构建数据要素可信流通的技术标准体系 WAIC发布两份白皮书

如何让大规模高价值数据可信流通，成为数据要素市场发展的核心议题，亟需产学研届共同构建新的技术标准体系。7月5日，在2024世界人工智能大会上，围绕隐私计算产品通用安全分级和个人信息匿名化制度，国内多家产学研机构联合发布两份白皮书，为数据要素流通行业当下普遍遇到的挑战，提供最新的技术思考和行业实践。

推动数据要素[]可信流通需要[]技术研发与标[]准制定通力配[]合。为了确保[]数据要素流通[]合规、安全和[]高效，产学研[]届正积极推进[]一系列的技术[]标准制定，聚[]焦解决不同隐[]私计算技术产[]品的通用安全[]分级，受控环[]境下的数据匿[]名化，以及数[]据离开运维域[]后的有效管控[]等问题。

通用的安全分级框架，推动隐私计算规模化落地

隐私计算技术可以在保护隐私安全的前提下释放数据价值，是数据可信流通的核心技术之一，然而由于隐私计算技术路线众多，在产业落地应用中出现“讲不清”、“看不懂”、“不敢用”的情况。隐私计算产品需要安全分级方法，可以为实际产品选型提供指导，推动隐私计算技术实现大规模落地。

一方面，隐私[]计算技术路线[]众多，且不断[]有新的技术涌[]现，应用场景[]方难以评估不[]同技术的安全[]程度。另一方[]面，因为各参[]与方信任程度[]不同、数据类[]型不同，不同[]场景需要达到[]的数据可控程[]度也是不同的[]，一味追求高[]安全，抑或是[]完全忽视安全[]，都是不可取[]的。

当前，虽然针[]对单一技术路[]线已经有一些[]安全分级标准[]，但是不同技[]术路线的分级[]标准完全无法[]对应，用户无[]法对所有的产[]品进行横向比[]较，这些标准[]也不适用于新[]出现的技术路[]线。因此，适[]用所有技术路[]线的通用安全[]分级思路亟需[]明确，来引导[]数据跨域流通[]场景中不同隐[]私计算产品的[]技术选型和安[]全评估工作。[]

本次发布的《[]隐私计算产品[]通用安全分级[]》白皮书逐一[]讨论隐私计算[]安全分级面临[]的诸多难点，[]包括技术路线[]特征不同难以[]进行统一分级[]、部分重要安[]全能力难以被[]分级和量化、[]安全是系统性[]问题涉及的维[]度多、范围广[]。针对以上挑[]战，给出通用[]安全分级的设[]计思路，包括[]按照攻防效果[]分级来屏蔽不[]同技术路线差[]异，在“可证[]安全”和“不[]安全”之间增[]加一个“抵御[]已知攻击”的[]分级水位，引[]入软件信誉度[]等更多维度量[]化“实现安全[]”，明确所有[]技术特征与安[]全分级的对应[]关系。

该白皮书由蚂蚁集团、中国通信标准化协会大数据技术标准推进委员会、深圳国家金融科技测评中心、清华大学牵头编写，另有国内16家机构参与编写。编写指导组成员包括中国科学院院士、国际密码协会会士王小云，浙江大学计算机科学与技术学院院长、区块链与数据安全全国重点实验室副主任任奎等权威学者。

破解个人信息“匿名化”困境，从技术与法律视角探索路径

数据作为新型生产要素，将深刻影响并重构经济社会结构，而数据要素的价值发挥关键在于不同主体、不同场景下的数据流通复用。其中，个人数据是当前利用价值最高、使用场景最多样、处理措施最成熟的数据，在数据要素市场中有着不可替代的作用。

如何在个人隐[]私保护的基础[]上，实现数据[]价值开发，是[]产业界面对的[]棘手挑战。一[]方面，对于描[]述或标识特定[]自然人信息的[]数据，如自然[]人的姓名、身[]份证号码等，[]数据持有者掌[]握这类信息后[]，有可能出现[]隐私泄露、滥[]用等风险。对[]于自然人与数[]据持有者交互[]产生的描述行[]为痕迹信息的[]数据，数据持[]有者汇集大量[]个人痕迹数据[]后，经数据挖[]掘与分析可将[]数据价值不断[]放大，但也可[]能出现“大数[]据杀熟”等风[]险。另一方面[]，部分技术处[]理方式导致数[]据精度损失很[]大，实际场景[]无法使用，使[]得数据失去流[]通和应用价值[]。

5日下午发布的《个人信息匿名化制度:技术与法律（2024）》白皮书由对外经济贸易大学、大数据技术标准推进委员会和蚂蚁集团共同发布。这是学术与产业界首次联合从技术与法律双重维度对个人信息匿名化问题做系统性梳理与阐释、探寻可落地技术方案与数据流通解决路径。

当前，为平衡[]“数据流通”[]和“个人信息[]保护”的双重[]目标，《网络[]安全法》《个[]人信息保护法[]》特别设置了[]“个人信息匿[]名化条款”，[]将匿名化后的[]个人数据排除[]在个人信息保[]护之外。然而[]，由于匿名化[]条款的法律内[]涵和实施标准[]有待厘清，匿[]名化条款往往[]存而不用。

“个人信息匿名化条款存而不用已经成为，数据交易流通和数据要素市场建构的最大瓶颈之一，”对外经济贸易大学数字经济与法律创新研究中心主任许可在发布现场表示。许可介绍，白皮书着重考察和对比了各国与匿名化制度密切相关的个人信息定义、去标识化或假名化制度、匿名化标准和开展匿名化的具体指引。

白皮书建议，在数据基础设施的规划与建设过程中，应充分考虑个人信息匿名化相关处理技术与制度规范内容。为破解“个人信息匿名化”的困境，必须从单一的法律视角转向复合的“数据基础设施”的路径。匿名化条款可以拓展为一套融合法律和技术的基础设施，从而推动在不同行业、不同机构之间实现可信、安全的数据共享、开放、交易。