时间:2022-12-01 04:04:15来源:法律常识
文|真梓
编辑|石亚琼
这一年春节前夕,时任一家旅行平台安全总监的林辉,遭遇了一次APP下架事件。
“没有任何通知,那天下午相关部门发布新闻,公告公司的一个APP存在违规收集个人信息的行为,直接下架。”林辉回忆。
春节,是旅行平台年度流量最高的时刻之一。再加上被下架的范围几乎覆盖了全国四分之三的应用市场。无法恢复拉新的时间越长,对业绩的冲击也更不可估量。
最终,这次下架持续了整整一个月,横跨整个春节。
事后回顾,由于这一APP本身体量,这次事件并未对公司业绩造成太大冲击。但单就安全部门的职责来说,这无疑算一次失职。
然而不为外界所知的是,在下架事件发生之前,林辉已在这家成立近20年的上市公司内推动数据的合规工作长达两年之久,目的就是避免下架这类情况出现。
“我们观察到,相关部门很早已在着手推动APP隐私合规的相关事项。”林辉告诉36氪。
他口中的“早”指的是2019年。
这个时点,距离中国的《数据安全法》和《个人信息保护法》正式颁布还有两年。
当时在这家旅游平台内部,还没有多少人意识到使用数据是一件存在边界的事。但关于数据需要在法律、法规允许的范围内处理的趋势,已经在全球范围内涌动。
最直接的节点是2018年,爆发Facebook(现已更名Meta)“剑桥门”数据泄露事件,欧盟出台 《通用数据保护条例》(GDPR)。而2019年,国内有关部门也开始进行App违法违规收集使用个人信息的专项治理。
为了应对这些变化,当时林辉和团队主动联系了自己眼中具备官方色彩的认证机构,希望成为第一批通过隐私认证的APP。
但后面的故事证明,即使其已是行业内较早重视数据合规建设的公司,2021年的下架事件仍然不可避免地发生。
两年后再回顾,林辉觉得APP下架的最直接原因,还是没有彻底理解合规趋势。另一方面,由于业务员工对合规的持续质疑,安全团队内部也出现了分化,放松了管理。
这是发生在2021年一季度的事。当时的林辉还不知道,真正的转折点即将在几个月后出现——同年6月,国内第一部有关数据安全的专项法律《数据安全法》正式通过。8月,《个人信息保护法》也尘埃落定。
短期内如此密集地出台数据安全法律,在国内尚属首次。接下来的迹象更真切地表明,数据合规的影响即将渗透各行各业。
同年7月,滴滴出行、BOSS直聘和满帮集团等一批上市公司成为第一批因网络安全审查停止新用户注册的企业。这让《网络安全审查办法》引起更多人关注。
这股IPO变化还带来一个后续影响,就是投资人们也开始关注起项目的数据合规情况。
从事安全合规业务多年的无讼合作律师、世辉律师事务所合伙人王新锐告诉36氪,这一年里,数据合规愈发成为许多投资机构的一项投后服务。“法律法规更加完善,投资人也希望自己的被投从一开始就做好数据合规,不会给之后的融资和IPO'埋雷'。”他表示。
在更具象的层面,当震慑力由这些新经济头部公司传导开来,企业内部的合规举措也不再是纸上谈兵。
比如,有每年广告收入超百亿元的大厂员工告诉36氪,其公司早前会收集包括用户的性别、年龄、地域和其他行为数据来进行广告投放。而在法律出台之后,这类收集个人信息的操作被禁止,但随之带来的广告投放效果的降低,也让这家大厂付出了KA客户预算降低10%的代价。
目前为了弥补这一损失,这家大厂选择帮助企业客户进行一些运营手段,降低由于数据缺失而带来的投放效果下滑。
各集团间的数据共享合作也在发生变化。
最典型的例子是阿里巴巴和蚂蚁集团。今年7月,阿里巴巴发布的2022财政年度报告显示,阿里巴巴与蚂蚁集团同意终止《数据共享协议》,并称将按双方向各自客户提供服务的必要限度,根据个案并依照适用法律及法规协商数据共享安排的条款。
总之,当法律要求板上钉钉,APP下架、新用户注册停止、融资生变等现象批量出现,越来越多的企业意识到,数据合规已是一道这个时代的必答题。
考卷已在眼前,若要问当前有多少企业不会为数据合规而焦虑?答案大概率是0。
第一个原因是,经过近二十年的移动互联时代,几乎无人能认为自己和这次的数据合规浪潮无关。
