黃超 賈宇航 李克鵬 代威 梅述家

(深圳市騰訊計算機(jī)系統(tǒng)有限公司,深圳 518057)

0 引言

國家數(shù)據(jù)局等17部門聯(lián)合印發(fā)的《“數(shù)據(jù)要素×”三年行動計劃(2024—2026年)》提出[1],要激活數(shù)據(jù)要素潛能,解決數(shù)據(jù)流通機(jī)制不暢、應(yīng)用潛力釋放不夠等問題。數(shù)據(jù)流通是推動數(shù)據(jù)要素市場化配置的關(guān)鍵,但是目前數(shù)據(jù)流通正面臨嚴(yán)峻的挑戰(zhàn)和困難。如數(shù)據(jù)提供方因擔(dān)心風(fēng)險而不愿提供數(shù)據(jù)、數(shù)據(jù)需求方因擔(dān)心風(fēng)險而不敢使用數(shù)據(jù)、管理方因擔(dān)心風(fēng)險而不能放松要求、個人用戶因擔(dān)心風(fēng)險而不愿其他主體使用其個人信息等。因此,如果無法有效管理企業(yè)數(shù)據(jù)流通風(fēng)險,就無法真正讓數(shù)據(jù)合規(guī)、高效地流通。

1 數(shù)據(jù)流通風(fēng)險管理

1.1 風(fēng)險要素概述

企業(yè)要管理數(shù)據(jù)流通風(fēng)險,需要了解幾個核心要素及其之間的關(guān)系(見圖1)。風(fēng)險會影響數(shù)據(jù)流通的意愿及效果,可以通過加強(qiáng)保護(hù)措施來降低風(fēng)險,促進(jìn)數(shù)據(jù)流通。在數(shù)據(jù)流通風(fēng)險中,合規(guī)和安全風(fēng)險是目前最大的挑戰(zhàn)。在實施保護(hù)措施時,雖然保護(hù)措施越強(qiáng)意味著風(fēng)險越低,但是也會帶來更高的實施成本和更低的流通效率,因此需要找到成本和效率之間的最佳平衡點。

圖1 企業(yè)數(shù)據(jù)流通風(fēng)險要素關(guān)系圖

1.2 企業(yè)數(shù)據(jù)流通風(fēng)險管理框架

本文提出了一種企業(yè)數(shù)據(jù)流通風(fēng)險管理框架,用于有效識別數(shù)據(jù)流通中的相關(guān)要素及其風(fēng)險,并對風(fēng)險進(jìn)行分析和處置,從而降低風(fēng)險發(fā)生的可能性以及發(fā)生后的損失,以加強(qiáng)數(shù)據(jù)流通各個主體之間的信任,為數(shù)據(jù)的合規(guī)、安全、高效流通提供保障。

如圖2所示,整個管理框架分為1個管理原則和4個管理層次。其中,管理原則中的安全合規(guī)是基礎(chǔ),應(yīng)確保數(shù)據(jù)流通中涉及的數(shù)據(jù)內(nèi)容、流程、操作等合法合規(guī);數(shù)據(jù)要素具備很強(qiáng)的時效性,因此對數(shù)據(jù)流通風(fēng)險的管理要動態(tài)且有效;數(shù)據(jù)流通的任何環(huán)節(jié)出現(xiàn)問題都可能導(dǎo)致嚴(yán)重后果,因此需要對全流程進(jìn)行穿透式風(fēng)險管理;最后,需要鼓勵和支持?jǐn)?shù)據(jù)流通中的新技術(shù)、新業(yè)態(tài)創(chuàng)新,關(guān)注數(shù)據(jù)流通的約束和創(chuàng)新的矛盾性,在一定安全保護(hù)的基礎(chǔ)上尋找最優(yōu)的流通效率,達(dá)到成本和性能的平衡,才能使得數(shù)據(jù)流通工作可持續(xù)[2]。

圖2 企業(yè)數(shù)據(jù)流通風(fēng)險管理框架

4個管理層次遵循經(jīng)典的風(fēng)險管理理論[3],即資產(chǎn)識別、風(fēng)險識別、風(fēng)險分析、風(fēng)險處置和持續(xù)改進(jìn),具體到數(shù)據(jù)流通場景則包括流通對象識別、流通風(fēng)險識別、流通風(fēng)險分析和流通風(fēng)險處置。其中,流通對象識別涉及流通資產(chǎn)識別和流通活動識別。流通風(fēng)險識別主要針對數(shù)據(jù)流通中法規(guī)、標(biāo)準(zhǔn)中涉及的合規(guī)風(fēng)險,以及技術(shù)和管理方面的安全風(fēng)險。流通風(fēng)險分析包括對各要素的風(fēng)險分析、對個人信息風(fēng)險分析以及對企業(yè)已有風(fēng)險保護(hù)措施的分析。流通風(fēng)險處置主要包括對風(fēng)險保護(hù)措施的增強(qiáng)以及對評估后的殘余風(fēng)險接受。

