1、1中 泰 证 券 研 究 所专 业 领 先 深 度 诚 信证券研究报告2 0 2 4.2.1 8数据安全框架报告安全产业研究框架系列之一：分析师：苏仪执业证书编号：S0740520060001Email：2 在国家政策引领、地方试点推进、企业主体创新等多方合力下，我国数据要素市场不断探索和创新，AIGC对数据的需求快速增长，共同驱动数据安全市场规模持续扩大，竞争格局多元化发展。近些年，我国数据安全法治治理体系建设取得重要进展，数据安全治理进入“标准化”法治时代，利好政策不断；多省级数据局开年密集揭牌，数据安全产业作为配套工程乘风提速；预计到2025年，我国数据安全产业规模超过1500亿元，年复

2、合增长率超过30%。当前，AIGC的海量数据需求为数据安全合规治理带来新变化、新需求。数据脱敏、身份认证与访问控制等技术常用于保护隐私信息不被泄漏，以确保数据的安全性和合规性。展望未来，数字经济推动数据价值释放、数据量激增与AIGC跨越式发展均对数据安全提出了更高的要求，我国将持续构建更加科学的数据安全合规治理制度体系，切实筑牢数据安全屏障，数据安全产业将得到进一步发展。风险提示：风险提示：AI进展不及预期带来下游需求不及预期的风险；市场竞争加剧的风险；政策落地不及预期的风险；研究报告中使用的公开资料可能存在信息滞后或更新不及时的风险等。摘要摘要OX3UYYCWTU4WOY9PcM6MoMoO

3、nPnReRoOsQlOrQyR9PnMpOMYpNtMvPpNpN3CONTENTS目录CCONTENTS专 业 领 先 深 度 诚 信专 业 领 先 深 度 诚 信中 泰 证 券 研 究 所中 泰 证 券 研 究 所1数据安全概述4 数据安全：数据安全：指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术，包括一系列的措施、策略和程序，旨在保护数据的保密性、完整性和可用性，侧重于数据的全生命周期内的安全与合规。网络安全：网络安全：一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能，侧重于计算的资源与环境，具有边界。信息安全：信息安全：强调信息本身的安全，以信息的机密性、完整性、

4、可用性（CIA）三大基本属性为保护核心，辅以信息的不可否认性（抗抵赖性）、真实性、可控性等扩展属性等保护，侧重于保护一切有价值的信息。数据资产安全：数据资产安全：数据安全3.0时代进入到体系化数据安全治理时代，数据上升到资产，基础设施层面。数据资产的安全重点转为保护具有业务价值的数据；面向数据资产的保护意味着面向企业业务的保护。关系：关系：数据安全是信息安全的核心，可将网络安全理解为手段，数据安全和信息安全理解为目标。1.1 数据数据安全安全/网络安全网络安全/信息安全信息安全/数据资产安全的定义及关系数据资产安全的定义及关系图表：网络安全和数据安全的范围资料来源：数据安全架构与治理公众号，中

5、泰证券研究所图表：数据安全基本概念框架图资料来源：与数据同行公众号，中泰证券研究所5 信息化浪潮席卷全球信息化浪潮席卷全球的背景下的背景下，全球网络安全事件频发。，全球网络安全事件频发。2023年发生的创记录的数据泄露、勒索软件、零日漏洞、间谍软件和供应链攻击事件为2024年全球网络安全威胁态势定下了主旋律和基调，同时也为网络安全专业人士制定风险管理策略和目标提供重要参考。1.1 2023年最具影响力的十大网络安全事件年最具影响力的十大网络安全事件图表：2023年最具影响力的十大网络安全事件序号序号事件性质事件性质事件事件事件概述事件概述1杀伤半径最大的供应链攻击MOVEit Transfer

6、数据盗窃攻击攻击者利用MOVEit Transfer服务器曝出的漏洞入侵并下载用户存储的数据。2技术最复杂的间谍软件攻击三角测量针对苹果iPhone设备的间谍软件活动，利用了多达四个零日漏洞。3金融业最具影响力的安全事件工商银行美国子公司被LockBit勒索软件攻击攻击导致部分系统中断，攻击者可能利用了未及时修补的Citrix Bleed漏洞。4最严重的医疗数据泄露事件23andMe数据泄露基因检测提供商23andMe遭遇撞库攻击，导致重大数据泄露。5最严重的云数据安全事故丹麦云服务商丢失所有用户数据丹麦托管服务商被勒索软件攻击加密了大部分客户数据且数据恢复不成功。6最严重的游戏业网络安全事件

7、GTA5源码泄露Lapsus$入侵了Rockstar游戏，获得了对Rockstar内部Slack服务器和Confluencewiki的访问权限，并窃取了大量机密数据。7对科技行业威胁最大的DDoS组织匿名苏丹“匿名苏丹”黑客组织的DDoS攻击瘫痪了多家全球科技巨头的网站和服务。8影响最大的在线金融服务数据泄露事件PayPal撞库攻击撞库攻击：黑客收集大量网络上已经泄露的某网站的用户名和密码去登陆另一个网站。9最严重的博彩业黑客攻击米高梅度假村网络攻击导致IT系统关闭BlackCat附属机构在事件期间对100多个ESXi虚拟机管理程序进行了加密。10影响最大的军工企业安全事件波音遭LockBit

8、勒索软件攻击LockBit在数据泄露站点发消息声称窃取了波音的大量敏感数据。资料来源：清华大学智能法治研究院公众号，中泰证券研究所6 根据根据DAMA，数据安全的原则，数据安全的原则包括包括 6个方面：个方面：协同合作：协同合作：数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。企业统筹：企业统筹：运用数据安全标准和策略时，必须保证组织的一致性。主动管理：主动管理：数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。明确责任：明确

