党的十九届四中全会将数据列为生产要素以来,数据的开放共享、交换流通成为大数据产业发展的重点。但是数据要流通起来,需要解决保护个人隐私和开放共享的平衡,而这两点存在一定的矛盾性。我国《网络安全法》、《数据安全法》和《个人信息保护法》都要求市场参与者、数据处理者采取安全技术措施保障数据安全。但是越来越多的场景下,包括广告营销、人脸识别等场景都已经在使用个人的数据来完成流程,这使得隐私也日益成为用户关心的问题。大数据需要流动起来才能挖掘大数据这座金矿的价值,而隐私计算技术可能成为一种具有可行性的手段。
2021年1月,笔者参加了中国信通通院云大所联合蚂蚁集团的《隐私计算合规白皮书》座谈会,这份白皮书是业内第一份有权威机构参与的对技术和隐私合规问题提出系统解释的白皮书。
在这个座谈会,蚂蚁集团副总裁韦韬提出的“我们正在步入前所未有的数据密态时代”的观点,意思就是未来数据流通方式会发生巨大改变,从前的明文状态变成全密态,走向这个路径还有很多事情要做,对此大家很认同。蚂蚁还提出了一个技术新名词——“可信隐私计算”,一套基于数据全链路的有隐私计算解决方案。现在,行业也达成了共识任何单一的技术都难以解决数据安全的问题。
隐私计算(Privacy-preserving computation)是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,实现数据在流通与融合过程中的“可用不可见”。在这个白皮书中,《白皮书》聚焦隐私计算技术的合规性分析和常见误区,对隐私计算的参与方及其相互之间的法律关系进行了定义和分析,针对参与方在隐私计算全流程中应关注的法律与合规要点进行了详细的刨析,并以五个主要应用场景为例集中展示了隐私计算在保护数据隐私、提升数据安全保障等方面的积极价值,最后对隐私计算产业的发展进行了展望,集中展示了产业对隐私计算数据合规的思考。
隐私计算最重要的意义,就是其可被理解为是一种加强数据安全的技术措施,有助于保障数据处理过程中各方的数据安全,为防范安全风险提供技术支撑。从法律层面而言,应用隐私计算也属于履行法律要求的数据安全保护义务,有利于优化数据应用安全环境和维护相关数据主体的权益,从而使得数据的使用过程中具有保障,最终可以发掘数据的充分价值。
在发布会上,笔者也学习到了一些重要的方面,因此与法律定义的理想状态的“匿名化”相比,隐私计算对数据的处理更近于“去标识化”,因此输出的结果仍然属于个人信息,仍然需要满足个人信息保护的合规要求。第二个误区是“如果隐私计算的参与方未获得其他方的原始数据,即无需获得个人的授权同意”。正如白皮书所说,还是需要多方面参与,技术不能解决所有的问题,需要多方面一起协同创新,正如这份白皮书,就邀请了企业、研究机构和律师一起参加研究。
但是由于技术发展水平固有的局限性,隐私计算无法彻底解决各应用场景的合规问题。也因此,在技术层面上需要进一步演进,隐私计算可能促进隐私计算行业的发展,从而可能产生一个新的细分行业,同时也需要各方面一起来探索数据价值和隐私管理的平衡点,在案例的积累中找到更加优化的状态。隐私计算的难度就在于数据量海量并发的状态下,对于数据的申请和保护需求会是海量级别的,也因此对数据隐私的保护工作更加具有难度。
这么多年的业务经验积累下来,蚂蚁对于隐私计算的思考还是很深刻的,韦韬提的“我们正在步入数据密态时代”,高度提炼了未来数据应用的趋势。但目前面临的问题也正如他所说,数据安全对于很多小企业来说仍然是“奢侈品”,要把奢侈品变成“快消品”需要行业携手共建,科技普惠任重道远。
