類分級標準。”

從2020年7月草案第一次公布以來，數(shù)據(jù)安全需求激增體現(xiàn)在各大網(wǎng)安企業(yè)的業(yè)務數(shù)據(jù)上。

根據(jù)天融信財報，2020年第一季度，數(shù)據(jù)安全業(yè)務增長超過300%。王奇飛告訴《21CBR》記者，數(shù)據(jù)安全需求爆發(fā)于2020年中期。

山石網(wǎng)科的業(yè)務增長曲線相似，2020年7月至今，公司安全產(chǎn)品線整體增長率超100%。

多家安全廠商表示，由于強合規(guī)性要求，政務領域的需求增長最快。

山石網(wǎng)科的數(shù)據(jù)安全與審計業(yè)務群總經(jīng)理趙勝稱，各省市的大數(shù)據(jù)管理局是公司在政府領域的重要客戶。此前，《網(wǎng)絡安全法》的實施帶動網(wǎng)絡安全布局，數(shù)據(jù)安全卻并未受到重視。

趙勝回憶道：“客戶曾以為處于網(wǎng)絡最內(nèi)核的數(shù)據(jù)庫很安全。數(shù)據(jù)安全相關業(yè)務只有跟等級保護項目擦邊，才能實現(xiàn)落地?！?/p>

隨著《數(shù)據(jù)安全法》草案公布，客戶們主動提高了數(shù)據(jù)安全的優(yōu)先級。“數(shù)據(jù)庫基礎管理之外，要考慮數(shù)據(jù)的綜合治理，包括分類分析、風險評估、安全監(jiān)測、預警、應急處理、審查制度等環(huán)節(jié)?！壁w勝表示。

政府行業(yè)也是天融信的最大客戶群體。王奇飛表示，政府行業(yè)在數(shù)據(jù)安全方面產(chǎn)生兩類新需求。一是監(jiān)管部門側重于數(shù)據(jù)監(jiān)管，例如網(wǎng)信、公安;二是各級政府機關加強對數(shù)據(jù)分類分級處理過程的保護，例如海關、稅務、財政、國土等。

在信息化建設較完善的金融行業(yè)，由于本身存在數(shù)據(jù)安全保護的業(yè)務需求，合規(guī)要求進一步拉動需求增長。金融行業(yè)數(shù)據(jù)包含大量個人數(shù)據(jù)、企業(yè)生產(chǎn)業(yè)務數(shù)據(jù)、網(wǎng)絡安全運維數(shù)據(jù)等，對數(shù)據(jù)的保密性、完整性、可用性要求都很高，數(shù)據(jù)保護的行業(yè)需求量大，大客戶的項目量級常在百萬元以上級別。

楊天識表示，隨著大型金融機構建立私有云系統(tǒng)、使用公有云，移動支付使金融業(yè)務移動化，云上數(shù)據(jù)和移動支付數(shù)據(jù)的安全保障成為挑戰(zhàn)。

在金融行業(yè)，傳統(tǒng)安全廠商接觸的多是負責網(wǎng)絡管理運維人員，忽視了審計、數(shù)據(jù)管理等業(yè)務部門的數(shù)據(jù)安全需求。趙勝舉例，業(yè)務部門負責的金融數(shù)據(jù)從生產(chǎn)區(qū)向測試區(qū)流動，需要對數(shù)據(jù)進行脫敏。

一位安全廠商的業(yè)務負責人向《21CBR》記者表示，他曾在2018年向某小型金融機構推銷數(shù)據(jù)安全治理產(chǎn)品，對方首要考慮的是網(wǎng)絡安全等級保護2.0的合規(guī)要求。2020年，《數(shù)據(jù)安全法》草案第二次修改后，雙方重新探討了數(shù)據(jù)安全業(yè)務的可行性。2021年6月《數(shù)據(jù)安全法》正式通過后，企業(yè)主動規(guī)劃了數(shù)據(jù)安全產(chǎn)品采購預算。

“《數(shù)據(jù)安全法》的出臺，讓部分企業(yè)的業(yè)務需求演變?yōu)楹弦?guī)需求?！鄙鲜鰳I(yè)務負責人總結道，企業(yè)合規(guī)成本會上升，但數(shù)據(jù)治理將從野蠻生長進入規(guī)范、標準、可持續(xù)階段。

“不必太過緊張，《數(shù)據(jù)安全法》目的不是堵，而是疏?！蓖踯娭毖?，做到合法獲取數(shù)據(jù)、明確數(shù)據(jù)使用目的、保障數(shù)據(jù)主體權益，電商、網(wǎng)約車、社交通信App仍然大有可為。

《數(shù)據(jù)安全法》是數(shù)據(jù)治理的上位法、基本法。王軍預計，在金融、交通、醫(yī)療、教育等領域，相關行業(yè)協(xié)會將據(jù)此制定符合本行業(yè)應用特征的數(shù)據(jù)安全規(guī)范。

多家受訪安全廠商均表示，當下預測哪些行業(yè)的應用前景最廣，還為時尚早。毋庸置疑的是，數(shù)據(jù)安全業(yè)務處于廣闊藍海，大項目量級將達到百萬甚至千萬元。

