2023年上半年国内外数据安全领域发展情况综述

2023年上半年，百年变局与世纪疫情交织叠加，网络数据安全攻防态势持续升高，人工智能取得爆炸式突破，世界各国高度关注网络数据安全领域的产业布局和创新发展，国内数据安全产业取得长足发展。通过对国内外数据安全领域发展情况的全面盘点和分析研判，中电科网络安全科技股份有限公司数据安全事业部梳理总结了上半年国内外数据安全领域发展情况，分析预测了下一阶段数据安全产业发展趋势。

一、国外数据安全形势

上半年，国外网络数据安全领域在战略、技术、演习等方面展示了新的发展动向，各国积极布局数字产业、人工智能和隐私保护，值得大家关注。

（一）全球数字化转型迈入新阶段。美、英等国提出数字化转型战略并加速推动数字化转型，美国防部领导人明确表示将数字战场视为未来战场，英国公布《数字与数据计划》，旨在2023年实现以数据为中心和部队数字化的愿景。战略层面，美国发布新版《国家网络安全战略》，新战略作为美国当前最重要的网络安全战略文件，体现了美政府在网络安全领域的优先事项和行动路线图，为美国如何保护其数字生态免受犯罪和其他实体的影响提供战略指导，提出实现美国国家网络安全战略目标的5大支柱和27项具体举措。东盟、欧盟在布局产业数字化的同时，持续颁布或修订数据安全和个人信息保护法案，数据主权和隐私保护受到广泛关注，数据安全和隐私保护执法频率较高、处罚金额巨大。

（二）网络数据安全技术进入智能化时代。ChatGPT横空出世，成为全球焦点，网络数据安全领域的人工智能时代逼近，AI大模型将广泛运用于安全领域。在零信任、量子计算、GPT等技术推动下，网络攻防技术不断创新，安全产品和方案不断涌现，网络装备平台加速迭代。美国加快零信任架构的部署和使用，美国防部认为实施零信任是保护基础设施、网络和数据的一次巨大的安全范式转变，零信任从新理念进入到主流架构的落地期；量子计算通过“星链”逐步应用于军事领域；GPT-4被国外公司加以应用并探索商业落地，微软公司推出基于GPT-4的安全助手Security Copilot，谷歌将生成式人工智能（Sec-PALM模型）引入安全领域，发布云安全人工智能工作台（Cloud Security AI Workbench）套件。美国国家标准与技术研究院（NIST）加快安全标准的制定与更新，发布全新的网络安全架构，将数字孪生、人工智能及人类专业知识相结合来标记网络攻击指标。此外，美军还加紧研发静态机密任务数据保护、网络心理学信息网络防御、“数字猎犬”网络攻击嗅探、DARPA秘密项目“可信任的集成逆向工程”等网络数据安全技术。

（三）关键基础设施安全成为演习重点。北约4月举行的“锁定盾牌”演习，组织了38个国家的3000多名参与者参与，演习场景涉及对一个虚拟国家的一系列复杂且级联的网络攻击，影响范围从军事和政府到能源、电信、交通和金融服务等关键基础设施；美军“猩红龙绿洲”演习测试在实战场景中利用软件和人工智能处理数据来加快决策速度和目标打击流程，改进杀伤链和作战方式。

总体来看，随着俄乌冲突和大国竞争的持续，以人工智能为代表的新技术将被快速运用于安全领域，各国在网络数据安全领域面临更为严峻的挑战，数字主权、数据安全和隐私保护将成为长期的执法重点，关键设施安全是确保国家安全的重要基础。

二、国内数据安全领域动态

随着数字中国战略的稳步实施，数据安全立法加速构建，目前已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，地方法规、规章为抓手，国家及行业标准为实践指南的数据安全保障“四梁八柱”。2023年上半年，中央、地方和信安标委围绕数字政府、数字经济、数据要素、数据安全、算网融合、人工智能治理等核心议题推出大量法规标准和指导意见，网信、公安、工信围绕网络环境、数据跨境、移动应用服务合规、网络犯罪等开展一系列专项整治、安全评估和监督检查，法院、检察院持续发布个人信息保护领域典型案例和司法白皮书，多个行业主管部门研究出台行业数据分类分级和重要数据识别的征求意见稿。同时，随着数字经济和企业数字化转型的推进，数据安全风险敞口同步激增，上半年数据泄露等安全事件呈现高发态势，传统犯罪类型借助新技术不断形成变种，企业因数据安全事件造成的损失居高不下，数据安全产业在政策支持和企业需求的双重推动下蓬勃发展。

