2023年全球数据合规与隐私科技发展报告（附下载）

文章正文

发布时间：2024-09-30 06:49

2022-2023年全球数据合规与隐私科技发展报告（附下载）

2023-09-12 16:24

发布于：广东省

今天分享的是《2022-2023年全球数据合规与隐私科技发展报告》。（报告出品方：安永赛博研究院）

2020年 4月 10日，中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，首次在中央顶层文件中将数据列为新型生产要素。近年来，数据要素的重要程度提升，数据市场进一步完善。与此同时，AI 大模型迭代和算力升级则深度激发了数据价值，然而，数据流通与安全合规之间的不对称却呈现加剧的趋势。为寻求发展和合规的平衡，全球范围内的隐私科技和数据合规产业也迎来了迅猛发展。在此背景下，安永与赛博研究院联合发布第三期年度《全球数据合规与隐私科技发展报告》。本报告全面梳理了国内外数据安全与算法应用的合规体系，对隐私科技的概念、内涵和外延进行更新，并通过对近百家头部企业的问卷调研，覆盖金融、科技、媒体与通信、消费品、生命科学、制造业等行业，客观了解企业数据合规的现状与隐私科技的需求，最后为国内外企业数据合规实践提供参考案例与创新思路，供业内参考。

主要发现

全球近 100 个国家和地区已制定数据保护相关法律，数据安全、算法应用有关立法进程加快，合规本地化的全球性趋势将进一步加强

全球数据合规领域执法力度加强，截至 2023 年 8 月 14 日，GDPR 执法总数 1778 起，罚款总额超 40 亿欧元。企业面临合规人员招聘、安全产品及服务采购等合规成本与监管罚款等不合规支出的双重压力。

企业更加重视数据合规与隐私保护，完善数据合规与隐私保护职能和管理体系，提升数据合规与隐私保护汇报层级，加大数据合规与隐私保护的人员和资金投入。22% 的企业直接向高级管理层汇报工作，82% 的企业认为在过去 12 个月的投入满足需求。

更多企业发现隐私计算的价值并付诸实践，隐私计算在更多风险控制和数据流通等业务场景中发挥着重要作用，并在元宇宙、工业互联网与区块链等新兴科技中崭露头角。在未来十二个月，更多企业选择保持对隐私科技的投入水平，力图稳中求进。

从隐私科技产业发展来看，数据分类分级、数据流通监控、数据风险与隐私影响评估、数据与隐私综合治理是当前的热门细分赛道。后续围绕提高数据的匿名化程度，增强算法可解释性，加强落实伦理先行原则，将进一步赋能隐私科技的合规能力。完整版《2022-2023年全球数据合规与隐私科技发展报告》来源于公众号：百家全行业报告研究报告内容节选如下

数据经济时代的安全与隐私挑战

当前，大数据正在迅速改变全球的经济面貌。在数字经济的发展过程中，企业和个人持续依赖大数据与不断更迭的数字技术，驱动数据处理活动、探索数据创新。然而，繁荣背后隐藏风险，数据的价值吸引内外部的恶意攻击与频繁掠夺，数据的流通引发个人隐私担忧与合规警惕。从漏洞攻击到数据窃取，从经济损失到合规成本，从系统安全到隐私保护，以安全与隐私为主题的风险正成为影响数字经济发展的关键因子。对此，企业正在积极采取措施，运用“数据 + 算法”、“隐私 + 合规”等技术与服务手段，制定应对安全与隐私挑战的安全战略与整体解决方案。

1.1 “隐私科技”概念界定

在 2021 年发布的《2021 全球数据合规与隐私科技发展报告》中，我们将隐私科技定义为：用于支撑隐私保护与合规的日常运营流程，且嵌入到 IT 架构和业务场景中的一系列技术解决方案，在保证个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上，实现保护个人信息权益、提升数据流通、共享与开放、促进个人信息合理开发利用的目的。

