数据安全问题升级：关键领域的影 响、对策与机会.docx

弓I言4一、数据安全监管大势5（-*）中国对于数据安全的监管与政策梳理 5（二）数据安全的国际问题 12二、网络安全、数据安全及其治理14（一）网络安全和数据安全的关系14（二）保障网络数据安全的必要性14（三）网络数据安全保障的具体措施18（四）数据要素所面临的问题与数据治理 19（五）数据安全生态加速建设 20三、数据安全典型问题和相关案例22（一）数据贩卖：大数据产业的灰色地带22（二）数据垄断：间接引起数字权利滥用 23（三）数据窃取：网络爬虫相关的违法案例大增 24（四）数据泄露：2020年全球数据泄露的数量超过过去15年的总和.26四、中国数据安全产业图谱28（一）数据安全产业发展的必要性 28（二）产业链上游分析 29（三）产业链中下游分析 34（四）竞争格局 35五、中国网络安全产业架构与发展态势 37时间部门名称内容2020 工信部工业数据分级分类指南（试行）提出工业数据的基本概念，明确适用范围和原则；明确 企业为数据分类分级主体，承担开展数据分类分级、加 强数据管理等主体责任；按照每类工业数据遭篡改、破 坏、泄露或非法利用后可能带来的潜在影响，将数据划 分为3个级别。20212021国家医疗保障局关于加强网络 安全和数据保护 工作的指导意见提出了加强医疗数据安全保护的相关要求，包括：实施 数据全生命周期安全管理、实施分级分类管理、加强重 要数据和敏感字段保护、强化数据安全审批管理、落实 数据安全权限、推动数据安全共享和使用、建立健全数 据安全风险评估机制。住房和城乡建设部关于加快发展 数字家庭提高居在数字家庭系统方面，要求强化网络和数字安全保障， 保障数字家庭系统安全稳定运行，防止信息泄露、损住品质的指导意见毁、丢失，确保收集、产生数据和个人信息安全。遵守 密码应用规定，形成安全可控完整的产业生态系统。资料来源：零壹智库、数据安全治理白皮书总的来说，目前我国的数据安全相关的法律规定是基于国家安全法、网络安全 法以及民典法建立起的，并且各省市针对地方情况会出台地方相应法律，对目前 数据安全、数据跨境问题做积极探索。应对于数据应用的广泛性，各行业监管部门各司 其职，对行业内数据进行管理和保护。根据所统计已知的52部法律法规颁布时间，近两年数据安全的监督管理被按下了 加速键，而后续法规的推出仍将持续发力。图1-1截至2021年6月近几年来有关数据安全法律法规颁布数量（个）数据来源：零壹智库、数据安全治理白皮书2020年之后，有关数据安全法律法规颁布数量大幅上涨，在全国各地，各行各业都 对其加倍重视。到目前为止，我国数据安全监管机构机制已经初步确定，数据监管从各 部门分散监管向以中央网信部门统筹协调。数据安全联合执法机制也被逐渐建立，尤其 是近年来APP违规问题各部门联合开展整治行动，解决目前APP、平台经济、互联网企 业所存在的数据安全问题。（二）数据安全的国际问题实际上，数据安全问题绝非只在中国存在，而是全球共同面临的问题。各国政府逐 渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认 知也已从传统的个人隐私保护上升到维护国家安全的高度。可以确定的是，数据安全已经成为全球性问题。国外应对数据安全的政策持续得到 优化，主要体现在，一是加强数据安全顶层设计，如欧盟欧盟发布欧洲数据保护监管 局战略计划（2020-2024），旨在从前瞻性、行动性和协调性三方面继续加强数据安全保 护，保证个人隐私的基本权利；美国发布联邦数据战略与2020年行动计划，确立 了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。二是强化数据 及个人信息保护相关立法以及数据安全标准指南。另方面，国外数据安全保护机构设置也正不断完善，以提升执法效率，加强数据 安全保护治理。得益于近几年的努力，各国推动企业数据安全保护的政策初见成效，例 如，Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护；苹果公司通 过模糊定位技术限制第三方App获取用户精确地理位置信息等。国外对于数据安全的治理也正不断趋严，对大型互联网公司的数据监测、治理、执 法力度持续加大，如2019年Facebook因为用户隐私问题被罚款50亿美元；法国、加 拿大等国家也纷纷对Twitter.