1、本报告版权属于出品方所有,并受法律保护。转载、摘编或利用其他方式使用报告文字或者观点的,应注明来源。违反上述声明者,本单位将追究其相关法律责任。COPYRIGHT STATEMENT出品方编写组成员安永(中国)企业咨询有限公司上海赛博网络安全产业创新研究院高轶峰惠志斌王瑾周雪静蒋采玲王龙飞吴梦庭李顾元孙思瑄安永(中国)企业咨询有限公司大中华区网络安全和隐私保护服务主管合伙人上海赛博网络安全产业创新研究院院长,首席研究员安永(中国)企业咨询有限公司网络安全和隐私保护咨询服务高级经理上海赛博网络安全产业创新研究院高级研究员安永(中国)企业咨询有限公司网络安全和隐私保护咨询服务经理上海数据安全协同创
2、新实验室秘书长安永(中国)企业咨询有限公司网络安全和隐私保护咨询服务顾问某公司隐私合规专家某公司隐私合规专家版权声明2020年4月10日,中共中央国务院发布 关于构建更加完善的要素市场化配置体制机制的意见,首次在中央顶层文件中将数据列为新型生产要素。近年来,数据要素的重要程度提升,数据市场进一步完善。与此同时,AI 大模型迭代和算力升级则深度激发了数据价值,然而,数据流通与安全合规之间的不对称却呈现加剧的趋势。为寻求发展和合规的平衡,全球范围内的隐私科技和数据合规产业也迎来了迅猛发展。在此背景下,安永与赛博研究院联合发布第三期年度全球数据合规与隐私科技发展报告。本报告全面梳理了国内外数据安全与
3、算法应用的合规体系,对隐私科技的概念、内涵和外延进行更新,并通过对近百家头部企业的问卷调研,覆盖金融、科技、媒体与通信、消费品、生命科学、制造业等行业,客观了解企业数据合规的现状与隐私科技的需求,最后为国内外企业数据合规实践提供参考案例与创新思路,供业内参考。全球近 100 个国家和地区已制定数据保护相关法律,数据安全、算法应用有关立法进程加快,合规本地化的全球性趋势将进一步加强。全球数据合规领域执法力度加强,截至 2023 年 8 月 14 日,GDPR 执法总数 1778 起,罚款总额超 40 亿欧元。企业面临合规人员招聘、安全产品及服务采购等合规成本与监管罚款等不合规支出的双重压力。企业
4、更加重视数据合规与隐私保护,完善数据合规与隐私保护职能和管理体系,提升数据合规与隐私保护汇报层级,加大数据合规与隐私保护的人员和资金投入。22%的企业直接向高级管理层汇报工作,82%的企业认为在过去 12 个月的投入满足需求。更多企业发现隐私计算的价值并付诸实践,隐私计算在更多风险控制和数据流通等业务场景中发挥着重要作用,并在元宇宙、工业互联网与区块链等新兴科技中崭露头角。在未来十二个月,更多企业选择保持对隐私科技的投入水平,力图稳中求进。从隐私科技产业发展来看,数据分类分级、数据流通监控、数据风险与隐私影响评估、数据与隐私综合治理是当前的热门细分赛道。后续围绕提高数据的匿名化程度,增强算法可
5、解释性,加强落实伦理先行原则,将进一步赋能隐私科技的合规能力。主 要 发 现全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report1.1 1.2020306090912152330323345454646474736374103030404121213383848493.1 3.23.33.43.55.1 5.25.35.45.55.64.1 4.24.32.1 2.22.32.4“隐私科技”的概念界定全球数据合规与隐私保护挑战企业数据合规与隐私保护概况企业隐私科技应用程度企业隐私科技投资趋
6、势企业对国内隐私科技市场的期望企业实施隐私科技所面临的挑战市场:数据合规即服务衍生新的商业机会应用:隐私设计原则从理论到企业实践 人才:数据合规及隐私保护人才缺口增长 标准:技术成熟度和通用性标准亟待制定 技术:开源驱动行业创新发展与生态建设 产业:规模化应用构建数据智能网络生态 常见隐私科技解决方案类型主流隐私计算技术隐私科技产业发展典型案例 1:运营商行业数据分类分级典型案例 2:隐私计算应用数据安全立法现状与动向算法应用合规现状与趋势监管路径与发展趋势从算法监管看隐私科技的破局思路(1)遵守不断发展变化的法律法规(2)高昂合规成本带来的经济压力(3)复杂的第三方风险管理挑战(4)数据频繁