今年，基于对国内隐私科技厂商的普遍性研究，《全球数据合规与隐私科技发展报告（2022-2023）》对隐私科技框架进行了更新与完善，主要体现在① 凸显应用场景的重要性，强调隐私科技在数据处理全生命周期中的应用，以及在金融、医疗、政务等重点行业的实践趋势；②对隐私科技解决方案与底层支撑技术进行梳理与更新。现将隐私科技定义更新为：在日常运营流程中，通过嵌入 IT 架构和业务场景支撑主体数据合规和隐私保护的一系列工具、服务及技术解决方案。通过将隐私科技应用于个人信息全生命周期或各行业个人信息处理场景中，在增强保护个人信息、规范个人信息处理活动的基础上，实现保护个人信息权益，推动数据流通、共享与开放，促进个人信息合理开发利用的目的。

1.2 全球数据合规与隐私保护挑战

数字世界里，合规与隐私保护作为反复出现的话题，也是企业在经营、上市、融资、发展过程中的“必经之路”。当前企业为满足数据合规与隐私保护需要，面临诸多挑战，包括满足来自监管的迫切要求，应对围绕数据处理全生命周期的外部攻击与内生安全风险。

（1）遵守不断发展变化的法律法规

随着与数据相关的法律体系的不断完善，企业面临的首要挑战是来自国际监管环境的变化。首先是适应全球不断发展变化的法律法规，包括遵守已经生效、即将生效的数据合规要求——涵盖当地数据合规与个人信息隐私保护、跨境数据传输安全合规要求等。由于法律法规要求众多且持续更迭，企业及其内部合规团队不得不面临合规制度不完善、合规要求更新不及时、合规措施落实困难等现实挑战。

其次是适应“当地”法律法规，由于各国在数据安全方面的立法存在标准不一、条款冲突的情形，因此跨国企业需重点关注业务经营所在国家的法律合规要求，加强监测预警，规避和降低跨国经营合规风险。在不损害国家安全、公民个人信息安全的前提下，以“安全合规本土化”为原则，提升企业境外市场的综合竞争力

（2）高昂合规成本带来的经济压力

鉴于全球监管格局的不断变化，企业为了适应日益严格的监管与处罚，面临更大的经济压力。一是表现在不合规成本支出上，即支付因违规带来的高额罚款。截至 2023 年 8 月 14 日，《通用数据保护条例》（简称“GDPR”）执法总数 1778 起（相较去年 11 月 30 日的统计数据，增加 562 起），GDPR 罚款总额超 40 亿欧元（增加约 20 亿欧元），最高的一笔罚款为 2023 年 5 月针对某国际互联网巨头开出的 12 亿欧元罚款 *。不仅 GDPR 的执法强度大、频次高，其他国家的监管处罚也不容小觑。以我国为例，伴随执法常态化发展，监管措施涵盖公开通报、应用下架、罚款到实施网络安全审查、过渡性指导措施等多种手段。监管处罚对象不仅包括企业，还覆盖到高管及相关责任人，处罚方式主要体现为警告与罚款。譬如 2022 年 7 月，国家互联网信息办公室对某出行平台处人民币80.26亿元人民币罚款，对公司董事长、总裁各处人民币100万元人民币罚款。 二是表现在企业在数据合规与隐私保护工作上投入更多预算。企业通过技术、工具和组织架构的调整提升整体合规能力，具体包括组建数据安全团队，设置 CDO（首席数据官）制度，配备专职隐私保护人员及合规法务人员，应用隐私计算等技术，采购第三方合规风险评估服务等。其中，在人才需求方面，由于国内法律法规对于开展相关业务的企业提出数据安全管理相关要求，《个人信息保护法》更是明确指出处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。然而，由于当前数据合规与隐私保护的专业人员仍然存在较大的市场缺口，导致部分企业仍然因为缺乏人才，无法满足实际的数据合规和隐私保护工作需求。

