5年政策梳理：数据安全的监管与建设路径.pdf

0 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 研究机构 报告主编 于百程 执笔团队 于百程 朱梅胤 5 年政策梳理：数据安全的监管与建设路径 202 1 添加小 壹微 信， 加入 行业 群 每日获 取更 多深 度报 告数据作为数字经 济时代 最核心、最具价 值的生 产要素， 正在加速成为全 球经济 增长的新动力、 新引擎 ，可以说 数据正逐渐成为 21 世纪的石油。 数据安全问题已 成为当 下基础的安全问 题，数 据安全治 理也逐渐被提升到国家安全治理的战略高度。 据不完全统计，近 5 年来国家、地方省市以及各行业监 管部门关于数据安全、 网络安全已至少颁布 52 部相关法 律法规。 我国在数据安全 的治理 ，除了已出台的 法规政 策，以及 监管机制的不断 完善， 数据安全产业生 态建设 也正在稳 步推进。 在大国博弈持续 加剧的 今天，数据作为 国家重 要的生产 要素和战略资源 ，其日 益频繁的跨境流 动带来 了潜在的 国家安全隐患。 摘要 bstr act1 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 编者 按 滴滴上市以及引发的一系列监管事件，映射着近年来国内互联网平台存在数据安全 漏洞、滥用数据等乱象。数字技术促使数据应用场景和参与主体日益多样化，数据安 全的外延不断扩展，数据安全治理面临多重棘手 困境。 结合当下备受瞩目的数据安全问题，零壹智库将完整梳理中国数据安全的现状、监 管政策及趋势，并对数据安全问题相关的一些关键产业和技术领域，包括网络安全、 隐私计算、征信等领域进行发展脉络、对策和机遇解读。2 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 近年来，信息科技革命极大地改变了全球各经济体的发展。新一代信息技术不断涌 现，正影响着各行各业变革和人们的日常生活。在信息技术支撑下，数字经济驱动着 全球各经济体的经济总量不断增长。 数据作为数字经济时代最核心、最具价值的生产要素，正在加速成为全球经济增长 的新动力、新引擎，可以说数据正逐渐成为 21 世纪的石油。 5G 、人工智能、云计算、区块链等 ICT 新技术、新模式、新应用无一不是以海 量数 据为基础，数据量也正呈爆发式增长态势。据 IDC 预测，2025 年全球数据量将高 175ZB 。其中，中国数据量增速最为迅猛，预计 2025 年将增至48.6ZB ，占全球数据圈 的27.8 ，平均每年的增长速度比全球快 3 ,中国将成为全球最大的数据圈 。随着数 据量呈指数级增长，数据的重要性也日益增加，数据安全的问题近年来也逐渐被重 视。 “数字化时代意味着一切皆可编程，万物均要互联。整个世界将架构在软件之上， 有互联网软件的地方就会存在漏洞，网络基础设施将更加复杂、攻击面将无限扩大。 未来的网络安全攻击将呈现高级化、大型化特点，所有的金融战、科技战归根结底都 是网络战，没有网络安全就没有国家安全。 ”这是 360 集团创始人、董事长兼 CEO 周 鸿祎日前 对于数据安全与网络安全的看法。 另一方面，在全球合作日益密切的背景下，数据安全对于提升保护数据、促进数字 经济发展、维护国家安全都有着至关重要的作用。 一、 中 国对于数据安全的 监管与政策梳理 数据安全问题 已成为当下基础的安全问题，数据安全治理也逐渐被提升到国家安全 治理的战略高度。近年来，国家多次发布相关法规法案，将保障数据安全放到了重点 突出的位置。据不完全统计，近 5 年来国家、地方省市以及各行业监管部门关于数据 安全、网络安全已至少颁布 52 部相关法律法规。 从国家治理层面来看，2015 年颁布的国家安全法 将数据安全纳入国家安全的 范畴。2016 年发布，于 2017 年正式实施的网络安全法引入了网络数据的概念。 2020 年6 月，12 部委联合发布网络安全审查办法 ，推动建立国家网络安全审查 工作机制 ，以确保关键信息 基础设施供应链安全，维护国家安全。而国家此次对滴滴 出行等平台的网络安全审查，正是我国网络安全法 网络安全审查办法生效之后 首次公开进行的网络安全审查程序。3 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 2020 年8 月， 数据安全法（草案） 公开发布，从法律层面清晰定义了数据活 动、数据安全，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安 全保护义务承担社会责任等，明确了在我国境内依法开展数据活动。 数据安全法 将 于2021 年9 月1 日正式实施 ，其将是数据要素国家战略的基本法，强调了数据安全是 数字中国重要战略举措的根本保障，体现了国家对保障数 字经济安全的决心与信心。 目前我国已出台网络安全法 、 民法典 、 数据安全法（草案） 和个人 信息保护法（草案） 四部数据安全保护基本法律框架，而围绕基本法制定的配套法规 制度与相关国家规定也在加快制定出台，包括数据跨境流动、个人信息保护、新技术 新应用数据安全等多个方面，部分具体法律法规情况如下。 