中国的安全行业似乎从未像如今一样攀上风口浪尖。
不久前,《数据安全法》、《关键信息基础设施安全保护条例》和《个人信息保护法》接踵而至。其中,《数据安全法》和《关键信息基础设施安全保护条例》在9月1日起正式施行,《个人信息保护法》紧随其后,将在11月1日起正式施行。
消息一出,有人欢喜有人忧。尤其,过去基于利用个人隐私数据而生存的企业,将会迎来史无前例的严格监管。而对包括数据安全在内的整个安全行业而言,监管的爆发成为了直接的利好。
其实,在近期闯入"主流"视野之前,国内的安全行业已经拥有30年左右历史,诞生约30家上市公司,更有上千家早期安全公司分散在各个细分赛道。
时代语境之下,游戏规则突如其来改变,这上千玩家的走向也成为值得讨论的新话题。
政策利好,前所未有
“情理之中,意料之外”。这是不少安全从业者们对这波政策动作的感受。
原因很简单。过去很久,合规一直是安全行业的重要驱动力。从2007年等保1.0的出现,到2016年《网络安全法》的施行,再到2019年底实施的等保2.0,市场的发展离不开政策对客户提出的强制性要求。
而如今引起多方关注的《数据安全法》、《关键信息基础设施安全保护条例》以及《个人信息保护法》,对整个行业而言期盼已久。以《数据安全法》为例,其从2018年10月开启起草工作开始,再到公开征求意见乃至施行,总共历经约三年时间。所以,在政策正式落定之前,不少从业者已经拥有了对此类法律法规的基础认知。靴子何时落地,只是时间问题。
不过,即便早有预期,如今这轮政策的出台仍然体现出不少差异性特征。
首先是密集程度。过往来看,国内安全行业虽时有相关政策推出,但在如此短时间内同时出台多项重磅政策,还是第一次。尤其在今年8月中下旬,《关键信息基础设施安全保护条例》、《个人信息保护法》在一周内密集出台,让不少业内人士也直呼意外。
另外,本轮政策影响广泛。首先《关键信息基础设施安全保护条例》关乎国计民生,而《数据安全法》、《个人信息保护法》不仅在相关领域具备指导效力,也与如今的隐私保护趋势息息相关。
尤其是《个人信息保护法》。作为与欧盟GDPR、美国CCPA相似的法律,它引起了海内外的广泛关注。而其中对"公共场所安装图像采集、个人身份识别设备"收集信息的使用限制,以及对"个人信息处理者利用个人信息进行自动化决策"的要求,也被视作规范不少互联网平台型公司业务的利器。
可以想见,在发布频率如此密集、影响如此广泛的政策"轰炸"下,安全这件事也将从过去不少企业的眼中"奢侈品",转变为"必需品"。
这一趋势的来临,势必将提升众多安全厂商的地位,也在某种程度上意味着市场空间的扩大。
行业天花板增高,但既有格局不会剧变
长期以来,"市场规模"并不是一个让安全行业引以为傲的话题。
虽然统计口径不同,如今相较保守的市场规模约在700亿元左右。天花板破千亿,一直是整个行业翘首以待的里程碑——至少在今年之前,不少人预测这一时点仍需3年左右才会到来。
而如今这轮政策的出现,大概率将提升安全行业整体正式迈向千亿市场的速度。
一个常识是,安全行业的重点客户主要集中在大型的国企、央企中,大多覆盖金融、能源、运营商等领域。而如今《关键信息基础设施安全保护条例》、《数据安全法》和《个人信息保护法》的出现,一方面促使更多传统概念中的大客户更加重视安全,另一方面也为行业纳入了新的盘子。
首先,《关键信息基础设施安全保护条例》对运营者的责任义务做了规定,同时也提出"运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入"。在一些行业人士看来,这将提升相关客户扩大预算的可能性。并且,一些暂未设立独立安全部门的客户大概率也将设立专门部门、配备专门资金。
