联合发布|中国科技体制改革研究会数字经济发展研究小组、横琴数链数字金融研究院
研究支持单位|欧盾链上天眼安全实验室
作者|朱梅胤、赵越、温泉、李昕、赵金龙等
摘要
√数据安全问题绝非只在中国存在,而是全球共同面临的问题。各国政府逐渐意识到,数据已成为与国家安全和国际竞争力紧密关联的一大要素,对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度。
√我国现存“网络安全”企业共计62.4万家。2020年新增17.9万家,同比增长135.7%,是过去10年的巅峰。2021年上半年新增15.4万家,同比增长2.1倍。
√目前,在可统计的225家美国上市的中概股中,有超过七成的中概股处于破发状态。数据安全问题升级,使得中概股需要在资本市场重新做出选择。
√随着数据安全问题甚嚣尘上,中国征信业发展也嬗变升级,征信业的政策环境、市场环境、发展模式等发生了一系列变化。
√在法律对数据的严监管方向明确之后,隐私计算几乎是当下数据互联互通的唯一技术解,具有巨大的商业价值和应用前景。
目录
引言
一、数据安全监管大势
(一)中国对于数据安全的监管与政策梳理
(二)数据安全的国际问题
二、网络安全、数据安全及其治理
(一)网络安全和数据安全的关系
(二)保障网络数据安全的必要性
(三)网络数据安全保障的具体措施
(四)数据要素所面临的问题与数据治理
(五)数据安全生态加速建设
(一)数据贩卖:大数据产业的灰色地带
(二)数据垄断:间接引起数字权利滥用
(四)数据泄露:2020年全球数据泄露的数量超过过去15年的总和
四、中国数据安全产业图谱
(一)数据安全产业发展的必要性
(二)产业链上游分析
(三)产业链中下游分析
(四)竞争格局
五、中国网络安全产业架构与发展态势
(一)我国网络安全发展概况
(二)中国网络安全产业架构
(三)网络数据安全发展中的机遇与挑战
六、中概股赴美上市拐点:数据安全的影响和应对
(一)中概股近期在美发展:情况每况愈下
(二)数据安全对中概股的影响与挑战:海外上市或被按下暂停键
(三)中概股应对之举:回港或将成为主旋律
七、数据安全治理背景下征信业嬗变升级
(一)数据安全:征信业发展的生命线
(二)数据安全治理背景下征信业变化
(三)数据安全治理背景下征信业发展的机遇与挑战
八、隐私计算技术加速落地,赋能数据安全应用
(一)《数据安全法》落地为隐私计算带来新机遇
(二)隐私计算目前的发展状况
(三)隐私计算的应用将带来的影响
(四)隐私计算未来发展面临的挑战
九、数据安全领域未来展望
(一)法律法规在数据安全方面将得到全面强化与支撑
(二)数据安全产业基础能力将得到提升
报告发布单位介绍
报告研究支持单位介绍
致谢
滴滴上市以及引发的一系列事件,让中国的数据安全问题和监管再次升级。
7月4日,国家网信办发布通报称“滴滴出行”App存在严重违法违规收集使用个人信息问题并下架。7月5日,“运满满”“货车帮”“BOSS直聘”被实施网络安全审查,期间停止新用户注册。7月10日,国家网信办公布《网络安全审查办法(修订草案征求意见稿)》,要求掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
这一系列事件背后,正映射着近年来国内互联网平台存在数据安全漏洞、滥用数据等乱象。数字技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展,数据安全治理面临多重棘手困境。
在数据安全问题升级的另一面,却是数据在经济中的重要性日益提升。
数据作为数字经济时代最核心、最具价值的生产要素,正在加速成为全球经济增长的新动力、新引擎,可以说数据正逐渐成为21世纪的石油。
5G、人工智能、云计算、区块链等ICT新技术、新模式、新应用无一不是以海量数据为基础,数据量也正呈爆发式增长态势。据IDC预测,2025年全球数据量将高175ZB。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,平均每年的增长速度比全球快3%,中国将成为全球最大的数据圈。
结合当下备受瞩目的数据发展和数据安全问题,零壹智库在本报告中将梳理中国数据和网络安全的政策、治理以及产业发展现状,并对数据安全问题影响较大的行业和技术领域,包括海外上市、征信、隐私计算等进行发展脉络、对策和机遇解读。
从国家治理层面来看,2015年颁布的《国家安全法》将数据安全纳入国家安全的范畴。2016年发布,于2017年正式实施的《网络安全法》引入了网络数据的概念。
2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制,以确保关键信息基础设施供应链安全,维护国家安全。而国家此次对滴滴出行等平台的网络安全审查,正是我国《网络安全法》《网络安全审查办法》生效之后首次公开进行的网络安全审查程序。
2020年8月,《数据安全法(草案)》公开发布,从法律层面清晰定义了数据活动、数据安全,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等,明确了在我国境内依法开展数据活动。《数据安全法》将于2021年9月1日正式实施,其将是数据要素国家战略的基本法,强调了数据安全是数字中国重要战略举措的根本保障,体现了国家对保障数字经济安全的决心与信心。
表1-1国家已出台的部分数据安全法律法规
