断剑之裔我们认为数据的敏感性和价值性驱动我国形成了现阶段数据安全防护和数据开发利用 并重的数据安全监管思路。

　　对于数据安全防护的监管核心在于“止损”，延用了网络安全领域等保制度的建设思路， 旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成 损害。通过对数据防护相关政策的梳理，我们认为对于数据安全防护的监管渊源可追溯至 2015 年 7 月全国人大发布的《国家安全法》，其中提到“建设网络与信息安全保障体系”和 “实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。之后 在《国家安全法》的基础上，全国人大和网信办陆续发布《网络安全法》、《数据安全法》、 《个人信息保护法》、《数据出境安全评估办法》等跟数据安全防护直接相关的法律法规，各 行业亦出台相关指导文件，数据安全防护监管要求逐步细化。

　　对于数据开发利用的监管核心在于“创利”，旨在打破数据孤岛，实现数据的跨场景流 通共享，也是现阶段构建数据要素市场的核心。同样基于对于数据开放共享相关政策文件的 梳理，我们认为对于数据开发利用的监管渊源可追溯至 2015 年 9 月国务院发布的《促进大 数据发展行动纲要》，其中提到“加快政府数据开放共享，推动资源整合，提升治理能力”、 “稳步推动公共数据资源开放”、“统筹规划大数据基础设施建设”。之后的 2016-2020 年间 政务、医疗、交通、气象、水利、工业等领域主管部门陆续发文，促进行业数据共治共享。 2022 年国务院发布《要素市场化配置综合改革试点总体方案》和《关于构建数据基础制度 更好发挥数据要素作用的意见》，将数据流通共享纳入数据要素体系框架。

　　我们认为 2020 年 6 月发布的《数据安全法》（草案）预示着我国进入数据安全战略全 面落地时期。一方面，《数据安全法》从更全面的角度统筹了我国各类数据的监管。根据数 据的关联场景，我国数据可被划分为个人信息(与个体相关)、商业秘密（与企业相关）、重 要数据（涉及公共利益）以及核心数据（涉及国家秘密）。《数据安全法》整合了个人、企业、公共利益以及国家四个维度的数据安全监管，形成以《个人信息保护法》、《数据安全法》、 《保守国家秘密法》为核心的三位一体数据安全监管框架。另一方面，数据安全法在统筹 数据安全防护的同时，也花了相当的篇幅对数据利用和开发进行描述和指引，进一步巩固和 奠定了我国数据防护与数据利用并重的监管思路。

　　根据上海社会科学院国际问题研究所叶成城博士的研究，数据是数字时代大国博弈的重 要生产要素，而对于生产资料（可进一步细分为数据、硬件和算法三个方面）的控制和运用 就成为新时代重要的权力来源，即“数字权力”。从现阶段国内经济发展的角度来看，我们 认为数字经济有助于加快产业数字化转型，使得我国以制造业为内核的实体经济实现提质增 效发展。因此，近年来我国在数字经济和数字要素领域的政策不断推出，且逐步深化。 从数据要素相关政策的发布情况来看，我们认为政策落地节奏呈现出提出总体意见→规 划长期目标→制定建设方案→针对方案落地提出具体意见的发展规律。具体而言：

　　2020 年 4 月，中共中央国务院在《关于构建更加完善的要素市场化配置体制机制的 意见》中首次提出培育数据要素市场；

　　2021 年 12 月国务院在《“十四五”数字经济发展规划》中明确指出“十四五”时期 的发展目标：“充分发挥数据要素作用，到 2025 年，数据要素市场体系初步建立”；

　　2022 年 1 月（2022 年 12 月成文），国务院办公厅印发《要素市场化配置综合改革 试点总体方案》，其中在数据要素方面，提出“探索建立数据要素流通规则”，从四 个方面拆解数据要素市场建立方法，并对要素市场化配置综合改革试点的时间节点 作了进一步细化：“2022 年上半年，完成试点地区布局、实施方案编制报批工作； 到 2023 年，在数据要素市场化配置基础制度建设探索上取得积极进展；到 2025 年， 基本完成试点任务，要素市场化配置改革取得标志性成果，为完善全国要素市场制 度作出重要示范”；

　　2022 年 4 月，中共中央、国务院提出《关于加快建设全国统一大市场的意见》，要 求“加快建立全国统一的市场制度规则”、“强化市场基础制度规则统一”，以求进 一步“打破地方保护和市场分割，打通制约经济循环的关键堵点”；

