安永-2022全球数据合规与隐私科技发展报告-安永+赛博研究院-2023.pdf

《安永-2022全球数据合规与隐私科技发展报告-安永+赛博研究院-2023.pdf》由会员分享，可在线阅读，更多相关《安永-2022全球数据合规与隐私科技发展报告-安永+赛博研究院-2023.pdf（57页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、本报告版权属于出品方所有，并受法律保护。转载、摘编或利用其他方式使用报告文字或者观点的，应注明来源。违反上述声明者，本单位将追究其相关法律责任。COPYRIGHT STATEMENT出品方编写组成员安永（中国）企业咨询有限公司上海赛博网络安全产业创新研究院高轶峰惠志斌王瑾周雪静蒋采玲王龙飞吴梦庭李顾元孙思瑄安永（中国）企业咨询有限公司大中华区网络安全和隐私保护服务主管合伙人上海赛博网络安全产业创新研究院院长，首席研究员安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务高级经理上海赛博网络安全产业创新研究院高级研究员安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务经理上海数据安全协同创

2、新实验室秘书长安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务顾问某公司隐私合规专家某公司隐私合规专家版权声明2022 年是中国数据合规全面发展的一年，也是隐私科技进一步从概念走向落地的一年。回顾近一年的发展，安永与赛博研究院联合发布第二期年度全球数据合规与隐私科技发展报告。本报告全面梳理了国内外数据安全与算法应用的合规体系，对隐私科技的概念、内涵和外延进行更新，并通过对近百家头部企业的问卷调研，覆盖金融、科技、媒体与通信、消费品、生命科学、制造业等行业，客观了解企业数据合规的现状与隐私科技的需求，最后为国内外企业数据合规实践提供参考案例与创新思路，供业内参考。全球近 100 个国家和地

3、区已制定数据保护相关法律，数据安全、算法应用有关立法进程加快,合规本地化的全球性趋势将进一步加强。全球数据合规领域执法力度加强，截至 11 月 30 日，GDPR 执法总数 1216 起，罚款总额超20 亿欧元。企业面临合规人员招聘、安全产品及服务采购等合规成本与监管罚款等不合规支出的双重压力。企业更加重视数据合规与隐私保护，完善数据合规与隐私保护职能和管理体系，提升数据合规与隐私保护汇报层级，加大数据合规与隐私保护的人员和资金投入。22%的企业直接向高级管理层汇报工作，82%的企业认为在过去 12 个月的投入满足需求。更多企业发现隐私计算的价值并付诸实践，隐私计算在更多风险控制和数据流通等业

4、务场景中发挥着重要作用，并在元宇宙、工业互联网与区块链等新兴科技中崭露头角。在未来十二个月，更多企业选择保持对隐私科技的投入水平，力图稳中求进。从隐私科技产业发展来看，数据分类分级、数据流通监控、数据风险与隐私影响评估、数据与隐私综合治理是当前的热门细分赛道。后续围绕提高数据的匿名化程度，增强算法可解释性，加强落实伦理先行原则，将进一步赋能隐私科技的合规能力。主 要 发 现全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report1.1 1.202030609091215233032334545

5、4646474736374103030404131313383848493.1 3.23.33.43.55.1 5.25.35.45.55.64.1 4.24.32.1 2.22.32.4“隐私科技”的概念界定全球数据合规与隐私保护挑战企业数据合规与隐私保护概况企业隐私科技应用程度企业隐私科技投资趋势企业对国内隐私科技市场的期望企业实施隐私科技所面临的挑战市场：数据合规即服务衍生新的商业机会应用：隐私设计原则从理论到企业实践 人才：数据合规及隐私保护人才缺口增长 标准：技术成熟度和通用性标准亟待制定 技术：开源驱动行业创新发展与生态建设 产业：规模化应用构建数据智能网络生态 常见隐私科技解决方

6、案类型主流隐私计算技术隐私科技产业发展典型案例 1：运营商行业数据分类分级典型案例 2：隐私计算应用数据安全立法现状与动向算法应用合规现状与趋势监管路径与发展趋势从算法监管看隐私科技的破局思路（1）遵守不断发展变化的法律法规（2）高昂合规成本带来的经济压力（3）复杂的第三方风险管理挑战（4）数据频繁流通引发的安全威胁（1）提高数据的匿名化程度（2）增强算法规则可解释性（3）遵循应用伦理先行原则（1）运营商行业数据安全痛点（2）运营商行业客户信息保护目录CONTENTS第 1 章 数据经济时代的安全与隐私挑战第 3 章 企业隐私保护及隐私科技应用现状调研第 5 章 未来展望附录第 4 章 产业发