表1-2我国地方省市部分数据安全法律法规
图1-1截至2021年6月近几年来有关数据安全法律法规颁布数量(个)
2020年之后,有关数据安全法律法规颁布数量大幅上涨,在全国各地,各行各业都对其加倍重视。到目前为止,我国数据安全监管机构机制已经初步确定,数据监管从各部门分散监管向以中央网信部门统筹协调。数据安全联合执法机制也被逐渐建立,尤其是近年来APP违规问题各部门联合开展整治行动,解决目前APP、平台经济、互联网企业所存在的数据安全问题。
实际上,数据安全问题绝非只在中国存在,而是全球共同面临的问题。各国政府逐渐意识到,数据已成为与国家安全和国际竞争力紧密关联的一大要素,对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度。
另一方面,国外数据安全保护机构设置也正不断完善,以提升执法效率,加强数据安全保护治理。得益于近几年的努力,各国推动企业数据安全保护的政策初见成效,例如,Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护;苹果公司通过模糊定位技术限制第三方App获取用户精确地理位置信息等。
国外对于数据安全的治理也正不断趋严,对大型互联网公司的数据监测、治理、执法力度持续加大,如2019年Facebook因为用户隐私问题被罚款50亿美元;法国、加拿大等国家也纷纷对Twitter、谷歌等企业开出高额罚单。这种对于滥用数据优势侵害消费者隐私或进行非法数据贩卖的惩罚值得我们去借鉴。
随着数据安全逐渐上升到国家层面,各国之间数据竞争也逐渐被重视。此次滴滴被审查便存在国家层面数据泄露的可能,依据美国方面的法律,必须按照《外国公司问责法案》(HoldingForeignCompaniesAccountableAct)呈交以审计底稿、亦或是用户数据和城市地图为代表的部分数据,这些都是关乎国家数据主权的核心数据,可能直接影响国家安全、公共利益和社会稳定。
在大国博弈持续加剧的今天,数据作为国家重要的生产要素和战略资源,其日益频繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政府获取。二是我国战略动作易被预测,陷入政策被动,如美国大力推广的微观数据的汇聚分析,若在掌握我国金融数据的前提之下,便能在国际金融博弈中取得先机。三是我国以数据为驱动的新兴技术领域竞争优势被逐渐削弱,例如我国拥有全球领先的人脸识别公司商汤科技,一旦其数据被他国获取,会大大削弱我国在这一领域的竞争优势。
而某些国家尤其是美国目前正采取对中国的数据打压,将我国排除在全球数据安全治理体系之外,并可能制定针对我国的数据安全审查规则,在数据安全领域形成对我国的“包围圈”。例如,2020年美、印、澳等多国以数据安全为由,联合对TikTok进行围剿,以安全调查结果违规为由,限制其使用发展。
根据SynergyResearchGroup的数据显示,截至2020年,全球主要的20家云和互联网服务公司运营的超大规模数据中心数量为597个,其中美国的数据中心数量远超其他国家,占比高达40%,中国虽然位列第二但占比仅有10%。在信息时代,这种压倒性的数据优势是极其恐怖的。中国不是“数据中心国”,但也不能沦为“数据附属国”,我们需要全力捍卫数据主权,加强数据的安全和保护。
网络安全和数据安全的关系涉及到第三个名词——信息安全。根据《数据安全架构设计与实战》一书中的论述,其发展顺序为信息安全——网络安全——数据安全。
当需要强调安全管理体系,或强调信息及信息系统的保密性、完整性、可用性,或内容合规,或DLP(防止内部人为的信息泄露),或强调对静态信息的保护(比如存储系统、光盘上的信息)等场景时,“信息安全”一词多被使用。
当需要强调网络边界和安全域,或网络入侵防御,或网络通信系统或传输安全,或网络空间等场景时,“网络安全”一词多被使用。
当需要强调全生命周期中的数据保护,或数据作为生产力,或强调数据主权、数据主体权利、长臂管辖权、隐私保护等场景时,“数据安全”一词多被使用。
网络空间提供计算的环境,数据则作为信息的载体成为计算的对象。网络安全强调计算环境(网络空间)的安全,从而保障计算对象(数据)的安全。因此,网络安全是数据安全的前提,数据安全是网络安全的一种体现,网络安全涵盖的范围更广,而数据安全的范围更明确具有针对性。
近年来,我国网民规模不断增长,互联网普及率不断提升。根据中国互联网络信息中心和中共中央网络安全和信息化委员会办公室、中国国家互联网信息办公室联合开展的中国互联网络发展状况统计调查数据显示,截至2020年12月,我国网民规模为9.89亿,较2020年3月新增网民8540万,互联网普及率达70.4%;我国手机网民规模为9.86亿,较2020年3月新增手机网民8885万,网民中使用手机上网的比例为99.7%,手机网络安全成为网络安全中的关键组成部分。
随着互联网的深化普及,网络安全需求同步增长,数据安全在网络安全中的重要地位逐渐体现。同时,归功于网络安全产业的不断壮大,网络安全问题也在被不断解决。
图2-1我国网民遭遇网络安全问题种类及占比
根据中国互联网络发展状况统计调查,截至2020年12月,61.7%的网民表示过去半年在上网过程中未遭遇过网络安全问题。网民遭遇各类网络安全问题的比例均有所下降。然而,个人信息泄露仍然是最主要的网络安全问题,占比达到21.9%,排名前四中的网络诈骗和账号或密码被盗问题都与个人信息有关,可见个人信息安全在网络安全领域中的重要地位。
