不久前英國醫療服務體系（NHS）醫院向Alphabet旗下DeepMind提供了約160萬患者的詳細資料，DeepMind因數據隱私問題被英國信息安全員判定為違法。與此同時蘋果公司也被爆“內鬼”倒賣20萬條信息，涉案金額超5000萬美元。數據隱私安全再度被關注。我們正在進入數據社會，當一切變得越來越數據化時，我們應該如何規范數據隱私的保護，如何制定相關數據保護政策，如何利用技術來保護數據隱私安全？

數據監管

如何跟上數據創新的腳步

盡管英國醫療服務體系（NHS）醫院向Alphabet旗下DeepMind提供患者的詳細資料，是用于開發和完善急性腎損傷（AKI）診斷和檢測系統，與蘋果公司“內鬼”倒賣20萬條信息出發點完全不一樣，但它依舊被裁定違法。英國最高隱私保護監管部門認為，這些醫療記錄數據使用時并沒有告訴醫療患者數據將被使用的方式。

眼下，我們正在利用人工智能技術來攻克一個又一個的難題，而在解決這些難題的過程里，除了算法，非常重要的一個維度就是需要大量的數據。但是這些數據的歸屬權界定與去隱私化問題就需迫切需要解決了。

近日，IBM Watson和云平臺高級副總裁David Kenny向美國國會議員發出了一封公開信，概述IBM就人工智能技術興起所引發的相關政策問題的看法，談到數據隱私與歸屬權時他表示：“IBM 始終認為，個體數據為個人所有，相關的數據政策應公平合理、優先考慮開放性，并尊重知識產權。”AI協作共事的人員需負責地管理公共和私人數據。

NHS與DeepMind的數據合作與蘋果公司“內鬼”倒賣信息，在阿里數據經濟研究中心秘書長、阿里研究院高級專家潘永花看來，涉及數據監管的不同維度，一個是政府和行業監管，一個是企業內部的數據管理。DeepMind事件是由于數據流通和數據開發利用導致了隱私泄露，蘋果公司內部“內鬼”事件是因內部數據管理制度不健全而致。

“從數據監管的維度看，個體數據其實是進行數據創新最有價值的數據，也是數據安全等級最高的數據，我們利用數據的同時必須保障數據隱私，數據監管如何跟上數據創新的步伐，在法律上、在管理模式上需要進行更多的探索。”潘永花在接受《中國電子報》記者采訪時表示，就像個人醫療數據，不僅僅與個人身份有關，更與個人的身體狀況有關，是我們進行精準醫療、個性化醫療，推進人工智能進行疾病診療的關鍵基礎。如何將這些數據實現匿名化收集，進行匿名化處理，這涉及技術問題，也涉及監管模式和法律的問題。

賽迪智庫互聯網研究所副所長陸峰對《中國電子報》記者表示，這兩個事件再次警示我們要加強對數據安全的全生命周期管理，數據從產生到消亡整個生命周期過程中都有可能發生數據隱私泄露，要求我們制定相關措施，從技術保障、規范管理、法律法規等多方面入手，加強數據采集、傳輸、存儲、流通、交易、開發和利用等全生命周期管理。

中國信息化推進聯盟委員、國標委金融標準化專家、數秦科技首席科學家王毛路在接受《中國電子報》記者采訪時表示，數據隱私事件已成為社會的焦點，侵犯數據隱私問題的不斷發生說明了幾個問題：個人針對數據隱私的意識還不夠完善，數據保護政策未能完全貫徹落實，監管層面暫時還未能實現隱私數據的安全監管。要想更好地保護數據隱私，需要從數據分類、數據采集、數據存儲、數據流通等環節制定相應的措施。比如分類措施，需要將數據進行分類，明確數據類型，劃定隱私數據邊界。比如數據采集，要制定隱私數據采集規定，明確在何場景下通過何種方式進行數據采集。比如數據存儲，凡需存儲隱私數據的單位和企業，需制定嚴格的數據存儲規范。比如制定數據流通規則，明確各類數據的流通標準。比如制定數據安全保護制度，構建物理安全保護體系及網絡安全保護體系。