谷歌等企业开出高额罚单。这种对于滥用数据优势侵害 消费者隐私或进行非法数据贩卖的惩罚值得我们去借鉴。随着数据安全逐渐上升到国家层面，各国之间数据竞争也逐渐被重视。此次滴滴被 审查便存在国家层面数据泄露的可能，依据美国方面的法律，必须按照外国公司问责 法案(Holding Foreign Companies Accountable Act)呈交以审计底稿、亦或是用户 数据和城市地图为代表的部分数据，这些都是关乎国家数据主权的核心数据，可能直接 影响国家安全、公共利益和社会稳定。在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，其日益频 繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政府 获取。二是我国战略动作易被预测，陷入政策被动，如美国大力推广的微观数据的汇聚 分析，若在掌握我国金融数据的前提之下，便能在国际金融博弈中取得先机。三是我国 以数据为驱动的新兴技术领域竞争优势被逐渐削弱，例如我国拥有全球领先的人脸识别 公司商汤科技，一旦其数据被他国获取，会大大削弱我国在这一领域的竞争优势。而某些国家尤其是美国目前正采取对中国的数据打压，将我国排除在全球数据安全 治理体系之外，并可能制定针对我国的数据安全审查规则，在数据安全领域形成对我国 的“包围圈”。例如，2020年美、EK澳等多国以数据安全为由，联合对TikTok进行围 剿，以安全调查结果违规为由，限制其使用发展。根据Synergy Research Group的数据显示，截至2020年，全球主要的20家云和互 联网服务公司运营的超大规模数据中心数量为597个，其中美国的数据中心数量远超其 他国家，占比高达40%,中国虽然位列第二但占比仅有10%0在信息时代，这种压倒性 的数据优势是极其恐怖的。中国不是“数据中心国”，但也不能沦为“数据附属国”， 我们需要全力捍卫数据主权，加强数据的安全和保护。二、网络安全、数据安全及其治理（一）网络安全和数据安全的关系网络安全和数据安全的关系涉及到第三个名词一一信息安全。根据数据安全架构 设计与实战一书中的论述，其发展顺序为信息安全一一网络安全一一数据安全。当需要强调安全管理体系，或强调信息及信息系统的保密性、完整性、可用性，或 内容合规，或DLP （防止内部人为的信息泄露），或强调对静态信息的保护（比如存储系 统、光盘上的信息）等场景时，“信息安全” 一词多被使用。当需要强调网络边界和安全域，或网络入侵防御，或网络通信系统或传输安全，或 网络空间等场景时，“网络安全” 一词多被使用。当需要强调全生命周期中的数据保护，或数据作为生产力，或强调数据主权、数据 主体权利、长臂管辖权、隐私保护等场景时，“数据安全” 一词多被使用。网络空间提供计算的环境，数据则作为信息的载体成为计算的对象。网络安全强调 计算环境（网络空间）的安全，从而保障计算对象（数据）的安全。因此，网络安全是 数据安全的前提，数据安全是网络安全的一种体现，网络安全涵盖的范围更广，而数据 安全的范围更明确具有针对性。（二）保障网络数据安全的必要性近年来，我国网民规模不断增长，互联网普及率不断提升。根据中国互联网络信息 中心和中共中央网络安全和信息化委员会办公室、中国国家互联网信息办公室联合开展 的中国互联网络发展状况统计调查数据显示，截至2020年12月，我国网民规模为9. 89 亿，较2020年3月新增网民8540万,互联网普及率达70. 4%；我国手机网民规模为9. 86 亿，较2020年3月新增手机网民8885万，网民中使用手机上网的比例为99. 7%,手机 网络安全成为网络安全中的关键组成部分。随着互联网的深化普及，网络安全需求同步增长，数据安全在网络安全中的重要地 位逐渐体现。同时，归功于网络安全产业的不断壮大，网络安全问题也在被不断解决。图21我国网民遭遇网络安全问题种类及占比以上都没有个人信息泄露21.9%23.3%网络诈骗设备中病毒或木马帐号或密码被盗12.5%61.7%56.4%0.0%10.0%20.0%30.0%40.0%50.0%60.0%70.0% 2020.12 2020.03资料来源：中国互联网络信息中心，零壹智库根据中国互联网络发展状况统计调查，截至2020年12月，61. 