在全球局勢(shì)越發(fā)復(fù)雜多變的情況下，數(shù)據(jù)安全戰(zhàn)略該怎么走？

算力說(shuō)

近期愛(ài)爾蘭數(shù)據(jù)委員會(huì)對(duì)Facebook再次發(fā)起了責(zé)難，要求Facebook停止向美傳送用戶數(shù)據(jù)。在去年，該監(jiān)管機(jī)構(gòu)便對(duì)Facebook進(jìn)行了數(shù)據(jù)檢查，彼時(shí)Facebook爆發(fā)了令世界震驚的數(shù)據(jù)泄露事件，該事件甚至影響了美國(guó)大選走向。

在另一方面，美國(guó)近期也不斷地對(duì)TikTok發(fā)難，要求其必須在規(guī)定的時(shí)間內(nèi)達(dá)成向美國(guó)的出售方案。8月28日，商務(wù)部、科技部調(diào)整發(fā)布《中國(guó)禁止出口限制出口技術(shù)目錄》，新增了23項(xiàng)限制出口的技術(shù)條目。這樣根據(jù)《《中華人民共和國(guó)技術(shù)進(jìn)出口管理?xiàng)l例》，字節(jié)跳動(dòng)出售TikTok需要獲得國(guó)家許可。

這一系列事件無(wú)不在說(shuō)明數(shù)據(jù)安全已經(jīng)成為國(guó)家戰(zhàn)略和國(guó)際議題。如今疫情正在大規(guī)模襲擊全球，在全球局勢(shì)越發(fā)復(fù)雜多變的情況下，數(shù)據(jù)安全戰(zhàn)略該怎么走？而對(duì)于從事數(shù)據(jù)跨境活動(dòng)的企業(yè)來(lái)說(shuō)，又意味著什么呢？是否需要重新考慮設(shè)計(jì)自己的基礎(chǔ)架構(gòu)？算力智庫(kù)走訪了一些業(yè)內(nèi)人士，為大家?guī)?lái)一些參考。

1 Facebook因數(shù)據(jù)再遭到責(zé)難

《華爾街日?qǐng)?bào)》周三援引知情人士的話稱，愛(ài)爾蘭數(shù)據(jù)委員會(huì)已向Facebook發(fā)出初步命令，要求其暫停向美國(guó)傳輸其歐盟用戶的數(shù)據(jù)。這意味著Facebook可能不得不重新設(shè)計(jì)其服務(wù)，將從歐洲用戶那里收集的大部分?jǐn)?shù)據(jù)隔離開來(lái)，或者完全停止為這些用戶提供服務(wù)，至少暫時(shí)停止。

如果Facebook不遵守，愛(ài)爾蘭數(shù)據(jù)委員會(huì)有權(quán)對(duì)其處以高達(dá)年收入4％的罰款，即 28 億美元。

愛(ài)爾蘭數(shù)據(jù)保護(hù)專員海倫·迪克森在去年接受采訪表示，該監(jiān)管機(jī)構(gòu)發(fā)起的調(diào)查已經(jīng)有16起，悉數(shù)針對(duì)大型科技公司，包括Twitter、蘋果、LinkdIn、WhatsApp和Instagram等。

據(jù)悉，這一命令的法律依據(jù)來(lái)源于2015年歐洲法院判決使得美國(guó)－歐盟數(shù)據(jù)傳輸協(xié)議失效，歐盟最高法院認(rèn)為歐洲沒(méi)有實(shí)際有效的辦法挑戰(zhàn)美國(guó)政府的監(jiān)控行為。

歐盟向來(lái)對(duì)公民隱私重視。早在2016年4月，歐盟就頒布了《一般數(shù)據(jù)保護(hù)方案》簡(jiǎn)稱GDPR，GDPR作為一套用來(lái)保護(hù)歐盟公民個(gè)人隱私和數(shù)據(jù)的新法規(guī)，將個(gè)人信息的保護(hù)及監(jiān)管達(dá)到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案。

而在2018年3月，美國(guó)紐約時(shí)報(bào)和英國(guó)觀察者報(bào)（英國(guó)衛(wèi)報(bào)的周日版）聯(lián)合曝光，F(xiàn)acebook上超過(guò)5000萬(wàn)用戶信息數(shù)據(jù)被一家名為“劍橋分析”（Cambridge Analytica）的公司泄露，用于在2016年美國(guó)總統(tǒng)大選中針對(duì)目標(biāo)受眾推送廣告，從而影響大選結(jié)果，此事在世界范圍內(nèi)引發(fā)了軒然大波。