2 企業(yè)數(shù)據(jù)流通關(guān)鍵對象識別

企業(yè)數(shù)據(jù)流通關(guān)鍵對象的識別如圖3所示,數(shù)據(jù)流通的關(guān)鍵要素主要分為資產(chǎn)、活動兩大方面。資產(chǎn)又可以分為流通需求、數(shù)據(jù)資產(chǎn)、流通主體、支撐環(huán)境等;活動主要是指在數(shù)據(jù)流通過程(各環(huán)節(jié))中涉及的各項任務(wù)/操作的集合。企業(yè)數(shù)據(jù)流通風(fēng)險管理的核心是盤清涉及的所有資產(chǎn)和活動,識別和分析針對資產(chǎn)和活動的風(fēng)險隱患,提出與保護(hù)措施相關(guān)的建議并落地實施,不斷減緩風(fēng)險,讓數(shù)據(jù)在安全合規(guī)的基礎(chǔ)上流通更加暢通。

圖3 企業(yè)數(shù)據(jù)流通關(guān)鍵對象識別

2.1 數(shù)據(jù)流通資產(chǎn)識別

流通資產(chǎn)識別包括流通需求識別、數(shù)據(jù)資產(chǎn)識別、流通主體識別和支撐環(huán)境識別。流通需求識別內(nèi)容主要包括數(shù)據(jù)流通的原因、背景和應(yīng)用場景、模式和方法等;數(shù)據(jù)資產(chǎn)識別主要識別流通數(shù)據(jù)的具體字段、規(guī)模、敏感程度、狀態(tài)(原始數(shù)據(jù)、中間數(shù)據(jù)、結(jié)果數(shù)據(jù))、類型(數(shù)據(jù)庫表、文件、數(shù)據(jù)服務(wù)應(yīng)用程序編程接口(Application Programming Interface,API))以及元數(shù)據(jù)等;流通主體可以分為數(shù)據(jù)提供方、數(shù)據(jù)需求方、數(shù)據(jù)流通服務(wù)平臺方、管理方、個人用戶等;支撐環(huán)境識別內(nèi)容主要有支撐數(shù)據(jù)流通的業(yè)務(wù)和信息系統(tǒng)、工具、服務(wù)等,具體可包括數(shù)據(jù)流通的審批流程系統(tǒng)、合規(guī)評估工具、數(shù)據(jù)脫敏工具、審計工具、數(shù)據(jù)建模分析平臺、訪問數(shù)據(jù)的終端設(shè)備等,這些支撐環(huán)境可能存在不同維度的脆弱性,在威脅源的利用下可能導(dǎo)致不同的風(fēng)險。

在流通主體識別中,各主體存在不同的數(shù)據(jù)流通職責(zé),且主體之間相互配合,共同完成數(shù)據(jù)要素流通的目標(biāo)和任務(wù)。具體來看,數(shù)據(jù)提供方在流通前需要采集數(shù)據(jù)并對采集后的數(shù)據(jù)進(jìn)行預(yù)處理,如數(shù)據(jù)脫敏、數(shù)據(jù)去標(biāo)識化、信息匿名化/假名化等,保障流通前數(shù)據(jù)合規(guī)、可流通,并且需要對數(shù)據(jù)進(jìn)行聲明和注冊,確保數(shù)據(jù)的合法性、準(zhǔn)確性和可追溯性;在流通中負(fù)責(zé)數(shù)據(jù)開發(fā)以及數(shù)據(jù)發(fā)布的工作,即將數(shù)據(jù)發(fā)送傳輸至數(shù)據(jù)需求方;流通后對數(shù)據(jù)進(jìn)行加工,支撐聯(lián)合計算或建模,并監(jiān)督整個數(shù)據(jù)流通合作合約落實情況。數(shù)據(jù)需求方在流通前需要進(jìn)行流通需求申請以及安全措施聲明,并與數(shù)據(jù)提供方簽署數(shù)據(jù)流通合作合約;流通中進(jìn)行數(shù)據(jù)接收,包括數(shù)據(jù)接入、數(shù)據(jù)存儲、第三方申請等;流通后對數(shù)據(jù)進(jìn)行加工處理,如聯(lián)合建模、應(yīng)用,并確保數(shù)據(jù)安全保護(hù)以及使用后數(shù)據(jù)的及時銷毀和刪除。數(shù)據(jù)流通服務(wù)平臺方負(fù)責(zé)流通前的數(shù)據(jù)流通目錄維護(hù),流程評估/審批工具的支撐以及流通環(huán)境的平臺支撐;整個流通中,數(shù)據(jù)提供方、數(shù)據(jù)需求方、數(shù)據(jù)流通服務(wù)平臺方需要保障整個數(shù)據(jù)流通中訂單履行的正常實施。管理方需要對整個數(shù)據(jù)流通進(jìn)行合規(guī)評估和監(jiān)督,在流通前需要需求評估以及合規(guī)評估,并進(jìn)行合規(guī)審批工作;在流通中需要對流通進(jìn)行監(jiān)督審計以及算法、模型、傳輸?shù)谋O(jiān)控,確保數(shù)據(jù)流通實施過程合規(guī),避免出現(xiàn)流通過程中的新增風(fēng)險;流通后做好事后的監(jiān)督審計,包括交易審計、合同約束、操作審計等。個人用戶在流通前需要對涉及用戶的個人數(shù)據(jù)進(jìn)行用戶告知和授權(quán)同意,并對整個流通中和流通后的數(shù)據(jù)進(jìn)行監(jiān)督。

