行业纪要数据安全本轮互联网治理的重要 [复制链接]

专注强逻辑趋势股投机！

思考：卫士通吹亿。

摘要

数据作为新型生产要素，应用过程中更强调效率与监管平衡，数据安全缺失已成互联网发展羁绊。

当下数据安全缺失已是中国互联网快速发展过程中的“伴生病”。互联网厂商滥用大数据、数据无保护流转、被诈骗团体利用是长期难题，人民深受其扰，年前互联网监管历经：

1）监管序幕：自年《信息安全保护条例》拉开网络立法序幕，互联网作为市场化程度最高的行业，政府保持最低限度的“不干预”政策和最高程度的支持性政策（产业、税收减免等）；

2）鼓励数字赋能：年《国务院关于积极推进“互联网+”行动的指导意见》，此后数字产业化不断升级，巨头版图涉足电商、金融、云计算、物流乃至本地生活、体育文娱，互联网几成“生产效率”代名词。年后数据安全问题日益成为发展阻碍。

数据安全成为此轮互联网监管核心。

始于年的本轮互联网监管兼顾效率与安全，年《反垄断法》修改将互联网行业纳入考量范围，年末中央工作经济会议提出防止资本无序扩张，年《数据安全法》及《隐私法》等政策实施在即，叠加用户隐私安全意识加强，互联网厂商数据安全自发性需求迫切。自年7月始，多家公司APP被依法下架、暂停新用户注册，部分头部互联网厂商被认定为垄断、数据安全保护缺位，同时网信办发布《征求意见稿》补缺此前安全审查仅针对关保设施的短板，强化互联网厂商海外上市涉及的数据安全监管。

市场空间：大数据加速应用与监管政策双轮驱动数据安全发展，互联网及企业需求落地在即，短期百亿市场以技术服务收入为主，长期SAAS运营收入有望达千亿。

仅从数据安全的组成部分隐私计算来看，据Gartner预测，年，全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规，年隐私驱动的数据保护和合规技术支出将在全球突破亿美元。随《数据安全法》等落地、数据交易市场快速发展，KPMG预计年国内数据安全技术服务有望达百亿,随IT架构走向云化，长期将撬动千亿级的数据安全SaaS运营收入。

竞争格局：典型的数据安全应用场景通常包含三类参与方，互联网作为数据使用方，相关部门作为监管方，具备良好政治素养、技术储备的第三方企业提供技术服务。

以隐私计算场景为例：

（1）数据的使用方，需考虑业务特征与支付能力，互联网厂商合规需求迫切，未来数据“最小化采集、避免滥用”，此外如联合建模下的银行业、医疗机构；

（2）作为数据的提供方，做到原始数据不出本地，将加密后的信息发送至中间方；（3）数据计算技术服务商，为客户搭建计算系统，包括在业务方、数据方以及可信第三方部署服务节点。考虑国内实际，极可能是由监管单位监管，相关技术储备的第三方企业提供技术服务及运营。

产业机遇：

1）卫士通将成数据安全市场（涵盖存储、流通、计算及应用等）最核心标的，仅计算服务一项隐含市值即超亿。

基本加密业务信创在手订单充裕，安全芯片等产品军工需求高景气，且成本有望在研究所和上市公司再平衡，净利率预计将显著改善，仅测算卫士通隐私计算服务市场年中性/乐观情形，隐含市值分别为/亿元；

2）奇安信前瞻布局的隐私卫士等产品有望核心受益，对应用行为和隐私政策采用可扩展的插件方式进行检测，包括隐私政策完整性检测、与应用行为的实质符合检测、非必要信息收集检测、数据出境等；

3）安恒信息已发布完备数据安全解决方案，包含“CAPE”数据全生命周期防护体系、数据安全咨询服务体系、AiLand数据安全岛、AiTrust零信任解决方案、AiDSC数据安全管控平台、EDR与数据勒索防护等六大产品服务，在浙江省大数据交易中心已有应用。

