重庆市大数据应用发展管理局
关于市五届人大五次会议第0811号建议
办理情况的复函
侯东德代表:
您提出的《关于加强隐私计算的合规建设与法律规制的建议》(第0811号)收悉。经市大数据发展局、市委网信办、市经济信息委、市公安局、市商务委、市金融监管局共同研究办理,现将办理情况答复如下:
近年来,党中央、国务院高度重视大数据、数字经济工作。习近平总书记多次就大数据、数字经济等工作作出重要指示批示。党的十九届四中全会将“数据”纳入生产要素。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,提出大力培育数据要素,促进数据要素有序流通。2021年,国家陆续出台《数据安全法》《个人信息保护法》,建立数据匿名化、去标识化制度,对数据处理者数据安全合规提出了更高要求。同年12月,国务院办公厅印发《要素市场化配置综合改革试点总体方案的通知》提出探索“原始数据不出域、数据可用不可见”的交易范示。随着我国数字经济的快速发展,数据市场需求旺盛,数据合规监管日渐强化,隐私计算在保护个人隐私和数据拥有者、控制者安全利益的前提下,从技术角度实现了数据的合规共享流通和协同应用,成为了促进数据价值深度释放的一种重要手段。
一、隐私计算简要概述
根据中国信通院《隐私保护计算技术研究报告》等,隐私计算(Privacy-Preserving Computation)是一套包含人工智能、密码学、数据科学等众多领域交叉融合的跨学科技术体系,目前主要包括:多方安全计算、联邦学习、可信执行环境、同态加密、差分隐私、机密计算等技术。
从目前实践看,隐私计算并没有完全统一的适用标准,由于对场景的依赖度较高,隐私计算根据不同的应用场景、客观情况以及用户定制需求,有不同的技术路线、技术架构和应用形式。当前,隐私计算虽然在金融、医疗、电子政务等领域已有一些落地尝试,但总体而言“仍处于大规模商业应用的早期”。结合第0811号建议反映的问题,隐私计算在实际运用中主要还存在以下几个方面问题:
一是尚无法实现绝对安全。隐私计算建立在算法安全、开发应用安全、硬件设备安全、相互信任等诸多“安全假设”基础之上,即假定各个环节、参与各方是“安全”的。但由于现实存在的算法模型潜在风险、硬件设备潜在风险、管理制度不完善、安全信任共识未形成以及恶意人为风险等诸多复杂因素,隐私计算尚无法实现应用全过程的“绝对安全”。
二是性能和安全难以兼顾。隐私计算对于参与各方的计算能力、通信能力、数据质量、计算精度、硬件设备等要求较高,在确保数据安全的前提下,为满足数据处理的高吞吐率、高实时性、低延时性等要求,导致隐私计算本身的开发、维护成本较高,且不可避免在应用性能、执行效率等方面,相对于传统的数据使用手段、方式低。
三是安全共识尚未形成。隐私计算的核心逻辑是通过数据原理、密码学原理和硬件技术建立的技术保障机制,让多个数据参与方在技术信任的共识下开展协同计算。但由于算法、场景、性能的复杂程度较高,参与方难以通过直观的方法验证数据产品的安全性,导致目前对隐私计算的安全共识尚未完全形成。
二、隐私计算工作现状
虽然隐私计算在应用中还存在一些问题,但随着数字技术的成熟,可以逐步得到解决。当前,隐私计算技术应用呈现出向更多行业扩散的态势,相关制度设计也逐渐在完善。立法方面,由《网络安全法》《数据安全法》《个人信息保护法》组成的数据安全立法体系已初步形成,为规范隐私计算技术的应用发展搭建了顶层法律框架。标准方面,中国通信标准化协会技术标准推进委员会自2018年开始,已经陆续出台多个隐私计算领域的相关团体标准,包含多方安全计算、可信执行环境、联邦学习和区块链辅助的隐私计算技术工具四项针对产品基础功能的标准。2020年11月,中国人民银行发布《多方安全计算金融应用技术规范》(JR/T 0196-2020)。2021年7月,中国支付清算协会发布《多方安全计算金融应用评估规范》。相关法规、技术标准的出台,为隐私计算合规发展奠定了基础。
近年来我国隐私计算相关标准研制出台情况
标准名称 | 标准类别 | 进展 | |