9、责任：必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。元数据驱动：元数据驱动：数据安全分类分级是数据定义的重要组成部分。减少接触以降低风险：减少接触以降低风险：最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。图表：侧重于数据本身的安全属性时数据安全的原则（CIA数据安全三要素模型）资料来源：与数据同行公众号，中泰证券研究所1.2 数据安全的原则数据安全的原则数据安全原则数据安全原则（CIA三元组）三元组）保密性(confidentiality)完整性(Integrity)可用性(Availability)确保数据只对授权用户可见和可访问。保护数据免受未授权的修改，确保数据的

10、准确性和可靠性。确保在需要时，授权用户能够访问和使用数据。当侧重于数据本身的安全属性时当侧重于数据本身的安全属性时71.3 数据安全活动的目标数据安全活动的目标&数据安全的主要活动数据安全的主要活动 根据根据DAMA定义，数据安全活动目标主要包括三个方面定义，数据安全活动目标主要包括三个方面:支持适当访问并防止对企业数据资产的不当访问。支持对隐私、保护和保密制度、法规的遵从。确保满足利益相关方对隐私和保密的要求。数据安全的活动包括六个阶段：数据安全的活动包括六个阶段：识别数据安全需求、制定数据安全政策、定义数据安全标准、评估当前安全风险、实施数据安全控制和程序、实施数据安全审计。图表：数据安全

11、的六大主要活动资料来源：与数据同行公众号，中泰证券研究所实施数据实施数据安全控制安全控制实施数据实施数据安全审计安全审计评估当前评估当前安全风险安全风险制定数据制定数据安全政策安全政策定义数据定义数据安全标准安全标准识别数据识别数据安全需求安全需求业务需求监管需求风险评估审计报告应准备和响应审计准备审计现有安全措施实施检查和测试后续行动制定政策内容宣传和培训监控和审计评估风险和需求确定目标和范围审议和批准实施和执行访问控制安全审计政策和法规遵守维护和更新确定目标和范围数据分类和处理物理和技术保护应急响应计划评估影响和可能性识别和分类数据资产识别潜在威胁制定流程和程序测试和验证应急准备和响应控制

12、措施和程序的选择技术措施的实施培训和意识提升监控和持续评估8图表：数据安全政策的制定步骤和内容资料来源：与数据同行公众号，中泰证券研究所 识别数据安全需求：识别数据安全需求：降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。全面了解组织的业务需求是在组织内实施数据安全的第一步，组织的业务需求、使命、战略和规模以及所属行业，决定了所需数据安全的严格程度。制定数据安全政策：制定数据安全政策：数据安全政策是组织为保护其数据资产而制定的一系列正式文档，定义了组织如何管理、保护和处理数据，包括对员工的行为规范、技术控制措施、以及对违反政策行为的处理方式。1.

13、3.1 数据安全的主要活动数据安全的主要活动识别数据安全需求、制定数据安全政策识别数据安全需求、制定数据安全政策图表：数据安全需求的来源资料来源：与数据同行公众号，中泰证券研究所宣传和培训审议和批准实施和执行监控和审计评估风险和需求确定目标和范围制定政策内容了解组织面临的具体安全威胁和业务需求。明确政策的目标和适用范围，确保覆盖所有相关的数据和系统。数据分类和处理、访问控制、物理和技术安全等定期监控政策的执行情况，并进行审计以评估其有效性。将政策转化为具体的程序和控制措施，确保得到有效执行。确保所有相关员工了解政策内容，并接受必要的培训。政策草案应由相关的利益相关者审议，由高级管理层批准。9

14、定义数据安全标准：定义数据安全标准：政策指导行为准则，但未覆盖所有特殊情况。标准作为政策的补充，为如何达成政策旨趣提供了更具体的说明。评估当前安全风险：评估当前安全风险：评估数据安全风险指的是通过系统的方法识别和评价可能威胁组织数据安全的各种因素，以及这些威胁可能导致的后果，此过程包括确定数据资产、潜在的威胁、可能的漏洞及这些因素可能导致的风险水平。图表：评估当前安全风险的主要步骤资料来源：与数据同行公众号，中泰证券研究所1.3.2 数据安全的主要活动数据安全的主要活动定义数据安全标准、评估当前安全风险定义数据安全标准、评估当前安全风险识别潜在威胁识别潜在威胁评估影响和可能性评估影响和可能性采

15、用人工梳理或专门的软件扫描整个网络和系统，识别存储的数据。基于重要性和敏感性，对扫描到的数据进行分类标识，可以由人工标识，也可以采用AI自动标识。基于数据安全政策和数据安全标准对各类数据的保护要求，对照当前各类数据安全保护的现状，确定组织数据安全在技术、流程和政策上可能存在的弱点，比如通过系统漏洞扫描、web漏洞扫描、数据库漏洞扫描等举措、及时发现存在的问题。分析数据安全事件发生的可能性和其对组织造成的潜在影响。简化的数据安全风险评估表格样例：识别和分类数据资产识别和分类数据资产10 实施数据安全控制实施数据安全控制措施措施和程序：和程序：在评估了数据安全的风险后，需要将数据安全政策和数据安全

16、标准的要求转化为实际的控制措施和程序。实施数据安全审计：实施数据安全审计：数据安全审计是一种详细的检查和评估过程，旨在评价组织内的数据保护措施的有效性，确认是否符合特定的安全标准和法规要求，并确保数据安全政策得到妥善执行。此过程涉及对组织内的数据访问、处理、存储和传输控制的审查，以识别潜在的安全漏洞和不规范操作。图表：实施数据安全控制和程序、实施数据安全审计的步骤资料来源：与数据同行公众号，中泰证券研究所1.3.3 数据安全的主要活动数据安全的主要活动实施数据安全控制实施数据安全控制措施措施和程序、实施数据安全审计和程序、实施数据安全审计实施数据安全实施数据安全控制和程序控制和程序控制措施和程

