理工酷

2021年07月11日发布

事项：

7月10日，国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》（简称《修订稿》，下同）。《网络安全审查办法》是为了确保关键信息基础设施供应链安全，维护国家安全，由国家网信办、国家发改委等12部门联合制定，该办法于2020年6月1日开始实施。此次修订是办法发布以来的首次修订。

平安观点:

《修订稿》新增了《数据安全法》作为办法制定依据，审查对象范围扩大到“数据处理者”： 由于 2020 年《网络安全审查办法》发布时，《数据安全法》仍然在审， 因此数据处理以及相关运营商的审查并没有纳入其中。 2021 年 6 月 10 日，《数据安全法》获得人大常委会通过， 9 月 1 日正式实施。根据当前网络安全治理形势的变化以及国家法制建设要求，在最新发布的《修订稿》中，就充分体现了《数据安全法》 24 条的要求，即“ 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。此前的“滴滴出行”、“ BOSS 直聘”等受到审查，市场一般解读为上述企业已经被认定为“关键基础设施运营商”，其经营过程中存在供应链安全和国家安全风险。新的审查办法出台之后，审查的边界明显扩大， 不但涵盖了“ 关键基础设施运营商”，还明确指出包括“数据处理者”，滴滴出行等就是典型的数据处理者角色。 同时，《修订稿》在审查对象的调整中，还新增了非常有现实意义的一条，即“掌握超过 100 万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。 同时，为了适应审查对象的变化，原有的审查机制成员中，新增了证监会。

《修订稿》 进一步压实海外上市运营者的数据安全主体责任，并做到“全程监管”： 最近，滴滴出行、运满满、货车帮和 BOSS 直聘均被实施了网络安全审查，体现了国家对数据安全尤其是出境数据安全的重视程度空前提升。《修订稿》在网络安全审查的重点要素中，新加了两条，分别是：核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。 在《修订稿》之前， 中办、国办也在日前发布了《关于依法从严打击证券违法活动的意见》（简称《意见》，下同），该《意见》明确指出，一要完善数据安全、跨境数据流动、涉密信息管理等相关法律法规；二是抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定；三是要加强跨境信息提供机制与流程的规范管理。由于产业政策限制或者难以满足境内上市门槛要求，很多互联网平台公司通过 VIE 架构赴海外上市。但是，互联网企业选择海外上市时，我国针对信息安全的监管更多的是“事后监管和补救”。 但这种不利局面正在改观，政策和法规的修订将逐步堵住监管不力的漏洞。 可以预见，未来赴海外上市平台的信息安全全流程监管将明显加强，相关海外上市平台的信息安全主体责任将进一步压实。

投资建议： 从近期主管部门针对平台企业一系列的监管动作来看，政府已经将国家“数据主权”和个人的信息安全保护都已经提升到非常高的位置。尤其是《网络安全审查办法》的修订，将有效消除我国在平台运营商在数据处理、境外数据流动监管方面的薄弱地带。对于整个网络安全行业来说，随着监管合规的趋严， 关键基础设施和数据处理运营者将更加重视采购的网络产品和服务的安全性，网络安全相关投入将进一步增加。强烈推荐启明星辰，推荐深信服、安恒信息和绿盟科技，建议关注奇安信。

风险提示： 1）竞争加剧的风险。随着数据安全等新安全市场的发展，不同背景的安全厂商同台竞争的可能性增大，比如互联网、传统 ICT 企业等，技术、品牌、人才和资金等方面的竞争加剧，行业总体和企业毛利率都存在下降的风险。 2）技术风险加剧。数据安全作为新的安全领域，防护能力建设需要的是持续的研发投入，我国企业在新安全领域的研发同国际巨头还存在较大的差距，研发方向选择失误或者研发进度不及预期，都可能对企业短期业绩和长期发展带来不利影响。 3）客户安全支出不及预期。行业客户多采用预算制进行产品和服务采购，宏观经济环境如出现不景气可能影响部分行业客户的 IT 投资预算。 2021 年以来，其他国家新冠疫情仍在蔓延，中美经贸关系也存在较大不确定性，国内经济增长仍面临较大压力，政企客户信息安全投入可能被迫下调或者推迟。