“数据出域”的概念范畴十分广泛,以下金融场景皆可认为是一种数据出域行为:某金融机构领导由于工作事务关系将一些重要数据授权给某员工知晓,以便快速推动工作进展;金融机构 B 的工作人员由于业务关系在金融机构 A 内接触到数据,并采用某种方式(如刻录光盘、书写或单凭记忆等)将数据录入到金融机构 B 内;金融机构 A 与金融机构B 签订合同,联合使用对方数据开展业务等等。
当然,数据出域也可以发生在不同行业间,甚至国家之间。在此聚焦到金融机构间跨实体的数据流通,也就是金融机构 A 与金融机构B 之间如何完成数据出域。通过对不同场景进行总结分析,几种常见的数据出域方式为:
- 金融机构 A 直接传递原始数据给 B。并通过外部管理方式(如合同)约束 B 对原始数据的使用。
- 金融机构 A 将数据脱敏后传递给 B。并通过外部管理方式(如合同)约束 B 对脱敏后数据的使用。
- 金融机构 A 采用密码技术(秘密分享、同态加密等)将数据处理后传递给 B。并在管理上保证安全假设的成立,如不串谋、密钥分割保存等。
以上方式体现了“技术+管理”的模式来实现数据出域,目的在于保证金融机构 A 对数据的控制权以及 B 对数据的使用权。但是技术所占比重依次越来越高,在一定程度上降低了管理成本和管理风险。
金融数据出域的意义在于,金融机构拥有大量的数据,数据从金融机构内部流向其他金融机构或者其他行业,才能进一步释放其潜在的价值。但什么“数据”才能出域,以何种方式出域才能满足数据合规的要求,是金融业重点关注的问题。在此从数据出域的本质出发,结合已有的法律法规对数据出域相关问题进行深入研究。
1. 数据出域的概念和意义
(1) 数据出域的定义
(a) “域”
“域”是一个逻辑概念。“域”的本质是数据控制者及其所授权主体对数据可行使的权利的范围,同时数据控制者及其所授权主体在该范围内对数据的合规使用负责。这些权利具体表现为通过设备、应用程序以及其他方式所能够进行的对数据的查看、处理、销毁以及授权等一系列行为。数据控制者可以有一个,也可以有多个。
这些权利当中最根本的是数据控制者对数据使用范围、使用 方式和使用目的的控制,涵盖能够召回、撤销数据的使用,以及对数据的使用情况进行追溯,出现事故时能够取证、追责等。如果数据控制者丧失了对数据的根本权利,就无法对数据进行有效控制,也没有能力保障数据的合规使用。
可以“完全公开”的数据没有控制者,其“域”无限大(或 者说没有“域”),这种数据的使用方式和使用目的不受特定控制者控制,不重点讨论。
(b) 数据出域
数据“出域”,本质是数据控制者对权利进行了让渡,比如允许他人查阅数据、使用数据等。也就是说,因为权利的让渡导致“域”的变化,即数据出域。在数据要素流通背景下,金融机构数据出域的真正难点是,在保留控制数据使用方式和使用目的的前提下让渡数据的使用权。数据“出域”的“源域”和“目的 域”应该就“数据使用方式和使用目的”具有一致的规则和约束,包括法律法规、政策、自律公约、标准等。
金融数据出域除了涉及金融机构,实际上还涉及监管方。从《数据安全法》可以看出,数据控制者承担数据安全主体责任,而主管部门承担监管职责。从监管方的角度看,数据“跨域”相比数据“出域”显得更为贴切。当前数据跨域流通给监管带来新的挑战和难度。
数据“出域”可以发生在个人之间、组织之间、行业之间,甚至国家之间。如个人数据“出域”一般依托身份管理和访问控制实现,出域的目的可能是围绕一项具体事务(如工作任务)进行数据共享,遵从企业内部的规章管理制度。在数据要素发展趋势下,金融机构数据“出域”一般是为了提升金融数据的潜在价值,在遵从行业标准、自律公约、监管约束下让渡数据的使用权。
数据出域的两种特殊情况是:
- 由于转让、并购等方式导致的数据控制者的变化。这种情况下的出域,由新的控制者对数据使用方式和使用目的进行控制。
