信通院-數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）-2023.11

數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告(2023年)中國信息通信研究院泰爾終端實驗室中國廣告協(xié)會螞蟻科技集團股份有限公司2023年11月版

權(quán)

聲

明本報告版權(quán)屬于中國信息通信研究院、中國廣告協(xié)會和螞蟻科技集團股份有限公司，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點的，應(yīng)注明“來源：中國信息通信研究院、中國廣告協(xié)會和螞蟻科技集團股份有限公司”。違反上述聲明者，編者將追究其相關(guān)法律責任。前

言2022年12月19日，中共中央、國務(wù)院《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》對外發(fā)布（簡稱“數(shù)據(jù)二十條”）?！皵?shù)據(jù)二十條”指出，以習近平新時代中國特色社會主義思想為指導，深入貫徹黨的二十大精神，完整、準確、全面貫徹新發(fā)展理念，加快構(gòu)建新發(fā)展格局，堅持改革創(chuàng)新、系統(tǒng)謀劃，以維護國家數(shù)據(jù)安全、保護個人信息和商業(yè)秘密為前提，以促進數(shù)據(jù)合規(guī)高效流通使用、賦能實體經(jīng)濟為主線，以數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理為重點，深入?yún)⑴c國際高標準數(shù)字規(guī)則制定，構(gòu)建適應(yīng)數(shù)據(jù)特征、符合數(shù)字經(jīng)濟發(fā)展規(guī)律、保障國家數(shù)據(jù)安全、彰顯創(chuàng)新引領(lǐng)的數(shù)據(jù)基礎(chǔ)制度，充分實現(xiàn)數(shù)據(jù)要素價值、促進全體人民共享數(shù)字經(jīng)濟發(fā)展紅利，為深化創(chuàng)新驅(qū)動、推動高質(zhì)量發(fā)展、推進國家治理體系和治理能力現(xiàn)代化提供有力支撐?；ヂ?lián)網(wǎng)廣告是密集型數(shù)據(jù)使用、加工、提供和委托處理的行業(yè)領(lǐng)域。無論是廣告投放還是程序化交易、廣告歸因等場景，無不涉及到個人信息相關(guān)的數(shù)據(jù)在不同機構(gòu)間的快速流轉(zhuǎn)、傳輸、共享和使用等行為，潛在包含了隱私侵害等數(shù)據(jù)流通風險。因而，亟需增強產(chǎn)業(yè)對互聯(lián)網(wǎng)廣告數(shù)據(jù)流通的安全管理，在確保數(shù)據(jù)安全的前提下，激活數(shù)據(jù)要素的自由流通，促進互聯(lián)網(wǎng)廣告產(chǎn)業(yè)的安全、健康、快速發(fā)展。本報告將從數(shù)字廣告數(shù)據(jù)要素流通背景、現(xiàn)狀、面臨的挑戰(zhàn)與數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)等方面展開分析，在梳理平臺設(shè)計思路、平臺技術(shù)架構(gòu)和分析平臺廣告方案特點的基礎(chǔ)上，探索廣告數(shù)據(jù)流通平臺合規(guī)實踐方案，最后從強化政策引領(lǐng)、完善標準體系、加強技術(shù)研究、加快推廣建設(shè)、開展評估檢測等方面給出規(guī)范和發(fā)展數(shù)字廣告數(shù)據(jù)要素流通的對策建議。目

錄一、數(shù)字廣告數(shù)據(jù)要素流通概述

......................................1(一)數(shù)字廣告數(shù)據(jù)要素流通發(fā)展背景...............................1(二)數(shù)字廣告數(shù)據(jù)要素流通概念...................................3(三)數(shù)字廣告數(shù)據(jù)要素流通場景...................................6二、數(shù)字廣告數(shù)據(jù)要素流通現(xiàn)狀和挑戰(zhàn)

................................9(一)數(shù)據(jù)安全相關(guān)政策規(guī)范逐步健全...............................9(二)廣告數(shù)據(jù)安全相關(guān)標準持續(xù)制定..............................11(三)數(shù)據(jù)泄露引發(fā)擔憂，流通意愿待加強..........................12(四)數(shù)據(jù)“孤島”向“平臺”演進，平臺互通待加快

................

