数据安全法带来的一些变化 | 国君计算机

行业更新系列

— 作者：钱劲宇 —

1.  数据安全法是中国信息安全规范的三驾马车之一

《数据安全法》是建起信息安全领域规范的三驾马车之一。《中华人民共和国数据安全法》自 2021 年 9 月1 日起正式施行。本法案确立了数据分类分级管理，数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，明确了各级主体的义务、对违法行为的处罚力度加大。《数据安全法》、《网络安全法》及正在立法进程中的《个人信息保护法》一起，成为指导中国信息安全领域的规范的三驾马车。

数据安全法和民生、国家安全密切相关。数据安全法和国家安全息息相关。特别是重要数据的出境，比如特斯拉在中国境内开展数据处理活动会受到安全监管，这意味着境外企业在境内展业也将受到监管。部分数据滥用如电商平台、外卖平台大数据杀熟的行为将在数据安全法的框架下被合理规范和引导。安全是数据发挥价值的基础保障。但注意如果监管过于严格，限制了数据的流动，数据的潜在价值得不到有效的发挥。

2. 数据安全法利好相关产业链公司

法案推动配套措施落地，2021年大数据安全市场需求有望上升。根据中商产业研究院数据显示，2019年我国大数据安全市场规模近40亿元，2016年-2019年复合增长率为30.8%。2020年中国大数据安全市场规模将达45亿元。预计法案实施后，刺激数据利用开发和数据安全管制配套产业措施落地，大数据安全市场需求将逐步释放。

头部厂商受益于提前布局该领域，未来聚焦数据安全新赛道。本次法案将推动数据安全需求的释放。由于数据流动贯穿信息化和业务系统的各层面、各环节，这对行业上下游的厂商提出了更高的要求，未来安全领域厂商将聚焦数据安全新赛道、新业态。因此，那些有资源提前布局数据安全领域技术、产品、解决方案的头部厂商最为受益。

规定了国家建立数据分类分级保护制度，对数据实行分类分级保护。我们过去认为分类分级可能只是在数据安全的一个环节，但是本法上升到了一个更加高的高度：要建立数据分类分级的保护制度，这就从具体的处理活动或者说技术环节上升到了制度层面。企业、具体行业也要在国家倡导之下建立适用于本行业的数据分类分级的标准规范。

涵盖了数据风险报告、监测、预警。明确了企业开展数据活动应当加强风险监测；企业、行业需要建立更宽泛的安全事件响应机制，覆盖数据的全生命周期。目前一些头部安全厂商已经实施对企业的数据安全监测、报告、预警。利用主动监测、流量分析、多维数据关联融合等技术，对企业数据资产情况统计、数据安全态势分析；并向国家级工业互联网数据安全监测平台提供数据报送，可以满足企业对敏感数据（包含用户数据、企业运营数据、网络技术数据等）的识别审计与泄露事件的实时监测，协助企业对泄露事件进行防范，从而帮助企业规避相关法律风险。

利好有在多行业拥有数据安全管理解决方案的头部公司。本次要求相关企业、个人要建立全流程的数据安全管理制度。因此，像运营商、金融、政府、能源、卫生、海关等行业领域的企业作为数据处理者，加强监管，建立数据全生命周期合规管理制度与流程，采取具体措施保护数据安全。数据安全体系建设是一项体系化工程，而非简单的技术工具运用。因此，头部厂商的优势在于整合自身行业数据和实施积累，为企业提供全生命周期的数据安全防护整体解决方案。未来将会有更多的企业为了达到法规和标准的合规要求，甚至要考虑数据安全系统的重构。

数据安全运营培训市场会扩大。数据安全治理专业人员包括：数据库管理员、数据运维工程师、数据开发人员。在搭建起数据安全系统体系后，企业自身需要培养数据安全治理人员，完善数据安全运营体系，让专业的人做专业的事。像一些围绕CNITSEC（中国信息安全测评中心）的认证体系的运营机构可开展：知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等业务。随着企业自身数据安全领域人才的需求增加，数据安全运营培训市场规模有望扩大。