（一）数据安全顶层设计不断完善。数字中国战略稳步推进，数据安全作为国家安全的重要组成部分，国家在制度和组织建设的顶层设计优化完善。制度规划方面，工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》，对数据安全产业提出产业规模、复合增长率、先进示范区、产业园、专精特新等具体指标，展望2025年产业规模超过1500亿元；中共中央、国务院印发《数字中国建设整体布局规划》，强化数字技术创新体系和数字安全屏障“两大能力”，数据安全和个人信息保护连续三年被写入政府工作报告；《商用密码管理条例》历经24年重新修订发布，旨在规范商用密码应用管理，鼓励促进商用密码产业发展。组织保障方面，全国两会审议国务院机构改革方案，组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设，为数据安全治理提供强力支撑。

（二）行业监管办法紧锣密鼓出台。网信加大网络数据安全统筹协调和规划力度，工信深化工业、电信互联网领域数据安全监管，公安加大网络犯罪打击和等保、关保执法检查，行业主管部门加大数据安全和个人信息保护监管指导。网信办进一步优化网络环境，全年针对重点时期和社会热点组织“清朗”专项行动，紧盯网络内容安全，营造清朗互联网环境；持续跟进新技术新应用安全，公开征求《互联网信息服务深度合成管理规定》《生成式人工智能服务管理办法》《近距离自组网信息服务管理规定》修改意见；不断规范行政执法，出台《网信部门行政执法程序规定》；对美光发起网络安全审查，有力保障国家安全；完善数据跨境监管体系，出台《个人信息出境标准合同办法》，指导省级网信部门开展数据出境安全评估和个人信息出境标准合同备案工作。工信部开展新一轮电信互联网服务专项行动，出台《关于进一步提升移动互联网应用服务能力的通知》《电信领域违法行为举报处理规定》，发布《App用户权益保护测评规范》系列标准，指导各级通管局监督检查App侵害用户权益行为；规范工信领域行政执法，出台《工业和信息化行政处罚程序规定》和2022年版行政执法事项清单，组织数据安全政策宣贯培训会，指导工业、电信和互联网行业开展重要数据识别备案工作；加快布局IPv6、机器人、元宇宙、数字化转型、智能网联汽车、工业互联网、新型/绿色数据中心等创新产业。公安部门适用《数据安全法》开展行政执法，多地公安机关对违法单位和个人进行行政处罚；加大国标《关键信息基础设施安全保护要求》宣贯力度，通过护网演习、“网鼎杯”网络安全大赛等形式推动等保、关保实施和网络安全技能提升。金融监管部门加大个人信息保护力度，银保监会发布《银行保险机构消费者权益保护管理办法》，新成立的金融监管总局针对第三方合作中网络和数据安全管理情况进行专项检查，各级人行、银保监会对多家银行下发针对个人信息保护、数据安全治理的行政处罚，单笔罚金最高达765万元。科技部公开征求《科技伦理审查办法（试行）》修改意见。交通运输部印发《公路水路关键信息基础设施安全保护管理办法》。民航局印发《智慧民航建设评价指标体系》，面向行业征求《民航领域数据分类分级办法》修改意见。邮政局印发《寄递服务用户个人信息保护要求》，严厉打击泄露、买卖用户个人信息行为。医保局开展医保信息平台及医保大数据使用情况线上调研。教育部教育管理信息中心委托国家信息中心牵头《教育系统数据安全分类分级指南》《教育系统数据安全防护指引》两项行业标准研究课题。

（三）地方数据要素市场初具规模。为响应中央“数据二十条”精神，完善地方对数据要素领域的创新布局，四川、厦门、苏州等地数据条例正式施行，成为地方数据产业的基本制度，甘肃、山东、内蒙古、河北、河南、江苏、江西、山西、宁夏、新疆等省份先后出台促进数据要素市场发展、数字政府建设、大数据产业发展、公共数据管理的地方政策法规，进一步强化公共数据资源管理，促进数据要素有序流通，探索公共数据授权运营机制，统筹规划数据要素市场，加快数字政府、数字经济、数字社会建设，发展数据安全产业。河南、湖北、武汉、成都陆续组建或揭牌数据集团，全国已有超过14个省市成立了数据集团，由地方政府发起、主导或批复的数据交易所达到44家，成为落实当地数据要素市场建设和数据要素流通交易的重要载体。

