Skip to content

一句话定位:数据是 FDE 在客户现场唯一的"高危易燃物"。本专题不谈口号,只谈分级、脱敏、不出域、隐私计算六大门派、LLM 时代新风险,以及在金融/医疗/政务三类现场能跑通的工程化路径。

10.1 FDE 视角下的数据安全全景

FDE 与传统后端工程师的最大区别在于:数据不在自己的机房,也不在自己的合规边界内。一旦进客户现场,工程师面对的往往是核心生产库、个人金融数据、电子病历、政务人口库。任何一次"先把数据导出来跑通再优化"的偷懒,都可能触发个保法第 66 条(最高 5000 万元或上年度营业额 5% 罚款)或数据安全法第 45 条的行政处罚,甚至刑事责任。

FDE 必须在 Day-0 就把数据安全拆成五个互相独立、但必须同时成立的维度:

维度核心问题典型控制措施责任方
分级这份数据属于公开/内部/敏感/核心哪一级?数据资产盘点表、敏感字段标签、密级标注业务方 + 数据所有者
脱敏字段明文是否必须离开生产域?静态脱敏(SDM)、动态脱敏(DDM)、掩码、泛化数据工程 + 应用
不出域数据能否物理离开客户机房/政务云?TEE、联邦学习、MPC、数据沙箱架构 + 安全
权限谁、在什么时间窗、以什么身份能访问什么字段?RBAC/ABAC、行级/列级权限、临时凭证身份与访问管理
审计出事了能不能 10 分钟内还原"谁、何时、对哪条记录、做了什么"?全量访问日志、HSM 签名、操作录像、不可篡改账本合规 + 安全运营

一个常见的现场误区是把"等保 2.0 三级"等同于"数据安全已闭环"。等保 2.0(GB/T 22239-2019)解决的是信息系统层面的安全技术与管理要求,而 PIPL(2021 年 11 月施行)和 DSL(2021 年 9 月施行)解决的是数据行为层面的合法性基础、告知同意、跨境传输、安全事件报告。FDE 在做方案评审时,应当同时画三张图:数据流图(DFD,标出每一个跨信任域的箭头)、密级矩阵(字段 → 等级 → 可见角色)、合规对照表(每个数据处理行为对应的法律依据)。

10.2 脱敏:最便宜也最容易翻车的第一道闸

脱敏(Data Masking / De-identification)是性价比最高的措施,也是审计中最先被扣分的环节。FDE 在现场首先要确认客户用的是静态脱敏还是动态脱敏,两者代价和能力完全不同。

静态脱敏(SDM) 用于把生产数据导出到测试/分析环境。常见技术:

  • 替换(Substitution):真实姓名 → 字典随机姓名,手机号 → 同号段随机号。
  • 掩码(Masking)138****1234、身份证保留前 6 后 4。
  • 泛化(Generalization):年龄 27 → 区间 [25,30];GPS 坐标降到邮政编码精度。
  • 扰动(Perturbation):数值加噪声,如收入 ±10%。
  • 散列(Hashing):用于 join key 而非展示,配合加盐防彩虹表。

动态脱敏(DDM) 在查询时按角色实时改写结果,原库不动。Oracle、PostgreSQL(pg_datamasking + row_security)、Hive Ranger 都支持。例:

sql
-- PostgreSQL: 基于角色的列级脱敏策略
CREATE POLICY mask_phone ON users
  FOR SELECT TO analyst
  USING (
    regexp_replace(phone, '(\d{3})\d{4}(\d{4})', '\1****\2') = phone
  );

FDE 现场检查清单(脱敏部分)

  1. 敏感字段清单是否覆盖手机号、身份证、银行卡、邮箱、IP、MAC、IMEI、人脸、指纹、基因、行踪轨迹、14 岁以下儿童信息(PIPL 第 28 条敏感个人信息)。
  2. 测试库是否仍残留真实生产数据?这是 2018 年某航司、2022 年多家医院泄露事件的直接根因。
  3. 脱敏规则是否可逆可审计——审计时需要能反查"这条脱敏数据来自哪条原始记录",否则事故定责无据。
  4. 离线导出的脱敏数据是否设了 TTL,过期自动销毁。

