三、隐私计算的技术标准
按照标准内容和参与机构,国内的隐私计算标准大致能够分成3个阶段。从理论层面、测评层面到互联互通层面,3个阶段下隐私计算标准的实用性和覆盖范围逐渐提高。隐私计算标准的参与和发布机构也由企业和行业层面的机构逐渐转向国家和国际层面的机构。值得注意的是,与隐私计算相关的技术标准仍在制定中。
(一)第一阶段
第一个阶段标准在定义和框架上给出了解释,这个阶段更加关注理论,主要满足科研性实验性课题。此外,参与制定标准的机构主要为企业和行业机构。
1.《区块链 隐私计算服务指南》
2019年7月19日,中国区块链技术和产业发展论坛发布了《区块链 隐私计算服务指南》(以下简称《指南》)。《指南》由中国电子技术标准化研究院指导,万向区块链牵头起草,以及12家公司及研究院共同编写完成。标准规定了区块链隐私计算服务,具体包括区块链隐私计算服务原则和相关方、区块链隐私计算服务技术框架、区块链隐私计算服务管理。《指南》旨在为行业从业者就利用区块链技术提高数据交换效率和可信性,同时在保护数据隐私的前提下实现多方协作的数据计算等方面提供指引。
标准适用于指导区块链隐私计算服务的开展、评估相关方的区块链隐私计算服务能力、评估区块链隐私计算服务对组织的适用性、审计区块链隐私计算服务安全性和合规性。
2.《个人金融信息保护技术规范》
2020年2月13日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》(以下简称《规范》),《规范》将个人金融信息按照隐私程度分成3类。同时还规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。
《规范》从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
(二)第二阶段
第二阶段在性能和工程化安全方面给出了测评标准,让隐私计算从理论框架层面过渡到支持测评的实践方面,从企业实践方面提升了隐私计算标准的可用性。其中,“可信隐私计算”产品测评体系作为对隐私计算产品的功能和性能进行评测的标准,受到广泛的认可。
1.《多方安全计算金融应用评估规范》
2020年11月24日,人民银行旗下中国支付清算协会发布了隐私计算相关金融规范《多方安全计算金融应用评估规范》(JR/ T0196—2020)(以下简称《评估规范》)。《评估规范》主要起草单位除清算协会、银行业金融机构外,还包含腾讯、京东数科、同盾科技等多家涉及隐私计算的头部科技公司。中国支付清算协会称,此举是为落实央行和国家认监委关于加强金融科技产品认证工作的相关要求,加强金融科技产品认证工作的自律管理。
作为一项团体标准,《评估规范》规定了多方安全计算金融应用的评估要求,适用于多方安全计算的金融应用机构、技术服务和解决方案提供商。
2.“可信隐私计算”产品测评体系
自2018年起,由中国信息通信研究院(简称“中信通院”)云计算与大数据研究所牵头,联合行业领军企业、专家制订及修订的隐私计算系列标准逐步构建。2021年下半年,功能标准结合技术发展和市场需要进行了升级,评测体系也进一步扩充,将在原有基础上,固本强基、提质升级,进一步推动隐私计算技术合规应用,促进隐私计算行业有序发展,为数据合规流通夯实技术基础。
2021年9月9日,“大数据产品能力评测”隐私计算系列测评升级为“可信隐私计算”产品测评体系,体系包含4项功能测试,分别为:《基于多方安全计算的数据流通产品技术要求与测试方法》《基于联邦学习的数据流通产品技术要求与测试方法》《基于可信执行环境的数据计算平台技术要求与测试方法》《区块链辅助的隐私计算技术工具技术要求与测试方法》,以及两项性能测试,分别为《隐私计算多方安全计算产品性能要求和测试方法》和《隐私计算联邦学习产品性能要求和测试方法》。
该隐私计算系列测评体系是目前国内隐私计算领域最早、最全、广受行业认可的测评体系,评测范围覆盖了国内大部分拥有隐私计算产品的重要企业。
(三)第三阶段
第三阶段的标准强调互联互通,主要针对隐私保护措施带来的数据孤岛问题。这个阶段还伴随着国际和国家层面机构参与到隐私计算的标准制定。其中,《隐私保护机器学习技术框架》是首次通过隐私计算技术领域的国际标准;《隐私保护的数据互联互通协议规范》是隐私计算互联互通的首个国家标准。
1.《联邦学习架构和应用规范》
2021年3月30日,《联邦学习架构和应用规范》通过IEEE确认,形成正式标准文件(IEEE P3652.1)。自2018年12月,IEEE标准委员会(SASB)批准了由微众银行发起的关于《联邦学习架构和应用规范》的标准立项,来自国内外的多位知名学者和技术专家纷纷加入联邦学习IEEE标准的建设。该标准定义了联邦机器学习的架构框架和应用指南,包括联邦机器学习的描述和定义、联邦机器学习的类别和每个类别适用的应用场景、联邦机器学习的性能评估和相关的监管要求。
《联邦学习架构和应用规范》提供了跨组织和设备的数据使用和模型构建蓝图,并同时满足适用的隐私、安全和监管要求。
2.《隐私保护机器学习技术框架》
2021年6月13日,国际电信联盟(ITU)首次通过隐私计算技术领域的国际标准,该标准为《隐私保护机器学习技术框架》(Technical Framework for Shared Machine Learning System)(以下简称《框架》),由蚂蚁集团、中国联通及之江实验室共同参与制定。以蚂蚁集团的隐私保护机器学习技术为蓝本,《框架》定义了参与方角色,功能要求、安全要求,并给出了中心化和分布式两种隐私保护机器学习模式的架构和计算流程。
