数据红利时代，隐私计算如何解决数据安全问题？| Founder 100

隐私计算行业正处于

高速发展初期阶段

Founder Park：隐私计算发展到现在，大致经历了哪几个关键阶段呢？

王爽：隐私计算的发展从不同角度来讲，都有一些关键节点。

从应用的角度：锘崴科技团队从 2009 年开始关注数据隐私，当时美国智能电表的应用，引发我们对数据交互过程中产生的隐私风险问题的关注；2011 年到 2014 年间，我们开始尝试搭建国家级医疗健康网络，并应用了隐私计算的相关技术；2014 年到 2016 年，GDPR*等数据隐私法案相继推出。

GDPR：《通用数据保护条例》，又名《通用数据保护规则》，是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范，涉及了欧洲境外的个人数据出口。

随着人工智能的深入发展，越来越多的模型之间的比较，从单纯看模型的建立，转向看所拥有的数据数量，日益发展的多中心数据合作需求，也带来了隐私计算的进一步发展。

从技术的角度：首先是联邦学习技术。2012 年，我们为了满足国家级医疗健康网络搭建过程中的数据隐私保护需求，提出了医疗在线的联邦学习技术；2016 年，恰逢 GDPR 颁布，谷歌把联邦学习技术应用到移动互联网，通过安卓设备的用户输入文字信息，训练一个联邦式模型来解决客户端的问题；2019 年，杨强教授和微众银行一起推出了开源的 FATE 框架，把联邦学习引入到金融领域。

其次是可信执行环境。最早的标准在 2009 年提出，并在 2015 年实现大规模商业化。英特尔发布了全球首款商业化的通用可信执行环境解决方案。在这个基础上，可信执行环境也走入了通用计算，当时我们与英特尔实现了可信执行环境在医疗场景中的第一批合作应用。2016 年初，锘崴科技完成了基于联邦学习加可信执行环境的全球罕见病研究，通过研究美国、英国、新加坡等国家多所医院的数据，可以在病人数据不出境的情况下，实现多中心跨境数据的研究。紧接着百度、蚂蚁、阿里巴巴等都推出了自己的可信执行环境解决方案。

最后是密码学，同态加密的技术路线最早可以追溯到上世纪七八十年代，在 1978 年就基于非对称的 RSA 模式提出了同态加密*的概念，但是真正的全同态加密（在密文下同时能做加法和乘法的运算），是在 2009 年由 Gentry 提出。此后，在同态加密路线上发展出了很多不同的技术。

同态加密：这项技术令人们可以在加密的数据中进行密态下的计算操作，而在整个处理过程中无需对数据进行解密，得出的结果也是密文形态，其中密文下的结果等价于对应的数据在明文下直接计算的结果。

从法律政策的角度：最早与数据隐私相关的就是美国 1974 年推出的《隐私法案》。2018 年，欧盟开始实施 GDPR，把隐私保护的话题推到风口浪尖，同年美国也颁布了 CCPA 法案；2021 年，我国也开始实施《数据安全法》和《个人信息保护法》等相关法案。这些法案都从政策层面推动了全球数据和隐私保护的需求，全民意识也随着这些法案的推出得到提升，并且媒体上也出现很多与数据隐私安全保护相关的报道。

以上的每一个点都是比较关键的，把这些点组成在一起，就使得隐私计算从以前的小众技术发展到了现在被大众知晓的状态，并有先行者已经在使用隐私计算这项技术。

Founder Park：从商业化的角度来看，当前隐私计算的发展处于何种阶段？

王爽：当前隐私计算处于高速发展初期阶段，未来会经历数据网络的搭建、开放应用生态的构建，以及数据运营分润等阶段。

数据网络是一个平台，它把数据需求方和数据使用方连接到一起，基于隐私计算平台实现数据价值的转化。这个过程有点类似于 Uber 或 Airbnb，要形成规模效应，首先要有足够的车、足够多的房源，这样才能满足快速打车或租房的需求。数据网络的建设也需要经历这个阶段，目前大多数的数据源还没有隐私计算这个基础设施，所以前期会有很多建设需求。通过隐私计算技术的赋能，数据源有了隐私计算能力以后，就可以实现数据的价值转换，而不是数据的简单交易。通过建立数据网络，在数据撮合的过程中会产生很多不同行业的需求，比如金融的营销、风控需求，然后医药行业的新药研发、保险、科研需求……在这些需求中会构建很多开放的应用生态，在这个基础上就可以实现数据按次按量的收费。