表1 国家已出台的部分 数 据安全法律法规 资 料来源： 零壹智 库、数 据安全 治理白皮 书 2016 2020 2020 2021 2020 2019 2019 2019 2020 2021 2020 2020 20214 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 从地方政策的层面来看，吉林省、贵州省、海南省、广东省、天津市等省市相继出 台数据相关地方法律法规，针对数据安全问题提出相应的规定。旨在探索数据开放共 享与数据安全保护之间的有效平衡手段，下表展示了我国部分地方省市对于数据安全 所采取的措施。 表2 我国地方省市部分 数 据安全法律法规 资 料来源： 零壹智 库、数 据安全 治理白皮 书 从行业层面来看，金融保险行业、电信和互联网行业、车联网行业、工业互联网行 业近年来对数据和数据安全问题都愈加重视，中国人民银行、中国银保监会、工信 部、科技部等各部门纷纷发布相应规定，旨在规范各行 各业中数据安全管理工作，提 高数据安全保护能力。为数据分类分级、管理能力评估、安全防护等相关工作提供了 政策指导。 2018 2018 2018 2019 2019 2020 2020 20205 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 表3 我国数据安全相关 部 分行业政策文件 资 料来源： 零壹智 库、数 据安全 治理白皮 书 总的来说，目前我国的数据安全相关的法律规定是基于国家安全法 、 网络安全 法以及民典法建立起的，并且各省市针对地方情况会出台地方相应法律，对目 前数据安全、数据跨境问题做积极探索。应对于数据应用的广泛性，各行业监管部门 各司其职，对行业内数据进行管理和保护。 根据所统计已知的 52 部法律法规颁布时间，近两年数据安全的监督管理被按下了 加速键，而后续法规的推出仍将持续发力。 2020 2020 2020 2021 2021 2021 2021 2020 2021 20216 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 表 4 近几年来有关数据 安 全法律法规颁布数量 （个 ） 数 据来源： 零壹智 库、数 据安全 治理白皮 书 2020 年之后，有关数据安全法律法规颁布数量大幅上涨，在全国各地，各行各业 都对其加倍重视。 到目前为止，我国数据安全监管机构机制已经初步确定，数据监管 从各部门分散监管向以中央网信部门统筹协调。数据安全联合执法机制也被逐渐建 立，尤其是近年来APP 违规问题各部门联合开展整治行动，解决目前 APP、平台经济、 互联网企业所存在的数据安全问题。 二、中 国目前数据安全方 面建设现状 从宏观层面来看，我国在数据安全的治理，除了已 出台的法规政策，以及监管机制 的不断完善，数据安全产业生态建设也正在稳步推进。 一是政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落 地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。以 专注数据安全的高新技术企业闪捷信息为例，其数据安全产品和解决方案已获取保密 局、国家信息中心、公安部等权威机构认证，在商密、涉密领域均有建树，目前已与 国内 1000 多家重要单位持续开展合作。 二是数据安全人才队伍正逐渐得到扩张。我国各部门组织针对数据安全问题，正通 过设立相关学科与研究院、设 立培训考核等方式，大力加强数据安全人才队伍建设。 例如，中国信息安全测评中心成立中国网络空间安全协会大数据安全人才培养基地， 0 5 10 15 20 25 2016 2017 2018 2019 2020 20217 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 并选拔国家级合作支撑单位，并开展的 CISP 数据安全治理、注册个人信息保护专业 人员（CISP-PIP）认证，共同推动国家互联网网络安全大数据人才体系建设。 三是国家正大力发展数据安全示范区。数据安全产业示范区的建立会使数据安全企 业与人才快速聚集，并能够对其他地区形成指导效应。2018 年，在国家认证认可监督 管理委员会的支持下，贵阳经济技术开发区创建了全国首个 “大数据安全认证示范 区”，截 止 2020 年，贵阳大数据安全示范区已聚集了大数据安全企业和相关机构约 120 家，初步形成大数据安全产业发展的生态体系，产业产值突破 18 亿元。 伴随着国家对数据安全的重视，和数据安全以及网络安全相关的企业这两年来也呈 现爆发式增长。企查查数据显示，我国现存数据相关企业共计 62.4 万家。从注册量 变化来看，2020 年新增 17.9 万家，同比增长 135.7%，是过去 10 年注册量的巅峰。 2021 年上半年新增 15.4 万家，同比增长2.1 倍。 