作为我国第一部有关数据安全的专门法律,《数据安全法》将于9月1日起施行,其将成为国家大数据战略中至关重要的法制基础,成为数据安全保障和数字经济发展领域的重要基石。
《数据安全法》的落地,意味着数字经济监管趋严,与此同时,也为数据安全产业的发展带来新的商机。
根据《数据安全法》第二章第十六条规定,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
“2021年可以说是数据安全产业的元年。”安恒信息高级副总裁、首席科学家刘博对第一财经表示,当前,在万亿级规模的数据产业中,数据安全产业尚处于发展初期,可占据总产业规模的5%~10%。而随着数据安全技术与行业结合更密切,应用场景更多,这个市场将迎来更大的机遇。
隐私增强技术最火
2020年4月,数据被国家认定为继土地、劳动力、资本、技术之后的“第五生产要素”,并在企业数字化转型中发挥重要作用。《数据安全法》提出,以数据分级分类为核心,搭建数据安全的监管制度。
上海市信息安全行业协会名誉会长谈剑锋告诉第一财经,“十四五”时期,首要任务之一是“加快数字化发展、建设数字中国”,大力发展数字经济成为必然,数据安全则是数字经济的生命线。《数据安全法》作为上位法,为各方合理合法地采集和利用数据提供了支撑,同时也划了“红线”。
“数据安全及隐私保护成为新风口,产品和服务需求将进一步升级扩容,市场需求刺激数据保护技术进一步推陈出新,市场规模有望迅速扩大。从供给侧来看,要保障数据安全和保护个人隐私,关键在于加密,密码技术将进一步发展,并带动后续产业链的进一步发展,比如认证技术、脱敏技术、存储技术等,同时也带来合规、咨询等安全服务产业的发展。从需求侧来看,实施《数据安全法》也促进数据的有序流动,利好数据‘消费’产业,譬如人工智能等产业。”他说。
《数据安全法》的一大特色,是注重数据安全和产业发展的平衡。北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括表示,为了实现数据既安全又流通,各行业企业的数据安全治理将从静态走向动态,而在技术层面上,如隐私计算、多方安全计算等隐私增强技术将成为新风口。
作为一家数据安全领域的初创企业,小安(北京)科技有限公司创始人白亚菁进一步解释称,数据的静态保护是动态保护的基础,静态保护的重点是对数据资产的梳理,也就是《数据安全法》中提出的要对数据进行分类分级,分类是为了规范化关联,分级是安全防护的基础,不同级别的数据在不同的活动场景下,安全级别不同,安全防护的手段和措施也就不同,这就是动态防护的思想。
“但数据只有流动起来才有价值,因此数据开放才有意义,但开放的前提是安全,而要做到安全开放,需要更多隐私增强技术和行业相结合,为实现数据安全的开放、流通和交易做出更多技术探索。”白亚菁说。
“事实上,更多行业企业需要在数据流通中确保安全的需求升级,也为提供数据安全治理服务的运营商提供了机遇。”刘博认为,处理好数据的动态安全性,就意味着数据安全治理向着体系化发展,需要数据运营真正能够在落地应用中形成可管、可控、可信、可溯源的体系。
与此同时,他还表示,数据安全保护的底层技术间的结合趋势将更加明显,例如隐私计算与区块链技术相结合,在放大数据的价值的同时,保障数据流通中的可用不可见。
太琨律创始合伙人、最高人民检察院专家咨询委员会委员朱界平表示,数据安全产业更大的想象空间在于和不同行业相结合,推动场景落地。
他举例称,当前,出于企业自身数据资产风控需求和《数据安全法》中的合规管理要求,金融、电信、医疗等重点行业领域和大型互联网公司正不断完善数据安全全周期治理,以确保数据流通安全,在这过程中,各类隐私增强技术将会被不断激活和实现性能提升。
数据合规成为普遍选择
7月30日,工信部网站显示,近日工信部网络安全管理局委托中国互联网协会组织召开重点互联网企业贯彻落实《数据安全法》座谈会,阿里、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58同城、百度、拼多多、蚂蚁集团等12家企业参会。工信部网络安全管理局要求各企业贯彻总体国家安全观,深入贯彻落实《数据安全法》,切实加强数据安全保护。
工信部表示,鼓励各参会互联网企业积极参与数据安全标准研制、关键技术研发等工作,并主动配合行业监管。