14(五)廣告標識符策略收緊，演進方案待升級........................15(六)隱私計算助力數(shù)據(jù)流通，落地應(yīng)用待加深

......................

17(七)匿名化技術(shù)受關(guān)注，實施方案待完善..........................17(八)“告知同意”難實施，機制實現(xiàn)待突破........................18三、數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)

.................................19(一)基礎(chǔ)安全技術(shù)..............................................21(二)可信密態(tài)計算..............................................24(三)受控匿名化................................................26(四)跨域管控技術(shù)..............................................28四、數(shù)字廣告數(shù)據(jù)要素流通保障平臺實踐探索

.........................31(一)基于可信密態(tài)技術(shù)的廣告數(shù)據(jù)流通平臺........................31(二)數(shù)據(jù)匿名化實施服務(wù)平臺....................................39五、數(shù)字廣告數(shù)據(jù)要素流通發(fā)展建議

.................................42(一)加強政策引領(lǐng)，推動社會共建共治............................42(二)強化標準指導，完善數(shù)據(jù)流通體制機制........................43(三)堅持守正創(chuàng)新，加強技術(shù)研究與應(yīng)用..........................43(四)完善基礎(chǔ)設(shè)施，推進平臺建設(shè)與推廣..........................44(五)開展測試評估，加強平臺審核與管理..........................44圖

目

錄圖1

數(shù)字廣告角色.......................................................................................................5圖2

TECC原理示意圖..............................................................................................25圖3受控匿名化流程..................................................................................................27圖4數(shù)據(jù)跨域管控示意圖..........................................................................................29圖5各實體及其間的綁定關(guān)系..................................................................................30圖6數(shù)據(jù)流通平臺示意圖..........................................................................................32圖7數(shù)據(jù)流通平臺原理示意圖..................................................................................35圖8數(shù)據(jù)流通平臺技術(shù)架構(gòu)圖..................................................................................36圖9數(shù)據(jù)匿名化實施思路..........................................................................................40圖10數(shù)據(jù)匿名化實施服務(wù)平臺架構(gòu)圖....................................................................40數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）一、數(shù)字廣告數(shù)據(jù)要素流通概述數(shù)據(jù)的價值在于充分的流通使用。作為新型生產(chǎn)要素，數(shù)據(jù)要素具有獨特的技術(shù)、經(jīng)濟特征，可重新編程性和場景依賴性、用戶體驗性、廣泛賦能性等特征使得數(shù)字環(huán)境下的數(shù)據(jù)要素流通能夠突破傳統(tǒng)時空限制、組織邊界束縛與行業(yè)壁壘，以多源多模態(tài)實時數(shù)據(jù)的無障礙流通與價值增值為核心，深刻改變?nèi)藗兊膶W習工作和生活方式，并為數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的加速發(fā)展奠定基礎(chǔ)。當前，數(shù)據(jù)已被視為構(gòu)建現(xiàn)代化產(chǎn)業(yè)體系的重要組成部分，有序銜接、高效暢通的數(shù)據(jù)使用是優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)、發(fā)展新質(zhì)生產(chǎn)力不可或缺的基礎(chǔ)要件。麥肯錫全球研究所稱，數(shù)據(jù)流動帶來價值已超過全球貨物貿(mào)易的價值。發(fā)展數(shù)字廣告是世界性趨勢，2021年，國家統(tǒng)計局在印發(fā)的《數(shù)字經(jīng)濟及其核心產(chǎn)業(yè)統(tǒng)計分類》中，將數(shù)字廣告列為數(shù)字經(jīng)濟及其核心產(chǎn)業(yè)的統(tǒng)計范疇，標志著數(shù)字廣告的產(chǎn)業(yè)發(fā)展已跨越傳統(tǒng)廣告業(yè)而進入到新的發(fā)展階段。作為全球第二大廣告市場，中國數(shù)字廣告產(chǎn)業(yè)市場規(guī)模達到萬億元以上，對于促進消費、擴大就業(yè)、開發(fā)創(chuàng)意空間、激發(fā)市場活力從而拉動經(jīng)濟高質(zhì)量增長具有重要的牽引推動作用。(一)數(shù)字廣告數(shù)據(jù)要素流通發(fā)展背景1.國家高度重視數(shù)據(jù)要素發(fā)展數(shù)據(jù)是數(shù)字經(jīng)濟時代的關(guān)鍵生產(chǎn)要素，2020年中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，將數(shù)據(jù)與土地、資本、技術(shù)、勞動并列為五大生產(chǎn)要素。2021年，總書記在中共中央政治局第三十四次集體學習的講話中強調(diào)“數(shù)據(jù)作為新型1數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）生產(chǎn)要素，對傳統(tǒng)生產(chǎn)方式變革具有重大影響”，以數(shù)據(jù)為關(guān)鍵要素推進數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化。2022