7、流通引发的安全威胁(1)提高数据的匿名化程度(2)增强算法规则可解释性(3)遵循应用伦理先行原则(1)运营商行业数据安全痛点(2)运营商行业客户信息保护目录CONTENTS第 1 章 数据经济时代的安全与隐私挑战第 3 章 企业隐私保护及隐私科技应用现状调研第 5 章 未来展望附录第 4 章 产业发展洞察与典型实践第 2 章 全球数据安全立法及监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report01数据经济时代的安全与隐私挑战01P-A-R-TPART 1当前,大数据正在迅速改变全
8、球的经济面貌。在数字经济的发展过程中,企业和个人持续依赖大数据与不断更迭的数字技术,驱动数据处理活动、探索数据创新。然而,繁荣背后隐藏风险,数据的价值吸引内外部的恶意攻击与频繁掠夺,数据的流通引发个人隐私担忧与合规警惕。从漏洞攻击到数据窃取,从经济损失到合规成本,从系统安全到隐私保护,以安全与隐私为主题的风险正成为影响数字经济发展的关键因子。对此,企业正在积极采取措施,运用“数据+算法”、“隐私+合规”等技术与服务手段,制定应对安全与隐私挑战的安全战略与整体解决方案。在 2021 年发布的2021 全球数据合规与隐私科技发展报告中,我们将隐私科技定义为:用于支撑隐私保护与合规的日常运营流程,且
9、嵌入到 IT架构和业务场景中的一系列技术解决方案,在保证全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上,实现保护个人信息权益、提升数据流通、共享与开放、促进个人信息合理开发利用的目的。1.1“隐私科技”概念界定数据经济时代的安全与隐私挑战图 1 隐私科技概念图示(2022 版)全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development
10、Report03今年,基于对国内隐私科技厂商的普遍性研究,全球数据合规与隐私科技发展报告(2022-2023)对隐私科技框架进行了更新与完善,主要体现在凸显应用场景的重要性,强调隐私科技在数据处理全生命周期中的应用,以及在金融、医疗、政务等重点行业的实践趋势;对隐私科技解决方案与底层支撑技术进行梳理与更新。现将隐私科技定义更新为:在日常运营流程中,通过嵌入 IT 架构和业务场景支撑主体数据合规和隐私保护的一系列工具、服务及技术解决方案。通过将隐私科技应用于个人信息全生命周期或各行业个人信息处理场景中,在增强保护个人信息、规范个人信息处理活动的基础上,实现保护个人信息权益,推动数据流通、共享与开
11、放,促进个人信息合理开发利用的目的。数字世界里,合规与隐私保护作为反复出现的话题,也是企业在经营、上市、融资、发展过程中的“必经之路”。当前企业为满足数据合规与隐私保护需要,面临诸多挑战,包括满足来自监管的迫切要求,应对围绕数据处理全生命周期的外部攻击与内生安全风险。(1)遵守不断发展变化的法律法规随着与数据相关的法律体系的不断完善,企业面临的首要挑战是来自国际监管环境的变化。首先是适应全球不断发展变化的法律法规,包括遵守已经生效、即将生效的数据合规要求涵盖当地数据合规与个人信息隐私保护、跨境数据传输安全合规要求等。由于法律法规要求众多且持续更迭,企业及其内部合规团队不得不面临合规制度不完善、
12、合规要求更新不及时、合规措施落实困难等现实挑战。其次是适应“当地”法律法规,由于各国在数据安全方面的立法存在标准不一、条款冲突的情形,因此跨国企业需重点关注业务经营所在国家的法律合规要求,加强监测预警,规避和降低跨国经营合规风险。在不损害国家安全、公民个人信息安全的前提下,以“安全合规本土化”为原则,提升企业境1.2 全球数据合规与隐私保护挑战外市场的综合竞争力。(2)高昂合规成本带来的经济压力鉴于全球监管格局的不断变化,企业为了适应日益严格的监管与处罚,面临更大的经济压力。一是表现在不合规成本支出上,即支付因违规带来的高额罚款。截至 2023 年 8 月 14 日,通用数据保护条例(简称“G
13、DPR”)执法总数 1778 起(相较去年 11 月 30 日的统计数据,增加 562 起),GDPR罚款总额超 40 亿欧元(增加约 20 亿欧元),最高的一笔罚款为 2023 年 5 月针对某国际互联网巨头开出的 12 亿欧元罚款*。不仅 GDPR 的执法强度大、频次高,其他国家的监管处罚也不容小觑。以我国为例,伴随执法常态化发展,监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等多种手段。监管处罚对象不仅包括企业,还覆盖到高管及相关责任人,处罚方式主要体现为警告与罚款。譬如 2022 年 7 月,国家互联网信息办公室对某出行平台处人民币80.26亿元人民币罚款,对公
