什么是隐私科技？面临哪些挑战？

当前企业为满足数据合规与隐私保护需要， 面临诸多挑战，包括满足来自监管的迫切要求，应 对围绕数据处理全生命周期的外部攻击与内生安全 风险。

1.“隐私科技”概念界定

在 2021 年发布的《2021 全球数据合规与隐私 科技发展报告》中，我们将隐私科技定义为：用于 支撑隐私保护与合规的日常运营流程，且嵌入到 IT 架构和业务场景中的一系列技术解决方案，在保证 全球数据合规与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 02 个人信息全生命周期的增强保护和个人信息处理活 动规范化的基础上，实现保护个人信息权益、提升 数据流通、共享与开放、促进个人信息合理开发利 用的目的。

今年，基于对国内隐私科技厂商的普遍性研究， 《全球数据合规与隐私科技发展报告（2022）》对 隐私科技框架进行了更新与完善，主要体现在①凸 显应用场景的重要性，强调隐私科技在数据处理全 生命周期中的应用，以及在金融、医疗、政务等重 点行业的实践趋势；②对隐私科技解决方案与底层 支撑技术进行梳理与更新。现将隐私科技定义更新 为：在日常运营流程中，通过嵌入 IT 架构和业务场 景支撑主体数据合规和隐私保护的一系列工具、服 务及技术解决方案。通过将隐私科技应用于个人信 息全生命周期或各行业个人信息处理场景中，在增 强保护个人信息、规范个人信息处理活动的基础上， 实现保护个人信息权益，推动数据流通、共享与开放， 促进个人信息合理开发利用的目的。

2.全球数据合规与隐私保护挑战

（1）遵守不断发展变化的法律法规

随着与数据相关的法律体系的不断完善，企业 面临的首要挑战是来自国际监管环境的变化。首先 是适应全球不断发展变化的法律法规，包括遵守已 经生效、即将生效的数据合规要求——涵盖当地数 据合规与个人信息隐私保护、跨境数据传输安全合 规要求等。由于法律法规要求众多且持续更迭，企 业及其内部合规团队不得不面临合规制度不完善、 合规要求更新不及时、合规措施落实困难等现实挑 战。

其次是适应“当地”法律法规，由于各国在数据 安全方面的立法存在标准不一、条款冲突的情形， 因此跨国企业需重点关注业务经营所在国家的法律 合规要求，加强监测预警，规避和降低跨国经营合 规风险。在不损害国家安全、公民个人信息安全的 前提下，以“安全合规本土化”为原则，提升企业境外市场的综合竞争力。

（2）高昂合规成本带来的经济压力

鉴于全球监管格局的不断变化，企业为了适应 日益严格的监管与处罚，面临更大的经济压力。一 是表现在不合规成本支出上，即支付因违规带来的 高额罚款。截至 2022 年 11 月 30 日，《通用数据保 护条例》（简称“GDPR”）执法总数 1216 起（相较 去年 9 月 30 日的统计数据，增加 322 起），GDPR 罚款总额超 20 亿欧元（增加约 7 亿欧元），最高的 一笔罚款暂时还未刷新，仍为 2021 年针对某国际电 商巨头开出的 7.46 亿欧元罚款。不仅 GDPR 的执法 强度大、频次高，其他国家的监管处罚也不容小觑。 以我国为例，伴随执法常态化发展，监管措施涵盖 公开通报、应用下架、罚款到实施网络安全审查、 过渡性指导措施等多种手段。监管处罚对象不仅包 括企业，还覆盖到高管及相关责任人，处罚方式主 要体现为警告与罚款。譬如 2022 年 7 月，国家互联 网信息办公室对某出行平台处人民币 80.26 亿元人 民币罚款，对公司董事长、总裁各处人民币 100 万 元人民币罚款。

