新规之下，大数据走的每一步，都得是安全路

新规之下，大数据走的每一步，都得是安全路

文 | 《财经》记者 吴俊宇  

编辑 | 谢丽容

今年7月后，中国信息化产业正在迎来史上最严的数据监管。

11月1日，《个人信息保护法》正式实施。该法律在9月落地的《数据安全法》基础上，进一步细化完善了个人信息保护处理规则。新法明确规定，不得过度收集个人信息、大数据杀熟、滥用人脸识别技术等，个人信息跨境提供的规则也有所修改。其中还特别强调，国家机关处理个人信息的活动适用本法。

在今年7月，国家安全法、网络安全法则是被直接用于一批中概股企业跨境数据的监管中。在国家安全法、网络安全法、数据安全法、个人信息保护法的大框架下，数据安全、隐私保护等长期被各界关注的问题有了明确的法律规范。

数据如同工业时代的石油，是当下数字时代的重要资源。石油的采集、贮存、运输、使用、清洁处理都有一整套科学规范。数据这种新资源就像是石油，其采集、存储、传输、归属、使用、销毁、保护都是有规范的。

国内平台级互联网企业的业务长期和数据相关，因此最早开始合规工作。在数据安全市场，平台级互联网企业正在成为重要服务提供商。

百度安全部数据安全业务副总经理韩祖利对《财经》记者表示，2018年开始国内外国内数据监管趋严，欧美《通用数据保护条例》《加州消费者隐私法案》颁布后，国内部分意识较强的企业开始探索数据合规，百度也开始将自身经验打造成解决方案为它们提供相关服务。2019年后市场需求爆发，百度因此逐步建立了围绕数据生命周期的整套安全方案。

目前国内数据安全、隐私保护尚处早期。国内另一位平台级互联网厂商数据库部门负责人对《财经》记者称，想做到合规，不仅需要采购相关产品方案，还要建立管理制度和风控体系。

也就是说，接下来，和石油一样，数据的采集、存储、传输、归属、使用、销毁、保护都是有规范的。人们的疑问是，严格、规范的数据合规监管，是否会带来一系列问题。比如，严管之下，企业是否将找不到可用的数据资源，数据使用效率、精准度将因此下降？答案是否定的。如同现代石油在一系列新技术的帮助下，其采集、提取、运输不仅得到了改善，而且还获得了更高的利用效率。数据资源也是如此。

数据合规需求爆发

数据已经如同土地、自然资源，被视为社会经济生活中的重要生产要素。

第三方市场研究机构赛迪咨询一组数据显示，2020年中国大数据产业规模为6388亿元。预计其年均增长率超过15%，2023年规模将超过一万亿元。政府、企业、机构的数据保护需求也在爆发。赛迪咨询数据显示，2019年中国数据安全市场规模为38.1亿元，年均增长率超过35%，且增速还在持续加快，预计2021年接近70亿元。

数据合规需求的快速增长是两方面因素造成的。

一方面，政府、企业正在加大数据使用力度。政府期望利用数据提高科学治理能力，企业则是依赖数据提高生产经营效率。另一方面，国内数据市场此前存在大量不规范之处，这些乱象对个人数据过度采集使用，且造成过数据泄露、非法跨境传输等严重后果。从监管角度看，无论是政府还是企业都需要合法、合理、合规使用数据才能充分释放数据生产力。

对于政府来说，经过多年的建设，政府信息化覆盖率超过90%，但由于各种原因，政务信息系统相对分散、资源分割，形成了一座座数据孤岛。出于传统安全考虑，不同部门间的数据也无法充分开放。对内，政府积累的数据无法充分利用。对外，无法和公众、企业共享数据，公众、企业办事效率难以提升。这些问题会制约政府提升现代化治理水平。但政府使用、开放数据时，将面临不同以往的安全挑战。

对于企业来说，过往企业数据的采集、存储、传输、归属、使用、销毁、保护，每一个环节都可能存在不同的数据安全问题。比如，采集环节有可能出现超出实际需求的过度采集，或是非法渠道购买数据。在传输环节可能会被第三方恶意劫持。在共享、流通环节可能存在企业无限制随意购买、交换数据，涉嫌侵犯用户权益的现象。在销毁环节，当部分企业并不会彻底清理淘汰服务器时中的数据，这容易导致数据泄漏。