各企业面对数据安全带来的挑战都有所建树，也同样存在进 步空间。第一，敏感数 据识别技术向智能化发展，企业探索部署数据安全防泄露工具。数据统计，我国各大 安全厂商积极研究数据防泄露技术手段，布局数据防泄露市场，2017 年我国数据泄露 防护市场规模达到7.8 亿元，同比增长25.3% ，2020 年超过14.7 亿元。第二，结构化 数据库事前、事中、事后全流程安全保障技术体系成熟，非结构化数据库安全防护手 段单一。第三，数据追踪溯源技术处于研究发展阶段，大规模应用实践尚未开展，目 前该技术正处在研究验证阶段，仅阿里、顺丰等部分企业探索应用，产业化应用尚不 成熟。第四，数据加密技术分场景细化发展，新型加密手段逐渐涌现。第五，数据脱 敏成为个人信息保护重点技术手段，企业正加强数据匿名化技术研究应用，例如阿里 巴巴的数据匿名化技术已获得较大进展。 “ 近年来，我国网络安全产业促进政策不断加码、产品体系逐步完善、生态建设持 续推进，为产业 发展提供了良好环境。 ”中国信通院副院长王志勤日前表示。 即便如此，产业和企业的发展还是跟不上网络安全防护的需求。数据显示，2019 年美国网络安全市场规模为 447 亿美元，我国同期网络安全产业规模只有 608 亿 元，仅是美国的五分之一，与我国 GDP 的体量不符。 三、 数 据安全的国际问题 实际上，数据安全问题绝非只在中国存在，而是全球共同面临的问题。各国政府逐 渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的 认知也已从传统的个人隐私保护上升到维护国家安全的高度。8 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 可以确定的是，数据 安全已经成为全球性问题。国外应对数据安全的政策持续得到 优化，主要体现在，一是加强数据安全顶层设计，如欧盟欧盟发布欧洲数据保护监 管局战略计划（2020-2024） ，旨在从前瞻性、行动性和协调性三方面继续加强数据安 全保护，保证个人隐私的基本权利；美国发布联邦数据战略与 2020 年行动计划 ， 确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。二是强 化数据及个人信息保护相关立法以及数据安全标准指南。 另一方面，国外数据安全保护机构设置也正不断完善，以提升执法效率，加强数据 安全保护治理。得益 于近几年的努力，各国推动企业数据安全保护的政策初见成效， 例如，Facebook 通过开源差分隐私库加强对人工智能训练样本隐私性的保护；苹果公 司通过模糊定位技术限制第三方 App 获取用户精确地理位置信息等。 国外对于数据安全的治理也正不断趋严，对大型互联网公司的数据监测、治理、执 法力度持续加大，如 2019 年Facebook 因为用户隐私问题被罚款 50 亿美元；法国、加 拿大等国家也纷纷对 Twitter、谷歌等企业开出高额罚单。这种对于滥用数据优势侵 害消费者隐私或进行非法数据贩卖的惩罚值得我们去借鉴。 随着数据安全 逐渐上升到国家层面，各国之间数据竞争也逐渐被重视。此次滴滴被 审查便存在国家层面数据泄露的可能，依据美国方面的法律，必须按照外国公司问 责法案 （Holding Foreign Companies Accountable Act ）呈交以审计底稿、亦或是 用户数据和城市地图为代表的部分数据，这些都是关乎国家数据主权的核心数据，可 能直接影响国家安全、公共利益和社会稳定。 在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，其日益频 繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政 府获取。二是我国战略动作易被预测，陷入政策被动，如美国大力推广的微观数据的 汇聚分析，若在掌握我国金融数据的前提之下，便能在国际金融博弈中取得先机。三 是我国以数据为驱动的新兴技术领域竞争优势被逐渐削弱，例如我国拥有全球领先的 人脸识别公司商汤科技，一旦其数据被他国获取，会大大削弱我国在这一领域的竞争 优势。 而某些国家尤其是美国目前正采取对中国的数据打压，将我国排除在全球数据安全 治理体系之外，并可能制定针对我国的数据安全审查规则，在数据安全领域形成对我 国的“包围圈” 。例如，2020 年美、印、澳等多国以数据安全为 由，联合对 TikTok 进行围剿，以安全调查结果违规为由，限制其使用发展。 根据Synergy Research Group 的数据显示，截至 2020 年，全球主要的 20 家云 和互联网服务公司运营的超大规模数据中心数量为 597 个，其中美国的数据中心数量9 5 年政 策梳理 ：数 据安全 的监 管与建 设路 径 远超其他国家，占比高达 40%，中国虽然位列第二但占比仅有 10% 。在信息时代，这 种压倒性的数据优势是极其恐怖的。中国不是 “数据中心国”，但也不能沦为 “数据 附属国 ”，我们需要全力捍卫数据主权，加强数据的安全和保护。 1 - 2 - 3 ! - 4 - 5 - 6