專家解讀之九 | 構(gòu)建國家數(shù)據(jù)標準體系,,助力數(shù)據(jù)要素可信流通發(fā)展
文 | 螞蟻集團副總裁兼首席技術(shù)安全官、螞蟻密算科技有限公司董事長 韋韜
近期,,國家發(fā)展改革委,、國家數(shù)據(jù)局等六部門聯(lián)合印發(fā)了《國家數(shù)據(jù)標準體系建設(shè)指南》(以下簡稱《指南》)?!吨改稀芬詳?shù)據(jù)“供得出,、流得動、用得好,、保安全”為指引,,構(gòu)建了涵蓋數(shù)據(jù)基礎(chǔ)設(shè)施、數(shù)據(jù)資源,、數(shù)據(jù)技術(shù),、數(shù)據(jù)流通、融合應(yīng)用及安全保障等模塊的國家數(shù)據(jù)標準體系,,有利于指導(dǎo)數(shù)據(jù)領(lǐng)域關(guān)鍵急需標準的制修訂和落地實施,,滿足數(shù)據(jù)要素市場快速響應(yīng)新技術(shù)、新模式的發(fā)展需求,,提升數(shù)據(jù)標準的適用性和前瞻性,,為數(shù)據(jù)標準化工作提供了基礎(chǔ)指引,為數(shù)據(jù)要素市場指明了規(guī)范化建設(shè)路徑,。
相較傳統(tǒng)側(cè)重于數(shù)據(jù)在主體內(nèi)部進行治理和利用的內(nèi)循環(huán)范式來說,,數(shù)據(jù)要素市場的核心在于構(gòu)建跨主體、跨行業(yè),、跨場景的外循環(huán)流通利用,。數(shù)據(jù)要素的外循環(huán)釋放了數(shù)據(jù)更深層價值,但也增加了數(shù)據(jù)的治理難度和流通風(fēng)險,。第一,,當(dāng)數(shù)據(jù)跨越提供方的域后,存在權(quán)屬,、責(zé)任不明晰的情況,,導(dǎo)致出現(xiàn)合規(guī)、安全保護強度,、責(zé)任追溯等問題,。第二,,數(shù)據(jù)流通鏈路上的多數(shù)企業(yè)缺乏全面的數(shù)據(jù)保護能力,導(dǎo)致數(shù)據(jù)存在潛藏泄露濫用風(fēng)險,。
在此背景下,,建立一個技術(shù)信任的可信數(shù)據(jù)基礎(chǔ)設(shè)施變得極為關(guān)鍵。不僅可以鼓勵跨主體,、跨場景,、跨行業(yè)的數(shù)據(jù)供應(yīng)者積極參與,以激發(fā)數(shù)據(jù)要素價值的規(guī)?;D(zhuǎn)換,,而且加速了數(shù)據(jù)要素在高效、安全條件下開展外循環(huán)流通利用,,確保數(shù)據(jù)要素價值得到最充分的釋放,。針對高價值高敏感數(shù)據(jù)開展數(shù)據(jù)基礎(chǔ)設(shè)施試點,可以梳理典范,,完善行業(yè)準入標準,,形成行業(yè)指導(dǎo)意見,并催生規(guī)模效應(yīng),,降低邊際成本,,為數(shù)據(jù)要素大規(guī)模“供得出,、流得動,、用得好、保安全”提供更有利的環(huán)境,。
標準作為凝聚產(chǎn)業(yè)共識,、明晰責(zé)權(quán)分配、確立行業(yè)水位,、規(guī)范治理要求的產(chǎn)業(yè)工具,,對于指導(dǎo)數(shù)據(jù)安全高效進入數(shù)據(jù)要素可信流通的外循環(huán)中具有重要作用?!吨改稀访鞔_了數(shù)據(jù)基礎(chǔ)設(shè)施在數(shù)據(jù)要素流通利用過程中的基礎(chǔ)性和支撐性作用,,對于存算設(shè)施標準、網(wǎng)絡(luò)傳輸標準以及流通利用設(shè)施的技術(shù),、流程,、管控要求標準等建設(shè)提出了指導(dǎo)意見,確保數(shù)據(jù)資源合規(guī)高效有序流通,。
在這些工作基礎(chǔ)上,,針對當(dāng)前比較迫切需要解決的幾個產(chǎn)業(yè)問題的角度,我們認為受控匿名化、數(shù)據(jù)跨域管控和數(shù)據(jù)可信流通安全分級三個方向值得特別關(guān)注,。