数据安全法、个人信息保护法落地前，一些意识超前的地方政府就在从百度、阿里、腾讯等云厂商处采购数据安全服务。某平台级互联网企业安全副总裁称，安全业务的招标金额规模通常是数百万或千万，和智慧城市动辄亿级的订单相比显得较小，但是云厂商政府项目中最早实现盈利的部分。

原因在于，各地智慧城市建设中，数据安全通常是先行的项目。地方政府的数据合规要求高，很多地方甚至为此设立了专项资金，这块市场已经较为成熟。安全业务又和算法建模高度相关，这是云厂商们最擅长、最成熟的能力，可复制性较高，成本相对可控。

有合规意识的企业今年则是很早就开始了自我整改。今年9月，一家云厂商数据库部门负责人曾对《财经》记者称，他所在的企业过去子公司和集团之间数据可互联互通。今年考虑到法律、监管等因素，上述做法已停止。子公司和集团间的数据，无法无限制打通。接下来如何做，正在探索新的解决办法。

深圳卓建律师事务所律师李兰兰长期从事数据合规业务。今年7月，她在数据安全法、个人信息保护法出台的背景下曾向《财经》记者表示，近半年来她接到的合规需求在增多，覆盖出海、金融、保险以及其他科技企业。

她解释，当下数据合规工作的重点和难点是需要覆盖数据的全生命周期，每个环节都要符合法律法规的要求。以企业为例，这类合规工作级别高，需要公司管理层牵头。由法务部门、IT部门负责人担任项目经理，会同研发、业务部门共同展开。企业要审查公司内部的数据流，梳理各环节数据权限，收集数据的目的、范围。一些项目后期甚至还需要引入第三方专业机构进行评估，否则将面临业务叫停的风险。

数据全生命周期安全

新规之下，政府、企业，都需要建立起全周期的安全体系。平台级互联网企业对此有一定的探索，其探索主要分成两方面，一是安全治理制度，二是产品技术或解决方案。

数据安全、隐私保护是系统工程，有赖于明确的规章制度、业务规则。

一种被普遍认同的说法是，数据安全是系统工程，要在业务设立通盘考虑。其制度不仅需要管理层参与，还需要建立起顶层治理架构、风险管控体系和安全审计机制。

韩祖利过去长期参与百度数据安全治理。他介绍，百度成立了数据管理委员会，进一步完善数据管理政策，加大监督力度保障用户信息安全。大型平台级厂商研究数据最多，探索最早，因此已经建立了一套制度和规则，积累了大量的数据安全治理的成功经验。不过，这却是目前大部分企业的短板。上述数字化企业安全副总裁对《财经》记者表示，补足这一短板的策略是，引入相关咨询规划，在业务中使用一部分数据安全产品。制度和规则需要在长期业务实践中逐步完善。

直接采购成熟的数据安全产品，再探索适合的治理架构。这种方式被一些技术能力相对薄弱的企业认可，也是很多企业面对合规监管时的首选方案。

今年8月，深圳一家金融资产交易所IT系统负责人对《财经》记者介绍，其交易所安全合规要求高，目前主要IT系统均是私有化部署，目前正在试图从云厂商处购买数字化产品，但自身IT能力、安全能力都不足，购买数字化产品的前提是，要配套符合监管要求的安全解决方案。

上述数字化企业安全业务高管表示，数据安全链条很长，平台级企业，尤其是主流云厂商，可联合合作伙伴，共同提供覆盖硬件层和业务层的完整方案。硬件层，云厂商可对服务器安全加密。业务层可输出针对客户需求做定制化部署。

以百度数据安全产品“百度点石”为例，其底层是百度智能云，服务层包括建模分析能力、联合计算等技术，可以针对各细分行业给出针对性的解决方案。支持团体云、私有化等部署模式。

一位百度数据安全售前人士告诉《财经》记者，对“百度点石”需求最强的企业，集中在金融、营销、政务、汽车、运营商等领域。其中金融类企业对、金融风控、建模管理、数据核实等场景下的科技赋能产品需求度高。政务类企业更在意内部数据流通、对外数据开放。