　　2022 年 12 月，中共中央、国务院提出《关于构建数据基础制度更好发挥数据要素 作用的意见》（“数据二十条”），为数据要素市场的建设打下底层制度基础，为后续 数据在要素市场中的流通进一步提供了可行性。

　　参考以上数据要素市场的落地节奏，我们认为数据安全作为数据要素市场的底层基础 设施，未来 2-3 年落地可期，主要基于以下三个方面考虑：

　　1） 行业/地方政策实施层面：2020 年《数据安全法（草案）》发布以来，金融、电信、 互联网、工业、互联网、教育、能源等行业陆续出台数据安全相关政策法规，促进 数据安全在行业内落地，且自 2021 年《数据安全法》正式实施以来地方政府在数 据安全领域的政策布局显著加快；

　　2） 试点工作层面：一方面，2020 年网信办中国网络空间安全协会首次开始征集数据 安全实践案例并于当年发布“中国网络空间安全协会数据安全实践案例库”和“2020 年数据安全典型实践案例”，此后 2021、2022 年连续发布年度数据安全典型实践案 例，入选典型案例的数量呈现增多趋势；另一方面，2021 年工信部组织开展工业领 域数据安全管理试点工作，在多个行业（原材料工业、装备工业、消费品工业、电 子信息制造业、软件和信息技术服务业）、多个领域（数据安全管理、数据安全防 护、数据安全评估、数据安全产品、数据安全监测、数据出境安全）开展试点工作， 2022 年地方政府积极响应，2023 年工信部发布《工业领域数据安全管理试点典型 案例和成效突出地区名单公示》；

　　3） 产业指引层面：2023 年 1 月工信部等十六部门联合发布《关于促进数据安全产业 发展的指导意见》，为开年众多部委联合发布的重磅文件，并提出“到 2025 年数据 安全产业规模超过 1500 亿元，年复合增长率超过 30%”。

　　我们认为，从广义上来看，数据安全和网络安全都是信息安全的一部分。在传统网络安 全市场的框架下，数据安全从“攻防视角”或“系统视角”出发，即保障数据产生和存放的 系统设备的安全，从而保护在系统设备上的数据。在这一体系下，形成了以防护数据库、 网络、服务器等数据使用/存放环境为核心的数据安全产品体系。

　　而在现阶段数据安全防护和数据开发利用并重的监管体系下，我们看到数据安全正在从 传统的“系统视角”（保护存放数据的系统设备）向“业务视角”（围绕数据流动展开全生命 周期防护）转变。在“业务视角”体系下，对于数据的防护作用于数据本身，且伴随数据 全生命周期流程，涵盖数据采集、数据存储、数据传输、数据使用、数据共享、数据销毁 六个阶段，同时对涉密、重要、隐私等敏感数据进行靶向监控，实施针对数据的分类分级型 安全防护。

　　总结而言，我们认为可将网络比作为“器”，将数据比作置于器中的“物”。在“系统视 角”下，更加关注“器”的安全，即数据安全通过保护承载数据的系统设备实现，故而数据 安全是传统网络安全市场下的一个分支；而在“业务视角”下，更加关注“物”本身的安 全，对于数据本身的安全防护伴随业务场景流转日益丰富，故而数据安全在当下正在逐步演 进为独立的赛道。 我们认为未来网络安全和数据安全有望保持相互关联、依赖和演进的关系。一方面， 传统“系统视角”下的数据安全演进成为“业务视角”下独立数据安全赛道的重要组成部分； 另一方面，以网络为中心的安全是保证数据安全的前提和基石，而以数据为中心的安全，着 手数据本身，能够有效增强数据防护能力，使得防护更加精准高效。

　　在数据安全市场围绕“数据全生命周期”向独立赛道发展演进的过程中，我们认为下游 对于数据安全的需求也在发生变化：对于新建系统而言，数据安全的部署和投入节点被前 置，事前和事中环节的防护需求增大；对于潜在的数据共享和数据交易需求，隐私计算技术 的应用场景落地逐步清晰；对于存量系统而言，数据安全的改造需求增多，轻量化改造方案 有望更加获得下游客户的认可。

