【科技觀築】《數據安全法》今起正式施行數據安全產業迎新風口

2021-09-01

*【環球網科技報道記者林夢雪】*9月1日消息，今日《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）正式開始施行，數據安全工作首次升至國家安全最高監管層級。生效之後，《數據安全法》將與《網絡安全法》及即將實施的《個人信息保護法》一起，全面構築中國信息安全領域的法律框架。

從具體內容來看，《數據安全法》分別從監管體系、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等方面，對數據活動進行規制。

作為我國數據安全領域的第一部專門法律，《數據安全法》中明確了數據處理活動（數據的“收集、存儲、使用、加工、傳輸、提供、公開”等）和數據安全。傳統企業、互聯網、大數據等涉及數據處理和數據安全活動的企業均在本法限制範圍內。

新法施行後，數據相關行業面臨着新的要求。如何建設數據安全，解決數據安全保障痛點問題？企業如何應對日趨嚴格的監管？新的發展機遇在哪裏？記者就上述問題採訪了業界相關企業代表和專家。

數據安全保障存難點

我國數據相關產業正處於蓬勃發展的階段，行業分析機構 IDC預測，中國大數據市場2021年整體規模超110億美元（約合人民幣714億元），且有望在2025年超過250億美元（約合人民幣1623億元），呈現出強勁的增長態勢。

保護數據安全已成為數字經濟健康發展最緊迫和最基礎的安全問題，但是數字產業的產業鏈，涉及數據的收集、存儲、加工、使用、交付、流通等全環節和全流程，在保障數據安全方面，還存在一定的難點需要被攻克。

數字認證研究院院長夏魯寧表示，“數據安全不是個新興概念，已經是多年的老話題了。從宏觀上講，數據在網絡空間的流動是數據價值的體現，數據在網絡空間流動的生命週期包含了收集、傳輸、存儲、加工直至銷燬等多個環節。其中，數據在全局層面（而不是某個安全域內）的流動安全性，無論在管理還是技術層面，都是難點。”

他解釋稱，實物經濟的要素是單線流動的，交易後實物就從一方轉移到了另一方。但是數據具有天然的複製特性，在全局流動過程中是可以快速擴散的。“如果沒有可靠的手段去確認數據的原始來源、保障全局流動過程中的完整性，那麼網絡中的數據是否可靠無從判斷，其價值也無法確認。有些情況下，例如被非授權篡改，甚至會帶來負價值。”

從技術難點上看，360集團安全專家認為，大數據技術給數據安全防護帶來顛覆性改變。“大數據”具有數據量大、數據類型多、處理速度快和價值密度低四個特性，顛覆了傳統的數據管理方式，使傳統的數據安全技術無法有效應對大數據應用場景下新出現的安全問題。”

“比如有組織有背景的惡意網絡攻擊，黑客可將攻擊隱藏在大數據中，使安全分析工具難以實現挖掘和分析的效力。”他解釋道。

從管理上看，相關人員的數據安全意識薄弱是影響數據安全的重要因素。 360集團安全專家表示，現有企業的管理人員和產品實施人員都是巨大的挑戰。“除去不可控因素，所有的數據安全事件都與人有關。”

保障數據安全需技術手段和管理雙管齊下

鑑於數據安全在技術和管理上的痛點仍在，技術層面和管理層面的數據安全建設成為保障數據安全的重要手段。

在數據安全建設方面，亞信安全總裁陸光明表示，要以數據為中心，以“可發現、可監視、可防護、可管理”為目標建立構建技術支撐能力，建立健全安全防護框架，在涵蓋基礎安全能力、及服務的同時，加強細化流程和風險管理、法規遵從、安全協作等方面的工作，構建數據全生命週期的安全治理框架。

陸光明認為，數據安全治理不僅僅是一套工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。數據安全治理是數字治理的重要部分，貫穿數據治理的全生命過程，聚焦數據的安全屬性。在“治”之前要先進行“理”，梳理完了才能“治”。“理”是梳理，通過落實組織、人員及制度，梳理數據的分佈、數據分類分級、數據安全風險等。“治”是治療，通過部署安全技術措施對數據處理環境和數據全生命週期提供全方位的安全保護。

此外，360技術專家認為，由於數據涉及的範圍廣、生命週期階段性複雜，在數據安全保障方面，企業應該建立以數據安全為中心思想。“把不同階段從不同角度面臨的風險放到一起進行系統性考慮,強調整體而不是某個環節安全能力。”