一,、可實施的受控匿名化標準是規(guī)范個人信息保護與促進數(shù)據(jù)合規(guī)流通利用的“穩(wěn)定器”
現(xiàn)有的《網(wǎng)絡(luò)安全法》與《個人信息保護法》引入了專門的“個人信息匿名化條款”,將匿名化后的數(shù)據(jù)與個人信息進行了區(qū)隔,,但針對匿名化的法律內(nèi)涵和實施標準卻有待厘清,。實踐中,這一條款雖已確立卻未能充分發(fā)揮效用,,但匿名化實施以促進數(shù)據(jù)利用的需求非常迫切,。如在大型模型訓(xùn)練的場景下,重新獲取個人數(shù)據(jù)授權(quán)用以訓(xùn)練的難度極高,。而采用受控匿名化手段處理個人信息,,則能在保障人工智能發(fā)展所需數(shù)據(jù)資源的同時,有力保障個人隱私安全,。
匿名化最核心的是重標識風(fēng)險是否可控可忽略,。在開放空間中,由于能實施數(shù)據(jù)的高維關(guān)聯(lián),,無法保證重標識風(fēng)險的可控可忽略,因此必須在受控的環(huán)境中來探討匿名化方案,。受控匿名化能滿足匿名化要求的核心原理在于,,既然信息被限制到特定環(huán)境中,那么考慮攻擊威脅及相應(yīng)的重標識風(fēng)險的時候,,就只需要考慮結(jié)合所有可能進入該環(huán)境的個人信息可能產(chǎn)生的重標識風(fēng)險,,以及通過各種手段非授權(quán)獲得該環(huán)境中的信息后可能產(chǎn)生的重標識風(fēng)險,確保結(jié)合空間內(nèi)的所有信息,,無法識別特定自然人且不能復(fù)原,,以及受控環(huán)境足夠安全,能夠防止非授權(quán)數(shù)據(jù)訪問和竊取,。
因此,,制定一套針對受控環(huán)境的匿名化實施指標和評估規(guī)范等系列標準顯得尤為重要。通過建立統(tǒng)一的數(shù)據(jù)受控匿名化處理流程和方法,,詳細界定何為足夠的數(shù)據(jù)脫敏程度,,不僅可以有效防止敏感信息泄露,而且確保數(shù)據(jù)在研究,、分析及其他非識別性用途中的價值得以保留,。
二、支持數(shù)據(jù)使用權(quán)跨域管控的標準是確保數(shù)據(jù)可信流通的“壓艙石”
將來自不同主體,、行業(yè)的數(shù)據(jù)進行融合,,能夠幫助業(yè)務(wù)構(gòu)建層次豐富、視角全面的數(shù)據(jù)畫像,,為決策提供深度更廣的上下文環(huán)境,。當(dāng)數(shù)據(jù)提供方將數(shù)據(jù)流入到數(shù)據(jù)基礎(chǔ)設(shè)施,,轉(zhuǎn)移到外部實體時,常常伴隨著一種信任焦慮,,擔(dān)心接收方是否能妥善處理這些數(shù)據(jù),,是否會非法截取、篡改或泄露數(shù)據(jù)等,。
盡管有很多流通技術(shù)可選擇,,但是由于缺乏相應(yīng)的技術(shù)要求標準,我們無法確定數(shù)據(jù)是否在合作方處到有效的保護,,以及數(shù)據(jù)可以被哪些算法處理,、使用次數(shù)和有效期是否能夠得到有效界定并得到落實。這些都是數(shù)據(jù)使用權(quán)跨域管控的核心技術(shù)要求,。
為確保數(shù)據(jù)在流通過程中,,數(shù)據(jù)提供方依然能夠?qū)ζ溥M行有效控制,防止被竊取或者濫用等,,應(yīng)該制定數(shù)據(jù)使用權(quán)跨域管控技術(shù)要求標準,,在標準中明確運維管控域的劃分;明確流通參與各方需要遵從的原則,、要求與義務(wù),;明確數(shù)據(jù)流通基礎(chǔ)設(shè)施為支持實現(xiàn)數(shù)據(jù)跨域管控應(yīng)該遵循的技術(shù)要求;明確事前,、事中,、事后全生命周期中數(shù)據(jù)跨域使用和應(yīng)急處置的各種流程。由此,,需要一整套圍繞數(shù)據(jù)跨域流通過程中使用權(quán)的跨域保護為目標的技術(shù)要求標準,,以明確保護責(zé)任、義務(wù),、技術(shù)手段,、管理與運行流程等各類要素,為數(shù)據(jù)要素的流通提供制度性的安全保障,。
