WAIC 관찰: 개인 정보 보호 컴퓨팅이 업계에서 구현을 가속화하고 있으며 새로운 기술 표준 시스템이 곧 등장할 예정입니다.

这几年，人们都在谈论大模型。特别是在 Scaling Law 的指导下，人们寄希望于将更大规模的数据用于训练，以无限提升模型的智能水平。在中国，「数据」作为一种与土地、劳动力、资本、技术并列的生产要素，价值越来越被重视。近年来，中国数据要素市场化建设的步伐明显提速。让「数据」发挥价值的关键在于不同主体、不同场景下的数据流通复用。数据要素跟传统的生产要素有本质差别，数据的价值具有双面性，业务价值越大，风险成本越高。营造数据可信流通可信环境，则是让数据要素价值充分释放的底层支撑。

在这样的背景下，隐私计算技术的价值逐渐凸显，成为了学界和业界关注的焦点。从概念诞生之日起，隐私计算用了近 40 年从一门前沿理论，延伸到了产业应用之中。但隐私计算能否成为数据要素流通市场的 “基石技术”，还需要扫清一系列障碍。
数据以密态形式流转将成为未来的趋势，传统的隐私计算技术已经不能满足新形势的要求。一方面是传统隐私计算主要关注多方合作场景下的计算安全，缺乏整体性的安全视角，无法满足数据大规模流通过程中新的场景和角色引入带来的额外风险（如运维者风险，加工者风险），其次需要针对不同安全等级的数据采用不同安全分级的技术方案，才能最大程度降低隐私计算的落地成本，因此推动行业标准化变得尤为重要。
在 2024 年世界人工智能大会上，产学研届带来了全新的探索和实践。7 月 5 日，围绕「隐私计算产品通用安全分级」和「个人信息匿名化制度」，国内多家产学研机构联合发布两份白皮书，为数据要素流通行业当下普遍遇到的挑战，提供最新的技术思考和行业实践。
我们需要怎样的隐私计算技术标准体系？
隐私计算是一门综合性的跨学科技术，交叉融合了密码学、人工智能、计算机硬件等众多领域知识，目前已形成多方安全计算、联邦学习、可信执行环境等技术路线。
推动数据要素可信流通，需要技术研发与标准制定通力配合。在隐私计算技术的各个方向中，仍有大量标准制定工作待完成，产学研届普遍认为，「数据跨域管控」、「受控匿名化」和「通用安全分级」三个方向值得关注。
数据跨域管控的目的是在数据共享和流动的过程中，确保数据不会被未经授权的实体访问或篡改，同时遵守相关的法律法规和隐私政策。作为新型生产要素，数据发挥价值的关键在于不同主体、不同场景下的数据流通复用，但这一流程通常存在「责任主体不清、利益诉求不一致、能力参差不齐、责任链路难追溯」的风险。
受控匿名化通常用于确保数据在使用和分析时，不会泄露个人隐私信息，同时还保持数据的实用性和准确性。我国的《网络安全法》和《个人信息保护法》特别设置了「个人信息匿名化条款」，将匿名化后的个人数据排除在个人信息保护之外，但法律内涵和实施标准却有待厘清。事实上，个人信息匿名化条款存而不用，已经成为数据交易流通和数据要素市场建构的最大瓶颈之一。
此外，在隐私计算中，通用安全分级能帮助确定各类产品最适合的保护措施，从而合理分配安全资源，并确保敏感数据得到适当的保护。当前，虽然针对单一技术路线已经有一些安全分级标准，但是不同技术路线的分级标准完全无法对应，用户无法对所有的产品进行横向比较，这些标准也不适用于新出现的技术路线。
在产学研各界的深度合作下，我们已经看到了一些进展。
国内多家产学研机构，在这场大会达成共识
关于「数据跨域管控」问题，我们可以在 2023 年底出炉的一份白皮书中找到答案。
2023 年底，华东政法大学数据法律研究中心、蚂蚁集团牵头发布《数据跨域管控白皮书》，首次系统阐释了数据跨域管控的实践指引与策略，提出借助密态计算等技术手段，有效管控数据流通利用的风险。
白皮书从技术、法律和管理层面形成了三位一体的数据跨域管控解决方案，包括事前的数据脱敏、加密等数据治理机制，事中针对场景和安全等级界定使用范围等过程管控机制和事后的审计监督机制。
同时，白皮书还提出了与数据流通风险适配的五项管控技术要求，包括数据来源可确认、数据可用不可见、数据可算不可识、数据使用可界定、数据流通可追溯，并指导如何明确数据流通中各主体责任的可行方案，助力构建中国的可信数据流通参考架构。
关于「受控匿名化」和「通用安全分级」这两个命题，我们在前不久的 WAIC 大会上也看到了学界与业界的最新共识：
在 2024 世界人工智能大会上，国内多家产学研机构联合发布了《隐私计算产品通用安全分级》和《个人信息匿名化制度：技术与法律》两份白皮书。
隐私计算中的安全分级，向来存在多项难点。산업 실무 경험으로 볼 때, 서로 다른 기술 경로, 서로 다른 제품 형태, 서로 다른 적용 시나리오를 가진 개인 정보 보호 컴퓨팅 제품은 개인 정보 보호 데이터 유출 위험 및 보안 요구 사항에 큰 차이가 있습니다. 통일된 보안 분류 표준이 없으면 제품 개발이 어렵습니다. 당사자와 사용자가 보안과 성능 간의 균형을 평가하고 측정할 수 있습니다.
심천 국가 금융 기술 평가 센터의 기술 책임자인 Luo Feng은 금융 산업에서 개인 정보 보호 컴퓨팅 기술을 적용하는 것은 상대적으로 발전했지만 대규모 구현에는 여전히 기술 및 비즈니스 과제가 있다고 말했습니다. 개인 정보 보호 컴퓨팅의 경로는 다양하며 다양한 애플리케이션 시나리오에는 보안과 성능 간의 균형이 필요합니다. 기존의 평가 및 기준으로는 안전성 분류 이전에 제품의 전반적인 안전성과 성능의 차이를 평가하기가 어렵습니다. 기술의 섬(Technological Island) 현상은 객관적으로 존재합니다. 기술의 상호 연결 및 상호 운용이 불가능하면 금융 기관마다 상품 선택에 차이가 생길 수 있습니다. 또한 기대되는 이익을 예측하기 어렵고 투자 비용이 높기 때문에 많은 중소 금융 기관이 개인 정보 보호 컴퓨팅 응용 프로그램의 홍보를 꺼리고 있습니다.
프라이버시 컴퓨팅을 대규모로 구현하려면 보다 기술적인 경로에 적용할 수 있고 실용적인 지침이 있는 보편적인 보안 분류 체계가 필수적입니다.
위 상황을 바탕으로 앤트그룹, 중국통신표준협회 빅데이터기술표준추진위원회, 심천국가금융기술평가센터, 칭화대학교 등 국내 16개 기관이 공동으로 '프라이버시 컴퓨팅 제품의 일반 보안 분류' 백서를 작성했다. ". 글쓰기 조정 그룹의 구성원으로는 중국과학원 원사이자 국제 암호동물학 협회 회원인 왕샤오윈(Wang Xiaoyun)과 컴퓨터 과학 기술 대학 학장인 렌 쿠이(Ren Kui) 등 권위 있는 학자들이 포함되어 있다는 점은 언급할 가치가 있습니다. 절강대학교 교수이자 국가 블록체인 및 데이터 보안 연구소 부소장입니다.

