隐私计算头条周刊(06.05-06.11)
POLICY FOCUS1.国家发改委重要发声:加快发展统一的资本市场,加快培育统一的技术和数据市场6月5日,国新办举行建设全国统一大市场国务院政策例行吹风会。吹风会邀请国家发展和改革委员会副主任李春临、商务部市场体系建设司司长周强、国家市场监督管理总局综合规划司司长朱剑桥出席介绍相关情况,并答记者问。李春临指出,统一的要素市场是建设全国统一大市场的重点。近年来,各方面推动了一系列改革举措,包括土地、落户、股票发行等方面的改革。下一步,将加快健全土地、劳动力、资本、技术和数据市场,推动要素市场制度相互配合,实现高质量发展。🔗阅读原文2.国家网信办《近距离自组网信息服务管理规定》公开征求意见2023年6月6日,为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《网络安全法》等法律法规,国家互联网信息办公室起草了《近距离自组网信息服务管理规定(征求意见稿)》。根据《意见稿》,近距离自组网信息服务指利用蓝牙、Wi-Fi等技术,提供发布、接收信息的服务。服务提供者需提供关闭接收、选择接收、自动拒绝等功能,并默认关闭接收状态;选择接收时需合理设置时长。对具有舆论属性或社会动员能力的新技术、应用、功能,应进行安全评估并及时整改。🔗阅读原文3.科技部《人类遗传资源管理条例实施细则(征求意见稿)》公开征求意见2022年3月22日,科学技术部下发关于公开征求《人类遗传资源管理条例实施细则(征求意见稿)》(以下简称《实施细则》)意见的通知。科技部拟规定:境外主体不得在我国境内采集、保藏或向境外提供我国人类遗传资源。根据《实施细则》, 者隐私权,获得知情同意。境外组织不得在我国采集、保藏我国遗传资源,不得向境外提供。《实施细则》将于2023年7月1日起施行。🔗阅读原文4.《山西省政务数据安全管理办法》发布,关注政务数据“三管”问题
6月5日,为加强全省政务数据安全管理、规范政务数据处理活动,山西省发布《山西省政务数据安全管理办法》,明确政务数据和政务数据安全概念。《办法》解决了政务数据安全管理责任、全生命周期管理和安全保障能力的问题。明确责任、提出安全管理要求,并加强风险评估、监测、应急演练和安全审计。自2023年7月1日起施行,有效期两年。
5.《山东省工业大数据中心体系协同建设2023年行动方案》近日,山东省工业和信息化厅、山东省通信管理局印发《山东省工业大数据中心体系协同建设2023年行动方案》,明确要加快构建“数网、数纽、数链、数脑、数盾”五位一体的山东工业云体系,全面推进工业大数据中心存力、算力、运力一体化建设。建设工业数据资源开放流通平台。支持开展中国工业数据专区城市登记中心试点建设,推动工业企业数据资产入表。🔗阅读原文6.成都市关于进一步促进人工智能产业高质量发展的若干政策措施(征求意见稿)6月1日,四川省成都市经济和信息化局发布通知,对《成都市关于进一步促进人工智能产业高质量发展的若干政策措施(征求意见稿)》公开征求意见。《措施》从促进人工智能算法发展、推动人工智能能级提升、构建人工智能产业生态等方面做出相应部署。《措施》提出,支持高端要素聚集,鼓励国有资本联动社会资本共同组建人工智能方向子基金,投资引进优质项目和企业。对满足条件的创投企业给予不高于1000万元奖励。🔗阅读原文7.《哈尔滨市支持数字经济加快发展若干政策》发布,强调资金配套6月7日,哈市印发了修订后的《哈尔滨市人民政府关于印发哈尔滨市支持数字经济加快发展若干政策的通知》。《哈尔滨市支持数字经济加快发展若干政策》共包含强化省政策资金配套、培育引进市场主体、加快发展软件和信息技术服务业等十方面内容,旨在加快推进省、市“十四五”数字经济发展规划落实,激发企业潜力、释放市场活力。🔗阅读原文INDUSTRY HIGHLIGHTS
