作者:严强
来源:微众银行区块链
在现代商业发展进程中,数据驱动的业务创新正起着至关重要的推动作用,隐私数据的引入,让企业能够更精准地发现潜在客户,更好地服务目标人群,甚至开辟全新的市场空间。
然,福兮祸之所伏。每一次创新,都有可能打破隐私数据使用的常规范式,带来诸如对个人隐私空间侵犯、企业敏感信息泄露等额外的隐私风险和不良社会影响。政府相关部门作为市场秩序和社会秩序的守护者,就会为此设定对应的法律法规,来规范企业在进行依赖隐私数据的业务创新时,应遵循的必要标准。
近年来,以欧盟《通用数据保护方案》为代表,世界各国政府对于隐私的立法保护不断细化,惩罚力度大大加强。在我国,以《中华人民共和国网络安全法》、《信息安全技术个人信息安全规范》、《个人金融信息保护技术规范》为代表的现有法律框架内,对于侵犯隐私的不法行为也有判罚,轻则罚款,重则锒铛入狱。
就在上周五,个人隐私安全在国家层面得到更细粒度的保护,2020年新版国家标准《信息安全技术个人信息安全规范》正式发布,对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力,同时新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」等内容。
如何才能让业务创新有效地满足隐私合规的严格要求?这里,我们将从控制合规成本的角度,分享关于平衡隐私合规风险和现代商业发展的一些思考:如何识别隐私合规风险,理解不同层面的合规需求,通过技术手段控制合规成本,并应对企业发展业务扩张过程中可能出现新的隐私合规挑战。
Tornado Cash隐私池美元价值超过1300万美元:金色财经报道,根据The Block收集的数据,基于以太坊的混合器Tornado Cash的隐私池的美元价值创历史新高,在11月11日达到超过1300万美元的峰值。[2020/11/14 20:47:14]
明确隐私合规的目标
由于存在企业发展阶段和区域市场法律法规的差异性,有效应对隐私风险的首要任务在于明确隐私合规的目标。
我们可以观察到,伴随着立法的细化深入,近年来关于「什么数据才算是隐私数据」的争议在不断减少。尽管每个区域法律法规对于隐私数据的定义不尽相同,但都提供了具体的类型定义和敏感性分级,例如,位于最高敏感级的KYC身份数据、金融数据等。这使得我们现在能够避免以往权利边界不清的问题,从而明晰隐私合规的目标。
对于在某一区域开展的业务,隐私合规的目标可以归结为:
保护当前区域市场法律法规中定义的隐私数据,并在产品设计中提供相应的特性,以此保障客户的法定权利。
这里提炼出的两组关键词——“数据内容保护”和“数据权利保障”,代表了隐私合规的两条主线。
接下来,我们将围绕两条主线相关的九个维度,具体描述其对应的合规需求。
动态 | 隐私项目 Origo 主网已于1月21日上线:隐私项目 Origo.Network 今日发布博客,宣布主网已于 2020 年 1 月 21 日上线。代币 OGO 总供应量为 10 亿,创世区块所获得的 OGO 将会用于生态系统、基金会、团队、咨询部门以及市场流通五个方面。
文中称隐私权从一开始就是 Origo 区块链网络的核心。同样,团队坚信在区块链上提供隐私对于在现实世界中充分利用区块链技术至关重要,团队认为区块链智能合约中的隐私需求是合理的,也考虑到监管和业务方面的原因。
创世区块之后,Origo 的代币 OGO 将会分配给如下五个地址:
Origo 基金会地址:0xe483d4D3D4CD86E42CbAEd3D3fe09402AeeAEC6e,数量:83,460,131.75
生态系统地址: 0x337E6796855fCe218b71E54B95385489cc6cD1A1, 数量 :114,203,325.80.
Origo 团队地址: 0x04632b8f8890D1438aAa1F452A929be56d5A7c5E, 数量:125,000,000.00.
