安永&amp賽博研究院：2022全球數據合規與隱私科技發展報告（58頁）.pdf

1、本報告版權屬于出品方所有，并受法律保護。轉載、摘編或利用其他方式使用報告文字或者觀點的，應注明來源。違反上述聲明者，本單位將追究其相關法律責任。COPYRIGHT STATEMENT出品方編寫組成員安永（中國）企業咨詢有限公司上海賽博網絡安全產業創新研究院高軼峰惠志斌王瑾周雪靜蔣采玲王龍飛吳夢庭李顧元孫思瑄安永（中國）企業咨詢有限公司大中華區網絡安全和隱私保護服務主管合伙人上海賽博網絡安全產業創新研究院院長，首席研究員安永（中國）企業咨詢有限公司網絡安全和隱私保護咨詢服務高級經理上海賽博網絡安全產業創新研究院高級研究員安永（中國）企業咨詢有限公司網絡安全和隱私保護咨詢服務經理上海數據安全協同創

2、新實驗室秘書長安永（中國）企業咨詢有限公司網絡安全和隱私保護咨詢服務顧問某公司隱私合規專家某公司隱私合規專家版權聲明2022 年是中國數據合規全面發展的一年，也是隱私科技進一步從概念走向落地的一年?；仡櫧荒甑陌l展，安永與賽博研究院聯合發布第二期年度全球數據合規與隱私科技發展報告。本報告全面梳理了國內外數據安全與算法應用的合規體系，對隱私科技的概念、內涵和外延進行更新，并通過對近百家頭部企業的問卷調研，覆蓋金融、科技、媒體與通信、消費品、生命科學、制造業等行業，客觀了解企業數據合規的現狀與隱私科技的需求，最后為國內外企業數據合規實踐提供參考案例與創新思路，供業內參考。全球近 100 個國家和地

3、區已制定數據保護相關法律，數據安全、算法應用有關立法進程加快,合規本地化的全球性趨勢將進一步加強。全球數據合規領域執法力度加強，截至 11 月 30 日，GDPR 執法總數 1216 起，罰款總額超20 億歐元。企業面臨合規人員招聘、安全產品及服務采購等合規成本與監管罰款等不合規支出的雙重壓力。企業更加重視數據合規與隱私保護，完善數據合規與隱私保護職能和管理體系，提升數據合規與隱私保護匯報層級，加大數據合規與隱私保護的人員和資金投入。22%的企業直接向高級管理層匯報工作，82%的企業認為在過去 12 個月的投入滿足需求。更多企業發現隱私計算的價值并付諸實踐，隱私計算在更多風險控制和數據流通等業

4、務場景中發揮著重要作用，并在元宇宙、工業互聯網與區塊鏈等新興科技中嶄露頭角。在未來十二個月，更多企業選擇保持對隱私科技的投入水平，力圖穩中求進。從隱私科技產業發展來看，數據分類分級、數據流通監控、數據風險與隱私影響評估、數據與隱私綜合治理是當前的熱門細分賽道。后續圍繞提高數據的匿名化程度，增強算法可解釋性，加強落實倫理先行原則，將進一步賦能隱私科技的合規能力。主 要 發 現全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report1.1 1.202030609091215233032334545

5、4646474736374103030404131313383848493.1 3.23.33.43.55.1 5.25.35.45.55.64.1 4.24.32.1 2.22.32.4“隱私科技”的概念界定全球數據合規與隱私保護挑戰企業數據合規與隱私保護概況企業隱私科技應用程度企業隱私科技投資趨勢企業對國內隱私科技市場的期望企業實施隱私科技所面臨的挑戰市場：數據合規即服務衍生新的商業機會應用：隱私設計原則從理論到企業實踐 人才：數據合規及隱私保護人才缺口增長 標準：技術成熟度和通用性標準亟待制定 技術：開源驅動行業創新發展與生態建設 產業：規?；瘧脴嫿〝祿悄芫W絡生態 常見隱私科技解決方

6、案類型主流隱私計算技術隱私科技產業發展典型案例 1：運營商行業數據分類分級典型案例 2：隱私計算應用數據安全立法現狀與動向算法應用合規現狀與趨勢監管路徑與發展趨勢從算法監管看隱私科技的破局思路（1）遵守不斷發展變化的法律法規（2）高昂合規成本帶來的經濟壓力（3）復雜的第三方風險管理挑戰（4）數據頻繁流通引發的安全威脅（1）提高數據的匿名化程度（2）增強算法規則可解釋性（3）遵循應用倫理先行原則（1）運營商行業數據安全痛點（2）運營商行業客戶信息保護目錄CONTENTS第 1 章 數據經濟時代的安全與隱私挑戰第 3 章 企業隱私保護及隱私科技應用現狀調研第 5 章 未來展望附錄第 4 章 產業發

7、展洞察與典型實踐第 2 章 全球數據安全立法及監管現狀全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report01數據經濟時代的安全與隱私挑戰01P-A-R-TPART 1當前，大數據正在迅速改變全球的經濟面貌。在數字經濟的發展過程中，企業和個人持續依賴大數據與不斷更迭的數字技術，驅動數據處理活動、探索數據創新。然而，繁榮背后隱藏風險，數據的價值吸引內外部的惡意攻擊與頻繁掠奪，數據的流通引發個人隱私擔憂與合規警惕。從漏洞攻擊到數據竊取，從經濟損失到合規成本，從系統安全到隱私保護，以安全與隱私為

8、主題的風險正成為影響數字經濟發展的關鍵因子。對此，企業正在積極采取措施，運用“數據+算法”、“隱私+合規”等技術與服務手段，制定應對安全與隱私挑戰的安全戰略與整體解決方案。在 2021 年發布的2021 全球數據合規與隱私科技發展報告中，我們將隱私科技定義為：用于支撐隱私保護與合規的日常運營流程，且嵌入到 IT架構和業務場景中的一系列技術解決方案，在保證全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report02個人信息全生命周期的增強保護和個人信息處理活動規范化的基礎上，實現保護個人信息權益

9、、提升數據流通、共享與開放、促進個人信息合理開發利用的目的。1.1“隱私科技”概念界定數據經濟時代的安全與隱私挑戰圖 1 隱私科技概念圖示（2022 版）全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report03今年，基于對國內隱私科技廠商的普遍性研究，全球數據合規與隱私科技發展報告（2022）對隱私科技框架進行了更新與完善，主要體現在凸顯應用場景的重要性，強調隱私科技在數據處理全生命周期中的應用，以及在金融、醫療、政務等重點行業的實踐趨勢；對隱私科技解決方案與底層支撐技術進行梳理與更新?，F

10、將隱私科技定義更新為：在日常運營流程中，通過嵌入 IT 架構和業務場景支撐主體數據合規和隱私保護的一系列工具、服務及技術解決方案。通過將隱私科技應用于個人信息全生命周期或各行業個人信息處理場景中，在增強保護個人信息、規范個人信息處理活動的基礎上，實現保護個人信息權益，推動數據流通、共享與開放，促進個人信息合理開發利用的目的。數字世界里，合規與隱私保護作為反復出現的話題，也是企業在經營、上市、融資、發展過程中的“必經之路”。當前企業為滿足數據合規與隱私保護需要，面臨諸多挑戰，包括滿足來自監管的迫切要求，應對圍繞數據處理全生命周期的外部攻擊與內生安全風險。（1）遵守不斷發展變化的法律法規隨著與數據

11、相關的法律體系的不斷完善，企業面臨的首要挑戰是來自國際監管環境的變化。首先是適應全球不斷發展變化的法律法規，包括遵守已經生效、即將生效的數據合規要求涵蓋當地數據合規與個人信息隱私保護、跨境數據傳輸安全合規要求等。由于法律法規要求眾多且持續更迭，企業及其內部合規團隊不得不面臨合規制度不完善、合規要求更新不及時、合規措施落實困難等現實挑戰。其次是適應“當地”法律法規，由于各國在數據安全方面的立法存在標準不一、條款沖突的情形，因此跨國企業需重點關注業務經營所在國家的法律合規要求，加強監測預警，規避和降低跨國經營合規風險。在不損害國家安全、公民個人信息安全的前提下，以“安全合規本土化”為原則，提升企業

12、境1.2 全球數據合規與隱私保護挑戰外市場的綜合競爭力。（2）高昂合規成本帶來的經濟壓力鑒于全球監管格局的不斷變化，企業為了適應日益嚴格的監管與處罰，面臨更大的經濟壓力。一是表現在不合規成本支出上，即支付因違規帶來的高額罰款。截至 2022 年 11 月 30 日，通用數據保護條例（簡稱“GDPR”）執法總數 1216 起（相較去年 9 月 30 日的統計數據，增加 322 起），GDPR罰款總額超 20 億歐元（增加約 7 億歐元），最高的一筆罰款暫時還未刷新，仍為 2021 年針對某國際電商巨頭開出的 7.46 億歐元罰款。不僅 GDPR 的執法強度大、頻次高，其他國家的監管處罰也不容小覷

13、。以我國為例，伴隨執法常態化發展，監管措施涵蓋公開通報、應用下架、罰款到實施網絡安全審查、過渡性指導措施等多種手段。監管處罰對象不僅包括企業，還覆蓋到高管及相關責任人，處罰方式主要體現為警告與罰款。譬如 2022 年 7 月，國家互聯網信息辦公室對某出行平臺處人民幣 80.26 億元人民幣罰款，對公司董事長、總裁各處人民幣 100 萬元人民幣罰款。二是表現在企業在數據合規與隱私保護工作上投入更多預算。企業通過技術、工具和組織架構的調整提升整體合規能力，具體包括組建數據安全團隊，設置 CDO（首席數據官）制度，配備專職隱私保護人員及合規法務人員，應用隱私計算等技術，采購第三方合規風險評估服務等。

14、其中，在人才需求方面，由于國內法律法規對于開展相關業務的企業提出數據安全管理相關要求，個人信息保護法更是明確指出處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。然而，囿于當前數據合規與隱私保護的專業人員仍然存在較大的市場缺口，導致部分企業仍然因為缺乏人才，無法滿足實際的數據合規和隱私保護工作需求。整體來看，數據安全預算的增加一定程度上給企業帶來了額外的成本，尤其是對于初創企業或中小企業來說。然而，根據2022 全球隱私基準報告 研究顯示，數據監管不合規的成本是合規成本的 2.71倍，因此仍有 42%的公司打算在隱私計劃上花費超過 100 萬美元，采取更多措施促進

15、隱私保護。此外，根據 IBV 發布的網絡經濟中的繁榮研究顯示，網絡安全成熟度最高的組織在五年內的收入增長率比最不成熟的組織高出 43%，數據安全在一定程度上也可以被視為企業經濟和價值增長的措施。因此承擔合規成本對于企業長期發展而言是必要的。（3）復雜的第三方風險管理挑戰企業不僅面臨自身的內外部安全威脅，還需要做好第三方風險管理。第三方數據處理者因供應鏈攻擊或數據安全合規能力不足而產生的風險，正在對企業造成直接影響。從供應鏈角度來看，第三方數據處理者包括了企業直接合作的公司，如材料供應商、分包商、網絡托管公司、安全產品提供商、數據服務提供商等可以訪問企業系統或數據的第三方主體。由于供應鏈攻擊是網

16、絡空間攻防對抗的焦點之一，即便企業自身安全建設成熟度高，攻擊者也能利用供應鏈上下游企業的任一脆弱環節實現入侵。伴隨供應鏈攻擊的往往還有企業核心數據、重要數據泄露，讓企業防不勝防。從數據處理關系來看，企業的數據源包括內部自主收集以及與第三方產生的數據共享、委托處理、轉讓，后者既有企業與企業之間的數據共享，也有企業和政府之間的數據共享。在數據傳輸、存儲、處理過程中，第三方的網絡安全防護能力以及數據安全保障能力，也是企業需要重點評估的方面。當前，大多數企業都需要重新審視第三方風險管理，尤其在網絡安全、數據合規、隱私保護方面。（4）數據頻繁流通引發的安全威脅伴隨數字化轉型，數據的價值與日俱增，數據的流