（四）产业聚焦人工智能等新技术新应用。受GPT-4发布的影响，通用人工智能、大语言模型成为上半年产业界最热门的话题，中科院、百度、阿里、华为等先后发布大模型，推动大模型在实业、金融、企服、安全等领域的落地应用，AI+安全成为前沿课题。高级别自动驾驶和车联网受到产业界持续关注，北京、上海划定支持无人驾驶的高水平示范区，湖北、浙江、广西创建国家级车联网先导区，重庆、江苏、杭州发布促进车联网和智能网联汽车发展的指导意见。区块链技术持续发展，首个区块链技术领域国家标准发布，首个超大城市区块链基础设施（北京目录链2.0）正式上线，支持数百亿条数据共享。上海、浙江加快布局元宇宙产业，由国网天津电力牵头的首个电力元宇宙科技项目在天津启动。部分产业突破封锁，华为实现自主可控的MetaERP研发，腾讯云数据库TDSQL性能打破世界纪录。算网融合进入新阶段，首个实现多源异构算力调度的全国一体化算力算网调度平台在京上线，首个“算力交易”东数西算一体化服务平台在银川上线发布。

三、数据安全产业发展研判

根据各地各部门对数据产业的布局和新技术的创新应用趋势，我们研判下半年数据安全产业将在以下三个方面产生集中需求并快速发展。

首先，数据共享流通安全将成为企业数据安全的核心需求。基于国家在数据要素市场化配置、公共数据开放、数据出境安全评估的政策导向，数据共享流通安全已经成为数据安全营收汇总最高的细分领域，达到25.5亿元，数据防泄漏成为数据安全防护领域营收最高的产品，数据泄密溯源取证增长空间较大，隐私计算在数据交易市场的运用有望进一步深化。在工信部推动下，工业、电信和互联网企业数据分类分级、重要数据识别成为该领域企业的突出需求，以数据资产管理平台和态势感知平台为主的数据安全管理营收调研汇总金额达到23.3亿元。下一阶段，随着各级网信部门对数据出境安全评估的整改要求，企业对数据出境自评估报告的质量提升和数据跨境的细化管理将催生较为集中的合规需求。

其次，AI+安全将成为各大安全厂商的宣传重点。预计10月前后GPT-5即将发布，大语言模型的性能和可用性将进一步提升，通用人工智能在各领域的运用将持续深化。一方面，各类AI技术将被用于网络攻击和数据窃取，另一方面，安全厂商将AI技术与安全产品不断结合。5月，深信服推出自研安全大模型Security GPT，该安全GPT可以不断通过强化学习来快速调优和迭代，提升对流量和日志的安全检测能力，自动化调查、分析、研判提升安全运营效率。同日，瑞星推出“星核”平台，在国内率先应用ChatGPT技术，对恶意代码、网络攻击、病毒入侵等各类威胁进行快速检测和应急管理。6月，360发布认知型通用大模型“360智脑4.0”，360智脑在多模态等关键能力上完成迭代，并全面接入“360全家桶”。美亚柏科推出国内首个公共安全大模型“天擎”，具备强大的警务意图识别、警务情报分析、案情推理等业务推理能力。据悉，绿盟、启明星辰、奇安信正在自研安全领域大模型。

最后，部分行业数据安全建设速度将显著高于平均水平。根据上半年公布的指导意见和政策文件，部分行业主管部门对其关注的安全领域进行了具体指导，将催生该行业企业的具体安全需求，其安全建设速度将显著提高。根据各行业数据安全发展的阶段，我们研判这些需求将集中于以下领域：运营关键信息基础设施工业企业的数据资产管理需求、具有平台效应的电信互联网企业的App合规和个人信息保护需求、智能网联汽车企业和车联网平台的“车路云一体化”数据安全需求、金融和医疗业的敏感数据保护需求、邮政快递业的个人信息保护需求、民航业的数据分类分级需求、电商物流行业的出境安全评估需求等。

总之，我们建议持续跟踪国际技术前沿，深入解读网信、工信、公安、行业主管部门的监管方向和法规标准要求，关注重点行业现阶段的核心需求，挖掘企业内生安全动力，加大通用人工智能、算法、模型在安全领域的前瞻布局和创新研究，将数据共享流通环节的安全产品作为研发重点，提升数据出境安全评估和个人信息出境标准合同服务能力。