年“數(shù)據(jù)二十條”提出要建立“以數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理為重點”的數(shù)據(jù)基礎(chǔ)制度，數(shù)據(jù)要素流通在基礎(chǔ)制度體系中無疑具有重要意義。2.數(shù)字廣告助力數(shù)字經(jīng)濟建設(shè)數(shù)字技術(shù)和數(shù)據(jù)要素是所有行業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)，催生了全新的數(shù)字產(chǎn)業(yè)。2021年6月，國家統(tǒng)計局出臺《數(shù)字經(jīng)濟及其核心產(chǎn)業(yè)統(tǒng)計分類（2021）》，明確提出數(shù)字廣告是數(shù)字經(jīng)濟的核心產(chǎn)業(yè)之一，屬于數(shù)字產(chǎn)業(yè)化中的數(shù)據(jù)要素驅(qū)動業(yè)，對應(yīng)GB/T4754-2017《國民經(jīng)濟行業(yè)分類》中的“互聯(lián)網(wǎng)廣告服務(wù)”。相關(guān)統(tǒng)計顯示，2018-2022年，數(shù)字廣告在數(shù)字經(jīng)濟規(guī)模中的占比從1.4%升至1.8%，增幅超過廣告在

GDP

中比重的變化水平，凸顯出數(shù)據(jù)賦能的廣告產(chǎn)業(yè)，成為數(shù)字經(jīng)濟高質(zhì)量發(fā)展的助推器。3.數(shù)字技術(shù)推動廣告產(chǎn)業(yè)迭代更新我國經(jīng)濟正處于由高增長向高質(zhì)量發(fā)展的重要轉(zhuǎn)型階段，各行各業(yè)數(shù)字化轉(zhuǎn)型是經(jīng)濟高質(zhì)量發(fā)展的內(nèi)在要求。通過數(shù)字技術(shù)的發(fā)展與應(yīng)用，在數(shù)字廣告領(lǐng)域，競價搜索技術(shù)、程序化交易技術(shù)、展示技術(shù)等都在加速產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型和數(shù)字經(jīng)濟建設(shè)，為廣告行業(yè)的數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新提供支點，對提高廣告投放精準度發(fā)揮乘數(shù)倍增作用。數(shù)字廣告實現(xiàn)了從對媒介技術(shù)的高度依賴到獨立的數(shù)字廣告技術(shù)開發(fā)的轉(zhuǎn)變，實則也是以數(shù)字技術(shù)為基礎(chǔ)，通過數(shù)字廣告數(shù)據(jù)要素的流動創(chuàng)新，驅(qū)動數(shù)字經(jīng)濟發(fā)展的重要體現(xiàn)。2數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）(二)數(shù)字廣告數(shù)據(jù)要素流通概念1.數(shù)據(jù)要素流通基本概念數(shù)據(jù)要素是指以電子形式存在的、通過計算的方式參與到生產(chǎn)經(jīng)營活動并發(fā)揮重要價值的數(shù)據(jù)資源。數(shù)據(jù)要素流通是其價值挖掘與轉(zhuǎn)移過程，主要包括原始數(shù)據(jù)的產(chǎn)生與收集，數(shù)據(jù)處理、組織成數(shù)據(jù)產(chǎn)品，數(shù)據(jù)產(chǎn)品登記、掛牌上市，數(shù)據(jù)產(chǎn)品試用與交易，數(shù)據(jù)產(chǎn)品交付與服務(wù)以及數(shù)據(jù)產(chǎn)品使用等關(guān)鍵環(huán)節(jié)?！皵?shù)據(jù)二十條”等重要制度明確，建立數(shù)據(jù)可信流通體系，增強數(shù)據(jù)的可用、可信、可流通、可追溯水平，是激活數(shù)據(jù)要素潛能、賦能實體經(jīng)濟的重要途徑，而完善的數(shù)據(jù)要素治理體系則是推動數(shù)據(jù)要素流通、充分釋放數(shù)據(jù)價值的前提保障。