9月1日起,中國第一部有關(guān)數(shù)據(jù)安全的專門法律《數(shù)據(jù)安全法》正式施行��。
這部法律分別從監(jiān)管體系�、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度�、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放���、法律責(zé)任等方面,對數(shù)據(jù)處理活動進行規(guī)制�����,同時也明確建立了一個數(shù)據(jù)分類分級保護制度�����,建立健全數(shù)據(jù)交易管理制度��、安全審查制度����,對違法行為的處罰力度加大。
在此之前����,數(shù)據(jù)的價值和安全性之間存在鴻溝,中間的矛盾愈演愈烈�����,例如一些互聯(lián)網(wǎng)企業(yè)利用數(shù)據(jù)權(quán)力對用戶實施“大數(shù)據(jù)殺熟”等,讓原本簡單的數(shù)據(jù)流通和應(yīng)用被濫用�,數(shù)據(jù)本身的底層價值無法正確開發(fā),其安全性的保護和關(guān)注十分滯后�����。
如今���,中國對數(shù)據(jù)安全的重視正提升至前所未有的高度�����。今年7月20日�����,最高人民法院發(fā)布的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》�����,規(guī)范人臉識別應(yīng)用的司法解釋��,要求不得強制索取非必要個人信息��,8月1日起實施;隨后在8月27日�����,中國公開發(fā)布起草的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定(征求意見稿)》��,全面規(guī)范算法推薦����,現(xiàn)向社會公開征求意見;加上此前已經(jīng)實施的《網(wǎng)絡(luò)安全法》��、以及即將在11月1日實施的《個人信息保護法》��,中國信息及數(shù)據(jù)安全領(lǐng)域的法律框架正全面構(gòu)筑�。
與此同時,數(shù)據(jù)安全在技術(shù)上的進步以及監(jiān)管層面的不斷完善����,也在為隱私計算以及數(shù)據(jù)交易市場發(fā)展帶來新的商機與活力。
“《數(shù)據(jù)安全法》和《個人信息保護法》兩部‘硬法’對AI企業(yè)的影響非常大�����。一方面�,新法要求企業(yè)遵循數(shù)據(jù)獲取的安全�����、可控�����,對個人信息要知情同意���,拿到數(shù)據(jù)以后要合法正當(dāng)利用,要保證數(shù)據(jù)安全;另一方面也解決了數(shù)據(jù)黑產(chǎn)難題���,讓違法事件有法可依���。”中倫律師事務(wù)所合伙人陳際紅近日接受鈦媒體App等采訪時表示����,在遵守法律前提下,技術(shù)和應(yīng)用也能夠帶來益處�。比如隱私計算,數(shù)據(jù)流通的過程中一定會帶來隱私泄露問題����,但是隱私計算實現(xiàn)數(shù)據(jù)可用不可見�����,這是企業(yè)遵循法律要求�。
神州數(shù)碼云業(yè)務(wù)集團數(shù)據(jù)平臺部總經(jīng)理趙瑞在接受鈦媒體App采訪時表示�����,之前在廣告投放或者精準營銷領(lǐng)域里���,會有一些企業(yè)走“擦邊球”,《數(shù)據(jù)安全法》的正式實施��,規(guī)定了數(shù)據(jù)如何處理和交互����,對行業(yè)發(fā)展有積極影響,全面保護了用戶的信息權(quán)益�,同時讓下游企業(yè)客戶對包括數(shù)據(jù)保護CDP、隱私計算等數(shù)據(jù)流通新技術(shù)加以關(guān)注�����。
中國信通院紀委書記王曉麗近日則表示��,數(shù)據(jù)要素的市場化配置尚處于探索階段,數(shù)據(jù)權(quán)屬界定還不明晰���、數(shù)據(jù)安全風(fēng)險高�、數(shù)據(jù)交易機制不完善等問題制約了數(shù)據(jù)的流通發(fā)展�����。而快速發(fā)展的隱私計算等數(shù)據(jù)流通新技術(shù)���,為產(chǎn)業(yè)“破局”提供了關(guān)鍵思路��,正成為建設(shè)和完善數(shù)據(jù)要素市場的重要抓手����,在一定程度上有助于解決數(shù)據(jù)權(quán)屬界定����、數(shù)據(jù)安全風(fēng)險等問題,為培育數(shù)據(jù)要素市場提供了新的模式��。
《數(shù)據(jù)安全法》到底在規(guī)制什么?
