其他
数据安全深度报告:三个维度看数据安全的需求释放
1.1 数据井喷时代,风险敞口扩大
国际电信联盟将网络安全定义为用于保护网络环境、机构组织以及用户资产的政策、理念、技术等集合,主要提供保障网络可靠性、安全性的产品和服务。随着云计算、大数据、工业互联网等新兴技术的加速发展与应用,网络安全的内涵进一步丰富、边界进一步扩大,涉及到互联网、电信网、物联网、计算机系统、通信系统、工业控制系统等在内的所有系统相关的设备安全、数据安全、行为安全、内容安全等。数据安全指的是通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。与网络安全相比,数据安全更加具有针对性,数据在哪里,安全在哪里。
全球数据泄露事件频发,泄露损失进一步上升。近年针对数据的攻击、窃取、滥用等事件频频发生,对经济社会产生了巨大影响。2022 年包括英伟达、三星电子、Twitter 等公司相继发生数据泄露事件。其中,社交平台巨头 Twitter 在 22 年 7 月遭黑客攻击泄露了超过 540 多万用户数据,涉及邮件及电话号码等信息;今年 1 月,Twitter 用户数据再次发生泄露,有超过 2.35 亿个账号数据被泄露,涉及用户的名称、ID 等相关信息。
据 Flashpoint 数据显示,2022 年全球发生数据泄露事件 4,518 件,事件数量虽有所下降,但泄露的数据量仍处于高位,2022 年达到 226.2 亿条。从数据泄露的损失来看,据IBM 数据,2022 年全球数据泄露的平均损失进一步上升,达到 435 万美元。其中,数据泄露平均损失前五大行业分别为医疗、金融、制药、科技、能源等关键行业。
数据井喷时代来临,数据安全亟需重视。随着信息技术发展,通信基础设施不断完善,即时通信、长短视频、网络游戏等消费级应用的革命带来了 C 端数据流量的爆发,而各行各业的信息化建设也进一步积累了 B 端的应用数据。未来随着 5G 高速网络普及、万物互联场景实现,数据有望迎来井喷期。
据 Statista 预测,到 2025 年全球数据流量有望达到 181ZB,2021-2025 年复合增速为 23.03%。国内方面,预计到 2025 年数据量有望达到 48ZB(数据来源:易华录公告),2021-2025 年复合增速高达 64.22%,大幅高于全球的平均水平;同时,国内数据量占全球的比重也将从 2021 年的 8.35%大幅提升至 2025年的 26.52%。面对快速增长的数据量,数据风险敞口将进一步扩大,特别是大国博弈的背景下,数据安全亟需得到重视。
1.2 政策聚焦数据安全,合规要求进一步提升
随着数据在数字经济发展中的重要性不断凸显,以及近年数据风险事件的频频发生,全球主要国家进一步加大了对于数据的重视程度,通过立法建立较为完善的数据保护、数据安全的框架,企业数据安全合规要求进一步提升,有望带来数据安全产品需求的增加。
具体来看,欧盟在 2018 年发布了史上最为严格的数据管理法规《通用数据保护条例》(GDPR),该条例赋予了数据主体更多的权利,包括被遗忘权、可携带权等,同时进一步拓展了用户数据的保护范围,除了姓名、证件号码、地址等常规数据外,还将种族、宗教信仰等数据纳入保护范围。此外,GDPR 进一步加大对于数据处理者的合规力度,要求企业对数据的安全性、可用性、保密性和完整性负责,只要企业有收集、存储、处理欧盟境内相关数据的行为,均受到 GDPR 的约束。在处罚方面,GDPR 对于有严重违规行为的企业,最高可处以全球收入的 4%或 2000 万欧元的罚款(以较高者为准),企业的数据合规成本进一步上升。据 DLA Piper 数据,2022 年欧洲数据监管机构针对 GDPR 违规的罚款已经超过 29 亿欧元,同比大幅增长 2 倍。TikTok将面临两项GDPR相关调查
美国方面,2022 年 6 月参众两院发布了《数据隐私和保护法》(ADPPA)草案美国《数据隐私和保护法》草案全文—首个获得两党、两院支持的美国联邦全面隐私提案,是获得两党两院支持的美国联邦全面隐私保护提案。相较于以往州级立法定义的敏感数据往往侧重于监控和人口统计信息等,此次法案进一步扩大敏感数据的定义,将收入水平、语音邮件、文字消息、与 17 岁以下儿童的有关数据纳入到敏感数据范围。同时,法案对大数据持有者设置了个人信息保护的额外义务,进一步强化其告知义务,包括提供隐私影响评估、算法影响评估等内容。
