网络安全行业快评：滴滴催化网安政策升级，政企安全投入有望大幅提升

请务必阅读正文之后的免责条款部分 全球视野 本土智慧 行业研究 Page 1 证券研究报告—动态报告/行业快评 信息技术 网络安全行业快评 超配 （调高评级） 2021年07月11日 滴滴催化网安政策升级，政企安全投入有望大幅提升 证券分析师： 熊莉 xiongli1@guosen.com.cn 证券投资咨询执业资格证书编码：S0980519030002 证券分析师： 库宏垚 021-60875168 kuhongyao@guosen.com.cn 证券投资咨询执业资格证书编码：S0980520010001 事项： [Table_Summary] “滴滴事件”从2021年7月2日至7月10日持续发酵。滴滴由于“严重违法违规收集使用个人信息问题”，旗下全部app被国家网信办要求下架，且当前正在进行网络安全审查。同时，美股上市不久的BOSS直聘、满帮集团也同样被启动网络安全审查。受此影响，计划赴美上市的Keep、喜马拉雅、零氪科技也纷纷暂停IPO。而政策层面，7月10日，《网络安全审查办法》修订草案开始征求意见，明确提出“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。结合当前《数据安全法》等密集网络安全政策出台，上海市经济和信息化委员会软件和信息服务业处处长裘薇表示，将在即将发布的一些列政策中，进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。 国信计算机观点： 1） “滴滴事件”验证当前我国对网络安全重视程度空前，数据成为核心生产要素。2021年开始，移动app违规收集数据频出。在“十四五”规划纲要草案中，首次将“数据”作为“生产要素”写入其中；草案明确要建立健全数据要素市场，加快完善“数据生产要素市场化”配套法律制度。 2） 《网络安全审查办法》征求意见再升级，网安政策密集出台。对于我国交通关键基础设施运营者之一滴滴，《网络安全审查办法》是重要抓手。该办法已经于2020年6月1日正式实施，简单来说，就是“关键单位”采购IT产品时，必须符合“安全审核”，尤其是关键基础设施行业。今年7月10日，《网络安全审查办法》修订并征求意见，强调掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。同时，《数据安全法》于2021年9月1日正式实施，包括《个人信息安全保护法》等，一系列政策密集出台。 3） 网络安全占IT投入比有望在政府、事业单位率先达到10%，催化数倍市场空间。根据2021年7月9日上海市经济和信息化委员会软件和信息服务业处处长的发言，未来政策中，有望明确政府和公共企事业单位在网络安全上的投入比例不低于10%。而当前，我国网络安全占IT投入比仍不到3%，仍低于全球平均水平，而美国联邦政府信息安全占IT投入比2021财年达到20%。政府是我国安全市场最大下游，占比约24%；安全投入比的提升，至少在政府领域带来一倍以上的市场空间，新增市场至少在百亿元以上。 4） 我国网络安全产业持续恢复，隐私和数据安全等新兴领域亟待关注。疫情后，网络安全厂商营收增速持续恢复。从2020Q3开始到现在，全行业9家主要厂商已经进行了10次股权激励；叠加信创和常态化的攻防演习，网络安全行业重回高增长成为产业一致预期。结合当前“滴滴事件”催化，隐私和数据安全成为新的建设方向，奇安信隐私卫士、数据交易沙箱；安恒信息数据安全岛，均已走在行业前列。 重点关注网络安全板块。网络安全建设理论上没有止境，直接取决于预算投入，新兴安全领域仍有广泛建设空间。未来我国对各类IT系统的网络、数据等各类信息安全审查和投入有望实现质的提升。基于此调高行业评级，重点关注奇安信和安恒信息，以及启明星辰、天融信、绿盟科技、山石网科、深信服。 请务必阅读正文之后的免责条款部分 全球视野 本土智慧 Page 2 评论：  滴滴事件不断发酵，网络安全审查程度空前 “滴滴”引发网络安全审查。2021年7月2日晚，国家网信办官网发布公告称，为防范国家数据安全风险，维护国家安全，按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查，首先暂停了“滴滴出行”新用户注册。7月4日晚，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。目前各应用商店已下架“滴滴出行”App。7月9日晚，同样因为“严重违法违规收集使用个人信息问题”，滴滴旗下另外25款APP也被国家网信办要求下架。在“滴滴事件”期间，美股上市不久的BOSS直聘、满帮集团也同样被启动网络安全审查；而计划赴美上市的Keep、喜马拉雅、零氪科技也纷纷暂停IPO。 数据成为最重要生产要素之一，网络安全审查严格程度空前。在“十四五”规划纲要草案中，首次将“数据”作为“生产要素”写入其中。草案明确要建立健全数据要素市场，加快完善“数据生产要素市场化”配套法律制度。因此，当前对数据安全重视程度空前，尤其对于我国关键基础设施运营者，和其数据的跨境，因此《网络安全审查办法》成为重要抓手。根据官方报道，“滴滴”存在“严重违法违规收集使用个人信息问题”，而其在美国迅速上市，涉及了“国家安全”问题。该事件引发了广泛的社会影响，有望成为我国网络安全审查和建设的重要转折点，未来对各类IT系统的网络、数据等各类信息安全审查和投入有望实现质的提升。 表1：滴滴事件梳理 时间 事项 涉及公司 7月2日 网信办宣布对“滴滴出行”App实施网络安全审查，称“为配合网络安全审查工作，防范风险扩大，审查期间‘滴滴出行’停止新用户注册”。 滴滴 7月4日 网信办要求各应用商店下架“滴滴出行”App，通报，称“滴滴出行”App“存在严重违法违规收集使用个人信息问题”。 滴滴 7月5日 网信办宣布对在线招聘公司BOSS直聘、两家货运调度平台运满满和货车帮实施审查，审查期间以上平台停止新用户注册。