经验法则:脱敏解决不了"必须用明文做联合建模"的场景。那种场景请直接进入 10.3–10.5 的隐私计算。

10.3 差分隐私(DP):从数学上给"可识别性"上锁

传统"匿名化"(去姓名、去身份证)已被反复证明不安全。著名的 AOL 搜索日志事件(2006)、《纽约时报》仅凭搜索记录反查到一位 62 岁乔治亚州寡妇;Netflix Prize 数据集被 Narayanan 等人用 IMDB 评分做链接攻击去匿名化。k-匿名、l-多样性、t-贴近是改进,但仍无法抵抗具备背景知识的攻击者。

差分隐私(Differential Privacy, DP) 由 Dwork 等人 2006 年提出,是目前公认最强的形式化隐私保证:

对于任意两个只差一条记录的数据集 $D$、$D'$,算法 $M$ 在两者上输出相同结果 $O$ 的概率比值不超过 $e^\varepsilon$: $\Pr[M(D)=O] \le e^\varepsilon \cdot \Pr[M(D')=O]$

$\varepsilon$ 越小,隐私越强,但可用性越低。实际工程中常用 $\varepsilon \in [0.1, 1]$,Apple 在 iOS 键盘 emoji 使用统计用 $\varepsilon=1$、Google 在 RAPPOR 用 $\varepsilon=1$(并配合 $\delta<10^{-9}$ 的 $(\varepsilon,\delta)$-DP)。美国 2020 年人口普查用 DP 后导致若干县数据出现统计偏差,引发可用性争议——这印证了"DP 不是免费午餐"。

两种机制:

  • 拉普拉斯机制:对数值查询结果加 $\text{Laplace}(0, \Delta f/\varepsilon)$ 噪声,$\Delta f$ 为查询灵敏度(一条记录对结果的最大改变)。
  • 指数机制:在离散输出空间按指数概率选择,适合非数值场景。
python
# 用 Google 的 PipelineDP 或 OpenDP 实现
import opendp.prelude as dp
# 计数查询 + epsilon=1.0 的拉普拉斯机制
counter = (
    dp.t.make_count(TIA=dp.i32) >>
    dp.m.make_laplace(T=dp.i32, scale=1.0/1.0)
)
sanitized_count = counter([1, 1, 0, 1, 0, 0])  # 真实=3,输出含噪声

FDE 工程要点

  • DP 是"隐私预算"模型,$\varepsilon$ 必须全局记账(composition),反复查询会耗尽预算;长期系统要用 RDP(Rényi DP)或 zCDP 做更紧的组合界。
  • DP 不能直接保护高维原始数据本身,必须配合聚合查询;它和联邦学习、TEE 是互补而非替代。

10.4 联邦学习(FL):数据不动模型动

Google 2016 年提出 Federated Learning,核心思想:原始数据留在终端/机构本地,只上传模型梯度或参数。横向联邦适合样本重叠、特征相同(多手机用户);纵向联邦适合样本相同、特征互补(同一批用户在银行 + 电商)。

横向联邦典型流程

  1. 中心协调方下发初始模型 $w_0$。
  2. 各参与方 $k$ 在本地数据上算梯度 $g_k$。
  3. 上传 $g_k$(常配合 DP 加噪、或用 Secure Aggregation 聚合使中心看不到单方梯度)。
  4. 中心加权平均:$w_{t+1} = w_t - \eta \sum_k \frac{n_k}{n} g_k$。
  5. 下发新模型,循环至收敛。

纵向联邦代表是 Federated XGBoost / SecureBoost(微众银行 FATE 开源),通过同态加密或多方安全计算在样本对齐(PSI,隐私求交)后,让各方只贡献自己特征的分裂增益,最终得到一棵"明文模型"或"加密模型"。SecureBoost 在数学上等价于明文 XGBoost,但训练过程中没有任何一方能看到完整特征。

