《数据安全法》今起正式实施，隐私计算迎来千亿级风口

9月1日起，中国第一部有关数据安全的专门法律《数据安全法》正式施行。

这部法律分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面，对数据处理活动进行规制，同时也明确建立了一个数据分类分级保护制度，建立健全数据交易管理制度、安全审查制度，对违法行为的处罚力度加大。

在此之前，数据的价值和安全性之间存在鸿沟，中间的矛盾愈演愈烈，例如一些互联网企业利用数据权力对用户实施“大数据杀熟”等，让原本简单的数据流通和应用被滥用，数据本身的底层价值无法正确开发，其安全性的保护和关注十分滞后。

如今，中国对数据安全的重视正提升至前所未有的高度。今年7月20日，最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，规范人脸识别应用的司法解释，要求不得强制索取非必要个人信息，8月1日起实施;随后在8月27日，中国公开发布起草的《互联网信息服务算法推荐管理规定(征求意见稿)》，全面规范算法推荐，现向社会公开征求意见;加上此前已经实施的《网络安全法》、以及即将在11月1日实施的《个人信息保护法》，中国信息及数据安全领域的法律框架正全面构筑。

与此同时，数据安全在技术上的进步以及监管层面的不断完善，也在为隐私计算以及数据交易市场发展带来新的商机与活力。

“《数据安全法》和《个人信息保护法》两部‘硬法’对AI企业的影响非常大。一方面，新法要求企业遵循数据获取的安全、可控，对个人信息要知情同意，拿到数据以后要合法正当利用，要保证数据安全;另一方面也解决了数据黑产难题，让违法事件有法可依。”中伦律师事务所合伙人陈际红近日接受钛媒体App等采访时表示，在遵守法律前提下，技术和应用也能够带来益处。比如隐私计算，数据流通的过程中一定会带来隐私泄露问题，但是隐私计算实现数据可用不可见，这是企业遵循法律要求。

神州数码云业务集团数据平台部总经理赵瑞在接受钛媒体App采访时表示，之前在广告投放或者精准营销领域里，会有一些企业走“擦边球”，《数据安全法》的正式实施，规定了数据如何处理和交互，对行业发展有积极影响，全面保护了用户的信息权益，同时让下游企业客户对包括数据保护CDP、隐私计算等数据流通新技术加以关注。

中国信通院纪委书记王晓丽近日则表示，数据要素的市场化配置尚处于探索阶段，数据权属界定还不明晰、数据安全风险高、数据交易机制不完善等问题制约了数据的流通发展。而快速发展的隐私计算等数据流通新技术，为产业“破局”提供了关键思路，正成为建设和完善数据要素市场的重要抓手，在一定程度上有助于解决数据权属界定、数据安全风险等问题，为培育数据要素市场提供了新的模式。

《数据安全法》到底在规制什么?

随着全球数字经济的快速发展，在爆炸性的数据流通之中，数据已经成为核心生产要素之一。2020年4月，国务院宣布，将数据列为第五大“生产要素”，与劳动力、技术、土地和资本并列为国家经济资源。而《数据安全法》提出，以数据分级分类为核心，搭建了数据安全的监管制度。

在日前举办的一场研讨会上，陈际红表示，《数据安全法》和先前的《网络安全法》，连同筹备中的《个人信息保护法》，共同构成了中国在网络安全和数据保护方面的法律“三驾马车”，它们定位各有不同，内容互有交叉，而《数据安全法》监管对象，主要是数据处理活动。

具体来说，《数据安全法》对企业的数据处理活动，提出了五项监管要求：

• 第一，符合基础性的合规要求，包括建立企业数据安全管理制度，有相应的基础措施和管理措施;
• 第二，对数据做分类分级保护，需要企业做等级保护测评和备案;
• 第三，进行数据分级分类，企业要根据分类结果采取相应的管理措施;
• 第四，识别核心数据和处理数据出境问题，做好数据跨境流动监管，比如年检、年报审计;
• 第五，管理数据交易中介，中介要审核双方身份、流程交易记录、制定审核清单等。

陈际红指出，《数据安全法》对数据处理做了一系列的法律义务，比如说一般性义务要有全流程的安全管理制度，从数据收集到数据删除，有交易培训，要履行等保的义务;其次是风险监测的机制，发现风险以后及时采取措施。以及数据的正当利用，数据的获取过程中要合法正当，不能采取窃取的方式。

