北京時(shí)間2022年7月21日，國(guó)家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī)，對(duì)滴滴全球股份有限公司處人民幣80.26億元罰款，對(duì)滴滴全球股份有限公司董事長(zhǎng)兼CEO程維、總裁柳青各處人民幣100萬元罰款。滴滴公司存在過度收集用戶隱私數(shù)據(jù)，且關(guān)鍵信息采取明文存儲(chǔ)，給國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全帶來嚴(yán)重安全風(fēng)險(xiǎn)隱患。近些年，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等技術(shù)的不斷成熟，已經(jīng)在公共管理和科學(xué)研究等多領(lǐng)域廣泛應(yīng)用。通過數(shù)據(jù)分析能夠指導(dǎo)企業(yè)進(jìn)行重要決策，協(xié)助國(guó)家制定未來的戰(zhàn)略發(fā)展方向等。

智能數(shù)字時(shí)代豐富人們工作與生活的同時(shí)，也將面臨諸多安全問題，例如數(shù)據(jù)的不安全存儲(chǔ)、數(shù)據(jù)的越權(quán)訪問和隱私泄漏等。近些年發(fā)生了多起數(shù)據(jù)泄漏事件，如MongoDB 數(shù)據(jù)庫(kù)被入侵、Facebook和SHEIN 數(shù)據(jù)庫(kù)泄露等，對(duì)公民的隱私造成極大的危害。數(shù)據(jù)安全治理已經(jīng)成為當(dāng)下人們關(guān)注的熱點(diǎn)。隱私計(jì)算在保證用戶數(shù)據(jù)安全的前提下，又能有效的解決“數(shù)據(jù)孤島”問題，成為數(shù)據(jù)安全保護(hù)的重要技術(shù)手段，引起了學(xué)術(shù)和工業(yè)界的廣泛關(guān)注。

相關(guān)法律法規(guī)

國(guó)內(nèi)外數(shù)據(jù)泄露事件頻發(fā)，大量企業(yè)的商業(yè)利益、聲譽(yù)受損。數(shù)據(jù)安全法律法規(guī)相繼頒布，監(jiān)管力度不斷升級(jí)，企業(yè)逐漸意識(shí)到數(shù)據(jù)安全治理的重要性與緊迫性。全球開展大規(guī)模的數(shù)據(jù)安全隱私保護(hù)法律法規(guī)的制定，如歐盟GDRP《通用數(shù)據(jù)保護(hù)條例》、加州CCPA《加利福尼亞州的消費(fèi)者隱私法案》、加拿大PIPEDA《加利福尼亞州的消費(fèi)者隱私法案》等。我國(guó)制定的主要法律和標(biāo)準(zhǔn)如表1所示，在全國(guó)人大發(fā)布的《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》的三法聯(lián)動(dòng)推進(jìn)下，中國(guó)迎來了數(shù)據(jù)安全治理與隱私保護(hù)的合規(guī)發(fā)展階段。《數(shù)據(jù)安全法》明確提出數(shù)據(jù)的安全發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)和政務(wù)數(shù)據(jù)安全與開放相關(guān)法律法規(guī)；《網(wǎng)絡(luò)安全法》主要強(qiáng)調(diào)了個(gè)人用戶信息收集的安全合規(guī)、網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和機(jī)密性；《個(gè)人信息保護(hù)法》強(qiáng)調(diào)個(gè)人信息在數(shù)據(jù)流通過程中的安全合規(guī)性，確立了個(gè)人信息的“最小必要”原則。國(guó)務(wù)院也發(fā)布了多項(xiàng)方案和意見，明確提出了對(duì)數(shù)據(jù)安全流通的建議與規(guī)劃。