整体来看，数据安全预算的增加一定程度上给企业带来了额外的成本，尤其是对于初创企业或中小企业来说。然而，根据《2022 全球隐私基准报告》研究显示，数据监管不合规的成本是合规成本的 2.71 倍，因此仍有 42% 的公司打算在隐私计划上花费超过 100 万美元，采取更多措施促进隐私保护。此外，根据 IBV 发布的《网络经济中的繁荣》研究显示，网络安全成熟度最高的组织在五年内的收入增长率比最不成熟的组织高出 43% ，数据安全在一定程度上也可以被视为企业经济和价值增长的措施。因此承担合规成本对于企业长期发展而言是必要的。

（3）复杂的第三方风险管理挑战

企业不仅面临自身的内外部安全威胁，还需要做好第三方风险管理。第三方数据处理者因供应链攻击或数据安全合规能力不足而产生的风险，正在对企业造成直接影响。从供应链角度来看，第三方数据处理者包括了企业直接合作的公司，如材料供应商、分包商、网络托管公司、安全产品提供商、数据服务提供商等可以访问企业系统或数据的第三方主体。由于供应链攻击是网络空间攻防对抗的焦点之一，即便企业自身安全建设成熟度高，攻击者也能利用供应链上下游企业的任一脆弱环节实现入侵。伴随供应链攻击的往往还有企业核心数据、重要数据泄露，让企业防不胜防。从数据处理关系来看，企业的数据源包括内部自主收集以及与第三方产生的数据共享、委托处理、转让，后者既有企业与企业之间的数据共享，也有企业和政府之间的数据共享。在数据传输、存储、处理过程中，第三方的网络安全防护能力以及数据安全保障能力，也是企业需要重点评估的方面。当前，大多数企业都需要重新审视第三方风险管理，尤其在网络安全、数据合规、隐私保护方面。

（4）数据频繁流通引发的安全威胁

伴随数字化转型，数据的价值与日俱增，数据的流通性也成为创新发展的必然要求。在此基础上，企业采用 AI 技术、自动化工具、混合云部署等多种手段，加快数据从本地向云上，从内网向外网，从境内向境外流通。借助数据流通，推动因开展业务需要而收集与产生的数据的共享与开发利用，进而为市场创造新的价值。与此同时，政府机构也与企业一起，推动发挥数据要素生产力，构建功能齐全的数据要素市场。

然而，在数据流通利用过程中，也存在诸多风险隐患。部分企业由于安全管控措施不足、数据可信流通能力建设滞后，导致企业的风险暴露面增加。例如面临联网系统、云上资产等遭受攻击所引发的数据泄露；企业与第三方机构合作共享数据时，数据因明文流通或复制滥用而导致大量隐私泄露；企业因跨境业务需要等原因启动数据出境工作，可能因涉及重要数据，或一定规模的（敏感）个人信息外传，直接危及国家安全、企业合规与个人信息安全。综上，面对复杂的数据流通场景，企业亟须探索基于隐私保护的数据流通解决方案，在安全合规的前提下，促进数据在企业内外部的流通以及拓展数据开发利用的深度和广度。

全球数据安全立法及监管现状

目前全球已有近 100 个国家和地区制定了数据安全保护相关法律，数据安全保护专项立法成为国际惯例。 Gartner 预测，到 2024 年，全球 75% 的人口将在其个人数据方面受到隐私法规的保护。以中国、美国、欧洲各国为例，中美欧持续围绕数据安全、算法安全立法及监管进行探索与实践。

2.1 数据安全立法现状与动向

各国持续将数据安全立法作为工作重点，逐步推进实施有关法律法规。值得关注的是，随着数据作为生产要素的价值愈发凸显，数据立法不仅针对个人信息保护，而是已经广泛地涵盖公共数据开发利用、企业数据共享流通、个人数据保护（包括个人信息及个人隐私数据）等多场景。

