版权声明 COPYRIGHTSTATEMENT 本报告版权属于编著机构所有,并受法律保护。本报告主要以电子版形式分发,间或也会辅以印刷品形式分发,所有报告版权均归编著机构所有。 如需引用、刊发、转载、摘编或利用其他方式使用报告文字观点的,应注明信息来源,且不得对本报告进行任何有悖原意的引用、删节和修改。未标注信息来源或未经编著机构事先书面授权,任何单位或个人不得以任何形式擅自复制、转载、链接、转贴或以其他方式或公开传播本报告的全部或部分内容,使用本报告所提供的信息,不得将报告内容作为诉讼、仲裁、传媒所引用之证明或依据,不得用于营利或用于未经允许的其它用途。违反上述声明者,编著机构将依法追究其相关法律责任。 免责声明 DISCLAIMER 本报告所提供的所有信息均来源于各个公司官方网站,对摘录信息的真实性、准确性、完整性、适用性、及时性、安全性、稳定性和合法性编著机构不作任何保证。 本报告仅提供学习和研究之用,并不代表编著机构赞同、支持或者认可摘录信息所包含的观点、意见、推断、建议或者其他信息。 在任何情况下,本报告中的信息或所表述的意见并不构成对任何人的投资建议,本报告所载的资料、工具、意见及推测只作参考之用,并非作为或被视为出售或购买证券或其他投资标的邀请或向人作出邀请。在任何情况下,报告的编著机构不对任何人因使用本报告中的任何内容所引致的任何损失负任何责任。 所载资料仅供一般参考用,并非针对任何个人或团体的个别情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。 出品方 DISCLAIMER 上海赛博网络安全产业创新研究院上海数据安全协同创新实验室 ChinaPrivacyTechnologyPanorama中国隐私科技全景图 概述 中国隐私科技厂商图谱(ChinaPrivacyTechnologyPanorama,简称“CPTP图谱”)由上海赛博网络安全产业创新研究院联合上海数据安全协同创新实验室,以及业内专家共同编制,是《全球数据合规与隐私科技发展报告(2022-2023)》的衍生产业研究成果之一。 2023年,中央发布一系列政策文件,高度重视数字经济发展。其中,《数字中国建设整体布局规划》提出“2522”整体框架,包括了夯实数字基础设施和数据资源体系“两大基础”,强化数字技术创新体系和数字安全屏障“两大能力”。根据国务院关于提请审议国务院机构改革方案的议案,我国还将组建国家数据局,负责拟订数字中国建设方案、组织实施国家大数据战略、推进数据要素基础制度建设。 聚焦数字经济发展过程中的数据资源整合共享、开放利用等重要环节,数据安全、数据合规问题亟需结合技术手段逐一解决。立足中国,放眼国际,CPTP图谱通过对国内隐私科技市场的调研分析,国外代表性隐私科技企业的筛选,旨在用全面、对比的角度展示我国隐私科技产业发展现状。为甲方企业开展数据安全与隐私治理工作提供产品选型参考,为厂商洞悉隐私科技发展空间、赛道蓝海及了解自身在行业中所处的阶段提供参考。鉴于隐私科技赛道持续发展,CPTP图谱将秉持持续改进、完善的原则,定期进行版本迭代。 CHINAPRIVACYTECHNOLOGYPANORAMA RESEARCHMETHOD 研究方法 CPTP图谱重点聚焦“数据发现、分级分类与标识;数据去标识化、匿名化工具;个人信息授权管理;隐私保护影响评估;数据主体权利管理;数据流动监控;隐私事件响应;数据和隐私合规检测工具;隐私计算平台;隐私科技集成解决方案;隐私科技开源项目”11个类别。本版本共计收录36家厂商,收录79次。 “最大兼容性”原则 多数隐私科技企业并不局限于某一种隐私技术或单个应用场景,而是在技术、应用层面进行多元化组合,基于场景需求提供多维度隐私科技能力。因此,CPTP全景图不同类目存在收录同一家企业的情况。期望通过“最大兼容性”的收录原则,更清晰地展示隐私科技赛道的发展现状,也以此鼓励隐私科技厂商加强创新突破。 