《数据要素安全流通白皮书》项目第七小组评审工作研讨会

当前，在数据资产快速发展的背景下，企业数据资产管理涌现了新模式，数据资产管理新技术也层出不穷。为进一步引导企业全面推进数据资产管理工作，华东江苏大数据交易中心、国家工业信息安全发展研究中心、国家金融科技测评中心三方共同发起《数据要素安全流通白皮书》编撰工作。

同时，为了推进《数据要素安全流通白皮书》项目进程、优化白皮书的内容，我们在项目初始阶段就对外征集相关领域的参编单位。截至目前，已收到参编申请表百余份，经过我们专家评审团的初阶段审核，筛选部分企业进行分组，在接下来的一周内，我们根据小组类别分别展开小组评审工作。

在4月21日上午，我们展开了第七小组的评审工作，在本场评审工作中，有以下专家和嘉宾出席。

一

【交易中心总经理汤寒林致辞】

汤寒林首先对各企业的到来表示感谢，这次的白皮书项目也受到了国家工业信息安全发展研究中心、国家金融科技测评中心的大力支持，希望本次白皮书项目能够体现行业标准。同样，汤总也表示希望本次白皮书可以帮助企业进一步提升品牌影响力、为定制行业标准做出贡献，也希望本次会议能够让大家广交朋友、有所收获。

二

【协办单位介绍】

在本次评审工作会议中，数据宝ChinaDataPay作为《数据要素安全流通白皮书》指定协办单位和编委会核心成员，全程参与白皮书项目，包括本场小组讨论，并提供全程服务支持。

数据宝首席精算师吕定海主要从公司概述、平台介绍、产品介绍和客户案例三个方面介绍数据宝，数据宝是中国领先的国有数据资产代运营服务商，致力于为国有数据资源方提供数据治理智能化、建模加工产品化、场景应用商品化、流通交易合规化等数据要素商品化全生命周期管理服务，是国内少数具备“国资参股、政府监管扶持、市场化运作、大数据资产交易合法经营资质”属性的大数据“国家队”，数据宝的平台优势有三大点：多元、合法、安全。在产品上，主要分享了大交通数据产品-货车信用宝和智慧交通，其中货车信用宝能够进行货车基础档案评估、货车行驶行为评估、货车运力评估、通行费支付行为评估、行使地域评估和货车信用综合评估，智慧交通能够基于交通大数据，对全国高速公路按时段及路段进行窗口化，基于通过的车流量、车均速度、前后门架等来对时段上的路段的负责饱和度进行监测及预警分析。数据宝已服务超过180个应用场景和近万家知名品牌。

三

【第七小组申请参编单位演讲】

在本次评审工作会议中，各参会企业依次进行公司介绍、案例分享及对白皮书的建议。

上海三零卫士信息安全有限公司总工程师仵大奎、中国网安区块链与数据安全产品线总师白健

上海三零卫士是网络空间安全服务提供商，成立于2001年7月，是中国网安（中国电子科技网络信息安全有限公司）旗下专业从事网络安全服务的高新技术企业。公司重点聚焦党政机关、医卫、教育、能源、金融、交通等行业，为之提供一站式全方位的网络安全整体解决方案。其公司核心能力是以“安全服务化”为核心理念，以数据安全为驱动，融合网络安全服务、工业网络安全、内容安全、信用与大数据三大业务，三零卫士构建了标准化的特色网络安全服务团队，持续引领国家安全服务行业发展，围绕信息资产安全风险全生命周期管理，持续打造“1+3+N”智能安全运营体系。

上海三零卫士有1大平台（智能安全运营平台）、3线团队（一线运维团队、二线专家团队和公司三线专家）和N项服务（安全咨询、安全集成、安全运营、基础运维和安全培训），核心理念是“监、评、防、融”，监是对接入专用网络和互联网的工业控制系统面临的威胁态势进行监视；评是以攻防仿真环境为基础分析工业系统、网络、协议、应用、软件等方面存在的风险；防是通过流量监控、分域防护、边界保护、密码加固等手段形成纵深防御体系；融是将工业网络安全与生产安全相融合，以最小的代价锻造工业整体网络安全防护能力。业务上包括网络安全服务、工业网络安全、内容安全、信用与大数据。在数据安全服务上，基于网络安全法、数据安全法（草案）、个人信息保护法（草案）、个人信息安全规范等保2.0等法规标准，依据Gartner数据治理模型打造全覆盖的数据安全服务，包括数据安全管理咨询服务，数据安全风险评估服务、个人信息保护合规咨询服务，数据安全全生命周期各阶段安全防护解决方案服务等。

