導(dǎo)讀:如今,中國對數(shù)據(jù)安全的重視正提升至前所未有的高度。
9月1日起,中國第一部有關(guān)數(shù)據(jù)安全的專門法律《數(shù)據(jù)安全法》正式施行。
這部法律分別從監(jiān)管體系、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任等方面,對數(shù)據(jù)處理活動進(jìn)行規(guī)制,同時也明確建立了一個數(shù)據(jù)分類分級保護(hù)制度,建立健全數(shù)據(jù)交易管理制度、安全審查制度,對違法行為的處罰力度加大。
在此之前,數(shù)據(jù)的價值和安全性之間存在鴻溝,中間的矛盾愈演愈烈,例如一些互聯(lián)網(wǎng)企業(yè)利用數(shù)據(jù)權(quán)力對用戶實(shí)施“大數(shù)據(jù)殺熟”等,讓原本簡單的數(shù)據(jù)流通和應(yīng)用被濫用,數(shù)據(jù)本身的底層價值無法正確開發(fā),其安全性的保護(hù)和關(guān)注十分滯后。
如今,中國對數(shù)據(jù)安全的重視正提升至前所未有的高度。今年7月20日,最高人民法院發(fā)布的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》,規(guī)范人臉識別應(yīng)用的司法解釋,要求不得強(qiáng)制索取非必要個人信息,8月1日起實(shí)施;隨后在8月27日,中國公開發(fā)布起草的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定(征求意見稿)》,全面規(guī)范算法推薦,現(xiàn)向社會公開征求意見;加上此前已經(jīng)實(shí)施的《網(wǎng)絡(luò)安全法》、以及即將在11月1日實(shí)施的《個人信息保護(hù)法》,中國信息及數(shù)據(jù)安全領(lǐng)域的法律框架正全面構(gòu)筑。
與此同時,數(shù)據(jù)安全在技術(shù)上的進(jìn)步以及監(jiān)管層面的不斷完善,也在為隱私計算以及數(shù)據(jù)交易市場發(fā)展帶來新的商機(jī)與活力。
“《數(shù)據(jù)安全法》和《個人信息保護(hù)法》兩部‘硬法’對AI企業(yè)的影響非常大。一方面,新法要求企業(yè)遵循數(shù)據(jù)獲取的安全、可控,對個人信息要知情同意,拿到數(shù)據(jù)以后要合法正當(dāng)利用,要保證數(shù)據(jù)安全;另一方面也解決了數(shù)據(jù)黑產(chǎn)難題,讓違法事件有法可依。”中倫律師事務(wù)所合伙人陳際紅近日接受鈦媒體App等采訪時表示,在遵守法律前提下,技術(shù)和應(yīng)用也能夠帶來益處。比如隱私計算,數(shù)據(jù)流通的過程中一定會帶來隱私泄露問題,但是隱私計算實(shí)現(xiàn)數(shù)據(jù)可用不可見,這是企業(yè)遵循法律要求。
神州數(shù)碼云業(yè)務(wù)集團(tuán)數(shù)據(jù)平臺部總經(jīng)理趙瑞在接受鈦媒體App采訪時表示,之前在廣告投放或者精準(zhǔn)營銷領(lǐng)域里,會有一些企業(yè)走“擦邊球”,《數(shù)據(jù)安全法》的正式實(shí)施,規(guī)定了數(shù)據(jù)如何處理和交互,對行業(yè)發(fā)展有積極影響,全面保護(hù)了用戶的信息權(quán)益,同時讓下游企業(yè)客戶對包括數(shù)據(jù)保護(hù)CDP、隱私計算等數(shù)據(jù)流通新技術(shù)加以關(guān)注。
中國信通院紀(jì)委書記王曉麗近日則表示,數(shù)據(jù)要素的市場化配置尚處于探索階段,數(shù)據(jù)權(quán)屬界定還不明晰、數(shù)據(jù)安全風(fēng)險高、數(shù)據(jù)交易機(jī)制不完善等問題制約了數(shù)據(jù)的流通發(fā)展。而快速發(fā)展的隱私計算等數(shù)據(jù)流通新技術(shù),為產(chǎn)業(yè)“破局”提供了關(guān)鍵思路,正成為建設(shè)和完善數(shù)據(jù)要素市場的重要抓手,在一定程度上有助于解決數(shù)據(jù)權(quán)屬界定、數(shù)據(jù)安全風(fēng)險等問題,為培育數(shù)據(jù)要素市場提供了新的模式。
《數(shù)據(jù)安全法》到底在規(guī)制什么?
