链客Talk|微众银行区块链安全科学家严强:严守隐私数据红线,业务创新合规有招

主持人：越来越细粒度的隐私监管对小助手这样的普罗大众来说，无疑是喜事一桩。那对于以数据驱动业务创新的企业来说，如何让业务创新有效地满足隐私合规的严格要求？

严强：由于企业发展阶段、区域市场法律法规存在差异，所以，在探讨有效应对隐私风险之前，首要任务是要明确隐私合规的目标。

不知道在座各位有没有同感，伴随着立法的细化深入，近年来，关于「什么数据才算是隐私数据」的争议在不断减少。

尽管每个区域法律法规对于隐私数据的定义不尽相同，但都提供了具体的类型定义和敏感性分级，例如，位于最高敏感级的KYC身份数据、金融数据等。

这样的好处在于，可以使得我们现在能够避免以往权利边界不清的问题，从而明晰隐私合规的目标。

对于在某一区域开展的业务，隐私合规的目标可以归结为：

保护当前区域市场法律法规中定义的隐私数据，并在产品设计中提供相应的特性，以此保障客户的法定权利。

主持人：怎么解读企业隐私合规要达成的目标？

严强：简单来说，我们可以从中提炼出下面两组关键词：

①??数据内容保护；

②??数据权利保障。

这两组关键词也代表了隐私合规的两条主线，围绕这两条主线，我们可以梳理出九个维度来识别隐私合规风险。

这九个维度的合规需求犹如隐私合规的九重关卡。对于普通企业而言，重点关注最基本的维度便可满足合规需求。

但对于处于强监管行业中的企业，如金融科技公司，或者运营跨国信息业务的企业，如在线社交网络、跨境电商等，则可能需要满足所有维度的合规需求。

主持人：能否具体解释一下您所提到的九个维度的合规需求以及其具体的技术实现手段？

严强：好的，现在来逐个解释下每个维度的具体合规需求和涉及的相关技术。

第一维度：界面数据隐匿；

在用户界面中隐匿数据，使得客户在使用产品时，其隐私数据无法被附近位置的恶意第三方所窥视。

作为数据内容保护合规中最容易满足的一个需求，直接的界面渲染操作，如简单的显示打码、数据截断等都是有效的技术手段。

然而，它往往也是最容易因为忽视而出现隐私事故的一个维度。尤其是在多个敏感数据字段同时显示的前提下，若隐匿技术使用不当，可能等同于没有任何隐匿效果。

主持人：打断一下，我们经常见到的隐藏账户余额功能是不是属于这一维度？还有手机号打码，身份证打码类似的功能。

严强：是的，既然说到身份证打码，特别想提一下的是，常规打码方式非常容易形同虚设。

我们可以看一下这里的错误范例。

这里把总共18位数字的身份证号码，隐藏了前14位，第一感觉似乎是已经很私密了。

但如果能获得其他附加信息，我们很容易就能恢复出被隐藏的数字。

尤其是对于公众人物，或者由于之前数据失窃事件导致个人信息泄露的用户，找到这些信息并不困难。

同时，显示最后几位数字，也提供了额外的信息，比如可以根据倒数第二位是不是奇数来判断用户的性别。

最后一点提示是，以往代办开户时，常常会将默认密码设置为身份证号码的后6位，也是有一定风险的。

主持人：那假定我们已经做好了完全的界面数据隐匿，那我们下一步需要做什么呢？

严强：OK，那就得看下一个维度的合规需求了。

第二维度：网络数据隐匿；

在网络维度上隐匿数据，使得隐私数据在传输过程中，无法被恶意第三方截获明文。

经典的传输层安全TLS/SSL系列协议，都可以满足这一需求。

但需要注意，以上这类协议的安全性，依赖数字证书服务的正常运行，一旦该服务受到攻击，可能会导致证书造假、证书过期等，最终影响到现有业务的安全性和可用性。

切切不能认为只要使用了TLS/SSL，数据传输就是绝对隐匿的，正确检查证书的有效性非常重要。

有不少顶级学术会议的论文，也在讨论这个现实问题。设计正确，并不代表工程实现也正确，最后很有可能就会出现意外的隐私事故。

第三维度是更有挑战的合规需求。

第三维度：域内计算数据隐匿；

在同一个计算域内，如由企业完全掌控和部署的云计算环境，任何隐私数据的明文，在计算和存储过程中，都不离开安全隔离环境，防止企业存在内鬼进行未授权的隐私数据访问。

隐私数据只有在安全隔离计算环境中，才会被解密成明文，在安全隔离计算环境之外，只能进行密文运算，并以密文形式存储在介质中。这里需要用到可信硬件或者软件隔离来构建安全隔离计算环境，它们分别依赖不同的安全假设，需要根据业务的特性来进行选择。