也就在記者稿件成文之際，外電報道印度電信運營商Jio超過1億用戶的信息遭到泄露，成為印度電信行業有史以來最大規模數據外泄事件。這究竟是“內鬼”，是外部黑客，還是“內外勾結”所致，目前尚在調查中。

印度運營商用戶信息泄露不是全球大規模數據泄露的第一個也不是最后一個事件。事實上，中國在此之前也爆發過多次互聯網用戶數據泄露案件，比如12306用戶信息泄露、國家電網旗下App用戶信息泄露等。

潘永花表示，過往幾年中，基于數據買賣的地下灰黑產業非常猖獗，帶動了消費者個人和國家對個人信息保護的關注，目前來看我國個人信息保護相關的法律規范尚不完善，只在一些法律中有零散規定，仍然存在效力層級低、法律法規協調性弱、保護內容片面等立法不足，有待于加強和完善。

企業內部

如何進行數據管理

在數據的全生命周期管理中，企業內部是非常關鍵的一個環節。陸峰表示。蘋果“內鬼”事件中，如果我們采用相關的加密或認證技術對內部人員數據查看和拷貝采取嚴格的認證措施，就能從一定程度上降低數據被竊取的風險。不過，千萬別迷信僅從技術入手就能保障數據絕對安全。

潘永花認為，蘋果內鬼倒賣數據問題涉及的主要是在企業的內部如何進行數據安全管理的問題，企業內部的問題通過組織、規章與標準的規范以及技術的采用是可以避免的。

未來所有的企業都會變成數據企業，如何找到適合自己的數據管理的組織架構、規章制度、標準以及技術，需要進行更多的探索?；ヂ摼W企業是目前擁有數據最多，也是基于數據進行業務創新和探索最早的一批企業。它們數據管理的方法、路徑對其他企業進行數據管理有一定的借鑒意義。

“以阿里巴巴為例，在阿里巴巴這樣的互聯網公司，數據事實上是一切業務的來源，所以必須非常重視數據安全，會從組織架構、規章制度到標準以及技術等維度來規范和保障數據的安全。”潘永花說。

據介紹，目前阿里巴巴在集團層面設有CRO（首席數據風險官）以及數據安全管理小組來管理數據，除了頂層設計，在各個業務部門都設有數據安全保障崗位，每一個進入阿里的員工都要進行數據安全考試。在阿里，數據是按四個等級來進行分級的，涉及隱私的最高安全等級的數據誰都不能碰。涉及數據隱私的數據，需要利用技術的手段進行脫敏、打標等。據透露，目前阿里基于自己經驗生成的“數據安全成熟度模型”已經開始對外輸出服務，應用到國家電網以及蒙牛等企業。

技術如何能夠

為數據保護發揮更多作用

王毛路認為，身份認證、數據加密、區塊鏈等技術能夠在保護數據隱私安全上起到很好的作用，其中區塊鏈是新技術，可在保護數據隱私安全上起到積極的作用。因為區塊鏈技術具備不對稱加密、安全傳輸、不可篡改、可追溯等特點，可以很好地應用于保護數據隱私安全。通過區塊鏈技術，在授權的前提下，可實現數據的加密傳輸，且能實現中間節點不留存數據；可實現數據的授權管理、傳輸管理、數據追溯等。

陸峰認為，區塊鏈技術從安全、成本、效率三個角度考慮應用場景，最為適合銀行間點對點支付清算系統、證券交易過程中券商點對點支付清算系統。目前上述兩個系統都是點對點進行支付清算，都是央行和證交所集中式的清算。隨著業務量的與日俱增，集中式清算模式瓶頸問題日益嚴重，加快區塊鏈技術應用，推進銀行間點對點支付清算、證券交易過程中券商點對點支付清算，能夠提高效率。因為涉及點對點清算，需要防止參與清算的各個主體之間出現數據竊取、篡改和抵賴等問題，區塊鏈技術正好能夠保證這個應用場景數據安全，所以國外金融系統應用區塊鏈技術保障數據安全的呼聲很高。

但陸峰也強調，區塊鏈技術不是萬能的安全技術，針對具體的數據安全問題，需要我們對癥下藥。