隨著全球數(shù)字經(jīng)濟的快速發(fā)展�,在爆炸性的數(shù)據(jù)流通之中,數(shù)據(jù)已經(jīng)成為核心生產(chǎn)要素之一��。2020年4月,國務(wù)院宣布�,將數(shù)據(jù)列為第五大“生產(chǎn)要素”,與勞動力�����、技術(shù)�����、土地和資本并列為國家經(jīng)濟資源���。而《數(shù)據(jù)安全法》提出�,以數(shù)據(jù)分級分類為核心���,搭建了數(shù)據(jù)安全的監(jiān)管制度。
在日前舉辦的一場研討會上�,陳際紅表示,《數(shù)據(jù)安全法》和先前的《網(wǎng)絡(luò)安全法》�,連同籌備中的《個人信息保護法》,共同構(gòu)成了中國在網(wǎng)絡(luò)安全和數(shù)據(jù)保護方面的法律“三駕馬車”����,它們定位各有不同��,內(nèi)容互有交叉�����,而《數(shù)據(jù)安全法》監(jiān)管對象����,主要是數(shù)據(jù)處理活動�。
具體來說,《數(shù)據(jù)安全法》對企業(yè)的數(shù)據(jù)處理活動����,提出了五項監(jiān)管要求:
第一,符合基礎(chǔ)性的合規(guī)要求�����,包括建立企業(yè)數(shù)據(jù)安全管理制度����,有相應(yīng)的基礎(chǔ)措施和管理措施;第二,對數(shù)據(jù)做分類分級保護��,需要企業(yè)做等級保護測評和備案;第三,進行數(shù)據(jù)分級分類���,企業(yè)要根據(jù)分類結(jié)果采取相應(yīng)的管理措施;第四�,識別核心數(shù)據(jù)和處理數(shù)據(jù)出境問題�����,做好數(shù)據(jù)跨境流動監(jiān)管��,比如年檢��、年報審計;第五�����,管理數(shù)據(jù)交易中介�����,中介要審核雙方身份���、流程交易記錄、制定審核清單等���。
陳際紅指出���,《數(shù)據(jù)安全法》對數(shù)據(jù)處理做了一系列的法律義務(wù)��,比如說一般性義務(wù)要有全流程的安全管理制度���,從數(shù)據(jù)收集到數(shù)據(jù)刪除,有交易培訓(xùn)����,要履行等保的義務(wù);其次是風(fēng)險監(jiān)測的機制,發(fā)現(xiàn)風(fēng)險以后及時采取措施�����。以及數(shù)據(jù)的正當(dāng)利用�,數(shù)據(jù)的獲取過程中要合法正當(dāng),不能采取竊取的方式�。
如果企業(yè)在運營中沒有符合相關(guān)法規(guī)要求,出現(xiàn)了嚴重的數(shù)據(jù)泄漏問題��,如今在《數(shù)據(jù)安全法》下����,企業(yè)將受到一定的經(jīng)濟懲罰,處罰對象以機構(gòu)、企業(yè)為主�,包括直接負責(zé)的主管人員和其他直接責(zé)任人員,企業(yè)的罰款額從百萬元至千萬元級別不等�,個人的罰款額在數(shù)十萬元級別。此外�����,涉事企業(yè)還可能被停業(yè)整頓�����、吊銷營業(yè)執(zhí)照��。如果違反了國家核心數(shù)據(jù)管理制度且構(gòu)成了犯罪��,還將被依法追究刑事責(zé)任���。
簡單來說�,《數(shù)據(jù)安全法》明確了數(shù)據(jù)安全監(jiān)管的約談制度���,但未明確主管部門的層級要求;明確了未履行數(shù)據(jù)安全保護義務(wù)的所屬企業(yè)組織����、個人的法律責(zé)任;明確了違反《數(shù)據(jù)安全法》向境外提供重要數(shù)據(jù)的法律責(zé)任等�,讓國家重視了“數(shù)據(jù)要素”作為新型生產(chǎn)要素對于經(jīng)濟生產(chǎn)發(fā)展的意義。