主持人：企业内部通常会有很多合作，数据交互在所难免，如何才能达成这一维度的合规目标呢？

严强：企业内部人员风险一般可能有三类起因：

第一类是内部人员的电脑设备被外部的攻击者控制，成为实施侵入的肉鸡；

第二类是内部人员本身有恶意的企图；

第三类是内部人员操作失误。

无论是哪一种，我们都可以借助技术手段在最小化甚至预防对应的风险。这里的关键在于最对域内的人员进行最小化赋权，并使用以上提到的数据隔离方案，杜绝内部人员在规定的流程之外对隐私数据进行操作，导致不必要的隐私风险。

主持人：明白了，基于数据隔离和访问控制的数据流程相关的基础设施建设，对于保障企业内部数据隐私至关重要。那大家一直热议的密码学技术在隐私保护中能起到什么样的作用吗？

严强：好问题。隐私保护的合规需求本身涵盖的范畴很广，密码学是其中非常重要的核心技术领域之一，但它并不是唯一需要了解的核心技术。

根据不同的场景需求，我们需要选用不同的技术，具体就来看看下一个维度的合规需求，刚才提到密码学技术就在这里可以用上。

第四维度：跨域计算数据隐匿；

隐私数据的明文只在同一个计算域内出现，在与其他计算域进行联合计算时，其他计算域的控制方无法直接访问或间接推测出隐私数据的明文，防止其他合作方获得合作协议授权之外的敏感隐私数据。

作为数据内容保护合规中最具挑战性的需求，其对于以医疗数据、金融数据等高度敏感数据业务尤为重要。如果无法满足合规要求，通常意味着业务无法开展或者面临巨额罚金。而且可能会出现双向判罚，即企业不仅会因为自身方案漏洞导致隐私数据泄露而受罚，还会因利用合作方企业的方案漏洞违规获取未授权的敏感隐私数据而受罚。

这一维度可采用的通用技术方案包括数据脱敏、安全多方计算、数据外包计算、零知识证明等。在涉及机器学习的特定场景下，联邦计算等新兴技术可以提供更为有效的方案效果。

具体对哪一类需求，选用哪一类技术，可以参考下方的决策图。

数据内容保护合规之后，我们可以看看数据权利控制，也就是第五维度进入的内容。

第五维度：数据访问通告；

数据访问通告是指，让客户了解当前业务会收集哪些隐私数据、为什么需要这些数据、将会如何使用这些数据、将以什么方式保存这些数据、保存期多久等隐私数据流通生命周期的细节。作为数据权利保障合规中最基础的需求，它保障了客户的知情权。

满足该需求的难点在于，如何让客户理解晦涩的技术语言、理解相关隐私风险的后果，避免相关监管机构以混淆客户理解为由，判定企业违规。

进行用户体验和人机交互技术的研究，是处理好这一需求的关键。

不同背景的人员，对同一问题的关注点是不同。

开发人员可能更在意语言表达是不是机器可读，编译能不能过，单元测试、功能测试正不正确？

设计人员可能更在意语言表达是不是满足业务需求，是否提供了足够的技术细节，让开发人员能够顺利的实施？

客户很大概率对以上两类人员关注的事项一点都不关心，他们更想知道能获得什么权益，伴随着什么风险？

显然我们需要使用不同语言表达和客户进行沟通，向客户明示权益和风险。

主持人：如果我们已经尽力沟通了，但客户还是不理解，我们该怎么办？

严强：问得好。为了应对这个情况，近年来业界比较推崇的技术是，适度采用基于机器学习技术进行自动风险匹配，简化客户理解成本，帮助其更理性地评估对应业务的潜在风险。

下面继续第六维度的内容。

第六维度：数据收集控制；

数据收集控制是指，允许客户选择哪些隐私数据会被业务系统所收集，并在初始选择之后，允许对未来的数据收集选择进行调整。由于数据收集作为隐私数据流通生命周期的起始点，该需求能够赋予客户对于自身隐私数据流通的全局控制权。

对于客户不愿意分享的隐私数据，在数据收集控制机制的作用下，无法以未授权的方式进入业务系统，以此营造客户的心理安全感。传统的访问控制技术可以很好地实现这一需求，但若原系统架构设计扩展性不佳，相关历史系统改造将是一项巨大的工程挑战。