7、展洞察与典型实践第 2 章 全球数据安全立法及监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report01数据经济时代的安全与隐私挑战01P-A-R-TPART 1当前，大数据正在迅速改变全球的经济面貌。在数字经济的发展过程中，企业和个人持续依赖大数据与不断更迭的数字技术，驱动数据处理活动、探索数据创新。然而，繁荣背后隐藏风险，数据的价值吸引内外部的恶意攻击与频繁掠夺，数据的流通引发个人隐私担忧与合规警惕。从漏洞攻击到数据窃取，从经济损失到合规成本，从系统安全到隐私保护，以安全与隐私为

8、主题的风险正成为影响数字经济发展的关键因子。对此，企业正在积极采取措施，运用“数据+算法”、“隐私+合规”等技术与服务手段，制定应对安全与隐私挑战的安全战略与整体解决方案。在 2021 年发布的2021 全球数据合规与隐私科技发展报告中，我们将隐私科技定义为：用于支撑隐私保护与合规的日常运营流程，且嵌入到 IT架构和业务场景中的一系列技术解决方案，在保证全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上，实现保护个人信息权益

9、、提升数据流通、共享与开放、促进个人信息合理开发利用的目的。1.1“隐私科技”概念界定数据经济时代的安全与隐私挑战图 1 隐私科技概念图示（2022 版）全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report03今年，基于对国内隐私科技厂商的普遍性研究，全球数据合规与隐私科技发展报告（2022）对隐私科技框架进行了更新与完善，主要体现在凸显应用场景的重要性，强调隐私科技在数据处理全生命周期中的应用，以及在金融、医疗、政务等重点行业的实践趋势；对隐私科技解决方案与底层支撑技术进行梳理与更新。现

10、将隐私科技定义更新为：在日常运营流程中，通过嵌入 IT 架构和业务场景支撑主体数据合规和隐私保护的一系列工具、服务及技术解决方案。通过将隐私科技应用于个人信息全生命周期或各行业个人信息处理场景中，在增强保护个人信息、规范个人信息处理活动的基础上，实现保护个人信息权益，推动数据流通、共享与开放，促进个人信息合理开发利用的目的。数字世界里，合规与隐私保护作为反复出现的话题，也是企业在经营、上市、融资、发展过程中的“必经之路”。当前企业为满足数据合规与隐私保护需要，面临诸多挑战，包括满足来自监管的迫切要求，应对围绕数据处理全生命周期的外部攻击与内生安全风险。（1）遵守不断发展变化的法律法规随着与数据

11、相关的法律体系的不断完善，企业面临的首要挑战是来自国际监管环境的变化。首先是适应全球不断发展变化的法律法规，包括遵守已经生效、即将生效的数据合规要求涵盖当地数据合规与个人信息隐私保护、跨境数据传输安全合规要求等。由于法律法规要求众多且持续更迭，企业及其内部合规团队不得不面临合规制度不完善、合规要求更新不及时、合规措施落实困难等现实挑战。其次是适应“当地”法律法规，由于各国在数据安全方面的立法存在标准不一、条款冲突的情形，因此跨国企业需重点关注业务经营所在国家的法律合规要求，加强监测预警，规避和降低跨国经营合规风险。在不损害国家安全、公民个人信息安全的前提下，以“安全合规本土化”为原则，提升企业

12、境1.2 全球数据合规与隐私保护挑战外市场的综合竞争力。（2）高昂合规成本带来的经济压力鉴于全球监管格局的不断变化，企业为了适应日益严格的监管与处罚，面临更大的经济压力。一是表现在不合规成本支出上，即支付因违规带来的高额罚款。截至 2022 年 11 月 30 日，通用数据保护条例（简称“GDPR”）执法总数 1216 起（相较去年 9 月 30 日的统计数据，增加 322 起），GDPR罚款总额超 20 亿欧元（增加约 7 亿欧元），最高的一笔罚款暂时还未刷新，仍为 2021 年针对某国际电商巨头开出的 7.46 亿欧元罚款。不仅 GDPR 的执法强度大、频次高，其他国家的监管处罚也不容小觑

