數據合規迎大年

曹彥君　江昱玢

2021年，是中國數據合規的“元年”。

2021年6月上旬，《中華人民共和國數據安全法》 （下稱《數據安全法》）正式通過表決，并于同年9月1日正式實施。這改變了我國數據問題在國家立法層面無法可依的局面。

數據安全提升到國家安全戰略高度，天融信、深信服、奇安信、山石網科等多家網絡安全行業概念股受到關注，大量需求涌入行業。

數據顯示，多家網絡安全企業的數據安全業務錄得三位數的季度增長。從2021年三季度財報來看，綠盟科技、安恒信息的單季營收分別達4.6億元和4.04億元，同比增長17.08%和18.72%;奇安信、啟明星辰、深信服營收分別達12.19億元、8.85億元、17.9億元。

行業層面，2021年12月3日，央行發布《金融數據安全評估規范（征求意見稿）》，金融行業率先落地數據安全標準建設。

地方層面，2022年1月1日起，《上海市數據條例》正式施行，作為國內首部省級人大制定的數據條例，探索地方“數治”新范式。

業界認為，后續行業及地區標準的細化和政策的落地，將開啟各行業數據安全的黃金時代。中國信通院數據顯示，2020年數據安全產業的規模約為356億元，預計未來5年的行業復合增長率約為15%。

網絡時代，數據為王。全球已有近百個國家和地區制定了數據安全相關法律，針對數據安全問題專項立法，已成為國際慣例。

作為我國首部以“數據”命名的法律，《數據安全法》的出臺標志著我國數據開發與應用全面進入法治化，重點關注三方面：數據責任與主體職責、數據來源合法性與數據分級分類治理。

北京韜安律師事務所首席合伙人、歐盟認證數據保護官王軍向《21CBR》記者表示，法案出臺對國內數據安全領域意義重大，“一是確立了國家、地域、行業、主管部門、數據主體縱橫立體的治理結構，二是平衡兼顧數據安全與數據利用兩方面的問題”。

國家工業信息安全發展研究中心副總工程師兼信息政策所所長黃鵬認為，《數據安全法》的亮點包括：納入發展數字經濟的理念，推動政務數據開放利用，培育數據交易市場;增加對數據泄露危及國家安全的處罰力度，最高處以1000萬元罰款。

山石網科的市場資深總監榮鈺直言，過去網絡安全行業的主要難點是量化，比如違反法規之后的損失、處罰、賠付，都沒有明確量化指標。

《數據安全法》首次量化各項標準。天融信科技集團副總裁王奇飛表示，數據領域的灰色地帶將變得清晰，未來會出現更多基于數據開發、交換、交易的應用場景。

相關行業管理實施細則陸續出臺。網信辦等五部門聯合發布的《汽車數據安全管理若干規定（試行）》自2021年10月1日起施行，開啟了我國汽車數據安全強監管時代。

2021年7月2日，網絡安全審查辦公室就滴滴“可能泄露國家敏感數據”展開調查，引發大眾對數據跨境流動合規的關注。同年10月29日，網信辦發布《數據出境安全評估辦法（征求意見稿）》，對涉及國家安全和重大公共利益的數據出境環節，釋放從嚴監管信號。

此外，數據分類分級處理方面，2021年最后一天出臺的《網絡安全標準實踐指南——網絡數據分類分級指引》，對網絡數據分類分級的原則、框架和方法進行了辨明，用于指導和監督數據處理者開展相關合規工作。

數據安全市場正在升溫，管制配套產業將被激活。

啟明星辰VF專家團資深網絡安全專家楊天識表示，《數據安全法》正式通過后，客戶產生大量數據安全新需求：“有咨詢法律條款解讀的，有咨詢數據安全治理方案的，有咨詢數據安全保障解決方案的，也有行業客戶請我們協助制定行業數據分類分級標準。”

從2020年7月草案第一次公布以來，數據安全需求激增體現在各大網安企業的業務數據上。

根據天融信財報，2020年第一季度，數據安全業務增長超過300%。王奇飛告訴《21CBR》記者，數據安全需求爆發于2020年中期。

山石網科的業務增長曲線相似，2020年7月至今，公司安全產品線整體增長率超100%。

多家安全廠商表示，由于強合規性要求，政務領域的需求增長最快。

山石網科的數據安全與審計業務群總經理趙勝稱，各省市的大數據管理局是公司在政府領域的重要客戶。此前，《網絡安全法》的實施帶動網絡安全布局，數據安全卻并未受到重視。

趙勝回憶道：“客戶曾以為處于網絡最內核的數據庫很安全。數據安全相關業務只有跟等級保護項目擦邊，才能實現落地。”

隨著《數據安全法》草案公布，客戶們主動提高了數據安全的優先級。“數據庫基礎管理之外，要考慮數據的綜合治理，包括分類分析、風險評估、安全監測、預警、應急處理、審查制度等環節。”趙勝表示。

政府行業也是天融信的最大客戶群體。王奇飛表示，政府行業在數據安全方面產生兩類新需求。一是監管部門側重于數據監管，例如網信、公安;二是各級政府機關加強對數據分類分級處理過程的保護，例如海關、稅務、財政、國土等。

在信息化建設較完善的金融行業，由于本身存在數據安全保護的業務需求，合規要求進一步拉動需求增長。金融行業數據包含大量個人數據、企業生產業務數據、網絡安全運維數據等，對數據的保密性、完整性、可用性要求都很高，數據保護的行業需求量大，大客戶的項目量級常在百萬元以上級別。

