Global Data Compliance and Privacy Technology Development Report 全球数据合规 与隐私科技发展报告2021 版权声明 本报告版权属于安永 （中国） 企业咨询有限公司与上海赛博网络安全产业创 新研究院。 转载、 摘编或利用其它方式使用本报告文字或者观点的， 应注明来 源。 违反上述声明者， 将追究其相关责任。COPYRIGHT STATEMENT 出品方 安永 （中国） 企业咨询有限公司 上海赛博网络安全产业创新研究院 编写组成员 高轶峰 惠志斌 王 瑾 周雪静 麦尔维娅 唐巧盈安永 （中国） 企业咨询有限公司大中华区网络安全和隐私保护服务主管合伙人 上海赛博网络安全产业创新研究院院长， 首席研究员 安永 （中国） 企业咨询有限公司网络安全和隐私保护服务高级经理 上海赛博网络安全产业创新研究院高级研究员 安永 （中国） 企业咨询有限公司网络安全和隐私保护服务咨询顾问 上海赛博网络安全产业创新研究院高级研究员 FOREWORD 前 言 全球迈入数字经济时代， 数据成为驱动各国经济社会创新发展的关 键生产要素， 经济价值与战略价值愈发凸显， 与之对应的安全威胁与隐 私挑战也日益严峻。 为此， 近年来各国加快了数据领域的立法和监管， 包 括欧盟 《通用数据保护条例》 、 美国 《加州消费者隐私法案》 以及我国的 《数据安全法》 《个人信息保护法》 等法律法规密集出台， 一个严厉而缜 密的数据合规体系在全球快速织就。 在此背景下， 企业的数据合规与风险治理的步伐亟待加速。 然而从 实践层面看， 企业数据合规极为复杂， 不仅需要实现数据可用性和安全 性的科学平衡， 又需要覆盖法律、 管理、 业务、 技术等专业领域， 传统的 合规模式和安全技术难以为继， 隐私科技应运而生， 成为破解数字经济 时代企业数据合规的关键路径。 2021年， 是中国数据合规的 “元年” ， 也是全球隐私科技的 “风口” 。 本报告全面梳理了国内外数据合规尤其是数据隐私的合规体系， 首次提 出隐私科技的概念、 内涵和外延， 并通过对近百家头部企业进行问卷调 研， 覆盖金融、 科技、 媒体与通信、 消费品、 生命科学等行业， 客观了解企 业数据合规的现状与隐私科技的需求， 最后为国内外企业数据合规实践 提供创新思路， 供业内参考。数据经济时代的 安全与隐私挑战 1 PART目录 CONTENTS 第一章 数据经济时代的安全与隐私挑战 02 第二章 国内外数据安全法监管现状 第三章 隐私科技发展趋势 第四章 企业隐私保护及隐私科技应用现状调研结果1.1 / 相关概念界定 1.2 / 全球数据安全风险挑战 1.2.1 数据泄漏引发多重风险 1.2.2 数据不当使用侵占隐私空间 1.2.3 边缘防护薄弱暴露用户隐私 1.2.4 数据跨境流动引发合规担忧 2.1 / 数据安全立法及监管现状概述 2.1.1 中国： 综合性立法明确规范数据安全基线 2.1.2 欧盟： 构筑统一的数据安全治理规则框架 2.1.3 美国： 以隐私权为基础开展灵活分散立法 2.1.4 全球范围内： 加快数据安全立法部署 2.2 / 数据合规监管路径与重点 2.3 / 全球数据合规监管处罚典型案例 （2019-2021年） 3.1 / 隐私科技概念 3.1.1 常见隐私科技解决方案类型 3.1.2 主流隐私计算技术介绍 3.2 / 隐私科技产业发展现状与趋势 4.1 / 企业隐私保护建设与投入趋势 4.1.1 企业隐私保护建设现状 4.1.2 企业隐私科技投资趋势 4.2 / 隐私科技主要优势 4.2.1 满足法律和行业监管合规要求的助力 4.2.2 促进数据共享、 流通、 交换和使用 4.2.3 实现内部运营和管控的自动化， 提升运营效率 4.2.4 将数据泄露风险最小化， 取得数据安全与业务挖掘的平衡 02 04 04 05 06 07 10 10 11 12 13 13 15 18 19 22 25 28 28 36 38 39 39 39 3909 18 27目录 CONTENTS 第四章 企业隐私保护及隐私科技应用现状调研结果 4.3 / 企业实施隐私科技所面临的挑战 4.3.1 企业实施隐私科技的三大挑战 4.3.2 企业实施数据合规与隐私保护管理平台的挑战 4.4 / 企业对隐私科技考虑因素与期望 4.4.1 选择隐私科技解决方案的考虑因素 