飞天诚信科技股份有限公司研发经理朱鹏飞

飞天诚信科技股份有限公司是嵌入式操作系统 及数字安全系统整体解决方案的提供商和服务商，其提供了关于智能锁系统的实例，智能锁系统有智能锁、电子钥匙、远端服务、用户终端和网络通信节点组成，智能锁系统范围内流通的数据：开锁信息（鉴别信息）。智能锁系统的功能包括用户鉴别、设备管理、远程鉴别和鉴别信息管理。智能锁系统数据流通涉及的实体包括制造方、供应方、应用方、建设方和服务方。智能锁系统数据流通安全保障的目标有以下几点：只有拥有合法权利的实体才能够使系统中相应的智能锁开启或关闭、支撑智能锁系统的远程管理等功能以及在法律事务中明确各方责任，并且使用密码技术可实现上述目标，其规划满足智能锁系统应用需求的密钥体系、设计覆盖智能锁系统全生命周期的密钥管理措施和使用密码技术验证权限。智能锁系统秘钥体系为：设备管理秘钥、用户鉴别秘钥、远程鉴别秘钥和鉴别信息管理秘钥。同时，应当制定中的密码行业标准“智能锁（系统）密码应用指南。

对《数据要素安全流通白皮书》的编写建议和编写意向主要有以下几点：

切入点：从法律、标准、实例

（1）法律：数据安全法

（2）标准：GB/T 35273-2020《信息安全技术 个人信息安全规范》

（3）实例：智能锁系统

杭州安恒信息技术股份有限公司解决方案专家唐雷

杭州安恒信息技术股份有限公司2019年率先提出了围绕“云、大、物、智、工”开发适应新场景的网络信息安全新产品，提供综合网络信息安全解决方案，具备真正的城市级感知、防护和运营能力。云是“云安全”、大是“数据安全”、物是“物联网安全”、工是“工业控制系统安全和工业互联网安全”、智是“智慧城市安全”。在数据要素流通方面技术上，介绍了BDTEE，在数据全生命周期加密上，分为4个部分，首先是数据集加密上传，数据本地加密后上传，数据提供方掌握保护数据密钥的私钥，其他人无法解密数据；第二部分是数据密文存储，数据加密存储，数据提供方方掌握保护数据密钥的私钥，无共享方授权情况下，其他人包括平台无法解密数据；第三部分是多方数据安全计算，依托大数据可信执行环境，保障数据计算过程的安全；最后是结果集密文下载，只有数据需求方的私钥才能解密数据密钥，从而解密下载的结果集。在密文计算基础协议上，主要包括Secret Sharing秘密分享、Homomorphic Encryption同态加密和PSI隐私求交集。在数据要素流通场景案例上，主要基于浙江大数据交易中心和山东省疾控中心数据开放共享、温州苍南数据局与农商行、教育数据与公安数据隐私保护计算和上海某打车平台等进行分享。

普华永道商务咨询(上海)有限公司经理黄耀驹

普华永道在151个国家设有公司，我们为客户提供专业咨询服务，并帮助客户解决实际问题，信息安全是过去三年以来普华永道的重点投入及发展的服务领域。

服务主要有咨询、审计和税务。在数据交易流通领域普华永道已有多年的探索，并基于研究成果及项目实践对外发布了系列白皮书，其中有数据资产生态白皮书、开放数据资产估价白皮书和数据资产化前瞻性研究白皮书。在数据交易流通咨询服务上，普华永道曾涉及的领域主要有以下几点：

（1）协助交易所设计了一套新型数据交易的价格生成方法，包括交易初期、交易成熟期的实施路径。并建立对应的估价指标体系，包括数据供方能力、数据适用度、数据质量、数据商服务能力等。

（2）协助交易所拟定了一套数据产品质量评估框架，以国家数据质量评价标准（GB/T 36344-2018）为基础的综台评估框架中所描述的全部数据集共有的质量维度，延伸到专项评估框架中适用于特定数据产品的更为详细的内容。

（3）协助交易所对数据交易平台的架构、场景进行设计、规划，形成适用于支撑多层次数据要素交易的功能平台。

（4）针对数据交易场景中对数据安全保障的要求，协助规划隐私计算统一管理平台的建设，为数据交易提供隐私查询、统计、建模、推理等隐私计算服务，促进数据交易的安全开展，加快数据流通。