表2-1不同App所需的必要个人信息
表2-2不同App所需的必要个人信息(续表)
2019年6月28日,工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,以解决数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,加快推动构建行业网络数据安全综合保障体系。
《方案》围绕加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流五大方面提出了十四项具体任务。其中,强化行业网络数据安全管理方面的任务最为详细,要求稳步实施网络数据资源“清单式”管理、明确企业网络数据安全职能部门、强化网络数据对外合作安全管理、加强行业网络数据安全应急管理。
大数据作为当下社会的一种生产要素,对人类生产产生的影响越来越重要,在数字时代更是具有独特的价值。但我国数据治理相对滞后,目前来说仍存在不少的问题。对当前问题的正确认识,也是数据安全发展必不可少的一个环节,在8月1日零壹智库“数据安全与数据治理”研讨会上,中国科技体制改革研究会数字经济小组组长陈晓华指出了目前数据要素面临四大问题。
第一,数据权属尚不明确。目前确权手段比较缺乏,现阶段还没有对数据权属问题进行过明确的法律规定。如何保障数据权属?数据交易规则?若能够交易,由于其具有可复制性的特点,数据安全又该如何保障?如何防止他人转卖自己的数据?这些无论是在技术上还是监管上都提出相应的挑战。陈晓华表示,若不能确定数据权的归属,数据交易要走的路还很长,目前贵阳大数据交易所就面临这样的经营困窘。
第二,数据价值的问题。数据如何定价?数据作为非标品,目前很难确定它的价值,而且定价标准也尚无统一。不同的数据,针对不同的主体将会产生不同的价值,所以数据价值以何种标准界定,由谁来确定,都是亟待解决的问题。
第三,是数据隐私问题。目前数据隐私比较容易泄露,数据安全难以保障。如今数字时代,在享受数字生活给我们带来的便利的同时,数据隐私却被暴露的一览无余,对于数据隐私的保护也正是数据安全治理的重中之重。
第四,数据流通能力较弱,数据汇聚效果较差。据了解,隐私保护计算技术被视为解决数据流通不畅以及数据汇聚效果差等问题的有效手段。
对于数据治理,主要需要从三个角度进行切入。首先,最重要的还是立法,法律法规可持续,才是保障整个数据安全市场的可持续健康发展的第一要素。
第三,要从科技的角度进行科技监管,即事前预防、事中监管、事后处置。而科技监管中最难的部分就是部委的数据共享,这在当下是一个难点,但在未来将是一个大趋势。
从宏观层面来看,我国在数据安全的治理,除了已出台的法规政策,以及监管机制的不断完善,数据安全产业生态建设也正在稳步推进。
一是政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。以专注数据安全的高新技术企业闪捷信息为例,其数据安全产品和解决方案已获取保密局、国家信息中心、公安部等权威机构认证,在商密、涉密领域均有建树,目前已与国内1000多家重要单位持续开展合作。
“近年来,我国网络安全产业促进政策不断加码、产品体系逐步完善、生态建设持续推进,为产业发展提供了良好环境。”中国信通院副院长王志勤日前表示。
即便如此,产业和企业的发展还是跟不上网络安全防护的需求。数据显示,2019年美国网络安全市场规模为447亿美元,我国同期网络安全产业规模只有608亿元,仅是美国的五分之一,与我国GDP的体量不符。
随着信息技术的发展,个人数据变得愈加重要,对自己来说个人数据就如同本人身份识别,但也很有可能成为被他人利用的武器。在纪录片《监视资本主义:智能陷阱》中提到:“如果你没有为某个产品付费,那你自己本身就是产品”。换而言之,现如今使用者在享受科技时代的各种产品时,却不知自己的身份正在被“贩卖”。
目前,数据贩卖已成为大数据产业的灰色地带,个人信息倒卖黑市猖獗,对个人人身财产甚至是生命安全都造成了极大危害。
此外,据2021年315晚会曝光,多地商家装有具有人脸识别的摄像头,在客户毫无知觉的情况下,偷偷收集海量顾客人脸信息,涉及万店掌、悠络客、雅量科技、瑞为等公司;智联招聘、前程无忧、猎聘网等多个招聘平台业存在泄露求职者简历并被贩卖的现象,进而形成“黑色产业链”。
数据贩卖问题持续增加,但并非是近两年才出现。2017年3月,京东与腾讯的安全团队联手协助公安部破获的一起特大窃取贩卖公民个人信息案,其主要犯罪嫌疑人乃京东内部员工,盗取个人信息50亿条,通过各种方式在网络黑市贩卖。
如今随着数据安全防护等级提升,企业花费巨额资金保护数据不被外部盗取,然而因内部人员盗窃数据而导致损失的风险也不容小觑。此外,地下数据交易的暴利以及企业内部管理的失序诱使企业内部人员监守自盗,盗取贩卖用户数据的行为也应引起重视。
随着数据安全内涵的延伸和扩大,对数据合法合规的收集使用也成为了数据安全的重要组成部分。当前,由于各互联网平台的业务大都由数据驱动,商业推广、精准营销、产品迭代等业务都离不开个人数据收集这个核心。各个平台利用数据在追求利益最大化的同时,也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。
