研究：企业如何构建数据安全治理原则

作者 | 宋博 清华大学战略与安全研究中心助理研究员

1数据资源是中国在全球合作中的新型比较优势

随着各类智能设备与系统开始大规模收集个人数据信息，数据资源已成为影响各国发展重要因素。据咨询公司CB Insights发布的分析报告显示，以数据和AI驱动的智能化发展正在影响数据科学，医疗科技，交通能源、零售、社交网络、教育培训、游戏、智能建筑等多个领域。大公司需要具有数据优势，才能巩固自己的行业地位。

在涉及人工智能产业链的算力、数据和算法三大关键节点中，美国掌握较强的算力能力（例如美国英伟达公司的GPU设计制造能力），世界上其他国家则主要拥有较好的算法能力，而中国掌握较强的数据资源。

例如，微信发布的《2019年微信数据报告》显示，2019年微信的月活跃账户数超过了11.5亿。而在上海，当地已建成覆盖2400万常住人口、200多万家企业以及涵盖全市域的人口、法人、空间地理基础数据库；医联数据共享系统拥有250亿条数据，交通数据流量每日新增30GB；大数据交易中心日均数据交易量3000万条，占全国50%左右。

人工智能当前面临三类棘手问题——人工智能的决策可靠性不高、危险判断标准不够清晰、数据及公民身份信息容易泄露。但是其核心问题其实主要是数据安全的问题，未来的难点在于如何推动人工智能技术发展与数据安全治理的有效协调。人工智能的技术发展正在从“运算比人强”走向“决策比人强”。如果企业在人工智能时代下无法保护人们的隐私，就会失去客户。

2019年一款名为“ZAO”的换脸应用软件上架销售。这款软件采用了深度伪造技术，一夜爆红，但外界开始质疑“ZAO”存在数据泄露风险，后来该软件被政府部门要求组织开展自查整改。2016年的“Facebook隐私泄露丑闻”。英国数据分析公司剑桥分析擅自收集了8700余万Facebook用户的数据，而且还在2016年美国大选期间，利用人工智能技术定向投放政治广告，影响选民的意识形态和政治观点。这起事件充分反映了人工智能应用场景下的数据泄露与安全风险。

2数据安全在国际合作中面临新的挑战

从技术角度看，人工智能引发的大数据建设是一把双刃剑，一方面大数据的应用引发了很多安全担忧，另一方面这些应用也推动了物理隔离、区块链和关键技术保护等数据安全技术的发展。

从治理角度看，人工智能带来的国际治理难题是如何在保护隐私的前提下开展数据合作。以人工智能在医疗领域为例来看，外国药企需要通过在中国开展以数据比较为目标的实验来对其药物研发进行极为关键的修正。而国内医疗企业在引进国外的医疗人工智能技术方面也需要解决数据隐私的管理挑战。

从国家主权的角度来看，国家之间出于竞争的担忧正在成为数据安全管制的主要因素。例如，中美互相都有限制数据合作的举措和法律出台，增加了中美人工智能企业合作的难度。例如，美国政府于2018年就专门出台了法律，禁止中国购买生命科学领域的美国公司10%以上的股权。而中国目前的法律也禁止外资控股医疗检测类企业。在新冠疫情肆虐的当下，这种数据隔阂会给国际卫生合作带来更大的阻碍。

3企业如何构建应对国际合作的数据安全治理原则

中国企业在推动数据安全治理方面开始发挥着重要作用。例如，百度提出了安全可控是最高原则。腾讯提出应加强隐私保护，防止数据滥用，个人数据的收集与使用应符合规范与法律制度。笔者认为企业在数据安全治理方面还可以努力做到以下四个方面的工作：

（一）区分数据的不同属性是构建数据保护国际治理规范的核心问题。

针对一国警察等敏感部门掌握的数据，需要依据物理隔离的原则，设计单独的系统予以保护。针对一国商业公司等民用部门掌握的数据，需要依据规避隐私的原则，设置专用防火墙予以保护。在数据领域，需要针对不同的权利义务来设置不同的规范。

数据保护应该分为三类开展研究，即：数据采集权、数据所有权和数据使用权。这其中，数据所有权的确权问题最为复杂，而数据采集权和数据使用权是可以通过建立共同的规范予以良性治理。人工智能的技术发展有助于企业搭建数据保护的对抗训练平台，因此技术的发展不一定必然带来更多的安全隐患，但需要建立严格的数据管理体系。

（二）建立“用技术解决技术带来的问题”的原则。

要鼓励企业在技术开发方面要建立“审慎自律”的原则，要建立负责任、可信任的技术开发规范和体系。在技术应用方面要建立“慎用而不滥用”的规范，要丰富技术中性原则的内涵，针对平台侧和应用侧的不同技术和商业环境制定不同的治理规范。在与政府的合作中推动人工智能技术应用“不作恶”原则的确立，实现监管对应用的全面覆盖。

在技术应用场景选择上，要确立“科技向善”的原则，拓展大数据在失踪人口和能源管理等方面的应用空间。在技术走出去的环节，要强调“法律底线思维”，避免一些中国适用的技术到国外背负侵犯隐私的恶名。在工程开发环节，要强调对弱势群体的关爱与负责，避免出现类似沉迷游戏的现象。

（三）不同的企业必须针对自己的情况塑造合适的“技术中性”伦理观。

企业一定是数据安全的治理主体，但不同的企业具有不同的责任类型，主要区别在于是作为技术型企业还是平台型企业。一般来说，平台型企业应比技术型企业承担更多的社会责任，因为其掌握更多的数据资源。技术型企业要更加注意技术发展路线上的伦理责任，平台型企业既要遵循伦理责任，更要遵循技术应用的社会及法律责任。

不同企业所处的发展阶段不同，承担的责任类型也不一样。有的企业规模庞大，技术储备完善，其与国际社会的问题，更多地反映了中国这个经济体与世界的矛盾。有些企业占据细分行业的龙头地位，但在技术路线上可能属于技术初创阶段的公司，无法承担更大的责任。

（四）企业要多参与数据安全的国际讨论。

中国企业要紧紧抓住中国在当前人工智能主导的新一代科技革命中居于领导地区的难得契机，推动有利于自身发展和合作的国际治理规范及早落地。这种治理规范应该努力实现数据安全规则的中性化。一些龙头企业和平台类企业应该牵头制定部分的安全标准，努力建设中国版本的GDPR（欧盟《通用数据保护条例》），并在严紧程度上适应中国产业国情，厘清数据安全对中国与对世界利弊的不同之处。

例如，人脸识别技术已经在中国国内取得了很高的应用普及率，而在美国这项技术虽然应用情况不理想，但美国公司拥有更多的原创性技术，在数据安全治理中应避免相关的管制规则可能对技术发展路线产生扼杀或阻碍。企业还应该努力开发新的技术应对数据安全出现的新问题，例如人脸识别技术应用后，人脸破解也成为数据安全的挑战，企业需要发展活体验证技术来破解人脸形象可能被盗用的难题。

声明：本文来自博观智库Insight，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。