王新锐回顾,在他服务过的上百家企业客户中,用户数过亿的不在少数,“中国企业收集和处理数据能力都非常强,处理的个人信息往往都是亿级。而如果处理的个人信息量没有那么大,企业也很可能处理敏感度较高的医疗、工业等数据。”
第二个原因是,当数据合规成为普适性话题,企业的建设情况依然不容乐观。
“现在全国可能只有一家公司,在面对数据监管时具备'自证清白'的能力。”2022年8月,即《数据安全法》施行一周年前夕,一位拥有20年安全甲方工作经验的安全从业者,向36氪坦言他眼中的数据合规现状。
这句话中,“自证清白”是说一家企业能够掌握自身数据资产的数量、种类、采集方式、流向、使用方式、防护手段等情况,从而在保证数据安全的同时,达到相关监管机构的要求。
而他口中的这家公司,具备强监管属性,单安全团队就有数百人,公司还配备了职责分明的法务团队辅助业务合规——这一切,都称得上行业顶配。
在技术层面,当不少公司还在采购基础安全产品时,他们已经自研并大规模落地了很多人还在观望的前沿产品,希望在提升人效的同时达成清晰、明确的数据管理效果。
有意思的是,当36氪与这家他人眼中的“Top 1”讨论数据合规时,对方负责人却直截了当地表示,如今可能很难有一家企业真的了解自身所有的数据资产情况。“当前国内企业的数字化建设还在进程中,业务量在暴增,数据量也在暴增。”他给出了自己的逻辑。
事实上,从眼下大多企业的数据安全水平来看,要立刻交出一份完美的合规答卷,确实具备难度。
根本原因在于,过去多年企业对数据的各种使用,常伴随着“佛系”管理。这给如今的数据合规埋下了隐患。
一家O2O小巨头的安全总监李云告诉36氪,自己公司在过去10年内积累了不少用户信息,以及楼梯、道路、地标等业务信息,还开发了一个可以查找到这些业务信息的核心系统。
但令人恐慌的是,他发现这一核心系统的数据可以被其他公司邮件申请访问,申请后,本公司会向对方开放一个没有权限判定和审计溯源功能的接口。
“假如对方公司的负责人把接口给别人,其他人就随便拥有了访问权力。”在李云眼里,公司最核心的数据,反倒潜藏着不可估量的安全隐患。
最终,十分担忧数据泄漏的他,选择把最重点的信息进行全链路加密。
这是一种可能会提升计算成本,也存在打断业务流程风险的安全方案。但面对公司数据管理的烂摊子,李云认为,这是最靠谱的方式。
在一些数字化水平较弱的行业,数据合规的建设亦道阻且长。
一家成立于2021年,主营医疗行业合规业务的企业告诉36氪,很长一段时间内,一些医院的数据保护都处于粗放状态。
“在医疗机构共建项目的场景里,我们见过微信传输数据的情况。可能就是在传输一个存着个人信息的Excel表格。”这家公司的高层何洁透露。
何洁告诉36氪,自己如今多找医院主管科研的副院长洽谈业务合作,因为这类场景中涉及多方数据的整合,所以更可能存在不规范的数据传输、交换情况。“合作的转化率挺高。”他表示。
这是这场数据合规大考下,不少国内企业、机构如今的境遇。但放眼全球,自2018年GDPR发布起,数据合规才逐步形成话题。如今,欧美的科技巨头们亦在持续探索合规之道。
在国内上位法已然就位的前提下,企业进行数据合规,既是责任也是义务。在没有过多全球经验可借鉴的前提下,国内企业的数据合规也会走出一条自己的路。
一般来说,企业进行数据合规的基本方法论是,参照法律法规标准,制定相关的数据安全保护措施,采购或自研自身所需的数据安全产品及服务,并持续开展数据安全运营活动。
本质上,这并不仅是某一方的课题,而是一个牵扯法律法规、企业业务,以及技术产品三方面的宏观议题。
但不少企业认为,眼下的一个门槛在于,上位法已经出台,而不少执行细则还未完善。“这就好像只有实现目标,但缺少了操作说明书。”「云集至」联合创始人宣淦淼如此打了个比方。
在理想状况中,当上位法落定后,相关配套的细则会陆续出台,进行进一步解释。同时,不同行业的相关监管或指导单位会依照本行业的特点,出台行业指导,帮助各单位职能落地。