在数据安全与个人信息保护方面，以欧洲、美国、中国为代表的区域 / 国家在 2023 年以前已经形成了较为清晰、具备特色的法律体系与框架。（1）欧盟以2018年生效的《通用数据保护条例》（简称“GDPR”）为核心，构筑统一的数据安全治理框架：GDPR与《非个人数据自由流动条例》构成数据安全领域的关键立法体系；《电子隐私条例》作为 GDPR 在电子通信领域起细化和补充作用的特别法，两者在监管规则上保持一定的一致性；《电子证据条例》侧重科技企业向政府部门提供数据协助，并保障数据安全；同时在今年 1 月 25 日，欧盟就电子证据的相关法规和指令草案达成协议，有关当局可直接向其他成员国的服务提供者发送获取电子证据的司法令，形成国际跨境司法协助和数据治理的新机制；《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施》为数据跨境流动中的数据保护问题提供进一步指导。（2）美国立法体系分为联邦立法和州立法，呈现多级多行业监管特征。1974 年，美国实施的《隐私法案》对政府机构应当如何收集个人信息、收集到的个人信息如何向公众开放及信息主体的权利等做出了详细规定。此后，美国采取分行业的分散立法模式，在金融、健康、教育、消费等行业领域制定数据保护规范。同时，美国多个州在其原有的个人信息保护法律基础上作出修订，进一步扩展 “个人信息”定义，补充数据安全法律法规细节。其中，田纳西州、蒙大拿州、爱荷华州、印第安那州、德克萨斯州、加利福尼亚州先后出台隐私法，进一步完善消费者个人信息保护。值得注意的是，美国还通过数据安全立法为其执法机构的域外数据管辖提供依据。2018 年正式签署的《澄清境外数据的合法使用法案》意味着，美国执法机构在认为可能存在危害美国国家安全的情况下，可以要求跨国企业将存储在他国境内服务器中的与调查事件或者案件相关数据传输至美国执法机构。这意味着执法数据跨境获取需求日益增加的背景下，美国的执法效力将扩展至全球，同时出海企业需要进一步研判多国数据安全法律法规，规划部署数据存储地，减少合规冲突。整体来看，美国的数据安全立法错综复杂，但仍缺乏统筹性的数据安全法案。（3）我国基于《网络安全法》《数据安全法》与《个人信息保护法》，开展综合性立法。目前，我国的这三部法律分别适用于境内所有网络运营者的包含处理个人信息及数据在内的行为、所有主体处理网络数据和非网络数据的行为、个人信息保护行为。在行政法规、部门规章、地方性法规及标准文件方面，我国也已逐步形成体系，广泛适用不同的行业及数据使用场景。

2023 年以来，全球数据安全相关立法进程再次提速，一方面通过推动数据流通、共享、开发利用充分释放数据红利，另一方面通过分行业分场景分企业推动重点监管。

一是在隐私保护立法与规范方面，一方面基于原有的数据安全立法基础，美国、英国等国家正在把握机会，在个人信息保护、消费者隐私等细分方向提出具有统筹性、影响力的专项立法。美国参议院和众议院于 2022 年 6 月 3 日发布了《美国数据隐私和保护法》草案。多级多行业监管之下，缺乏一个统一、全面的联邦数据隐私保护法律一直以来是美国所面临的一大问题。作为第一个获得两党两院支持的美国联邦全面隐私提案，《美国数据隐私和保护法》意味着美国在制定全面数据隐私框架上的努力。虽然《美国数据隐私和保护法》仍有待商榷，但2020年11月通过的《加州隐私权利法案》（CPRA）已正式生效。虽然 CPRA 实施细则的执行时间被推迟至 2024 年 3 月 29 日，为受约束的企业提供更多时间确保其数据保护实践符合加州数据保护局的要求，但这并不影响 CPRA 的后续严格执行。与此同时，2022 年 7 月，英国《数据保护和数字信息法案》也经下议院提出，试图对数据保护框架进行更新并取代英国 GDPR，在减轻企业负担的同时保持高数据保护标准。另一方面，从合规认证的角度推动隐私保护规则完善，欧盟委员会 2022 年推出首个获批的欧盟通用数据保护条例（GDPR）认证体系—— Europrivacy（欧洲隐私），并在当年 10 月 10 日公布了对 Europrivacy 认证标准的批准意见，使得该认证标准成为欧盟通用标准。作为第一个符合 GDPR 规定的官方认证机制，Europrivacy 用于评估、记录、认证和评价企业的合规情况。基于评价、认证规则，企业将进一步加强合规评估，减少不合规的个人数据处理行动，同时还可以依赖 Europrivacy 评估企业跨境数据传输的充分性。

