2021全球数据合规与隐私发展报告.pdf
《2021全球数据合规与隐私发展报告.pdf》由会员分享,可在线阅读,更多相关《2021全球数据合规与隐私发展报告.pdf(63页珍藏版)》请在咨信网上搜索。
1、Global Data Compliance and Privacy Technology Development Report全球数据合规与隐私科技发展报告2021FOREWORD前 言全球迈入数字经济时代,数据成为驱动各国经济社会创新发展的关键生产要素,经济价值与战略价值愈发凸显,与之对应的安全威胁与隐私挑战也日益严峻。为此,近年来各国加快了数据领域的立法和监管,包括欧盟 通用数据保护条例、美国 加州消费者隐私法案 以及我国的数据安全法个人信息保护法 等法律法规密集出台,一个严厉而缜密的数据合规体系在全球快速织就。在此背景下,企业的数据合规与风险治理的步伐亟待加速。然而从实践层面看,企业数
2、据合规极为复杂,不仅需要实现数据可用性和安全性的科学平衡,又需要覆盖法律、管理、业务、技术等专业领域,传统的合规模式和安全技术难以为继,隐私科技应运而生,成为破解数字经济时代企业数据合规的关键路径。2021年,是中国数据合规的“元年”,也是全球隐私科技的“风口”。本报告全面梳理了国内外数据合规尤其是数据隐私的合规体系,首次提出隐私科技的概念、内涵和外延,并通过对近百家头部企业进行问卷调研,覆盖金融、科技、媒体与通信、消费品、生命科学等行业,客观了解企业数据合规的现状与隐私科技的需求,最后为国内外企业数据合规实践提供创新思路,供业内参考。数据经济时代的安全与隐私挑战1PART目录 CONTENT
3、S第一章 数据经济时代的安全与隐私挑战02第二章 国内外数据安全法监管现状第三章 隐私科技发展趋势第四章 企业隐私保护及隐私科技应用现状调研结果1.1/相关概念界定1.2/全球数据安全风险挑战 1.2.1 数据泄漏引发多重风险 1.2.2 数据不当使用侵占隐私空间 1.2.3 边缘防护薄弱暴露用户隐私 1.2.4 数据跨境流动引发合规担忧2.1/数据安全立法及监管现状概述 2.1.1 中国:综合性立法明确规范数据安全基线 2.1.2 欧盟:构筑统一的数据安全治理规则框架 2.1.3 美国:以隐私权为基础开展灵活分散立法 2.1.4 全球范围内:加快数据安全立法部署2.2/数据合规监管路径与重点
4、2.3/全球数据合规监管处罚典型案例(2019-2021年)3.1/隐私科技概念 3.1.1 常见隐私科技解决方案类型 3.1.2 主流隐私计算技术介绍3.2/隐私科技产业发展现状与趋势4.1/企业隐私保护建设与投入趋势 4.1.1 企业隐私保护建设现状 4.1.2 企业隐私科技投资趋势4.2/隐私科技主要优势 4.2.1 满足法律和行业监管合规要求的助力 4.2.2 促进数据共享、流通、交换和使用 4.2.3 实现内部运营和管控的自动化,提升运营效率 4.2.4 将数据泄露风险最小化,取得数据安全与业务挖掘的平衡 020404050607101011121313151819222528283
5、63839393939091827目录 CONTENTS第四章 企业隐私保护及隐私科技应用现状调研结果4.3/企业实施隐私科技所面临的挑战 4.3.1 企业实施隐私科技的三大挑战 4.3.2 企业实施数据合规与隐私保护管理平台的挑战4.4/企业对隐私科技考虑因素与期望 4.4.1 选择隐私科技解决方案的考虑因素 4.4.2 企业选择解决方案时关注的资质 4.4.3 企业对国内隐私科技市场的期望4.5/行业应用场景4.5.1 用户授权管理(CONSENT MANAGEMENT)为消费者提供透明、可控的隐私权利4.5.2 隐私计算平台为汽车行业数据出境场景提供合规的、低风险的方式4.5.3 隐私管
6、理平台为金融企业提供统一、标准、高效的合规运营机制27第五章 未来展望第六章 参考文献5.1/PRIVACY BY DESIGN 隐私内嵌于设计5.2/数据合规及隐私保护专业培训推动合规实践5.3/技术成熟度和通用性亟待标准化制定5.4/开源驱动行业创新发展与生态建设5.5/规模化行业应用构建数据智能网络平台565940404144444446474749515656575758全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02托夫勒在 第三次浪潮(The Third Wave)一书
