《个人信息保护法》落地，参考2018年GDPR影响路径，国内千亿数据安全产业腾飞在即。借鉴以《通用数据保护条例》（GDPR）为代表的国外个人信息保护立法，我国《个人信息保护法》赋予个人的权利种类、框架基本一致。通过原则性条款明确了个人对其个人信息的处理享有知情权、决定权，以及有权限制或者拒绝他人对其个人信息进行处理，中国《个人信息保护法》采取了类似于GDPR的综合立法模式，而加州隐私法（CCPA&CPRA）是在消费者保护领域的个人信息保护专门立法。与GDPR相比，国内立法在扩展域外适用方面，具有更大的谦抑性。

GDPR的颁布标志着欧盟对个人信息的保护及监管达到了空前高度，处罚力度堪称史上最严格的数据保护法案。亚马逊因违反GDPR，被处以7.46亿欧元（8.88亿美元）罚款，创下了欧盟有史以来的最高记录，此前的2017、2018、2019年，欧盟曾先后以滥用数据方面权力、滥用Android方面权力、滥用广告方面权力对谷歌分别处以27亿、50亿及17亿美元的罚款，累计罚超90亿美元。本文系统梳理GDPR内容，探讨国内可参考的演变路径：1）GDPR处理个人数据的基本原则；2）可能对四类企业产生较大影响；3）关于执法处罚的规定及案例，最高罚金为上一个财年其全球全年营收的4%，4）国内“数据过度采集”、“数据滥用”严重，随《数据安全法》、《个人信息保护法》落地，情形严重的5%营收上限处罚，将迅速催化数据安全需求。

与加州隐私保护法（CCPA&CPRA）相比，《个人信息保护法》监管高度更高、范围更广，数据安全需求释放更明确。1）适用范围上，组织、个人在中华人民共和国境内处理自然人个人信息的活动应当适用中国《个人信息保护法》（信息处理活动发生地）；2）另一方面，在境外处理中华人民共和国境内自然人个人信息，以下情况同样适用：以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形；3）加州隐私保护法（CCPA&CPRA）的地域适用范围以商业活动发生地作为主要判断标准，适用地理范围及场景更窄。

除互联网厂商外，国内金融、能源、医疗等关保行业数据安全潜在空间巨大。企业侧数据安全需求巨大、有望爆发：1）金融数据天然具有商业价值，需加强监管。通过分析金融交易相关“敏感个人信息”总结、归纳、演绎后得到的“衍生个人信息”，对于风控及业务价值巨大；2）随实体医院将诊疗活动延伸至互联网端，数据流通成业务刚需，关乎患者隐私、种类繁多的医疗数据也迫切需求安全监管；3）以自动驾驶为代表的AI技术日益普及，汽车数据处理量级及能力日益增强，汽车数据依法合理有效利用同时维护了国家安全利益与个人合法权益。

监管政策加码与大数据加速应用驱动数据安全发展，短期百亿市场以技术服务收入为主，长期SAAS运营收入有望达千亿。近期《数据安全法》、《关保条例》、《个人信息保护法》等法律法规密集发布并实施，仅从数据安全的组成部分隐私计算来看，据Gartner预测，2023年，全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规，2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。随《数据安全法》等落地、数据交易市场快速发展，KPMG预计2023年国内数据安全技术服务有望达百亿，随IT架构走向云化，长期将撬动千亿级的数据安全SaaS运营收入。

竞争格局：典型的数据安全应用场景通常包含三类参与方，互联网作为数据使用方，相关部门作为监管方，具备良好政治素养、技术储备的第三方企业提供技术服务。以隐私计算场景为例：（1）数据的使用方，需考虑业务特征与支付能力，互联网厂商合规需求迫切，未来数据“最小化采集、避免滥用”，此外如联合建模下的银行业、医疗机构；（2）作为数据的提供方，做到原始数据不出本地，将加密后的信息发送至中间方；（3）数据计算技术服务商，为客户搭建计算系统，包括在业务方、数据方以及可信第三方部署服务节点。考虑国内实际，极可能是由监管单位监管，相关技术储备的第三方企业提供技术服务及运营。

产业机遇：1）卫士通将成数据安全市场（涵盖采集、存储、流通、计算及应用等）最核心标的，理想状态下2023年/2025年潜在市值或达1499、3024亿元。基本加密业务信创在手订单充裕，安全芯片等产品军工需求高景气，且成本有望在研究所和上市公司再平衡，净利率预计将显著改善，《数据安全法》、《个人信息保护法》落地催化数据安全需求爆发，参考OneTrust估值，数据安全部分2025年潜在市值或达2508亿元；2）奇安信前瞻布局的隐私卫士等产品有望核心受益，对应用行为和隐私政策采用可扩展的插件方式进行检测，包括隐私政策完整性检测、与应用行为的实质符合检测、非必要信息收集检测、数据出境等；3）安恒信息已发布完备数据安全解决方案，包含“CAPE”数据全生命周期防护体系、数据安全咨询服务体系、AiLand数据安全岛、AiTrust零信任解决方案、AiDSC数据安全管控平台、EDR与数据勒索防护等六大产品服务，在浙江省大数据交易中心已有应用。4）天融信数据安全解决方案以数据为核心，贯穿数据梳理、体系设计、问题解决到智能管控，为企业建立与业务相适应的统一安全服务平台进行统一化管理，实现数据全生命周期安全管控，凭借优质客户基础与技术储备受益。

隐私安全：卫士通、安恒信息、奇安信。

网络安全：奇安信、卫士通、安恒信息、深信服、天融信、启明星辰、绿盟科技。