背景
网络安全,在《国家网络空间安全战略》中是网络空间安全的简称,也被称为广义的网络安全,包含了物理安全、系统安全、网络安全(狭义)、数据安全等多个层面的安全,形成网络空间安全。而在市场上往往将计算机网络的安全称为网络安全,也就是狭义的网络安全。在本文中所提及的网络安全,特指代狭义的网络安全。2017年实施的《中华人民共和国网络安全法》(简称:网安法)、等保要求是广义的网络安全,网安法中对网络安全(狭义)、数据安全等整个网络安全空间做了全面的约束。而网安法、等保对网络安全(狭义的网络安全)的监管可以说极具代表性。等保作为网安法的一项安全责任要求,由公安部作为主要监管,在等保的推动下,合规性要求成为驱动网络安全市场的主要动力。尤其是等保2.0的正式实施,标志着我国网络安全行业正式进入强监管时代。对于企事业单位来讲,履行等保要求是网络运营者的重要合规环节。与此同时,2016年护网启动,继续催生一批以实战攻防为主的网络安全公司。从等保1.0、等保2.0、护网等网络安全领域的一系列举措,受网络安全监管的推动,网络安全市场获得了稳定、飞速的发展。
在网络安全市场快节奏发展的时期,数据安全市场的发展则相对较慢,这与数据安全市场需求特点以及监管的影响力度具有密不可分的关系。
共性与差异分析
从需求上来看,数据安全需求和网络安全需求有诸多相似之处:基本上分成了原生性安全需求和合规性安全需求。原生性的安全需求是组织方发生过安全问题或者组织方明确意识到自身的安全问题,期望通过管理、技术工具等措施解决问题。合规性的安全需求是由国家、地方的监管机构所监督的,要求组织方应实施的安全建设。不管是网络安全还是数据安全,合规性需求依然占据绝大多数的需求比例。因不合规而导致的数据安全事件给企业带来的成本损失,是影响企业发展的重要因素。2021年7月,IBM发布了《2021年数据泄露成本报告》,报告指出每次数据泄露事件平均为公司带来424万美元的损失,这也是17年来的最高值。在高昂的数据泄露成本中,严重违规(导致罚款、处罚、诉讼等)的组织的数据泄露成本为565万美元,比不存在违规问题的组织高出 230 万美元,如图1所示。
图1 合规失败的数据泄露平均成本(来自 IBM 《2021年数据泄露成本报告》)
在合规性对企业发展的显著影响下,企业方对监管驱动的合规初步形成共识。2021年12月,信通院发布了《2021年数据安全行业调研报告》,报告中指出,97.02%的组织表示监管驱动是企业开展数据安全能力建设的主要动力,如图2所示。
图2 数据安全需求方需求来源情况(来自中国信息通信研究院 《2021年数据安全行业调研报告》)
如上所述,合规性需求的释放,依赖于监管的力度。监管力度越强,合规性需求的释放就越大,相应的市场就越大,这在网络安全市场得到了很好的验证。在过去的历史时期,数据安全的监管,相比网络安全的监管,在监管力度方面稍弱:从法律法规层面,在定义安全的相关法律法规或国家标准、行业标准中,数据安全、网络安全相关的监管都是作为网络空间安全的一个子领域进行阐述,从时间线分析,数据安全监管的发展时间线实际与网络安全监管是同步的,但从法律法规监管所产生的影响范围、影响力度来看,数据安全监管对数据安全领域所产生的影响相比网络安全监管对网络安全的影响来讲,相对弱势,这对同样以合规性需求作为支撑的数据安全市场来讲,其对市场的促进作用也相对有限。
