查看原文
其他

数据治理助推隐私保护生态构建——“华瑞金融科技系列沙龙”第3期报告发布

国际货币研究所 IMI财经观察 2023-03-28

导读

10月10日,由上海华瑞银行与中国人民大学国际货币研究所、金融科技研究所联合主办的“华瑞金融科技系列沙龙”第3期线上研讨会成功举办。中国国际经济咨询高级研究员、北大光华博士后田力作题为《数据治理助推隐私保护生态构建》的主题报告。清华大学金融科技研究院金融安全研究中心主任周道许,上海金融与发展实验室主任曾刚,百融云创CEO张韶峰,中电标协数据管理应用推进分会副会长蔡春久参与研讨,沙龙由中国人民大学国际货币研究所所长助理、研究员曲强主持。


沙龙第一单元,由中国国际经济咨询高级研究员、北大光华博士后田力做主题报告,田力首先从经济学视角探讨了数据开发利用与隐私保护的平衡问题,并对数据要素市场的发展和隐私保护现状进行了梳理,引出全球数治、数据共治的必要性和必然性。随后田力对数据治理的内涵、工具、方法论进行了综述,并以对数据治理强化个人信息保护的基本路径的探讨作为收尾。


01

隐私的经济分析:数据开发利用与隐私保护的平衡


(一)数据要素化背景

当下是数字经济的时代,是数据产生价值的时代,也是数据成为资产的时代。数据要素化发展背景有以下几方面的典型化事实:

第一,数字经济发展重构了全球经济发展格局,中国跃居成为全球第二大数字经济体。第五届数字中国建设峰会发布的《数字中国发展报告(2021)》指出,中国数字经济的发展增速仅次于美国,中国在互联网科技领域的竞争力已获得了显著的提升,跃居成为了全球第二大数字经济体。目前我国数字经济在多个领域中名列前茅,统计数据显示,截至到2021年底,我国IPv6地址资源总量位居世界第一,算力规模全球排名第二,数据产量世界第二,新兴技术跻身全球第一梯队。我国信息领域的PCT国际专利申请数量全球占比超过1/3,我国数字经济的规模稳居世界第二。《2022全球数字经济发展水平评估报告》还对全球多个国家的数字经济发展状况进行了评价,指出美国、中国、德国、日本和韩国排名前五,引领全球数字经济发展。以上五个国家都将数据要素化市场配置上升为国家战略,这将对发展数字经济,完善现代化治理体系产生深远的影响。

第二,数据是与土地、劳动力、资本、技术并列的生产要素。早在2017年12月,中共中央政治局实施国家大数据战略第二次集中学习会议中指出“要构建以数据为关键要素的数字经济”。从2019年11月至今的三四年时间里,国家先后出台了多个促进数据要素化发展的政策和制度文件。例如,在2020年4月,中共中央国务院公布了《关于构建更加完善的要素市场化配置体制机制的意见》,正式将数据上升为与土地、劳动力、资本、技术并列的生产要素,提出要加快培育数据要素市场。此外,在2022年1月,国务院办公厅印发了《要素市场化配置综合改革试点总体方案》支持打造数据支撑平台,推动公共数据归集整合、有序流通和共享。同月,国务院又在其印发的《“十四五”数字经济发展规划》中再次提出,要充分发挥数据要素作用、强化高质量数据要素供给,加快数据要素市场化流通,创新数据要素开发利用机制;加快构建数据要素市场规则,培育市场主体、完善治理体系,到2025年初步建立数据要素市场体系。国家颁布的这一系列政策,说明顶层设计已经给予了数据要素化以土壤和空间。

第三,数字经济的内在逻辑是技术创新驱动下的经济增长。生产力决定着生产关系,而生产力又是随着科学和技术不断进步和发展的。在数字经济时代,数据就是我们的生产要素,算力就是生产力。信息通信技术的创新成为了数字经济持续发展的原动力,姚期智院士曾指出,数字经济具有三大核心要素:数据、模型和算力。数据就是指数字化转型的基础要素,只有数据要素流通起来才能产生大规模的经济价值。数据经济的第二大核心要素是模型,模型即指数据要通过各类算法对其进行建模,产生模型才能产生业务价值,才能分析决策结果。第三大核心要素是算力,数据模型要在算力平台上予以实现。我们通常说的新兴信息技术指五大类:人工智能、区块链、云计算、大数据和物联网。Gartner发布了2022年重要战略技术趋势,指出12个新技术趋势包括隐私增强技术、数据编织、网络安全网格、生成式人工智能、分布式企业、自治系统、决策智能、组装式应用程序、超级自动化、云原生平台、人工智能工程化和全面体验。值得一提的是,今年的世界人工智能大会指出,因当今安全需要和法规需求,整个数据流通领域即将进入密态的时代,而隐私计算能够实现原始数据不出域,让数据价值层面的流通,其作为数据安全问题的解决思路已成为共识。这也被业界和学术界认为是未来非常有价值和潜力的技术方向,是非常重要的核心战略技术。

第四,各省市纷纷颁布政策布局数据市场。例如,早在2018年,天津市就推出了《天津市促进大数据发展应用条例》,而自此之后近三四年的时间里,全国其他省市也纷纷出台了促进数据要素市场发展的相关条例和管理办法。

可以看出,不管从经济发展需要还是国家顶层设计,数据要素化的趋势都是必然的。

(二)数据要素价值的形成逻辑

第一,数据是如何要素化的呢?