- 由于将数据公开从而放弃数据控制权。这种情况下数据在“目的域”没有控制者。
以上两种特殊情况在后文中不再详细讨论。在此重点讨论金融机构 A 在保留对自身数据控制能力(对使用方式和使用目的的控制)的前提下如何将数据的使用权让渡给 B,从而实现金融数据要素价值流通。
(2) 数据出域的意义
金融业作为数据密集型和科技驱动型行业,充分发挥其数据要素的经济社会价值,已经成为一项重要而紧迫的课题。金融机构数据“出域”能够释放金融数据的潜在价值,为业务赋能提供有效支撑,提高金融机构竞争力;同时与外部多源数据的融合使用,能够进一步开拓共创共享的数据合作生态,在合法合规、保证数据安全的前提下,推动数据跨机构、跨行业、跨地域自由流动。
数据出域的底线是要确保对数据使用方式和使用目的的控制,减少隐私信息泄露、数据滥用、危害国家数据安全等数据要素利用的负外部性,推动数字经济高质量发展。
2. 数据出域相关法律与标准
目前法律法规对“数据出域”尚未有明确的规定,但可从数据流动的视角,在相关法律法规当中找到相关依据,如数据的“提供”、“转移”、“委托处理”、“交易”、“跨境”等。
关于“数据提供”,《网络安全法》规定了,网络运营者未经被收集者同意不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外;同时还规定了相关人员履职过程中知悉的个人信息、隐私、商业秘密,不得泄露、出售、非法向他人提供。而《数据安全法》则将数据的传输、提供定义为数据处理的一种方式,在保障数据安全的前提下,鼓励数据依法合理有效利用与自由流动。《个人信息保护法》也将传输、提供定义为个人信息处理的方式。规定了个人信息处理者向他人提供其处理的个人信息,合并、分立转移个人信息时,需向个人告知接收方相关信息。在公共场所收集的个人图像、身份特征信息仅能用于维护公共安全,个人单独同意,才可对外公开或向他人提供。
《儿童个人信息网络保护规定》规定网络运营者向第三方转移儿童个人信息,应进行安全评估。为保护个人信息主体的权利,《个人信息保护法》规定在处理个人信息前必须征得个人的同意,并列举了不需取得个人同意的例外情况,包括履行法律义务、履行个人合同、应对突发公共卫生事件、公共舆论监督报道、个人信息已公开等。金融机构开展业务时,参照《银行业金融机构数据治理指引》等行业政策,如需合理使用个人信息,应对访问和拷贝等进行行为监控和权限控制;而在响应监管要求履行反洗钱、反恐怖主义融资等义务时,金融机构也应依据《反洗钱法》等注意保护个人信息。
关于“委托处理”,《数据安全法》规定服务提供者应当依法取得许可。《个人信息保护法》与《儿童个人信息网络保护规定》皆规定了委托处理行为不得超授权范围。其中,《个人信息保护法》规定了当委托合同不生效、无效、被撤销、终止,受托人应当将个人信息返还个人信息处理者或者予以删除、不得保留,同时禁止了未经个人信息处理者同意的转委托行为。《儿童个人信息网络保护规定》规定了网络运营者委托第三方处理儿童个人信息的情况,需对受托方进行安全评估,签署委托协议,明确责任、处理事项、期限、目的等。
关于“数据跨境”,《网络安全法》、《数据安全法》、《个人信息保护法》皆有相关规定。《网络安全法》规定了关键信息基础设施的运营者向境外提供个人信息和重要数据时,需进行安全评估,并规定了相关罚则。《数据安全法》提出国家将建立国家安全审查制度,参与国际交流与合作、国际规则和标准制定,促进数据跨境安全、自由流动;关键信息基础设施的运营者部分则与《网络安全法》进行了衔接。而个人信息处理者向境外提供个人信息,依据《个人信息保护法》,在遵守相关法律法规的前提下,还需履行告知并取得单独同意的义务。此外,《网络数据安全管理条例(征求意见稿)》规定了掌握超过 100 万用户个人信息的数据处理者赴国外上市的或者赴港上市可能影响国家安 全的,应当申报网络安全审查;而《数据出境安全评估办法(征求意见稿)》更是对个人信息、敏感个人信息、重要数据等的数量、范围种类,以及出境的目的、范围、方法等进行的细化要求, 并规定了受理数据出境安全评估的政府部门及其工作办法,这也体现出国家对数据跨境相关制度正逐步完善。
