近年来，全球掀起个人信息与隐私的立法热潮。欧盟2018实施GDPR，美国2020年实施CCPA，两部法规均对企业处理用户的数据提出更严、更具体的约束和要求；最近十月份，我国对外公布《个人信息保护法（草案）》，它全面和具体地规定了企业保护个人信息安全的各项义务,同时指出违反法规最高可面临5000万或一年度营业额5%的巨额罚款。
　　据Gartner预测，到2023年年底，全球超过80%的企业将面临至少一项隐私数据保护的法规（跨国企业面临多个国家或地区的多项隐私法规）。在法规监管不断强化的背景下，企业不得不重新审视数据安全与合规性的重要性与急迫性。与此同时，数据安全技术近年来发展十分迅速，创新技术不断涌现。本文将从国内外隐私合规视角切入，对数据安全技术进行梳理和总结，并对国内外数据安全技术发展趋势进行洞察和分析。
　　监管不断强化的国内外隐私法规
　　2018年 5月25日，欧盟正式实施《通用数据保护条例》（General Data Protection Regulation，GDPR）[1]，取代了1995年起施行的《数据保护指令》。GDPR不仅保护欧盟境内的个人数据，以及境外的欧盟公民的个人数据（域外管辖权）。GDPR赋予数据主体（用户）更多的数据控制权：不仅包括原有法规的知情权、访问权、修改权等，同时增加“被遗忘权”和“可携带权”两项“特权”。被遗忘权，在一些注销账户、或者超过时间期限等场景中，用户可以行使该项权利——数据控制者（企业）收到权利请求后，允许删除与自己相关的个人数据，同时需要通知合作的第三方也删除相关的个人数据；可携带权，用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处，数据控制者需要配合完成该过程。同时，GDPR规定企业保护数据需采取假名化、加密以及其他技术措施，数据泄露采取快速响应机制等等。此外，违法的代价是高昂的——最高罚款额度在2000万欧元或公司全球营业额的4%。从2018年执法到现在，多数成员国已经陆续开出多张的罚单。非常具代表性的一家大型国际互联网公司——Google在隐私保护方面已经做了不少工作，然而Google却陆续被欧盟的两个国家罚款：2019年1月份被法国处罚5000万欧元，原因是执法方认为Google产品的隐私条款未充分体现GDPR公开透明和清晰原则；2020年3月被瑞典处罚700万欧元，原因是Google未能充分履行GDPR赋予用户的数据“遗忘权”。
　　受GDPR立法的影响，全球其他国家也陆续推出了相关的隐私法规。具有代表性的是美国2018年6月通过的《加州消费者隐私法案》（California Consumer Privacy Act，CCPA），由于影响涉及大部分知名IT科技公司，如惠普、Oracle、Apple、Google和Facebook等，该方案从立法到颁布备受各界人士的关注。该法规同样赋予了消费者多种数据权利，同时对企业提出更严的标准与要求。另外，巴西于2019年7月通过《通用数据保护法》（LGPD）的最终版本；印度在2018年12月公布修改后的《2019年个人数据保护法（草案）》（Personal Data Protection Bill, 2019）；泰国于2020年5月正式实施《个人数据保护法》（Personal Data Protection Act）等。
　　2020年10月21日，我国《个人信息保护法（草案）》在人大网正式对外公布[2]。作为一部全面保护个人信息安全的综合性法律，具有重要的意义。该法律保护我国境内公民的各项个人信息权益，同时赋予个人信息主体各项数据权利，包括知情权、决定权、查询权、更正权、删除权等；同时明确了个人信息处理者（企业）的合规管理和保障个人信息安全等义务，并指出保障个人信息安全采取分级分类、加密、去标识化等措施。此外，对违法的行为提出更高的处罚力度，违反法规最高面临5000万元人民币或一年度营业额5%的巨额罚款，同时可以责令暂停相关业务、停业整顿、吊销营业许可或营业执照等严厉的行政处罚。这些处罚给企业的个人信息违规违法行为形成强大的威慑力。值得关注的是，在该草案公布临近几天，金融领域执法重拳出击：央行对3家银行的6家分支机构由于侵害消费者个人信息等违规行为开出百万、千万级大额罚单，并对相关责任人予以警告并处以罚款[3]。可见，企业应足够重视个人信息安全与数据隐私合规性问题，并落实相关举措。
　　从对企业的影响来看，对欧盟GDPR和国内的《个人信息保护法（草案）》以下的一些合规性热点进行解读：
　　个人数据/个人信息的识别与分类
