王爽教授在谈及企业数据合规时表示,隐私保护计算加持下的数据全生命周期合规不仅不会给企业增加额外负担和成本,反而是为企业创造了更大的合规信心与数据价值。
不少企业负责人已经意识到,数据合规就像做生意必须交税、聘请员工要遵守劳动法一样,是企业合法经营的底线之一。
数据合规的压力首先来自立法。《网络安全法》、《数据安全法》和《个人信息保护法》“三驾马车”就位,标志着我国数据相关法律框架基本构建完成,不仅让公众的数据权利有法可依,也让各行各业的数据合规有法必依。
数据合规也是数据要素流通的必要条件。上海交通大学数据法律研究中心执行主任、法学院副教授何渊认为,数据合规是一切数据应用的前提基础。没有合规,数据就无法交易,也不能形成数据产品来进一步放大数据价值。
客观地说,企业数据合规并不简单,无论是遵守相关法律还是发挥数据要素价值,都不是纸上谈兵就能轻易做好,不仅需要制度建设,更离不开技术创新。
数据合规应遵循“法律+管理+科技”
数据合规看似可以慢慢补课,实则已经刻不容缓。
何渊表示,现在的监管思路是合作治理,国家出台政策由企业落地实施,如果企业未尽到义务,本身就是违法,发生数据泄露更会面临加重处罚。监管不再是“选择性执法”,而是把主要责任交给了企业,不做合规体系就“谁都逃不了”,更不能认为监管机构没有找上门就是安全的。
他认为,企业数据合规不只是法律问题,而应遵循“法律+管理+科技”的逻辑。在管理方面,企业的一般义务包括完善管理制度和流程、搭建安全防范机制、设立个人信息保护负责人。而在科技方面,隐私计算则将成为重要的技术手段,可以保证数据共享和交易的安全性。比如一些大型企业旗下可能有数百家子公司,在新的法律框架下,这些公司之间不能直接沟通数据,就需要用到隐私计算。
隐私计算近年来热度不断升高,正因其综合了多种技术形成数据“可用不可见”的整体解决方案,为各行各业数据流通与共享,发掘更大数据价值,乃至助力国家数据要素流通和数字经济发展提供了基础设施,也是理想的合规工具。
根据中国信息通信研究院《隐私保护计算与合规应用研究报告(2021年)》,隐私计算作为涉及多领域交叉融合的跨学科技术体系,重点提供了数据计算过程和数据计算结果的隐私安全保护能力,总体来说包含联邦学习、安全多方计算、机密计算、差分隐私和同态加密等。
国内隐私计算领军企业锘崴科技联合创始人、董事长王爽教授表示,企业数据合规内涵丰富,挑战不少,人是核心,制度是保障。由于数据本身依托于硬件设备、互联网络、智能算法等技术因素,因此数据合规必然离不开科技支撑。
他进一步指出,在“空间”上数据合规绝不意味着单纯严防死守把数据“雪藏”起来,而是既要通过流通与共享发挥数据价值,又要确保数据安全和隐私保护。在“时间”上数据合规也不只关注于流通与共享环节,而是贯穿于数据全生命周期。无论“空间”还是“时间”维度,隐私保护计算都能很好地助力数据合规。
伴随合规趋严,各行各业看待数据的视野维度不断拓宽。以往公众更多关注数据采集与存储环节中涉及的乱象与泄露事件,对后续企业如何使用数据就失去了掌控。企业则更多关注如何使用数据,却轻视数据的获取方式,很难追溯数据的合法性。
如今在数据合规要求下,企业无法再简单对数据一用了之,还要理清数据的“来龙去脉”,从源头上就必须确保数据的合法性。正因如此,有越来越多的企业开始寻求技术加持,这就让隐私计算有了发挥的舞台。
隐私计算助力数据全生命周期合规
对于隐私计算与数据合规的关系,《隐私保护计算与合规应用研究报告(2021年)》认为,个人信息保护的具体合规要求包含数据最小化、数据分级分类、数据匿名化、知情同意、规范操作、应急补偿等多项要求。其中有三个与隐私计算相关且相对重要的合规要点分别是数据最小化、数据分级分类和数据匿名化。一般情况下,如果能做到其中的一点或多点,即可显著减少数据安全风险。
王爽教授表示,隐私保护计算的不同技术路径各有长板和短板,无法简单比较,更没有绝对优劣,而是要根据场景综合使用才能发挥最大效用。结合数据合规需求来看,联邦学习在广义上符合数据采集最小化的要求,而从数据全生命周期角度来看,区块链技术有助于数据应用的全过程记录与溯源。这两项技术也不是各自为政,而是相互配融合并与其他技术协同互补。
› 数据采集最小化?联邦学习直接零采集