三,、數(shù)據(jù)可信流通技術(shù)的通用安全評估標準是數(shù)據(jù)大規(guī)模安全流通的“度量衡”
數(shù)據(jù)可信流通技術(shù)為數(shù)據(jù)流通各參與方提供高效便捷、安全可靠的數(shù)據(jù)計算分析能力,,從而有效推動數(shù)據(jù)處理環(huán)節(jié)的高效率,、低成本和高智能化。數(shù)據(jù)流通技術(shù)的安全性評估標準至關(guān)重要,,通過對其進行安全性評估,,可以增強行業(yè)信心,促進技術(shù)大規(guī)模部署,保護用戶隱私和數(shù)據(jù)安全,。
當(dāng)前,,數(shù)據(jù)可信流通技術(shù)呈現(xiàn)出多元化發(fā)展態(tài)勢,包含隱私保護計算,、使用控制,、區(qū)塊鏈等技術(shù)。隱私保護計算技術(shù)是一種基于密碼學(xué),、分布式計算,、人工智能、數(shù)據(jù)科學(xué)等領(lǐng)域的技術(shù)體系,,在保護隱私信息的前提下,,實現(xiàn)數(shù)據(jù)價值的分析和挖掘,即實現(xiàn)數(shù)據(jù)在加密的,、非透明的狀態(tài)下的計算,,保護計算各參與方的隱私信息安全。數(shù)據(jù)使用控制技術(shù)基于預(yù)定義的控制策略并結(jié)合動態(tài)屬性身份認證機制,,保障數(shù)據(jù)消費者按照數(shù)據(jù)提供方設(shè)定的策略使用數(shù)據(jù),,維護數(shù)據(jù)提供方對數(shù)據(jù)使用的控制能力,相較于“可用不可見”的隱私保護計算,,數(shù)據(jù)使用控制技術(shù)可實現(xiàn)“使用范圍可界定”,、數(shù)據(jù)“用后即焚”。區(qū)塊鏈技術(shù)是一種塊鏈式存儲,、不可篡改,、安全可信的去中心化分布式賬本,,它結(jié)合了分布式存儲,、點對點傳輸、共識機制,、密碼學(xué)等技術(shù),,通過不斷增長的數(shù)據(jù)塊鏈記錄交易和信息,確保數(shù)據(jù)的安全性和透明性,。
由于不同技術(shù)路線的安全防護機制和側(cè)重點各異,,目前缺乏統(tǒng)一、全面的安全等級評價體系來客觀比較多種數(shù)據(jù)可信流通技術(shù)的安全性能,。雖然針對單一技術(shù)路線已經(jīng)有一些評估規(guī)范類標準,,但是不同技術(shù)路線的評估規(guī)范標準存在差異,用戶無法對所有的產(chǎn)品進行橫向比較,。因此,,制定數(shù)據(jù)可信流通技術(shù)通用評估規(guī)范類標準,針對不同安全等級的數(shù)據(jù)選擇合適的數(shù)據(jù)可信流通技術(shù),從而合理分配安全資源,,在安全,、性能和成本之間實現(xiàn)平衡。
綜上所述,,國家數(shù)據(jù)標準體系旨在建立技術(shù)信任革新趨勢,,簡化數(shù)據(jù)“供得出、流得動,、用得好,、保安全”門檻,降低成本,,擴大受益范圍,。數(shù)據(jù)標準體系跨越單一組織邊界,實現(xiàn)跨主體,、跨場景,、跨行業(yè)的數(shù)據(jù)外循環(huán)標準體系,打造一個可信的交流生態(tài)系統(tǒng),。通過數(shù)據(jù)基礎(chǔ)設(shè)施標準,,實現(xiàn)數(shù)據(jù)合規(guī)高效地從源頭順利地接入、傳輸,、開發(fā)到最終應(yīng)用,。通過制定和實施可控匿名化、數(shù)據(jù)使用權(quán)跨域管控的技術(shù)要求和數(shù)據(jù)可信流通技術(shù)的通用安全評估等系列標準,,將為數(shù)據(jù)在多元主體,、多樣場景及廣泛行業(yè)間的流暢、安全傳遞與循環(huán)利用提供有效支撐,,讓數(shù)據(jù)要素成為賦能數(shù)字經(jīng)濟和數(shù)字技術(shù)發(fā)展的強勁動力,。
來源:國家數(shù)據(jù)局
相關(guān)信息: |