2.2 數(shù)據(jù)流通活動識別

數(shù)據(jù)流通活動可以細(xì)分為流通前、流通中和流通后三大過程中的各項數(shù)據(jù)處理任務(wù)/操作。本文針對不同的流通主體,分析梳理了其在三大過程中的活動,形成活動集合。例如,數(shù)據(jù)提供方在流通前需要開展數(shù)據(jù)采集和預(yù)處理、流通數(shù)據(jù)聲明/注冊、保護(hù)措施準(zhǔn)備、數(shù)據(jù)流通合作合約簽署等活動;在流通中需要進(jìn)行數(shù)據(jù)開發(fā)(針對要流通的數(shù)據(jù)做篩選、預(yù)處理等)、數(shù)據(jù)發(fā)布(將數(shù)據(jù)傳輸?shù)侥康牡?、聯(lián)合建模(如利用聯(lián)邦學(xué)習(xí)的方式,數(shù)據(jù)不出本地域進(jìn)行建模分析)等活動;在流通后需要開展數(shù)據(jù)審計、合約落實監(jiān)督等活動。其他主體(數(shù)據(jù)需求方、數(shù)據(jù)流通服務(wù)平臺方、管理方和個人用戶)的活動可詳見圖3。

3 企業(yè)數(shù)據(jù)流通風(fēng)險和保護(hù)措施

如表1和表2所示,本文識別并分析了數(shù)據(jù)流通中的相關(guān)風(fēng)險,總結(jié)了企業(yè)數(shù)據(jù)流通風(fēng)險和保護(hù)措施。表1和表2可用于指導(dǎo)企業(yè)內(nèi)外部數(shù)據(jù)流通實踐,促進(jìn)企業(yè)內(nèi)外數(shù)據(jù)流通的合規(guī)、安全和高效。本文從流通主體、數(shù)據(jù)資產(chǎn)、流通需求、支撐環(huán)境4個維度全面識別了數(shù)據(jù)流通涉及的流通風(fēng)險,并針對每一個風(fēng)險給出了保護(hù)和控制措施。

表1 企業(yè)數(shù)據(jù)流通風(fēng)險識別與分析

表2 企業(yè)數(shù)據(jù)流通風(fēng)險和保護(hù)措施

3.1 流通主體

流通前,簽約主體不滿足資質(zhì)要求(如失信、缺失相應(yīng)牌照等)時,通過主體資質(zhì)審核避免主體資質(zhì)安全風(fēng)險。同時,各相關(guān)主體分工職責(zé)需要明確,如數(shù)據(jù)提供方需要保障數(shù)據(jù)來源的合法性、數(shù)據(jù)提供方需要保障數(shù)據(jù)服務(wù)的可靠性。

流通中,流通主體存在身份安全風(fēng)險,比如主體身份存在被攻擊偽造、密鑰管理不當(dāng)?shù)蕊L(fēng)險。通過對主體身份進(jìn)行進(jìn)一步認(rèn)證以及合約校驗的方式保證流通主體的合規(guī)。

流通后,流通主體需要及時履行合約要求,通過完善主體履約監(jiān)督機(jī)制,保證數(shù)據(jù)流通后業(yè)務(wù)的正常運(yùn)轉(zhuǎn)以及合規(guī),避免主體有/無意識的數(shù)據(jù)泄露風(fēng)險,數(shù)據(jù)需求方未經(jīng)允許不能進(jìn)行數(shù)據(jù)的二次轉(zhuǎn)售/超出范圍使用。

3.2 數(shù)據(jù)資產(chǎn)