2019年3月27日,随着北京市消协召开“大数据杀熟”问题调查结果新闻发布会,关于大数据“杀熟”的问题终于白纸黑字被正式搬上权威台面。随着大数据“杀熟”体验调查名单的公布,飞猪、去哪儿网等平台存在不同程度的“大数据杀熟”情况。
数据垄断将会间接引起数字权利滥用的问题,或将威胁到国家安全。因此,应当将进一步通过高额惩罚等手段对其进行约束。
非法获取信息数据自互联网诞生以来便一直存在,“黑客”、不法人员通过技术手段入侵不同网站等数据源以获取信息数据,用于违法目的,甚至涉及到人身安全。随着信息技术的迅速发展,获取违法数据的技术手段逐渐提高以及获取工具的革新,门槛也相应降低。尤其是这几年“爬虫”技术的广泛应用,给予了很多不法人员对于数据窃取的可趁之机。
网络“爬虫”简单说,就是利用程序的运行实现自动的、高效的读取、收集网络数据。但由于数据性质的不同,就会造就非法爬取数据的可能。而这两年,非法爬取数据的案例大幅增长。
2017年“头条视频”的前总经理宋某、视频技术负责人侯某与新东家张某合谋,利用网页爬虫技术来获取今日头条的视频数据库。该案件也是全国首例“爬虫”技术非法获取计算机信息系统数据刑事案件,于2019年由北京市海淀区人民法院最终审结。
2019年3月份,北京警方侦破巧达科技非法获取计算机信息系统数据案,这家企业通过非法爬取用户简历并用于在网络上售卖。巧达前员工曾表示,巧达在多个网站上,建立了上千个企业账户,每天模拟人工操作访问智联招聘、猎聘等网站百万次。据悉,巧达科技非法获取的简历超过2亿条,而爬取的违法数据为巧达科技带来了过亿的收入。数量之大、牟利之巨,令人咋舌。最终公司法人等36人被检察机关依法批准逮捕。
实际上,关于网络爬虫数据窃取的违法案例远不止如此。以国内案件为范围,在通过北大法宝司法案例库全文搜索“爬虫”关键词,一共检索到案例与裁判文书604份;若以“爬虫技术”关键词搜索,共检索到124份;若以“网络爬虫”全文搜索,共检索到案例与裁判文书88份。
图3-12013-2020年以“爬虫技术”关键词搜索的案例数(个)
同样以“爬虫技术”作为检索关键词,其案例和裁判文书按照其不同案由区分,具体数据如下。
表3-12013-2021年以“爬虫技术”关键词搜索的案例分类
网络爬虫获取数据最终是否构成数据窃取,主要取决于数据的合法性以及公开性。对于非法爬取网络数据的行为,也应当在政策上与技术上加强安全防护。
2021年7月14日,在第二十届中国互联网大会数据安全论坛上,中国信息通信研究院安全所信息安全部主任魏薇表示,通过研究机构统计,2020年全球数据泄露的数量超过过去15年的总和。这些数据安全的风险影响范围已经从个人、企业逐步辐射到产业甚至是国家,数据安全风险隐患非常突出。
当下科技与互联网氛围,各种APP、网页、应用内嵌小程序,都要求访问用户的位置、身份等不同信息。要求访问及获取的数据信息过多,同样会为不法分子提供可趁之机,带来数据泄露的问题。
此次事件主要是因为Facebook的监管失误,使得某个剑桥研究员利用自己开发在内嵌于Facebook的APP,大量收集用户以及他们朋友的数据信息,最后利用这些数据信息,用于不法商业途径和政治途径。
而50亿美元的罚款是有史以来对侵犯隐私、泄露数据等行为对科技公司的最高罚款,或许用户数据信息在未来将会变得更“值钱”。
李彦宏曾说过“中国人为了方便,会原意牺牲一些个人隐私”。虽然用“中国人”来表达似乎有些以偏概全,但也能从侧面反映出目前用户端对信息的不重视,以及各应用对于用户信息数据收集的无理程度。
保证数据信息严密不被泄露是当下互联网企业不可忽视的一个环节,除了要求能够保证数据的全流程监控,加强目前现有风控体系之外,引入更多的新技术,打造更智能、更安全的风控系统也是必不可少的。
数据安全所存在的问题远不止如此,数据跨境流通、数据滥用、数据权归属、过度收集用户隐私等各种问题近年来在大大小小的案例中都有所体现。可以说,目前在数据安全这个领域,无论是企业还是监管机构都还有很大的发展空间。
安全和发展是相辅相成的,坚持“以安全保发展、以发展促安全”一直是稳定发展的重要准则,不能单纯为了安全不发展,做好安全和发展的协调一致。在数据安全这一问题上,最终解决安全问题还是需要靠发展,一个是靠技术发展,一个是靠产业发展。
对于数据安全与数据产业发展的关系,原工信部产业政策司副司长和巡视员辛仁周在8月1日零壹智库“数据安全与数据治理”研讨会上说到:未来中国的数据产业具有巨大的发展潜力。
辛仁周表示,在过去改革开放40多年中,经济以9.5%的年均增长速度稳定发展,但随着经济总量的不断扩大,尤其是技术水平和发达国家的差距正在逐渐缩小,未来的年增长率将会在6%甚至是5%左右。
一方面是基于数据产业巨大的市场潜力和市场需求,数据已经成为当下数字时代的硬通货,发展数据产业就是在增加国力。另一方面,基于当前外部的严峻形势和贸易战的影响,某些技术会被其他国家“卡脖子”,长期“卡脖子”对我国技术的发展极为不利,所以国家会在政策资源多方面对数据产业给予支持。
数据安全在政府、金融、电信等基础设施方面有着较为广泛的应用,业务占比近50%,且有着向医疗、制造等领域逐渐深入的趋势。据IDC预测,2023年中国数据安全行业市场规模有望达到97.5亿美元,中国网络安全市场总体支出将达到179.0亿美元。[1]
庞大的市场和增长潜力,吸引了众多中上游厂商入局,产品普及度的上升也在推动着下游需求主体购买意愿的增强。
图4-1我国数据安全产业图谱