13、。以我国为例，伴随执法常态化发展，监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等多种手段。监管处罚对象不仅包括企业，还覆盖到高管及相关责任人，处罚方式主要体现为警告与罚款。譬如 2022 年 7 月，国家互联网信息办公室对某出行平台处人民币 80.26 亿元人民币罚款，对公司董事长、总裁各处人民币 100 万元人民币罚款。二是表现在企业在数据合规与隐私保护工作上投入更多预算。企业通过技术、工具和组织架构的调整提升整体合规能力，具体包括组建数据安全团队，设置 CDO（首席数据官）制度，配备专职隐私保护人员及合规法务人员，应用隐私计算等技术，采购第三方合规风险评估服务等。

14、其中，在人才需求方面，由于国内法律法规对于开展相关业务的企业提出数据安全管理相关要求，个人信息保护法更是明确指出处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。然而，囿于当前数据合规与隐私保护的专业人员仍然存在较大的市场缺口，导致部分企业仍然因为缺乏人才，无法满足实际的数据合规和隐私保护工作需求。整体来看，数据安全预算的增加一定程度上给企业带来了额外的成本，尤其是对于初创企业或中小企业来说。然而，根据2022 全球隐私基准报告 研究显示，数据监管不合规的成本是合规成本的 2.71倍，因此仍有 42%的公司打算在隐私计划上花费超过 100 万美元，采取更多措施促进

15、隐私保护。此外，根据 IBV 发布的网络经济中的繁荣研究显示，网络安全成熟度最高的组织在五年内的收入增长率比最不成熟的组织高出 43%，数据安全在一定程度上也可以被视为企业经济和价值增长的措施。因此承担合规成本对于企业长期发展而言是必要的。（3）复杂的第三方风险管理挑战企业不仅面临自身的内外部安全威胁，还需要做好第三方风险管理。第三方数据处理者因供应链攻击或数据安全合规能力不足而产生的风险，正在对企业造成直接影响。从供应链角度来看，第三方数据处理者包括了企业直接合作的公司，如材料供应商、分包商、网络托管公司、安全产品提供商、数据服务提供商等可以访问企业系统或数据的第三方主体。由于供应链攻击是网

16、络空间攻防对抗的焦点之一，即便企业自身安全建设成熟度高，攻击者也能利用供应链上下游企业的任一脆弱环节实现入侵。伴随供应链攻击的往往还有企业核心数据、重要数据泄露，让企业防不胜防。从数据处理关系来看，企业的数据源包括内部自主收集以及与第三方产生的数据共享、委托处理、转让，后者既有企业与企业之间的数据共享，也有企业和政府之间的数据共享。在数据传输、存储、处理过程中，第三方的网络安全防护能力以及数据安全保障能力，也是企业需要重点评估的方面。当前，大多数企业都需要重新审视第三方风险管理，尤其在网络安全、数据合规、隐私保护方面。（4）数据频繁流通引发的安全威胁伴随数字化转型，数据的价值与日俱增，数据的流

17、通性也成为创新发展的必然要求。在此基础上，企业采用 AI 技术、自动化工具、混合云部署等多种手段，加快数据从本地向云上，从内网向外网，从境内向境外流通。借助数据流通，推动因开展业务需要而收集与产生的数据的共享与开发利用，进而为市场创造新的价值。与此同时，政府机构也与企业一起，推动发挥数据要素生产力，构建功能齐全的数据要素市场。然而，在数据流通利用过程中，也存在诸多风险隐患。部分企业由于安全管控措施不足、数据可信流通能力建设滞后，导致企业的风险暴露面增加。例如面临联网系统、云上资产等遭受攻击所引发的数据泄露；企业与第三方机构合作共享数据时，数据因明文流通或复制滥用而导致大量隐私泄露；企业因跨境业

18、务需要等原因启动数据出境工作，可能因涉及重要数据，或一定规模的（敏感）个人信息外传，直接危及国家安全、企业合规与个人信息安全。综上，面对复杂的数据流通场景，企业亟须探索基于隐私保护的数据流通解决方案，在安全合规的前提下，促进数据在企业内外部的流通以及拓展数据开发利用的深度和广度。全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report04全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report

19、05全球数据安全立法及监管现状02P-A-R-TPART 2目前全球已有近 100 个国家和地区制定了数据安全保护相关法律，数据安全保护专项立法成为国际惯例。Gartner 预测，到 2024 年，全球 75%的人口将在其个人数据方面受到隐私法规的保护。以中国、美国、欧洲各国为例，中美欧持续围绕数据安全、算法安全立法及监管进行探索与实践。各国持续将数据安全立法作为工作重点，逐步推进实施有关法律法规。值得关注的是，随着数据作为生产要素的价值愈发凸显，数据立法不仅针对个人信息保护，而是已经广泛地涵盖公共数据开发利用、企业数据共享流通、个人数据保护（包括个人信息及个人隐私数据）等多场景。在数据安全与