流通前,管理方需要對企業(yè)數(shù)據(jù)源的合法性進(jìn)行風(fēng)險判別,例如數(shù)據(jù)來源是否合規(guī),是否未遵守相關(guān)隱私保護(hù)法律法規(guī),數(shù)據(jù)知識產(chǎn)權(quán)是否侵權(quán)等;還需要通過企業(yè)數(shù)據(jù)合法性審查和知識產(chǎn)權(quán)保護(hù),如協(xié)商、投訴等方式對潛在風(fēng)險進(jìn)行控制。數(shù)據(jù)提供方,針對數(shù)據(jù)權(quán)屬問題,需要對數(shù)據(jù)進(jìn)行授權(quán),如獲取個人用戶知情同意;針對數(shù)據(jù)質(zhì)量問題,如數(shù)據(jù)真實性、完整性、準(zhǔn)確性存在問題,可以通過準(zhǔn)確性校驗、元數(shù)據(jù)管理、數(shù)據(jù)分類分級等方式解決;針對流通前的數(shù)據(jù)安全風(fēng)險,需要通過數(shù)據(jù)脫敏、去標(biāo)識化、匿名化等對數(shù)據(jù)進(jìn)行隱私脫敏、加密等安全保障處理;最后,在違規(guī)定價方面,如果未能按照定價規(guī)定或未能精準(zhǔn)定價容易發(fā)生業(yè)務(wù)糾紛或訴訟的風(fēng)險,需要進(jìn)一步完善數(shù)據(jù)定價機(jī)制,保障企業(yè)數(shù)據(jù)支付交易的正常運(yùn)轉(zhuǎn)。

流通中,主要涉及傳輸和存儲風(fēng)險、模型風(fēng)險、數(shù)據(jù)一致性和完整性風(fēng)險。針對傳輸和存儲風(fēng)險,需要通過數(shù)據(jù)傳輸加密、數(shù)據(jù)沙箱(封閉域)、訪問控制等方式解決數(shù)據(jù)傳輸安全(如未加密傳輸)或數(shù)據(jù)存儲環(huán)境安全(如第三方存儲環(huán)境的訪問控制、未加密存儲)問題,保障訪問控制和存儲加密;針對模型風(fēng)險,即流通中發(fā)生模型攻擊(如使用聯(lián)邦學(xué)習(xí)方案被攻擊)導(dǎo)致原始數(shù)據(jù)泄露,一方面通過對模型安全進(jìn)行評估等方式進(jìn)行保障,另一方面通過增強(qiáng)隱私計算安全(如同態(tài)加密、差分隱私等)進(jìn)行保障;針對數(shù)據(jù)一致性和完整性風(fēng)險,通過數(shù)據(jù)一致性和完整性校驗,確保數(shù)據(jù)沒有丟失、損壞或增加。

流通后,企業(yè)數(shù)據(jù)同樣需要避免數(shù)據(jù)存儲風(fēng)險,如數(shù)據(jù)需求方存儲環(huán)境安全(需求方或第三方存儲管理方實施訪問控制和存儲加密)。此外,還可以解決重識別風(fēng)險、重標(biāo)識攻擊、個人信息的重識別。此類風(fēng)險需要通過數(shù)據(jù)去標(biāo)識化、匿名化、合同約束操作審計等方式保障企業(yè)數(shù)據(jù)流通正常運(yùn)轉(zhuǎn)。

3.3 流通需求

流通前,企業(yè)法務(wù)需要識別出需求合法性風(fēng)險以及合同合法合規(guī)風(fēng)險。針對需求合法性風(fēng)險,如數(shù)據(jù)流通場景需求不合理、數(shù)據(jù)需求方對數(shù)據(jù)的申請不滿足最小必要原則等,法務(wù)需要通過需求審核對流通主體反饋;針對合同合法合規(guī)風(fēng)險,例如合同條款的法律風(fēng)險,法務(wù)需要對合同進(jìn)行審核。

流通中,存在合同履行過程風(fēng)險,涉及供需主體履約行為與訂單不一致,其中履約行為包括數(shù)據(jù)流轉(zhuǎn)、資金流、訂單、供需方交易平臺信息、交付結(jié)算信息等。流通中需要進(jìn)行合同履行的監(jiān)督,如通過合同履行過程信息追溯和審計的方式進(jìn)行監(jiān)督。

流通后,可能存在潛在的合同驗收風(fēng)險,如工序主題履約行為與訂單不一致(履約行為包括費(fèi)用結(jié)算、項目驗收等),或者未按合同要求按時刪除數(shù)據(jù)。此類風(fēng)險需要法務(wù)在流通后進(jìn)行合同驗收的監(jiān)督和審計來有效降低。

