章佳
近年来,数据要素的重要程度进一步提升,AI大模型迭代和算力升级也深度激发了数据价值。然而,繁荣背后隐藏风险,数据的价值吸引内外部的恶意攻击与频繁掠夺,数据的流通引发个人隐私担忧与合规警惕。
近日,安永与赛博研究院联合发布第三期年度《全球数据合规与隐私科技发展报告》(下称报告)显示,从漏洞攻击到数据窃取,从经济损失到合规成本,从系统安全到隐私保护,以安全与隐私为主题的风险正成为影响数字经济发展的关键因子。对此,企业正在积极采取措施,运用“数据+算法”“隐私+合规”等技术与服务手段,制定应对安全与隐私挑战的安全战略与整体解决方案。
目前全球已有近100个国家和地区制定了数据安全保护相关法律,数据安全保护专项立法成为国际惯例。2023年以来,全球数据安全相关立法进程再次提速,一方面通过推动数据流通、共享、开发利用充分释放数据红利,另一方面通过分行业、分场景、分企业推动重点监管。
一是在隐私保护立法与规范方面,一方面基于原有的数据安全立法基础,美国、英国等国家正在把握机会,在个人信息保护、消费者隐私等细分方向提出具有统筹性、影响力的专项立法。美国参议院和众议院于2022年6月3日发布了《美国数据隐私和保护法》草案。另一方面,欧盟委员会2022年推出首个获批的欧盟通用数据保护条例(GDPR)认证体系——Europrivacy(欧洲隐私),并在当年10月10日公布了对Europrivacy认证标准的批准意见,使得该认证标准成为欧盟通用标准。
二是在数据出境安全问题上,我国在2022年先后出台《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《个人信息保护认证实施规则》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》;在2023年2月22日和5月30日先后出台《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南(第一版)》,明确了数据出境安全评估的流程和要求,为促进数据依法有序流动提供关键指导。
此外,各国之间也在频繁开展关于数据出境方面的磋商,如部分国家达成数据跨境协议、一些国际组织成员国已经联合签署与数据安全有关的贸易协定。2022年12月,欧盟委员会启动通过了《欧盟—美国数据隐私框架充分性决定》的程序,并在2023年7月10日通过了该项充分性决定。该框架作为新的数据跨境传输机制,标志着欧美数据跨境传输迈入新阶段。
三是在公共数据共享利用方面,包括我国在内的多个国家都在积极探索公共数据的共享、开发利用,试图激发公共数据的潜在价值,为市场化运作、创新研究等提供数据支撑。2022年,在《欧洲数据战略》指导下,欧洲《数据治理法案》正式公布并于2023年陆续实施。
四是在个人与企业数据共享方面,共享范围、权限分配、隐私保护等都是亟待解决的问题。欧盟委员会于2022年2月23日公布《数据法案》草案全文,重点聚焦企业之间以及企业与政府之间的数据共享。2022年5月3日,首个欧洲健康数据空间正式启动,促进针对个人健康数据的访问与流通。
咨询机构Gartner预测,到2024年,全球75%的人口将在其个人数据方面受到隐私法规的保护。以中国、美国、欧洲各国为例,中美欧持续围绕数据安全、算法安全立法及监管进行探索与实践。
在数字化时代,数据合规与隐私保护一直是企业关注的一大重点,企业开展数据合规与隐私保护工作不仅是为了遵守全球不断发展变化的法律法规要求,也是为了增强客户体验。在这两大目标驱动下,不少企业将数据合规和隐私保护视作企业的生命线。
报告指出,2022年的调研发现,有57%参与调研的企业正在实施部分隐私科技解决方案,而到了2023年,这个比例增长到了65%以上,其中更是有38%的参与调研的企业已经实施了部分隐私科技解决方案。