二是在数据出境安全问题上，我国在 2022 年先后出台《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》《个人信息保护认证实施规则》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》；在今年 2 月 22 日和 5 月 30 日先后出台《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南（第一版）》，明确了数据出境安全评估的流程和要求，为促进数据依法有序流动提供关键指导。目前，我国已初步构建了以“数据出境安全评估、专业机构个人信息保护认证、标准合同签署”为基础的数据出境合规体系。此外，各国之间也在频繁开展关于数据出境方面的磋商，如部分国家达成数据跨境协议、一些国际组织成员国已经联合签署与数据安全有关的贸易协定。

以美欧为例，自“隐私盾”失效后，2022 年 3 月，美欧就新的“跨大西洋数据隐私框架”达成原则性协议，新框架标志着美国方面做出了前所未有的承诺—— 根据“跨大西洋数据隐私框架”，美国将制定新的保障措施，以确保信号情报监视活动在追求确定的国家安全目标方面是必要的和相称的，并且承诺建立一个有约束力的两级独立补救机制，加强对信号情报活动的严格分层监督。此后，美国又于 10 月发布了一项加强美国信号情报活动的行政命令，旨在促进欧盟和美国之间未来的数据传输。2022 年 12 月，欧盟委员会启动通过了《欧盟 - 美国数据隐私框架充分性决定》的程序，发布充分性保护决定草案。并在今年 7 月 10 日通过了该项充分性决定，明确了新的约束性措施，包括限制美国情报机构对欧盟数据的访问，以及建立数据保护审查法院等。该框架作为新的数据跨境传输机制，标志着欧美数据跨境传输迈入新阶段

三是在公共数据共享利用方面，包括我国在内的多个国家都在积极探索公共数据的共享、开发利用，试图激发公共数据的潜在价值，为市场化运作、创新研究等提供数据支撑。在释放公共数据红利的同时，各国政府也在加快公共数据有关法律条例文件的制定与出台，守好安全底线，做好重要数据、商业秘密与个人信息保护。2022 年，在《欧洲数据战略》指导下，欧洲《数据治理法案》正式公布并将于 2023 年陆续实施。该法案将在数据共享、开发利用问题上，进一步平衡公共数据的流通使用与安全合规问题，增加欧洲对数据共享的信任并为产品和服务的研究与创新建立可信的数据使用环境

四是在个人与企业数据共享方面，共享范围、权限分配、隐私保护等都是亟待解决的问题。目前欧洲在数据共享方面开展了更多的探索。欧盟委员会于 2022 年 2 月 23 日公布《数据法案》草案全文，重点聚焦企业之间以及企业与政府之间的数据共享。其中，重点推进消费者和企业对其拥有的数据拥有更多的控制权，自主决定如何使用数据。2022 年 5 月欧盟提出《欧洲健康数据条例》草案，旨在建立欧洲医疗健康的数据共享框架。2022 年 5 月 3 日，首个欧洲健康数据空间正式启动，促进针对个人健康数据的访问与流通。2022 年 7 月 14 日，欧洲数据保护委员会公布了其内容和欧洲数据保护监督员对欧洲健康数据空间提案的联合意见。通过充分利用健康数据，为诊断治疗、科研创新等决定提供数据支持，增强欧盟公民对其个人健康数据的控制权。据了解，继欧洲健康数据空间之后，欧洲下一个政策目标将放在交通领域，并计划于 2023 年上半年推出交通公共数据空间。

