本文来自微信公众号“大信创圈”。
1.三维度看数据安全需求释放
1.1数据井喷时代,风险敞口扩大
国际电信联盟将网络安全定义为用于保护网络环境、机构组织以及用户资产的政策、理念、技术等集合,主要提供保障网络可靠性、安全性的产品和服务。随着云计算、大数据、工业互联网等新兴技术的加速发展与应用,网络安全的内涵进一步丰富、边界进一步扩大,涉及到互联网、电信网、物联网、计算机系统、通信系统、工业控制系统等在内的所有系统相关的设备安全、数据安全、行为安全、内容安全等。数据安全指的是通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。与网络安全相比,数据安全更加具有针对性,数据在哪里,安全在哪里。
全球数据泄露事件频发,泄露损失进一步上升。近年针对数据的攻击、窃取、滥用等事件频频发生,对经济社会产生了巨大影响。2022年包括英伟达、三星电子、Twitter等公司相继发生数据泄露事件。其中,社交平台巨头Twitter在22年7月遭黑客攻击泄露了超过540多万用户数据,涉及邮件及电话号码等信息;今年1月,Twitter用户数据再次发生泄露,有超过2.35亿个账号数据被泄露,涉及用户的名称、ID等相关信息。据Flashpoint数据显示,2022年全球发生数据泄露事件4,518件,事件数量虽有所下降,但泄露的数据量仍处于高位,2022年达到226.2亿条。从数据泄露的损失来看,据IBM数据,2022年全球数据泄露的平均损失进一步上升,达到435万美元。其中,数据泄露平均损失前五大行业分别为医疗、金融、制药、科技、能源等关键行业。
(左)近年全球数据泄露事件及数据泄露量
(右)近年全球数据泄露平均损失
按行业分类,2022年全球数据泄露平均损失(单位:百万美元)
数据井喷时代来临,数据安全亟需重视。随着信息技术发展,通信基础设施不断完善,即时通信、长短视频、网络游戏等消费级应用的革命带来了C端数据流量的爆发,而各行各业的信息化建设也进一步积累了B端的应用数据。未来随着5G高速网络普及、万物互联场景实现,数据有望迎来井喷期。据Statista预测,到2025年全球数据流量有望达到181ZB,2021-2025年复合增速为23.03%。国内方面,预计到2025年数据量有望达到48ZB(数据来源:易华录公告),2021-2025年复合增速高达64.22%,大幅高于全球的平均水平;同时,国内数据量占全球的比重也将从2021年的8.35%大幅提升至2025年的26.52%。面对快速增长的数据量,数据风险敞口将进一步扩大,特别是大国博弈的背景下,数据安全亟需得到重视。
(左)近年全球数据流量情况
(右)近年我国数据产量情况
1.2政策聚焦数据安全,合规要求进一步提升
随着数据在数字经济发展中的重要性不断凸显,以及近年数据风险事件的频频发生,全球主要国家进一步加大了对于数据的重视程度,通过立法建立较为完善的数据保护、数据安全的框架,企业数据安全合规要求进一步提升,有望带来数据安全产品需求的增加。具体来看,欧盟在2018年发布了史上最为严格的数据管理法规《通用数据保护条例》(GDPR),该条例赋予了数据主体更多的权利,包括被遗忘权、可携带权等,同时进一步拓展了用户数据的保护范围,除了姓名、证件号码、地址等常规数据外,还将种族、宗教信仰等数据纳入保护范围。此外,GDPR进一步加大对于数据处理者的合规力度,要求企业对数据的安全性、可用性、保密性和完整性负责,只要企业有收集、存储、处理欧盟境内相关数据的行为,均受到GDPR的约束。在处罚方面,GDPR对于有严重违规行为的企业,最高可处以全球收入的4%或2000万欧元的罚款(以较高者为准),企业的数据合规成本进一步上升。据DLA Piper数据,2022年欧洲数据监管机构针对GDPR违规的罚款已经超过29亿欧元,同比大幅增长2倍。
美国方面,2022年6月参众两院发布了《数据隐私和保护法》(ADPPA)草案,是获得两党两院支持的美国联邦全面隐私保护提案。相较于以往州级立法定义的敏感数据往往侧重于监控和人口统计信息等,此次法案进一步扩大敏感数据的定义,将收入水平、语音邮件、文字消息、与17岁以下儿童的有关数据纳入到敏感数据范围。同时,法案对大数据持有者设置了个人信息保护的额外义务,进一步强化其告知义务,包括提供隐私影响评估、算法影响评估等内容。
