专访数字联盟:解码隐私计算和数据安全
第十六届21世纪亚洲金融年会11月在北京顺利落幕,在金融科技分论坛上,中国信通院云大所大数据与区块链部副主任闫树、中国互联网金融协会信息科技部副主任于圆等嘉宾,就“如何保障安全的前提下发挥数据价值”进行深入地讨论,并提出当前隐私计算作为一种兼顾数据安全与效率的技术,正处于大规模应用的前夜。闫树总结隐私计算是隐私保护计算的简称,是指在不传递原始数据或保护原始数据的前提下,实现数据的分析、计算、应用的一类技术集合或体系。目前隐私计算有很多的技术路线,常见的有密码学、可信硬件、联邦学习等。但同时隐私计算的技术本身仍有待完善,也面临着技术性能、合规性、接受度等各样的阻碍,数据安全市场大范围接受隐私计算仍任重道远。
记者:“针对APP数据安全以及用户信息的合规获取和分析使用的问题,现在大热的隐私计算技术能够解决这些问题吗?”
刘总:“其实隐私计算的核心概念是数据可用不可见。它的作用在于让多个持有海量数据的平台哪怕在互相不信任的情况下也可以完成数据的联合计算,能够帮助企业和企业之间实现数据加密共享。隐私计算主要应用在金融、医疗这类企业。举个例子,许多医药企业的病历数据是非常有价值的,但直接共享存在很多阻碍,比如病历数据会不会泄露,会不会被盗用等等,运用隐私计算技术,在数据共享的过程中,把原始数据加密,供企业进行分析,就能在不泄露原始数据的同时,为许多疑难病症的解决提供数据支持。所以隐私计算其实是用算法实现了对原始数据的加密,通过这种手段能够有效解决数据传输过程中的隐私泄露问题,帮助实现金融、医疗这类企业的数据共享。”
“但是隐私计算技术最突出的就是隐私合规问题。在企业数据流通链条里,数据采集是第一环,数据传输是第二环,数据分析和使用是第三环,隐私计算解决了第二环,提供给企业一种不交换原始数据的解决方法。但是它没办法保证最初获取的数据是隐私合规的,在《个人信息保护法》正式施行后,APP数据获取权限被进一步收紧,必须基于最小必要的原则申请数据权限,各大手机厂商也在限制APP数据权限,不解决数据采集的合规问题,就相当于数据分析和使用没有了数据来源。而如果传输和分析的数据并不合规,对企业而言也会存在巨大的隐私风险。”
记者:“除了隐私计算技术,要实现APP的数据安全和有效使用,行业内有其他的解决方法吗?”
刘总:“实际上,隐私计算并不是实现数据安全与有效使用的唯一方式。早在《数据安全法》、《个人信息保护法》出台前,数字联盟已经研发了可信ID技术。针对信息合规获取的问题,可信ID通过精密算法,收集设备层面超过120多个维度的信息,包括电量、手机型号、屏幕亮度等,为每台设备生成唯一的设备ID,实现跨平台的数据追踪。目前可信ID已经通过了等保三级、ISO27701、ISO27001的认证,能够极大的保障用户的隐私安全。而在没有公认的第三方ID体系前,大部分APP通过手机号、位置信息、等数据来锁定用户进行数据分析,但在《个人信息保护法》施行后,传统的用户数据获取方式存在很大的隐私风险。”
(数字联盟:可信ID 数据方案全操作流程)
“可信ID只采集设备层面的信息来标记和追踪用户,不会采集用户的手机号、地址信息,以及APP使用行为等隐私信息,通过精密算法将多个非敏感的、无隐私隐患的数据拟合来追踪用户,例如单靠手机型号为苹果iPhone13的数据或许不能锁定某台设备,但是如果是手机型号为苹果iPhone13、电量为27%的设备,范围就会大幅度缩小。通过设备层的数据采集,能够保障数据获取的隐私合规性。同时,设备层数据还能够为APP高效广告推送、提升营销效果提供帮助。假设,某旅行社想要找到有旅行需求的目标用户,可以对设备内下载了*程、马*窝、爱*迎等APP的设备投放对应广告,根据设备内部APP的数据,我们可以推测这个设备对应用户有旅行需求,针对性的投放就能够很精准的帮企业找到目标用户。”
在采访结尾,刘总提到“这次亚洲金融年会,于圆提出'在隐私计算的应用过程中,还要注意保护消费者权益',我十分赞同,用户隐私保护应当贯彻在数据采集,数据传输和数据使用分析的各个环节中,在数据安全行业创业七年,我相信随着安全技术革新,一定能建立起企业数据合规获取和开放共享的新安全体系。”
结语:数据安全保护已成为互联网产业发展的重中之重。在国家政策的助推与数据安全法规的规范下,如何实现数据安全和有效使用的平衡,关系着企业的长期发展。