《数据安全法》正式发布后，数据作为企业信息安全建设的一个重要维度被单独摘出，催生了数据安全全生命周期管理等各方面需求，每个环节都可能需要一系列技术和产品工具来帮助解决相应的问题。

勒索攻击深观察⑤：网络安全保险变局勒索攻击深观察④：网络安全行业的挑战与机遇勒索攻击深观察③：全球多国制定网络安全法案，安全合规成企业“必修课”

勒索攻击深观察②：安全威胁冲击供应链与工业互联网，企业亟需构建防护体系勒索攻击深观察①：勒索软件何以成为全球安全威胁？

“一份软件一锤子买卖的情况越来越少了，现在大家比拼的是定制化和服务能力。”谈及《数据安全法》出台后的变化，近年来明显感觉到实际工作的“复杂化”，一方面是因为各类网络安全威胁形势严峻，另一方面则是监管要求的细化扩大了网安业务所覆盖的范围。

无论是专职安全人员还是网安企业，这既是传统能力之外的挑战，也是彰显自身价值的机遇。

如今，《数据安全法》已出台一年，在构建数字经济信息安全防护框架的同时，也催生了大量合规管理服务的市场需求，作为与数据安全联系最为紧密的行业之一，网络安全企业迎来了新一轮发展机遇。

但另一方面，数据生命周期各环节合规标准的细化，也使得对网络安全企业服务能力的要求大大提升，许多面向细分赛道的初创企业寻觅到属于自己的市场机会，行业竞争愈发激烈。

聚焦数据的上位法

2016年11月，我国网络领域第一部专门法律《网络安全法》出台，并确立了我国网络安全法律规范体系的制度框架和基本内容。

在这样的背景下，《数据安全法》在2020年首次被提请审议后，与2021年6月的第十三届全国人民代表大会常务委员会第二十九次会议上正式通过，成为网络安全法律体系的第二部上位法。

“数据安全法是世界上第一部，以数据安全为名的专门立法。”北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括指出，该部法规将数据资源作为规制的整体，建构数据流转利用全生命周期的安全规则，为数字经济时代数据的安全性、数据的核心治理要求提供了完整的图谱，补强了我们国家有关数字治理的规则体系。

近年来，大数据分析在各行各业的应用愈加广泛，企业经营对数据流转分析的依赖性不断提升，数据一跃成为土地、劳动力、资本、技术外的第五大生产要素，既是微观经济中企业重要的资源，也成为宏观层面推动产业数字化转型的重要抓手。

中国信息通信研究院发布的《大数据白皮书（2021年）》显示，仅在数据交易方面，近年来数据资产管理实践正加速落地，并从提升数据资产质量向数据资产价值运营加速升级。

数据显示，自2014年中关村数海大数据交易平台建立以来，截至2021年11月上海数据交易所成立，已有近30所数据交易机构建立。

与此同时，企业的数据安全治理也在政策法规指引下稳步推进。信通院开展的数据安全治理能力评估工作结果显示，分别有32.3%与45.2%的参评企业设置了数据安全治理工作委员会和网络与信息安全领导小组，开展数据治理工作，明确数据管理责任，但仍有超过20%的企业暂未组建专门的数据安全治理组织。

从《网络安全法》《数据安全法》到《个人信息保护法》《关键信息基础设施安全保护条例》，其实很多规定不仅仅是安全方面的要求，也是管理方面的要求。以《数据安全法》为例，相当于给数据采集到流转使用的全周期设置了一条安全红线，使得安全要求从过去可有可无的状态成为企业经营的刚需。

利好与挑战

无论是对于网络安全整体市场规模的扩大还是细分赛道的拓展，《数据安全法》的落地实施都有着显著的利好作用。

随着各类智能终端尤其是智能手机的快速普及，社会所生产出的数据总量经历了迅速增长的过程，而数字政府建设和产业数字化的发展又使得数据安全与社会治理、社会生产安全紧密相连。

而《数据安全法》则对相关的行为规范，尤其是数据交易、数据出境等具体场景提出了要求，作为信息安全保护服务的主要提供者，网络安全企业无疑是离风口最近的一批：从发展空间的角度而言，网安产业是随着数字经济发展成正比增长的。

网安行业的主要商机可概括为两个方面，一是业务驱动，二是监管驱动。对于后者而言，监管部门的上层建筑要求是重要的决定因素，而“三法一条例”作为上位法，使得企业在项目预算、组织架构、规章制度等方面都需要满足直接的合规需求，这对于网络安全厂商而言肯定是重大利好。

具体到数据安全层面，三五年前网络安全行业中，数据安全的概念也早已存在，但大多是从DPL防数据泄露、数据库审计权限管理等防护业务的维度和视角出发。但在《数据安全法》正式发布后，数据作为企业信息安全建设的一个重要维度被单独摘出，催生了数据安全全生命周期管理、数据安全能力成熟度建设、数据安全治理能力建设等等各方面需求，每个环节都可能需要一系列技术和产品工具来帮助解决相应的问题。

但另一方面，法律法规要求落地在带来一系列行业利好的同时，更为系统和全面的数据管理要求也对网络安全企业的技术和服务能力带来新的考验。

过去只要保证公司的防火墙不被攻破，机密数据不被泄露就可以了，但是现在除了基本的防护机制，数据流转过程是不是合规，每个数据节点数据如何分类分级，如何脱敏，操作人员的权限和行为准则如何设计，能否对数据进行交易共享，都需要做更为精细化的安排。

对于传统网安企业而言，必须保持满足市场数据安全和数据管理需求的研发能力，否则都有可能被一些新兴的初创企业抢走市场份额：“这些企业可以以数据安全作为突破点，在细分赛道取得优势后，再向其他领域拓展，这就可能使得传统网安企业的比较优势越来越小，反而可能在竞争中陷入劣势。

中国信息通信研究院发布的《中国网络安全产业白皮书》指出，我国网络安全产业发展还处于高速增长的初级阶段，虽然产业规模稳步增长，但产业结构和发展质量有待提升，存在缺乏高端网络安全产品、安全服务发展滞后、产品服务与重点行业结合紧密度低等问题。

目前信息安全领域主要受到数字化人才储备和市场需求之间存在缺口，监管要求需要进一步的明确和细化，数据治理的外部环境尤其是国际形势快速变化等问题的影响，对于企业而言，在《数据安全法》等顶层设计已经明确的情况下，需要增强监管与市场间的双向沟通，打造政府和企业间的良性互动关系，为数据安全生态提供更好的条件保障。

在《数据安全法》正式公布不久后，2021年8月，网信办等五部门联合发布《汽车数据安全管理若干规定（试行）》，对汽车数据处理者坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则进行了更为精细化的规定，上位法监管要求和落地场景间的空隙正被进一步填补。

上位法颁布后，对行业的指导意见、实施指南陆续出台是必然趋势。除了车联网行业，金融、教育、政务等领域的数据都各有其特征，不同企业的实际需求可能也大相径庭。对于网络安全厂商而言，既需要帮助企业做好整体安全体系梳理，也需要规划好每一步环节的具体落地动作。

但是关键都在于努力实现技术突破的同时，抓住市场需求，做好服务能力建设，从而为企业创造价值。