7%的网民表示过去 半年在上网过程中未遭遇过网络安全问题。网民遭遇各类网络安全问题的比例均有所下 降。然而，个人信息泄露仍然是最主要的网络安全问题，占比达到21.9%,排名前四中 的网络诈骗和账号或密码被盗问题都与个人信息有关，可见个人信息安全在网络安全领 域中的重要地位。根据2021年4月国家互联网信息办公室等四部门联合印发的常见类型移动互联 网应用程序必要个人信息范围规定，国家明确规定了 39种常见类型App的必要个人信息范围，要求自2021年5月1日起，其运营者不得因用户不同意收集非必要个人信息 而拒绝用户使用App基本功能服务。而在部分App所需的必要信息中，仍旧涉及注册用 户移动电话号码、行踪轨迹、地址、证件等私密信息，加强对该类App的管控，确保个 人数据安全的工作迫在眉睫。必要信息表2-1不同App所需的必要个人信息App种类地图导航类位置信息、出发地、到达地网络约车类注册用户移动电话号码；乘车人出发地、到达地、位置信息、行踪轨迹；支付时 间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）即时通信类注册用户移动电话号码；账号信息：账号、即时通信联系人账号列表网络支付类注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行 卡号码网上购物类注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付 金额、支付渠道等支付信息餐饮外卖类注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付 金额、支付渠道等支付信息邮件快件寄递类寄件人姓名、证件类型和号码等身份信息；寄件人地址、联系电话；收件人姓名 （名称）、地址、联系电话；寄递物品的名称、性质、数量交通票务类注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型（通常包括儿 童、成人、学生等）；旅客出发地、目的地、出发时间、车次/船次/航班号、席别/ 舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务）；支付时间、支付金 额、支付渠道等支付信息婚恋相亲类注册用户移动电话号码；婚恋相亲人的性别、年龄、婚姻状况App种类必要信息求职招聘类注册用户移动电话号码；求职者提供的简历网络借贷类注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码房屋租售类注册用户移动电话号码；房源基本信息：房屋地址、面积/户型、期望售价或租金二手车交易类注册用户移动电话号码；购买方姓名、证件类型和号码；出售方姓名、证件类型 和号码、车辆行驶证号、车辆识别号码问诊挂号类注册用户移动电话号码；挂号时需提供患者姓名、证件类型和号码、预约挂号的 医院和科室；问诊时需提供病情描述旅游服务类注册用户移动电话号码；出行人旅游目的地、旅游时间；出行人姓名、证件类型 和号码、联系方式注册用户移动电话号码；住宿人姓名和联系方式、入住和退房时间、入住酒店名 酒店服务类一注册用户移动电话号码；使用共享汽车、租赁汽车服务用户的证件类型和号码，用车服务类驾驶证件信息；支付时间、支付金额、支付渠道等支付信息；使用共享单车、分时租赁汽车服务用户的位置信息投资理财类注册用户移动电话号码、投资理财用户姓名、证件类型和号码、证件有效期限、 证件影印件；投资理财用户资金账户、银行卡号码或支付账号注册用户移动电话号码；用户姓名、证件类型和号码、证件有效期限、证件影印手机银行类件、银行卡号码、银行预留移动电话号码；转账时需提供收款人姓名、银行卡号码、开户银行信息演出票务类注册用户移动电话号码；观演场次、座位号（如有）；支付时间、支付金额、支付 渠道等支付信息数据来源：国家互联网信息办公室，零壹智库表2-2不同App所需的必要个人信息（续表）App种类网络社区类、网络游戏类、学习教育类、本地生活类、邮箱云盘类、远程会议类女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、游览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类必要信息注册用户移动电话号码均无须个人信息即可使用基本功能服务数据来源：国家互联网信息办公室，零壹智库（三）网络数据安全保障的具体措施2019年6月28日，工信部印发电信和互联网行业提升网络数据安全保护能力专 项行动方案，以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题，加 快推动构建行业网络数据安全综合保障体系。