数据合规迎大年

2022-02-10 09:13曹彦君江昱玢
21世纪商业评论 2022年1期
关键词:安全法数据安全网络安全

曹彦君 江昱玢

2021年,是中国数据合规的“元年”。

2021年6月上旬,《中華人民共和国数据安全法》 (下称《数据安全法》)正式通过表决,并于同年9月1日正式实施。这改变了我国数据问题在国家立法层面无法可依的局面。

数据安全提升到国家安全战略高度,天融信、深信服、奇安信、山石网科等多家网络安全行业概念股受到关注,大量需求涌入行业。

数据显示,多家网络安全企业的数据安全业务录得三位数的季度增长。从2021年三季度财报来看,绿盟科技、安恒信息的单季营收分别达4.6亿元和4.04亿元,同比增长17.08%和18.72%;奇安信、启明星辰、深信服营收分别达12.19亿元、8.85亿元、17.9亿元。

行业层面,2021年12月3日,央行发布《金融数据安全评估规范(征求意见稿)》,金融行业率先落地数据安全标准建设。

地方层面,2022年1月1日起,《上海市数据条例》正式施行,作为国内首部省级人大制定的数据条例,探索地方“数治”新范式。

业界认为,后续行业及地区标准的细化和政策的落地,将开启各行业数据安全的黄金时代。中国信通院数据显示,2020年数据安全产业的规模约为356亿元,预计未来5年的行业复合增长率约为15%。

网络时代,数据为王。全球已有近百个国家和地区制定了数据安全相关法律,针对数据安全问题专项立法,已成为国际惯例。

作为我国首部以“数据”命名的法律,《数据安全法》的出台标志着我国数据开发与应用全面进入法治化,重点关注三方面:数据责任与主体职责、数据来源合法性与数据分级分类治理。

北京韬安律师事务所首席合伙人、欧盟认证数据保护官王军向《21CBR》记者表示,法案出台对国内数据安全领域意义重大,“一是确立了国家、地域、行业、主管部门、数据主体纵横立体的治理结构,二是平衡兼顾数据安全与数据利用两方面的问题”。

国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏认为,《数据安全法》的亮点包括:纳入发展数字经济的理念,推动政务数据开放利用,培育数据交易市场;增加对数据泄露危及国家安全的处罚力度,最高处以1000万元罚款。

山石网科的市场资深总监荣钰直言,过去网络安全行业的主要难点是量化,比如违反法规之后的损失、处罚、赔付,都没有明确量化指标。

《数据安全法》首次量化各项标准。天融信科技集团副总裁王奇飞表示,数据领域的灰色地带将变得清晰,未来会出现更多基于数据开发、交换、交易的应用场景。

相关行业管理实施细则陆续出台。网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》自2021年10月1日起施行,开启了我国汽车数据安全强监管时代。

2021年7月2日,网络安全审查办公室就滴滴“可能泄露国家敏感数据”展开调查,引发大众对数据跨境流动合规的关注。同年10月29日,网信办发布《数据出境安全评估办法(征求意见稿)》,对涉及国家安全和重大公共利益的数据出境环节,释放从严监管信号。

此外,数据分类分级处理方面,2021年最后一天出台的《网络安全标准实践指南——网络数据分类分级指引》,对网络数据分类分级的原则、框架和方法进行了辨明,用于指导和监督数据处理者开展相关合规工作。

数据安全市场正在升温,管制配套产业将被激活。

启明星辰VF专家团资深网络安全专家杨天识表示,《数据安全法》正式通过后,客户产生大量数据安全新需求:“有咨询法律条款解读的,有咨询数据安全治理方案的,有咨询数据安全保障解决方案的,也有行业客户请我们协助制定行业数据分类分级标准。”

从2020年7月草案第一次公布以来,数据安全需求激增体现在各大网安企业的业务数据上。

根据天融信财报,2020年第一季度,数据安全业务增长超过300%。王奇飞告诉《21CBR》记者,数据安全需求爆发于2020年中期。

山石网科的业务增长曲线相似,2020年7月至今,公司安全产品线整体增长率超100%。

多家安全厂商表示,由于强合规性要求,政务领域的需求增长最快。

山石网科的数据安全与审计业务群总经理赵胜称,各省市的大数据管理局是公司在政府领域的重要客户。此前,《网络安全法》的实施带动网络安全布局,数据安全却并未受到重视。

赵胜回忆道:“客户曾以为处于网络最内核的数据库很安全。数据安全相关业务只有跟等级保护项目擦边,才能实现落地。”

随着《数据安全法》草案公布,客户们主动提高了数据安全的优先级。“数据库基础管理之外,要考虑数据的综合治理,包括分类分析、风险评估、安全监测、预警、应急处理、审查制度等环节。”赵胜表示。

政府行业也是天融信的最大客户群体。王奇飞表示,政府行业在数据安全方面产生两类新需求。一是监管部门侧重于数据监管,例如网信、公安;二是各级政府机关加强对数据分类分级处理过程的保护,例如海关、税务、财政、国土等。

在信息化建设较完善的金融行业,由于本身存在数据安全保护的业务需求,合规要求进一步拉动需求增长。金融行业数据包含大量个人数据、企业生产业务数据、网络安全运维数据等,对数据的保密性、完整性、可用性要求都很高,数据保护的行业需求量大,大客户的项目量级常在百万元以上级别。