咨询部门地址: 0xAE40127cC6E94B2Bf501AE5e5E82338okE6D65B989,数量:16,666,665.99.
ERC-20 流通地址: 0x7f668e9AAfA536287AE69A1ebae5DdFf8e139680, 数量: 419,908,836.50.
加上将用于挖矿分配的 240,761,040.00 枚 OGO 代币,原始 OGO 总数将为 10 亿。这个分配确保现有的 ERC-20 代币将 1:1 地分布到 origo 主网
Origo 是基于以太坊网络的区块链,用户可以通过以太坊钱包,例如 Metamask 访问 Origo 网络。在主网启动之后,现有的 Origo ERC-20 代币仍然可以在现有的交易平台进行交易。团队正与各交易平台密切合作,整合主网。[2020/2/3]
从九个维度拆解合规需求
独家 | 胡继晔:EURO Chain的推出主要是平衡数据应用和隐私保护之间的关系:12月17日,欧洲中央银行发布了一个基于POC(Proof-of-Concept,概念验证)名为EURO Chain的项目。中国政法大学区块链金融法治研究中心主任胡继晔对金色财经分析表示,欧洲央行推出的EURO chain与欧盟2018年5月25号通过的《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)的原则是完全一致的。也就意味着,EURO Chain的推出主要是为了保护客户隐私,即平衡数据应用和隐私保护之间的关系。如何来平衡二者的关系,这是一个负责任的金融机构应该考虑的。
另外,胡继晔表示,EURO chain的推出很大程度上是因为Libra。近期,Libra对白皮书进行了修改,在引人注意的是删除了分红的条款。我们可以看到,Libra希望是向跨过跨境的金融服务机构来过渡。但是,欧洲央行一直明确反对Libra,在反对的同时也希望有自己的数字货币。
所以,欧洲央行推出EUROchain是面对Libra对其产生的冲击而提出的应对之策。这也是我的一个非常重要的观点,欧洲央行推出EUROchain是因为要对抗Libra。[2019/12/27]
鉴于信息化社会中绝大部分成功的商业模式,难免会依赖源自海量客户的海量隐私数据,传统的人为治理手段效率十分有限,而潜在的违规惩罚金额相当“可观”。所以,我们需要引入技术手段来满足来自各个维度的合规需求。
九个维度的合规需求犹如隐私合规的九重关卡。对于普通企业而言,重点关注最基本的维度便可满足合规需求。但对于处于强监管行业中的企业,如金融科技公司,或者运营跨国信息业务的企业,如在线社交网络、跨境电商等,则可能需要满足所有维度的合规需求。
声音 | 尹航:Phala的隐私计算通过可信硬件实现:11月21日,在《金色深核》线上直播中,Phala Network联合创始人尹航介绍了Phala的隐私计算模型以及\"桥\"如何保证资产安全性。尹航表示,Phala的隐私计算通过可信硬件实现,确切的说我们目前基于Intel SGX。从Intel的第六代CPU开始,每一个CPU内部都包含一块特殊的区域,我们把它称作“安全区”。安全区是硬件层面隔离的,安全区内部署的程序在执行过程中不会被干扰,数据也不会泄露,可以抵御来自操作系统、硬件级别的攻击。因此我们把合约部署在安全区内,可以保证合约的输入、输出,以及执行过程都保密。只有用户权限足够才能解密数据。