我国在2021年相继发布《数据安全法》、《个人信息保护法》等顶层设计加大对于数据安全的保护力度,为数据和个人信息保护提供了重要法律依据。在数据安全保护方面,《数据安全法》提出要对数据实行分类分级保护制度;开展数据处理活动的相关方应当采取相应的技术措施保障数据安全,要加强风险监测,定期开展风险评估等内容。《个人信息保护法》提出不得过度收集个人信息,个人信息处理者应当保障所处理的个人信息的安全。在法律责任方面,《数据安全法》、《个人信息保护法》加大对于违法活动的追究力度,其中《个人信息保护法》指出对于情节严重的违法行为,可以处五千万元以下或者上一年度营业额百分之五以下罚款。
1.3数据要素市场加快发展,带动数据安全需求释放
数字经济成为经济发展主要驱动力。随着信息技术的发展,数字经济成为继农业经济、工业经济后的主要经济发展形态,全球主要国家积极抢占数字经济发展的制高点,2021年全球47个主要国家的数字经济规模达到38.1万亿美元。其中,我国2021年数字经济规模为45.5万亿元,2017-2021年复合增速13.73%,数字经济占GDP的比重从17年的32.69%提升至21年的39.59%,逐渐成为我国经济发展的主要驱动力。据信通院预测,到2025年,我国数字经济市场规模有望突破60万亿元。
数据要素是数字经济发展的关键。数据作为新型的生产要素,在经过采集、存储、加工、流通、分析环节后具备了使用价值,权属清晰后即可作为数据资产进入数据要素市场流通。统计局发布的《数字经济及其核心产业统计分类》中对数字经济进行了明确定义,指出数字经济是以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。可以看出数据要素作为数字经济的关键生产要素,其重要性不言而言。据《中国数据要素市场发展报告(2021-2022)》,近年数据要素对我国GDP的贡献率持续提升,2021年达到14.7%。
从供需角度来看,数据需求方需求旺盛,数据供方价值有望重塑。对于数据需求方来说,丰富的数据要素资源能够进一步赋能自身的生产经营、业务发展,如银行在对企业客户信贷需求进行评估时,除了关注企业自身提供的经营数据外,也可以通过企业注册、判决、用电等外部数据进行分析辅助决策。对于数据供给方来说,数据资产入表政策出台,数据供方价值有望重塑。2022年12月,财政部发布《企业数据资源相关会计处理暂行规定(征求意见稿)》,提出对于企业内部使用的数据资源,可确认为无形资产;对于企业对外交易的数据资源,可确认为存货。过去数据要素的价值并未充分反映在报表上,此次数据资产入表政策的出台,通过建立数据资源相关会计处理准则,有助于全面反映数据资产的价值,数据持有方价值有望得到重估。
从政策角度来看,近年政策支持加快数据要素市场化建设。2019年10月,十九届四中全会首次明确将数据纳入生产要素,数据要素的重要性进一步凸显。随着最高层对数据要素的定调落地后,国家陆续出台推进数据要素市场发展的基础制度文件。地方性政府层面,今年烟台、武汉等地陆续出台推动数据要素市场发展的相关行动计划。此外,今年出台的《党和国家机构改革方案》提出要组建国家数据局,专门负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。此次国家数据局的组建将有助于进一步发挥中央集中统筹数据要素发展、打通全国数据壁垒的作用。
近年关于大数据市场发展的政策
数据安全作为数据要素产业链核心环节有望充分受益。无论是从供需角度,或是政策角度,数据要素市场化建设有望加快发展,据国家工信安全发展研究中心预测,到2025年我国数据要素市场规模有望达到1749亿元,2022-2025年复合增速达28.99%。数据安全作为数据要素产业链核心环节,亦有望充分受益。
2.数据安全贯穿数据全生命周期管理,行业领军企业产品矩阵丰富
今年1月,工信部等十六部门下发《促进数据安全产业发展的指导意见》,对数据安全产业的市场规模提出了明确目标,指出到2025年,我国数据安全产业规模超过1500亿元,年复合增长率超过30%。数据安全贯穿数据全生命周期管理,涉及从数据的采集、传输、存储到数据处理、交换、销毁等众多环节,每个环节都涉及相应技术和产品,行业增量空间巨大,关注DLP、数据脱敏、隐私计算等技术产品。