20、个人信息保护方面，以欧洲、美国、中国为代表的区域/国家在 2022 年以前已经形成了较为清晰、具备特色的法律体系与框架。（1）欧盟以 2018 年生效的通用数据保护条例（简称“GDPR”）为核心，构筑统一的数据安全治理框架：GDPR 与非个人数据自由流动条例构成数据安全领域的关键立法体系；电子隐私条例作为 GDPR 在电子通信领域起细化和补充作用的特别法，两者在监管规则上保持一定的一致性；电子证据条例侧重科技企业向政府部门提供数据协助，同时保障数据安全；为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施为数据跨境流动中的数据保护问题提供进一步指导。（2）美全球数据合规与隐私科技发展报告

21、Global Data Compliance and Privacy Technology Development Report06国立法体系分为联邦立法和州立法，呈现多级多行业监管特征。1974 年，美国实施的隐私法案对政府机构应当如何收集个人信息、收集到的个人信息如何向公众开放及信息主体的权利等做出了详细规定。此后，美国采取分行业的分散立法模式，在金融、健康、教育、消费等行业领域制定数据保护规范。同时，美国多个州在其原有的个人信息保护法律基础上作出修订，进一步扩展“个人信息”定义，补充数据安全法律法规细节。仅 2021 年，美国 38个州就出台了 160 多项与消费者隐私相关的法案。值得注

22、意的是，美国还通过数据安全立法为其执法机构的域外数据管辖提供依据。2018 年正式签署的澄清境外数据的合法使用法案意味着，美国执法机构在认为可能存在危害美国国家安全的情况下，可以要求跨国企业将存储在他国境内服务器中的与调查事件或者案件相关数据传输至美国执法机构。这意味着执法数据跨境获取需求日益增加的背景下，美国的执法效力将扩展至全球，同时出海企业需要进一步研判多国数据安全法律法规，规划部署数据2.1 数据安全立法现状与动向全球数据安全立法及监管现状存储地，减少合规冲突。整体来看，美国的数据安全立法错综复杂，但仍缺乏统筹性的数据安全法案。（3）我国基于网络安全法数据安全法与个人信息保护法，开展综

23、合性立法。目前，我国的这三部法律分别适用于境内所有网络运营者的包含处理个人信息及数据在内的行为、所有主体处理网络数据和非网络数据的行为、个人信息保护行为。在行政法规、部门规章、地方性法规及标准文件方面，我国也已逐步形成体系，广泛适用不同的行业及数据使用场景。2022 年以来，全球数据安全相关立法进程再次提速，一方面通过推动数据流通、共享、开发利用充分释放数据红利，另一方面通过分行业分场景分企业推动重点监管。一是在隐私保护立法与规范方面，一方面基于原有的数据安全立法基础，美国、英国等国家正在把握机会，在个人信息保护、消费者隐私等细分方向提出具有统筹性、影响力的专项立法。美国参议院和众议院于6月3

24、日发布了 美国数据隐私和保护法草案。多级多行业监管之下，缺乏一个统一、全面的联邦数据隐私保护法律一直以来是美国所面临的一大问题。作为第一个获得两党两院支持的美国联邦全面隐私提案，美国数据隐私和保护法意味着在美国在制定全面数据隐私框架上的努力。虽然美国数据隐私和保护法仍有待商榷，但 2020 年11 月通过的加州隐私权利法案（CPRA）将于不久后（2023 年 1 月 1 日）生效，同年 7 月 1 日执行，也意味着美国在隐私保护问题上的强监管趋势，新法案势必对企业施加更为严格的隐私保护义务，并增强消费者权利。与此同时，脱欧后的英国也在推动数据保护和数字信息法案，试图对数据保护框架进行更新并取代

25、英国 GDPR。另一方面，从合规认证的角度推动隐私保护规则完善，欧盟委员会今年推出首个获批的欧盟通用数据保护条例（GDPR）认证体系Europrivacy（欧洲隐私）。作为第一个符合 GDPR 规定的官方认证机制，Europrivacy用于评估、记录、认证和评价企业的合规情况。基于评价、认证规则，企业将进一步加强合规评估，减少不合规的个人数据处理行动，同时还可以依赖Europrivacy 评估企业跨境数据传输的充分性。二是在数据出境安全问题上，以个人信息出境安全评估办法（征求意见稿）信息安全技术 数据出境安全评估指南（征求意见稿）为基础，我国先后于6月30日、7月7日、8月31日出台 个人信息

