7月底,一则新闻爆出,Restore Privacy报告称,海外知名社交软件推特因安全漏洞被黑客入侵,有超过540万个账户的联系方式泄露,泄露的账户信息包括推特ID与其关联的电话号码和电子邮件信息,同时,这些信息已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。
而本周,推特正式对外声明该攻击确实已经发生,并且该0-day漏洞已被修补,也证实了之前新闻的真实性。
而这仅仅是最近众多数据泄露新闻中极具代表性的一条,每年关于数据泄露的新闻层出不穷,甚至还有像Meta(前Facebook)这样每年都会发生一起涉及几千万用户数据泄露的事件。
可以说,哪里有互联网用户,哪里就有隐私泄露,而隐私泄露给国家、企业和个人带来的损失却无法用只言片语来简单衡量。
从全球范围来看,每年因隐私泄露带来的经济损失超百亿美金,而这还不包括给一些组织和个人带来的其他影响,甚至隐私泄露还会直接导致一些公司业务线崩溃,可以说隐私保护在21世纪的今天成为了重中之重的话题。
当然,越来越多组织和政府开始重视隐私保护问题,在监管层面上已经有了不少相关的法案,但这仅仅是从“保护数据”本身下手,并不是从如何防止数据泄露的方式上做文章,因此在隐私保护的另一个层面上还有「隐私计算」这样的从源头上防止隐私泄露的方式。
那么究竟什么是隐私计算,隐私计算又如何实现隐私保护,以及为何隐私计算会得到颇多政策的支持,我们将在下文为大家一一分享,而这也是拉开隐私计算神秘面纱的第一步。
隐私计算概述
随着移动互联网的迅猛发展以及大数据时代的到来,隐私信息成为了大数据重要的组成部分,同时,用户也因此享受到了不同应用所提供的个性化服务,为生活带来了极大的便利。
而大数据所采集的信息包括了身份、兴趣爱好、地理位置、个人收入等敏感信息,这些个人隐私信息一旦泄露将带来极大的安全隐患,因此隐私计算的出现为我们的数据安全提供了解决方案。
2016年,隐私计算概念在《隐私计算研究范畴及发展趋势》中被正式提出,其被定义为“面向隐私信息全生命周期保护的计算理论和方法,是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄漏代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。”
简单来说,隐私计算在保证数据本身不对外泄露的前提下,实现“数据可用不可见”的目的,以及数据价值的转化和释放。
目前,业界通常将隐私计算技术分为以下三种路径:安全多方计算、联邦学习、可信执行环境。
- 安全多方计算(MPC)
安全多方计算(Secure Multi-party Computation)即在参与方不共享各自数据且没有可信第三方的情况下,仍可以进行协同计算,最终产生有价值的分析内容。
安全多方计算要确保输入数据的独立性、传递数据的准确性以及计算过程的正确性,同时不能泄露各输入值给参与计算的其他成员。此外,它在数字签名、电子拍卖、秘密共享、门限签名等场景中有着重要的作用。
- 联邦学习(FL)
联邦学习(Federated Learning)也被称为联邦机器学习、联合学习,是一种分布式机器学习技术或框架,最初是由谷歌提出的。
其实现了在本地原始数据不出库的情况下,通过对中间加密数据的流通和处理来完成多方联合的学习训练。目前联邦学习技术通常与安全多方计算技术以及区块链等技术相结合。
- 可信执行环境(TEE)
可信任执行环境(Trusted Execution Environment)是一种具有运算和储存功能,并且能提供安全性和完整性保护的独立处理环境。在该环境内的程序和数据,能够得到比操作系统层面(OS)更高级别的安全保护。
其实现原理是通过软硬件方法, 在中央处理器中,构建出一个安全区域,计算过程执行代码TA(Trust Applition)仅在安全区域分界中执行,外部攻击者无法通过常规手段获取和影响安全区的执行代码和逻辑,以此来实现敏感数据的隐私计算。
隐私计算的政策现状
数据安全是数据的基础性需求,数据隐私则是建立在数据安全基础之上的数据价值理念。
针对数据安全与隐私问题,国内外近几年已初步形成了由法律法规、规范性文件及技术标准等组成的多层次法律政策体系,为隐私计算技术发展提供了有利的政策背景,强化了数据安全保障。
如上图所示,以欧洲GDPR法规为代表,1995年,欧盟通过了《数据保护指令》作为隐私保护先驱,制定了具有开创性的指令与法律。
2011年谷歌公司因精准推送广告擅自扫描用户的邮箱内容,侵犯用户隐私,该案件延伸出的数据隐私,数据确权问题引起广泛讨论。
欧盟意识到“需要全面审核的保护个人隐私方式”,因而开启对《数据保护指令》更新工作。2016年,欧洲议会正式通过《通用数据保护条例》,并于2018年5月,该法规正式全面落地欧盟所有机构。
