1、Global Data Compliance and Privacy Technology Development Report全球数据合规与隐私科技发展报告2021FOREWORD前 言全球迈入数字经济时代,数据成为驱动各国经济社会创新发展的关键生产要素,经济价值与战略价值愈发凸显,与之对应的安全威胁与隐私挑战也日益严峻。为此,近年来各国加快了数据领域的立法和监管,包括欧盟 通用数据保护条例、美国 加州消费者隐私法案 以及我国的数据安全法个人信息保护法 等法律法规密集出台,一个严厉而缜密的数据合规体系在全球快速织就。在此背景下,企业的数据合规与风险治理的步伐亟待加速。然而从实践层面看,企业数
2、据合规极为复杂,不仅需要实现数据可用性和安全性的科学平衡,又需要覆盖法律、管理、业务、技术等专业领域,传统的合规模式和安全技术难以为继,隐私科技应运而生,成为破解数字经济时代企业数据合规的关键路径。2021年,是中国数据合规的“元年”,也是全球隐私科技的“风口”。本报告全面梳理了国内外数据合规尤其是数据隐私的合规体系,首次提出隐私科技的概念、内涵和外延,并通过对近百家头部企业进行问卷调研,覆盖金融、科技、媒体与通信、消费品、生命科学等行业,客观了解企业数据合规的现状与隐私科技的需求,最后为国内外企业数据合规实践提供创新思路,供业内参考。数据经济时代的安全与隐私挑战1PART目录 CONTENT
3、S第一章 数据经济时代的安全与隐私挑战02第二章 国内外数据安全法监管现状第三章 隐私科技发展趋势第四章 企业隐私保护及隐私科技应用现状调研结果1.1/相关概念界定1.2/全球数据安全风险挑战 1.2.1 数据泄漏引发多重风险 1.2.2 数据不当使用侵占隐私空间 1.2.3 边缘防护薄弱暴露用户隐私 1.2.4 数据跨境流动引发合规担忧2.1/数据安全立法及监管现状概述 2.1.1 中国:综合性立法明确规范数据安全基线 2.1.2 欧盟:构筑统一的数据安全治理规则框架 2.1.3 美国:以隐私权为基础开展灵活分散立法 2.1.4 全球范围内:加快数据安全立法部署2.2/数据合规监管路径与重点
4、2.3/全球数据合规监管处罚典型案例(2019-2021年)3.1/隐私科技概念 3.1.1 常见隐私科技解决方案类型 3.1.2 主流隐私计算技术介绍3.2/隐私科技产业发展现状与趋势4.1/企业隐私保护建设与投入趋势 4.1.1 企业隐私保护建设现状 4.1.2 企业隐私科技投资趋势4.2/隐私科技主要优势 4.2.1 满足法律和行业监管合规要求的助力 4.2.2 促进数据共享、流通、交换和使用 4.2.3 实现内部运营和管控的自动化,提升运营效率 4.2.4 将数据泄露风险最小化,取得数据安全与业务挖掘的平衡 020404050607101011121313151819222528283
5、63839393939091827目录 CONTENTS第四章 企业隐私保护及隐私科技应用现状调研结果4.3/企业实施隐私科技所面临的挑战 4.3.1 企业实施隐私科技的三大挑战 4.3.2 企业实施数据合规与隐私保护管理平台的挑战4.4/企业对隐私科技考虑因素与期望 4.4.1 选择隐私科技解决方案的考虑因素 4.4.2 企业选择解决方案时关注的资质 4.4.3 企业对国内隐私科技市场的期望4.5/行业应用场景4.5.1 用户授权管理(CONSENT MANAGEMENT)为消费者提供透明、可控的隐私权利4.5.2 隐私计算平台为汽车行业数据出境场景提供合规的、低风险的方式4.5.3 隐私管
6、理平台为金融企业提供统一、标准、高效的合规运营机制27第五章 未来展望第六章 参考文献5.1/PRIVACY BY DESIGN 隐私内嵌于设计5.2/数据合规及隐私保护专业培训推动合规实践5.3/技术成熟度和通用性亟待标准化制定5.4/开源驱动行业创新发展与生态建设5.5/规模化行业应用构建数据智能网络平台565940404144444446474749515656575758全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02托夫勒在 第三次浪潮(The Third Wave)一书