26、出境标准合同规定（征求意见稿）和数据出境安全评估办法数据出境安全评估申报指南（第一版），明确了数据出境安全评估的流程和要求，为促进数据依法有序流动提供关键指导。目前数据出境合规路径主要分为三条，包括数据出境安全评估、专业机构个人信息保护认证、签署标准合同。此外，各国之间也在频繁开展关于数据出境方面的磋商，如部分国家达成数据跨境协议、一些国际组织成员国已经联合签署与数据安全有关的贸易协定。以美欧为例，自“隐私盾”失效后，今年 3 月，美欧就新的“跨大西洋数据隐私框架”达成原则性协议，新框架标志着美国方面做出了前所未有的承诺根据“跨大西洋数据隐私框架”，美国将制定新的保障措施，以确保信号情报监视活

27、动在追求确定的国家安全目标方面是必要的和相称的，并且承诺建立一个有约束力的两级独立补救机制，加强对信号情报活动的严格分层监督。此后，美国又于 10 月发布全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report07全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report08了一项加强美国信号情报活动的行政命令，旨在促进欧盟和美国之间未来的数据传输。虽然美欧在数据隐私保护方面仍然存在分歧，并且缺

28、乏一个可行的法律结构来兑现美国对于隐私保护的承诺，但通过数据跨境国际协议、协定构建数据流通仍然是应对数据出境安全问题的一个重要思路。三是在公共数据共享利用方面，包括我国在内的多个国家都在积极探索公共数据的共享、开发利用，试图激发公共数据的潜在价值，为市场化运作、创新研究等提供数据支撑。在释放公共数据红利的同时，各国政府也在加快公共数据有关法律条例文件的制定与出台，守好安全底线，做好重要数据、商业秘密与个人信息保护。今年，在欧洲数据战略指导下，欧洲数据治理法案正式公布并将于 2023 年陆续实施。该法案将在数据共享、开发利用问题上，进一步平衡公共数据的流通使用与安全合规问题，增加欧洲对数据共享的

29、信任并为产品和服务的研究与创新建立可信的数据使用环境。四是在个人与企业数据共享方面，共享范围、权限分配、隐私保护等都是亟待解决的问题。目前欧洲在数据共享方面开展了更多的探索。欧盟委员会于 2 月 23 日公布数据法案草案全文，重点聚焦企业之间以及企业与政府之间的数据共享。其中，重点推进消费者和企业对其拥有的数据拥有更多的控制权，自主决定如何使用数据。5 月 3 日，首个欧洲健康数据空间正式启动，促进针对个人健康数据的访问与流通。通过充分利用健康数据，为诊断治疗、科研创新等决定提供数据支持，增强欧盟公民对其个人健康数据的控制权。据了解，继欧洲健康数据空间之后，欧洲下一个政策目标将放在交通领域，并

30、计划于 2023 年上半年推出交通公共数据空间。欧洲促进个人与企业数据共享的方式主要分为3 种，包括企业依法为个人提供其使用相应产品或服务所产生的数据；个人出于个人需要（如为获取第三方服务）可主动选择与第三方进行数据共享；依托数据中介机构（数据经纪人、数据利他主义组织等）生态开展数据交易共享。不论是依循上述哪种思路，均需确保数据在共享过程中的可信、安全。为此，有关数据安全责任界定与安全保障有关的法律制度也在探讨之中。2022 年，除了欧盟数据法案，数字市场法数字服务法的立法进程也显著加快。6 月 15 日，大西洋另一边的美国则提出了健康和位置数据保护法案，提出禁止数据经纪人出售位置和健康数据等

31、敏感信息。该提案对交易共享的数据类型进行了限制，试图平衡个人与数据中介之间的利益关系。总体来看，在个人信息尤其是个人敏感信息的共享流通机制上，通过立法手段管控市场主体之间的数据交易、加强政府引导，构建公平、当前的个人信息保护法律进路在于通过赋权模式，为自然人赋予个人信息主体权利，这就导致在大多数个人信息应用场景下，征求个人信息主体的授权同意成为唯一的合法性基础，由此为企业主体带来了一系列的合规义务，包括知情同意、最小必要、公开透明等。而算法作为数据生产力转化的重要引擎，也同时引起监管重视，从全球范围来看，算法的监管模式还不成熟，但是普适性算法监管制度供给不断涌现。2021 年 4 月，欧盟委员