有学者给出了数据要素的三化框架,数据实现要素价值的过程是数据资源化、数据资产化和数据资本化的过程。数据既是一种生产要素也是资源配置的主要方式,它关系到数字经济活动的各个环节和链条,数据资产化的核心在于通过数据与具体业务融合,驱动、引导业务效率改善从而实现数据价值。图1是数据要素价值实现的三化框架,分别阐释了数据从数据原始材料转变为数据资本的过程。第一个过程实现了数据性质的转变,它由低质量、碎片化的大数据,也就是数据原料通过资源化形成可作为生产资料的数据,即数据资源。通过单点、局部、可交易将数据流通起来就变成了数据资产,最后将数据资产金融化,变成可流动的数据,就变成了数据资本。第二个过程是数据价值的实现过程,也就是资源化创造数据要素的价值和资源化释放数据要素的价值,最终实现资本化扩展数据要素的价值。第三个过程,从价值属性的升级来看,是由低质的资源价值上升为普通的商品价值再上升为类金融品价值,最终上升到社会经济价值。

图1 数据要素价值实现的“三化”框架


数据是一项资产。对一个组织来说,不管是政府还是企业,数据如何成为资产,它是需要在数据产品确权、合规性得以评估的情况下可以通过某种方式把数据产品作为资产,对其当前及未来预测经济利益(一次价值与二次价值)予以合理的估值,这就是我们说的数据资产的评估。通过数据产品的二次使用实现数据资产的变现。这一个过程就是我们说数据资产化的过程,简而言之,它需要经历数据确权、数据流通、数据交易和数据分配几个过程。

第二,到底什么样的数据可以成为资产呢?

我们可以从数据和资产的特征来看。数据的特征是采取数字形式的数据能够被存储、传输以及加工处理,数据持有者也能够从中提取新的知识和信息。符合这一类特征的主体就是数据。资产的特征具有未来的收益性,所有者拥有对资产的控制权以及对过往交易结果的形成。

数据资产具有与传统资产和金融资产不同的特点:第一,它具有非竞争性,边际成本接近于零,数据资产不会产生折旧;第二,价值具有很大的不确定性,随着数据生命周期所处阶段或随着数据所属行业、应用场景不同,它的价值会有很大的浮动、差异或不确定性。

数据要素化和数据资本化着重是指数字化的数据,可以将其称为“数据产品”。对“数据产品”赋权、交易合法性前提的确定就是对那些产权可界定、可交易的数据产品,就将其称为资产,也就是它具备了资产的产权可界定、可交易等属性之后就可以成为一项数据资产。

中国互联网金融协会互联网银行专委会在其研究报告中也给出了一个定义,认为:合法获取的,由企业或个人产生预计会影响个人或企业行为决策,并为个人和企业带来经济收益的各类数据资源都是数据资产。

(三)数据要素市场发展现状

第一,设立大数据交易中心,加快推进数据要素市场化配置

随着我国对数据要素管理的不断规范化,全国各地的数据机构和数据交易平台纷纷设立,最新数据统计,目前全国已经有超过26个省市(自治区、直辖市)设有大数据管理机构。由地方政府发起、主导或批复的数据交易所已有44家。形成了政府主导、 国资控股、民企参与、市场运营的股权结构特征。以《全国数字经济发展指数(2021)》数字经济发展排名前五的省市为例,广东省目前已经成立了4家大数据交易机构,即将上线省级交易所;北京成立了北京国际大数据交易所;江苏成立了华东江苏大数据交易中心;浙江成立了浙江大数据交易中心;上海有上海数据交易所。

以北京国际大数据交易所和贵州贵阳大数据交易所为例,回顾它们成立的过程。2020年9月,为了深入贯彻落实国家大数据发展战略,加快推进大数据交易基础设施,促进数据要素市场化流通,北京市地方金融监督管理局、北京市经济和信息化局印发了《北京国际大数据交易所设立工作实施方案》。2021年11月,北京国际大数据交易所首次对外发布一系列数字经济创新发展成果,其中包括全 国首发数字交易合约、入驻首批数字经济中介服务商、启动医疗数据算法创 新应用等。2022年1月,北京国际大数据交易所率先建立了国际化的数字经济中介产业体系,为数据要素资源价值化进程提速。