我国在 2021 年相继发布《数据安全法》国家标准支撑《数据安全法》落地实施一周年、《个人信息保护法》亮点“十”足!一图读懂《个人信息保护法》等顶层设计加大对于数据安全的保护力度,为数据和个人信息保护提供了重要法律依据。在数据安全保护方面,《数据安全法》提出要对数据实行分类分级保护制度;开展数据处理活动的相关方应当采取相应的技术措施保障数据安全,要加强风险监测,定期开展风险评估等内容。《个人信息保护法》提出不得过度收集个人信息,个人信息处理者应当保障所处理的个人信息的安全。在法律责任方面,《数据安全法》、《个人信息保护法》加大对于违法活动的追究力度,其中《个人信息保护法》指出对于情节严重的违法行为,可以处五千万元以下或者上一年度营业额百分之五以下罚款。
1.3 数据要素市场加快发展,带动数据安全需求释放
数字经济成为经济发展主要驱动力。随着信息技术的发展,数字经济成为继农业经济、工业经济后的主要经济发展形态,全球主要国家积极抢占数字经济发展的制高点,2021年全球 47 个主要国家的数字经济规模达到 38.1 万亿美元。其中,我国 2021 年数字经济规模为 45.5 万亿元,2017-2021 年复合增速 13.73%,数字经济占 GDP 的比重从 17 年的 32.69%提升至 21 年的 39.59%,逐渐成为我国经济发展的主要驱动力。据信通院预测,到 2025 年,我国数字经济市场规模有望突破 60 万亿元。
数据要素是数字经济发展的关键。数据作为新型的生产要素,在经过采集、存储、加工、流通、分析环节后具备了使用价值,权属清晰后即可作为数据资产进入数据要素市场流通。统计局发布的《数字经济及其核心产业统计分类》中对数字经济进行了明确定义,指出数字经济是以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。可以看出数据要素作为数字经济的关键生产要素,其重要性不言而言。据《中国数据要素市场发展报告(2021-2022)》,近年数据要素对我国 GDP 的贡献率持续提升,2021 年达到 14.7%。
从供需角度来看,数据需求方需求旺盛,数据供方价值有望重塑。对于数据需求方来说,丰富的数据要素资源能够进一步赋能自身的生产经营、业务发展,如银行在对企业客户信贷需求进行评估时,除了关注企业自身提供的经营数据外,也可以通过企业注册、判决、用电等外部数据进行分析辅助决策。
对于数据供给方来说,数据资产入表政策出台,数据供方价值有望重塑。2022 年 12 月,财政部发布《企业数据资源相关会计处理暂行规定(征求意见稿)》,提出对于企业内部使用的数据资源,可确认为无形资产;对于企业对外交易的数据资源,可确认为存货。过去数据要素的价值并未充分反映在报表上,此次数据资产入表政策的出台,通过建立数据资源相关会计处理准则,有助于全面反映数据资产的价值,数据持有方价值有望得到重估。
从政策角度来看,近年政策支持加快数据要素市场化建设。2019 年 10 月,十九届四中全会首次明确将数据纳入生产要素,数据要素的重要性进一步凸显。随着最高层对数据要素的定调落地后,国家陆续出台推进数据要素市场发展的基础制度文件。地方性政府层面,今年烟台、武汉等地陆续出台推动数据要素市场发展的相关行动计划。
此外,今年出台的《党和国家机构改革方案》提出要组建国家数据局,专门负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。此次国家数据局的组建将有助于进一步发挥中央集中统筹数据要素发展、打通全国数据壁垒的作用。
数据安全作为数据要素产业链核心环节有望充分受益。无论是从供需角度,或是政策角度,数据要素市场化建设有望加快发展,据国家工信安全发展研究中心预测,到 2025年我国数据要素市场规模有望达到 1749 亿元,2022-2025 年复合增速达 28.99%。数据安全作为数据要素产业链核心环节,亦有望充分受益。
2.数据安全贯穿数据全生命周期管理,行业领军企业产品矩阵丰富