4）天融信是中国信息安全测评中心授权的注册数据安全治理专业唯一人员（CISP-DSG）运营机构，凭借优质头部客户基础与技术储备受益。

隐私安全：卫士通、安恒信息、奇安信。

网络安全：奇安信、卫士通、安恒信息、深信服、天融信、启明星辰、绿盟科技。

风险提示：行业竞争加剧风险；政策力度不及预期风险；宏观经济风险；测算可能与实际存在误差。

正文

互联网监管政策几经演变，数据安全渐成核心

数据作为新型生产要素，应用过程中更强调效率与监管平衡，数据安全已成为此轮互联网监管核心。1）监管序幕：自年《信息安全保护条例》拉开网络立法序幕，互联网作为市场化程度最高的领域，政府保持最低限度的“不干预”政策和最高程度的支持性政策（产业、税收减免等）；2）鼓励数字赋能：年《国务院关于积极推进“互联网+”行动的指导意见》，此后数字产业化不断升级，巨头版图涉足电商、金融、云计算、物流乃至本地生活、体育文娱，互联网几成“生产效率”代名词；3）兼顾效率与安全：《反垄断法》将互联网行业纳入考量范围，年中央工作经济会议提出防止资本无序扩张，《数据安全法》及《隐私法》等政策实施在即，用户隐私安全意识加强，互联网厂商数据安全自发性需求迫切。

根据中国信通院年12月发布的《移动应用（App）数据安全与个人信息保护白皮书》，APP已超过网站成为主要的流量入口，人均安装APP数量接近60个。因此也带来诸多安全问题，特别是收集个人信息不合规的情况在增加。用户在安装、使用App时都会发现APP请求授权取得对设备的相应权限，并请求获取相关个人资料等信息。App取得权限后获得的信息，许多都是用户的个人信息和隐私。APP用户和APP运营者，都面临着如何处理APP收集、使用个人信息的数据合规问题。

数据作为核心生产要素，仍面临碎片化、安全性等问题。我国数字经济维持高速增长，在ICT技术演变、新应用场景的带动下，为传统行业注入新活力，据工信部统计，年数字经济对GDP增长的贡献率达到67.7%，已经成为国民经济增长强大的引擎之一。

数字产业化和产业数字化是数字经济发展的核心。数字产业化不断演进升级，与服务业融合赋能之后，正向实体经济不断渗透。产业数字化从单点应用向行业协同发展演进，利用数字技术进行全方位、全链条的降本增效，促进高质量发展，成为数字经济越来越重要的增长动力。

数据是国家基础性战略资源，没有数据安全就没有国家安全。6月10日，《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自年9月1日起施行。确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。

企业各职能部门之间联系薄弱，现阶段数据孤岛效应明显。不管企业使用哪一种组织架构，数据的冗杂、前台与后台之间的接洽困难、业务与数据的孤立等问题，现阶段企业内、企业间数据割裂仍然是阻碍数据协作应用的重要障碍。

根据中国信息通信研究院发布的《大数据安全白皮书（年）》，国内外的大数据安全技术虽然已经取得了一定进步，但是面对层出不穷的新式大数据攻击，防护措施仍然显得不够充分。其原因是传统的安全防护观念以及技术无法满足大数据安全防护的需求。其中密文计算技术、数据泄露追踪技术的发展仍无法满足实际的应用需求，难以解决数据处理过程的机密性保障问题和数据流动路径追踪溯源问题。

根据赛迪咨询的数据，大数据安全市场将会随着大数据运用规模的拓展而高速成长，预计到年，大数据安全市场的规模将达到69.7亿元。

数据安全将成为数字经济的基础设施，安全漏洞数量逐年增加，数据安全是企业业务开展的基石。根据国家信息安全漏洞共享平台数据，近三年信息安全漏洞年复合增速达20%。目前全球网安需求重点客户包括政府、金融、电信运营商及电力能源等信息敏感行业。基于此，我们梳理了网安重点客群遭受的网安攻击事件，呈现如下特征：