3.4 支撐環(huán)境

在整個數(shù)據(jù)流通過程中需要一定的環(huán)境支撐,同時也存在一定風(fēng)險,此類風(fēng)險仍然會影響企業(yè)數(shù)據(jù)要素的正常流通,仍然需要去識別并制定必要的控制保護(hù)措施進(jìn)行規(guī)范。

流通前(即在系統(tǒng)設(shè)計階段)存在安全風(fēng)險,包括系統(tǒng)環(huán)境(如軟硬件故障、物理環(huán)境影響、算法、密碼強(qiáng)度等)造成的風(fēng)險。需要采取一定的保護(hù)措施,如系統(tǒng)安全設(shè)計、系統(tǒng)設(shè)計階段安全測試、系統(tǒng)設(shè)計階段安全評估。針對系統(tǒng)設(shè)計階段穩(wěn)定性風(fēng)險,例如系統(tǒng)性能、資源未達(dá)到數(shù)據(jù)流通要求,在系統(tǒng)設(shè)計階段通過一定的穩(wěn)定性測試進(jìn)行控制,包括平均故障間隔時間(Mean Time Between Failures,MTBF)、平均修復(fù)時間(Mean Time To Repair,MTTR)、平均故障時間(Mean Time To Failure,MTTF)評估;針對管理風(fēng)險,包括人員無意識操作失誤、有意識越權(quán)或濫用以及安全事件管理上沒有明確的安全應(yīng)急響應(yīng)機(jī)制等,通過制定管理制度和懲罰機(jī)制、安全應(yīng)急響應(yīng)機(jī)制、安全培訓(xùn)制度等進(jìn)行控制。

流通中包括系統(tǒng)運(yùn)行階段安全風(fēng)險和系統(tǒng)運(yùn)行階段穩(wěn)定性風(fēng)險兩大類。針對系統(tǒng)運(yùn)行階段安全風(fēng)險,如系統(tǒng)環(huán)境造成的風(fēng)險,需要通過系統(tǒng)運(yùn)行階段安全測試和安全評估進(jìn)行風(fēng)險控制;針對系統(tǒng)運(yùn)行階段穩(wěn)定性風(fēng)險,如系統(tǒng)不穩(wěn)定而導(dǎo)致數(shù)據(jù)流通停滯、數(shù)據(jù)丟失等風(fēng)險,需要通過系統(tǒng)運(yùn)行階段穩(wěn)定性測試進(jìn)行風(fēng)險控制。

流通后仍然包括系統(tǒng)運(yùn)行階段的安全風(fēng)險和穩(wěn)定性風(fēng)險,此外,還包括審計風(fēng)險和管理風(fēng)險。如未審計或監(jiān)控用戶的操作記錄、管理制度監(jiān)督落實不到位,可通過安全審計和管理制度、懲罰機(jī)制的落實進(jìn)行約束和風(fēng)險控制。

4 企業(yè)數(shù)據(jù)流通風(fēng)險管理實踐要點

4.1 個人信息風(fēng)險評估要點

4.1.1 個人信息流通前的合規(guī)性評估

開展個人信息數(shù)據(jù)流通活動之前,需識別數(shù)據(jù)流通的合法性,即是否屬于法律禁止或受限的情況。正當(dāng)性和必要性可根據(jù)數(shù)據(jù)流通的場景進(jìn)行評估,評估流通活動是否具有明確、合理的目的,是否限于實現(xiàn)流通目的的最小范圍,以及是否采取安全保護(hù)措施等[4]。

4.1.2 個人信息流通活動的用戶同意情況評估

評估個人信息的流通活動(將本企業(yè)收集的個人信息提供給數(shù)據(jù)需求方)是否征得過個人用戶的同意(查閱隱私協(xié)議、單獨授權(quán)等內(nèi)容),并且在數(shù)據(jù)處理目的、方式、期限等變化時是否重新征得個人用戶的同意;涉及敏感個人信息的流通,是否單獨征得個人用戶同意;征得個人用戶同意的具體方式是否滿足《中華人民共和國個人信息保護(hù)法》(簡稱《個人信息保護(hù)法》)的相關(guān)要求。

4.1.3 個人信息流通的安全保護(hù)措施情況評估

評估各數(shù)據(jù)主體的數(shù)據(jù)安全保護(hù)措施和水平;評估是否通過合同、保密協(xié)議等約束數(shù)據(jù)需求方的安全責(zé)任;評估數(shù)據(jù)流通安全審計機(jī)制和技術(shù)工具情況。

4.1.4 個人信息流通的影響評估

評估數(shù)據(jù)流通的過程以及流通后的數(shù)據(jù)加工使用情況;評估是否會對用戶的個人信息安全和合規(guī)產(chǎn)生新風(fēng)險;評估個人信息維權(quán)通道是否通暢等。