當前，數(shù)據(jù)要素流通的權(quán)屬、合規(guī)問題已成為全球高度關(guān)注的焦點，尚處在各國的積極探索階段，并未形成共識性規(guī)則。相比傳統(tǒng)的生產(chǎn)要素，數(shù)據(jù)要素的非競爭性、非排他性、非耗竭性、非稀缺性、非均質(zhì)性、邊際效應(yīng)遞減性等特質(zhì)使其在產(chǎn)權(quán)、定價、交易、監(jiān)管、安全等方面展現(xiàn)出新的形態(tài)要求，原有的生產(chǎn)要素市場理論面臨全新的挑戰(zhàn)。不僅需要系統(tǒng)性探索數(shù)據(jù)要素的價值實現(xiàn)規(guī)律、市場管理框架和風險治理機制，還需要充分運用大數(shù)據(jù)思維和數(shù)字技術(shù)，為數(shù)據(jù)要素流通提供數(shù)字化的基礎(chǔ)支撐與替代性的技術(shù)解決方案。隨著黨中央、國務(wù)院相關(guān)制度文件的密集性出臺，2023年我國數(shù)據(jù)要素市場建設(shè)進入快車道，但數(shù)據(jù)流通使用實踐中長期存在的“獲取難、確權(quán)難、定價難、互信難、監(jiān)管難”等難題仍未根治。整體而3數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）言，數(shù)據(jù)要素流通的理論體系不夠完善，方法手段不夠成熟，數(shù)據(jù)權(quán)屬界定不明晰、估值流通難落地、數(shù)據(jù)安全風險高、隱私侵害隱患大、數(shù)據(jù)交易機制不完善等問題嚴重影響了我國數(shù)據(jù)要素的流通。2.數(shù)字廣告數(shù)據(jù)要素流通基本概念數(shù)字廣告是高度密集型數(shù)據(jù)使用、加工、提供和委托處理的行業(yè)領(lǐng)域，具有數(shù)據(jù)量龐大且處理速度要求高等特點。目前，數(shù)字廣告已從內(nèi)容密集型產(chǎn)業(yè)升級為數(shù)據(jù)密集型產(chǎn)業(yè)，所有的廣告創(chuàng)作、投放等廣告流程以及廣告公司經(jīng)營和轉(zhuǎn)型等都高度依賴數(shù)據(jù)要素的高效流通與計算使用。例如，用戶標簽數(shù)據(jù)、行為數(shù)據(jù)等個人信息既加速了個性化數(shù)字廣告精準推送業(yè)務(wù)的開發(fā)，也決定了廣告策略、對象群體、可視化風格等傳統(tǒng)廣告體系的解構(gòu)與重構(gòu)。同時，數(shù)字廣告業(yè)務(wù)流程的各個階段，無論是廣告投放還是程序化交易、廣告歸因等，均涉及大量與個人信息相關(guān)的海量數(shù)據(jù)在不同機構(gòu)間的流轉(zhuǎn)、加工、傳輸、共享和使用。因此，數(shù)字廣告產(chǎn)業(yè)的發(fā)展必須充分考慮數(shù)據(jù)合規(guī)與數(shù)據(jù)要素的合法利用問題，以充分發(fā)揮互聯(lián)網(wǎng)技術(shù)優(yōu)勢，增強數(shù)字行業(yè)競爭力，釋放數(shù)據(jù)要素經(jīng)濟社會價值。目前，數(shù)字廣告已演化為系統(tǒng)性、有強大演進能力的數(shù)據(jù)處理系統(tǒng)。比如程序化廣告，每一次廣告展示機會，都可能引發(fā)多個廣告主參與競爭，他們各自根據(jù)所掌握的數(shù)據(jù)計算該廣告的預(yù)期收益，如果預(yù)期收益較高，廣告主就會以較高的價格競爭該次廣告，最后出價最高的廣告主獲得本次展示機會。在這一規(guī)則下，每個廣告主都在竭力提升自己的評估水平，進而帶動整個行業(yè)發(fā)展水平在競爭中得到快速4數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）提升。另一方面，也折射出廣告行業(yè)競爭的背后本質(zhì)上是數(shù)據(jù)應(yīng)用能力的比拼。巨大的數(shù)字廣告行業(yè)，不是由一兩種類型機構(gòu)組成的，而是由代表不同主體利益、擁有不同角色定位、面向不同對象群體的多個機構(gòu)協(xié)同構(gòu)成的。下圖1展示了廣告行業(yè)中的典型角色。其中，媒體端負責提供廣告展示，指向網(wǎng)站、內(nèi)容類手機

