2022全球数据合规与隐私科技发展报告

版权声明 COPYRIGHTSTATEMENT 本报告版权属于出品方所有，并受法律保护。转载、摘编或利用其他方式使用报告文字或者观点的，应注明来源。违反上述声明者，本单位将追究其相关法律责任。 出品方 安永（中国）企业咨询有限公司上海赛博网络安全产业创新研究院 编写组成员 高轶峰惠志斌王瑾周雪静蒋采玲王龙飞吴梦庭李顾元孙思瑄 安永（中国）企业咨询有限公司大中华区网络安全和隐私保护服务主管合伙人上海赛博网络安全产业创新研究院院长，首席研究员 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务高级经理上海赛博网络安全产业创新研究院高级研究员 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务经理上海数据安全协同创新实验室秘书长 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务顾问某公司隐私合规专家 某公司隐私合规专家 全球数据合规与隐私科技发展报告 GlobalDataComplianceand PrivacyTechnologyDevelopmentReport 2022年是中国数据合规全面发展的一年，也是隐私科技进一步从概念走向落地的一年。回顾近一年的发展，安永与赛博研究院联合发布第二期年度《全球数据合规与隐私科技发展报告》。本报告全面梳理了国内外数据安全与算法应用的合规体系，对隐私科技的概念、内涵和外延进行更新，并通过对近百家头部企业的问卷调研，覆盖金融、科技、媒体与通信、消费品、生命科学、制造业等行业，客观了解企业数据合规的现状与隐私科技的需求，最后为国内外企业数据合规实践提供参考案例与创新思路，供业内参考。 主要发现 全球近100个国家和地区已制定数据保护相关法律，数据安全、算法应用有关立法进程加快,合规本地化的全球性趋势将进一步加强。 全球数据合规领域执法力度加强，截至11月30日，GDPR执法总数1216起，罚款总额超20亿欧元。企业面临合规人员招聘、安全产品及服务采购等合规成本与监管罚款等不合规支出的双重压力。 企业更加重视数据合规与隐私保护，完善数据合规与隐私保护职能和管理体系，提升数据合规与隐私保护汇报层级，加大数据合规与隐私保护的人员和资金投入。22%的企业直接向高级管理层汇报工作，82%的企业认为在过去12个月的投入满足需求。 更多企业发现隐私计算的价值并付诸实践，隐私计算在更多风险控制和数据流通等业务场景中发挥着重要作用，并在元宇宙、工业互联网与区块链等新兴科技中崭露头角。在未来十二个月，更多企业选择保持对隐私科技的投入水平，力图稳中求进。 从隐私科技产业发展来看，数据分类分级、数据流通监控、数据风险与隐私影响评估、数据与隐私综合治理是当前的热门细分赛道。后续围绕提高数据的匿名化程度，增强算法可解释性，加强落实伦理先行原则，将进一步赋能隐私科技的合规能力。 CONTENTS目录 第数据1经章济时代的安全与隐私挑战第全球2数章据安全立法及监管现状 1.1 1.2 “隐私科技”的概念界定 全球数据合规与隐私保护挑战 （1）遵守不断发展变化的法律法规 （2）高昂合规成本带来的经济压力 （3）复杂的第三方风险管理挑战 （4）数据频繁流通引发的安全威胁 022.1 032.2 032.3 032.4 04 04 数据安全立法现状与动向06 算法应用合规现状与趋势09 监管路径与发展趋势09 从算法监管看隐私科技的破局思路12 （1）提高数据的匿名化程度13 （2）增强算法规则可解释性13 （3）遵循应用伦理先行原则13 第企业3隐章私保护及隐私科技应用现状调研第产业4发章展洞察与典型实践 3.1 3.2 3.3 3.4 3.5 企业数据合规与隐私保护概况企业隐私科技应用程度 企业隐私科技投资趋势 企业对国内隐私科技市场的期望企业实施隐私科技所面临的挑战 154.1 234.2 30 32 334.3 隐私科技产业发展36 