欧洲促进个人与企业数据共享的方式主要分为 3 种，包括企业依法为个人提供其使用相应产品或服务所产生的数据；个人出于个人需要（如为获取第三方服务）可主动选择与第三方进行数据共享；依托数据中介机构（数据经纪人、数据利他主义组织等）生态开展数据交易共享。不论是依循上述哪种思路，均需确保数据在共享过程中的可信、安全。为此，有关数据安全责任界定与安全保障有关的法律制度也在探讨之中。2022 年，除了欧盟《数据法案》，《数字市场法》《数字服务法》的立法进程也显著加快。 2022 年 6 月 15 日，大西洋另一边的美国则提出了《健康和位置数据保护法案》，提出禁止数据经纪人出售位置和健康数据等敏感信息。该提案对交易共享的数据类型进行了限制，试图平衡个人与数据中介之间的利益关系。2022 年 7 月初，欧盟《数字市场法》的通过意味着被认定为“守门人”的大型互联网企业需主动向欧盟委员会进行申报。同年 10 月 4 日通过的《数字服务法》，规定禁止数字空间内非法内容的传播，在保护用户的基本权利，确保更安全的在线环境上迈出了重要一步。2023 年 6 月 27 日，欧盟议会和欧盟理事会就新的《数据法案》达成了政治协议。总体来看，在个人信息尤其是个人敏感信息的共享流通机制上，通过立法手段管控市场主体之间的数据交易、加强政府引导，构建公平、安全的数据共享与开发利用空间成为主要管控方式。

2.2 算法应用合规现状与趋势

当前的个人信息保护法律路径在于通过赋权模式，为自然人赋予个人信息主体权利，这就导致在大多数个人信息应用场景下，征求个人信息主体的授权同意成为唯一的合法性基础，由此为企业主体带来了一系列的合规义务，包括知情同意、最小必要、公开透明等。而算法作为数据生产力转化的重要引擎，也同时引起监管重视。

以中国为例，目前针对互联网信息服务算法已初步形成监管体系，包括：算法安全风险监测、算法安全评估、科技伦理审查、算法备案管理、算法违法违规行为处置。2021 年 12 月，国家互联网信息办公室等部门联合印发《互联网信息服务算法推荐管理规定》，明确了算法推荐服务提供者的用户权益保护要求，包括保障算法知情权、算法选择权，并针对向未成年人、老年人、劳动者和消费者等主体提供算法推荐服务的，作出具体规范。2023 年 8 月 15 日起正式施行的《生成式人工智能服务管理暂行办法》，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求

从全球范围来看，虽然算法的监管模式还不成熟，但是普适性算法监管制度供给不断涌现，为算法治理输出了监管合力

美国为解决算法自动化决策所引起的社会公众不满问题，于 2017 年 12 月签署通过了美国立法史上第一个对公用事业领域算法进行问责的法案，即《算法问责法案》；2019—2022 年，美国立法者相继提出并持续更新《算法责任法案》，旨在为软件、算法和其他自动化系统带来新的透明度和监督方式。其中《2019 年算法问责法案》强制要求相关实体针对高风险自动化决策系统进行数据保护影响评估，提高数据应用的透明性和规则的可解释性

我国近年来也愈加重视算法监管，2021 年 9 月，国家互联网信息办公室等部门联合印发《关于加强互联网信息服务算法综合治理的指导意见》，提出算法安全监管体系，规定了算法备案、算法监督检查、算法风险监测、算法安全评估等四项举措。其中，算法备案是算法安全监管的抓手和基石；算法监督检查和算法风险监测相辅相成、互为补充，检查是现场监测，监测是线上检查；算法安全评估是出口，是算法安全监管的落脚点。

2.3 监管路径与发展趋势

聚焦数据、算法层面的立法现状与监管动向，各国明显加快数据保护及算法治理相关工作，优化法律基础，构建强监管环境

第一，大型跨国科技公司成为重点监管对象。一方面，大型跨国科技公司基于业务需要所收集、存储与处理的数据，在数据量和数据重要程度上一般会高于普通公司，具有更高的数据价值与潜在风险。例如，近年来国内外的大型跨国科技公司侵犯个人隐私、滥用数据、数据泄露等问题层出不穷，使得更加严格的监管势在必行；另一方面，数据安全不仅要以监管机构为主导，还需要社会、企业、群众等主体共同发挥作用，而大型跨国科技公司具备一定的社会影响力，由其开展的最佳实践或倡议行动都有助于建设更好的数据安全环境。因此，将跨国互联网巨头作为数据保护监管的重点对象，不仅有利于海量数据保护，而且在执法层面也更具有示范和预警效果

