版权声明 COPYRIGHTSTATEMENT 本报告版权属于出品方所有,并受法律保护。转载、摘编或利用其他方式使用报告文字或者观点的,应注明来源。违反上述声明者,本单位将追究其相关法律责任。 出品方 安永(中国)企业咨询有限公司上海赛博网络安全产业创新研究院 2023-2024全球数据流通与隐私科技发展报告 FOREWORD 前言 近年来,全球经济结构逐渐变化,人工智能等科技的崛起重塑着数字世界,数字化对全球经济面貌的影响持续加深,数据要素的重要程度提升;与此同时,主要国家和地区的数据安全与隐私保护法律法规均已走向成熟,而地缘政治也在影响着不同国家与地区的数据安全合规政策,数据流通与安全合规之间的不对称却呈现加剧的趋势。此外,数字世界仍持续面临着内外部的恶意攻击与频繁掠夺,数据安全与隐私保护与数据流通之间的平衡成为影响数字经济发展的关键因子。在此背景下,安永(中国)企业咨询有限公司(下文简称安永)与赛博研究院联合发布2023-2024年度《全球数据流通与隐私科技发展报告》。本报告全面梳理了国内外隐私保护与数据要素政策,对隐私科技的概念、内涵和外延进行更新,并通过对多行业头部企业的问卷调研,覆盖政府与公共部门、金融、消费品、生命科学、制造业等行业,客观了解企业数据合规与数据流通的现状与隐私科技的需求,并为企业数据流通实践提供参考案例与创新思路,供业内参考。 主要发现 中国、美国、欧洲、日本等全球主要经济体均已制定数据保护相关法律法规,且区域间数据跨境流动合作逐渐加深。同时,中国在数据要素流通领域的政策支持力度与制度建设走在世界前列。 企业的数据合规与隐私保护工作成熟度进一步提高,未建立针对性的方针、制度与流程的企业比例进一步降低。同时,企业并未放松数据合规与隐私保护工作,根据2023-2024年度安永调研,94%的企业设有数据合规与隐私保护岗位,各公司负责数据合规与隐私保护的人员规模也稳中有增,只有11%的企业认为在数据合规与隐私保护的投入不满足需求。 数据出境成为企业目前数据合规工作中的难点,大部分参与调研的企业已开始了数据出境合规工作,但仍有部分尚未完成数据出境安全评估申报工作,选择合适的数据出境合规路径与业务场景复杂难以厘清是阻碍企业数据出境合规的最大困难。 国内数据要素市场数据仍处于起步阶段,数据交易规模仍较小,且业务场景较为有限。有33%的企业已开始开展数据交易和数据共享的业务,多数开展了数据交易的企业将数据用于产品优化中。安全合规不是企业数据交易的最主要困难,阻碍企业进行数据交易、共享的最大障碍是难以明确数据价值、缺少交易平台和缺少良好的数据供应方。 更多企业发现隐私计算的价值并付诸实践,隐私计算在更多风险控制和数据流通等业务场景中发挥着重要作用。在未来十二个月,更多企业选择保持对隐私科技的投入水平,力图稳中求进。 CONTENTS目录 第1章数据经济时代的数据要素流通面临的机遇与挑战01 1.1数据要素流通相关概念介绍02 1.2数据要素流通的机遇与趋势04 1.3数据要素流通面临的挑战05 第2章数据要素流通制度建设及现状07 2.1域外数据要素流通制度建设及安全合规立法现状08 2.2我国数据要素流通政策支持及制度建设现状11 2.3隐私科技促进数据要素合规高效流通14第3章企业隐私科技与数据流通应用现状调研15 3.1企业数据合规与数据流通概况16 3.2企业隐私科技应用程度25 3.3企业隐私科技投资趋势28 3.4企业对国内隐私科技市场的期望29 3.5企业实施隐私科技所面临的挑战31第4章产业发展洞察与典型实践32 4.1隐私科技产业发展33 4.2典型案例1:金融行业——数据要素×金融服务提高金融抗风险能力35 4.3典型案例2:医疗行业——数据协作网络促进安全高效的数据共享平台37 4.4典型案例3:政府和公共部门——公共数据融合助力新市民服务应用39第五章未来展望41 5.1应用:从满足合规要求到破除数据流通障碍42 