数据安全法将落地 隐私计算能成实现合规的最优解吗?
.jpg)
每经记者:可杨 每经编辑:张海妮
数据安全与隐私计算专题研讨会现场。图片来源:每经记者 可杨 摄
我国第一部有关数据安全的专门法律——《中华人民共和国数据安全法》(下称“《数据安全法》”)将在9月1日落地实施。
数字经济不断发展,数据本身的底层价值在快速井喷。但作为新生产要素的数据,在使用层面一直面临诸多问题:一方面,数据只有开放、共享,才能被更加高效地利用;但另一方面,数据需要保护,不敢共享、不能共享成为行业共同面临的数据困境。
随着《数据安全法》的出台,数据的使用、流通与保护将得到进一步规范。面对《每日经济新闻》记者提到的,这部法律会对数据交易市场造成怎样影响的问题,中国信通院云计算与大数据研究所大数据部副主任闫树表示,《数据安全法》专门有一部分是强调发展与安全并重,确实可能对现有模式带来冲击,但程度并不是很大,而且这是一个必要的过程。
与此同时,随着法律对数据的严监管方向逐步明确,隐私计算能否成为当下数据流通合规化的解答,也引发热议。隐私计算通过对明文数据的加密,在避免产生数据孤岛的基础上实现数据的“可用不可见”,发挥数据价值,但法规落地后,隐私计算又是否会面临合规问题?
合规是一个过程
《网络安全法》、《数据安全法》以及《个人信息保护法》分别于(或将于)今年6月1日、9月1日以及11月1日落地实施。
据中伦律师事务所合伙人陈际红介绍,三部法有交叉,但是是不同的监管对象和管理重点。其中,《数据安全法》的监管范围主要包括在中国境内开展的数据处理活动,以及在境外开展数据处理活动,损害我国国家安全、公共利益或者公民、组织合法权益的。
那么,随着《数据安全法》的落地,一些企业过往的数据资产是否会面临合规性的追溯?
陈际红认为,合规是一个过程,要求企业在法律颁布以后第二天合规不太现实。一般企业的实践分两个阶段:合规之前的数据叫历史数据;合规以后的授权、分类,应用场景做严格限制,这是新的起点,对历史数据可以区分不再用,只要不泄露,不会对主体带来权益的侵害。
自2014年起,我国多地陆续成立了大数据交易中心,打造开放的独立第三方交易平台,形成稳定的数据交易并收取费用。那么,《数据安全法》的出台,对数据的流通进行了进一步的规范,会否影响数据交易市场的发展?
对此,瑞莱智慧CEO田天认为,数据交易所和股票交易所或期货交易所是完全不同的,如果等一套完整的规范或者技术完善的时候,再做这样一个交易的规则,其实是非常长周期的事,而且没有相应的基础支撑。
国家工业信息安全发展研究中心大数据研究室主任杨玫表示,现在出台的时机是恰当其时,统筹安全与发展的概念,出台以后什么数据是核心数据、重要数据,包括疫情之下,哪些是国家必须掌控的数据,这是现在大家急需解决的问题,所以现在法律的出台非常适应市场的发展阶段。
除了数据保护,陈际红认为《数据安全法》基本把中国的数据跨境的制度构建成型,中国不搞数据孤岛,但是出口的前提是安全、有序,在这个前提下自由流动。陈际红表示,出口是广义的出口,其实有各种各样的形式。比如把物品从中国运到外国是出口;在中国把物品交给外国人这也是出口;服务器在中国但是国外有权限需要读取数据这也是出口,“我们传统的出口管制是化工用品,现在把数据作为出口管制对象,如果清单里面有数据,那么数据本身作为出口管制是不能正常出口,你要从商务部或者科技部拿出口许可才能出口,通过出口管制来保证数据出口的正当手续”。
隐私计算尚处于发展早期
瑞莱智慧CEO田天认为,数据价值和隐私安全中间存在二元对立,而隐私计算是弥合两者间隙必备的技术基础。所谓的隐私计算,是指一项新的技术手段,能够在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算,实现数据的“可用不可见”。
