作者简介：赵锐，诸子云上海会长、某跨国企业中国区副总裁、网安加社区特聘专家、专利发明人，历任多家金融机构、世界500强企业的安全负责人、安全专家。有20年科技风险、信息安全、数据安全、业务安全等领域的丰富经验，是多家机构的专家和顾问。

在数字化浪潮席卷全球的今天，数据已成为驱动经济社会发展的关键要素。然而，随着数据的海量增长与广泛应用，数据安全问题也日益凸显。

近二十年来，中国在数据安全领域取得了显著的进展，从初期的探索阶段逐步迈向成熟和完善。笔者也正好从事安全行业二十年，可以说是伴随着数据安全共同发展。

一、安全探索与法规建设（本世纪初）

2000年左右，随着互联网应用的普及，网络安全问题逐渐显现。为了应对网络安全威胁，中国政府开始重视信息安全工作，开始着手制定相关法律法规，以规范数据处理活动。

2004年，《中华人民共和国电子签名法》的颁布标志着中国在数据安全领域的法制建设迈出了重要一步。中国互联网信息中心（CNNIC）制定的多语种域名注册标准被国际互联网技术标准组织IETF发布为RFC3743。

2006年，中共中央办公厅和国务院办公厅发布《2006—2020年国家信息化发展战略》，强调信息安全的重要性。

2007年，《中华人民共和国政府信息公开条例》《信息安全等级保护管理办法》等一系列法规相继出台，为数据安全管理提供了法律依据。在此背景下，数据安全工作体制机制应运而生，主要关注的是传统信息系统的安全保障，重点在于保护国家重要信息系统和关键信息基础设施。

2008年，中国成为全球互联网用户最多的国家，信息安全问题凸显。奥运会期间的信息安全保障成为焦点。

2010年，国家计算机网络应急技术处理协调中心（英文简称CNCERT/CC）开始每年出具《中国互联网网络安全报告》。

标志性事件1：

颁布《中华人民共和国电子签名法》，在本法中“数据”出现51次，“安全”出现2次。在数据安全方面，当数据电文采用可靠的电子签名时，通过数据的完整性与真实性保障数据安全和防篡改，从而实现电子签名的法律效力。

标志性事件2：

颁布《中华人民共和国政府信息公开条例》，在保障政府信息公开透明的同时，重视数据安全。明确保护国家秘密、商业秘密、个人隐私，建立健全信息公开前的审查机制，保护第三方合法权益。

 标志性事件3：

颁布《信息安全等级保护管理办法》，通过明确信息安全等级保护的定义与原则、划分信息系统的安全保护等级、规定数据安全保护措施以及明确监管与责任等措施，全面保障数据安全。同时，标志着我国信息安全法律体系的初步形成。

在这几年中，笔者为所在的企业建立了信息安全管理体系，作为试点通过了等保三级测评，作为大陆前两家通过支付卡行业数据安全标准评估（Payment Card Industry Data Security Standard，PCI DSS）的负责人，进一步学习并理解了数据安全，并将数据安全单独列出来，开展数据安全治理工作。

二、技术发展与行业规范（2011年——2020年）

进入21世纪第二个十年，随着云计算、大数据、物联网等技术的广泛应用，数据安全需求急剧增加。对应的数据安全技术也取得了进步。加密技术、身份认证技术、访问控制、人工智能、区块链等新技术被应用于数据安全领域，提升了数据保护的效率和准确性。

与此同时，国内一批优秀的数据安全企业逐渐崭露头角，它们在技术研发、产品创新和市场拓展等方面取得了显著成果。这些企业的崛起不仅推动了数据安全产业的发展，也为国家网络安全提供了有力支撑。随着数字化转型的加速，企业对数据安全产品和服务的投入稳步增加，市场规模不断扩大。

中国政府加大了对数据安全的投入和监管力度。2016年，《中华人民共和国网络安全法网络安全法》正式实施，明确了网络运营者的安全责任，规定了个人信息保护的基本原则和要求。

标志性事件1：

2011年5月，成立国家互联网信息办公室（简称“网信办”），标志着我国在互联网信息管理领域迈出了重要一步，体现了国家对互联网信息管理和监督工作的高度重视，在信息安全、数据安全领域有了行业主管部门。对于加强互联网信息管理和监督、推动互联网信息传播法制建设、促进互联网与各行业的融合发展等方面具有重要意义。

