深度分析：从网络安全监管看数据安全监管.docx

1、深度分析：从“网络平安“监管看”数据平安“监管2021年针对数据平安的相关法律法规频频出台或征求意见，标志着数据平安监管进入了新 的开展时期，数据平安将与网络平安成为并驾齐驱的两大监管领域。 一■目景 网络平安，在《国家网络空间平安战略》中是网络空间平安的简称，也被称为广义的 网络平安，包含了物理平安、系统平安、网络平安（狭义）、数据平安等多个层面的安 全，形成网络空间平安。而在市场上往往将计算机网络的平安称为网络平安，也就是狭义 的网络平安。在本文中所提及的网络平安，特指代狭义的网络平安。2017年实施的《中 华人民共和国网络平安法》（简称：网安法）、等保要求是广义的网络平安，网安法中对

2、 网络平安（狭义）、数据平安等整个网络平安空间做了全面的约束。而网安法、等保对网 络平安（狭义的网络平安）的监管可以说极具代表性。等保作为网安法的一项平安责任要 求，由公安部作为主要监管，在等保的推动下，合规性要求成为驱动网络平安市场的主要 动力。尤其是等保2.0的正式实施，标志着我国网络平安行业正式进入强监管时代。对于 企事业单位来讲，履行等保要求是网络运营者的重要合规环节。与此同时，2016年护网 启动，继续催生一批以实战攻防为主的网络平安公司。从等保1.0、等保2.0、护网等网络 平安领域的一系列举措，受网络平安监管的推动，网络平安市场获得了稳定、飞速的发 展。 在网络平安市场快节奏开

3、展的时期，数据平安市场的开展那么相对较慢，这与数据平安 市场需求特点以及监管的影响力度具有密不可分的关系。 二、共性与差异分析 从需求上来看，数据平安需求和网络平安需求有诸多相似之处：基本上分成了原生性 平安需求和合规性平安需求。原生性的平安需求是组织方发生过平安问题或者组织方明确 意识到自身的平安问题，期望通过管理、技术工具等措施解决问题。合规性的平安需求是 由国家、地方的监管机构所监督的，要求组织方应实施的平安建设。不管是网络平安还是 数据平安，合规性需求依然占据绝大多数的需求比例。因不合规而导致的数据平安事件给 企业带来的本钱损失，是影响企业开展的重要因素。2021年7月，IBM发布

4、了《2021年 数据泄露本钱报告》，报告指出每次数据泄露事件平均为公司带来424万美元的损失，这也 是17年来的最高值。在高昂的数据泄露本钱中，严重违规（导致罚款、处分、诉讼等） 的组织的数据泄露本钱为565万美元，比不存在违规问题的组织高出230万美元，如图1 所示。 $600 SS00 3335 U00 S3 00 $2 00 S1.00 $000图1合规失败的数据泄露平均本钱（来自IBM《2021年数据泄露本钱报告》） 在合规性对企业开展的显著影响下，企业方对监管驱动的合规初步形成共识。2021 年12月，信通院发布了《2021年数据平安行业调研报告》，报告中指出，97

5、02%的组59.1% 保障业务 运营 59.1% 保障业务 运营 企业自身 开展需要 54.2% 」获取资源 59.1% 防越风睑 事件发生 织表示监管驱动是企业开展数据平安能力建设的主要动力，如图2所示。 ・合规需求保障业务运营 • 防范风险事件发生企业自身开展需要 • 获取资源•承当社会责任 图2数据平安需求方需求来源情况（来自中国信息通信研究院《2021年数据平安行业调研报告》） 如上所述，合规性需求的释放，依赖于监管的力度。监管力度越强，合规性需求的释 放就越大，相应的市场就越大，这在网络平安市场得到了很好的验证。在过去的历史时 期，数据平安的监管，相比

6、网络平安的监管，在监管力度方面稍弱:从法律法规层面，在定 义平安的相关法律法规或国家标准、行业标准中，数据平安、网络平安相关的监管都是作 为网络空间平安的一个子领域进行阐述，从时间线分析，数据平安监管的开展时间线实际 与网络平安监管是同步的，但从法律法规监管所产生的影响范围、影响力度来看，数据安 全监管对数据平安领域所产生的影响相比网络平安监管对网络平安的影响来讲，相对弱势，这对同样以合规性需求作为支撑的数据平安市场来讲，其对市场的促进作用也相对有 限。 2021年，数据平安领域迎来了两部重要的法律：《中华人民共和国数据平安法》 （简称：数安法）和《中华人民共和国个人信息保护法》（简称：个