1.招标 | 近期隐私计算项目招标中标38(数字金安、太平金融、中国移动、北京银行、福建大数据
2.国家信息中心牵头编制的《信息安全技术 信息安全风险管理实施指南》国家标准正式发布
国家市场监督管理总局和国家标准化管理委员会发布了《中华人民共和国国家标准公告》(2023年第2号),正式发布了GB/T 24364-2023《信息安全技术 信息安全风险管理实施指南》国家标准。该标准修订了现行的GB/Z 24364-2009标准,明确了信息安全风险管理的框架、目标、原则和保障措施,提供了实施要点和工作形式。标准将于2023年12月1日正式实施。
3.《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》公开征求意见
6月9日消息,为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》,面向社会公开征求意见。
4.江西某公司因违反《数据安全法》被网信办处罚
近日,江西省南昌市网信办,对履行数据安全保护义务不到位,未履行风险监测、补救处置等义务的公司,作出行政处罚,罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。根据南昌市网信办调查,江西某股份有限公司的网络智能办公系统遭黑客组织攻击并植入木马病毒,导致数据安全问题。公司未履行数据安全保护义务,违反了《中华人民共和国数据安全法》规定。因此,南昌市网信办根据相关法律规定对该公司处以警告、罚款50万元,并对主管人员处以罚款5万元的行政处罚。涉案公司已缴纳罚款并表示将全面开展整改工作。南昌市网信办将进一步加大执法力度,打击违法行为,维护网络和数据安全。
5.微软因违反《儿童在线隐私保护法》被罚2000万美元
因被指控违反《儿童在线隐私保护法》(COPPA),微软将向美国联邦贸易委员会支付2,000万美元的和解金,。微软被指滞留儿童个人信息时间超过规定,并将进行改变,包括加强儿童账户的隐私保护,要求父母同意之前的账户,建立数据删除系统,并告知其他出版商有关儿童个人信息的披露。这是FTC与一家游戏公司的最新和解,此前Epic Games已因违反COPPA达成5.2亿美元和解。微软承认未满足用户期望,将继续改进安全措施以保护社区安全和隐私。
6.2023网络空间安全大会在杭举办
由中国电子学会主办,中国电子学会网络空间安全专委会、浙江大学网络空间安全学院等单位共同承办的2023网络空间安全大会于2023年6月2-3日在浙江杭州召开。本届大会以“网络空间安全新趋势、新模式、新业态”为主题,共设2场主论坛、9场专题论坛,邀请两院院士以及国内知名专家学者就网络空间安全领域的政策导向、行业标准、前沿技术、应用前景、产学研结合等多个维度,展开64场专题报告研讨,来自政府部门、高校、科研院所、企事业单位、社会团体等各方代表1000余人出席大会,共商网络空间风险应对,共话网络空间安全交流合作,共谋网络安全创新发展。
7.我国量子密钥分发攻防研究获重要进展
6月7日消息, 中国科学技术大学郭光灿院士团队韩正甫、王双、银振强、陈巍等发现了量子密钥(QKD)发送端调制器件的一种潜在安全性漏洞,利用该漏洞完成的量子黑客攻击实验表明:当QKD的发送端未对该漏洞进行严格防护时,攻击者有可能利用其获取全部的密钥信息。相关研究的两项成果日前分别在线发表于国际学术期刊《光学》和《应用物理评论》。
8.在“浙”里启“杭” 2023全球人工智能技术大会在杭州开幕
