链客Talk|微众银行区块链安全科学家严强：严守隐私数据红线，业务创新合规有招

主持人：愈来愈细粒度的隐私监管对小助手这样的普罗大众来讲，无疑是喜事一桩。那对于以数据驱动业务创新的企业来讲，如何让业务创新有效地知足隐私合规的严格要求？

严强：因为企业发展阶段、区域市场法律法规存在差别，因此，在探讨有效应对隐私风险以前，首要任务是要明确隐私合规的目标。

不知道在座各位有没有同感，伴随着立法的细化深刻，近年来，关于「什么数据才算是隐私数据」的争议在不断减小。

尽管每一个区域法律法规对于隐私数据的定义不尽相同，但都提供了具体的类型定义和敏感性分级，例如，位于最高敏感级的KYC身份数据、金融数据等。

这样的好处在于，可使得咱们如今可以避免以往权利边界不清的问题，从而明晰隐私合规的目标。

对于在某一区域开展的业务，隐私合规的目标能够归结为：

保护当前区域市场法律法规中定义的隐私数据，并在产品设计中提供相应的特性，以此保障客户的法定权利。

主持人：怎么解读企业隐私合规要达成的目标？

严强：简单来讲，咱们能够从中提炼出下面两组关键词：

①  数据内容保护；

②  数据权利保障。

这两组关键词也表明了隐私合规的两条主线，围绕这两条主线，咱们能够梳理出九个维度来识别隐私合规风险。

这九个维度的合规需求犹如隐私合规的九重关卡。对于普通企业而言，重点关注最基本的维度即可知足合规需求。

但对于处于强监管行业中的企业，如金融科技公司，或者运营跨国信息业务的企业，如在线社交网络、跨境电商等，则可能须要知足全部维度的合规需求。

主持人：可否具体解释一下您所提到的九个维度的合规需求以及其具体的技术实现手段？

严强：好的，如今来逐个解释下每一个维度的具体合规需求和涉及的相关技术。

第一维度：界面数据隐匿；

在用户界面中隐匿数据，使得客户在使用产品时，其隐私数据没法被附近位置的恶意第三方所窥视。

做为数据内容保护合规中最容易知足的一个需求，直接的界面渲染操做，如简单的显示打码、数据截断等都是有效的技术手段。

然而，它每每也是最容易由于忽视而出现隐私事故的一个维度。尤为是在多个敏感数据字段同时显示的前提下，若隐匿技术使用不当，可能等同于没有任何隐匿效果。

主持人：打断一下，咱们常常见到的隐藏帐户余额功能是否是属于这一维度？还有手机号打码，身份证打码相似的功能。

严强：是的，既然说到身份证打码，特别想提一下的是，常规打码方式很是容易形同虚设。

咱们能够看一下这里的错误范例。

这里把总共18位数字的身份证号码，隐藏了前14位，第一感受彷佛是已经很私密了。

但若是能得到其余附加信息，咱们很容易就能恢复出被隐藏的数字。

尤为是对于公众人物，或者因为以前数据失窃事件致使我的信息泄露的用户，找到这些信息并不困难。

同时，显示最后几位数字，也提供了额外的信息，好比能够根据倒数第二位是否是奇数来判断用户的性别。

最后一点提示是，以往代办开户时，经常会将默认密码设置为身份证号码的后6位，也是有必定风险的。

主持人：那假定咱们已经作好了彻底的界面数据隐匿，那咱们下一步须要作什么呢？

严强：OK，那就得看下一个维度的合规需求了。

第二维度：网络数据隐匿；

在网络维度上隐匿数据，使得隐私数据在传输过程当中，没法被恶意第三方截获明文。

经典的传输层安全TLS/SSL系列协议，均可以知足这一需求。

但须要注意，以上这类协议的安全性，依赖数字证书服务的正常运行，一旦该服务受到攻击，可能会致使证书造假、证书过时等，最终影响到现有业务的安全性和可用性。

切切不能认为只要使用了TLS/SSL，数据传输就是绝对隐匿的，正确检查证书的有效性很是重要。

有很多顶级学术会议的论文，也在讨论这个现实问题。设计正确，并不表明工程实现也正确，最后颇有可能就会出现意外的隐私事故。

第三维度是更有挑战的合规需求。

第三维度：域内计算数据隐匿；

在同一个计算域内，如由企业彻底掌控和部署的云计算环境，任何隐私数据的明文，在计算和存储过程当中，都不离开安全隔离环境，防止企业存在内鬼进行未受权的隐私数据访问。

隐私数据只有在安全隔离计算环境中，才会被解密成明文，在安全隔离计算环境以外，只能进行密文运算，并以密文形式存储在介质中。这里须要用到可信硬件或者软件隔离来构建安全隔离计算环境，它们分别依赖不一样的安全假设，须要根据业务的特性来进行选择。

