数据要素时代数据安全产业发展态势

（一）数据安全发展基础不断夯实

数据安全法律政策逐步细化，政策环境不断完善。国家层面，逐渐明晰的监管红线，为企业数据安全建设提供政策引领。2022年7月，中央网信办公布《数据出境安全评估办法》，为各行业企业规范数据出境活动、保护个人信息权益提出了更加具体的要求和措施，翻开了数据出境安全管理的新篇章。行业方面，工信部于2022年12月印发《工业和信息化领域数据安全管理办法（试行）》，明确了本领域数据安全监管范围和监管职责，提出了对包括重要和核心数据在内的管理要求，是对工业和信息化领域数据安全管理工作的进一步指导。地方层面，河南省、江西省、重庆市等省市纷纷出台数据条例，明确数据安全责任义务和管理监督措施等内容，规范各地方数据安全建设工作。

数据安全技术产品持续变革，产业发展动力愈发强劲。随着5G、物联网、云计算等数字技术的快速发展，数据形式更加灵活多样，传统数据安全防护边界被颠覆，新技术应运而生。根据IDC发布的《IDC TechScape:中国数据安全发展路线图，2022》，零信任之数据安全、AI赋能数据安全、数据风险管理、数据安全基础设施管理平台等9项变革性数据安全技术将重塑数据安全市场，创造新的市场机会、新的技术公司以及新的用户需求。

数据安全意识及能力逐渐提升，数据安全建设工作逐步启动。随着企业数字化转型的逐渐深入，各行业企业的数据安全意识有效提升，数据安全能力建设不断突破。据中国信通院调研，企业在开展数据安全培训、参与数据安全评估、部署数据安全技术产品等方面需求旺盛。目前已有联通数科、电信云、中移信息、百度、蚂蚁等40余家企业完成数据安全治理能力评估工作，旨在通过“以评促建”方式对标监管要求，梳理建设现状，推动企业数据安全建设工作的开展。同时，供应侧受市场需求引导，奇安信、卫士通等企业也全面开展了数据安全相关产品及服务的研究布局，根据中国信通院数据安全推进计划发布的《数据安全产品与服务图谱（2.0）》，目前共有116家企业、488款产品与服务收录其中。

（二）当前数据安全发展呈现三大特点

1.全面布局成为需求侧建设重心

有效的数据安全治理是企业利用数据赋能业务的重要前提，但传统的离散式、补丁式的数据安全策略已不能适应当前敏捷化、动态化的业务创新。企业数据安全能力建设重心，也开始从单点技术部署走向广范围、细粒度、一体化的全面布局，围绕组织架构、制度流程、技术工具、人员能力构建“闭环”数据安全体系。金融、电信、互联网等行业作为数据密集型行业，是产生数据、使用数据最频繁、场景最丰富的领域，其数据安全已成为企业保障业务发展的内生需求。这些行业企业基于不断细化的法规政策，已开展较为体系化数据安全建设。

组织架构方面，工行、建行、移动、联通、电信、百度、蚂蚁等头部企业已经确立了由数据管理部、信息安全管理部或数据安全部等部门牵头管理协调全企业内部的数据安全工作，一方面向上对接相应委员会，细化工作内容，另一方面向下对接各业务部门，制定管理要求。制度流程方面，基本建立了自上而下的多层级数据安全管理制度体系，通过一级数据安全管理制度明确原则要求，再通过二级、三级等管理规范的逐级细化，形成可落地的实施细则。技术工具方面，围绕数据全生命周期，在数据脱敏、监控预警、安全审计等方面构建了覆盖事前预防、事中监控、事后审计的全流程技术能力底座。人员能力方面，通过建立企业内部数据安全学习专栏，学习国家、行业、企业发布的相关管理要求和工作规程，提高全员数据安全认知水平和建设水平。

2. 一站式解决方案成为数据安全主流服务形态

数据存在于业务中，离业务越近才越能解决客户的问题。在数据安全市场中，仅通过把相关产品和平台部署在需求方网络内的交付过程已不能满足当前数据安全建设需求，深入业务场景和数据视图是必经之路。因此，相较于提供单一技术产品，融合了“技术”与“服务”的整体解决方案已成为供应商角逐的新领域，这也体现了数据安全需求方企业开始布局体系化数据安全建设的发展重心。

目前，供应侧数据安全解决方案主要有以下三种服务方式：

一是提供行业化的数据安全治理建设解决方案。主要针对特定行业的某一项或某些项具体数据安全需求，输出体系化的整体建设方案。例如，电信行业数据安全解决方案通过交付数据资产梳理服务，部署脱敏、防泄漏、审计等工具帮助运营商企业建设数据安全治理体系。

二是提供场景化的数据安全解决方案。这种服务方式的关键在于对通用场景的提炼，目前常见的场景划分方式分为基于数据全生命周期（如数据使用、数据共享场景等）和基于业务运行环境（如办公、生产、研发、云场景等）两种划分方式。比如数据安全合规解决方案，一方面通过实施风险评估服务、梳理管控点、明确管控措施等手段，对管理制度体系进行补充完善；另一方面通过部署监控审计等技术工具，对各项管控措施进行落地实践。