6月10日,杭州举办了以"交叉、融合、相生、共赢"为主题的2023全球人工智能技术大会。此次大会是中国人工智能学会的重要活动之一,吸引了近300位中外专家参与,并设有主题报告、专题论坛等多个环节。在开幕式上,举办了2023全球人工智能技术创新大赛颁奖仪式,发布了一系列重要计划和项目。大会聚焦人工智能技术热点和应用趋势,促进了国际间的高水平交流与合作。此次大会展示了杭州在数字经济和智能产业发展方面的成就,并展现了中国人工智能面向世界开放合作的理念。
9.第十六届全国大学生信息安全竞赛作品赛开启
由浙江大学承办的“第十六届全国大学生信息安全竞赛—作品赛”,于2023年4月至2023年8月在浙江杭州举行。信息安全作品赛和网络安全人才创新创业发展论坛是两项重要活动。信息安全作品赛以自主设计为主题,参赛者需遵循相关规定提交作品。网络安全人才创新创业发展论坛则围绕网安产业趋势和技术热点,促进人才培养和大学生创新创业,提供多样化的演讲和互动机会。
10.附下载 |Verizon发布2023年度数据泄露调查报告
根据Verizon发布的2023年数据泄露调查报告(DBIR)显示,人为因素占据了总体漏洞的74%。这些因素包括人们的错误行为、滥用特权、使用被盗证书或社交工程等手段。勒索软件持续作为入侵的顶级行动类型之一,虽然其占比没有增长,但在各种规模和行业的组织中都普遍存在。过去两年中,勒索软件的中位数成本翻了一番,达到2.6万美元,其中95%的事件造成的损失在100万至225万美元之间。此外,报告还指出,虽然间谍活动在媒体上受到广泛关注,但只有3%的威胁行为者的动机是间谍活动,而其他97%的动机是出于经济利益。此外,报告还提到了Log4j漏洞的扫描活动、外部攻击者利用的主要方式,以及加强高层领导保护的重要性。
11.OpenAI全球启动百万美元网络安全创新扶持计划
6月1日,OpenAI发布公告称,正在启动一项“网络安全拨款计划”。该计划投入100万美元,以此量化和提升人工智能驱动网络安全的能力,促进高水平人工智能和网络安全的“进化”。日前,OpenAI公司宣布启动一项面向全球组织/个人的网络安全创新扶持计划,累计投入的资金额将超过100万美元。据OpenAI介绍:该项目旨在进一步量化和提升由人工智能技术驱动的新一代网络安全能力建设,并促进高水平人工智能技术和网络安全应用间的协同融合。
ADVANCED TECHNOLOGY
1.2023全球信息安全会议隐私计算领域,国内学者优秀成果盘点
近日,在2023年USENIX 安全研讨会(USENIX Security Symposium-2023)上,共计发表了隐私计算相关文章51篇,涉及联邦学习、同态加密、安全多方计算等多个隐私计算领域,除了技术类文章本次会议还发布了相关的行业隐私调研。每年的USENIX 安全研讨会都会汇集大量研究人员、从业人员、系统管理员、系统程序员和其他对计算机系统、网络安全和隐私最新进展感兴趣的人,今年的会议上国内学者贡献了非常多的优秀成果,本文选取几个热门领域来简单盘点一下。
2.盘点丨美国隐私计算技术的发展现状和应用案例
目前在美国,隐私计算技术主要用来满足相关监管要求,但在未来这些技术将可能成为合作各方相互信任的关键。本文将从以下4个部分展开:1.简述当前美国隐私计算发展背景;2.介绍不同类型的数据协作框架:私有数据收集、数据保险库、数据清理室和无需信任的数据市场;3.讨论营销、去中心化金融 (DeFi)、医疗保健和金融领域的新兴用例;4.讨论美国隐私计算技术的现状和未来展望。
3.综述 | 面向边缘智能的联邦学习
