《个人信息保护法》即将生效 企业侧数据安全需求有望爆发

文 / 胡雯

8月20日，第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），将自2021年11月1日起施行。自2016年《网络安全法》、2021年6月《数据安全法》相继出台后，《个人信息保护法》进一步明确了个人信息收集和处理应遵循的原则，标志着我国信息安全法律保障体系的初步完善。

近年来，我国数据及隐私保护相关立法及执法活动频繁，同时暴露出诸多高风险行业及场景，并对此类场景进行了持续性的打击。与执法活动重点相一致，《个人信息保护法》纳入了这些场景及热点话题，力求从事前杜绝高风险违规事件发生。

国内数据安全需求落地明确性强

《个人信息保护法》违法成本较欧盟标准更高，国内数据安全需求落地确定性强。

当前大数据、云计算等信息深度整合技术高度发展的时代背景下，我国个人信息保护立法推进恰逢其时。据德勤统计，截至2021年6月，国际已有超过八成的国家已有或正在进行个人信息保护立法。我国可以基于先有思路进行差异化制度设计，同时就当前普遍存在的模糊地带，力求进行补充和优化。

国盛证券分析人士指出，这一法规的出台其亮点在于明确处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时，针对现实生活中社会反映强烈的一揽子授权、强制同意等问题，《个人信息保护法》特别要求，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

随着越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销，有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者。其中，最典型的就是社会反映突出的“大数据杀熟”。对此，《个人信息保护法》明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。《个人信息保护法》要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及影响。

触犯规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

行业数据安全潜在空间巨大

随着《个人信息保护法》的生效，国内涉及个人数据的各个行业存在巨大的潜在发展空间。

金融数据天然具有商业价值，需加强监管。通过分析金融交易相关“敏感个人信息”总结、归纳、演绎后得到的“衍生个人信息”，对于风控及业务价值巨大；随着实体医院将诊疗活动延伸至互联网端，数据共享和流通成为刚性业务需求，静态的隔离保护措施难以控制数据在流动中的风险，关乎患者隐私、种类繁多的医疗数据也迎来愈加严峻的安全挑战，互联网医院需要通过动态变化的视角分析和判断数据安全风险；随着智能汽车产业、车联网技术的快速发展，以自动辅助驾驶为代表的人工智能技术日益普及，汽车数据处理能力日益增强，暴露出的汽车数据安全问题和风险隐患日益突出。

以自动驾驶为代表的AI技术日益普及，汽车数据处理量级及能力日益增强，汽车数据依法合理有效利用同时维护了国家安全利益与个人合法权益。

汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。

数据安全服务有望达百亿元

随着《数据安全法》《关保条例》《个人信息保护法》等法律法规密集发布并实施，仅从数据安全的组成部分隐私计算来看，据Gartner预测，2023年，全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规，2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。

数据安全计算模块常见于大数据服务场景，添加至AI计算平台，并且与AI应用同样以数据为基础，进行安全、存储以及计算等服务，故以AI平台收入为隐私计算产值上限，根据IDC预测，2020年我国大数据市场规模约104.2亿美元，其中软件市场规模为26.5亿美元，AI平台收入约4亿美元，IDC预测，2018—2024年AI产业年均复合增长39%，则AI平台收入2024年有望达15亿美元，而数据安全方案上限近百亿元人民币。

隐私计算技术解决了数据流通过程中的“可用不可见”难题，有助于破解数据保护与利用之间的矛盾，已在金融、医疗、政务等领域开始推广应用。

业内专家强调，数据深度价值挖掘过程中需要兼顾数据应用和安全，平衡效率和风险，在保障安全的前提下发挥数据价值。

KPMG预计2023年国内数据安全技术服务市场有望达百亿元，随IT架构走向云化，长期将撬动千亿元级的数据安全SaaS运营收入。

以消费贷款场景为例，假设2030年金融机构信用风险建模使用联邦学习渗透率达60%，服务费率为1%，国内短期消费信贷市场2019年已达9.92万亿元，假设直到2030年年化复合增速为8%，则2030年市场有望达21.42万亿元，数据安全收入有望达1285千亿元，考虑互联网、医疗及政务大数据等场景，空间巨大。

国盛证券指出，典型的数据安全应用场景通常包含三类参与方，互联网作为使用方，未来国内或由网信办等监管单位牵头平台建设，具备国资股东背景、技术储备的第三方企业提供技术及运营。如作为数据的使用方，需考虑业务特征与支付能力，互联网厂商合规需求迫切，包括数据“最小化采集、避免滥用”，此外如联合建模下的银行业、医疗机构；作为数据的提供方，做到原始数据不出本地，将加密后的信息发送至中间方；此外，作为隐私计算技术服务商，为客户搭建计算系统，包括在业务方、数据方以及可信第三方部署服务节点。