贵州拥有全国最早成立的大数据交易所,是在贵阳成为“中国数谷”的战略定位下成立的,是全国第一家以大数据命名的交易所,成立于2015年4月。2022年,进入优化提升阶段,抢抓数据价值化新机遇, 探索数据要素资源化、资产化、资本化改革新路径, 大力培育数据要素流通产业生态。

北京国际大数据交易所主要产品分为以下四大类:

(1)数据服务,主要提供数据增值、交易、保障、数据中介等多元服务。

(2)数据API,提供数据API产品发布,展示、撮合交易等等。

(3)数据包,提供标准化的、结构化的数据包交易,覆盖多个领域、多个维度的数据产品。

(4)数据报告,提供统一建模分析的,也就是处理之后的数据报告产品。

数据集也包含四大类:

(1)公共数据,包含工商、司法、行政、等公共开放数据。

(2)行业数据,包括金融、医疗、旅游、交通等行业数据。

(3)科研数据,包括环境、气象、新能源、航空航天等科学领域研究数据。

(4)社会数据,包括互联网平台、新闻媒体、数字艺术等有社会价值的数据。

贵阳大数据交易所的服务定位是,通过采用隐私计算、联邦学习、区块链等先进技术,打造数据、算力、算法等多元的数据产品体系,激活数据要 素供给,重点在政务、金融、医疗、文旅、劳务用工、公共资源交易、通信、电力、交通、气象等领域,培育一批专业数据服务商,面向全国数据流通交易提供高效便捷、安全合规的市场化服务。

第二,数据资产化和资产数据化的实践情况

一方面,国内已经有地区试点将数据资产纳入国有资产保值增值的考核体系。2021年9月,上海市颁布《上海市促进城市数字化转型的若干政策措施》,政策推动探索建立国有企业事业单位数据产品进场交易机制,在重点领域探索数据资产化的实施路径,并在部分企业试点。上海的国资委计划开展一到两家国有企业数据资产试点,给予了相应的激励,将数据资产纳入国有资产保值增值考核。另一方面,谈谈资产数据化的现状。资产数据化或资产数字化也有两个典型模式,北大光华课题组对余杭模式和盐城模式展开了深入分析,认为这两个模式具有较大的代表性。杭州市余杭区和盐城市,将互联网与政务相结合,设立公共资产互联网产权交易平台,将公共资产在线上进行拍卖和交易。统计数据显示,余杭模式截至2021年4月底,上线一年多上拍标的数近3000件,涉及闲置房产、公务用车、矿产资源等等。而盐城模式也在2020年8月2日,首次竞拍的房产项目,经过32轮竞价,溢价6.8万元成交,溢价率近14%。

(四)全球迈入数据共治时代

第一,创建全球数据治理新方针与新架构。在全球数据要素化流通的政策顶层设计已经基本完善、制度框架开始确立、市场基础设施已布局和建立的大背景下,我们必须要做的另一件事情是数据治理。可以说,全球已经迈入了数据治理、数据共治的阶段。2021年,联合国倡导创建新的全球数据治理方针与架构。早在2017年,《经济学人》便在其封面文章中将数据比喻为新的“石油”,认为是当今最宝贵的资源、资本。的确,数据具有独特的价值,把它作为资源的同时也应该做好资源的管理工作。国际性组织就数据隐私、数据处理、数据流动等发布了一系列的指南和报告。比如联合国《2021数字经济报告》中倡导要建立数据流程数字治理框架;经合组织OECD发布了包括《数据处理的十项基本原则》在内的相关指引和报告;欧盟出台了《数据治理法案》、《数据法案》、《通信数据保护条例》等相应的政策或报告。

第二,数据安全与个人隐私保护是数据要素市场化配置的前提和保障。当数据成为市场化要素时,我们就开始担忧我们的隐私问题,我们的数据隐私或数据安全该被如何保障呢?国内外都有曾经冲击过我们的、比较典型的例子。例如2018年爆发的Facebook剑桥分析事件,造成了数千万用户的个人信息遭到侵犯;再如前不久的滴滴,滴滴出行因为没有保障好用户个人数据的隐私和安全,处以80.26亿元的处罚。这些频频爆出国内外数据泄露的丑闻,也让我们不断反思数据利用和保护之间的平衡问题。

截至目前,全球已经有近130个国家和地区颁布了数据保护法、个人信息保护法等相关法律法规。近年来,我国也先后出台了《网络安全法》、《数据安全法》、《个人信息保护法》,标志着我国网络安全和数据保护的基础性法律架构已经建立。