7、中指出,伴随科学技术的发展,人类文明以浪潮的方式演进,每次浪潮都有若干重要的子波。发端于上世纪中叶的数字文明先后经历了计算机、互联网等重大的工具性革命之后,迎来了云计算、移动互联网、物联网、大数据、人工智能等新一代信息技术群落的形成和扩散,数字文明的一个重要子波以“数据”为关键生产要素驱动经济社会创新发展的时代已然来临。数据经济时代,数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。但是随着数据技术的普及、数据的泛在流通以及数据价值的激增,针对数据资源的外部攻击和内部滥用现象屡见不鲜,与之对应的企业数据合规和风险治理能力存在不足,企业数据安全和用户隐私已经成为关系个人权益、
8、社会稳定和国家安全的核心议题。本报告首先对信息、数据、个人信息、隐私、数据安全、数据合规、隐私保护、隐私科技等概念及其关系进行界定,便于后续内容的理解。图1 信息、数据、个人信息、隐私的关系PART 1 数据经济时代的安全与隐私挑战PART数据经济时代的安全与隐私挑战11.1 相关概念界定基 于 海 量个 人 信 息的 重 要 统计 数 据;包含 人 脸 信息 等 敏 感信 息 的 车外 视 频、图像 数 据个 人基 本身 份信息个人敏感信息包含提 炼海量个人信息隐私信息对数据的提炼数据对信 息 的 记 录核心数据重要数据个人信息与 已 识 别 或 者 可 识 别 的自然人有关的各种信息一般数
9、据非个人信息私密空间私密活动私密信息全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report02信息被认为是和物质、能量并列的构成世界的三大要素之一。国际上较为经典的定义包括:信息是“用来消除不确定性的事物”(香农1948);信息是“我们在适应外部世界,控制外部世界的过程中同外部世界交换的内容”(维纳,1948);中国国家标准 情报与文献工作词汇基本术语(GB489885)将信息定义为“物质存在的一种方式、形态或运动形态,也是事物的一种普遍属性,一般指数据、消息中所包含的意义,可以使消息中所描
10、述事件中的不确定性减少”。数据是信息的表现形式,是为了让人们更好地使用或处理信息的一种编码形式。数据原本表示事物性质/数量变化的数值集合,最早应用于科学测量领域。随着现代信息技术发展,人们开始利用电子计算机和现代通信技术获取、加工、传递和利用信息,越来越多的信息通过计算机进行数字化编码并以数据库的形式存储,数据的内涵也因此开始扩大,不仅指代“有根据的数字”或是“计算加工的数字”,而且是成为“数字、文本、图片、视频”等一切信息类型在信息技术环境下的记录。现代信息技术发展丰富了数据的内涵,使得人类对数据资源的采集、生产、开发、保存等能力得到空前提升。企业、政府、个人都直接参与到了数据生产和消费。数
11、据类型不仅包括结构化数据,还包括越来越多的非结构化数据。根据 中华人民共和国数据安全法 的定义,数据为“任何以电子或者其他方式对信息的记录。”根据重要敏感程度,数据可分为一般数据、重要数据、核心数据。其中,“核心数据”是关乎国家安全、国民经济命脉、重要民生、重大公共利益等数据,“重要数据”是与国家安全、经济发展,以及社会公共利益密切相关的数据,其包含核心数据,两者主要在保护密级方面有一定区别。“一般数据”包括个人数据、企业经营数据等一般性数据。个人信息是信息的一部分,是从个人相关数据中提炼出来的与个人有关的描述。根据 中华人民共和国个人信息保护法 和欧盟 通用数据保护条例,个人信息可定义为“与
12、已识别或者可识别的自然人有关的各种信息。”隐私与个人信息存在交叉关系,但不能等同。根据 牛津词典 的解释,隐私是指独处不受干扰的状况;不受干扰或不受公众注目的自由。隐私是一个不断变迁、发展的概念,尤其是现代信息技术发展,作为法律概念的隐私权需求开始兴起,并在保护个人私域和个人自由方面呈现出传统财产权保护不可替代的作用。中华人民共和国民法典 第1032条指出“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”其中,私密信息涉及敏感个人信息。数据安全是指数据不被威胁的状态。当前,核心数据、重要数据、个人信息尤其个人敏感信息等是数据安全的重点保障范围,需要采取必要措施、确保