4.2 技術(shù)安全風(fēng)險評估要點

4.2.1 基礎(chǔ)安全保障

評估是否根據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度要求,確定了網(wǎng)絡(luò)安全保護(hù)等級,并根據(jù)相應(yīng)的級別實施安全措施。

4.2.2 特定安全風(fēng)險

一是聯(lián)邦學(xué)習(xí)算法安全風(fēng)險。聯(lián)邦學(xué)習(xí)算法經(jīng)常用于涉及個人隱私數(shù)據(jù)的聯(lián)合分析場景,需要開展隱私數(shù)據(jù)泄露風(fēng)險評估。聯(lián)邦學(xué)習(xí)算法的安全風(fēng)險主要是指聯(lián)邦學(xué)習(xí)算法在訓(xùn)練、部署的過程中,對外公開的信息、與外界交互的信息泄露訓(xùn)練數(shù)據(jù)中的敏感信息的風(fēng)險。因此,可以通過模擬攻擊者與聯(lián)邦學(xué)習(xí)的目標(biāo)模型交互,選擇合適的攻擊算法,配置不同的攻擊強(qiáng)度進(jìn)行隱私攻擊,評估算法的安全性。數(shù)據(jù)防污染評估：訓(xùn)練數(shù)據(jù)投毒污染是在訓(xùn)練數(shù)據(jù)中植入惡意樣本或修改數(shù)據(jù)以欺騙聯(lián)邦學(xué)習(xí)模型的方法。可以對訓(xùn)練數(shù)據(jù)采取安全措施,包括數(shù)據(jù)進(jìn)行加密存儲、訪問控制、完整性校驗等防止數(shù)據(jù)被篡改和污染。

二是重標(biāo)識風(fēng)險?！秱€人信息保護(hù)法》中對“匿名化”的定義是“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”。匿名化后的數(shù)據(jù)不屬于個人信息,匿名化因此成為個人信息安全合規(guī)流通的重要方式。但是,目前業(yè)界的匿名化技術(shù)尚未完全成熟,也缺乏理論支撐,匿名化后的數(shù)據(jù)不能在任何情況下還原后重識別特定個人。因此對匿名化的效果進(jìn)行評估,就成為了降低匿名化后數(shù)據(jù)使用風(fēng)險的重要保障。例如,使用k匿名方案進(jìn)行匿名化效果評估,即在經(jīng)過匿名化處理后的數(shù)據(jù)集中,特定字段若存在k條重復(fù)記錄,則說明該記錄的匿名化處理程度達(dá)標(biāo)等。

4.3 管理安全風(fēng)險評估要點

評估數(shù)據(jù)流通企業(yè)的管理水平,包括是否建設(shè)了專門的數(shù)據(jù)管理部門、組織架構(gòu)用于支撐、監(jiān)督、管理企業(yè)的數(shù)據(jù)流通活動;是否制定了數(shù)據(jù)流通相關(guān)的制度文件和標(biāo)準(zhǔn)規(guī)范,例如企業(yè)數(shù)據(jù)分類分級管理、個人信息合規(guī)和安全保護(hù)管理、數(shù)據(jù)內(nèi)外部流通流程管理等;是否進(jìn)行了數(shù)據(jù)流通的審計和監(jiān)督管理工作(如內(nèi)部審計或第三方審計等)[5]。

4.4 技術(shù)方案推薦

4.4.1 匿名化技術(shù)方案

個人信息的共享流通,會增加信息被泄露、濫用等可能性,而大數(shù)據(jù)和人工智能技術(shù)的發(fā)展,將進(jìn)一步增加個人信息在匯聚融合后被違法、違規(guī)挖掘分析的風(fēng)險。在此背景下,匿名化技術(shù)[6]作為一種行之有效的解決路徑引起越來越多的關(guān)注,并成為平衡數(shù)據(jù)要素流動和數(shù)據(jù)合規(guī)安全利用的一種關(guān)鍵路徑。對個人信息進(jìn)行高效的匿名化處理,能夠確保數(shù)據(jù)要素的合規(guī)流通,極大提高數(shù)據(jù)利用效率。常見的匿名化技術(shù)有統(tǒng)計技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機(jī)化技術(shù)、數(shù)據(jù)合成技術(shù)等。

在匿名化處理之后,對于離線場景下庫表格式的結(jié)構(gòu)化數(shù)據(jù),建議進(jìn)一步基于k匿名的匿名化效果評價方法,對匿名化處理之后的數(shù)據(jù)集進(jìn)行評價。參考國內(nèi)外的實踐經(jīng)驗,例如,根據(jù)新加坡個人數(shù)據(jù)保護(hù)委員會發(fā)布的《基礎(chǔ)匿名化指南》,如果數(shù)據(jù)經(jīng)過匿名化處理已達(dá)到最小k匿名值5,再加上相關(guān)的保護(hù)措施,則數(shù)據(jù)可被認(rèn)為是充分匿名的,可以與外部各方流通。對于組織內(nèi)的用例或數(shù)據(jù)流通,即內(nèi)部數(shù)據(jù)共享,數(shù)據(jù)實現(xiàn)較低的最小k匿名值3以及相關(guān)的內(nèi)部控制措施,可以被認(rèn)為是合理匿名的。