三是提供“行业+场景”的数据安全解决方案。这种服务将建设思路聚焦在某个具体的行业业务应用中，有助于需求侧快速解决重要业务场景面临的数据安全问题。比如金融行业数据分类分级解决方案，聚焦金融行业数据分类分级相关标准规范，梳理识别规则，编制分类分级模板，通过数据自动发现和动态运营技术实现企业全域数据的分类分级和安全管控工作。

3. 数据分类分级成为全行业关注焦点

数据分类分级方法论逐渐形成共识。数据分类分级作为《数据安全法》明确提到的概念之一，引起地方、行业、企业的研究探讨，并逐渐形成从建立组织保障到落实对应级别数据安全管控策略的“七步走”方法论共识，如图6所示。通过建立一个包含高层领导的数据分类分级组织架构推动各业务的数据资源及业务数据流向梳理工作，进而完成分类和定级，并最终根据级别定义完成数据安全策略制定。

来源：中国信息通信研究院

图6 数据分类分级“七步走”方法论图示

数据分类分级工作在各领域逐渐细化。为指导数据分类分级工作的推进落实，各行业、各领域纷纷制定相关标准规范，通过明确分类分级工作的原则、方法、定义，并在此基础上给出部分分类分级示例，进一步细化国家关于数据分类分级工作的要求，推动该项工作在不同行业企业及组织机构的落地实施。表7展示了近几年关于数据分类分级相关规范的编制情况。

表 7 近几年数据分类分级相关规范

来源：中国信息通信研究院

数据分类分级工具及服务蓬勃发展。数据分类分级作为一项长期工程，自动化及智能化的“工具+服务”发展模式已成定局。一方面由于企业数量大，仅靠人工方式导致投入产出比低，需要借助自动化工具降本增效。另一方面由于业务场景将不间断地采集并衍生新数据，需要借助智能化技术提高识别率和准确率，以适应数据分类分级的常态化和持续化工作方向。同时，数据分类分级的顺利开展需要参与团队具备数据治理、数据安全、数据合规等领域的综合知识体系，对人员能力的要求较高，因此相较于采购单一工具产品，企业针对数据分类分级专业服务的采购需求也在持续发酵。

（三）数据安全面临的主要挑战与发展趋势

随着数据安全与合规要求的逐步完善，数据安全建设动力逐渐加强，虽然各行业企业在建设方案以及分类分级等焦点问题的推进方面取得了相应进展，但在管理和技术方面仍面临相应挑战：一是数据安全责任体系构建尚不成熟。数据在实时产生及流动过程中涉及的主体很多，导致数据安全的主体责任边界模糊，难以清楚划分，容易影响数据安全建设工作的整体推进。二是数据安全管理与技术易脱钩。当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面，对数据业务的下沉指导不充分，导致具体业务场景下的技术落地仍然缺乏实践指引，容易与管理要求脱节。三是数据安全产品与服务优势能力构建有待突破。随着新技术新业务的不断发展，传统网络安全防护思路与措施已无法满足当下的数据安全防护需求，供给侧数据安全技术产品与服务的突破创新成为竞争关键点。

未来，数据安全领域呈现以下三点趋势。

一是由监管单一驱动转向监管与内生的双驱动。由中国信通院数据安全推进计划发布的《2021年数据安全行业调研报告》显示，97.0%的受访企业认为“合规需求”是开展数据安全能力建设的主要原因之一。由此可以看出，监管驱动对企业数据安全建设具有强推进作用。然而随着数字经济的迅猛发展，数据驱动的业务创新成为各行业企业的重要营收来源，保障数据安全在推动业务健康运营方面的重要作用愈加明显，企业数据安全建设的驱动力也逐渐由合规监管的单一驱动转向合规与发展的双重驱动。

二是数据安全左移逐渐成为建设核心思路。伴随着数字化转型的深入，数据资源的爆发可以预见，数据安全的管控范围和管控深度也因此扩大，为了提高数据安全工作效率，降低数据安全事件发生概率，需要在数据安全的风险源头进行及时管控与处置，这就要求企业必须把数据安全能力从运维环节前置、左移到设计、编码阶段。管理层面，需要提升各项安全管理要求在企业内的技术落地能力，部分互联网企业已经建立了较为完善的从管理到技术的映射能力。技术层面，聚焦于智能化在数据安全领域的应用，需要加强其对数据识别、风险识别等多项数据安全技术的赋能，提高数据安全监控分析的准确率，进而持续推动数据安全工作左移。

三是数据安全风险治理能力将成为下一步建设重点。由于数据本身具备流动性、泛在性等特点，导致数据在不同的网络区域、业务场景、应用系统中流转时，有可能被具有不同角色、权限的用户采取不同的处理方式访问使用。过长的流转链条、过大的威胁暴露面、过多的数据处理活动，导致数据安全风险的触发源和不可控性显著增加。据IBM发布的《2022年数据泄露成本报告》显示，2022年全球数据泄露平均成本高达435万美元，创下该年度报告发布17年以来的最高纪录。为了进一步防范数据泄露、数据篡改等安全事件的发生，落实数据安全风险的源头管控，将常态化数据安全风险评估提上日程，提升数据安全风险治理能力也成为企业的关注重点。