14、司董事长、总裁各处人民币100万元人民币罚款。二是表现在企业在数据合规与隐私保护工作上投入更多预算。企业通过技术、工具和组织架构的调整提升整体合规能力,具体包括组建数据安全团队,*Source:https:/ CDO(首席数据官)制度,配备专职隐私保护人员及合规法务人员,应用隐私计算等技术,采购第三方合规风险评估服务等。其中,在人才需求方面,由于国内法律法规对于开展相关业务的企业提出数据安全管理相关要求,个人信息保护法更是明确指出处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。然而,由于当前数据合规与隐私保护的专业人员仍然存在较大的市场缺口,导致部分企业仍然因为
15、缺乏人才,无法满足实际的数据合规和隐私保护工作需求。整体来看,数据安全预算的增加一定程度上给企业带来了额外的成本,尤其是对于初创企业或中小企业来说。然而,根据2022 全球隐私基准报告 研究显示,数据监管不合规的成本是合规成本的 2.71倍,因此仍有 42%的公司打算在隐私计划上花费超过 100 万美元,采取更多措施促进隐私保护。此外,根据 IBV 发布的网络经济中的繁荣研究显示,网络安全成熟度最高的组织在五年内的收入增长率比最不成熟的组织高出 43%,数据安全在一定程度上也可以被视为企业经济和价值增长的措施。因此承担合规成本对于企业长期发展而言是必要的。(3)复杂的第三方风险管理挑战企业不仅
16、面临自身的内外部安全威胁,还需要做好第三方风险管理。第三方数据处理者因供应链攻击或数据安全合规能力不足而产生的风险,正在对企业造成直接影响。从供应链角度来看,第三方数据处理者包括了企业直接合作的公司,如材料供应商、分包商、网络托管公司、安全产品提供商、数据服务提供商等可以访问企业系统或数据的第三方主体。由于供应链攻击是网络空间攻防对抗的焦点之一,即便企业自身安全建设成熟度高,攻击者也能利用供应链上下游企业的任一脆弱环节实现入侵。伴随供应链攻击的往往还有企业核心数据、重要数据泄露,让企业防不胜防。从数据处理关系来看,企业的数据源包括内部自主收集以及与第三方产生的数据共享、委托处理、转让,后者既有
17、企业与企业之间的数据共享,也有企业和政府之间的数据共享。在数据传输、存储、处理过程中,第三方的网络安全防护能力以及数据安全保障能力,也是企业需要重点评估的方面。当前,大多数企业都需要重新审视第三方风险管理,尤其在网络安全、数据合规、隐私保护方面。(4)数据频繁流通引发的安全威胁伴随数字化转型,数据的价值与日俱增,数据的流通性也成为创新发展的必然要求。在此基础上,企业采用 AI 技术、自动化工具、混合云部署等多种手段,加快数据从本地向云上,从内网向外网,从境内向境外流通。借助数据流通,推动因开展业务需要而收集与产生的数据的共享与开发利用,进而为市场创造新的价值。与此同时,政府机构也与企业一起,推
18、动发挥数据要素生产力,构建功能齐全的数据要素市场。然而,在数据流通利用过程中,也存在诸多风险隐患。部分企业由于安全管控措施不足、数据可信流通能力建设滞后,导致企业的风险暴露面增加。例如面临联网系统、云上资产等遭受攻击所引发的数据泄露;企业与第三方机构合作共享数据时,数据因明文流通或复制滥用而导致大量隐私泄露;企业因跨境业务需要等原因启动数据出境工作,可能因涉及重要数据,或一定规模的(敏感)个人信息外传,直接危及国家安全、企业合规与个人信息安全。综上,面对复杂的数据流通场景,企业亟须探索基于隐私保护的数据流通解决方案,在安全合规的前提下,促进数据在企业内外部的流通以及拓展数据开发利用的深度和广度
19、。全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report04全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report05全球数据安全立法及监管现状02P-A-R-TPART 2目前全球已有近 100 个国家和地区制定了数据安全保护相关法律,数据安全保护专项立法成为国际惯例。Gartner 预测,到 2024 年,全球 75%的人口将在其个人数据方面受到隐私法规的保护。以中国、美国、欧洲各国为