另一方面,可信硬件提供了“远程验证”协议,用户不需要特殊硬件,只要让矿工执行合约即可,执行的同时会生成出一份密码学证明,可以被浏览器、手机钱包独立验证。在Phala.Network上,一种资产就是一个合约,代码与ERC20没什么区别,但Phala只允许交易双方解密交易数据,任何第三方都不能看到交易数据。我们会在Phala的机密智能合约中实现Libra的轻客户端轻客户端可以验证来自Libra链的数据,也可以产生并Libra交易,这样就实现了一个转街桥:用户在Libra链上把资产转入到一个锁定合约中,这次转账被pLIBRA合约观测到,就会在pLIBRA端生成对应的跨链资产。
此外,用户可以随时用pLIBRA端的资产,兑换回Libra链上的原生资产。整个过程用户都只和智能合约交互,不用引入第三方,就实现了去中心化的转街桥。未来我们会利用波卡上的桥,以及在自己的链上开发更多的桥,目标是为任何区块链提供隐私计算的能力。[2019/11/21]
如何才能过关斩将,最终在合法合规的框架下,实现业务稳健发展?这里,我们将一一阐述相关要点。
动态 | 研究指出可以通过交易泛滥攻击对隐私币 Monero 进行追踪:链闻消息,一项由巴西帕姆帕联邦大学、卢森堡大学和墨尔本莫纳什大学大研究人员发表的指出,对隐私币 Monero 进行追踪是可行的,该研究小组提出一种名为「交易泛滥攻击,FloodXMR」的方法,借助 Bulletproof 协议可以降低交易费的特点,在区块链网络上发起大量自己的交易,从而解除掉交易输入的 mixin (混入以迷惑别人辨识出真实签名身份的总签..[2019/5/11]
第一维度:界面数据隐匿
在用户界面中隐匿数据,使得客户在使用产品时,其隐私数据无法被附近位置的恶意第三方所窥视。
作为数据内容保护合规中最容易满足的一个需求,直接的界面渲染操作,如简单的显示打码、数据截断等都是有效的技术手段。
然而,它往往也是最容易因为忽视而出现隐私事故的一个维度。尤其是在多个敏感数据字段同时显示的前提下,若隐匿技术使用不当,可能等同于没有任何隐匿效果。
第二维度:网络数据隐匿
在网络维度上隐匿数据,使得隐私数据在传输过程中,无法被恶意第三方截获明文。
经典的传输层安全TLS/SSL系列协议,都可以满足这一需求。但需要注意,这类协议的安全性,依赖可信公钥数字证书服务的正常运行,一旦该服务受到攻击,可能会导致证书造假、证书过期等,最终影响到现有业务的安全性和可用性。
第三维度:域内计算数据隐匿
在同一个计算域内,如由企业完全掌控和部署的云计算环境,任何隐私数据的明文,在计算和存储过程中,都不离开安全隔离环境,防止企业存在内鬼进行未授权的隐私数据访问。
隐私数据只有在安全隔离计算环境中,才会被解密成明文,在安全隔离计算环境之外,只能进行密文运算,并以密文形式存储在介质中。这里需要用到可信硬件或者软件隔离来构建安全隔离计算环境,它们分别依赖不同的安全假设,需要根据业务的特性来进行选择。
第四维度:跨域计算数据隐匿
隐私数据的明文只在同一个计算域内出现,在与其他计算域进行联合计算时,其他计算域的控制方无法直接访问或间接推测出隐私数据的明文,防止其他合作方获得合作协议授权之外的敏感隐私数据。
作为数据内容保护合规中最具挑战性的需求,其对于以医疗数据、金融数据等高度敏感数据业务尤为重要。如果无法满足合规要求,通常意味着业务无法开展或者面临巨额罚金。而且可能会出现双向判罚,即企业不仅会因为自身方案漏洞导致隐私数据泄露而受罚,还会因利用合作方企业的方案漏洞违规获取未授权的敏感隐私数据而受罚。
为了避免相关隐私合规事故,可采用的通用技术方案包括数据脱敏、安全多方计算、数据外包计算、零知识证明等。在涉及机器学习的特定场景下,联邦计算等新兴技术可以提供更为有效的方案效果。
第五维度:数据访问通告