17、序的选择技术措施的实施制定流程和程序培训和意识提升测试和验证监控和持续评估应急准备和响应实施数据实施数据安全审计安全审计审计准备审查现有的安全措施风险评估实施检查和测试审计报告后续行动111.4 数据全生命周期的安全防护实现数据安全治理数据全生命周期的安全防护实现数据安全治理有效有效闭环闭环 数据安全活动：宏观数据安全活动：宏观层面上对数据安全的管理和控制进行阐述，利于确保数据安全整体策略和流程的连贯性和一致性。数据安全活动的每一个步骤都可以拆分为数据采集、传输、存储、处理、交换和销毁六个方面来进行阐述。数据全生命周期安全防护：数据全生命周期安全防护：更为微观微观，其从数据本身出发，将注意力集

18、中在数据采集、传输、存储、处理、交换和销毁等各个阶段，通过关注数据在其生命周期中的每一步如何被保护，可以提供更细致、更具体的安全措施和实践，有有助于确保在数据的每一个环节都实现安全性。助于确保在数据的每一个环节都实现安全性。两种视角相互补充两种视角相互补充实现数据安全的持续改进和适应性发展。实现数据安全的持续改进和适应性发展。宏观策略为微观实施提供方向和框架，微观实施的反馈和经验可以用来优化宏观策略。图表：数据全生命周期安全防护的六个阶段及20项内容资料来源：与数据同行公众号，中泰证券研究所数据共享阶段数据共享阶段数据销毁阶段数据销毁阶段数据处理阶段数据处理阶段数据数据的的传输传输阶段阶段数据

19、存储阶段数据存储阶段数据采集阶段数据采集阶段合法性确认数据最小化数据质量保证初步匿名化处理数据加密访问控制物理安全安全的处理环境权限最小化数据脱敏实施安全日志记录数据共享协议共享前风险评估数据标记和追踪彻底删除物理介质销毁销毁证明加密传输端点安全传输过程监控121.5 数据安全的检测清单数据安全的检测清单图表：数据安全的检测清单检查项检查项检查点检查点检查类别检查类别检查项检查项检查点检查点检查类别检查类别1.组织保障组织保障a1.机构职责a11.明确数据安全管理责任部门文档检查2.制度建设制度建设投诉处理有效举报线索处置和记录文档检查a12.明确部门管理职责文档检查教育培训数据安全教育培训制

20、度访谈、文档检杏a2.岗位人员a21.人员配备访谈、文档检查数据安全教育培训周期文档检查a22.数据安全岗位职责访谈、文档检查数据安全教育培训人员文档检查2.制度建设制度建设分类分级数据分类分级策略和标准访谈、文档检查数据安全教育培训内容文档检查针对性的安全管理及技术保障策略文档检查3.技术能力技术能力数据加密数据的传输加密访谈、文档检查登陆检查安全测试安全评估数据安全评估整体要求访谈、文档检查数据存储加密访谈重点业务评估定期评估访谈、文档检查访谈、文档检查监测巡查数据安全日常监测巡查文档检查数据脱敏数据脱敏处理访谈、文档检查登陆检查登陆检查应急响应应急预案及演练访谈、文档检查操作权限管理业务

21、系统账号管理访谈、文档检查数据安全事件处置访谈、文档检查登陆检查、安全测试数据安全监督检查数据安全监督检查制度访谈、文档检查安全测试投诉处理数据安全投诉处理制度访谈、文档检查业务系统访问授权访谈、文档检查公开举报投诉渠道文档检查访谈、登陆检查资料来源：安全架构公众号，中泰证券研究所131.5 数据安全的检测清单数据安全的检测清单图表：数据安全的检测清单检查项检查项检查点检查点检查类别检查类别检查项检查项检查点检查点检查类别检查类别3.技术能力技术能力操作权限管理业务系统访问授权安全测试4.重点环节重点环节用户个人信息收集信息采集合法正当登陆检查运维支撑人员操作权限访谈、文档检查信息采集最小化原

22、则访谈登陆检查安全测试安全测试信息采集目的用途文档检查数据流动数据流动记录文档检查访谈、文档检杏人员操作日志记录重点环节日志留存管理文档检查登陆检查日志记录完整、准确登陆检查、文档检查数据使用去标识化处理登陆检查日志留存时间要求访谈访谈登陆检查访谈、登陆检查1数据备份与恢复数据备份和恢复访谈、文档检查访谈、登陆检查2安全风险监测企业内部数据安全风险监测文档检查登陆检查1数据安全事件溯源数据安全事件溯源记录登陆检查登陆检查2数据接口安全接口安全访谈、文档检查敏感数据操作权限访谈、文档检杏文档检查、安全测试安全测试安全测试三方合作合作方监督管理访谈、文档检查用户个人信息收集信息采集合法正当访谈、文

23、档检查登陆检查资料来源：安全架构公众号，中泰证券研究所14CONTENTS目录CCONTENTS专 业 领 先 深 度 诚 信专 业 领 先 深 度 诚 信中 泰 证 券 研 究 所中 泰 证 券 研 究 所2数据要素驱动打造安全合规的数据底座152.1 数据要素市场蓬勃发展，规模持续扩大数据要素市场蓬勃发展，规模持续扩大 在国家政策引领、地方试点推进、企业主体创新等多方合力下，在国家政策引领、地方试点推进、企业主体创新等多方合力下，我国数据要素流动势能不断积聚，数据基础设施不断完善，数据要素市场不断探索和创新，步入高速增长阶段。2021年我国数据要素市场规模约为815亿元，预计“十四预计“十