20、例,中美欧持续围绕数据安全、算法安全立法及监管进行探索与实践。各国持续将数据安全立法作为工作重点,逐步推进实施有关法律法规。值得关注的是,随着数据作为生产要素的价值愈发凸显,数据立法不仅针对个人信息保护,而是已经广泛地涵盖公共数据开发利用、企业数据共享流通、个人数据保护(包括个人信息及个人隐私数据)等多场景。在数据安全与个人信息保护方面,以欧洲、美国、中国为代表的区域/国家在 2023 年以前已经形成了较为清晰、具备特色的法律体系与框架。(1)欧盟以2018年生效的 通用数据保护条例(简称“GDPR”)为核心,构筑统一的数据安全治理框架:GDPR与 非个人数据自由流动条例构成数据安全领域的关键
21、立法体系;电子隐私条例作为 GDPR 在电子通信领域起细化和补充作用的特别法,两者在监管规则上保持一定的一致性;电子证据条例侧重科技企业向政府部门提供数据协助,并保障数据安全;同时在今年 1 月 25 日,欧盟就电子证据的相关法规和指令草案达成协议,有关当局可直接向其他成员国的服务提供者发送获取电子证据的司法令,形成国际跨境司法协助和数据治理的新机制;为保持欧盟个人数据保护级别而采用的数据跨境转移工具全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report06补充措施为数据跨境流动中的数据保护
22、问题提供进一步指导。(2)美国立法体系分为联邦立法和州立法,呈现多级多行业监管特征。1974 年,美国实施的 隐私法案 对政府机构应当如何收集个人信息、收集到的个人信息如何向公众开放及信息主体的权利等做出了详细规定。此后,美国采取分行业的分散立法模式,在金融、健康、教育、消费等行业领域制定数据保护规范。同时,美国多个州在其原有的个人信息保护法律基础上作出修订,进一步扩展“个人信息”定义,补充数据安全法律法规细节。其中,田纳西州、蒙大拿州、爱荷华州、印第安那州、德克萨斯州、加利福尼亚州先后出台隐私法,进一步完善消费者个人信息保护。值得注意的是,美国还通过数据安全立法为其执法机构的域外数据管辖提供
23、依据。2018 年正式签署的澄清境外数据的合法使用法案意味着,美国执法机构在认为可能存在危害美国国家安全的情况下,可以要求跨国企业将存储在他国境内服务器中的与调查事件或者案件相关数据传输至美国执法机构。这意味着执法数据跨境获取需求日益增加的背景下,美国的执法效力将扩展至全球,同时出海企业需要进一步研判多国2.1 数据安全立法现状与动向全球数据安全立法及监管现状数据安全法律法规,规划部署数据存储地,减少合规冲突。整体来看,美国的数据安全立法错综复杂,但仍缺乏统筹性的数据安全法案。(3)我国基于网络安全法数据安全法与个人信息保护法,开展综合性立法。目前,我国的这三部法律分别适用于境内所有网络运营者
24、的包含处理个人信息及数据在内的行为、所有主体处理网络数据和非网络数据的行为、个人信息保护行为。在行政法规、部门规章、地方性法规及标准文件方面,我国也已逐步形成体系,广泛适用不同的行业及数据使用场景。2023 年以来,全球数据安全相关立法进程再次提速,一方面通过推动数据流通、共享、开发利用充分释放数据红利,另一方面通过分行业分场景分企业推动重点监管。一是在隐私保护立法与规范方面,一方面基于原有的数据安全立法基础,美国、英国等国家正在把握机会,在个人信息保护、消费者隐私等细分方向提出具有统筹性、影响力的专项立法。美国参议院和众议院于 2022 年 6 月 3 日发布了美国数据隐私和保护法草案。多级
25、多行业监管之下,缺乏一个统一、全面的联邦数据隐私保护法律一直以来是美国所面临的一大问题。作为第一个获得两党两院支持的美国联邦全面隐私提案,美国数据隐私和保护法意味着美国在制定全面数据隐私框架上的努力。虽然 美国数据隐私和保护法 仍有待商榷,但2020年11月通过的 加州隐私权利法案(CPRA)已正式生效。虽然 CPRA 实施细则的执行时间被推迟至 2024 年 3 月 29 日,为受约束的企业提供更多时间确保其数据保护实践符合加州数据保护局的要求,但这并不影响 CPRA 的后续严格执行。与此同时,2022 年 7 月,英国数据保护和数字信息法案也经下议院提出,试图对数据保护框架进行更新并取代英