　　参考美国国家标准与技术研究所（NIST）提出的企业安全能力框架(IPDRR)，在安全能 力维度可对数据安全威胁防护时间轴划分为识别（identity）、防御（protect）、检测（detect）、 响应（response）、恢复（recover）、反制（counter）六个环节，覆盖事前(识别、防御)、事 中（检测、响应）和事后（恢复、反制）三个重要节点。基于此，我们从事前、事中、事后 的维度可对数据安全市场需求进行进一步拆解： 1） 事前需求：主要目的为“防患于未然”，在安全事件发生前即已经对数据进行了预 防式防护措施，贯穿业务流程，包含数据分类分级、数据加密、数据脱敏等； 2） 事中需求：能够在数据安全受到威胁时即时发现，并给出相应措施以中止正在遭到 的安全威胁，包含数据防泄漏、数据风险监测等； 3） 事后需求：能够在事后对各类操作行为进行回溯分析，从而更新对应防护策略，包 含数据库审计等。

　　我们认为，越偏向于事前的防护手段，防护效率越高，具有更高的安全投资回报率。 在“系统视角”阶段，由于事后防护大多可通过旁路部署的形式实现，对系统的改造以及操 作要求低，容易成为客户的首选项。然而随着业务场景的日益复杂，数据安全防护难度增大， 仅通过涂鸦式的“事后防护”难以解决数据安全需求，而引入“事前防护”和“事中防护” 可为政企客户省去事后无休止的回溯与补漏成本，提升投资回报率。

　　随着数据安全领域监管日益严格，我们认为政府和企业在数据安全领域所面临的合规 成本增大。根据《个人信息保护法》，违法处理个人信息，或者处理个人信息未履行法律规 定的个人信息保护义务者，最高罚款额可达上一年度营业额的百分之五，甚至可以责令其 停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。以“滴滴事件”为例，由于存在严重违法违规处理个人信息的问题，2022 年滴滴公司被国家信息网络安全审查办 公室联合多个部门实施了网络安全审查，最终被处以 80.26 亿元罚款，是其 2021 年全年营 业额的 4.6%。 在此背景下，如何在保证数据安全的情况下实现数据价值开发演化成为新的市场需求， 隐私计算技术从而成为新晋热点话题。隐私计算是包含 AI 大数据、密码学等多领域的技术 体系，可以在处理和分析数据的过程中保证数据的不透明、不泄露，实现数据的“可用不可 见”。自 2016 年我国出现独立的隐私计算商业项目后，隐私计算迅猛发展，在联合风控、电 子政务、智慧医疗及精准营销等领域落地应用。根据艾瑞咨询测算，2023 年我国隐私计算 市场规模有望达到 36.5 亿元，预计到 2025 年市场规模突破 100 亿，前景广阔。

　　伴随数据安全监管趋严以及合规成本提升，政府和企业对数据安全的重视程度提升明显， 补齐数据安全建设短板需求增加。在补齐短板过程中，除对新增信息系统进行安全“三同步” 建设，还需对存量应用系统进行安全能力改善。考虑到政府和企业存量数据应用系统数量教 大，改造存量系统需花费较多成本和精力，免改造或轻量化的改造成为数据安全市场新兴 需求。以炼石网络 CASB 业务数据加密平台为例，该平台无需对应用进行任何源代码修改， 只需配置级部署，即可实现任意指定字段的数据库存储加密（防范内部 IT 人员、外部黑客 等），同时实现结合登录用户身份的数据动态脱敏和审计（防范内部业务人员越权），实现数 据安全防护前置。

　　对标全球数据安全市场，我们认为我国数据安全市场存在较大提升空间。我们认为数据 安全市场理应受到数据总量规模的驱动，即数据总量越大，需要防护的信息量越复杂，对数 据安全市场的需求空间就越广阔。 从数据安全市场规模的角度来看：根据研究机构 VMR 的统计，2019 年全球数据安全 市场空间约为173.8亿美元，且预计2027年该规模增加至572.9亿美元，复合增长率为17.35%。而根据中商产业研究院的测算，我国 2019 年数据安全市场规模仅为 38 亿元，在全球数据安 全市场占比仅为 3.4%。 从数据量的角度来看：根据 IDC 的研究，2018 年我国数据量占全球数据量的 23.4%， 预计到 2025 年在全球的占比将达到约 28%（远超 2019 年中国数据安全市场在全球 3.4%的 占比）。 考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距，我 们认为中国未来数据安全市场增长潜力较大。我们假设到 2025 年中国数据安全市场规模在 全球的占比与数据量占比相匹配（达到 28%），进一步估算得到中国数据安全市场潜在空间 在 2025 年有望达到 126 亿美元（820 亿元人民币），相较于 2019 年复合增长率为 67%。