方案围绕加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化 行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣 传交流五大方面提出了十四项具体任务。其中，强化行业网络数据安全管理方面的任务 最为详细，要求稳步实施网络数据资源“清单式”管理、明确企业网络数据安全职能部 门、强化网络数据对外合作安全管理、加强行业网络数据安全应急管理。表23：提升网络数据安全保护能力相关任务方面任务强化网络数据安全管理制度设计加快完善网络数据安全制度标准完善网络数据安全标准体系开展网络数据安全风险评估方面任务深化App违法违规专项治理 开展合规性评估和专项治理强化网络数据安全监督执法稳步实施网络数据资源清单式管理明确企业网络数据安全职能部门 强化行业网络数据安全管理强化网络数据对外合作安全管理加强行业网络数据安全应急管理加强网络数据安全技术手段建设创新推动网络数据安全技术防护能力建设推动网络数据安全技术创新发展加强专业支撑队伍建设强化社会监督和行业自律强化社会监督和宣传交流加强宣传展示和国际交流数据来源：工业和信息化部，零壹智库（四）数据要素所面临的问题与数据治理大数据作为当下社会的一种生产要素，对人类生产产生的影响越来越重要，在数字 时代更是具有独特的价值。但我国数据治理相对滞后，目前来说仍存在不少的问题。 对当前问题的正确认识，也是数据安全发展必不可少的一个环节，在8月1日零壹智 库“数据安全与数据治理”研讨会上，中国科技体制改革研究会数字经济小组组长陈 晓华指出了目前数据要素面临四大问题。第一，数据权属尚不明确。目前确权手段比较缺乏，现阶段还没有对数据权属问题 进行过明确的法律规定。如何保障数据权属？数据交易规则？若能够交易，由于其具 有可复制性的特点，数据安全又该如何保障？如何防止他人转卖自己的数据？这些无 论是在技术上还是监管上都提出相应的挑战。陈晓华表示，若不能确定数据权的归属，数据交易要走的路还很长，目前贵阳大数据交易所就面临这样的经营困窘。第二，数据价值的问题。数据如何定价？数据作为非标品，目前很难确定它的价 值，而且定价标准也尚无统一。不同的数据，针对不同的主体将会产生不同的价值， 所以数据价值以何种标准界定，由谁来确定，都是亟待解决的问题。第三，是数据隐私问题。目前数据隐私比较容易泄露，数据安全难以保障。如今数 字时代，在享受数字生活给我们带来的便利的同时，数据隐私却被暴露的一览无余， 对于数据隐私的保护也正是数据安全治理的重中之重。第四，数据流通能力较弱，数据汇聚效果较差。据了解，隐私保护计算技术被视为 解决数据流通不畅以及数据汇聚效果差等问题的有效手段。对于数据治理，主要需要从三个角度进行切入。首先，最重要的还是立法，法律法 规可持续，才是保障整个数据安全市场的可持续健康发展的第一要素。第二，要从行政的角度进行管理，赋予各省市大数据管理局的相关行政权力，建议 把的大数据管理局更名大数据监管局，赋予更多监管权力，以保证当前数据的安全及 有效流通。第三，要从科技的角度进行科技监管，即事前预防、事中监管、事后处置。而科技 监管中最难的部分就是部委的数据共享，这在当下是一个难点，但在未来将是一个大 趋势。(五)数据安全生态加速建设从宏观层面来看，我国在数据安全的治理，除了已出台的法规政策，以及监管机制 的不断完善，数据安全产业生态建设也正在稳步推进。一是政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。 在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。以专注数 据安全的高新技术企业闪捷信息为例，其数据安全产品和解决方案已获取保密局、国家 信息中心、公安部等权威机构认证，在商密、涉密领域均有建树，目前已与国内1000多 家重要单位持续开展合作。