26、国 GDPR,在减轻企业负担的同时保持高数据保护标准。另一方面,从合规认证的角度推动隐私保护规则完善,欧盟委员会 2022 年推出首个获批的欧盟通用数据保护条例(GDPR)认证体系Europrivacy(欧洲隐私),并在当年 10 月 10 日公布了对 Europrivacy 认证标准的批准意见,使得该认证标准成为欧盟通用标准。作为第一个符合 GDPR规定的官方认证机制,Europrivacy 用于评估、记录、认证和评价企业的合规情况。基于评价、认证规则,企业将进一步加强合规评估,减少不合规的个人数据处理行动,同时还可以依赖 Europrivacy 评估企业跨境数据传输的充分性。二是在数据出境
27、安全问题上,我国在 2022 年先后出台数据出境安全评估办法数据出境安全评估申报指南(第一版)个人信息保护认证实施规则和网络安全标准实践指南个人信息跨境处理活动安全认证规范 V2.0;在今年 2 月 22日和 5 月 30 日先后出台个人信息出境标准合同办法 和 个人信息出境标准合同备案指南(第一版),明确了数据出境安全评估的流程和要求,为促进数据依法有序流动提供关键指导。目前,我国已初步构建了以“数据出境安全评估、专业机构个人信息保护认证、标准合同签署”为基础的数据出境合规体系。此外,各国之间也在频繁开展关于数据出境方面的磋商,如部分国家达成数据跨境协议、一些国际组织成员国已经联合签署与数据
28、安全有关的贸易协定。以美欧为例,自“隐私盾”失效后,2022 年 3 月,美欧就新的“跨大西洋数据隐私框架”达成原则性协议,新框架标志着美国方面做出了前所未有的承诺根据“跨大西洋数据隐私框架”,美国将制定新的保障措施,以确保信号情报监视活动在追求确定的国家安全目标方面是必要的和相称的,并且承诺建立一个有约束力的两级独立补救机制,加强对信号情报活动的严格分层监督。此后,美国又于 10 月发布全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report07全球数据合规与隐私科技发展报告Global D
29、ata Compliance and Privacy Technology Development Report08了一项加强美国信号情报活动的行政命令,旨在促进欧盟和美国之间未来的数据传输。2022 年 12 月,欧盟委员会启动通过了欧盟-美国数据隐私框架充分性决定的程序,发布充分性保护决定草案。并在今年 7 月 10 日通过了该项充分性决定,明确了新的约束性措施,包括限制美国情报机构对欧盟数据的访问,以及建立数据保护审查法院等。该框架作为新的数据跨境传输机制,标志着欧美数据跨境传输迈入新阶段。三是在公共数据共享利用方面,包括我国在内的多个国家都在积极探索公共数据的共享、开发利用,试图激发公
30、共数据的潜在价值,为市场化运作、创新研究等提供数据支撑。在释放公共数据红利的同时,各国政府也在加快公共数据有关法律条例文件的制定与出台,守好安全底线,做好重要数据、商业秘密与个人信息保护。2022 年,在欧洲数据战略指导下,欧洲数据治理法案正式公布并将于 2023 年陆续实施。该法案将在数据共享、开发利用问题上,进一步平衡公共数据的流通使用与安全合规问题,增加欧洲对数据共享的信任并为产品和服务的研究与创新建立可信的数据使用环境。四是在个人与企业数据共享方面,共享范围、权限分配、隐私保护等都是亟待解决的问题。目前欧洲在数据共享方面开展了更多的探索。欧盟委员会于 2022 年 2 月 23 日公布
31、数据法案草案全文,重点聚焦企业之间以及企业与政府之间的数据共享。其中,重点推进消费者和企业对其拥有的数据拥有更多的控制权,自主决定如何使用数据。2022 年 5月欧盟提出欧洲健康数据条例草案,旨在建立欧洲医疗健康的数据共享框架。2022 年 5 月 3 日,首个欧洲健康数据空间正式启动,促进针对个人健康数据的访问与流通。2022 年 7 月 14 日,欧洲数据保护委员会公布了其内容和欧洲数据保护监督员对欧洲健康数据空间提案的联合意见。通过充分利用健康数据,为诊断治疗、科研创新等决定提供数据支持,增强欧盟公民对其个人健康数据的控制权。据了解,继欧洲健康数据空间之后,欧洲下一个政策目标将放在交通领