2018年,美国加州通过了《加利福尼亚州消费者隐私保护法案》(CCPA),法案一定程度上承接了欧洲GDPR的部分精神,规范企业如何处理消费者的个人信息。
而国内的隐私问题也在近年来从理论上落地实现,相关话题从懵懂的意识、社会讨论、共识逐渐生成,最终到立法机构推动、行业标准形成、约束机制等方面落地。
如上图所示,我国陆续出台重要法律,逐步完善框架、守护隐私。其中,与数据隐私、数据安全相关的法律法规主要有三部:2017年生效的《网络安全法》、2021年9月生效的《数据安全法》和2021年11月开始实施的《个人信息保护法》。
《数据安全法》、《网络安全法》以及《个人信息保护法》全面构筑起了国内数据安全领域的法律框架。三部法律共同确立了国内数据隐私、数据安全的法律框架主题,分别在网络安全管理、数据安全与发展、个人信息处理权利义务等领域做了界定与规定,确保数据流转的安全、隐私有法可依。
2020年后,有利于推动隐私计算发展的政策开始加快布局落地,先后颁布了多条政策文件鼓励应用隐私计算。
例如,2020年12月,《关于加快构建全国一体化大数据中心协同创新体系的指导意见》提出,要“建立健全数据流通管理体制机制”,“试验多方安全计算、区块链、隐私计算、数据沙箱等技术模式”,从技术层面为构建数据可信流通环境,提高数据流通效率提出了指导性意见。
一系列政策的出台和落地实施,不仅是从法律层面明确了数据安全和个人隐私保护的必要性,也从国家层面为隐私计算技术和应用的关键领域提供了正向的政策需求环境。
隐私计算的需求背景
- 数据流通
数据作为当今数字经济时代的“石油”,成为了继土地、劳动力、资本、技术之外的第五大生产要素,在社会经济中发挥着越来越重要的作用。
但由于数据本身具有敏感性、隐私性等特性,在数据的采集、存储、传输、使用和分析的环节中,无一不面临着泄露风险,这就造成了数据“主观上想用、客观上用不起来”的矛盾。
于是,在实现隐私数据安全的前提下实现数据要素流通也就成为了困扰各行业发展的需求难题。
倘若继续使用传统的加密手段,数据在交换过程中得不到特殊处理,数据安全、个人隐私将很难得到有效保障。
因此,想要依法依规地挖掘数据潜能,实现多方数据融合和流通必须建立起专有的数据交易平台,便于监管,要建立起严格的制度、规范和有效的监管手段,更要借助专有技术的力量。
一方面,数据要素需要安全流通与应用;另一方面,数据隐私安全需要得到更高等级的重视。在此需求背景下,隐私计算即为数据隐私保护与多方数据的融合提供了有力的技术支撑。
- 技术迭代
相对来说,隐私计算技术是一项涉及机器学习、密码学、安全工程等多种技术的综合技术体系,因此上手门槛高,但我国目前已有不少平台将其隐私计算技术进行分层设计并且开源,这无疑是给开发者们降低准入门槛,可以平滑切换各种技术进行体验或开发。
并且,对于隐私计算技术开源也获得了政策层面的支持。2021年,《关于规范金融业开源技术应用与发展的意见》中强调鼓励开源技术开发商加快提升技术创新能力,夯实产业支撑能力。
据数据显示,近年来隐私计算项目招标中不限定技术方向的需求占比达55%,三大主流方向均有涉及,其中联邦学习占比最高,达29%,两种及以上隐私计算技术综合应用的技术需求占8%,且呈逐年增长趋势。
一方面,通过技术开源能够促进行业共建,加速各项隐私计算技术研发;另一方面,隐私计算技术是一个集多项技术于一体的庞大体系,从技术需求与产品提供来看,多项隐私计算技术综合运用正在成为现有发展过程中的主流需求。
- 应用落地
自2019年起,隐私计算的落地需求呈现出递增趋势,市场层面从落地初期验证阶段进入加速落地阶段。
隐私计算技术应用行业广泛,对于金融、通信、政务、医疗等行业都具有重要的现实意义。根据2019-2022年政府公开招标项目整理,各行各业都在积极进行隐私计算平台招标,且需求逐年增长。
在所有进行项目招标的行业中,以金融行业占比最高。根据2022年7月数据公布,金融行业招标数量占比达53%,主要包含银行、证券、保险和金融科技公司等;通信行业招标数量占比为17%;政务行业占比13%;而医疗行业占比9%。
分析其背后的原因:
金融行业天生具有数字基因,具备隐私计算试点的良好条件。近年来,随着移动互联网、物联网、人工智能、大数据等技术在金融支付产业的广泛普及和应用,其数据密集型的特征愈发凸显。与此同时,机构、商户、用户三方对数据服务的需求越来越多,要求也越来越高。
其次,通信运营商的数据几乎覆盖了用户大部分私人信息,包括实名身份、上网信息、通话记录等;再者,政务机构涉及更为严谨的信息,甚至大部分涉及到国家安全,不仅体量大、种类多,对使用环境的加密要求会更加严苛。
因此,凡是在行业应用中扮演着数据提供者的角色,对隐私计算应用落地的需求就越强烈。
隐私计算能带来哪些价值?
