中國的安全行業似乎從未像如今一樣攀上風口浪尖。

不久前，《數據安全法》、《關鍵信息基礎設施安全保護條例》和《個人信息保護法》接踵而至。其中，《數據安全法》和《關鍵信息基礎設施安全保護條例》在9月1日起正式施行，《個人信息保護法》緊隨其后，將在11月1日起正式施行。

消息一出，有人歡喜有人憂。尤其，過去基于利用個人隱私數據而生存的企業，將會迎來史無前例的嚴格監管。而對包括數據安全在內的整個安全行業而言，監管的爆發成為了直接的利好。

其實，在近期闖入"主流"視野之前，國內的安全行業已經擁有30年左右歷史，誕生約30家上市公司，更有上千家早期安全公司分散在各個細分賽道。

時代語境之下，游戲規則突如其來改變，這上千玩家的走向也成為值得討論的新話題。
政策利好，前所未有

“情理之中，意料之外”。這是不少安全從業者們對這波政策動作的感受。

原因很簡單。過去很久，合規一直是安全行業的重要驅動力。從2007年等保1.0的出現，到2016年《網絡安全法》的施行，再到2019年底實施的等保2.0，市場的發展離不開政策對客戶提出的強制性要求。

而如今引起多方關注的《數據安全法》、《關鍵信息基礎設施安全保護條例》以及《個人信息保護法》，對整個行業而言期盼已久。以《數據安全法》為例，其從2018年10月開啟起草工作開始，再到公開征求意見乃至施行，總共歷經約三年時間。所以，在政策正式落定之前，不少從業者已經擁有了對此類法律法規的基礎認知。靴子何時落地，只是時間問題。

不過，即便早有預期，如今這輪政策的出臺仍然體現出不少差異性特征。

首先是密集程度。過往來看，國內安全行業雖時有相關政策推出，但在如此短時間內同時出臺多項重磅政策，還是第一次。尤其在今年8月中下旬，《關鍵信息基礎設施安全保護條例》、《個人信息保護法》在一周內密集出臺，讓不少業內人士也直呼意外。

另外，本輪政策影響廣泛。首先《關鍵信息基礎設施安全保護條例》關乎國計民生，而《數據安全法》、《個人信息保護法》不僅在相關領域具備指導效力，也與如今的隱私保護趨勢息息相關。

尤其是《個人信息保護法》。作為與歐盟GDPR、美國CCPA相似的法律，它引起了海內外的廣泛關注。而其中對"公共場所安裝圖像采集、個人身份識別設備"收集信息的使用限制，以及對"個人信息處理者利用個人信息進行自動化決策"的要求，也被視作規范不少互聯網平臺型公司業務的利器。

可以想見，在發布頻率如此密集、影響如此廣泛的政策"轟炸"下，安全這件事也將從過去不少企業的眼中"奢侈品"，轉變為"必需品"。

這一趨勢的來臨，勢必將提升眾多安全廠商的地位，也在某種程度上意味著市場空間的擴大。
行業天花板增高，但既有格局不會劇變

長期以來，"市場規模"并不是一個讓安全行業引以為傲的話題。

雖然統計口徑不同，如今相較保守的市場規模數據約在700億元左右。天花板破千億，一直是整個行業翹首以待的里程碑——至少在今年之前，不少人預測這一時點仍需3年左右才會到來。

而如今這輪政策的出現，大概率將提升安全行業整體正式邁向千億市場的速度。

一個常識是，安全行業的重點客戶主要集中在大型的國企、央企中，大多覆蓋金融、能源、運營商等領域。而如今《關鍵信息基礎設施安全保護條例》、《數據安全法》和《個人信息保護法》的出現，一方面促使更多傳統概念中的大客戶更加重視安全，另一方面也為行業納入了新的盤子。

首先，《關鍵信息基礎設施安全保護條例》對運營者的責任義務做了規定，同時也提出"運營者應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入"。在一些行業人士看來，這將提升相關客戶擴大預算的可能性。并且，一些暫未設立獨立安全部門的客戶大概率也將設立專門部門、配備專門資金。