Founder Park：除了「数据可用不可见」之外，隐私计算的价值还有哪些呢？

王爽：「数据可用不可见」是隐私计算的本质价值之一。隐私计算是数字经济时代的底层技术和安全底座，隐私计算的价值还有多个方面。

• 全面释放数据价值，从前的数据交易是数据的硬拷贝，数据被公开后，它的用法、用途、用量都变成不可控的了。但是在隐私计算下，数据的交易就可以实现按使用次数、使用数量或增量、数据效果等进行付费，这样数据就可以作为一个反复使用的生产要素，为数据提供方创造更多价值。

• 帮助客户实现降本增效，传统的直接分享数据的方式在 GDPR 或《个人信息保护法》之下都存在很大的违规风险。通过隐私计算，只分享数据最终的价值，而不是数据本身，这样可以防范数据泄露所带来的合规风险。与此同时，通过多元数据的结合，可以实现更精准的客户画像，进而提高用户的转化率，降本增效。

• 提高数据使用效率，以锘崴科技在医疗领域的探索为例，做多中心研究时常常需要通过伦理审核（判断数据的风险和收益）。在这个过程中，如果用传统模式直接共享数据，就需要很多工作来解释如何能够实现数据风险的控制，如何使风险不大于收益。这个过程通常可能要花费三到六个月，但是通过隐私计算，我们可以在不交出原始数据的情况下实现多中心合作，就能为伦理审查开通「快速通道」，可能在两周内就完成审批，大大地加速合作过程中数据的使用效率。

• 增强数据交互过程当中的互信关系，隐私计算通过把加密的数据存储在云上，仅在用户授权密钥的情况下才能使用，能够使用户在享受云计算的便利性时，不会对个人数据泄露或被不当使用等风险产生担忧。

Founder Park：隐私计算的数据是如何存储的？如何平衡数据的精度和效率？

王爽：隐私计算是在实现数据提供方不泄露原始数据的前提下，对数据进行分析计算的一系列信息技术，它本身不拥有数据，可帮助数据源在隐私保护的基础上实现数据价值的交换，而不交换数据本身。隐私计算工具或节点是基于数据源的储存方式进行部署的，因此数据源有可能储存在本地，也可能储存在云上，所有的数据都在可控范围内使用，隐私计算平台不会去获取或缓存用户的数据。

尽管隐私计算会影响数据的精度，但是它可以提供不同精准度的解决方案，以匹配多样的业务场景需求。比如在征信业务场景下，目标客户的征信评分是 700 分还是 701 分，其最终征信影响是可控的，那么就可以设置可控误差，牺牲一定的精度以提高效率。而在某些不允许精度损失的场景下，通过线性可分或是高维映射、核方法（Kernel Methods）的方式，可以实现在联邦学习下的精准解决方案。精准度的要求可能会牺牲一定的效率，导致计算时间变长，但综合前面提到的由于隐私计算带来审批时间的节省（最多可能从六个月缩短至两周），构建一个更精准的模型所耗费的时间并不会影响业务的正常开展，实际上整个项目进度仍是提升的。此外大多数情况下，基于隐私计算的模型构建是一个低频非实时性的任务，在模型构建好后，对于模型的使用可以通过隐私计算实现实时精准的模型推理服务，从而满足对于精度和效率的需求。

Founder Park：目前在隐私计算的应用中，还有哪些技术无法解决或回应的问题？

王爽：在数据交互的过程中，隐私计算还是有一些无法解决的问题，比如说：隐私计算对于数据安全的保护是基于它保护输出结果的假设，在原始数据不需要交互的情况下，所给出的数据价值会假设结果所泄露的信息量是远远小于输入数据信息量的，但并不表示就没有信息量的转换。很多情况下，通过一些攻击的手段，比如反复去查询一个数据库，或通过分析深度学习模型的一些参数信息，就可以恢复数据中的敏感信息。在一个深度学习的人脸识别模型中，通过参数可以看到训练样本里的人脸轮廓的信息。这些问题是需要通过隐私计算融合多种技术来解决的，例如，结果层面上的信息泄露可以结合差分隐私技术进行保护，但这样会影响整个模型的可用性和精度。