項目量級取決于兩方面：客戶的規(guī)模大小，使用的是單品還是平臺。

一位業(yè)內(nèi)人士告訴《21CBR》記者，《數(shù)據(jù)安全法》未出臺前，客戶對數(shù)據(jù)安全整體建設沒有專門預算，唯一相關的數(shù)據(jù)庫審計，單個項目資金投入不足100萬元。

如果政府客戶使用整體數(shù)據(jù)安全治理平臺對全省市的數(shù)據(jù)進行統(tǒng)一規(guī)劃，單一項目金額可達500萬元以上。

政策層面，國家加大力度推動數(shù)據(jù)相關產(chǎn)業(yè)發(fā)展，明確要求政企加快數(shù)據(jù)治理等工作。

2020年8月，國務院國資委頒布《關于加快推進國有企業(yè)數(shù)字化轉型工作的通知》，對國企的網(wǎng)絡安全防護水平、數(shù)據(jù)治理體系建設，提出了更高、更具體的要求。其中，加強數(shù)據(jù)標準化、定期評估數(shù)據(jù)治理能力等規(guī)定，為安全廠商們拓展業(yè)務機會、擴大行業(yè)規(guī)模提供了機會。

業(yè)務需求增長、項目量級劇增，對網(wǎng)安行業(yè)的人力資源、交付能力提出更高要求。

東方證券分析認為，綜合服務能力強的安全廠商受益明顯。王奇飛表示，大行業(yè)客戶企業(yè)的數(shù)字化轉型中，業(yè)務更新迭代快，具備整套數(shù)據(jù)安全能力的安全廠商能快速反應。

多家受訪安全廠商表示，企業(yè)正在建設綜合服務平臺，將獨立的安全產(chǎn)品升級為定制化的數(shù)據(jù)安全治理方案。

趙勝表示，過去企業(yè)缺少全品類的解決方案，山石網(wǎng)科擁有數(shù)據(jù)庫安全、防泄露、脫敏、堡壘機等一系列產(chǎn)品，但交付的產(chǎn)品大多是數(shù)據(jù)安全的“孤島”。未來將結合已有產(chǎn)品，推出更完整的數(shù)據(jù)安全綜合治理方案。

綜合治理方案將包括前期的數(shù)據(jù)分析，例如分類分級、態(tài)勢感知，以及后期的數(shù)據(jù)管控能力，例如資產(chǎn)管理。

“《數(shù)據(jù)安全法》出臺，平臺應運而生。串聯(lián)產(chǎn)品，加上過硬的數(shù)據(jù)安全治理服務能力，構成完整的數(shù)據(jù)安全保護體系。”趙勝說。

天融信推出了三個服務平臺：面向政務、電信、能源、監(jiān)管等行業(yè)的數(shù)據(jù)安全智能管控平臺，滿足能源、監(jiān)管等行業(yè)需求的數(shù)據(jù)安全服務平臺，針對大數(shù)據(jù)、關系數(shù)據(jù)庫一體化保護的大數(shù)據(jù)安全防護系統(tǒng)。這些解決方案涵蓋了標準、人才培養(yǎng)、產(chǎn)品技術、治理服務、方案、應用等能力。

廠商們也將基于新法，進一步提升數(shù)據(jù)安全產(chǎn)品的技術水平。

榮鈺表示，山石網(wǎng)科會采用人工智能和大數(shù)據(jù)等新技術，幫助客戶進行數(shù)據(jù)的梳理、分類、分級。而天融信計劃在未來3年，持續(xù)研究隱私保護相關技術，并針對AI數(shù)據(jù)安全問題提供行業(yè)解決方案。

隨著對交付能力的要求上升，安全廠商們開辟出專門的數(shù)據(jù)安全部門，從資金、人力方面支持數(shù)據(jù)安全業(yè)務。

2017年，山石網(wǎng)科就開設了數(shù)據(jù)安全產(chǎn)品線。2021年，幾條數(shù)據(jù)安全產(chǎn)品線整合為數(shù)據(jù)安全和審計事業(yè)群。

2021年12月，啟明星辰發(fā)布數(shù)據(jù)安全新產(chǎn)品——數(shù)據(jù)綠洲，新版圖面向數(shù)據(jù)的系統(tǒng)屬性、業(yè)務屬性、經(jīng)濟屬性，提供全方位的安全技術及管理體系。

天融信則準備針對不同行業(yè)分別成立數(shù)據(jù)安全業(yè)務部門。“數(shù)據(jù)安全是貼近業(yè)務的，雖然技術手段相通，但是應用場景不同，要貼近場景設計方案?！蓖跗骘w表示。

“如果政策落實得好，我們做得及時，將在不同行業(yè)豎起標桿，人員壓力將非常大。”上述安全廠商負責人表示，最近公司的數(shù)據(jù)安全部門一直在招人，“先往上跑，不設上限”。

王奇飛對業(yè)務增量持樂觀態(tài)度。他認為，未來幾年，數(shù)據(jù)安全行業(yè)規(guī)模年增速將達到50%。

目前，業(yè)界期待更細化的政策法規(guī)和行業(yè)標準落地后，網(wǎng)安行業(yè)將迎來新一輪爆發(fā)。在此之前，子彈還要再飛一會兒。