数据安全/网络安全/信息安全/数据资产安全的定义及关系
数据安全:指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术,包括一系列的措施、策略和程序,旨 在保护数据的保密性、完整性和可用性,侧重于数据的全生命周期内的安全与合规。 网络安全:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能,侧重于计算的资源与环境,具有边界。 信息安全:强调信息本身的安全,以信息的机密性、完整性、可用性(CIA)三大基本属性为保护核心,辅以信息的不 可否认性(抗抵赖性)、真实性、可控性等扩展属性等保护,侧重于保护一切有价值的信息。 数据资产安全:数据安全3.0时代进入到体系化数据安全治理时代,数据上升到资产,基础设施层面。数据资产的安全 重点转为保护具有业务价值的数据;面向数据资产的保护意味着面向企业业务的保护。 关系:数据安全是信息安全的核心,可将网络安全理解为手段,数据安全和信息安全理解为目标。
2023年最具影响力的十大网络安全事件
信息化浪潮席卷全球的背景下,全球网络安全事件频发。2023年发生的创记录的数据泄露、勒索软件、零日漏洞、间 谍软件和供应链攻击事件为2024年全球网络安全威胁态势定下了主旋律和基调,同时也为网络安全专业人士制定风险 管理策略和目标提供重要参考。
数据安全活动的目标&数据安全的主要活动
根据DAMA定义,数据安全活动目标主要包括三个方面: 支持适当访问并防止对企业数据资产的不当访问。支持对隐私、保护和保密制度、法规的遵从。 确保满足利益相关方对隐私和保密的要求。 数据安全的活动包括六个阶段:识别数据安全需求、制定数据安全政策、定义数据安全标准、评估当前安全风险、实 施数据安全控制和程序、实施数据安全审计。
数据安全的主要活动——定义数据安全标准、评估当前安全风险
定义数据安全标准:政策指导行为准则,但未覆盖所有特殊情况。 标准作为政策的补充,为如何达成政策旨趣提供了更具体的说明。 评估当前安全风险:评估数据安全风险指的是通过系统的方法识别和评价可能威胁组织数据安全的各种因素,以及这 些威胁可能导致的后果,此过程包括确定数据资产、潜在的威胁、可能的漏洞及这些因素可能导致的风险水平。
数据全生命周期的安全防护实现数据安全治理有效闭环
数据安全活动:宏观层面上对数据安全的管理和控制进行阐述,利于确保数据安全整体策略和流程的连贯性和一致性。 数据安全活动的每一个步骤都可以拆分为数据采集、传输、存储、处理、交换和销毁六个方面来进行阐述。 数据全生命周期安全防护:更为微观,其从数据本身出发,将注意力集中在数据采集、传输、存储、处理、交换和销 毁等各个阶段,通过关注数据在其生命周期中的每一步如何被保护,可以提供更细致、更具体的安全措施和实践,有 助于确保在数据的每一个环节都实现安全性。 两种视角相互补充实现数据安全的持续改进和适应性发展。宏观策略为微观实施提供方向和框架,微观实施的反馈和经验可以用来优化宏观策略。
数据要素市场蓬勃发展,规模持续扩大
在国家政策引领、地方试点推进、企业主体创新等多方合力下,我国数据要素流动势能不断积聚,数据基础设施不断 完善,数据要素市场不断探索和创新,步入高速增长阶段。2021年我国数据要素市场规模约为815亿元,预计“十四 五”期间市场规模复合增速将超过25%,到2025年规模有望接近2000亿元。 产业发展方面,全国数据交易机构逐步升级优化,服务模式和服务内容不断创新,各地围绕数据要素市场培育的路径 和模式各具特色,数据要素市场交易机构、运营体系、保障机制初具雏形。 在流通实践层面,数据资源基础较好的领域及行业基于先期优势,逐步形成细分领域数据要素市场差异化特征。
数据要素利好政策持续释放,助力市场活力加速迸发
国家战略全方位布局数据要素发展。近年来,我国高度重视数据要素及其市场化配置改革,陆续出台了多项数据要素 相关政策文件,数据要素已成为经济高质量发展的重要支撑。目前,我国数据要素政策体系架构已初步形成,“数据 二十条”为推动数据要素发展筑牢政策基础,数据要素统筹管理、协调发展的体制机制将进一步完善。
多省级数据局开年密集揭牌,数据安全产业作为配套工程乘风提速
多省份数据管理机构揭牌,呈大同小异和因地制宜的发展趋势。 2023年10月25日,国家数据局正式挂牌成立,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用, 统筹推进数字中国、数字经济、数字社会规划和建设等。 2024年,新一轮机构改革逐步在省级层面落地,省级数据管理机构密集揭牌。截止2024年1月26日,已有14家省级数 据局相继挂牌,全国各省市数据要素化市场加速推动。