17、通性也成為創新發展的必然要求。在此基礎上，企業采用 AI 技術、自動化工具、混合云部署等多種手段，加快數據從本地向云上，從內網向外網，從境內向境外流通。借助數據流通，推動因開展業務需要而收集與產生的數據的共享與開發利用，進而為市場創造新的價值。與此同時，政府機構也與企業一起，推動發揮數據要素生產力，構建功能齊全的數據要素市場。然而，在數據流通利用過程中，也存在諸多風險隱患。部分企業由于安全管控措施不足、數據可信流通能力建設滯后，導致企業的風險暴露面增加。例如面臨聯網系統、云上資產等遭受攻擊所引發的數據泄露；企業與第三方機構合作共享數據時，數據因明文流通或復制濫用而導致大量隱私泄露；企業因跨境業

18、務需要等原因啟動數據出境工作，可能因涉及重要數據，或一定規模的（敏感）個人信息外傳，直接危及國家安全、企業合規與個人信息安全。綜上，面對復雜的數據流通場景，企業亟須探索基于隱私保護的數據流通解決方案，在安全合規的前提下，促進數據在企業內外部的流通以及拓展數據開發利用的深度和廣度。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report04全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report

19、05全球數據安全立法及監管現狀02P-A-R-TPART 2目前全球已有近 100 個國家和地區制定了數據安全保護相關法律，數據安全保護專項立法成為國際慣例。Gartner 預測，到 2024 年，全球 75%的人口將在其個人數據方面受到隱私法規的保護。以中國、美國、歐洲各國為例，中美歐持續圍繞數據安全、算法安全立法及監管進行探索與實踐。各國持續將數據安全立法作為工作重點，逐步推進實施有關法律法規。值得關注的是，隨著數據作為生產要素的價值愈發凸顯，數據立法不僅針對個人信息保護，而是已經廣泛地涵蓋公共數據開發利用、企業數據共享流通、個人數據保護（包括個人信息及個人隱私數據）等多場景。在數據安全與

20、個人信息保護方面，以歐洲、美國、中國為代表的區域/國家在 2022 年以前已經形成了較為清晰、具備特色的法律體系與框架。（1）歐盟以 2018 年生效的通用數據保護條例（簡稱“GDPR”）為核心，構筑統一的數據安全治理框架：GDPR 與非個人數據自由流動條例構成數據安全領域的關鍵立法體系；電子隱私條例作為 GDPR 在電子通信領域起細化和補充作用的特別法，兩者在監管規則上保持一定的一致性；電子證據條例側重科技企業向政府部門提供數據協助，同時保障數據安全；為保持歐盟個人數據保護級別而采用的數據跨境轉移工具補充措施為數據跨境流動中的數據保護問題提供進一步指導。（2）美全球數據合規與隱私科技發展報告

21、Global Data Compliance and Privacy Technology Development Report06國立法體系分為聯邦立法和州立法，呈現多級多行業監管特征。1974 年，美國實施的隱私法案對政府機構應當如何收集個人信息、收集到的個人信息如何向公眾開放及信息主體的權利等做出了詳細規定。此后，美國采取分行業的分散立法模式，在金融、健康、教育、消費等行業領域制定數據保護規范。同時，美國多個州在其原有的個人信息保護法律基礎上作出修訂，進一步擴展“個人信息”定義，補充數據安全法律法規細節。僅 2021 年，美國 38個州就出臺了 160 多項與消費者隱私相關的法案。值得注

22、意的是，美國還通過數據安全立法為其執法機構的域外數據管轄提供依據。2018 年正式簽署的澄清境外數據的合法使用法案意味著，美國執法機構在認為可能存在危害美國國家安全的情況下，可以要求跨國企業將存儲在他國境內服務器中的與調查事件或者案件相關數據傳輸至美國執法機構。這意味著執法數據跨境獲取需求日益增加的背景下，美國的執法效力將擴展至全球，同時出海企業需要進一步研判多國數據安全法律法規，規劃部署數據2.1 數據安全立法現狀與動向全球數據安全立法及監管現狀存儲地，減少合規沖突。整體來看，美國的數據安全立法錯綜復雜，但仍缺乏統籌性的數據安全法案。（3）我國基于網絡安全法數據安全法與個人信息保護法，開展綜

23、合性立法。目前，我國的這三部法律分別適用于境內所有網絡運營者的包含處理個人信息及數據在內的行為、所有主體處理網絡數據和非網絡數據的行為、個人信息保護行為。在行政法規、部門規章、地方性法規及標準文件方面，我國也已逐步形成體系，廣泛適用不同的行業及數據使用場景。2022 年以來，全球數據安全相關立法進程再次提速，一方面通過推動數據流通、共享、開發利用充分釋放數據紅利，另一方面通過分行業分場景分企業推動重點監管。一是在隱私保護立法與規范方面，一方面基于原有的數據安全立法基礎，美國、英國等國家正在把握機會，在個人信息保護、消費者隱私等細分方向提出具有統籌性、影響力的專項立法。美國參議院和眾議院于6月3

24、日發布了 美國數據隱私和保護法草案。多級多行業監管之下，缺乏一個統一、全面的聯邦數據隱私保護法律一直以來是美國所面臨的一大問題。作為第一個獲得兩黨兩院支持的美國聯邦全面隱私提案，美國數據隱私和保護法意味著在美國在制定全面數據隱私框架上的努力。雖然美國數據隱私和保護法仍有待商榷，但 2020 年11 月通過的加州隱私權利法案（CPRA）將于不久后（2023 年 1 月 1 日）生效，同年 7 月 1 日執行，也意味著美國在隱私保護問題上的強監管趨勢，新法案勢必對企業施加更為嚴格的隱私保護義務，并增強消費者權利。與此同時，脫歐后的英國也在推動數據保護和數字信息法案，試圖對數據保護框架進行更新并取代

25、英國 GDPR。另一方面，從合規認證的角度推動隱私保護規則完善，歐盟委員會今年推出首個獲批的歐盟通用數據保護條例（GDPR）認證體系Europrivacy（歐洲隱私）。作為第一個符合 GDPR 規定的官方認證機制，Europrivacy用于評估、記錄、認證和評價企業的合規情況?；谠u價、認證規則，企業將進一步加強合規評估，減少不合規的個人數據處理行動，同時還可以依賴Europrivacy 評估企業跨境數據傳輸的充分性。二是在數據出境安全問題上，以個人信息出境安全評估辦法（征求意見稿）信息安全技術 數據出境安全評估指南（征求意見稿）為基礎，我國先后于6月30日、7月7日、8月31日出臺 個人信息

26、出境標準合同規定（征求意見稿）和數據出境安全評估辦法數據出境安全評估申報指南（第一版），明確了數據出境安全評估的流程和要求，為促進數據依法有序流動提供關鍵指導。目前數據出境合規路徑主要分為三條，包括數據出境安全評估、專業機構個人信息保護認證、簽署標準合同。此外，各國之間也在頻繁開展關于數據出境方面的磋商，如部分國家達成數據跨境協議、一些國際組織成員國已經聯合簽署與數據安全有關的貿易協定。以美歐為例，自“隱私盾”失效后，今年 3 月，美歐就新的“跨大西洋數據隱私框架”達成原則性協議，新框架標志著美國方面做出了前所未有的承諾根據“跨大西洋數據隱私框架”，美國將制定新的保障措施，以確保信號情報監視活

27、動在追求確定的國家安全目標方面是必要的和相稱的，并且承諾建立一個有約束力的兩級獨立補救機制，加強對信號情報活動的嚴格分層監督。此后，美國又于 10 月發布全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report07全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report08了一項加強美國信號情報活動的行政命令，旨在促進歐盟和美國之間未來的數據傳輸。雖然美歐在數據隱私保護方面仍然存在分歧，并且缺

28、乏一個可行的法律結構來兌現美國對于隱私保護的承諾，但通過數據跨境國際協議、協定構建數據流通仍然是應對數據出境安全問題的一個重要思路。三是在公共數據共享利用方面，包括我國在內的多個國家都在積極探索公共數據的共享、開發利用，試圖激發公共數據的潛在價值，為市場化運作、創新研究等提供數據支撐。在釋放公共數據紅利的同時，各國政府也在加快公共數據有關法律條例文件的制定與出臺，守好安全底線，做好重要數據、商業秘密與個人信息保護。今年，在歐洲數據戰略指導下，歐洲數據治理法案正式公布并將于 2023 年陸續實施。該法案將在數據共享、開發利用問題上，進一步平衡公共數據的流通使用與安全合規問題，增加歐洲對數據共享的

29、信任并為產品和服務的研究與創新建立可信的數據使用環境。四是在個人與企業數據共享方面，共享范圍、權限分配、隱私保護等都是亟待解決的問題。目前歐洲在數據共享方面開展了更多的探索。歐盟委員會于 2 月 23 日公布數據法案草案全文，重點聚焦企業之間以及企業與政府之間的數據共享。其中，重點推進消費者和企業對其擁有的數據擁有更多的控制權，自主決定如何使用數據。5 月 3 日，首個歐洲健康數據空間正式啟動，促進針對個人健康數據的訪問與流通。通過充分利用健康數據，為診斷治療、科研創新等決定提供數據支持，增強歐盟公民對其個人健康數據的控制權。據了解，繼歐洲健康數據空間之后，歐洲下一個政策目標將放在交通領域，并

30、計劃于 2023 年上半年推出交通公共數據空間。歐洲促進個人與企業數據共享的方式主要分為3 種，包括企業依法為個人提供其使用相應產品或服務所產生的數據；個人出于個人需要（如為獲取第三方服務）可主動選擇與第三方進行數據共享；依托數據中介機構（數據經紀人、數據利他主義組織等）生態開展數據交易共享。不論是依循上述哪種思路，均需確保數據在共享過程中的可信、安全。為此，有關數據安全責任界定與安全保障有關的法律制度也在探討之中。2022 年，除了歐盟數據法案，數字市場法數字服務法的立法進程也顯著加快。6 月 15 日，大西洋另一邊的美國則提出了健康和位置數據保護法案，提出禁止數據經紀人出售位置和健康數據等

31、敏感信息。該提案對交易共享的數據類型進行了限制，試圖平衡個人與數據中介之間的利益關系?？傮w來看，在個人信息尤其是個人敏感信息的共享流通機制上，通過立法手段管控市場主體之間的數據交易、加強政府引導，構建公平、當前的個人信息保護法律進路在于通過賦權模式，為自然人賦予個人信息主體權利，這就導致在大多數個人信息應用場景下，征求個人信息主體的授權同意成為唯一的合法性基礎，由此為企業主體帶來了一系列的合規義務，包括知情同意、最小必要、公開透明等。而算法作為數據生產力轉化的重要引擎，也同時引起監管重視，從全球范圍來看，算法的監管模式還不成熟，但是普適性算法監管制度供給不斷涌現。2021 年 4 月，歐盟委員

32、會公布了關于“歐洲議會和理事會條例：制定人工智能的統一規則（人工智能法案）并修訂某些聯盟立法”的提案，確立了算法應用主體和政府在算法應用過程中應遵循的底線原則，并界定了基于風險等級的算法應用場景。2022 年，歐盟數字服務法案數據治理法案和數字市場法案對互聯網數據應用規則進行全面改革，加強構建平臺型企業的算法責任體系。為促進數據再利用，數據治理法案欲將建立數據中介服務機制，并強調數據的利他主義，為歐盟單一數字市場奠定基本的數據使用管理規則，平衡企聚焦數據、算法層面的立法現狀與監管動向，各國明顯加快數據保護及算法治理相關工作，優化法律基礎，構建強監管環境。第一，大型跨國科技公司成為重點監管對象。

33、一方面，大型跨國科技公司基于業務需要所收集、存儲與處理的數據，在數據量和數據重要程度上一般會高于普通公司，具有更高的數據價值與潛在風2.2 算法應用合規現狀與趨勢2.3 監管路徑與發展趨勢業數據利用和公民個人數據保護之間的利益訴求。類似地，為解決算法自動化決策所引起的社會公眾不滿問題，美國一直以來也高度關注算法監管問題，2017 年 12 月簽署通過了美國立法史上第一個對公用事業領域算法進行問責的法案，即算法問責法案；20192022 年，美國立法者相繼提出并持續更新算法責任法案，旨在為軟件、算法和其他自動化系統帶來新的透明度和監督方式。其中2019 年算法問責法案強制要求相關實體針對高風險自

