多省级数据局开年密集揭牌 数据安全产业乘风提速

如今，数字经济已成为重组全球要素资源、重塑全球经济结构、重构全球竞争优势的关键力量，数据作为驱动数字经济发展的关键生产要素，就好比这个时代的“石油”。数据领域的发展日新月异，国内外尚无统一的数据要素市场建设模式，因此，顶层设计与实践探索的有机结合显得尤为重要。
 

多省份数据管理机构揭牌 呈大同小异和因地制宜的发展趋势
 

2023年3月，《国务院机构改革方案》印发，明确提出要组建国家数据局，经过7个多月的筹备，于10月25日正式挂牌，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等职能。
 

今年开年以来，新一轮机构改革逐步在省级层面落地。据安全419统计，截至2024年1月23日，已有10省份数据管理机构陆续揭牌，包括江苏省数据局、四川省数据局、内蒙古自治区政务服务与数据管理局、上海市数据局、云南省数据局、青海省数据局、河北省数据和政务服务局、广东省政务服务和数据管理局、天津市数据局、福建省数据管理局，全国各省市数据要素化市场加速推动。
 

我们发现，密集揭牌的省级数据管理结构，名称大部分和国家数据局保持一致，意味着省级层面的大数据治理将出现一个对标国家局的、承上启下的管理部门。也有3省份将“政务服务”嵌入机构名称中，显示出对数据服务政务管理的侧重。而进一步查阅不同省份数据管理机构的规格、级别也不尽相同，呼应了改革方案中提出的“省级政府数据管理机构结合实际组建”。
 

公开资料显示，比如，江苏、河北机构的官网都沿用了本省政府直属机构——省政务服务管理办公室（正厅级）的网址；四川、广东在此之前已成立了四川省大数据中心、广东省政务服务数据管理局，均系省政府直属机构；云南、青海对应机构的规格为副厅级；上海与多为政府直属机构或部门管理机构的省份不同，其局长由市人大常委会任命等等。
 

根据前述的改革方案，地方机构改革重点在重新组建或调整优化地方金融、科技、数据管理等重点领域机构设置和职责配置，且地方层面的改革任务要力争在2024年底前完成。业内人士指出，可以预见今年大批省市将设立和调整数据管理部门，整体上会呈现出大同小异和因地制宜的发展趋势，未来不会有哪个省市不设立数据管理部门，但是设立方式和机构模式可能会有所不同，而这也是应该予以鼓励的。
 

数据基础设施建立共识之下 探索如何让数据安全地“动”起来 
 

我国数据要素市场与数字经济发展正步入新阶段，机构改革的政策助推之下，数据要素制度等基础设施的建设，市场化的进程，以及数据要素本身如何推动千行百业价值释放成为当下各方最关切的话题。
 

数据基础设施是让数据供得出、流得动、用得好的关键载体，让数据安全可信流通才能实现数据的高效利用。再结合1月4日国家数据局等17部门印发的“数据要素×”三年行动计划，以及1月11日财政部《关于加强数据资产管理的指导意见》的发布，乘数效应迭代出的数据价值层级跨越阶段已经启幕，兼顾活力与秩序的数据安全体系是亿万数据要素市场有效运转的基础和前提，如何落实行动计划中的“严守数据安全底线”，是目前数据安全产业各方都在积极探索布局的重点。
 

因此，安全419观察梳理了业界各方对于数据安全技术、市场趋势的未来趋势预测研判，并从中总结出几点较为明确的业界共识，分享给安全同仁们参考。

 

· 数据安全战略高度提升，正走向技术与治理融合体系。
 

数据安全不仅仅是技术层面的能力与落地问题，更是一个涉及组织、流程、管理的综合体系。未来需要建立完善的数据治理体系，明确数据所有权、责任和流程，以确保数据安全技术的有效实施。
 

明朝万达认为，数据安全治理逐渐成为数字经济的基石。随着数据作为核心生产要素，数据安全已成为事关国家安全、经济与社会发展的重大问题。加强数据安全治理工作，既是实现数字政府建设和数字经济发展目标的主观需要，也是国家数据安全监管的客观要求。为了进一步促进大数据的共享与开放、充分释放数据红利，我国各地政府和企业除了需要加强数据治理和深化数据开发利用外，如何科学有效地开展数据安全治理工作将逐渐成为数字经济建设的基础性工作。
 