盡管《數(shù)據(jù)安全法》并非針對某一類特定企業(yè)��,但目前來看�,信息化程度高、業(yè)務(wù)事關(guān)國計民生��、涉及跨國經(jīng)營等特點的企業(yè)�,需要密切關(guān)注該法律的后續(xù)進展,并尋求改進合規(guī)措施的技術(shù)手段���。比如電信�����、能源�、電力等行業(yè)的企業(yè)�����。
對于一些過往的企業(yè)數(shù)據(jù)資產(chǎn)的合規(guī)性追溯���,陳際紅指出�����,合規(guī)是一個過程��,新法頒布第二天企業(yè)立即合規(guī)���,這也不太現(xiàn)實�����。如果對于不再用的歷史數(shù)據(jù)�,企業(yè)沒必要擔(dān)心��,只要不泄露�����,就不會對主體帶來權(quán)益侵害;對于還要使用的數(shù)據(jù)��,則是需要授權(quán)的�。
瑞萊智慧CEO田天則對鈦媒體App表示,作為人工智能(AI)企業(yè)來說����,新的法律頒布及試行����,對行業(yè)或企業(yè)來說����,其實告訴大家哪些事情不可以做��,反而也是告訴大家哪些規(guī)范下可以做���。因此��,作為AI企業(yè)����,要基于更加安全的隱私計算技術(shù)在上面去打造AI系統(tǒng)���,引入更多有價值的數(shù)據(jù)方��。對于AI產(chǎn)業(yè)來說�����,新的法律相當(dāng)于是一個新的起跑線�����,在合規(guī)的情況下大家發(fā)展自己的技術(shù)實力�����,以及對場景的理解���,不斷有新的發(fā)展機會�����。
中國信通院云計算與大數(shù)據(jù)研究所大數(shù)據(jù)部副主任閆樹則表示����,中國數(shù)字經(jīng)濟受到《數(shù)字安全法》的沖擊�,是一個必要的過程,因為產(chǎn)業(yè)發(fā)展模式本身存在一些問題�,這樣的模式對企業(yè)發(fā)展有利,但觸犯了國家和個人的權(quán)益���,因此需要一些合理的改變���。
“隱私計算”技術(shù)產(chǎn)業(yè)悄然興起�����,科技巨頭追逐千億級市場
根據(jù)IDC報告顯示����,2020年����,全球創(chuàng)造了59.0ZB容量的數(shù)據(jù)��,其中50.4%的數(shù)據(jù)需要保護�����。同時��,近四分之一的數(shù)據(jù)被認為是私人的或通常不向公眾提供的數(shù)據(jù)���,安全級別很高�,但卻缺乏保護�。此外,與消費者相比�,企業(yè)要保護的數(shù)據(jù)更多���,占需要保護數(shù)據(jù)總量的85.6%。
近幾年�����,數(shù)據(jù)安全事件明顯上升���,根據(jù)公開報道�,2020年全球數(shù)據(jù)泄露的平均損失成本為1145萬美元����,2019 年數(shù)據(jù)泄露事件達到7098起,涉及151億條數(shù)據(jù)記錄����,比2018年增幅284%,數(shù)據(jù)泄漏事件影響大��、損失重���。
那么�����,在《數(shù)據(jù)安全法》實施在即�����,如何讓企業(yè)做好合規(guī)建設(shè)?一些長期致力于數(shù)據(jù)安全策略與技術(shù)方案的企業(yè)��,也對產(chǎn)業(yè)提出了一系列應(yīng)對方案��。
根據(jù)《數(shù)據(jù)安全法》第二章第十六條規(guī)定����,國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究���,鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新����,培育����、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系���。