回顾国际监管框架下的个人信息保护政策现状,OECD颁布了《经合组织关于保护 个人资料的隐私和跨国界流动的指导方针》,欧盟于2018年颁布了《通用数据保护条例》,该条例也被称为史上最严格的数据保护立法。Facebook也因为该条例遭受到了数十亿美元的处罚。从国际监管框架来看,个人信息保护是尤为重要的,也是非常关键、非常重要的一项工作,并不像很多互联网公司或者机构认为的那样,消费者应该一定程度上让度隐私来换取便利。从监管角度来看,保护个人信息是非常重要的。

再看看数字经济排名前五的国家个人信息保护相关的法律法规情况。美国有《公平信用报告法案》、《消费者隐私权利法案》、《加利福尼亚消费者隐私法》,中国有《网络安全法》、《密码法》、《数据安全法》和《个人信息保护法》,德国有《数据保护法》,日本有《个人信息保护法案》,韩国有《个人信息保护法》、《信用信息使用和保护法》和《信息通信网法》等。

(五)数据开发利用与保护平衡的理论基础

那么,如何平衡数据开发利用和保护呢?我们还是希望探讨一下它底层逻辑或理论基础。今天我们探讨的主要视角是经济学的视角,不管是从政策监管层面还是企业层面,甚至个人层面如何来平衡数据的披露、利用和保护。隐私监管是一把双刃剑,任何一项政策对消费者的数据立法和监管机构需要在消费者隐私、社会福利和企业创新之间权衡取舍,数据的披露与隐私保护的问题需要个人、组织与政府之间在公共与私人领域管的权衡取舍,也就是说隐私本质上是一种权衡的问题。

第一,监管博弈与社会福利:隐私的经济学分析

美国的法经济学家波斯纳,最早提出从经济学视角探讨隐私,国内也有学者将其翻译为隐私经济学。该理论的核心是探讨信息披露与保护之间的平衡。从公共治理角度来看,如果强制披露某些信息会降低人们进行某些有益活动的动机,那么这些信息就不应该被披露,应该把这些产权化归为个人。如果隐瞒信息会误导个人,降低信息产出,那么个人的信息产权应被剥夺,应当披露。例如信用信息。这是从公共政策制定的层面分析。对于企业层面也有一些研究结论,比如如果企业能够很好地保护用户隐私,使得用户对平台信赖加深或者没有感受到强烈的隐私侵害时会增强用户的黏性,会提高企业或互联网平台的收益。而从个人层面来讲,个人对于隐私的敏感程度或者个人信息的披露意愿又对个人信息的保护或者政策的制定产生一定的影响。

第二,人类命运共同体视域下的数据治理观

数据安全和个人隐私保护是当前以及未来很长一段时间全球面临的共同挑战,也是需要各国学界和业界研究突破的重大 课题。大数据在全世界的普及、利用和发展,将人类融入了数据化发展的共同体道路。有学者指出,“人类命运共同体的数据指向,即在 大数据时代,人类社会的实践模式 一定是走人类命运共同体发展道路, 一定是顺应全球大数据战略的发 展。”当然,“人类是同步进入数字化、智能化时代的,也标志着走向人类命运共同体的数据化发展道路。在全球大数据战略的引领下,数据的全球性、时代性、经济性都将不以社会意识形态的差别来区分。”所以,也有国内外一些学者提出,要构建数据社会主义理论体系,立足社会主义核心价值观实现大数据应用的透明化、公正化、有序化发展。

总的来说,要形成一个人类命运共同体视域下的数据治理观,也就是数据共治。包含国际间的数据共治,政府间的数据共治,企业内部和企业间的数据共治等等多个纬度和层面。


02

数据治理:数据要素化的前提和保障


这部分内容主要是简单梳理了一下数据治理的内涵、方法论和相应的技术工具。之前提到,平衡好数据开发利用与保护是更好支撑数字经济健康可持续发展的重要保障,而数据治理则又是数据要素化的前提。

(一)什么是数据治理?

组织在管理数据资产和计划监控实施的过程中逐渐形成了数据治理的概念。目前国内外的科研机构或协会团体有给出定义,认为数据治理是与有效运用数据的所需的、组织或执行层面的准则、政策、步骤和标准相关的实践活动。首先,辨析两个类似的概念即数据治理和数据管理。数据治理是站在一个总体视角来描述,保证数据是被管理的,而数据管理又是具体执行层面的事情,是怎么管理数据以达到既定的目标。我这里引用国际数据管理协会DAMA所给出的定义。数据管理,是为了交付、控制、保护并提升数据资产的价值,在其整个生命周期中制订计划、制度、规程和实践活动,并执行和监督的过程。数据治理,指通过建立一个能够满足企业需求的数据决策体系,为数据管理提供指导和监督。

目前,对待数据治理问题存在痛点:

(1)数据治理的意识欠缺。从企业层面来看,除了非常前沿的行业领域或非常头部的企业,大部分企业对数据治理的价值认识非常不足,更进一步说,他们感觉数据资产距离他们十分遥远,好像还是很久之后或者还不明确的一件事情。此外,固有思维认为数据治理是IT部门的事情,无法引起整个组织或整个机构的重视。

