我这里就数字经济社会的安全问题谈几个观点。
如何保护数据隐私和安全
大家特别关切蚂蚁集团的上市。在上市前两天,被按了暂停键,蚂蚁集团几个高管被四个主管部门约谈,后来第二天就宣布暂缓上市。
蚂蚁集团被暂缓上市以前的市场估值很高,总的估值是2.1万亿人民币,其中上海预定的价格是68.8元,H股预定的价格是80元,它的上市融资,按当时的汇率折美元是344.5亿美元,这比中国的任何一个IPO都要多,比全球最大的IPO,沙特的阿美200多亿美元还要多。
我分析了一下资本市场对蚂蚁集团的估值里面三个要素。
第一个要素是蚂蚁的算力要素。蚂蚁集团确实在算力方面有它的优越性,它能够把一些数据真正地变成资源、变成价值,所以这是它的本事。
第二个要素就是监管政策缓进的要素。我看到我们对外宣称的原因是说监管政策环境发生了变化。我也看了很多的报道,其中一个非常重要的因素就是我们现在网络小贷法规正在征求意见讨论中,未来网络小贷出台办法规定的杠杆率应该是16倍左右。但是蚂蚁集团通过花呗,通过联合贷款,通过其他各种方式,它现在实际的杠杆率达到了48倍。如果说蚂蚁现在按48倍来上市,上市一段时间以后,网络小贷办法正式出台后,按监管要求,杠杆率只剩16倍了,它的资产、盈利就将大幅度缩水,这样它的市场估值就会大幅度下降。
我认为中国在关于网络业务、关于网贷、关于数字金融方面的监管还是比较宽松,也存在监管的空白。
第三个要素就是数据资源。今年中央已经把数据列为生产要素之一了,蚂蚁集团显然占有了很多很多的数据资源要素。
我们可以把数据分为:具有社会属性的公共数据;具有所有权属性的著作数据;具有隐私属性的个人数据。公共数据的价值在于真实,著作数据的价值在于归属,个人数据的价值在于安全。
近10年来,随着互联网经济和大数据技术应用的发展,越来越多的信息被纳入各种各样的数据库。这一方面给我们的生活带来很大的便利,另一方面也产生了技术性数据孤岛的问题。
万物互联意味着数据的集合,但集合不能够自动解决数据孤岛的问题,甚至会形成数据垄断。例如,互联网电商平台,移动通信运营商,连锁商场、连锁超市、连锁酒店,品牌房地产商和物业管理企业,航空公司、高铁公司、物流公司,学校医院等等都拥有大量的个人数据,而且形成数据孤岛。在这些海量的数据中,部分属于公共数据,更多的属于个人数据。技术性的数据孤岛,当然可以成为数据占有者的资源优势和竞争优势,但站在国家的立场,这种数据垄断是有可能妨碍公共数据发挥应有的社会价值,也有可能因为商业利益或者因为安全疏漏发生侵犯个人隐私的问题。
我们国家很多法律,包括《网络安全法》、《民法准则》、《电子商务法》都对这些个人信息保护做了原则性的规定。但一些具体的法律规范有待进一步明确。例如对于公共数据的界定、归属和管理,对个人隐私数据的界定和商业利用,缺乏细致明确的法律规范。2020年2月,人民银行发布的《个人金融信息保护技术规范》,最近出台的《个人信息安全规范》《个人金融信息数据保护试行办法》征求意见稿,制定了个人数据保护的具体规定。不过落实到位还需要一个过程。我们在这方面管理的幅度、监管的幅度、要求的严格程度,跟西方国家相比还是有很大的差距。
在西方国家,保护隐私不仅仅见于法律,而且成为公民的自觉意识和行为规范。欧盟的《数据保护通用条例》于2018年5月正式生效,被称为最严格的个人数据保护法律。条例强调,数据所有者对隐私数据有不可动摇的权利,规定数据保护范围涵盖所有直接或间接与自然人相关的个人数据(姓名、身份证号)和敏感数据(种族民族、政治观点、宗教信仰、健康和性生活等)、数据处理范围涵盖了数据的收集、注册、系统化、存储、调整、使用、披露、传播、提供或者汇集的任何行为。条例订立了新的原则。一是隐私默认,企业收集及处理数据,必须得到数据所有者明确主动的同意;二是数据最小化,限定于约定范围收集和处理数据,不得无故收集或者用作他用;三是数据遗忘权,数据所有者有权要求数据占有者删除涉及本人的所有数据。我个人认为,我国立法和执法的焦点在于:如何平衡数据所有者的权利与数据占有者的利益,如何协调数字经济社会的宏观稳定和微观动力,如何培育公民的自觉意识,并形成企业的行为规范。中国的国情与西方国家不同,不宜照搬欧盟《数据保护通用条例》的具体条文。但应该强调数据所有者对隐私数据的基本权利,同时借鉴条例提出关于隐私默认、数据最小化、数据遗忘权的原则。
