CNCC论坛分享 | 数据合规与治理：如何从皇帝的新衣到金钟罩铁布衫？

数据是新时代重要的生产要素，是国家基础性战略资源。数据安全保障不力将对国家政治和经济造成混乱和不稳定。人们在享受大数据带来的便利同时，也面临着严重的隐私泄漏和数据安全问题。数据合规与治理受到党政军界、学界和业界的广泛关注与讨论。为此，国家和各部委相继出台了若干网络空间安全治理法律法规，也向学界和业界征集和推荐了一些数据安全处理的关键技术，但离彻底解决用户隐私和数据安全问题还相距甚远。

2023年10月28日下午，CNCC|数据合规与治理：如何从皇帝的新衣到金钟罩铁布衫论坛在沈阳新世界博览馆举办,由CCF YOCSEF青岛学术委员会承办，由山东大学、建投数据科技（山东）有限公司协办，论坛紧紧围绕CNCC2023主题“发展数字基础设施，支撑数字中国建设”进行。本论坛结合关注数据如何使用和控制的“隐私保护技术”和关注保护数据如何实现保密性、完整性和可用性的“数据安全技术”，探讨我国在数据合规与治理综合背景下，如何实现数据从盲目“裸奔”到穿上刀枪不入的金钟罩铁布衫？

本次论坛由CCF YOCSEF青岛AC委员、山东大学副研究员、博士生导师李增鹏担任论坛主席。由CCF YOCSEF青岛AC委员、山东建投科技研发负责人杜文彬担任共同主席。

 图1 论坛主席李增鹏、杜文彬

在报告分享阶段，首先由陕西师范大学计算机科学学院二级教授、博士生导师杨波带来的《区块链中的隐私保护》。他分享了区块链和密码技术，介绍了密码货币出现的背景历史，以密码货币的不可重复支付、找零钱问题、支付的不可跟踪性和匿名性为目标，以零币(zerocoin)、零钞(zerocash)为例，介绍区块链中隐私保护的方法。通过加强隐私保护的意识和知识，我们可以共同努力确保数字时代的个人隐私得到充分尊重和保护。

 图2 杨波演讲实况

来自国家信息中心外网办安全管理处处长罗海宁作了题为《构建数字时代数据安全三向防护机制》的报告。他表示，数据是数字化时代的基础，数据正成为核心要素，驱动社会转型发展，我们需要以密码技术为基础构建数据安全“三向”防护机制，即数据治理向“管理机制”，数据保护向“技术机制”，数网防护向“数据密码设施一体化机制”。数据安全是数字时代面临的重要议题，对于个人和企业而言都至关重要。通过构建全面的安全防护机制，我们可以共同努力确保数字时代的数据安全和个人隐私得到有效保护。

 图3 罗海宁演讲实况

南开大学教授，博士生导师，南开大学密码系主任，教育部数据与智能系统安全重点实验室副主任汪定，作了《口令密钥安全》的报告。他分享了口令在密码学中的重要性，并强调了口令认证在当前时代的不可替代性。该报告基于大量实用数据，探讨了口令的生成方式，包括基于知识、硬件、生物特征等。同时，该报告揭示了当前流行口令的普遍问题，如包含个人信息、高重用率等。本报告从用户口令行为、口令安全性、网站口令管理策略实践三个方面介绍口令密钥的最新研究进展，指出建立可持续发展的口令密钥生态的重要性，为用户和网站进行安全可用的口令管理实践提供了参考。

 图4 汪定演讲实况

浙江大学计算机科学与技术学院/网络空间安全学院“百人计划”研究员、博士生导师张秉晟，带来了《隐私函数评估》的报告。他分享了安全多方计算能够解决的问题以及不同的实现方式。报告中介绍了安全多方计算的狭义和广义概念以及隐私函数评估与传统多方计算的比较。隐私函数评估通过保证算法内容不泄漏，提供了更高的隐私保护。此外，介绍了一种高效的4方分布式ORAM方案。

 图5 张秉晟演讲实况

哈尔滨工程大学教授、电子政务建模仿真国家工程实验室副主任王小芳，报告的题目是《基于自组织区块链的生态级数据治理体系》。她围绕“业务建模+装备定制”的生态级数据治理服务，从理念方法、服务模式、技术体系等多个角度，面向多主体、多业务、多模态、多资源交织的复杂场景下如何开展生态级数据协同治理进行了分享交流。通过生态级数据治理，推动全过程的数据驱动与量化绩效辅佐数字化生态的良性发展，形成“以需求为牵引、以数据为驱动、以应用为执行”的数字生态新格局。

图6 程雪蕾演讲实况

论坛最后的panel环节，在场的思辨嘉宾以及场内的观众就数据合规与治理的三个议题展开了热烈的讨论。第一个议题为：“如何定义隐私？如何定义隐私保护？怎么把握隐私与便利的平衡？”针对该问题，罗海宁罗处认为，在隐私计算中，除了个人视角的主体之外，对于公共数据的激活也是需要考虑的。在处理公共数据时，需要明确区分所属权、持有权和加工处理权。汪定教授认为，个人信息的隐私范围目前尚未有明确的界定，因此确切指定哪些数据属于隐私是困难的。张秉晟研究员认为，在隐私保护中，最小化原则和透明度原则是非常重要的准则。随着技术的不断变化，对于隐私数据的划分也在发生变化。新兴技术如人工智能、大数据分析等提供了更多的数据收集和处理方式，因此需要不断审视和界定隐私的范围。

 图7 思辨嘉宾发言

第二个议题为：“网络空间安全治理下，安全技术如何结合法律法规进一步促进数据安全与合规？”程雪蕾认为，在数据流通过程中，涉及到主体、对象、环境和活动四个层面。由于数据量庞大，对数据进行分级分类是必要的。苟桂甲副教授认为，数据和数据法规的分类和分级是确保数据流通和隐私保护的重要考虑因素。然而，过于行政化的法规可能对数据流通产生不利影响。张翰林副教授认为，技术和法律之间存在着密切的关系。法律在一定程度上为技术提供了边界和底线，规定了合法和非法行为的范围和限制。法律的出台是促进安全技术发展的重要支撑。

第三个议题为：“新型数据安全保护技术标准化路在何方，如何赋能企业场景应用？”熊婷认为，隐私标准在当前仍然存在进步的空间, 随着技术的不断发展和政策的演变，隐私保护的要求和实践也在不断变化。考虑到数据具有行业属性，制定符合实际应用的隐私标准需要根据不同行业的特点和需求进行定制。李心亮认为，青岛市建立的公共数据运营平台是一个具有重要意义的举措。在金融领域，当前面临着强监管和强合规的要求，国家、地方和企业都明确规定了金融数据的明确标准，以确保数据的安全、可靠和合规性。数据治理平台具有融合组织等功能，标准+工具=治理流程，该方案可移植在其他场景。

图8 思辨嘉宾发言

本次论坛吸引了来自全国各大高校的众多研究人员和学者，现场讨论氛围热烈，大家各抒己见，共同探讨数据合规与治理的重要问题和发展趋势。本次论坛圆满结束，CCF YOCSEF青岛主席于彦伟致结束词，感谢所有的引导嘉宾和思辨嘉宾，以及感谢所有分享观点的同仁们。

 图9 全体合影