新规有望推动数据安全市场增长 360安全专家提出三点建议

近日，国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》)，自2022年9月1日起施行。据360 (601360)的安全专家介绍。SH，以下简称“360”)舒天智库，《办法》的颁布体现了国家对数据退出管控的高度重视，为数据退出提供了可操作、可实施的法律依据，将从多方面促进数据处理者积极构建和提升数据安全能力。

根据《办法》的要求，数据出库活动主要包括两个方面。首先，数据处理器将国内作业中收集和生成的数据传输和存储到海外；二是数据处理器收集生成的数据存储在中国境内，国外机构、组织或个人可以访问或调用。

对此，华安证券发布研报指出，根据过去《网络安全法》及相关政策法规规定，“数据出境”的范围为网络运营者及其他机构和个人在中国境内收集或生成的个人信息或重要数据。《办法》强调，数据处理者向境外传输数据或者允许境外获取数据的，必须向国家网信部门报告。此举大幅扩大了“数据出境”的审查范围，其审查对象可包括境外上市企业及其他在华离岸企业、在华外商投资企业和境内外商投资企业。因此，在强合规审核下，未来数据安全赛道下游市场空间巨大。华安证券认为，《办法》填补了数据安全法规在执行层面的漏洞，有望成为市场增长的强劲推力。

对于相关数据处理方而言，迫切需要提高自身数据安全风险防范能力，开展自我评估，确认境外数据接收方的数据安全保护能力，就双方数据安全保护责任和义务达成一致，形成符合要求的法律文件，满足出境数据安全评估条件，有效促进数据安全有序跨境流动。对此，360专家提出三点建议。

首先，建立数据安全风险评估和审计机制，形成数据安全监管的常态化。建议数据处理方建立有效的数据安全风险评估和审计机制，实现数据安全监管的连续性，让数据处理方自我认证是否符合数据出境安全评估的要求，实现第三方的数据安全监管。

其次，基于数据安全能力成熟度模型(DSMM)，对数据出口责任方的数据安全保护能力进行评估。建议国内数据处理商通过DSMM评估对自身数据安全保护能力进行评估，可以基于DSMM对问题项和潜在风险项的能力进行改进和提升；建议数据接收方基于DSMM对数据安全能力进行评估，以证明其数据安全保护能力满足数据提供方的要求，并有能力履行数据安全保护义务，从而有效保障出站数据的安全。

三、及时梳理数据退出相关业务，尽快满足《办法》明确的合规要求。由于数据退出安全评估需要提前进行，数据处理方应把握并利用好实施前的时间和6个月的整改窗口，明确数据退出相关合规要求、数据退出和重要数据的关键定义，并对自身业务和相关数据进行盘点，以满足《办法》的合规水平。

对于安全厂商来说，《办法》的实施使得数据安全成为企业刚需，为数据安全赛道打开了增量空间，有利于安全厂商开展相关数据安全业务。据悉，由360牵头的大数据协同安全技术国家工程研究中心，针对我国大数据环境下数据安全和系统安全监测、预警、控制和处置能力不足的问题，着力提升大数据安全分析能力，确保安全

目前，大数据协同安全技术国家工程研究中心已经在上海、贵州等地，以及中石油、中国一汽等行业成立了十家联合研究机构，深入不同地方、不同行业的具体场景，开展数据安全创新和能力建设。

此外，国家工程研究中心与贵州省大数据安全工程研究中心等同行一起，形成生态，提供DSMM咨询、评估、培训服务，可以帮助客户提升数据安全能力和数据安全防护水平。

而且，为了解决企业数据安全战略视野不足、人才匮乏的问题，研究中心还联合各机构开展了注册数据安全员、注册数据安全工程师、DSMM测评员的培训，以壮大数据安全人才队伍，构筑国家数据安全屏障，为中国数字经济发展保驾护航。