中新經緯9月25日電 9月25日,“網際網路之光”博覽會開幕。2021年世界網際網路大會烏鎮峰會在保留傳統特色論壇的基礎上,還聚焦於開源生態、下一代網際網路、資料與演算法等網路技術新趨勢。
事實上,伴隨《資料安全法》《中華人民共和國個人資訊保護法》的出臺,資料已然成為網路安全行業年度熱詞。此次世界網際網路大會更是設立了“資料安全典型實踐案例“獎項,讓資料的安全之城成為各家所向之地。
資料安全是什麼?是使用者隱私,是業務基石,亦是安全建設的關鍵環節。從資料儲存、流通、處理到銷燬,安全問題無處不在。而當傳統IT架構被打破後,資料從資料中心走向雲端、邊緣後,勒索攻擊、資料庫洩露、敏感資料外洩事件更是不絕於耳。
上海社科院網際網路研究中心主任,研究員惠志斌介紹,目前,針對資料安全的技術與產品不斷湧現,包括傳統的資料加密、脫敏、備份容災、DLP,以及愈加火熱的資料治理、資料管控、基於資料安全的零信任解決方案、隱私計算等。顯而易見,以隱私計算為代表的新興技術正在從實驗室走向市場實踐,接受隱私保護與資料安全的現實挑戰。
資料安全的囚徒困境
惠志斌指出,個人有權維護自己的隱私資料安全,企業則需要基於使用者資料開展業務和提供服務。縱然圍繞資料的安全與隱私管控問題一直面臨爭議,但“個人最佳選擇”(一味地拒絕提供資料),或是“企業最佳選擇”(無限制地收集與處理資料),都不是資料時代裡發展與安全的平衡點。當前,全球資料安全監管不斷收緊,對企業資料處理活動施加了日益嚴苛的資料保護義務,強調遵循了“使用者明確授權原則”和“最小化原則”,這對傳統的網際網路和大資料商業模式構成了嚴峻挑戰。為此,隱私計算脫穎而出,為產業發展提供了可行方向。
惠志斌介紹,隱私計算(Privacy-preserving computation),主要是在資料被使用時(處理)保護資料,實現在安全的資料處理、共享、跨境傳輸和分析。簡單來說,透過技術路徑實現資料在處理過程中不透明、不洩露,也不能被計算方或者其他非授權方獲取。目前,隱私計算的實現技術路徑包括聯邦學習、多方計算、可信計算、差分隱私、同態加密等。多個技術流派的交叉和發展,推動隱私計算的進一步實現。根據Gartner的預測,到2025年50%的大型企業機構將採用隱私增強計算來處理不可信環境或多方資料分析用例中的資料。彼時,資料孤島不再存在,資料跨IT邊界、跨系統、跨境應成為安全常態,一些依託於隱私計算的平臺將充當資料交換與處理的媒介……
從“黑科技”走向“白科技”
惠志斌表示,如何讓資料安全地流通創造價值,成為行業內近年的實踐重點。以金融行業-銀行的授信分析場景為例,由於授信分析一般需要基於企業的各種行為資料,為了提高分析的準確性、降低授信風險,不僅要企業/客戶在本銀行的資料,還要融合其他銀行的資料,甚至與其他場景的行為進行聯合建模,最終獲取更精準的模型效果。
惠志斌稱,醫療行業作為隱私計算的重要應用行業,同樣有著類似的“聯合處理資料”的需求。醫院系統基於歷史的病例資料進行訓練,從而得到一個輔助診斷模型,當再出現一個新病例時,即可根據這個模型來推斷疾病。由於模型訓練往往需要大量的資料樣本,而一家醫院可能因為歷史病例數量少而導致模型準確度存疑。這時,同樣要結合多家醫院的病例數。
上述兩個場景中,如何保障在聯合處理資料時,各家資料的不透明和不洩露?
惠志斌指出,世界網際網路大會期間,螞蟻隱私計算網際網路醫療應用方案作為中國網路空間安全協會2021年資料安全典型實踐案例代表,被授予獲獎證書。這個案例是應用了螞蟻的隱私計算技術,使用聯邦學習進行聯合建模,實現提升模型樣本量的目的,同時使用差分隱私技術來保護各銀行/醫院和中心節點進行梯度資料交換計算時的隱私資訊。當然,也可以用SCQL(智慧卡資料庫命令)技術來進行多家資料聯合分析,如醫療機構希望知道自己的平均住院日和其他醫院的對比情況,但不願意分享自己的資料,可以使用SCQL技術對同一類別醫院同一病種的平均住院日進行統計,來實現不直接分享資料還可以進行聯合分析。
惠志斌還稱,螞蟻集團與浦發銀行針對零售貸款業務共同開發了一整套風險評估解決方案,採用多方安全計算的風險模型利用浦發銀行及其合作方的資料來共同提高模型的有效性。由於在訓練和執行兩個階段內均採取了分散式部署,且雙方都應用了加密演算法。這意味著任何一方的原始資料都不會洩露給另一方,並且也無法透過對訓練結果的反向工程來推導原始資料。最終,基於豐富資料來源訓練出的模型識別出了超過14.5萬名高風險客戶,阻止了數十億人民幣的高風險貸款的發放。
在惠志斌看來,從金融到醫療行業,資料的流通和多方協作所面臨的安全困境,反向推動隱私計算從黑科技變成白科技。而資料流通起來才成創造價值,這一論調也在隱私計算的實踐中被反覆驗證。
隱私計算:未來資料處理的“安全媒介”
惠志斌認為,有了隱私計算技術的應用,不斷髮布的安全法規對大資料行業不僅不是禁錮,反而是一種正向的激勵:明確了個人資訊的界限、指明瞭資料流通與處理的規範。
《資料安全法》第一章第十六條規定:“國家支援資料開發利用和資料安全技術研究,鼓勵資料開發利用和資料安全等領域的技術推廣和商業創新,培育、發展資料開發利用和資料安全產品、產業體系。”固然,隱私計算的發展空間和商業上限還需要繼續探索,但是從市場需求趨勢和行業資料安全需求來看,隱私計算正在迎來春風,透過結合資料全生命週期保護的全部主流技術,應用於金融風控、保險快速理賠、民生政務、多方聯合科研等多個領域。
“資料可用不可得,資料可用不可見,隱私計算正在積極破解各行業資料流通的痛點,推動我國資料要素市場的健康發展。”惠志斌說道。(中新經緯APP)