一个具象例子是,《个人信息保护法》规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。但对各行业而言,最小化原则会因为业务性质不同而存在差异。
「数安信」COO王雷拿医疗行业的问诊场景举例,如果一个病人来看病,接诊医生和未接诊的同科室医生都能看到此人的既往病例,就没有遵守最小化原则。理论上只有接诊医生一人能看到病例,才叫做遵守最小化原则。
类比到其他行业,至少最小化的单位不会是医生。
在理想状况中落地数据合规,各行各业的各个相关场景,都需要配备具备解释性质的细则。显然,当前还处于细则出台的过程中。
“现在企业云里雾里,不知道做什么也很好理解。等到规则细化,这些问题就会好转。”王新锐表示。
数据分类、分级就是一个例子。这一梳理数据,并定义数据类型、级别的工作,是《网络安全法》、《数据安全法》和《个人信息保护法》(以下或简称“三法”)都明确要求的内容。
当前,围绕数据分类分级,多份国家标准、行业标准都在起草和征求意见中,有个别的标准也已经落定。
从行业维度,《金融数据安全 数据安全分级指南》出现较早。省市维度,也出现了《上海市公共数据开放分级分类指南(试行)》、《武汉市公共数据资源开放分级分类指南(试行)》等。
最新地,2022年9月中旬,国标《信息安全技术 网络数据分类分级要求》(征求意见稿)也对外发布。
这些细则能更明晰地告诉企业,分类分级工作应该如何开展。
如《金融数据安全 数据安全分级指南》,会按照金融行业的特性,将数据按照安全级别划分为五类。并且,其中会特地按金融行业属性,标注出五类数据的特征。
或许由于“三法”均明确提及数据分类、分级的重要性,因此这一工作成为细则目前进展最快的方向之一。在宣淦淼的观察中,当前仅从地域维度,就有近20个省市发布了分类分级指导性文件。
但即便如此,如今数据分类分级细则的完善程度在一些产业人士看来依然有提升空间。
一个细节是,不少地方出台的分类分级指导性文件常针对公共属性数据,也会和多个行业产生交织。如上海市的相关条例中指明,“上海市水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性数据开放,可参考本指南进行分级分类”。
但参与过市级分类分级标准指南编制的宣淦淼表示,省市级别的分类分级指南比较专注框架和原则,不够细致,“拿轨道交通行业举例,轨道交通包含轨道运营类系统,涉及工业控制系统。而如果参考一些市级标准,轨交行业还是不知道这些系统中的数据到底应该归什么类、什么级。”
「美创科技」CTO周杰也认同,他在过去的实操中,看到的分类分级案例大多还需要从行业角度落地。
目前的一个共识是,金融业、电信业、政府是当前细则最完善的行业,但其他行业也需要这样的细则,“如果一些行业没有执行参考,就需要结合行业的数据特征、其他行业行标/地标、重要数据识别指南等因素进行梳理工作。”周杰表示。
很明显,无明确的行业规范,可能会加剧项目落地的成本。
36氪听到的一个例子是,由于落地细则不清,当前在一些甲方内部(如业务、安全、运维、法务等多个部门),在包括分类分级在内的、有关数据安全治理的责任划分问题上,还处于权责不明确、标准不清晰的状态。
但好的方面,很多迹象表明,企业渴求的指导标准正在持续完善的过程中。
一家消费电子企业的安全负责人早前告诉36氪,自己对合规最为迷茫的部分是与数据跨境传输、交互相关的业务该如何开展,“这部分都停滞了,要等政策清晰。”他说。
幸运的是,几个月过去,数据出境的规定正如他所期待的一样日渐明确。8月31日晚间,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》。
在不少解读中,这一《指南》在已正式施行的《数据出境安全评估办法》基础上,进一步明确了数据出境安全的评估细则——包括适用范围、申报方式及流程、应当提交的申报材料以及申报咨询的官方渠道等。
“今年7、8月,来咨询跨境数据交互的客户已经不少。而9月1日起这类需求更是明显变多。”有厂商也谈及变化。