《數(shù)據(jù)安全法》全文：http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

《網(wǎng)絡(luò)安全法》全文：http://www.sprd.gov.cn/newsShow.asp?dataID=635

《個(gè)人信息保護(hù)法》全文：http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

表1 數(shù)據(jù)安全合規(guī)流通的法律法規(guī)及相關(guān)政策

數(shù)據(jù)安全

數(shù)據(jù)安全就是保障采集、傳輸和存儲(chǔ)、處理、共享和銷毀各階段的安全。每個(gè)階段都面臨著不同的風(fēng)險(xiǎn)，如采集階段面臨數(shù)據(jù)源不可靠風(fēng)險(xiǎn)、存儲(chǔ)階段面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)、處理階段面臨隱私數(shù)據(jù)挖掘的風(fēng)險(xiǎn)等，數(shù)據(jù)安全的主要任務(wù)在于識(shí)別這些風(fēng)險(xiǎn)，并采取適當(dāng)?shù)姆婪洞胧┻M(jìn)行安全保障。目前企業(yè)主要將各種安全防護(hù)技術(shù)應(yīng)用到數(shù)據(jù)中臺(tái)以此來保障數(shù)據(jù)安全，安全公司將各種技術(shù)集成在一起形成安全產(chǎn)品，如加密網(wǎng)關(guān)和智能分類分級(jí)、脫敏系統(tǒng)，客戶可直接部署安全產(chǎn)品來解決安全防護(hù)問題。雖然目前出現(xiàn)了很多的安全產(chǎn)品，但是針對(duì)整個(gè)數(shù)據(jù)始終沒有統(tǒng)一的安全防護(hù)解決方案，風(fēng)險(xiǎn)處置和隱私保護(hù)等主要問題的解決方案尚未得到全面的探討。數(shù)據(jù)安全仍然是歷久常新的問題，安全防護(hù)策略需要不斷調(diào)整來應(yīng)對(duì)當(dāng)下復(fù)雜多變的環(huán)境，如何在技術(shù)革新的時(shí)代提出更加安全的防護(hù)模型，仍然是當(dāng)下和未來大數(shù)據(jù)安全領(lǐng)域的重要命題。

隱私計(jì)算

互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，激發(fā)了數(shù)據(jù)要素流通的市場(chǎng)空間。傳統(tǒng)數(shù)據(jù)流通的方式無法滿足數(shù)據(jù)安全的要求，需要通過創(chuàng)新的技術(shù)來實(shí)現(xiàn)數(shù)據(jù)流通的安全性。隱私計(jì)算在保證數(shù)據(jù)提供方不泄露原始數(shù)據(jù)的前提下，對(duì)數(shù)據(jù)進(jìn)行分析計(jì)算，數(shù)據(jù)以“可用不可見的”的方式進(jìn)行安全流通，能有效的解決“數(shù)據(jù)孤島”問題，成為數(shù)據(jù)安全保護(hù)的重要技術(shù)手段。同時(shí)隱私計(jì)算中的多方安全計(jì)算技術(shù)還可以控制數(shù)據(jù)的用途以及用量，做到數(shù)據(jù)的“用途可控可計(jì)量”。在應(yīng)用實(shí)踐中，隱私計(jì)算還可以融合區(qū)塊鏈技術(shù)來強(qiáng)化在“身份認(rèn)證、訪問控制、計(jì)算和監(jiān)管”等方面的信任機(jī)制，如圖展示了基于隱私計(jì)算的數(shù)據(jù)可信流通。

圖1  基于隱私計(jì)算的數(shù)據(jù)可信流通

隱私計(jì)算的三種技術(shù)實(shí)現(xiàn)思路：以密碼學(xué)為核心、融合隱私保護(hù)技術(shù)的聯(lián)合建模、可信執(zhí)行環(huán)境。以密碼學(xué)為核心：主要包括多方安全計(jì)算，同態(tài)加密，差分隱私，零知識(shí)證明等多種密碼學(xué)技術(shù) 。目前行業(yè)的技術(shù)廠商通常將多方安全計(jì)算作為主要的技術(shù)方案，同態(tài)加密等密碼學(xué)算法也被較多的應(yīng)用于業(yè)務(wù)實(shí)踐當(dāng)中，或是與聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境等技術(shù)方案開展融合應(yīng)用。融合隱私保護(hù)技術(shù)的聯(lián)合建模：技術(shù)上采取聯(lián)邦學(xué)習(xí)與各類隱私保護(hù)技術(shù)相融合的技術(shù)實(shí)現(xiàn)方式，聯(lián)邦學(xué)習(xí)根據(jù)參與訓(xùn)練客戶端的數(shù)據(jù)集特征信息不同，分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)和聯(lián)邦遷移學(xué)習(xí)。可信執(zhí)行環(huán)境：采取對(duì)隱私數(shù)據(jù)的計(jì)算環(huán)境進(jìn)行隔離和度量，數(shù)據(jù)和算法被加密輸入可執(zhí)行環(huán)境，對(duì)外只輸出最終的計(jì)算結(jié)果，原始數(shù)據(jù)和過程數(shù)據(jù)使用完就地銷毀，從而實(shí)現(xiàn)數(shù)據(jù)的“可用不可見”。