如果企业在运营中没有符合相关法规要求，出现了严重的数据泄漏问题，如今在《数据安全法》下，企业将受到一定的经济惩罚，处罚对象以机构、企业为主，包括直接负责的主管人员和其他直接责任人员，企业的罚款额从百万元至千万元级别不等，个人的罚款额在数十万元级别。此外，涉事企业还可能被停业整顿、吊销营业执照。如果违反了国家核心数据管理制度且构成了犯罪，还将被依法追究刑事责任。

简单来说，《数据安全法》明确了数据安全监管的约谈制度，但未明确主管部门的层级要求;明确了未履行数据安全保护义务的所属企业组织、个人的法律责任;明确了违反《数据安全法》向境外提供重要数据的法律责任等，让国家重视了“数据要素”作为新型生产要素对于经济生产发展的意义。

尽管《数据安全法》并非针对某一类特定企业，但目前来看，信息化程度高、业务事关国计民生、涉及跨国经营等特点的企业，需要密切关注该法律的后续进展，并寻求改进合规措施的技术手段。比如电信、能源、电力等行业的企业。

对于一些过往的企业数据资产的合规性追溯，陈际红指出，合规是一个过程，新法颁布第二天企业立即合规，这也不太现实。如果对于不再用的历史数据，企业没必要担心，只要不泄露，就不会对主体带来权益侵害;对于还要使用的数据，则是需要授权的。

瑞莱智慧CEO田天则对钛媒体App表示，作为人工智能(AI)企业来说，新的法律颁布及试行，对行业或企业来说，其实告诉大家哪些事情不可以做，反而也是告诉大家哪些规范下可以做。因此，作为AI企业，要基于更加安全的隐私计算技术在上面去打造AI系统，引入更多有价值的数据方。对于AI产业来说，新的法律相当于是一个新的起跑线，在合规的情况下大家发展自己的技术实力，以及对场景的理解，不断有新的发展机会。

中国信通院云计算与大数据研究所大数据部副主任闫树则表示，中国数字经济受到《数字安全法》的冲击，是一个必要的过程，因为产业发展模式本身存在一些问题，这样的模式对企业发展有利，但触犯了国家和个人的权益，因此需要一些合理的改变。

“隐私计算”技术产业悄然兴起，科技巨头追逐千亿级市场

根据IDC报告显示，2020年，全球创造了59.0ZB容量的数据，其中50.4%的数据需要保护。同时，近四分之一的数据被认为是私人的或通常不向公众提供的数据，安全级别很高，但却缺乏保护。此外，与消费者相比，企业要保护的数据更多，占需要保护数据总量的85.6%。

近几年，数据安全事件明显上升，根据公开报道，2020年全球数据泄露的平均损失成本为1145万美元，2019 年数据泄露事件达到7098起，涉及151亿条数据记录，比2018年增幅284%，数据泄漏事件影响大、损失重。

那么，在《数据安全法》实施在即，如何让企业做好合规建设?一些长期致力于数据安全策略与技术方案的企业，也对产业提出了一系列应对方案。

根据《数据安全法》第二章第十六条规定，国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

田天表示，企业可以借助技术的手段，实现价值与安全之间的弥合。对于数据的采集、加工、流通过程中的保护手段，正在形成一个供应链，其中一项新兴技术是隐私计算，这属于促进数据流通的关键技术。他介绍说，隐私计算可以通过改变数据交互与融合的模式和形态，让数据在流通过程中实现“可用不可见”，从而处于一个安全的环境之中。

田天强调，隐私计算技术为应对个人隐私保护、数据安全隐患、数据孤岛等数据流通的关键难题提出了一种创新的解决思路，成为平衡数据利用与安全的重要途径之一。

“隐私计算”一词最初是在2016年发布的《隐私计算研究范畴及发展趋势》正式提出的。

所谓隐私计算，是一种由两个或多个参与方联合计算的技术和系统，参与方在不泄露各自数据的前提下通过协作对他们的数据进行联合机器学习和联合分析。隐私计算的参与方既可以是同一机构的不同部门，也可以是不同的机构。

隐私计算本质上是通过联邦学习(FL)、多方安全计算(MPC)、可信执行环境(TEE)等技术路线体系，在保护数据隐私的前提下，解决数据流通、数据应用等数据服务问题，实现不共享数据而是共享数据价值，对数据进行安全保护与脱敏。