隨著全球數(shù)字經(jīng)濟(jì)的快速發(fā)展,在爆炸性的數(shù)據(jù)流通之中,數(shù)據(jù)已經(jīng)成為核心生產(chǎn)要素之一。2020年4月,國務(wù)院宣布,將數(shù)據(jù)列為第五大“生產(chǎn)要素”,與勞動力、技術(shù)、土地和資本并列為國家經(jīng)濟(jì)資源。而《數(shù)據(jù)安全法》提出,以數(shù)據(jù)分級分類為核心,搭建了數(shù)據(jù)安全的監(jiān)管制度。
在日前舉辦的一場研討會上,陳際紅表示,《數(shù)據(jù)安全法》和先前的《網(wǎng)絡(luò)安全法》,連同籌備中的《個人信息保護(hù)法》,共同構(gòu)成了中國在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面的法律“三駕馬車”,它們定位各有不同,內(nèi)容互有交叉,而《數(shù)據(jù)安全法》監(jiān)管對象,主要是數(shù)據(jù)處理活動。
具體來說,《數(shù)據(jù)安全法》對企業(yè)的數(shù)據(jù)處理活動,提出了五項(xiàng)監(jiān)管要求:
第一,符合基礎(chǔ)性的合規(guī)要求,包括建立企業(yè)數(shù)據(jù)安全管理制度,有相應(yīng)的基礎(chǔ)措施和管理措施;第二,對數(shù)據(jù)做分類分級保護(hù),需要企業(yè)做等級保護(hù)測評和備案;第三,進(jìn)行數(shù)據(jù)分級分類,企業(yè)要根據(jù)分類結(jié)果采取相應(yīng)的管理措施;第四,識別核心數(shù)據(jù)和處理數(shù)據(jù)出境問題,做好數(shù)據(jù)跨境流動監(jiān)管,比如年檢、年報審計;第五,管理數(shù)據(jù)交易中介,中介要審核雙方身份、流程交易記錄、制定審核清單等。
陳際紅指出,《數(shù)據(jù)安全法》對數(shù)據(jù)處理做了一系列的法律義務(wù),比如說一般性義務(wù)要有全流程的安全管理制度,從數(shù)據(jù)收集到數(shù)據(jù)刪除,有交易培訓(xùn),要履行等保的義務(wù);其次是風(fēng)險監(jiān)測的機(jī)制,發(fā)現(xiàn)風(fēng)險以后及時采取措施。以及數(shù)據(jù)的正當(dāng)利用,數(shù)據(jù)的獲取過程中要合法正當(dāng),不能采取竊取的方式。
如果企業(yè)在運(yùn)營中沒有符合相關(guān)法規(guī)要求,出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄漏問題,如今在《數(shù)據(jù)安全法》下,企業(yè)將受到一定的經(jīng)濟(jì)懲罰,處罰對象以機(jī)構(gòu)、企業(yè)為主,包括直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,企業(yè)的罰款額從百萬元至千萬元級別不等,個人的罰款額在數(shù)十萬元級別。此外,涉事企業(yè)還可能被停業(yè)整頓、吊銷營業(yè)執(zhí)照。如果違反了國家核心數(shù)據(jù)管理制度且構(gòu)成了犯罪,還將被依法追究刑事責(zé)任。
簡單來說,《數(shù)據(jù)安全法》明確了數(shù)據(jù)安全監(jiān)管的約談制度,但未明確主管部門的層級要求;明確了未履行數(shù)據(jù)安全保護(hù)義務(wù)的所屬企業(yè)組織、個人的法律責(zé)任;明確了違反《數(shù)據(jù)安全法》向境外提供重要數(shù)據(jù)的法律責(zé)任等,讓國家重視了“數(shù)據(jù)要素”作為新型生產(chǎn)要素對于經(jīng)濟(jì)生產(chǎn)發(fā)展的意義。
