博觀首發 | 宋博:企業如何構建數據安全治理原則

作者 | 宋博 清華大學戰略與安全研究中心助理研究員

一、數據資源是中國在全球合作中的新型比較優勢

隨著各類智能設備與系統開始大規模收集個人數據信息，數據資源已成為影響各國發展重要因素。據諮詢公司CB Insights發布的分析報告顯示，以數據和AI驅動的智能化發展正在影響數據科學，醫療科技，交通能源、零售、社交網絡、教育培訓、遊戲、智能建築等多個領域。大公司需要具有數據優勢，才能鞏固自己的行業地位。

在涉及人工智慧產業鏈的算力、數據和算法三大關鍵節點中，美國掌握較強的算力能力(例如美國英偉達公司的GPU設計製造能力)，世界上其他國家則主要擁有較好的算法能力，而中國掌握較強的數據資源。例如，微信發布的《2019年微信數據報告》顯示，2019年微信的月活躍帳戶數超過了11.5億。而在上海，當地已建成覆蓋2400萬常住人口、200多萬家企業以及涵蓋全市域的人口、法人、空間地理基礎資料庫;醫聯數據共享系統擁有250億條數據，交通數據流量每日新增30GB;大數據交易中心日均數據交易量3000萬條，佔全國50%左右。

人工智慧當前面臨三類棘手問題——人工智慧的決策可靠性不高、危險判斷標準不夠清晰、數據及公民身份信息容易洩露。但是其核心問題其實主要是數據安全的問題，未來的難點在於如何推動人工智慧技術發展與數據安全治理的有效協調。人工智慧的技術發展正在從「運算比人強」走向「決策比人強」。如果企業在人工智慧時代下無法保護人們的隱私，就會失去客戶。

2019年一款名為「ZAO」的換臉應用軟體上架銷售。這款軟體採用了深度偽造技術，一夜爆紅，但外界開始質疑「ZAO」存在數據洩露風險，後來該軟體被政府部門要求組織開展自查整改。2016年的「Facebook隱私洩露醜聞」。英國數據分析公司劍橋分析擅自收集了8700餘萬Facebook用戶的數據，而且還在2016年美國大選期間，利用人工智慧技術定向投放政治廣告，影響選民的意識形態和政治觀點。這起事件充分反映了人工智慧應用場景下的數據洩露與安全風險。

二、數據安全在國際合作中面臨新的挑戰

從技術角度看，人工智慧引發的大數據建設是一把雙刃劍，一方面大數據的應用引發了很多安全擔憂，另一方面這些應用也推動了物理隔離、區塊鏈和關鍵技術保護等數據安全技術的發展。

從治理角度看，人工智慧帶來的國際治理難題是如何在保護隱私的前提下開展數據合作。以人工智慧在醫療領域為例來看，外國藥企需要通過在中國開展以數據比較為目標的實驗來對其藥物研發進行極為關鍵的修正。而國內醫療企業在引進國外的醫療人工智慧技術方面也需要解決數據隱私的管理挑戰。

從國家主權的角度來看，國家之間出於競爭的擔憂正在成為數據安全管制的主要因素。例如，中美互相都有限制數據合作的舉措和法律出臺，增加了中美人工智慧企業合作的難度。例如，美國政府於2018年就專門出臺了法律，禁止中國購買生命科學領域的美國公司10%以上的股權。而中國目前的法律也禁止外資控股醫療檢測類企業。在新冠疫情肆虐的當下，這種數據隔閡會給國際衛生合作帶來更大的阻礙。

三、企業如何構建應對國際合作的數據安全治理原則

中國企業在推動數據安全治理方面開始發揮著重要作用。例如，百度提出了安全可控是最高原則。騰訊提出應加強隱私保護，防止數據濫用，個人數據的收集與使用應符合規範與法律制度。筆者認為企業在數據安全治理方面還可以努力做到以下四個方面的工作：