24、四五”期间市场规模复合增速将超过五”期间市场规模复合增速将超过25%，到，到2025年规模有望接近年规模有望接近2000亿元。亿元。产业发展方面，产业发展方面，全国数据交易机构逐步升级优化，服务模式和服务内容不断创新，各地围绕数据要素市场培育的路径和模式各具特色，数据要素市场交易机构、运营体系、保障机制初具雏形。在流通实践层面，在流通实践层面，数据资源基础较好的领域及行业基于先期优势，逐步形成细分领域数据要素市场差异化特征。图表：2022 年中国数据要素市场规模（单位：亿元）资料来源：国家工业信息安全发展研究中心，中泰证券研究所图表：2018-2025E 中国数据要素行业市场规模（单位：亿元）

25、资料来源：国家工业信息安全发展研究中心，中商产业研究院，中泰证券研究所50850450204060800180200生态保障数据服务数据分析数据交易数据加工数据存储数据采集市场规模2073755458151018.81273.41591.820000%10%20%30%40%50%60%70%80%90%05001,0001,5002,0002,5002002120222023E2024E2025E数据要素行业市场规模增速16 国家战略全方位布局数据要素发展国家战略全方位布局数据要素发展。近年来，我国高度重视数据要素及其市场化配

26、置改革，陆续出台了多项数据要素相关政策文件，数据要素已成为经济高质量发展的重要支撑。目前，我国数据要素政策体系架构已初步形成，“数据二十条”为推动数据要素发展筑牢政策基础，数据要素统筹管理、协调发展的体制机制将进一步完善。2.2.1 数据要素利好政策持续释放，数据要素利好政策持续释放，助力市场活力助力市场活力加速迸发加速迸发图表：中国数据要素政策时间时间发布机构发布机构主要政策主要政策主要内容主要内容2022.01国务院“十四五”数字经济发展规划到2025年，数据要素市场体系初步建立。数据资源体系基本建成，利用数据资源推动研发、生产、流通、服务、消费全价值链协同。数据要素市场化建设成效显现，数

27、据确权、定价、交易有序开展，探索建立与数据要素价值和贡献相适应的收入分配机制，激发市场主体创新活力。2022.04国务院中共中央国务院关于加快建设全国统一大市场的意见加快培育数据要素市场，建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范，深入开展数据资源调查，推动数据资源开发利用。2022.09国务院全国一体化政务大数据体系建设指南鼓励依法依规开展政务数据授权运营，积极推进数据资源开发利用，培育数据要素市场，营造有效供给、有序开发利用的良好生态推动构建数据基础制度体系。2022.12中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见（简称“

28、数据二十条”）本次意见提出“数据二十条”,主要包括以下几方面内容：1)建立保障权益、合规使用的数据产权制度：2)建立合规高效、场内外结合的数据要素流通和交易制度；3)建立体现效率、促进公平的数据要素收益分配制度；4)建立安全可控、弹性包容的数据要素治理制度等。2023.01工业和信息化部等十六部门关于促进数据安全产业发展的指导意见到2025年，数据安全产业基础能力和综合实力明显增强，产业规模迅速扩大。优化创新资源要素配置，促进以数据为关键要素的数字经济健康快速发展，加速数据要素市场培育和价值释放。2023.02中共中央、国务院数字中国建设整体布局规划到2025年，基本形成横向打通、纵向贯通、协

29、调有力的一体化推进格局，数字中国建设取得重要进展。数字基础设施高效联通，数据资源规模和质量加快提升，数据要素价值有效释放。2023.03中共中央、国务院党和国家机构改革方案组建国家数据局。负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。2023.08财政部企业数据资源相关会计处理暂行规定规范了企业数据资源相关会计处理，同时强化了相关会计信息披露。2024.01国家数据局等17部门“数据要素”三年行动计划（20242026年）到2026年底，数据要素应用广度和深

30、度大幅拓展，在经济发展领域数据要素乘数效应得到显现，打造300个以上示范性强、显示度高、带动性广的典型应用场景，涌现出一批成效明显的数据要素应用示范地区，数据交易规模倍增，推动数据要素价值创造的新业态成为经济增长新动力。资料来源：政府网站，中泰证券研究所17 数据要素流通是数字经济时代重要研究内容，数据要素流通标准化工作是建立统一开放、竞争有序的数据要素市场的本质内在要求。数据要素体系标准化将有效促进数据要素市场体系建设，充分发挥数据要素作用。数据要素体系标准化将有效促进数据要素市场体系建设，充分发挥数据要素作用。国家层面，国家层面，数据要素供给侧数据存储、数据共享开放、数据分类等已经发布了国

31、家标准；地方层面，地方层面，各省市积极开展数据要素流通标准研制工作，抢抓国家推动数据价值化新机遇、培育数据要素市场。图表：数据要素领域相关标准实施日期实施日期标准号标准号标准名称标准名称主要内容主要内容国国家家标标准准2024.03GB/T 35274-2023信息安全技术大数据服务安全能力要求规定了大数据服务提供者的大数据服务安全能力要求，适用于指导大数据服务提供者的大数据服务安全能力建设，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行评估。2024.03GB/T 42884-2023信息安全技术 移动互联网应用程序（App）生命周期安全管理指南立足于移动应用安全管理工作，避免

