智慧城市中的数据流通与隐私计算

来源：隐私计算联盟成员-北京冲量在线科技有限公司

以数据流通为核心的智慧城市建设

随着新型移动化生活方式和数字化技术的发展，人们对于城市的服务能力和服务效率提出了越来越高的要求。如何利用创新技术改造城市服务和治理的相关系统，提升城市资源的运营效率、优化城市管理和服务质量、为城市居民创造更美好的生活，成为了各地政府积极探索的重点方向，由此而诞生的智慧城市理念也逐渐深入人心。

智慧城市自2009年被首次提出以来，经历十余年的发展与实践，目前已经成为驱动我国城市建设的核心战略之一。在德勤2018年发布的《超级智慧城市报告》中显示，全球已经启动或在建的智慧城市已达1000多个，其中中国在建的就超过500个。IDC在2020年发布的《全球智慧城市支出指南》中预测，中国智慧城市市场支出规模将在2020年达到266亿美元，是全球支出第二大的国家，并将在2023年将增长至400亿美元以上。

在我国智慧城市建设规模持续高速增长的同时，智慧城市的建设内容也开始体现出阶段性的变化。

在智慧城市发展初期，其核心工作围绕着城市数字化基础设施的建设展开，包括建设城市基础网络和云计算中心、铺设物联网感知设备、搭建资源信息与业务应用的线上平台等，核心目标是实现政务、交通、治安、产业、生活等城市治理工作的全面数字化。在此期间大量业务由线下转到线上，数据被自动化感知和获取，大量数据在城市的各个业务系统中快速积累。

随着线上信息系统的普及和城市大数据中心的广泛建设，我国的智慧城市发展逐步进入到新的融合创新阶段，围绕着城市智能化而开展数据流通与共享、数据融合与挖掘、业务协作与创新，核心目标是进一步提升城市各个系统的效能、并将城市管理从“经验治理”转向“科学治理”。“数据孤岛”被打破、数据价值被充分挖掘，智慧城市开始真正获得“智能”。

以上海的智慧城市建设为例，上海市政府于2010年正式提出“创建面向未来的智慧城市”战略，全面铺开上海基础信息网络建设，并与中国电信建立战略合作关系，就“加快基础设施建设、提升亚太信息通信枢纽能级”，“汇聚产业创新基地、发挥产业引领效应”，“加快行业智慧应用部署、提升城市运行效率”等三方面展开深度合作，推进上海智慧城市建设与信息化水平。

2010—2018年上海信息化基础设施基本情况，数据来源《2019年上海统计年鉴》

在2010年至2020年的十年间，上海先后制定出台《上海市推进智慧城市建设三年行动计划（2011-2013年）》、《上海市推进智慧城市建设三年行动计划（2014-2016年）》、《上海市推进智慧城市建设“十三五”规划》、《关于进一步加快智慧城市建设的若干意见》等政策文件，逐步将上海智慧城市建设从铺设信息高速公路的1.0阶段，到单一功能应用系统规模建设的2.0阶段，再到推动应用融合创新的3.0阶段。在《2020联合国电子政务调查报告》中，上海市在“地方在线服务指数”排名中名列全球各大城市第九位，上海市“一网通办”还在报告中被作为经典案例加以介绍。

2016年10月，习近平总书记在政治局集体学习中强调，以推行新型智慧城市建设为抓手，以数据集中和共享为途径，建设全国一体化的国家大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。

可以看到，无论是从理论研究、实践验证还是政策引导等方面，都明确表现出数据流通与业务融合已经成为我国现阶段智慧城市建设最为核心的要素。

智慧城市中数据流通面临的挑战

智慧城市建设带来了大规模的数据集中，包括居民数据、产业数据、公共信息数据等等，其中不乏大量的私密数据。在智慧安防、移动支付、电子政务等逐步改善居民生活方式的同时，个人隐私数据、政务和金融机密数据遭遇信息泄露和滥用的风险也随之上升。要想通过数据流通与融合充分推动智慧城市的业务创新，信息保护就成为了需要首要解决的问题。从某种意义上说，智慧城市架构中的信息安全强度，决定了智慧城市可以发展达到的高度。