主持人：企业内部一般会有不少合做，数据交互在所不免，如何才能达成这一维度的合规目标呢？

严强：企业内部人员风险通常可能有三类原由：

第一类是内部人员的电脑设备被外部的攻击者控制，成为实施侵入的肉鸡；

第二类是内部人员自己有恶意的企图；

第三类是内部人员操做失误。

不管是哪种，咱们均可以借助技术手段在最小化甚至预防对应的风险。这里的关键在于最对域内的人员进行最小化赋权，并使用以上提到的数据隔离方案，杜绝内部人员在规定的流程以外对隐私数据进行操做，致使没必要要的隐私风险。

主持人：明白了，基于数据隔离和访问控制的数据流程相关的基础设施建设，对于保障企业内部数据隐私相当重要。那你们一直热议的密码学技术在隐私保护中能起到什么样的做用吗？

严强：好问题。隐私保护的合规需求自己涵盖的范畴很广，密码学是其中很是重要的核心技术领域之一，但它并非惟一须要了解的核心技术。

根据不一样的场景需求，咱们须要选用不一样的技术，具体就来看看下一个维度的合规需求，刚才提到密码学技术就在这里能够用上。

第四维度：跨域计算数据隐匿；

隐私数据的明文只在同一个计算域内出现，在与其余计算域进行联合计算时，其余计算域的控制方没法直接访问或间接推测出隐私数据的明文，防止其余合做方得到合做协议受权以外的敏感隐私数据。

做为数据内容保护合规中最具挑战性的需求，其对于以医疗数据、金融数据等高度敏感数据业务尤其重要。若是没法知足合规要求，一般意味着业务没法开展或者面临巨额罚金。并且可能会出现双向判罚，即企业不只会由于自身方案漏洞致使隐私数据泄露而受罚，还会因利用合做方企业的方案漏洞违规获取未受权的敏感隐私数据而受罚。

这一维度可采用的通用技术方案包括数据脱敏、安全多方计算、数据外包计算、零知识证实等。在涉及机器学习的特定场景下，联邦计算等新兴技术能够提供更为有效的方案效果。

具体对哪一类需求，选用哪一类技术，能够参考下方的决策图。

数据内容保护合规以后，咱们能够看看数据权利控制，也就是第五维度进入的内容。

第五维度：数据访问通告；

数据访问通告是指，让客户了解当前业务会收集哪些隐私数据、为何须要这些数据、将会如何使用这些数据、将以什么方式保存这些数据、保存期多久等隐私数据流通生命周期的细节。做为数据权利保障合规中最基础的需求，它保障了客户的知情权。

知足该需求的难点在于，如何让客户理解晦涩的技术语言、理解相关隐私风险的后果，避免相关监管机构以混淆客户理解为由，断定企业违规。

进行用户体验和人机交互技术的研究，是处理好这一需求的关键。

不一样背景的人员，对同一问题的关注点是不一样。

开发人员可能更在乎语言表达是否是机器可读，编译能不能过，单元测试、功能测试正不正确？

设计人员可能更在乎语言表达是否是知足业务需求，是否提供了足够的技术细节，让开发人员可以顺利的实施？

客户很大几率对以上两类人员关注的事项一点都不关心，他们更想知道能得到什么权益，伴随着什么风险？

显然咱们须要使用不一样语言表达和客户进行沟通，向客户明示权益和风险。

主持人：若是咱们已经尽力沟通了，但客户仍是不理解，咱们该怎么办？

严强：问得好。为了应对这个状况，近年来业界比较推崇的技术是，适度采用基于机器学习技术进行自动风险匹配，简化客户理解成本，帮助其更理性地评估对应业务的潜在风险。

下面继续第六维度的内容。

第六维度：数据收集控制；

数据收集控制是指，容许客户选择哪些隐私数据会被业务系统所收集，并在初始选择以后，容许对将来的数据收集选择进行调整。因为数据收集做为隐私数据流通生命周期的起始点，该需求可以赋予客户对于自身隐私数据流通的全局控制权。

对于客户不肯意分享的隐私数据，在数据收集控制机制的做用下，没法以未受权的方式进入业务系统，以此营造客户的心理安全感。传统的访问控制技术能够很好地实现这一需求，但若原系统架构设计扩展性不佳，相关历史系统改造将是一项巨大的工程挑战。

