新监管形势下的数据流通合规技术解最新探究 (连载一)
簡介:新監管形式下,數據的合規合理應用和數據安全是大家密切關注和探討的話題點,而DataTrust隱私增強計算平臺,能在保障數據隱私及安全前提下完成多方數據聯合分析、聯合訓練、聯合預測,實現數據價值流通,本系列內容將陸續為大家介紹其背后的工程框架和及業內隱私計算技術。
數據經濟價值與監管合規的功守道
2020年4月份,國務院發布《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》,指出數據成為繼土地、勞動力、資本、技術后的第五大生產要素,明確了數據的經濟主體地位。《意見》指出需要推進數據開放共享,加強數據資源整合及保護。2022年1月中國政府網發布《國務院辦公廳關于印發要素市場化配置綜合改革試點總體方案的通知》,《通知》指出探索“原始數據不出域、數據可用不可見”的交易范式。以上,宏觀政策層面為數據的開放及技術手段指明了方向。
另外一方面,隨著《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》組成的數據安全立法體系實施以及《網絡安全審查辦法》最新修訂以數據安全為中心,我國自上到下正在建立層次分明、重點突出的數據安全法規監管體系,針對侵害個人信息行為的相關監管也呈現出多部門監管、執法常態化等特點。
一方面是明確數據的經濟主體地位及加大開放,而另一方面是推進各種立法及監管,看似矛盾的背后其實有非常強的政策指向性:
- 數據需要流通整合才會有更大經濟價值
- 傳統的粗放式直接明文或簡單加密分享已行不通
- 數據流通共享需要被有效監管,應該滿足最小化合理必要且安全措施得當
監管合規要點與隱私技術
數據安全監管的核心很大一塊是個人隱私數據的使用和保護,因此我們基于《中華人民共和國個人信息保護法》來探討個人信息應用的合規及挑戰。為了具象討論,我們以滑雪場A公司和電商B公司來舉例說明。
如果,A公司把數據分享給B公司,其面臨的數據合規及商業價值保護挑戰有:
- A公司需要會員同意,通常情況下,基于消費者個體隱私保護意識,很難取得消費者同意授權;
- A公司需要防止B公司竊取用戶數據,個人信息被泄露需要受到嚴厲處罰,同時如何防止B公司轉移數據商業價值。
現在假設有一種方式,A公司與B公司的數據都是密態的,數據是明文不可見的,雙方都沒有手段直接看到對方明文,但仍然可以在密態的情況下能進行和明文能做的計算保持一致,且雙方能通過技術手段管控只能做以下約定的兩種應用場景:
第1個場景,由于B公司只輸出了統計信息,而統計信息是無法反推出個體,滿足匿名化應用的合規要求。第2個場景,通過數據可用不可見做預測,B公司沒有獲取A公司具體特征信息,甚者可以不知道A公司的特征是哪些。
以上具體場景,借助了隱私增強計算技術能夠做到匿名化和特征屬性不可見應用。當前,隱私增強計算技術,在數據保護和大數據性能上已經達到了業務應用的狀態,如下總結了部分合規要點與隱私技術的關切點:
圖:隱私增強計算技術與隱私保護、數據安全的關切點
說明:隱私增強計算技術,是一類技術的統稱,用于數據融通共享處理過程中的數據安全與隱私保護。它能進行的計算方式有:安全匹配、聯合分析、聯合建模、聯合預測。
數據共享應用場景化合規設計思考
在涉及多方間的數據共享應用時,隱私計算只是解決合規關切點中的一部分。實際上,數據合規與監管涉及的鏈路:從哪里來(來源的合法性)、做什么處理(場景明確、數據可用不見)、要到哪里去(業務活動審計)。
如下圖,為隱私計算聯盟、中國信通院云大所發布的《隱私計算法律與合規白皮書》中的隱私計算法律與合規關注要點:
圖:隱私計算法律與合規關注要點
在企業間數據應用時,基于法理依據如數據委托處理規則,企業之間應該簽訂相應的商務合作協議,確保數據來源的合理性、約定數據應用的場景以及數據融通處理的技術手段、違反約定的處理措施、有條件的話需要互相開放融合結果用于業務活動的應用審計。目前,隱私計算平臺提供方,在數據融合計算時,也開放了數據處理日志審計以用于合作多方或者開放給第三方監管審計,做到能自證。
以下,收集了部分數據應用場景合規設計實踐參考(不作為指導意見):
以上合規實踐設計,仍然需要與監管機構、業務方不斷探索優化。在實際落地時,需要引入法務和安全的同學對具體業務場景必要性及合規安全方案反復推敲。我們相信在數據要素生產力、數字經濟的政策引領下,在新技術的不斷發展下,一定會推動數據安全合規的流通起來,釋放數據的商業價值。
原文鏈接
本文為阿里云原創內容,未經允許不得轉載。?
總結
以上是生活随笔為你收集整理的新监管形势下的数据流通合规技术解最新探究 (连载一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 大数据时代下,App数据隐私安全你真的了
- 下一篇: 技术人生第5篇——浅谈如何成为技术一号位