我们每时每刻都在产生数据,以及与数据打交道,数据已经与我们每个人乃至整个社会的方方面面都密切相关。
对于保障数据的安全以及对于数据的隐私保护就成为了当下不可或缺的诉求,而隐私计算则成为了数据安全与隐私保护的最优解决方案之一。对于个人来说,我们的个人信息与所产生的数据如果被泄露,可能会带来身份盗用,财产损失,亲友被骗,严重的甚至会威胁到生命安全。
而隐私计算可以保证我们的数据在被外部调用的时候,是属于能够被使用但是又不被外界所观察到,数据是可用而不可见的。
比如我们去买房的时候,需要验证我们是合格购房者,就可以通过生物识别+隐私计算的方式,能够直接在行政部门处得到一个我们是“合格购房者”的认证,而无需把我们的个人信息以明文的形式出示出来。
如此一来,既可以确保我们是合格参与者,又能保证我们的个人信息没有泄露的风险,也就再也不会出现买了房会接到许多骚扰电话的尴尬场景。
对于企业来说,数据是企业的命脉之一。经营数据涉及到商业机密,一旦泄露对于企业的经营可能造成毁灭性的打击。而企业掌握的用户数据一旦泄露,同样会给企业带来巨额的损失。
根据IBM报告《Cost of a Data Breach Report 2021》中就提到,单个信息泄露会给相关企业造成高达180美元的成本。当泄露信息量在5000万-6500万条之间时,单个企业平均处理成本达到了约4亿美元,是一笔不容忽视的巨额损失。
对于行业来说,金融、互联网、通讯、物流、交通等行业有着大量的与外界组织进行数据交易的业务场景,隐私计算可以助力这些行业能够更加深入地挖掘数据价值,或者避免数据泄露造成的巨大损失。
当前在这些行业的使用场景中,往往会出现由于数据保护措施不足,在使用过程中,数据会遭到泄露的情况。
事实上,许多大公司的用户数据泄露往往就发生在与其他第三方公司交互数据的过程中。又或者因为顾及到数据隐私会被侵犯,而难以获得足够多的数据支持,比如医疗数据对于个人就十分敏感,考虑到个人隐私问题,医疗数据的获取就会难上许多。
而隐私计算既可以从保证数据在行业的各个组织之间发生交互过程中的安全和隐私,又能打消个人或者组织对于数据安全性的担忧,从而获得更多的数据支持。行业的发展会在隐私计算的加持下加速发展,还能获得更多数据带来的价值。
对于国家、行业、企业、个人角度来谈来说,数据的安全是直接关系到国家的安全,没有数据安全,国家层面的数据主权就无从建立。
早在2020年末,国家发改委等四部委就联合发布指导意见,提出数据是国家基础战略性资源和重要生产要素,要加强数据中心、数据资源的顶层统筹和要素流通,强化大数据安全保障。
另一方面,由于政府的数据至关重要,一旦泄露造成的后果十分严重,以至于政府机关都不愿、不敢、也不会开放共享数据,而基于这样的考量,与政府部门的数据交互的业务场景都采用比较低效的方式进行。
但是隐私计算技术则可以消除他们的顾虑,通过引入隐私计算,保证这些关键数据能够在安全且保护隐私的环境下共享出来,高效地参与到更多的社会活动和商业活动中,让整个社会的运转能够降本增效,也可以释放更多的数据资产的价值,带动经济的增长。
后记
从政策文件的密集出台,到资本的扎堆入场,经过数年的累积,隐私计算终于出现在主流大众面前,并收获了来自各行各业的诸多关注。
在这个风口上,我们看着越来越多的企业开始结合隐私计算技术研发产品,从涌现、播种、浇灌,到目前已有了坚韧成长、开花结果的迹象。
回头审视,我们目睹了Web1到Web2的变化,也意识到了数据安全和隐私泄漏一直是被人们诟病的最大痛点。想要实现数据要素安全流通,那么隐私计算则理所应当地成为了下一个竞争风口,而落到实处的发展进程值得我们长期关注。
眼望当下,隐私计算已经开始结合金融、通信、政务、医疗等不同行业,有了实际性的需求布局。
根据IDC数据显示,2021年中国隐私计算市场规模已经突破8.6亿元人民币;而Gartner预测到2024年,隐私驱动的数据保护和合规技术支出将在全球突破千亿规模。多项数据表明,受到市场需求推动的数据安全流通技术和产品,正在挑战和机遇的碰撞中迎来快速的发展。
感谢各位读到这里。
相对来说,本文理解起来需要花些时间,但作为了解我们后续内容的核心前提,我们尽量做到通俗、客观地表达。文章来源:https://www.toymoban.com/news/detail-409580.html
Web3时代下,究竟如何通过隐私计算技术实现数据安全流通与价值创造?【论道隐私计算】将带领大家,聚焦行业和产业发展,为大家提供成体系的深度内容、生态研究报告、行业案例、最新行业资讯,与大家一起成长,共建隐私计算产业繁荣。敬请期待!文章来源地址https://www.toymoban.com/news/detail-409580.html
到了这里,关于深度丨一文了解隐私计算的前世今生,它真的可以保护我们的隐私吗?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
