9月1日起,中国第一部有关数据安全的专门法律《数据安全法》正式施行。
这部法律分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,同时也明确建立了一个数据分类分级保护制度,建立健全数据交易管理制度、安全审查制度,对违法行为的处罚力度加大。
在此之前,数据的价值和安全性之间存在鸿沟,中间的矛盾愈演愈烈,例如一些互联网企业利用数据权力对用户实施“大数据杀熟”等,让原本简单的数据流通和应用被滥用,数据本身的底层价值无法正确开发,其安全性的保护和关注十分滞后。
如今,中国对数据安全的重视正提升至前所未有的高度。今年7月20日,最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,规范人脸识别应用的司法解释,要求不得强制索取非必要个人信息,8月1日起实施;随后在8月27日,中国公开发布起草的《互联网信息服务算法推荐管理规定(征求意见稿)》,全面规范算法推荐,现向社会公开征求意见;加上此前已经实施的《网络安全法》、以及即将在11月1日实施的《个人信息保护法》,中国信息及数据安全领域的法律框架正全面构筑。
与此同时,数据安全在技术上的进步以及监管层面的不断完善,也在为隐私计算以及数据交易市场发展带来新的商机与活力。
“《数据安全法》和《个人信息保护法》两部‘硬法’对AI企业的影响非常大。一方面,新法要求企业遵循数据获取的安全、可控,对个人信息要知情同意,拿到数据以后要合法正当利用,要保证数据安全;另一方面也解决了数据黑产难题,让违法事件有法可依。”中伦律师事务所合伙人陈际红近日接受钛媒体App等采访时表示,在遵守法律前提下,技术和应用也能够带来益处。比如隐私计算,数据流通的过程中一定会带来隐私泄露问题,但是隐私计算实现数据可用不可见,这是企业遵循法律要求。
神州数码云业务集团数据平台部总经理赵瑞在接受钛媒体App采访时表示,之前在广告投放或者精准营销领域里,会有一些企业走“擦边球”,《数据安全法》的正式实施,规定了数据如何处理和交互,对行业发展有积极影响,全面保护了用户的信息权益,同时让下游企业客户对包括数据保护CDP、隐私计算等数据流通新技术加以关注。
中国信通院纪委书记王晓丽近日则表示,数据要素的市场化配置尚处于探索阶段,数据权属界定还不明晰、数据安全风险高、数据交易机制不完善等问题制约了数据的流通发展。而快速发展的隐私计算等数据流通新技术,为产业“破局”提供了关键思路,正成为建设和完善数据要素市场的重要抓手,在一定程度上有助于解决数据权属界定、数据安全风险等问题,为培育数据要素市场提供了新的模式。
《数据安全法》到底在规制什么?
随着全球数字经济的快速发展,在爆炸性的数据流通之中,数据已经成为核心生产要素之一。2020年4月,国务院宣布,将数据列为第五大“生产要素”,与劳动力、技术、土地和资本并列为国家经济资源。而《数据安全法》提出,以数据分级分类为核心,搭建了数据安全的监管制度。
在日前举办的一场研讨会上,陈际红表示,《数据安全法》和先前的《网络安全法》,连同筹备中的《个人信息保护法》,共同构成了中国在网络安全和数据保护方面的法律“三驾马车”,它们定位各有不同,内容互有交叉,而《数据安全法》监管对象,主要是数据处理活动。
具体来说,《数据安全法》对企业的数据处理活动,提出了五项监管要求:
第一,符合基础性的合规要求,包括建立企业数据安全管理制度,有相应的基础措施和管理措施;第二,对数据做分类分级保护,需要企业做等级保护测评和备案;第三,进行数据分级分类,企业要根据分类结果采取相应的管理措施;第四,识别核心数据和处理数据出境问题,做好数据跨境流动监管,比如年检、年报审计;第五,管理数据交易中介,中介要审核双方身份、流程交易记录、制定审核清单等。
陈际红指出,《数据安全法》对数据处理做了一系列的法律义务,比如说一般性义务要有全流程的安全管理制度,从数据收集到数据删除,有交易培训,要履行等保的义务;其次是风险监测的机制,发现风险以后及时采取措施。以及数据的正当利用,数据的获取过程中要合法正当,不能采取窃取的方式。