一个值得关注的观点是,正因配套规则还在完善过程中,企业才有“补课空间”。
“虽然大家嘴上说没有细则,但现在如果真罚到头上,谁受得了?” 有企业直言。
这不是空穴来风的判断。
根据法律科技平台「无讼网络科技」CEO孔令欣的经验,法律法规的完善往往只是第一步,不断有案例落定,才会让整个生态更完善。
当前,也有不少从事合规业务的人士观察到了“合规不起诉”的现象。
专注合规业务的DPO律师「广东卓建律师事务所」陈曦尧表示,“合规不起诉”,法律术语是“涉案企业合规”。
其意思是公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,检察机关决定对其启动涉案企业合规程序。涉案企业,在检察院给出的整改期内,对不合规行为进行整改,并顺利通过第三方监控人监督评估考核,或者检察机关自主审查合格的,由检察机关对涉案企业及涉案人员作出不起诉或从轻、从宽量刑建议。
目前,这一制度也适用于数据合规。
这些现象或许侧面说明,当前企业进行数据合规,暂时拥有一定的“自我修正空间”。
此时,供应商生态反而显得尤为重要——一方面,甲方需要采购各种适合自己的服务和产品,用以合规。另一方面,在此期间甲乙双方共建而成的案例,也可以申请试点。
“当前甲方的状态是'八仙过海、各显神通'。”一位产业投资人士也向36氪表达了自己的观察,“这对乙方的业务来说是好事。”
这是依托经验得出的判断。
就历史来看,合规促生需求在安全行业属于惯例。典型如等级保护制度——自2007年出现等保1.0,再到如今的等保2.0,由此而生的培训、认证、测评和产品需求给不少厂商带来商机。尤其在产品层面,当等级保护的规定落定,不少甲方企业已经可以做到按部就班地采购产品和方案的程度。
在一些统计中,传统数据安全当前的市场规模距离百亿元尚有差距。而合规,会让这个市场变得更受关注。
“但是,数据安全与数据合规并不是相同的细分市场。”元起资本联合创始合伙人万熠强调。他觉得,数据安全只是数据合规中的一个目标和建设环节,而数据合规包含了数据安全。
他进一步解释,过去狭义的数据安全市场,更多针对数据方自身数据的完整性、使用权、所有权进行保护。
而数据合规,除了上述内容外,还要满足法律对数据所有方、使用方、加工方、服务方以及其他可能接触数据主体的强制要求。
所以在这一观点里,在传统数据安全范畴之外,数据合规还包括了法律服务、管理咨询、人才体系、意识教育、数据治理等相关的技术手段、产品、服务。
也就是说,数据合规的空间会超越传统数据安全。
将上述业务对应到参与者,36氪通过调研了解到,如今参与数据合规生态的供应商,主要分为律所、技术公司,以及开展培训业务的机构三类。
其中,律所的作用是,帮助企业理解法律法规,并进行制度搭建、审核等工作;技术公司主要提供各类数据安全、内控审计、数据平台、数据治理等各类产品;从事培训业务的企业,会为有需求的企业和个人提供相关的课程(如DPO数据保护官培训)。
按照上文提及的“参照法律法规制定措施,采购或自研产品,持续运营”的逻辑,可以看出,律所、技术厂商和培训机构的工作恰好覆盖了一家企业建设数据合规的基本面。
在这一生态内,科技属性最强的无疑是技术厂商——从成长规律看,获得投资最多的也是这类企业。但在合规全方位起步的阶段,是法律和培训机构最先深度参与其中。
数据分类分级依然是一个典型场景。
有安全上市公司的研发负责人观察到,在不少行业标准还在落地的当下,自家销售团队拓客时可能会遇到客户的抵触。这是因为,一些行业的分类分级需要客户主导定义数据的级别和种类。而如果“厂商在这个时候直接和客户说数据属于什么类型,人家是不认的”。
他早前经历的一个例子是在公交公司的项目中,双方就健康码是否属于个人信息保护范畴而产生争论。在客户眼中,用户办理公交卡时会提交的姓名、性别、身份证等信息属于个人敏感信息。但关于健康码的颜色、时间记录是否同属于此,二者存在不小分歧。这导致的最终后果是,这家上市公司做出来的方案被客户全盘否定。
“如果是律所提出建议,或许能更被接受。”这位研发负责人坦言。