通过多个智慧政务和智慧产业项目的实践验证，我们发现智慧城市在信息安全领域所面临的挑战主要体现在以下四个方面：

第一：大量数据集中于云平台带来的攻击防护的挑战

随着智慧城市大数据中心的建设，大量数据集中到了云平台中，其中就包括众多的隐私数据与机密数据。虽然智慧城市通常都会搭建自己的私有云，但是由于智慧城市中各类应用的复杂性和不可避免的公网访问需求，仍然存在大量的手段可以对云平台发起攻击。因此如何在云平台中为隐私数据的处理提供一个安全、可信的执行环境，是智慧城市中数据流通面临的第一个挑战。

第二：跨机构的信息查询带来的隐私信息保护的挑战

在智慧城市中，许多业务的处理涉及到多个政府机构或企业之间的信息流转，为了实现业务流程的简洁与高效，处理居民或企业请求的平台通常需要向多个数据提供方发起信息查询的请求。在这个交互过程中，查询方所提供的查询关键字、用户三要素信息、查询产生的结果数据等均可能被数据提供方或者平台方所沉淀和保存，从而带来隐私信息泄露的风险。如何保障查询过程对平台方的黑盒性和对数据提供方的混淆性，是智慧城市中数据流通面临的第二个挑战。

第三：多方数据联合分析挖掘带来的原始数据防泄露的挑战

数据的汇聚和查询仅仅是智慧城市建设的第一步，进一步对数据进行挖掘和分析才是让数据能够赋能城市“智能化”的重点。而数据的挖掘和分析在许多场景中都无法通过单一机构提供的数据完成，比如联合银行和税务数据进行贷款风险评估、联合公安和交通数据进行城市安全防控等。多方数据联合分析能够充分挖掘出数据的价值，但是也意味着各方需要提供大量的原始数据用于得出最终结果，如何在这个过程中确保原始数据不会泄露，这是智慧城市中数据流通面临的第三个挑战。

第四：数据协作与共享过程中保障各方可信与公平的挑战

智慧城市的建设需要大量的企业和民众作为参与方，多元化的架构为智慧城市提供了丰富的生态，也让各方之间的信任变更更加关键。在数据流通与协作中，如果任意一方提供不完整、被篡改甚至伪造的数据，都会对最终结果产生致命的影响，而数据的处理和使用逻辑如果被随意修改的话，也有可能造成数据的滥用。因此在整体架构中保障数据和算法可度量、可验证、可追溯，保护各方的公平权益，是智慧城市中数据流通面临的第四个挑战。

面对以上的诸多挑战，除了政府方面在积极推动各项数据安全法律规范的落地以外，数据流通与隐私计算领域的服务商也在从技术的角度尝试解决这些问题，并且与具备智慧城市行业经验的大数据服务商进行紧密合作。北京冲量在线科技有限公司基于可信执行环境、多方安全计算、联邦机器学习、区块链等技术推出了智慧城市数据流通平台，并融合相关合作伙伴在治安、产业、政务等细分领域的实践经验，共同探索隐私计算技术如何在智慧城市的建设中发挥价值，助力城市大数据的高效治理与增值。

隐私计算技术概要介绍

从上文的分析中我们不难发现，数据作为一种生产要素，唯有流通才能充分发挥其价值，然而数据的易复制性和可篡改性又决定了数据的流通将会带来很大的安全和隐私风险。在传统观点中，数据安全和隐私保护是一种“被动”行为，即企业专注于建设自身的数据安全体系，无法主动干预也通常很难论证另一方系统的数据安全级别，一旦发生数据安全事故则只能通过法律手段进行事后追责。

隐私计算的出现改变了这种状况，通过技术手段为数据协作的各方提供一个安全的数据流通平台，确保数据在协作过程中“可用不可见”，即各方只能获取数据计算的结果而无法获取原始数据，并且这种安全特性能够通过技术手段进行论证。

