数据合规人才需求趋势及现状分析

全球数据监管正在不断加强。

一、需求趋势

数字经济展现出前所未有的活力，成为全球经济复苏的新引擎，并展现出强大的就 业创造效应。然而，社会的数字化转型也带来了隐私和安全的挑战，直接体现到两个维 度，其一，数据安全隐患导致的企业数据合规风险成本创新高，其二，高频风险引起的 全球数据隐私执法愈发严格，企业合规成本与违规事件的处罚成本节节攀升。

1. 数据合规风险成本创新高

截至 2024 年，一场数据泄露的平均成本已达 488 万美元。 数字经济时代，企业要生存以及发展，就需要配备懂安全管理的数据合规人才来应 对数据泄露隐患。 数字技术在推动全球经济增长的同时，也引发严重的数据安全隐患。威胁猎人发布的《2024 年上半年数据泄露风险态势报告》11显示，仅 2024 年上半年全网监测并分析 验证有效的数据泄露事件就有 16011 起，较 2023 年下半年增长 59.58%，共 9539 起， 涉及 85 个行业。在 Splunk 公司与企业战略集团（Enterprise Strategy Group）发布的《2023 年安全现状报告》12中，Splunk 公司调研了负责安全事务的 1,500 多位企业高管，其中 超过半数（52%）的受访者表示，他们在过去两年中经历了数据泄露，较 2022 年（49%） 和 2021 年（39%）逐年增加。此外，62%的受访者表示，他们的业务关键型应用至少每 月都会出现因网络安全事件导致的意外停机，比例高于 2022 年（54%）。数据安全问 题已成为全球性、社会性的重要议题。

对企业而言，数据泄露的总成本在逐年增加（见图 1）。IBM《2024 数据泄露成本 报告》13指出，一场数据泄露的平均成本从 2023 年的 445 万美元上升至 488 万美元， 增幅达 10%，创下自新冠疫情以来的最高。造成此成本上升的原因包括：业务损失（其 中包括运营停机和客户流失）和泄露后响应成本（例如，配备客户服务帮助台人员和支 付更高的监管罚款）。这些成本合计高达 280 万美元，创下过去 6 年以来业务损失与 泄露后活动合计金额的新高。

随着企业越来越依赖数据来进行决策、优化服务和提高竞争力，一旦发生数据泄露 或不当使用，将对企业造成严重的负面影响。在此背景下，企业愈加重视数据管理与数 据安全，对懂安全管理的数据合规人才的需求也不断扩增。

2. 全球数据合规监管趋严

全球数据监管正在不断加强。据国际隐私专业人员协会（International Association of Privacy Professionals ，IAPP）统计，截至 2024 年 3 月，全球已有超 200 个国家或地 区正在制定或已经制定数据隐私保护法，并确定数据保护监管机构。随着全球数据保护 法律的建立健全，数据合规监管势必迈入全新阶段。14 与此同时，数据保护官（DPO）完成角色转变，从一种高级配置（“高配”）演变 为几乎所有类型企业的必备岗位（“标配”）。以往，DPO 主要局限于处理大量敏感信 息的大公司中，但如今，随着数据保护重要性的提升，无论企业规模大小、是否处理敏 感个人信息，企业都开始被要求或鼓励设置此职位。

从立法方面而言：在新加坡，2024 年 8 月，新加坡个人数据保护委员会（PDPC） 在官网强调在新加坡注册的企业必须任命 DPO，并以邮件形式鼓励企业于今年 9 月 30 日前在新加坡会计与企业管制局在线备案平台注册数据保护官 DPO 的姓名和联系方 式等信息资料。其源自新加坡《个人数据保护法》（PDPA） 第 11（3）条规定，“组 织必须指定一名或多名人员负责确保组织遵守本法案”。这一变化不仅反映了企业内部 数据管理理念的进步，同时也是各国和地区立法要求扩大的直接结果。在中国，随着《个 人信息保护法》和《数据安全法》等法律法规的出台，对于专门负责数据保护人员的需 求也在稳步上升。尽管中国现行法律中尚未直接引入“数据保护官（DPO）”这一术语， 但诸如“个人信息保护负责人”、“数据安全负责人”“儿童个人信息保护负责人”等类似 职能的角色正逐渐成为必要。这种转变不仅提升了对现有企业的合规要求，也预示着对 具备数据合规专业知识的人才需求将进一步扩大。

从执法情况来看：在我国，《数据安全法》《个人信息保护法》“利刃出鞘”，在 正式实施的第一年内，就对滴滴全球股份有限公司开出高达 80.26 亿元人民币的巨额罚 款。在欧盟地区，在 GDPR 正式施行的第 7 个年头，数据保护监管执法已成常态。德国 CMS 律师事务所的统计数据（见图 2）显示，从 2018 年 7 月至 2024 年 10 月，欧盟GDPR 的罚款总额已累计达 5,322,226,241 欧元，罚款数目累计已达 2,212 次。

二、三大缺口

“13% 的企业没有全职人员负责数据合规与隐私保护工作”。针对头部近百家企业 的调查，安永和赛博研究院在联合发布的《全球数据合规与隐私科技发展报告（2022- 2023）》15中，披露的这一调查数据暗合了当前数据合规人才市场面临的供需矛盾，即 市场上对具备专业数据保护与合规知识技能的人才需求日益增长，而实际能够提供的合 格人才数量、质量却远远不足，暴露出人才培育体系的不成熟与不完善，进一步拉大了 供需之间的鸿沟。

