鏈客Talk|微衆銀行區塊鏈安全科學家嚴強：嚴守隱私數據紅線，業務創新合規有招

主持人：愈來愈細粒度的隱私監管對小助手這樣的普羅大衆來講，無疑是喜事一樁。那對於以數據驅動業務創新的企業來講，如何讓業務創新有效地知足隱私合規的嚴格要求？

嚴強：因爲企業發展階段、區域市場法律法規存在差別，因此，在探討有效應對隱私風險以前，首要任務是要明確隱私合規的目標。

不知道在座各位有沒有同感，伴隨着立法的細化深刻，近年來，關於「什麼數據纔算是隱私數據」的爭議在不斷減小。

儘管每一個區域法律法規對於隱私數據的定義不盡相同，但都提供了具體的類型定義和敏感性分級，例如，位於最高敏感級的KYC身份數據、金融數據等。

這樣的好處在於，可使得咱們如今可以避免以往權利邊界不清的問題，從而明晰隱私合規的目標。

對於在某一區域開展的業務，隱私合規的目標能夠歸結爲：

保護當前區域市場法律法規中定義的隱私數據，並在產品設計中提供相應的特性，以此保障客戶的法定權利。

主持人：怎麼解讀企業隱私合規要達成的目標？

嚴強：簡單來講，咱們能夠從中提煉出下面兩組關鍵詞：

①  數據內容保護；

②  數據權利保障。

這兩組關鍵詞也表明了隱私合規的兩條主線，圍繞這兩條主線，咱們能夠梳理出九個維度來識別隱私合規風險。

這九個維度的合規需求猶如隱私合規的九重關卡。對於普通企業而言，重點關注最基本的維度即可知足合規需求。

但對於處於強監管行業中的企業，如金融科技公司，或者運營跨國信息業務的企業，如在線社交網絡、跨境電商等，則可能須要知足全部維度的合規需求。

主持人：可否具體解釋一下您所提到的九個維度的合規需求以及其具體的技術實現手段？

嚴強：好的，如今來逐個解釋下每一個維度的具體合規需求和涉及的相關技術。

第一維度：界面數據隱匿；

在用戶界面中隱匿數據，使得客戶在使用產品時，其隱私數據沒法被附近位置的惡意第三方所窺視。

做爲數據內容保護合規中最容易知足的一個需求，直接的界面渲染操做，如簡單的顯示打碼、數據截斷等都是有效的技術手段。

然而，它每每也是最容易由於忽視而出現隱私事故的一個維度。尤爲是在多個敏感數據字段同時顯示的前提下，若隱匿技術使用不當，可能等同於沒有任何隱匿效果。

主持人：打斷一下，咱們常常見到的隱藏帳戶餘額功能是否是屬於這一維度？還有手機號打碼，身份證打碼相似的功能。

嚴強：是的，既然說到身份證打碼，特別想提一下的是，常規打碼方式很是容易形同虛設。

咱們能夠看一下這裏的錯誤範例。

這裏把總共18位數字的身份證號碼，隱藏了前14位，第一感受彷佛是已經很私密了。

但若是能得到其餘附加信息，咱們很容易就能恢復出被隱藏的數字。

尤爲是對於公衆人物，或者因爲以前數據失竊事件致使我的信息泄露的用戶，找到這些信息並不困難。

同時，顯示最後幾位數字，也提供了額外的信息，好比能夠根據倒數第二位是否是奇數來判斷用戶的性別。

最後一點提示是，以往代辦開戶時，經常會將默認密碼設置爲身份證號碼的後6位，也是有必定風險的。

主持人：那假定咱們已經作好了徹底的界面數據隱匿，那咱們下一步須要作什麼呢？

嚴強：OK，那就得看下一個維度的合規需求了。

第二維度：網絡數據隱匿；

在網絡維度上隱匿數據，使得隱私數據在傳輸過程當中，沒法被惡意第三方截獲明文。

經典的傳輸層安全TLS/SSL系列協議，均可以知足這一需求。

但須要注意，以上這類協議的安全性，依賴數字證書服務的正常運行，一旦該服務受到攻擊，可能會致使證書造假、證書過時等，最終影響到現有業務的安全性和可用性。

切切不能認爲只要使用了TLS/SSL，數據傳輸就是絕對隱匿的，正確檢查證書的有效性很是重要。

有很多頂級學術會議的論文，也在討論這個現實問題。設計正確，並不表明工程實現也正確，最後頗有可能就會出現意外的隱私事故。

第三維度是更有挑戰的合規需求。

第三維度：域內計算數據隱匿；

在同一個計算域內，如由企業徹底掌控和部署的雲計算環境，任何隱私數據的明文，在計算和存儲過程當中，都不離開安全隔離環境，防止企業存在內鬼進行未受權的隱私數據訪問。

隱私數據只有在安全隔離計算環境中，纔會被解密成明文，在安全隔離計算環境以外，只能進行密文運算，並以密文形式存儲在介質中。這裏須要用到可信硬件或者軟件隔離來構建安全隔離計算環境，它們分別依賴不一樣的安全假設，須要根據業務的特性來進行選擇。