(2)数字经济时代对于驾驭数据的能力提出了新的挑战或要求。数据治理的门槛是比较高的。其一,数据治理对顶层设计能力要求很高,要求顶层设计要融合业务、技术架构、数据架构等等,需要即懂技术又懂业务,既懂战略又懂运营的整体视角和综合能力来开展。其二,数据治理需要企业做出管理制度的变革,还要给予相应的经济投入。其三,企业数据整合难度较大,当前数字化转型的一大痛点是数据壁垒难打通。其四是企业缺乏数据治理专业人才,这也是当前人才队伍建设的一个重要方向。

由此,机构开展数据治理的意义何在呢?我们认为,组织数字化转型发展的关键一环是数据治理。数据治理能使组织真正从数据资产中获取价值,也就是交付控制保护并提升数据资产的价值。

(二)数据治理的目标和原则

数据治理的目标是确保数据资产保值增值。数据治理一定要遵循处理伦理,最重要的是保护个人信息。数据治理原则其一是要使数据价值能够体现,数据是一种有独特属性的资产,要使数据的价值可以被经济术语来表示,也就是一定要可被衡量。我们说数字化转型是一把手工程,数据治理同样也是,也是需要领导层承担责任的,也是一把手的工程。其二,数据治理非常重要的一点是要与业务需求深度融合,服务业务需求。其三,数据管理依赖不同的技能,要求跨部门、跨能力的协作。其四,数据管理是生命周期管理。因此,我们要对不同类型的数据针对其不同生命周期特征给予针对性的保护。比如就数据安全方面来讲,根据数据生命周期不同阶段面临不同隐私风险运用相应的隐私技术予以保护。所以,管理数据同样需要纳入与数据相关的风险。

(三)数据治理的内容

国际数据管理协会数据管理知识体系给出的数据管理框架(图2)包含十项主要的内容,包括元数据管理、数据质量管理、数据架构、数据建模和设计、数据存储和操作、数据安全、数据集成和互操作、文件和内容管理、参考数据和主数据管理、数据仓库和商务智能。进一步,结合数据生命周期,将数据治理生命周期内的各项活动做了扩展(图3),图3中间的部分是数据管理的核心工作,此外,数据治理还包括数据分类、数据成熟度评估、数据估值、战略、文化变革、管理职责和所有权、政策制定等。

图2 数据治理框架


图3 数据治理生命周期内各项活动


(四)数据治理的工具

这里引用全国信息技术标准化技术委员会大数据标准工作组和中国电子技术标准化研究院发布的《数据治理工具图谱研究报告(2021版)》给出的数据治理工具全景图,对数据治理工具进行介绍和阐释。数据治理工具包含三个层面:战略层面工具,管理层面工具、操作层面工具。

战略层面工具即图4架构图的屋顶部分,涉及业务战略、数据战略、大数据治理战略等。数据管理工具包括8个方面:数据架构管理、数据标准管理、数据质量管理、数据资产管理、元数据管理、主数据管理、数据安全管理、数据生存周期管理工具。操作层面工具,分为数据存储、采集、处理、分析应用、共享交换工具和AI计算支撑工具。

图4 数据治理工具全景图


(五)数据治理的组织保障

从组织保障来看,既然数据治理是个顶层设计的事情,一定需要设置相应的管理职位,类似于首席信息官一样的数据治理官等首席专家,同时需要成立数据治理委员会。此外,需要设立业务数据管理专员、技术数据管理专员、协调数据管理专员等职位。特别是协调数据管理专员,在大型组织中尤为重要,它的职责是协调各部门、跨职能部门数据管理工作,是组织中非常关键、核心、桥梁的作用。

以上是对数据治理的方法论或知识体系的基本综述和介绍。


03

以数据治理强化个人信息保护


本部分,希望从数据治理视角出发探讨当前企业、机构或组织数字化转型发展中的“致命”问题,也就是数据安全、隐私保护的问题。

(一) 数据、隐私与个人信息保护边界的再界定

数据安全和隐私保护是什么关系呢?数据、信息和隐私保护的边界是什么?从立法实践来看,除了美国称作隐私权,其他大部分国家称作个人信息保护法或数据保护法,也即是说,无论这些数据是否是隐私数据都应予以保护。随着大数据时代的到来、数字经济的发展,使得识别出一个人变得更为容易,我们不能把保护的对象仅仅局限于隐私数据,而应该扩展和扩充个人数据保护的范围。

从国际立法来看,《通用数据保护条例(GDPR)》把个人数据界定为“与已识别或可识别的自然人相关的任何信息”,德国《联邦数据保护法》把个人数据界定为“所有与已识别或可识别的自然人有关的信息”。我国立法中《刑法》规定的公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。国家将数据分为一般数据、重要数据、核心数据,不同级别的数据采取了不同的保护措施。