典型案例1：运营商行业数据分类分级37 （1）运营商行业数据安全痛点38 （2）运营商行业客户信息保护38 典型案例2：隐私计算应用41 第未来5展章望附录 5.1 5.2 5.3 5.4 5.5 5.6 市场：数据合规即服务衍生新的商业机会45 应用：隐私设计原则从理论到企业实践45 人才：数据合规及隐私保护人才缺口增长46 标准：技术成熟度和通用性标准亟待制定46 技术：开源驱动行业创新发展与生态建设47 产业：规模化应用构建数据智能网络生态47 常见隐私科技解决方案类型48 主流隐私计算技术49 01 全球数据合规与隐私科技发展报告 GlobalDataComplianceandPrivacyTechnologyDevelopmentReport P-A-R-T01 数据经济时代的安全与 隐私挑战 02 全球数据合规与隐私科技发展报告 GlobalDataComplianceandPrivacyTechnologyDevelopmentReport PART1 数据经济时代的安全与隐私挑战 当前，大数据正在迅速改变全球的经济面貌。在数字经济的发展过程中，企业和个人持续依赖大数据与不断更迭的数字技术，驱动数据处理活动、探索数据创新。然而，繁荣背后隐藏风险，数据的价值吸引内外部的恶意攻击与频繁掠夺，数据的流通引发个人隐私担忧与合规警惕。从漏洞攻击到数据窃取，从经济损失到合规成本，从系统安全到隐私保护，以安全与隐私为主题的风险正成为影响数字经济发展的关键因子。对此，企业正在积极采取措施，运用“数据+算法”、“隐私+合规”等技术与服务手段，制定应对安全与隐私挑战的安全战略与整体解决方案。 1.1“隐私科技”概念界定 在2021年发布的《2021全球数据合规与隐私科技发展报告》中，我们将隐私科技定义为：用于支撑隐私保护与合规的日常运营流程，且嵌入到IT架构和业务场景中的一系列技术解决方案，在保证 个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上，实现保护个人信息权益、提升数据流通、共享与开放、促进个人信息合理开发利用的目的。 图1隐私科技概念图示（2022版） 今年，基于对国内隐私科技厂商的普遍性研究， 《全球数据合规与隐私科技发展报告（2022）》对隐私科技框架进行了更新与完善，主要体现在①凸显应用场景的重要性，强调隐私科技在数据处理全生命周期中的应用，以及在金融、医疗、政务等重点行业的实践趋势；②对隐私科技解决方案与底层支撑技术进行梳理与更新。现将隐私科技定义更新 为：在日常运营流程中，通过嵌入IT架构和业务场景支撑主体数据合规和隐私保护的一系列工具、服务及技术解决方案。通过将隐私科技应用于个人信息全生命周期或各行业个人信息处理场景中，在增强保护个人信息、规范个人信息处理活动的基础上，实现保护个人信息权益，推动数据流通、共享与开放，促进个人信息合理开发利用的目的。 1.2全球数据合规与隐私保护挑战 数字世界里，合规与隐私保护作为反复出现的话题，也是企业在经营、上市、融资、发展过程中的“必经之路”。当前企业为满足数据合规与隐私保护需要，面临诸多挑战，包括满足来自监管的迫切要求，应对围绕数据处理全生命周期的外部攻击与内生安全风险。 （1）遵守不断发展变化的法律法规 随着与数据相关的法律体系的不断完善，企业面临的首要挑战是来自国际监管环境的变化。首先是适应全球不断发展变化的法律法规，包括遵守已经生效、即将生效的数据合规要求——涵盖当地数据合规与个人信息隐私保护、跨境数据传输安全合规要求等。由于法律法规要求众多且持续更迭，企业及其内部合规团队不得不面临合规制度不完善、合规要求更新不及时、合规措施落实困难等现实挑战。 其次是适应“当地”法律法规，由于各国在数据安全方面的立法存在标准不一、条款冲突的情形，因此跨国企业需重点关注业务经营所在国家的法律合规要求，加强监测预警，规避和降低跨国经营合规风险。在不损害国家安全、公民个人信息安全的前提下，以“安全合规本土化”为原则，提升企业境 外市场的综合竞争力。 （2）高昂合规成本带来的经济压力 鉴于全球监管格局的不断变化，企业为了适应日益严格的监管与处罚，面临更大的经济压力。一是表现在不合规成本支出上，即支付因违规带来的高额罚款。截至2022年11月30日，《通用数据保 护条例》（简称“GDPR”）执法总数1216起（相较 去年9月30日的统计数据，增加322起），GDPR 罚款总额超20亿欧元（增加约7亿欧元），最高的 一笔罚款暂时还未刷新，仍为2021年针对某国际电商巨头开出的7.46亿欧元罚款。不仅GDPR的执法强度大、频次高，其他国家的监管处罚也不容小觑。以我国为例，伴随执法常态化发展，监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等多种手段。监管处罚对象不仅包括企业，还覆盖到高管及相关责任人，处罚方式主要体现为警告与罚款。譬如2022年7月，国家互联 网信息办公室对某出行平台处人民币80.26亿元人 民币罚款，对公司董事长、总裁各处人民币100万元人民币罚款。二是表现在企业在数据合规与隐私保护工作上投入更多预算。企业通过技术、工具和组织架构的调整提升整体合规能力，具体包括组建 数据安全团队，设置CDO（首席数据官）制度，配备专职隐私保护人员及合规法务人员，应用隐私计算等技术，采购第三方合规风险评估服务等。其中，在人才需求方面，由于国内法律法规对于开展相关业务的企业提出数据安全管理相关要求，《个人信息保护法》更是明确指出处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。然而，囿于当前数据合规与隐私保护的专业人员仍然存在较大的市场缺口，导致部分企业仍然因为缺乏人才，无法满足实际的数据合规和隐私保护工作需求。 整体来看，数据安全预算的增加一定程度上给企业带来了额外的成本，尤其是对于初创企业或中小企业来说。然而，根据《2022全球隐私基准报告》研究显示，数据监管不合规的成本是合规成本的2.71 倍，因此仍有42%的公司打算在隐私计划上花费超 过100万美元，采取更多措施促进隐私保护。此外，根据IBV发布的《网络经济中的繁荣》研究显示，网络安全成熟度最高的组织在五年内的收入增长率比最不成熟的组织高出43%，数据安全在一定程度上也可以被视为企业经济和价值增长的措施。因此承担合规成本对于企业长期发展而言是必要的。 （3）复杂的第三方风险管理挑战 企业不仅面临自身的内外部安全威胁，还需要做好第三方风险管理。第三方数据处理者因供应链攻击或数据安全合规能力不足而产生的风险，正在对企业造成直接影响。从供应链角度来看，第三方数据处理者包括了企业直接合作的公司，如材料供应商、分包商、网络托管公司、安全产品提供商、数据服务提供商等可以访问企业系统或数据的第三方主体。由于供应链攻击是网络空间攻防对抗的焦点之一，即便企业自身安全建设成熟度高，攻击者也能利用供应链上下游企业的任一脆弱环节实现入 侵。伴随供应链攻击的往往还有企业核心数据、重要数据泄露，让企业防不胜防。从数据处理关系来看，企业的数据源包括内部自主收集以及与第三方产生的数据共享、委托处理、转让，后者既有企业与企业之间的数据共享，也有企业和政府之间的数据共享。在数据传输、存储、处理过程中，第三方的网络安全防护能力以及数据安全保障能力，也是企业需要重点评估的方面。当前，大多数企业都需要重新审视第三方风险管理，尤其在网络安全、数据合规、隐私保护方面。 （4）数据频繁流通引发的安全威胁 伴随数字化转型，数据的价值与日俱增，数据的流通性也成为创新发展的必然要求。在此基础上，企业采用AI技术、自动化工具、混合云部署等多种手段，加快数据从本地向云上，从内网向外网，从境内向境外流通。借助数据流通，推动因开展业务需要而收集与产生的数据的共享与开发利用，进而为市场创造新的价值。与此同时，政府机构也与企业一起，推动发挥数据要素生产力，构建功能齐全的数据要素市场。 然而，在数据流通利用过程中，也存在诸多风险隐患。部分企业由于安全管控措施不足、数据可信流通能力建设滞后，导