官网

一、数据安全法、《网安审查办法（意见稿）》完善法规布局

数据是国家基础性战略资源，没有数据安全就没有国家安全。6 月 10 日，《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自2021年9 月1日起施行。确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。近期网络安全政策持续加码， 2021年7月2日，网信办依法宣布对某“用车平台”实施网络安全审查，7月4日、5日多家公司APP被依法下架、暂停新用户注册，7月10日，网信办又发布《征求意见稿》补缺了此前网络安全审查仅针对关键信息基础设施的采购审查短板，审查范围从关键信息基础设施运营者扩大到了全部数据处理者，要求掌握超过100万用户个人信息的运营者赴国外上市，必须审批。

此前已颁布多部法律法规，《数据安全法》将一步完善数据安全要求。如与《网络安全法》相比，仍存在基本法缺位、“数据主权”地位尚未确立，数据经营难有效监管等问题。“网络安全法”主要是针对网络层面的安全规范，但未能从数据信息全维度进行规范，相关配套政策文件法律层级低，要求较为分散，难以系统性解决数据安全保障问题。对于数据本身而言，“数据”已成为和土地、资本、劳动力并列的“生产要素”，具有重大价值。一旦数据被破坏或者被泄露，这些数据信息被利用后将对国家安全、公共利益等造成损害。另一方面，《数据安全法》中也明确规定了未履行数据安全保护义务将承担法律责任。对于监管者和执法者来说都需要引起高度重视。

政策合规方面，还有《网络安全法》、等保2.0、护网行动力度加大、关键基础设施保护条例（草案）等一系列积极因素影响。等保2.0于2019年12月1日正式实施，年初疫情使各级政府财政收入受到一定影响，部分合规产品需求采购后移。但攻防演习范围从直属部委、国企总部延伸至分支机构，攻防演习投入保持韧性；随着关键基础设施保护条例预计的出台，涉及国计民生、公共利益的政府机关和能源、金融机构，大型公共信息网络服务单位将会给网络安全行业带来增量收入。

等保2.0与1.0相比，等保2.0在定级对象、定级流程、合格要求难度等方面都有显著提高。等保2.0的5个运行步骤：定级、备案、建设和整改、等级测评、检查。同时分5个等级，即信息系统按重要程度由低到高分为5个等级，实施不同的保护策略：

1）定级对象范围扩大，等保2.0扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广。

2）定级流程更加严格，等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格；

3）测评合格要求提升，相较于等保1.0，等保2.0测评的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。
为保障关键信息基础设施安全，根据《中华人民共和国网络安全法》，国家网信办会同相关部门起草了《关键信息基础设施安全保护条例（征求意见稿）》向社会公开征求意见，保护对象包括涉及国计民生的政府机关和能源、金融、交通、水利单位以及大型互联网企业等，预计随着网络安全领域的法律法规不断完善细化，基础信息网络运营者采购、使用的网络关键设备、网络安全专用产品需求会有所增加。

随着“护网行动”的参与主体由总部向层级较低单位延申、演习内容不断丰富，有望加大网安产品及服务需求。“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始，随着我国对网络安全的重视，涉及单位不断扩大，越来越多都加入到“护网2020”行动中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。

二、网安新政对海外上市、在华厂商、数据敏感行业的潜在影响近期网络安全政策持续加码，我们从“国内公司海外上市审查“、”外资厂商在华数据本地化”、“数据敏感行业企业”、“数据跨境制度经验”等多维度探讨网安新政可能存在影响。2021年7月2日，网信办依法宣布对某“用车平台”实施网络安全审查，7月4日、5日多家公司APP被依法下架、暂停新用户注册，7月10日，网信办又发布《征求意见稿》补缺了此前网络安全审查仅针对关键信息基础设施的采购审查短板，审查范围从关键信息基础设施运营者扩大到了全部数据处理者，要求掌握超过100万用户个人信息的运营者赴国外上市，必须审批。网安新政策影响或将体现在：

1）关保涉及的数据敏感行业需要承担更严格的数据与网络安全保护责任，进一步推动网安支出。”网安新政保护对象包括涉及国计民生的政府机关和能源、金融、交通、水利单位以及大型互联网企业等，预计随着网络安全领域的法律法规不断完善细化，基础信息网络运营者采购、使用的网络关键设备、网络安全专用产品需求会有所增加。