32、域,并计划于 2023 年上半年推出交通公共数据空间。欧洲促进个人与企业数据共享的方式主要分为3 种,包括企业依法为个人提供其使用相应产品或服务所产生的数据;个人出于个人需要(如为获取第三方服务)可主动选择与第三方进行数据共享;依托数据中介机构(数据经纪人、数据利他主义组织等)生态开展数据交易共享。不论是依循上述哪种思路,均需确保数据在共享过程中的可信、安全。为此,有关数据安全责任界定与安全保障有关的法律制度也在探讨之中。2022年,除了欧盟 数据法案,数字市场法数字服务法的立法进程也显著加快。2022 年 6 月 15 日,大西洋另一边的美国则提出了健康和位置数据保护法案,提出禁止数据经纪人
33、出售位置和健康数据等敏感信息。该提案对交易共享的数据类型进行了限制,试图平衡个人与数据中介之间的利益关系。2022 年 7 月初,欧盟数字市场法的通过意味着被认定为“守门人”的大型互联网企业需主动向欧盟委员会进行申报。同年 10 月4 日通过的数字服务法,规定禁止数字空间内非法内容的传播,在保护用户的基本权利,确保更安全的在线环境上迈出了重要一步。2023 年 6 月 27日,欧盟议会和欧盟理事会就新的数据法案达成了政治协议。总体来看,在个人信息尤其是个人敏感信息的共享流通机制上,通过立法手段管控市场主体之间的数据交易、加强政府引导,构建公平、安全的数据共享与开发利用空间成为主要管控方式。当前
34、的个人信息保护法律路径在于通过赋权模式,为自然人赋予个人信息主体权利,这就导致在大多数个人信息应用场景下,征求个人信息主体的授权同意成为唯一的合法性基础,由此为企业主体带来了一系列的合规义务,包括知情同意、最小必要、公开透明等。而算法作为数据生产力转化的重要引擎,也同时引起监管重视。以中国为例,目前针对互联网信息服务算法已初步形成监管体系,包括:算法安全风险监测、算法安全评估、科技伦理审查、算法备案管理、算法违法违规行为处置。2021 年 12 月,国家互联网信息办公室等部门联合印发互联网信息服务算法推荐管理规定,明确了算法推荐服务提供者的用户权益保护要求,包括保障算法知情权、算法选择权,并针
35、对向未成年人、老年人、劳动者和消费者等主体提供算法推荐服务的,作出具体规范。2023 年 8月 15 日起正式施行的生成式人工智能服务管理暂行办法,对生成式人工智能服务实行包容审慎和分类分级监管,明确了提供和使用生成式人工智能服务总体要求。聚焦数据、算法层面的立法现状与监管动向,各国明显加快数据保护及算法治理相关工作,优化法律基础,构建强监管环境。第一,大型跨国科技公司成为重点监管对象。一方面,大型跨国科技公司基于业务需要所收集、存储与处理的数据,在数据量和数据重要程度上一般会高于普通公司,具有更高的数据价值与潜在风2.2 算法应用合规现状与趋势2.3 监管路径与发展趋势从全球范围来看,虽然算
36、法的监管模式还不成熟,但是普适性算法监管制度供给不断涌现,为算法治理输出了监管合力。美国为解决算法自动化决策所引起的社会公众不满问题,于 2017 年 12 月签署通过了美国立法史上第一个对公用事业领域算法进行问责的法案,即算法问责法案;20192022 年,美国立法者相继提出并持续更新算法责任法案,旨在为软件、算法和其他自动化系统带来新的透明度和监督方式。其中2019 年算法问责法案强制要求相关实体针对高风险自动化决策系统进行数据保护影响评估,提高数据应用的透明性和规则的可解释性。我国近年来也愈加重视算法监管,2021年9月,国家互联网信息办公室等部门联合印发关于加强互联网信息服务算法综合治
37、理的指导意见,提出算法安全监管体系,规定了算法备案、算法监督检查、算法风险监测、算法安全评估等四项举措。其中,算法备案是算法安全监管的抓手和基石;算法监督检查和算法风险监测相辅相成、互为补充,检查是现场监测,监测是线上检查;算法安全评估是出口,是算法安全监管的落脚点。险。例如,近年来国内外的大型跨国科技公司侵犯个人隐私、滥用数据、数据泄露等问题层出不穷,使得更加严格的监管势在必行;另一方面,数据安全不仅要以监管机构为主导,还需要社会、企业、群众等主体共同发挥作用,而大型跨国科技公司具备一定的社会影响力,由其开展的最佳实践或倡议行动都有助于建设更好的数据安全环境。因此,将全球数据合规与隐私科技发
38、展报告Global Data Compliance and Privacy Technology Development Report09跨国互联网巨头作为数据保护监管的重点对象,不仅有利于海量数据保护,而且在执法层面也更具有示范和预警效果。第二,数据出境活动成为重点监管情形。数据本地化趋势在全球范围内尤其是发展中国家愈发凸显。关键信息基础设施的运营者、大型跨国企业或开展海外业务的企业需要重点关注围绕“跨境数据传输”“数据本地化存储”“数据隐私保护”的当地法律规定。目前跨境数据流动治理及监管暂未形成全球性规制体系,但包含中国在内的部分国家已经出台相应法律法规。以中国为例,网络安全法数据安全法中
