欧盟GDPR大考来袭 催热千亿级网络安全产业？

　　本报记者 李正豪 北京报道

　　“我们将GDPR（欧盟《通用数据保护条例》，GeneralData Protection Regulation，简称GDPR）拆解为18个主要项目、34个阶段，最终在2018年5月25日之前从技术、流程、管理、人员等各个方面准备就绪。”阿里巴巴国际业务法务VP刘允泉近日透露，阿里云筹备GDPR的过程中经历了一个系统工程。

　　《中国经营报》记者梳理发现，阿里巴巴旗下的全球速卖通和阿里云、腾讯旗下的微信海外版和腾讯云、新浪微博的国际版、在欧洲拥有较大市场份额的华为和海尔等制造企业，以及国航、东航、海航等，都是在较早之前就面向GDPR进行合规布局，且已更新用户隐私条款。

　　然而，并不是所有的企业都可以像巨头公司一样，投入较多的人力、物力、财力，去适应GDPR的要求。就像第三方检测和认证机构TUV莱茵公布的“2018年GDPR业务发展白皮书”所显示的，86%的企业对2018年5月25日开始正式实施的GDPR带来的影响表示担忧。

　　这种担忧正在将以数据安全为代表的网络安全产业推向“风口”。国内一家网络安全厂商——志翔科技CEO蒋天仪接受《中国经营报》记者采访时表示，受到“合规”需求促进，GDPR将促进数据安全行业的大发展，数据安全行业已变为“蓝海”市场。

　　GDPR是起跑线

　　《中国经营报》记者获悉，以BAT为代表的中国大型企业普遍在2017年就开始对GDPR进行合规布局，才完成了在2018年5月25日GDPR正式实施之日的“起跑集结”。

　　比如，腾讯云一位人士介绍，腾讯云提前1年就开始对GDPR进行评估和摸底。“大公司采取的应对措施上肯定要够严谨，并保证不会对自身业务造成影响。”

　　按照刘允泉的介绍，阿里云的GDPR合规布局非常细致，整个过程协同了业务、合规、安全、法务、政府关系、中台等部门，连法律和咨询合作伙伴也参与其中。

　　比如，在产品规划中，阿里云将遵从默认隐私设计（Privacyby Design）理念，所有新发布的云产品上线之前必须通过安全+隐私设计的双重评估。再如，针对“数据的被遗忘的权利/删除权”，阿里云提供账号删除功能，全球客户都能自助完成操作。

　　阿里云主要是为大量中小企业提供公有云服务。阿里云国际合规团队成员告诉记者，在和客户交流时，看到很多中国企业在应对GDPR时“过度忽视”和“过度紧张”。“过度忽视”表现在一些企业人员认为，借助工具和平台、借助第三方审计和评估、借助完善法律文件等手段就能够符合GDPR法规的要求；而“过度紧张”表现在一些企业人员认为，GDPR就等于个人数据完全不离境、就等于尽量不保存客户数据在自己的系统上等。

　　阿里云国际合规团队认为，GDPR合规应该强调分工协作，阿里云的做法是以法务和合规部门为核心，与产品、安全、IT、运营等团队配合，共同推进落实。比如，产品团队应该在产品设计过程中考虑隐私、安全要求，确保产品功能、设计能够通过法务及合规团队的审批；IT系统架构团队负责依据相应的隐私保护制度及合规团队的评估和建议，调整IT系统的架构设计；运营团队应该确保运营行为如何达到隐私保护的流程和制度，判断新的运营需求是否涉及隐私条款以及能否通过合规团队审批。

　　阿里云安全事业部总经理肖力认为，数据安全是马拉松赛跑，GDPR只是起跑线，不是终点线，GDPR是一项持续性的工作。

　　事实的确如此。谷歌、Facebook、Twitter等美国巨头也是提前面向GDPR进行合规布局，并在2018年5月25日之前更新了用户隐私条款，但在GDPR生效当日，谷歌和Facebook还是被举报了。外媒最新报道显示，自GDPR生效以来，已经出现19起针对谷歌和Facebook及相关应用提交的跨境投诉，导致这两家公司及相关产品很可能遭到欧盟的隐私调查。

