新法規有望推動數據安全市場增長 360安全專家提三點建議

近日，國家互聯網信息辦公室公佈《數據出境安全評估辦法》(以下簡稱《辦法》)，自2022年9月1日起施行。三六零(601360.SH，下稱“360”)天樞智庫安全專家表示，該《辦法》的出台體現了國家對數據出境管控的高度重視，為數據出境提供了可操作、可落實的法律依據，並將促進數據處理者從多個方面積極建設和提升數據安全能力。

根據《辦法》要求，數據出境活動主要包括兩方面，一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。

對此，華安證券發佈研報指出，根據過去《網絡安全法》及相關政策法規，“數據出境”的認定範圍為網絡運營者與其他機構及個人在境內收集或產生的個人信息或重要數據。 而《辦法》強調，若數據處理者向境外傳輸數據或允許境外訪問數據，則必須向國家網信部門申報。此舉實質上擴大了“數據出境”的審查範圍，其審查對象可包括我國境外上市企業和其他出海企業、來華外企以及外資投資的境內企業。因此，在強合規審查之下，未來數據安全賽道的下游市場空間巨大。華安證券認為，《辦法》在執行層面上填補了數據安全法規的漏洞，有望成為市場增長的強大推力。

對於相關數據處理者而言，亟需健全自我數據安全風險防範能力、開展自評估工作，確認境外數據接收方的數據安全保護能力，並就雙方數據安全保護責任義務達成一致，形成符合要求的法律文件，達成滿足出境數據安全評估通過的條件，有效促進數據安全、有序地跨境流動。對此，360專家提出三點建議。

一是建立數據安全風險評估與審計機制，形成數據安全監督工作的常態化。建議數據處理者制定有效的數據安全風險評估和審計機制，實現數據安全監督的持續性，以便數據處理者對於是否滿足數據出境安全評估的要求進行自證，並實現第三方的數據安全監管。

二是基於數據安全能力成熟度模型(DSMM)評估數據出境相關責任方的數據安全保護能力。建議國內數據處理者通過開展DSMM測評評估自身數據安全防護能力，並可以基於DSMM對問題項、潛在風險項進行能力完善與提升；推薦數據接收方基於DSMM進行數據安全能力評估，以證明其數據安全防護能力滿足數據提供方要求，具備履行數據安全保護責任義務的能力，以有效保障出境數據的安全。

三是及時梳理數據出境相關業務，儘快達到《辦法》明確的合規要求。由於數據出境安全評估需要事前進行，所以數據處理者要把握和利用好施行前的時間以及6個月的整改窗口期，釐清對於數據出境相關的合規要求、數據出境與重要數據等關鍵定義，盤點清楚自身涉及數據出境的業務及相關數據情況，達到滿足《辦法》要求的合規水平。

對於安全廠商而言，《辦法》的施行令數據安全成為企業剛需，為數據安全賽道打開了增量空間，有利於安全廠商開展相關數據安全業務。據悉，360牽頭建設的大數據協同安全技術國家工程研究中心，正是針對我國大數據環境下數據安全和系統安全監測、預警和控制處置能力不足等問題，圍繞提升大數據安全分析能力和保障大數據系統自身安全的需求，建設大數據協同安全技術應用研究平台。

目前，大數據協同安全技術國家工程研究中心已在上海、貴州等地方，以及中國石油、中國一汽等行業共同成立了十家聯合研究機構，深入不同地方和行業的具體場景，開展數據安全創新和能力建設。

此外，國家工程研究中心聯合貴州大數據安全工程研究中心等同行形成生態，提供DSMM諮詢、測評和培訓等服務，能夠幫助客户提升數據安全能力和數據安全防護水平。

而且，為解決企業數據安全戰略視野不足和人才短缺問題，該研究中心還聯合多方機構開展註冊數據安全官、註冊數據安全工程師和DSMM測評師人才培訓，壯大數據安全人才隊伍，築牢國家數據安全屏障，為我國數字經濟發展保駕護航。