在我国,数据安全行业的上游主要是服务器、存储设备等硬件产品供应商以及中间件、操作系统、数据库等软件产品供应商。
1、硬件层
存储芯片是数据安全产品的核心硬件。中国存储器厂商受限于技术以及资金实力等因素,较难满足数据安全厂商需求,对外依存度较高,采购数量占据全球存储芯片整体采购数量的50%。
目前,全球存储器市场表现出高度集中、头部企业瓜分天下的态势,应用程度较高的主流存储器包括DRAM存储器和NAND存储器。IDC数据显示,2019年,DRAM市场由三星、SK海力士、美光三家瓜分,CR3达94.5%,韩国企业占七成份额。NAND份额由三星、铠侠(原东芝存储)、西部数据、SK海力士、美光、英特尔六家占据,CR6达98.5%,其中韩国企业占四成以上。[2]
图4-2各企业DRAM市场占有份额
服务器是数据中心成本支出的最大部分,中国服务器行业自产率较高。IDC数据显示,2019年中国服务器市场前三名依次是浪潮、华为和新华三,市场份额分别为28.7%、16.4%和13.1%,排在后面的依次是戴尔、联想、曙光和宝德,合计占比32.1%,ODM厂商占比2.9%。[3]
2、软件层
中间件是一种独立的系统软件服务程序,连接软件组件和应用。2019年我国中间件市场总体规模达到83.3亿元,同比增长15.1%。根据华为发布的《鲲鹏计算产业白皮书》,预计2023年,中国中间件市场空间为13.6亿美元,5年复合增长率15.7%。
我国中间件软件行业早期由国际知名厂商IBM和Oracle以领先的产品技术迅速占领了市场。随着国产中间件厂商技术的升级,以东方通、宝兰德和普元信息为代表的国产厂商赶超者,在电信、金融、政府、军工等行业客户中不断打破原有的IBM和Oracle的垄断,逐步实现了中间件软件产品的国产化自主可控,但不可否认的是,现阶段国外厂商仍然占据较大的市场份额。
图4-32018年中国中间件市场份额占比
操作系统是一个协调、管理和控制计算机硬件资源和软件资源的控制程序。Netmarketshare数据显示,中国桌面操作系统市场中,微软的Windows系统一枝独秀。截至到2020年3月,Windows10的市场份额达到57.34%;其次是Windows7,市场份额约26.23%;而Linux系统和其他系统相加只占据13.12%的市场份额。
在中国移动操作系统市场中,Android系统和iOS系统二分天下。截至2019年底,Android市场占比接近80%,iOS占比20%,而其他三星、Linux、塞班等系统市场份额几乎微不足道。[4]
图4-42020年3月全球桌面操作系统市场企业竞争格局
随着投入不断加大,中国的桌面操作系统也取得了重大进步,部分桌面服务器厂商完成了操作系统的自主研发和升级,如中标麒麟、银河麒麟、优麒麟等。但截止到2020年3月,Windows系统仍占中国操作系统的83.57%,保持垄断地位。
18表4-1我国部分本土桌面操作系统
数据库是由特定软件,即数据库管理系统(DBMS)搭建、处理、维护的数据及数据间逻辑关系的集合体。它面向多种应用,可以被多个用户、多个应用程序所共享。早期,我国数据库市场主要由Oracle和IBM一统天下,21世纪初,基于863计划、核高基计划等国家政策支持,一批拥有高校背景的国产厂商成立,打破了Oracle和IBM一统天下的格局。
据艾瑞统计,2020年中国数据库市场总规模达247.1亿元,同比增长16.2%。国外数据库厂商的市场份额下降至52.6%,达梦、金仓等传统国产厂商的市场份额上升至7.1%。在国产阵营中国,以“达梦、人大金仓、南大通用、神州通用”为代表的国产数据近年来开始发力,虽然国外数据库厂商如Oracle、Miscrosoft、IBM等仍占据52.6%的市场份额,但整体市场份额正逐渐被国产数据库占领。[5]此外,阿里、腾讯、华为也投入巨资开发了自己的数据库,并逐步进入商用阶段,但市占率较低。
图4-5中国数据库产业图谱
1、中游分析
数据安全中游服务商通过研发、并购、合作、延伸产品线等手段丰富自身业务种类,主要包括综合型数据安全服务商和垂直类数据安全服务商。
综合型数据安全服务商技术实力雄厚,通过研发、并购、合作等手段为下游各领域消费者打造全方位的数据安全解决方案,业务范围涵盖数据安全硬件、数据安全软件和数据安全服务各个方面。综合型数据安全服务商占据中游整体服务商数量的60%,代表性企业包括启明星辰、360企业、卫士通、天融信、绿盟科技等。
垂直类数据安全服务商深耕数据安全行业细分市场,在垂直领域的产品及服务专业化程度高干综合型数据安全服务商,垂直类数据安全服务商占据中游整体服务商数量的40%,代表性企业有深信服、美亚柏科等。
2、下游分析
下游用户群体主要分布于政府、军工、电信、金融等领域。其中政府对数据安全的重视程度最高,在2019年,用户分布占行业整体的比重高达35%;其次是军工、电信和金融领域,位居二至四位,占比均超过10%;然后是交通领域,占比为9%;医疗、制造以及能源领域占比分别8%、5%、2%;而其他领域占比仅为2%。
图4-6下游用户群体市场份额
1、产业巨头进军数据安全
数据安全行业的竞争促进了产品与服务的持续优化与创新,给行业技术带来了更新与迭代。我国互联网巨头入局数据安全,通过自建、投资并购协同生态发展等方式突破重围,开拓出新型产品与服务。