（5）依照国家相关法律法规要求，参考各国家标准，结合数据交易所的业务特点，规划、设计了数据交易安全保障体系框架。

对《数据要素安全流通白皮书》的编写建议和编写意向主要有以下几点：

中圣至训（北京）咨询有限公司总经理白雪

中圣至训致力于信用政策化、信用法制化、信用科技化和信用数据化，帮助政府、企业和个人更好地进行信用建设和管理。在政府组织上，服务政府信用信息化、服务政府信用建设监管和服务政府信用在各领域的应用；在企业主体上，服务企业信用建设、服务企业信用风险管理和服务企业更好应用自身的信用。在个人上，服务个人了解信用、服务个人查询信用信息和服务个人运用信用相关产品或服务。数据上，中圣至训在个人上，有个人信用建设支撑、职业资格信用建设、个人信用档案和劳务用工信用建设；企业上有企业信用建设咨询、企业信用管理培训、企业信用管理监测平台和企业信用评价报告和企业产品信易+。在安全方面，白雪从《十四五数字经济发展规划的通知》和《数据安全法》和《关于构建更加完善的要素市场化配置的通知》为我们分享数据要素安全流通的要点。

苏州华育智能科技股份有限公司研发主管朱学航

华育智能率先在业内提出了“智慧学习、智慧教学、智慧行政、智慧健康、智慧环境、智慧绿能”的“多维度智慧教育”建设理念。在传统教育的基础上，引入了数字化、云计算、大数据、人工智能等技术，实现让教学过程看得见，让学习过程可分析，让管理流程智能化，让学校真正实现个性化培养学生，有PCT国际专利2项、发明专利8项、实用新型专利12项以及计算机软件著作权61项。该公司的产品方案设计理念以以GB-T36342-2018《智慧校园总体框架》标准为依据，产品方案的业务场景涉及学生、教职工、学校领导，在智慧校园整体解决方案架构上包括用户、终端、应用、基础平台、基础设施和信息安全体系。在产品方案上，华育智能还具有AI课堂教学分析系统、线上线下融合分组互动教学平台、健康护眼、健康声学空间、心理健康教育整体解决方案等产品。

四

【企业代表、专家交流讨论】

在本次会议的最后，贵州财经大学丁红发教授针对当前存在的基础性问题与各参会企业人员进行交流探讨：

丁红发教授表示：“今天上午涉及的面比较广，有安全服务、智能认证、安全技术、法律法规咨询、信用评级和智慧校园等类型的企业，正如大家所说在数据要素流通领域有一些基础性问题尚未得到解决，首先数据流通的对象是什么？数据流通有哪几种方式？这些需要再进一步的分析和探索。另外特别是政府和公共服务机构，例如学校、银行、电力局、税务机构有大批量的数据，这些数据以什么方式进入数据流通领域，是开放、共享、授权还是特许？这些方式又如何落地？”

丁红发教授就“数据要素安全流通的标准化应从哪些方面着手？当前的数据安全风险评估是否从数据资产价值的风险着手，三零卫士评估的评价指标是什么？”等问题与上海三零卫士信息安全有限公司进行探讨交流。

中国网安区块链与数据产品线总师白健表示：对第一个问题的话，我们认为数据流通不应该聚焦于区块链和隐私计算，因为数据要素流通更多是一个工程性的东西，应该是一个大的整体的闭环性的全生命周期的管理，所以数据要素的流通包括数据要素的分类分级、数据的标识、数据的访问控制、数据的防泄露、数据的共享交换。数据的共享交换包括两个环节：一种是通用的数据共享交换平台，原始数据针对库表文件的接口，针对隐私计算的数据不动算法跑，还有一种是数据的安全监管，因此应该是全生命周期的流程，建议白皮书从面上完整阐述数据流通应该是什么样的体系。对第二个问题的话，在做数据安全风险评估时首先从企业和行业的维度，梳理企业标准和目录，基于标准和目录对数据资产进行分类分级，从数据系统的采集、传输到销毁整个全生命周期的安全风险评估，评估完后对系统建设和产品采购方面提出相应的建议。

丁红发教授就“当前大多数的数据流通是把数据放在一个安全的沙箱或者是安全的保险柜中，缺一把智能的锁，何时数据能被访问，高风险时数据被锁定，所以物理上的锁能否变成智能化或沙箱化的对数据要素的智能锁？”等问题与飞天诚信科技股份有限公司进行探讨。

研发经理朱鹏飞表示：数据流通领域的数据权限的控制很受关注，而权限控制的基础是身份鉴别，身份鉴别是一个传统的技术领域，传统的基于专用硬件的身份鉴别面临着虚拟化和沙箱方面的挑战，因为基于专用硬件的身份鉴别在虚拟化环境部署面临金融性的问题，但身份鉴别在虚拟化数据处理的弹性方面跟不上，也是我们目前在努力的方向，让身份鉴别和服务不仅局限于提供硬件，各个层面能跟现有的数据安全、数据流通、数据交易的云服务进行全面对接，现在我们有一些关键技术的小研究，但整体方案是否成熟还需验证，所以希望在参与白皮书的过程中进行对接，把技术方案进行打磨成熟。