7、中指出,伴随科学技术的发展,人类文明以浪潮的方式演进,每次浪潮都有若干重要的子波。发端于上世纪中叶的数字文明先后经历了计算机、互联网等重大的工具性革命之后,迎来了云计算、移动互联网、物联网、大数据、人工智能等新一代信息技术群落的形成和扩散,数字文明的一个重要子波以“数据”为关键生产要素驱动经济社会创新发展的时代已然来临。数据经济时代,数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。但是随着数据技术的普及、数据的泛在流通以及数据价值的激增,针对数据资源的外部攻击和内部滥用现象屡见不鲜,与之对应的企业数据合规和风险治理能力存在不足,企业数据安全和用户隐私已经成为关系个人权益、
8、社会稳定和国家安全的核心议题。本报告首先对信息、数据、个人信息、隐私、数据安全、数据合规、隐私保护、隐私科技等概念及其关系进行界定,便于后续内容的理解。图1 信息、数据、个人信息、隐私的关系PART 1 数据经济时代的安全与隐私挑战PART数据经济时代的安全与隐私挑战11.1 相关概念界定基 于 海 量个 人 信 息的 重 要 统计 数 据;包含 人 脸 信息 等 敏 感信 息 的 车外 视 频、图像 数 据个 人基 本身 份信息个人敏感信息包含提 炼海量个人信息隐私信息对数据的提炼数据对信 息 的 记 录核心数据重要数据个人信息与 已 识 别 或 者 可 识 别 的自然人有关的各种信息一般数
9、据非个人信息私密空间私密活动私密信息全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02信息被认为是和物质、能量并列的构成世界的三大要素之一。国际上较为经典的定义包括:信息是“用来消除不确定性的事物”(香农1948);信息是“我们在适应外部世界,控制外部世界的过程中同外部世界交换的内容”(维纳,1948);中国国家标准 情报与文献工作词汇基本术语(GB489885)将信息定义为“物质存在的一种方式、形态或运动形态,也是事物的一种普遍属性,一般指数据、消息中所包含的意义,可以使消息中所描
10、述事件中的不确定性减少”。数据是信息的表现形式,是为了让人们更好地使用或处理信息的一种编码形式。数据原本表示事物性质/数量变化的数值集合,最早应用于科学测量领域。随着现代信息技术发展,人们开始利用电子计算机和现代通信技术获取、加工、传递和利用信息,越来越多的信息通过计算机进行数字化编码并以数据库的形式存储,数据的内涵也因此开始扩大,不仅指代“有根据的数字”或是“计算加工的数字”,而且是成为“数字、文本、图片、视频”等一切信息类型在信息技术环境下的记录。现代信息技术发展丰富了数据的内涵,使得人类对数据资源的采集、生产、开发、保存等能力得到空前提升。企业、政府、个人都直接参与到了数据生产和消费。数
11、据类型不仅包括结构化数据,还包括越来越多的非结构化数据。根据 中华人民共和国数据安全法 的定义,数据为“任何以电子或者其他方式对信息的记录。”根据重要敏感程度,数据可分为一般数据、重要数据、核心数据。其中,“核心数据”是关乎国家安全、国民经济命脉、重要民生、重大公共利益等数据,“重要数据”是与国家安全、经济发展,以及社会公共利益密切相关的数据,其包含核心数据,两者主要在保护密级方面有一定区别。“一般数据”包括个人数据、企业经营数据等一般性数据。个人信息是信息的一部分,是从个人相关数据中提炼出来的与个人有关的描述。根据 中华人民共和国个人信息保护法 和欧盟 通用数据保护条例,个人信息可定义为“与
12、已识别或者可识别的自然人有关的各种信息。”隐私与个人信息存在交叉关系,但不能等同。根据 牛津词典 的解释,隐私是指独处不受干扰的状况;不受干扰或不受公众注目的自由。隐私是一个不断变迁、发展的概念,尤其是现代信息技术发展,作为法律概念的隐私权需求开始兴起,并在保护个人私域和个人自由方面呈现出传统财产权保护不可替代的作用。中华人民共和国民法典 第1032条指出“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”其中,私密信息涉及敏感个人信息。数据安全是指数据不被威胁的状态。当前,核心数据、重要数据、个人信息尤其个人敏感信息等是数据安全的重点保障范围,需要采取必要措施、确保