APP

等。廣告主系指投放廣告的一方，比如服裝、消費電子產(chǎn)品方。中間機構(gòu)包括供應(yīng)方平臺（Supply

Side

Platform，簡稱SSP），即代替媒體端對外提供廣告位置的平臺；需求方平臺（Demand

Side

Platform，簡稱DSP），代替廣告主執(zhí)行廣告投放策略、購買廣告位的平臺；廣告交易平臺（AdExchange，簡稱ADX），聯(lián)系廣告主和媒體，或者DSP和SSP，組

織競價、撮合交易的市場平臺；數(shù)據(jù)管理平臺（Data

Management

Platform，簡稱DMP），為DSP、SSP等提供數(shù)據(jù)挖掘、分析、管理等數(shù)據(jù)能力支持。來源：中國信息通信研究院圖1

數(shù)字廣告角色廣告行業(yè)蓬勃發(fā)展的背后是通過大規(guī)模數(shù)據(jù)系統(tǒng)打通不同數(shù)字5數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）廣告角色的機構(gòu)系統(tǒng)，并實現(xiàn)數(shù)據(jù)在不同機構(gòu)間的流轉(zhuǎn)運行。以某SSP公司提供的廣告投放相關(guān)場景中數(shù)據(jù)流通為例，SSP首先會通過SDK

或者

API

的方式采集相關(guān)設(shè)備數(shù)據(jù)，主要包括設(shè)備信息、用戶信息和應(yīng)用信息等；然后利用其他數(shù)據(jù)平臺對數(shù)據(jù)進行賦能操作（例如用戶標簽補全）；最后SSP把上兩部分數(shù)據(jù)整合后傳遞給DSP，供其投放廣告使用。SSP

從

APP

側(cè)采集的數(shù)據(jù)主要分為

6

類：廣告位信息、用戶信息、設(shè)備信息、網(wǎng)站信息、應(yīng)用信息、地理位置信息。其中，用戶信息、設(shè)備信息、網(wǎng)站信息和地址位置信息均有內(nèi)容涉及個人信息。隨著個人信息相關(guān)法律法規(guī)的頒布，企業(yè)對這部分數(shù)據(jù)的流通持謹慎態(tài)度。(三)數(shù)字廣告數(shù)據(jù)要素流通場景數(shù)字廣告數(shù)據(jù)要素流通場景一般包括程序化購買、廣告監(jiān)測、廣告效果評估、無效流量排查和反作弊等業(yè)務(wù)場景。1.程序化購買在程序化購買場景中，一般采用開放式實時競價協(xié)議規(guī)范（OpenReal

Time

Bidding，簡稱OpenRTB），主要涉及廣告主、媒體方和DSP、SSP、ADX、DMP

等廣告投放平臺。實時競價過程是指用戶在訪問媒體網(wǎng)站或媒體應(yīng)用程序上的廣告位置時，該廣告位置接入的SSP

或者

ADX

會根據(jù)

OpenRTB

將廣告請求數(shù)據(jù)封裝在競價請求中，并發(fā)送給多個對接的

DSP，各

DSP

根據(jù)自身的競價策略決定是否參與競價，并將結(jié)果回復(fù)。在實時競價過程中，如果廣告主需要使用

DMP，DSP

在競價決6數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）策過程中會向第三方DMP發(fā)送設(shè)備標簽查詢請求，請求中會攜帶設(shè)備信息，第三方DMP會回復(fù)該設(shè)備命中的標簽情況。在實時競價過程中，如果廣告主需要使用第三方無效流量(Invalid