关于“数据交易”,《网络安全法》中数据范围仅针对通过 网络收集的电子数据,而《数据安全法》则包含了电子以及其他形式记录的数据。另外,《数据安全法》对数据交易中介提出了相关要求与相应罚则。《个人信息保护法》也提出不得非法收集或非法买卖个人信息,《电子商务法》更进一步提出了违反个人信息保护相关规定的,将依照《网络安全法》等相关条款进行处罚。
相关的规定在标准当中亦有迹可循。《信息安全技术 大数据服务安全能力要求》《信息技术 大数据 数据分类指南》、《信息安全技术 个人信息安全规范》等相关国家标准中规范了与数据出域相关的若干术语和概念,包含数据分发(数据交换、数据交易、数据共享、数据公开等)、数据跨境或出境、个人信息处理(委托处理、共享、转让、公开披露等)等,主要含义为将原始数据、处理数据、分析结果等形式的数据传递给内部或外部实体的过程。
而《金融数据安全 数据安全分级指南》《金融业数据能力建设指引》《个人金融信息保护技术规范》《金融数据安全 数据生命周期安全规范》等金融行业标准,以及《大数据开放共享 安全管理规范》《数字化改革 公共数据分类分级指南》等地方标准则在国家标准的基础上,为应对数据汇聚、融合计算(衍生数据、分析结果、数据模型等)后可能带来的安全风险,提出了一些细化的要求。
从数据控制者对于权利让渡的角度来看,这些术语、概念的定义和相应的要求条款,其主要集中在通过数据交易等途径直接进行“控制权”的改变,其对象多为明文形式的原始数据或脱敏后数据。而针对包含个人信息的数据,则增加了告知同意要求,但对于去标识化、匿名化等概念,没有进行进一步的分析,给出可用于分离数据“使用权”的技术指南。
值得注意的是,金融行业标准和部分地方标准,已经关注了数据汇聚、融合后可能导致的数据安全级别变化,却没有将物理汇聚和融合计算二者明确区分。对于融合计算,依据对计算结果评估,可能在安全级别降级的同时,达到在“控制权”未发生改变的前提下,只出让了数据的“使用权”的数据共享、流通。
3. 数据出域的难点
数据出域的难点在于合规,具体来说就是采用什么样的方式和手段才能不违反合规要求。当前数据出域面临的合规问题主要包括:
(1) 数据出域合规性缺少共识
目前金融业机构数据出域面临的首要问题是行业监管部门未对数据出域出台明确规定,什么样的数据可以出域、如何出域等未给定明确界限,金融业机构在具体的数据出域场景中存在监管压力,如何在不违反数据合规要求的条件下达成机构间的数据合作成为金融业机构的难题。同时,金融行业在不断探索多方安全计算、联邦学习等隐私计算技术,尝试解决数据出域问题,但相关技术如何合规使用,在没有顶层设计规范的情况下产业界仍然缺少共识,缺乏落地实施路径。
(2) 数据控制权改变导致合规风险加大
通过前文与数据出域相关问题的法律法规分析可知,目前大多数的数据出域方式仍然会导致数据控制权的改变。这样会带来潜在的合规风险,具体表现在:
- 多数据控制主体难免会对数据的使用方式和使用目的存在授权上的歧义。比如 A 将数据共享给 B 后,A、B 双方都对数据具有一定的控制权,但 B 对数据的后续授权使用是否会超出 A 原来的授权本意是不明确的。
- 数据安全事件追责难。传统数据明文的出域方式大多依靠管理手段。这种方式造成的数据安全事故难以追责,因为数据在多个主体间的复制共享导致责任链变长,可能导致法律与责任边界模糊,难以追溯到具体的责任主体。
(3) 多主体共同参与增加新的监管难度