楊天識表示，隨著大型金融機構建立私有云系統、使用公有云，移動支付使金融業務移動化，云上數據和移動支付數據的安全保障成為挑戰。

在金融行業，傳統安全廠商接觸的多是負責網絡管理運維人員，忽視了審計、數據管理等業務部門的數據安全需求。趙勝舉例，業務部門負責的金融數據從生產區向測試區流動，需要對數據進行脫敏。

一位安全廠商的業務負責人向《21CBR》記者表示，他曾在2018年向某小型金融機構推銷數據安全治理產品，對方首要考慮的是網絡安全等級保護2.0的合規要求。2020年，《數據安全法》草案第二次修改后，雙方重新探討了數據安全業務的可行性。2021年6月《數據安全法》正式通過后，企業主動規劃了數據安全產品采購預算。

“《數據安全法》的出臺，讓部分企業的業務需求演變為合規需求。”上述業務負責人總結道，企業合規成本會上升，但數據治理將從野蠻生長進入規范、標準、可持續階段。

“不必太過緊張，《數據安全法》目的不是堵，而是疏。”王軍直言，做到合法獲取數據、明確數據使用目的、保障數據主體權益，電商、網約車、社交通信App仍然大有可為。

《數據安全法》是數據治理的上位法、基本法。王軍預計，在金融、交通、醫療、教育等領域，相關行業協會將據此制定符合本行業應用特征的數據安全規范。

多家受訪安全廠商均表示，當下預測哪些行業的應用前景最廣，還為時尚早。毋庸置疑的是，數據安全業務處于廣闊藍海，大項目量級將達到百萬甚至千萬元。

項目量級取決于兩方面：客戶的規模大小，使用的是單品還是平臺。

一位業內人士告訴《21CBR》記者，《數據安全法》未出臺前，客戶對數據安全整體建設沒有專門預算，唯一相關的數據庫審計，單個項目資金投入不足100萬元。

如果政府客戶使用整體數據安全治理平臺對全省市的數據進行統一規劃，單一項目金額可達500萬元以上。

政策層面，國家加大力度推動數據相關產業發展，明確要求政企加快數據治理等工作。

2020年8月，國務院國資委頒布《關于加快推進國有企業數字化轉型工作的通知》，對國企的網絡安全防護水平、數據治理體系建設，提出了更高、更具體的要求。其中，加強數據標準化、定期評估數據治理能力等規定，為安全廠商們拓展業務機會、擴大行業規模提供了機會。

業務需求增長、項目量級劇增，對網安行業的人力資源、交付能力提出更高要求。

東方證券分析認為，綜合服務能力強的安全廠商受益明顯。王奇飛表示，大行業客戶企業的數字化轉型中，業務更新迭代快，具備整套數據安全能力的安全廠商能快速反應。

多家受訪安全廠商表示，企業正在建設綜合服務平臺，將獨立的安全產品升級為定制化的數據安全治理方案。

趙勝表示，過去企業缺少全品類的解決方案，山石網科擁有數據庫安全、防泄露、脫敏、堡壘機等一系列產品，但交付的產品大多是數據安全的“孤島”。未來將結合已有產品，推出更完整的數據安全綜合治理方案。

綜合治理方案將包括前期的數據分析，例如分類分級、態勢感知，以及后期的數據管控能力，例如資產管理。

“《數據安全法》出臺，平臺應運而生。串聯產品，加上過硬的數據安全治理服務能力，構成完整的數據安全保護體系。”趙勝說。

天融信推出了三個服務平臺：面向政務、電信、能源、監管等行業的數據安全智能管控平臺，滿足能源、監管等行業需求的數據安全服務平臺，針對大數據、關系數據庫一體化保護的大數據安全防護系統。這些解決方案涵蓋了標準、人才培養、產品技術、治理服務、方案、應用等能力。

廠商們也將基于新法，進一步提升數據安全產品的技術水平。

榮鈺表示，山石網科會采用人工智能和大數據等新技術，幫助客戶進行數據的梳理、分類、分級。而天融信計劃在未來3年，持續研究隱私保護相關技術，并針對AI數據安全問題提供行業解決方案。

隨著對交付能力的要求上升，安全廠商們開辟出專門的數據安全部門，從資金、人力方面支持數據安全業務。

2017年，山石網科就開設了數據安全產品線。2021年，幾條數據安全產品線整合為數據安全和審計事業群。

2021年12月，啟明星辰發布數據安全新產品——數據綠洲，新版圖面向數據的系統屬性、業務屬性、經濟屬性，提供全方位的安全技術及管理體系。

天融信則準備針對不同行業分別成立數據安全業務部門。“數據安全是貼近業務的，雖然技術手段相通，但是應用場景不同，要貼近場景設計方案。”王奇飛表示。

“如果政策落實得好，我們做得及時，將在不同行業豎起標桿，人員壓力將非常大。”上述安全廠商負責人表示，最近公司的數據安全部門一直在招人，“先往上跑，不設上限”。

王奇飛對業務增量持樂觀態度。他認為，未來幾年，數據安全行業規模年增速將達到50%。

目前，業界期待更細化的政策法規和行業標準落地后，網安行業將迎來新一輪爆發。在此之前，子彈還要再飛一會兒。