5.2人才:安全合规与业务并重的“全能型”人才缺口增长42 5.3标准:技术通用性与行业性标准亟待制定43 5.4产业:政府与企业携手共进推进数据流通43附录44 2023-2024全球数据流通与隐私科技发展报告 第一章CHAPTER1 数据经济时代的 数据要素流通面临的机遇与挑战 02 GlobalDataCirculationandPrivacyTechnologyDevelopmentReport 01 1.1数据要素流通相关概念介绍 本报告首先对数据要素、数据要素流通、个人信息、隐私、数据安全、数据合规、隐私保护、隐私科技等概念及其关系进行界定,便于后续内容的理解。 信息被认为是和物质、能量并列的构成世界的三大要素之一。国际上较为经典的定义包括:信息是“用来消除不确定性的事物”(香农1948);信息是“我们在适应外部世界,控制外部世界的过程中同外部世界交换的内容”(维纳,1948);中国国家标准《情报与文献工作词汇基本术语》(GB489885)将信息定义为“物质存在的一种方式、形态或运动形态,也是事物的一种普遍属性,一般指数据、消息中所包含的意义,可以使消息中所描述事件中的不确定性减少”。 数据是信息的表现形式,是为了让人们更好地使用或处理信息的一种编码形式。数据原本表示事物性质/数量变化的数值集合,最早应用于科学测 量领域。随着现代信息技术发展,人们开始利用电子计算机和现代通信技术获取、加工、传递和利用信息,越来越多的信息通过计算机进行数字化编码并以数据库的形式存储,数据的内涵也因此开始扩大,不仅指代“有根据的数字”或是“计算加工的数字”,而且是成为“数字、文本、图片、视频”等一切信息类型在信息技术环境下的记录。现代信息技术发展丰富了数据的内涵,使得人类对数据资源的采集、生产、开发、保存等能力得到空前提升。企业、政府、个人都直接参与到了数据生产和消费。数据类型不仅包括结构化数据,还包括越来越多的非结构化数据。根据《中华人民共和国数据安全法》的定义,数据为“任何以电子或者其他方式对信息的记录”。根据重要敏感程度,数据可分为一般数据、重要数据、核心数据。其中,“核心数据”是关乎国家安全、国民经济命脉、重要民生、重大公共利益等数据,“重要数据”是与国家安全、经济发展,以及社会公共利 益密切相关的数据,其包含核心数据,两者主要在保护密级方面有一定区别。“一般数据”包括个人数据、企业经营数据等一般性数据。 数据要素是指以电子形式存在的、通过计算的方式参与到生产经营活动并发挥重要价值的数据资源。在数字经济中,数据要素的角色可与传统的生产要素(如劳动力、资本和土地)相提并论。数据要素是推动数字经济发展的核心引擎,是赋能行业数字化转型和智能化升级的重要支撑,也是国家基础性战略资源。 数据要素流通是指数据在不同实体或系统之间按照一定规则和标准进行流动和交换,数据要素流通是发挥数据要素潜在经济价值的主要方式之一。当前,根据数据与资金在主体间的流向进行划分,数据要素流通可以分为三种形式——开放、共享和交易。 个人信息是信息的一部分,是从个人相关数据中提炼出来的与个人有关的描述。根据《中华人民共和国个人信息保护法》和欧盟《通用数据保护条例》,个人信息可定义为“与已识别或者可识别的自然人有关的各种信息”。 隐私与个人信息存在交叉关系,但不能等同。根据《牛津词典》的解释,隐私是指独处不受干扰的状况;不受干扰或不受公众注目的自由。隐私是一个不断变迁、发展的概念,尤其是现代信息技术发展,作为法律概念的隐私权需求开始兴起,并在保护个人私域和个人自由方面呈现出传统财产权保护不可替代的作用。《中华人民共和国民法典》第1032条指出“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。其中,私密信息涉及敏感个人信息。 数据安全是指数据不被威胁的状态。