随着数据要素化时代的到来,多主体之间为实现同一应用目标而进行数据融合计算的方式将成为常态。在这种方式下,需要保证多个数据控制者的合法数据权益,保证数据在授权的条件下被使用,即数据的使用方式、使用目的需要征得数据控制者的同意。另外,对算法的安全性、可解释性等也需要有相关要求,保证数据用途被数据控制者所获知。在数据要素流通的生态环境中,算法也可能由独立的主体来提供。因此,多个主体共同参与的特性将对整个数据流通过程的合规监管提出新的挑战。
(4) 数据跨境问题
国际上各国在国家安全、隐私保护、产业能力等多元因素的复杂影响下构建跨境数据流动监管制度。这些制度都有一定的差异性。我国的个人信息保护法、数据安全法等相关法律法规和欧盟的GDPR、美国的“跨境隐私保护规则”(CBPR)在理念上有很大不同,数据跨境流通需要找到彼此之间契合点,如在统一的规则下控制数据的用途用量、进行安全事件的举证追责以及执法等。
4. 隐私计算技术与数据出域
我国金融业经过多年发展,已积累了海量的数据资源,通过数据出域推动多方数据安全融合,构建数据要素市场的基础相对成熟。在这种趋势下,金融机构和科技公司积极探索多方安全计算、联邦学习、可信执行环境等隐私计算技术,旨在通过这些技术方法降低数据出域的合规风险,积极推动数据要素流通。
多方安全计算、联邦学习、可信执行环境等隐私计算技术与传统技术的最大区别在于,这些技术通过“可用不可见”的方式实现数据流通,也就是将数据的使用权剥离出来进行流通,而保证数据的控制权不变。这为数据出域的合规性提供了一条全新的 思路。具体来说:
(a) 多方安全计算技术将数据转化为计算因子,而计算因子的最大特点在于其承载了数据的计算价值(使用价值),并由于其基于密码学生成,安全性具有严格的数学证明,保证其他参与方无法通过计算因子获得数据本身或者数据的控制权。同时,计算因子承载了原始数据所有的计算价值(使用价值),基于计算因子的流通与直接明文方式的交付能够实现相同效果的使用权让渡,也就是能够产生相同的计算结果,而计算结果才是数据流通需求方真正的诉求。
(b) 联邦学习是一种分布式学习技术,数据控制者将数据在本地转化为梯度等中间参数,通过传递这些中间参数让渡使用权。数据的使用价值体现在这些参数的建模能力上。从控制权方面看,这些中间参数可能会泄漏原始数据从而使得控制权发生转移,因此一般会采用额外的技术方法对这些参数进行再次处理,比如采用密码技术转化。从使用权让渡方面看,为达到好的建模效果,一般需要进行多个轮数的“让渡”。
(c) 可信执行环境技术使得数据控制者能够将自己的数据封闭在安全可信的环境内,在该环境内将这些数据的使用权让渡给可信的应用程序(TA)。因此,数据控制者通过这个环境的安全性来保证自己对数据的控制权没有发生转移。
以上三种技术在解决“数据出域”问题上仍然存在一些假设和前提。多方安全计算技术一般存在半诚实模型或恶意模型的假设,即假设参与方是半诚实的或恶意的,以及不诚实参与方不超过一定数量等,从而根据这些假设条件选择合适的协议类型。联邦学习假设中间参数仅承载数据的使用价值部分(建模能力)而不含有控制权成分,所采用的密码技术同样遵从上述类似的安全假设。可信执行环境依赖于对硬件安全的信任,包括硬件供应商及其工程实现过程。这些假设条件都旨在防止数据明文泄露,也就是保证数据控制者始终持有数据的原有控制权。需要其他方法措施(管理或技术)来保证这些安全假设的成立,才能使隐私计算技术行之有效。
除了上述三个主流技术,还有其他的隐私计算技术,对数据出域的影响都不尽相同。因此不能简单地将隐私计算与数据出域的合规性等同起来,需要根据具体应用环境来确定安全需求和安全假设,并选择相应的技术类型。
另外,隐私计算在使用时仍然存在以下问题需要注意:
- 算法安全性。如果输入到隐私计算过程中的一个算法存在逻辑漏洞或恶意目的,很可能会泄露原始数据,导致数据控 制权非预期的转移。