34、動化決策系統進行數據保護影響評估，提高數據應用的透明性和規則的可解釋性。我國近年來也愈加重視算法監管，2021年9月，國家互聯網信息辦公室等部門聯合印發關于加強互聯網信息服務算法綜合治理的指導意見，提出算法安全監管體系，規定了算法備案、算法監督檢查、算法風險監測、算法安全評估等四項舉措。其中，算法備案是算法安全監管的抓手和基石；算法監督檢查和算法風險監測相輔相成、互為補充，檢查是現場監測，監測是線上檢查；算法安全評估是出口，是算法安全監管的落腳點。險。例如，近年來國內外的大型跨國科技公司侵犯個人隱私、濫用數據、數據泄露等問題層出不窮，使得更加嚴格的監管勢在必行；另一方面，數據安全不僅要以監管機

35、構為主導，還需要社會、企業、群眾等主體共同發揮作用，而大型跨國科技公司具備一定的社會影響力，由其開展的最佳實踐或倡議行動都有助于建設更好的數據安全環境。因此，將全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report09跨國互聯網巨頭作為數據保護監管的重點對象，不僅有利于海量數據保護，而且在執法層面也更具有示范和預警效果。第二，數據出境活動成為重點監管情形。數據本地化趨勢在全球范圍內尤其是發展中國家愈發凸顯。關鍵信息基礎設施的運營者、大型跨國企業或開展海外業務的企業需要重點關注圍繞“跨境數據傳

36、輸”“數據本地化存儲”“數據隱私保護”的當地法律規定。目前跨境數據流動治理及監管暫未形成全球性規制體系，但包含中國在內的部分國家已經出臺相應法律法規。以我國 9 月 1 日起施行的數據出境安全評估辦法為例，明確了數據出境的具體流程。一是事前評估，數據處理者在向境外提供數據前，應首先開展數據出境風險自評估。二是申報評估，符合申報數據出境安全評估情形的，數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。三是開展評估，由國家網信部門收到申報材料之日進行評估。圍繞數據出境的監管，重點在于出境這一活動是否對國家安全、公共利益、個人或者組織合法權益帶來風險。第三，安全審查成為關鍵領域數

37、據安全強監管的重要舉措。網絡安全審查一般是針對關系國家安全和社會穩定的信息系統中所使用的信息技術產品與服務開展審查與監督。當前美國、中國等多個國家已設置審查制度，并且隨著安全態勢變化，審查范圍也在進一步拓展。以美國為例，其網絡安全審查涵蓋外國投資、關鍵基礎設施保護、供應鏈安全管理等。目前，全球網絡安全審查更聚焦于關鍵領域及信息科技行業。值得注意的是，國家將安全審查作為重要監管手段之一，以實現數據安全這一最終目的，但考慮到不同國家的網絡安全審查制度和體系可能存在法條競合或法條沖突，需要企業進行預先自審自查。第四，合規性評估與安全檢查成為數據安全日常監督的舉措。在日常監管工作中，除了網信辦、工信部

38、、各地通管局等部門圍繞違法違規收集使用個人信息等情形定期對 App 開展技術檢測，開展通報、批評、下架處理等執法活動。數據安全檢查專項活動也取得了階段性成效，成為主要監管舉措。2022 年，浙江省、廣東省、北京市、上海市等多省市已經開展電信和互聯網行業或車聯網行業的網絡與數據安全檢查工作，重點聚焦企業的數據安全保護落實情況、個人信息和用戶權益保護工作情況。數據安全合規評估作為檢查的一部分，對于企業自查自改具有全面指導意義，同時既可以作為數據安全符合性成果報告，也可以作為直接向監管部門提供的企業履行數據安全合規評估工作的證明。第五，算法監管的未來趨勢將從個人信息保護基本原則出發不斷提高其數據的可

39、溯源性和規則的可解釋性。從各國的算法監管思路來看，個人信息保護要求下的個人信息處理規則公開透明和個人信息自主決定權與算法黑箱模式形成沖突，雖然技術中立，但是算法的設計和數據的篩選都摻雜的人為因素，如果沒有中立的第三方進行算法治理和監管，容易導致算法歧視和輿論引導，對部分群體的權益造成影響。其中，數據的可溯源性，指數據的來源無瑕疵，對于個人信息的處理，需要取得個人信息主體的授權，這就要求，算法的數據提供方需要在數據收集時充分告知個人信息主體關于數據收集的種類和應用目的，如果需要向第三方共享，還必須向其告知共享的第三方主體基本信息。根據我國個人信息保護法對個人信息的定義，將匿名化后的全球數據合規與

40、隱私科技發展報告Global Data Compliance and Privacy Technology Development Report10全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report11信息排除在外，這為隱私計算的發展提供了發展窗口，即通過“數據可用不可見”的方式實現數據的流通和利用將成為算法合規路徑之一。規則的可解釋性同樣映射出個人信息主體權利的要求，由于法律對個人信息人格性權益的認可，個人信息主體參與到數據的權益配置鏈路中，算法的使用主體應當承擔相應的披露義務，明確告

41、知公眾關于算法使用的基本邏輯，接受公眾的監督，保障個人信息主體對算法使用的知情權。1 月 10 日3 月 10 日5 月 25 日7 月 21 日7 月 26 日8 月 24 日意大利的數據保護機構宣布對一面部識別公司違反歐盟法律的行為處以 2000 萬歐元罰款。該公司從互聯網上搜集自拍，積累了約100億張臉的數據庫，積累了約 100 億張臉的數據庫，為其出售給執法部門的身份匹配服務提供數據支持某社交平臺因不當使用用戶數據，達成 1.5 億美元庭外協議。除罰款外，該平臺還必須接受對其數據隱私計劃的審計以及其他限制因存在 16 項違法事實，國家互聯網信息辦公室對某出行平臺處人民幣 80.26 億

42、元人民幣罰款，對公司董事長、總裁各處人民幣 100 萬元人民幣罰款 某公司對于日常經營活動采集到的駕校學員個人信息未采取去標識化和加密措施，系統存在未授權訪問漏洞等嚴重數據安全隱患。廣州警方依法處以警告并處罰款人民幣 5 萬元人民幣的行政處罰某著名化妝品品牌就其侵犯消費者隱私一事達成和解協議，決定支付 120 萬美元的罰款，并在隱私政策中披露其向第三方出售消費者個人信息的事實，為消費者提供個人信息出售的退出機制某銀行因違反信用信息采集、提供、查詢及相關管理規定，被中國人民銀行上海分行罰款 1674 萬元人民幣個人信息保護法征信業務管理辦法通用數據保護條例（GDPR）美國聯邦貿易委員會法網絡安全

43、法數據安全法個人信息保護法數據安全法美國加州消費者隱私法案不正當采集、使用用戶的個人信息非法處理用戶的個人數據未經用戶同意使用個人信息；未明示收集、使用個人信息的目的、方式和范圍過度收集個人信息、個人敏感信息；超范圍獲取用戶權限，未告知用戶個人信息處理目的等；存在嚴重影響國家安全的數據處理活動未建立數據安全管理制度和操作規程出售、非法提供消費者個人信息附：數據合規監管處罰典型案例（2022 年）時間案例簡介適用法律風險點9 月 5 日9 月 14 日9 月 26 日10 月 13 日10 月 20 日韓國個人信息保護委員會（PIPC）對兩大公司合計處以 1000 億韓元（約合 7190 萬美元

44、）的罰款，這是該委員會對個性化廣告數據收集的首次處罰，也是有史以來韓國因涉嫌違反個人信息保護法而被處以的最高罰款金額某社交平臺可能在沒有適當的父母同意的情況下處理了英國 13 歲以下兒童的數據。該公司還涉嫌沒有以簡潔、透明和容易理解的方式向其用戶提供適當的信息，并在沒有法律依據的情況下處理特殊類別的數據。英國信息專員辦公室（ICO）將對其罰款2700 萬英鎊某科技公司在處理政務類數據時違規操作，導致數據存在泄露風險。上海網信辦對該公司責令改正，給予警告，并處以人民幣五萬元罰款的行政處罰某跨境電商平臺在英國面臨 8.89 億英鎊的訴訟，被控其濫用主導地位，操縱算法偏袒自身產品 因涉嫌不當處理青少

45、年相關數據（如青少年用戶的賬戶狀態被默認設置為“公開”；平臺收集青少年用戶的電話號碼或電子郵件地址數據），某社交平臺將被愛爾蘭數據保護委員會（DPC）處以 4.05 億歐元（約合 4.02 億美元）罰款通用數據保護條例（GDPR）韓國個人信息保護法英國數據保護法案數據安全法英國壟斷法不當處理未成年人數據未經用戶同意收集個人信息；不正當使用用戶個人信息用于個性化在線廣告和其他目的未經監護人同意處理未成年人信息；不正當處理個人敏感信息違規操作且未采取相應的技術措施和其他必要措施保障數據安全，導致數據存在泄露風險算法壟斷時間案例簡介適用法律風險點全球數據合規與隱私科技發展報告Global Data

46、Compliance and Privacy Technology Development Report12在算法監管規則日漸明晰的背景下，隱私科技的市場需求與日俱增，但是市場應用還難以推廣。除了因為技術本身不成熟、缺乏可靠的技術標準以及多方數據融合處理需求不明晰等技術和應用層面2.4 從算法監管看隱私科技的破局思路的原因外。更重要的原因在于，在當前個人信息保護規則下，個人信息的概念外延不斷擴大，法律除保護可用于直接識別自然人的信息外，算法應用中被加工的數據也受到同等法律保護，這類數據被稱全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Tec

47、hnology Development Report13為與個人信息主體相關聯的信息。無形中增加了數據應用的合規難度和算法的透明度要求。隱私計算作為隱私科技中的核心技術能力體現，為了實現在安全的前提下促進數據的可持續流通，其破局思路具體要從法律規則層面進行先行引導和規劃：（1）提高數據的匿名化程度我國個人信息保護法中將匿名化定義為“個人信息經過處理無法識別特定自然人且不能復原的過程”，并將匿名化處理后的信息排除在個人信息之外，這為算法類應用的發展提供了合規思路，即通過隱私計算實現數據的匿名化處理效果，在匿名化的前提下實現數據的“可用不可見”。但是隨著大數據技術的發展和數據的泛在化，完全做到匿名

48、化可能是個偽命題，典型的例子是搜索記錄的重新識別，美國在線網站曾經公布 2000 多萬條匿名化處理的用戶搜索記錄，有研究人員通過把其中多條記錄聯合分析后，很容易就識別出特定個人的姓名和身份。在當前法律和行業標準尚未界定匿名化實現方式和驗證標準的前提下，隱私科技技術需要對匿名化數據的重識別行為做出約束，通過規則設計避免算法運行過程中的中間態數據被重新識別到特定個人。（2）增強算法規則可解釋性數據作為新型生產要素，打破了“一物一權”式的傳統物權體系下的主客體對應關系，這就導致算法的開發方和利用方需要向個人信息主體披露數據處理的邏輯，以達到合規的要求。隱私科技技術在實現匿名化信息處理的前提下無疑也增

49、加了算法可解釋性的難度。例如在多方安全計算中，由于數據供給方互相并不知道對方的數據特征和群體特征，用于算法訓練的數據僅限于中間態計算結果，數據黑箱導致算法計算最終結果的可解釋性變差，因此，即便是“心懷善意”的技術提供方，也會因為數據的不完全透明導致數據的虛假乃至錯誤應用。隱私科技如何實現算法的可解釋性，降低算法偏差將成為合規必須攻破的難題。（3）遵循應用倫理先行原則由于算法與決策直接相關，從本質上來講，算法是客觀規律的數學表達和理性預測，但是算法的運算邏輯和數據輸入都是由人來完成的。在隱私科技加持下的算法雖然一定程度提高了數據匿名化的程度，但是增加多個數據處理環節和應用主體，包括數據提供方、技