已知攻击与防护

  • 梯度反演(Gradient Inversion / DLG):Zhu 等 2019 年证明从梯度可重构原始图像,Batch 越大越难,小 Batch + 高分辨率图像风险最高。防护:大 Batch、梯度裁剪、梯度 DP、Secure Aggregation。
  • 投毒攻击(Poisoning):恶意参与方上传篡改梯度。防护:多方聚合的异常检测、贡献度度量(Shapley Value)、Robust Aggregation(Krum、trimmed mean)。
  • 后门攻击(Backdoor):在 FL 中嵌入触发词。防护:模型水印、稀疏化限制单方影响。

工程化栈:FATE、PaddleFL、TensorFlow Federated、NVIDIA FLARE、FedML。FATE 在国内金融联合风控落地最广,FLARE 在医疗影像多中心研究常见。

10.5 多方安全计算(MPC)、同态加密(HE)与可信执行环境(TEE)

这三者常被并列称为"隐私计算三大流派",但代价天差地别。

10.5.1 多方安全计算(MPC)

MPC(Secure Multi-party Computation)源自 Yao 1982 年的"百万富翁问题":两方能否在不暴露各自财富的前提下比较谁更富?经典协议包括 Yao 混淆电路(Garbled Circuit) 适合两方布尔电路,GMW 协议 支持多方,秘密共享(Secret Sharing,Shamir / additive) 适合算术运算,不经意传输(OT) 是底层原语。

代表框架:MP-SPDZ、Sharemind、ABY、Conclave(基于 Obliv-C / OblivVM)。性能量级:纯 MPC 做一次百万样本的逻辑回归,比明文慢 100–1000 倍,因此工程上 MPC 通常**只在"求交 + 少量计算"或"高敏感低吞吐"**场景单独使用,更多时候与 FL/TEE 组合。

10.5.2 同态加密(HE)

允许在密文上直接运算,解密结果等于明文运算结果。

  • 半同态(FHE/Partially):Paillier(加法同态)是金融用量最大的方案,FATE SecureBoost 大量使用。BFV/BGV 支持 integer,CKKS 支持近似浮点。
  • 全同态(FHE):Gentry 2009 年 bootstrapping 突破;目前 Microsoft SEAL、IBM HELib、Zama Concrete、OpenFHE 仍是"秒级操作"而非"毫秒级",开销比明文大 $10^4$–$10^6$ 倍。
  • 工程技巧:用 打包(SIMD) 提升吞吐、用 层次化(leveled) 避免 bootstrapping、用 HE + MPC 混合 取长补短。

10.5.3 可信执行环境(TEE)

TEE 是硬件级隔离的可信区,代表是 Intel SGX / TDXARM TrustZone / CCAAMD SEV-SNPAWS Nitro Enclaves华为 TrustZone / 安 kunpeng TrustDomain。其优势是性能接近明文(开销通常 < 5%–30%),劣势是信任根在硬件厂商和 CPU 微码

┌──────────────── 隐私计算平台架构(通用) ────────────────┐
│                                                            │
│   ┌──────────── 应用层(联合风控 / 联合建模 / 隐私查询) │
│   ├──────────── 算法层(FL / DP / MPC / HE 算法库)       │
│   ├──────────── 调度层(任务编排、PSI 求交、审计)         │
│   ├──────────── TEE 层(SGX Enclave / TrustZone / 飞地)  │
│   ├──────────── 密钥层(HSM / KMS / 远程证明)            │
│   └──────────── 数据层(各方生产库 / 政务数据湖 / 影像库) │
│                                                            │
│   横切:身份/权限(IAM/ABAC) 全量日志 合规审计 跨境评估     │
└────────────────────────────────────────────────────────────┘

已知 TEE 攻击:Spectre/Meltdown 类侧信道、Foreshadow (SGX)、Plundervolt、LVI、SGAxe、ÆPIC Leak。FDE 在选型时必须问三件事:

  1. CPU 是否在漏洞缓解列表中、微码版本是否更新。
  2. 是否支持远程证明(Remote Attestation)——客户能否在发送数据前验证 Enclave 的代码哈希与运行环境。
  3. 是否能跑机密计算而非只是"密码学隔离"。