如果企业在运营中没有符合相关法规要求,出现了严重的数据泄漏问题,如今在《数据安全法》下,企业将受到一定的经济惩罚,处罚对象以机构、企业为主,包括直接负责的主管人员和其他直接责任人员,企业的罚款额从百万元至千万元级别不等,个人的罚款额在数十万元级别。此外,涉事企业还可能被停业整顿、吊销营业执照。如果违反了国家核心数据管理制度且构成了犯罪,还将被依法追究刑事责任。
简单来说,《数据安全法》明确了数据安全监管的约谈制度,但未明确主管部门的层级要求;明确了未履行数据安全保护义务的所属企业组织、个人的法律责任;明确了违反《数据安全法》向境外提供重要数据的法律责任等,让国家重视了“数据要素”作为新型生产要素对于经济生产发展的意义。
尽管《数据安全法》并非针对某一类特定企业,但目前来看,信息化程度高、业务事关国计民生、涉及跨国经营等特点的企业,需要密切关注该法律的后续进展,并寻求改进合规措施的技术手段。比如电信、能源、电力等行业的企业。
对于一些过往的企业数据资产的合规性追溯,陈际红指出,合规是一个过程,新法颁布第二天企业立即合规,这也不太现实。如果对于不再用的历史数据,企业没必要担心,只要不泄露,就不会对主体带来权益侵害;对于还要使用的数据,则是需要授权的。
瑞莱智慧CEO田天则对钛媒体App表示,作为人工智能(AI)企业来说,新的法律颁布及试行,对行业或企业来说,其实告诉大家哪些事情不可以做,反而也是告诉大家哪些规范下可以做。因此,作为AI企业,要基于更加安全的隐私计算技术在上面去打造AI系统,引入更多有价值的数据方。对于AI产业来说,新的法律相当于是一个新的起跑线,在合规的情况下大家发展自己的技术实力,以及对场景的理解,不断有新的发展机会。
中国信通院云计算与大数据研究所大数据部副主任闫树则表示,中国数字经济受到《数字安全法》的冲击,是一个必要的过程,因为产业发展模式本身存在一些问题,这样的模式对企业发展有利,但触犯了国家和个人的权益,因此需要一些合理的改变。
“隐私计算”技术产业悄然兴起,科技巨头追逐千亿级市场
根据IDC报告显示,2020年,全球创造了59.0ZB容量的数据,其中50.4%的数据需要保护。同时,近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别很高,但却缺乏保护。此外,与消费者相比,企业要保护的数据更多,占需要保护数据总量的85.6%。
近几年,数据安全事件明显上升,根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019 年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%,数据泄漏事件影响大、损失重。
那么,在《数据安全法》实施在即,如何让企业做好合规建设?一些长期致力于数据安全策略与技术方案的企业,也对产业提出了一系列应对方案。
根据《数据安全法》第二章第十六条规定,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
田天表示,企业可以借助技术的手段,实现价值与安全之间的弥合。对于数据的采集、加工、流通过程中的保护手段,正在形成一个供应链,其中一项新兴技术是隐私计算,这属于促进数据流通的关键技术。他介绍说,隐私计算可以通过改变数据交互与融合的模式和形态,让数据在流通过程中实现“可用不可见”,从而处于一个安全的环境之中。
田天强调,隐私计算技术为应对个人隐私保护、数据安全隐患、数据孤岛等数据流通的关键难题提出了一种创新的解决思路,成为平衡数据利用与安全的重要途径之一。
“隐私计算”一词最初是在2016年发布的《隐私计算研究范畴及发展趋势》正式提出的。
所谓隐私计算,是一种由两个或多个参与方联合计算的技术和系统,参与方在不泄露各自数据的前提下通过协作对他们的数据进行联合机器学习和联合分析。隐私计算的参与方既可以是同一机构的不同部门,也可以是不同的机构。
隐私计算本质上是通过联邦学习(FL)、多方安全计算(MPC)、可信执行环境(TEE)等技术路线体系,在保护数据隐私的前提下,解决数据流通、数据应用等数据服务问题,实现不共享数据而是共享数据价值,对数据进行安全保护与脱敏。
来源:毕马威发布的《隐私计算行业研究报告》