50、術提供方和數據應用方，其中數據提供方可能涉及跨行業多個主體，這多方主體彼此之間難以對算法開發過程中的信息做到完全披露和理解，信息的不對稱同樣也會影響技術的中立性，從而導致計算偏差和算法歧視，算法不僅會將代碼中固有的決策保存下來，還會在預測過程中不斷固化歧視而創造出新的現實。因此隱私科技的推廣必不可缺少中立第三方對數據源、算法模型的倫理審查，通過降低信息不對稱性和融入社會學分析，加強算法的倫理審查，以促進隱私科技的向善發展。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report14企業隱私保護

51、及隱私科技應用現狀調研03P-A-R-TPART 3在數字化時代，數據合規與隱私保護一直是企業關注的一大重點，企業開展數據合規與隱私保護工作不僅是為了遵守全球不斷發展變化的法律法規要求，也是為了增強客戶體驗。在這兩大目標驅動下，不少企業將數據合規和隱私保護視作企業的生命線。在數據安全法和個人信息保護法施行一年有余，本報告再次發起調研，了解和分析企業數據合規與隱私保護現狀和趨勢，包括數據合規與隱私保護人員、組織、流程和技術等方面。本次調研涉及百家余家頭部企業，覆蓋金融、科技、媒體與通信、消費品、生命科學、制造業等行業。全球數據合規與隱私科技發展報告Global Data Compliance a

52、nd Privacy Technology Development Report15企業隱私保護及隱私科技應用現狀調研1.數據合規與隱私保護職能所屬部門呈多元化 今年有更多的被調查企業（98%）具備了數據合規和隱私保護職能，而去年該數值為 89%。數據安全法第四章明確了企業應遵循的數據安全保護義務，個人信息保護法第五章規定了企業作為個人信息處理著的義務，基于此越來越多企業在內部設立數據合規與隱私保護職能，推動企業內部履行合規義務。信息安全部門、法務部門和合規部門仍然是數據合規與隱私保護工作的主要責任部門。調查結果3.1 企業數據合規與隱私保護概況顯示，48%的被調查企業信息安全部門需要擔任部分

53、數據合規與隱私保護職能，39%的被調查企業合規部門和 38%的被調查企業法務部門也需要擔任部分職能。企業在考慮將數據合規與隱私保護職能安置到哪個部門時，可結合自身業務和組織架構進行設定，以更加符合和適應企業的需求?？紤]到數據合規與隱私保護工作的復雜性和學科交互性，48%的被調查企業數據合規與隱私保護工作由多部門共同負責。圖 2 企業數據合規與隱私保護職能所屬部門全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report16圖 3 企業數據合規與隱私保護職能模式 與去年相比，信息安全部門和法務部門

54、的占比有所下降，而合規部門、信息科技部門和內控部門等占比輕微上升。這些轉變的出現可能是因為數據合規與隱私保護的多學科性。除了常見的安全風險和法律合規風險，一些企業信息科技部門擔任部分數據合規與隱私保護職能，可能是為了將數據合規與隱私保護工作左移，在產品設計初期就考慮數據合規與隱私保護，并且通過信息科技部門實施更多的隱私科技以支持內部數據合規與隱私保護工作；一些企業內控部門擔任部分數據合規與隱私保護職能，可能是為了在企業內部形成數據合規與隱私保護的第三道防線，檢查企業內部設置了數據合規與隱私保護控制并運行有效。全球數據合規與隱私科技發展報告Global Data Compliance and P

55、rivacy Technology Development Report172.數據合規與隱私保護工作直接匯報層級越來越高 首席信息官/IT 總監仍然是當前數據合規與隱私保護工作的主要匯報對象，其次是企業高級管理層。根據調查統計，29%的被調查企業的數據合規與隱私保護工作是向首席信息官/IT 總監進行匯報，與去年相比有輕微的下降趨勢。22%的被調查企業數據合規與隱私保護職能直接向企業高級管理層（董事會或企業法人）匯報，而去年僅有 9%的企業直接匯報到高級管理層，是去年的兩倍有余。這些變化說明，隨著個人信息保護法和數據安全法施行以及監管部門的一系列執法行動，越來越多企業將數據合規與隱私保護工作視

56、為企業高級管理層應重點關注的事項。個保法第六十六條明確“嚴重違法行為可處五千萬元人民幣以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照”，違法違規事項不僅可能影響企業經營，也會影響消費者對企業的信任。圖 4 企業數據合規與隱私保護職能直接匯報工作的角色比例3.大部分企業已委任數據安全負責人和個人信息保護負責人 根據數據安全法第二十七條“重要數據的處理者應當明確數據安全負責人和管理機構”及個人信息保護法第五十二條“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人?！?，滿足法律規定情形的企業應

57、設立數據安全負責人和個人信息保護負責人。本次調研發現，大部分被調查企業已委任數據安全負責人（90%）和個人信息保護負責人（88%）。然而具體如何設置數據安全負責人和個人信4.企業負責數據合規與隱私保護工作的人員數量逐年提升，但仍存在人才缺口 去年企業負責數據合規與隱私保護工作的人員數量“大于 20 人”“11-20 人”“6-10 人”的占比僅為 6%、2%、6%，而今年企業負責數據合規與息保護負責人在法律法規中并未明確規定。通過調研發現，被調查企業更多地選擇CIO/IT總監（25%）、CISO（19%）、DPO（15%）擔任數據安全負責人。而對于個人信息保護負責人，被調查企業更多地選擇由合規

58、主管（18%）、CIO/IT總監（17%）、DPO（16%）擔任。同時，部分企業選擇由 CEO 擔任數據安全負責人（7%）和個人信息保護負責人（6%）?？梢?，目前數據安全負責人和個人信息保護負責人的任命未成定式，企業可根據自身組織架構以及業務與產品設立相應崗位，落實保護和監督責任。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report18圖 5 數據安全負責人和個人信息保護負責人的設立隱私保護工作的人員數量“大于 20 人”“11-20 人”“6-10 人”的占比相比去年均有所上升，為 15

59、%、6%、12%，說明企業需要更多的數據合規與隱私保護人員以滿足監管和消費者對數據合規與隱私保護日趨強烈的需求。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report19 13%的企業沒有全職人員負責數據合規與隱私保護工作。2022 年 9 月工業和信息化部人才交流中心和工業和信息化部網絡安全產業發展中心牽頭，聯合多家單位共同研究編制的 網絡安全產業人才發展報告（2022年版）正式發布，報告顯示隨著合規和業務安全需求的提升，網絡安全領域人才仍然供不應求，其中數據安全相關人才尤為緊缺。對于大部

60、分企業尤其是中小型企業來說，數據合規與隱私保護的專業人員仍然存在較大的缺口，人員問題也成為了部分企業無法滿足實際的數據合規和隱私保護工作需求的原因之一。數據合規與隱私保護工作人員數量隨著企業營業額增加而增多。60%的“營業額大于 1000 億元人民幣”被調查企業，擁有 6 人及以上的數據合規與隱私保護工作人員；而 83%的“營業額小于 100 億元人民幣”被調查企業，擁有 5 人及以下的數據合規與隱私保護工作人員。圖 6 企業數據合規與隱私保護工作的人員數量圖 7 企業數據合規與隱私保護工作的人員數量分布圖（單位：人民幣）全球數據合規與隱私科技發展報告Global Data Complianc

61、e and Privacy Technology Development Report205.數據合規與隱私保護的投入日趨滿足實際需求 數據合規與隱私保護的投入一直是數據合規與隱私保護工作者關注的重點，通過對比，了解自身數據合規與隱私保護的投入是否與同等規模企業一致。調查發現，68%的被調查企業過去 12 個月在數據合規與隱私保護的投入大于 100 萬元人民幣。企業數據合規與隱私保護的投入隨著營業額 數據合規與隱私保護的投入日趨滿足實際需求。82%的被調查企業認為公司在過去 12 個月內數據合規與隱私保護方面的投入基本滿足需求或超出需求，而去年僅為 52%的被調查企業這么認為?？梢婋S著國內數據

62、安全和隱私保護壓力增大，企業在數據安全和隱私保護方面的投入逐步增加，更加積極主動地應對合規風險。的增加而增多。52%的“營業額 100 億元人民幣”被調查企業過去 12 個月在數據合規與隱私保護的投入小于 100 萬元人民幣；66%的“100 億元人民幣=營業額 1000 億元人民幣”被調查企業在數據合規與隱私保護的投入大于 500 萬元人民幣。圖 8 過去 12 個月企業數據合規與隱私保護的投入分布圖（單位：人民幣）全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report21圖 9 過去 1

63、2 個月企業數據合規與隱私保護的投入滿足需求程度6.數據合規與隱私保護成熟度逐步提升制度與流程是數據合規與隱私保護體系的重要組成部分，也是基礎性工作。大部分企業在啟動數據合規與隱私保護工作時，會從制度與流程建設著手，對內部管理進行標準化、規范化，設立運營流程以保證數據處理活動符合相關法律法規要求。在制度建設方面，已有 92%的被調查企業定義了相關方針政策以及管理制度與操作規程，并且有 42%的被調查企業認為公司已制定了完善的管理制度和操作規程。在制度執行情況和效果方面，大部分（81%）被調查企業對制度要求進行了落實執行，相比去年（74%）有所提升。今年，63%的被調查企業認為執行效果有待提升，

64、而僅 18%的被調查企業認為公司有效執行和落實了數據合規與隱私保護制度和流程，盡管如此，這一數值相對去年的 3%仍有很大提升。這些轉變表明隨著企業數據合規與隱私保護工作的深化，企業對于制度和流程落地的需求越來越強烈，企業數據合規與隱私保護成熟度不斷提升。圖 10 企業數據合規與隱私保護的制度定義與執行情況全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report227.企業積極開展數據出境安全評估工作 2022 年 9 月 1 日數據安全評估管理辦法正式施行，以支持企業履行數據安全法第三十一條重

65、要數據出境和個人信息保護法第三十八條個人信息出境相關義務。數據安全評估管理辦法明確指出，辦法施行前已經開展的數據出境活動，不符合辦法規定的，應當本辦法施行之日起 6 個月內完成整改。對此，適用該辦法的企業，大部分（75%）被調查企業進行了積極響應，其中 42%的被調查企業處于數據出境安全評估工作前期，即正在開展數據出境自評估，17%的被調查企業已完成子評估，16%的被調查企業已經開始進行安全評估申報。由于國內數據出境安全評估工作剛開始啟動，企業在評估過程中存在許多挑戰。在已經啟動數據出境安全評估工作的被調查企業，71%的被調查企業認為公司數據出境場景復雜，很難梳理清楚。另外，46%的被調查企業

66、認為公司人員缺乏數據出境評估技能和知識，難以支持評估工作的開展；40%的被調查企業認為公司缺乏隱私技術開展數據出境安全評估。圖 11 企業數據出境安全評估工作的進度圖 12 企業開展數據出境安全評估工作面臨的挑戰全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report23針對這些挑戰，短期可以借助內外部資源，對公司現有數據出境場景和風險進行梳理和評估。長期來說，可以從流程、技術和人員三方面入手，逐步完善企業在數據出境安全管理能力。流程方面，建立數據出境安全評估機制，在開展業務時若涉及數據出境應

67、進行內部申請和自評估，必要時還需進行外部申報。技術方面，一是借助“數據自動化發現、分級分類與標識”和“數據流動監控”隱私科技解決方案掌握公司個人信息和重要數據的分布、流動、出境等情況，這與目前企業對數據合規與隱私技術解決方案迫切需求一致；二是通過“數據合規與隱私風險評估平臺”將數據出境安排評估流程線上化，并將其嵌入業務活動設計階段，形成關鍵控制卡點。人員方面，通過開展數據合規與隱私保護職能人員的技能培訓和全員意識培訓，增強人員數據出境安全個人信息保護和數據安全法律法規和監管日漸成熟的同時，企業的數字化進程也未曾放緩腳步。在日益增加的數據量和愈發復雜的業務場景下，技術手段成為企業隱私保護與數據安

68、全治理的必要手段。因此，越來越多的企業開始了隱私科技解決方案的實施，將先前的規劃付諸實踐。在去年的調研中我們發現，有 57%參與調研的企業正在實施部分隱私科技解決方案，而到了今年，這個比例增長到了 65%以上，其中更是有 38%的參與調研的企業已經實施了部分隱私科技解決方案。評估能力和意識。隨著 數據安全法 和 個人信息保護法 的施行，我國在數據安全和個人信息保護方面的監管不斷增強。今年，除了數據出境需根據數據出境安全評估辦法的要求向網信辦申報，汽車數據安全管理也需根據汽車數據安全管理若干規定（試行）的要求向網信辦報送。另外，銀保監會下發關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通