标志性事件2：

2015年7月，颁布《中华人民共和国国家安全法》，是我国第一次提出“维护国家网络空间主权”，并提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。为后续颁布一系列的网络安全、数据安全法律、法规作为指引和铺垫。

标志性事件3：

2016年11月，颁布《中华人民共和国网络安全法》，是我国第一部全面规范网络空间安全管理方面问题的基础性法律，其中涉及了网络数据保护、个人信息保护、关键信息基础设施保护等内容，为数据安全领域奠定了法律基础。该法明确了网络运营者应当履行的数据安全保护义务，包括数据收集、使用、加工、传输、提供、公开等环节的安全保护要求，为数据安全监管提供了法律依据。

标志性事件4：

出台GB/T 35273-2017《信息安全技术 个人信息安全规范》，明确个人信息处理原则和安全要求，提升数据安全防护能力，促进数据合规使用，提升公众数据安全意识，与国际接轨，推动数据安全标准国际化。

在这十年中，笔者有幸负责某头部银行的新一代银行系统的整体安全，并按国家法律、法规、标准和业界最佳实际制定了数据安全路线，在任职的企业均开展数据安全治理取得了良好的成效。还通过业务安全量化网络安全、数据安全的成效，开创性地为所在企业计量出了安全的现金价值。

对于安全的投资不再是成本，而可以降低成本，还能业务共同产生收益，进一步深入业务开展安全工作，提升安全的话语权与地位，安全战略与业务战略一并制定。

三、成熟与创新（2021年至今）

 全面成熟

近年来，中国数据安全领域进入全面成熟期，政策法规更加完善，技术体系更加成熟，市场需求更加多样化。同时，面对新的挑战，如数据泄露、勒索软件攻击等，中国数据安全产业不断创新，提升安全防护能力。

标志性事件：

● 多部重要法规的连续出台：《中华人民共和国数据安全法》《中华人民共和个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等法规的施行，为数据安全保护提供了更加全面的法律保障。

● 市场的高速增长：据统计，数据安全市场以年均20%的速度迅猛增长，并在2020年达到29.9%的年度增长记录，市场规模直逼千亿。

● 十六部门关心数据安全：2023年1月3日，工业和信息化部、网信办、发展改革委、教育部、科学技术部、公安部、安全部、财政部、人力资源社会保障部、人民银行、国资委、税务总局、市场监管总局、银保监会、证监会、知识产权局联合发文《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》。

● 成立国家数据局：2023年10月25日，国家数据局正式挂牌成立。这将进一步加快全国统一、辐射全球的数据大市场的建设，推动数字经济加速发展。

● 技术创新的不断涌现：随着大数据、人工智能、区块链等技术的不断进步，数据安全市场的技术门槛不断提高，新兴的数据安全技术如联邦学习、密文检索等不断涌现。

● 应对新挑战：面对数据泄露、勒索软件攻击等新挑战，中国数据安全产业不断提升安全防护能力，加强风险感知、监控、预警和应急响应机制。

● 开展国际合作：2020年，中国发起《全球数据安全倡议》，呼吁各国加强合作，共同维护数据安全。

四、面临的挑战与未来展望

 面临的挑战

尽管中国数据安全领域取得了显著成就，但仍面临诸多挑战：

● 技术威胁不断演变：随着技术的迅速发展，新的网络安全威胁层出不穷，传统安全防护措施可能无法应对复杂多变的攻击手段。

● 数据合规性要求提高：随着数据合规性要求的提高，企业需要投入更多资源来确保数据处理活动的合规性。

● 国际合作与竞争：在全球化的背景下，数据安全领域的国际合作与竞争日益激烈，需要中国积极参与国际规则制定和合作机制建设。

 未来展望

展望未来，中国数据安全领域将继续保持快速发展态势。在政策推动下，数据安全市场将进一步扩大，技术进步将不断提升数据安全防护能力，市场竞争将促使厂商提高产品和服务质量。

同时，随着数字经济规模的快速增长和新兴技术的应用泛化，中国数据安全行业将布局更多应用领域，推动数据安全技术的持续演进和创新发展。

笔者和大家共同见证了中国数据安全领域从起步到成熟的发展历程。面对未来新的挑战和机遇，中国数据安全产业将继续秉承创新、合作、发展的理念，为数字经济健康发展保驾护航。