目前,隐私科技被广泛应用于金融、政务、医疗等重点行业,随着市场应用的增长,隐私科技产业发展迈入深度实践阶段。与此同时,由数据源、数据使用方和数据服务方构成的隐私计算生态,由安全厂商、数据合规与隐私保护服务方构成的数据合规生态,成为隐私科技产业生态的核心支撑。
隐私科技的产业及应用发展是各企业、机构充分践行国家数据战略,满足监管与数据共享的结果。由于隐私监管工作在全球范围内的扩展,越来越多的组织看到开始隐私工作的必要性。
当前,全球范围内的主要隐私科技供应商处于深耕行业、稳固发展阶段,该领域头部企业角逐趋于明朗。聚焦国内市场,隐私科技产业伴随一批数据安全法律法规的颁布、生效迎来快速发展期,既涌现了一批隐私科技创新创业企业,同时逐步孵化国内隐私科技领头企业,其中既包括传统网络安全企业借助原有安全基础,在数据安全方面加大投入,孵化新的产品及服务,也有较早入局的隐私科技企业在数据安全、数据合规或隐私计算等方向选择侧重点突破,提供更为成熟的服务体系和产品类型。国内隐私科技供应商处于百花齐放,百舸争流的多元发展阶段,尚未涌现全球及中国头部企业。
从产业分类来看,数据分类分级、数据流通监控、数据风险与隐私影响评估、数据与隐私综合治理是隐私科技产业的热门细分赛道。与此同时,随着安全产品、安全服务向集中式平台汇聚的趋势增强,市场上涌现了更多通用型数据安全与合规平台、隐私计算平台。平台型解决方案通过整合或替换单一功能的数据安全产品,成为支撑企业数据安全与合规常态化运营工作的重要方式。目前主要集中应用在以数据驱动为核心的金融、互联网行业,以及拥有大量数据源和数据流通需求的医疗、政务等领域。此外,隐私科技相关技术的开源生态逐步形成,这也进一步推动合规解决方案的落地与应用。
典型案例 1:运营商行业数据分类分级
随着电信行业的快速发展,新技术、新模式得到广泛运用,用户个人信息的泄露风险和保护难度不断增大。运营商行业相关政策法规相继出台,数据安全方面,《电信网和互联网数据安全通用要求》(YDT 3802-2020)、《基础电信企业数据分类分级方法》 (YDT 3813-2020)相继出台,针对基础电信企业数据分类分级提出了示例,并规范了数据采集、传输、存储、使用、开放共享、销毁等数据处理活动及其相关平台系统应遵循的原则和安全保护要求,同时,明确了对运营商数据安全组织保障、制度建设、规范建立等管理要求以及相关配套技术要求。《2020 年省级基础电信企业网络与信息安全工作考核要点与评分标准》要求包括运营商在内的相关行业按照《2020 年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作,形成评估报告,并针对 2020 年内应组织落实的要点内容,及时进行风险问题整改。
与此同时,工业和信息化部《关于做好 2020 年电信和互联网行业网络数据安全管理工作的通知》也对运营商行业数据安全防护提出了更高、更具体的要求,包括:持续深化行业数据安全专项治理、全面开展数据安全合规性评估、加强行业重要数据和新领域数据安全管理、加快推进数据安全制度标准建设、大力提升数据安全技术保障能力、强化社会监督与宣传培训。
对于运营商来说,需要满足通信行业安全合规政策检测要求,提高自身数据安全防护能力,针对全行业有序实施数据安全治理建设。
(1)运营商行业数据安全痛点
大数据新技术带来客户信息安全挑战。众所周知,大数据平台数据量大、数据类型多样、大数据平台组件设计之初存在高解耦性等,面对大数据环境下,数据的采集、存储、处理、应用、传输等环节均存在更大的风险和威胁。在运营商大数据安全管理层面,存在缺乏客户信息衡量标准,运营商的安全管控系统和安全管理职责不明确等风险,特别是在运营商大数据对外业务合作过程中,数据传输、使用的过程中留存等诸多的安全漏洞。在安全运营层面,也存在着供应链、业务设计、软件开发、权限管理、运维管理、合作方引入、系统退服等安全风险。
数据信息的分类分级较难。数据信息包括客户的信息和企业业务数据信息。客户信息中又涵括了用户身份和鉴权信息、用户数据及服务内容信息、用户服务相关信息等三大类,而在这三类信息中,又包含了身份标识、基本资料、鉴权信息、使用数据、消费信息等诸多不同类型的数据。这就导致在实际工作落地中,运营商往往很难进行全量的识别,致使对这些客户信息进行管理时,无法进行全部监控,因而不能在第一时间发现风险。运营商的业务数据信息中由于内部业务系统复杂,各区、省、市、县业务数据信息存在非常高的业务属性,对比客户信息更加繁杂,而且各业务系统的开发厂商也存在各自的专有标签,这些数据信息存在分散、数据量大、业务属性强,都导致数据分类分级难以推行实施,使敏感信息无法准确定位、定级发现,导致整体的数据信息环境存在安全隐患。
数据大集中导致风险集中爆发。随着近些年来,目标明确、精准打击的高级持续性威胁攻击行为带来越来越大的风险,电信行业受到了越来越多更加隐蔽、更加深度的威胁。目前大数据平台、云计算环境尚处于起步阶段,基于新模式新场景下的数据安全防护手段和措施仍然欠缺,同时由于电信企业大数据环境存在宝贵的海量数据资产,因此更容易成为不法分子的目标,带来数据安全难题。