69、知，要求銀行保險機構在個人信息保護方面進行自查自糾，并報送書面自查整改工作報告；各地通管局也發布電信和互聯網行業網絡和數據安全檢查的通知要求企業自查自糾并上報總結報告。相信未來，數據合規與隱私保護企業自查整改上報、監管重點抽查的趨勢將越來越明顯，企業需不斷提升自身數據合規與隱私保護水平。3.2 企業隱私科技應用程度圖 13 企業隱私科技解決方案實施程度全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report24針對常見的隱私科技解決方案，除隱私計算平臺外，所調研的其余九類隱私科技解決方案的整體

70、實施程度較高的（即實施中、部分已實施和已較完備實施的解決方案）企業占比均超過了 50%，其中排名前三的有：個人信息主體授權同意管理（66%）、個人信息主體權利響應管理（63%）、隱私事件響應（62%）、隱私風險與合規評估平臺（62%）。另外，隱私計算平臺（41%）和數據流動監控（52%）這兩個在去年的調研中實施程度最低的隱私科技解數據資產管理是同時飄在甲方和乙方頭上的一朵“烏云”。在去年的調研中我們發現，企業需求最迫切的三類隱私科技解決方案是，數據自動化發現、分級分類與標識（60%），數據流動監控（52%），數據去標識化、匿名化技術（38%）；而在今年，數據自動化發現、分級分類與標識（62%）

71、，數據流動監控（51%）仍然是企業最迫切的需求，但數據去標識化、匿名化技術僅排在 23%的企業最迫切決方案在今年仍然是最低，但其實施程度相較去年均有明顯增長，其中，隱私計算平臺從 29%增長到了 41%，數據流動監控從 33%增長到了 52%。綜合來看，盡管各類隱私科技解決方案在企業中達到“已較完備實施”的程度仍然都不高（均未超過 18%），隱私科技在企業中的整體實施現狀仍然處在起步階段，但經過了過去一年的實施后，隱私科技解決方案在企業中的整體實施已經取得了長足的發展和進步。圖 14 企業隱私科技解決方案實施現狀的“三甲”榜單之上。這與隱私科技解決方案實施現狀的調研結果也是吻合的，在今年有 1

72、6%的企業實施了較完備的數據去標識化、匿名化技術，而去年僅有5%，企業通過一年的實施，已部分滿足了需求。而相比去年，數據自動化發現、分級分類與標識和數據流動監控的實施程度、需求迫切程度均未明顯改善，其中數據自動化發現、分級分類的實施程度甚至有顯著降低。這說明企業對數據隱私與安全愈全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report25發重視的同時，隱私科技市場仍未出現較好的幫助企業識別與監控“有什么數據”和“數據在哪里”等問題。同時我們發現，數據自動化發現、分級分類與標識與數據流動監控也是

73、企業自開發率最低的兩類技術，分別為 47%和 48%。這說明，隱私科技市場無法較好滿足企業需求的同時，企業也較難依賴自己的研發能力來解決數據資產管理的難題。2021 年已實施或在實施數據自動化發現、分級分類與標識的企業占比2021 年迫切需要數據自動化發現、分級分類與標識的企業占比2022 年已實施或在實施數據自動化發現、分級分類與標識的企業占比2022 年已實施或在實施數據自動化發現、分級分類與標識的企業占比2021 年已實施或在實施數據流動監控的企業占比2021 年迫切需要數據流動監控的企業占比2022 年已實施或在實施數據流動監控的企業占比2022 年已實施或在實施數據流動監控的企業占比

74、圖 15 企業隱私科技解決方案需求與實施現狀全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report26隱私計算平臺在金融與 TMT 行業中有著較大發展潛力。替代數據自動化發現、分級分類與標識成為企業最迫切需要的隱私科技解決方案的是隱私計算平臺，有40%的企業表示迫切需要這類解決方案。在這些企業中，大部分企業來自金融業（占全部表示迫切需要隱私計算平臺的企業的 28%）和 TMT行業（占全部表示迫切需要隱私計算平臺的企業的8%）。無獨有偶，隱私計算平臺實施程度最高的兩個行業（已較完備實施、已實施

75、部分解決方案）同樣是金融業（占全部隱私計算平臺實施程度較高企業的 33%）與 TMT（占全部隱私計算平臺實施程度較高企業的 22%）?？梢?，盡管金融業與 TMT 行業已經走在了隱私計算平臺實施的前列，但仍有巨大的增長空間。越來越多的企業開始選擇自研。在去年的調研中我們發現，針對與已有系統環境存在緊耦合關系的解決方案，自開發比例會明顯高于外采，包括個人信息主體同意授權管理（自開發率 70%）、個人信息主體權利管理（自開發率65%），數據去標識化、匿名化技術（自開發率63%）；而對于技術門檻較高、管控規則需長期沉淀的解決方案，大部分企業選擇購買成熟產品來進行實施。今年，企業自開發率進一步提高。除了

76、數據自動化發現、分級分類與標識（自開發率 47%）、數據流動監控（自開發率 48%）、數據和隱私合規檢測工具（自開發率 44%）以及隱私風險與合規評估平臺（自開發率 50%）以外，其余隱私科技解決方案的自開發率均超過了 60%，其中隱私事件響應的自開發率高達 75%。綜合各項隱私科技解決方案，今年參與調研的企業的平均自開發率從去年的 47%提高到了 57%。在各行業中，研發能力較強的 TMT 行業各項隱私科技的自研比例均顯著高于外采比例。此外，62%的企業認為隱私科技解決方案無法滿足需求的原因是產品無法有效地與管理流程或 IT 環境整合，因此，高度定制化、高集成度也許是企業更多地選擇自研方案的

77、原因之一。圖 16 企業已實施的隱私科技技術自研與外采情況全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report27數據合規與隱私保護管理平臺的實施程度提高，且取得了良好的實施效果。去年的調研顯示，企業在隱私保護管理平臺的功能實現與實際需求存在較大差距。企業對數據合規與隱私保護安全意識培訓（93%）、數據/個人信息安全事件應急響應（92%）和數據安全與個人信息保護合規自評估（90%）等功能有較大的需求，但是大部分功能仍處于未實施的狀態，各項功能平均實施率僅有 35%。在今年的調研中，需求最高

78、的三個功能分別是數據合規與隱私保護安全意識培訓（92%）、數據安全與個人信息保護合規自評估（88%）和數據/個人信息安全影響評估（87%），而平均實施率提高至 47%，且每項功能的實施率均有所提高。圖 17 有需求的企業對數據合規與隱私保護管理平臺所支撐功能的實施現狀全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report28隱私計算平臺的用途更加廣泛，且各類隱私計算技術均有用武之地。在今年的調研中，有 52%的企業有了隱私計算技術的應用場景，遠高于去年的比例（29%）。在參與調研的企業中，隱

79、私計算平臺除了在控制企業風險的場景中發揮著作用，也真正做到了為業務賦能，讓在嚴格的監管環境、越來越高的數據安全要求以及保障知識產權的前提下難圖 18 已實施的企業對數據合規與隱私保護管理平臺所支撐功能的實施現狀以開展的業務安全有序進行。隱私計算平臺最常用的三大場景分別是風險控制（61%）、聯合營銷（50%）與反欺詐（44%）。在企業所采用的的隱私計算平臺中，各類技術均達到了一個可觀的使用比例，其中使用比例最高的是讓數據可用不可見的多方安全計算（66%）與聯邦學習（40%）。而在已實施數據合規與隱私保護管理平臺功能的企業中，功能能夠滿足需求或超出預期的情況也較高，所有已實施的功能需求滿足率均達到

80、了 70%。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report29圖 19 已實施的隱私計算平臺所支撐業務場景圖 20 已實施的隱私計算平臺中隱私計算技術的采用情況全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report30隱私保護與數據安全已應用到了新興科技中。隱私計算技術在元宇宙、工業互聯網和區塊鏈中也發揮著重要作用。根據調研結果，在已開展元宇宙項目的企業中，53%的企業正在元宇宙項

81、目中或已在元宇宙項目中實施了隱私科技技術；在已開展工業互聯網項目的企業中，32%的企業正在工業互聯網項目中或已在工業互聯網項目中實施了隱私科技技術；在已開展區塊鏈項目的企業中，50%的企業正在區塊鏈項目中或已在區塊鏈項目中實施了隱私科技技術。圖 21 隱私科技在新興技術中的實施情況盡管受到經濟環境的影響，很多企業都在縮減預算，但很多企業仍然在為數據合規與隱私保護持續投入。在去年的調研中，有 46%的參與調研的企業認為公司投入無法滿足需求，但今年這個比例降低到了不足 18%，更有 4%的企業認為投入已經超出需求。然而，對于數據合規與隱私保護的持續投入并未完全體現在對隱私科技的投入上。在去年的調研

82、中，61%的參與調研的企業表示將會在未來 12 個月內增加對隱私科技解決方案的預算 5%以上，但根3.3 企業隱私科技投資趨勢據今年的調研結果，企業在過去 12 個月在隱私科技上的投入占比仍然不高，技術投入占公司數據合規與隱私技術方面投入超過 10%的企業由去年的 27%下降至今年的 22%。且在今年參與調研的企業中，表示會在未來 12 個月內增加 5%以上的隱私科技解決方案預算的僅占總數的 43%，而表示會降低此方面預算的企業由去年的 4%增加到了 8%，一半的企業表示對數據合規和隱私技術投入將保持平穩（預算變化 5%以內）。全球數據合規與隱私科技發展報告Global Data Compli

83、ance and Privacy Technology Development Report31圖 22 過去兩年企業在隱私科技的投入意愿變化情況圖 23 企業在隱私科技解決方案的投入意愿情況企業在具體到特定解決方案的投入時也更加謹慎了。在去年的調研中，除了零信任僅有 38%的企業愿意增加投入外，每一項隱私科技解決方案都有超過 40%的企業愿意增加投入，而在今年，除數據自動化發現、分級分類與標識有 41%的企業愿意增大投入外，沒有一項隱私科技解決方案這項數據超過 35%，而選擇不投入、減少投入的企業的比例均有所增長。在停滯不前的隱私科技投入面前，仍有四分之一（24%）的被調查者認為未來 12

84、個月內對隱私科技的投入調整無法滿足實際需求。隱私科技作為數據合規與隱私保護的基礎能力之一，可以幫助企業更加高效、有效地控制合規風險，為業務保駕護航，因此企業仍需做好規劃、合理分配資源，選擇適合自己的隱私科技解決方案。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report323.4 企業對國內隱私科技市場的期望隱私科技投入的停滯原因可能有多種，如過去兩年的前期實施讓部分產品、方案已進入業務穩態，維護費用低于前期實施費用；企業更多的自研使成本分攤在了信息技術或數字化部門的其他業務預算中;今年新出

85、臺的法律要求使得企業花費了更多預算用于合規評估等非技術類工作上等等。但更重要的是，隨著國內合規要求日漸成熟且明確，我國數據合規與隱私保護法律提出了諸多相比歐洲、美國、然而，大部分參與調研的企業均認為目前國內隱私科技市場仍處于早期階段，僅有不到 10%的參與調研的企業認為國內隱私科技市場大部分技術已進入商業化模式或認為整個市場已經成熟，90%以上的企業認為市場仍不成熟，甚至有 22%的企業認新加坡等地獨特的要求，我國的市場環境、業務場景和數字化程度也有著鮮明的特色，因此很多企業在期待更加貼合本地需求的國內隱私科技解決方案。根據調研，僅有 5%的參與調研的企業在未來 36個月內不會考慮國內的隱私科

86、技解決方案，更是有24%的參與調研的企業表示會在未來 12 個月內考慮國內的隱私科技解決方案。圖 24 企業對國內隱私科技解決方案的考慮意愿為所有技術均處于概念性階段，無法有效落地。而在未來 36 個月內會考慮購買國內隱私科技解決方案的企業中，更是有 40%的企業認為目前國內隱私科技市場的技術均無法有效落地。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report33圖 25 企業對國內隱私科技市場成熟度的評價對比去年的數據，我們可以觀察到國內隱私科技市場成熟度的提高，但提高幅度有限。這些數據