TEE 与 FL 组合的典型联邦学习架构

   参与方 A                  参与方 B                 参与方 C
   本地数据                  本地数据                 本地数据
      │                         │                        │
      │  加密梯度(HTTPS+证书)  │                        │
      ▼                         ▼                        ▼
   ┌──────────── TEE 协调节点(SGX/TDX Enclave)────────────┐
   │  1. 远程证明:各参与方验证 Enclave 度量值              │
   │  2. Secure Aggregation:明文梯度只在 Enclave 内可见    │
   │  3. 加噪(DP) + 加权平均                              │
   │  4. 输出加密模型 → 下发各方                            │
   └──────────────────────────────────────────────────────────┘

这种架构让中心节点"看得见梯度但拿不到原始数据、且对结果可加噪",是蚂蚁摩斯、华控清基、翼方健儿、冲量在线等国内隐私计算平台的主流落地形态。

10.6 隐私计算在金融、医疗、政务的典型落地

金融:联合风控与反欺诈

场景痛点:单一银行只有本行客户的借贷与流水,对多头借贷、跨行欺诈团伙识别能力有限。央行征信中心接入门槛高,地方城商行/消金/互联网小贷难以覆盖。

典型方案:多方联合建模(纵向 FL + SecureBoost)

  • 参与方:银行 A(信贷标签)、电商平台 B(消费行为)、运营商 C(通讯行为)。
  • 流程:PSI 隐私求交得到共同客户集合 → 各方本地计算特征分裂增益(HE 加密上传)→ 中心聚合得 SecureBoost 模型 → 模型下发各方本地推理。
  • 业务效果:AUC 通常比单方模型高 3–8 个百分点;某股份制银行 2022 年披露联合反欺诈模型在团伙识别上召回率提升约 40%。

合规要点:联合建模不得绕过 PIPL 的"告知同意"。各参与方须在其隐私政策中向用户披露"为反欺诈/风控目的,与第三方在不可逆算法下进行联合计算",否则属于未取得单独同意处理敏感个人信息。

医疗:跨机构多中心研究与罕见病

场景痛点:单一三甲医院的某罕见病样本数 < 100,无法训练有效 AI 模型;但病历含大量敏感个人信息(PIPL 第 28 条)和人类遗传资源(受《人类遗传资源管理条例》约束,跨境合作需审批)。

典型方案:联邦学习 + TEE

  • 多家三甲医院本地训练肺结节/糖网/乳腺癌影像模型(横向 FL)。
  • 影像库(DICOM,单例数百 MB)通过 TEE 沙箱训练,梯度上传中心聚合。
  • 代表项目:NVIDIA FLARE 在 20+ 家医院的多中心研究;国内复旦、协和、中山大学附属的多项 FL 临床研究。

实操红线

  1. 出具伦理委员会批件(IRB Approval)。
  2. 患者知情同意书必须明确"数据将用于多中心 AI 研究、且可能采用隐私计算"。
  3. 人类遗传资源(HGR)材料/信息出境需科技部审批,《生物安全法》第 56 条、《人类遗传资源管理条例》第 22 条。
  4. 模型上线后做回顾性验证(Retrospective Validation),避免分布漂移导致漏诊。

政务:政务数据协同与"数据要素 ×"

2022 年"数据二十条"、2023 年《"数据要素 ×"三年行动计划》后,各地数据交易所、公共数据授权运营平台兴起。痛点是:部门数据"不愿共享、不敢共享、不会共享"

典型方案:数据沙箱 + 可信计算

  • 政府/数源部门数据不出域,企业算法进沙箱。
  • 典型实现:北京国际大数据交易所、上海数据交易所的"隐私计算节点 + 数据产品登记",深圳、贵阳、杭州的公共数据授权运营平台。
  • 技术栈:TEE(如鲲鹏 TrustDomain、海光 CSV)+ 任务审批 + 全量审计 + 计费。

10.7 LLM 时代的隐私新风险与防护

大模型引入了三类全新风险,传统数据安全框架不能覆盖。

风险一:训练数据记忆与泄露

Carlini 等 2021 年证明 GPT-2 通过"提取攻击"可恢复训练语料中的真实 PII(姓名、电话、URL、SSN)。规模越大、重复次数越多的样本越容易被精确复现。