那么愛(ài)爾蘭對(duì)Facebook的發(fā)難又說(shuō)明了什么？是否意味著數(shù)據(jù)隱私與安全已經(jīng)上升到國(guó)際戰(zhàn)略層面上來(lái)？在此之前，美國(guó)方面已經(jīng)對(duì)中國(guó)的字節(jié)跳動(dòng)公司持續(xù)發(fā)難，步步緊逼，核心也牽扯到數(shù)據(jù)安全與保護(hù)的議題。它是否也意味著這將會(huì)影響到所有跨境互聯(lián)網(wǎng)公司的數(shù)據(jù)跨境活動(dòng)，要重新設(shè)計(jì)自身的數(shù)據(jù)基礎(chǔ)架構(gòu)？

2 數(shù)據(jù)安全已成國(guó)家戰(zhàn)略

對(duì)此，多方安全計(jì)算領(lǐng)域的創(chuàng)新企業(yè)光之樹科技的張迎春認(rèn)為數(shù)據(jù)安全、數(shù)據(jù)主權(quán)各國(guó)都在抓緊立法（包括中國(guó)的數(shù)據(jù)安全法草案），已經(jīng)說(shuō)明各國(guó)都意識(shí)到數(shù)據(jù)安全和國(guó)家安全息息相關(guān)。

早在2018年，十三屆全國(guó)人大常委會(huì)公布立法規(guī)劃（共116件），其中《中華人民共和國(guó)數(shù)據(jù)安全法》位于第一類項(xiàng)目。

2020年4月，《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（簡(jiǎn)稱《意見(jiàn)》）公布，中央首次明確數(shù)據(jù)成為繼土地、勞動(dòng)力、資本、和技術(shù)之外的第五大生產(chǎn)要素。

2020年7月，《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》在中國(guó)人大網(wǎng)公布，提出國(guó)家將對(duì)數(shù)據(jù)實(shí)行分級(jí)分類保護(hù)、開展數(shù)據(jù)活動(dòng)必須履行數(shù)據(jù)安全保護(hù)義務(wù)承擔(dān)社會(huì)責(zé)任等。

隨著當(dāng)今復(fù)雜多變的全球化局勢(shì)，數(shù)據(jù)隱私與安全的戰(zhàn)略地位也進(jìn)一步上升。特朗普針對(duì)TikTok發(fā)起的詰難也是因?yàn)閿?shù)據(jù)，包括本次愛(ài)爾蘭數(shù)據(jù)委員會(huì)對(duì)Facebook發(fā)起的責(zé)令，也是致力于保護(hù)公民數(shù)據(jù)隱私。

去年9月26日，聯(lián)合國(guó)貿(mào)易與發(fā)展會(huì)議（UNCTAD）發(fā)布了《2019年貿(mào)易和發(fā)展報(bào)告》，報(bào)告指出，金融動(dòng)蕩不安和經(jīng)濟(jì)兩極分化已經(jīng)成為超全球化時(shí)代的特征。加之2020年，疫情大規(guī)模襲擊全球，形勢(shì)更加復(fù)雜多變。

那么新形勢(shì)下的數(shù)據(jù)安全策略該怎么走？張迎春認(rèn)為，后續(xù)的發(fā)展挑戰(zhàn)是如何在尊重各國(guó)數(shù)據(jù)安全的前提下全球互聯(lián)，根據(jù)國(guó)內(nèi)目前數(shù)據(jù)安全和數(shù)據(jù)開放的討論，國(guó)內(nèi)的思路和進(jìn)度應(yīng)該是領(lǐng)先的，類似“雙循環(huán)”。

即基于數(shù)據(jù)要素全面流通的國(guó)內(nèi)大循環(huán)，可引領(lǐng)帶動(dòng)數(shù)據(jù)要素國(guó)際循環(huán)，實(shí)現(xiàn)數(shù)據(jù)價(jià)值全球優(yōu)化配置。

今年9月8日，中國(guó)外交部網(wǎng)站發(fā)布了一份“全球數(shù)據(jù)安全倡議”。倡議呼吁各國(guó)秉持發(fā)展和安全并重的原則，平衡處理技術(shù)進(jìn)步、經(jīng)濟(jì)發(fā)展與保護(hù)國(guó)家安全和社會(huì)公共利益的關(guān)系，并歡迎全球信息技術(shù)企業(yè)支持倡議。

3 企業(yè)跨境數(shù)據(jù)活動(dòng)迎新變化

對(duì)于這場(chǎng)由愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)下令Facebook暫停向美國(guó)傳輸歐盟用戶的數(shù)據(jù)所引起的風(fēng)波，不禁讓人聯(lián)想到近期字節(jié)跳動(dòng)的TikTok事件。

