數據安全法將落地 隱私計算能成實現合規的最優解嗎？

每經記者｜可楊    每經編輯｜張海妮    

數據安全與隱私計算專題研討會現場。圖片來源：每經記者 可楊 攝

我國第一部有關數據安全的專門法律——《中華人民共和國數據安全法》（下稱“《數據安全法》”）將在9月1日落地實施。  

數字經濟不斷發展，數據本身的底層價值在快速井噴。但作為新生產要素的數據，在使用層面一直面臨諸多問題：一方面，數據只有開放、共享，才能被更加高效地利用；但另一方面，數據需要保護，不敢共享、不能共享成為行業共同面臨的數據困境。 

隨著《數據安全法》的出臺，數據的使用、流通與保護將得到進一步規范。面對《每日經濟新聞》記者提到的，這部法律會對數據交易市場造成怎樣影響的問題，中國信通院云計算與大數據研究所大數據部副主任閆樹表示，《數據安全法》專門有一部分是強調發展與安全并重，確實可能對現有模式帶來沖擊，但程度并不是很大，而且這是一個必要的過程。 

與此同時，隨著法律對數據的嚴監管方向逐步明確，隱私計算能否成為當下數據流通合規化的解答，也引發熱議。隱私計算通過對明文數據的加密，在避免產生數據孤島的基礎上實現數據的“可用不可見”，發揮數據價值，但法規落地后，隱私計算又是否會面臨合規問題？

合規是一個過程

《網絡安全法》、《數據安全法》以及《個人信息保護法》分別于（或將于）今年6月1日、9月1日以及11月1日落地實施。

據中倫律師事務所合伙人陳際紅介紹，三部法有交叉，但是是不同的監管對象和管理重點。其中，《數據安全法》的監管范圍主要包括在中國境內開展的數據處理活動，以及在境外開展數據處理活動，損害我國國家安全、公共利益或者公民、組織合法權益的。

那么，隨著《數據安全法》的落地，一些企業過往的數據資產是否會面臨合規性的追溯？

陳際紅認為，合規是一個過程，要求企業在法律頒布以后第二天合規不太現實。一般企業的實踐分兩個階段：合規之前的數據叫歷史數據；合規以后的授權、分類，應用場景做嚴格限制，這是新的起點，對歷史數據可以區分不再用，只要不泄露，不會對主體帶來權益的侵害。

自2014年起，我國多地陸續成立了大數據交易中心，打造開放的獨立第三方交易平臺，形成穩定的數據交易并收取費用。那么，《數據安全法》的出臺，對數據的流通進行了進一步的規范，會否影響數據交易市場的發展?

對此，瑞萊智慧CEO田天認為，數據交易所和股票交易所或期貨交易所是完全不同的，如果等一套完整的規范或者技術完善的時候，再做這樣一個交易的規則，其實是非常長周期的事，而且沒有相應的基礎支撐。

國家工業信息安全發展研究中心大數據研究室主任楊玫表示，現在出臺的時機是恰當其時，統籌安全與發展的概念，出臺以后什么數據是核心數據、重要數據，包括疫情之下，哪些是國家必須掌控的數據，這是現在大家急需解決的問題，所以現在法律的出臺非常適應市場的發展階段。

除了數據保護，陳際紅認為《數據安全法》基本把中國的數據跨境的制度構建成型，中國不搞數據孤島，但是出口的前提是安全、有序，在這個前提下自由流動。陳際紅表示，出口是廣義的出口，其實有各種各樣的形式。比如把物品從中國運到外國是出口；在中國把物品交給外國人這也是出口；服務器在中國但是國外有權限需要讀取數據這也是出口，“我們傳統的出口管制是化工用品，現在把數據作為出口管制對象，如果清單里面有數據，那么數據本身作為出口管制是不能正常出口，你要從商務部或者科技部拿出口許可才能出口，通過出口管制來保證數據出口的正當手續”。