腾讯的TDSQL诞生于2012年,2014年被用于WeBank核心系统的数据库解决方案;2015年,作为唯一一款金融级数据库产品在腾讯金融云上正式推出,为金融、政企机构提供数据库的公有云以及私有云服务。2020年,腾讯参与制定国家级、行业及规范,提出联合生态的力量,在数据流动过程中建立秩序。其推出的数盾是一套基于数据流的数据安全解决方案,帮助客户解决云上数据安全治理问题,满足等保合规要求的同时,也能提升数据隐私保护能力。
还有华为的GaussDBOLAP数据库,2015年在工商银行上线,替代了海外的数据仓库。2018年GaussDB又陆续在招行部署上线,包括综合支付交易、信用卡的重资产营销、金融科技类的项目。华为云空间为亿万终端用户提供了个人云空间功能,能够帮助用户更便捷地管理数据,并保障数据安全,保护用户隐私,这也正让数以亿万计的用户能更好地进入万物互联的智能世界和数字时代。
2、专业数据安全服务商
以安华金和、奇安信、天融信、优炫软件等企业为代表的专业数据安全服务商专注于用户核心数据保护,围绕数据资产为客户提供稳定、安全、行业领先的产品与解决方案。同时,这些专业服务商打破技术壁垒,实现单品向产线化扩张,加深产品在各应用领域的渗透率,提升自身竞争力。[6]
3、传统数据安全服务商
以启明星辰、360企业、卫士通、美亚柏科等企业为代表的网络安全企业在资源方面优于其他行业参与者。例如卫土通、启明星辰在安全、管理和平台运营等业务领域拥有众多政府和军工客户资源,是传统网络安全企业中政企类业务占比最大的两家企业。
传统网络安全企业的发力方向各不相同,如卫士通专注于央企用户的运维转型,启明星辰致力于维护政府客户,市场分割较明确。部分传统网络安全企业通过投资并购布局新型安全服务领域,例如360企业安全集团融资金额达数十亿元,凭借资本示例和自身在终端安全、大数据处理和分析、威胁情报领域优势,快速拓展其在党政军、金融、公安、电信等行业的信息安全市场,实现销售额4年6倍的增长速度。
1、中国网络安全保障快速发展
2014年是中国接入国际互联网20周年。2014年2月27日,中央网络安全和信息化领导小组成立,国家主席习近平亲任小组组长。该小组将研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
2014年11月19日,中国举办了国内有史以来规模最大、层次最高的互联网大会——第一届世界互联网大会。2015年12月16日第二届世界互联网大会举行,多国政府代表参加了大会,习近平就“中国网络空间发展和安全”发表主旨演讲。2015年7月6日《中华人民共和国网络安全法》公布,并向社会公开征求意见。我国网络空间的治理,正式做到有法可依。
2、中国网络安全立法进程
1994年,公安部颁布了我国首个计算机安全方面的法律——《中华人民共和国计算机信息系统安全保护条例》,标志着我国开始重视信息安全工作。21世纪开始,随着互联网的普及和网络违法行为的增加,我国网络安全领域的立法开始加速。
1、中国网络安全产业规模
根据工信部2021年7月发布的《网络安全产业高质量发展三年行动计划(2021-2023年)》,到2023年,我国网络安全产业规模将超过2500亿元,年复合增长率超过15%。我国网络安全产业规模的不断增长,同时也推动网络安全行业收入不断增加。
根据2020年7月发布的《2020年中国网络安全产业统计报告》数据,2019年,国内网络安全行业总收入(网络安全业务的企业的总收入)约为668.34亿元,同比增长21.11%;网络安全业务总收入(网络安全行业总收入减去非安全业务收入)约为594.14亿元,同比增长16.14%;网络安全技术、产品与服务总收入(网络安全业务总收入减去安全集成业务收入)约为523.09亿元,同比增长25.37%。在2017年至2019年期间,网络安全行业总收入年均增长率达到19.87%。
随着国家对网络安全领域重视度的提升,网络安全市场规模增速预计将进一步提升,在未来几年内保持高于20%的平均增长率。
2、中国网络安全企业分析
1)中国网络安全企业概况
近年来,我国网络安全产业规模不断扩大背后的原因是网络安全企业数量的激增。根据中国网络安全产业联盟发布的《2021年中国网络安全市场与企业竞争力分析》(下文简称“网安竞争力报告”)统计,2021上半年我国共有4751家公司开展网络安全业务,相比上一年增长23.1%。其中,服务型公司达到3824家,同比增长43.2%,产品型公司达1271家,同比增长7.0%,综合型公司(兼顾产品和服务)达344家,同比增长28.8%。
图5-3我国网络安全公司类型分布
在4751家公司中,按我国网络安全企业服务的行业划分,26%的企业主要为政府服务,15%的企业主要为金融机构提供服务,排名前六的服务领域分别为政府、金融、运营商、教育、医疗卫生、能源等。可见,网络安全需求较大的领域主要为政府领域、金融领域和公共领域(如教育、医疗卫生等)。
图5-4我国网络安全公司服务领域分布
2)中国网络安全头部企业分析
根据《网安竞争力报告》数据显示,2020年中国网络安全行业主要企业中,奇安信、启明星辰、深信服等三家公司的市场占有率均超过6%。
图5-5我国网络安全企业市占率
市占率排名前九的企业合计占有率40.4%,以4751家网络安全公司总量作为基数,显示出我国网络安全产业领域市场集中度较高。市占率排名前九的企业中,中孚信息和安恒信息的安全业务营业收入增速超过40%,显著高于头部企业平均增速,发展态势迅猛。同时,头部企业安全业务营业收入平均增速达27.9%,高于行业平均值,因此2020年头部企业市占率相比上一年小幅提升。报告预计,未来两三年内,头部企业市占率仍将保持小幅增长趋势。