32、开发引入或管理不当造成如恶意代码攻击、应用程序漏洞、用户隐私数据泄露、数据保护不当等安全威胁，为App提供者在App开发、运营等生命周期的安全管理提供指导，同时为App分发平台管理者和移动智能终端厂商等管理App提供参考。2024.03GB/T 42888-2023信息安全技术机器学习算法安全评估规范明确了相关企业针对算法安全的技术性评估指标，并按照业务流程将安全风险归类为算法、数据和环境三个层面。2024.03GB/Z 42885-2023信息安全技术网络安全信息共享指南确立了网络安全信息共享活动要素和基本原则，描述了共享活动的范围和过程，适用于各类组织或个人间的网络安全信息共享活动，为网络

33、运营者、关键信息基础设施运营者、网络安全服务机构等相关方组织有效的网络安全信息共享提供参考。地地方方标标准准2023.12DB33/T 1329-2023数据资产确认工作指南数据资产确认工作指南本标准提供了数据资产确认的工作框架，数据资产初始确认、变更确认和终止确认的指导和建议，适用于指导组织进行数据资产确认工作。2023.05DB3301/T 0403-2023数据知识产权交易指南数据知识产权交易指南本文件提供了数据知识产权交易的基本原则、交易标的、交易相关方、交易流程、评价和改进等建议，适用于数据知识产权交易。2022.12DB3310/T 93-2022公共数据授权运营指南公共数据授权运

34、营指南描述了公共数据授权运营的基本原则、数据范围、运营流程、数据产品类型及计价方式、安全管理等内容，适用于指导公共数据授权主体和运营单位开展公共数据授权运营活动。2021.06DB15/T 21992021数据交易安全技术要求数据交易安全技术要求给出了数据资源交易参考框架,规定了数据资源交易参与方安全要求和数据资源交易过程中数据生命周期安全要求，适用于数据资源交易参与方进行安全自评估,也可供第三方测评机构对数据资源交易参与方进行安全评估时参考。2020.6DB52/T 14682019基于区块链的数据资产交易实施指南基于区块链的数据资产交易实施指南本标准规定了基于区块链的数据资产交易实施的术语

35、、定义和缩略语、基本要求、数据资产交易规范等要求。本标准适用于：为数据资产交易平台的实施提供正确的指引：a）对数据资产交易方记录；b）对数据资产交易流程记录，对数据资产交易溯源，构建区块链分布式、多方可信促进数据资产流通。资料来源：政府网站，数据要素小能手公众号，人民数据公众号，中泰证券研究所2.2.2 数据要素领域相关标准数据要素领域相关标准有效促进市场标准化体系建设有效促进市场标准化体系建设182.3 多省级数据局开年密集揭牌，数据安全产业作为配套工程乘风提速多省级数据局开年密集揭牌，数据安全产业作为配套工程乘风提速 多省份数据管理机构揭牌，呈大同小异和因地制宜的发展趋势。多省份数据管理机

36、构揭牌，呈大同小异和因地制宜的发展趋势。2023年10月25日，国家数据局正式挂牌成立，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。2024年，新一轮机构改革逐步在省级层面落地，省级数据管理机构年，新一轮机构改革逐步在省级层面落地，省级数据管理机构密集揭牌密集揭牌。截止2024年1月26日，已有14家省级数据局相继挂牌，全国各省市数据要素化市场加速推动。图表：2024年省级数据局挂牌成立情况盘点序号序号公布时间公布时间省市省市机构名称机构名称11月5日江苏江苏省数据局21月11日四 川四川省数据局31月11日内蒙古内蒙古自治区

37、政务服务与数据管理局41月14日上海上海市数据局51月15日青海青海省数据局61月15日云南云南省数据局71月15日河北河北省数据和政务服务局81月16日湖南湖南省数据局91月18日广东广东省政务服务和数据管理局101月19日天津天津市数据局111月21日福建福建省数据局121月25日湖北湖北省数据局131月25日河南河南省数据局141月26日浙江浙江省数据局资料来源：工程壹家公众号，政府网站，中泰证券研究所图表：国家数据局正式揭牌后动作汇总序号序号时间线时间线事件事件12023.10.25 国家数据局正式挂牌22023.10.31 重庆市委召开数字重庆建设推进会，国家数据局局长出席会议320

38、23.11.07国家数据局局长一行赴杭州高新区(滨江)调研“中国数谷”建设工作，听取数据要素产业实践经验与应用探索等成果汇报42023.11.10国家数据局局长出席北京数据基础制度先行区启动会议并作重要讲话，首次公开谈数据要素制度建设52023.11.23第二届全球数字贸易博览会数据要素治理与市场化论坛，国家数据局局长首次提出数据基础设施建设62023.11.25国家数据局局长在上海举行的2023全球数商大会开幕式上致辞，首次透露将研究实施“数据要素X”行动72023.12.08国家数据局局长在第二届数字政府建设峰会开幕式上致辞，首次公开发声“公共数据、数字政府”82023.12.25 国家数

39、据局和国家发展改革委发布数字经济促进共同富裕实施方案92023.12.31 国家数据局等17部门联合印发“数据要素”三年行动计划(20242026年)102024.01.07第二十五届北大光华新年论坛在北京举行，国家数据局局长出席论坛并发表主题演讲，对“数据要素”三年行动计划(2024-2026年)进行解读资料来源：中移智库公众号，政府网站，中泰证券研究所192.4 “数据要素安全流通数据要素安全流通”，加强数据安全保障，推动数据资产入表，加强数据安全保障，推动数据资产入表、数据资本化数据资本化“数据要素”三年行动计划，保障支撑章节提出优化数据流通环境、加强数据安全保障，“数据要素”三年行动计