当前,核心数据、重要数据、个人信息尤其个人敏感信息等 是数据安全的重点保障范围,需要采取必要措施、确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 数据合规是推动数据安全实践的驱动力。以企业数据合规为例,是指企业经营管理行为要符合国家法律、行政法规、国际法律条约、行业准则、商业道德以及企业内部的管理制度。建设企业数据合规体系的构成要素包括:①管理层承诺;②风险评估;③流程嵌入;④记录保存。当前,数据合规既是企业安全治理体系和治理能力现代化的重要标志,也是国家安全治理体系和治理能力现代化的重要组成部分。 隐私增强技术(PETs)是一系列收集、处理、分析和共享信息,同时保护个人数据机密性的数字技术和方法的集合。目前,个人数据的收集和处理方法发生了变化。由于PETs能够从数据中获得相对较高的效用并最大限度地减少数据收集和处理的需求,在技术层面上更好地保护个人数据隐私,使社会更接近隐私设计(PrivacybyDesign,PbD)的过程和实践,所以该项技术逐渐成为隐私和数据保护新范式的基础。PETs改变了组织收集、访问和处理数据(尤其是个人数据)的方式,为数据主体提供了更多的控制力,有助于增强对数据共享和数据重用的信任,提升数据安全和隐私保护。例如,对于无法在个人或实体之间公开的敏感数据,就可以利用PETs实现数据的协作分析。 在2023年发布的《2022-2023全球数据合规与隐私科技发展报告》中我们将隐私科技定义为:在日常运营流程中,通过嵌入IT架构和业务场景支撑主体数据合规和隐私保护的一系列工具、服务及技术解决方案。今年,《2023-2024全球数据流通与隐私科技发展报告》基于对国内外数据要素流通现状的深度研究,对隐私科技框架进行了更新与完 善,主要体现在凸显了隐私科技对于解决数据要素流通中的难点、堵点问题的关键作用。现将隐私科技定义更新为:在日常运营流程中,通过嵌入IT架构和业务场景支撑主体数据安全、合规流通,充分发挥数据潜在经济价值,实现数据保护与数据利用平衡的一系列工具、服务及技术解决方案。通过将隐私科技应用于各类数据流通实际场景中,在保证数据安全、可信流通的基础上,进一步推动数据高效流通、共享与开放,实现数据充分开发利用的目的。 图1.1数据要素流通相关概念介绍 1.2数据要素流通的机遇与趋势 数据作为当今数字经济时代推动发展的核心动力之一,其全球战略地位正在不断攀升。我国于2020年4月在《关于构建更加完善的要素市场化配置体制机制的意见》中,首次将数据纳入生产要素范围,将其列为与土地、劳动力、资产、技术同等地位的第五大生产要素,并提出加快培育数据要素市场。此后,我国发布一系列政策文件,大力推动数据要素流通,鼓励充分挖掘数据要素潜在价值。为统筹数据资源,实现数据的整合共享和开发利用,我国成立了国家级、省级数据局,通过统一规划和管理,打破数据分散在不同行业和部门中导致的“数据孤岛”,促进数据的流通和共享,挖掘数据的潜在 价值,为经济增长和创新发展提供强大动力。而在数据要素流通基础设施建设方面,我国积极开展“东数西算”工程,旨在优化全国算力资源的配置,实现东西部算力资源的互补和协同。通过构建全国一体化的算力网络,我国加强了数据存储、处理和分析的能力,为数据要素的高效利用提供了坚实的技术支撑。除我国外,域外多个国家及地区也已采取系列措施促进数据流通,发挥数据经济价值。例如美国就公共数据的开放利用已形成较为完备的法律法规体系并构建国家级开放管理平台,积极探索探究市场导向的数据运营模式,在确保数据安全和隐私保护的前提下加速公共数据的应用。 1.3数据要素流通面临的挑战 (1)仍待完善的法律法规与相关标准 我国当前已经制定了一系列与数据要素流通相关的法律法规,但仍存在部分立法空白及不足之处。首先,目前我国尚未建立起完备的数据要素流通规制法律体系,在数据权属、交易规则、定价机制及利益分配等方面仅出台了总纲性质的整体建设方向指引文件,但仍缺乏明确系统化且可实际落地的操作规范。例如,在数据权属方面虽为解决数据确权难的问题提