表5-6国内头部网络安全企业安全业务营收及增速
3)中国网络安全客户分布
根据《网安竞争力报告》统计,2018年至今中国网络安全客户总量超过15万家,其中持续在网络安全投入的客户超过2万家;据不完全统计,2020年我国网络安全客户数超过9万家,其中新增客户数量超过3万家。
图5-7我国网络安全客户分布地图
1、网络安全立法加速,法律体系日趋完善
近年来,随着个人数据遭遇滥用事件的频频发生,我国网络安全立法加速跟进,网络安全法律制度体系日趋完善。《国家安全法》从宏观角度确定了我国在网络领域的战略和方针,而《网络安全法》则更为详细地规定了网络运营者在保障数据安全、维护个人隐私方面的责任。将于今年9月实施的《数据安全法》在国家的网络数据保护责任、安全保护分级制度等方面与《网络安全法》衔接,与《网络安全法》相辅相成构建我国网络信息数据安全法律体系。未来,《个人信息保护法》的制定和推出将对个人信息流通和使用进行规定,进一步完善我国网络数据安全的法律法规体系。
2、网络安全知识普及,隐私保护意识增强
公民自身数据保护意识的提升,能有效减少不法分子或者是违规App收集、使用个人数据的机会,从源头遏制数据泄露,保护数据安全。
3、个人信息遭遇滥用,企业赴美监管困难
同时,部分企业远赴美股上市使得监管更加困难。在中美摩擦不断加剧的当下,我国的数据安全更需要时刻得到保障。有关部门应当对采集个人敏感数据的赴美上市企业进行严格审查,设立数据隔离机制,谨防数据泄露。
滴滴、BOSS直聘、运满满等上市后被实行网络数据安全审查后,传言Keep、喜马拉雅等互联网企业均搁置赴美IPO计划,便利蜂也否认提交美国IPO的申请。随着互联网企业的数据安全已经上升到国家层面,中概股赴美上市的拐点似乎已经到来。
中概股赴美之路,已有20多年的历史。2000年前后,一大批互联网企业掀起赴美上市的高潮,新浪、网易、搜狐等相继登陆美国市场,中概股群体迅速壮大。究其原因,第一是中美两国资本市场的政策差异明显,美股上市门槛更低,尤其是国内A股针对企业的盈利要求,互联网企业一般难以达到。第二是相较于国内市场,美国资本市场更为成熟,更有助于互联网企业的国际化战略。第三是国内的互联网企业,股东及投资者中有很大一部分来自国际投资机构,而美国资本市场一直是全球投资者聚集的摇篮。
中国企业赴美上市,募集全球资金反哺到中国市场,中国企业也因此有机会参与到全球化浪潮中。原本平衡的商业秩序却在当前国家关系中隐藏着巨大变量,二十多年的中美资本市场稳定似乎正在被悄然打破。
三月份,美国证券交易委员会(SEC)发布公告,称已通过《外国公司问责法案》(HoldingForeignCompaniesAccountableAct)最终修正法案,虽然在名义上针对的是所有在美的外国企业,但很多业界分析指出,该法案是美国针对瑞幸咖啡财务造假事件的持续发力,监管对象主要为在美上市的中概股企业。值得注意的是,处于保护国家数据安全的考虑,包括中国在内许多国家的法律法规与美国该项法案是相互冲突的。而美国方面则可能根据该法案法规条例,要求中概股企业在数据脱敏方面有一定的限制。在国家面对数据安全日益趋严的今天,数据的跨境流通,国家则保持着绝不马虎的态度。因此,基于国家安全考虑,退出美国市场不失为一种方式。例如,国内三大运营商移动、联通、电信就曾被纽交所勒令退市。
另一方面,近些年中概股企业在美国市场的处境也变得越来越困难。根据零壹智库统计显示,截至2021年7月29日,近三年赴美上市并且目前未退市的中概股约有79家,其中有70%以上的企业当前处于破发状态。目前,在已统计数据完整的225家美国上市的中概股中,也有超过七成的中概股处于破发状态。
图6-1中概股目前在美市场破发表现
中国企业在美国上市,无论是站在国家的角度还是站在企业自身的角度,都正在面临着前所未有的窘境。
谈起此次事件乃至后续数据安全后续发展对于海外上市的影响,就不得不回归到滴滴事件之后国家网信办发布《网络安全审查办法(修订草案征求意见稿)》(以下简称《办法》)公开征求意见。
从审查企业的质来看,《办法》指出,关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查;运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
从审查的量来看,《办法》要求,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
此次《办法》两点新增内容几乎指向了国内多数运营C端产品的新兴互联网公司,同时也奠定了后期中国企业,尤其是与数据方面密切打交道的互联网或信息服务类企业赴国外上市的监管格局。在满足政策要求之下,流量型企业赴国外上市,在未来将会有明显的减缓趋势。
另外,此次数据安全审查的另一个矛头则指向的是VIE架构,对于当前国内互联网企业普遍实行VIE绕开海外上市限制的做法,本身就是存在一定的安全隐患以及合规问题。距离新浪成为国内第一家通过VIE上市的公司已有20多年,中国的经济实力、资本市场环境都有了显著提升,而VIE一直是处于半灰色地带的创新之举。借助此次事件,SPAC模式、反向上市进行“造壳”或“借壳上市”行为,或许也将要被监管所进一步明确。