盡管《數(shù)據(jù)安全法》并非針對某一類特定企業(yè),但目前來看,信息化程度高、業(yè)務(wù)事關(guān)國計民生、涉及跨國經(jīng)營等特點(diǎn)的企業(yè),需要密切關(guān)注該法律的后續(xù)進(jìn)展,并尋求改進(jìn)合規(guī)措施的技術(shù)手段。比如電信、能源、電力等行業(yè)的企業(yè)。
對于一些過往的企業(yè)數(shù)據(jù)資產(chǎn)的合規(guī)性追溯,陳際紅指出,合規(guī)是一個過程,新法頒布第二天企業(yè)立即合規(guī),這也不太現(xiàn)實(shí)。如果對于不再用的歷史數(shù)據(jù),企業(yè)沒必要擔(dān)心,只要不泄露,就不會對主體帶來權(quán)益侵害;對于還要使用的數(shù)據(jù),則是需要授權(quán)的。
瑞萊智慧CEO田天則對鈦媒體App表示,作為人工智能(AI)企業(yè)來說,新的法律頒布及試行,對行業(yè)或企業(yè)來說,其實(shí)告訴大家哪些事情不可以做,反而也是告訴大家哪些規(guī)范下可以做。因此,作為AI企業(yè),要基于更加安全的隱私計算技術(shù)在上面去打造AI系統(tǒng),引入更多有價值的數(shù)據(jù)方。對于AI產(chǎn)業(yè)來說,新的法律相當(dāng)于是一個新的起跑線,在合規(guī)的情況下大家發(fā)展自己的技術(shù)實(shí)力,以及對場景的理解,不斷有新的發(fā)展機(jī)會。
中國信通院云計算與大數(shù)據(jù)研究所大數(shù)據(jù)部副主任閆樹則表示,中國數(shù)字經(jīng)濟(jì)受到《數(shù)字安全法》的沖擊,是一個必要的過程,因?yàn)楫a(chǎn)業(yè)發(fā)展模式本身存在一些問題,這樣的模式對企業(yè)發(fā)展有利,但觸犯了國家和個人的權(quán)益,因此需要一些合理的改變。
“隱私計算”技術(shù)產(chǎn)業(yè)悄然興起,科技巨頭追逐千億級市場
根據(jù)IDC報告顯示,2020年,全球創(chuàng)造了59.0ZB容量的數(shù)據(jù),其中50.4%的數(shù)據(jù)需要保護(hù)。同時,近四分之一的數(shù)據(jù)被認(rèn)為是私人的或通常不向公眾提供的數(shù)據(jù),安全級別很高,但卻缺乏保護(hù)。此外,與消費(fèi)者相比,企業(yè)要保護(hù)的數(shù)據(jù)更多,占需要保護(hù)數(shù)據(jù)總量的85.6%。
近幾年,數(shù)據(jù)安全事件明顯上升,根據(jù)公開報道,2020年全球數(shù)據(jù)泄露的平均損失成本為1145萬美元,2019 年數(shù)據(jù)泄露事件達(dá)到7098起,涉及151億條數(shù)據(jù)記錄,比2018年增幅284%,數(shù)據(jù)泄漏事件影響大、損失重。
那么,在《數(shù)據(jù)安全法》實(shí)施在即,如何讓企業(yè)做好合規(guī)建設(shè)?一些長期致力于數(shù)據(jù)安全策略與技術(shù)方案的企業(yè),也對產(chǎn)業(yè)提出了一系列應(yīng)對方案。
根據(jù)《數(shù)據(jù)安全法》第二章第十六條規(guī)定,國家支持?jǐn)?shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究,鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新,培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。