要想解决敏感信息泄露的问题，可以在数据使用的全流程中尽可能多地使用隐私计算，比如说：不再输出一个深度学习模型，而是输出一个加密的模型。在使用这个加密模型的时候，输入加密查询信息，最后输出的是「一个人脸是否在这个数据库里」的「是与否」，这样就可以最小地降低由于结果造成的信息消耗。

另一方面，隐私计算虽然能够帮助数据触达更多数据以便构建更好的模型，但是数据本身的质量也是非常重要的。在人工智能里，有一个说法叫「garbage in, garbage out」，是指「将错误、无意义的数据输入计算机系统，系统必然会输出错误的结果」。通过隐私计算触达到更大规模数据的时候，可能会使数据质量的敏感度降低，但也是与数据本身的质量相关的。

另外，隐私计算也不能完全解决数据合规的全流程，如果数据来源本身不合规，通过隐私计算算出来的结果也是不合规的，整个数据的合规是要形式合规和实质合规双重并作的。隐私计算只解决了实质合规的部分，要想使整个数据使用在过程当中合规的话，需要多方因素来共同促成。

Founder Park：基于锘崴科技的实践，隐私计算在医疗场景中的应用遇到哪些问题和挑战？

王爽：隐私计算在医疗场景上的应用跟其他的场景，比如金融、政务相比较，技术上会有更多维度的需求。

从数据类型的角度来看，金融、政务领域使用的结构化数据偏多，但是医疗场景的数据类型会更广泛，不局限于结构化数据，还有很多非结构化数据。比如对于医嘱信息的分析，都是需要对非结构化数据进行处理的；另外医疗领域还涉及人的基因信息、医学影像信息，比如说包括 CT/MRI，病理图片、B 超图片……都涉及很多影像的勾画和识别。在医疗场景中，模型需要处理上面提到的不同类型数据，要有很多的统计分析、假设检验，以及生成率、基因组学、医学影像学等数百种分析方法。

从技术角度来看，金融领域用到的更多是纵向的联邦学习，因为很多都是不同机构之间的维度补充；但在医疗领域，更多使用横向的联邦学习，因为大多数都是通过不同数据源来补充数据样本，以便构建更精准的模型。

从参与方的角度来看，医疗场景涉及到多中心的合作时，比如研发新药，通常需要十几家甚至上百家医院的参与，对于底层平台的可扩展性要求会更高，要同时支持多方的并发联合计算；而目前在金融场景，大多数还是 B to B 的合作，是两到三方，比如说一家银行跟单个运营商或几个运营商的合作。

从精度要求来看，很多金融场景可以允许一定精度上的误差，不会影响业务的正常开展；但在医疗场景下，涉及临床辅助诊断模型时，需要提供无损的隐私计算解决方案，不能因为隐私计算技术的加入造成计算结果的误差，临床上医疗事故的责任是没有办法界定的。

总体上，从技术上来讲，医疗场景下可能会有更多不同维度的需求；但从业务上来看，金融、政务、医疗各个领域内有各自精准的专业化需求，要对每一个场景有深入的理解，才能够在这个行业做得深、做得成功，有效地解决客户的需求。

Founder Park：在近一两年隐私技术相关的政策推出之前，美国和欧洲对于数据安全的保护已经比较严格，但为什么隐私计算在全球的发展却直至最近两三年才出现热潮，尤其是在国内？

王爽：第一，虽然欧洲和美国提出隐私保护法案的时间较早，但这些法案催生的更多是数据合规的创业公司，比如 OneTrust，这些公司将数据从收集、存储、到应用都梳理清楚，将其变成合规可用的数据。

第二，受限于隐私计算技术的发展，隐私计算在 2011 年到 2016 年间，虽然在高速发展，但还不能大规模地适应复杂的行业场景的需求，直到最近两三年才有突破。

第三，在人工智能大数据之前，主要竞争的是模型，强调深度学习和反复迭代模型，重在提高模型的精度和性能；而人工智能时代，竞争的是拥有的数据量、所触达的数据维度，目标是基于大数据训练更好的模型，也就催生出对大数据使用的需求，并在市场驱动下开展多中心合作，而隐私计算是解决多中心合作的技术最优解。