2021年,数据安全领域迎来了两部重要的法律:《中华人民共和国数据安全法》(简称:数安法)和《中华人民共和国个人信息保护法》(简称:个保法),这可以说是数据安全监管的重要信号。数据安全的监管并非从2021年开始,而是可以追溯到《国家安全法》、《民法典》的立法以及2017年实施的《中华人民共和国网络安全法》(简称:网安法)。2021年紧随两部重要法律其后,《关键信息基础设施安全保护条例》颁布实施,国家互联网信息办公室起草了《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法(征求意见稿)》,并公开征求意见;工信部起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》、《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》,并公开征求意见。2021年针对数据安全的相关法律法规频频出台或征求意见,标志着数据安全监管进入了新的发展时期,数据安全将与网络安全成为并驾齐驱的两大监管领域。
数据安全的特点分析
显然的,网络安全监管在过去几年对整个网络产业生态产生了重大的影响,同时也深刻的影响了网络经营者的安全意识及网络安全体系建设的积极性。当数据安全监管发出了强信号,其未来对数据安全产业生态、数据相关运营者的影响不言而喻。对整个数据安全生态来讲,数据安全监管既是机遇,但合规性在数据安全层面的落地实施也面临不少挑战,主要表现为四个方面:
1)组织不了解监管需求。数据安全监管的发展历史不长,以前并未受到重视,相当比例的组织不了解数据安全监管。这也要求针对各项法律法规及监管政策的细化解读和行业指导亟需推进,各相关监管部门在条例办法、国家标准、行业标准等方面需要加快出台,帮助组织落地合规性需求。
2)数据安全技术有待进一步成熟和完善。数据安全技术分类精细,要获得成熟的落地实践能力,技术难度高。不少技术领域仍处于萌芽期,需要科研、资金的投入和支撑。尤其是随着信息化、数字化、智能化的阶段性发展目标,商业数据、政务数据、个人信息等等不同的数据安全对技术的要求不同,数据安全技术需要投入更大的科研力量进行科研攻关,并完成技术成果的转化,才能有助于合规性需求的实施。
3)数据安全人才缺口严重。一方面是合规性需求下,数据安全需求方需要更多的数据安全人才进行数据安全建设;一方面是数据安全技术的难度特点,对从事数据安全相关领域的人员提出了更高的要求,相应的数据安全相关的产品、服务等相关供应商需要更多技术型专家人才的投入。
4)维护数据主权的国际挑战。数据作为等同于“石油”一样的高价值资源,历来是国际上争相获得的焦点。国际上的法律法规对数据主权的争取,需要我们具备对应的数据主权的法律法规,在数据权利方面进行博弈,维护国家、人民的安全。2021年实施的法律法规以及正处于征求意见稿阶段的条例、办法,都是保障数据主权的有力支撑。未来国际形势必然存在多变性,这也要求我们必须与时俱进,从法律法规层面、组织管理层面、合规落地层面等多角度落实数据主权的维护。
截止目前,数据安全的监管有既有国家层面的横向监管如网信、工信、公安的监管,也有垂直方向上行业的监管,比如水利、广电、交通等行业提出了具体的数据安全监管思路。这些监管的力度较大,有些监管甚至与组织的考核建立了强关联,这也预示着未来数据安全强监管对组织的影响力度会越来越强,监管要求越来越细,这也将在很大程度上有助于数据安全需求方更加明确数据安全监管的具体要求,并执行数据安全合规性的落地实施。与此同时,国家标准作为合规性的配套因素,在近两年也有了较大规模的研制,对帮助数据安全产品、服务的供应方提供合规性的产品、服务,对帮助数据安全需求方更好地落实数据安全监管的要求均具有重要的推动作用。与数据安全监管相关的条例、办法,在未来仍会不断加强和细化,与数据安全合规性相配套的国家标准、行业标准在法律法规的指引下也将陆续发布实施。受多方数据安全监管的影响,由数据安全监管所产生的影响可比等保对网络安全的影响更大,数据安全需求方的合规性需求将形成主动的需求方市场,这将促进合规性诉求在数据安全市场的释放,对数据安全市场的规模、发展速度将产生显著的推动作用,这也将促进数据安全行业在合规监管方面的蓬勃发展,由此也会给整个数据安全生态带来积极的重大影响。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