《框架》用于指导隐私保护机器学习系统的设计、开发、测试、使用等,促进多参与方在满足数据安全、隐私保护等要求的前提下,实现基于数据协同和数据共享的机器学习。
3.《隐私计算 跨平台互联互通 第1部分:总体框架》
2021年7月20日,CCSA TC601、隐私计算联盟联合发布《隐私计算 跨平台互联互通 第1部分:总体框架》(以下简称为《总体框架》)标准。作为系列标准的第一部分,《总体框架》以互通、平台自治、安全、正确、易扩展为特性和基线给出了后续相关标准内容的整体视图。平台间的通信规范、跨平台任务协同的互联规则、跨平台任务实现的具体流程等内容将作为系列标准的第2、3、4部分在中信通院(后简称“中国信通院”)云大所的牵头下继续推进编制工作。《总体框架》划分了互联互通实现的三个阶段:节点的互相发现;节点上数据、算法、模型资源的互通;相同算法在不同平台上的运行,并阐述不同层次的信息定义,认证、发布,授权管理,状态同步等实现路径。
《总体框架》希望为行业实现互联互通提供一套可行的参考框架。旨在解决不同技术厂商提供的产品和解决方案在设计原理和功能实现之间存在的差异,使得部署于不同平台的隐私计算参与方之间无法跨平台完成同一计算任务的问题。
4.《隐私保护的数据互联互通协议规范》
2021年8月25日,全国信息安全标准化技术委员会发布《关于2021年网络安全标准项目立项的通知》,由上海富数科技牵头,上海交通大学、中国信通院等多方发起的《隐私保护的数据互联互通协议规范》正式立项进入研究阶段。
《隐私保护的数据互联互通协议规范》是继众多行业标准、地方标准发布后,隐私计算互联互通的首个国家标准。此次立项获批对于隐私计算行业具有里程碑式的意义,表明了国家相关部门对隐私计算给予了高度重视,也表明了隐私计算互联互通对实现数据价值高效流通的重要性。
除了已经发布的隐私技术相关标准,许多标准还在制定中。且标准细化到各种具体技术,如针对多方安全计算、可信执行环境等技术。
2019年6月,在工业和信息化部、北京市人民政府主办的第二十三届中国国际软件博览会——人工智能开源软件论坛上,中国人工智能开源软件发展联盟(AIOSS)发布了《信息技术服务联邦学习参考架构》,这是中国颁布的第一个关于联邦学习的团体规范标准。
2019年8月,《多方安全计算技术框架》(Technical Framework for Secure MultiParty Computation)国际标准立项在日内瓦召开的ITU-T SG17(国际电联安全研究组)会议上通过。阿里巴巴在电气电子工程师学会(IEEE)的牵头下成立了安全多方计算工作组,并担任工作组主席,联合国内外厂商一起推进MPC国际标准,该标准有望成为全球首个安全多方计算领域的国际标准。
2020年1月,国际标准化组织(ISO)、国际电工委员会(IEC)牵头拟定了《信息安全—安全多方计算—第1部分:通用》(Information Security—Secure Multiparty Computation—Part 1:General),该国际标准旨在规定在数据保密的情况下,计算数据函数的加密机制及其属性。
2020年4月,阿里巴巴在中国通信标准化协会主导立项了《基于多方安全计算的隐私保护技术指南》(以下简称《技术指南》),目前已形成征求意见稿。该标准起草单位包括阿里巴巴(中国)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、中信通院等公司和机构。《技术指南》提出了安全多方计算技术架构、通用流程及安全分类,给出了安全多方计算典型应用场景及解决方案建议。
2020年4月,蚂蚁链与中国信通院联合发起的标准《基于TEE的区块链隐私计算》获得国际电信联盟(ITU)立项,成为全球首个区块链链上通用数据隐私保护国际标准。此次立项的技术标准由蚂蚁链和中国信通院云计算与大数据所及隐私计算联盟共同提出,用于保障企业在应用链上服务时的数据安全与隐私。
2020年12月30日,《信息安全技术 可信执行环境服务规范》正式面向社会公开征求意见。国家标准计划《信息安全技术 可信执行环境服务规范》由TC260(全国信息安全标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。主要起草单位为中国银联股份有限公司、中国科学院大学、复旦大学等。该标准的主要目标是提出一种基于可信执行环境的服务的规范。通过建立统一的可信服务安全框架,对基于该框架的可信服务的功能和安全性进行有效定义和规范,统一可信服务的功能调用接口。
2021年11月19日,蚂蚁集团和深圳国家金融科技测评中心正式签署成立“数据安全与隐私计算”联合实验室。双方将在个人信息保护、企业数据安全治理、隐私计算技术及其应用领域进行技术标准和测评标准的研究合作。
2022年3月1日,全球最大的非营利性专业技术学会“电气和电子工程师协会标准化协会”(IEEE-SA)全票通过了《隐私计算一体机技术要求》(P3156)立项,并且在IEEE-SA成立了隐私计算一体机工作组(Privacy-preserving Computation Integrated Platform Working Group),该标准由蚂蚁集团、国内外专家共同参与筹备,是全球首个隐私计算一体机国际标准。IEEE-SA专家一致认为通过制定国际标准,能够使业界形成对隐私计算一体机的共识,有利于引导业界利用隐私计算一体机解决数据共享场景下的数据安全问题,并有效降低协作成本。