第二，数据出境活动成为重点监管情形。数据本地化趋势在全球范围内尤其是发展中国家愈发凸显。关键信息基础设施的运营者、大型跨国企业或开展海外业务的企业需要重点关注围绕“跨境数据传输”“数据本地化存储”“数据隐私保护”的当地法律规定。目前跨境数据流动治理及监管暂未形成全球性规制体系，但包含中国在内的部分国家已经出台相应法律法规。以中国为例，《网络安全法》《数据安全法》中已经对数据出境行为进行了初步规定，在 2021 年 11 月生效的《个人信息保护法》中，更是开辟专章细化了个人信息跨境提供的规则，并在第三十八条规定了个人信息处理者向境外提供个人信息的三种路径：（一）通过国家网信部门组织的安全评估；（二）经专业机构进行个人信息保护认证；（三）与境外接收方订立合同。在上位法的宏观要求下，目前对应三种路径的实施规范也已相继出炉。2022 年 7 月 7 日，国家互联网信息办公室发布的《数据出境安全评估办法》，明确了数据处理者向境外提供数据时需要向国家网信部门申报安全评估的情形、内容、流程等。

第三，安全审查成为关键领域数据安全强监管的重要举措。网络安全审查一般是针对关系国家安全和社会稳定的信息系统中所使用的信息技术产品与服务开展审查与监督。当前美国、中国等多个国家已设置审查制度，并且随着安全态势变化，审查范围也在进一步拓展。以美国为例，其网络安全审查涵盖外国投资、关键基础设施保护、供应链安全管理等。目前，全球网络安全审查更聚焦于关键领域及信息科技行业。值得注意的是，国家将安全审查作为重要监管手段之一，以实现数据安全这一最终目的，但考虑到不同国家的网络安全审查制度和体系可能存在法条竞合或法条冲突，需要企业进行预先自审自查

第四，合规性评估与安全检查成为数据安全日常监督的举措。在日常监管工作中，除了网信办、工信部、各地通管局等部门围绕违法违规收集使用个人信息等情形定期对 App 开展技术检测，开展通报、批评、下架处理等执法活动。数据安全检查专项活动也取得了阶段性成效，成为主要监管举措。 2023 年，围绕网络和数据安全保障体系建设、个人信息保护和用户权益保障等领域，各省市积极开展专项行动，譬如上海市通信管理局启动“2023 年上海市电信和互联网行业网络和数据安全检查”，浙江省组织 “之江数安”电信和互联网行业数据安全专项行动，江苏省开展“数安护航”电信和互联网行业数据安全行动等。

第五，算法监管的未来趋势将从个人信息保护基本原则出发不断提高其数据的可溯源性和规则的可解释性。从各国的算法监管思路来看，个人信息保护要求下的个人信息处理规则公开透明和个人信息自主决定权与算法黑箱模式形成冲突，虽然技术中立，但是算法的设计和数据的筛选都掺杂的人为因素，如果没有中立的第三方进行算法治理和监管，容易导致算法歧视和舆论引导，对部分群体的权益造成影响。其中，数据的可溯源性，指数据的来源无瑕疵，对于个人信息的处理，需要取得个人信息主体的授权，这就要求，算法的数据提供方需要在数据收集时充分告知个人信息主体关于数据收集的种类和应用目的，如果需要向第三方共享，还必须向其告知共享的第三方主体基本信息。根据我国《个人信息保护法》对个人信息的定义，将匿名化后的信息排除在外，这为隐私计算的发展提供了发展窗口，即通过“数据可用不可见”的方式实现数据的流通和利用将成为算法合规路径之一

规则的可解释性同样映射出个人信息主体权利的要求，由于法律对个人信息人格性权益的认可，个人信息主体参与到数据的权益配置链路中，算法的使用主体应当承担相应的披露义务，明确告知公众关于算法使用的基本逻辑，接受公众的监督，保障个人信息主体对算法使用的知情权。