防护

  1. 训练前去重:MinHash / SimHash 去重,减少高频敏感片段。
  2. 训练时加 DP-SGD:Abadi 等 2016 提出,对梯度裁剪 + 加噪,OpenAI、Microsoft、Google 内部已用于部分产品。
  3. 训练后遗忘(Machine Unlearning):当收到删除请求(GDPR 第 17 条被遗忘权、PIPL 第 47 条删除权),能用 SISA 训练(Bourtoule 等 2021)或影响函数近似实现"删除一条样本",无需重训。

风险二:Prompt 注入与上下文泄露

企业把客户订单、内部报表喂进 Prompt,攻击者通过 prompt injection 诱导模型把前文 PII 吐出来。2023 年 ChatGPT 早期版本曾因 bug 让部分用户看到他人聊天标题。

防护

  1. Prompt 脱敏:把身份证/手机/卡号先做正则掩码再送模型。
  2. 结构化隔离:用 RAG 把检索结果放在 <context> 标签内,并在系统提示词强制"仅基于 context 回答,禁止输出 context 之外的 PII"。
  3. 输出过滤:用 PII Detector(如 Microsoft Presidio)做二次清洗后再展示给下游。
  4. 上下文隔离:多租户场景下,每个用户/租户的会话必须隔离,禁用跨会话记忆。

风险三:嵌入向量库与缓存泄露

RAG 的向量库(embedding + 原文 chunk)实质是另一份"含 PII 的数据集",且常被忽视。

防护

  1. 入库前脱敏,或在 chunk 上加密、按租户分库。
  2. 向量库与对话日志设 TTL,配合定期清理。
  3. 缓存(如 Redis)启用 TLS + KMS 加密,禁止明文落盘。
python
# Presidio 脱敏示例(OpenAI SDK 调用前预处理)
from presidio_analyzer import AnalyzerEngine
from presidio_anonymizer import AnonymizerEngine

analyzer, anonymizer = AnalyzerEngine(), AnonymizerEngine()
def sanitize(text, lang="zh"):
    results = analyzer.analyze(text=text, language=lang,
                               entities=["PHONE_NUMBER","ID_CARD","EMAIL_ADDRESS","CREDIT_CARD"])
    return anonymizer.anonymize(text=text, analyzer_results=results).text

clean_prompt = sanitize(user_input)
response = openai.ChatCompletion.create(model="gpt-4o",
    messages=[{"role":"user","content": clean_prompt}])

10.8 合规框架对照

FDE 在评审方案时,应同时对照五大框架,缺一不可。

框架关键要求对 FDE 的硬性约束
PIPL《个人信息保护法》(2021)处理依据(同意/合同/法定)、敏感信息单独同意、最小必要、跨境需安全评估或 SCC、数据可携带、删除权、个人信息保护影响评估(PIA)处理敏感信息前做 PIA;跨境前走网信办安全评估或签订 SCC;不得以"不同意"为由拒绝基本服务
DSL《数据安全法》(2021)数据分级分类、重要数据出境安全评估、核心数据严格保护、数据安全负责人建立数据分级制度;核心数据不得出境;年度风险评估
等保 2.0(GB/T 22239-2019)信息系统五级保护,三级及以上需等保测评、密码评估(GB/T 39786)关键系统至少三级;商用密码应用安全性评估(密评)
GDPR(欧盟,2018)合法依据、数据主体权利(访问/更正/删除/携带/反对)、DPIA、设计隐私(Privacy by Design,Art.25)、数据保护官(DPO)处理欧盟数据主体数据须 DPIA;默认最小化;72 小时内报告数据泄露
HIPAA(美国,1996)Privacy Rule、Security Rule、Breach Notification Rule、PHI 18 项标识符医疗数据处理须 Business Associate Agreement(BAA);去标识化(Safe Harbor 删除 18 项标识符或 Expert Determination)

PIPL 与 GDPR 的关键差异

  • PIPL 强调"单独同意"(敏感信息、跨境、公开、向第三方提供),GDPR 用"明确同意"或"合同履行"等多种依据。
  • PIPL 跨境机制:安全评估 / SCC 认证 / 标准合同(2023 年《规范和促进数据跨境流动规定》放宽了部分场景)。
  • PIPL 罚款上限(5000 万或营业额 5%)显著高于 GDPR(2000 万欧元或 4%)的个人门槛,但 GDPR 有更成熟的数据主体民事诉讼机制。