1）攻击方式变化小，攻击频率有所加快：网安攻击的方式仍然是我们所能看到的病毒、漏洞、钓鱼等，单纯看攻击形式并无太大变化，但攻击频率呈现增长态势；

2）攻击的手段由单一变得复杂：随着企事业单位实战攻防能力提升，通过流量监测、智能预警等技术发展，攻击方法正变得愈加复杂，一次重大攻击往往需要精密的部署，长期的潜伏，以及多种攻击手段相结合以达到最终目的；

3）攻击目的多样化：攻击的目标从个人电脑攻击到经济、政治、战争、能源，甚至各个国家的网安建设已经作为国家战略实力一部分。

大数据加速应用与政策双轮驱动，短期技术服务市场超百亿

数据安全市场空间测算，依据大数据市场中AI平台收入推算年有望达百亿，长期潜在空间有望达千亿。数据安全计算模块常见于大数据服务场景，添加至AI计算平台，并且与AI应用同样以数据为基础，进行安全、存储以及计算等服务，故以AI平台收入为隐私计算产值上限，根据IDC预测年我国大数据市场约.2亿美元，其中软件市场规模为26.5亿美元，AI平台收入约4亿美元，IDC预测至年AI产业年均复合+39%，则AI平台收入年有望达15亿美元，则数据安全方案上限近百亿人民币。

数据深度价值挖掘过程中需要兼顾数据应用和安全，平衡效率和风险，在保障安全的前提下发挥数据价值。以多方安全计算（SecureMulti-PartyComputation，MPC）、可信执行环境（TrustedExecutionEnvironment，TEE）、联邦学习（FederatedLearning，FL）等为代表的隐私计算技术为解决了数据流通过程中的“可用不可见”难题，有助于破解数据保护与利用之间的矛盾，已在金融、医疗、政务等领域开始推广应用：

1）对于个人消费者，隐私计算应用有助于降低隐私数据在应用过程中的泄密风险；随着信息化程度不断提高，个人信息被采集和广泛应用，同时也面临着信息泄露风险，而隐私计算在很多场景的应用，可以提升对个人信息的保护水平，降低个人信息在应用过程中泄露的风险。

2）对于B端企业，隐私计算兼顾数据协作过程中的安全性与效率性，监督企业履行数据保护义务。企业内部借助隐私计算，能够切实保护企业在采集、存储、分析等过程中的关键信息。另一方面，隐私计算能够促进企业的跨界数据合作，由于隐私计算能够实现数据可用不可见，能够帮助不同企业和机构与产业链上下游的主体进行联合分析。

3）对于G端政府、社会机构，隐私计算可促进数据价值和社会福利最大化。一是借助隐私计算能够在政府数据开放过程中，在采集、存储、协作等方面提升数据安全和隐私保护水平，在保障数据安全的同时增强全社会的数据协作，通过数据的应用最大化社会福利。二是借助隐私计算推动数据要素赋能产业升级

隐私计算（PrivacyComputing）是一种由两个或多个参与方联合计算的技术和系统，参与方在不泄露各自数据的前提下通过协作对他们的数据进行联合机器学习和联合分析。

多方安全计算技术的核心思想是设计特殊的加密算法和协议，基于密码学原理实现在无可信第三方的情况下，在多个参与方输入的加密数据之上直接进行计算。多方安全计算由姚期智等人于20世纪80年代提出，以交互不可逆的密文数据的方式实现了对数据的安全保护，每个参与方不能得到其他参与方的任何输入信息，只能得到计算结果。

可信执行环境的核心思想是构建一个独立于操作系统而存在的可信的、隔离的机密空间，数据计算仅在该安全环境内进行，通过依赖可信硬件来保障其安全。

可信执行环境的最本质属性是隔离，通过芯片等硬件技术并与上层软件协同对数据进行保护，且同时保留与系统运行环境之间的算力共享。目前，可信执行环境的代表性硬件产品主要有Intel的SGX、ARM的TrustZone等，由此也诞生了很多基于以上产品的商业化实现方案，如百度MesaTEE、华为iTrustee等。