13、数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report03Web应用程序攻击作为主要攻击手段,是数据泄漏的主因之一。在遭受撞库攻击的组织中,95%的组织全年面临637到33亿次的恶意登录尝试;网络钓鱼经久不衰,网络钓鱼模板的点击率覆盖范围愈加广泛,成为社工的典型且行之有效的手段;主流的勒索软件运营团伙基本完成了从数据加密索要赎金的“粗糙勒索方式”到建立数据泄漏站点,将数据泄漏或出售作为
14、其获益的重要手段的转变。当前全球数据安全面临的主要风险挑战是围绕数据泄漏、数据不当使用、边缘数据防护脆弱、跨境数据流动等带来的挑战。1.2 全球数据安全风险挑战数据合规是推动数据安全实践的驱动力。以企业数据合规为例,是指企业经营管理行为要符合国家法律、行政法规、国际法律条约、行业准则、商业道德以及企业内部的管理制度。建设企业数据合规体系的构成要素包括管理层承诺;风险评估;流程嵌入;记录保存。当前,数据合规既是企业安全治理体系和治理能力现代化的重要标志,也是国家安全治理体系和治理能力现代化的重要组成部分。隐私科技作为“支撑隐私保护与合规的日常运营流程,且嵌入到IT架构和业务场景中的一系列技术解决
15、方案,在保证个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上,实现保护个人信息权益、提升数据流通、共享与开发、促进个人信息合理开发利用的目的”,是实践数据合规的重要技术解决方案。围绕数据安全领域,本报告以数据合规及隐私科技为核心展开深入研究,探索企业数据合规发展现状,以及隐私科技在数据合规乃至数据安全实践中的表现。数据泄漏作为典型的数据安全问题,大多是各类网络安全事件的“衍生品”。数据泄漏不仅给受害企业带来名誉和业务影响,在合规性的要求下,数据泄漏还给企业带来警告、罚款乃至负责人刑事拘留等可能性处罚。其在全球范围内主要呈现以下几个特点:(1)Web攻击、网络钓鱼、勒索软件仍为数据泄
16、漏的主要因素1.2.1 数据泄漏引发多重风险PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report04(2)数据泄露成本持续高涨海量的业务数据与用户个人数据由于其潜在的高价值备受攻击者青睐,由此带来的是数据泄露规模、频次与成本急剧增长。Verizon通过建模对违规行为对组织的影响进行深入的分析,测试结果表示,86%的违规行为会为组织带来数据泄露成本,中位数高达21659美元。2021年7月28日,IBM安全部门公布了一项全球研究成果 2021年数据泄
17、露成本报告,更是指出每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。其中,大型数据泄露的平均成本达到4.01亿美元,泄露记录达到5000万到6500万条。(3)数据泄露引发次风险在数据泄露事件中,泄漏主体不仅要面临监管处罚、直接经济损失、企业名誉损失,同时还面临不可挽回的用户信任损失。部分遭受数据泄露的企业因为担忧利益受损而将安全事件隐而不报或延后公开,这也造成用户对其个人信息泄露毫不知情,进一步扩大用户遭受相应网络威胁的可能性。泄漏事件受害者则必须面对个人隐私外泄的不安,以及由于敏感信息泄漏所带来的潜在安全风险。目前,针对大规模个人信息的窃取和倒卖已经形成了较为成熟的黑灰产
18、交易链,尤其是银行卡账号、社保卡号、支付类应用登录信息等涉及个人经济信息的信息泄露将带来继泄露后的次级风险,引发典型的电信诈骗和金融欺诈。数据是一种可以反复使用并且在使用中创造更多价值的资源,在高频的数据再利用过程中不可避免地出现数据不当使用现象。数据不当使用也称数据滥用,是未经数据所有者允许或以数据所有者所不乐见的方式使用、处理其信息。鉴于互联网特有的开放性,用户缺乏隐私意识、部分企业或个人为谋取个人收益、企业或机构有意或无意开展商业业务或研究工作等都有可能造成数据不当使用,进而侵害隐私空间,损害个人隐私。1.2.2 数据不当使用侵占隐私空间PART 1 数据经济时代的安全与隐私挑战全球数据
19、合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report051.2.3 边缘防护薄弱暴露用户隐私(1)群体维度的隐私侵害大数据背景下信息结构发生变化,个体隐私利益出现彼此关联、互相依存的关系,同时形成群体维度的隐私形态。群体隐私形态包括以某个特定标签或关键词汇聚特定群体的大量个人信息,以及基于特定群体的海量数据得出的统计或推论数据。群体隐私是群体作为一个特定群体所拥有的权利。近年来,基于数据不当使用而侵害群体隐私事件并不少见。以“选民群体”为例,2016年美国总统大选下的剑桥分析丑闻,即8700万选民