　　2022 年 12 月，中共中央、国务院印发了《关于构建数据基础制度更好发挥数据要素作 用的意见》（“数据二十条”），提出从数据产权制度、数据要素流通和交易制度、收益分配制 度以及数据要素治理制度四个层面建立数据基础制度，且强调保障数据安全是建立数据基础 制度的前提。

　　基于以上，我们从数据资产确权市场（对应“数据产权制度”）、数据治理市场（对应“数 据要素治理制度”）以及数据交易市场（对应“数据要素流通、交易制度和收益分配制度”） 三个需求维度测算数据安全增量市场空间。

　　我们对于数据资产确权市场的测算范围涉及公共数据、企业数据和个人数据。从行业侧 来看，我们认为数据安全的主要需求方涵盖关键信息基础设施领域；从产品侧来看，我们认 为主要涉及对于数据资产确权后的防护，以传统数据安全防护产品（包括数据库审计、数据 防泄漏、数据库漏洞扫描、数据库防火墙、数据加解密、数据脱敏等）为主。 根据我们测算，数据资产确权市场的潜在客户总量约为 39 万个（包括公共通信和信息 服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业领域的潜在客户数量）， 假设每家企业平均一年在数据安全防护产品上花费 15 万元（对应 1-3 个产品），同时假设短 期内全市场数据安全需求落地的渗透率为 15%，对应数据资产确权市场的短期市场规模约 为 89 亿元。

　　通过对数据安全治理领域招投标信息的梳理，我们认为数据治理市场目前落地以政务和 大数据场景为主，包括大数据局、各部委厅局的日常数据安全治理、高校和交通领域的数 据中台、城市大脑的数据安全规划设计需求等。

　　大数据局的大数据平台安全建设需求：假设省级大数据平台项目平均预算为 800 万元，市级大数据平台项目平均预算为 300 万元，乘以省市数量，测算得 到中短期需求约为 12.6 亿元；

　　各部委厅局数据安全服务需求：假设省级数据安全服务平均预算为 150 万元/ 年，市级数据安全服务平均预算为 60 万元/年，对应 28 个部委存在构建数据安 全服务的需求，测算得到中短期需求为 69 亿元；

　　基于数据中台的数据全生命周期安全管理需求：根据中标项目情况，我们先初 步测算高校和交通领域的市场需求，假设全国分别有 3013 所高校和 109 家轨 交公司将有构建数据中台的需求，平均每个项目投入为 30 万元（增量投入）， 测算得到中短期需求为 9.4 亿元；

　　城市大脑的数据安全整体规划设计需求：假设每个市级数据安全规划设计项目 平均投入为 1000 万元，其中数据安全投入占比约为 5%，测算得到对应市场需 求为 1.7 亿元； 基于以上，我们测算得到数据治理市场的短期市场规模约为 93 亿元。

　　我们认为数据交易市场涉及到中短期（数据要素市场探索建设期，预计 2023-2025 年） 数据交易基础设施建设和长期（数据要素市场成熟落地期，预计 2025-2030 年）数据交易收 益共享的需求。其中：

　　数据交易基础设施建设： “数据二十条”中提到“构建数据交易场所，有序培育安全审计、数据公证、数据保险、 数据托管等第三方专业机构”，我们认为第三方专业服务机构对于数据交易场所等基础设施 建设的需求有望贡献中短期需求来源，且以项目制建设需求为主。 考虑到现阶段已成立或拟成立的数据交易所（中心）共计 46 家，假设短期以这些数据 交易所（中心）为中心建设中心节点，每个节点产生 800 万元改造费用，则对应 3.7 亿元的 市场建设空间；远期来看，假设以数据交易所（中心）为中心向数据交易参与方延伸，则有 望在数据资产确权潜在客户端衍生出 39 万个分支节点，我们假设每个节点产生 18 万元改造 费用，且实际改造率为 50%（假设一半的潜在用户有数据交易需求），对应市场远期需求有 望达到 363 亿元。

　　数据交易收益共享： “数据二十条”中提到“第三方专业机构通过分红、提成等多种收益共享方式，平衡兼 顾不同环节相关主体之间的利益分配”，我们认为利益分配机制构成了数据交易收益共享的 长期市场空间。参考毕马威关于隐私计算的报告，我们假设参与数据交易的抽佣比率为 1%， 若中短期和远期数据交易额分别达到 30 亿元和 1000 亿元，则对应市场中短期和远期需求分 别为 0.3 亿元和 10 亿元，且随着数据交易规模的扩大具有较高弹性空间。

