隐私计算与数据要素流动规则

隐私计算作为一项新兴的安全技术，近年来受到广泛重视。基于对一线业务的亲历与思考，我们认为这一技术在提供安全保障的同时，对数据要素流动规则的构建与完善也具有独立的价值。

促进数字经济的发展，构建数据要素市场，需要统筹“安全与发展”两个价值目标。我们认为，隐私计算技术有助于部分合规要求的实现与增强，但仍存在“力有不逮”的领域，需通过建立“数据保护评估体系”来增益优势、补强短板。因此，实现这一目标的路径在于“技术+制度”的双轮驱动。

隐私计算对数据流动规则的供给与协同：

数据要素有序流动的前提是妥善处理好个人信息保护合规问题。个人信息保护的本质是确保个人的基本权利与合法权益不因数据处理活动而遭受侵害。为平衡保护与利用，个人信息保护法律体系构建了一套以“知情-同意”为导向，以“合法公平”“数据质量”“目的限制”“目的正当”“最小必要”“安全可信”六要素为核心，以“问责”为基础的框架。

第一个供给是对于目的限制原则。传统技术条件下数据流动，一旦数据流出原持有方的控制环境，数据处理目的就难以限定，我们将其称之“后链路风险”。联邦学习、安全多方计算等技术，在限定数据处理目的方面具有原生优势。因为相关参与方需要共同设定计算目标、共同约定计算逻辑、并接受特定技术方案约束。数据处理的目的被技术凝聚成了特定的“共识”，各参与方难以在“共识之外”将数据用于其他目的。

第二项供给是针对最小必要原则。在传统技术条件下，两个合作方在进行数据对齐时，非交集的数据会被迫暴露给对方。而隐私计算所具有的“范围限定”“机器可读”的技术特征，对突破困境具有直接作用。例如，采用PSI技术进行数据对齐，可避免非交集数据泄露。又如，安全多方计算可以将原始数据进行“分片式”或“梯度化”处理，以仅机器可理解且难以复原为原始数据的“数据碎片”形式进行共享、传输以及进一步处理。

举例说明：若广告主能将转化结果作用于投放模型训练，则有助于提升投放模型的推荐效率，不仅能增进经济效益，也能提升生产资料的有效配给。在传统技术条件下，广告主直接向广告投放平台提供明文的转化结果（ID，是否转化）。在采用联邦学习技术下，各方原始数据只在本地的联邦学习中计算，双方仅传输经过PSI求交后的ID密文、加密的embedding或梯度等数据，而用户特征、标签等原始数据均只在各方自主控制的环境中，不发生流动，由此确保数据处理的目的被限定在固定范围内，保障了数据在后链路流转过程中目的不被变更。

我们用这个表格来梳理示例中的数据交互及其保护措施：