“报告发布｜十种前沿数据安全技术，聚焦公司合规痛点”

在这样的背景下，绿色联赛科技近日发表了《接受合规、超越合规:数据安全前沿技术研究报告》。 报告书将选择行业最先进和创新的10种数据安全技术，全面整理和分解其技术原理和应用。 这包括学术前沿的差分隐私、准同态加密和数据匿名化。 领域内火热安全的多计算、联邦学习等。 这些新技术为企业数据安全建设带来了新的思路和方案，有助于满足业务诉求，处理合规性的痛点和难点。

1个轮廓

数据安全建设离不开具体的业务场景，数据安全技术需要从应用场景出发。 根据公司的业务系统、应用程序和数据分布范围，将数据安全建设分为三种情况。

1 )客户隐私数据的安全合规性

2 )公司内部数据安全对策

3 )公司间的数据共享和计算。

如图1所示，上述三个场景可以根据具体的业务和功能进一步细分子场景。 每个子场景不仅有自己的内部安全诉求，也有合规要求。 具体而言，可以对应欧盟的gdpr条款和我国实施的《网络安全法》的数据安全相关条款。 以下三章从三个场景和子场景的应用诉求和合规性难题出发，研究和分析如何基于前沿技术，超越合规性，处理安全痛点。

图1超越合规性:数据安全场景-尖端技术地图

2先进技术+客户隐私数据的安全合规性

在这样的情况下，企业需要处理顾客隐私数据的收集和数据权利请求响应的合规问题，可以引入以下创新技术。

1 )差分隐私

技术原理:差分隐私是一种基于噪声机理的隐私保护技术。 在本地差分隐私模式中，每个客户机终端执行差分隐私算法，噪声进入每个终端收集的数据，并将其注册到服务器； 服务无法获得某个顾客的准确数据，但可以通过聚合和转换来揭示受众群体的行为倾向。

合规性:遵守gdpr的第32条和《网络安全法》的第42条。

领域应用(代表企业)谷歌、苹果，其中苹果可以通过差分隐私挖掘iphone客户招聘表情的频率分布，但无法获得特定客户的准确隐私。

图2 iphone差分隐私技术的应用[1]

2 )知识图谱

技术原理:知识图谱最早用于各大搜索引擎和社会交流互联网，它可以简单地看作是基于图的数据结构，由节点和边缘构成，各节点是一个实体，各边缘是两个实体的关系。 个体数据管理的关键是个体数据的实体识别，是相关属性与解决过程的关联，因此知识图谱技术的引入成为必然。 通过知识图谱技术，可以帮助公司了解所在敏感数据的位置、如何被采用，以及合同、法律和监管义务，达到个人新闻管理和可视化的作用。

合规性:可以满足gdpr的第12-22条和《网络安全法》的第43条。

领域应用(代表企业) rsa创新沙盒冠军securit.ai企业，基于知识图谱技术实现了个人数据图谱的应用。

图3 securiti.ai的个体数据图像应用[2]

3 )过程自动化

技术原理:客户数据权利要求响应是欧美等国外公司重要的隐私合规检查项目。 过程自动化技术使企业数据安全运营团队能够从繁琐、重复性的人工解决请求-响应转变为自动化解决。 这样既可以降低人工运营成本，又可以降低因延迟响应时间(根据gdpr的规定，通常为一个月)而导致的违规风险。

合规性:遵守gdpr的第12-22条和《网络安全法》的第43条。

域应用程序(代表企业) securit.ai、bigid、onetrust等。

3尖端技术+公司内部数据安全治理

在这种情况下，企业需要解决内部敏感数据管理的安全性和法规遵从性问题，可以实施以下技术来解决安全性和法规遵从性问题，并可以实施以下创新技术:

1 )智能传感数据识别

技术原理:基于流传至今的关键词、正则一致的敏感数据识别方法智能不足，容易发生漏检(特别是文档等数据)。 引入相似度计算、聚类、学习督导等智能方法，提高识别能力和检测效果。

合规性:遵守gdpr的第30条和《网络安全法》的第21条。

领域应用(代表企业( securit.ai、bigid等)。

2 )数据脱敏风险判断

技术原理:数据脱敏在公司得到广泛应用，但不同的脱敏方法其安全效果不同。 通过定量判断和描述脱敏数据集的身份识别度和隐私泄露风险，实现风险管理和控制。

合规性:遵守gdpr的第32条和《网络安全法》的第42条。

领域应用(代表企业(隐私分析、绿色联赛科技等)。

图4绿色联赛科学技术的数据脱敏风险判断应用

3 )拆除客户的物理行为

技术原理:对客户实体进行持续的图像和建模，建立正常的客户行为基线，从而从大量收集的安全数据中发现数据泄露等异常行为。

合规性:遵守gdpr的第32条和《网络安全法》的第42条。

领域应用(代表企业( splunk、绿色联赛科技等。

图5绿色联赛科学技术的ueba数据安全对策方案

4尖端技术+公司间的数据共享和计算

在这种情况下，企业需要解决企业之间的数据安全共享和计算安全和合规性问题，并可以部署创新技术，包括

1 )数据的匿名性

技术原理:对个人新闻进行泛化、屏蔽等解决，以防止相应的个人新闻主体被识别，包括k-匿名、l-多样化、叔近似性等技术。

合规性:遵守gdpr的前文第26和19条以及《网络安全法》的第42条。

领域应用(代表企业( immuta、privitar、anonos、绿色联赛科学技术等。

图6绿色联赛科技自适应匿名化算法的应用

2 )准同态加密

技术原理:对明文数据进行准同态加密得到的密文数据，无需解密即可执行密文数据的解析和操作。 机密数据作为同一状态的加密和计算的一部分进行加密，从而实现数据的计算和安全性。

合规性: gdpr前文第5条和第32条，以及《网络安全法》的第42条。

域应用程序(代表企业):duality等。

图7 duality的准同态加密平台在金融数据共享中的应用(图引用自[3] ) ) ) )。

3 )安全多方计算

技术原理:在参与者互不信任的情况下进行协同计算，保证计算结果的正确性，不泄露任何一方输入的原始数据和状态数据。

合规性: gdpr前文第5条和第32条，以及《网络安全法》的第42条。

领域应用(代表企业)谷歌、蚂蚁金服等。

4 )联邦学习

技术原理:公司和客户的移动设备等多个参与者无需交换原始数据，即在隐私保护下实现协作机器学习的建模、培训和模型部署。

合规性: gdpr前文第5条和第32条，以及《网络安全法》的第42条。

域应用程序(代表企业)谷歌、苹果、微银行等。

5总结

随着包括欧盟gdpr、美国ccpa、国内《网络安全法》、以及今年发布的《数据安全法(草案)、《个人新闻保护法》)草案)在内的全球数据隐私法规的密集发布，合规性成为了公司的数据中心。 从法规遵从性的角度看，数据安全的内涵由于法规遵从性和业务安全的双重诉求而不断扩展，数据安全所涵盖的应用场景更加多样化，是自古以来流传的数据安全 如何实现破局？ 本文简要介绍的10种新的数据安全技术，可以给破局新场景的新挑战带来一点思路和启发，帮助公司满足安全合规，创造更大的数据价值。

为了得到越来越多的副本，欢迎来到绿色联赛科技公众号。 在后台回复数据安全报告下载“接受合规、超越合规:数据安全前沿技术研究报告”。

本文：《“报告发布｜十种前沿数据安全技术，聚焦公司合规痛点”》