本报告版权属于出品方所有，并受法律保护。转载、摘编或利用其他方式使用报告文字 或者观点的，应注明来源。违反上述声明者，本单位将追究其相关法律责任。 COPYRIGHT STATEMENT 出品方 编写组成员安永（中国）企业咨询有限公司 上海赛博网络安全产业创新研究院 高轶峰 惠志斌 王瑾 周雪静 蒋采玲 王龙飞 吴梦庭 李顾元 孙思瑄安永（中国）企业咨询有限公司大中华区网络安全和隐私保护服务主管合伙人 上海赛博网络安全产业创新研究院院长，首席研究员 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务高级经理 上海赛博网络安全产业创新研究院高级研究员 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务经理 上海数据安全协同创新实验室秘书长 安永（中国）企业咨询有限公司网络安全和隐私保护咨询服务顾问 某公司隐私合规专家 某公司隐私合规专家版权声明2022 年是中国数据合规全面发展的一年，也是隐私科技进一步从概念走向落地的一年。回顾近 一年的发展，安永与赛博研究院联合发布第二期年度《全球数据合规与隐私科技发展报告》。本报 告全面梳理了国内外数据安全与算法应用的合规体系，对隐私科技的概念、内涵和外延进行更新， 并通过对近百家头部企业的问卷调研，覆盖金融、科技、媒体与通信、消费品、生命科学、制造业 等行业，客观了解企业数据合规的现状与隐私科技的需求，最后为国内外企业数据合规实践提供参 考案例与创新思路，供业内参考。 全球近 100 个国家和地区已制定数据保护相关法律，数据安全、算法应用有关立法进程加快 , 合规本地化的全球性趋势将进一步加强。 全球数据合规领域执法力度加强，截至 11 月 30 日，GDPR 执法总数 1216 起，罚款总额超 20 亿欧元。企业面临合规人员招聘、安全产品及服务采购等合规成本与监管罚款等不合规支出的双 重压力。 企业更加重视数据合规与隐私保护，完善数据合规与隐私保护职能和管理体系，提升数据合 规与隐私保护汇报层级，加大数据合规与隐私保护的人员和资金投入。22% 的企业直接向高级管理 层汇报工作，82% 的企业认为在过去 12 个月的投入满足需求。 更多企业发现隐私计算的价值并付诸实践，隐私计算在更多风险控制和数据流通等业务场景 中发挥着重要作用，并在元宇宙、工业互联网与区块链等新兴科技中崭露头角。在未来十二个月， 更多企业选择保持对隐私科技的投入水平，力图稳中求进。 从隐私科技产业发展来看，数据分类分级、数据流通监控、数据风险与隐私影响评估、数据 与隐私综合治理是当前的热门细分赛道。后续围绕提高数据的匿名化程度，增强算法可解释性，加 强落实伦理先行原则，将进一步赋能隐私科技的合规能力。主要发现全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report1.1 1.202 0306 09 09 12 15 23 30 32 33 45 45 46 46 47 4736 37 4103 03 04 0413 13 13 38 38 48 493.1 3.2 3.3 3.4 3.5 5.1 5.2 5.3 5.4 5.5 5.64.1 4.2 4.32.1 2.2 2.3 2.4“隐私科技”的概念界定 全球数据合规与隐私保护挑战 企业数据合规与隐私保护概况 企业隐私科技应用程度 企业隐私科技投资趋势 企业对国内隐私科技市场的期望 企业实施隐私科技所面临的挑战 市场：数据合规即服务衍生新的商业机会 应用：隐私设计原则从理论到企业实践 人才：数据合规及隐私保护人才缺口增长 标准：技术成熟度和通用性标准亟待制定 技术：开源驱动行业创新发展与生态建设 产业：规模化应用构建数据智能网络生态 常见隐私科技解决方案类型 主流隐私计算技术隐私科技产业发展 典型案例 1：运营商行业数据分类分级 典型案例 2：隐私计算应用数据安全立法现状与动向 算法应用合规现状与趋势 监管路径与发展趋势 从算法监管看隐私科技的破局思路（1）遵守不断发展变化的法律法规 （2）高昂合规成本带来的经济压力 （3）复杂的第三方风险管理挑战 （4）数据频繁流通引发的安全威胁（1）提高数据的匿名化程度 （2）增强算法规则可解释性 （3）遵循应用伦理先行原则 （1）运营商行业数据安全痛点 （2）运营商行业客户信息保护目录 CONTENTS 第 1 章 数据经济时代的安全与隐私挑战 第 3 章 企业隐私保护及隐私科技应用现状调研 第 5 章 未来展望 附录第 4 章 产业发展洞察与典型实践第 2 章 全球数据安全立法及监管现状全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 01 数据经济时代的安全与 隐私挑战01 P - A - R - TPART 1 当前，大数据正在迅速改变全球的经济面貌。