数据访问通告是指,让客户了解当前业务会收集哪些隐私数据、为什么需要这些数据、将会如何使用这些数据、将以什么方式保存这些数据、保存期多久等隐私数据流通生命周期的细节。作为数据权利保障合规中最基础的需求,它保障了客户的知情权。
满足该需求的难点在于,如何让客户理解晦涩的技术语言、理解相关隐私风险的后果,避免相关监管机构以混淆客户理解为由,判定企业违规。
进行用户体验和人机交互技术的研究,是处理好这一需求的关键。适度采用基于机器学习的自动风险匹配是近年来业界比较推崇的技术,简化客户理解成本,帮助其更理性地评估对应业务的潜在风险。
第六维度:数据收集控制
数据收集控制是指,允许客户选择哪些隐私数据会被业务系统所收集,并在初始选择之后,允许对未来的数据收集选择进行调整。由于数据收集作为隐私数据流通生命周期的起始点,该需求能够赋予客户对于自身隐私数据流通的全局控制权。对于客户不愿意分享的隐私数据,在数据收集控制机制的作用下,无法以未授权的方式进入业务系统,以此营造客户的心理安全感。传统的访问控制技术可以很好地实现这一需求,但若原系统架构设计扩展性不佳,相关历史系统改造将是一项巨大的工程挑战。
第七维度:数据使用控制
数据使用控制是指,允许客户对于特定的业务系统中使用隐私数据的方式进行调整或限制。
原先是GDPR特有的合规需求之一,称之为限制处理权,最新版的《信息安全技术?个人信息安全规范》中也有相关规定,仅对部分业务类型有效。目前主要针对在线广告投放相关的个性化推荐业务,设立的初衷是避免过于个性化推荐引发的个人隐私空间强烈侵入感。
鉴于GDPR巨额罚款机制,这对于相关业务在注重个人隐私的区域的稳健发展十分重要。有效应对该项需求的关键,在于企业能否在系统架构设计早期,为相关隐私数据变动预留空间,减少后期系统改造的代价。
第八维度:衍生数据控制
衍生数据使用控制是指,允许客户对其原始隐私数据在经过变换、聚合后产生的衍生数据有一定的控制权。
这也是GDPR特有的合规需求之一,目前主要表现在两方面:
数据被遗忘权:在客户删除账户之后,清理对应个体历史数据和包含该客户的聚合数据;?
数据携带权:客户有离开当前业务平台的意向,打包提取之前所有的相关历史数据,如电子邮件、评论留言、云主机数据等。
该项需求的实现,通常也面临着高昂的系统改造代价。建议企业在系统架构设计早期,务必考虑完备的隐私数据溯源机制,为后期改造减少合规成本。
第九维度:数据影响力复议
数据影响力复议是指,允许客户对基于其隐私数据产生的业务决策进行复议,由此更正自动化决策系统可能做出的不公平判断,消除数据歧视等负面影响。
这可能是权利数据保障合规中最具挑战性的需求,其关注点在于数据驱动决策系统设计的可解释性,并限制难以解释的机器学习模型在民生、医疗等关键领域的应用。这就要求企业在研发自动化决策系统设计时,研发具备较高解释能力的决策模型,或者提供备选技术方案,减少误判导致的合规成本。
正是:强立法监管严管控,兴科技企业巧合规!
日益细化的隐私保护法律法规,对于海量隐私数据提出了不断量化的合规需求。只有借助科技的力量,才有可能有效实现隐私合规,以此扫清企业持续业务创新的阻碍,并为企业开拓国际市场做好准备。
因此,自本系列的下一篇推文开始,我们将以隐私保护的核心技术领域「密码学」为起点,逐步与大家分享关于关键技术的深入解析和理论分析,欲知详情,敬请关注下文分解。
作者介绍:
严强,SMU信息安全方向博士,信息安全顶级国际学术会议最佳论文奖获得者;曾作为google隐私保护基础技术架构部门唯一来自中国的早期核心成员,领导研发的技术方案在Android和GooglePlay生态各大门户产品中全面集成投产。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。