《個人信息保護法》即將生效企業側數據安全需求有望爆發

胡雯

8月20日，第十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），將自2021年11月1日起施行。自2016年《網絡安全法》、2021年6月《數據安全法》相繼出臺后，《個人信息保護法》進一步明確了個人信息收集和處理應遵循的原則，標志著我國信息安全法律保障體系的初步完善。

近年來，我國數據及隱私保護相關立法及執法活動頻繁，同時暴露出諸多高風險行業及場景，并對此類場景進行了持續性的打擊。與執法活動重點相一致，《個人信息保護法》納入了這些場景及熱點話題，力求從事前杜絕高風險違規事件發生。

國內數據安全需求落地明確性強

《個人信息保護法》違法成本較歐盟標準更高，國內數據安全需求落地確定性強。

當前大數據、云計算等信息深度整合技術高度發展的時代背景下，我國個人信息保護立法推進恰逢其時。據德勤統計，截至2021年6月，國際已有超過八成的國家已有或正在進行個人信息保護立法。我國可以基于先有思路進行差異化制度設計，同時就當前普遍存在的模糊地帶，力求進行補充和優化。

國盛證券分析人士指出，這一法規的出臺其亮點在于明確處理個人信息應當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意。同時，針對現實生活中社會反映強烈的一攬子授權、強制同意等問題，《個人信息保護法》特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

隨著越來越多的企業利用大數據分析、評估消費者的個人特征用于商業營銷，有一些企業通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者。其中，最典型的就是社會反映突出的“大數據殺熟”。對此，《個人信息保護法》明確規定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

《個人信息保護法》將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。《個人信息保護法》要求，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息，同時應當事前進行影響評估，并向個人告知處理的必要性以及影響。

觸犯規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

行業數據安全潛在空間巨大

隨著《個人信息保護法》的生效，國內涉及個人數據的各個行業存在巨大的潛在發展空間。

金融數據天然具有商業價值，需加強監管。通過分析金融交易相關“敏感個人信息”總結、歸納、演繹后得到的“衍生個人信息”，對于風控及業務價值巨大；隨著實體醫院將診療活動延伸至互聯網端，數據共享和流通成為剛性業務需求，靜態的隔離保護措施難以控制數據在流動中的風險，關乎患者隱私、種類繁多的醫療數據也迎來愈加嚴峻的安全挑戰，互聯網醫院需要通過動態變化的視角分析和判斷數據安全風險；隨著智能汽車產業、車聯網技術的快速發展，以自動輔助駕駛為代表的人工智能技術日益普及，汽車數據處理能力日益增強，暴露出的汽車數據安全問題和風險隱患日益突出。

以自動駕駛為代表的AI技術日益普及，汽車數據處理量級及能力日益增強，汽車數據依法合理有效利用同時維護了國家安全利益與個人合法權益。

汽車數據處理者應當履行個人信息保護責任，充分保護個人信息安全和合法權益。開展個人信息處理活動，汽車數據處理者應當通過顯著方式告知個人相關信息，取得個人同意或者符合法律、行政法規規定的其他情形。處理敏感個人信息，汽車數據處理者還應當取得個人單獨同意，滿足限定處理目的、提示收集狀態、終止收集等具體要求或者符合法律、行政法規和強制性國家標準等其他要求。汽車數據處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息。

數據安全服務有望達百億元

隨著《數據安全法》《關保條例》《個人信息保護法》等法律法規密集發布并實施，僅從數據安全的組成部分隱私計算來看，據Gartner預測，2023年，全球80%以上的公司將面臨至少一項以隱私為重點的數據保護法規，2024年隱私驅動的數據保護和合規技術支出將在全球突破150億美元。

數據安全計算模塊常見于大數據服務場景，添加至AI計算平臺，并且與AI應用同樣以數據為基礎，進行安全、存儲以及計算等服務，故以AI平臺收入為隱私計算產值上限，根據IDC預測，2020年我國大數據市場規模約104.2億美元，其中軟件市場規模為26.5億美元，AI平臺收入約4億美元，IDC預測，2018—2024年AI產業年均復合增長39%，則AI平臺收入2024年有望達15億美元，而數據安全方案上限近百億元人民幣。

隱私計算技術解決了數據流通過程中的“可用不可見”難題，有助于破解數據保護與利用之間的矛盾，已在金融、醫療、政務等領域開始推廣應用。

業內專家強調，數據深度價值挖掘過程中需要兼顧數據應用和安全，平衡效率和風險，在保障安全的前提下發揮數據價值。

KPMG預計2023年國內數據安全技術服務市場有望達百億元，隨IT架構走向云化，長期將撬動千億元級的數據安全SaaS運營收入。

以消費貸款場景為例，假設2030年金融機構信用風險建模使用聯邦學習滲透率達60%，服務費率為1%，國內短期消費信貸市場2019年已達9.92萬億元，假設直到2030年年化復合增速為8%，則2030年市場有望達21.42萬億元，數據安全收入有望達1285千億元，考慮互聯網、醫療及政務大數據等場景，空間巨大。

國盛證券指出，典型的數據安全應用場景通常包含三類參與方，互聯網作為使用方，未來國內或由網信辦等監管單位牽頭平臺建設，具備國資股東背景、技術儲備的第三方企業提供技術及運營。如作為數據的使用方，需考慮業務特征與支付能力，互聯網廠商合規需求迫切，包括數據“最小化采集、避免濫用”，此外如聯合建模下的銀行業、醫療機構；作為數據的提供方，做到原始數據不出本地，將加密后的信息發送至中間方；此外，作為隱私計算技術服務商，為客戶搭建計算系統，包括在業務方、數據方以及可信第三方部署服務節點。