32、会公布了关于“欧洲议会和理事会条例：制定人工智能的统一规则（人工智能法案）并修订某些联盟立法”的提案，确立了算法应用主体和政府在算法应用过程中应遵循的底线原则，并界定了基于风险等级的算法应用场景。2022 年，欧盟数字服务法案数据治理法案和数字市场法案对互联网数据应用规则进行全面改革，加强构建平台型企业的算法责任体系。为促进数据再利用，数据治理法案欲将建立数据中介服务机制，并强调数据的利他主义，为欧盟单一数字市场奠定基本的数据使用管理规则，平衡企聚焦数据、算法层面的立法现状与监管动向，各国明显加快数据保护及算法治理相关工作，优化法律基础，构建强监管环境。第一，大型跨国科技公司成为重点监管对象。

33、一方面，大型跨国科技公司基于业务需要所收集、存储与处理的数据，在数据量和数据重要程度上一般会高于普通公司，具有更高的数据价值与潜在风2.2 算法应用合规现状与趋势2.3 监管路径与发展趋势业数据利用和公民个人数据保护之间的利益诉求。类似地，为解决算法自动化决策所引起的社会公众不满问题，美国一直以来也高度关注算法监管问题，2017 年 12 月签署通过了美国立法史上第一个对公用事业领域算法进行问责的法案，即算法问责法案；20192022 年，美国立法者相继提出并持续更新算法责任法案，旨在为软件、算法和其他自动化系统带来新的透明度和监督方式。其中2019 年算法问责法案强制要求相关实体针对高风险自

34、动化决策系统进行数据保护影响评估，提高数据应用的透明性和规则的可解释性。我国近年来也愈加重视算法监管，2021年9月，国家互联网信息办公室等部门联合印发关于加强互联网信息服务算法综合治理的指导意见，提出算法安全监管体系，规定了算法备案、算法监督检查、算法风险监测、算法安全评估等四项举措。其中，算法备案是算法安全监管的抓手和基石；算法监督检查和算法风险监测相辅相成、互为补充，检查是现场监测，监测是线上检查；算法安全评估是出口，是算法安全监管的落脚点。险。例如，近年来国内外的大型跨国科技公司侵犯个人隐私、滥用数据、数据泄露等问题层出不穷，使得更加严格的监管势在必行；另一方面，数据安全不仅要以监管机

35、构为主导，还需要社会、企业、群众等主体共同发挥作用，而大型跨国科技公司具备一定的社会影响力，由其开展的最佳实践或倡议行动都有助于建设更好的数据安全环境。因此，将全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report09跨国互联网巨头作为数据保护监管的重点对象，不仅有利于海量数据保护，而且在执法层面也更具有示范和预警效果。第二，数据出境活动成为重点监管情形。数据本地化趋势在全球范围内尤其是发展中国家愈发凸显。关键信息基础设施的运营者、大型跨国企业或开展海外业务的企业需要重点关注围绕“跨境数据传

36、输”“数据本地化存储”“数据隐私保护”的当地法律规定。目前跨境数据流动治理及监管暂未形成全球性规制体系，但包含中国在内的部分国家已经出台相应法律法规。以我国 9 月 1 日起施行的数据出境安全评估办法为例，明确了数据出境的具体流程。一是事前评估，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。二是申报评估，符合申报数据出境安全评估情形的，数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估，由国家网信部门收到申报材料之日进行评估。围绕数据出境的监管，重点在于出境这一活动是否对国家安全、公共利益、个人或者组织合法权益带来风险。第三，安全审查成为关键领域数

37、据安全强监管的重要举措。网络安全审查一般是针对关系国家安全和社会稳定的信息系统中所使用的信息技术产品与服务开展审查与监督。当前美国、中国等多个国家已设置审查制度，并且随着安全态势变化，审查范围也在进一步拓展。以美国为例，其网络安全审查涵盖外国投资、关键基础设施保护、供应链安全管理等。目前，全球网络安全审查更聚焦于关键领域及信息科技行业。值得注意的是，国家将安全审查作为重要监管手段之一，以实现数据安全这一最终目的，但考虑到不同国家的网络安全审查制度和体系可能存在法条竞合或法条冲突，需要企业进行预先自审自查。第四，合规性评估与安全检查成为数据安全日常监督的举措。在日常监管工作中，除了网信办、工信部

