近日,由工业和信息化部、商务部、国家互联网信息办公室、中国科学技术协会、北京市人民政府共同主办的2023全球数字经济大会在京举行。自ChatGPT再次引爆全世界对人工智能的关注后,先进技术可能导致的数据及隐私安全等合规问题也再一次引起业界的深入探讨。在此界全球数字经济大会中的全球数字治理合作分论坛上,与会专家就数据治理和数据安全问题展开讨论,个人数据信息的脱敏保护与合规利用作为重要议题之一被多次提及。
2018年欧盟曾正式颁布了较为严格的GDPR通用数据保护条例,各国相关企业,不论知名与否都不再回避条例规定。之后各国陆续推出类似法律、法规、规范等一系列要求,加速推动了对个人信息数据合理使用的相关技术研发。互联网、学术界、法律界等诸多领域对这个话题展开热烈讨论、对相关政策进行多元解读、对技术处理多次反复探讨。在此过程中,有专家所做的总结很有代表性,即根据数据脱敏后能否再度被识别的程度,数据的脱敏处理分为匿名化(anonymization)、去标识化(de-identification)、假名化(pseudonymization)这三类效果。匿名化等级最高,指的是“不可复原的不可识别”;假名化等级最低,指的是“结合其他信息的可识别”;去标识化介于两者之间,即“合理可能的不可识别”,可以理解为有可能可以识别,但目前并没有明确的信息或方法能够实现。所以去标识化已经是当前可以接受的比较好的数据脱敏机制了。当下时代,数据要素不可谓不是数字经济时代的“石油”,数据流动通过活跃技术流、物质流、资金流等,可为数字经济创造巨大价值。而数据保护机制也并非要把个人信息数据完全束之高阁,在可承受的成本和伦理道德准绳之内,释放数据信息背后所蕴涵的巨大价值,让数据合规流通、流动方为正解。
国双数据分析人员谈到:“在我国2021年推出的《个保法》中,将假名化,以及泛化、随机化等合并为同一个等级,定义为“去标识化”。要注意的是,这是有别于上述我们提及的居于中间阶段的“去标识化”的。“匿名化”后的信息不再属于“个人信息”,也就不在《个保法》保护范围,而“去标识化”(含假名化等)的信息还是“个人信息”。”
自创业之初,国双一直从事大数据和人工智能软件的开发及服务,数字营销监测作为国双的当家产品处于国内市场的领先位置。在服务头部消费行业客户的众多项目中,海量数据(603138)流转不可避免会触及到用户的消费及行为数据。为此国双数据团队在一开始就给予高度关注,并构建起了严谨的合规保障机制。对GDPR、《个保法》,以及早年出台的《网络安全法》、《数据安全法》,都开展了细致研究并落实举措。综合多种法案的要求,结合项目所涉及的业务场景需要以及目前能够实现的技术水平,国双数据团队最终选择了“去标识化”的做法。既能够在初始环节介入实现对个人信息数据的保护,又兼顾到与相关数据的有效打通。国双数据分析团队的成员提到:“这意味着“去标识化”的个人信息依然在《个保法》的保护范围,除了加密处理外,还需要有更多共同作用的技术措施来加以综合保障。包括数据采集一开始时就应该注意到分类分级、严格控制数据访问权限、制定数据存储周期和数据销毁规则等,这也给单纯的数据处理带来了大量额外工时。”
具体到去标识化的处理,国双数据团队与IT专家合作将采集到的个人信息数据转换为国双独有的一套编码——Gridsum ID,去除掉个人身份属性,使之无法与个人信息主体身份相关联,比如个人姓名、性别、生日等基本数据,个人身份证、驾驶证、护照等身份信息,甚至银行账户等财产信息等,从初始就封堵住信息暴露风险。在与其他系统进行数据匹配时,还会根据不同的安全级别要求使用不同的多类型加密方式,并遵循HTTPS和SFTP等安全协议来确保数据传输的安全,防止数据在传输过程中发生泄露。
“去标识化”和加密,势必会增加数据流通的复杂度,很多时候,数据使用的迫切性不能给数据厂商们预留太多时间去搞定众多的细节。国双数据团队则早在2020年初就开始着手与字节跳动旗下的巨量引擎合作,共同打造数据“安全屋”——Datahub,将采集到的数据与巨量引擎的数据,结合隐私计算、联邦学习等技术,使数据在这个“黑盒”中进行匹配计算。数据处理人员可以预先提出匹配和计算的要求,最终由“黑盒”返回一个计算好的结果,这是聚合后的计算结果,而非个体真实信息。“黑盒”就像一个保险箱,把人工操作屏蔽在外,有效规避数据信息处理中可能发生的泄露风险。这样的处理既可帮助数据处理团队预先做好与合作方一起面对个人信息受限后的数据使用问题,也凭借此类数据信息安全处理技术创新,赢得了一批新的国际消费品巨头的信赖与选择。这样的数据处理方式,后来也被一些互联网媒体平台获得了效仿。
国双参与起草《互联网广告数据应用和安全技术要求》
国双在数字营销领域所作出的探索,只是针对数据治理和数据安全方向的一个细节缩影。事实上,国双专门成立数据安全管理团队,规范公司自身各产品线的开发建设,同时在众多项目中积累沉淀标准化产品模块,并逐步纳入服务于多行业各领域的企业客户。有数据产生的地方,数据安全风险就会相伴相生。国双愿与行业伙伴及企业客户一起,在关注信息安全,平衡数据流通与数据安全合规方向上深入探索,不断推动技术进步。