无独有偶,“我们观察到合规和数据安全是今年非常重要的方向。”孔令欣肯定了当前数据合规在法律界的蓬勃局面。
一个例子是,孔令欣发现在无讼平台上出现的数据安全文章越来越多。而在法律行业,律师们产出相关的文章往往意味着自身已经遇到相关的案例,并且愿意持续在这一领域接案例。而之前,关于数据安全方向的文章数量呈现出“非常零散”的状态。
作为从业多年的数据合规律师,王新锐也感受到数据安全的热度。由于数据安全的相关法律法规还在持续出台过程中,几乎每个规则出来都会征求意见,所以在这期间,律师们不断地发布文章解读法规成为一种批量现象。“数据安全已经被我们戏称为'最卷领域'。”他下了一个结论。
而在律所和培训机构之间,也存在着有趣的人员流动。在采访中36氪发现,当前市面上最火的相关培训是DPO(数据保护官),不少律师和企业法务、业务人员都曾参与学习。
DPO培训引进自海外,主要参照欧盟GDPR,目前已新增中国《个人信息保护法》的内容。山竹科技CEO向丽向36氪表示,2019年,由于法律未定,其向学员讲述DPO课程时,需要鼓励大家“因为相信,所以看见”。但时至2022年,情况已经发生显著变化。
36氪了解到,一家AI公司的管理层在意识到数据合规对企业经营风险的潜在影响后,决定组织法务、合规、IT安全以及核心产品线的leader 一齐参与DPO培训——2万元左右一人的培训,最终有30余人参与其中,业务leader占到一大半。
“两年内我们培训过的学员已有数百人。”向丽介绍。
不过,就算处于“老天赏饭吃”的时期,这两类角色依旧潜移默化地达成了一个共识——在数据合规这个领域,单纯懂法律不够,了解技术也是必选项。
这种融合性在培训课程中也可见一斑。一些DPO课程中有对欧盟GDPR、中国《个人信息保护法》,和《信息安全管理体系标准ISO27000》的解读——这一标准涵盖了对基本安全技术的解读。
在采访中,也有不少律师和从事培训业务的人士表示,自身会和技术厂商讨论合作,一起帮助甲方合规。
而有甲方从业者也告诉36氪,自己非常希望发现可以有效提升数据安全、数据合规能力的产品。“如果有一家这样的公司,我想加入它。”他直言。
接下来的问题是,在这个令甲方焦虑的合规探索期,备受瞩目的技术厂商们又产生了怎样的变化?
顺理成章地,合规趋势之下,技术厂商的产品和业务也发生了变化。
首先是产品。
从类型看,过去多年国内较普遍的数据安全产品主要有两种:数据库安全(包括数据库加密、数据库审计、数据库防火墙,脱敏、水印等)和数据防泄密(DLP)。
概要地讲,前者主要保障数据本身在保管、存储时的安全,如数据库加密就是一个典型例子。而DLP的主要目标是防止数据丢失和滥用,产品主要部署在数据出口位置,对内容识别、加密、管控、审计。
数据安全技术总体视图 来源:中国信息通信研究院
这两大方向的数据安全产品已经发展较久,尤其是数据库安全范畴内的一些细分产品,如数据库审计、脱敏等已几乎成为等保标配,属于基础类型的合规产品。
在这些市场里,已有不少老牌公司。
其中,国内第一批专注数据库安全的企业约成立于2005年之后。相关厂商包括「安华金和」、「昂楷科技」、「美创科技」、「闪捷信息」等。
防泄密类产品也在国内发展了十年以上,当前主要分为网络、终端DLP等,厂商有「天空卫士」、「亿赛通」等。其中,亿赛通已于2014年被上市公司绿盟科技收购。
而2020年左右,市场上逐步出现一批新的数据安全公司,主打“流动的数据安全”。其核心理念是,梳理企业的数据资产图和数据资产流动图。
这“两张图”与合规之间的关系,即对应了上文提及的,企业通过掌握自身数据资产的数量、种类、流向、使用方式、防护手段等情况,在保证数据安全的同时,也达到监管机构的要求。
能看出,这是一项高阶能力。理想状况下,企业可以依据数据资产的情况,向任何内外部机构、部门提供自身数据处理的说明。
「红途科技」CEO刘新凯表示,在国外,相关赛道已经有独立名称,即DPM(Data Privacy Management)。在国内,由于法律中并不仅针对隐私数据,包括企业经营数据在内的其他重要数据也是重点合规对象,所以需要管理的数据对象也会更宽广。
