11月1日,“雙11”購物狂歡節的第一天。
“熬夜剁手”到凌晨的你,早上終于平復心情開始一天的工作,結果發現自己的電腦頻頻收到昨晚搜索卻沒有下定決心購買的物品。
這讓你很是感嘆:明明自己是在另一家平臺上搜的這些商品,其它平臺竟能如此準確迅速的知曉了你的需求。
大數據時代,相信很多人都有過上述類似的經歷。
這背后,是每個人或被動或主動,不斷留下的“數據足跡”。而一旦相關企業沒有做好數據防護或者存在過度使用數據的行為,那么個人信息就會被無聲使用。
事實上,近年來,已就有不少互聯網平臺因數據安全和隱私泄露問題頻頻上話題熱搜。10月中旬以來,互聯網券商富途控股、老虎證券就在用戶信息安全和跨境數據傳輸方面引發合規風險爭議,爭議發酵至今已另股價分別跌去36%、38%。
針對此,11月1日,《個人信息保護法》正式實施。這是國內首部個人信息保護方面的專門法律,其對個人信息處理規則、個人信息跨境傳輸、個人信息處理活動的權利、信息處理者的義務、監管部門職責以及罰則等作出了全面的規定。
另一邊,數字經濟卻在成為促進中國經濟發展的關鍵力量。
11月1日,在國務院新聞辦公室舉行的國務院政策例行吹風會上,國家知識產權局局長申長雨介紹,近年來,我國數字經濟蓬勃發展,有關白皮書顯示,2020年規模已經達到了39.2萬億元,占GDP比重達38.6%。
如此,在大力推進數字經濟建設的背景下,我們究竟該如何平衡隱私安全監管和數據產業發展之間的關系?在這個問題上,隱私計算正被政策界、產業界、投資界寄予厚望。
什么是隱私計算?它會怎樣影響著我們的生活?這個新興的產業又在發生著哪些故事?本文試圖從法律和產業的角度,帶你全面了解隱私計算發展歷程。
一、政策篇
1、因監管而生
自疫情以來,全球數字經濟迎來爆發式增長機遇。同時,各國政府對隱私和數據安全問題越來越重視。
2021年我國兩部重磅的數據安全和個人信息基礎性法律接連落地。9月1日起實施的《數據安全法》,對我國境內數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動作出了基礎性法律依據。11月1日起實施的《個人信息保護法》明確不得非法收集、使用、加工、傳輸他人個人信息,個人信息權益受到法律保護,企業等組織對個人信息的處理需要合法合規。
立法落地,是對層出不窮的數據隱患的最有力回擊。事實上,近年來不少互聯網平臺因數據安全和隱私泄露問題頻頻上話題熱搜。打車軟件滴滴出行APP被網信辦通報存在嚴重違法違規收集使用個人信息問題,至今依舊被各大應用商店下架。隨后,國家組織開展對關鍵信息基礎設施采購網絡產品和服務活動的網絡安全審查,進一步防范采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,對滴滴、運滿滿、貨車幫、BOSS直聘等有美股上市實體的平臺啟動網絡安全審查。此外,10月中旬以來互聯網券商富途控股、老虎證券在用戶信息安全和跨境數據傳輸方面引發合規風險爭議,爭議發酵至今已另股價分別跌去36%、38%。
海外也同樣存在監管部門集中對隱私數據安全問題調查的情況,其中歐盟對美國互聯網科技巨頭頻頻出手。
根據7月30日亞馬遜向美國證監會提交的公告,因違反歐盟數據保護法《通用數據保護條例》(GDPR),亞馬遜被處以7.46億歐元(合約57.29億元人民幣),這是歐盟有史以來針對數據隱私泄露開出的最高罰單。根據GDPR的規定,歐盟監管機構可以對違規企業處以年全球銷售額4%的最高罰款。面對指控,亞馬遜堅持自己“沒有數據泄露,也沒有客戶數據被暴露給任何第三方”。
另一家美國互聯網巨頭臉書在歐洲也遭遇不幸。9月3日旗下即時聊天軟件WhatsApp同樣因違反歐盟數據保護法GDPR,被愛爾蘭數據保護監管機構處以2.25億歐元(合約6.66億元人民幣)罰款。
在隱私監管方面遭遇滑鐵盧,互聯網巨頭們不僅開始落實更為嚴格的用戶隱私保護政策,也在數據技術前沿領域開疆拓土。
據臉書產品營銷副總裁Graham Mudd在8月11日發表的博客文章中透露,去年臉書開始測試一項名為Private Lift Measurement的解決方案,該方案使用了一種叫作“安全多方計算的隱私增強技術”,這項技術在幫助廣告商了解廣告投放活動信息的同時,還增加了額外的隱私層用來限制廣告商或臉書可以了解的信息。