二是数据安全人才队伍正逐渐得到扩张。我国各部门组织针对数据安全问题，正通 过设立相关学科与研究院、设立培训考核等方式，大力加强数据安全人才队伍建设。例 如，中国信息安全测评中心成立中国网络空间安全协会大数据安全人才培养基地，并选 拔国家级合作支撑单位，并开展的CISP数据安全治理、注册个人信息保护专业人员 (CISP-PIP)认证，共同推动国家互联网网络安全大数据人才体系建设。（一）我国网络安全发展概况 37（二）中国网络安全产业架构39（三）网络数据安全发展中的机遇与挑战（三）网络数据安全发展中的机遇与挑战43六、中概股赴美上市拐点：数据安全的影响和应对45（-）中概股近期在美发展：情况每况愈下45（二）数据安全对中概股的影响与挑战：海外上市或被按下暂停键（二）数据安全对中概股的影响与挑战：海外上市或被按下暂停键46（三）中概股应对之举：回港或将成为主旋律（三）中概股应对之举：回港或将成为主旋律48七、数据安全治理背景下征信业媛变升级49（一）数据安全：征信业发展的生命线49（二）数据安全治理背景下征信业变化50（三）数据安全治理背景下征信业发展的机遇与挑战 52八、隐私计算技术加速落地，赋能数据安全应用53（-）数据安全法落地为隐私计算带来新机遇53（二）隐私计算目前的发展状况 54（三）隐私计算的应用将带来的影响 55（四）隐私计算未来发展面临的挑战 56九、数据安全领域未来展望58（一）法律法规在数据安全方面将得到全面强化与支撑 58（二）数据安全产业基础能力将得到提升 58（三）数据安全升级助力相关领域发展加速59报告发布单位介绍61报告研究支持单位介绍 62致谢63三是国家正大力发展数据安全示范区。数据安全产业示范区的建立会使数据安全企 业与人才快速聚集，并能够对其他地区形成指导效应。2018年，在国家认证认可监督管 理委员会的支持下，贵阳经济技术开发区创建了全国首个“大数据安全认证示范区”， 截止2020年，贵阳大数据安全示范区已聚集了大数据安全企业和相关机构约120家， 初步形成大数据安全产业发展的生态体系，产业产值突破18亿元。伴随着国家对数据安全的重视，和数据安全以及网络安全相关的企业这两年来也呈 现爆发式增长。各企业面对数据安全带来的挑战都有所建树，也同样存在进步空间。第 一，敏感数据识别技术向智能化发展，企业探索部署数据安全防泄露工具。数据统计， 我国各大安全厂商积极研究数据防泄露技术手段，布局数据防泄露市场，2017年我国数 据泄露防护市场规模达到7.8亿元，同比增长25. 3%, 2020年超过14.7亿元。第二， 结构化数据库事前、事中、事后全流程安全保障技术体系成熟，非结构化数据库安全防 护手段单一。第三，数据追踪溯源技术处于研究发展阶段，大规模应用实践尚未开展， 目前该技术正处在研究验证阶段，仅阿里、顺丰等部分企业探索应用，产业化应用尚不 成熟。第四，数据加密技术分场景细化发展，新型加密手段逐渐涌现。第五，数据脱敏 成为个人信息保护重点技术手段，企业正加强数据匿名化技术研究应用，例如阿里巴巴 的数据匿名化技术已获得较大进展。“近年来，我国网络安全产业促进政策不断加码、产品体系逐步完善、生态建设持 续推进，为产业发展提供了良好环境。”中国信通院副院长王志勤日前表示。即便如此，产业和企业的发展还是跟不上网络安全防护的需求。数据显示，2019年 美国网络安全市场规模为447亿美元，我国同期网络安全产业规模只有608亿元，仅是 美国的五分之一，与我国GDP的体量不符。三、数据安全典型问题和相关案例（一）数据贩卖：大数据产业的灰色地带随着信息技术的发展，个人数据变得愈加重要，对自己来说个人数据就如同本人身 份识别，但也很有可能成为被他人利用的武器。在纪录片监视资本主义：智能陷阱 中提到：“如果你没有为某个产品付费，那你自己本身就是产品”。换而言之，现如今使 用者在享受科技时代的各种产品时，却不知自己的身份正在被“贩卖二目前，数据贩卖已成为大数据产业的灰色地带，个人信息倒卖黑市猖獗，对个人人 身财产甚至是生命安全都造成了极大危害。2020年11月，圆通速递被曝出有多位“内鬼”有偿租借员工账号，导致40万条公 民个人信息被泄露事件。新京报记者从知情人士获悉，涉案的为五位圆通员工，被泄露 的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址。