注：运满满和货车帮于2017年合并为满帮集团（Full Truck Alliance）。 BOSS直聘、运满满、货车帮 7月7日 微信、支付宝无法搜索“滴滴出行”小程序，“滴滴出行”也从微信支付出行服务栏内消失。 滴滴、微信、支付宝 7月8日 健身软件Keep、播客平台喜马拉雅、阿里系医疗数据公司零氪科技（LinkDoc Technology）等取消赴美IPO计划 Keep、喜马拉雅、零氪科技 7月9日 网信办要求各网站、平台下架“滴滴企业版”等25款App，称25款App存在“严重违法违规”，各网站、平台均不得为这25款App提供访问与下载服务。 滴滴 资料来源: 新浪财经，国信证券经济研究所整理 2021年上半年移动app整治同样密集。2019年关于app治理方面的政策不断出台，2021年开始进入密集整治期。根据工业和信息化部数据，截至6月21日，APP侵害用户权益专项整治行动共检查117万款APP，对4002款违规APP提出了整改要求，公开通报1248款整改不到位的APP，组织下架329款拒不整改的APP。包括滴滴在内，多数被整改的知名app应用，问题均是出在违规收集个人信息上。因此，各类《网络安全审查办法》、《数据安全法》、《个人信息保护法》等政策陆续落地，不断推动全社会信息安全建设。 表2：APP治理事件梳理 时间 事项 2019年1月25日 中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理 2019年5月27日 百款常用App申请收集使用个人信息权限情况公布 2019年12月30日 中央网信办、工信部、公安部、市场监管总局四部门联合印发《App违法违规收集使用个人信息行为认定方法》，《方法》提出，征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。 2021年3月22日 国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》， 2021年5月1日 关于输入法等33款App违法违规收集使用个人信息情况的通报 2021年5月15日 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报 2021年5月21日 关于抖音等105款App违法违规收集使用个人信息情况的通报 2021年6月11日 国家网信办通报Keep等129款App违法违规收集使用个人信息的情况 资料来源: 国信证券经济研究所整理 mRnRpNzRuM7NdNaQnPrRpNrQkPrRpQfQrQmP8OmMzRwMpMqQwMrQsN 请务必阅读正文之后的免责条款部分 全球视野 本土智慧 Page 3  《网络安全审查办法》征求意见再升级，网安政策密集出台 “滴滴”触发的《网络安全审查办法》，关键基础设施是重点。《网络安全审查办法》由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等12个部门联合发布，已于2020年6月1日正式实施。该《办法》重点强调了“关键信息基础设施”的保护，主要依据《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。简单来说，就是“关键单位”采购IT产品时，必须符合“安全审核”。当前主要涉及电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等关键行业。显然，“滴滴”作为交通行业重要运营者，也需要网络安全审查。 《网络安全审查办法》于7月10日征求意见，监管要求再升级。以滴滴为代表的互联网公司，在境外上市较多。本次《网络安全审查办法（修订草案征求意见稿）》强调，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。“滴滴事件”后，该法律迅速升级，进一步扩大的覆盖范围。 表3：《网络安全审查办法》主要内容 内容 说明 目的 关键信息基础设施供应链安全 维护国家网络安全 适用范围 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的 网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容器存储设备、大型数据库和应用软件、网络安全设备、云计算服务等 主管机构 网络安全审查办公室；具体工作委托中国网络安全审查技术与认证中心承担 设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查 运营者事先预判 应当预判该产品投入使用后可能带来的国家安全风险 如有影响，则需申报审查 获取供应商合同承诺 运营者应通过采购文件、协议等要求产品和服务提供者配合网络审查 包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等 资料来源:《网络安全审查办法》，国信证券经济研究所整理 网安法律密集出台，数据安全法将于2021年9月1日正式实施。《数据安全法》是数据领域的基础性法律，已于2021年6月10日表决通过，将于2021年9月1日起正式施行。《数据安全法》将建立数据分类分级保护制度，要求各个行业明确自身的监管职责。同时，对数据“跨境流动”提出明确监管要求，规定了数据安全审查、数据出口管制、重要数据出境管理、对等反制措施等。另一方面，政府也会进一步完善政务数据的公开和共享机制。当前我国对“数据”的保护显著提升，可以预期《个人信息安全保护法》、《关键信息基础设施安全保护条例》等正式文件也会陆续出台。 表4：网络安全政策密集出台 日期 相关部门 名称 要点 2020.04.27 网信办、发改委、工信部、公安部、国安部等12个部门 《网络安全审查办法》 关键信息基础设施运营