与传统基于云计算的集中式机器学习相比,边缘网络环境下联邦学习借助移动边缘设备共同训练机器学习模型,不需要把大量本地数据发送到云端进行处理,缩短了数据处理计算节点与用户之间的距离。在边缘网络环境下,由于通信资源和计算资源受限,联邦学习的性能依赖于无线网络状态、终端设备资源以及数据质量的综合限制。本文首先分析了边缘智能环境下高效联邦学习面临的挑战,然后综述联邦学习在客户端选择、模型训练与模型更新等关键技术方面的研究进展,最后对边缘智能联邦学习的发展趋势进行了展望。
4.基于椭圆曲线的混合加密方案(ECIES)
借助 ECC(椭圆曲线密码),我们可以在利用公钥加密的强大功能的同时,实现对称加密的速度和安全性,因此我们慢慢转向实际场景,围绕以下几个分类展开:(1)公钥密钥交换协议(2)公钥加密(3)基于哈希的密钥推导(HKDF)(4)对称加密。以上所有的加密算法都与大多数系统兼容,Bob 和 Alice 可以选择一条椭圆曲线来定义他们的密钥对,然后使用给定的哈希算法计算加密密钥,这些通常都是通过 HKDF(HMAC 密钥派生函数)实现的。对于在实际场景中,我们通常使用对称加密,因为这比公钥加密快得多。
5.基于聚类法改进 JA3 指纹识别的恶意加密流量识别
随着互联网的发展及政务、商务领域电子化的普及,基于信息安全和隐私保护的需求,以及人们的信息安全意识日益提高。现阶段,数据的传输和通信大量采用加密技术,使加密流量呈爆发式增长。加密流量在保护个人数据安全的同时也让恶意流量的传播变得更加隐蔽,恶意加密流量检测已经成为信息安全领域的一个重要研究方向。基于此,提出一种基于JA3 指纹识别技术的恶意加密流量识别方法,在传统 JA3技术的基础上通过聚类法识别恶意流量,不经过解密即可对加密流量进行识别。
6.笔记分享 | 密码学:隐私求交之不经意的伪随机函数构造
本文是《笔记分享 | 组队学习密码学(3)——隐私求交的关键路径及其应用》的续集,本章主要介绍不经意的伪随机函数构造。更多内容可以关注“隐私计算研习社”。
7.笔记分享 | 密码学:隐私求交的关键路径及其应用
隐私求交(PSI)是一种用于在保护隐私的情况下共享和分析数据的方法。它允许多个参与方在不泄露详细数据的情况下查找彼此的共同元素。为了增强隐私保护,PSI协议使用加密技术和安全多方计算,确保数据在传输和处理过程中的保密性和安全性。华东师范大学的研究生杨赟博士详细介绍了PSI的关键路径和应用,这对于隐私保护领域的数据共享和分析任务具有重要意义。
RECOMMENDED READING
1.什么是隐私计算?如何应用与规制?
隐私计算是在保障数据安全前提下,实现数据价值合规有序释放的技术体系。主要包括,基于协议规则的安全多方计算、基于现代密码学的联邦学习、基于硬件闭环的可信执行环境、基于信息论和概率论的差分隐私以及构建于格密码算法之上的同态加密等技术。党的二十大报告重申了建设“网络强国、数字中国”的发展愿景,隐私计算对于训练大语言模型、抹平数据飞轮效应意义重大。尽管如此,隐私计算同样可能带来决策失误、权益侵害、隐私泄露等风险。当务之急,是结合我国国情,厘清隐私计算的行业价值及潜在风险,以便有针对性地从技术和法律两方面补齐风控短板。
2.生活中的数据泄露隐患该如何防护
随着我国互联网的发展和普及,数据泄露的安全隐患也在不断增加。数据窃取、泄漏和丢失是常见的数据泄露方式。在办公场景中,移动存储设备和网上办公带来了信息泄露的风险,需要加强保密意识和采取相应的防范措施。此外,日常生活中的即时通信和钓鱼攻击也是导致数据泄露的风险来源。人们应该注意避免在社交媒体上分享敏感信息,警惕钓鱼邮件和恶意链接,并提高对数据保护的意识。加强信息数据保护工作,提升安全防范意识是当务之急。