田天表示,企業(yè)可以借助技術(shù)的手段,實(shí)現(xiàn)價值與安全之間的彌合。對于數(shù)據(jù)的采集、加工、流通過程中的保護(hù)手段,正在形成一個供應(yīng)鏈,其中一項(xiàng)新興技術(shù)是隱私計算,這屬于促進(jìn)數(shù)據(jù)流通的關(guān)鍵技術(shù)。他介紹說,隱私計算可以通過改變數(shù)據(jù)交互與融合的模式和形態(tài),讓數(shù)據(jù)在流通過程中實(shí)現(xiàn)“可用不可見”,從而處于一個安全的環(huán)境之中。
田天強(qiáng)調(diào),隱私計算技術(shù)為應(yīng)對個人隱私保護(hù)、數(shù)據(jù)安全隱患、數(shù)據(jù)孤島等數(shù)據(jù)流通的關(guān)鍵難題提出了一種創(chuàng)新的解決思路,成為平衡數(shù)據(jù)利用與安全的重要途徑之一。
“隱私計算”一詞最初是在2016年發(fā)布的《隱私計算研究范疇及發(fā)展趨勢》正式提出的。
所謂隱私計算,是一種由兩個或多個參與方聯(lián)合計算的技術(shù)和系統(tǒng),參與方在不泄露各自數(shù)據(jù)的前提下通過協(xié)作對他們的數(shù)據(jù)進(jìn)行聯(lián)合機(jī)器學(xué)習(xí)和聯(lián)合分析。隱私計算的參與方既可以是同一機(jī)構(gòu)的不同部門,也可以是不同的機(jī)構(gòu)。
隱私計算本質(zhì)上是通過聯(lián)邦學(xué)習(xí)(FL)、多方安全計算(MPC)、可信執(zhí)行環(huán)境(TEE)等技術(shù)路線體系,在保護(hù)數(shù)據(jù)隱私的前提下,解決數(shù)據(jù)流通、數(shù)據(jù)應(yīng)用等數(shù)據(jù)服務(wù)問題,實(shí)現(xiàn)不共享數(shù)據(jù)而是共享數(shù)據(jù)價值,對數(shù)據(jù)進(jìn)行安全保護(hù)與脫敏。
來源:畢馬威發(fā)布的《隱私計算行業(yè)研究報告》
自20世紀(jì)70年代發(fā)展至今,隱私計算已經(jīng)在金融、醫(yī)療、政務(wù)等多個場景應(yīng)用落地,取得了良好效果,從業(yè)機(jī)構(gòu)也因此受到了資本的不斷熱摔,成為近期的一個熱投資賽道。
據(jù)KPMG畢馬威、微眾銀行等機(jī)構(gòu)聯(lián)合發(fā)布的《2021年隱私計算行業(yè)研究報告》顯示,預(yù)計到2024年,隱私計算受到大數(shù)據(jù)融合應(yīng)用和隱私保護(hù)的雙重需求驅(qū)動,相關(guān)技術(shù)服務(wù)營收有望觸達(dá)100-200億人民幣的空間,甚至將撬動千億級的數(shù)據(jù)平臺運(yùn)營收入空間。
值得注意的是,全球多家科技巨頭如微軟、谷歌、英特爾、IBM、Facebook等均已在“隱私計算”技術(shù)賽道布局。
微軟從2011年開始深入研究多方安全計算;谷歌則在全球率先提出聯(lián)邦學(xué)習(xí)概念;英特爾(Intel)正逐步打造可信執(zhí)行環(huán)境實(shí)現(xiàn)方案的底座;IBM則將同態(tài)加密與云服務(wù)結(jié)合,幫助用戶數(shù)據(jù)安全上云;Facebook則是專攻基于隱私計算的機(jī)器學(xué)習(xí)。
而在中國,騰訊云曾推出云安全隱私計算(CSPC)平臺,幫助某銀行將反欺詐模型的KS提升30%以上,每年阻止數(shù)億資金的風(fēng)險貸款申請。另一家AI初創(chuàng)公司“瑞萊智慧RealAI”則通過RealSecure隱私保護(hù)計算平臺,憑借自主研發(fā)的編譯器引擎,相比傳統(tǒng)人工編譯模式,系統(tǒng)整體運(yùn)行速度可提升20~40倍,同時模型效果也有較大提升,為某銀行構(gòu)建的反欺詐模型AUC可以達(dá)到80%以上,KS達(dá)到50%以上,解決多家機(jī)構(gòu)數(shù)據(jù)合作過程中存在的數(shù)據(jù)孤島和隱私泄漏等問題。