　　GDPR保护的数据对象是 “个人数据”。其定义是“关于一个已识别或者可能识别的自然人（即数据主体）的任何信息”，“个人数据”范畴边界十分宽泛，涵盖信息十分丰富，不仅包括传统意义的姓名、年龄、性别这些基本的个人信息，还包括一些特殊的数据也被归并为“个人数据”，比如生物识别数据——指纹、虹膜、DNA数据等；再比如IP地址码, MAC地址码，Cookie信息等，这些信息以往被认为是网络设备信息或网络行为信息，GDPR将其归类到“个人数据”。《个人信息保护法（草案）》的“个人信息”，虽然与GDPR的“个人数据”叫法不同，但实际上概念趋向一致，界定标准也几乎完全类似—— “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，同样采取“识别说”为基础，拓宽了个人信息的范畴。企业为了满足合规，必须拥有强大的敏感数据识别能力，能发现各种个人相关的信息以及敏感数据子类别，同样具有分类能力，比如对个人信息主体按照国家归属地进行分类，按照不同儿童和成年人的年龄范围进行分类，以及敏感度分类等。
　　个人数据/个人信息保护的技术措施
　　GDPR明确指出保护过程可采取加密或假名化两种措施：加密可保障数据存储和传输过程的安全性，降低数据被非法窃取和泄露的风险；而假名化是GDPR推荐一种“无损的”数据脱敏方式，它对个人数据的标识符信息（比如姓名、身份证号）通过哈希等手段重新命名，同时将真实的标识符-“重命名”映射表与假名化后的个人数据分开存储，以降低隐私泄露风险，同时保证个人数据的完整性。《个人信息保护法（草案）》明确指出可应用加密或去标识化安全技术措施，其中去标识化相比GDPR假名化更为宽泛，去标识化在企业通常称为“数据脱敏”，不仅包括假名化、还包括数据屏蔽、数据泛化、量化、置换等处理方式。这些意味着企业在存储、处理这些个人数据，需采取数据层面的保护措施进行安全防护。
　　数据权利请求与响应机制
　　GDPR赋予用户个人数据的知情权、访问权、修改权、遗忘权等各项数据权利，相应地，企业必须响应用户的数据权利请求，比如用户行使“遗忘权”时，企业必须提供删除数据的界面与入口，并执行相关处理操作与流程，以及对用户输出响应报告。且GDPR明确规定企业处理一般请求的响应时间是一个月，复杂请求的响应时间可延长至两个月。《个人信息保护法（草案）》首次全面赋予个人信息主体各项数据权利，包括知情权、决定权、查询权、更正权、删除权等，同时明确指出企业应当建立个人行使权力的申请受理和处理机制。对于响应时间，该草案未明确指出，但《个人信息安全规范》（GB/T 35273-2020）提出响应的时间是30天内（差不多是1个月）。这些促使企业必须建立个人信息请求运营机制，并需要使用流程自动化处理方式。
　　合规驱动下的数据安全技术盘点
　　Gartner今年7月份将数据安全（Data Security）与隐私（Privacy）作为安全的两个细分领域，分别发布了2020年数据安全成熟度曲线[5]、2020年隐私成熟度曲线[6]，后者与隐私合规性紧密相关。实际上，隐私包含数据安全领域大部分的技术栈，同时也包含新型技术，比如主体权利请求（Subject Rights Request, SRR）、同意与偏好管理（Consent and Preference Management, CPM）等（一般地，国内习惯将隐私并入到数据安全的范畴，将相关技术都统称数据安全技术，本文沿用这种叫法）。
　　Gartner发布的2020年隐私成熟度曲线，涵盖了35种数据安全相关技术，种类丰富且繁杂，分别处在创新触发期、期望顶峰期、幻想破灭期、稳步爬升期和生产成熟期五个阶段。其中超过70%技术处在稳步爬升期，说明该领域创新技术活跃，有巨大的发展空间，具体如表1所示。
　　从作用和应用场景角度看，笔者认为35种数据安全技术可分为五大类：
　　数据安全治理相关
　　包含多种数据技术组合，以及融合非技术的组织管理措施。比如数据安全治理（Data Security Governance ，DSG）、隐私影响评估（Privacy Impact Assessment, PIA）、数据泄露响应、数字道德、隐私设计（Privacy by design, PbD）和IT风险管理方案。
　　敏感数据全生命周期的安全防护
　　包括数据分类、文件分析（针对非结构化敏感数据的识别）、动态脱敏（DDM）、保留格式加密（FPE）和数据销毁（Data sanitization）。
　　用户隐私权响应与评估合规
　　包括主体权利请求（SRR）、同意与偏好管理（CPM），可以自动化处理和响应用户提出的数据访问权和删除权等各项权利，以及隐私设计（Privacy by design, PbD），用于在产品设计时考虑隐私合规与可用性问题等。
　　隐私增强计算类技术
　　包括差分隐私（DP）、安全多方计算（SMPC）、同态加密（HE）、零知识证明和机密计算（包括TEE）等技术。