10.9 选型与落地权衡

FDE 在客户现场做方案选型,本质是在四个轴上做帕累托权衡:性能、安全性、合规适配度、成本

技术典型开销 vs 明文安全信任根合规适配适用场景
脱敏~1×规则正确性通用测试/分析环境、低敏感展示
差分隐私聚合查询 1–2×,训练 2–5×数学证明 + 预算管理统计发布、人口普查聚合统计、联邦学习加噪
联邦学习训练 1.2–3×(通信开销大)协议 + Secure Agg多方协作多机构联合建模
MPC10²–10³×密码学协议高敏感低吞吐隐私求交、密码运算
同态加密全同态 10⁴–10⁶×,加法同态 10–50×密码学关键值计算联邦聚合、安全查询
TEE5%–30%硬件 + 远程证明性能敏感场景数据沙箱、联邦协调

FDE 落地决策树

  1. 数据能否明文出生产域?能 → 脱敏即可,最低成本。
  2. 不能出域,但可在本地用同业聚合?→ 联邦学习 + DP 加噪。
  3. 跨机构需精确计算且吞吐低?→ MPC 或同态加密(通常配合 PSI 求交)。
  4. 性能敏感、可信任硬件根?→ TEE 沙箱(远程证明 + 全量审计)。
  5. 真实工程往往是 TEE + FL + DP 的组合拳,而非单一技术。

成本隐性维度:除算力外,还须计入(a)密钥管理(HSM 单台十万级、KMS SaaS 按调用计费)、(b)合规咨询与 PIA 评估、(c)等保与密评测评、(d)人员培训、(e)长期运营(监控、补丁、再评估)。

10.10 FDE 现场实战清单

下面这份清单来自多个驻场项目的提炼,建议作为 FDE 进场后第一个工作日内必须逐项确认的事项。

Day-0(进场 24 小时内)

  • [ ] 拿到客户的数据分级管理办法原文,确认所涉及数据的密级。
  • [ ] 找到数据所有者(Data Owner)和安全负责人,明确授权链。
  • [ ] 签订 NDA 与数据处理协议(DPA / 保密协议)。
  • [ ] 确认是否涉及敏感个人信息、未成年人信息、人类遗传资源。
  • [ ] 走 PIPL 第 55 条 PIA / GDPR Art.35 DPIA 评估流程。

Day-1 至 Day-7

  • [ ] 画数据流图(DFD),标注每个跨信任域的箭头。
  • [ ] 字段级密级矩阵:字段 → 等级 → 角色 → 处理目的 → 留存期。
  • [ ] 确认开发/测试环境是否使用真实数据,必要时切到静态脱敏。
  • [ ] 检查日志与监控是否记录敏感字段明文(OpenTelemetry、APM 配置常见坑)。
  • [ ] 验证 KMS/HSM 是否可用,密钥轮换周期。

Day-7 至交付

  • [ ] 隐私计算方案选型 + 性能压测(务必用真实样本规模,不用 demo 数据)。
  • [ ] 远程证明与代码度量值固化(防供应链篡改)。
  • [ ] 全量审计日志接入 SIEM,签名 + 异地备份。
  • [ ] 演练一次数据泄露应急:从发现到上报客户 CISO、再到走 PIPL 第 57 条向网信部门报告的 24 小时窗口。
  • [ ] 交接文档含数据流图、密级矩阵、PIA 报告、密钥清单、应急预案。

红线(一旦触碰立即上报)

  • 任何形式的"先把生产数据 dump 到本地笔记本"。
  • 把含 PII 的数据集上传到公有云对象存储且未加密。
  • 用个人微信/邮箱传输客户数据。
  • 在公开 GitHub issue / StackOverflow 提问时泄露真实数据片段。
  • 模型训练前未做去重与 PII 扫描即投入 LLM 微调。