38、、各地通管局等部门围绕违法违规收集使用个人信息等情形定期对 App 开展技术检测，开展通报、批评、下架处理等执法活动。数据安全检查专项活动也取得了阶段性成效，成为主要监管举措。2022 年，浙江省、广东省、北京市、上海市等多省市已经开展电信和互联网行业或车联网行业的网络与数据安全检查工作，重点聚焦企业的数据安全保护落实情况、个人信息和用户权益保护工作情况。数据安全合规评估作为检查的一部分，对于企业自查自改具有全面指导意义，同时既可以作为数据安全符合性成果报告，也可以作为直接向监管部门提供的企业履行数据安全合规评估工作的证明。第五，算法监管的未来趋势将从个人信息保护基本原则出发不断提高其数据的可

39、溯源性和规则的可解释性。从各国的算法监管思路来看，个人信息保护要求下的个人信息处理规则公开透明和个人信息自主决定权与算法黑箱模式形成冲突，虽然技术中立，但是算法的设计和数据的筛选都掺杂的人为因素，如果没有中立的第三方进行算法治理和监管，容易导致算法歧视和舆论引导，对部分群体的权益造成影响。其中，数据的可溯源性，指数据的来源无瑕疵，对于个人信息的处理，需要取得个人信息主体的授权，这就要求，算法的数据提供方需要在数据收集时充分告知个人信息主体关于数据收集的种类和应用目的，如果需要向第三方共享，还必须向其告知共享的第三方主体基本信息。根据我国个人信息保护法对个人信息的定义，将匿名化后的全球数据合规与

40、隐私科技发展报告Global Data Compliance and Privacy Technology Development Report10全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report11信息排除在外，这为隐私计算的发展提供了发展窗口，即通过“数据可用不可见”的方式实现数据的流通和利用将成为算法合规路径之一。规则的可解释性同样映射出个人信息主体权利的要求，由于法律对个人信息人格性权益的认可，个人信息主体参与到数据的权益配置链路中，算法的使用主体应当承担相应的披露义务，明确告

41、知公众关于算法使用的基本逻辑，接受公众的监督，保障个人信息主体对算法使用的知情权。1 月 10 日3 月 10 日5 月 25 日7 月 21 日7 月 26 日8 月 24 日意大利的数据保护机构宣布对一面部识别公司违反欧盟法律的行为处以 2000 万欧元罚款。该公司从互联网上搜集自拍，积累了约100亿张脸的数据库，积累了约 100 亿张脸的数据库，为其出售给执法部门的身份匹配服务提供数据支持某社交平台因不当使用用户数据，达成 1.5 亿美元庭外协议。除罚款外，该平台还必须接受对其数据隐私计划的审计以及其他限制因存在 16 项违法事实，国家互联网信息办公室对某出行平台处人民币 80.26 亿

42、元人民币罚款，对公司董事长、总裁各处人民币 100 万元人民币罚款 某公司对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患。广州警方依法处以警告并处罚款人民币 5 万元人民币的行政处罚某著名化妆品品牌就其侵犯消费者隐私一事达成和解协议，决定支付 120 万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制某银行因违反信用信息采集、提供、查询及相关管理规定，被中国人民银行上海分行罚款 1674 万元人民币个人信息保护法征信业务管理办法通用数据保护条例（GDPR）美国联邦贸易委员会法网络安全

43、法数据安全法个人信息保护法数据安全法美国加州消费者隐私法案不正当采集、使用用户的个人信息非法处理用户的个人数据未经用户同意使用个人信息；未明示收集、使用个人信息的目的、方式和范围过度收集个人信息、个人敏感信息；超范围获取用户权限，未告知用户个人信息处理目的等；存在严重影响国家安全的数据处理活动未建立数据安全管理制度和操作规程出售、非法提供消费者个人信息附：数据合规监管处罚典型案例（2022 年）时间案例简介适用法律风险点9 月 5 日9 月 14 日9 月 26 日10 月 13 日10 月 20 日韩国个人信息保护委员会（PIPC）对两大公司合计处以 1000 亿韩元（约合 7190 万美元

44、）的罚款，这是该委员会对个性化广告数据收集的首次处罚，也是有史以来韩国因涉嫌违反个人信息保护法而被处以的最高罚款金额某社交平台可能在没有适当的父母同意的情况下处理了英国 13 岁以下儿童的数据。该公司还涉嫌没有以简洁、透明和容易理解的方式向其用户提供适当的信息，并在没有法律依据的情况下处理特殊类别的数据。英国信息专员办公室（ICO）将对其罚款2700 万英镑某科技公司在处理政务类数据时违规操作，导致数据存在泄露风险。上海网信办对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚某跨境电商平台在英国面临 8.89 亿英镑的诉讼，被控其滥用主导地位，操纵算法偏袒自身产品 因涉嫌不当处理青少