2）交运、金融、医疗、云计算等掌握大量用户敏感数据行业选择国外上市需要与监管机构进行充分沟通，接受网安审查或数据安全审查；从本次修订的主要核心均是围绕“数据的国外安全”场景进行。包括增加证监会作为审查机构、境外上市100万用户的门槛要求、外国政府的数据控制风险等内容。“足以说明全球化的数据流动安全已经引起国家高度重视，这也是数据主权在落地规则中的具体体现。

3）外国厂商（如特斯拉等）在中国境内将更加重视数据本地化存储、应用，满足中国政府在数据跨境传输监管；对于涉及数据敏感行业的外商在华企业而言，外商投资企业获得中国境内的敏感数据同样存在隐忧。外资厂商将更加重视将全球合规要求在中国落地并本地化，并且紧跟中国政府在数据跨境传输方面的立法与监管动态。

4）此次网安事件充分体现了我国政府对境外监管机构获取境内敏感数据潜在风险的担忧，预计未来在数据跨境制度设计方面仍有政策落地；《征求意见稿》补缺了此前网络安全审查仅针对关键信息基础设施的采购审查短板，审查范围从关键信息基础设施运营者扩大到了全部数据处理者，要求掌握超过100万用户个人信息的运营者赴国外上市，必须审批，未来或仍有政策落地。

5）对互联网中概股而言，《数据安全法》第36 条加强了中国境内企业和个人向境外执法或监管机关提供数据施的限制，其未来必然对于选择海外上市、已上市企业接受海外监管或面临制度约束。

三、ICT技术演变驱动数据安全新应用场景ICT技术演变，牵引安全新领域需求，数据安全在监管政策与企业自身内生驱动下需求扩张：随着以大数据分析和采集为首的大数据应用不断在我国展开，用于搭建大数据平台所需的安全产品和服务，以及大数据场景下围绕数据安全展开的大数据全生命周期的安全防护共同构成了大数据安全产业。根据中国信息通信研究院发布的《大数据安全白皮书（2018年））》，国内外的大数据安全技术虽然已经取得了一定进步，但是面对层出不穷的新式大数据攻击，防护措施仍然显得不够充分。

其原因是传统的安全防护观念以及技术无法满足大数据安全防护的需求。其中密文计算技术、数据泄露追踪技术的发展仍无法满足实际的应用需求，难以解决数据处理过程的机密性保障问题和数据流动路径追踪溯源问题。根据赛迪咨询的数据，大数据安全市场将会随着大数据运用规模的拓展而高速成长，预计到2021年，大数据安全市场的规模将达到69.7亿元。

安全漏洞数量逐年增加，数据安全是企业业务开展的基石。根据国家信息安全漏洞共享平台数据，近三年信息安全漏洞年复合增速达20%。目前全球网安需求重点客户包括政府、金融、电信运营商及电力能源等信息敏感行业。基于此，我们梳理了网安重点客群遭受的网安攻击事件，呈现如下特征：

1）攻击方式变化小，攻击频率有所加快：网安攻击的方式仍然是我们所能看到的病毒、漏洞、钓鱼等，单纯看攻击形式并无太大变化，但攻击频率呈现增长态势；

2）攻击的手段由单一变得复杂：随着企事业单位实战攻防能力提升，通过流量监测、智能预警等技术发展，攻击方法正变得愈加复杂，一次重大攻击往往需要精密的部署，长期的潜伏，以及多种攻击手段相结合以达到最终目的；3）攻击目的多样化：攻击的目标从个人电脑攻击到经济、政治、战争、能源，甚至各个国家的网安建设已经作为国家战略实力一部分。

四、数字化转型内生驱动安全需求数字化转型进程的加速使得数据对企业的重要性持续提升，内生驱动安全需求。

企业无论规模大小，所属传统行深度挖掘和精准分析，以促进企业自身业务发展。数字资产已经成为企业高价值资产之一，对数据的保护需求也在增加，同时，虚拟化基础设施、云计算的采用以及越来越多移动设备的加入使得企业数据日益分散、可见性和控制力降低，数据安全保护的难度不断增加。企业数据对于数据安全防护能力的追求内生驱动网安需求。

奇安信进度领先，数据要想真正成为新型生产要素，数据安全是重要前提，数据安全是重要使能器。

作为当今互联网时代的新型生产要素，在大数据、人工智能等新兴技术的加持下，数据流动愈加频繁、数据价值日益凸显，已经成为各行业科技转型的核心推动力。奇安信基于“数据不动程序动，数据可用不可见”的技术理念，在国内率先兼顾数据隐私安全与商业价值挖掘的隐私卫士产品。