Commvault表示，数据安全将演变为一项企业整体的协作性工作。为满足业务需求而快速采用的技术导致威胁范围不断扩大，涵盖的资产种类繁多，可能横跨各种类型的工作负载，覆盖多个租户，包含硬件、虚拟环境、软件定义系统、第三方控制和SaaS空间资产等。其预计，企业将考虑遵循NIST等标准安全框架来进行网络防御工作，包括识别、保护、检测、响应和必要时从攻击中恢复。这将涉及IT和安全团队之间，乃至IT和业务部门之间的密切合作。部门间的合作也对高管参与提出了要求，一方面，业务部门和IT部门的领导者需要共同协商安全投入能够如何促进业务发展，另一方面，安全策略的实现需要从上至下的参与和推动。
 

类似观点体现在，IBM在其2024年5大趋势中提出，数据对话从 IT 部门转移到最高管理层；DigiCert对网络安全专家团队在2024年作出展望，首席数字信任官将成为企业高管团队的重要参与者。

 

奇安信认为，数据要素撬动万亿市场，数据安全流通成技术趋势。数据要素生态需要多层次的安全和合规保障体系，其中底层主要是数据要素流通基础设施，如可信计算环境、传输网络、云平台、数据平台等，需要从端（服务器、终端主机等）、网、云、数等层面构筑对应的纵深安全防御体系；中间层主要是数据要素流通平台，如数据共享平台、开放平台、授权运营平台、交易平台、数据专区，需要进行隔离交换、API安全网关、WAAP、数据脱敏、数据集保护、API保护等安全保障；而最上层是数据要素流通活动，需要围绕数据供给、流通、使用等环节，需要匹配去标识化、分级分类、数据空间、可信计算、数据沙箱等安全技术，确保流通中的全过程安全与合规。
 

瑞数信息提出，数据安全更需要依靠全生命周期的风险管控。传统依靠人工进行数据安全风险评估的方式已经很难应对监管考核与流动数据的全面保护，组织的数据安全越来越需要依靠全生命周期的风险管控。横向来看，企业内部的数据安全管控应从体系建设、管理制度、技术支持、人员素质等多个维度进行考量；纵向来看，企业对数据安全的管控应贯穿数据的整个生命周期，其中，数据的生产、采集、存储、交换、访问等过程节点尤为重要。新的一年，各安全厂商围绕数据风险评估、风险监控与建模等安全视角更加丰富的产品有望进一步落地，帮助用户清晰了解数据安全状况，并根据数据风险评估对数据安全响应处置与安全策略进行协同联动，对风险开展持续监测，从而实现对已知的风险敞口进行主动防御。
 

明朝万达表示，面向数据交易过程的数据确权与定价瓶颈越来越依赖完善的体系支撑。数据只有在供需之间流动才能发挥其价值，而流动的重要条件就是保障所有权与使用权不被转移，并获得合适的交易价格。这需要围绕数据采集、存储、使用、传输、共享交换等各个环节构建一套完善的技术体系，进而与组织管理、外部监管、法律法规等政策制度相互结合，形成保障数据流动的支撑体系。
 

此处我们用赛迪顾问《2024年网络安全行业趋势洞察》报告中的观点作为总结，随着国家数据局的挂牌，未来数据流通交易、数据安全保护等市场将掀起新一轮热潮，因此，如何实现数据的共享交易流通、如何建立起各行业的跨境数据安全保护机制以及如何以持续运营的思路开展数据安全治理工作等，都将成为未来的重点。

 

· 隐私计算技术的多元化应用，将为数据基础设施建立注入新动能。
 

前面已探讨，流通利用过程中的安全保障是新时代数据安全的重点，也是建立可信安全的数据基础设施的前提。在传统安全手段难以对交易、使用中的数据提供保护，隐私计算愈加受到关注与重视。
 

