9月1日,我国第一部数据安全的专门法律《数据安全法》正式实施。该法从监管体系、数据安全与发展、数据安全体系、数据安全保护义务、政府数据安全与开放、法律责任等方面对数据处理活动进行了规范。同时,明确建立数据分类保护制度,建立健全数据交易管理制度和安全审查制度,加大对违法违规行为的处罚力度。在此之前,数据的价值和安全性之间存在差距,两者之间的矛盾越来越严重。比如一些互联网公司利用数据力量,用大数据扼杀用户,使得原本简单的数据流和应用被滥用,数据本身的底层价值无法被正确开发,其安全防护和重视程度落后。
如今,中国对数据安全的重视达到了前所未有的高度。今年7月20日,最高人民法院发布《关于使用人脸识别技术审理涉及个人信息民事案件适用法律若干问题的规定》,规范了人脸识别申请的司法解释,要求不得要求提供非必要的个人信息。8月1日起实施;随后,8月27日,我国公开发布《互联网信息服务算法推荐管理规定(征求意见稿)》,全面规范算法推荐,现公开征求公众意见;除了此前实施的《网络安全法》和将于11月1日实施的《个人信息保护法》外,中国在信息和数据安全领域的法律框架正在全面构建。与此同时,数据安全的技术进步和监管水平的不断提高,也在为私有计算和数据交易市场的发展带来新的商机和活力。
“数据安全法和个人信息保护法对AI企业影响很大。一方面,新法要求企业遵循数据采集的安全性和可控性,并对个人信息进行告知和同意。获取数据后,必须合法、妥善使用,确保数据安全;另一方面也解决了数据黑产的问题,让违法事件有法可依。”律师事务所合伙人陈近日在接受钛媒体App采访时表示,在遵守法律的前提下,技术和应用也能带来利益。比如隐私计算,在数据流通的过程中,肯定会带来隐私泄露,但隐私计算可以让数据可用、不可见,这是企业要遵循的法律要求。
神州数码云商务集团数据平台部总经理赵睿在接受钛媒体App采访时表示,此前,在广告或精准营销领域,部分企业会“擦边球”。《数据安全法》的正式实施规定了数据的处理和交互方式,对行业的发展产生了积极影响,充分保护了用户的信息权益,同时也让下游企业客户关注到包括数据保护CDP、隐私计算在内的新数据流通技术。
中国信通院纪委书记王小利近日表示,数据要素市场化配置仍处于探索阶段,数据权属界定不清、数据安全风险高、数据交易机制不完善等问题制约了数据流通发展。隐私计算等数据流通新技术的快速发展,为行业“破局”提供了关键思路,正成为数据要素市场建设和完善的重要抓手。在一定程度上有助于解决数据权属界定和数据安全风险问题,为培育数据要素市场提供了新的模式。
《数据安全法》具体规定了什么?
随着全球数字经济的快速发展,数据已经成为爆炸性数据流通中的核心生产要素之一。2020年4月,国务院公布数据被列为第五大“生产要素”,与劳动、技术、土地、资本并列为国民经济资源。《数据安全法》提出以数据分类为核心,建立数据安全监管体系。在日前举行的研讨会上,陈表示,《数据安全法》和此前的《网络安全法》以及正在制定的《个人信息保护法》构成了中国在网络安全和数据保护方面的法律三驾马车。两者定位不同,内容重叠,《数据安全法》主要规范数据处理活动。
具体来说,《数据安全法》对企业的数据处理活动提出了五项监管要求:
1、符合基本合规要求,包括建立企业数据安全管理体系,有相应的基本措施和管理办法;
2.对数据进行分类保护,需要企业做等级保护评估和备案;
3.对数据进行分类,企业应根据分类结果采取相应的管理措施;
4.识别核心数据并处理数据退出问题,做好数据跨境流动监管,如年检、年报审核等;
5.管理数据交易中介。中介机构应审查双方的身份,处理交易记录,并制定审计清单等。
陈际红指出,《数据安全法》对数据处理作出了一系列法律义务。比如一般义务必须有全流程的安全管理体系,从数据采集到数据删除、交易培训、履行平等保险义务;二是风险监控机制,发现风险后及时采取措施。以及数据的正确使用,数据的获取过程要合法正当,不能采用窃取的方式。