“随着数据资产保护意识提升和监管压力增强,数据合规已成为大型互联网企业和科技巨头的普遍选择,在此背景下,企业级数据安全治理市场有望迎来爆发机会。”刘博称,与此同时,还有更多的初创企业、大数据公司和数据安全运营商都涉足于数据安全底层技术的研发,但它们在软硬件投入方面仍有较大差异。
中国社科院博士方燕多年从事互联网竞争逻辑与反垄断政策研究,她表示,初创公司往往专门耕耘一个特定的细分领域(如数据库安全、数据脱敏等),或者以此为切入点,后续慢慢拓展业务线。科技巨头一般的使力方向基本都是围绕保证既有的社交、电商、搜索等主营业务的需要,以安全软件研发为主,必要时也会涉足硬件。大数据公司的努力方向则是确保以所运营的数据业务安全为需要。
“总体而言,这三类公司都受资本市场青睐,特别是初创公司和大数据公司的安全服务尝试。目前大致判断,在万亿级别数据产业大盘子中,数据安全产业至少也是千亿级别。”她预计。
国泰君安证券认为,《数据安全法》将推动数据安全需求的释放。“由于数据流动贯穿信息化和业务系统的各层面、各环节,这对行业上下游的厂商提出了更高的要求,未来安全领域厂商将聚焦数据安全新赛道、新业态。因此,那些有资源提前布局数据安全领域技术、产品、解决方案的头部厂商最为受益。”
痛点不仅仅是技术瓶颈
《数据安全法》落地在即,虽然带来更多的安全合规产品和服务需求,并有更多的行业企业正加大数据脱敏、防泄露、加密等基础性通用性的数据安全技术投入,不过,行业发展仍处于初期。
刘博称,一方面,全球范围内,远没有达到技术的成熟期,乃至有大概80%的数据安全相关技术处于初级阶段;而对于中国来说,在数据安全技术方面仍存在诸多卡脖子难题待突破。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲也表示,尽管看上去“热闹”,但仔细观察,就会发现很多数据安全的解决方案并未完全脱离原有的网络安全思路。“当然,网络安全和数据安全本身也相互交织、密不可分,但是如果用网络安全的产品或解决方案,可能很难解决数据安全面临的新问题、新挑战,有时候也会出现‘题不对意’‘效果不佳’的情况。”他说。
“事实上,数据安全治理的痛点,不仅仅是技术瓶颈。”方燕称,在数据安全技术和行业结合并推动场景落地的过程中,存在着三大难点待攻克。
其一,随着人工智能和物联网时代的到来,在新业态新模式的试探推广和落地过程中,数据安全风险或将变大;其二,数据安全认识还需深化,国内各界都只是将数据安全视为一个技术工程问题,认为安全技术是解决数据安全风险的唯一出路,而忽视了从经济学、社会学、伦理学等其他社会科学突破的可能。比如,从经济学(如行为激励)角度就能透析和规避许多现有安全技术无力攻克的安全风险问题;其三,结合场景的专业性安全制度设计往往落后于实践。尽管人脸识别上的安全制度在构建,但是在语音识别等很多场景下的制度设计目前还是空白,也未受重视。
技术落地缺乏相应的法律、行业标准规约,也为数据安全治理带来挑战。谈剑锋表示,由于目前核心数据定义不明确,对数据的分级分类有一定的影响,在法律落地执行过程中,会面临政策细化、技术分化、产业投入需要强化等各种问题,需要逐步完善。政策方面来看,需要主管部门发挥主动作用,及时出台各行各业的实施细则,另外就是数据确权、流转这些技术难点。从产业层面上来看,国内安全投入一直偏低,安全投入占信息化总投入的比重过低,远低于全球平均水平,限制了安全产业的技术创新应用和推广,约束了产业进一步发展。
上海交大数据法律研究中心执行主任何渊提到了个人信息交易的难点,他解释称,个人信息如果要交易,只有两种路径,一种是征得个人的同意,第二种叫做匿名化,这两种做法,前面提到的隐私计算都没法实现,所以需要去做合规方面的制度突破。
中国信息通信研究院云计算与大数据研究所副所长魏凯认为,数据安全治理需要实现国家、行业、企业的多方共治。而对于企业而言,又需要在组织机构建设、制度流程规划、技术工具构建、人员能力培养等多个方面形成闭环。
“当前,在数据安全治理方面,相关法律法规对于公众监管部门而言,仍缺乏一定的透明度,这样会导致做得好的企业和做得差的企业其实没有区分度。在这一背景下,不管是企业内部自评估还是行业第三方评估,都需要通过一套度量的准则来牵引企业数据安全治理能够真正地落到实处。”魏凯说。