目前，百度数据安全团队和银行等各行业客户共同尝试建立了一套解决方案。

比如，对银行金融机构而言，做好风控、压低坏账率是利用数据直接诉求。

某银行过去只有央行征信报告数据作为客户授信评估的数据来源，面对70%无征信报告的客户，银行缺乏对客的全面了解，无法进行有效的金融服务。该行采用了百度“点石”的数据安全及隐私保护方案后，通过与拥有合法数据授权的票据公司联合建模，实现对小微企业信用状况的评估。项目中，银行、票据公司都不用传输原数据，各自加密分散计算后再融合协作得到联合计算结果。最终，该行通过数据安全及隐私保护方案，实现了对客户的金融服务。

尤其大型企业单位的数据安全相对复杂一些，使用大数据主要分成对内、对外两部分。百度智能云曾服务过某大型单位，其诉求是，对内要打通多个部门的信息，对外要开放数据平台，工程涉及行政、交通、医疗、电网、消费、培训等方面。其难度在于，涉及面过宽，既要保证数据贯通产生正面效应，又要考虑隐私合规与数据安全可控的问题。

针对各内部数据不能跨部门流通的问题，百度方面提供了一套隐私计算技术，在数据可用不可见，数据不出域的情况下完成数据联合查询或计算等服务。采用了数据隔离、数据沙箱、数据脱敏、隐私计算等方式，将脱敏抽样后数据提供给需求方，让数据可以在安全合规的前提下流通。

未雨绸缪

数据市场目前尚处初期，数据安全市场更是如此。

2015年以来，北京、上海、武汉、贵阳等地诞生了一批数据交易所，截止今年7月，全国已设立17家数据交易平台。这些平台主要由政府或科技企业发起成立，主要满足本地数据开放共享。

不过，数据的交易问题仍未完全解决。管辖权、交易权、所有权、使用权、分配权有待进一步明晰。

有云厂商数据库业务负责人认为，和企业内部需要逐步探索建立数据合规机制一样，更大范围内的数据市场也需要在不断碰撞的过程中走向成熟。个人、企业、政府的权限和边界都是在具体案例出现的过程中逐渐划清的。在他看来，目前具备技术能力的企业，能做的事情就是为市场输出产品和解决方案。在和市场需求、监管要求的良性互动下，数据市场也将逐步成熟。

数据安全市场被认为标准化程度高，产品容易规模化。不过，企业出现个性化需求时，需要厂商利用其算法能力帮助客户根据其业务特性建模。韩祖利打了个比方，算法更像是发动机，企业购买发动机后，究竟是用于飞机、汽车，则是客户的选择。

算法定制距离产品化依旧有一段距离。一位保险机构技术研究院负责人曾对《财经》记者形容，算法跑了1000米，产品化还有9000千米。因此，服务该保险机构的企业通常需要派驻算法工程师驻场提供服务。

不过，随着行业头部企业尝鲜，过去的定制化解决方案也将逐步标准化，被行业内其他企业所使用。从行业来看，政府、金融、汽车、营销等领域目前对数据安全的需求高，愿意尝试。更多行业对数据的重要性认知刚刚觉醒，对数据安全的重视更是仍处于萌芽期，不同行业有各自的专业和特性。

韩祖利说，这需要和细分行业的客户、专业安全领域的企业共同探索产品和解决方案。在市场初期，仍需保持较大的研发投入，和更多行业客户一起做定制化解决方案。但对于这些行业和企业来说，从数据资产的有序化运营管理的一开始就引入安全机制，少了历史包袱，更有效的发挥了数字生产力。

一个不可逆转的趋势是，数据安全将成为一个行业、一个企业在未来数字化时代市场竞争中决胜的重要因子，在某一些关键节点上，甚至会成为关键因子。数据安全法、个人信息保护法只是数据规范化流动的政策推手，明确清晰法律法规，不仅可以保护个人数据，还将为未来更大范围的数据合法合规流动创造空间。

谁未雨绸缪，谁就多一张底牌。