40、划，保障支撑章节提出优化数据流通环境、加强数据安全保障，加大中央预算内投资“数据要素”试点工程，引导社会资本投向数据产业，推动数据资产入表、数据金融创新等活动。数据安全保障侧，数据安全保障侧，行动计划提出：一、建立数据安全治理体系，落实数据分类分级保护、网络安全等级保护、关基信息保护以及个人信息保护。二、发展精细化、专业化数据安全产品，开发面向中小企业的数据安全工具包，轻便化、定制化个人数据安全防护产品。三、鼓励有实力的企业提供基于云端的数据安全服务。数据流通环境侧，数据流通环境侧，行动计划提出：一、强化交易所合规管理和服务质量，标准化、高效率推动数据共享流通。二、深海隐私计算、可信数据空间、

41、区块链技术应用，建设重点行业和领域数据流通平台，促进数据合规高效流通使用。三、因地制宜建设各类数据园区，培育数商、第三方专业服务机构等流通服务主体。图表：数据要素流通总体框架资料来源：数据要素流通标准化白皮书（2022版），中泰证券研究所图表：数据安全保护对象总体视图资料来源：中国信息通信研究院，中泰证券研究所202.5.1 数据安全市场规模数据安全市场规模持续扩大，竞争格局多元化持续扩大，竞争格局多元化 数据的流动性、多样性和可复制性使数据安全风险不断放大，数据安全需求爆发，未来将推动市场规模进一步扩大。数据的流动性、多样性和可复制性使数据安全风险不断放大，数据安全需求爆发，未来将推动市场规

42、模进一步扩大。十六部门联合促进数据安全产业发展，十六部门联合促进数据安全产业发展，1500亿市场呼之欲出。亿市场呼之欲出。2023年1月，工信部等十六部门联合发布关于促进数据安全产业发展的指导意见，目标到2025年，数据安全产业规模超过1500亿元，年复合增长率超过30%。根据IDC数据，2022年中国数据安全软件软件市场规模为8.6亿美元，同比增长23%。预计到2027年，中国数据安全软件市场规模将达到22.2亿美元，年复合增长率 20.7%。数据安全市场的竞争将日益激烈，新兴安全厂商与传统数据安全市场的竞争将日益激烈，新兴安全厂商与传统 IT巨头积极布局。巨头积极布局。企业间竞争主要体现在

43、技术实力、产品线丰富度、服务质量等方面。同时，新技术、新业态的涌现也为市场带来新的竞争力量。图表：2023H1中国数据安全软件市场份额资料来源：IDC，中泰证券研究所8.40%7.00%5.60%3.50%3.10%72.50%奇安信阿里巴巴启明星辰集团安恒信息天融信其他212.5.2 各各领域数据安全需求持续升级领域数据安全需求持续升级 数据安全行业的下游客户主要为政府、电信运营商、金融、能源、军工等领域的用户。数据安全行业的下游客户主要为政府、电信运营商、金融、能源、军工等领域的用户。下游行业用户的数据安全保障需求则对本行业的发展具有较大的促进作用。突发性的、造成较大范围损害的网络威胁事件

44、往往会对下游行业的数据安全保障需求产生催化作用，促使其加大数据安全投入。政府行业政府行业建设数字政府应先构筑数据安全“堤坝”。建设数字政府应先构筑数据安全“堤坝”。政务业务需要汇集和融合的数据体量庞大，在安全方面不仅要保障数据完整性、保密性和可用性，更需要确保数据在联合使用过程中的隐私性，各省市数据安全建设脚步加快。电信行业电信行业数据安全建设全面展开。数据安全建设全面展开。数据安全管控平台类项目建设已全面展开；数据安全评估进入正常轨道，多数运营商公司每年都会购买数据安全评估服务；数据泄漏在数据时代的背景下显得尤为突出，采购增速较高。医疗卫生行业对数据安全的关注度空间提升，越来越多的医疗单位会

45、实施系统性数据安全保护方案。图表：数据安全产业链示意图资料来源：南方财富网，中泰证券研究所图表：广东联通数据安全体系框架资料来源：广东联通，中泰证券研究所22CONTENTS目录CCONTENTS专 业 领 先 深 度 诚 信专 业 领 先 深 度 诚 信中 泰 证 券 研 究 所中 泰 证 券 研 究 所3AIGC驱动数据安全防线构筑233.1 AIGC：引领下一代引领下一代技术风口技术风口与产业与产业趋势趋势，产业产业规模展望庞大规模展望庞大 2023年，以年，以ChatGPT等为代表的等为代表的AIGC技术应用火遍全球，由大模型驱动的技术应用火遍全球，由大模型驱动的AIGC时代正式开启。

46、时代正式开启。在政策推动与技术应用落地等多方位因素驱动下，我国在政策推动与技术应用落地等多方位因素驱动下，我国AIGC行业正迎来新的风口。行业正迎来新的风口。当前，新一轮科技变革正向着纵深演进，AIGC及AI大模型为各行业各领域带来了创新机遇。2024年是AI产业年，越来越多的创新应用场景和产品形态将不断涌现。AIGC未来产业未来产业规模展望庞大规模展望庞大。预计2027年，中国AIGC产业规模将达到4759亿元，逐步建立完善模型即服务产业生态，2030年中国AIGC产业规模有望突破万亿元，达到11441亿元。图表：2024年AIGC应用层十大趋势资料来源：中国科学报公众号，中泰证券研究所图表

47、：2022-2027E中国AIGC产业规模资料来源：艾瑞咨询，中泰证券研究所2559347590%50%100%150%200%250%300%350%400%450%500%05001,0001,5002,0002,5003,0003,5004,0004,5005,00020222023E2024E2025E2026E2027E中国AIGC产业规模（亿元）增速243.2 AIGC对数据的使用量前所未有对数据的使用量前所未有，驱动数据要素市场需求爆发，驱动数据要素市场需求爆发 全球数据总量和算力规模高速增长全球数据总量和算力规模高速增长。据IDC数据显示，2022年全球数