功能标准 | 基于多方安全计算的数据流通产品 技术要求与测试方法 | 团体标准 | 已完成 |
基于联邦学习的数据流通产品 技术要求与测试方法 | 团体标准 | 已完成 | |
基于可信执行环境的数据流通产品 技术要求与测试方法 | 团体标准 | 已完成 | |
区块链辅助的隐私计算技术工具 技术要求与测试方法 | 团体标准 | 已完成 | |
性能标准 | 隐私计算 多方安全计算产品 性能要求和测试方法 | 行业标准 | 已完成 |
隐私计算 联邦学习产品 性能要求和测试方法 | 行业标准 | 已完成 | |
隐私计算 可信执行环境产品 性能要求和测试方法 | 行业标准 | 制定中 | |
安全性 | 隐私计算 多方安全计算产品 安全要求和测试方法 | 行业标准 | 已完成 |
隐私计算 联邦学习产品 安全要求和测试方法 | 行业标准 | 已完成 | |
隐私计算 可信执行环境产品 安全要求和测试方法 | 行业标准 | 制定中 | |
互联互通 | 隐私计算 跨平台互联互通 第1部分:总体框架 | 行业标准 | 已完成 |
隐私计算 跨平台互联互通 第2部分:通信协议 | 行业标准 | 制定中 | |
隐私计算 跨平台互联互通 第3部分:互联协议 | 行业标准 | 制定中 | |
应用标准 | 隐私计算金融场景应用标准与测试方法 | / | 制定中 |
设备标准 | 隐私计算一体机技术要求 | / | 制定中 |
三、下步工作打算
推广应用隐私计算技术,是促进数据价值释放的重要途径,不能“因噎废食”。2021年以来,国家陆续出台《数据安全法》《个人信息保护法》,为规范隐私计算发展奠定了法律基础。近期,中共中央办公厅、国务院办公厅印发《关于加强科技伦理治理的意见》,提出“建立完善符合我国国情、与国际接轨的科技伦理制度”,明确“从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会”。隐私计算与人工智能高度关联,下一步,市大数据发展局将根据国家要求,在大数据、人工智能等领域进一步完善技术审查等相关制度,促进行业健康发展。同时,根据第0811号建议提出的“建立多部门联合的隐私计算监管长效机制”“推动隐私计算行业的自律监管”“推进金融科技监管”“加强培养复合型专业人才”等四个方面建议,市大数据发展局将会同有关市级部门重点开展以下几个方面的工作:
一是进一步完善数据监管机制。推动出台《重庆市数据条例》,在政务数据、公共数据领域建立健全数据合规制度,探索运用隐私计算等技术手段,促进数据流通。建立健全全市数据安全治理体系和数据安全协作监管制度,推动建立设施、设备、网络、数据、技术安全体系。同时,按照国家有关规定,针对隐私计算、区块链等新技术、新应用专门制定保护规则和标准,推动数据规范管理。
二是进一步强化行业自律。会同相关行业主管部门,推动成立地区隐私计算行业协会(产业联盟),鼓励、引导相关企业、社会组织制定完善行业准则及技术标准,推动算法合规和技术创新,促进行业优秀实践经验沉淀和推广,提升行业自律管理水平。
三是推动隐私计算产业发展。加快推进关键核心技术攻关,推动创新成果产业化,提升隐私计算行业产研能力。培育数据要素市场,盘活数据资源,扩大隐私计算应用场景。推广金融领域隐私计算的应用经验,推动更多潜力领域案例落地。深化隐私计算产业跨界融合与创新应用,引导隐私计算市场向需求驱动发展,促进行业供需平衡。
四是加力培养专业化数字人才。推动创建国家数字人才发展先行区,打造数字人才方阵,大力培育数据治理领域人才。鼓励本地高校开设相关专业课程,培养数字技术专业人才和跨学科综合型人才。支持高校、科研院所与企业联合办学,加快建设数字产业实训基地,发展订单制、现代学徒制等多元化数字人才培养模式,提升数字人才供给能力。
五是加大法律宣传力度。强化网络安全意识和素养,提升公众对隐私计算技术、数据安全和个人信息保护的法律法规等相关内容的整体认知程度,推进数字安全文化理念建设,营造良好的数据安全氛围。
重庆市大数据应用发展管理局
2022年3月25日