20、群体因其在Facebook上的数据被泄露给政治咨询公司剑桥分析(Cambridge Analyti-ca),其数据被不当使用而导致选举操控。(2)算法决策的黑箱运作 大数据“杀熟”、算法歧视是算法普遍应用后的阶段性“副作用”。由于个人数据在精准营销、产品优化、流程再造等方面发挥关键作用,部分企业过度利用算法决策攫取个人隐私、过分关注行为特征,形成“黑箱运作”。Frank Pasquale在 黑箱社会 一书中指出,与数据收集和使用过程中的程序不透明、权力不平等相比,算法决策过程中的不透明性更为严重。为了节省算法决策过程中的数据获取成本,用户个人信息甚至被一些企业用于交换、交易,在违法违规的情况下
21、形成用户数字画像,为其算法决策构建信息网络。伴随算法决策对于数据不当使用和隐私侵权的进一步侵入,大数据算法在提升便利的同时也为数据安全带来巨大的风险挑战。在全球范围内的物联网和5G网络架构的快速发展下,智慧城市、位置服务和移动支付等新型服务模式不断涌现,智能手机、可穿戴设备、联网家居设备等传感设备数量呈现爆炸式增长趋势,海量的物联网终端通过数据收集、存储、传输至云端及计算,实时产生“海量级”数据。由于物联网设备存在分散、边缘化特点,其边缘IT架构和边缘计算环境在计算和安全管控资源上受限,这使得物联网设备的风险排查和合规体系化管理存在诸多挑战,大多物联网终端设备暴露出严重的隐私风险。最为常见的是
22、物联网终端设备风险防护措施薄弱或直接暴露于互联网,使其面临联网设备数据的非法访问、用户位置隐私泄露、通信传输脆弱性导致的信号劫持与通信窃听等安全挑战,对企业数据及用户隐私构成严重威胁。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report061.2.4 数据跨境流动引发合规担忧全球化数字经济推动下,数据跨境趋于频繁。跨境数据中不可避免地涵盖了个人信息、关键企业运营数据和国家信息数据等重要数据。伴随着数据跨境存储、流通和使用的规模越来越庞大,数据种类越
23、来越丰富,数据跨境越来越频繁,安全风险日益加剧。出于数据安全性考虑,一些国家通过数据本地化数据跨境流动合规限制,加强地域化的数据治理。针对数据的跨境传输的合规要求是维护网络空间主权的必然举措。纵观世界各国应对数据跨境的举措,大体分为两类。一类是试图通过国内立法,在数据主权方面做出超地域的扩展,如美国的 澄清境外数据的合法使用法案(Clarifying Lawful Overseas Use of Data Act)为其调取域外数据提供管辖权依据;一类是赋予国内政府和监管机构管辖权,对特定数据实施本地化存储或处理的措施来保护本国个人数据免受外国监视与调取。不过,数据跨境流动相关概念界定、规范界定
24、在不同国家仍然存在差异,目前主要有2类:数据跨国传输、处理与存储;数据仍然存储于本国,但能够被境外主体进行访问(公开信息、网页访问除外)。鉴于全球尚未形成统一的数据跨境治理框架,跨境数据往往受限于数据存储当地的防护水平,可能出现数据泄露风险。加之不同国家地区在相关数据合规政策与法律上存在差异乃至冲突,可能存在跨境数据使用权限模糊现象,导致跨境数据合规风险进一步凸显。此外,跨境数据一旦泄漏,影响范围更为广泛,且其往往与暗网/地下市场数据交易挂钩,恶意分子将窃取的数据和个人信息打包售卖,企业难以进行溯源和响应处置。数据跨境流动带来的安全风险是出海企业需要面临的重大挑战,亟需加强数据保护关键技术手段
25、建设,实现有效发现和响应敏感数据违法跨境流动的安全举措。全球数据风险挑战层出不穷,伴随数据场景的复杂化、数据参与主体的多样化,健全并完善数据安全法规体系与监管细则成为各国的主要着力点。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report07国内外数据安全法规监管现状2PART根据欧盟网络安全局(ENISA)发布的 2021年NIS投资报告,世界各地的组织将其18%的安全支出用于治理、风险和合规这一安全领域。合规使企业开展的活动遵循法律法规的上层指导