39、已经对数据出境行为进行了初步规定,在 2021 年 11 月生效的个人信息保护法中,更是开辟专章细化了个人信息跨境提供的规则,并在第三十八条规定了个人信息处理者向境外提供个人信息的三种路径:(一)通过国家网信部门组织的安全评估;(二)经专业机构进行个人信息保护认证;(三)与境外接收方订立合同。在上位法的宏观要求下,目前对应三种路径的实施规范也已相继出炉。2022 年 7 月 7 日,国家互联网信息办公室发布的数据出境安全评估办法,明确了数据处理者向境外提供数据时需要向国家网信部门申报安全评估的情形、内容、流程等。第三,安全审查成为关键领域数据安全强监管的重要举措。网络安全审查一般是针对关系国家
40、安全和社会稳定的信息系统中所使用的信息技术产品与服务开展审查与监督。当前美国、中国等多个国家已设置审查制度,并且随着安全态势变化,审查范围也在进一步拓展。以美国为例,其网络安全审查涵盖外国投资、关键基础设施保护、供应链安全管理等。目前,全球网络安全审查更聚焦于关键领域及信息科技行业。值得注意的是,国家将安全审查作为重要监管手段之一,以实现数据安全这一最终目的,但考虑到不同国家的网络安全审查制度和体系可能存在法条竞合或法条冲突,需要企业进行预先自审自查。第四,合规性评估与安全检查成为数据安全日常监督的举措。在日常监管工作中,除了网信办、工信部、各地通管局等部门围绕违法违规收集使用个人信息等情形定
41、期对 App 开展技术检测,开展通报、批评、下架处理等执法活动。数据安全检查专项活动也取得了阶段性成效,成为主要监管举措。2023 年,围绕网络和数据安全保障体系建设、个人信息保护和用户权益保障等领域,各省市积极开展专项行动,譬如上海市通信管理局启动“2023 年上海市电信和互联网行业网络和数据安全检查”,浙江省组织“之江数安”电信和互联网行业数据安全专项行动,江苏省开展“数安护航”电信和互联网行业数据安全行动等。第五,算法监管的未来趋势将从个人信息保护基本原则出发不断提高其数据的可溯源性和规则的可解释性。从各国的算法监管思路来看,个人信息保护要求下的个人信息处理规则公开透明和个人信息自主决定
42、权与算法黑箱模式形成冲突,虽然技术中立,但是算法的设计和数据的筛选都掺杂的人为因素,如果没有中立的第三方进行算法治理和监管,容易导致算法歧视和舆论引导,对部分群体的权益造成影响。其中,数据的可溯源性,指数据的来源无瑕疵,对于个人信息的处理,需要取得个人信息主体的授权,这就要求,算法的数据提供方需要在数据收集时充分告知个人信息主体关于数据收集的种类和应用目的,如果需要向第三方共享,还必须向其告知共享的第三方主体基本信息。根据我国个人信息保护法对个人信息的定义,将匿名化后的信息排除在外,这为隐私计算的发展提供了发展窗口,即通过“数据可用不可见”的方式实现数据的流全球数据合规与隐私科技发展报告Glo
43、bal Data Compliance and Privacy Technology Development Report10全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report11通和利用将成为算法合规路径之一。规则的可解释性同样映射出个人信息主体权利的要求,由于法律对个人信息人格性权益的认可,个人信息主体参与到数据的权益配置链路中,算法的使用主体应当承担相应的披露义务,明确告知公众关于算法使用的基本逻辑,接受公众的监督,保障个人信息主体对算法使用的知情权。2 月3 月4 月4 月5 月
44、6 月6 月某公司未实施适当的访问控制,允许通过服务器消息块协议访问含有用户个人信息的备份文件,导致 4,876,106 名用户的个人信息因系统遭到黑客攻击被泄露。韩国个人信息保护委员会对其违反 2011年个人信息保护法(2020年修订)的行为处以总额为 7.0666 亿韩元(约合 495,280 欧元)的罚款。某公司由于多次开展不合法的电话营销活动,违反通用数据保护条例(欧盟第 2016/679 号条例)和个人数据保护法的行为,意大利数据保护机构对其处以 7,631,175 欧元的罚款。某公司未任命 DPO,且未在其隐私政策中提供数据处理的信息,违反了通用数据保护条例的第 13 条和第 37