隐私计算实际上包含了多种不同的技术路线，其中最主流的分别是基于芯片的可信执行环境TEE、基于密码学的安全多方计算MPC、源自人工智能技术的联邦机器学习。

可信执行环境 Trusted Execution Environment（TEE）

可信执行环境是数据计算平台上由软硬件方法构建的一个安全区域，可保证在安全区域内部加载的代码和数据在机密性和完整性方面得到保护。

以基于Intel SGX的TEE技术为例，可信执行环境中的代码和数据均运行在内存中隔离的安全区域，从硬件上确保该内存区域无法被其它区域中的代码寻址，因此其它区域的代码即便获得了操作系统级别的权限也无法窃取安全区域中的数据。安全区域内的数据只能通过指定的接口函数进入和离开，在需要持久化存储时会加密写入磁盘中，且密钥仅在同一台物理设备中由相同应用生成的安全区域内才能生效，从而确保了数据的安全性和完整性。

除了SGX以外，还有很多其它的TEE技术正处于蓬勃发展阶段，比如：ARM的TrustZone技术、基于国产化硬件的ZX-TCT技术等，冲量在线数据互联平台在进行架构设计和开发时已经充分考虑了与这些不同技术的兼容，能够灵活进行适配。

安全多方计算 Secure Multi-Party Computation（MPC或SMPC）

安全多方计算由我国目前唯一图灵奖获得者姚期智院士提出，在没有可信第三方的前提下，各个参与方既不需要暴露自己的原始数据，又可以联合各方的数据来执行特定的运算以达到预期效果。MPC最典型的案例即百万富翁问题：在没有第三方的情况下，两个百万富翁如何不泄露自己的真实财产状况来比较谁更有钱。

安全多方计算的实现可以基于多种密码学算法，如混淆电路、秘密分享、同态加密等。通常进行安全多方计算需要对数据进行加密或者对算法进行转换，以确保运算过程的完全黑盒，而运算结果又可以被解密输出并且可读。

联邦机器学习

机器学习技术在各个领域中的运营已经十分广泛，本质是通过一个参数可变的算法，去拟合现实生活中可能存在的某种数学规律。而机器学习的效果好坏，很大程度上取决于训练数据的质量和密度。

联邦机器学习则是对机器学习技术的拓展，能够在各方原始数据不离开本地的情况下，完成一个多方共同参与的模型训练，从而有效帮助多个机构在满足隐私数据保护的前提下解决模型训练数据不足的问题。联邦机器学习技术通常需要一个协调方，各个数据提供方在本地训练模型的部分参数，然后将得到的参数和梯度信息提交给协调方，再由协调方进行聚合与调整。

以上三种主流的隐私计算技术各有其适用的场景：TEE技术具备更好的性能和算法适用性，但是对硬件有一定依赖；MPC技术不依赖硬件且具备较高的安全性，但是仅支持一些相对简单的运算逻辑；联邦机器学习技术则可以解决复杂的算法建模问题，但是性能存在一定瓶颈。

冲量在线认为在实际应用中应将三种技术路线巧妙结合起来，以基于TEE节点的隐私计算网络作为基础，灵活运用MPC和联邦机器学习技术作为补充，同时引入区块链技术让数据协作具备去中心化（抗拜占庭）共识能力和不可篡改的存证能力，从而应对智慧城市中对数据隐私保护的各类复杂需求。

隐私计算在智慧城市中的典型应用场景

前文中阐述了智慧城市数据流通中面临的诸多挑战，也介绍了多种不同的隐私计算技术。结合智慧城市数据流通的痛点与隐私计算的技术特征，我们不难发现隐私计算在智慧城市中有着广泛的应用市场，凡是具备数据量大、数据流动频繁、数据隐私性强这三大特征的场景，都可以发挥隐私计算的优势。

治安大数据的双向隐私保护

城市安防系统在智慧城市中起到了重要的基石作用，通过对城市路面、街道、楼宇、广场、商圈等重要场所进行实时感知，掌握城市中的高危人员和高危车辆的活动情况，再通过对大数据的分析和挖掘，实现公共安全事件的有效预测和防范，并在处理公共安全事件时提供精细化的数据进行决策辅助，提升城市管理部门的应对能力。

冲量在线在实践中发现，城市治安大数据往往具备以下两个典型特征：

1. 价值密度极低：一个园区中一天内通过各种设备采集到的视频和图像数据通常就可以达到GB甚至TB级别，而其中有价值的数据可能仅仅只是几秒钟。而要通过数据还原一个居民的行动轨迹或者一个公共安全事件的发生过程，往往需要跨机构跨地域汇聚大量数据进行分析挖掘。