主持人：企業內部一般會有不少合做，數據交互在所不免，如何才能達成這一維度的合規目標呢？

嚴強：企業內部人員風險通常可能有三類原由：

第一類是內部人員的電腦設備被外部的攻擊者控制，成爲實施侵入的肉雞；

第二類是內部人員自己有惡意的企圖；

第三類是內部人員操做失誤。

不管是哪種，咱們均可以藉助技術手段在最小化甚至預防對應的風險。這裏的關鍵在於最對域內的人員進行最小化賦權，並使用以上提到的數據隔離方案，杜絕內部人員在規定的流程以外對隱私數據進行操做，致使沒必要要的隱私風險。

主持人：明白了，基於數據隔離和訪問控制的數據流程相關的基礎設施建設，對於保障企業內部數據隱私相當重要。那你們一直熱議的密碼學技術在隱私保護中能起到什麼樣的做用嗎？

嚴強：好問題。隱私保護的合規需求自己涵蓋的範疇很廣，密碼學是其中很是重要的核心技術領域之一，但它並非惟一須要瞭解的核心技術。

根據不一樣的場景需求，咱們須要選用不一樣的技術，具體就來看看下一個維度的合規需求，剛纔提到密碼學技術就在這裏能夠用上。

第四維度：跨域計算數據隱匿；

隱私數據的明文只在同一個計算域內出現，在與其餘計算域進行聯合計算時，其餘計算域的控制方沒法直接訪問或間接推測出隱私數據的明文，防止其餘合做方得到合做協議受權以外的敏感隱私數據。

做爲數據內容保護合規中最具挑戰性的需求，其對於以醫療數據、金融數據等高度敏感數據業務尤其重要。若是沒法知足合規要求，一般意味着業務沒法開展或者面臨鉅額罰金。並且可能會出現雙向判罰，即企業不只會由於自身方案漏洞致使隱私數據泄露而受罰，還會因利用合做方企業的方案漏洞違規獲取未受權的敏感隱私數據而受罰。

這一維度可採用的通用技術方案包括數據脫敏、安全多方計算、數據外包計算、零知識證實等。在涉及機器學習的特定場景下，聯邦計算等新興技術能夠提供更爲有效的方案效果。

具體對哪一類需求，選用哪一類技術，能夠參考下方的決策圖。

數據內容保護合規以後，咱們能夠看看數據權利控制，也就是第五維度進入的內容。

第五維度：數據訪問通告；

數據訪問通告是指，讓客戶瞭解當前業務會收集哪些隱私數據、爲何須要這些數據、將會如何使用這些數據、將以什麼方式保存這些數據、保存期多久等隱私數據流通生命週期的細節。做爲數據權利保障合規中最基礎的需求，它保障了客戶的知情權。

知足該需求的難點在於，如何讓客戶理解晦澀的技術語言、理解相關隱私風險的後果，避免相關監管機構以混淆客戶理解爲由，斷定企業違規。

進行用戶體驗和人機交互技術的研究，是處理好這一需求的關鍵。

不一樣背景的人員，對同一問題的關注點是不一樣。

開發人員可能更在乎語言表達是否是機器可讀，編譯能不能過，單元測試、功能測試正不正確？

設計人員可能更在乎語言表達是否是知足業務需求，是否提供了足夠的技術細節，讓開發人員可以順利的實施？

客戶很大機率對以上兩類人員關注的事項一點都不關心，他們更想知道能得到什麼權益，伴隨着什麼風險？

顯然咱們須要使用不一樣語言表達和客戶進行溝通，向客戶明示權益和風險。

主持人：若是咱們已經盡力溝通了，但客戶仍是不理解，咱們該怎麼辦？

嚴強：問得好。爲了應對這個狀況，近年來業界比較推崇的技術是，適度採用基於機器學習技術進行自動風險匹配，簡化客戶理解成本，幫助其更理性地評估對應業務的潛在風險。

下面繼續第六維度的內容。

第六維度：數據收集控制；

數據收集控制是指，容許客戶選擇哪些隱私數據會被業務系統所收集，並在初始選擇以後，容許對將來的數據收集選擇進行調整。因爲數據收集做爲隱私數據流通生命週期的起始點，該需求可以賦予客戶對於自身隱私數據流通的全局控制權。

對於客戶不肯意分享的隱私數據，在數據收集控制機制的做用下，沒法以未受權的方式進入業務系統，以此營造客戶的心理安全感。傳統的訪問控制技術能夠很好地實現這一需求，但若原系統架構設計擴展性不佳，相關歷史系統改造將是一項巨大的工程挑戰。