在数字经济的发展过程中，企业和个人持续依赖大数据与不 断更迭的数字技术，驱动数据处理活动、探索数据创新。然而，繁荣背后隐藏风险，数据的价值吸引内外部的 恶意攻击与频繁掠夺，数据的流通引发个人隐私担忧与合规警惕。从漏洞攻击到数据窃取，从经济损失到合规 成本，从系统安全到隐私保护，以安全与隐私为主题的风险正成为影响数字经济发展的关键因子。对此，企业 正在积极采取措施，运用“数据 + 算法”、“隐私 + 合规”等技术与服务手段，制定应对安全与隐私挑战的安全战 略与整体解决方案。 在 2021 年发布的《2021 全球数据合规与隐私 科技发展报告》中，我们将隐私科技定义为：用于 支撑隐私保护与合规的日常运营流程，且嵌入到 IT 架构和业务场景中的一系列技术解决方案，在保证全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 02 个人信息全生命周期的增强保护和个人信息处理活 动规范化的基础上，实现保护个人信息权益、提升 数据流通、共享与开放、促进个人信息合理开发利 用的目的。1. 1 “隐私科技”概念界定数据经济时代的安全与隐私挑战 图 1 隐私科技概念图示（2022 版）全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 03 今年， 基于对国内隐私科技厂商的普遍性研究， 《全球数据合规与隐私科技发展报告（2022）》对 隐私科技框架进行了更新与完善，主要体现在①凸 显应用场景的重要性，强调隐私科技在数据处理全 生命周期中的应用，以及在金融、医疗、政务等重 点行业的实践趋势；②对隐私科技解决方案与底层 支撑技术进行梳理与更新。现将隐私科技定义更新为：在日常运营流程中，通过嵌入 IT 架构和业务场 景支撑主体数据合规和隐私保护的一系列工具、服 务及技术解决方案。 通过将隐私科技应用于个人信 息全生命周期或各行业个人信息处理场景中，在增 强保护个人信息、规范个人信息处理活动的基础上， 实现保护个人信息权益， 推动数据流通、 共享与开放， 促进个人信息合理开发利用的目的。 数字世界里，合规与隐私保护作为反复出现的 话题， 也是企业在经营、 上市、 融资、 发展过程中的 “必 经之路”。当前企业为满足数据合规与隐私保护需要， 面临诸多挑战，包括满足来自监管的 迫切要求，应 对围绕数据处理全生命周期的外部攻击与内生安全 风险。 （1）遵守不断发展变化的法律法规 随着与数据相关的法律体系的不断完善，企业 面临的首要挑战是来自国际监管环境的变化。首先 是适应全球不断发展变化的法律法规，包括遵守已 经生效、即将生效的数据合规要求——涵盖当地数 据合规与个人信息隐私保护、跨境数据传输安全合 规要求等。由于法律法规要求众多且持续更迭，企 业及其内部合规团队不得不面临合规制度不完善、 合规要求更新不及时、合规措施落实困难等现实挑 战。 其次是适应“当地”法律法规，由于各国在数据 安全方面的立法存在标准不一、条款冲突的情形， 因此跨国企业需重点关注业务经营所在国家的法律 合规要求，加强监测预警，规避和降低跨国经营合 规风险。在不损害国家安全、公民个人信息安全的 前提下，以“安全合规本土化”为原则，提升企业境1.2 全球数据合规与隐私保护挑战 外市场的综合竞争力。 （2）高昂合规成本带来的经济压力 鉴于全球监管格局的不断变化，企业为了适应 日益严格的监管与处罚，面临更大的经济压力。 一 是表现在不合规成本支出上， 即支付因违规带来的 高额罚款。截至 2022 年 11 月 30 日，《通用数据保 护条例》（简称“GDPR”）执法总数 1216 起（相较 去年 9 月 30 日的统计数据，增加 322 起），GDPR 罚款总额超 20 亿欧元（增加约 7 亿欧元），最高的 一笔罚款暂时还未刷新，仍为 2021 年针对某国际电 商巨头开出的 7.46 亿欧元罚款。不仅 GDPR 的执法 强度大、频次高，其他国家的监管处罚也不容小觑。 以我国为例，伴随执法常态化发展，监管措施涵盖 公开通报、应用下架、罚款到实施网络安全审查、 过渡性指导措施等多种手段。监管处罚对象不仅包 括企业，还覆盖到高管及相关责任人，处罚方式主 要体现为警告与罚款。譬如 2022 年 7 月，国家互联 网信息办公室对某出行平台处人民币 80.26