除上述可信计算环境、多方安全计算技术外，还比较常见为联邦学习算法，其本质是分布式的机器学习，在保证数据隐私安全的基础上，实现共同建模，提升模型的效果。联邦学习的目标是在不聚合参与方原始数据的前提下，实现保护终端数据隐私的联合建模。根据数据集的不同类型，联邦学习分为横向联邦学习、纵向联邦学习与联邦迁移学习。

联邦学习应用于银行联合建模，提升反欺诈模型水平，降低资产不良率。传统上，银行都是基于收入水平、征信数据、还款履约情况等变量分来做贷前反欺诈建模，但仍存在数据维度缺乏、数据量较少等情况，需要融合多方数据联合建模才能构建更加精准的反欺诈模型，联邦学习可以有效解决合作中数据隐私与特征变量融合矛盾，保障特征变量交换时的信息安全。

随IT架构演变，长期数据安全SaaS运营收入有望达千亿

随IT架构上云，长期数据安全SaaS运营收入有望达千亿，商业模式改善带来估值提升机遇。以消费贷款场景为例，假设年金融机构信用风险建模使用联邦学习渗透率达60%，服务费率为1%，国内短期消费信贷市场年已达9.92万亿元，假设直到年年化复合增速为8%，则年市场有望达21.42万亿元，数据安全收入有望达千亿元，考虑互联网、医疗及政务大数据等场景，空间巨大。

平台经济垄断本质是数据垄断，通过数据协作运用打破垄断过程中的安全性愈发重要，未来隐私计算领军企业除具备完备隐私计算服务能力外，还将具备“Snowflake+CrowdStrike”特征，即同时具备“DaaS+SECaaS”能力。

Snowflake提出Data-Warehouse-as-a-Service（DaaS）概念，即云原生并专注于分析型数据仓库的SaaS服务。Snowflake将各类客户的各类数据整合至云数据平台，方便用户进行数据分析，简化了数据共享，还能够将数据管理和合规问题的风险降到最低。Snowflake可以解决的痛点包括：数据孤岛、数据更高效的搜索和维护、数据分析的速度和成本。相较于传统的硬件服务器存储传输、单一IaaS厂商而言，其优势在于：可伸缩性、易操作、SaaS订阅模式、多云架构，商业模式天然具备网络效应等。

伴随IT结构云化程度不断提高，Snowflake凭借云计算方式摆脱底层引擎的限制，最大程度利用现成的数据资源。同时，Snowflake的定价方式与典型的SaaS公司按月按年订阅不同，它的收入和定价模型是基于使用量的，存储、计算和数据转移都单独定价。

Snowflake的LTV/CAC比率历史数据均在3.0以上（假设客户留存率在97%以上），说明在获取新客户方面实力较强，毛利率约60%多，SaaS公司中并不算很高，主要是向三家公有云公司支付基础设施费用，Snowflake尚未参与云基础设施建设，未来毛利率提升空间或主要来自自建基础设施。

CrowdStrike的发展路径，以平台形式不断扩充功能模块，客户粘性与单价不断提升，营收及估值天花板不断抬高。以CrowdStrike为代表，成立于年，分别在、年发布威胁情报服务FalconX及终端检测与响应产品FalconOverWatch、FalconInsight等。年，公司迅速丰富基于SaaS模式的终端安全产品线，公司已构建SaaS+PaaS的安全生态，在第三方安全厂商中处于领先地位。Falcon终端安全平台提供的云安全服务模块完全基于SaaS模式，具备敏捷性易用、可拓展性强、持续迭代优化等优点，且于年推出PaaS安全平台CrowdStrikeStore，构建了终端安全产品+威胁情报服务+专家服务，SaaS+PaaS的完整安全生态。