隱私計(jì)算包含如下三種關(guān)鍵計(jì)算方案：多方安全計(jì)算（MPC）、可信聯(lián)邦計(jì)算（TFL）和可信執(zhí)行環(huán)境（TEE）

1 多方安全計(jì)算（MPC）

多方安全計(jì)算于1986 年由姚期智院士通過姚氏百萬富翁問題提出。兩個(gè)百萬富翁街頭邂逅，他們都想炫富，比一比誰(shuí)更有錢，但是出于隱私，都不想讓對(duì)方知道自己到底擁有多少財(cái)富，如何在不借助第三方的情況下，讓他們知道誰(shuí)更有錢。姚氏“百萬富翁問題”后經(jīng)發(fā)展，成為現(xiàn)代密碼學(xué)中非?；钴S的研究領(lǐng)域，即多方安全計(jì)算。MPC可以保障多個(gè)參與方進(jìn)行協(xié)同計(jì)算并輸出計(jì)算結(jié)果，使各個(gè)參與方除了計(jì)算結(jié)果之外無法獲取任何其他信息，從技術(shù)層面實(shí)現(xiàn)數(shù)據(jù)的可用不可見，聯(lián)合挖掘數(shù)據(jù)價(jià)值，拓寬數(shù)據(jù)的使用維度。如圖2所示，多方安全計(jì)算技術(shù)是由一系列技術(shù)組成，按層次可分為專用算法層和支撐技術(shù)層。

圖2 多方安全計(jì)算（MPC）技術(shù)框架

專用算法：解決特定問題所構(gòu)造出的特殊MPC協(xié)議，由于是針對(duì)性構(gòu)造并進(jìn)行優(yōu)化，專用算法的效率會(huì)比基于混淆電路（GC ，Garbled Circuit）的通用框架高很多，包含四則運(yùn)算、比較運(yùn)算、矩陣運(yùn)算、隱私集合求交集、隱私數(shù)據(jù)查詢和差分隱私等。

支撐技術(shù)層：提供構(gòu)建MPC的基礎(chǔ)技術(shù)實(shí)現(xiàn)，包含常用的加密解密、hash函數(shù)、密鑰交換、同態(tài)加密（HE，Homomorphic Encryption）、偽隨機(jī)函數(shù)等，還包含MPC中的基礎(chǔ)工具：秘密分享（SS，Secret Sharing）、不經(jīng)意傳輸協(xié)議(OT，Oblivious Transfer)、不經(jīng)意為隨機(jī)函數(shù)（OPRF，Oblivious Pseudorandom Function）等。

2 可信聯(lián)邦學(xué)習(xí)（TFL）

聯(lián)邦學(xué)習(xí)（FL）由Google于2016年提出，旨在構(gòu)建一個(gè)基于分布數(shù)據(jù)集的聯(lián)邦學(xué)習(xí)模型，使得在原始數(shù)據(jù)不出庫(kù)的情況下，協(xié)同完成機(jī)器學(xué)習(xí)任務(wù)的學(xué)習(xí)模式，排除利用模型參數(shù)/梯度重構(gòu)原始數(shù)據(jù)的潛在風(fēng)險(xiǎn)。任何多方聯(lián)合機(jī)器學(xué)習(xí)建模，都不可避免聯(lián)邦學(xué)習(xí)這一機(jī)器學(xué)習(xí)范式，基于FL可以量化分析隱私計(jì)算各種技術(shù)保護(hù)方案的優(yōu)劣，從而指導(dǎo)隱私計(jì)算算法的設(shè)計(jì)。合理運(yùn)用包括多方安全計(jì)算（MPC）、可信執(zhí)行環(huán)境（TEE）、同態(tài)加密（HE）和差分隱私（DP）等技術(shù)進(jìn)行融合，結(jié)合分布式機(jī)器學(xué)習(xí)和人工智能算法，找到聯(lián)合建?？尚?、可行和可控的解決方案，實(shí)踐中FL將融合各類隱私保護(hù)技術(shù)，這就是“可信聯(lián)邦學(xué)習(xí)”的核心概念，不斷提高聯(lián)邦學(xué)習(xí)的能力，協(xié)同解決“數(shù)據(jù)孤島”和“數(shù)據(jù)隱私計(jì)算”的問題。 