7、保法），这可以说是 数据平安监管的重要信号。数据平安的监管并非从2021年开始，而是可以追溯到《国家 平安法》、《民法典》的立法以及2017年实施的《中华人民共和国网络平安法》（简 称：网安法）。2021年紧随两部重要法律其后，《关键信息基础设施平安保护条例》颁 布实施，国家互联网信息办公室起草了《网络数据平安管理条例（征求意见稿）》、《数 据出境平安评估方法（征求意见稿）》，并公开征求意见；工信部起草了《工业和信息化 领域数据平安管理方法（试行）（征求意见稿）》、《工业和信息化领域数据平安风险信 息报送与共享工作指引（试行）（征求意见稿）》，并公开征求意见。2021年针对数据 平安的相关法律

8、法规频频出台或征求意见，标志着数据平安监管进入了新的开展时期，数 据平安将与网络平安成为并驾齐驱的两大监管领域。 三、数据平安的特点分析 显然的，网络平安监管在过去几年对整个网络产业生态产生了重大的影响，同时也深 刻的影响了网络经营者的平安意识及网络平安体系建设的积极性。当数据平安监管发出了 强信号，其未来对数据平安产业生态、数据相关运营者的影响不言而喻。对整个数据平安 生态来讲，数据平安监管既是机遇，但合规性在数据平安层面的落地实施也面临不少挑 战，主要表现为四个方面： 1）组织不了解监管需求。数据平安监管的开展历史不长，以前并未受到重视，相当比例 的组织不了解数据平安监管。这也要求针

9、对各项法律法规及监管政策的细化解读和行业指 导亟需推进，各相关监管部门在条例方法、国家标准、行业标准等方面需要加快出台，帮 助组织落地合规性需求。 2）数据平安技术有待进一步成熟和完善。数据平安技术分类精细，要获得成熟的落地实 践能力，技术难度高。不少技术领域仍处于萌芽期，需要科研、资金的投入和支撑。尤其 是随着信息化、数字化、智能化的阶段性开展目标，商业数据、政务数据、个人信息等等 不同的数据平安对技术的要求不同，数据平安技术需要投入更大的科研力量进行科研攻 关，并完成技术成果的转化，才能有助于合规性需求的实施。 3）数据平安人才缺口严重。一方面是合规性需求下，数据平安需求方需要更多的数

10、据安 全人才进行数据平安建设；一方面是数据平安技术的难度特点，对从事数据平安相关领域 的人员提出了更高的要求，相应的数据平安相关的产品、服务等相关供应商需要更多技术 型专家人才的投入。 4 ）维护数据主权的国际挑战。数据作为等同于"石油"一样的高价值资源，历来是国际 上争相获得的焦点。国际上的法律法规对数据主权的争取，需要我们具备对应的数据主权 的法律法规，在数据权利方面进行博弈，维护国家、人民的平安。2021年实施的法律法 规以及正处于征求意见稿阶段的条例、方法，都是保障数据主权的有力支撑。未来国际形 势必然存在多变性，这也要求我们必须与时俱进，从法律法规层面、组织管理层面、合规 落地层面

11、等多角度落实数据主权的维护。 截止目前，数据平安的监管有既有国家层面的横向监管如网信、工信、公安的监管， 也有垂直方向上行业的监管，比方水利、广电、交通等行业提出了具体的数据平安监管思 路。这些监管的力度较大，有些监管甚至与组织的考核建立了强关联，这也预示着未来数 据平安强监管对组织的影响力度会越来越强，监管要求越来越细，这也将在很大程度上有 助于数据平安需求方更加明确数据平安监管的具体要求，并执行数据平安合规性的落地实 施。与此同时，国家标准作为合规性的配套因素，在近两年也有了较大规模的研制，对帮 助数据平安产品、服务的供应方提供合规性的产品、服务，对帮助数据平安需求方更好地 落实数据平安监管的要求均具有重要的推动作用。与数据平安监管相关的条例、方法，在 未来仍会不断加强和细化，与数据平安合规性相配套的国家标准、行业标准在法律法规的 指引下也将陆续发布实施。受多方数据平安监管的影响，由数据平安监管所产生的影响可 比等保对网络平安的影响更大，数据平安需求方的合规性需求将形成主动的需求方市场， 这将促进合规性诉求在数据平安市场的释放，对数据平安市场的规模、开展速度将产生显 著的推动作用，这也将促进数据平安行业在合规监管方面的蓬勃开展，由此也会给整个数 据平安生态带来积极的重大影响。