　　Facebook在遭到第一起投诉时发表声明：“我们过去18个月一直在做各种准备，以遵守GDPR要求……我们提高隐私保护的工作不会在2018年5月25日停止。”谷歌母公司Alphabet则没有作出回应。

　　尽管欧盟隐私执法最高官员安德里亚·杰利尼克近日明确表示，“我们需要传达一条重要信息，我们的首要任务不是处罚企业，而是看看他们是否合规”，但是著名白帽黑客、360信息安全中心负责人高雪峰告诉《中国经营报》记者，对于拥有国际业务的公司来说，GDPR影响非常大，今后几个月一定会有公司被处罚，不管是中国公司还是外国公司，而且是重金处罚，罚款额度将非常高。

　　安全产业加速跑

　　对大部分中国企业来说，一方面需要在内部建立跨部门联动的GDPR合规机制，另一方面当然也需要外部力量的帮助。在这些外部力量中，网络安全企业尤其是数据安全企业是其中最重要的组成部分。

　　定位在大数据安全领域提供“核心数据保护和业务风险管控”的志翔科技创立于2014年，已经经历了天使轮、A轮、B轮融资，目前已经是估值超过10亿元的“准独角兽”。随着《网络安全法》《网络产品和服务安全审查办法（试行）》《个人信息安全规范》等法律法规在国内的出台和实施，尤其是史上最严的欧盟GDPR的正式实施，蒋天仪告诉记者：“我们认为数据安全将成为未来安全行业的风口领域。以前和现在很多企业在安全领域的投资可能都是基于合规需求的被动式投入，随着大家越来越意识到数据的价值，人们将会主动花钱，数据将作为重要资产被保护起来。”

　　北京若水合投资管理公司董事长宋宇海表示：“GDPR是欧盟颁布的，但提出了全行业的要求，这将倒逼所有的企业从源头上将数据安全提到议事日程，从研发、设计等各个方面提高能力。各个企业都将加大投入，因为每个企业都有很多需要保护的数字资产。”

　　声称“只投资网络安全”的苹果资本创始人胡洪涛认为，从2017年12月开始，我国已经将数字资产列为国家基础性战略性资源，这表明我国对数字资产越来越重视。未来的预算方式很可能发生变化，很可能不再是从IT预算里面划出一块作为安全预算，而是反着来，先看看数据值多少钱、价值有多大，再反推比如拿出（价值的）10%来保护这些资产。”

　　知名调研机构Gartner预测，全球频繁发生的网络安全事件以及频繁推出的数据安全政策，将推动整体安全支出快速增长，2018年全球安全支出将达9600亿美元，相比2017年增长8%。

　　蒋天仪告诉记者：“最近两三年，在美国出现了很多网络安全独角兽公司，这些公司基本上是在2006~2008年成立的，最新的像lllumio大概是2013年成立的，成立两年多就已经是独角兽了。国内行业发展跟随美国步伐，网络安全领域从2014年开始出现较大转变，尤其是2017年，面向网络安全、数据安全领域的投资额和投资方大幅度增加，必将在这一领域催生中国的独角兽。”

　　宋宇海也认为，中国网络安全、数据安全行业的投资未来将呈现几何级增长趋势，而非线性增长趋势，GDPR生效的2018年很可能将成为整个安全行业的拐点，而且这个拐点的转折将很大，到2020年，中国安全市场很可能将成为千亿元级的市场。

　　当然，记者也听到一些比较谨慎的声音，比如高雪峰就认为，与欧美国家相比，国内技术创新相对落后，行业体系也不太健全，新兴安全企业要想做大做强，还需要整个行业生态环境的完善。“从创新创业的角度来说，我认为在国内安全行业的独角兽会有一些，但能不能有较大的发展，我现在不太看好。”

　　（编辑：李静校对：颜京宁）

责任编辑：张国帅