2. 数据隐私性强：治安数据直接与每一个城市居民的生活行动轨迹相关联，数据详细且准确。不仅这些隐私数据存在被窃取的风险，而且对于这些数据的查询行为本身也可能会泄露隐私信息，比如管理机构对于嫌疑人的相关数据查询，如果查询请求被第三方获取，也可能泄露关键信息。

面对这样的现状，冲量在线与合作伙伴联合实践了可信执行环境（TEE）与不经意传输技术（OT）在治安大数据平台中的应用。数据采集时，通过在TEE中完成各方数据的汇聚、预处理和分析运算，将原始数据加密归档，并将结构化数据输出至安全的内网数据库当中，从而实现数据传输与加工过程的黑盒。在使用数据时，通过OT进行查询请求的保护，无论时居民自己、管理机构还是得到授权的相关机构，在查询隐私数据时其查询请求都会被OT混淆，从而确保查询者可以获取到正确的数据，而数据提供方却方无法确定查询者输入的具体信息。

产业大数据的融合与挖掘

产业大数据的分析与挖掘是智慧城市中优化产业资源调配、加速产业融合、构建智慧产业链的重要基础。比如说联合税务、工商、银行的数据进行企业金融风险评估，从而实现精准的政府财政扶持，联合园区、楼宇、企业的数据进行居民消费需求分析，从而制定更加合理的建设和招商规划等。

在与政府负责产业大数据治理机构的项目协作中，冲量在线发现，由于产业大数据的融合与挖掘依赖众多企业提供数据，而这些数据往往涉及到企业的贷款、税务、营收等商业机密，因此如何建立一个政府与企业间互信的数据互联网络就成为了推进产业数据融合亟需解决的问题。

为了应对这一问题，冲量在线对联盟链技术、可信执行环境技术和联邦机器学习技术进行了融合与实践，为政府产业大数据平台构建了分布式的隐私计算与机器学习网络。其中政府大数据部门作为数据协作管理方与联盟链的运维方，各个企业以数据需求方或数据拥有方的身份加入联盟链，并将算法的一致性度量值和数据指纹信息加密后记录到链上。当需求方提出数据分析或建模请求时，由管理方进行算法的一致性校验，并由提供数据的拥有方进行任务审核。然后任务被调度到由可信执行环境构成的隐私计算集群中，数据从本地加密传输至隐私计算环境，运算结束后将分析结果或建模得到的参数输出，原始数据则在隐私计算环境中就地销毁。

除了以上提到的两个典型场景，“一网通办”中的数据流通与协作、融合数据推进的交通治理、市政管理中的数据化决策等均是冲量在线在智慧城市中探索的重点方向，本文因篇幅限制就不再展开论述。

结语

本文基于冲量在线对于隐私计算技术的探索与实践，结合智慧城市领域大数据治理的相关经验，从智慧城市的发展历程、智慧城市数据流通面临的挑战、隐私计算及其在智慧城市中的应用场景等角度阐述了智慧城市、数据流通、隐私计算这三者间紧密的关联。在本文末，也再次强调这一被反复重申的观点：数据流通是智慧城市建设的核心要素，而隐私计算是数据流通的重要基石。建设基于隐私计算的数据流通与互联平台，将会是智慧城市发展过程中的又一关键趋势，也将助力未来的城市在治安、产业、民生、交通等多方面为居民提供更加便捷、更加智能的服务。

参考资料

《超级智慧城市报告》德勤

《全球智慧城市支出指南》IDC

《2019年上海统计年鉴》上海市统计局

《2020联合国电子政务调查报告》联合国

作者简介

周岳骞：北京冲量在线科技有限公司 资深产品架构师，负责隐私计算在智慧城市、金融、医疗等领域的实践研究和解决方案建设。

北京冲量在线科技有限公司

冲量在线致力于促进数据生产要素在社会间的互联互通，构建可信、安全、隐私、公平、高效的“数据互链网”。通过将隐私计算、区块链、人工智能等多种技术创新融合，支持金融、政务、运营商、医疗等领域的客户与多个外部机构进行安全便捷的数据流通与生态协作。

声明：本文来自隐私计算联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。