另外,在《数据安全法》和《个人信息保护法》的要求下,过去依赖算法和大数据的企业,势必将进一步重视安全问题。这意味着不少处于AI、电商、内容等领域的公司,将成为强监管对象。
当固有和新进客户同时重视安全,在目之所及的未来,市场空间的增长也是必然。
但需要另外提及的是,当前一些关键信息基础设施概念中的客户,已经在合规要求以及业务需求的作用下建立了较为独立的安全部门和预算。此次规定的出台对这类客户而言,是将过去的"自发行为”上升到"必备要求",而非从零开始搭建。另外,不少大型互联网平台公司(如电商、游戏类企业)由于业务特点,也早已建立起自身的安全团队。
这些现状说明,本轮政策对厂商的促进作用将在此前安全建设的基础上体现。
另外,也正由于发展历史较久,安全行业已经初步体现出马太效应。尤其在成熟期公司和初创公司之间,初创公司往往在单个细分领域具备一定技术/产品特点,但谈及维护客情的能力、各种资质的完善程度,以及公司整体的声望口碑,仍是成熟期公司略胜一筹。
这也意味着,如今的政策利好会强化一部分既有行业格局。尤其在一些非新兴技术主导的细分领域中,"强者恒强"的局面可能将持续下去。
最新的机会点:数据合规交易
对初创公司而言,好的方面是安全行业细分赛道众多,总有些格局未定之地。尤其在《数据安全法》、《个人信息保护法》的双重引导下,数据安全公司将成最直接的受益者。
如果从效果端粗略分类,数据安全可大致划为数据传输时的安全、数据存储时的安全,以及数据使用时的安全等几个方面。数据存储时的安全和数据库安全、容灾备份等领域相关;数据传输时的安全,会关注数据在流通过程中的安全机制等问题;数据使用时的安全,则会关注数据的使用的方式和目的等——这个方向也会延伸,和数据交易产生些许交集。
其中,数据存储安全这一方向发展时间较久,且已出现头部公司,其余一些新兴方向暂时格局未定。尤其,《数据安全法》中提及了规范数据交易行为、培育数据交易市场的内容,《个人信息保护法》则为保护个人隐私提供了法律支撑。在二者的交集处,处于新兴市场的隐私计算公司成为了直接利好对象。
关于隐私计算,36氪曾做过多次报道,这一领域的公司希望通过密码学、区块链、联邦学习、可信计算环境等手段,使数据在使用的各个环节中达成“可用不可见”的效果——即既发挥大数据的能力,也保护个人隐私,帮助数据合规流通、交易,当前主要应用在金融、政企等领域。
其实,在近期《数据安全法》、《个人信息保护法》落定之前,隐私计算公司早已成为创投圈重点关注的方向。
一方面,自2018年至今,已有相当数量的公司看到隐私计算的热潮,希望进场分一杯羹,"当前提及隐私计算的公司可能已经达到上百家。"有行业观察人士曾对36氪透露。当然,其中也包括OEM和蹭热点的角色。
另一方面,自2020年初起,相关领域的公司不断获得投资——仅在近两月,就有「冲量在线」、「富数科技」、「翼方健数」等公司宣布完成融资,另有不少企业处于融资进程中。而且在专精型创业公司之外,安全上市公司「安恒信息」、云计算上市公司 UCloud 也于近期发布或更新了相关产品。
但即使行业火热,数据交易全流程的搭建显然并非一日之功。这从过去一些大数据交易所的变迁可见一斑。
而对新兴的隐私计算公司而言,即使此时政策利好空前,产品力的持续提升以及各行各业监管细则的完善,同样是不得不跨越的门槛。
这也回到整个安全行业演进的本质——政策的助力不可忽视,深入的变革也仍与实际需求的爆发息息相关。而在如今整个行业受到普惠的前提下,个体厂商在创业方向、技术/产品、商务层面的综合能力,也是更见真章的竞争砝码。