图5是我简单描绘的数据、信息和隐私之间的关系。红色的框代表个人隐私,既包括数据隐私也包括非数据表现的隐私,它与代表数据和信息的圆圈重合的部分就是隐私数据。所以,数据和信息的概念几乎是重叠的,个人信息就是个人数据,故不再做区分。

图5 隐私与数据的关系


(二) 数据治理和隐私保护的关系

在描述数据治理知识体系时,曾介绍数据治理非常关键的环节就是数据安全,数据隐私保护、个人信息保护也是数据治理非常重要的内容或重要的工作,即确保利益相关方的数据隐私和保密性,确保数据的质量,防止数据和信息在未经授权或被不当访问、操作和使用。数据安全包括安全策略和过程的规划,为数据和信息资产提供正确的身份验证、授权、访问和审计。数据安全详细情况因行业和国家是有所不同的,但我们说数据安全实践目标都是相同的,即根据隐私和保密法规,合同协议和义务要求来保护信息资产、数据资产。

数据安全管理的步骤:

第一步,识别敏感数据资产和分级分类管理,分级分类管理也是非常重要的数据安全、数据保护关键工作,例如某些数据是个人敏感数据,包括个人身份信息、医疗信息、金融信息等,应当给予较高级别的保护。

第二步,在企业中查找敏感数据,这取决于数据存储的位置,安全要求有所不同。大量敏感数据若存于同一位置,如果这个数据遭到破坏会带来极高风险。

第三步,确定保护每项资产的方法,选择相应的保护技术或安全措施。

第四步,识别数据和业务流程如何交互,业务如何融合。

(三) 个人信息保护的数据治理路径

个人信息保护的数据治理路径包含四步走:

第一步,数据确权,数据权利归属于平台、个体或者政府的初始配置将影响数 据市场的发展和社会福利水平,数据的界权和交易需要平衡数据市场发展和个人权利保护。

第二步,数据分级分类管理。

第三步,制定隐私保护制度。

第四步,选择或开发隐私技术。

刚才也提到,随着大数据的应用,识别出一个人变得非常容易,不能仅仅以是否是隐私数据为标准来判断是否进行保护,我们应该根据数据的敏感程度,对数据进行分级分类管理。个人作为数据的主要生产者,数据产权是否归于我们?立法如何保障我们的权益?这也是当前数据治理领域重点讨论的问题。学术界有几方观点,最开始对于个人信息权益的探讨认保护隐私是人格权的保护;也有另一个角度,学者认为应该把个人数据、个人信息当作财产权予以保护;第三种认为,应该把这两类权力综合考量,即数据权应当既包括数据的财产权也包括人格权。

由于数据要素的人格化禀赋效应、低复制成本,且强势一方(比如企业)很容易通过合同、协议将个人的数据所有权低价甚至免费“交易”到自己手中,赋予个人绝对权利并不能有效保障个体的数据隐私和安全,且不利于数据要素的租赁和交易。所以,不能简单的因为数据产生者是个人就把数据产权归于个人,同时应该结合场景公正性原则,对数据进行处理或者对数据价值产生增值的这部分参与者或者数据使用者、加工者予有限制的占有权。结合具体的情景、参与者、数据特点、流通原则以及 场景中各方的合理预期,如果新的信息流不违背该场 景下传统的民主公平规范或者能更好地实现该场景的 价值,那么便应当确定相关主体的数据权益。结合具体的情景、参与者、数据特点、流通原则以及 场景中各方的合理预期,如果新的信息流不违背该场 景下传统的民主公平规范或者能更好地实现该场景的 价值,那么便应当确定相关主体的数据权益。为了解决个人和数据企业的激励问题和信息悖论问题,同时避免数据滥用和垄断,应当针对不同隐私和风险级别的个人信息,给予数据生产者不同级别的、有限制的占有权。

(四) 数据分级分类管理制度的建立

从美国实践来看,美国现在的监管也是分行业,分别制定隐私法的,根据不同的行业进行数据的分级分类管理。再回到我国,以金融行业为例,央行2022年9月23日发布的《金融数据安全 数据安全分级指南》,给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。

定级的目的,旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前 提和基础。统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据 价值的挖掘与实现。定级有六大原则,分别为:合法合规性、可执行性、 时效性、 自主性、差异性、客观性。并根据敏感程度、重要程度等,将数据分为5个等级进行保护。

除此之外,国家不同的地区和行业也制定了相应的数据分级分类管理办法,国家层面有一些指导性的文件,部分地方政府也有出台自己的数据分级分类指南和管理办法,不同行业也给予了不同行业数据特性的分级分类管理办法。