随后，圆通发布 声明进行道歉，并表示此次案件，再次敲响了信息安全风险的警钟，将持续完善信息安 全风控系统和个人数据安全防护。实际上，数据贩卖问题，甚至早已形成一条地下黑色产业链。2020年5月份，江苏 破获了一起特大贩卖公民个人信息案，涉案金额2100多万元，涉及公民个人信息5万 多条。其中，某建设银行员工在这条数据贩卖黑色链条中发挥重要作用，自2019年6月 份起开始，利用职务便利开始将相关银行卡使用人的身份信息、电话号码、余额甚至交 易记录，售卖给下家，从而进行谋利。据这名员工供述，每查询一条银行卡相关信息， 即可获利80至100元不等的报酬。此外，据2021年315晚会曝光，多地商家装有具有人脸识别的摄像头，在客户毫无 知觉的情况下，偷偷收集海量顾客人脸信息，涉及万店掌、悠络客、雅量科技、瑞为等 公司；智联招聘、前程无忧、猎聘网等多个招聘平台业存在泄露求职者简历并被贩卖的 现象，进而形成“黑色产业链”。数据贩卖问题持续增加，但并非是近两年才出现。2017年3月，京东与腾讯的安全 团队联手协助公安部破获的一起特大窃取贩卖公民个人信息案，其主要犯罪嫌疑人乃京 东内部员工，盗取个人信息50亿条，通过各种方式在网络黑市贩卖。如今随着数据安全防护等级提升，企业花费巨额资金保护数据不被外部盗取，然而 因内部人员盗窃数据而导致损失的风险也不容小觑。此外，地下数据交易的暴利以及企 业内部管理的失序诱使企业内部人员监守自盗，盗取贩卖用户数据的行为也应引起重视。（二）数据垄断：间接引起数字权利滥用随着数据安全内涵的延伸和扩大，对数据合法合规的收集使用也成为了数据安全的 重要组成部分。当前，由于各互联网平台的业务大都由数据驱动，商业推广、精准营销、 产品迭代等业务都离不开个人数据收集这个核心。各个平台利用数据在追求利益最大化 的同时，也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。2019年2月6日FC0 （德国联邦卡特尔局，德国的反垄断监管机构）对Facebook涉 嫌滥用市场支配地位行为做出处罚。在这起案件中，德国联邦卡特尔局认为Facebook通 过用户协议条款，迫使Facebook用户同意公司收集和使用用户在其他平台（包括 WhatsApp、Instagram平台以及嵌入Facebook插件的第三方网络平台或手机APP）的数 据，构成垄断行为。FC0要求Facebook在未来四个月内调整其服务条款和数据处理活 动，并提交FC0并接受检查监督。如果Facebook打算继续从社交网络外部收集数据并 在未经用户同意的情况下将其合并到用户账户中，则严格控制采集的数据的处理活动， 随后Facebook提出上诉。案件最终在2020年6月23日，德国最高法院做出裁定，支 持FC0对Facebook滥用市场支配地位的认定以及限制其对个人数据进行处理的相关决 定。不仅仅是Facebook,如今越来越多的APP出现强制授权、过度索权等数据垄断行为。 同时基于数据垄断优势进行“二选一”、“大数据杀熟”等，侵犯消费者权益的行为也 层出不穷。2019年3月27日，随着北京市消协召开“大数据杀熟”问题调查结果新闻发布会， 关于大数据“杀熟”的问题终于白纸黑字被正式搬上权威台面。随着大数据“杀熟”体 验调查名单的公布，飞猪、去哪儿网等平台存在不同程度的“大数据杀熟”情况。随着类似案例与投诉的增加，2020年“大数据杀熟”、“二选一”事件再次将各互 联网平台推向风口浪尖，而后市场监管总局等相关监管部门联合对美团、拼多多等平台 企业进行约谈。此外，网信办与市场监管总局、税务总局联合召开互联网平台企业行政 指导会，指出信息泄露、强迫实施“二选一”，进行“大数据杀熟”等问题必须严肃整 治，并要求各平台向社会公开依法合规经营承诺。为预防和制止平台经济领域垄断行为，2021年2月7日，国务院反垄断委员会制定 发布国务院反垄断委员会关于平台经济领域的反垄断指南，强调反垄断法及配套法 规规章适用于所有行业，对“二选一”、“大数据杀熟”等数据垄断问题也做了相关界 定。数据垄断将会间接引起数字权利滥用的问题，或将威胁到国家安全。因此，应当将 进一步通过高额惩罚等手段对其进行约束。（三）数据窃取：网络爬虫相关的违法案例大增2018年8月份，浙江绍兴侦破一起特大流量劫持案，涉案的新三板挂牌公司北京瑞 智华胜科技股份有限公司，涉嫌非法窃取用户个人信息30亿条，涉及百度、腾讯、阿 里、京东等全国96家互联网公司产品。