본 백서에서는 업계, 학계, 연구 당사자들이 개인정보 보호 컴퓨팅 보안 분류가 직면한 많은 어려움을 하나씩 논의하고, 보편적인 보안 분류를 위한 설계 아이디어를 제공합니다. 예를 들어, 공격 및 방어 효과 분류에 따라 다양한 기술적 경로 간의 차이를 보호하고, "증명된 안전"과 "안전하지 않음" 사이에 "알려진 공격에 대한 저항" 등급을 추가하고, 소프트웨어와 같은 더 많은 차원을 도입할 수 있습니다. "보안 구현"을 정량화하는 신뢰성, 모든 유형의 기술적 기능과 안전 분류 간의 해당 관계를 명확히 합니다.
중국 은행 개인 정보 보호 컴퓨팅 팀의 알고리즘 엔지니어인 Shi Xinlei는 참가자 데이터의 영향으로 인해 다양한 수요 시나리오에 따라 보안 요구 사항도 서로 다르다고 말한 적이 있습니다. 등급을 통해 비즈니스에 적절한 수준의 보안을 제공하고 달성할 수 있습니다. 성능과 보안 간의 균형을 유지하여 합리적인 컴퓨팅 리소스를 할당하여 비용을 제어할 수도 있습니다. 둘째, 보안 분류를 통해 위험 정도를 신속하게 식별할 수 있습니다. 보안 수준에 따라 그에 상응하는 규제 통제 조치를 취하여 보안 위험을 줄일 수 있습니다. 합리적인 개인 정보 보호 컴퓨팅 제품 보안 평가 표준 및 등급 시스템은 제품 보안을 더 잘 이해 및 평가하고, 데이터 순환을 위한 신뢰 메커니즘을 구축하고, 업계 표준을 촉진하는 데 도움이 될 수 있습니다.
개인정보 보호를 기반으로 데이터 가치 발전을 실현하는 방법은 업계가 직면한 또 다른 어려운 과제입니다. 개인 데이터는 활용 가치가 가장 높고, 사용 시나리오가 가장 다양하며, 처리 방법이 가장 성숙한 데이터입니다. 개인 정보 보호를 기반으로 데이터 가치의 발전을 실현하고 상호 간에 신뢰할 수 있고 안전한 데이터 공유를 촉진하는 방법입니다. 다양한 산업과 다양한 기관. 개방성과 무역은 산업, 학계, 연구의 공통된 탐구 방향입니다.
그 중에서도 익명화 기술은 개인 데이터의 프라이버시를 보호하는 중요하고 효과적인 수단입니다. 우리나라의 데이터 인프라를 계획하고 구축하는 과정에서 개인정보의 익명화와 관련된 처리기술과 제도적 사양도 중요한 위치에 놓였습니다. 산업적 구현의 관점에서 볼 때, 이 문제의 해결을 공동으로 추진하는 열쇠는 법률과 기술을 통합하는 일련의 인프라를 구축하고 확장하는 데 있습니다.
이를 위해 “사이버보안법” 및 “개인정보보호법”에 규정된 “개인정보 익명화 조항”의 지침에 의거하여 대외경제대학교, 빅데이터 기술표준추진위원회 및 앤트그룹은 '개인정보 익명화 조항' 제도: 기술과 법률(2024)' 백서를 공동 집필했습니다.