由于这三个原因，隐私计算就从幕后走到了台前，成为大家熟知的一个概念。

Founder Park：中美两国在隐私安全保护政策的侧重点有何不同？

王爽：国外数据隐私安全保护的政策提出得相对较早，美国 1996 年提出 HIPAA 相关法案，规范医疗数据在机构之间的使用和共享，2016 年又出台 GDPR 等相关法案；中国在政策层面相对起步较晚，2021 年颁布《数据安全法》和《个人信息保护法》，其中《个人信息保护法》对标了 GDPR 法案。

虽然国内在个人信息保护的政策提出和监管相对晚于欧美国家，但同时却拥有更多机会、更多时间对「减少监管对数据流动和使用的影响」进行探索，为数据的跨域使用和数字经济的发展提供了动力。

此外，中国还有很多政策红利。2022 年，国内就提出一系列数据要素化的政策，中央也反复提出建设统一大市场、构建数据基础制度，以及「十四五」数字经济发展规划等，都在不断推进数据要素化、数据资产化甚至数据资本化的概念……而国外目前并没有这类政策上的红利。在这种情况下，我们既要实现数据的法律法规管理，又要开放数字经济发展，就需要很多创新性的技术来解决数字经济发展面对的问题。中国目前的年产生数据量在全球排名第二，也是全球第二大数字经济实体，通过国内这些促进数据经济发展的政策，我们拥有很多在数据层面上超越国外的机会。

在推进数据要素化市场上，中国有「集中力量干大事」的优势。在国外，这些数据主要是在商业化的一个个实体之间，要打通这个商业化实体的数据，需要从商业化行为入手，这个过程需要时间。而在国内的政策驱动下，通过创新性的应用，能够更好地释放数据价值，推动数据要素市场化建设。

当前国内外应用隐私计算有很大的区别，国内隐私计算的使用场景，更多是基于跨组织需求建立的 AI 模型，为的是打通跨组织之间的信任关系，而国外的应用场景更多地落在各个应用上。

在国外，谷歌 2018、2019 年使用联邦学习优化谷歌搜索算法或手机输入算法的应用；微软使用同态加密技术保护 IE 浏览器在云上储存的密码；在制药领域，使用 AI 技术对药物开发过程中的大量数据进行处理，大大降低了试错成本。

在国内，对隐私计算在金融、政务、医疗等领域的应用进行了很多创新探索。在金融领域，把移动运营商和银行的数据进行融合，对中高风险客户进行精准筛查，构建更精准的风控模型，进而实现更精准的营销。在政务领域，将政府信息化所积累的数据开放给中小微企业做普惠金融，结合企业的用水用电、发票信息、海关物流等，就可以构建出更精准的企业信用画像，帮助解决企业融资、发债等问题。在医疗领域，助力卫生监管部门、医疗机构、药企等加强数据协作，应用于多中心专病库、新药研发、科研服务等，帮助提升我国医疗健康管理水平，这些都是比较有中国特色的应用。

Founder Park：AI 行业一直存在的逻辑，就是大厂开源降低市场门槛，打破了竞争壁垒，现在隐私计算的开源框架也越来越多，这会对于行业产生什么影响？

王爽：大公司的隐私计算开源框架是在促进整个隐私计算生态的发展，因为目前隐私计算还处于高速发展初期阶段，市场非常大，能容纳下很多企业，现在并没有达到白热化竞争的阶段，更多的是大家共同去促进市场的形成，通过开源可以让更多的客户去尝试使用隐私计算系统。

这种开源本身在数据安全领域对竞争壁垒的影响，与 AI 行业的影响不一样，主要体现在以下几个方面：

• AI 关注的更多是模型预测的精度，大家用开源的 AI 模型能够预测更精准的人脸识别，然后把这个模型部署到业务场景使用。但隐私计算是为了解决数据使用过程中的数据安全保护问题，数据安全并不是看最长的一项有多安全。比如用同态加密抵抗量子计算的攻击，但如果同态加密密钥是明文写在硬盘上的，黑客并不需要用量子计算或其他手段来攻击隐私计算系统，直接拿到密钥就可以使用了。很多非专业的用户在使用隐私计算时，需要专业团队来做专业化隐私计算整体方案的设计和部署，只有把所有的安全层面都加固好，隐私计算才能够发挥它最好的效果。