26、,对于数据安全起到了不可或缺的重要作用。据不完全统计,目前全球已有近100个国家和地区制定了数据安全保护法律。个人信息作为数据保护中不可忽视的要素,其重要性越来越凸显,加之个人信息保护面临的复杂性,不乏有国家或地区出台个人信息或隐私保护专项立法。本节以中国、美国、欧盟为例,基于中美欧的数据安全重点立法及监管体系,总结数据合规与监管特点及趋势。PART国内外数据安全法规监管现状2图2 中美欧的数据安全重要立法及监管体系PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Developme
27、nt Report09我国相关法律法规涉及法律、行政法规、部门规章、地方性法规及规范性文件等多个层次,围绕数据安全广泛适用行业及场景,制定综合性立法符合我国现实的立法需求。在民法、行政法、刑法的立法框架上,我国形成了由三部单行法 中华人民共和国网络安全法(以下简称 网络安全法)中华人民共和国数据安全法(以下简称 数据安全法)与 中华人民共和国个人信息保护法(以下简称 个人信息保护法)组成的数据安全立法体系,分别适用于境内所有网络运营者的包含处理个人信息及数据在内的行为、所有主体处理网络数据和非网络数据的行为、个人信息保护。同时,我国先后发布 儿童个人信息网络保护规定网络安全审查办法汽车数据安全
28、管理若干规定(试行)个人信息出境安全评估办法(征求意见稿)等重要法规。在标准建设上,基于数据安全和隐私保护,我国正在形成更体系化的安全标准。全国信息安全标准化技术委员会发布的国家标准 信息安全技术 汽车采集数据的安全要求(征求意见稿),提及要落实国家法律法规以及监管部门规章文件对个人信息保护要求,充分保护汽车外部交通参与者以及汽车内部驾驶员、乘员的个人信息安全,并对数据传输、存储及出境做了相应的数据合规要求;信息安全技术 个人信息安全影响评估指南 则为指引企业有效开展个人信息安全影响评估提供了有效支撑;此外,网络数据安全管理条例数据出境安全评估办法金融数据安全 数据安全评估规范 等重要规定与国
29、家标准则在征求意见,后续发布将为个人信息保护与数据安全处理提供更为具体的指导。在地方立法方面,各省市基于地方情况出台了地方性数据保护法规及综合性数据立法。当前,贵州、天津、海南、山西、吉林、安徽、山东、辽宁、黑龙江、陕西、宁夏等地区面向公共数据领域,已出台大数据保护条例(包括草案)。上海与深圳则分别出台发布 上海市数据条例深圳经济特区数据条例,不仅涉及公共数据,还涵盖了个人数据等相关规定。随着我国自上到下逐步建立层次分明、重点突出的数据安全法规监管体系,针对侵害个人信息行为的相关监管也逐步呈现出多部门监管、执法常态化、监管措施多样等特点。当前,网信办、工信部、公安部、市场监督总局、各行业监管部
30、门等多部门释放出强监管信号,并在执法方面呈现常态化趋势:具体体现在应用强化关键责任链监管,落实分发商城的责任;提升技术检测能力,开展针对App(包括内嵌第三方软件工具开发包SDK)的细化检测;组织对重点问题开展“回头看”。例2.1.1 中国:综合性立法明确规范数据安全基线2.1 数据安全立法及监管现状概述PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report102.1.2 欧盟:构筑统一的数据安全治理规则框架如,截至2021年11月,工信部已组织检测2
31、1批次共244万款App,累计通报2049款违规App,下架540款拒不整改的App,对违规行为持续保持高压震慑;2021年11月1日,工信部发布通知部署开展信息通信服务感知提升行动。通知中强调重点任务包括建立个人信息保护“双清单”(即建立已收集个人信息清单、与第三方共享个人信息清单),后续加强监督指导,建立跟踪、约谈、排名、社会公示机制,及时交流、推广典型案例和成功做法。伴随执法常态化发展,监管措施开始呈现多样性,这对相关企业起到不同程度的警示作用。当前,我国监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等。此外,监管处罚对象也不再局限于企业,已覆盖到高管及相关责任人