13、数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report03Web应用程序攻击作为主要攻击手段,是数据泄漏的主因之一。在遭受撞库攻击的组织中,95%的组织全年面临637到33亿次的恶意登录尝试;网络钓鱼经久不衰,网络钓鱼模板的点击率覆盖范围愈加广泛,成为社工的典型且行之有效的手段;主流的勒索软件运营团伙基本完成了从数据加密索要赎金的“粗糙勒索方式”到建立数据泄漏站点,将数据泄漏或出售作为
14、其获益的重要手段的转变。当前全球数据安全面临的主要风险挑战是围绕数据泄漏、数据不当使用、边缘数据防护脆弱、跨境数据流动等带来的挑战。1.2 全球数据安全风险挑战数据合规是推动数据安全实践的驱动力。以企业数据合规为例,是指企业经营管理行为要符合国家法律、行政法规、国际法律条约、行业准则、商业道德以及企业内部的管理制度。建设企业数据合规体系的构成要素包括管理层承诺;风险评估;流程嵌入;记录保存。当前,数据合规既是企业安全治理体系和治理能力现代化的重要标志,也是国家安全治理体系和治理能力现代化的重要组成部分。隐私科技作为“支撑隐私保护与合规的日常运营流程,且嵌入到IT架构和业务场景中的一系列技术解决
15、方案,在保证个人信息全生命周期的增强保护和个人信息处理活动规范化的基础上,实现保护个人信息权益、提升数据流通、共享与开发、促进个人信息合理开发利用的目的”,是实践数据合规的重要技术解决方案。围绕数据安全领域,本报告以数据合规及隐私科技为核心展开深入研究,探索企业数据合规发展现状,以及隐私科技在数据合规乃至数据安全实践中的表现。数据泄漏作为典型的数据安全问题,大多是各类网络安全事件的“衍生品”。数据泄漏不仅给受害企业带来名誉和业务影响,在合规性的要求下,数据泄漏还给企业带来警告、罚款乃至负责人刑事拘留等可能性处罚。其在全球范围内主要呈现以下几个特点:(1)Web攻击、网络钓鱼、勒索软件仍为数据泄
16、漏的主要因素1.2.1 数据泄漏引发多重风险PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report04(2)数据泄露成本持续高涨海量的业务数据与用户个人数据由于其潜在的高价值备受攻击者青睐,由此带来的是数据泄露规模、频次与成本急剧增长。Verizon通过建模对违规行为对组织的影响进行深入的分析,测试结果表示,86%的违规行为会为组织带来数据泄露成本,中位数高达21659美元。2021年7月28日,IBM安全部门公布了一项全球研究成果 2021年数据泄
17、露成本报告,更是指出每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。其中,大型数据泄露的平均成本达到4.01亿美元,泄露记录达到5000万到6500万条。(3)数据泄露引发次风险在数据泄露事件中,泄漏主体不仅要面临监管处罚、直接经济损失、企业名誉损失,同时还面临不可挽回的用户信任损失。部分遭受数据泄露的企业因为担忧利益受损而将安全事件隐而不报或延后公开,这也造成用户对其个人信息泄露毫不知情,进一步扩大用户遭受相应网络威胁的可能性。泄漏事件受害者则必须面对个人隐私外泄的不安,以及由于敏感信息泄漏所带来的潜在安全风险。目前,针对大规模个人信息的窃取和倒卖已经形成了较为成熟的黑灰产
18、交易链,尤其是银行卡账号、社保卡号、支付类应用登录信息等涉及个人经济信息的信息泄露将带来继泄露后的次级风险,引发典型的电信诈骗和金融欺诈。数据是一种可以反复使用并且在使用中创造更多价值的资源,在高频的数据再利用过程中不可避免地出现数据不当使用现象。数据不当使用也称数据滥用,是未经数据所有者允许或以数据所有者所不乐见的方式使用、处理其信息。鉴于互联网特有的开放性,用户缺乏隐私意识、部分企业或个人为谋取个人收益、企业或机构有意或无意开展商业业务或研究工作等都有可能造成数据不当使用,进而侵害隐私空间,损害个人隐私。1.2.2 数据不当使用侵占隐私空间PART 1 数据经济时代的安全与隐私挑战全球数据
19、合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report051.2.3 边缘防护薄弱暴露用户隐私(1)群体维度的隐私侵害大数据背景下信息结构发生变化,个体隐私利益出现彼此关联、互相依存的关系,同时形成群体维度的隐私形态。群体隐私形态包括以某个特定标签或关键词汇聚特定群体的大量个人信息,以及基于特定群体的海量数据得出的统计或推论数据。群体隐私是群体作为一个特定群体所拥有的权利。近年来,基于数据不当使用而侵害群体隐私事件并不少见。以“选民群体”为例,2016年美国总统大选下的剑桥分析丑闻,即8700万选民