趙瑞指出,個人信息數(shù)據(jù)需要被脫敏隱藏,有很多專業(yè)做隱私計算的中間商可以提供專業(yè)服務(wù),數(shù)據(jù)分析服務(wù)商也在加強(qiáng)數(shù)據(jù)安全的能力。據(jù)悉,神州數(shù)碼云業(yè)務(wù)自研的Bluenic 2.0客戶數(shù)據(jù)平臺,已將個人隱私數(shù)據(jù)保護(hù)納入到CDP平臺運(yùn)營中,通過多種數(shù)據(jù)源的對接和打通,實(shí)現(xiàn)數(shù)據(jù)合并分析,并進(jìn)行數(shù)據(jù)脫敏,進(jìn)而完成跨渠道客戶ID唯一化和標(biāo)簽化,幫助企業(yè)在保證數(shù)據(jù)安全的前提下,架設(shè)多媒體營銷通路,制定靈活的廣告營銷策略,有效助力企業(yè)提升獲客率和客戶粘性。
閆樹表示,谷歌、英特爾等企業(yè)開創(chuàng)了隱私計算產(chǎn)業(yè)的潮流,目前,國外企業(yè)在學(xué)術(shù)研究和開源生態(tài)上也比較活躍,國內(nèi)隱私計算技術(shù)也正在逐步走向成熟,一些產(chǎn)品在特定場景下已基本具備可用性。
現(xiàn)階段,中國多個地方政府正在積極規(guī)劃和實(shí)施技術(shù)攻關(guān),并把隱私計算作為重點(diǎn),比如應(yīng)用在數(shù)據(jù)流通和共享的交易所,或者賦能數(shù)字政府和數(shù)字社會等,通過技術(shù)、政策和市場的不斷發(fā)育,為國內(nèi)的數(shù)據(jù)交易市場打開了新的大門。
不過,隱私計算目前還無法解決數(shù)據(jù)流通之前和之后的權(quán)屬問題和應(yīng)用上的問題,未來還面臨包括高通量數(shù)據(jù)、復(fù)雜場景、技術(shù)性能等諸多難點(diǎn)和挑戰(zhàn)。
田天認(rèn)為,隱私計算和上層應(yīng)用密不可分,不能切割開來。如果將兩者割裂開來,會帶來很多新比如算法歧視等安全問題。或者,由于開發(fā)人員并不清楚具體處理的數(shù)據(jù)是什么,所以即使數(shù)據(jù)受到故意干擾,被黑客投入“臟數(shù)據(jù)”“毒數(shù)據(jù)”,也無從獲知,這就導(dǎo)致“數(shù)據(jù)投毒”的風(fēng)險存在。
中國信通院在《隱私計算白皮書》中指出,隱私計算產(chǎn)品與其他的數(shù)據(jù)處理產(chǎn)品不同,其本身肩負(fù)著保護(hù)隱私數(shù)據(jù)安全的重要功能,目前隱私計算的合規(guī)紅線仍不明確,因此,技術(shù)服務(wù)廠商與產(chǎn)品使用者都應(yīng)當(dāng)謹(jǐn)慎對待隱私計算產(chǎn)品的安全性挑戰(zhàn),比如算法協(xié)議尚無法實(shí)現(xiàn)絕對安全、安全性共識有待形成等,從而探索平衡合規(guī)、效率和可用性要求的合規(guī)實(shí)踐路徑。
“對內(nèi)互聯(lián)互通,對外交叉融合,最終是打造數(shù)據(jù)流通的基礎(chǔ)設(shè)施,破除產(chǎn)品壁壘。但現(xiàn)在產(chǎn)業(yè)發(fā)展過早,這個互聯(lián)互通的時機(jī)要選擇好,不能過早也不能過晚,既不能在產(chǎn)業(yè)沒有發(fā)展起來的時候增加廠商成本,也不能在格局已定的時候進(jìn)行大規(guī)模改造,所以我們認(rèn)為,接下來一兩年是互聯(lián)互通重要的發(fā)展節(jié)點(diǎn)。”閆樹對鈦媒體App表示。
閆樹強(qiáng)調(diào),如今隨著AI產(chǎn)業(yè)大力發(fā)展,隱私計算+云+大數(shù)據(jù)架構(gòu)逐漸形成,僅僅依靠隱私計算還不夠,依然需要更多的基礎(chǔ)科學(xué)技術(shù)來實(shí)現(xiàn)新一代信息技術(shù)總體的價值釋放。