45、年相关数据（如青少年用户的账户状态被默认设置为“公开”；平台收集青少年用户的电话号码或电子邮件地址数据），某社交平台将被爱尔兰数据保护委员会（DPC）处以 4.05 亿欧元（约合 4.02 亿美元）罚款通用数据保护条例（GDPR）韩国个人信息保护法英国数据保护法案数据安全法英国垄断法不当处理未成年人数据未经用户同意收集个人信息；不正当使用用户个人信息用于个性化在线广告和其他目的未经监护人同意处理未成年人信息；不正当处理个人敏感信息违规操作且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险算法垄断时间案例简介适用法律风险点全球数据合规与隐私科技发展报告Global Data

46、Compliance and Privacy Technology Development Report12在算法监管规则日渐明晰的背景下，隐私科技的市场需求与日俱增，但是市场应用还难以推广。除了因为技术本身不成熟、缺乏可靠的技术标准以及多方数据融合处理需求不明晰等技术和应用层面2.4 从算法监管看隐私科技的破局思路的原因外。更重要的原因在于，在当前个人信息保护规则下，个人信息的概念外延不断扩大，法律除保护可用于直接识别自然人的信息外，算法应用中被加工的数据也受到同等法律保护，这类数据被称全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Tec

47、hnology Development Report13为与个人信息主体相关联的信息。无形中增加了数据应用的合规难度和算法的透明度要求。隐私计算作为隐私科技中的核心技术能力体现，为了实现在安全的前提下促进数据的可持续流通，其破局思路具体要从法律规则层面进行先行引导和规划：（1）提高数据的匿名化程度我国个人信息保护法中将匿名化定义为“个人信息经过处理无法识别特定自然人且不能复原的过程”，并将匿名化处理后的信息排除在个人信息之外，这为算法类应用的发展提供了合规思路，即通过隐私计算实现数据的匿名化处理效果，在匿名化的前提下实现数据的“可用不可见”。但是随着大数据技术的发展和数据的泛在化，完全做到匿名

48、化可能是个伪命题，典型的例子是搜索记录的重新识别，美国在线网站曾经公布 2000 多万条匿名化处理的用户搜索记录，有研究人员通过把其中多条记录联合分析后，很容易就识别出特定个人的姓名和身份。在当前法律和行业标准尚未界定匿名化实现方式和验证标准的前提下，隐私科技技术需要对匿名化数据的重识别行为做出约束，通过规则设计避免算法运行过程中的中间态数据被重新识别到特定个人。（2）增强算法规则可解释性数据作为新型生产要素，打破了“一物一权”式的传统物权体系下的主客体对应关系，这就导致算法的开发方和利用方需要向个人信息主体披露数据处理的逻辑，以达到合规的要求。隐私科技技术在实现匿名化信息处理的前提下无疑也增

49、加了算法可解释性的难度。例如在多方安全计算中，由于数据供给方互相并不知道对方的数据特征和群体特征，用于算法训练的数据仅限于中间态计算结果，数据黑箱导致算法计算最终结果的可解释性变差，因此，即便是“心怀善意”的技术提供方，也会因为数据的不完全透明导致数据的虚假乃至错误应用。隐私科技如何实现算法的可解释性，降低算法偏差将成为合规必须攻破的难题。（3）遵循应用伦理先行原则由于算法与决策直接相关，从本质上来讲，算法是客观规律的数学表达和理性预测，但是算法的运算逻辑和数据输入都是由人来完成的。在隐私科技加持下的算法虽然一定程度提高了数据匿名化的程度，但是增加多个数据处理环节和应用主体，包括数据提供方、技

50、术提供方和数据应用方，其中数据提供方可能涉及跨行业多个主体，这多方主体彼此之间难以对算法开发过程中的信息做到完全披露和理解，信息的不对称同样也会影响技术的中立性，从而导致计算偏差和算法歧视，算法不仅会将代码中固有的决策保存下来，还会在预测过程中不断固化歧视而创造出新的现实。因此隐私科技的推广必不可缺少中立第三方对数据源、算法模型的伦理审查，通过降低信息不对称性和融入社会学分析，加强算法的伦理审查，以促进隐私科技的向善发展。全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report14企业隐私保护