案头研究 借助互联网、大数据等技术手段,完成国内外隐私科技企业及有关产品的初步筛查、整理与分析工作。 德尔菲法 邀请数位专家审核隐私科技全景图研究成果,对于专家意见进行收集、归纳,保障隐私科技全景图的设计合理性。 深度访谈 定向联系企业,开展一对一主题访谈,深入了解企业在隐私科技领域的投入情况,基于访谈信息构建隐私科技企业产品信息湖。 CONTENTS 目录 研究方法02 全景图类别说明ProductCategoryDescriptions05 01数据发现、分级分类与标识07 02数据去标识化、匿名化工具17 03个人信息授权管理26 04隐私保护影响评估28 05数据主体权利管理31 06数据流动监控33 07隐私事件响应40 08数据和隐私合规检测工具42 09隐私计算平台47 10解决方案56 11开源项目60 数据发现、分级分类与标识 通过自动化的数据扫描和策略识别的方式定位数据、分级分类数据,以进一步实现分级保护。在数据发现过程中基于正则表达式、关键字、UDF等模式或者机器智能学习模式,自动将库、表中的数据进行识别和分级分类,并可视化分级分类结果。基于分级分类结果对字段或表级别打标签。 数据去标识化、匿名化工具 数据去标识化工具在个体基础上,采用技术手段如假名、哈希、加密等替代对个人信息的标识,保留了个体的颗粒度,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体。数据匿名化工具通过对数据进行随机映射、统一泛化等操作,使其发布的数据无法关联到任何具体个体。数据映射是采用手动或自动的方式帮助企业确定整体数据流,识别企业处理的个人信息,个人信息的来源和去向,存储、传输或处理数据的系统或流程。 个人信息授权管理 帮助企业收集、跟踪、展示和管理用户的个人信息授权同意,保证数据在不同阶段的处理活动均给予“告知-同意”的原则。 隐私保护影响评估 依赖系统工具,针对个人信息处理活动,评估其对个人隐私造成的风险程度,并评估用于保护个人信息主体的各项措施的有效性。 数据主体权利管理 帮助企业为个人行使数据权利提供更便捷的方式,包括响应个人关于行使访问 数据流动监控 通过技术来实现对数据真实流转情况的可视以保证数据资产分布及访问行为态势的清晰度、透明度和可控性,并通过对数据流转路径和敏感数据访问行为的分析,预测数据资产可能面临的泄露风险、丢失和滥用。 隐私事件响应 提供符合法律要求的合规应急事件自动化处理,包括向相关方提供隐私事件详情和需履行的事件通知义务,帮助企业应对法律风险。 隐私计算平台 基于一种或多种隐私计算技术,如联邦学习、多方安全计算、隐私求交、可信执行环境、差分隐私等技术,在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算,实现数据在流通与融合过程中“可用不可见”的数据处理平台。 数据和隐私合规检测工具 针对网页、安卓App、iOSApp、小程序、IoT设备等进行自动化隐私合规检测的工具,以确保企业的网页cookie、APP、小程序等遵守相关法律法规和政策。 隐私科技集成解决方案 帮助企业解决IT架构和业务场景中的隐私保护与合规问题的一系列解决方案,包括行业级解决方案和特定场景解决方案。 开源项目 国内隐私计算开源框架与应用工具,开源项目包括安全多方计算(MPC)、联 01 P-A-R-T 数据发现、分级分类与标识 通过自动化的数据扫描和策略识别的方式定位数据、分级分类数据,以进一步实现分级保护。在数据发现过程中基于正则表达式、关键字、UDF等模式或者机器智能学习模式,自动将库、表中的数据进行识别和分级分类,并可视化分级分类结果。基于分级分类结果对字段或表级别打标签。 