年末,苹果公司与麻省理工学院的研究人员联合发布了一份最新的调查报告。报告显示,2023年的个人信息泄露事件创下了新高。今年1月至9月,美国发生的个人信息泄露事件已经比2022年全年多了20%。全球范围内,从2013年到2022年,信息泄露事件增长了3倍,过去两年间有26亿条个人信息遭泄露。
而报告也指出,信息泄露事件创高的原因主要是黑客利用勒索软件集中攻击各大企业组织。
十分棘手的是,在AI产业爆发之后,数据更加高速地流转,涉及多个产业链,这给数据安全的管理增加了难度。2023年6月,OpenAI遭匿名人士集体诉讼,其被认为窃取大量个人信息以训练人工智能模型。
针对这些数据流通过程中的安全问题,“跨域管控”是学界和企业探索出的最新解法。围绕这一概念,华东政法大学数据法律研究中心、蚂蚁集团等单位联合发布的《数据跨域管控白皮书》提出这一概念,也首次提出了数据流通的实操方案。
所谓“跨域管控”,强调的就是数据持有者的控制权。从定义上来说,当数据离开持有者的归属地后,持有者仍然可以有效控制流转过程,避免数据被窃取、被不正当地使用。如果这种管控得以实现,拥有数据的个人和企业就能一定程度上避免数据的泄露和滥用。
事实上,数据流通已是老生常谈的话题,但上述方案的提出背景是,去年行业里诞生了一个具有里程碑意义的事件:于一年前推出的“数据二十条”搁置了数据权属之争,这是各行各业继续探索的基础。
2022年12月19日,中共中央、国务院对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》(即“数据二十条”),明确提出建立公共数据、个人数据、企业数据三类数据分类分级确权授权制度,并提出数据资源持有权、数据加工使用权、数据产品经营权等“三权分置”的数据产权制度。
之所以不能用单纯的产权概念分析数据流通,是因为数据的特殊性。华东政法大学教授高富平是白皮书联合项目组的负责人,他在接受界面新闻等媒体采访时解释称,在传统产权制度中,一份“水”在交易之后就属于对方,但数据不行,这份“水”需要明确用途——只能用于灌溉,或者只能灌溉这片田,不能用于另一片田。例如在数据市场中,用于反诈的数据就不能用于营销。
不再强调所有权之后,数据流通就可以“对症下药”。
关于物流数据的案例或可以帮助行业理解“跨域管控”的必要性。今年,推荐性国家标准《快递电子运单》实施,推进物流信息的加密处理,正是为了保护隐私泄露。在快递行业,地址等信息经过不同的人、企业和地点,本来只用于购物收货的信息,很容易流转到“不法之地”。
蚂蚁集团副总裁、首席技术安全官韦韬指出,数据要素流通中的一个核心问题是“利益不一致”。责任主体不清、利益诉求不一致、能力参差不齐、责任链路难追溯等问题都是影响信任的风险,因此需要全新的技术要求标准与技术方法体系,把使用权跨域管控作为核心技术要求明确出来。
但提出数据“跨域管控”仅仅是个开始。填补理念和标准的空白后,推进数据安全流通还需要多个层面的落实。