如果将两代数据安全产品进行对比,可以发现,是否强调从动态的角度、关注数据在各个业务系统中的流转,是二者间的主要差异。
「薮猫科技」CEO王宇曾告诉36氪,目前市面上大多数据安全产品还是以静态、单点为出发点,无法从动态、全局的视角审视数据安全问题。
王宇介绍,成立于2021年的薮猫科技,希望帮助企业做到数据泄露渠道的量化和数据流转的透明化——也就是画出企业的数据资产地图,和资产流向图。
刘新凯也曾向36氪介绍,其数据链路追踪引擎,能够显示数据从输入或查询开始,进入应用,一直到数据库库表乃至字段的全过程链路。其效果是,可以在出现安全事件时,快速进行溯源。
同样强调流动概念的厂商还有「全知科技」、「数安行」等。
在更细分的维度上,关于过去的数据安全产品是否完全属于“静态”产品,还存在一些争议。
在不久前的一次交流中,有创业者向36氪表示,数据库审计类产品也是针对访问的流量,对数据库的操作行为进行记录,以供事后溯源、追责。这也是一种实时留痕、动态的过程。而且,关于数据出库后的安全情况,业内也一直存在相关产品。
而一家较新成立的数据安全公司认为,在数据安全审计环节,过去一些数据库审计产品主要分析应用和数据库之间的流量,这种方式覆盖不到用户的登录名、IP、登录时间等,也覆盖不到所有被访问了的数据,细粒度相对不够。
某种程度上,“动静与否”可能是个相对的概念。但各类厂商们更关注流动、全局的数据安全思路,已是既定事实。
一个例证是,作为国内数据库安全的代表之一——安华金和如今也推出了数据安全监测平台。“这一平台同样拥有帮助客户监测内部业务数据流动的功能。”安华金和CEO刘晓韬向36氪表示。
如果以上更像安全技术思路的演进,那么另一方面,业内还出现了一些相对更从评估视角切入的企业。
比如,36氪此前曾报道过的「数安信」,表示自己通过拆解法律法规,形成了可以检测企业数据合规情况的规则库,并基于此帮助企业进行数据合规。其他相关公司还有「尚隐科技」、「英斯盾」等。
可以看到,当前数据合规领域的初创公司分别从技术、法律等自己擅长的切口入局,但未来,这些公司的产品功能可能会产生融合。在国外,已经能看到具备综合能力的企业,如OneTrust、BigID等。
国外隐私科技供应商能力展示——来源:IAPP(2021)
产品创新之外,数据分类分级业务,几乎成为了数据安全厂商的兵家必争之地。
数据分类分级,属于资产盘点的一部分工作,这项工作偏向于数据治理范畴,和数据安全属于上下游关系。但如今,似乎很难找到一家完全不开展分类分级业务的数据安全公司。
最直接的原因,无疑还是分类、分级是“三法”中被明确规定的条例。而另一个方面,分类分级和安全密不可分,不同数据需要根据自身所属的类型和级别,针对性地配置安全规则。
比如,李云在为消费电子厂商进行时分级时,会将个人信息分为普通、敏感等不同级别。例如,人脸等生物特征属于敏感信息,要求不上云、不出本地;家庭设备信息属于普通信息,可以上云进行分析。
也就是说,数据分类分级是安全的起点,对不同数据采用何种安全保护方式拥有着决定权。“这项工作既是合规,也是合需。”美创科技CTO周杰总结。
对比法律咨询和培训业务的如火如荼,合规效力对一些技术厂商的利好相对滞后。
“从去年到今年的收入只有几百万。而且照这个速度看,全年业绩也不会有太多增长。”一位跟踪新型数据安全厂商长达数月的投资人难掩失望。在他的最初设想中,这类公司的业务会随着合规需求的增长,而快速产生飞跃。
但回到现实,对于新型产品而言,思路和方向的新颖程度永远只是第一步。找到自己的客户,预判需求放量的时机,是另一个话题。
从全局看,在2021年法律批量出台之前,数据安全并非各行业刚需——除却互联网、电商、金融等可能因数据安全造成严重业务损失的行业,不少行业还没有搭建基础的数据安全设施。
这意味着,眼下关注业务数据流转的企业,一定之前也在数据安全上花费过不少气力。
