隱私數(shù)據(jù)不再安全，隱私計算站上隱私保護的“風口”

文／陳根

隨著云計算、物聯(lián)網(wǎng)與大數(shù)據(jù)等技術的不斷發(fā)展，信息系統(tǒng)服務中針對用戶數(shù)據(jù)的收集整理、分析預測手段不斷成熟。各種基于位置跟蹤、行為偏好記錄所產生的定向服務，為人們日常生活提供諸多便利的同時，也越來越多得引發(fā)了隱私關注。

一方面，人們通過社交媒體進行信息交換與自我表露，在網(wǎng)購平臺進行購買行為，利用智能交通系統(tǒng)實現(xiàn)實時路況查詢。在參與這些在線服務的過程中，產生的大量數(shù)據(jù)讓人們不可避免地面臨隱私泄漏問題。

另一方面，數(shù)據(jù)作為現(xiàn)代商業(yè)與個人的核心價值與重要資產，正在重新塑造人類生活的方方面面。IDC Research統(tǒng)計，2019年大數(shù)據(jù)和分析市場的銷售收入約為1870億美元。但由于數(shù)據(jù)本身可復制，易傳播，一經分享無法追蹤，數(shù)據(jù)資產的確權困難。隨著數(shù)據(jù)隱私監(jiān)管日益加強，商業(yè)化被嚴重制約。

正是在這樣的背景下，隱私計算站在了隱私保護的“風口”上。

隱私保護之痛

數(shù)字經濟時代下，數(shù)據(jù)作為生產要素的重要性日益凸顯。加上數(shù)據(jù)的頻繁泄露，數(shù)據(jù)隱私安全成了時下亟待解決之痛。而現(xiàn)有的隱私保護主要從信息處理過程中的隱私保護、隱私度量與評估兩個方面入手。

從信息處理過程中的隱私保護方法來看，主要分為訪問控制技術方法、信息混淆技術方法、密碼學技術方法三類。

訪問控制技術通過制定信息資源的訪問策略以保證只有被授權的主體才能訪問信息，從而實現(xiàn)信息的隱私保護。近年來，多個基于訪問控制的隱私保護方案相繼提出。比如，基于強制訪問控制（MAC）模型的高可用智能卡隱私保護方案；基于自主訪問控制（DAC）模型的外包數(shù)據(jù)存儲隱私保護方案；基于角色訪問控制適用于多場景的隱私保護的數(shù)據(jù)挖掘方法等。

信息混淆技術是基于特定策略修改真實的原始數(shù)據(jù)，使攻擊者無法通過發(fā)布后的數(shù)據(jù)來獲取真實數(shù)據(jù)信息，進而實現(xiàn)隱私保護。其中，k－匿名、l－多樣性和t－近鄰等多種匿名化技術通過將用戶的原始數(shù)據(jù)隱藏到一個匿名空間中實現(xiàn)敏感信息的隱私保護。

密碼學技術是利用加密技術和陷門函數(shù)，使攻擊者在無法獲得密鑰情況下不能得到用戶隱私信息。為了保護云計算中用戶的隱私信息，研究人員出了同態(tài)加密的概念，基于同態(tài)加密而構造了隱私保護的空間多邊形查詢方案。

但無論是訪問控制技術方法、信息混淆技術方法、密碼學技術方法的隱私保護方案都主要是針對特定場景局部數(shù)據(jù)集的具體算法，缺少針對特定場景動態(tài)數(shù)據(jù)集的算法框架，更缺少適應多場景動態(tài)數(shù)據(jù)集的普適性算法框架。此外，針對多媒體數(shù)據(jù)需要多個隱私保護算法的組合，而目前也缺少成熟的方案。最后，將不同隱私保護算法互相疊加以獲得更好保護效果的方法也有待開展研究。

隱私度量與評估通常從披露風險和信息缺損兩個角度對隱私保護的效果進行度量。事實上，現(xiàn)有的隱私度量都可以統(tǒng)一用披露風險（Disclosure Risk）來描述，即攻擊者根據(jù)所發(fā)布的數(shù)據(jù)和其他背景知識可能披露隱私的概率。通常，關于隱私數(shù)據(jù)的背景知識越多，披露風險越大。信息缺損則表示經過隱私保護技術處理之后原始數(shù)據(jù)的信息丟失量，是針對發(fā)布數(shù)據(jù)集質量的一種度量方法。

