01
数据要素及数据安全成为全球数字经济发展竞争的重要支点
数据作为国家安全和国际竞争力的关键要素形成高度共识。
我国数据安全相关法律法规和监管机制步入重要轨道。党的十九届四中会全首次提出,数据可作为生产要素按贡献参与分配,数据要素市场化改革催生数据交易流通和数据安全大市场。我国正紧锣密鼓推进数据安全(含个人信息保护)相关立法和监管工作。早在2012年,全国人大常委会就发布《关于加强网络信息保护的决定》,2017年6月1日正式实施的《网络安全法》对网络服务中的数据安全保护做了规定,涉及数据安全原则、目标、措施、义务和责任。2021年9月1日、11月1日起,《数据安全法》、《个人信息保护法》相继正式实施,为解决数据安全和权属问题提供了重要遵循,同时进一步明确数据信息采集、流转以及提供服务过程的重要原则与管理责任。此外,国家主管部门陆续制定《网络安全审查办法》、《网络安全等级保护条例》以及着手制定《数据安全管理办法》、《数据出境安全评估办法》,明确了数据安全管理的主体责任要求。
数据安全成为各行各业信息化建设推进的刚性需求。当前,新经济发展以数据为驱动的特性明显,以数据资产为中心的理念逐步深入各行业,建立覆盖数据采集、存储、交换、使用、销毁的全生命周期管理成为行业用户的内生需求。近年来,行业主管部门就数据泄露、数据垄断、数据歧视、数据滥用等突出性问题开展专项治理,形成常态化机制和数据安全合规性要求。2019年至2021年,中央网信办、工信部、公安部等多部门开展APP违法违规收集使用个人信息专项治理行动,中央网信办、工信部就工业、电信、汽车等领域行业网络数据安全提出相关要求并推进数据安全治理工作。近两年,央行科技司发布《金融数据安全 数据安全分级指南》,推进金融数据安全分类分级保护相关工作,银保监会制定《监管数据安全管理办法》,旨在建立健全监管数据安全协同管理体系,医疗保障局发布工作指导意见,提出全面建立数据安全审批制度、落实分级分类管理及重要数据保护目录。
02
数据安全有望发展成独立赛道
云计算、移动互联网、物联网、大数据等新技术蓬勃发展,数据高效共享、远程访问、云端共享,打破原有的以系统为中心的防护边界体系。同时,数据安全问题具有一定特殊性,大数据存储、计算、分析等技术的发展,催生出很多新型高级的网络攻击手段,使得传统的检测防御技术暴露出严重不足,同时数据流转复杂化使得数据泄露风险增大,上述原因促使数据安全向全生命周期和无边界防护演进。
国内互联网企业提出企业数据安全管理体系模型,主要涉及六大能力、五大核心技术。六大能力分别是数据资产管理能力、数据安全运营能力、数据业务安全管控能力、数据支撑环境安全能力、数据运维安全能力、数据安全感知能力等,覆盖数据全生命周期及重要的数据场景。关键核心技术主要涉及五个方向:敏感数据识别和脱敏技术、数据泄露防护技术、结构化数据库安全技术、大数据平台安全技术、数据交换与隐私计算技术。
数据安全市场迎来独立增量发展阶段。中国数据安全市场最初发展的驱动力主要来源于政府、军工以及大型国有企业的需求,具有保护力度强、安全性高的特征,初始形成了以文件存储加密、数据加密传输、单双向跨网交换为主导的符合国情特色的保护方案,相关产品成熟度较高,且市场主要集中在有相应涉密产品或系统集成资质的企业。
随着国家要求强化关键数据资源保护能力、增强数据安全预警和溯源能力,同时政企单位不断加大对业务数据、技术专利、数字产品及个人隐私等的保护力度,以数据资产为中心,实现综合管理、实时保护、动态跟踪的需求催生了当前以数据资产管理、数据安全防护、数据处理流通为代表的新型数据安全企业。
参照《数据安全能力成熟度模型》国家标准,围绕数据生命周期管理,数据安全产品和解决方案集中在数据治理、数据防护、数据交换等方面,不同方面技术与市场成熟度不尽相同。同时,该模型说明数据安全市场也要依赖行业用户自身内控要求和管理能力的提升,由此带来合规型产品与能力型产品的需求同步提升。
从市场规模看,根据中国信通院的报告统计,2020年我国网络安全产业规模约为1700亿元,同期数据安全产业规模约为50亿元,占比还不到百分之三。但从增速上看,根据计世资讯的统计数据,2018年至2020年数据安全市场增速达到29.6%、32.7%、33.2%,高于网络安全行业整体增速,并呈现逐年加速增长态势。
03
加快数据安全技术创新,促进数据发展与安全共进
展望未来,要落实数据安全国家保障以及和行业管理相关任务,需要在数据分类分级的基础上,加强安全管理能力、提升技术防护水平,打造“攻防兼备”的立体化数据安全防护体系。结合行业需求与一线产业经验,就政策导向、技术创新提出相关建议措施:
第一,坚持推进数据安全管理法治化,建议建立数据市场风险防控体系。一是数据安全管理法治化是时代所需,建议进一步完善数据安全法律法规及标准规范,明确数据的权属,包括数据的控制权、管理权、使用权以及数据安全主体责任。二是对政府和企业开展数据采集、存储、使用、共享、开放、销毁及跨境传输等活动的合规性和安全性完善相关规定,建议推动收集重要数据和个人信息的备案制度,明确监管范围、建立通报体系、细化处罚措施、配备激励机制。三是建议建立面向企业的数据安全备案机制,提升数据安全事件应急解决能力。设立数据跨境流动风险防控机制,加强跨境数据流动监测和业务协同监管。四是强化关键领域数字基础设施安全保障,切实加大自主安全产品采购推广力度,保护专利、数字版权、商业秘密、个人隐私数据。
第二,把握数据安全技术创新趋势,增强全生命周期“主动防御”能力。一是以数据安全评估为抓手、以数据资产安全使用为愿景,关注数据安全体系、制度体系、技术体系、运营体系方法论及国家相关标准进展。二是围绕数据资产进行全生命周期管控,关注数据治理通用平台产品,为数据安全治理和风险管控提供精准依据和量化支撑。三是关注密码学、人工智能、大数据分析等技术与数据安全结合,如:运用智能语义分析(NLP)对数据进行智能理解与自动化处理,实现对敏感数据分类识别;运用基于大数据驱动的用户实体行为分析(UEBA)有效提升数据攻击威胁检测能力。四是以产品为基础,提升业务发展和管理的深度融合,更多关注产品背后带来的数据安全防护能力和体系化的服务模式。此外,AI生成数据内容将成为重要的数据生成方式,需要关注AI深度伪造及数据污染等攻击威胁,提升数据分析模型的可靠性、可解释性。
目前,中国互联网投资基金已投资布局明朝万达、闪捷信息等有自主技术积累、产品线较为全面的数据安全项目,并积极布局以富数科技为代表的隐私计算项目,以及以瑞莱智慧为代表的AI安全项目。中网投将以助力关键核心技术创新突破、服务数字经济发展为使命,着眼数据产业健康发展,持续深入布局网络安全、数据安全等领域,并联合所投企业为政策实施、产业发展提供支持力量。
Copyright © 2005-2021 网信安全世界版权所有