自20世纪70年代发展至今,隐私计算已经在金融、医疗、政务等多个场景应用落地,取得了良好效果,从业机构也因此受到了资本的不断热摔,成为近期的一个热投资赛道。
据KPMG毕马威、微众银行等机构联合发布的《2021年隐私计算行业研究报告》显示,预计到2024年,隐私计算受到大数据融合应用和隐私保护的双重需求驱动,相关技术服务营收有望触达100-200亿人民币的空间,甚至将撬动千亿级的数据平台运营收入空间。
值得注意的是,全球多家科技巨头如微软、谷歌、英特尔、IBM、Facebook等均已在“隐私计算”技术赛道布局。
微软从2011年开始深入研究多方安全计算;谷歌则在全球率先提出联邦学习概念;英特尔(Intel)正逐步打造可信执行环境实现方案的底座;IBM则将同态加密与云服务结合,帮助用户数据安全上云;Facebook则是专攻基于隐私计算的机器学习。
而在中国,腾讯云曾推出云安全隐私计算(CSPC)平台,帮助某银行将反欺诈模型的KS提升30%以上,每年阻止数亿资金的风险贷款申请。另一家AI初创公司“瑞莱智慧RealAI”则通过RealSecure隐私保护计算平台,凭借自主研发的编译器引擎,相比传统人工编译模式,系统整体运行速度可提升20~40倍,同时模型效果也有较大提升,为某银行构建的反欺诈模型AUC可以达到80%以上,KS达到50%以上,解决多家机构数据合作过程中存在的数据孤岛和隐私泄漏等问题。
赵瑞指出,个人信息数据需要被脱敏隐藏,有很多专业做隐私计算的中间商可以提供专业服务,数据分析服务商也在加强数据安全的能力。据悉,神州数码云业务自研的Bluenic 2.0客户数据平台,已将个人隐私数据保护纳入到CDP平台运营中,通过多种数据源的对接和打通,实现数据合并分析,并进行数据脱敏,进而完成跨渠道客户ID唯一化和标签化,帮助企业在保证数据安全的前提下,架设多媒体营销通路,制定灵活的广告营销策略,有效助力企业提升获客率和客户粘性。
闫树表示,谷歌、英特尔等企业开创了隐私计算产业的潮流,目前,国外企业在学术研究和开源生态上也比较活跃,国内隐私计算技术也正在逐步走向成熟,一些产品在特定场景下已基本具备可用性。
现阶段,中国多个地方政府正在积极规划和实施技术攻关,并把隐私计算作为重点,比如应用在数据流通和共享的交易所,或者赋能数字政府和数字社会等,通过技术、政策和市场的不断发育,为国内的数据交易市场打开了新的大门。
不过,隐私计算目前还无法解决数据流通之前和之后的权属问题和应用上的问题,未来还面临包括高通量数据、复杂场景、技术性能等诸多难点和挑战。
田天认为,隐私计算和上层应用密不可分,不能切割开来。如果将两者割裂开来,会带来很多新比如算法歧视等安全问题。或者,由于开发人员并不清楚具体处理的数据是什么,所以即使数据受到故意干扰,被黑客投入“脏数据”“毒数据”,也无从获知,这就导致“数据投毒”的风险存在。
中国信通院在《隐私计算白皮书》中指出,隐私计算产品与其他的数据处理产品不同,其本身肩负着保护隐私数据安全的重要功能,目前隐私计算的合规红线仍不明确,因此,技术服务厂商与产品使用者都应当谨慎对待隐私计算产品的安全性挑战,比如算法协议尚无法实现绝对安全、安全性共识有待形成等,从而探索平衡合规、效率和可用性要求的合规实践路径。
“对内互联互通,对外交叉融合,最终是打造数据流通的基础设施,破除产品壁垒。但现在产业发展过早,这个互联互通的时机要选择好,不能过早也不能过晚,既不能在产业没有发展起来的时候增加厂商成本,也不能在格局已定的时候进行大规模改造,所以我们认为,接下来一两年是互联互通重要的发展节点。”闫树对钛媒体App表示。
闫树强调,如今随着AI产业大力发展,隐私计算+云+大数据架构逐渐形成,仅仅依靠隐私计算还不够,依然需要更多的基础科学技术来实现新一代信息技术总体的价值释放。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“物联之家 - 物联观察新视角,国内领先科技门户”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。
延伸阅读
版权所有:物联之家 - 物联观察新视角,国内领先科技门户