10.11 常见误区与避坑

  1. "上了隐私计算就万事大吉":隐私计算只保证"数据流通过程"的安全,不替代分级、权限、审计。某银行曾上线 FL 平台但 KMS 密钥硬编码在代码里,被红队一锅端。
  2. "等保三级 = 数据安全":等保针对系统,数据安全针对行为;两者不可互相替代。
  3. "差分隐私 ε 越小越安全":ε 太小模型可用性崩塌,工程上 ε=∞(不保护)和 ε=0(无信息)都不可取,需要可用性—隐私权衡曲线实测。
  4. "TEE 是黑盒所以安全":侧信道攻击、微码漏洞、固件供应链风险长期存在,远程证明和补丁管理是底线。
  5. "LLM 是黑盒所以隐私自动有保障":训练记忆、prompt 泄露、向量库泄露都可能成事故源。
  6. "联邦学习天然合规":FL 只是减少原始数据流动,参与方仍需各自完成告知同意、PIA、跨境评估。

本专题小结

数据安全与隐私计算是 FDE 在客户现场最容易"翻车"也最不可逆的领域。本专题给出了五维全景(分级/脱敏/不出域/权限/审计)、六大门派技术(脱敏、DP、FL、MPC、HE、TEE)的真实代价与适用边界,并在金融联合风控、医疗多中心研究、政务数据协同三类现场给出了可落地的架构与合规要点。LLM 时代新增训练记忆、prompt 泄露、向量库泄露三类风险,必须用去重、DP-SGD、Presidio 脱敏、机器遗忘、租户隔离等手段对冲。五大合规框架(PIPL/DSL/等保 2.0/GDPR/HIPAA)必须同时对照,不能以偏概全。FDE 的工程哲学是:先分级再选型、先脱敏再计算、能不出域就不出域、必须出域就上隐私计算、所有动作全程留痕。性能与安全的权衡没有银弹,只有清晰的决策树和严格执行的现场清单。

本专题来源

  • 《中华人民共和国个人信息保护法》(PIPL,2021 年 11 月 1 日施行)。
  • 《中华人民共和国数据安全法》(DSL,2021 年 9 月 1 日施行)。
  • 《中华人民共和国网络安全法》(2017)。
  • GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(等保 2.0);GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》(密评)。
  • 国家网信办《数据出境安全评估办法》(2022)、《个人信息出境标准合同办法》(2023)、《促进和规范数据跨境流动规定》(2024)。
  • 《人类遗传资源管理条例》(2019);《生物安全法》(2021)。
  • Regulation (EU) 2016/679 General Data Protection Regulation(GDPR),含 Art.25 Privacy by Design、Art.35 DPIA、Art.17 被遗忘权。
  • HIPAA Privacy Rule(45 CFR §164.500)、Security Rule(§164.302)、Safe Harbor 18 identifiers。
  • C. Dwork et al., "Calibrating Noise to Sensitivity in Private Data Analysis"(TCC 2006),差分隐私奠基论文。
  • M. Abadi et al., "Deep Learning with Differential Privacy"(CCS 2016),DP-SGD。
  • H. B. McMahan et al., "Communication-Efficient Learning of Deep Networks from Decentralized Data"(AISTATS 2017),Federated Averaging。
  • L. Zhu et al., "Deep Leakage from Gradients"(NeurIPS 2019),梯度反演攻击。
  • N. Carlini et al., "Extracting Training Data from Large Language Models"(USENIX Security 2021)。 | L. Bourtoule et al., "Machine Unlearning"(S&P 2021),SISA。
  • Google RAPPOR、Apple iOS Differential Privacy 部署披露;U.S. Census Bureau 2020 Census Disclosure Avoidance System。
  • 开源框架与平台文档:OpenDP、PipelineDP、Google TensorFlow Federated、NVIDIA FLARE、FATE(微众银行)、PaddleFL、FedML、MP-SPDZ、Microsoft SEAL、IBM HELib、Zama Concrete、Intel SGX / TDX、ARM TrustZone、AMD SEV-SNP、AWS Nitro Enclaves、Microsoft Presidio。
  • 行业案例:中国信通院《隐私计算白皮书》、北京/上海/深圳/贵阳数据交易所公开技术资料。

本站由原始 Markdown 调研报告自动构建 · 原文未改动