1. 缺量：数量上的人才缺失

赛迪智库预测到 2025 年中国大数据核心人才缺口将达 230 万人。 “一增”：企业日趋强烈的数据合规人才需求。从安永和赛博研究院联合发布《全 球数据合规与隐私科技发展报告（2022-2023）》对近百家头部企业的问卷调研进一步 显示，头部企业在数据合规与隐私保护方面的人员配置情况为，15%的企业拥有超过 20 名专业人员，6%的企业拥有 11 至 20 名，12%的企业拥有 6 至 10 名。这一趋势与前一 年相比有所上升，反映出企业对数据合规人才的高度重视。

“一平”：高校未见增长的数据专业毕业生人数。中国网络安全产业联盟的数据显示，2022 年我国网络安全市场规模约为 633 亿元，同比增长率为 3.1%，预计未来三年 将保持增长态势，增速将保持在 10%以上，到 2025 年市场规模预计将超过 800 亿元。 16与之对比，根据工业和信息化部人才交流中心发布的《网络安全产业人才发展报告 （2023 年版）》17，2023 年网络安全相关专业的毕业人数规模在 3.2 万左右。人瑞人才 科技集团与德勤中国联合发布的《产业数字人才研究与发展报告（2023）》18也表明， 每年数字相关专业的毕业生人数增速未见显著提升，说明了人才供应端明显的瓶颈。 这种“一增一平”的现象，即企业对数据合规人才需求的增长与高校数据专业毕业 生人数的平稳，导致了数据合规人才在数量上的严重不足。

2. 缺质：质量上的能力不匹配

“缺质”——即技能不匹配，是数据合规人才市场的一大缺口。数据合规因其独特 的“强壁垒”属性，特别需要高度专业的知识和技能，涵盖复杂的法律法规、专业的技 术实现以及跨领域的知识融合等方面。 在全球视角上，Splunk 公司与企业战略集团（Enterprise Strategy Group）发布的《2023 年安全现状报告》显示，负责安全事务的受访者指出长期劳动短缺仍然是一个严重的问 题。数据表明，88% 的受访者报告了网络安全人员存在配备/技能方面的挑战， 59% 的 受访者（高于上一年的 58%）表示无法找到具备合适特定技能的人才。

在我国，以近期的数据资源入表为例，据企业预警通统计，截至 2024 年 8 月 31 日， 共有 64 家公司（含 43 家上市公司、9 家新三板公司及 12 家非上市公司）在半年报中 披露了企业数据资源的数据，入表总额达到 14.02 亿元。然而，在这过程中，有 5 家公 司在披露入表数据后紧急“清零”，其中一家上市公司明确表示“清零”的原因在于“公 司财务人员对《企业数据资源相关会计处理暂行规定》（下称“数据资源入表政策”）的 学习和理解不到位”。这充分表明了数据资源入表是一项复杂且专业的工作，它要求从 业人员不仅要有深厚的业务理解（“懂业务”），还需精通相关法规（“懂合规”）并具备扎实的财务知识（“懂财务”）。

3. 缺育：培育上的体系不健全

当前数据合规人才培育机制不足主要表现在两个方面：一是高校培养机制的不健全， 二是市场培训平台的不足。这些问题的存在加剧了数据合规人才的“缺量”和“缺质”， 限制了数据领域所需人才的有效供给。

(1) 高校数据合规专业的缺失 从本科专业设置来看，直接关联数据合规的专业为 0。 就泛数据类专业设置，存在明显的与数据合规人才培养不适配的困境。根据最新教 育部发布的《普通高等学校本科专业目录（2024 年）》，名称上与数据合规较为贴合的 专业包括信息安全、网络空间安全、网络安全与执法等（见图 3）。以网络安全与执法 专业为例，该专业下属于公安技术类，授予工学学位，院校主要为警察学院，面向公、 检、法、国安和军队等部门输送人才，与企业的数据合规人才需求并不匹配。

就研究生培养而言，根据对研招网信息的梳理，已有少数高校尝试开设数据合规方 向的研究生项目，如中国政法大学、中南财经政法大学、武汉大学等高校将数据类法学设为新专业。工学门类下，中国科学院大学信息安全专业下开设有数据安全与隐私保护研究方向，哈尔滨工程大学网络安全技术与工程专业下开设有大数据安全与 隐私保护研究方向。但与我国研究生培养单位总数（780 多个）相比，数据合规方向的 培养项目在全国范围内仍是凤毛麟角。 专业是人才培养的基本单元。当前，系统性的、全面覆盖数据合规各个维度的专业 项目依然稀缺。这是人才缺口难以缩小的重要原因。

(2) 数据合规市场化培训的不足 57.72%的用人单位未开展过体系化人才培养项目。 上述《网络安全产业人才发展报告（2023 年版）》 的调研数据说明当前企业数据 合规人才培育体系的欠缺。在市场化培养层面，存在外部专业培训和企业内部自建培训补充人才等模式，但效 果受限。

目前，多数从业人员仍靠经验积累或自学来获取知识技能。据统计，对于网络安全 产业从业人员在实际工作中应用的知识与技能，38.27%来源于工作项目的经验积累， 32.44%是从业人员工作之余自学而成，13.7%来源于有效的用人单位内部培训，12.64% 受益于在校时的专业学习，2.95%的从业人员通过自主参与社会培训获取工作知识与技 能。