《数据安全法》一周年：产业促进明显 落地仍需细则

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》，包括总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则七章计55条，自2021年9月1日起施行。

《数据安全法》的正式施行，代表着数据安全步入法治化轨道，在其正式施行一周年之际，安全419采访了部分安全厂商，以此方式观察这一年来多方的变化情况。

网络安全上市企业安恒信息认为，《数据安全法》将数据安全上升至法律层面，为网安产业带来新机遇。施行一年以来，该法驱动政企单位不断增加在数据安全防御体系上的投资，从而促进网安行业在数据安全领域的技术研究、产品创新，尤其在零信任、数据分类分级、脱敏、行为分析（UEBA）等领域的技术突破，促进了整个产业的良性发展。

从自身角度观察，以安恒信息为例，他们已将数据安全作为公司核心战略，聚焦于身份安全、数据流通、数据保护、咨询规划四个方向，打造了面向全场景、全链路、全生命周期的安恒数盾数据安全解决方案，为更多的政企数据进行安全赋能。

数据安全厂商数安行指出，《数据安全法》施行一年以来，包括各个部委出台了一系列的条例和试点，以及国家对于《数据安全法》相关解读不断深入，全民对于数据安全的认知和重视程度得到了显著提升。对于网安产业而言，该法推动了政企单位的数据安全项目建设的侧重增加，但其仍处于早期发展阶段，未来数据安全这一赛道，都将是网络安全领域主要的增长点。

数据安全厂商美创科技认为，传统的网络安全的对象主要是以系统为单位，缺乏对数据的体系化应防护保障手段，无法应对“百年未有之大变局”，《数据安全法》的施行，为整个网络安全市场创造了巨大的发展空间，吸引了众多数据运营的企业积极主动向市场提供数据安全技术能力，数据安全的服务以及数据安全相关人才。

从宏观角度上他们分享指出，《数据安全法》是第一次国家从法律层面系统化的进一步完善数据安全要求，首次将数据安全与大数据的关系提到了国家法律层面进行从形式到实体的调整。随着数字经济的发展，数据迅速地从信息处理过程中的副产品蜕变成了一种关键的生产要素，《数据安全法》的出台是应对国内十四五规划中数字化改革发展各种数据相关的问题亟待解决的一种安全底线的保障。

安恒信息指出，将数据安全作为企业信息化核心组成的客户越来越多，客户越来越具备数据安全意识，以至于有很多客户会主动探讨“怎样利用数据安全技术更好地开展自身业务？”且与之前相比最大的区别在于，以往客户认为网络安全是保障、辅助作用，如今绝大部分客户已经意识到数据安全是赋能，是企业信息化、数字化业务开展的必备条件。

数安行认为，《数据安全法》对于客户的影响非常明显，之前，客户做数据安全建设常见的是出于一些合规需求，比如买一些设备，但用不用、怎么用，以及设备的运行状况怎么样，是要打个问号的。《数据安全法》施行以来，国家从数据治理、数据安全角度，对政企单位提出了深层次要求，以该维度来观察，客户的数据安全建设上已经从基本的合规，上升到了从数据本体层面深层次合规和解决原生问题高度。

在数安行看来，另外一层变化是客户更加关注时效性与平衡性。“客户正在摒弃几万几十万的硬件‘盒子’设备，数据安全建设已经过渡到了具备多样化思路，从不同维度去探索怎样才能真正地让企业构建出一套完整的、有效的，且成本可控的，处于可运行、可执行状态下的数据安全运行平台和管理体系。”

美创科技指出，不同的企业对于《数据安全法》感知程度其实也存在较大差异性，对于政府、金融、医疗等数据价值较高的行业，用户对于数据安全的要求不再仅仅停留在传统静态防护，而是围绕着数据的全生命周期进行体系化的安全建设。对于其他大多数客户目前针对数据安全仍停留在观望阶段，没有体系化的认知，仅仅是从合规角度进行有限的数据安全建设。

数安行认为，《数据安全法》实行一年时间以来，从整体而言对于行业的促进非常明显，除了个别行业除外，从全方位的项目建设来看，推动与演变的速度还有待提高。

他们还指出，《数据安全法》本身是一部上位法，它的一些实施需要进一步的细化到一些条例和细则，一些解释性的条款中去。“对于数据运营单位来说，我怎么做才是合法的，有效的，这一点上还没有一个清晰的认知，这需要相关部委不断细分法律配套细则和解释，其落地才能更加顺利。”但从整体上来看，数据安全本身具备场景化、细粒度等特点，本身还会不断演变，所以在落实方面究竟怎么做，本身是需要一个迭代的过程。

美创科技从两个维度分析了不足之处，一方面由于数据类型的复杂性和应用场景的多样性，目前为止还没有行业通用的数据安全标准和模型，目前业界主推的DSMM模型缺乏落地性，导致企业进行数据安全建设时缺乏可操作性理论指导。

另一方面作为数据安全的起点的分类分级工作，目前已出台行业标准较少，导致各行各业缺乏顶层的落地指导，同时各厂商的分类分级工具，还需要大量的人工介入操作，缺乏自动化的分类分级能力。

最近中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋在接受媒体采访时也谈到了数据分类分级工作面临的难点问题，他也指出：“国家标准较为原则，不可能采取列举和分类方式进行穷尽，地方和行业亟须制定更明确和可操作性更强的标准规范。”

据安全419不完全统计，从整个网络安全产业角度观察，2021年全年共有34家数据安全企业受到了资本的青睐，以17.53%占比成为最受欢迎的网络安全细分赛道；在2022年上半年，仍在9家数据安全厂商拿到了融资，与工控安全并列，发展持续得到资本看好，数据安全产业发展势头不减。

从政企单位数据安全项目建设需求一侧来看，数据资产安全管控、数据安全治理、数据备份容灾体系项目建设需求不再是可选项，已经成为必选项。这既支撑了数据安全产业的良性发展，同时更对产业的创新科研提出要求，在此仅希望数据安全产业在未来能有更好的发展，为我国数字经济保驾护航。