- 数据用途用量。数据用途用量除了体现在一次数据的使用上,还包括同一批数据被不同算法多次使用的情况。虽然每次数据的使用都能保证数据控制权不发生转移,但同一批数据被不同算法多次使用,可能会让一些恶意方通过多次计算结果的关联性来推断原始数据,导致数据控制权非预期的转移。
- 系统整体安全性。即使隐私计算技术已经保证了数据计算过程中的安全性,但是如果其他传统的数据安全技术没有配置到位(如数据传输加密技术),数据泄密事件仍会发生,数据出域时仍难以保证数据的控制权。
以上问题并非隐私计算技术本身的问题,而是将其用于保证金融数据出域合规性时碰到的其他问题。需要引起关注并结合不同的方法手段进行规避。
5. 实现数据安全出域的建议
(1) 多技术手段并举辅助隐私计算,促进金融数据出域合规性
根据前文分析,隐私计算技术的假设条件的成立不是隐私计算技术本身能够保证的,比如多方安全计算假设条件的成立需要各参与方在其声明的行为模式下进行计算。传统的方法是基于管理控制,比如签订线下协议书(合同),对违反合同的行为需要诉之于法律法规。但纯靠管理措施和法律约束,会面临举证难的问题。同时隐私计算技术在应用过程中还面临算法安全性、数据用途用量等问题。以上问题除了通过管理方法解决,也可选择采用技术方法进行辅助。
一种思路是将传统的合同映射为一种电子合约机制。具体地,对算法进行安全性审核后,各数据方对数据的使用进行授权,并将本次数据出域的算法、数据使用授权情况(如数据用量)、各方的角色定位、行为承诺等关键内容体现在隐私计算的电子合约中,各方对合约签名确认,后期严格按照合约进行计算。在整个数据出域计算的过程中对计算合约的达成、执行、结果输出等关键环节进行存证(可结合区块链技术),保证各方的行为可审计、可追溯。这样通过计算合约和存证的技术方法保证了各方能够按照所声明的方式进行数据出域、完成计算过程。计算合约机制适用于多方安全计算、联邦学习、可信执行环境等多种技术类型,有效保证了数据的用途用量可控,维护了数据控制者的权益。
(2) 制定数据出域风险评估标准与实施指南
鉴于目前尚未有关于数据出域相关的制度与标准建设,导致金融机构在出域风险评估方面缺乏实际操作指引,因此亟须推动数据出域风险评估标准与实施指引出台,明确不同场景下数据控制者面临的数据出域风险,评估隐私计算技术,以及其他辅助技 术(如计算合约、存证机制)对数据出域的影响,构建数据出域的合规性度量框架。进一步明确金融机构数据出域管理手段与技 术手段的适配性问题,提高金融机构数据出域过程中的可操作性。
(3) 推动数据出域技术应用的试点工作
以多方安全计算、联邦学习、可信执行环境为代表的隐私计算技术为解决数据出域提供了创新路径,应积极推动隐私计算数据出域应用试点工作,考虑不同技术路线、不同计算架构、不同应用场景、不同类型金融机构数据出域的实际情况,重点考察多个数据控制者与被授权使用者的数据出域的风险链条,以及不同技术路线下数据出域风险的可监管性等。
(4) 以数据出域促进数据流通网建设
数据出域并非仅仅为了两个金融机构间的数据融合利用,其最终目的是促进整个金融行业的数据流通。因此,在数据出域的基础上,下一步将考虑多个金融机构或不同团体间的数据高效、合规流动,构建整个金融行业的数据流通网。
本文摘编自北京金融科技产业联盟发布的《金融数据保护治理白皮书》。欢迎平台、工具、应用及案例入库、发布和召募推广,立即订阅数字推广DigiPacks 套餐,我们的目标是潜在客户,扫码添加老邪企业微信:
加入 AIGC+X 赋能成长营,¥99 起即可开启自主学习、素养测评、社群辅助、刷题考证、资料更新等升值加薪通道。AI 共创导师就在你身边,入群领取指南、预约宣讲。更多内推、热招职位征集中,一起用 AI 工具打败工具人。