Graham Mudd表示,隨著蘋果和谷歌繼續對瀏覽器和操作系統進行更新以及隱私監管環境的變化,數字廣告必須發展以減少對個人第三方數據的依賴?!斑@就是為什么我們一直在投資多年的努力來建立一個隱私增強技術的投資組合,并在這些和其他支持下一個時代的標準上與業界合作?!?/p>
谷歌也在緊鑼密鼓布局隱私計算技術。9月9日,谷歌副總裁Suzanne Frey向用戶宣布,在安卓12測試版中推出一項“隱私計算服務”,不僅能夠保證用戶設備信息的私密性,還可讓設備在調用云端功能的時候不用付出隱私方面的代價。
也就是說,“隱私增強”,即“隱私計算”,既能繼續支持企業的數據處理活動,又能滿足用戶隱私保護需求,可以在數據價值和隱私合規之間求得“雙贏”。
中國信息通信研究院安全研究所發布的《隱私保護計算與合規應用研究報告(2021年)》指出,諸多現實場景中,只有足夠的數據量、豐富的特征維度才能得到真正有意義的結果,往往需要多個實體機構共同提供數據。傳統的、集中式的數據使用方式存在數據安全、法律合規等諸多風險。隱私保護計算從技術上,實現原始數據不出庫,數據“價值”和“知識”流通的目標,促進跨領域多維度數據的融合,構建“數據可用不可見”的合作新模式。
2、迎政策紅利
“隱私計算”是實現數據“可用不可見”的重要技術,在處理和計算的過程中能保持數據不透明、不泄露、無法被計算方以及其他非授權方獲取?!半[私計算”是一套人工智能、密碼學、區塊鏈等的技術整合,包括聯邦學習、安全多方計算、機密計算、差分隱私、同態加密等技術。
2020年,《麻省理工商業評論》將“隱私計算”評為全球十大突破性技術之一,足以說明這項技術的顛覆性。據IT咨詢與研究機構Gartner分析,受限于分析能力、隱私安全性等原因,大約有97%的數據尚未被利用起來;到2025年,將有一半的大型企業機構使用隱私計算在不受信任的環境和多方數據分析用例中處理數據。
受數據產業發展和隱私安全合規的雙重驅動,隱私計算行業迎來增長機遇和政策紅利。
2016年12月,工信部發布《大數據產業發展規劃(2016-2020年)》提出,要支持企業加強多方安全計算等數據流通的關鍵技術攻關和測試驗證。
2019年9月,中國人民銀行發布《金融科技(FinTech)發展規劃(2019-2021年)》提到,利用包括多方安全計算在內的技術提升金融服務安全性。
同年同月,工信部發布《工業大數據發展指導意見(征求意見稿)》提到,在工業領域積極推廣隱私計算技術以促進工業數據安全流通。
2020年12月18日,中國信息通信研究院與50多家企業共同發起成立了“隱私計算聯盟”,以進一步推動隱私計算生態建設及行業應用。
今年以來,關于隱私計算的相關利好支持在多份文件中持續不斷出現。5月26日,國家發展改革委、中央網信辦、工業和信息化部、國家能源局聯合印發《全國一體化大數據中心協同創新體系算力樞紐實施方案》,提出“試驗多方安全計算、區塊鏈、隱私計算、數據沙箱等技術模式,構建數據可信流通環境,提高數據流通效率?!?/p>
6月29日,中國支付清算協會發表《多方安全計算金融應用評估規范》,是金融領域第一個針對多方安全計算技術對進行詳細定義和規范的文件,也是隱私計算技術落地的重要政策。
7月12日,工信部發布《網絡安全產業高質量發展三年行動計劃(2021-2023)(征求意見稿)》,提出針對數據安全共享需求,大力推進安全多方計算、聯邦學習、可信計算等技術的研究攻關和部署應用,促進數據要素安全有序流動。
9月,國內首個以“隱私計算”命名的城市級政策文件新鮮出爐,珠海市發布《關于加強隱私計算在城市數字化轉型中應用的指導意見》。《意見》明確提出,珠海要培育一批基于隱私計算的數據應用場景,在保護各參與方數據隱私的前提下,完成多方參與的聯合計算任務,促進多方數據可信協同,打破數據孤島,釋放數據價值。
顯然,“隱私計算”在發揮數據價值和安全流通上正在被政策寄予厚望。
3、為合規賦能
隱私計算技術研發進展和商用落地,離不開數據安全和隱私保護的合規驅動。那么,隱私計算技術在幫助企業應對法律合規挑戰方面究竟能起到什么作用?