而另一方面,这类企业可能会选择自己研发这类产品。蚂蚁集团副总裁韦韬就曾表示,当前蚂蚁已经通过安全平行切面体系,达成了对数据资产和数据链路的精细刻画。
36氪还了解到,一些头部互联网公司的安全部门,之前也进行过勾画数据链路图的尝试,其中的一些也已摸索出自己的方案。
并且,关于数据链路的勾画,还涉及技术路线选择的差异。
当前盘点数据资产梳理和链路图勾画,业界谈及较多的方式有扫描(端口探测)、流量镜像和在系统、应用内部署探针三种。这些方式各有利弊,有各自更适合的场景。
其中,部署探针的手段对数据链路的抓取更为精细,在云化场景中更加适用,也是不少厂商正在探索的方式。但这种方案在一些甲方看来较为前沿,可能会谨慎尝试。
“我们看重业务数据链路,但绝不会当'小白鼠'。”有头部券商内部人士斩钉截铁地说,自己公司不可能成为吃螃蟹的人。
产品之外,勾画数据链路图还体现出场景落地的时间区别。
理想状况下,企业的任何一块业务都应该被完整勾勒出数据链路。但如今的情况是,由于政策引导和事件驱使,不少甲方更看重跨境、跨集团数据流转的合规性。显然,这只是企业数据链路中的一个场景,但如果可以填补这块需求缺口,也能够体现这类产品的部分价值。
整体来说,如何找到第一批合适的客户,并通过它们将产品打磨完善,证明产品的效力,是新一代数据安全厂商眼前的重要课题。
而一个在采访中真实出现的现象是,一些对新型合规类产品有着了解渴求的甲方,由于地域、组织意愿、预算等条件所限,确实还未观察到如今数据安全产品正在发生的变化。
对比这些新成立的公司,国内第一批数据安全公司在这一年中较快感受到业务需求的提升。
原因在于,这类企业已经具备一定口碑,在不少客户刚开始探索合规的时期,它们的咨询服务(主要包括整体合规体系构建、一部分数据分类分级工作)和基础类数据安全产品(如数据库审计、脱敏)大概率会获得业绩提升。
在采访中,一些成立时间较久的数据库安全厂商告诉36氪,预计今年的数据库审计和脱敏产品会获得30%以上的业绩提升。
这是因为,不少人认为法律法规中提及的“去标识化”、“匿名化”和脱敏、加密类产品直接相关。而且,当不少中小企业在开始进行数据合规建设时,也会从基础产品的采购开始做起。另外,数据库防火墙、数据库审计类产品的业务增长也有一部分来自于老客户的扩容需求。
更重要的是,不论产品形态如何,对所有的数据安全公司而言,合规都意味着一次前所未有的市场变局。
数据分类分级其实是一个安全外延的例子。
首先,作为安全业务的起点,数据分类分级被不少公司视作新的业务入口——它们希望通过帮助企业进行分类分级,顺理成章地为其提供接下来所需的安全产品。
但在更宽泛的市场环境中,数据分类分级的高涨需求,也并不只有安全厂商看到——至少,一些专注数据治理的公司,也在法律法规明确之时,甚至更早就推出了数据安全治理的模块,其中重点就包括分类分级。
数据治理厂商「御数坊」CEO刘晨告诉36氪,其在2020年下半年增加了数据安全团队,目标是开展数据安全治理的业务。在御数坊的产品规划中,其可以通过元数据中心模块,将客户的元数据采集之后,再进行智能化分类分级,打好安全等级。
刘晨认为,数据治理厂商由于了解数据的处理过程,和数据对业务的定义,所以能对数据进行更细致的拆解,让分类分级的工作更贴合业务。“比如,我们会了解哪些数据支撑了哪些数据集市。”他介绍。
有头部互联网公司的产品经理告诉36氪,包括数据采集、数据清洗、数据分类,以及面向业务的数据集市建设等工作多属数据部门的职责。数据梳理清楚后,安全策略的配置归属安全部门。
但在数据合规的驱动下,数据分类、分级的工作成为了数据部门和安全部门都在关注的事情。
刘晨也表示,当前自己在开展数据分类分级业务时,可能遇到甲方的数据团队,也可能遇到安全团队。显然,早前专注于数据治理的厂商,和数据部门的沟通会更顺畅。
但另一个变量是,当前一些招标会将分类分级和安全采购打包,这种情况对安全厂商更有利。而且,当前也有厂商将数据治理和数据隐私治理分开,以厘清彼此间的关系。
不过回到当下,讨论谁在对接客户方面更具优势,可能只是一个细分话题。