田天表示���,企業(yè)可以借助技術(shù)的手段�,實現(xiàn)價值與安全之間的彌合�����。對于數(shù)據(jù)的采集��、加工���、流通過程中的保護手段���,正在形成一個供應(yīng)鏈,其中一項新興技術(shù)是隱私計算����,這屬于促進數(shù)據(jù)流通的關(guān)鍵技術(shù)。他介紹說�,隱私計算可以通過改變數(shù)據(jù)交互與融合的模式和形態(tài),讓數(shù)據(jù)在流通過程中實現(xiàn)“可用不可見”��,從而處于一個安全的環(huán)境之中��。
田天強調(diào),隱私計算技術(shù)為應(yīng)對個人隱私保護�、數(shù)據(jù)安全隱患、數(shù)據(jù)孤島等數(shù)據(jù)流通的關(guān)鍵難題提出了一種創(chuàng)新的解決思路���,成為平衡數(shù)據(jù)利用與安全的重要途徑之一�。
“隱私計算”一詞最初是在2016年發(fā)布的《隱私計算研究范疇及發(fā)展趨勢》正式提出的���。
所謂隱私計算���,是一種由兩個或多個參與方聯(lián)合計算的技術(shù)和系統(tǒng),參與方在不泄露各自數(shù)據(jù)的前提下通過協(xié)作對他們的數(shù)據(jù)進行聯(lián)合機器學(xué)習(xí)和聯(lián)合分析��。隱私計算的參與方既可以是同一機構(gòu)的不同部門�����,也可以是不同的機構(gòu)����。
隱私計算本質(zhì)上是通過聯(lián)邦學(xué)習(xí)(FL)���、多方安全計算(MPC)�����、可信執(zhí)行環(huán)境(TEE)等技術(shù)路線體系�����,在保護數(shù)據(jù)隱私的前提下�����,解決數(shù)據(jù)流通���、數(shù)據(jù)應(yīng)用等數(shù)據(jù)服務(wù)問題�����,實現(xiàn)不共享數(shù)據(jù)而是共享數(shù)據(jù)價值���,對數(shù)據(jù)進行安全保護與脫敏。
來源:畢馬威發(fā)布的《隱私計算行業(yè)研究報告》
自20世紀70年代發(fā)展至今�,隱私計算已經(jīng)在金融、醫(yī)療�����、政務(wù)等多個場景應(yīng)用落地,取得了良好效果��,從業(yè)機構(gòu)也因此受到了資本的不斷熱摔��,成為近期的一個熱投資賽道��。
據(jù)KPMG畢馬威�、微眾銀行等機構(gòu)聯(lián)合發(fā)布的《2021年隱私計算行業(yè)研究報告》顯示,預(yù)計到2024年���,隱私計算受到大數(shù)據(jù)融合應(yīng)用和隱私保護的雙重需求驅(qū)動��,相關(guān)技術(shù)服務(wù)營收有望觸達100-200億人民幣的空間�����,甚至將撬動千億級的數(shù)據(jù)平臺運營收入空間�����。
值得注意的是��,全球多家科技巨頭如微軟、谷歌����、英特爾���、IBM、Facebook等均已在“隱私計算”技術(shù)賽道布局�����。
微軟從2011年開始深入研究多方安全計算;谷歌則在全球率先提出聯(lián)邦學(xué)習(xí)概念;英特爾(Intel)正逐步打造可信執(zhí)行環(huán)境實現(xiàn)方案的底座;IBM則將同態(tài)加密與云服務(wù)結(jié)合��,幫助用戶數(shù)據(jù)安全上云;Facebook則是專攻基于隱私計算的機器學(xué)習(xí)��。
而在中國�����,騰訊云曾推出云安全隱私計算(CSPC)平臺��,幫助某銀行將反欺詐模型的KS提升30%以上����,每年阻止數(shù)億資金的風(fēng)險貸款申請。另一家AI初創(chuàng)公司“瑞萊智慧RealAI”則通過RealSecure隱私保護計算平臺���,憑借自主研發(fā)的編譯器引擎���,相比傳統(tǒng)人工編譯模式����,系統(tǒng)整體運行速度可提升20~40倍���,同時模型效果也有較大提升�,為某銀行構(gòu)建的反欺詐模型AUC可以達到80%以上����,KS達到50%以上,解決多家機構(gòu)數(shù)據(jù)合作過程中存在的數(shù)據(jù)孤島和隱私泄漏等問題�。