(一)區分數據的不同屬性是構建數據保護國際治理規範的核心問題。針對一國警察等敏感部門掌握的數據，需要依據物理隔離的原則，設計單獨的系統予以保護。針對一國商業公司等民用部門掌握的數據，需要依據規避隱私的原則，設置專用防火牆予以保護。在數據領域，需要針對不同的權利義務來設置不同的規範。數據保護應該分為三類開展研究，即：數據採集權、數據所有權和數據使用權。這其中，數據所有權的確權問題最為複雜，而數據採集權和數據使用權是可以通過建立共同的規範予以良性治理。人工智慧的技術發展有助於企業搭建數據保護的對抗訓練平臺，因此技術的發展不一定必然帶來更多的安全隱患，但需要建立嚴格的數據管理體系。

(二)建立「用技術解決技術帶來的問題」的原則。要鼓勵企業在技術開發方面要建立「審慎自律」的原則，要建立負責任、可信任的技術開發規範和體系。在技術應用方面要建立「慎用而不濫用」的規範，要豐富技術中性原則的內涵，針對平臺側和應用側的不同技術和商業環境制定不同的治理規範。在與政府的合作中推動人工智慧技術應用「不作惡」原則的確立，實現監管對應用的全面覆蓋。在技術應用場景選擇上，要確立「科技向善」的原則，拓展大數據在失蹤人口和能源管理等方面的應用空間。在技術走出去的環節，要強調「法律底線思維」，避免一些中國適用的技術到國外背負侵犯隱私的惡名。在工程開發環節，要強調對弱勢群體的關愛與負責，避免出現類似沉迷遊戲的現象。

(三)不同的企業必須針對自己的情況塑造合適的「技術中性」倫理觀。企業一定是數據安全的治理主體，但不同的企業具有不同的責任類型，主要區別在於是作為技術型企業還是平臺型企業。一般來說，平臺型企業應比技術型企業承擔更多的社會責任，因為其掌握更多的數據資源。技術型企業要更加注意技術發展路線上的倫理責任，平臺型企業既要遵循倫理責任，更要遵循技術應用的社會及法律責任。不同企業所處的發展階段不同，承擔的責任類型也不一樣。有的企業規模龐大，技術儲備完善，其與國際社會的問題，更多地反映了中國這個經濟體與世界的矛盾。有些企業佔據細分行業的龍頭地位，但在技術路線上可能屬於技術初創階段的公司，無法承擔更大的責任。

(四)企業要多參與數據安全的國際討論。中國企業要緊緊抓住中國在當前人工智慧主導的新一代科技革命中居於領導地區的難得契機，推動有利於自身發展和合作的國際治理規範及早落地。這種治理規範應該努力實現數據安全規則的中性化。一些龍頭企業和平臺類企業應該牽頭制定部分的安全標準，努力建設中國版本的GDPR(歐盟《通用數據保護條例》)，並在嚴緊程度上適應中國產業國情，釐清數據安全對中國與對世界利弊的不同之處。例如，人臉識別技術已經在中國國內取得了很高的應用普及率，而在美國這項技術雖然應用情況不理想，但美國公司擁有更多的原創性技術，在數據安全治理中應避免相關的管制規則可能對技術發展路線產生扼殺或阻礙。企業還應該努力開發新的技術應對數據安全出現的新問題，例如人臉識別技術應用後，人臉破解也成為數據安全的挑戰，企業需要發展活體驗證技術來破解人臉形象可能被盜用的難題。

關注博觀智庫(ID：BOGUAN_Insight)，了解更多數字政府和大數據行業前沿信息

研究合作：hqs-boguan@chinaunicom.cn

博觀智庫由中國聯通發起成立，以「數據驅動治理，加速政府數位化轉型;釋放數據價值，描繪數字經濟新藍圖」為宗旨，聚焦數字政府和智慧城市領域的政策、技術和觀點，致力於服務政府和城市數位化轉型，推動社會治理現代化，創新公共價值。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

責任編輯：kj005

文章投訴熱線:156 0057 2229 投訴郵箱:29132 36@qq.com