因为不论谁来做,数据分类分级可能都是辛苦活。
在采访中,不少厂商均表示,这一业务的开展在梳理和定级、定类环节都需要人工强参与。
一种可能的情况是,在分类分级项目中,厂商通过扫描方式拿到数据库类型的信息之后,需要和客户确认这类信息的精准性,和数据库的部门归属权。完成这一步之后,如果要对数据库内的信息进行分类分级,还需要客户提供一定权限,双方再一起按照标准或经验进行分类分级。
重重环节导致的一个现象是,厂商如果给早前疏于数据治理的客户做数据量较大的项目,交付周期可能达到数月之久。
在自动化方面,如果客户早前已经建立了元数据中心,对基础数据做好了描述和分类,那么利用元数据中心的能力,可以通过智能化的方式,较快完成上层数据的分类分级。
但问题在于,有过这种数据治理基础的企业依然是少数。
上述券商人士谈及自己公司的数据治理情况表示,当前其数据治理仅在数据中台内部获得较完善的落地,包括分类分级在内的业务数据治理,几近一块空白。
这是一家金融企业的情况,其余不少行业的状况不言而喻。
但即便行业现状如此,对企业客户和技术提供方来说,开展分类分级这种苦活累活,依然是一场必要的“修行”。
本质原因在于,数据安全和网络安全存在差异——数据往往和业务效果强相关,而网络安全更重视IT系统。
但如今的数据合规,其实是在强调安全与发展并重。这对数据安全厂商提出的要求是,理解数据基础技术、了解数据和业务之间的关系,才能帮助企业客户更好地进行合规——恰好,分类分级作为数据治理和数据安全链接之处,是帮助厂商理解企业数据价值的切口,也是企业进行合规建设的基石。
另一个现象是,一些投资人对近20年的发展时间内,国内还暂未出现一家拥有全栈数据安全产品线的上市公司表示出疑虑。
刘晓韬认为,过去多年,数据安全一直作为网络安全的一个子集发展,独立发展的时间并不长。“安华金和也是在2017年才认识到,数据安全不全是网络安全的延伸,它的核心在于数据。”他说。
数据合规,可以让安全厂商在理解数据的同时,了解数字化时代的企业业务,走入更大的市场。对甲方企业中的安全从业者,这更是一个契机,打破长久以来横亘在“安全与业务”之间的壁垒。
最根本地,这可能是二十年来第一次,所有人对数字化“根基”的真实凝视。
在采访中,不少行业专家均表示,虽然数据合规在国外相对较早出现,但由于法律体系、科技水平、企业特点等不同,对国内企业而言,这次挑战没有国外答案可以直接抄。
单就技术角度,虽然国外已经出现类似OneTrust、BigID这类数据合规独角兽,但国内企业面对的情况可能更为复杂。“由于软件巨头和云厂商的作用,国外的IT架构相对标准,技术厂商梳理数据资产相对容易。”刘新凯举例。
以2021年法律的批量颁布为节点,中国的数据合规已经正式拉开序幕一年。当前,可能也正是整个路途中最艰难的阶段。
移动互联狂奔20年,企业补上数据治理和数据安全这门必修课,或许只会迟到不会缺席。只不过,此时这门课的名字恰好叫“数据合规”。
(36氪作者徐文璞对本文亦有贡献)
(文中林辉、李云、何洁为化名。部分内容来自六度专家访谈。另感谢3E资本刘明伟、元起资本陈新龙、华泰创新陈至圣对本话题的支持)
文中部分参考文献:
《数据安全技术与产业发展研究报告(2021年)》,中国信通院
《2021 Privacy Tech Vendor Report》, IAPP
《阿里与蚂蚁 今后将根据个案协商数据共享》,华夏时报网
《阿里巴巴2022年财政年度报告》
《APP违法违规收集使用个人信息专项治理报告(2019)》, “App个人信息举报”微信公众号
《网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告》
《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》
《中华人民共和国个人信息保护法》
国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