長期來看，數據安全是一個管理的過程，需要技術和管理雙管齊下。夏魯寧院長也認為，網絡安全是三分技術七分管理，他説道：“任何的技術手段都是輔助實現管理目標的作用，最根本的還是要對實體（人、法人等）的行為進行約束，用規章制度規定企業的管理責任和義務，由企業和組織做好管理工作，提升員工數據安全意識和遵紀守法意識。”

對此，新華三集團副總裁、安全產品線總裁孫松兒表示，企業在進行數據安全建設的過程中，除了通過建設數據安全防護體系的整體佈局或是藉助第三方數據安全治理服務實現數據安全整體建設外，建立健全的全流程數據安全管理制度，組織開展數據安全教育培訓也是重點工作。

數據安全保護要求提高

《數據安全法》的施行，引起了社會對數據安全的重視，對數據相關企業和組織提出了新的要求。如何根據新的法條在克服安全保障難點的前提下保護數據安全，是所有相關企業和組織亟待解決的問題。

盛邦安全CEO權小文對記者表示，數據安全是一個持續性的話題，由於數據安全問題造成的企業資產損失、用户隱私泄露等案例不勝枚舉，但有針對性的安全保護實施落地仍存在很多問題和挑戰，更多的情況下考驗的是一個企業的道德約束和災備能力。

“由於《數據安全法》的出台和施行，當數據出現安全問題時，企業面臨的變化是由以往的追究管理責任到現在明確提升到了要追究法律責任的層面，這本身就是一個質的變化的開始。”他説道。

面對日趨嚴格的數據安全保護要求，360集團安全專家認為，企業需根據相關法律法規、標準規範要求，採用相應的制度、技術手段和產品保護數據安全。

他解釋稱：“《數據安全法》的正式施行，不僅對掌握數據的互聯網企業有影響，對正在進行數字化轉型的組織、傳統企業也將產生巨大影響，因為他們是未來數字化的主角，智慧城市、智能汽車和工業互聯網等都將由數據驅動業務。”

對此，四葉草安全負責人童奕翔也表示認可，他還提到，在前十年的關於網絡安全防護中，數據安全也有提及，只是沒有系統性規範。“事實上，類似電力、金融等對安全要求較高的行業數據安全防護體系已經很嚴密了，只是普通行業類似快遞、交通等還存在一定的薄弱點。”他説道。

童奕翔補充稱，“在前十年的發展中，大部分企業都在大規模研究用數字化技術改變業務模式，對數據安全保護的關注度不夠高，隨着近些年應用體系的建設和完善，如今對數據安全保護的要求變得更高了”

孫松兒表示，“典型行業和企業須從國家安全高度正確認識該法律，儘早落實數據安全責任，儘快確定數據安全主管部門，建立自上而下的數據分類分級保護制度。”

市場紅利顯著數據安全相關產業將迎來風口

由於數據安全問題逐漸被重視，數據安全保護的難點也使得數據安全保護相關產業也孕生出新的機遇。信通院安全所信息安全部數據顯示，國內數據安全市場規模預計將在2023年預計達到97.5億，在整體數據安全市場佔比達到12.1%。

“非常看好數據安全市場前景，2021年可以説是數據安全產業真正落地生根的產業元年。”孫松兒説道。“對於大數據和整個產業安全而言，新法的施行將帶來顯而易見的利好，也必將給從事數據相關業務的企業帶來新的機會，例如數據安全技術的研發和應用將會形成巨大商機。對於一些從事數字城市、數字運營、數字管理的企業，也起到了一定促進作用。”他解釋稱，

《數據安全法（草案二審稿）》中提出，支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品和產業體系。

基於此，360集團安全專家和孫松兒都認為，未來數據安全防護、數據安全監測與評估、數據安全諮詢與培訓等行業將有很大的市場機會。

360集團安全專家表示，做大數據安全，要站在業務視角看待數據產業和規模，數據安全市場未來至少還有30年的紅利。

從《數據安全法》、《個人信息保護法》等法律法規的正式通過，到今天《數據安全法》的正式施行，數據和信息保護的重要性已經日益凸顯。夏魯寧院長表示，數據安全保護是一個長期的過程，《數據安全法》的施行只是一個開始，隨着之後的具體實踐推進，相關的配套法規、制度、標準也將進一步出台，對於數據安全的保護將隨着時間的推進不斷完善。