87、既說明目前隱私科技市場仍處于非常初期的階段，更代表著企業對國內廠商的期待與長期看好。在數據合規與隱私保護的浪潮下，廠商應當進一步理解企業需求、加大研發力度，做好企業數據合規與隱私保護的守護者。3.5 企業實施隱私科技所面臨的挑戰在企業的數據合規與隱私保護治理中，人員、流程與技術三者均不可或缺且緊密關聯。實施隱私科技除了在技術上給企業帶來挑戰之外，同時也對企業的人員能力與意識、制度流程規范提出了更高要求。在去年的調研中，參與調研的企業表示實施隱私科技最大的挑戰是產品無法有效地與現有管理流程或 IT 環境進行整合（84%），用戶體驗差、導致業務部門對產品的抵制使用（41%）和缺乏相應資質或技能的人

88、員有效支撐運營（36%）。根據今年的調研結果，企業實施隱私科技解決方案的三大挑戰分別是產品無法有效地與現有管理流程或 IT 環境進行整合（62%）、缺乏相應資質或技能的人員有效支撐運營（47%）和后期運維成本高、無法及時對產品、規則和流程進行更新（39%）。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report34圖 26 企業實施隱私科技面臨的挑戰產品無法有效地與現有管理流程或 IT 環境進行整合盡管產品無法有效地與現有管理流程或 IT 環境進行整合仍然是最大的挑戰，但情況有所好轉。這需要

89、全行業的共同努力方可進一步改善、解決。在市場進一步提高對企業技術環境、業務場景的理解和加強對技術難關的攻克的同時，企業也需要進一步建設、優化相應的治理體系與技術架構，選擇適合自己的解決方案。缺乏相應資質或技能的人員有效支撐運營在企業內建設運營隱私科技解決方案，對人員的技術能力、法律理解和企業管理知識都有著較高要求，然而這樣的人才目前十分稀缺，隨著法律法規的發展，人才缺口問題也變得愈發突出，是全行業都亟待解決的挑戰。后期運維成本高、無法及時對產品、規則和流程進行更新這個挑戰其實是前兩個挑戰的綜合體現，產品本身在實施過程中就沒有很好地兼容企業現有治理體系和技術架構，那么在產品、監管環境、企業內部環

90、境產生變化時，產品的擴展性很可能變成突出問題，企業需要花費額外的人力財力去進行維護、變更，甚至宣布項目失??；與此同時，運營人才的缺失更加加劇了運維的難度。挑戰之外，我們同時也看到了進步。今年的調研發現，隱私科技解決方案的用戶體驗同樣得到了長足的改善，僅有 33%的參與調研的企業認為這是隱私科技解決方案無法滿足需求的原因，這一項也跌出了無法滿足需求的原因的前三名，同時產品性能問題也得到了改善，僅有 19%的企業認為產品具有性能瓶頸、無法有效支撐業務運營，而這項數據在去年高達 34%。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technol

91、ogy Development Report35產業發展洞察與典型實踐04P-A-R-TPART 4目前，隱私科技被廣泛應用于金融、政務、醫療等重點行業，隨著市場應用的增長，隱私科技產業發展邁入深度實踐階段。與此同時，由數據源、數據使用方和數據服務方構成的隱私計算生態，由安全廠商、數據合規與隱私保護服務方構成的數據合規生態，成為隱私科技產業生態的核心支撐。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report36產業發展洞察與典型實踐隱私科技的產業及應用發展是各企業、機構充分踐行國家數據戰略

92、，滿足監管與數據共享的結果。由于隱私監管工作在全球范圍內的擴展，越來越多的組織看到開始隱私工作的必要性。4.1 隱私科技產業發展圖 27 2017-2022 年隱私技術供應商增長情況（IAPP）全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report37市場需求拉動下，全球隱私科技市場整體趨于穩固發展，我國則進入追趕型發展階段。根據 IAPP年度隱私技術供應商報告（Privacy Tech Vendor Report），2022 年共計收錄來自全球各地的隱私技術供應商為 364 家，對比 20

93、21 年的 365 家在供應商數量上基本持平。當前，全球范圍內的主要隱私科技供應商處于深耕行業、穩固發展階段，該領域頭部企業角逐趨于明朗。聚焦國內市場，隱私科技產業伴隨一批數據安全法律法規的頒布、生效迎來快速發展期，既涌現了一批隱私科技創新創業企業，同時逐步孵化國內隱私科技領頭企業，其中既包括傳統網絡安全企業借助原有安全基礎，在數據安全方面加大投入，孵化新的產品及服務，也有較早入局的隱私科技企業在數據安全、數據合規或隱私計算等方向選擇側重點突破，提供更為成熟的服務體系和產品類型。國內隱私科技供應商處于百花齊放，百舸爭流的多元發展階段，尚未涌現全球及中國頭部企業。從產業分類來看，數據分類分級、數

94、據流通監控、數據風險與隱私影響評估、數據與隱私綜合治理是隱私科技產業的熱門細分賽道。與此同時，隨著安全產品、安全服務向集中式平臺匯聚的趨勢增強，市場上涌現了更多通用型數據安全與合規平臺、隱私計算平臺。平臺型解決方案通過整合或替換單一功能的數據安全產品，成為支撐企業數據安全與合規常態化運營工作的重要方式。目前主要集中應用在以數據驅動為核心的金融、互聯網行業，以及擁有大量數據源和數據流通需求的醫療、政務等領域。從市場應用來看，隱私科技企業的進入市場實施階段的產品比例逐年提升。以隱私計算相關技術和產品為例，根據隱私計算聯盟統計，進入實施階段的產品已由 2020 年的 38%上升至 2021 年的48

95、%，且部分產品能夠支持較大規模應用的實施。此外，隱私科技相關技術的開源生態逐步形成，這也進一步推動合規解決方案的落地與應用。在產業結構豐富、企業快速發展的背景下，隱私科技產業的投融資整體向好。2022 年上半年，我國隱私應用平臺已經涌現千萬級融資，隱私計算服務領域出現億級融資，可以預估我國隱私科技產業在近 3 年將快速新增一批估值數億到十億級別的產品與服務提供商。隨著電信行業的快速發展，新技術、新模式得到廣泛運用，用戶個人信息的泄露風險和保護難度不斷增大。運營商行業相關政策法規相繼出臺，數據安全方面，電信網和互聯網數據安全通用要求（YDT 3802-2020）、基礎電信企業數據分類分級方法（Y

96、DT 3813-2020）相繼出臺，針對基礎電信企業數據分類分級提出了示例，并規范了數據采集、傳輸、存儲、使用、開放共享、銷毀等數據4.2 典型案例 1：運營商行業數據分類分級處理活動及其相關平臺系統應遵循的原則和安全保護要求，同時，明確了對運營商數據安全組織保障、制度建設、規范建立等管理要求以及相關配套技術要求。2020 年省級基礎電信企業網絡與信息安全工作考核要點與評分標準要求包括運營商在內的相關行業按照2020 年電信和互聯網企業數據安全合規性評估要點完成數據安全合規性評估工作，形成評估報告，并針對 2020 年內應組織落實的要點內容，及時進行風險問題整改。與此同時，工業和信息化部關于做

97、好 2020年電信和互聯網行業網絡數據安全管理工作的通知也對運營商行業數據安全防護提出了更高、更具體的要求，包括：持續深化行業數據安全專項治理、全面開展數據安全合規性評估、加強行業重要數據和新領域數據安全管理、加快推進數據安全制度標準建設、大力提升數據安全技術保障能力、強化社會監督與宣傳培訓。對于運營商來說，需要滿足通信行業安全合規政策檢測要求，提高自身數據安全防護能力，針對全行業有序實施數據安全治理建設。（1）運營商行業數據安全痛點大數據新技術帶來客戶信息安全挑戰。眾所周知，大數據平臺數據量大、數據類型多樣、大數據平臺組件設計之初存在高解耦性等，面對大數據環境下，數據的采集、存儲、處理、應用

98、、傳輸等環節均存在更大的風險和威脅。在運營商大數據安全管理層面，存在缺乏客戶信息衡量標準，運營商的安全管控系統和安全管理職責不明確等風險，特別是在運營商大數據對外業務合作過程中，數據傳輸、使用的過程中留存等諸多的安全漏洞。在安全運營層面，也存在著供應鏈、業務設計、軟件開發、權限管理、運維管理、合作方引入、系統退服等安全風險。數據信息的分類分級較難。數據信息包括客戶的信息和企業業務數據信息?？蛻粜畔⒅杏趾擞脩羯矸莺丸b權信息、用戶數據及服務內容信息、用戶服務相關信息等三大類，而在這三類信息中，又包含了身份標識、基本資料、鑒權信息、使用數據、消費信息等諸多不同類型的數據。這就導致在實際工作落地中

99、，運營商往往很難進行全量的識別，致使對這些客戶信息進行管理時，無法進行全部監控，因而不能在第一時間發現風險。運營商的業務數據信息中由于內部業務系統復雜，各區、省、市、縣業務數據信息存在非常高的業務屬性，對比客戶信息更加繁雜，而且各業務系統的開發廠商也存在各自的專有標簽，這些數據信息存在分散、數據量大、業務屬性強，都導致數據分類分級難以推行實施，使敏感信息無法準確定位、定級發現，導致整體的數據信息環境存在安全隱患。數據大集中導致風險集中爆發。隨著近些年來，目標明確、精準打擊的高級持續性威脅攻擊行為帶來越來越大的風險，電信行業受到了越來越多更加隱蔽、更加深度的威脅。目前大數據平臺、云計算環境尚處于

100、起步階段，基于新模式新場景下的數據安全防護手段和措施仍然欠缺，同時由于電信企業大數據環境存在寶貴的海量數據資產，因此更容易成為不法分子的目標，帶來數據安全難題。（2）運營商行業客戶信息保護為了使客戶信息得到保護，電信運營商必須要加強對大數據環境下客戶信息保護的要求工作，深入探索大數據安全，開展大數據安全保障體系規劃，同步推進大數據安全防護手段建設，保障大數據環境下安全可管可控。在治理大數據客戶信息安全的過程中，需要從安全策略、安全管理、安全運營、安全技術、合規評測、服務支撐等層面，建立大數據客戶信息安全管理總體方針，加強內部和第三方合作管理過程把控，強化數據安全運營和業務安全運營的過程要求，夯

101、實對大數據平臺系統的安全技全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report38全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report39術防護手段，定期開展大數據客戶信息安全評估工作，強化大數據客戶信息安全治理過程。推動數據分類分級對于電信運營商企業信息，全面開展對客戶敏感信息的識別和分類分級。通過對業務數據的分類分級，實現業務系統的分級安全建設標準，只有這樣才能夠在大量的客戶信息和

102、業務信息中，有效地分析出敏感信息，并科學管理這些信息，打造出安全的數據流轉環境?；?礎 電 信 企 業 數 據 分 類 方 法：參 照 GB/T 10113-2003 中的線分類法為基礎進行分類。按照業務屬性或特征，將基礎電信企業數據分為若干數據大類，然后按照大類內部的數據隸屬邏輯關系，將每個大類的數據分為若干層級，每個層級分為若干子類，同一分支的同層級子類之間構成并列關系，不同層級子類之間構成隸屬關系。圖 28 基礎電信企業數據分級方法全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report

103、40在數據分類基礎上，根據數據重要程度以及泄露后造成的影響和危害程度對基礎電信企業數據進行分級。確定數據分級對象、確定數據安全受到破壞時造成影響的客體、評定對影響客體的影響程度、確定數據分級對象的安全等級，以此為依據實施安全防護策略。增強數據安全管理大數據背景下，電信運營商客戶信息常常受到數據安全的威脅，想要增強客戶信息的安全性，必須要增強數據安全治理體系的建設。圖 29 數據分級流程首先，需要繼續加強傳統網絡安全手段的建設，通過數據梳理、數據庫安全網關、數據庫審計、數據脫敏、數據加密、DLP 防泄密等基礎數據安全設備構筑防護能力。其次，針對大數據的特殊環境進行研究，解決虛擬化、大數據共享、非