针对常见的隐私科技解决方案,除隐私计算平台外,所调研的其余九类隐私科技解决方案的整体实施程度较高的(即实施中、部分已实施和已较完备实施的解决方案)企业占比均超过了50%,其中排名前三的有:个人信息主体授权同意管理(66%)、个人信息主体权利响应管理(63%)、隐私事件响应(62%)、隐私风险与合规评估平台(62%)。另外,隐私计算平台(41%)和数据流动监控(52%)综合来看,尽管各类隐私科技解决方案在企业中达到“已较完备实施”的程度仍然都不高(均未超过18%),隐私科技在企业中的整体实施现状仍然处在起步阶段,但经过了过去一年的实施后,隐私科技解决方案在企业中的整体实施已经取得了长足的发展和进步。
据2022年调研发现,企业需求最迫切的三类隐私科技解决方案是:数据自动化发现、分级分类与标识(60%),数据流动监控(52%),数据去标识化、匿名化技术(38%);而在2023年,数据自动化发现、分级分类与标识(62%),数据流动监控(51%)仍然是企业最迫切的需求,但数据去标识化、匿名化技术仅排在23%的企业最迫切的“三甲”榜单之上。
调研显示,隐私保护与数据安全已应用到了新兴科技中。在已开展元宇宙项目的企业中,53%的企业正在元宇宙项目中或已在元宇宙项目中实施了隐私科技技术;在已开展工业互联网项目的企业中,32%的企业正在工业互联网项目中或已在工业互联网项目中实施了隐私科技技术;在已开展区块链项目的企业中,50%的企业正在区塊链项目中或已在区块链项目中实施了隐私科技技术。
报告分析认为,随着国内合规要求日渐成熟且明确,我国数据合规与隐私保护法律提出了诸多相比欧洲、美国、新加坡等地独特的要求,我国的市场环境、业务场景和数字化程度也有着鲜明的特色,因此很多企业在期待更加贴合本地需求的国内隐私科技解决方案。
在企业的数据合规与隐私保护治理中,人员、流程与技术三者均不可或缺且紧密关联。实施隐私科技除了在技术上给企业带来挑战之外,同时也对企业的人员能力与意识、制度流程规范提出了更高要求。
根据Gartner《2022隐私技术成熟度曲线》报告,预计未来5—10年隐私计算技术会被大规模商业化应用,到2025年60%以上的大型组织将在数据分析、商业智能或云计算中使用一种或多种隐私计算技术。隐私科技产业发展将以愈发成熟的隐私设计理念为基础,依托快速迭代的技术、产品及服务占据市场份额,通过开源形成广泛协作的生态圈,从而完成规模化行业应用,构建未来的数据智能网络。
伴随强监管下的安全检查、风险评估要求,由第三方机构提供的以个人信息保护影响评估(PIA)工具及相关服务逐步被市场认可与接受,成为数据合规即服务的突破口。
随着科技发展、企业隐私保护理念逐步拓展,将安全前置,将数据合规贯穿于数据安全生命周期成为数据合规与治理的重要思路。目前部分企业及机构已经积极地推动隐私设计实践,与此同时,聚焦个人信息安全问题的隐私科技也融合了隐私设计理念。
Gartner数据显示,到2025年,50%在中国开展业务的大型跨国公司将设置专职的数据安全负责人,具备本地法律专业知识和语言技能,以满足中国市场相关的数据保护需求。越来越多的中小型企业将在数据安全合规人才引育方面增加支出,依托专业的培训服务,定期开展人才培训、意识教育以及相关资质认证。
报告指出,未来,超大规模云提供商将进一步提供可信的执行环境,帮助越来越多上云企业在云环境获得安全性和隐私性的保障,隐私计算等新型理念与技术进一步从学术研究项目过渡到商业解决方案,被积极应用于金融、电子政务和医疗保健领域。此同时,聚焦隐私科技中的关键技术,利益相关方需要合力制定多方安全计算、联邦学习、同态加密、差分隐私等技术应用标准,建立技术成熟度模型,进一步推动技术快速成熟与市场化。