另外，在《數據安全法》和《個人信息保護法》的要求下，過去依賴算法和大數據的企業，勢必將進一步重視安全問題。這意味著不少處于AI、電商、內容等領域的公司，將成為強監管對象。

當固有和新進客戶同時重視安全，在目之所及的未來，市場空間的增長也是必然。

但需要另外提及的是，當前一些關鍵信息基礎設施概念中的客戶，已經在合規要求以及業務需求的作用下建立了較為獨立的安全部門和預算。此次規定的出臺對這類客戶而言，是將過去的"自發行為”上升到"必備要求"，而非從零開始搭建。另外，不少大型互聯網平臺公司（如電商、游戲類企業）由于業務特點，也早已建立起自身的安全團隊。

這些現狀說明，本輪政策對廠商的促進作用將在此前安全建設的基礎上體現。

另外，也正由于發展歷史較久，安全行業已經初步體現出馬太效應。尤其在成熟期公司和初創公司之間，初創公司往往在單個細分領域具備一定技術/產品特點，但談及維護客情的能力、各種資質的完善程度，以及公司整體的聲望口碑，仍是成熟期公司略勝一籌。

這也意味著，如今的政策利好會強化一部分既有行業格局。尤其在一些非新興技術主導的細分領域中，"強者恒強"的局面可能將持續下去。
最新的機會點：數據合規交易

對初創公司而言，好的方面是安全行業細分賽道眾多，總有些格局未定之地。尤其在《數據安全法》、《個人信息保護法》的雙重引導下，數據安全公司將成最直接的受益者。

如果從效果端粗略分類，數據安全可大致劃為數據傳輸時的安全、數據存儲時的安全，以及數據使用時的安全等幾個方面。數據存儲時的安全和數據庫安全、容災備份等領域相關；數據傳輸時的安全，會關注數據在流通過程中的安全機制等問題；數據使用時的安全，則會關注數據的使用的方式和目的等——這個方向也會延伸，和數據交易產生些許交集。

其中，數據存儲安全這一方向發展時間較久，且已出現頭部公司，其余一些新興方向暫時格局未定。尤其，《數據安全法》中提及了規范數據交易行為、培育數據交易市場的內容，《個人信息保護法》則為保護個人隱私提供了法律支撐。在二者的交集處，處于新興市場的隱私計算公司成為了直接利好對象。

關于隱私計算，36氪曾做過多次報道，這一領域的公司希望通過密碼學、區塊鏈、聯邦學習、可信計算環境等手段，使數據在使用的各個環節中達成“可用不可見”的效果——即既發揮大數據的能力，也保護個人隱私，幫助數據合規流通、交易，當前主要應用在金融、政企等領域。

其實，在近期《數據安全法》、《個人信息保護法》落定之前，隱私計算公司早已成為創投圈重點關注的方向。

一方面，自2018年至今，已有相當數量的公司看到隱私計算的熱潮，希望進場分一杯羹，"當前提及隱私計算的公司可能已經達到上百家。"有行業觀察人士曾對36氪透露。當然，其中也包括OEM和蹭熱點的角色。

另一方面，自2020年初起，相關領域的公司不斷獲得投資——僅在近兩月，就有「沖量在線」、「富數科技」、「翼方健數」等公司宣布完成融資，另有不少企業處于融資進程中。而且在專精型創業公司之外，安全上市公司「安恒信息」、云計算上市公司 UCloud 優刻得也于近期發布或更新了相關產品。

但即使行業火熱，數據交易全流程的搭建顯然并非一日之功。這從過去一些大數據交易所的變遷可見一斑。

而對新興的隱私計算公司而言，即使此時政策利好空前，產品力的持續提升以及各行各業監管細則的完善，同樣是不得不跨越的門檻。

這也回到整個安全行業演進的本質——政策的助力不可忽視，深入的變革也仍與實際需求的爆發息息相關。而在如今整個行業受到普惠的前提下，個體廠商在創業方向、技術/產品、商務層面的綜合能力，也是更見真章的競爭砝碼。