今年 1 月,工信部等十六部门下发《促进数据安全产业发展的指导意见》九问+一图,读懂《关于促进数据安全产业发展的指导意见》,对数据安全产业的市场规模提出了明确目标,指出到 2025 年,我国数据安全产业规模超过 1500 亿元,年复合增长率超过 30%。数据安全贯穿数据全生命周期管理,涉及从数据的采集、传输、存储到数据处理、交换、销毁等众多环节,每个环节都涉及相应技术和产品,行业增量空间巨大,关注 DLP、数据脱敏、隐私计算等技术产品。
数据泄露防护(DLP):防止敏感数据泄露。DLP 是指通过一定的技术手段,通过数据识别技术以及设定的安全策略,对存储和使用过程中的敏感信息进行发现、监测和保护,防止敏感数据违反安全策略流出。根据应用场景不同,DLP 可分别终端 DLP、网络 DLP、邮件 DLP、应用 DLP 以及发现 DLP 等。其中,天融信的终端 DLP 在终端主机安装后,能够捕获终端存储的敏感数据,监控文件外发、文件拷贝等多种操作,并对违规的行为进行警告、阻断、追溯等操作,进一步降低数据泄露的风险。据 IDC 数据,2021 年我国数据防泄漏市场规模为 1.25 亿美元,同比大幅增长 39.2%。从行业格局来看,行业头部企业如天空卫士、亿赛通、明朝万达,均出身于数据安全领域,2021 年市场份额分别为23.1%、16.3%和 11.2%;天融信市场份额排第四,为 8.4%。
数据脱敏:对敏感数据进行变形。数据脱敏技术是指通过数据变形方式对敏感数据进行处理,既能够降低敏感数据泄露的风险,又能够保持敏感数据原本的特征,仍然能够用于数据的分析和价值的挖掘。根据不同的业务场景,可以选用不同的脱敏策略,常见的规则包括加密、掩码、替换、模糊等。从技术分类来看,主要分为静态数据脱敏和动态数据脱敏两类。其中,静态脱敏是指按照预先制定好的脱敏规则,对敏感数据进行一次性脱敏处理,脱敏后的数据能够随意取用和读写;动态脱敏则是在访问敏感数据的同时进行脱敏处理,可针对人员、权限、客户端、主机、时间等不同维度配置脱敏策略。据Gartner 数据,2017 年使用数据脱敏技术的企业占比约为 15%,预计到 2022 年达到 50%。行业竞争格局方面,仅安华金和一家中国公司入选 Gartner 2020 年发布的数据脱敏领域代表厂商。
隐私计算:实现“数据的可用不可见”。隐私计算是指利用密码学、人工智能、数据科学等多个领域的科学体系,在保证数据本身不对外泄露的前提下实现数据分析计算的技术集合,具有“原始数据不出域、数据可用不可见”的特征,够在充分保护数据和隐私安全的前提下,实现数据价值的转化和释放。从技术分类看,隐私计算主要分为联邦学习、多方安全计算、可信执行环境。其中,联邦学习是指参与方对本地数据进行训练后将更新的参数发往服务器进行聚合,得到总体参数的学习方法,在实现数据聚合的同时也保证了本地数据的隐私。多方安全计算是指多个参与方进行协同计算并输出计算结果的同时,使得各个参与方除了计算结果之外无法获取任何其他信息。可信执行环境是指在本地建立可信执行环境,在该环境下对数据进行处理。其中星环科技推出的隐私计算平台 Sophon P²C,能够支持不同场景的隐私计算需求,包括联邦学习、多方安全计算、基于差分隐私的数据发布、匿踪查询等,为多方数据安全协作提供完整的平台底座。据艾瑞咨询预测,到 2025 年我国隐私计算市场规模约为 145.1 亿元,2021-2025 年复合增速 133.27%。
行业领军企业产品矩阵丰富,产品收入高速增长。综合型网络安全厂商由于普遍具有较强的技术背景、资金实力,布局数据安全领域有一定的先发优势,大部分在隐私计算、数据脱敏、数据泄露防护、数据库审计、防火墙、数据分类分级等领域有所布局,产品矩阵较为丰富,有望形成强者恒强的态势。随着行业需求释放,部分公司数据安全产品的收入也进入到高速增长阶段。其中,2022年,电科网安数据安全业务收入同比大幅增长 135%;奇安信数据安全产品收入同比增长55%以上;启明星辰数据安全 2.0&3.0 业务同比增长 41%,呈现快速增长的态势。
来源:大信创圈
END
往期推荐01如何应对AI 大模型双刃剑?大模型安全与隐私白皮书发布!02突发!31家中国公司被美列入“实体清单”03微软向美国政府机构开放GPT-4大模型,含国防部、NASA等!