3.之江实验室发布《生成式大模型安全与隐私白皮书》
生成式大模型如ChatGPT已经在学术研究和社会生活中带来了重大变革,显示了通向通用人工智能的潜力。然而,研究人员也意识到生成式大模型面临数据和模型安全隐患。美国白宫与谷歌、微软、OpenAI、Anthropic等公司的CEO们召开会议,讨论AI生成技术的风险和负责任开发,制定有效监管措施。国内的生成式大模型技术也在发展,但需同时关注安全问题,避免潜在危害。之江实验室的人工智能与安全团队发布了ChatGPT安全与隐私问题白皮书,旨在为技术人员提供指导,并为AI政策制定者提供依据。
4.加强密码科技自主创新护航数字经济发展
新修订的《商用密码管理条例》对商用密码科技创新具有重大意义,为我国密码科技发展提供了法律支持和制度保障。近年来,我国商用密码科技创新能力不断增强,产业应用繁荣壮大,取得了显著成绩。在新条例颁布的机遇下,我们应努力提升密码科技创新能力,加强抗量子密码算法研究,构建自主创新密码产品体系,为数字经济发展护航。密码技术是数字经济数据安全的核心支撑,密码科技创新在数字经济时代具有重要意义。
5.附全文丨《2023年中国人工智能行业概览》发布
头豹研究院发布了《2023年中国人工智能行业概览》。报告指出,中国人工智能企业目前处于发展初期,主要专注于框架搭建和应用解决方案,不断创新以打造高质量产品和降低成本。然而,AI模型落地面临多个问题,包括项目周期长、部署敏捷性差、交付成本高、生产环境不确定性和高运维成本等。中国人工智能解决方案市场规模快速增长,预计到2027年将达到1537.2亿元人民币,尤其在制造、交通、金融和医疗等领域实现大规模应用。中国AI开发平台市场也在迅速扩大,预计到2025年将达到365亿元人民币。
6.高新民:重视数据基础设施建设
5月27日,以“深挖数据价值 创新提质发展”为主题的2023产业数据价值化峰会暨数栖大会在杭州召开。国家信息化专家咨询委员会委员、中国互联网协会咨询委员会委员高新民出席并分享主题为《重视数据基础设施建设》的演讲。他认为数据基础设施的建设至关重要,包括数据互操作和数据建模基础设施。他倡导重视数据共同体概念,推动数据基础设施和制度的建设,实现数据流通和数据场景融合,从而释放数据的价值。
7.从司法实践看数据合规边界系列之个人信息权利的实现
在《个人信息保护法》中,个人信息主体并非享有个人信息权,而是享有个人信息处理活动中的权益。这是为了平衡数据共享利用与个人信息主体利益之间的关系。个人信息主体享有积极防御的权益,包括人格权益和财产权益。《个人信息保护法》明确规定了个人在个人信息处理活动中的权利,以强制要求个人信息处理者履行相关义务。这与其他国家的个人信息保护法律类似,旨在确保个人信息权益得到保护。本文结合具体案例分析了个人信息权利实现的合规边界。
8.美国国会研究处发布新报告:《生成人工智能和数据因素:初探》
根据国会研究服务处发布的报告《生成人工智能和数据因素:初探》,该报告对生成式人工智能进行了定义,并解释了其工作原理和数据使用的担忧。报告指出,当前缺乏全面的数据隐私法,生成式人工智能和其他人工智能工具可能存在潜在的隐私侵犯问题。建议国会考虑颁布全面的联邦隐私立法来解决这些问题,并提出了通知和披露要求、选择退出要求以及删除和最小化要求等三种常见机制。报告还强调国会正在授权有关机构处理人工智能行动,加强对数据窃取的监管,并支持替代技术方法的研究和开发。
编辑:李安国 | 谢彪 | 陈袁园 | 杨博慧
招募丨OpenMPC社区隐私计算研究院诚邀您的加入!
招标 | 近期隐私计算项目招标中标37(山东移动、杭州萧山科技局、数字广东、南方电网、中国电子技术标准化研究院)