如果企业在运营中不符合相关法律法规的要求,将会发生严重的数据泄露。现在,根据《数据安全法》,企业将受到一定的经济处罚,主要针对机构和企业,包括直接责任主管和其他直接责任人员。企业的罚款从一百万元到一千万元不等,个人的罚款是几十万元。此外,涉案企业可能会被停业整顿,吊销营业执照。违反国家核心数据管理制度构成犯罪的,还将依法追究刑事责任。
简单来说,《数据安全法》明确了数据安全监管的约谈制度,但没有明确主管部门的层级要求;明确未履行数据安全保护义务的关联企业组织和个人的法律责任;明确了违反《数据安全法》向境外提供重要数据的法律责任,使国家重视“数据要素”作为新的生产要素对经济生产发展的意义。
虽然《数据安全法》并不是针对特定类型的企业,但目前信息化程度较高、业务关系国计民生、跨国经营等特点的企业需要密切关注法律的后续进展,寻求技术手段完善合规措施。比如电信、能源、电力等行业的企业。
陈际红指出,合规是一个过程,企业在新法颁布后第二天立即合规是不现实的。如果不再使用的历史数据,企业无需担心,只要不泄露,就不会给主体带来权益;对于要使用的数据,需要授权。
睿来智慧CEO田甜在接受钛媒体App采访时表示,作为人工智能(ai)企业,新法的颁布和试行实际上告诉了大家哪些事情不能做,哪些规范可以做。因此,作为AI企业,有必要构建基于更安全隐私计算技术的AI系统,引入更多有价值的数据方。对于AI行业来说,新法相当于一条新的起跑线。在合规的情况下,每个人都发展了自己的技术实力和对场景的理解,有了新的发展机会。
中国信通院云计算与大数据研究所大数据部副主任闫舒表示,我国数字经济受到《数字安全法》的冲击,这是一个必要的过程,因为产业发展模式本身存在一些问题,有利于企业发展,但侵犯了国家和个人的权益,需要进行一些合理的改变。
“私人计算”技术产业已经悄然兴起,科技巨头们正在追逐这个价值数十亿美元的市场。IDC报告显示,2020年全球将创造59.0ZB的数据,其中50.4%需要保护。与此同时,近四分之一的数据被认为是私有的或通常不提供给公众,这具有很高的安全级别,但缺乏保护。此外,与消费者相比,企业需要保护的数据更多,占需保护数据总量的85.6%。
近年来,数据安全事件大幅增加。公开报告显示,2020年全球数据泄露平均损失成本为1145万美元,2019年数据泄露事件7098起,涉及数据记录151亿条,较2018年增长284%。那么,随着《数据安全法》实施在即,企业如何做好合规建设?一些长期致力于数据安全策略和技术解决方案的企业也向行业提出了一系列解决方案。
根据《数据安全法》第二章第十六条,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全领域的技术推广和业务创新,培育和发展数据开发利用和数据安全产品及产业体系。
田甜说,企业可以通过技术手段来弥合价值和安全之间的差距。在数据收集、处理和流通过程中,保护手段的供应链正在形成。隐私计算是新兴技术之一,是促进数据流通的关键技术。他说,私有计算可以通过改变数据交互和集成的模式和形式,使数据在流通过程中“可用和不可见”,从而处于安全的环境中。
田甜强调,隐私计算技术为个人隐私保护、数据安全风险、数据孤岛等数据流通关键问题提供了创新解决方案,成为平衡数据利用与安全的重要途径之一。
“私有计算”一词最初是在2016年出版的《私有计算的研究范围和发展趋势》中提出的。所谓隐私计算是由两个或两个以上的参与者共同计算的技术和系统,参与者通过协作对其数据进行联合机器学习和联合分析,而不泄露各自的数据。隐私计算的参与者可以是同一机构的不同部门,也可以是不同的机构。