在實踐層面,建議綜合性地采用合規(guī)管控、流程管控、安全管控、評價工具等方面的措施,實現(xiàn)可控環(huán)境中的匿名化要求。具體措施可包括以下幾種。一是合規(guī)管控措施,包括定期開展匿名化重標(biāo)識風(fēng)險評估、簽署數(shù)據(jù)共享協(xié)議、開展合規(guī)培訓(xùn)等;二是流程管控措施,對數(shù)據(jù)流通行為進(jìn)行管理、業(yè)務(wù)審批、定期清除數(shù)據(jù)、定期內(nèi)部檢查、監(jiān)測審計等;三是安全管控措施,采用適當(dāng)?shù)哪涿夹g(shù)將重標(biāo)識風(fēng)險控制在可接受風(fēng)險閾值范圍內(nèi),以及采用訪問控制、隱私計算、數(shù)據(jù)沙箱、存儲環(huán)境安全、事件管理等措施;四是技術(shù)工具措施,采用數(shù)據(jù)發(fā)現(xiàn)、匿名化處理、匿名化效果評價等相關(guān)的技術(shù)工具,實現(xiàn)自動化處理。

4.4.2 隱私計算的技術(shù)方案

隱私計算是在保證不泄露原始數(shù)據(jù)的前提下,由兩個或多個參與方對分散的數(shù)據(jù)源進(jìn)行聯(lián)合計算的一類信息技術(shù),可以保障數(shù)據(jù)在處理全過程中“可用不可見”。隱私計算的常用技術(shù)方案有多方安全計算(Secure Multi-Party Computation,MPC)、聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境(Trusted Execution Environment,TEE)等。MPC是一種在參與方互不信任且對等的前提下,以多方數(shù)據(jù)為輸入完成計算目標(biāo),保證除計算結(jié)果及其可推導(dǎo)出的信息之外不泄露各方隱私數(shù)據(jù)的協(xié)議;聯(lián)邦學(xué)習(xí)是一種分布式機(jī)器學(xué)習(xí)范式,包括兩個或多個參與方,這些參與方通過安全的算法協(xié)議進(jìn)行聯(lián)合機(jī)器學(xué)習(xí),可以在各方原始數(shù)據(jù)不出本地、不傳輸原始數(shù)據(jù)的情況下聯(lián)合多方數(shù)據(jù)源建模和提供聯(lián)合模型推理服務(wù);基于TEE的安全計算是數(shù)據(jù)計算平臺上由軟/硬件方法構(gòu)建的一個安全區(qū)域,可保證在安全區(qū)域內(nèi)部加載的代碼和數(shù)據(jù)的機(jī)密性、完整性。

隱私計算技術(shù)既可以保障數(shù)據(jù)安全和用戶隱私,又能夠挖掘多方數(shù)據(jù)協(xié)同應(yīng)用所帶來的價值。隱私計算技術(shù)目前在金融、政務(wù)、互聯(lián)網(wǎng)、醫(yī)療等數(shù)據(jù)密集型行業(yè)積極開展落地實踐,促進(jìn)數(shù)據(jù)資源開放共享,釋放數(shù)據(jù)價值。例如,在金融場景中,金融機(jī)構(gòu)一般作為數(shù)據(jù)需求方,通過隱私計算技術(shù)引入外部數(shù)據(jù)提高金融風(fēng)控、聯(lián)合營銷等效果;在政務(wù)場景中,可以基于隱私計算技術(shù)打通跨域數(shù)據(jù)的應(yīng)用價值鏈,實現(xiàn)政務(wù)數(shù)據(jù)的開放和共享,充分發(fā)揮數(shù)據(jù)融合價值;在互聯(lián)網(wǎng)場景中,隱私計算可以幫助互聯(lián)網(wǎng)機(jī)構(gòu)之間共享和交換密文數(shù)據(jù),實現(xiàn)對已有客戶的精準(zhǔn)推薦,以及進(jìn)行數(shù)據(jù)協(xié)作,實現(xiàn)獲客引流;在醫(yī)療場景中,基于隱私計算的數(shù)據(jù)融合應(yīng)用主要是跨醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)共享流通,用于臨床輔助決策、醫(yī)學(xué)研究等。

