国内外数据安全监管趋势将推动数据安全产业业态创新

国内外数据安全监管趋势将推动数据安全产业业态创新

国内外数据安全监管趋势将推动数据安全产业业态创新全球数据安全产业向着服务化和细分化方向转型，我国政府颁布《数据安全法》迎合数据安全合规发展的契机，除了鼓励数据安全创新产品和技术的研发，更加积极打造数据安全创新服务业态，面向重点行业开展数据安全综合服务能力体系构建，重点发展数据安全保险、大数据安全审计、安全态势感知、大数据安全情报分析等服务业态、数据安全咨询/培训等，以服务业态创新提升中国数据安全产业能级。数据安全行业投融资情况数据显示，2021年我国数据安全领域相关投资事件为54起，达到历史新高，投资金额135．34亿元。2022年，截至10月25日，我国数据安全领域投资数量为35起，投资金额达62．84亿元，预计今年投资数量和投资金额将继续增长。我国数据安全领域行业集中度不高，分布较为分散，龙头企业较少。从数据安全市场的主要参与者来看，既有综合型的安全厂商，如奇安信、启明星辰、绿盟科技、天融信、安恒信息等，也有专注于数据安全领域的安全厂商，如安华金和等。数据安全发展阶段数据安全的发展历程可大致分为三个阶段，从早期的以数据库为主的单系统安全，到数据生命周期的安全，再到数据基础设施安全，当前正在由第二阶段向第三阶段发展和演变：数据安全1．0：在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计，特别是数据库系统作为数据的重要载体，数据库安全是数据安全最重要的组成部分，数据库安全也与网络边界安全在思想上也形成了直接的对应关系，数据库加密对应磁盘加密，数据库防火墙对应防火墙/UTM，数据库审计对应IDS入侵检测，数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。数据安全2．0：随着数据的使用与流转不再局限于单个业务部门，跨业务部门跨网络边界的数据流动成为常态，数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变，数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段，数据安全的重心不再仅是针对数据库等单一系统，而是针对数据的整个生命周期进行体系化治理，因此数据安全的产品也开始迅速丰富，同时更强调对技术的综合应用，包括数据分级分类，数据安全平台、数据监控与审计、IAM等技术得以快速发展。数据安全3．0：随着数字经济时代的到来，数据资产成为了国家的战略资源和核心资产，数据安全脱离了单独的个人或企业层面，开始以数字经济基础设施的安全为核心。这一时期，数据交易市场开始逐渐形成，对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言，数据的泄露不仅对企业造成严重损失，同时也将威胁到公共安全乃至国家安全。因此在这一时期，数据已经脱离单个企业层面，成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。数据安全监管框架对于数据安全防护的监管核心在于止损，延用了网络安全领域等保制度的建设思路，旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成损害。通过对数据防护相关政策的梳理，对于数据安全防护的监管渊源可追溯至2015年7月全国人大发布的《国家安全法》，其中提到建设网络与信息安全保障体系和实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。之后在《国家安全法》的基础上，全国人大和网信办陆续发布《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等跟数据安全防护直接相关的法律法规，各行业亦出台相关指导文件，数据安全防护监管要求逐步细化。对于数据开发利用的监管核心在于创利，旨在打破数据孤岛，实现数据的跨场景流通共享，也是现阶段构建数据要素市场的核心。同样基于对于数据开放共享相关政策文件的梳理，对于数据开发利用的监管渊源可追溯至2015年9月《促进大数据发展行动纲要》其中提到加快政府数据开放共享，推动资源整合，提升治理能力、稳步推动公共数据资源开放、统筹规划大数据基础设施建设。之后的2016-2020年间医疗、交通、气象、水利、工业等领域主管部门陆续发文，促进行业数据共治共享。2022年《要素市场化配置综合改革试点总体方案》和《关于构建数据基础制度更好发挥数据要素作用的意见》，将数据流通共享纳入数据要素体系框架。数据安全行业发展前景随着2016年《网络安全法》、2021年《数据安全法》《个人信息保护法》陆续出台，我国在数据安全和个人信息保护领域已形成较为完备的法律规范体系，对我国数字经济繁荣和数据安全产业发展都在法律层面提供了制度保障。目前，受互联网技术以及企业生产环境等因素影响，企业数字化转型正在进行中国有企业的数字化转型，在开发和利用数据的过程中，必然需要专业化的数据资产管理、数据安全监测、安全存储、风险评估、隐私计算等数据安全产品和服务作为支撑和保障。相较于国有企业，中小企业更需要通过数字化网络化智能化实现复工复产，对采购、租赁云化部署的数据安全一站式产品或服务有较大需求。因此，数据安全产业面临更大的需求和更高的要求，未来将会加速发展。