国内厂商 360数字安全集团,安恒信息,安华金和,观安信息,华途,绿盟科技,美创科技,明朝万达,奇安信,全知科技,闪捷信息,世平信息,数安行,上讯信息,深普科技,腾讯安全,亿赛通 国际厂商 BigID,CompLions,ContextSpaceSolutions,OneTrust,Proteus-Cyber,Securiti,SmartGlobalGovernance,Truyo,ZenData,Intradyn,MANTA,Omnisient,Spirion 成立时间:2019年 相关产品:360Waterfall数据安全管理平台产品标签:数据安全、数据分类分级 公司简介:360数字安全集团专注提供数字安全服务。过去17年,360聚集超2000名安全专家,积累了2000PB安全大数据,基于以“看见”为核心的安全理念,凝练行业安全威胁对抗实践,提出”1+4”数字安全框架模型,帮助企业规划和建设数字安全体系,构建“摸清家底、感知风险、看见威胁、处置攻击、提升能力”5大安全能力,形成应对数字安全复杂威胁的完整能力。 产品介绍:360Waterfall数据安全产品根据数据安全监测、防护和运营的需求,提供各种核心能力组件,进行一体化解决方案设计。在数据分类分级方面,产品对数据库资产、API资产、文件存储服务器中的内容和数据结构进行扫描。扫描过程中,产品利用关键字、正则表达式、自然语言识别、机器学习等匹配技术,结合上下文信息,对结构化数据进行识别。该产品支持18种数据库协议、40种文件类型以及API接口协议。 https://360.net/ 成立时间:2007年 相关产品:AiSort数据安全分级及风险管理平台标签:AI算法、自动化识别、智能引擎 公司简介:杭州安恒信息技术股份有限公司专注于网络信息安全领域,公司秉承“构建安全可信的数字世界”的企业使命,以数字经济的安全基石为企业定位,致力于成为全球领先的数字安全企业。 产品介绍:安恒AiSort是一款数据安全分级及风险管理平台,可自动发现和分类分级用户数据。该产品基于AI算法,能够高效识别敏感数据,并内置多行业的法规标准(支持自定义导入),以满足各种环境下的分类分级需求。该系统还支持对用户数据资产进行漏洞评估和安全风险评估,帮助用户从多个维度全面了解数据资产的安全状况。 www.dbappsecurity.com.cn 数据发现、分级分类与标识 成立时间:2009年 相关产品:安华金和数据安全评估系统(DSAS)标签:数据发现、数据分类分级 公司简介:北京安华金和科技有限公司(DBSEC)是数据安全产品、服务与解决方案提供商,致力于保障数据要素安全有序流通,帮助用户在实现数据价值的同时,为用户提供专业的数据安全解决方案、咨询服务和切实有效的安全技术与产品应用,从而与用户共同实现“让数据使用自由而安全”的长期目标。安华金和拥有全面的数据安全产线,具备数据库安全、大数据安全、应用数据安全和非结构化数据安全的能力。 产品介绍:利用网络嗅探技术进行数据资产梳理,以高可视化方式展示数据资产的分布情况。该平台支持多种数据库类型,能够及时发现数据库的安全隐患。通过数据资产安全定性分析与定量分析评估模型,对风险进行量化,并以可视化方式呈现评估结果。同时,平台还提供合理有效的修复建议,帮助用户全面了解数据资产的分布情况,并实时跟踪资产变化状况。此外,从资产价值评估的角度,用户可以准确把握资产的重要性。 www.dbsec.cn 成立时间:2013年 相关产品:敏感数据发现系统 标签:自动化识别、高效引擎调度算法、AI技术 公司简介:观安信息是一家提供大数据安全产品与服务的高新技术企业。公司聚焦数据安全、网络空间安全、5G安全、人工智能安全、工业互联网安全及公共安全等核心方向,为运营商、金融、电力等行业用户提供信息安全解决方案。 产品介绍:敏感数据发现系统基于隐私保护与合规的数据安全治理技术框架,针对各行业的业务数据特征和分类分级规范,提供行业模板。通过自主创新研发的敏感数据识别技术,系统能够全面