4.4.2 企业选择解决方案时关注的资质 4.4.3 企业对国内隐私科技市场的期望 4.5 / 行业应用场景 4.5.1 用户授权管理 （CONSENT MANAGEMENT） 为 消费者提供透明、 可控的隐私权利 4.5.2 隐私计算平台为汽车行业数据出境场景提供合 规的、 低风险的方式 4.5.3 隐私管理平台为金融企业提供统一、 标准、 高效 的合规运营机制27 第五章 未来展望 第六章 参考文献5.1 / PRIVACY BY DESIGN 隐私内嵌于设计 5.2 / 数据合规及隐私保护专业培训推动合规实践 5.3 / 技术成熟度和通用性亟待标准化制定 5.4 / 开源驱动行业创新发展与生态建设 5.5 / 规模化行业应用构建数据智能网络平台56 5940 40 41 44 44 44 46 47 47 49 51 56 56 57 57 58全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 02 托夫勒在 《第三次浪潮》 （The Third Wave） 一书中指出， 伴随科学技术的发展， 人类文明以浪潮的方 式演进， 每次浪潮都有若干重要的子波。 发端于上世纪中叶的数字文明先后经历了计算机、 互联网等重大 的工具性革命之后， 迎来了云计算、 移动互联网、 物联网、 大数据、 人工智能等新一代信息技术群落的形成 和扩散， 数字文明的一个重要子波⸺以 “数据” 为关键生产要素驱动经济社会创新发展的时代已然来临。 数据经济时代， 数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。 但 是随着数据技术的普及、 数据的泛在流通以及数据价值的激增， 针对数据资源的外部攻击和内部滥用现 象屡见不鲜， 与之对应的企业数据合规和风险治理能力存在不足， 企业数据安全和用户隐私已经成为关 系个人权益、 社会稳定和国家安全的核心议题。 本报告首先对信息、 数据、 个人信息、 隐私、 数据安全、 数据合规、 隐私保护、 隐私科技等概念及其关系 进行界定， 便于后续内容的理解。 图1 信息、 数据、 个人信息、 隐私的关系 PART 1 数据经济时代的安全与隐私挑战 PART数据经济时代的安全与隐私挑战 1 1.1 相关概念界定 基于海量 个人信息 的重要统 计数据； 包 含人脸信 息等敏感 信息的车 外视频、 图 像数据个人 基本 身份 信息个 人 敏 感 信 息包含提炼 海量个人信息隐私信息 对数据的提炼数据 对信息的记录 核心数据 重要数据个人信息 与已识别或者可识别的 自然人有关的各种信息 一般数据 非个人信息私密空间 私密活动私密信息全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 02信息被认为是和物质、 能量并列的构成世界的三大要素之一。 国际上较为经典的定义包括： 信息是 “用来消除不确定性的事物” （香农1948） ； 信息是 “我们在适应外部世界， 控制外部世界的过程中同外部世 界交换的内容” （维纳， 1948） ； 中国国家标准 《情报与文献工作词汇基本术语》 （GB489885） 将信息定义为 “物质存在的一种方式、 形态或运动形态， 也是事物的一种普遍属性， 一般指数据、 消息中所包含的意义， 可以使消息中所描述事件中的不确定性减少” 。 数据是信息的表现形式， 是为了让人们更好地使用或处理信息的一种编码形式。 数据原本表示事物 性质/数量变化的数值集合， 最早应用于科学测量领域。 随着现代信息技术发展， 人们开始利用电子计算 机和现代通信技术获取、 加工、 传递和利用信息， 越来越多的信息通过计算机进行数字化编码并以数据库 的形式存储， 数据的内涵也因此开始扩大， 不仅指代 “有根据的数字” 或是 “计算加工的数字” ， 而且是成为 “数字、 文本、 图片、 视频” 等一切信息类型在信息技术环境下的记录。 现代信息技术发展丰富了数据的内 涵， 使得人类对数据资源的采集、 生产、 开发、 保存等能力得到空前提升。 企业、 政府、 个人都直接参与到了 数据生产和消费。 数据类型不仅包括结构化数据， 还包括越来越多的非结构化数据。 根据 《中华人民共和 国数据安全法》 的定义， 数据为 “任何以电子或者其他方式对信息的记录。 ” 根据重要敏感程度， 数