32、,相关主要处罚方式主要体现为警告与罚款。从全球范围来看,欧盟对于数据采取的安全保障措施是完备且严苛的。其在数据安全与个人信息保护上已经建立相对成熟的体系与框架,对推进全球数据安全的发展进程有着重要借鉴作用。2016年4月14日,欧盟议会通过 通用数据保护条例(以下简称“GDPR”),并于2018年5月25日在欧盟成员国内正式生效实施。GDPR施行仅3年时间,但执法强度大、频次高。据Privacy Affairs网站统计,截至2021年9月30日,GDPR执法总数894起,总罚金超过13亿欧元,欧盟所有成员国均有相关执法记录。目前为止最高的一笔罚款来自卢森堡的监管当局对某国际电商巨头发出的罚单,
33、高达7.46亿欧元(57亿人民币)。由于GDPR的严苛性,欧盟各成员国及其他国家出海企业都面临不小的数据合规挑战。从欧盟根据GDPR的执法行动来看,透明度仍然是欧洲数据保护工作关注的重点。监管权限和执法程序的标准化和明细化,不仅帮助监管裁量,而且对于执法透明度与社会示范效应都有益处。这也是欧盟虽然处罚严苛但监管仍高效开展的一大原因。近年来,欧盟在数据安全和个人信息保护上形成了严格且完善的战略及法规监管体系。在战略层面,基于 欧洲数据保护监管局战略计划(2020-2024)强调从前瞻性、行动性和协调性三个方面持续加强数据安全保护,重申保证用户个人隐私的基本权利的重要性和必然性。在法律层面,基于G
34、DPR与 非个人数据自由流动条例 构成数据安全领域的关键立法体系;电子隐私条例 则是作为GDPR在电子通信领域起细化和补充作用的特别法,两者在监管规则上保持了一定的一致性;电子证据条例 侧重于科技企业向政府部门提供数据协助,同时保障数据安全。在标准指南层面,2020年发布的 为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施 为数据跨境流动中的数据保护问题提供了进一步指导。PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report112.1.3 美
35、国:以隐私权为基础开展灵活分散立法美国是世界上第一个出台信息保护法律的国家,早在1967年7月6日开始实施 信息自由法案。长达五十多年的数据安全相关立法进程中,美国将数据保护分为包括个人数据收集、使用的“数据隐私保护”,以及包括保护个人数据未经授权访问及使用的“数据安全保护”。美国立法体系分为联邦立法和州立法两个部分。1974年,美国实施 隐私法案,对政府机构应当如何收集个人信息,收集到的个人信息如何向公众开放及信息主体的权利等做出了较为详细的规定。不过由于 隐私法案 的规范主体仅为美国的公权力机关而非企业,其规范对象有限,覆盖范围较小。在后续的立法进程中,美国采取了分行业的分散立法模式,在金
36、融、健康、教育、消费等行业领域设立专门的数据保护立法。同时,美国多个州在其原有的个人信息保护法律基础上作出修订,进一步扩展“个人信息”定义,通过参考GDPR的条款,或是完善关于数据泄漏事件的处理,进而补充数据安全法规细节。以美国加利福尼亚州为例,该州自2020年1月1日起正式实施 加州消费者隐私法案(CCPA)。该法被称为美国“最严厉和最全面的个人隐私保护法案”,不仅适用于加利福尼亚州的企业,也适用于在该州开展业务的所有企业。部分企业,尤其是跨国企业面临GDPR和CCPA的双重监管。2021年9月8日,加利福尼亚州参议院通过 遗传信息隐私法案,规定收集消费者个人信息的企业在收集时或收集前告知消
37、费者即将收集的个人信息类别以及信息的用途,并授予消费者选择不向第三方出售个人信息的权利。值得注意的是,美国不仅发布了丰富的各州法案来保护数据安全,还通过数据安全立法为其执法机构的域外数据管辖提供依据。2018年正式签署的 澄清境外数据的合法使用法案(Clarifying Lawful Overseas Use of Data Act)规定,对于危害美国国家安全的犯罪、严重的刑事犯罪等重大案件,可以根据该法案调取相关证据。这意味着美国执法机构在认为可能存在危害美国国家安全的情况下,可以要求跨国企业将存储在他国境内服务器中的与调查事件或者案件相关数据传输至美国执法机构。执法数据跨境获取需求日益增加
38、的背景下,这一法案将美国的执法效力扩展至全球,并且建立以美国为中心的跨境获取数据的法规体系。这一趋势意味出海企业需要进一步研判多国数据安全法律法规,规划部署数据存储地,进而减少合规冲突。总体来看,美国的数据安全法规体系建立时间久,历史背景复杂、法律分散,尽管对于数据保护的规定更为细节,但是大多数针对特定行业或是特定数据,缺乏整体性及核心指导的数据安全法案。美国联邦政府在未来可能对个人信息范围延伸、财产性确认与保护做出更深、更广的探索,并且形成统一且覆盖面更广泛的联邦数据安全法案,完善其数据立法体系。PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data C