主持人：对于第六个维度，比较好奇，如果用户停止授权企业收集隐私数据，原有的业务模式，会不会受到冲击？

严强：这是显然的。业务模式冲击是一方面，相关的技术架构升级成本可能更值得关注。

众所周知，计算机系统是一个极其严谨的系统，如果原先系统设计对隐私数据的耦合度很高，突然把隐私数据这个关键输入移除，可能整体系统都会停止工作。

因为隐私合规产生的业务模式冲击一定是全行业的，如果哪个企业能够更快地调整升级自身的业务系统实现技术合规，实际上也能为企业自身抢占市场先机。

主持人：这让我想起了欧盟GDPR对信息行业的影响，只有在技术合规方面有足够积累的企业，才能安全地进入欧盟市场。

严强：比起刚才的数据收集控制，更有挑战的是下一个维度的合规需求。

第七维度：数据使用控制

数据使用控制是指，允许客户对于特定的业务系统中使用隐私数据的方式进行调整或限制。

原先是GDPR特有的合规需求之一，称之为限制处理权，最新版的《信息安全技术 个人信息安全规范》中也有相关规定，仅对部分业务类型有效。目前主要针对在线广告投放相关的个性化推荐业务，设立的初衷是避免过于个性化推荐引发的个人隐私空间强烈侵入感。

鉴于GDPR巨额罚款机制，这对于相关业务在注重个人隐私的区域的稳健发展十分重要。有效应对该项需求的关键，在于企业能否在系统架构设计早期，为相关隐私数据变动预留空间，减少后期系统改造的代价。

主持人：普遍认为隐私数据是企业的核心竞争力。这种认知下，相比停止收集隐私数据，这个停止使用数据的合规需求，听起来似乎就是自废武功？

严强：也不能这么理解。在法理上数据的权利是属于用户的。企业为用户提供服务，并基于用户的隐私数据，发掘出更大的价值的前提是，尊重用户的意愿。

实际上和上一个维度的合规需求类似，精细化的隐私保护法律法规的陆续发布会重整市场的秩序，长远来看希望能建立起更健康的市场环境，以及可持续发展的行业生态。

这个变革过程是不可避免的，作为企业来说，最好的选择是积极参与到隐私合规的准备中来，在条件允许的前提下，尽早完成对应技术投入和战略布局，才能更好地适应市场环境的变迁。

第八维度：衍生数据控制

衍生数据使用控制是指，允许客户对其原始隐私数据在经过变换、聚合后产生的衍生数据有一定的控制权。

这也是GDPR特有的合规需求之一，目前主要表现在两方面：

1）数据被遗忘权：在客户删除账户之后，清理对应个体历史数据和包含该客户的聚合数据；

2）数据携带权：客户有离开当前业务平台的意向，打包提取之前所有的相关历史数据，如电子邮件、评论留言、云主机数据等。

该项需求的实现，通常也面临着高昂的系统改造代价。建议企业在系统架构设计早期，务必考虑完备的隐私数据溯源机制，为后期改造减少合规成本。

主持人：看到这里，感觉隐私合规已经不是单纯一个两个技术方案能够解决的问题了，对于有合规需求的相关行业，整个信息化系统的体系架构和数据治理，都需要充分考虑隐私合规的需求。

严强：这个理解非常正确。刚发布的新版《信息安全技术个人信息安全规范》中也提到了“个人信息安全工程”的概念，有兴趣的读者可以进一步了解一下。

关于衍生数据的范畴，可以参考下图，其中还包括了大家可能比较关心的机器学习模型。

主持人：谈到机器学习，各式各样的人工智能系统确实对我们日常生活带来了很多的便利。但也会担心，会不会整个人类社会最终都被AI所控制了呢？

严强：在隐私保护领域确实有一个相关的合规需求，保障人类不被AI歧视。

第九维度：数据影响力复议

数据影响力复议是指，允许客户对基于其隐私数据产生的业务决策进行复议，由此更正自动化决策系统可能做出的不公平判断，消除数据歧视等负面影响。

这可能是权利数据保障合规中最具挑战性的需求，其关注点在于数据驱动决策系统设计的可解释性，并限制难以解释的机器学习模型在民生、医疗等关键领域的应用。这就要求企业在研发自动化决策系统设计时，研发具备较高解释能力的决策模型，或者提供备选技术方案，减少误判导致的合规成本。

主持人：也就说，无论AI做出了什么决策，在隐私合规的框架下，总是要准备一条人工介入途径，以防万一，可以进行必要的复核和纠正。新版《信息安全技术个人信息安全规范》好像也提到了相关内容。

严强：是的，以尊重人性为核心目标的隐私保护，终极保护手段还是靠人类自己。

但值得强调的是，面对海量异质的隐私数据，运用合适的技术手段可以大大提高隐私保护的效率，切实减少企业实施保障的成本。

主持人：非常感谢严博士给我们大家带来的精彩分享！

—-

编译者/作者：链客Talk

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。