“数据要素×安全流通”,加强数据安全保障,推动数据资产入表、数据资本化
“数据要素×”三年行动计划,保障支撑章节提出优化数据流通环境、加强数据安全保障,加大中央预算内投资“数 据要素×”试点工程,引导社会资本投向数据产业,推动数据资产入表、数据金融创新等活动。数据安全保障侧,行动计划提出:一、建立数据安全治理体系,落实数据分类分级保护、网络安全等级保护、关基信 息保护以及个人信息保护。二、发展精细化、专业化数据安全产品,开发面向中小企业的数据安全工具包,轻便化、 定制化个人数据安全防护产品。三、鼓励有实力的企业提供基于云端的数据安全服务。数据流通环境侧,行动计划提出:一、强化交易所合规管理和服务质量,标准化、高效率推动数据共享流通。二、深 海隐私计算、可信数据空间、区块链技术应用,建设重点行业和领域数据流通平台,促进数据合规高效流通使用。三、 因地制宜建设各类数据园区,培育数商、第三方专业服务机构等流通服务主体。
数据安全市场规模持续扩大,竞争格局多元化
数据的流动性、多样性和可复制性使数据安全风险不断放大,数据安全需求爆发,未来将推动市场规模进一步扩大。 十六部门联合促进数据安全产业发展,1500亿市场呼之欲出。2023年1月,工信部等十六部门联合发布《关于促进数 据安全产业发展的指导意见》,目标到2025年,数据安全产业规模超过1500亿元,年复合增长率超过30%。 根据IDC数据,2022年中国数据安全软件市场规模为8.6亿美元,同比增长23%。预计到2027年,中国数据安全软件市 场规模将达到22.2亿美元,年复合增长率 20.7%。 数据安全市场的竞争将日益激烈,新兴安全厂商与传统 IT巨头积极布局。企业间竞争主要体现在技术实力、产品线丰 富度、服务质量等方面。同时,新技术、新业态的涌现也为市场带来新的竞争力量。
AIGC:引领下一代技术风口与产业趋势,产业规模展望庞大
2023年,以ChatGPT等为代表的AIGC技术应用火遍全球,由大模型驱动的AIGC时代正式开启。 在政策推动与技术应用落地等多方位因素驱动下,我国AIGC行业正迎来新的风口。当前,新一轮科技变革正向着纵 深演进,AIGC及AI大模型为各行业各领域带来了创新机遇。 2024年是AI产业年,越来越多的创新应用场景和产品形态将不断涌现。 AIGC未来产业规模展望庞大。预计2027年,中国AIGC产业规模将达到4759亿元,逐步建立完善模型即服务产业生态, 2030年中国AIGC产业规模有望突破万亿元,达到11441亿元。
AIGC对数据的使用量前所未有,驱动数据要素市场需求爆发
全球数据总量和算力规模高速增长。据IDC数据显示,2022年全球数据圈数据量规模达到103.66ZB,中国数据量规模 将从2022的23.88ZB增长至2027年的76.6ZB,CAGR达到26.3%,增速有望位列全球第一。 大模型技术取得的突破离不开高质量数据的发展。数据已成为未来人工智能竞争的关键要素,人工智能正在从“以模 型为中心”加速向“以数据为中心”转变。 人工智能发展驱动数据要素市场需求爆发。伴随着大模型时代的到来,大模型训练使用的数据集规模持续增长,更加 需要大规模、高质量、多样化的数据集提升模型效果和泛化能力。如2018年GPT-1数据集约4.6GB,2020年GPT-3数 据集达到了753GB,而2021年Gopher数据集已达10550GB,2023年GPT-4的数据量更是GPT-3的数十倍以上。
生成式大模型面临的数据安全合规风险
大模型的训练及其应用的落地需要大量的数据作为支撑,由此带来的个人隐私泄露和数据篡改等数据安全风险已成为 法律所必须因应的重要议题。针对不同阶段涉及的数据处理行为,大模型的动态数据安全风险存在差异。 训练数据的采集阶段:大模型的搭建依托于海量的训练数据,由于训练数据的来源属性具有多元性,所可能引发的数 据安全风险也是多重而非单一的。如难以保障模型开发者对每个训练信息主体都完全符合知情同意的具体要求。在模型的训练与调整阶段,如无法保障模型内存储数据免遭黑客攻击或内部工作人员非法披露导致数据泄露风险。 大模型在全球范围内收集和使用用户的个人数据面临极大的合规风险。如国内的ChatGPT用户出于数据分析或信息统 计等目的,将其收集的一定规模的个人数据的传输至OpenAI的境外数据处理中心,就很可能构成事实上的数据出境行 为,如果未经审批许可将导致极大的合规隐患。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