此外，隱私度量與評估的應用領域主要聚焦在社交網(wǎng)絡、位置服務、云計算等方面。在社交網(wǎng)絡領域方面，研究人員提出了針對網(wǎng)頁搜索中基于混淆技術的隱私保護方案，對用戶隱私進行了量化。在考慮用戶意圖不同時每個個體不同的搜索行為，研究者設計了一個通用性工具，對基于混淆技術的隱私保護方案進行隱私度量。

在位置服務領域，有研究人員提出關于位置隱私保護機制的框架。該框架利用確定攻擊模型以及敵手的背景知識，通過信息熵等方法來描述攻擊過程的精確性、確定性、正確性，從而實現(xiàn)隱私保護效果的度量。在云計算領域，為了保護云端的數(shù)據(jù)隱私，有研究人員提出了一種基于單個關鍵字的可搜索加密方案，適用于多個數(shù)據(jù)所有者上傳數(shù)據(jù)、多個用戶訪問數(shù)據(jù)的應用。

然而，上述各類隱私度量方案缺乏對隱私概念的統(tǒng)一定義；其次，隱私度量隨信息接收主體、擁有數(shù)據(jù)量大小以及場景動態(tài)變化，目前缺乏隱私的動態(tài)度量方法；第三，信息跨系統(tǒng)傳播，缺乏不同系統(tǒng)隱私度量的一致性、隱私信息操作控制的形式化描述方法，不能支持跨平臺的隱私信息交換、延伸授權等動態(tài)保護需求。

綜上所述，現(xiàn)有的隱私保護以及隱私度量方案零散孤立，還缺乏隱私信息操作審計和約束條件的形式化描述方法。

尚未有將隱私保護與隱私侵犯取證追蹤一體化考慮的方案，因此目前無法構建涵蓋信息采集、存儲、處理、發(fā)布（含交換）、銷毀等全生命周期各個環(huán)節(jié)的隱私保護和隱私侵犯取證追蹤的技術體系。而隱私計算的誕生則突破了現(xiàn)有隱私保護的局限，成了數(shù)字時代下隱私保護的風口。

隱私計算離我們并不遙遠

隱私作為一種敏感信息，是大數(shù)據(jù)的重要組成部分，隱私保護則關乎個人、企業(yè)乃至國家利益。但是，含有隱私的信息會在網(wǎng)絡中傳播、在各類信息服務系統(tǒng)中存儲、處理（編輯、融合、發(fā)布和轉發(fā)）。

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，具體是指在處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、評價和融合等操作，形成一套符號化、公式化且具有量化評價標準的隱私計算理論、算法及應用技術，支持多系統(tǒng)融合的隱私信息保護。

隱私計算涵蓋了信息所有者、搜集者、發(fā)布者和使用者在信息采集、存儲、處理、發(fā)布（含交換）、銷毀等全生命周期過程的所有計算操作，是隱私信息的所有權、管理權和使用權分離時隱私描述、度量、保護、效果評估、延伸控制、隱私泄漏收益損失比、隱私分析復雜性等方面的可計算模型與公理化系統(tǒng)。

從技術理論來看，隱私計算主要分為三大技術路線，即密碼學、可信執(zhí)行環(huán)境、聯(lián)邦學習。其中，密碼學是以安全多方計算（Secure Multi－party Computation）、同態(tài)加密（Homomorphic Encryption）、零知識證明（Zero－knowledge Proof）等代表的隱私計算技術。

可信執(zhí)行環(huán)境（TEE）通過硬件技術來對數(shù)據(jù)進行隔離保護，將數(shù)據(jù)分類處理。支持TEE的CPU中，會有一個特定的區(qū)域，該區(qū)域的作用是給數(shù)據(jù)和代碼的執(zhí)行提供一個更安全的空間，并保證它們的機密性和完整性。

聯(lián)邦學習則是近些年新崛起的新興人工智能技術，在2016年由谷歌最先提出，其設計目標是在保障大數(shù)據(jù)交換時的信息安全、保護終端數(shù)據(jù)和個人數(shù)據(jù)隱私、保證合法合規(guī)的前提下，在多個參與方或多個計算節(jié)點之間開展高效率的機器學習。