(五)隐私保护技术切实保障数据安全

近年来我国数据相关立法进程不断加快,相继出台《密码法》、《数据安全法》、《个人信息保护法》,完善了国 家数据相关立法的顶层设计。隐私计算作为数据应用与安全的平衡支点正成为国内数据流通领域最受关注的技术热 点,目前国内已就金融、医疗、政务等行业领域开展相应场景实践。

隐私技术大体可以分为三类:第一类,附带隐私保护的明文算法,主要包括联邦学习、差分隐私、数据脱敏等技术路线。第二类,密码学,主要技术路线是安全多方计算及相关支撑性技术。第三类,可信执行环境。可信执行环境(Trusted Execution Environment,简称TEE),是由全球平台组织(Global Platform)提出的概念标准,主要基于硬件实现数据安全与隐私保护。

隐私计算技术能够切实保护我们隐私安全,它也正好符合和解决对于数据利用与保护平衡的底层逻辑和需要,它与其他的数据安全技术相比具有极大的优势,主要体现在可追溯,可用不可见上等。批处理、流式计算和机器学习等分布式的大数据计算环境在云上的 广泛部署与应用,为云用户带来了极大的便利, 但随之带来的隐 私数据泄露事件愈演愈烈。如何在这种云上部署的大数据计算环境 下保护数据隐私成为一个研究热点。有学者给出云计算、云服务商数据使用环节各个隐私挑战,各个环节的隐私挑战各个方面也有相应的隐私保护技术。

隐私计算和区块链均是近年来大数据行业受到关注的热门,隐私计算、AI和区块链等技术深度融合,实现数据的资产化流 转才是真正能够释放数据价值的技术方向。这一块,国内还是比较领先的,2022年世界人工智能大会上,蚂蚁链隐私协作平台FAIR也宣布架构的升级,这是首次将隐私技术计算与区块链相融合,在数据共享过程中有效保护个人信息,实现 全流程可记录、可验证、可追溯、可审计。《全球隐私计算技术发明专利排行榜(TOP100)》显示,截至2022年3月8日,前10名企业主要来自中国和美国,其中蚂蚁集团以1152件专利占据领先优势。

隐私计算的主要应用领域是金融、政务、医疗。隐私计算供应商在国内也比较多,聚焦于不同的领域或者行业。数据资源充足,主要集中在金融、政务、医疗和市场数据。

(六)形成可信隐私保护生态体系

技术的完备虽然能解决问题,但不能解决所有的问题,从数据治理角度来看,数据隐私保护不是某一个群体或单一维度的事情,需要数据经济领域各利益相关者协作共同建立隐私保护共同体。搭建隐私保护技术底座,给予立法保障,行业监督与指导并做好个人消费者教育,才能形成可信的隐私保护生态,使得数据要素市场健康可持续地发展。一定要有数据经济利益相关方共同维护、共同协作,从法律制度、技术和行业自律、个人消费者自我保护各个层面共同构筑一个个人信息保护的隐私生态体系。


沙龙第二单元,与会专家围绕国内外数据战略及政策、数据开发利用与保护的博弈过程中存在的内在逻辑、新兴技术如何巩固及助推隐私保护生态构建等话题展开深入讨论。

清华大学金融科技研究院金融安全研究中心主任周道许:我们需要在“数据安全保护”与“数据流动共享”之间找到一个平衡点,既要保护好数据安全、做好隐私保护,又不能阻碍数据流动共享,要充分发挥数据要素的新动能。

第一,数据确权和隐私保护是金融数据安全的关键,两者相辅相成。

数字化时代,可以量化的个人价值越来越多,人的数字价值需要重新评估,特别是个人隐私价值。数据的确权是做好隐私保护的前提。对个人隐私有明确的价值计量标准,隐私保护生态构建就会成为主动、自发的过程

第二,金融数据跨境流动需求将会不断增加,有两个方面的问题亟待解决。

一,需要进一步细化金融数据跨境流动的相关法律法规建设工作。对于金融数据的跨境流动,希望有更加具有针对性、更加具体的相关法律法规或指南,更加细化、具体化和可操作化。二,金融数据跨境流动的安全面临双重监管,需要对相关监管流程进行梳理。一方面,接受金融行业监管部门的业务监管,涉及相关规定和监管文件众多,要求复杂;另一方面,涉及到国家安全方面的监管,涉及的部门多,环节多。需要更清晰的监管流程,以明确执法依据和监管职责,形成有效的抓手。

第三,要进一步细化金融数据安全管理的分类分级、加强金融数据生命周期安全的监管。

金融数据在不断流动的过程中,处在一个动态的价值链矩阵,在不同的金融场景面临着不同的管控约束。逐步厘清金融数据在数据生命周期各个阶段的保护要求和目标,有利于从业机构降低相关成本,完善金融数据生命周期的防护机制。合理准确完善金融数据生命周期安全管理的制度能够促进金融数据在机构间、行业间的运用和共享,有利于金融数据价值的开发和利用。

百融云创CEO张韶峰:

首先,个人信息保护有两大倾向性不同的法律体系,一类是大陆法系(OPT IN),个人消费者不选择加入商家的服务程序,商家就不可以使用消费者数据为其提供服务;一类是英美法系(OPT OUT),默认商家可以使用消费者留下的信息提供服务,除非消费者明确选择退出。欧盟偏向严格隐私保护,英美倾向更多鼓励创新,在合规范围内将消费者信息用于商业活动中。今天,我们一直在思考我国应该走哪条路?两者没有绝对的对与错之分。欧盟偏保守,因此他们在科技创新方面几乎是缺席的。我们在个人信息保护和科技创新之间要取得平衡。

其次,如果没有足够的要素——数据,想在人工智能领域突破是极其困难的。中国在机器学习、隐私计算领域有天然的数据和技术优势,既要保护个人信息,同时也要利用好这个优势。

第三,在金融领域,数据要素应用的最终受益者是用户,专业的科技公司为金融机构提供数据技术服务,解决制约信用交易的瓶颈问题,避免因信息不对称而带来的交易风险与损失,同时助力金融机构提供合适的金融产品,让消费者享受到更充分、更普惠、更高质量的金融服务。当然,如果能有更多的市场主体参与进来,适当增加高水平的征信供给,无疑将会推动我国个人征信体系进一步走向完善。

上海金融与发展实验室主任曾刚:

曾刚认为数字保护和治理仍需要一段时间探索来构建稳定的框架与规则。普遍理解的逻辑框架是先有数据再为其立法涉及个人隐私保护再实现数据治理,而现实逻辑是“数据治理助推隐私保护”,实践领先于监管。数据治理除隐私保护还要涉及到数据要素立法的问题。使用数据要素为经济赋能则更需关注要素市场管理体系的构建。构建管理体系面临一些理论和实践上的难题,比如,数据要素的特征在许多反面与传统要素有所不同,其价值不好界定、缺乏排他性,使得其作为资产难以定价。从实践来看,将数据提供给专业数据中介机构来充分挖掘数据的价值,与此同时构建合理的收益分配体系,以保护利益相关者的权益以及个人隐私是比较现实的路径,在其中,专业数据机构以及金融机构均需要发挥重要的作用。总体上看,作为前沿领域,数据要素市场构建中仍面临一些不确定性,但基本原则应该是明确的,即平衡好实践与监管,一方面控制风险,另一方面充分发挥我国海量数据的价值,促进我国经济社会的数字化转型。数据治理则是机构层面的考量,当前实践中的不足与机构能力也有很大关联,中小型金融机构在外部数据的获取和与内部数据的整合分析等方面都需要外部助力。目前金融机构在数据治理应用层面差异明显,也将是未来银行机构核心竞争力差异的来源。需要加快金融机构数字化,金融机构数据治理的需求也可能催生专业的数据服务与金融科技公司,不同的机构也需要考虑不同的数据治理实现路径。未来需要一方面进行实践探索,另一方面需要监管机构不断提升监管能力,和金融机构相互促进,促进金融机构数字化效率和能力的提升。

中电标协数据管理应用推进分会副会长蔡春久:

蔡春久首先介绍了数据行业的发展趋势,包括国际数据管理协会(DAMA)的有关情况,并指出中国近些年在数据领域方向的领先地位,国际数据管理协会也会在新版数据管理知识体系指南中增加隐私计算、区块链、以及中国所提出的数据权属等新的概念与内容。随着国内有关数据要素市场的顶层设计建设,隐私技术目前正处在一个爆炸的上升期,隐私计算整体解决方案架构包括数据资源、组件、隐私计算具体功能、应用场景和解决方案等,国内外均有相关标准的研究发布,而有关数据隐私保护的《个人信息保护法》出台后,已有数家企业因数据应用不合规被罚,企业数据合规是发展的必然趋势。蔡春久进一步分享了个人因素数据合规的相关案例,例如金融机构对外核验客户信息时通过匿踪查询来保证个人ID信息不泄露,某医院对个人健康信息脱敏加密处理,汽车行业在《个人信息保护法》要求下建设保护各方隐私保护安全的运营商能力开放平台来保护客户与运营商的数据。他认为保护数据隐私需要大型企业机构规范安全标准,个人数据隐私要去标识化,并做好数据分级分类确权工作。数据治理是数字化转型的关键、数据保护是数据治理的基础,以数据为核心的组织数字化转型已成为社会变革大趋势,积极开展数据治理、释放数据要素潜力,更好地赋能产业推动数字经济发展,是当前企业的重要任务。引:金骋路,数据治理工具图谱研究报告等。


整理(以姓氏拼音为序):郭瑞华、许可、赵垭普

本文监制:徐力婧、安然、魏唯



版面编辑|凌伟

责任编辑|李锦璇、蒋旭

总监制|朱霜霜


近期热文


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存