我国第一部有关数据安全的专门法律——《中华人民共和国数据安全法》于2021年9月1日实施。数据安全法明确提出“数据安全与发展”。如何充分释放数据价值,同时确保安全无虞?近日,有关专家就数据安全领域的新概念“隐私计算”进行了研讨。
数据安全法鼓励依法合理有效利用数据
近日,在由清华大学人工智能研究院院长张钹院士、清华大学人工智能研究院基础理论研究中心主任朱军教授共同担任首席科学家的北京瑞莱智慧科技有限公司召开了“数据安全与隐私计算”专题研讨会上,中伦律师事务所合伙人陈际红认为,网络安全法、个人信息保护法以及数据安全法互相交叉,又分别针对不同的监管对象和管理重点。
陈际红表示,数据安全法是对数据分级分类的保护制度,对重要数据及国家核心数据的管理。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
据介绍,数据安全法的出台提供了合规路径,丰富了数据市场的多样性。在此之前,一些企业戒备法律风险和对公司信誉的影响,往往守着巨大的数据宝藏,但不敢越雷池半步。数据价值被闲置,下游数据需求方缺乏数据资源。如今,数据安全法明确规定,“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。
“隐私计算”成保障安全新选项
数据安全法提出,保障数据依法有序自由流动。这其中就涉及怎样平衡数据安全与数据流通的问题。
对此,国家工业信息安全发展研究中心大数据研究室主任杨玫提出了两大抓手:一是从全流程的角度建设数据安全的管理体系和能力体系,建立面向数据全生命周期的安全架构,包括数据安全的定义、数据安全能力体系的建设、数据安全风险识别、策略制定以及数据安全的事件监测预警,包括后期的应急响应。二是加强数据安全新技术的研究和应用,比如通过“隐私计算”在数据流通方面的应用,在保证数据不对外泄漏的前提下,实现数据的流通共享与分析计算,真正做到“数据可用不可见”。面对数据计算的参与方或意图窃取信息的攻击者,“隐私计算”能够实现数据处于加密状态或非透明状态下的流通与计算,以达到各参与方隐私保护的目的。
杨玫提到的“隐私计算”,正是当下数据安全领域讨论正酣的一个概念。瑞莱智慧CEO田天介绍说,“隐私计算”技术主要是三方面能力的融合,一方面是围绕场景的人工智能算法模型;第二方面是分布式系统,因为“隐私计算”涉及对多方数据的融合打通,需要分布式系统做支撑;第三方面是密码学,密码学是提供数据加密以及在“隐私计算”前提下进行数据流通的基础性工具。
田天认为,先有不同场景的应用,再去探讨需要什么数据以及什么样的“隐私计算”,来保证数据能够流通到各方,支撑不同的AI应用。同时AI这一重要计算类型的性能优化也将为“隐私计算”的高效落地带来重大突破,实现跨行业、跨领域数据的高效融合。
“隐私计算”需要安全闭环与互通互联
虽然“隐私计算”被认为是平衡数据安全与流通的一个新选项,但“隐私计算”本身面临的一些问题也亟待解决。
传统的数据交易方式存在数据泄露或数据被留存的风险,而诸如数据脱敏或匿名化处理,需要以牺牲部分数据维度为代价,导致数据信息无法被有效利用。“隐私计算”让数据开放、共享、流通成为一种可能,但“隐私计算”只解决了流通过程中的安全问题,在数据流通之前和之后的权属和收益问题仍不明确,另外“隐私计算”技术产品的安全分级标准与行业信任共识也有待建立。
据介绍,由于密码学上的证明安全与实际安全并不相等,现阶段的“隐私计算”技术面临安全性难以被论证或证明的困境,尤其是一些多方“隐私计算”协议被应用在不符合其安全假设的场景中,存在明显的安全性漏洞。同时,“隐私计算”也带来了算法歧视等全新的安全问题,比如被黑客投入“脏数据”“毒数据”,导致“数据投毒”的风险存在。
现阶段“隐私计算”已经有一些应用落地,但距离真正大规模的商用还尚早。目前“隐私计算”主要集中在金融领域的联合风控、联合营销场景,同时医疗和电子政务行业的应用需求增长也比较快,但每个行业应用的特点不太一样,不同的领域的技术特点也有不同,未来面对更多数据方、更大数据量以及更复杂的应用场景,“隐私计算”的性能指标还需加强优化。
中国信通院云计算与大数据研究所大数据部副主任闫树认为,在未来,“隐私计算”的发展需实现对内的互联互通、对外的交叉融合,对内实现不同平台间的互认互用,破除平台壁垒,对外通过“隐私计算”与人工智能、区块链、云计算等更多技术的融合发展,来实现新一代信息数据总体的价值释放。