丁红发教授就“贵公司软件模式的TEE设计思路是什么，是否是把TEE沙箱化？在这种场景下如何保障计算环境的可信？贵公司当前主要的技术是MPC，当前的协议在中心端是一种单核的计算，在中心端的安全岛能否进行分布化？贵公司的一种产品是数据质押，这种产品的定价策略、定价模型、定价指标和定价方法是如何？”等问题与杭州安恒信息技术股份有限公司进行探讨。

解决方案专家唐雷表示：大数据可信执行环境是由安恒国内首创的技术，可信跟硬件不同，硬件可信是埋在CPU里，软件的可信是在底层做了安全大数据平台，相对于硬件，软件的优点是处理的数据量理论上没有上限，从本质上是一个分布式的大数据，所以扩容是没有问题的。第二个问题，MPC也是支持分布式的部署，目前不存在中心节点变成性能的瓶颈，是发现会带来较大的网络开销和性能上的开销，客户希望MPC明文的查询做到秒级甚至毫秒级的反应，密文查询是有延迟感，PMC结合软件TEE，事先把算法模型建好、预处理或计算的中间节点先算好，用的时候MPC调用密文查询会节省很多时间。第三个问题，当时是杭州的知识产权局做的确权，确定一批数据是属于一家公司，或属于哪些行业，对这些数据有一定的评估，根据同行研制医疗器械的周期，可以缩短使用医疗器械的康复数据，数据对于健康的价值有一定的评估，不是以金钱方式的评估，有一个定性的判断，江苏大数据交易中心只是撮合商的位置，最后的定价是上海银行决定的。

丁红发教授就“真实实践中企业在提供技术时跟法律依据是有一定距离的，如何让两者更加适配？数据使用权、所有权、收益权的领域当前的法律探索是怎样的？特别是公共数据的所有权和收益权的分配有什么机制去探索。贵公司出台了数据资产化白皮书，里面的方法在哪里进行了实践、效果如何？”等问题与普华永道商务咨询（上海）有限公司进行探讨。

普华永道经理黄耀驹表示：目前现有国家法律在法律层面提出了一些要求，在咨询服务及各家技术厂商在落地时主要参考DSMM，国家政策并未具体到数据的采集、传输到销毁方面应该怎么做。例如数据保存期限，保存时间是多少，在保存期限到后怎样删除，具体的标准和法规并未明确说明。数据跨境是有一些总体性政策方向去备案，但具体落地都是在推进中。主要围绕传统的数据分类分级的工具嵌入数据收集的阶段，数据收集后，数据的级别类别得到适当的划分，为后续差异化管控做输入。第二个问题，关于数据权属会跟其它律所公司进行探索，法律层面未出台细则，机构更多的是围绕产权不转移，使用权和收益权的交互，但具体还是缺乏法律层面的支撑，政府处于保守阶段。两大类数据是社会数据和公共数据，公共数据的各地要求是不一样的，国家目前想法是在交易所层面推进公共数据的交易流通，让互联网头部企业进入国有数据交易所进行交易流通不会有太强的行政干预，更多的是主动参与。不赞成数据所有权的交易，更多针对脱敏数据、模型化经过基础加工的数据和经过隐私计算后的加密结果的交易流通。第三个问题，当前更多是先把平台建成，支持多层次的数据交易形态，围绕数据交易平台的交易模式，包括数据包交易、API交易、隐私计算交易。目前针对数据价值评估有一套初步数据价值评估体系，在跟数据真正的价格挂钩时需要市场前期数据交易价格的积累，到后期能实现高频、自动化的交易。

丁红发教授就“数据流通活动中的信用建设跟一般企业的信用建设有些不同，可以有一些什么思考？后续是否可以把数据流通信用化，提高数据流通领域的规范化和可信性”等问题与中圣至训（北京）咨询有限公司进行探讨。

中圣至训白雪表示：数据应用场景导致数据价值的评估，通过各维度和各种算法评估数据价值，各行业离不开数据，希望做出来具有兼容性也有独特性。

丁红发教授就“有一些数据介于公共数据和社会数据之间，例如学校数据，是否考虑如何把学校数据进行社会化流通？”问题与苏州华育智能科技股份有限公司进行探讨。

研发主管朱学航表示：教育行业把控数据安全较严格，涵盖所有中小学和高职院校，更多属于个人数据。目前尚未落实，一个是数据安全在教育行业如何落地使用？第二个是教育机构做应用部署一般是校内的服务器或教育局的数据中心，很少会通过云平台的物理支撑，最担心的就是数据不在学校的可管控，不在学校内部资产中。所以现在仍是由学校采购服务器，我们做离线化部署。第三个方面在教育行业中产生的数据在实际场景中如何使用，当前隐私计算和区块链技术未在教育行业推广。