近年我国社会数字化转型步伐加速，数据规模持续扩大，金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加，稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务。数据安全产品将向专业化、体系化方向不断迈进，为专业型企业发展带来新机遇。数据安全市场定义从广义上来看，数据安全和网络安全都是信息安全的一部分。在传统网络安全市场的框架下，数据安全从攻防视角或系统视角出发，即保障数据产生和存放的系统设备的安全，从而保护在系统设备上的数据。在这一体系下，形成了以防护数据库、网络、服务器等数据使用/存放环境为核心的数据安全产品体系。而在现阶段数据安全防护和数据开发利用并重的监管体系下，数据安全正在从传统的系统视角（保护存放数据的系统设备）向业务视角（围绕数据流动展开全生命周期防护）转变。在业务视角体系下，对于数据的防护作用于数据本身，且伴随数据全生命周期流程，涵盖数据采集、数据存储、数据传输、数据使用、数据共享、数据销毁六个阶段，同时对涉密、重要、隐私等敏感数据进行靶向监控，实施针对数据的分类分级型安全防护。在系统视角下，更加关注器的安全，即数据安全通过保护承载数据的系统设备实现，故而数据安全是传统网络安全市场下的一个分支；而在业务视角下，更加关注物本身的安全，对于数据本身的安全防护伴随业务场景流转日益丰富，故而数据安全在当下正在逐步演进为独立的赛道。未来网络安全和数据安全有望保持相互关联、依赖和演进的关系。一方面，传统系统视角下的数据安全演进成为业务视角下独立数据安全赛道的重要组成部分；另一方面，以网络为中心的安全是保证数据安全的前提和基石，而以数据为中心的安全，着手数据本身，能够有效增强数据防护能力，使得防护更加精准高效。在数据安全市场围绕数据全生命周期向独立赛道发展演进的过程中，下游对于数据安全的需求也在发生变化：对于新建系统而言，数据安全的部署和投入节点被前置，事前和事中环节的防护需求增大；对于潜在的数据共享和数据交易需求，隐私计算技术的应用场景落地逐步清晰；对于存量系统而言，数据安全的改造需求增多，轻量化改造方案有望更加获得下游客户的认可。数据安全市场空间测算对标全球数据安全市场，我国数据安全市场存在较大提升空间。数据安全市场理应受到数据总量规模的驱动，即数据总量越大，需要防护的信息量越复杂，对数据安全市场的需求空间就越广阔。从数据安全市场规模的角度来看：根据研究机构VMR的统计，2019年全球数据安全市场空间约为173．8亿美元，且预计2027年该规模增加至572．9亿美元，复合增长率为17．35%。而根据相关研究机构的测算，我国2019年数据安全市场规模仅为38亿元，在全球数据安全市场占比仅为3．4%。从数据量的角度来看：根据IDC的研究，2018年我国数据量占全球数据量的23．4%，预计到2025年在全球的占比将达到约28%（远超2019年中国数据安全市场在全球3．4%的占比）。考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距，中国未来数据安全市场增长潜力较大。假设到2025年中国数据安全市场规模在全球的占比与数据量占比相匹配（达到28%），进一步估算得到中国数据安全市场潜在空间在2025年有望达到126亿美元（820亿元人民币），相较于2019年复合增长率为67%。数据安全行业现状分析全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据IDC发布的数据，全球数据量从2010年的2ZB增长到2021年将近60ZB，2025年预计将增长至175ZB，其中中国将成为数据量最大的国家，数据量将达到48．6ZB，占全球总量的27．8％。2021年，美国社交软件Facebook因系统漏洞泄露超过5．33亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息；美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据；滴滴出行App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年，欧洲委员会发布了《个人数据自动化处理中的个人保护公约》，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018年，欧盟发布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布《应用程序隐私保护和安全法案》（APPsActof2018）草案、《加州消费者隐私保护法案》（CCPA）等相关数据保障法案。2022年6月，美国参议院与众议院发布了《美国数据隐私和保护法案》草案（AmericanDataPrivacyandProtectionAct，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。数据安全是数据经济产业的基石。我国数字经济规模逐年增长，根据信通院数据，我国数字经济规模从2016年22．6万亿元，增长至2021年45．5万亿元，年均复合增长率达到15%。数据安全市场规模数据安全作为网络安全行业景气度最高的赛道之一，市场规模有望在近年达到百亿量级。根据计世资讯的数据显示，2020年我国数据安全市场规模达到52．5亿元，同比增长33%，预计2022年将达到百