48、据圈数据量规模达到103.66ZB，中国数据量规模将从2022的23.88ZB增长至2027年的76.6ZB，CAGR达到26.3%，增速有望位列全球第一。大模型技术取得的突破离不开高质量数据的发展。大模型技术取得的突破离不开高质量数据的发展。数据已成为未来人工智能竞争的关键要素，人工智能正在从“以模型为中心”加速向“以数据为中心”转变。人工智能发展驱动数据要素市场需求爆发。人工智能发展驱动数据要素市场需求爆发。伴随着大模型时代的到来，大模型训练使用的数据集规模持续增长，更加需要大规模、高质量、多样化的数据集提升模型效果和泛化能力。如2018年GPT-1数据集约4.6GB，2020年GPT-3

49、数据集达到了753GB，而2021年Gopher数据集已达10550GB，2023年GPT-4的数据量更是GPT-3的数十倍以上。图表：全球数据量规模（单位：ZB）资料来源：IDC Global DataSphere 2023，中泰证券研究所图表：人工智能发展对数据要素供给提出更高要求资料来源：中国信息通信研究院，中泰证券研究所23.8830.023847.8960.8176.628.0534.5542.1852.4164.1379.5451.7361.7573.3487.73105.33128.20025030020222023E2024E2025E2026E2027E

50、中国北美全球其他地区253.3 生成式大模型生成式大模型面临的面临的数据安全数据安全合规合规风险风险 大模型的训练及其应用的落地需要大量的数据作为支撑，由此带来的个人隐私泄露和数据篡改等数据安全风险已成为大模型的训练及其应用的落地需要大量的数据作为支撑，由此带来的个人隐私泄露和数据篡改等数据安全风险已成为法律所必须因应的重要议题。法律所必须因应的重要议题。针对不同阶段涉及的数据处理行为，大模型的动态数据安全风险存在差异。训练数据的采集阶段：训练数据的采集阶段：大模型的搭建依托于海量的训练数据，由于训练数据的来源属性具有多元性，所可能引发的数据安全风险也是多重而非单一的。如难以保障模型开发者对每

51、个训练信息主体都完全符合知情同意的具体要求。在模型的训练与调整阶段，在模型的训练与调整阶段，如无法保障模型内存储数据免遭黑客攻击或内部工作人员非法披露导致数据泄露风险。大模型在全球范围内收集和使用用户的个人数据面临极大的合规风险。大模型在全球范围内收集和使用用户的个人数据面临极大的合规风险。如国内的ChatGPT用户出于数据分析或信息统计等目的，将其收集的一定规模的个人数据的传输至OpenAI的境外数据处理中心，就很可能构成事实上的数据出境行为，如果未经审批许可将导致极大的合规隐患。图表：AIGC风险图谱资料来源：数据安全治理白皮书 5.0，中泰证券研究所图表：AIGC生命周期各阶段的数据处理

52、活动及其风险因素生命周期生命周期模型训练阶段模型训练阶段应用运行阶段应用运行阶段模型优化阶段模型优化阶段主要活动主要活动立项设计，数据采集数据清洗，数据标注模型训练，模型验证2C：开发者直接向使用者提供服务2B/2B-2C：由服务提供者集成开发者技术以向使用者提供服务利用应用运行阶段采集的数据开展模型优化数据合规数据合规核心风险核心风险要素要素隐私性与合法性数据质量可靠性与稳健性隐私性与合法性透明性与可解释性准确性与公平性应用风险信息内容监管信息安全隐私性与合法性资料来源：中伦视界公众号，中泰证券研究所26图表：数据安全技术体系框架图资料来源：数据安全治理白皮书 5.0，中泰证券研究所3.4

53、AIGC所涉及的数据合规使用所涉及的数据合规使用 数据合规：数据合规：企业、组织或个人在数据生产全环节和数据管理各版块的行为符合法律法规、行政规章、标准规范、行业准则、内部制度、合同协议、操守规范等要求。大模型的训练和运行需要海量数据的支撑，庞大的数据基础极有可能引发数据安全风险，故故采取切实可行的措施是保采取切实可行的措施是保护数据流通和隐私安全的关键所在，护数据流通和隐私安全的关键所在，同时也需深度挖掘这些数据的潜在价值。数据脱敏、身份认证与访问控制、数据加密等技术常用于直接或间接地保护隐私信息不被泄漏。数据脱敏、身份认证与访问控制、数据加密等技术常用于直接或间接地保护隐私信息不被泄漏。如

54、数据脱敏通常用于公共数据开放等数据流通环节，数据脱敏技术可以以直接的方式隐去敏感信息，具有效率高、计算成本低的优势。图表：数据安全管理制度体系内容资料来源：数据安全治理白皮书 5.0，中泰证券研究所27图表：业务系统前台场景下动态数据脱敏资料来源：光明网，中泰证券研究所图表：数据静态脱敏框架示意图资料来源：数据安全治理白皮书 5.0，中泰证券研究所3.4.1 数据数据有效脱敏有效脱敏切实切实满足数据使用需求和合规监管要求满足数据使用需求和合规监管要求 数字化转型和数据安全合规的双重背景下，数据脱敏作为数据安全保障措施之一，普遍应用在数据使用的过程中。数字化转型和数据安全合规的双重背景下，数据脱