趙瑞指出,個人信息數(shù)據(jù)需要被脫敏隱藏�����,有很多專業(yè)做隱私計算的中間商可以提供專業(yè)服務(wù)��,數(shù)據(jù)分析服務(wù)商也在加強數(shù)據(jù)安全的能力�����。據(jù)悉����,神州數(shù)碼云業(yè)務(wù)自研的Bluenic 2.0客戶數(shù)據(jù)平臺,已將個人隱私數(shù)據(jù)保護納入到CDP平臺運營中�,通過多種數(shù)據(jù)源的對接和打通,實現(xiàn)數(shù)據(jù)合并分析����,并進行數(shù)據(jù)脫敏,進而完成跨渠道客戶ID唯一化和標簽化����,幫助企業(yè)在保證數(shù)據(jù)安全的前提下,架設(shè)多媒體營銷通路�����,制定靈活的廣告營銷策略�,有效助力企業(yè)提升獲客率和客戶粘性。
閆樹表示����,谷歌、英特爾等企業(yè)開創(chuàng)了隱私計算產(chǎn)業(yè)的潮流����,目前�����,國外企業(yè)在學(xué)術(shù)研究和開源生態(tài)上也比較活躍��,國內(nèi)隱私計算技術(shù)也正在逐步走向成熟����,一些產(chǎn)品在特定場景下已基本具備可用性�。
現(xiàn)階段,中國多個地方政府正在積極規(guī)劃和實施技術(shù)攻關(guān)���,并把隱私計算作為重點����,比如應(yīng)用在數(shù)據(jù)流通和共享的交易所��,或者賦能數(shù)字政府和數(shù)字社會等���,通過技術(shù)��、政策和市場的不斷發(fā)育�,為國內(nèi)的數(shù)據(jù)交易市場打開了新的大門。
不過�,隱私計算目前還無法解決數(shù)據(jù)流通之前和之后的權(quán)屬問題和應(yīng)用上的問題,未來還面臨包括高通量數(shù)據(jù)�、復(fù)雜場景、技術(shù)性能等諸多難點和挑戰(zhàn)�����。
田天認為�,隱私計算和上層應(yīng)用密不可分����,不能切割開來。如果將兩者割裂開來��,會帶來很多新比如算法歧視等安全問題����。或者�����,由于開發(fā)人員并不清楚具體處理的數(shù)據(jù)是什么��,所以即使數(shù)據(jù)受到故意干擾,被黑客投入“臟數(shù)據(jù)”“毒數(shù)據(jù)”�����,也無從獲知�,這就導(dǎo)致“數(shù)據(jù)投毒”的風(fēng)險存在。
中國信通院在《隱私計算白皮書》中指出�����,隱私計算產(chǎn)品與其他的數(shù)據(jù)處理產(chǎn)品不同�,其本身肩負著保護隱私數(shù)據(jù)安全的重要功能,目前隱私計算的合規(guī)紅線仍不明確�����,因此�,技術(shù)服務(wù)廠商與產(chǎn)品使用者都應(yīng)當(dāng)謹慎對待隱私計算產(chǎn)品的安全性挑戰(zhàn),比如算法協(xié)議尚無法實現(xiàn)絕對安全�、安全性共識有待形成等,從而探索平衡合規(guī)����、效率和可用性要求的合規(guī)實踐路徑。
“對內(nèi)互聯(lián)互通��,對外交叉融合,最終是打造數(shù)據(jù)流通的基礎(chǔ)設(shè)施�,破除產(chǎn)品壁壘。但現(xiàn)在產(chǎn)業(yè)發(fā)展過早���,這個互聯(lián)互通的時機要選擇好�����,不能過早也不能過晚��,既不能在產(chǎn)業(yè)沒有發(fā)展起來的時候增加廠商成本,也不能在格局已定的時候進行大規(guī)模改造��,所以我們認為��,接下來一兩年是互聯(lián)互通重要的發(fā)展節(jié)點�。”閆樹對鈦媒體App表示����。
閆樹強調(diào),如今隨著AI產(chǎn)業(yè)大力發(fā)展����,隱私計算+云+大數(shù)據(jù)架構(gòu)逐漸形成,僅僅依靠隱私計算還不夠,依然需要更多的基礎(chǔ)科學(xué)技術(shù)來實現(xiàn)新一代信息技術(shù)總體的價值釋放�。