奇安信网神隐私卫士检测系统包括沙箱、隐私协议分析仪、应用行为检测模块、合规评估模块、系统管理模块组成。

被检测的安卓或iOS应用上传到检测系统后，系统利用真机沙箱或模拟器沙箱对应用进行运行检测，并通过隐私协议分析仪对其隐私政策协议进行自动化分析。应用行为检测和隐私政策检测采用可扩展的检测插件方式进行检测，包括隐私政策完整性检测、与应用行为的实质符合检测、非必要信息收集检测、数据出境、第三方收集、隐私泄漏风险、使用权限检测等。

具备较强产品竞争力，按照《App违法违规收集使用个人信息行为认定方法》描述的6大类31项收集行为进行检测项拆解，按照全自动检测、半自动检测和人工检测的分类要求进行全面的、深度的隐私合规检测。

核心功能包括：

1）应用行为检测，通过真机和模拟器对移动应用进行各类触发操作检测各类隐私行为，深度发现APP以及SDK获取、存储和上传的各类个人信息，综合其中的明文存储、明文传输、信息出境等行为进行全方位的应用行为检测。

2）隐私政策检测，通过分析应用收集的各类个人信息，与隐私政策中描述的个人信息进行一一比对，结合法律法规要求给出具体不合规项及法律法规适用条款，最终给出针对隐私政策的规范性、完整性和一致性的检测

3）法规对齐分析，隐私卫士系统对各类精细化的检测内容可依据《App违法违规收集使用个人信息行为认定方法》进行回归分析，将各类检测结果与《认定方法》等多项法律法规进行对齐分析，更利于企业对通报问题的分析。数据安全法的最大特点是在鼓励数据流动、共享，乃至交易的情况下确保数据的安全。数据这一新的资源，必须在交换流动中才能被释放出更大的价值，这已经逐步成为各行业的基本共识。而如何对重要数据进行有效保护，就成为了整个共享交换场景中的关键点。数据脱敏，是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的时，在不违反系统规则条件下对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号和客户号等重要个人信息都需要进行数据脱敏。

卫士通数据脱敏系统，重点解决数据在共享、交换及使用过程中的隐私信息保护的问题，借助深度学习算法和自然语言处理技术识别敏感数据，以一体机、软件、云服务三种形态为数据安全防护提供敏感数据自动发现、自动数据脱敏的功能，可广泛应用于党政、军工、能源、医疗、交通、金融等行业，为各行业在数据共享、交换及使用过程提供安全、有效、可靠的隐私信息保护，防止敏感数据和隐私数据泄露事件发生。

深信服率先在智能数据分类分级上进行了探索，目前国内大部分的数据分类分级依旧停留在基础层面，且大部分以人力为主，导致一方面会比较耗时，成本较高，另一方面，由于受到人力因素的影响，传统的以正则表达式为主的工具识别准确率非常低。深信服智能数据分类分级平台率先引入了人工智能与机器学习算法，相较于传统数据分类分级做法，采用机器学习技术，大大提升了准确率，进一步提升了工作效率，减少了人力成本，在数据分类分级上作了一次有效实践。安恒信息定增募投数据安全岛项目，公司可利用自身在大数据安全领域的技术积累，丰富网络信息安全平台产品线，提升整体盈利能力。根据赛迪顾问的预测，2019-2021年，大数据安全市场规模年均增长率为35.3%，2017-2019年，公司大数据安全产品收入年复合增长率达到 100.2%，随着《个人信息保护法法》、《数据安全法(草案)》相继公布，政策规范有望驱动数据交易平台及相关技术服务需求增长。天融信作为国内最早发布数据安全防护体系的网络安全企业，依托数据安全多年的经验，构建了以行业特征为基础，通过数据安全治理、数据安全防护、数据安全监管、数据安全运营赋能，实现数据全生命周期的安全防护整体解决方案，目前已在运营商、金融、政府、能源、卫生、海关等行业领域得到广泛应用。同时，天融信是中国信息安全测评中心授权的注册数据安全治理专业人员（CISP-DSG）运营机构，是首家且目前唯一一家运营机构，负责注册数据安全治理专业人员（CISP-DSG）专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容，助力国家培养数据安全专业人才