用户在网上搜了什么、去哪儿、买了什么等这 些隐秘信息，均被该犯罪团伙掌握，进而投放广告等用于商业目的，据了解，仅投放广 告该公司每个月至少获利100万元。最终，在阿里巴巴安全部举报线索并全力协助下, 警方一举将此案破获，2019年法院公开宣判处罚罚金人民币1000万元，7名被告人分 别判处3年6个月至2年不等刑期，并处罚金。2021年6月河南商丘公开了一份判决书，显示商丘市某本科生自2019年11月起, 就对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问 题前，已经有超过11. 8亿条用户信息遭到窃取。另一名同伙利用这些信息建了 1100个 微信群，每个群90-200人不等，每天用机器人在群里发淘宝优惠券，赚取返利。非法获取信息数据自互联网诞生以来便一直存在，“黑客”、不法人员通过技术手段 入侵不同网站等数据源以获取信息数据，用于违法目的，甚至涉及到人身安全。随着信 息技术的迅速发展，获取违法数据的技术手段逐渐提高以及获取工具的革新，门槛也相 应降低。尤其是这几年“爬虫”技术的广泛应用，给予了很多不法人员对于数据窃取的 可趁之机。网络“爬虫”简单说，就是利用程序的运行实现自动的、高效的读取、收集网络数 据。但由于数据性质的不同，就会造就非法爬取数据的可能。而这两年，非法爬取数据 的案例大幅增长。2017年“头条视频”的前总经理宋某、视频技术负责人侯某与新东家张某合谋，利 用网页爬虫技术来获取今日头条的视频数据库。该案件也是全国首例“爬虫”技术非法 获取计算机信息系统数据刑事案件，于2019年由北京市海淀区人民法院最终审结。2019年3月份，北京警方侦破巧达科技非法获取计算机信息系统数据案，这家企业 通过非法爬取用户简历并用于在网络上售卖。巧达前员工曾表示，巧达在多个网站上， 建立了上千个企业账户，每天模拟人工操作访问智联招聘、猎聘等网站百万次。据悉， 巧达科技非法获取的简历超过2亿条，而爬取的违法数据为巧达科技带来了过亿的收入。 数量之大、牟利之巨，令人咋舌。最终公司法人等36人被检察机关依法批准逮捕。实际上，关于网络爬虫数据窃取的违法案例远不止如此。以国内案件为范围，在通 过北大法宝司法案例库全文搜索“爬虫”关键词，一共检索到案例与裁判文书604份; 若以“爬虫技术”关键词搜索，共检索到124份；若以“网络爬虫”全文搜索，共检 索到案例与裁判文书88份。以“爬虫技术”作为检索关键词为例，近年来的案例数量明显增多，审结年份截至 2020年末，每年相关案例数量如下表所示。图3-1 2013-2020年以“爬虫技术'关键词搜索的案例数（个）数据来源：零壹智库、北大法宝司法案例库同样以“爬虫技术”作为检索关键词，其案例和裁判文书按照其不同案由区分，具 体数据如下。表3-1 2013-2021年以"爬虫技术”关键词搜索的案例分类数据来源：零壹智库、北大法宝司法案例库网络爬虫获取数据最终是否构成数据窃取，主要取决于数据的合法性以及公开性。 对于非法爬取网络数据的行为，也应当在政策上与技术上加强安全防护。（四）数据泄露：2020年全球数据泄露的数量超过过去15年的总和2021年7月14日，在第二十届中国互联网大会数据安全论坛上，中国信息通信研 究院安全所信息安全部主任魏薇表示，通过研究机构统计，2020年全球数据泄露的数量 超过过去15年的总和。这些数据安全的风险影响范围已经从个人、企业逐步辐射到产 业甚至是国家，数据安全风险隐患非常突出。当下科技与互联网氛围，各种APP、网页、应用内嵌小程序，都要求访问用户的位 置、身份等不同信息。要求访问及获取的数据信息过多，同样会为不法分子提供可趁之 机，带来数据泄露的问题。2020年3月19 0,有用户发现5. 38亿条微博用户信息在暗网出售，其中，1. 72亿 条有账户基本信息。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注 数、性别、地理位置等。主要是自2019年起，微博相关个人用户数据一直遭到泄露。2020年4月27日，联邦法院正式批准美国联邦贸易委员会（FTC）和Facebook之 间的用户个人隐私问题和解协议，Facebook认罚50亿美元。