根據《數據安全法》規定,數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
《個人信息保護法》也規定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
對照上述法律相關規定,可以看出隱私計算技術在數據、個人信息的使用、加工、傳輸等環節能夠解決數據共享和流動的合規問題。隨著人工智能、云計算等技術產業的商用落地,金融、醫療、工業、政務、交通各類應用場景對海量數據的需求越來越多,技術只有結合精準、可靠的用戶數據,才能創造出更智能的商用產品,而隱私計算技術恰恰能為這些應用場景的落地解決數據共享和利用的合規問題。
然而,“隱私計算”并非企業解決數據處理活動所有合規問題的萬能鑰匙。需要注意的是,企業在使用隱私計算技術實現數據“可用不可見”的前提是數據被允許“可用”,也就是征得個人信息主體的的授權同意。事實上,《個人信息保護法》明確規定,個人被賦予對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理。
《騰訊隱私計算白皮書2021》指出,由于隱私計算技術正處于快速迭代和發展的階段,目前仍在實現用戶授權同意、數據存儲安全、信息主體權利保 障等關鍵合規要求的有效性上存在爭議,這些爭議在一定程度上限制了隱私計算的推廣應用。
具體而言,一是采用隱私計算,仍需明確用戶授權同意機制;二是隱私計算應用過程中也需重視數據安全風險;三是隱私計算應用過程中個人信息主體權利請求的實現仍需進一步探索。
因此,企業面對數據合規的監管壓力,在大力研發“隱私計算”技術解決方案的同時,還應當加強學習《個人信息保護法》《數據安全法》等法律知識,從根本上參透數據安全和隱私保護合規的立法邏輯。
二、產業篇
從產業的角度來看,隱私計算總體尚處于起步階段, 但經過近幾年的發展,目前在數據協作需求量大的行業已經率先商用落地,以金融、醫療、政務等應用場景為主,并有望隨著行業縱深發展,拓展到更多行業領域。
1、應用場景
2021年9月,中國人民銀行發布《征信業務管理辦法》,《辦法》以明確征信業務邊界、加強信息主體權益保護為重點,主要內容針對信用信息的采集、整理、保存、加工、提供、信息安全的合規管理。
此前,央行有關負責人在回答記者有關《辦法》的提問中指出,互聯網平臺開展助貸等相關業務符合征信業務定義的,適用本辦法。
隨著《征信業務管理辦法》即將落地,助貸行業征信的“斷直連”步伐加速。所謂“斷直連”,是指平臺機構在與金融機構開展引流、助貸、聯合貸等業務合作中,不得將個人主動提交的信息、平臺內產生的信息或從外部獲取的信息以申請信息、身份信息、基礎信息、個人畫像評分信息等名義直接向金融機構提供,在個人信息與金融機構之間實現“斷直連”。
而當前互聯網助貸業務涉及大量用戶信息和借貸信息的采集,但這些信息數據的采集普遍直連金融機構,未通過征信機構傳輸。在金融領域個人信息的“斷直連”要求,一方面需要助貸平臺調整業務模式,加強和征信機構的合作;另一方面,面對個人信息“斷直連”,金融行業還可通過“隱私計算”技術研發滿足業務合規要求?!半[私計算”技術能夠在個人信息不出平臺或金融機構的情況下,依舊實現對用戶畫像的精準捕捉和風控把握。
個人信息的“斷直連”要求是隱私計算技術能夠賦能金融領域的典型例子。金融行業的發展需要依賴大量用戶數據的采集和分析,但同時也面臨著隱私合規方面的強監管,正是由于這種數據需求和合規的雙重復雜性,金融行業較早成為隱私計算應用落地的場景之一。金融行業里的隱私計算使用,在信貸風控、反金融欺詐、保險定價等細分領域均有不俗的前景。