隐私计算本质上是通过联邦学习(FL)、多方安全计算(MPC)、可信执行环境(TEE)等技术路线体系,在保护数据隐私的前提下,解决数据流通、数据应用等数据服务问题,实现数据价值共享而非数据共享,保护和脱敏数据安全。自20世纪70年代以来,隐私计算被应用于金融、医疗、政务等多个场景。,并取得了良好的效果。因此,员工不断受到资本的冲击,成为近期的热门投资赛道。
毕马威毕马威、微众银行等机构联合发布的《2021年隐私计算行业研究报告》预计,到2024年,隐私计算将受到大数据融合应用和隐私保护双重需求的驱动,相关技术服务收入有望达到100-200亿元,甚至煽动数据平台的运营收入空间达到数十亿。值得注意的是,很多全球科技巨头如微软、谷歌、英特尔、IBM、脸书等。已经部署在“私有计算”技术轨道上。
微软从2011年开始深入研究多方安全计算;谷歌是世界上第一个提出联邦学习概念的;英特尔(Intel)正在逐步为实施可信执行环境奠定基础;IBM将同态加密与云服务相结合,帮助用户安全上云;脸书专门研究基于私有计算的机器学习。
在中国,腾讯云曾推出云安全隐私计算(CSPC)平台,帮助一家银行将反欺诈模式的KS提高了30%以上,每年阻止数亿风险贷款申请。另一家AI初创公司“RealAI Smart”采用RealSecure隐私保护计算平台和自主研发的编译器引擎。与传统的手动编译模式相比,系统整体运行速度可提高20~40倍,模型效果也有较大提升。为一家银行搭建的反欺诈模型,可达到80%以上的AUC和50%以上的KS,解决了多家机构数据合作过程中的数据孤岛和隐私泄露问题。
赵睿指出,个人信息数据需要脱敏和隐藏,有很多专门从事隐私计算的中间商可以提供专业服务,而数据分析服务提供商也在加强自己的数据安全能力。据悉,神州数码云业务开发的Bluenic 2.0客户数据平台,已将个人隐私数据保护纳入CDP平台运营。通过各种数据源的对接和开放,实现数据合并和分析,对数据进行脱敏,进而完成跨渠道客户ID的唯一性和标注,帮助企业在保证数据安全的前提下,搭建多媒体营销渠道,制定灵活的广告营销策略,有效帮助企业提高客户获取率和客户粘性。
晏殊表示,谷歌、英特尔等企业已经开启了私有计算产业的趋势。目前国外企业在学术研究和开源生态方面也很活跃,国内的私有计算技术也逐渐成熟,部分产品在特定场景下基本可用。现阶段,我国许多地方政府都在积极规划和实施技术研究,重点关注隐私计算,如将其应用于数据交换和共享,或赋能数字政府和数字社会等。通过技术、政策、市场的不断发展,为国内数据交易市场打开了新的大门。但隐私计算无法解决数据流通前后的所有权和应用问题,未来将面临包括数据高吞吐量、场景复杂、技术性能等诸多困难和挑战。
田甜认为,隐私计算和上层应用是不可分割的,不能分割开来。如果两者分离,会带来算法判别等诸多新的安全问题。或者,由于开发人员不知道具体的数据是什么,即使数据被黑客故意干扰并放入“脏数据”和“有毒数据”,也不会被人知道,从而导致“数据中毒”的风险。
中国信通院在《隐私计算白皮书》中指出,与其他数据处理产品不同,隐私计算产品肩负着保护隐私数据安全的重要功能。目前,隐私计算的合规红线仍不明确。因此,技术服务厂商和产品用户对隐私计算产品面临的算法协议无法实现绝对安全等安全挑战应持谨慎态度,需要形成安全共识,探索出一条兼顾合规性、效率性和可用性要求的合规实践路径。
“内部的互联互通和外部的交叉融合,最终将为数据流通创造基础设施,打破产品壁垒。但是现在这个行业发展的太早了。这种互联的时机应该选择好,不要太早也不要太晚。在行业还没有发展起来的时候,不可能增加厂商的成本,在格局已经固定的时候,也不可能进行大规模的转型。因此,我们认为未来一两年是互联互通的重要发展节点。”颜姝告诉钛媒体App。
颜姝强调,随着AI产业的蓬勃发展,私有云+云+大数据的架构逐渐形成。仅仅依靠私有计算是不够的。实现新一代信息技术的整体价值释放,还需要更多的基础科学技术。租用服务器可咨询梦飞云idc了解。