4.4.3 數(shù)據(jù)沙箱的技術(shù)方案

數(shù)據(jù)沙箱通過軟硬件手段的結(jié)合,形成一個對數(shù)據(jù)接入和導(dǎo)出進(jìn)行嚴(yán)格管控的區(qū)域,其中包含預(yù)先指定、劃分出來的運(yùn)算與存儲資源,與宿主的其他資源完全隔離。

沙箱的實現(xiàn)方式可分為軟件和軟硬件結(jié)合等不同形態(tài),軟件形態(tài)一般通過虛擬機(jī)或容器進(jìn)行創(chuàng)建,也可通過添加可信模塊等提升沙箱安全性。在數(shù)據(jù)流通場景中,數(shù)據(jù)沙箱常用于多方數(shù)據(jù)的匯聚與計算,涉及角色通常有數(shù)據(jù)方(在計算過程中提供數(shù)據(jù))、算力方(提供運(yùn)算環(huán)境,通常指沙箱提供方)、算法方(提供具體計算任務(wù)的算法邏輯)。由于多方數(shù)據(jù)的匯聚,出于安全性考慮,算力方通常部署在可信第三方。

數(shù)據(jù)沙箱技術(shù)也被稱為安全沙箱、封閉域、數(shù)據(jù)專區(qū)等。數(shù)據(jù)沙箱的使用場景主要包括3種,一是洞察和理解數(shù)據(jù),例如驗證數(shù)據(jù)準(zhǔn)確性、查看數(shù)據(jù)字段分布和自有產(chǎn)品做重合度分析;二是統(tǒng)計分析場景,例如基于流水?dāng)?shù)據(jù)、其他數(shù)據(jù)、計算統(tǒng)計類指標(biāo)做日常監(jiān)控使用;三是復(fù)雜清洗和挖掘邏輯,例如打通多方流水?dāng)?shù)據(jù),進(jìn)行用戶興趣建模,挖掘后的結(jié)果可以通過授權(quán)和審計后導(dǎo)出。

5 結(jié)束語

在我國大力發(fā)展數(shù)據(jù)要素、推動數(shù)據(jù)要素市場化、加快釋放數(shù)據(jù)價值的時代背景下,數(shù)據(jù)流通是每個企業(yè)的重要發(fā)展機(jī)遇和數(shù)據(jù)基礎(chǔ)性工作,同樣也會面臨重要挑戰(zhàn)。但總體而言,機(jī)遇遠(yuǎn)大于挑戰(zhàn),需要充分識別風(fēng)險、分析風(fēng)險和管理風(fēng)險,在風(fēng)險可控的前提下保障數(shù)據(jù)流通工作的高效、合規(guī)。企業(yè)數(shù)據(jù)流通風(fēng)險管理需要在合規(guī)、技術(shù)、管理等維度,以及業(yè)界的共同努力下持續(xù)完善,才能真正發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用,加快形成以創(chuàng)新為主要引領(lǐng)和支撐、具有中國特色的數(shù)字經(jīng)濟(jì)。

展望未來,對于數(shù)據(jù)流通風(fēng)險管理體系的構(gòu)建主要有3條建議。第一,建議進(jìn)一步制定和健全數(shù)據(jù)要素安全流通的法律法規(guī)。進(jìn)一步明確數(shù)據(jù)分類確權(quán)制度,對數(shù)據(jù)產(chǎn)權(quán)歸屬(如是否有些數(shù)據(jù)可以歸類為知識產(chǎn)權(quán)等路徑)進(jìn)行可行性探索研究,明確各方主體的法律責(zé)任,明確按照數(shù)據(jù)權(quán)屬確定可交易流通數(shù)據(jù)的類型、范圍和流通規(guī)則等。第二,建議進(jìn)一步完善數(shù)據(jù)流通風(fēng)險管理的標(biāo)準(zhǔn)體系建設(shè),指導(dǎo)國內(nèi)數(shù)據(jù)要素流通的工作,并積極參與國際標(biāo)準(zhǔn)制定,將我國的產(chǎn)業(yè)實踐貢獻(xiàn)到國際。第三,建議加強(qiáng)技術(shù)工具的研發(fā)和應(yīng)用,通過自動化的手段,形成對數(shù)據(jù)流通風(fēng)險的自動化識別、研判、分析和處理,提升風(fēng)險管控的效率。

隨著業(yè)界對于風(fēng)險管理能力的加強(qiáng)和完善,“數(shù)據(jù)要素×”行動的實施將不斷加快,形成基于數(shù)據(jù)要素流通的新產(chǎn)品、新服務(wù)、新產(chǎn)業(yè)、新模式,開辟經(jīng)濟(jì)增長新空間,培育經(jīng)濟(jì)發(fā)展新動能。