隱私計算尚處于發展早期

瑞萊智慧CEO田天認為，數據價值和隱私安全中間存在二元對立，而隱私計算是彌合兩者間隙必備的技術基礎。所謂的隱私計算，是指一項新的技術手段，能夠在保證數據提供方不泄露原始數據的前提下，對數據進行分析計算，實現數據的“可用不可見”。

田天進一步介紹稱，相比傳統計算方式存在的數據孤島、隱私保護不足、數據價值難以釋放等問題，通過隱私計算一方面實現計算邏輯的集中，完成更復雜的互聯計算，另一方面可以通過密文數據確保數據的安全隱私性。

在田天看來，隱私計算落地的核心要素在于安全性與價值閉環。安全性方面，他表示，由于密碼學上的證明安全與實際安全并不相等，現階段的隱私計算技術面臨安全性難以被論證或證明的困境，很多假設安全的方法在實際應用上存在嚴重的安全性漏洞。同時，隱私計算也會帶來很多新的安全問題，比算法歧視，又或者被黑客投入“臟數據”“毒數據”，導致“數據投毒”的風險存在。

其次，隱私計算主要是解決數據“鏈接”問題，打開數據通路，讓更多數據能夠被使用，但實現數據價值之路，需要業務需求牽引，尤其是人工智能需求牽引。

近年來，隱私計算火熱，多方企業加碼隱私計算的投入研究。據楊玫介紹，到2020年在隱私計算投入的企業有260家左右，其中60%是初創企業。企業背景主要有互聯網龍頭企業、網絡安全以及大數據公司、初創型科技企業和行業高精尖企業。

而在應用領域，除了互聯網自身的先天優勢，隱私計算在金融和醫療的應用場景最豐富。據楊玫介紹，國家醫療健康大數據的首批試點城市廈門，基于隱私計算建立了健康醫療大數據應用開放平臺；而金融場景最大的應用是風控模型的構建，在互聯網金融和消費金融得到了廣泛應用。

數據通過加密形式流通而非明文流通，的確能夠進一步在《數據安全法》落地的情況下，更好地實現合規流通。

不過，現階段隱私計算技術發展仍處于早期，許多關于隱私計算的核心要點以及核心應用，沒有被建立共識、實現協同發展。

閆樹也表示，隱私計算的模式是在保護隱私的前提下，實現開放共享。但它只是解決流通前到流通中，如果一開始就是不合規的數據，包括流通以后的權屬和收益問題，并不會通過隱私計算解決的。

而性能方面，閆樹表示，隱私計算產品的安全性能和準確性是相互影響、相互抵消的，僅僅強調效率沒有意義。他介紹，當前隱私計算技術已經具備了可用性，但是未來面對更大的數據方和數據量以及更復雜的場景，還不太能夠滿足。

那么，所謂行業認為能夠在《數據安全法》落地后，進一步幫助企業實現數據流通合規化的隱私計算技術，其本身又是否是一項合規的技術？閆樹表示，法律法規不會對技術進行一個確切判斷，只看技術如何應用，是否侵犯了相關的權益。而隱私計算在實踐中明顯增強了對數據的保護。

但是使用隱私計算進行數據聚合仍然無法規避法律法規的風險，因為聯邦學習（一個機器學習框架）的梯度可以揭示個人信息，特別是模型很復雜的時候，個人信息也有被識別的風險。

對于合規性的問題怎么解決？閆樹認為需要搭建合規的基準框架，根據輸入模型的數據，選擇比較合適的合規基礎，選擇在什么模型基礎上來做，以及對計算過程和結果的合規性來進行證明、存證，通過這些條件降低隱私計算技術方面的合規風險。

陳際紅也表示，人工智能在學習階段要求大數據、實時數據、萬物互聯，但這跟《個人信息保護》有沖突，未來沖突的解決還需要多方治理，包括硬法，比如《數據安全法》和《個人信息保護法》來制定規則，行業來做行業的實踐，“硬法+軟法+多方參與，我想最后一定能找到人工智能對數據的利用以及遵守法律的前提，保護合法權益”。