개인정보 익명화 시스템

1. 딜레마와 과제

• 기업은 익명화 조치가 법적 요구 사항을 충족하지 못하거나 사용 가치를 잃을까 봐 걱정합니다.
• 규제 당국은 익명화가 규제를 우회하는 도구가 될 것을 우려하고 있습니다.
• 사용자들은 익명성이 거짓 약속이라고 걱정합니다.

2. 데이터 인프라 경로

• 복합 "데이터 인프라" 경로로 전환합니다.
• 데이터 인프라는 데이터 요소 시장의 인프라입니다.
• 익명화 용어는 법률과 기술을 통합하는 인프라로 확장됩니다.

3. "사전에 익명으로 추정" 및 "사후에 익명성 결정"

• 이전의 "추정된 익명성"은 익명화 기술 솔루션을 통해 달성됩니다.
• 사후 '판결 익명성'은 법을 설명하고 책임을 완수함으로써 달성됩니다.

4. 통제된 익명화 조치

• 가명처리, 통제된 공간에서만 사용됩니다.
• 속성 정보는 통제된 공간에서만 사용되며 열린 공간 데이터와 연관되지 않습니다.

기술 표준에서 대규모 구현까지

1. 새로운 기술의 대규모 구현에 따른 어려움과 기업 비용을 줄이기 위해 표준을 구축하여

• .

2. 기술 요구 사항 표준 및 기술 방법 시스템 구축

• 데이터 요소의 유통으로 인해 새로운 기술 표준 시스템 구축이 시급합니다.

3. 사회적 협력

• 새로운 기술 표준 시스템을 공동으로 구축합니다.

  

위 내용은 WAIC 관찰: 개인 정보 보호 컴퓨팅이 업계에서 구현을 가속화하고 있으며 새로운 기술 표준 시스템이 곧 등장할 예정입니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!