主持人：對於第六個維度，比較好奇，若是用戶中止受權企業收集隱私數據，原有的業務模式，會不會受到衝擊？

嚴強：這是顯然的。業務模式衝擊是一方面，相關的技術架構升級成本可能更值得關注。

衆所周知，計算機系統是一個極其嚴謹的系統，若是原先系統設計對隱私數據的耦合度很高，忽然把隱私數據這個關鍵輸入移除，可能總體系統都會中止工做。

由於隱私合規產生的業務模式衝擊必定是全行業的，若是哪一個企業可以更快地調整升級自身的業務系統實現技術合規，實際上也能爲企業自身搶佔市場先機。

主持人：這讓我想起了歐盟GDPR對信息行業的影響，只有在技術合規方面有足夠積累的企業，才能安全地進入歐盟市場。

嚴強：比起剛纔的數據收集控制，更有挑戰的是下一個維度的合規需求。

第七維度：數據使用控制

數據使用控制是指，容許客戶對於特定的業務系統中使用隱私數據的方式進行調整或限制。

原先是GDPR特有的合規需求之一，稱之爲限制處理權，最新版的《信息安全技術 我的信息安全規範》中也有相關規定，僅對部分業務類型有效。目前主要針對在線廣告投放相關的個性化推薦業務，設立的初衷是避免過於個性化推薦引起的我的隱私空間強烈侵入感。

鑑於GDPR鉅額罰款機制，這對於相關業務在注重我的隱私的區域的穩健發展十分重要。有效應對該項需求的關鍵，在於企業可否在系統架構設計早期，爲相關隱私數據變更預留空間，減小後期系統改造的代價。

主持人：廣泛認爲隱私數據是企業的核心競爭力。這種認知下，相比中止收集隱私數據，這個中止使用數據的合規需求，聽起來彷佛就是自廢武功？

嚴強：也不能這麼理解。在法理上數據的權利是屬於用戶的。企業爲用戶提供服務，並基於用戶的隱私數據，發掘出更大的價值的前提是，尊重用戶的意願。

實際上和上一個維度的合規需求相似，精細化的隱私保護法律法規的陸續發佈會重整市場的秩序，長遠來看但願能創建起更健康的市場環境，以及可持續發展的行業生態。

這個變革過程是不可避免的，做爲企業來講，最好的選擇是積極參與到隱私合規的準備中來，在條件容許的前提下，儘早完成對應技術投入和戰略佈局，才能更好地適應市場環境的變遷。

第八維度：衍生數據控制

衍生數據使用控制是指，容許客戶對其原始隱私數據在通過變換、聚合後產生的衍生數據有必定的控制權。

這也是GDPR特有的合規需求之一，目前主要表如今兩方面：

1）數據被遺忘權：在客戶刪除帳戶以後，清理對應個體歷史數據和包含該客戶的聚合數據；

2）數據攜帶權：客戶有離開當前業務平臺的意向，打包提取以前全部的相關歷史數據，如電子郵件、評論留言、雲主機數據等。

該項需求的實現，一般也面臨着高昂的系統改造代價。建議企業在系統架構設計早期，務必考慮完備的隱私數據溯源機制，爲後期改造減小合規成本。

主持人：看到這裏，感受隱私合規已經不是單純一個兩個技術方案可以解決的問題了，對於有合規需求的相關行業，整個信息化系統的體系架構和數據治理，都須要充分考慮隱私合規的需求。

嚴強：這個理解很是正確。剛發佈的新版《信息安全技術我的信息安全規範》中也提到了「我的信息安全工程」的概念，有興趣的讀者能夠進一步瞭解一下。

關於衍生數據的範疇，能夠參考下圖，其中還包括了你們可能比較關心的機器學習模型。

主持人：談到機器學習，各式各樣的人工智能系統確實對咱們平常生活帶來了不少的便利。但也會擔憂，會不會整我的類社會最終都被AI所控制了呢？

嚴強：在隱私保護領域確實有一個相關的合規需求，保障人類不被AI歧視。

第九維度：數據影響力複議

數據影響力複議是指，容許客戶對基於其隱私數據產生的業務決策進行復議，由此更正自動化決策系統可能作出的不公平判斷，消除數據歧視等負面影響。

這多是權利數據保障合規中最具挑戰性的需求，其關注點在於數據驅動決策系統設計的可解釋性，並限制難以解釋的機器學習模型在民生、醫療等關鍵領域的應用。這就要求企業在研發自動化決策系統設計時，研發具有較高解釋能力的決策模型，或者提供備選技術方案，減小誤判致使的合規成本。

主持人：也就說，不管AI作出了什麼決策，在隱私合規的框架下，老是要準備一條人工介入途徑，以防萬一，能夠進行必要的複覈和糾正。新版《信息安全技術我的信息安全規範》好像也提到了相關內容。

嚴強：是的，以尊重人性爲核心目標的隱私保護，終極保護手段仍是靠人類本身。

但值得強調的是，面對海量異質的隱私數據，運用合適的技術手段能夠大大提升隱私保護的效率，切實減小企業實施保障的成本。

主持人：很是感謝嚴博士給咱們你們帶來的精彩分享！