随着平台经济以及互联网企业爆发式发展,海外上市近年水涨船高。据统计,2020年共有39家赴美上市中概股,而2021年仅上半年这个数字就已经达到37家,完全有理由相信,若没有监管政策的“阻挡”,2021年赴美上市的企业数将大大超过2020年。但随着滴滴事件和数据安全合规审查之后,各企业都将面临来自监管机构和各种诉讼的压力,可以预见的是,海外上市尤其是赴美上市正在被按下暂停键。
实际上,港交所在这些年已逐渐成为中国企业另一个资本高地。2018年4月,港交所发布了新的《香港联合交易所有限公司证券上市规则》,同时修订了“内地与香港证券市场互联互通机制”,自港交所修改上市制度以来,2019年之后就掀起了一波中概股回港热风,阿里巴巴(09988)、百度(09888)、哔哩哔哩(09626),再到今年的携程(09961)都延续着这一势头。
在应对数据安全事件这一变量中,中概股回归或将成为常态,港交所也将成为重要选择。中概股的回港,既是应对目前监管规则发生重大变化风险的预防性举措,也反映了上市企业长期的、战略性的考量。
未来,面对数据安全尤其是国家数据安全层面的监管仍将持谨慎态度,在登陆A股条件不具备的情况下,鼓励中概股赴港上市以及中概股的二次回归,不仅能够有效防范外部风险,严守数据安全底线,同时也能够巩固香港的金融中心地位,完善我国国内资本市场,这或将是未来的主方向。但是从更深层次来看,无论处身哪个资本市场,企业应时刻将国家利益放在首位,坚守数据安全的底线,坚守国家安全的底线。
在此背景下,2021年1月,央行发布《征信业务管理办法(征求意见稿)》,征信业务范围相应延展。同时,个人征信牌照的重新开闸,网络平台企业实现个人信息与金融机构的全面“断直连”,一系列举措显示征信业正迎来新的发展机遇期。
作为一项以数据为基础的活动,数据安全是征信行业发展的生命线。在数字经济时代,数据资源成为关键生产要素,越来越多的数据产生。数据的汇集不可避免地加大了数据泄露的风险,随着征信行业的市场化发展,一些不法机构通过非法获取、加工、售卖黑产数据而获利,不仅干扰了征信市场秩序,而且造成了个人信息数据的泄露。同时,数据安全也是判断信用主体信用水平的前提,不重视数据安全保护,滥用个人信息,会导致误判其信用水平,侵害信用主体的合法权益。
1、个人征信业务越市场化,越应高度重视数据安全
2018年2月22日,百行征信获得我国首张个人征信业务牌照,个人征信业务市场化取得实质性突破。2021年2月2日,朴道征信正式揭牌,标志着我国个人征信业务市场化进程的进一步加快。作为央行征信系统的有效补充,市场化的个人征信机构不仅能够大幅度拓宽征信体系的服务范围,还能为不同类型的金融机构和公司提供更多的个性化、针对性服务。
随着个人征信业务市场化的不断深入,数据安全问题应进一步被重视。第一,市场化个人征信机构作为营利机构,个人数据的挖掘和利用能够为其带来巨大的商业价值,在追求商业利益的同时,应高度重视数据安全问题,平衡商业利益与数据保护间的关系;第二,市场化个人征信机构更加注重技术创新和服务创新,在为金融机构或公司提供个性化服务的同时,还应高度注重新技术、新模式的应用所带来的数据安全风险。例如,百行征信与香港诺华诚信正式签署合作协议,即将推出跨境身份信息核验产品,跨境征信业务涉及跨境数据传递,保证数据安全是重中之重。
2、数据安全是有效判断信用主体信用水平的前提
多维度信息的有效共享,能够全方位刻画信用主体的信用水平,但信息实现有效共享的前提是能够保证数据安全。信用主体有义务让社会了解其信用行为和记录,但信用主体同样有权利保护自己的个人隐私数据或商业机密等不被泄露。
一些与征信业务边界不清的不法机构在个人数据市场上“跑马圈地”,不仅造成个人数据的滥用、泄露,还严重影响了市场的公平性,导致市场出现“劣币驱逐良币”现象,这使得个人征信市场的整体服务水平下降,信用主体的信用状况难以被有效判断。
随着《网络安全法》《数据安全法》等的相继实施及《个人信息保护法》的颁布,数据安全保护不断加强,同时也为征信业发展带来巨大利好,征信业的政策环境、市场环境、发展模式等发生了一系列变化。
2、与征信业务边界不清的机构被整顿、约谈
互联网金融的粗放发展带来了个人信息在信贷领域的滥用。2018年,网信办约谈支付宝、芝麻信用的有关负责人时曾表示,“支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。”
2019年,大数据行业监管持续加码,魔蝎、新颜科技、白骑士、聚信立等大数据公司因通过数据爬虫侵害用户个人信息权益被整顿。这类大数据公司通常提供数据输出服务,采集个人信息的渠道一般分为三种:一是信息主体主动提供;二是提供服务的过程种缓存个人信息;三是通过共享、爬取等方式间接获得个人信息。它们提供的服务包括反欺诈、风险测评、信用评估等服务。
3、网络平台企业实现个人信息与金融机构的全面“断直连”
2021年4月29日,央行、银保监会、证监会、外汇局等金融管理部门联合对包括腾讯、度小满金融、京东金融、字节跳动、美团金融、滴滴金融、陆金所、天星数科、360数科、新浪金融、苏宁金融、国美金融、携程金融等在内的13家从事金融业务的网络平台企业进行监管约谈,并提出了七大整改要求,其中要求这些网络平台企业打破信息垄断,严格通过持牌征信机构依法合规开展个人征信业务,并且要强化金融消费者保护机制,规范个人信息采集使用、营销宣传行为和格式文本合同,加强监督并规范与第三方机构的金融业务合作等。