104、關系型數據庫安全等新型問題，作為傳統網絡防御手段的有效補充。最后，需要遵循國家針對大數據下安全標準，制定適合本行業科學、合理的標準，為電信和互聯網數據安全打下良好基礎。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report41聚焦醫療行業，某省健康導航平臺是運營商省公司聯合省衛健委共同打造的省級統一醫療健康服務平臺，平臺匯集全省 800 多家醫院的優質資源，提供預約掛號、排隊叫號、報告查詢、體檢預約、在線藥房等服務。目前累計注冊用戶超 1500 萬，累計服務人次超 6000 萬，在省內醫療行

105、業形成巨大規模和影響力。面向如此龐大的用戶，平臺運營方一直在探索互聯網運營方式，但傳統的推薦營銷手段因受數據量限制，效果欠佳。運營商省公司擁有海量用戶的屬性和行為數據，平臺運營方卻無法獲取運營商數據，從而影響推薦算法的預測效果。因此，急需通過技術手段在保障雙方數據隱私的情況下，4.3 典型案例 2：基于聯邦學習的分布式可信醫療精確營銷進行聯合模型構建，提升推薦模型的準確性。（1）場景概述通過引入聯邦學習技術，基于聯邦學習模型架構，在保證數據隱私安全的前提下構建跨域建模能力，賦能健康導航業務場景下的精準推薦。聯邦學習在多方本地化部署的基礎上，服務端、客戶端及協調方通過網絡互聯進行聯合建模，實現數

106、據不出庫、不共享數據，有效解決數據孤島問題。聯合模型充分利用運營商省公司大數據優勢和健康導航平臺行業經驗，建設健康導航平臺 APP 用戶彈窗問診功能推薦，以提高 App 推薦的精準性。圖 30 模型全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report42（2）技術框架聯邦學習在多方本地化部署的基礎上，服務端、客戶端及協調方通過網絡互聯進行聯合建模，實現數據不出庫、不共享數據，有效解決數據孤島問題，主要包括：數據準備、特征工程、加密對齊、模型訓練、模型推理五個模塊。（3）模型具體方案模型具體

107、方案如下：訓練邏輯：健康導航平臺根據業務需求發起訓練，然后經協調方和運營商做數據對齊，完成后開始與運營商交換參數并訓練模型。具體步驟如下：圖 31 技術框架圖 32 具體方案全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report43（4）隱私科技價值該應用創新性地利用聯邦學習分布式架構進行部署和建模，安全匹配、安全統計、安全模型等功能助力參與聯合營銷的各機構原始和明細數據不出庫的前提下進行跨域數據驅動精準營銷，同時保障機構數據安全與個人隱私，確保數據應用安全合規。數據經授權后方可進行安全計算

108、，最小化利用，數據調用可追溯審計?；诙喾桨踩嬎愕入[私保護技術，實現數據可用不可見，解決不同機構之間的數據協同計算過程中的數據安全和隱私保護問題，助力機構安全高效地完成聯合營銷等跨機構數據合作任務，驅動業務增長?；诼摪顚W習和數據加密，該應用實現了運營商及健康導航平臺雙方數據的“虛擬融合”，大幅提升了推薦模型的準確率，聯邦學習模型效果相對自有數據模型效果提升 111%以上，實現問診、體檢等場景的精準推薦。同時打造“場景冷啟動模塊”“用戶冷啟動模塊”解決對新增場景的用戶群推薦，和新增用戶的業務場景推薦等問題，有效提升就醫用戶滿意度。全球數據合規與隱私科技發展報告Global Data Comp

109、liance and Privacy Technology Development Report44未來展望05P-A-R-TPART 5隱私科技的產業發展是一個從理念構建到規?；瘧玫倪^程。由于這一概念少有研究且尚未形成公認定理，產業發展缺乏規范性引導，至今未形成集聚。然而，在個人信息權益保護、數據流通與共享、個人信息合理利用的全球性需求下，隱私科技產業正在步入快車道。隱私科技產業發展將以愈發成熟的隱私設計理念為基礎，依托快速迭代的技術、產品及服務占據市場份額，通過開源形成廣泛協作的生態圈，從而完成規?；袠I應用，構建未來的數據智能網絡。全球數據合規與隱私科技發展報告（2022）重點關注隱私

110、科技產業的發展，根據近一年的洞察，對產業未來提出幾點展望，對 2021 年的洞察結論予以補充。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report45未來展望繼網絡即服務、網絡安全即服務等商業市場蓬勃發展，數據合規即服務（Data compliance as a service）將成為未來重要商業模型之一，挖掘數字時代的新“藍?！?。伴隨強監管下的安全檢查、風險評估要求，由第三方機構提供的以個人信息保護影響評估（PIA）工具及相關服務逐步被市場認可與接受，成為數據合規即服務的突破口。未來，數

111、據合規即服務應是覆蓋企業數據處理全生命周期，判斷隱私設計原則是綜合多種技術、運行系統、工作流程、組織架構、基礎設施的一種保護理念，包括將隱私內嵌到企業管理架構和業務場景，化被動合規為主動防御，將個人信息保護視為組織運行的默認前提等。鑒于所有的數據安全合規都并非簡單5.1 市場：數據合規即服務衍生新的商業機會5.2 應用：隱私設計原則從理論轉為企業實踐 企業數據處理活動的合法合規程度及其對個人信息主體合法權益可能造成的風險，并提供解決方案。隱私計算作為數據合規即服務的技術支撐能力之一，在數據流通和融合場景中，促進數據的“可用不可見”，進一步幫助企業挖掘數據價值。與此同時，隱私計算不是數據合規的“

112、萬全之策”，無法一攬子解決數據合規與隱私保護問題，因此，更廣泛意義的數據合規即服務將引領數據合規市場的百花齊放。的技術問題，其中不僅涉及數據與業務之間的場景關系、數據與人之間的處理關系，而且涉及法律法規、標準流程等合規合法問題。隨著科技發展、企業隱私保護理念逐步拓展，將安全前置，將數據合規貫穿于數據安全生命周期成為數據合規與治理的重要全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report46思路。由此，隱私設計原則應運而生。目前部分企業及機構已經積極地推動隱私設計實踐，與此同時，聚焦個人信息

113、安全問題的隱私科技也融合了隱私設計理念。一方面，將個人信息保護理念嵌入 IT 系統，通過技術手段優化隱私計算、完善個人信息安全能力框架。另一方面，將個人信事件和合規驅動企業調整人才需求，根據Gartner 的數據，到 2025 年，50%在中國開展業務的大型跨國公司將設置專職的數據安全負責人，具備本地法律專業知識和語言技能，以滿足中國市場相關的數據保護需求。人才市場的供需明顯不對稱將激發培訓服務的增長，再加上 個人信息保護法規定，需“定期對從業人員進行安全教育和培訓”；數據安全法規定，開展數據處理活動應當依照法律、大眾對于數據安全的關注聚焦于安全性、技術成熟度、通用性和落地可實施性四個方面。諸

114、如零信任、隱私計算等新型理念與技術將被引入數據合規領域，從技術落地為切實可行的解決方案，為傳統的數據安全解決思路增加創新力和完善性。未來，超大規模云提供商將進一步提供可信的執行環境，幫助越來越多上云企業在云環境獲得安全性和隱私性的保障，隱私計算等新型理念與技術進一步從學術研究項目過渡到商業解決方案，被積極應用于金融、電子政務和醫療保健領域。與此同時，聚焦隱私科技中的關鍵技術，利益息安全與業務流程設計相結合，基于企業內部業務場景、業務流程，從技術能力、合規能力、運營能力、管理能力、流程制度等維度快速搭建內部個人信息安全壁壘，實現機器+人工的全流程隱私科技綜合管理與運營方案。5.3 人才：數據合規

115、及隱私保護人才缺口增長 5.4 標準：技術成熟度和通用性標準亟待制定法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓。積極開展外部人才引進和內部人員定期隱私保護相關培訓成為企業完善數據安全能力、推動合規實踐的必然舉措。越來越多的中小型企業將在數據安全合規人才引育方面增加支出，依托專業的培訓服務，定期開展人才培訓、意識教育以及相關資質認證。相關方需要合力制定多方安全計算、聯邦學習、同態加密、差分隱私等技術應用標準，建立技術成熟度模型，進一步推動技術快速成熟與市場化。目前，已有相關隱私計算系列標準制定完成，如基于多方安全計算的數據流通產品技術要求與測試方法基于聯邦學習的數據流通

116、產品 技術要求與測試方法基于可信執行環境的數據計算平臺技術要求與測試方法區塊鏈輔助的隱私計算技術工具技術要求與測試方法，后續技術安全性的標準還將進一步統一和規范；技術成熟度需要加強計算效率和性能的重視；通用性則涉及不同行業、不同企業、全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report47不同業務場景之間，相關技術是否通用。這些都是隱私科技發展必須思考的問題，只有持續性推動隱私計算技術成熟度和通用性的標準化，才為數據合規流通夯實技術基礎，加快隱私科技產品市場化階段的可復制性。開源是驅動協同

117、創新、推動產業鏈發展及生態建設的重要模式，而在隱私科技的“商業化藍圖”中，開源生態也是“標配項”之一。目前，基礎軟件市場的開源模式已經基本成熟，新興技術在技術萌芽期、發展期及市場完全成熟后這三個階段往往也會迎來一波開源項目的數量增長。尤其在技術發展期，開源不僅降低研發成本，而且社區協作的框架可以對現有技術進行優化和“打補丁”?；诖?，隱私計算的發展路徑將與技術開源休隨著個人信息安全的市場需求進一步增長，大型企業面臨業務場景復雜、數據類型多樣、數據流通頻繁跨域/跨境企業自身安全能力有限等挑戰，無法獨立完成全覆蓋的個人信息安全及合規工作。因此，企業將尋求第三方的安全能力支撐。隱私合規服務供應商或成

118、企業重要解決方案。未來，隨著隱私科技的應用真正成熟化，安全產品與服務供應商將考慮到市場接受程度、技術市場化、產品可復制等問題。相關供應商將以軟件銷售和服務為主，基于行業與用戶場景的特定，提供5.5 技術：開源驅動行業創新發展與生態建設 5.6 產業：規?；瘧脴嫿〝祿悄芫W絡生態戚與共。2022 年，國內首個國際化自主可控隱私計算開源社區開放群島（Open Islands）開源社區成立，開源隱私計算框架“隱語”、因果學習開源項目YLearn、隱私計算開源平臺Primihub等項目頻出，開源之風盛起。除了頭部互聯網企業擁抱開源，中小型科技公司等新銳力量也在席卷隱私科技，通過開源吸引更多國內外企業

119、和研究人員加入資源共建，推動隱私計算性能提升、場景適配，為隱私科技的商業藍圖構建技術生態。個性化與定制化的解決方案，并且注重低代碼/零代碼開發、輕量化部署，從而快速拓展隱私科技市場。同時，隱私計算并不會局限于一個技術模塊或 IT 系統，更多安全服務提供商將選擇把隱私計算能力平臺化，融合多個功能，形成個人信息管理或運營平臺，為企業提供工具化、整體性的個人信息安全能力。而當隱私科技的行業應用達到一定規模之后，將構建一個龐大的數據智能網絡生態，降低個人信息合規成本，創造更多的業務發展可能性。1）數據發現、分級分類與標識定義：通過自動化的數據掃描和策略識別的方式定位數據、分級分類數據，以進一步實現分級

120、保護。在數據發現過程中基于正則表達式、關鍵字、UDF等模式或者機器智能學習模式，自動將庫、表中的數據進行識別和分級分類，并可視化分級分類結果?；诜旨壏诸惤Y果對字段或表級別打標簽。2）數據去標識化、匿名化工具 數據去標識化工具在個體基礎上，采用技術手段如假名、哈希、加密等替代對個人信息的標識，保留了個體的顆粒度，使其在不借助額外信息的情況下，無法識別或者關聯個人信息主體。數據匿名化工具通過對數據進行隨機映射、統一泛化等操作,使其發布的數據無法關聯到任何具體個體。3）數據映射采用手動或自動的方式幫助企業確定整體數據流，識別企業處理的個人信息，個人信息的來源和去向，存儲、傳輸或處理數據的系統或流程