主持人：对于第六个维度，比较好奇，若是用户中止受权企业收集隐私数据，原有的业务模式，会不会受到冲击？

严强：这是显然的。业务模式冲击是一方面，相关的技术架构升级成本可能更值得关注。

众所周知，计算机系统是一个极其严谨的系统，若是原先系统设计对隐私数据的耦合度很高，忽然把隐私数据这个关键输入移除，可能总体系统都会中止工做。

由于隐私合规产生的业务模式冲击必定是全行业的，若是哪一个企业可以更快地调整升级自身的业务系统实现技术合规，实际上也能为企业自身抢占市场先机。

主持人：这让我想起了欧盟GDPR对信息行业的影响，只有在技术合规方面有足够积累的企业，才能安全地进入欧盟市场。

严强：比起刚才的数据收集控制，更有挑战的是下一个维度的合规需求。

第七维度：数据使用控制

数据使用控制是指，容许客户对于特定的业务系统中使用隐私数据的方式进行调整或限制。

原先是GDPR特有的合规需求之一，称之为限制处理权，最新版的《信息安全技术 我的信息安全规范》中也有相关规定，仅对部分业务类型有效。目前主要针对在线广告投放相关的个性化推荐业务，设立的初衷是避免过于个性化推荐引起的我的隐私空间强烈侵入感。

鉴于GDPR巨额罚款机制，这对于相关业务在注重我的隐私的区域的稳健发展十分重要。有效应对该项需求的关键，在于企业可否在系统架构设计早期，为相关隐私数据变更预留空间，减小后期系统改造的代价。

主持人：广泛认为隐私数据是企业的核心竞争力。这种认知下，相比中止收集隐私数据，这个中止使用数据的合规需求，听起来彷佛就是自废武功？

严强：也不能这么理解。在法理上数据的权利是属于用户的。企业为用户提供服务，并基于用户的隐私数据，发掘出更大的价值的前提是，尊重用户的意愿。

实际上和上一个维度的合规需求相似，精细化的隐私保护法律法规的陆续发布会重整市场的秩序，长远来看但愿能创建起更健康的市场环境，以及可持续发展的行业生态。

这个变革过程是不可避免的，做为企业来讲，最好的选择是积极参与到隐私合规的准备中来，在条件容许的前提下，尽早完成对应技术投入和战略布局，才能更好地适应市场环境的变迁。

第八维度：衍生数据控制

衍生数据使用控制是指，容许客户对其原始隐私数据在通过变换、聚合后产生的衍生数据有必定的控制权。

这也是GDPR特有的合规需求之一，目前主要表如今两方面：

1）数据被遗忘权：在客户删除帐户以后，清理对应个体历史数据和包含该客户的聚合数据；

2）数据携带权：客户有离开当前业务平台的意向，打包提取以前全部的相关历史数据，如电子邮件、评论留言、云主机数据等。

该项需求的实现，一般也面临着高昂的系统改造代价。建议企业在系统架构设计早期，务必考虑完备的隐私数据溯源机制，为后期改造减小合规成本。

主持人：看到这里，感受隐私合规已经不是单纯一个两个技术方案可以解决的问题了，对于有合规需求的相关行业，整个信息化系统的体系架构和数据治理，都须要充分考虑隐私合规的需求。

严强：这个理解很是正确。刚发布的新版《信息安全技术我的信息安全规范》中也提到了“我的信息安全工程”的概念，有兴趣的读者能够进一步了解一下。

关于衍生数据的范畴，能够参考下图，其中还包括了你们可能比较关心的机器学习模型。

主持人：谈到机器学习，各式各样的人工智能系统确实对咱们平常生活带来了不少的便利。但也会担忧，会不会整我的类社会最终都被AI所控制了呢？

严强：在隐私保护领域确实有一个相关的合规需求，保障人类不被AI歧视。

第九维度：数据影响力复议

数据影响力复议是指，容许客户对基于其隐私数据产生的业务决策进行复议，由此更正自动化决策系统可能作出的不公平判断，消除数据歧视等负面影响。

这多是权利数据保障合规中最具挑战性的需求，其关注点在于数据驱动决策系统设计的可解释性，并限制难以解释的机器学习模型在民生、医疗等关键领域的应用。这就要求企业在研发自动化决策系统设计时，研发具有较高解释能力的决策模型，或者提供备选技术方案，减小误判致使的合规成本。

主持人：也就说，不管AI作出了什么决策，在隐私合规的框架下，老是要准备一条人工介入途径，以防万一，能够进行必要的复核和纠正。新版《信息安全技术我的信息安全规范》好像也提到了相关内容。

严强：是的，以尊重人性为核心目标的隐私保护，终极保护手段仍是靠人类本身。

但值得强调的是，面对海量异质的隐私数据，运用合适的技术手段能够大大提升隐私保护的效率，切实减小企业实施保障的成本。

主持人：很是感谢严博士给咱们你们带来的精彩分享！