卫士通隐私计算隐含超亿市值空间，安恒、奇安信有望显著受益数据安全发展

竞争格局：典型的数据安全应用场景通常包含三类参与方，互联网作为使用方，未来国内或由网信办等监管单位牵头平台建设，具备国资股东背景、技术储备的第三方企业提供技术及运营

（1）数据的使用方，需考虑业务特征与支付能力，互联网厂商合规需求迫切，包括数据“最小化采集、避免滥用”，此外如联合建模下的银行业、医疗机构；

（2）作为数据的提供方，做到原始数据不出本地，将加密后的信息发送至中间方；（3）隐私计算技术服务商，为客户搭建计算系统，包括在业务方、数据方以及可信第三方部署服务节点。考虑国内实际，有可能是由网信办等监管单位牵头平台建设，相关技术储备的第三方企业提供技术及运营。

产业机遇：卫士通将成为数据安全市场最核心标的。

1）数据安全监管政策持续加码，公司具备领先解决方案与技术实力，有能力作为核心公司直接受益于数据安全订单落地；

2）基本加密业务信创在手订单充裕，安全芯片等产品军工需求高景气，且成本有望在研究所和上市公司再平衡，净利率预计将显著改善；

3）互联网厂商数据安全安全需求迫切，平台经济垄断的背后是数据，监管与民众担忧进一步促使互联网巨头加大隐私保护支出，互联网厂商极愿意采购规范化方案实现合规（厂商合计市值已回落超过4万亿）；

4）公司作为电科旗下网安版图唯一控股上市公司，具有天然股东优势与监管公信力。数据安全类似于公共资源管理，是未来的石油、稀土，必须掌握在国家手中，多因素共振驱动卫士通成为核心标的。

卫士通潜在市值测算：

中性假设下，按照分部估值思路，考虑公司基本网安业务、隐私计算业务，/22/23对应市值分别为、、亿元

假设：

1）如图9测算，以AI平台收入为数据安全中隐私计算市场规模上限，/22/23计算服务渗透率分别为40%（短期政策催化渗透率快速上升，后放缓）、60%、75%；

2）考虑卫士通目前方案领先，互联网厂商数据合规需求旺盛，市占率为40%、35%、30%，部分密级相对较低场景下互联网厂商，翼方、富数科技、矩阵元等垂直行业厂商占据剩下空间；

3）中性估值，参考蚂蚁集团、京东数科等消费信贷服务商净利率超30%（流量议价能力+技术服务能力），而隐私计算服务目前仅有技术服务能力，净利率为20%，（稳态10XPS隐含50XPE），考虑营收增速仍合理，/22/23隐含计算业务业务市值分别为、、亿元；

4）乐观估值，随着企业IT架构上云，卫士通满足数据存储、流通及计算需求上云，公司业务将具“Snowflake+Crowdstrike”特征，以SaaS订阅方式提供服务，考虑大数据市场本身仍快速增长，且目前数据安全市场渗透率仍极低，参考美股可比公司估值均超50XPS，卫士通年数据安全乐观情形给予40XPS，潜在估值有望达亿元。

奇安信进度领先，数据要想真正成为新型生产要素，数据安全是重要前提，数据安全是重要使能器。作为当今互联网时代的新型生产要素，在大数据、人工智能等新兴技术的加持下，数据流动愈加频繁、数据价值日益凸显，已经成为各行业科技转型的核心推动力。奇安信基于“数据不动程序动，数据可用不可见”的技术理念，在国内率先兼顾数据隐私安全与商业价值挖掘的隐私卫士产品。

奇安信网神隐私卫士检测系统包括沙箱、隐私协议分析仪、应用行为检测模块、合规评估模块、系统管理模块组成。被检测的安卓或iOS应用上传到检测系统后，系统利用真机沙箱或模拟器沙箱对应用进行运行检测，并通过隐私协议分析仪对其隐私政策协议进行自动化分析。应用行为检测和隐私政策检测采用可扩展的检测插件方式进行检测，包括隐私政策完整性检测、与应用行为的实质符合检测、非必要信息收集检测、数据出境、第三方收集、隐私泄漏风险、使用权限检测等。

