數據安全問題依然棘手,行業探索出新的解法
年末,蘋果公司與麻省理工學院的研究人員聯合發布了一份最新的調查報告。報告顯示,2023年的個人信息泄露事件創下了新高。今年1月至9月,美國發生的個人信息泄露事件已經比2022年全年多了20%。全球范圍內,從2013年到2022年,信息泄露事件增長了3倍,過去兩年間有26億條個人信息遭泄露。
而報告也指出,信息泄露事件創高的原因主要是黑客利用勒索軟件集中攻擊各大企業組織。
十分棘手的是,在AI產業爆發之后,數據更加高速地流轉,涉及多個產業鏈,這給數據安全的管理增加了難度。2023年6月,OpenAI遭匿名人士集體訴訟,其被認為竊取大量個人信息以訓練人工智能模型。
針對這些數據流通過程中的安全問題,“跨域管控”是學界和企業探索出的最新解法。圍繞這一概念,華東政法大學數據法律研究中心、螞蟻集團等單位聯合發布的《數據跨域管控白皮書》提出這一概念,也首次提出了數據流通的實操方案。
所謂“跨域管控”,強調的就是數據持有者的控制權。從定義上來說,當數據離開持有者的歸屬地后,持有者仍然可以有效控制流轉過程,避免數據被竊取、被不正當地使用。如果這種管控得以實現,擁有數據的個人和企業就能一定程度上避免數據的泄露和濫用。
事實上,數據流通已是老生常談的話題,但上述方案的提出背景是,去年行業里誕生了一個具有里程碑意義的事件:于一年前推出的“數據二十條”擱置了數據權屬之爭,這是各行各業繼續探索的基礎。
2022年12月19日,中共中央、國務院對外發布《關于構建數據基礎制度更好發揮數據要素作用的意見》(即“數據二十條”),明確提出建立公共數據、個人數據、企業數據三類數據分類分級確權授權制度,并提出數據資源持有權、數據加工使用權、數據產品經營權等“三權分置”的數據產權制度。
之所以不能用單純的產權概念分析數據流通,是因為數據的特殊性。華東政法大學教授高富平是白皮書聯合項目組的負責人,他在接受界面新聞等媒體采訪時解釋稱,在傳統產權制度中,一份“水”在交易之后就屬于對方,但數據不行,這份“水”需要明確用途——只能用于灌溉,或者只能灌溉這片田,不能用于另一片田。例如在數據市場中,用于反詐的數據就不能用于營銷。
不再強調所有權之后,數據流通就可以“對癥下藥”。
關于物流數據的案例或可以幫助行業理解“跨域管控”的必要性。今年,推薦性國家標準《快遞電子運單》實施,推進物流信息的加密處理,正是為了保護隱私泄露。在快遞行業,地址等信息經過不同的人、企業和地點,本來只用于購物收貨的信息,很容易流轉到“不法之地”。
螞蟻集團副總裁、首席技術安全官韋韜指出,數據要素流通中的一個核心問題是“利益不一致”。責任主體不清、利益訴求不一致、能力參差不齊、責任鏈路難追溯等問題都是影響信任的風險,因此需要全新的技術要求標準與技術方法體系,把使用權跨域管控作為核心技術要求明確出來。
但提出數據“跨域管控”僅僅是個開始。填補理念和標準的空白后,推進數據安全流通還需要多個層面的落實。