作者简介:赵锐,诸子云上海会长、某跨国企业中国区副总裁、网安加社区特聘专家、专利发明人,历任多家金融机构、世界500强企业的安全负责人、安全专家。有20年科技风险、信息安全、数据安全、业务安全等领域的丰富经验,是多家机构的专家和顾问。
在数字化浪潮席卷全球的今天,数据已成为驱动经济社会发展的关键要素。然而,随着数据的海量增长与广泛应用,数据安全问题也日益凸显。
近二十年来,中国在数据安全领域取得了显著的进展,从初期的探索阶段逐步迈向成熟和完善。笔者也正好从事安全行业二十年,可以说是伴随着数据安全共同发展。
一、安全探索与法规建设(本世纪初)
2000年左右,随着互联网应用的普及,网络安全问题逐渐显现。为了应对网络安全威胁,中国政府开始重视信息安全工作,开始着手制定相关法律法规,以规范数据处理活动。
2004年,《中华人民共和国电子签名法》的颁布标志着中国在数据安全领域的法制建设迈出了重要一步。中国互联网信息中心(CNNIC)制定的多语种域名注册标准被国际互联网技术标准组织IETF发布为RFC3743。
2006年,中共中央办公厅和国务院办公厅发布《2006---2020年国家信息化发展战略》,强调信息安全的重要性。
2007年,《中华人民共和国政府信息公开条例》《信息安全等级保护管理办法》等一系列法规相继出台,为数据安全管理提供了法律依据。在此背景下,数据安全工作体制机制应运而生,主要关注的是传统信息系统的安全保障,重点在于保护国家重要信息系统和关键信息基础设施。
2008年,中国成为全球互联网用户最多的国家,信息安全问题凸显。奥运会期间的信息安全保障成为焦点。
2010年,国家计算机网络应急技术处理协调中心(英文简称CNCERT/CC)开始每年出具《中国互联网网络安全报告》。
标志性事件1:
颁布《中华人民共和国电子签名法》,在本法中"数据"出现51次,"安全"出现2次。在数据安全方面,当数据电文采用可靠的电子签名时,通过数据的完整性与真实性保障数据安全和防篡改,从而实现电子签名的法律效力。
标志性事件2:
颁布《中华人民共和国政府信息公开条例》,在保障政府信息公开透明的同时,重视数据安全。明确保护国家秘密、商业秘密、个人隐私,建立健全信息公开前的审查机制,保护第三方合法权益。
标志性事件3:
颁布《信息安全等级保护管理办法》,通过明确信息安全等级保护的定义与原则、划分信息系统的安全保护等级、规定数据安全保护措施以及明确监管与责任等措施,全面保障数据安全。同时,标志着我国信息安全法律体系的初步形成。
在这几年中,笔者为所在的企业建立了信息安全管理体系,作为试点通过了等保三级测评,作为大陆前两家通过支付卡行业数据安全标准评估(Payment Card Industry Data Security Standard,PCI DSS)的负责人,进一步学习并理解了数据安全,并将数据安全单独列出来,开展数据安全治理工作。
二、技术发展与行业规范(2011年------2020年)
进入21世纪第二个十年,随着云计算、大数据、物联网等技术的广泛应用,数据安全需求急剧增加。对应的数据安全技术也取得了进步。加密技术、身份认证技术、访问控制、人工智能、区块链等新技术被应用于数据安全领域,提升了数据保护的效率和准确性。
与此同时,国内一批优秀的数据安全企业逐渐崭露头角,它们在技术研发、产品创新和市场拓展等方面取得了显著成果。这些企业的崛起不仅推动了数据安全产业的发展,也为国家网络安全提供了有力支撑。随着数字化转型的加速,企业对数据安全产品和服务的投入稳步增加,市场规模不断扩大。
中国政府加大了对数据安全的投入和监管力度。2016年,《中华人民共和国网络安全法网络安全法》正式实施,明确了网络运营者的安全责任,规定了个人信息保护的基本原则和要求。
标志性事件1:
**2011年5月,成立国家互联网信息办公室(简称"网信办"),**标志着我国在互联网信息管理领域迈出了重要一步,体现了国家对互联网信息管理和监督工作的高度重视,在信息安全、数据安全领域有了行业主管部门。对于加强互联网信息管理和监督、推动互联网信息传播法制建设、促进互联网与各行业的融合发展等方面具有重要意义。
标志性事件2:
**2015年7月,颁布《中华人民共和国国家安全法》,**是我国第一次提出"维护国家网络空间主权",并提出"实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控"。为后续颁布一系列的网络安全、数据安全法律、法规作为指引和铺垫。
标志性事件3:
2016年11月,颁布《中华人民共和国网络安全法》,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,其中涉及了网络数据保护、个人信息保护、关键信息基础设施保护等内容,为数据安全领域奠定了法律基础。该法明确了网络运营者应当履行的数据安全保护义务,包括数据收集、使用、加工、传输、提供、公开等环节的安全保护要求,为数据安全监管提供了法律依据。
标志性事件4:
**出台GB/T 35273-2017《信息安全技术 个人信息安全规范》,**明确个人信息处理原则和安全要求,提升数据安全防护能力,促进数据合规使用,提升公众数据安全意识,与国际接轨,推动数据安全标准国际化。
在这十年中,笔者有幸负责某头部银行的新一代银行系统的整体安全,并按国家法律、法规、标准和业界最佳实际制定了数据安全路线,在任职的企业均开展数据安全治理取得了良好的成效。还通过业务安全量化网络安全、数据安全的成效,开创性地为所在企业计量出了安全的现金价值。
对于安全的投资不再是成本,而可以降低成本,还能业务共同产生收益,进一步深入业务开展安全工作,提升安全的话语权与地位,安全战略与业务战略一并制定。
三、成熟与创新(2021年至今)
全面成熟
近年来,中国数据安全领域进入全面成熟期,政策法规更加完善,技术体系更加成熟,市场需求更加多样化。同时,面对新的挑战,如数据泄露、勒索软件攻击等,中国数据安全产业不断创新,提升安全防护能力。
标志性事件:
● 多部重要法规的连续出台:《中华人民共和国数据安全法》《中华人民共和个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等法规的施行,为数据安全保护提供了更加全面的法律保障。
**● 市场的高速增长:**据统计,数据安全市场以年均20%的速度迅猛增长,并在2020年达到29.9%的年度增长记录,市场规模直逼千亿。
**● 十六部门关心数据安全:**2023年1月3日,工业和信息化部、网信办、发展改革委、教育部、科学技术部、公安部、安全部、财政部、人力资源社会保障部、人民银行、国资委、税务总局、市场监管总局、银保监会、证监会、知识产权局联合发文《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》。
**● 成立国家数据局:**2023年10月25日,国家数据局正式挂牌成立。这将进一步加快全国统一、辐射全球的数据大市场的建设,推动数字经济加速发展。
**● 技术创新的不断涌现:**随着大数据、人工智能、区块链等技术的不断进步,数据安全市场的技术门槛不断提高,新兴的数据安全技术如联邦学习、密文检索等不断涌现。
**● 应对新挑战:**面对数据泄露、勒索软件攻击等新挑战,中国数据安全产业不断提升安全防护能力,加强风险感知、监控、预警和应急响应机制。
**● 开展国际合作:**2020年,中国发起《全球数据安全倡议》,呼吁各国加强合作,共同维护数据安全。
四、面临的挑战与未来展望
面临的挑战
尽管中国数据安全领域取得了显著成就,但仍面临诸多挑战:
**● 技术威胁不断演变:**随着技术的迅速发展,新的网络安全威胁层出不穷,传统安全防护措施可能无法应对复杂多变的攻击手段。
● 数据合规性要求提高:随着数据合规性要求的提高,企业需要投入更多资源来确保数据处理活动的合规性。
**● 国际合作与竞争:**在全球化的背景下,数据安全领域的国际合作与竞争日益激烈,需要中国积极参与国际规则制定和合作机制建设。
未来展望
展望未来,中国数据安全领域将继续保持快速发展态势。在政策推动下,数据安全市场将进一步扩大,技术进步将不断提升数据安全防护能力,市场竞争将促使厂商提高产品和服务质量。
同时,随着数字经济规模的快速增长和新兴技术的应用泛化,中国数据安全行业将布局更多应用领域,推动数据安全技术的持续演进和创新发展。
笔者和大家共同见证了中国数据安全领域从起步到成熟的发展历程。面对未来新的挑战和机遇,中国数据安全产业将继续秉承创新、合作、发展的理念,为数字经济健康发展保驾护航。