2019年7月，FTC在对 Facebook和剑桥分析公司滥用用户数据事件进行长期调查后，就相关问题达成了和解 协议。此次事件主要是因为Facebook的监管失误，使得某个剑桥研究员利用自己开发在 内嵌于Facebook的APP,大量收集用户以及他们朋友的数据信息，最后利用这些数据信 息，用于不法商业途径和政治途径。而50亿美元的罚款是有史以来对侵犯隐私、泄露数据等行为对科技公司的最高罚 款，或许用户数据信息在未来将会变得更“值钱”。李彦宏曾说过“中国人为了方便，会原意牺牲一些个人隐私”。虽然用“中国人”来 表达似乎有些以偏概全，但也能从侧面反映出目前用户端对信息的不重视，以及各应用 对于用户信息数据收集的无理程度。保证数据信息严密不被泄露是当下互联网企业不可忽视的一个环节，除了要求能够 保证数据的全流程监控，加强目前现有风控体系之外，引入更多的新技术，打造更智能、 更安全的风控系统也是必不可少的。数据安全所存在的问题远不止如此，数据跨境流通、数据滥用、数据权归属、过度 收集用户隐私等各种问题近年来在大大小小的案例中都有所体现。可以说，目前在数据 安全这个领域，无论是企业还是监管机构都还有很大的发展空间。四、中国数据安全产业图谱（一）数据安全产业发展的必要性安全和发展是相辅相成的，坚持“以安全保发展、以发展促安全”一直是稳定发展 的重要准则，不能单纯为了安全不发展，做好安全和发展的协调一致。在数据安全这 一问题上，最终解决安全问题还是需要靠发展，一个是靠技术发展，一个是靠产业发 展。对于数据安全与数据产业发展的关系，原工信部产业政策司副司长和巡视员辛仁周 在8月1日零壹智库“数据安全与数据治理”研讨会上说到：未来中国的数据产业具 有巨大的发展潜力。辛仁周表示，在过去改革开放40多年中，经济以9. 5%的年均增长速度稳定发展， 但随着经济总量的不断扩大，尤其是技术水平和发达国家的差距正在逐渐缩小，未来 的年增长率将会在6%甚至是5%左右。在这种态势之下，传统经济产业在短时间内可能无法迅速拉动增长，使我们趋近甚 至是超越发达国家。目前，我国存在大量产业过剩的情况，所以新兴的产业尤其物联 网、人工智能、云计算等数据产业是将会是未来十几年的一大经济增长驱动点和主要 发展方向。一方面是基于数据产业巨大的市场潜力和市场需求，数据已经成为当下数字时代的 硬通货，发展数据产业就是在增加国力。另一方面，基于当前外部的严峻形势和贸易战 的影响，某些技术会被其他国家“卡脖子”，长期“卡脖子”对我国技术的发展极为不利， 所以国家会在政策资源多方面对数据产业给予支持。数字化、信息化时代，数据安全已经成为网络安全的重要组成部分，从数据产业目 前国内的发展来看，相关产业迎来爆发式增长。据企查查数据显示，截至2021年7月 5日，我国现存“网络安全”相关企业共计62.4万家。从注册量变化来看，2020年新 增17. 9万家，同比增长135.7%,是过去10年注册量的巅峰。2021年上半年新增15.4 万家，同比增长2.1倍。数据安全在政府、金融、电信等基础设施方面有着较为广泛的应用，业务占比近50%, 且有着向医疗、制造等领域逐渐深入的趋势。据IDC预测，2023年中国数据安全行业市 场规模有望达到97. 5亿美元，中国网络安全市场总体支出将达到179.0亿美元。1庞大的市场和增长潜力，吸引了众多中上游厂商入局，产品普及度的上升也在推动着下游需求主体购买意愿的增强。图4-1我国数据安全产业图谱资料来源：头豹研究院，零壹智库（二）产业链上游分析在我国，数据安全行业的上游主要是服务器、存储设备等硬件产品供应商以及中间 件、操作系统、数据库等软件产品供应商。1、硬件层存储芯片是数据安全产品的核心硬件。中国存储器厂商受限于技术以及资金实力等 因素，较难满足数据安全厂商需求，对外依存度较高，采购数量占据全球存储芯片整体 采购数量的50%o目前，全球存储器市场表现出高度集中、头部企业瓜分天下的态势，应用程度较高 的主流存储器包括DRAM存储器和NAND存储器。IDC数据显示，2019年，DRAM市场由三 星、SK海力士、美光三家瓜分，CR3达94. 5%,韩国企业占七成份额。NAND份额由三星、铠侠（原东芝存储）、西部数据、SK海力士、美光、英特尔六家占据，CR6达98. 5%,其 中韩国企业占四成以上。2图4-2各企业DRAM市场占有份额资料来源：前瞻研究院，零壹智库三星