3 可信執(zhí)行環(huán)境（TEE）

TEE通過可信、抗篡改的軟硬件構(gòu)建一個(gè)可信的安全環(huán)境，在硬件中為敏感數(shù)據(jù)單獨(dú)分配一塊隔離的內(nèi)存，所有敏感數(shù)據(jù)均在這塊內(nèi)存中展開計(jì)算，并且除了經(jīng)過授權(quán)的接口外，硬件中的其他部分不能訪問這塊隔離內(nèi)存中的信息。如圖3所示，展示了普通執(zhí)行環(huán)境和可信執(zhí)行環(huán)境的對(duì)比，數(shù)據(jù)在可信環(huán)境中由可信程序進(jìn)行處理，以此來保護(hù)程序代碼或數(shù)據(jù)不被操作系統(tǒng)、其他應(yīng)用程序竊取或篡改。

圖3 普通執(zhí)行環(huán)境和可信執(zhí)行環(huán)境對(duì)比

普通應(yīng)用采取調(diào)用底層API可實(shí)現(xiàn)對(duì)上層業(yè)務(wù)的實(shí)現(xiàn)。對(duì)于操作系統(tǒng)支持的安全應(yīng)用，硬件會(huì)開辟出可信執(zhí)行域，通過TEE函數(shù)API調(diào)用底層的用戶API，完成可信計(jì)算。

總    結(jié)

本次對(duì)滴滴公司的處罰作為一個(gè)典型案例，體現(xiàn)了國(guó)家對(duì)于加強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)的重視程度和保護(hù)力度，對(duì)于重要數(shù)據(jù)處理有關(guān)企業(yè)應(yīng)當(dāng)全面梳理其相關(guān)業(yè)務(wù)、建立完善數(shù)據(jù)安全體系，做到依法合規(guī)運(yùn)營(yíng)。在數(shù)據(jù)面臨“隱私泄露”和“數(shù)據(jù)孤島“大背景下，本文通過分析相關(guān)的隱私泄漏事件以及在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三法驅(qū)動(dòng)下我國(guó)隱私保護(hù)技術(shù)的發(fā)展。本文就如何有效保障數(shù)據(jù)安全與隱私出發(fā)，為讀者介紹了數(shù)據(jù)安全和隱私保護(hù)的相關(guān)概念，隱私計(jì)算能有效的保障數(shù)據(jù)安全，同時(shí)解決數(shù)據(jù)孤島問題，作為數(shù)據(jù)安全保護(hù)的重要技術(shù)手段，本文重點(diǎn)梳理隱私計(jì)算的實(shí)現(xiàn)思路和相關(guān)的技術(shù)方案，包括多方安全計(jì)算、可信聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境，為未來隱私保護(hù)工作提供參考。

參考文獻(xiàn)

[1] Xiao, Z., & Xiao, Y. (2012). Security and privacy in cloud computing. IEEE communications surveys & tutorials, 15(2), 843-859.

[2] Wang, T., Mei, Y., Jia, W., Zheng, X., Wang, G., & Xie, M. (2020). Edge-based differential privacy computing for sensor–cloud systems. Journal of Parallel and Distributed computing, 136, 75-85.

[3] F. Deng-Guo, Z. Min, L. Hao, Big Data Security and Privacy Protection, Chinese Journal of

Computers, 37 (2014), 246–258.

[4] Goldreich, O. (1998). Secure multi-party computation. Manuscript. Preliminary version, 78, 110.

[5] Mo, F., Haddadi, H., Katevas, K., Marin, E., Perino, D., & Kourtellis, N. (2021, June). PPFL: privacy-preserving federated learning with trusted execution environments. In Proceedings of the 19th Annual International Conference on Mobile Systems, Applications, and Services (pp. 94-108).

[6] Fan Tingyu & Yuan Ke. (2021). Current Status and Trends of Big Data Security Research (2010- 2019)-Visual Analysis Based on CiteSpace. Software Guide (05), 243-248.

[7] Sabt, M., Achemlal, M., & Bouabdallah, A. (2015, August). Trusted execution environment: what it is, and what it is not. In 2015 IEEE Trustcom/BigDataSE/ISPA (Vol. 1, pp. 57-64). IEEE.

[8] https://www.iresearch.com.cn/Detail/report?id=3958&isfree=0

[9] https://zhuanlan.zhihu.com/p/384759946