8月28日，商務(wù)部、科技部調(diào)整發(fā)布《中國(guó)禁止出口限制出口技術(shù)目錄》，新增了23項(xiàng)限制出口的技術(shù)條目；根據(jù)《中華人民共和國(guó)技術(shù)進(jìn)出口管理?xiàng)l例》，凡是涉及向境外轉(zhuǎn)移技術(shù)，無(wú)論是采用貿(mào)易還是投資或是其他方式，均要嚴(yán)格遵守《中華人民共和國(guó)技術(shù)進(jìn)出口管理?xiàng)l例》的規(guī)定，其中限制類技術(shù)出口必須到省級(jí)商務(wù)主管部門申請(qǐng)技術(shù)出口許可，獲得批準(zhǔn)后方可對(duì)外進(jìn)行實(shí)質(zhì)性談判，簽訂技術(shù)出口合同。

《管理?xiàng)l例》意味著TikTok的相關(guān)技術(shù)出口業(yè)務(wù)必須要獲得許可。

因此看似一場(chǎng)制裁事件，背后涉及到的其實(shí)是一場(chǎng)關(guān)于數(shù)據(jù)安全的戰(zhàn)爭(zhēng)。

PlatON 冉陽(yáng)博士表示，對(duì)于跨境企業(yè)來(lái)說(shuō)，若要符合歐盟最高法院對(duì)數(shù)據(jù)安全的裁決，就意味著必須對(duì)自身的數(shù)據(jù)基礎(chǔ)架構(gòu)進(jìn)行重新設(shè)計(jì)?！斑@個(gè)設(shè)計(jì)不是為了分布式，是為了分割和存儲(chǔ)有關(guān)歐洲用戶的數(shù)據(jù)?！?/p>

早在2000年12月，美國(guó)商業(yè)部跟歐洲聯(lián)盟建立了數(shù)據(jù)安全港協(xié)議，在該協(xié)議下，收集個(gè)人數(shù)據(jù)的企業(yè)通知個(gè)人其數(shù)據(jù)被收集后，企業(yè)能把信息傳遞給第三方。

然而到了2015年10月，歐洲法院作出判決，認(rèn)定歐美2000年簽署的關(guān)于自動(dòng)交換數(shù)據(jù)的《安全港協(xié)議》無(wú)效。今后美國(guó)網(wǎng)絡(luò)科技公司將收集到的歐洲公民數(shù)據(jù)送往美國(guó)將受到法律限制。

隨之在2016年4月，歐盟頒布了《一般數(shù)據(jù)保護(hù)方案》簡(jiǎn)稱GDPR，GDPR對(duì)個(gè)人隱私數(shù)據(jù)進(jìn)行了明確的限定，同時(shí)該法案具有“域外效應(yīng)”，賦予了歐盟在個(gè)人信息安全方面的域外管轄權(quán)。

也就是說(shuō)，無(wú)論機(jī)構(gòu)所在地位于哪里，只要其向歐盟數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或者監(jiān)控相關(guān)行為，或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，都將受到GDPR法案的監(jiān)管。

不遵守信的數(shù)據(jù)隱私法規(guī)的后果會(huì)受到嚴(yán)厲的制裁和巨額的罰款，最高上限可以達(dá)到2000萬(wàn)歐元或者上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的4％，兩者中取數(shù)額大者。這種數(shù)據(jù)完全割裂的高壓政策，正在顛覆我們目前所熟知的全球互聯(lián)網(wǎng)服務(wù)。

不僅如此，信息推薦和用戶建模需要大量的跨域數(shù)據(jù)和模型，那么受到法案約束的跨境企業(yè)的這些模型是否還能提供跨域的預(yù)測(cè)服務(wù)？

對(duì)于該問(wèn)題，冉陽(yáng)認(rèn)為，這會(huì)是隱私計(jì)算技術(shù)希望解決的痛點(diǎn)。

2016年，中國(guó)科學(xué)院信息工程研究所副總工程師李鳳華提出了隱私計(jì)算的概念。 所謂隱私計(jì)算是面向隱私信息全生命周期保護(hù)的計(jì)算理論和方法，是隱私信息的所有權(quán)、管理權(quán)和使用權(quán)分離時(shí)隱私度量、隱私泄漏代價(jià)、隱私保護(hù)與隱私分析復(fù)雜性的可計(jì)算模型與公理化系統(tǒng)。

簡(jiǎn)單來(lái)說(shuō)，就是從數(shù)據(jù)的產(chǎn)生、收集、保存、分析、利用、銷毀等環(huán)節(jié)中對(duì)隱私進(jìn)行保護(hù)的一整套方法。隱私計(jì)算也是一門“合規(guī)化”的生意：各國(guó)對(duì)于隱私數(shù)據(jù)的監(jiān)管越嚴(yán)厲，隱私計(jì)算行業(yè)的發(fā)展前景就越大。

正因?yàn)檫@個(gè)原因，在以GDPR為代表的一批嚴(yán)厲的數(shù)據(jù)隱私保護(hù)規(guī)定出臺(tái)后，從事隱私計(jì)算行業(yè)的企業(yè)就越來(lái)越多，其中也不乏區(qū)塊鏈企業(yè)涉足其中。
責(zé)編AJX