45、 条,西班牙数据保护局对其处以 25,000 欧元的罚款。大型互联网科技公司因“系统地、重复地、持续地”将欧盟居民的数据传输到美国,违反了 欧盟通用数据保护条例规定,欧盟隐私监管机构对其处以 13 亿欧元罚款。某公司在没有获得家长同意的情况下,非法收集注册其游戏系统的儿童个人信息。美国司法部已提交一份针对该公司违反 1999 年儿童在线隐私保护法和联邦贸易委员会法的拟议命令,对该公司处以 2,000 万美元的经济处罚。某公司向数据主体提供的信息不够具体,其隐私声明下的信息未以满足访问权目的的方式设计,也未以符合透明度要求的方式设计,同时,其提供信息没有采取足够的措施来确保数据主体理解,违反了通
46、用数据保护条例(欧盟第 2016/679 号条例),瑞典隐私保护局对其处以 58,000,000 瑞典克朗(约4,980,000 欧元)的罚款。某公司因未回应数据主体提交的权利请求投诉,进行非法数据传输,违反了 通用数据保护条例,挪威数据保护机构对其行为处以 10,000,000 挪威克朗的罚款(约 912,940 欧元)。欧盟通用数据保护条例(GDPR)韩国2011 年个人信息保护法(2020 年修订)欧盟通用数据保护条例(GDPR)欧盟通用数据保护条例(GDPR)欧盟通用数据保护条例(GDPR)美国儿童在线隐私保护法联邦贸易委员会法欧盟通用数据保护条例(GDPR)附:数据合规监管处罚典型案
47、例(2023 年)时间案例简介适用法律6 月6 月某医院未履行数据安全保护义务,造成部分数据泄露,违反了中华人民共和国数据安全法 第二十九条规定。网信办依据 中华人民共和国数据安全法第四十五条规定,对该医院作出责令整改,给予警告,并作出罚款 5 万元人民币的行政处罚。某公司为客户开发系统的过程中,在未经客户同意的情况下,将客户敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。公安机关对该公司作出罚款超 100 万元人民币的行政处罚。中华人民共和国数据安全法中华人民共和国数据安全法全球数据合规与隐私科技发展报告Global Data Compliance a
48、nd Privacy Technology Development Report12随着算法监管规则的逐步明晰,隐私科技的市场需求越来越大,但其市场应用仍然面临着推广困难的问题。除了技术本身不成熟、缺乏可靠的技术标准以及多方数据融合处理需求不明确等技术和应用层面的原因外,更重要的是,在当前个人信息保护规则下,个人信息的概念范围不断扩大,使得数据处理的合规难度增加、算法透明度的要求提升。隐私计算作为隐私科技中的核心技术能力体现,为了实现在安全的前提下促进数据的可持续流通,其破局思路具体要从法律规则层面进行先行引导和规划:(1)提高数据的匿名化程度我国个人信息保护法中将匿名化定义为“个人信息经过处
49、理无法识别特定自然人且不能复原的过程”,并将匿名化处理后的信息排除在个人信息之外,这为算法类应用的发展提供了合规思路,即通过隐私计算实现数据的匿名化处理效果,在匿名化的前提下实现数据的“可用不可见”。但是随着大数2.4 从算法监管看隐私科技的破局思路据技术的发展和数据的泛在化,完全做到匿名化可能是个伪命题,典型的例子是搜索记录的重新识别,美国在线网站曾经公布 2000 多万条匿名化处理的用户搜索记录,有研究人员通过把其中多条记录联合分析后,很容易就识别出特定个人的姓名和身份。在当前法律和行业标准尚未界定匿名化实现方式和验证标准的前提下,隐私科技技术需要对匿名化数据的重识别行为做出约束,通过规则
50、设计避免算法运行过程中的中间态数据被重新识别到特定个人。(2)增强算法规则可解释性数据作为新型生产要素,打破了“一物一权”式的传统物权体系下的主客体对应关系,这就导致算法的开发方和利用方需要向个人信息主体披露数据处理的逻辑,以达到合规的要求。可解释性使用户和相关利益方能够理解和信任算法的决策过程和结果。当算法的规则和决策不可解释时,用户往往难以信任该算法的结果,从而影响其接受和应用。隐私科技技术在实现匿名化信息处理的前提下无疑也时间案例简介适用法律全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development R
浙ICP备2021020529号-1 | 浙B2-20240490 
