【金融街論壇】華控清交董事長張旭東：金融業對數據監管的需求迫在眉睫

新華財經北京10月22日電 “數據安全觀的核心是使用安全。在數據流通時代，即多種數據與多方數據的融合計算時代，數據的使用安全逐漸上升到一個非常顯眼的位置。”華控清交信息科技（北京）有限公司董事長、首席執行官張旭東在21日舉行的2021金融街論壇年會“數字經濟與金融科技”分論壇上致辭時表示。

張旭東認為，金融行業是數據高密度使用、高價值使用的領域，敏感數據、重要數據較多。所以，金融行業對數據使用的監管需求迫在眉睫，加強監管才能使它合規、合法、有效地使用。

全文演講如下：

今天我主要想講的是，我國兩部新的法律出臺以后，從9月1號開始，我國就進入了數據行業與數據生態有法可依的一個新時代，11月1號《中華人民共和國個人信息保護法》也即將生效。我仔細研讀過這方面的幾部法律，感受最深的是《中華人民共和國數據安全法》，它第一次從法律層面定義了數據是什么。在這之前，上至憲法，下到村里的《治安管理條例》，沒有法律法規對數據進行過定義。此外，除數據定義之外，《中華人民共和國數據安全法》還闡明了數據的安全責任，即數據的控制方要對數據的安全負主要責任，主管部門對數據安全負監管責任。那么，這里提到的數據安全，到底是什么數據的安全？這也是我接下來要講的內容，數據安全包括傳統數據觀的數據保管安全和新數據觀的數據使用安全。

11月1號將要生效的《中華人民共和國個人信息保護法》對此講得更明確，它對處理個人信息的目的和方式提出了全新要求。最核心的是第六十九條，大意是處理個人信息如果發生權益糾紛，數據處理方必須自證清白，如果數據處理方無法自證清白，則做有罪推斷。這個法條對數據處理方、銀行及各行各業都提出了很高的要求。做不做得到呢？有沒有技術、制度所形成的能力來保障它呢？做得到，有沒有好方法呢？做不到，又怎么辦？實際上，隨著科技的發展、我們對數據認識的發展，我們能夠做到。

我簡單講一下新的數據要素觀。明文數據的交易流通在理論上是個偽命題，它從信息學的角度與經典經濟學的角度都不成立。但是大約在十年前，也就是2010年前后，隨著大數據、人工智能技術的發展，數據生態上發生了一個重要的變化，數據的主要使用主體從人（原來我是做投資精算的，我看數據，然后電腦幫我算），變為了機器。在這個前提下，用密碼學技術、現代IT技術，可以把數據當中可見的信息部分和無需可見就可進行計算的使用價值區分開來，這用行話叫“關閉側信道”，這是做到數據使用可用不可見的基礎。

當然，我們現在說數據可用不可見已經說爛了。隱私保護計算行業發展非常迅猛，據說有兩三百家企業都可以做到數據可用不可見。當然，它最重要的是安全假設：你信什么？不信什么？這個體系是這么建起來的，我就不展開討論了。在這個前提下，運用計算合約技術對數據的使用價值進行嚴格限制，把它限制到特定的算法上，也就是使用目的和使用方式。顆粒度可以細到算法當中一個基礎運算符號的差別，加法、乘法和比較，差了一個，合約就不認了。所以真正流通的不再是明文數據，而是數據的特定使用價值。通過什么方式？通過合約授送特定的數據使用權。

數據安全觀的核心是什么？新的安全觀核心就是使用安全。傳統的數據安全的定義是保管安全，即保護對數據的控制權，防止被別人復制、防止被他人使用。剛剛呂首席講的非常好。這就是安全和發展的問題，發展是主旋律，但是要在安全的前提下進行。傳統的數據觀是針對某一個數據，保證它的保管安全。而在數據流通時代，也就是多種數據與多方數據的融合計算的時代，數據的使用安全逐漸上升到一個非常顯眼的位置。

數據融合計算就是開設數據化工廠，多種元素數據，在一定的配方和反應條件下，用算法進行融合計算，這也就是化合反應。大家普遍關注的結果，都是數據融合計算是否能實現提高生產效率、優化資源配置或提高風控水平，但很少有人注意到它的脆弱性和潛在的巨大風險。數據融合計算的結果很有可能對他人、社會，甚至是國家產生危害或造成重大風險。這就是數據使用的負外部性——這是一個經濟學名詞。

那么如何管控？管控風險就是要管控住數據的使用目的和使用方法。只有管控住數據使用的目的和方法，才能夠踐行兩法，才能厘清數據的使用的責、權、利。

講到金融行業，金融行業是數據高密度使用、高價值使用的領域，敏感數據、重要數據特別多。所以說，金融行業對數據使用的監管迫在眉睫，不監管就難以使它合規、合法、有效地使用。監管什么？就是監管數據的使用目的和方式。如計算合約，在事前通過合約的方式進行授權，事中使計算嚴格按照多方達成的計算合約進行，然后把合約和計算過程用區塊鏈存下來，做到事后可回溯、可審計、可追責。所以最后一句講的很清楚，數據使用可控、可計量技術已經進入使用，它是我國金融業或其他行業數據合法合規使用和數據監控的基礎設施。

簡單介紹一下，這里邊有一個重要的概念，可能偏技術了一點。隱私保護計算有很多技術、很多架構、很多理論，但是從我們今天討論的安全角度、監管角度來講，它的區別只有兩個，也就是只有兩種架構。一種是支持監管的代理計算架構，使數據算法算力和控制面層層解耦，中心化管理、去中心化信任，達到可控可監管。另外一種是兩兩計算模式，它們的多方是兩兩計算進行疊加的，沒有中心節點，也沒有經辦人，無法進行監管。這個不多贅述了。

最后給華控清交做個廣告，剛剛呂首席說了你來做廣告，確實最后也是廣告，我就不讀了。這里邊重點講出的是厘清責、權、利，講究突出的是數據安全，個人信息保護關鍵的考量是安全假設。所以討論到數據隱私保護技術、數據安全技術，第一個應該問的是你的安全假設是什么，你相信什么，不相信什么。

我就匯報到這兒。感謝大家！