数据泄露防护(DLP):防止敏感数据泄露。DLP是指通过一定的技术手段,通过数据识别技术以及设定的安全策略,对存储和使用过程中的敏感信息进行发现、监测和保护,防止敏感数据违反安全策略流出。根据应用场景不同,DLP可分别终端DLP、网络DLP、邮件DLP、应用DLP以及发现DLP等。其中,天融信的终端DLP在终端主机安装后,能够捕获终端存储的敏感数据,监控文件外发、文件拷贝等多种操作,并对违规的行为进行警告、阻断、追溯等操作,进一步降低数据泄露的风险。据IDC数据,2021年我国数据防泄漏市场规模为1.25亿美元,同比大幅增长39.2%。从行业格局来看,行业头部企业如天空卫士、亿赛通、明朝万达,均出身于数据安全领域,2021年市场份额分别为23.1%、16.3%和11.2%;天融信市场份额排第四,为8.4%。
数据脱敏:对敏感数据进行变形。数据脱敏技术是指通过数据变形方式对敏感数据进行处理,既能够降低敏感数据泄露的风险,又能够保持敏感数据原本的特征,仍然能够用于数据的分析和价值的挖掘。根据不同的业务场景,可以选用不同的脱敏策略,常见的规则包括加密、掩码、替换、模糊等。从技术分类来看,主要分为静态数据脱敏和动态数据脱敏两类。其中,静态脱敏是指按照预先制定好的脱敏规则,对敏感数据进行一次性脱敏处理,脱敏后的数据能够随意取用和读写;动态脱敏则是在访问敏感数据的同时进行脱敏处理,可针对人员、权限、客户端、主机、时间等不同维度配置脱敏策略。据Gartner数据,2017年使用数据脱敏技术的企业占比约为15%,预计到2022年达到50%。行业竞争格局方面,仅安华金和一家中国公司入选Gartner 2020年发布的数据脱敏领域代表厂商。
隐私计算:实现“数据的可用不可见”。隐私计算是指利用密码学、人工智能、数据科学等多个领域的科学体系,在保证数据本身不对外泄露的前提下实现数据分析计算的技术集合,具有“原始数据不出域、数据可用不可见”的特征,够在充分保护数据和隐私安全的前提下,实现数据价值的转化和释放。从技术分类看,隐私计算主要分为联邦学习、多方安全计算、可信执行环境。其中,联邦学习是指参与方对本地数据进行训练后将更新的参数发往服务器进行聚合,得到总体参数的学习方法,在实现数据聚合的同时也保证了本地数据的隐私。多方安全计算是指多个参与方进行协同计算并输出计算结果的同时,使得各个参与方除了计算结果之外无法获取任何其他信息。可信执行环境是指在本地建立可信执行环境,在该环境下对数据进行处理。其中星环科技推出的隐私计算平台Sophon P²C,能够支持不同场景的隐私计算需求,包括联邦学习、多方安全计算、基于差分隐私的数据发布、匿踪查询等,为多方数据安全协作提供完整的平台底座。据艾瑞咨询预测,到2025年我国隐私计算市场规模约为145.1亿元,2021-2025年复合增速133.27%。
行业领军企业产品矩阵丰富,产品收入高速增长。综合型网络安全厂商由于普遍具有较强的技术背景、资金实力,布局数据安全领域有一定的先发优势,比如深信服、奇安信、启明星辰等相关公司,大部分在隐私计算、数据脱敏、数据泄露防护、数据库审计、防火墙、数据分类分级等领域有所布局,产品矩阵较为丰富,有望形成强者恒强的态势。随着行业需求释放,部分公司数据安全产品的收入也进入到高速增长阶段。其中,2022年,电科网安数据安全业务收入同比大幅增长135%;奇安信数据安全产品收入同比增长55%以上;启明星辰数据安全2.0&3.0业务同比增长41%,呈现快速增长的态势。
3.关注建议
在数据风险敞口扩大、政策合规需求以及数据要素市场加快发展等因素推动下,数据安全赛道长坡厚雪,国家政策明确2025年数据安全产业规模超过1500亿元,年复合增长率超过30%。综合型网络安全厂商由于具有较强的技术背景、资金实力,在数据安全领域的布局上有一定先发优势,大部分在隐私计算、数据脱敏、数据泄露防护、数据库审计、防火墙、数据分类分级等领域有所布局,产品矩阵丰富,有望形成强者恒强的态势。建议关注天融信、电科网安、启明星辰、绿盟科技、安恒信息、奇安信-U等相关标的。