　　1） 网安厂商在数据安全领域的布局节奏自 2020 年开始显著加快，我们认为与前文 “2020 年 6 月发布的《数据安全法》（草案）预示着我国进入数据安全战略全面落 地时期”的观点互为印证。

　　2） 各网安厂商在数据安全领域布局的侧重点有所不同，大致可分为两类：一部分厂商 侧重于解决方案领域的布局，提供对数据全生命周期防护，此类厂商以安恒信息、 启明星辰、奇安信、绿盟科技、山石网科等为代表；另一部分厂商更关注于行业侧 布局，产品发布策略更偏向于向某一垂直领域渗透，此类厂商以深信服、天融信、 迪普科技等为代表。其中，深信服主要聚焦于数字政府、教育及交通行业，天融信 聚焦于工业互联网领域数据安全，迪普科技主要聚焦于运营商数据安全。

　　3） 各厂商在数据安全领域的布局以政策指引为导向。以《数据安全法》为例，我们在 前文中提出“数据安全法进一步巩固和奠定了我国数据防护与数据利用并重的监管 思路”，而从各网安厂商的布局中亦可看出，2021 年开始各厂商的布局范围由传统 数据安全防护产品进一步扩大至数据全生命周期防护体系、隐私计算、数据出境等 领域。

　　我们对 2020-2022 年网信办中国网络空间安全协会发布的年度数据安全典型案例进行 统计，观察到头部安全厂商大多从自身优势领域切入数据安全赛道进行落地，随后进行扩 展布局。比如： 1） 基于行业优势切入：绿盟科技基于其在运营商行业的积累，在运营商侧数据安全的 两项落地案例分别入选 2020 年案例库/2021 年典型案例；数字认证在医疗行业深耕 多年，开发的电子病案归档系统入选 2020 年数据安全案例库。 4） 基于产品优势切入：启明星辰自 2017 年开始布局城市安全运营中心业务，其在城 市大数据局落地的数据安全治理案例入选 2021 年典型案例；中孚信息在保密领域 拥有一定优势，其商业秘密敏感数据安全实时监测解决方案入选2021年典型案例； 美亚柏科基于其在取证方面的技术优势，构建了电信网络诈骗综合取证分析平台， 入选 2020 年典型案例。

　　除基于自身行业和技术优势发布自有产品及解决方案外，我们观察到头部厂商还通过战 略投资创业公司的方式进行数据安全领域的布局。我们认为战略投资有助于帮助头部厂商更 高效地在数据安全领域进行布局：一方面，战略投资可降低头部公司在新赛道的试错成本， 在短时间内增强自身数据安全产品能力；另一方面，创业公司通常在某一垂直赛道具有较强 的研发实力，公司可将自身研发与创业公司的技术能力进行协同，利用自身渠道和客户资源 优势，构造全方位的解决方案交付能力。

　　短期来看，我们认为数据安全市场需求受到政策推动。一方面，2023 年 1 月发布的“数 据二十条”赋予数据要素市场基础制度框架，且同步明确“数据安全是各项制度得以成立的 前提”，故而展望未来，我们对制度执行以及市场建设相关政策的持续发布保持乐观态度， 且认为数据安全作为数据要素市场的基础设施之一，市场需求有望伴随各项政策的落地而获 得释放。另一方面，行业内以及区域性的政策发布有望推动某一特定下游的数据安全市场 需求。以工信部为例，2021 年工信部率先开展工业互联网企业网络安全分类分级管理试点 以及工业领域数据安全管理试点工作，2022 年推出《工业和信息化领域数据安全管理办法 （试行）》，落地节奏处于各行业前列。

　　从供给侧来看，我们认为两类公司在数据安全领域或有更大的发展潜力：一方面，产品 布局前瞻的公司具有先发优势，有望在短期数据要素基础设施建设需求中抢占先机，获得更 多落地标杆案例，尤其在隐私计算领域，现阶段拥有落地能力的公司能够参与到数据交易平 台的建设，有望在后续数据交易场景招标项目中获得更大的话语权。另一方面，在某一垂直 行业纵深布局的公司能够对下游客户的业务场景建立更加深刻的认知，从而使得数据安全 产品更贴合行业实际需求，有望在垂直行业获得更高的市占率。但与此同时此类公司的发 展亦受限于行业本身的数据安全需求天花板。

　　（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）