二是表现在企业在数据合规与隐私 保护工作上投入更多预算。企业通过技术、工具和 组织架构的调整提升整体合规能力，具体包括组建数据安全团队，设置 CDO（首席数据官）制度，配 备专职隐私保护人员及合规法务人员，应用隐私计 算等技术，采购第三方合规风险评估服务等。其中， 在人才需求方面，由于国内法律法规对于开展相关 业务的企业提出数据安全管理相关要求，《个人信 息保护法》更是明确指出处理个人信息达到国家网 信部门规定数量的个人信息处理者应当指定个人信 息保护负责人。然而，囿于当前数据合规与隐私保 护的专业人员仍然存在较大的市场缺口，导致部分 企业仍然因为缺乏人才，无法满足实际的数据合规 和隐私保护工作需求。

整体来看，数据安全预算的增加一定程度上给 企业带来了额外的成本，尤其是对于初创企业或中 小企业来说。然而，根据《2022 全球隐私基准报告》 研究显示，数据监管不合规的成本是合规成本的 2.71 倍，因此仍有 42% 的公司打算在隐私计划上花费超 过 100 万美元，采取更多措施促进隐私保护。此外， 根据 IBV 发布的《网络经济中的繁荣》研究显示， 网络安全成熟度最高的组织在五年内的收入增长率 比最不成熟的组织高出 43% ，数据安全在一定程度 上也可以被视为企业经济和价值增长的措施。因此 承担合规成本对于企业长期发展而言是必要的。

（3）复杂的第三方风险管理挑战

企业不仅面临自身的内外部安全威胁，还需要 做好第三方风险管理。第三方数据处理者因供应链 攻击或数据安全合规能力不足而产生的风险，正在 对企业造成直接影响。从供应链角度来看，第三方 数据处理者包括了企业直接合作的公司，如材料供 应商、分包商、网络托管公司、安全产品提供商、 数据服务提供商等可以访问企业系统或数据的第三 方主体。由于供应链攻击是网络空间攻防对抗的焦 点之一，即便企业自身安全建设成熟度高，攻击者 也能利用供应链上下游企业的任一脆弱环节实现入侵。伴随供应链攻击的往往还有企业核心数据、重 要数据泄露，让企业防不胜防。从数据处理关系来看， 企业的数据源包括内部自主收集以及与第三方产生 的数据共享、委托处理、转让，后者既有企业与企 业之间的数据共享，也有企业和政府之间的数据共 享。在数据传输、存储、处理过程中，第三方的网 络安全防护能力以及数据安全保障能力，也是企业 需要重点评估的方面。当前，大多数企业都需要重 新审视第三方风险管理，尤其在网络安全、数据合规、 隐私保护方面。

（4）数据频繁流通引发的安全威胁

伴随数字化转型，数据的价值与日俱增，数据 的流通性也成为创新发展的必然要求。在此基础上， 企业采用 AI 技术、自动化工具、混合云部署等多种 手段，加快数据从本地向云上，从内网向外网，从 境内向境外流通。借助数据流通，推动因开展业务 需要而收集与产生的数据的共享与开发利用，进而 为市场创造新的价值。与此同时，政府机构也与企 业一起，推动发挥数据要素生产力，构建功能齐全 的数据要素市场。

然而，在数据流通利用过程中，也存在诸多风 险隐患。部分企业由于安全管控措施不足、数据可 信流通能力建设滞后，导致企业的风险暴露面增加。 例如面临联网系统、云上资产等遭受攻击所引发的 数据泄露；企业与第三方机构合作共享数据时，数 据因明文流通或复制滥用而导致大量隐私泄露；企 业因跨境业务需要等原因启动数据出境工作，可能 因涉及重要数据，或一定规模的（敏感）个人信息 外传，直接危及国家安全、企业合规与个人信息安全。 综上，面对复杂的数据流通场景，企业亟须探索基 于隐私保护的数据流通解决方案，在安全合规的前 提下，促进数据在企业内外部的流通以及拓展数据 开发利用的深度和广度。