除了金融領域,醫療、政務、電信等重點行業,對“隱私計算”技術也有充分的落地需求。
以醫療行業為例,通常情況下,醫療數據存儲在不同醫療機構。出于對患者隱私保護的考慮,這些醫療數據無法在各個醫療機構之間直接共享流通?;谶@樣的現實情況,引入隱私計算技術解決方案,可以在不共享醫療數據的情況下,實現醫療機構對醫療數據的分析計算,推動醫療研發工作。
《騰訊隱私計算白皮書2021》指出,目前雖然隱私計算的場景主要聚焦金融、醫療等領域,但隨著其產品化、商業化的進程的加速,以及用戶對隱私計算的接受度的提高,隱私計算也正往交通、教育、工業等領域延伸,并且將形成跨機構、跨企業、跨行業的多類應用場景,有望在更多行業進行拓展應用。
2、企業入場
根據IT咨詢與研究機構Gartner預測,到2024年,全球隱私驅動的數據保護和合規技術支出將突破150億美元。畢馬威的預測數據則表示,國內隱私計算市場規模在三年后技術服務營收有望觸達100-200億人民幣的空間,甚至撬動千億級的數據平臺運營收入空間。
順應越來越多行業面臨數據采集的合規監管以及數據分析計算的業務需求,不少行業頭部企業陸續布局“隱私計算”技術和產品,一批數據垂直企業和創業公司也涌入隱私計算賽道。
目前,招商銀行、微眾銀行、螞蟻集團等金融機構、騰訊、百度、京東等互聯網企業均已布局隱私計算產品,數據垂直企業和創業公司的代表則有華控清交、同盾科技、富數科技、光之樹等。上市企業也主動在近期的公告披露中透露對隱私計算的布局。安恒信息在2021年半年報中提到,今年公司發布AiLand數據安全島平臺,是在隱私計算領域推出的前瞻性產品。
此外,2020年12月18日,中國信息通信研究院與50多家企業共同發起成立了“隱私計算聯盟”,以進一步推動生態建設及行業應用。
隨著越來越多市場參與者入局,隱私計算商用落地也在向更高的技術規范和安全性能邁進。日前,中國金融認證中心CFCA公布首批多方安全計算金融應用產品測評通過名單,百度點石聯邦學習平臺、京東萬象+隱私計算開放平臺、矩陣元隱私計算服務系統、騰訊云安全隱私計算、云從科技隱私計算平臺5個企業產品通過測評,同行競爭加劇。
2021年4月,畢馬威與微眾銀行聯合發布的《深潛數據藍海——2021隱私計算行業研究報告》分析指出國內的隱私計算玩家各有差異:“各家的資源生態、技術路線和行業布局均有不同,由此產生了不同的戰略大法?;ヂ摼W大廠體系玩家的主要優勢是豐富的數據生態和應用組件;產業背景公司的主要優勢是垂直行業的專注積淀和應用能力;創業公司的主要優勢是中立性和貼近客戶的服務能力?!?/p>
報告指出,一個典型的隱私計算業務場景包含三類參與方:使用數據的業務方,如金融機構、政府機構等要應用數據服務于自身業務,是隱私計算服務的客戶;作為數據源的數據方,如各地的大數據局、征信公司、擁有用戶數據的互聯網公司等,原始數據不出本地,將經過處理后的秘密信息發到中間方服務器上計算;隱私計算技術服務商,為客戶搭建整個計算系統,提供計算服務。
在隱私計算落地的眾多遐想中,其與區塊鏈技術的結合受到強烈關注。區塊鏈技術對數據存儲具有去中心后、可追溯、不可篡改的特性,而隱私計算實現的是對數據“可用不可見”的計算分析。因此,隱私計算技術在加密狀態下對數據進行計算分析提取數據價值,區塊鏈技術又為數據價值的轉移提供基礎。
目前,行業對隱私計算和區塊鏈結合的普遍做法是采用“雙系統架構”,這意味著企業需要采購、配置兩套系統才能實現數據協作目標。在2021杭州云棲大會上,螞蟻集團螞蟻鏈技術總監閆鶯提到,未來的行業協作中,數據隱私保護將成為底層需求,隱私計算應直接原生在區塊鏈網絡平臺上。區塊鏈與隱私計算的結合并不是一個簡單的1+1組合問題,實現數據價值的轉移需要面向數據全生命周期來思考。