田天进一步介绍称,相比传统计算方式存在的数据孤岛、隐私保护不足、数据价值难以释放等问题,通过隐私计算一方面实现计算逻辑的集中,完成更复杂的互联计算,另一方面可以通过密文数据确保数据的安全隐私性。
在田天看来,隐私计算落地的核心要素在于安全性与价值闭环。安全性方面,他表示,由于密码学上的证明安全与实际安全并不相等,现阶段的隐私计算技术面临安全性难以被论证或证明的困境,很多假设安全的方法在实际应用上存在严重的安全性漏洞。同时,隐私计算也会带来很多新的安全问题,比算法歧视,又或者被黑客投入“脏数据”“毒数据”,导致“数据投毒”的风险存在。
其次,隐私计算主要是解决数据“链接”问题,打开数据通路,让更多数据能够被使用,但实现数据价值之路,需要业务需求牵引,尤其是人工智能需求牵引。
近年来,隐私计算火热,多方企业加码隐私计算的投入研究。据杨玫介绍,到2020年在隐私计算投入的企业有260家左右,其中60%是初创企业。企业背景主要有互联网龙头企业、网络安全以及大数据公司、初创型科技企业和行业高精尖企业。
而在应用领域,除了互联网自身的先天优势,隐私计算在金融和医疗的应用场景最丰富。据杨玫介绍,国家医疗健康大数据的首批试点城市厦门,基于隐私计算建立了健康医疗大数据应用开放平台;而金融场景最大的应用是风控模型的构建,在互联网金融和消费金融得到了广泛应用。
数据通过加密形式流通而非明文流通,的确能够进一步在《数据安全法》落地的情况下,更好地实现合规流通。
不过,现阶段隐私计算技术发展仍处于早期,许多关于隐私计算的核心要点以及核心应用,没有被建立共识、实现协同发展。
闫树也表示,隐私计算的模式是在保护隐私的前提下,实现开放共享。但它只是解决流通前到流通中,如果一开始就是不合规的数据,包括流通以后的权属和收益问题,并不会通过隐私计算解决的。
而性能方面,闫树表示,隐私计算产品的安全性能和准确性是相互影响、相互抵消的,仅仅强调效率没有意义。他介绍,当前隐私计算技术已经具备了可用性,但是未来面对更大的数据方和数据量以及更复杂的场景,还不太能够满足。
那么,所谓行业认为能够在《数据安全法》落地后,进一步帮助企业实现数据流通合规化的隐私计算技术,其本身又是否是一项合规的技术?闫树表示,法律法规不会对技术进行一个确切判断,只看技术如何应用,是否侵犯了相关的权益。而隐私计算在实践中明显增强了对数据的保护。
但是使用隐私计算进行数据聚合仍然无法规避法律法规的风险,因为联邦学习(一个机器学习框架)的梯度可以揭示个人信息,特别是模型很复杂的时候,个人信息也有被识别的风险。
对于合规性的问题怎么解决?闫树认为需要搭建合规的基准框架,根据输入模型的数据,选择比较合适的合规基础,选择在什么模型基础上来做,以及对计算过程和结果的合规性来进行证明、存证,通过这些条件降低隐私计算技术方面的合规风险。
陈际红也表示,人工智能在学习阶段要求大数据、实时数据、万物互联,但这跟《个人信息保护》有冲突,未来冲突的解决还需要多方治理,包括硬法,比如《数据安全法》和《个人信息保护法》来制定规则,行业来做行业的实践,“硬法+软法+多方参与,我想最后一定能找到人工智能对数据的利用以及遵守法律的前提,保护合法权益”。
每日经济新闻
以上就是一些关于数据安全法将落地 隐私计算能成实现合规的最优解吗?的相关内容以及这类内容周边的一些相关知识点,希望通过的介绍,对大家有所帮助!后续我们还会更新更多关于的相关资讯内容,关注我们,每日了解最新热点资讯,关注社会动态!
评论