39、ompliance and Privacy Technology Development Report122.1.4 全球范围内:加快数据安全立法部署2.2 数据合规监管路径与重点监管方面,受到立法体系的影响,美国的监管机构也分为联邦机构和州监管机构。因此,企业不仅要面临联邦的监管执法,还需要同时面对50个州各自不同的法律规定。美国多个科技巨头都在呼吁建立统一的数据安全法律,希望降低合规成本。除中美欧以外,全球大多数国家加紧数据安全战略部署,对数据合规与隐私保护开展严格的法规监管。中东和拉美地区部分网络安全相对落后的国家也在积极拥抱数据安全,引入监管措施。例如,英国出台 数据保护草案,强化个人
40、数据保护和执法力度;印度政府发布 个人数据保护法案(PDP),对数据本地化提出更为广泛的要求;泰国国会审议通过 个人数据保护法(PDPA);新加坡发布数据保护管理程序指南数据保护影响评估指南 及 个人数据保护法(修订)草案;巴西发布 通用数据保护法,涵盖并强调了域外管辖效力;日本通过 个人信息保护法 修正案;其他国家也对数据的治理工作表现出极大的积极性与政府参与度,持续完善国家层面立法与监管体系。虽然各国立法及监管进度、方式存在差异,但数据安全立法趋势在全球范围内明显。聚焦国内外数据安全法规监管现状,开展包含个人信息在内的数据保护已经成为全球共识,各国立法节奏明显加快,执法力度加大,数据安全政
41、策环境持续优化。目前,国内外数据安全监管主要表现出几个重点:第一,基于国内外法规体系的建立及近几年相关国家的数字战略计划,可以发现,大型跨国科技公司更容易成为优先监管对象。一方面,大型跨国科技公司基于业务需要所收集、存储与处理的数据,在数据量和数据重要程度上一般会高于普通公司,具有更高的数据价值与潜在风险。例如,近年来国内外的大型跨国科技公司侵犯个人隐私、滥用数据、数据泄露等问题层出不穷,使得更加严格的监管势在必行;另一方面,数据安全不仅仅要以监管机构为主导,还需要社会、企业、群众等主体共同发挥作用,而大型跨国科技公司具有更高的社会影响力,可以借助其平台优势发挥行业作用,推动建设更好的数据安全
42、环境。因此,将跨国互联网巨头作为数据保护监管的重点对象,不仅有利于海量数据保护,而且在执法层面也更具有示范和预警效果。第二、安全审查成为关键领域数据安全强监管的重要举措。网络安全审查一般是针对关系国家安全和社会稳定的信息系统中所使用的信息技术产品与服务开展审查与监督。当前美国、中国等多个国家已设PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report13置审查制度,并且随着安全态势变化,审查范围也在进一步拓展。以美国为例,其网络安全审查涵盖外国投资、关键
43、基础设施保护、供应链安全管理等。目前,全球网络安全审查更聚焦于关键领域及信息科技行业。值得注意的是,国家将安全审查作为重要监管手段之一,以实现数据安全这一最终目的,但考虑到不同国家的网络安全审查制度和体系可能存在法条竞合或法条冲突,需要企业进行预先自审自查。第三,跨境数据流动被纳入重点监管范围,数据本地化趋势在全球范围内尤其是发展中国家愈发凸显。关键信息基础设施的运营者、大型跨国企业或开展海外业务的企业需要重点关注围绕“跨境数据传输”“数据本地化存储”“数据隐私保护”的当地法律规定。目前跨境数据流动治理及监管暂未形成全球性规制体系,但包含中国在内的部分国家已经出台相应法律法规。以我国最新发布的
44、 数据出境安全评估办法(征求意见稿)为例,除法律、行政法规另有规定的,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,都应当按照办法的规定进行安全评估。目前跨境数据监管重点主要在以下几个方面:(1)数据跨境传输目的是否正当与合理,譬如数据传输为了满足必要的业务开展需求,或是为了满足境外监管报备需要;(2)传输数据的范围和类型以及境外接收方处理数据的用途和处理方式;(3)数据发送方和接收方的安全防护能力,为了展示安全性,相关数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。第四,个人信息管理的监管活动呈常态化趋势。个人信息作为一种特殊