121、。4）個人信息授權管理幫助企業收集、跟蹤、展示和管理用戶的個人注：相關定義參考 GB/T 35273-2020信息安全技術 個人信息安全規范、IAPP常見隱私科技解決方案類型信息授權同意，保證數據在不同階段的處理活動均給予“告知-同意”的原則。5）數據主體權利管理幫助企業為個人行使數據權利提供更便捷的方式，包括響應個人關于行使訪問權、更正權、可移植權和刪除權等權利的請求。6）數據流動監控通過技術來實現對數據真實流轉情況的可視以保證數據資產分布及訪問行為態勢的清晰度、透明度和可控性，并通過對數據流轉路徑和敏感數據訪問行為的分析，預測數據資產可能面臨的泄露風險、丟失和濫用。7）隱私事件響應提供符合

122、法律要求的合規應急事件自動化處理，包括向相關方提供隱私事情詳情和需履行的事件通知義務，幫助企業應對法律風險。8）隱私風險與合規評估平臺幫助企業基于線上流程和評估模板開展隱私影響評估、數據出境安全評估、第三方合規評估、風險隱患定位等評估工作，高效規?；瓿尚枰娮痈戒浫驍祿弦幣c隱私科技發展報告Global Data Compliance and Privacy Technology Development Report48APPENDIX1）差分隱私差分隱私是密碼學中的一種手段，當從統計數據庫進行查詢時，提供了一種最大化數據查詢的準確性，同時最大限度減少識別其記錄的機會。它可以通過對數據引入

123、隨機性，添加噪聲，從而防止數據被推測。差分隱私能夠做到在利用數據來滿足業務需求的同時，抵抗外部攻擊和實現隱私保護。在差分隱私技術的實踐中，實現差分隱私保護的機制通常包括拉普拉斯機制和指數機制。拉普拉斯機制實現了對數值型結果的保護，指數機制則是實現對離散型結果的保護。如今，差分隱私已經應用到各行各業的業務場景中，比如醫療行業用于患者電子健康檔案的保護、醫療傳感器如可穿戴設備的地理位置信息的保護等。2）同態加密同態加密是一種特殊的密碼學技術，它可以通過對加密的數據進行計算得到密文計算結果，后對其 進行解密得到與原數據計算結果相同的結果。同主流隱私計算技術表格、數據輸入和報告的任務，為企業提供合規性

124、證明的平臺。9）數據和隱私合規檢測工具針對網頁、安卓 App、iOS App、小程序、IoT設備等進行自動化隱私合規檢測的工具，以確保企業的網頁 cookie、APP、小程序等遵守相關法律法規和政策。10）隱私計算平臺基于一種或多種隱私計算技術，如聯邦學習、多方安全計算、隱私求交、可信執行環境、差分隱私等技術，在保證數據提供方不泄露原始數據的前提下，對數據進行分析計算，實現數據在流通與融合過程中“可用不可見”的數據處理平臺。態加密能夠真正做到數據的“可算不可見”，在得到正確 結果的同時保證了數據安全和隱私保護。在實踐中，同態加密根據加密方式可以分為部分同態加密和全同態加密。部分同態加密是指僅支

125、持對密文進行部分的計算，全同態加密是指對密文進行任意的計算。近幾年，同態加密的應用場景較廣泛，在云計算、區塊鏈和物聯網中都存在同態加密的運用。如在云計算場景下，通過同態加密實現數據的流通，保證數據在流通的全過程中是密文的形式，確保數據安全。又如在區塊鏈場景下，同態加密幫助實現了鏈上數據的保密性。同態加密的運用為數據的流通提供了安全保障，因此它已逐漸滲透到了醫療、金融、法律業等高度監管的行業。3）聯邦學習聯邦學習是隱私計算中最常見的一項技術，它本質上是一種分布式機器學習技術，通過中央服務器來實現對加密數據的流通與處理，最后完成多方全球數據合規與隱私科技發展報告Global Data Compli

126、ance and Privacy Technology Development Report49分布的機器學習框架。聯邦學習能夠在確保數據合規與隱私保護的前提下，多方共同參與完成聯合建模。在整個過程中，既保證了數據安全，又實現共同學習的目標，協助企業解決數據孤島、數據不可用、數據泄露等問題。實踐中主要運用在企業風控評定、安全防控檢測、醫療診斷等方面。聯邦學習在使用過程中，根據參與方之間的樣本分布，分為橫向聯邦學習、縱向聯邦學習和聯邦遷移學習，不同的分類在實踐中對應解決了不同類型的問題。橫向聯邦學習適用于參與方特征相同，但是樣本重疊較少的情景。橫向聯邦學習主要通過增加樣本數量，達到了提升模型的準

127、確性和泛化能力的目的?？v向聯邦學習則適用于參與方樣本相同，但是特征重疊較少的情景?？v向聯邦學習主要通過豐富樣本來優化學習模型。聯邦遷移學習適用于參與方特征和樣本重疊度都較低的情景，是對橫向聯邦學習和縱向聯邦學習的補充。4）隱私集合求交隱私集合求交指的是，在保證互相之間不透露原始數據集的情況下，求得多方數據集之間的交集。隱私集合求交的用途十分廣泛，如廣告效果追蹤、多方安全計算等。在前面聯邦學習的介紹中，縱向聯邦學習需要較高的參與方樣本重合度，那么如何才能在不向其他聯邦學習參與方透露自己有哪些數據的情況下仍能找出重合的數據樣本呢？答案便是隱私集合求交。隱私集合求交有多種實現手段，如將數據進行哈希處

128、理后進行求交，便可以迅速找到交集，并使得對方無法獲得原始數據；當然，哈希僅僅是比較簡單的手段，且安全性不佳。目前，常見的隱私集合求交方法包括不經意傳輸、基于密鑰的方案、基于混淆電路的方案等，不同方案在安全性、計算成本、通信成本等方面有著不同的優劣勢。5）多方安全計算多方安全計算是指，各參與方在互不信任的場景下，共同計算一個聯合函數，并保證參與方僅能獲得自己的計算結果，不泄露其他任何信息。它既能夠確保數據的保密性，還能夠確保各參與方都收到原有計算函數的正確結果。多方安全計算主要可以分為混淆電路和秘密分享?；煜娐纺軌蛟诒ＷC不泄露參與方數據的情況下進行計算，并且指定計算結果的所屬者。秘密分享是通過

129、拆分秘密信息，來實現數據安全，防止信息被丟失、破壞和篡改。近幾年，多方安全計算陸續開始也應用到各類行業，其中混淆電路通常用于各類計算，而秘密分享在身份認證、密鑰管理等方面有重要的作用。6）零知識證明零知識證明同樣是一種特殊的密碼學技術。一般來說，若需證明一個事實，如自己的身份、對某權益的所有權，驗證者需與證明者掌握同樣的信息才可進行驗證，如口令、證書；但利用零知識證明技術，證明者能夠在讓驗證者掌握任何被驗證的具體信息的情況下，驗證者仍可以進行有效的驗證?！吧び螒颉笔且粋€經典的零知識證明的例子：假設你有紅綠兩個小球，兩個小球除了顏色之外完全相同，但你的朋友是紅綠色盲，無法區分兩個小球，那么為了

130、證明這兩個小球顏色的確是不同的，你的朋友雙手各持一個小球并將手藏在身后，然后隨機交換雙手的球并詢問你雙手的球是否交換過，那么由于你每次都能答對，你的朋友最終相信了這兩個球的全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report50顏色的確是不同的，盡管他最終也無法知道兩個球分別是什么顏色。目前，零知識證明被較多用于加密貨幣中，用于保護交易中的隱私，確保匿名支付的情況下仍然能夠在區塊鏈上驗證交易。主流協議包括 zk-SNARK,zk-STARK 等。但除了加密貨幣中的匿名支付之外，零知識證明的

131、特性使其能夠用于更加廣泛的場景，包括：資產管理：如在 NFT、元宇宙的應用中，同過零知識證明在不泄露具體資產信息的情況下證明自己對資產的所有權；身份認證與訪問控制：在不泄露申請人的具體身份信息、口令的情況下，進行身份認證、權限管理；合規證明：在不泄露合規詳情的情況下，如納稅記錄，證明自己對法律法規的遵從情況。7）合成數據顧名思義，合成數據即通過計算機來生成的“假”數據，而不是從客觀世界收集到的可以反應真實事件、環境、人物的數據。在很多數據使用場景中，受限于數據獲取的困難、成本的限制以及隱私合規的要求，真實數據無法滿足使用要求，如在模擬自動駕駛路況時，通過合成數據模擬出大量現實中較難出現的極端工

132、況數據；訓練機器學習模型時，通1 TrustArc,2022 Global Privacy Benchmarks Report2 IBV,Prosper in Cyber Economy3 歐盟委員會,Working Programme 2023,COM(2022)4 工業和信息化部人才交流中心，網絡安全產業人才發展報告（2022 年版）過合成數據模擬出樣本不足的數據集；在涉及個人信息相關的研發、測試中，通過合成數據模擬出符合業務需求的個人信息，從而避免使用真實的個人信息；8）可信執行環境可信執行環境，即在中央處理器內預制特定、隔離的安全區域，有著獨立的硬件資源和軟件程序，在該區域內加載的程序

133、和指令均以既定的形式運行，除授權信道外，可信執行環境中的信息無法被外部訪問，且在可信執行環境內部中的可信應用也是相互隔離的。通過這種機制，有效地保護了可信執行環境中數據及可信應用的機密性和完整性。除了保護交易、內容保護等安全使用場景外，可信執行環境在聯邦學習中也有其用武之地。在聯邦學習中，為了保護聚合各方模型數據的參數服務器的數據安全，通常會采用同態加密等密碼學手段進行保護，但同時也帶來了極高的運算成本，降低了聯邦學習的效率，而在可信執行環境中進行參數聚合，則可以較好地平衡安全與效率。全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Techn

134、ology Development Report51文末引用全球數據合規與隱私科技發展報告Global Data Compliance and Privacy Technology Development Report52建設更美好的商業世界安永的宗旨是建設更美好的商業世界。我們致力幫助客戶、員工及社會各界創造長期價值，同時在資本市場建立信任。在數據及科技賦能下，安永的多元化團隊通過鑒證服務，于 150 多個國家及地區構建信任，并協助企業成長、轉型和運營。在審計、咨詢、法律、戰略、稅務與交易的專業服務領域，安永團隊對當前最復雜迫切的挑戰，提出更好的問題，從而發掘創新的解決方案。安永是指 Ern

135、st&Young Global Limited 的全球組織，加盟該全球組織的各成員機構均為獨立的法律實體，各成員機構可單獨簡稱為“安永”。Ernst&Young Global Limited 是注冊于英國的一家保證（責任）有限公司，不對外提供任何服務，不擁有其成員機構的任何股權或控制權，亦不擔任任何成員機構的總部。請登錄 。2023 安永（中國）企業咨詢有限公司。版權所有。APAC no.03016273ED None本材料是為提供一般信息的用途編制，并非旨在成為可依賴的會計、稅務、法律或其他專業意見。請向您的顧問獲取具體意見。 Data Compliance and Privacy Tech

136、nology Development Report53上海賽博網絡安全產業創新研究院（以下簡稱賽博研究院）是在上海市經信委和上海市社團局共同指導下的民辦非企業，是國內從事數字經濟、網絡安全、數據合規的專業智庫。賽博研究院秉持專業、誠信、創新、合作的精神，已經為各級黨政部門和各類企事業單位提供了包括戰略規劃、合規咨詢、人員培訓、技術平臺等綜合服務，并是上海市通信管理局、國家計算機網絡應急技術處理協調中心上海分中心等監管部門的專業支撐單位，積極推動我國數字經濟發展和網絡強國建設。成立至今，賽博研究院已發布全球數據跨境流動政策與中國戰略人工智能賦能網絡空間安全：模式與實踐數據安全治理白皮書云平臺安全責任與治理智能網聯汽車產業趨勢與安全挑戰人工智能數據安全風險與治理人工智能時代數字內容治理的機遇與挑戰等數十份具有較高影響力的專業報告。關注賽博研究院微信公眾號，掃描二維碼，獲取最新資訊。Shanghai Institute of Cyberspace Security Industry