报告基于隐私计算应用过程中面临的挑战,从供给侧角度,梳理了技术可信应用的原则,首次提出并重点探讨了“可信隐私计算”的概念和五大核心要素。在此基础上,分析了企业、行业的可信实践路径,并提出了未来发展的相关建议。
2022年7月13日,由中国通信标准化协会指导,中国信息通信研究院(以下简称中国信通院)、隐私计算联盟主办的2022隐私计算大会在京召开。会上,中国信通院云计算与大数据研究所高级业务主管袁博发布了《可信隐私计算研究报告(2022年)》。
以下为发布实录
《可信隐私计算研究报告(2022年)》由隐私计算联盟联合中国信通院云大所等多家成员单位共同完成,主要包括可信隐私计算的发展背景、框架、核心要素、实践路径及未来展望等内容。
近年来,在政策驱动和市场需求同时作用下,隐私计算技术、产业、应用迅速发展。一方面,数据流通需求不断增强,机构间的数据流通成为促使数据要素市场化配置、充分释放数据要素价值的重要环节;另一方面,相继出台和实施的法律法规使得数据安全,特别是数据流通过程中的安全保护,成为持续稳定的市场需求,而不再是短暂的监管应对行为。同时,从2016年开始,多个政策纷纷出台鼓励隐私计算发展。
从2016年中科院的李风华等人提出隐私计算相关概念,到隐私计算联盟、中国信通院云大所去年发布的隐私计算白皮书(2021),以及近年来美国等国家纷纷提出隐私增强计算、隐私保护计算等概念,随着隐私计算的深入发展,其概念和理论扩展越来越丰富,越来越深化,也越来越广阔。因此,除了多方安全计算、联邦学习、可信执行环境三大主流方法外,数据限制发布类的、数据失真类的、区块链类的相关技术也应纳入广义隐私计算的范畴,实现隐私保护前提下数据安全共享的一系列技术都在广义隐私计算的范畴内。
现有技术推动了隐私计算的发展,但是当前仍面临有待突破的瓶颈和困境。安全性方面,如何设计通用的安全性评价维度,如何验证产品的安全性以及行业安全共识都有待建立。合规性方面,当下的主要关注点主要是授权和匿名化,因此匿名化、相对匿名化和去标识化如何跟隐私计算结合,广义隐私计算如何实现匿名化也都需要持续积极探索。可用性方面,产品的高效稳定能力、可兼容可扩展能力、互联互通能力等也是技术应用过程中亟需突破的瓶颈。
因此,为加快隐私计算的应用发展、建立信任原则、降低社会疑虑和促进达成共识,本报告首次提出了“可信隐私计算”框架体系。我们认为可信是值得信赖,可信是知行合一,可信是符合预期。“可信隐私计算”的内涵是,在隐私计算的应用过程中,其安全性、可用性和隐私保护能力等应符合设计声明预期,以满足数据需求方、数据提供方和监管方等各方的需求,一般包含安全可证、隐私保护、流程可控、高效稳定,开放普适等基本特征。
可信隐私计算的第一特征是安全可证。我们需要理清安全的维度是什么,验证安全的方式有哪些,验证的内容是什么。安全性评价维度方面,我们通过近两年来对各个细分隐私计算算法的安全性进行详细梳理,认为需要关注算法安全、密码安全、通信安全、系统安全、产品安全等内容。安全性验证方面,目前比较常见的验证形式有三种:第三方机构验证、授权用户验证和完全开放(开源)接受公众验证,然后通过原理材料、代码、日志报文及动态攻防等内容来验证系统满足原理可验证、符合一致性要求和安全性要求。
隐私计算需要保护隐私信息。从广义隐私计算来看,它更有助于实现相对的匿名化,比如利用隐私计算技术,数据脱敏技术,合成数据技术或者区块链辅助技术等等,有利于实现相对匿名化,有利于实现技术的合规适配。除此之外,隐私计算还需要对计算全周期的隐私信息进行保护,防止未经授权的个人信息泄露、篡改和丢失,从而促进数据的最小化利用;同时也要对计算过程中的信息熵进行识别、度量和控制。
除了安全可证、隐私保护之外,隐私计算的信任基础是要做到全流程可控,包括事前授权,事中监控,事后审计等。事前要对人授权(谁来用),对数授权(数的范围、用法、用量、用途),对所有相关流程进行充分授权,并在确认授权之后再使用,这样才能达到事前可控的状态。同时还要保证授权在全流程中不被篡改,比如可以通过TEE、TPM或者智能合约等技术实现数据任务或者计算流程的防篡改。另外,事中要进行全流程监控实现数据使用的可控可计量,事后要可以通过相关方式,比如验证计算过程的正确性、通过日志存证等方式对计算的全过程操作行为、数据使用情况进行审计。
为实现技术的场景可用和规模应用,可信隐私计算的可用性可以用高效稳定来度量。一方面,隐私计算效率的提升必然涉及到安全性和计算精度,需要做到多个维度的平衡,需要在保证数据安全和精度可接受的前提下,尽量支持大规模、高并发的计算量,并满足业务场景的要求。另一方面,未来隐私计算在面向更大规模应用的时候,用户对它的系统稳定性也有很高的要求,应在满足场景需求的前提下,达到99%以上,甚至到99.999%,这也是可信很重要的特征。
隐私计算产品需要更多灵活开放的能力,包括可扩展、可迁移、可兼容和互联互通。这是隐私计算应用时重要的基础,做到这一点未来会让隐私计算产品变得更加普适化,更加兼容,更有利于构建互联互通的生态。在产品普适方面,产品要做到用户容易理解、操作、部署和运维,具有可视化界面,方便用户二次自定义开发,从而适用多种业务场景,加速技术的应用落地。
在隐私计算技术的实际应用过程中,我们建议把以上可信特征嵌入其中。在企业层面,规划设计阶段把可信理念植根于需求分析、系统详细设计等阶段,研发测试阶段可以通过各种方法提高可信特征的实现,使用运营阶段要持续监控和优化系统的各项可信风险。在行业层面,标准先行才能更好引领发展。结合可信要素,各个标准化组织通过制定一系列的标准、开展评测去规范当前行业的快速发展,隐私计算联盟也在积极开展企业产品评测工作。
最后,我们提出几条相关的发展建议,希望各方能积极协作共建可信隐私计算体系。政策方面,加快推进监管进程,比如出台相关的法律法规和配套文件,细化监管要求。技术方面,全面加强基础性技术前瞻性攻关研究,当前技术还有很大提升空间,比如需要进一步提升它的安全性和可用性。企业方面,加快场景应用,推动试点示范。行业层面, 充分发挥行业组织优势,完善可信隐私计算标准体系和开展相关评测,持续规范技术应用落地。
本报告的编写汇聚了多方力量,感谢各单位和各位专家的倾力支持。面对这个日新月异、快速发展的行业,我们期待与业界共同守正创新,推动隐私计算行业健康快速发展,让可信隐私计算在数据要素市场建设和数据流通过程中发挥更大的价值!