• 隐私计算要跟很多应用结合，许多开源的隐私计算平台虽然提供了底层的算子和模块，但是单纯地把这些算子和模块拼接到某项应用里，它的效率并不是最高的，只有通过专业的隐私计算团队基于场景的优化，才能给用户提供更高效的解决方案。

• 隐私计算公司之前服务过的数据源或数据使用方构成了数据网络，新的用户在使用专业隐私计算公司提供的服务时，也有机会触达到更多的数据源。事实上，在解决用户技术需求的同时，也带来了业务层面的增长，会产生协同效应。

所以，隐私计算是在精度、应用性能、数据源安全性等综合角度进行考量的，当前的开源是有益于整个生态系统的构建和隐私计算的发展，但并不会像 AI 一样导致整个行业的技术门槛大幅度地降低。

Founder Park：隐私计算当前的核心是 ToB，是否有更多 ToC 的价值呢？

王爽：ToC 的隐私计算应用也是有的，但可能更多的是结合 Web3 或者区块链的相关技术。我们认为 ToC 是未来的一个趋势，因为个人数据的所有权是掌握在个人手里的，应该由个人来控制数据的使用，并且个人数据被使用以后的价值也应该反馈给个人。

目前的 ToB 模式中，大企业在收集这些数据以后，数据的二次使用没有办法直接回馈到数据提供者，但是可以结合像 Web3 或区块链等技术，实现数据使用过程中的溯源，以及数据使用过程中基于积分等方式进行价值回馈。在医疗场景中我们有一些尝试，比如在做全国性队列时，我们会给病人提供一些入驻以后的数据贡献，新药研发出来后会给他一些反馈。基于这种积分模式，病人拿到积分以后，就可以在未来用药、体检、看病的时候有相关的折扣。这样就可以体现个人数据在被使用以后的价值回馈。我们认为未来的趋势会有 ToC 或者 ToB 的进一步应用，能够通过隐私计算，结合区块链等技术，使个人充分地享受到自己的数据在可控可保护情况下的使用。

Founder Park：隐私计算行业的未来商业化方向有哪些？

王爽：主要有三个方向：

第一个是隐私计算系统的建设，前期大多数的数据源或数据方是没有隐私计算能力的，但它又有数据共享、交互、合作的需求，因此就会在前期投入隐私计算建设。

第二个是开放的应用生态。隐私计算是一个底层技术，它会提供上层的基于 API 和 SDK 的应用，比如在医疗领域做儿童心理健康筛查时，涉及的数据非常敏感，而这种心理疾病患病率在儿童人群中占比最高可能达到 40%。这时候，通过隐私计算与心理筛查应用的结合，就可以组建带有隐私保护的心理筛查 APP，将所收集的未成年人脑电和问卷信息密态上传至云端 APP，最后计算结果只定向发给家长，家长能看到非常详细的报告，而学校或区域教委只能看到百分比，以便了解学生的群体心理健康状况。从家长的角度可以实现更好的干预，从学校和教委的角度可以实现更好的计划，这些都是开放性应用的案例。

第三个就是基于基础数据网络开放的应用，做数据价值的转换。这样数据使用方就不需要像之前在使用数据时那样，花大价钱购买数据，比如药厂做新药研发时，之前要花数亿或数十亿美金购买一次性数据。通过隐私计算，就可以实现按次、按量、按使用效果付费，最典型的就是保险领域做营销时可以按 CPS、按效果付费，每实现一个转化，就支付一笔费用。隐私计算在其中起到的是撮合的作用，会收取数据使用流量的费用，按数据使用次数、使用量等进行百分比计费。

隐私计算商业化主要就是这三种模式，分别是：建设、开放应用、数据流量的分成费用。我们认为：短期建设比较多，而从中长期来看，更多的是开放的应用和数据的分润。