国家发展改革委党组成员，国家数据局党组书记、局长刘烈宏指出，推进数据要素市场化价值化需要在制度建设、流通利用、收益分配、安全治理四个方面深化研究。从流通利用方式看，需要建立数据基础设施。传统交易市场中，往往通过物品的排他性占有，来控制其流向和使用方式。而明文数据的复制成本趋近于零，一旦交易，卖方不仅失去了对该数据的控制，还要承担安全风险，这导致数据持有者“不愿流通”也“不敢流通”。推进数据流通，必须加快建设数据基础设施，建立可信流通体系，利用多方安全计算、区块链等技术，使供给方能够有效管控数据使用目的、方式、流向，实现数据流通“可用不可见”“可控可计量”，保障数据安全，防范泄露风险，实现数据可管可控。
 

山石网科表示，隐私计算将围绕数字政府、数字社会的建设目标在未来扮演更加重要的角色。隐私计算不仅是一项技术，它还是一种保护个人和组织数据隐私的承诺，同时允许数据在计算过程中得到安全处理和分析。隐私计算的核心在于其多元化技术的应用，从数据加密到分布式计算，从差分隐私到同态加密，再到安全多方计算和可搜索加密。这些技术共同构成了一道强大的保护屏障，旨在保障数据在整个生命周期中的安全和隐私，同时不牺牲其可用性和价值。随着中国国家数据局的成立，围绕数字政府、数字社会的建设目标，以及数字经济的快速增长，这预示着隐私计算将在未来扮演更加重要的角色。随着市场需求的增长，越来越多的网络安全厂商正在投入到这一领域，共同推动隐私计算技术的发展和应用。
 

Gartner指出，在公有云等不可信环境中进行数据处理以及与多方共享和分析数据，已成为企业机构取得成功的基础。与常见的静态数据安全控制不同，隐私增强计算（PEC）可以对使用中的数据实施保护。因此，企业机构可以执行此前因隐私或安全担忧而无法实现的数据处理和分析活动。Gartner预测，到2025年60%的大型企业机构将使用至少一种PEC技术来支持分析、商业智能和/或云计算的应用。

 

工信部新闻宣传中心指导、腾讯安全等联合编制的《数字安全免疫力建设指南》提出，数据要素x安全成新课题，云端数据要素是焦点。网络安全威胁会对数据的流转造成巨大挑战，甚至直接摧毁数据要素本身的商业价值，阻碍其流通、增值。因此可以预见，数据要素x安全将成为2024年的重要课题。同时，随着产业互联网的建设，以及各种行业云、政务云的出现，数据上云已是大势所趋，企业面对数据安全问题时，会对云端的特殊环境形成新的安全需求，在对云安全相关产品的采购过程中，也会关注云安全产品对云端数据的保护能力，未来，云端将成为数据安全的焦点场景。
 

奇安信表示，云原生安全向全生命周期扩展。随着云计算大步迈向“云原生”，海量数据处理等特征要求安全防护体系相应升级，为动态变化、复杂多元的运行环境提供有效的安全防护。越来越多的云基础设施从虚拟机、云主机转变为容器，越来越多的安全需求从云旁挂安全转向云原生安全，传统开发、运维、安全分离的状态转向DevSecOps体系流程。全生命周期的云原生安全服务，其核心包括：建立向开发左移的云原生安全体系；提供面向云原生基础设施的云原生安全防护能力；提供与云原生运行环境深入融合的运行安全防护能力；构建覆盖开发、测试与运行阶段的一体化安全运营平台等若干方向。

 

数字经济发展方兴未艾 数据安全产业提速
 

数据是数字经济时代的特殊且复杂的客体，蕴含着复杂的利益主张，不可否认的是，数据要素市场的发展仍然面临着艰巨难题，数据要素基础制度尚未完全明确。从一系列立法、机构改革、行业探索实践的历程中，数据权益保护程度从宽到严，数据利用机制也在这之中不断创新与完善。
 

数据安全无疑成为市场预期的一大指向。调研机构数据显示，从2022年开始，数据安全就已在国内数十个安全领域中位列融资数量第一，2023年度全球网络安全投融资市场，数据安全融资数量仍位列第一。下一个阶段的任务就是在保证安全价值的前提之下，更大程度地促进数据要素的利用。
 

以数据为关键要素的数字经济发展方兴未艾，期待各方共同探索，早日实现数据高质量开发利用和高水平安全良性互动。