具备较强产品竞争力，按照《App违法违规收集使用个人信息行为认定方法》描述的6大类31项收集行为进行检测项拆解，按照全自动检测、半自动检测和人工检测的分类要求进行全面的、深度的隐私合规检测。

核心功能包括：

1）应用行为检测，通过真机和模拟器对移动应用进行各类触发操作检测各类隐私行为，深度发现APP以及SDK获取、存储和上传的各类个人信息，综合其中的明文存储、明文传输、信息出境等行为进行全方位的应用行为检测。

2）隐私政策检测，通过分析应用收集的各类个人信息，与隐私政策中描述的个人信息进行一一比对，结合法律法规要求给出具体不合规项及法律法规适用条款，最终给出针对隐私政策的规范性、完整性和一致性的检测

3）法规对齐分析，隐私卫士系统对各类精细化的检测内容可依据《App违法违规收集使用个人信息行为认定方法》进行回归分析，将各类检测结果与《认定方法》等多项法律法规进行对齐分析，更利于企业对通报问题的分析。

数据安全法的最大特点是在鼓励数据流动、共享，乃至交易的情况下确保数据的安全。数据这一新的资源，必须在交换流动中才能被释放出更大的价值，这已经逐步成为各行业的基本共识。而如何对重要数据进行有效保护，就成为了整个共享交换场景中的关键点。

数据脱敏，是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的时，在不违反系统规则条件下对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号和客户号等重要个人信息都需要进行数据脱敏。

深信服率先在智能数据分类分级上进行了探索，目前国内大部分的数据分类分级依旧停留在基础层面，且大部分以人力为主，导致一方面会比较耗时，成本较高，另一方面，由于受到人力因素的影响，传统的以正则表达式为主的工具识别准确率非常低。深信服智能数据分类分级平台率先引入了人工智能与机器学习算法，相较于传统数据分类分级做法，采用机器学习技术，大大提升了准确率，进一步提升了工作效率，减少了人力成本，在数据分类分级上作了一次有效实践。

安恒信息定增募投数据安全岛项目，公司可利用自身在大数据安全领域的技术积累，丰富网络信息安全平台产品线，提升整体盈利能力。根据赛迪顾问的预测，-年，大数据安全市场规模年均增长率为35.3%，-年，公司大数据安全产品收入年复合增长率达到.2%，随着《个人信息保护法法》、《数据安全法(草案)》相继公布，政策规范有望驱动数据交易平台及相关技术服务需求增长。

天融信作为国内最早发布数据安全防护体系的网络安全企业，依托数据安全多年的经验，构建了以行业特征为基础，通过数据安全治理、数据安全防护、数据安全监管、数据安全运营赋能，实现数据全生命周期的安全防护整体解决方案，目前已在运营商、金融、政府、能源、卫生、海关等行业领域得到广泛应用。

同时，天融信是中国信息安全测评中心授权的注册数据安全治理专业人员（CISP-DSG）运营机构，是首家且目前唯一一家运营机构，负责注册数据安全治理专业人员（CISP-DSG）专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容，助力国家培养数据安全专业人才。

风险提示

行业竞争加剧风险：

网络安全行业竞争较为激励，如果行业行业竞争进一步加剧，或对毛利率产生不利影响。

政策力度不及预期风险：

等保2.0、护网行动等合规政策执行力度若不及预期，将影响企事业单位对于网安产品及服务的需求。

宏观经济风险：

疫情影响下，宏观经济面临下行风险，可能导致各行业企业网安支出受到影响。

测算可能与实际存在误差：

目前隐私计算仍处于初始发展期，存在落地节奏及渗透不及预期风险。

----------------------------

以价值为名，行投机之事。聚焦基本面投机，日常分享精选纪要，个股研究与策略思考。欢迎