45、的数据,其创造的价值显著,无论是企业还是犯罪分子,在多种利益的驱动下,侵犯公民个人信息的现象日益凸显。自2018年起,围绕个人信息违法违规收集使用的专项活动陆续开展,并取得显著的阶段性成效。首先,无论从法律层面,还是部门规章、国家标准与实践指南,违法违规收集使用个人信息的评估依据日益清晰明朗,对监管部门、检测机构、分发平台、企业,均发挥着有力的作用;第二,各监管机构如网信办、工信部、各地通管局等均会定期对移动App进行技术检测,对无法进行及时整改的移动App进行通报批评、下架处理等,执法力度逐渐加大与常规化;第三,强化关键责任链监管,督促应用分发商城落实平台责任,实施移动App商家审核机制,做
46、好个人信息保护“守门人”;第四,推进技术检测平台的建设与推广,形成自动化检测能力,提高覆盖率,协助企业将个人信息保护工作日常化。PART 2 国内外数据安全法规监管现状全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report142.3 全球数据合规监管处罚典型案例(2019-2021年)表1 2019-2021年全球数据合规监管处罚典型案例时间案例简介适用法律风险点2019年2月28日2019年7月8日2019年7月9日2019年7月24日美国联邦贸易委员会(FTC)对某短视频平台展开调查(该
47、平台收购了一家此前存在未成年数据合规问题的企业),双方最后以支付570万美元的罚金达成指控和解英国某航空称从2018年6月开始,其官网上的用户流量被劫持到了一个欺诈网站,50万名用户的姓名、住址、账号密码、信用卡信息和订单信息遭到泄露,并被攻击者截获。2019年英国信息专员办公室(ICO)决定对英国某航空50万用户信息泄露一事开出1.83亿英镑(约合人民币15.8亿元)罚单,约占该航空2018年收入的1.5%。某酒店于2016年收购另一家酒店,但直到2018年才发现所收购酒店集团系统遭到破坏,全球3.39亿客户个人数据泄露。由于某酒店在收购时没有进行充分的尽职调查,2019年被英国信息专员办公
48、室(ICO)处以9920万英镑的罚款。2016年美国大选期间,某分析公司受雇于特朗普,利用从某社交平台授权共享得来的大量个人数据,进行精准的政治广告投放,干涉选举。FTC经投票裁决,对该社交平台罚款50亿美元,并要求强化隐私合规措施,设立独立的隐私委员会。儿童在线隐私保护法(COPPA)GDPR未成年数据合规个人数据泄露GDPR联邦贸易委员会法个人数据泄露违规使用个人数据2021年1月29日2021年2月3日银保监会对某银行开出罚单,具体涉及的违法违规行为包括:(一)发生重要信息系统突发事件未报告;(二)制卡数据违规明文留存;(三)生产网络、分行无线互联网络保护不当;(四)数据安全管理较粗放,
49、存在数据泄露风险;(五)网络信息系统存在较多漏洞;(六)互联网门户网站泄露敏感信息。处罚金额为420万元。西班牙数据保护局(AEPD)发布决定,对某运营商处以40000欧元的罚款。因其在主体提出访问请求后拒绝向其提供录音。AEPD命令该运营商在一个月内解决访问请求,并处以40000欧元的罚款,在承认责任后,有可能减至32000欧元,自愿付款可能进一步减至24000欧元。中华人民共和国银行业监督管理法 第二十一条、第四十六条第五项和相关审慎经营规则数 据 安 全 管 理 较 粗放、互联网门户网站泄露敏感信息等6项问题主体访问请求GDPR第58(2)条PART 2 国内外数据安全法规监管现状全球数
50、据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report15时间案例简介适用法律风险点2021年7月1日2021年7月4日2021年7月16日卢森堡数据保护局(CNPD)发布决定,因为视频监控系统的定位方式允许过大的视野,因此未能充分告知数据主体其个人数据的处理情况,违反了数据最小化原则,对违规公司处以7600欧元的罚款。2021年7月4日,某出行平台App由于存在严重违法违规收集使用个人信息问题。国家网信办依据 网络安全法 相关规定,通知应用商店下架其App。卢森堡数据保护局发布决定,称某跨境电商