3、商業布局
國盛證券在今年年初發布研究報告分析稱,“市場低估了數據隱私計算的市場機會。市場對隱私計算這類新興加密和算法技術認知不夠充分?!?/p>
研報指出,早在2016-2017年,矩陣元、螞蟻金服、微眾銀行等企業就將隱私計算作為重要方向,隨著2018年歐盟GDPR的落地,數據隱私監管變得原來越嚴厲,關注隱私計算賽道的企業開始增加,時至今日,一級市場此類企業正快速出現,2020年正成為隱私計算元年。從投資角度看,目前隱私計算尚處于技術提升期,還未形成新的商業模式,但隨著Gartner將其納入2021年重點深挖的9項技術之一,隱私計算在二級市場風口日益臨近。
由于隱私計算行業剛剛興起,其商業模式尚處于早期發展階段的探索過程,目前大多數市場參與者以銷售模式和服務模式為主。隨著行業參與者數量漸增和商用落地逐步深入,隱私計算未來有望形成更多元化的商業模式。
隱私計算技術服務商對業務主要有4種基本營收方式:銷售模式、服務模式、調用模式和分潤模式。根據畢馬威與微眾銀行聯合發布的隱私計算行業報告的梳理,銷售模式收取一次性技術系統搭建費,這是最經典的軟件系統銷售模式,每單從數十萬到數百萬不等,差異較大;服務模式收取年度系統維護和服務費用,因為隱私計算算法本身和應用場景中的模型更新較快,需要及時調整;調用模式收取數據使用費,這部分費用主要歸屬于數據方,收費標準根據數據種類和價值而定,按照數據調用次數收取;分潤模式根據業務運行效果獲取收益分成。
在4種營收方式中,分潤模式因通過參與系統運營獲得持續分成,成為被廣泛看好的商業模式。上述報告分析稱,對于早期起步的創業團隊,銷售系統和收取服務費固然是最快和最主要的營收模式,能快速獲得經營性現金流。但是從長遠看,由于開發和部署系統需要做不少定制化工作,系統銷售所收取的費用是一次性、低毛利的,技術服務商不能從中獲得穩定、較高的利潤,就希望結合分潤模式,從實際運營中獲得長期可持續的收入。
此外,從業務模式角度分析,隱私計算開源框架更具有競爭力。開源技術能夠讓服務商的產品和服務滲透到行業技術工具的各個角落,成為頭部企業的業務主流模式。根據不完全統計,目前已推出的隱私計算開源項目有谷歌的Asylo、臉書的CrypTen、騰訊的FATE。
隨著越來越多支持隱私計算的利好政策落地,隱私計算在持續推進技術研發突破的同時,也需在商業模式方面進行創新,以獲得投資者青睞。
三、互聯網“裸奔”時代或終結
2020年,堪稱是隱私計算元年。
這一新興的技術賽道,正吸引不少企業的大力布局。有招商銀行、微眾銀行、螞蟻集團這樣的金融機構,也有騰訊、百度、京東這樣的互聯網企業,還有一批專注于隱私計算業務的垂直領域創業公司。這背后是數據合規監管壓力的使然,更是搶占先機的發展需求。
從投資角度看,目前隱私計算尚處于技術提升期,還未形成新的商業模式,但隨著Gartner將其納入2021年重點深挖的9項技術之一,隱私計算在二級市場風口日益臨近。
而與普通人而言,未來隨著隱私計算應用在多種業務場景中不斷推廣,自己的個人信息也會得到更有效的保護。
有媒體舉了這樣一個例子:因業務所需,A希望了解多位客戶的工資總和(已獲得個人同意且符合個人信息處理的其它合規要求)。如果使用傳統方式,A需要直接采集他們的工資記錄,然后求和。相比之下,“隱私計算”可以在不直接采集工資詳細記錄的情況下計算出工資總和,最后A所獲得的輸出結果就只有工資總和數值。
可見,隱私計算可以幫助我們極大地避免眼下這種騷擾、精準電話猶如“家常便飯”的尷尬。
當然隱私計算并不是萬能的。目前其在實現用戶授權同意、數據存儲安全、信息主體權利保 障等關鍵合規要求的有效性上仍存在爭議,但它卻讓我們看到了“互聯網里不‘裸奔’的希望。