联邦学习属于人工智能分布式机器学习的范畴,其核心机制在于“数据不动模型动”,也就是在训练人工智能算法模型时,无需集合大量数据用来“喂养”模型,而是把模型“发给”不同的数据集。这样既让模型可以找到足够数据训练而变得更强大,也让数据留在本地消除泄露风险,还节省了大量存储和网络资源,可谓安全高效节能。
在人工智能大行其道的时代,联邦学习也成了隐私计算的“C位”统领。从甲子光年《2021隐私计算行业研究报告》的示意图可以看到,联邦学习通常还需要密码学相关技术协同配合,如多方安全计算、同态加密等。
来源:甲子光年《2021隐私计算行业研究报告》
联邦学习“数据不动模型动”的机制在广义上很好地践行了数据采集最小化的原则,重在有效利用分散于各处的现有“小数据”,把需要重新采集新数据的必要性大大降低,甚至可以说把采集“最小化”进一步变成了“零采集”。对企业来说,如果能不断发掘已有数据的价值而无需采集新数据,那么自然就规避了数据采集相关的合规风险。
› 区块链:全周期存证溯源不可篡改
区块链天然包含时间戳且记录在区块里的数据不可修改,特别适用于解决信任问题。区块链具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“分布式信任”等特征,为其奠定了坚实的信任基础,创造了可靠的合作机制。
简单来说,如果数据从诞生开始的属性和每一次操作都被记录在区块链上,就可为数据的拥有者和使用者提供可靠的合规或不合规“凭证”。数据拥有者(如公众)可以清楚地知道谁曾经用自己的数据做了什么,而使用者(如企业)也可以完全了解数据来源和过往使用是否合法。
王爽教授表示,区块链可以很好地解决多方数据合作中的数据溯源存证等问题,比如在数据“可用不可见”的情况下追溯哪些数据参与了计算,怎样实现数据价值的分配等。对企业来说,区块链让数据有据可查,一旦实现从头到尾弄明白,自然也能轻松做好数据合规。
迈出数据合规第一步
数据合规成为企业的“必选动作”,但怎么做数据合规仍然令许多企业迷茫,尤其是隐私计算这样的新兴专业技术,更让许多传统行业企业困惑。
为此,政府、学界、产业界等已经纷纷从各自角度为企业支招。今年1月,上海市杨浦区检察院制定发布《企业数据合规指引》,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。
在科技领域,隐私计算已经实现商用并形成产业,涌现了一批实力不俗的技术服务商。尤其对于想要应用隐私计算而自身技术能力又不足的传统行业来说,可以找到一家靠谱的合作伙伴,通过部署隐私计算助力数据合规。
当然,如何判断“靠谱”还需要一些简单的标准。王爽教授表示,隐私保护计算技术门槛较高,需要对软硬件、人工智能、密码学等有深刻理解,因此十分考验技术团队功力。他建议,企业在寻找隐私保护计算技术服务商时可以重点考察团队在学术及行业背景、技术创新性、产品亮点、以往案例等方面的表现。
以锘崴科技为例,其核心团队包括世界著名联邦学习领域的开拓者、领军者王爽教授、隐私计算生物医学行业领军人物郑灏博士以及多位前硅谷知名工程师和资深科学家。公司首创的“安全联邦学习”被称为联邦学习3.0方案,将传统联邦学习与TEE(可信执行环境)、多方安全计算、区块链等技术结合,根据场景侧重点发挥各技术线路优势,综合应用相关技术实现解决方案。
现阶段各大技术服务商都推出了各自的隐私计算平台,成为隐私计算、数据要素流通,以及企业数据合规的基础设施。来自不同行业的企业用户都能根据自身场景需求从平台获得可证可量化的隐私计算能力和数据资源,免去了自己开发的巨大投入,部署更加便捷高效,成本也大大降低。
比如,锘崴科技旗下的旗舰级产品——锘崴信®隐私保护计算平台,其主要核心为安全联邦学习技术,可结合用户需求提供软硬件一体机、软件包、云计算、虚拟化容器部署等多种交付方式,已赋能医疗、金融、保险、政务等领域。
王爽教授再次强调,以隐私保护计算的理念来理解企业数据合规,全流程可信十分重要。首先数据收集必须合法合规,收集的数据有授权且用途在授权使用范围内,同时应保证最小范围收集共享数据,即“可用不可见,可用不收集”,最后通过人工智能、大数据应用充分发掘数据价值后销毁或删除数据。隐私保护计算加持下的数据全生命周期合规不仅不是给企业增加额外负担和成本,反而是为企业创造了更大的合规信心与数据价值。