不可否認的是，隱私計算技術路線雖有差異，但密碼學對于隱私計算的影響依舊舉足輕重，密碼學理論研究成果也影響著隱私計算技術的進展。

由于隱私計算不泄露原始數(shù)據(jù)，因此可以在保護數(shù)據(jù)安全的前提下，實現(xiàn)多個維度數(shù)據(jù)的跨界融合。這將有助于破解數(shù)據(jù)保護與利用之間的矛盾的優(yōu)勢，也越來越受到市場的關注。Gartner發(fā)布的2019年技術炒作周期（hype cycle）曲線報告中，就首次將隱私計算列為處于啟動期的關鍵技術。

隱私計算離我們的生活并不遙遠。

2016年，蘋果公司在全球開發(fā)者大會上首次提出了差分隱私技術（Differential Privacy）。從iOS 10開始，蘋果使用差分隱私技術，在個人使用模式的小樣本中注入數(shù)學噪音。在不影響個人隱私的前提下，幫助發(fā)現(xiàn)大批量用戶的使用模式，從而增強用戶體驗。

從2018年開始，國內的大型科技公司接連入局，資本市場也保持高度關注。這條賽道常常被認為蘊藏著新的平臺型機會——在滿足數(shù)據(jù)合規(guī)的基礎之上，誰能率先實現(xiàn)數(shù)據(jù)源的有效融合，幫助需求方高效地提取可用數(shù)據(jù)，進而釋放數(shù)據(jù)價值，誰就有成為大平臺的機會。

此外，2016年底，工信部發(fā)布的《大數(shù)據(jù)產業(yè)發(fā)展規(guī)劃（2016－2020年）》提出，支持企業(yè)加強多方安全計算等數(shù)據(jù)流通關鍵技術的攻關和測試驗證。2019年9月，工信部發(fā)布《工業(yè)大數(shù)據(jù)發(fā)展指導意見（征求意見稿）》，提出在工業(yè)領域積極推廣隱私計算技術以促進工業(yè)數(shù)據(jù)安全流通。這也足以見得隱私計算的潛力之大。

數(shù)字價值釋放的突破口

當然，由于隱私計算技術發(fā)展仍不完善，因此也面臨著一些問題。

一是隱私計算技術性能還難以滿足大規(guī)模商用要求。雖然目前隱私計算的性能已經大大提升，但由于其加密機理復雜、交互次數(shù)多，當流通的數(shù)據(jù)量較大或結構較為復雜時，計算效率問題仍然未能解決。

其中，在隱私信息的生命周期中，受益于密碼學發(fā)展，隱私的加密化、匿名化和脫敏技術都已經非常成熟，可以大規(guī)模應用在隱私獲取、儲存、流轉等環(huán)節(jié)中。但大數(shù)據(jù)時代的到來，讓隱私數(shù)據(jù)的處理成為了一個難題：大規(guī)模的加密數(shù)據(jù)處理一定會導致計算性能下降，而非加密數(shù)據(jù)處理又極大概率會導致隱私信息的泄露。

二是隱私計算技術市場難以迅速培育。相對于其巨大的市場前景，目前隱私計算技術的市場還遠未成熟，市場環(huán)境的培育也具有較大的難度。一方面，由于隱私計算技術復雜且常常呈現(xiàn)“黑盒化”現(xiàn)象，大部分用戶對隱私技術難以理解和信任。另一方面，隱私計算處理的對象往往是敏感的數(shù)據(jù)資產，試錯成本大，從而更加增加了用戶的接受成本。

三是現(xiàn)有法律法規(guī)未對隱私計算地位進行明確定位。由于隱私計算僅僅避免了原始數(shù)據(jù)轉移的過程，但仍然完成了基于多方數(shù)據(jù)的計算，使得其在某種程度上依然破壞了消費者的隱私。這也成為了制約隱私計算發(fā)展的無法回避的問題。

但顯然，這些技術的困境在時間的加持下終將被解決。事實上，數(shù)據(jù)隱私是進入數(shù)字社會最先需要解決的問題。隱私計算技術在當下恰逢其會而且前景深遠，將為數(shù)據(jù)隱私保駕護航并創(chuàng)造一種全新的“數(shù)據(jù)交易”龐大市場，也會成為實現(xiàn)數(shù)據(jù)價值釋放的突破口。

生成海報

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）