如何在实现数据共享的同时,保护数据隐私,在提升数据资源价值的同时保护数据安全?一些科研机构正在探讨技术创新保护数据安全的可行路径和解决方案。例如,同盾科技融合运用大数据、AI和密码学技术,开发“知识联邦”系统。这个系统基于数据安全协议,可以利用多个参与方的数据,将散落在不同局域的数据联合起来转换成有价值的知识,同时可以保护数据隐私,实现数据可用不可见,形成一个支持安全多方检索、安全多方计算、安全多方学习、安全多方推理的智能化应用框架。
如何摆脱数字技术的依赖
我国是数据资源大国和数字化市场大国,却是软件弱国。从已经普及的电脑、手机到正在深度研发的人工智能、区块链,操作系统、源代码和算法程序的知识产权大多数是美国和日本控制的。
目前我们中国的区块链代码贡献量只有美国的三分之一;我国的区块链专利的申请数量达到2002个,高于美国1076个,居全球首位。但是在区块链底层的核心算法等高强度的技术领域,中国仍然存在明显的差距。
在区块链底层技术上,作为一种技术集成创新,区块链的数据库、P2P对等网络、密码学算法等基础组件技术相对成熟,但集成程度不够高,共识机制、智能合约等新技术还有待完善,据分析区块链技术发展成熟还需要5-10年。
我们对国外的操作系统和开源程序的广泛应用,势必导致技术依赖风险。2019年11月,美国跟日本达成《数据协定》,原则上禁止国家强迫企业公开源代码和算法。2020年6月12日,被美国商务部列入管制名单的哈工大、哈工程等高校的师生发现,学校购买的来自美国的正版软件MATLAB--—理工科研必备数学软件,被取消激活。
数字技术的平等是数字经济平等竞争的基石。即使是大国,经济上的闭环运行一般只会降低经济资源配置的效率,增加经济运行的总体成本,并影响国民消费的品质。但如果在关键技术领域受制于人,一旦遭遇大面积封锁,就可能造成经济失速、全球化进程受阻。因此,不仅在高端芯片、航空发动机等硬件制造领域,而且在操作系统,核心数字技术等软件开发领域,我国只有补齐短板,才有可能与西方发达国家建立平等互利的关系。
首先是在核心硬件领域,我国大型银行的数据中心多年来一直依赖IBM的大型主机,同时大量使用非自主品牌的数据库和存储设备。重要机构应该加快推进IOE替代(IBM服务器,oracle甲骨文数据库,EMG高端存储)。
在核心软件领域,现在国产的操作系统已有突破。但是像大银行的操作系统、服务器和桌面操作系统基本上还是Window,这是一个我们如何加快替代的领域。
第二个是企业管理软件。企业管理软件包括技术、人力资源、财务等。现在最好的企业管理软件是德国的SAP系统。SAP系统在中国国有企业里的占有率达一半以上。现在中国也有一些企业正在创建的SAP系统,例如博科,国产替代工作正在进行过程中。还有实时操作系统,它的响应速度特别快,可以达到微秒级,比如说在高铁、在国防、在互联网中可以发挥很大的优势。在核心软件领域,国产替代的进程要进一步加快。
如何保护万物互联的安全性
据测算,到2019年,中国物联网的规模是30亿元,到2025年我国物联网营业规模会达到70亿元。需要注意的是,在这样一个数字链接的社会中,人跟人之间、人和物之间、物跟物之间的空间距离和时间距离已趋近于零,这会提供更加广泛的便捷性,也会带来更加直接的危险性,构成重大的安全挑战。
这里说一个故事,大概一周以前,杭州举行了国际软件博览会。博览会上举行了一个补天杯的破解大会。这个破解大会有好几个团队,叫白帽黑客,就是允许参加比赛的黑客来攻击系统。他们攻破了很多系统,我这里举两个例子。
第一就是最新刚刚上市的iPone12,他们破解了,用大概不到一个小时的时间破解。破解以后,机主所有的银行账户、所有的密码全部可以看得清清楚楚,并且手机所有者所有的行动轨迹也看得清清楚楚,这将对我们整个金融安全是很大的一个挑战。
第二个就是智能家居系统,他们通过某一个品牌的智能音箱进入了你的家庭系统,进入了你的电脑,然后他可以控制你家里所有的设备,而且可以把你实验状态下的无人驾驶汽车开走。
这表明,在万物互联的时代,安全问题是一个非常迫切的问题。这里有很多挑战,但也有很多机遇,我感觉在这方面,社会公众好像更关注便捷性和企业竞争力。我们怎么样从系统性的金融安全方面思考,保证我们这些软件系统和硬件系统的安全。在这方面,我们做得还不够,这些问题我们希望能够有措施很好地解决。
(编辑
季节)