20、群体因其在Facebook上的数据被泄露给政治咨询公司剑桥分析(Cambridge Analyti-ca),其数据被不当使用而导致选举操控。(2)算法决策的黑箱运作 大数据“杀熟”、算法歧视是算法普遍应用后的阶段性“副作用”。由于个人数据在精准营销、产品优化、流程再造等方面发挥关键作用,部分企业过度利用算法决策攫取个人隐私、过分关注行为特征,形成“黑箱运作”。Frank Pasquale在 黑箱社会 一书中指出,与数据收集和使用过程中的程序不透明、权力不平等相比,算法决策过程中的不透明性更为严重。为了节省算法决策过程中的数据获取成本,用户个人信息甚至被一些企业用于交换、交易,在违法违规的情况下
21、形成用户数字画像,为其算法决策构建信息网络。伴随算法决策对于数据不当使用和隐私侵权的进一步侵入,大数据算法在提升便利的同时也为数据安全带来巨大的风险挑战。在全球范围内的物联网和5G网络架构的快速发展下,智慧城市、位置服务和移动支付等新型服务模式不断涌现,智能手机、可穿戴设备、联网家居设备等传感设备数量呈现爆炸式增长趋势,海量的物联网终端通过数据收集、存储、传输至云端及计算,实时产生“海量级”数据。由于物联网设备存在分散、边缘化特点,其边缘IT架构和边缘计算环境在计算和安全管控资源上受限,这使得物联网设备的风险排查和合规体系化管理存在诸多挑战,大多物联网终端设备暴露出严重的隐私风险。最为常见的是
22、物联网终端设备风险防护措施薄弱或直接暴露于互联网,使其面临联网设备数据的非法访问、用户位置隐私泄露、通信传输脆弱性导致的信号劫持与通信窃听等安全挑战,对企业数据及用户隐私构成严重威胁。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report061.2.4 数据跨境流动引发合规担忧全球化数字经济推动下,数据跨境趋于频繁。跨境数据中不可避免地涵盖了个人信息、关键企业运营数据和国家信息数据等重要数据。伴随着数据跨境存储、流通和使用的规模越来越庞大,数据种类越
23、来越丰富,数据跨境越来越频繁,安全风险日益加剧。出于数据安全性考虑,一些国家通过数据本地化数据跨境流动合规限制,加强地域化的数据治理。针对数据的跨境传输的合规要求是维护网络空间主权的必然举措。纵观世界各国应对数据跨境的举措,大体分为两类。一类是试图通过国内立法,在数据主权方面做出超地域的扩展,如美国的 澄清境外数据的合法使用法案(Clarifying Lawful Overseas Use of Data Act)为其调取域外数据提供管辖权依据;一类是赋予国内政府和监管机构管辖权,对特定数据实施本地化存储或处理的措施来保护本国个人数据免受外国监视与调取。不过,数据跨境流动相关概念界定、规范界定
24、在不同国家仍然存在差异,目前主要有2类:数据跨国传输、处理与存储;数据仍然存储于本国,但能够被境外主体进行访问(公开信息、网页访问除外)。鉴于全球尚未形成统一的数据跨境治理框架,跨境数据往往受限于数据存储当地的防护水平,可能出现数据泄露风险。加之不同国家地区在相关数据合规政策与法律上存在差异乃至冲突,可能存在跨境数据使用权限模糊现象,导致跨境数据合规风险进一步凸显。此外,跨境数据一旦泄漏,影响范围更为广泛,且其往往与暗网/地下市场数据交易挂钩,恶意分子将窃取的数据和个人信息打包售卖,企业难以进行溯源和响应处置。数据跨境流动带来的安全风险是出海企业需要面临的重大挑战,亟需加强数据保护关键技术手段
25、建设,实现有效发现和响应敏感数据违法跨境流动的安全举措。全球数据风险挑战层出不穷,伴随数据场景的复杂化、数据参与主体的多样化,健全并完善数据安全法规体系与监管细则成为各国的主要着力点。PART 1 数据经济时代的安全与隐私挑战全球数据合规与隐私科技发展报告Global Data Compliance and Privacy Technology Development Report07国内外数据安全法规监管现状2PART根据欧盟网络安全局(ENISA)发布的 2021年NIS投资报告,世界各地的组织将其18%的安全支出用于治理、风险和合规这一安全领域。合规使企业开展的活动遵循法律法规的上层指导
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2021 全球 数据 合规 隐私 发展 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。