55、敏作为数据安全保障措施之一，普遍应用在数据使用的过程中。数据脱敏数据脱敏是一种保护敏感信息的技术手段，指对敏感数据通过变形、转换等手段降低数据的敏感程度，从而在数据全生命周期各阶段实现保护敏感数据的目的，从使用场景上分为数据静态脱敏和数据动态脱敏。数据静态脱敏数据静态脱敏一般用在非生产环境非生产环境，将敏感数据从生产环境抽取并脱敏后用于培训、分析、测试、开发等非生产环境。数据动态脱敏数据动态脱敏一般用在生产环境中生产环境中，将敏感数据实时进行脱敏后用于应用访问等生产环境。在使用在使用 LLM 大模型服务时，数据脱敏对于保护个人隐私和企业信息安全具有重要意义。大模型服务时，数据脱敏对于保护个人隐

56、私和企业信息安全具有重要意义。如果未对敏感数据进行脱敏处理，LLM 大模型可能在无意识中泄露用户的敏感信息，如模型可能会记住并泄露曾在训练集中出现过的敏感数据。28 身份认证：计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、身份认证：计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。合法和唯一的过程。常用网络身份认证方式：常用网络身份认证方式：静态密码方式、动态口令认证、USB Key认证、生物识别技术、CA认证系统。统一身份认证系统（统一身份认证系统（IAM）：）：统一身份认证系统是一套全

57、面地建立和维护数字身份，并提供有效地、安全地进行IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权、访问控制和身份数据集中管理与审计。IAM建设意义：帮助组织进行应用系统的统一管理，提高数据资产的可管理性，为实施进一步安全保护措施提供支撑。图表：身份认证的过程根据身份认证方法的不同分类：资料来源：网络安全知识小课堂公众号，中泰证券研究所3.4.2 身份认证身份认证防护网络资产的第一道关口防护网络资产的第一道关口图表：统一身份认证系统技术体系框架资料来源：中国信息通信研究院，中泰证券研究所身份认证身份认证的过程的过程基于信息秘密的身份认证利用数字签名的方法实现身份认证基于

58、物理安全性的身份认证基于行为特征的身份认证身份认证方法的不同293.4.3 访问控制访问控制网络安全防范和资源保护的关键策略之一网络安全防范和资源保护的关键策略之一 访问控制：访问控制：通过某种途径显式地准许或限制访问能力及范围的一种方法，其建立在身份认证的基础之上。通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证网络资源受控地、合法地使用，是针对越权使用资源的防御措施。主要目的：主要目的：限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。两个任务：两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访

59、问。三个要素：三个要素：主体、客体和控制策略。图表：访问控制过程资料来源：大话安全公众号，中泰证券研究所图表：业务访问控制流程资料来源：信息安全与通信保密杂志社公众号，中泰证券研究所30CONTENTS目录CCONTENTS专 业 领 先 深 度 诚 信专 业 领 先 深 度 诚 信中 泰 证 券 研 究 所中 泰 证 券 研 究 所4投资建议与风险提示31 随着随着数字经济持续推动数据价值释放、海量数据处理需求激增和数字经济持续推动数据价值释放、海量数据处理需求激增和AIGC跨越式发展跨越式发展，长期而言数据安全产业的发展空，长期而言数据安全产业的发展空间仍然十分间仍然十分广阔。广阔。当前时

60、点，我们持续看好数据安全产业投资机遇，建议投资人持续关注，具体包括但不限于以下标的：数据安全数据安全：启明星辰、亚信安全、安恒信息、三未信安、深信服、奇安信、天融信、迪普科技、安博通、麒麟信安、中孚信息、绿盟科技、永信至诚。投资建议投资建议32 AI进展不及预期带来下游需求不及预期的风险。进展不及预期带来下游需求不及预期的风险。市场竞争加剧的风险。市场竞争加剧的风险。研究报告中使用的公开资料可能存在信息滞后或更新不及时的风险。研究报告中使用的公开资料可能存在信息滞后或更新不及时的风险。政策落地不及预期的风险。政策落地不及预期的风险。风险提示风险提示33重要声明重要声明 中泰证券股份有限公司（以

61、下简称“本公司”）具有中国证券监督管理委员会许可的证券投资咨询业务资格。中泰证券股份有限公司（以下简称“本公司”）具有中国证券监督管理委员会许可的证券投资咨询业务资格。本公司不会因接收人收到本报告而视其为客户。本公司不会因接收人收到本报告而视其为客户。本报告基于本公司及其研究人员认为可信的公开资料或实地调研资料，反映了作者的研究观点，力求独立、客观和公正，结论不受任何第三方的授意或影响。本公司力求但不保证这些信息的准确性和完整性，且本报告中的资料、意见、预测均反映报告初次公开发布时的判断，可能会随时调整。本公司对本报告所含信息可在不发出通知的情形下做出修改，投资者应当自行关注相应的更新或修改。

62、本报告所载的资料、工具、意见、信息及推测只提供给客户作参考之用，不构成任何投资、法律、会计或税务的最终操作建议，本公司不就报告中的内容对最终操作建议做出任何担保。本报告中所指的投资及服务可能不适合个别客户，不构成客户私人咨询建议。市场有风险，投资需谨慎。在任何情况下，本公司不对任何人因使用本报告中的任何内容所引致的任何损失负任何责任。投资者应注意，在法律允许的情况下，本公司及其本公司的关联机构可能会持有报告中涉及的公司所发行的证券并进行交易，并可能为这些公司正在提供或争取提供投资银行、财务顾问和金融产品等各种金融服务。本公司及其本公司的关联机构或个人可能在本报告公开发布之前已经使用或了解其中的信息。本报告版权归“中泰证券股份有限公司”所有。事先未经本公司书面授权，任何机构和个人，不得对本报告进行任何形式的翻版、发布、复制、转载、刊登、篡改，且不得对本报告进行有悖原意的删节或修改。