(2)运营商行业客户信息保护
为了使客户信息得到保护,电信运营商必须要加强对大数据环境下客户信息保护的要求工作,深入探索大数据安全,开展大数据安全保障体系规划,同步推进大数据安全防护手段建设,保障大数据环境下安全可管可控。在治理大数据客户信息安全的过程中,需要从安全策略、安全管理、安全运营、安全技术、合规评测、服务支撑等层面,建立大数据客户信息安全管理总体方针,加强内部和第三方合作管理过程把控,强化数据安全运营和业务安全运营的过程要求,夯实对大数据平台系统的安全技术防护手段,定期开展大数据客户信息安全评估工作,强化大数据客户信息安全治理过程。
- 推动数据分类分级
对于电信运营商企业信息,全面开展对客户敏感信息的识别和分类分级。通过对业务数据的分类分级,实现业务系统的分级安全建设标准,只有这样才能够在大量的客户信息和业务信息中,有效地分析出敏感信息,并科学管理这些信息,打造出安全的数据流转环境。
基础电信企业数据分类方法:参照 GB/T 10113-2003 中的线分类法为基础进行分类。按照业务属性或特征,将基础电信企业数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,同一分支的同层级子类之间构成并列关系, 不同层级子类之间构成隶属关系。
基础电信企业数据分级方法
在数据分类基础上,根据数据重要程度以及泄露后造成的影响和危害程度对基础电信企业数据进行分级。
数据分级流程
确定数据分级对象、确定数据安全受到破坏时造成影响的客体、评定对影响客体的影响程度、确定数据分级对象的安全等级,以此为依据实施安全防护策略。
- 增强数据安全管理
大数据背景下,电信运营商客户信息常常受到数据安全的威胁,想要增强客户信息的安全性,必须要增强数据安全治理体系的建设。
首先,需要继续加强传统网络安全手段的建设,通过数据梳理、数据库安全网关、数据库审计、数据脱敏、数据加密、DLP 防泄密等基础数据安全设备构筑防护能力。其次,针对大数据的特殊环境进行研究,解决虚拟化、大数据共享、非关系型数据库安全等新型问题,作为传统网络防御手段的有效补充。最后,需要遵循国家针对大数据下安全标准, 制定适合本行业科学、合理的标准,为电信和互联网数据安全打下良好基础。
典型案例 2:基于联邦学习的分布式可信医疗精确营销
聚焦医疗行业,某省健康导航平台是运营商省公司联合省卫健委共同打造的省级统一医疗健康服务平台,平台汇集全省 800 多家医院的优质资源,提供预约挂号、排队叫号、报告查询、体检预约、在线药房等服务。目前累计注册用户超 1500 万,累计服务人次超 6000 万,在省内医疗行业形成巨大规模和影响力。面向如此庞大的用户,平台运营方一直在探索互联网运营方式,但传统的推荐营销手段因受数据量限制,效果欠佳。运营商省公司拥有海量用户的属性和行为数据,平台运营方却无法获取运营商数据,从而影响推荐算法的预测效果。因此,急需通过技术手段在保障双方数据隐私的情况下,进行联合模型构建,提升推荐模型的准确性。
(1)场景概述
通过引入联邦学习技术,基于联邦学习模型架构,在保证数据隐私安全的前提下构建跨域建模能力,赋能健康导航业务场景下的精准推荐。联邦学习在多方本地化部署的基础上,服务端、客户端及协调方通过网络互联进行联合建模,实现数据不出库、不共享数据,有效解决数据孤岛问题。联合模型充分利用运营商省公司大数据优势和健康导航平台行业经验,建设健康导航平台APP 用户弹窗问诊功能推荐,以提高 App 推荐的精准性。
模型
(2)技术框架
联邦学习在多方本地化部署的基础上,服务端、客户端及协调方通过网络互联进行联合建模,实现数据不出库、不共享数据,有效解决数据孤岛问题,主要包括:数据准备、特征工程、加密对齐、模型训练、模型推理五个模块。
技术框架
(3)模型具体方案
模型具体方案如下:
训练逻辑:健康导航平台根据业务需求发起训练,然后经协调方和运营商做数据对齐,完成后开始与运营商交换参数并训练模型。具体步骤如下:
具体方案
(4)隐私科技价值
该应用创新性地利用联邦学习分布式架构进行部署和建模,安全匹配、安全统计、安全模型等功能助力参与联合营销的各机构原始和明细数据不出库的前提下进行跨域数据驱动精准营销,同时保障机构数据安全与个人隐私,确保数据应用安全合规。数据经授权后方可进行安全计算,最小化利用,数据调用可追溯审计。基于多方安全计算等隐私保护技术,实现数据可用不可见,解决不同机构之间的数据协同计算过程中的数据安全和隐私保护问题,助力机构安全高效地完成联合营销等跨机构数据合作任务,驱动业务增长。
基于联邦学习和数据加密,该应用实现了运营商及健康导航平台双方数据的“虚拟融合”,大幅提升了推荐模型的准确率,联邦学习模型效果相对自有数据模型效果提升 111% 以上,实现问诊、体检等场景的精准推荐。同时打造“场景冷启动模块” “用户冷启动模块”解决对新增场景的用户群推荐,和新增用户的业务场景推荐等问题,有效提升就医用户满意度。
本文摘编自安永、赛博研究院发布的《2022年金球数据合规与隐私科技发展报告》,全文下载请留意后续。
一条评论