2.4 从算法监管看隐私科技的破局思路

随着算法监管规则的逐步明晰，隐私科技的市场需求越来越大，但其市场应用仍然面临着推广困难的问题。除了技术本身不成熟、缺乏可靠的技术标准以及多方数据融合处理需求不明确等技术和应用层面的原因外，更重要的是，在当前个人信息保护规则下，个人信息的概念范围不断扩大，使得数据处理的合规难度增加、算法透明度的要求提升。

隐私计算作为隐私科技中的核心技术能力体现，为了实现在安全的前提下促进数据的可持续流通，其破局思路具体要从法律规则层面进行先行引导和规划：

（1）提高数据的匿名化程度

我国《个人信息保护法》中将匿名化定义为“个人信息经过处理无法识别特定自然人且不能复原的过程”，并将匿名化处理后的信息排除在个人信息之外，这为算法类应用的发展提供了合规思路，即通过隐私计算实现数据的匿名化处理效果，在匿名化的前提下实现数据的“可用不可见”。但是随着大数据技术的发展和数据的泛在化，完全做到匿名化可能是个伪命题，典型的例子是搜索记录的重新识别，美国在线网站曾经公布 2000 多万条匿名化处理的用户搜索记录，有研究人员通过把其中多条记录联合分析后，很容易就识别出特定个人的姓名和身份。在当前法律和行业标准尚未界定匿名化实现方式和验证标准的前提下，隐私科技技术需要对匿名化数据的重识别行为做出约束，通过规则设计避免算法运行过程中的中间态数据被重新识别到特定个人

（2）增强算法规则可解释性

数据作为新型生产要素，打破了“一物一权”式的传统物权体系下的主客体对应关系，这就导致算法的开发方和利用方需要向个人信息主体披露数据处理的逻辑，以达到合规的要求。可解释性使用户和相关利益方能够理解和信任算法的决策过程和结果。当算法的规则和决策不可解释时，用户往往难以信任该算法的结果，从而影响其接受和应用。隐私科技技术在实现匿名化信息处理的前提下无疑也增加了算法可解释性的难度。例如在多方安全计算中，由于数据供给方互相并不知道对方的数据特征和群体特征，用于算法训练的数据仅限于中间态计算结果，数据黑箱导致算法计算最终结果的可解释性变差，因此，即便是“心怀善意”的技术提供方，也会因为数据的不完全透明导致数据的虚假乃至错误应用。隐私科技如何实现算法的可解释性，降低算法偏差将成为合规必须攻破的难题。

（3）遵循应用伦理先行原则

由于算法与决策直接相关，从本质上来讲，算法是客观规律的数学表达和理性预测，但是算法的运算逻辑和数据输入都是由人来完成的。在隐私科技加持下的算法虽然一定程度提高了数据匿名化的程度，但是增加多个数据处理环节和应用主体，包括数据提供方、技术提供方和数据应用方，其中数据提供方可能涉及跨行业多个主体，这多方主体彼此之间难以对算法开发过程中的信息做到完全披露和理解，信息的不对称同样也会影响技术的中立性，从而导致计算偏差和算法歧视。根据公开资料显示，中国已有部分省份（如海南、浙江、湖南等）设立了科学伦理委员会或审查中心。同时，企业应通过建立科技伦理审查制度，在算法开发、应用算法的全过程中，着重对算法是否符合公平、公正、透明、可靠、可控等原则开展科学伦理审查。算法不仅会将代码中固有的决策保存下来，还会在预测过程中不断固化歧视而创造出新的现实。因此隐私科技的推广必不可缺少中立第三方对数据源、算法模型的伦理审查，通过降低信息不对称性和融入社会学分析，加强算法的伦理审查，以促进隐私科技的向善发展。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）

本报告总计：57页。

受篇幅限制，仅列举部分内容！

报告来源公众号：【百家全行业报告】返回搜狐，查看更多

责任编辑：

标签