数据泄露等安全事件频发，安全合规评估与强监管进入常态化

四大关键词看数据要素市场发展趋势

从构建数据基础制度到地方数据立法，从公共数据分类分级开放指南到数据交易流通规则制定，从数据跨境监管到安全评估审查，从数据安全管理认证到国家标准出台……2022年以来，与数据关联的政策文件密集出台或施行，激活数据要素的潜能，释放数据要素的价值，赋能实体经济，推动高质量发展。在岁末年初之际，南都大数据研究院从数据制度、数据产权、数据交易、数据安全等四大关键词角度，研判年度趋势，带你观察数据要素市场化创新发展。

随着数据安全形势复杂多变，数据安全需求越发强烈，但凡有数据开发利用的场景，总会伴生数据安全的风险。《中国政企机构数据安全风险分析报告》显示，2022年1月至10月中国境内机构数据就有超过950亿条、至少46.4TB在海外被非法交易。

数据泄露、数据滥用等数据安全事件频发，行业、企业不同维度、不同侧面的监管合规需求愈发强烈。我国《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”相继落地，为数据安全管理与体系建设奠定重要法治基础。研究机构统计，目前全国至少出台191件数据安全相关政策文件，不断夯实我国网络与数据安全的法治体系。

数据泄露、滥用等安全事件频发

据国际数据公司（IDC）预测，2025年全球数据量将高达175ZB（泽字节，简称ZB，1泽字节约等于10万亿亿字节）。其中，中国数据量增速最为迅猛，预计2025年增至48.6ZB，占全球数据圈的27.8％。中国数据总量正以高于全球平均年增长速度3%的幅度激增，将成为全球最大的数据圈。

一方面是数据量暴增，但另一方面是数据泄露、数据滥用等数据安全事件频发，对国家安全、公众权益、组织权益、个人隐私带来严重危害。《中国政企机构数据安全风险分析报告》提到，2022年1月至10月全球政企机构重大数据安全报道180起，其中数据泄露相关安全事件93起。中国境内机构数据就有超过950亿条、至少46.4TB在海外被非法交易。而针对机构数据外部威胁中57.4%系为窃取数据，数据破坏问题占全球数据安全事件的23.3%。

南都大数据研究院注意到，网信部门依法加大网络与数据安全、个人信息保护等领域执法力度同时，已加大典型案例曝光力度，教育引导互联网企业依法合规运营。目前，数据安全监管部门关于违反网络与数据安全、个人信息保护相关法律法规的处罚方式主要包括执法约谈、责令改正、警告、通报批评、罚款、停业整顿、关闭网站、下架、吊销相关业务许可证或者吊销营业执照、处理责任人等措施。例如，去年银保监会以“监管标准化数据”存在数据质量违法违规行为为由，对21家银行进行大规模处罚。

数据来源：《中国政企机构数据安全风险分析报告》等。

数据安全评估进入常态化监管阶段

《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”相继落地，构成了我国数据安全领域完整的基础性法律体系，为国家、地方、行业、个人的数据安全保护提供重要法律参考依据。国家市场监督管理总局、国家互联网信息办公室发布公告，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。

2022年12月19日颁布的“数据二十条“提出，统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程。工信部信息通信经济专家委员会委员、浙江大学国际联合商学院数字经济与金融创新研究中心联席主任盘和林接受媒体采访时坦言，国内数据安全立法体系已渐完善，但基层数据安全体系建设尚有很大提升空间，要从数据安全角度着手，提出未来数据安全防护和保障能力的建设要求。

2022年12月1日，深圳发布的首个地方公共数据安全领域标准——《公共数据安全要求》正式施行，在公共数据使用、分级管理等各环节作出严格规范。工信部编制的《网络数据安全标准体系建设指南》提到，到2023年将健全完善网络数据安全标准体系，标准技术水平、应用水平和国际化水平显著提高，有力促进行业网络数据安全保护能力提升，研制网络数据安全行业标准50项以上。

其实，2021年开始，全国数据安全相关国家标准发布数量明显加速，去年“网络安全”“数据安全”等类别成为发布数量最多的一类。据研究机构统计，目前全国至少有359项网络与数据安全国标，而且种类丰富、应用场景持续拓展，已经从单点防御产品逐步扩展到六大维度的综合、纵深式防护体系。

随着数据安全形势愈加复杂，行业企业不同维度、不同侧面的安全合规需求也愈发强烈，数据合规与安全评估进入常态化监管阶段。2022年9月1日《数据出境安全评估办法》实施，明确数据出境安全评估的监管主体、评估对象和实施流程等。2023年1月1日起施行《工业和信息化领域数据安全管理办法（试行）》，重点解决电信领域数据安全“谁来管、管什么、怎么管”的问题，是电信领域数据安全管理顶层制度文件。《网络数据安全管理条例》（征求意见稿）规定，重要数据处理者需要每年自行或委托数据安全服务机构开展一次数据安全评估，将年度数据安全评估报告提交给网信部门。也就是说，开展数据安全评估，提交年度报告必将成为行业企业的法定义务。

出品：南都大数据研究院

研究员：袁炯贤 设计：张博