杨天识表示,随着大型金融机构建立私有云系统、使用公有云,移动支付使金融业务移动化,云上数据和移动支付数据的安全保障成为挑战。

在金融行业,传统安全厂商接触的多是负责网络管理运维人员,忽视了审计、数据管理等业务部门的数据安全需求。赵胜举例,业务部门负责的金融数据从生产区向测试区流动,需要对数据进行脱敏。

一位安全厂商的业务负责人向《21CBR》記者表示,他曾在2018年向某小型金融机构推销数据安全治理产品,对方首要考虑的是网络安全等级保护2.0的合规要求。2020年,《数据安全法》草案第二次修改后,双方重新探讨了数据安全业务的可行性。2021年6月《数据安全法》正式通过后,企业主动规划了数据安全产品采购预算。

“《数据安全法》的出台,让部分企业的业务需求演变为合规需求。”上述业务负责人总结道,企业合规成本会上升,但数据治理将从野蛮生长进入规范、标准、可持续阶段。

“不必太过紧张,《数据安全法》目的不是堵,而是疏。”王军直言,做到合法获取数据、明确数据使用目的、保障数据主体权益,电商、网约车、社交通信App仍然大有可为。

《数据安全法》是数据治理的上位法、基本法。王军预计,在金融、交通、医疗、教育等领域,相关行业协会将据此制定符合本行业应用特征的数据安全规范。

多家受访安全厂商均表示,当下预测哪些行业的应用前景最广,还为时尚早。毋庸置疑的是,数据安全业务处于广阔蓝海,大项目量级将达到百万甚至千万元。

项目量级取决于两方面:客户的规模大小,使用的是单品还是平台。

一位业内人士告诉《21CBR》记者,《数据安全法》未出台前,客户对数据安全整体建设没有专门预算,唯一相关的数据库审计,单个项目资金投入不足100万元。

如果政府客户使用整体数据安全治理平台对全省市的数据进行统一规划,单一项目金额可达500万元以上。

政策层面,国家加大力度推动数据相关产业发展,明确要求政企加快数据治理等工作。

2020年8月,国务院国资委颁布《关于加快推进国有企业数字化转型工作的通知》,对国企的网络安全防护水平、数据治理体系建设,提出了更高、更具体的要求。其中,加强数据标准化、定期评估数据治理能力等规定,为安全厂商们拓展业务机会、扩大行业规模提供了机会。

业务需求增长、项目量级剧增,对网安行业的人力资源、交付能力提出更高要求。

东方证券分析认为,综合服务能力强的安全厂商受益明显。王奇飞表示,大行业客户企业的数字化转型中,业务更新迭代快,具备整套数据安全能力的安全厂商能快速反应。

多家受访安全厂商表示,企业正在建设综合服务平台,将独立的安全产品升级为定制化的数据安全治理方案。

赵胜表示,过去企业缺少全品类的解决方案,山石网科拥有数据库安全、防泄露、脱敏、堡垒机等一系列产品,但交付的产品大多是数据安全的“孤岛”。未来将结合已有产品,推出更完整的数据安全综合治理方案。

综合治理方案将包括前期的数据分析,例如分类分级、态势感知,以及后期的数据管控能力,例如资产管理。

“《数据安全法》出台,平台应运而生。串联产品,加上过硬的数据安全治理服务能力,构成完整的数据安全保护体系。”赵胜说。

天融信推出了三个服务平台:面向政务、电信、能源、监管等行业的数据安全智能管控平台,满足能源、监管等行业需求的数据安全服务平台,针对大数据、关系数据库一体化保护的大数据安全防护系统。这些解决方案涵盖了标准、人才培养、产品技术、治理服务、方案、应用等能力。

厂商们也将基于新法,进一步提升数据安全产品的技术水平。

荣钰表示,山石网科会采用人工智能和大数据等新技术,帮助客户进行数据的梳理、分类、分级。而天融信计划在未来3年,持续研究隐私保护相关技术,并针对AI数据安全问题提供行业解决方案。

随着对交付能力的要求上升,安全厂商们开辟出专门的数据安全部门,从资金、人力方面支持数据安全业务。

2017年,山石网科就开设了数据安全产品线。2021年,几条数据安全产品线整合为数据安全和审计事业群。

2021年12月,启明星辰发布数据安全新产品——数据绿洲,新版图面向数据的系统属性、业务属性、经济属性,提供全方位的安全技术及管理体系。

天融信则准备针对不同行业分别成立数据安全业务部门。“数据安全是贴近业务的,虽然技术手段相通,但是应用场景不同,要贴近场景设计方案。”王奇飞表示。

“如果政策落实得好,我们做得及时,将在不同行业竖起标杆,人员压力将非常大。”上述安全厂商负责人表示,最近公司的数据安全部门一直在招人,“先往上跑,不设上限”。

王奇飞对业务增量持乐观态度。他认为,未来几年,数据安全行业规模年增速将达到50%。

目前,业界期待更细化的政策法规和行业标准落地后,网安行业将迎来新一轮爆发。在此之前,子弹还要再飞一会儿。

猜你喜欢
安全法数据安全网络安全
关于提升火电厂安全生产管理水平的论述
全国多地联动2020年国家网络安全宣传周启动
部署推进2020年电信和互联网 行业网络数据安全管理工作
工信部:2021年初步建立网络数据安全标准体系
新量子通信线路保障网络安全
数据安全政策与相关标准分享
保护个人信息安全,还看新法
中国网络安全产业联盟正式成立
食品安全:最严食品安全法出台
史上最严食品安全法通过