Traffic，簡稱IVT)過濾服務(wù)平臺，DSP在競價決策過程中會向第三方

IVT

過濾服務(wù)平臺發(fā)送本次流量

IVT

查詢請求，請求中會攜帶本次請求中的設(shè)備信息、IP

信息等，第三方

IVT

過濾服務(wù)平臺回復(fù)本次流量的IVT得分情況。2.廣告監(jiān)測廣告監(jiān)測主要涉及廣告主、媒體和廣告監(jiān)測公司。廣告監(jiān)測的一般場景為：在廣告活動開始前，廣告主或者代理公司向媒體、廣告投放公司以及廣告監(jiān)測公司提供廣告活動排期，廣告監(jiān)測公司提供監(jiān)測代碼，媒體或者投放方在不同廣告點位添加對應(yīng)的監(jiān)測代碼。在廣告活動進行過程中，當有曝光或者點擊等需要監(jiān)測的行為發(fā)生時，媒體向廣告監(jiān)測公司發(fā)送一條監(jiān)測請求，廣告監(jiān)測公司收到的監(jiān)測請求，收集廣告信息并記錄曝光、點擊等指標，然后根據(jù)收集到的用戶行為數(shù)據(jù)（包含用戶信息、設(shè)備信息）進行處理生成報告和服務(wù)，最終提供報告給廣告主。3.廣告效果評估廣告效果評估主要涉及廣告主、廣告監(jiān)測公司。一個完整的廣告效果評估由廣告效果監(jiān)測和廣告歸因共同構(gòu)建。通過廣告效果監(jiān)測，廣告主實時追蹤廣告投放的數(shù)據(jù)和指標，了解廣告活動的績效情況。廣告歸因則幫助廣告主理解廣告投放中哪些因素7數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）對于轉(zhuǎn)化和銷售產(chǎn)生了最大的影響，以及各個廣告觸點之間的相互作用。廣告效果評估的一般場景是：在廣告監(jiān)測數(shù)據(jù)的基礎(chǔ)上，DMP通過技術(shù)手段獲取用戶對廣告或廣告品牌的響應(yīng)、認知變化等數(shù)據(jù)（包含用戶信息、設(shè)備信息、地理位置信息）。DMP對接收到的廣告監(jiān)測數(shù)據(jù)及廣告效果相關(guān)數(shù)據(jù)進行清洗后，按照廣告曝光、點擊、互動、品牌認知、品牌推薦等進行分類存儲。廣告監(jiān)測公司對廣告監(jiān)測數(shù)據(jù)和廣告互動效果數(shù)據(jù)通過反作弊算法過濾掉無效流量，然后通過用戶標識進行匹配，匹配成功即為一個有效轉(zhuǎn)化樣本，進而結(jié)合收集到的所有有效數(shù)據(jù)綜合評估并產(chǎn)出本次廣告效果評估報告。4.異常流量排查和反作弊異常流量排查和反作弊主要涉及廣告主、媒體方和廣告監(jiān)測公司。異常流量排查和反作弊的通用場景是：首先由廣告監(jiān)測公司識別異常流量。判定異常流量時，廣告主需要向廣告監(jiān)測公司發(fā)送本次流量IVT查詢請求，請求中會攜帶本次請求中的設(shè)備信息、IP信息等。其次對判斷為異常的流量，在媒體或廣告主需要對判定結(jié)果復(fù)核時，需要監(jiān)測機構(gòu)、媒體、廣告主三方在數(shù)據(jù)安全規(guī)范的條件下進行，提取異常數(shù)據(jù)樣本或全部復(fù)核。最后，對新型的作弊手段，參與方可通過數(shù)據(jù)分析，提煉出共性特征，完善現(xiàn)有反作弊規(guī)劃或豐富黑名單庫。結(jié)合數(shù)字廣告業(yè)務(wù)場景與數(shù)據(jù)要素特征，厘清數(shù)字廣告數(shù)據(jù)要素流通路徑，釋放數(shù)據(jù)要素價值，是推動數(shù)字廣告業(yè)務(wù)精準化、助力數(shù)字經(jīng)濟發(fā)展的必經(jīng)之路。8數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）二、數(shù)字廣告數(shù)據(jù)要素流通現(xiàn)狀和挑戰(zhàn)(一)數(shù)據(jù)安全相關(guān)政策規(guī)范逐步健全我國陸續(xù)出臺多項數(shù)據(jù)相關(guān)的法律法規(guī)和國家標準，明確提出對個人信息的處理要求和保護要求。2017

年

6

月

1

日施行的《中華人民共和國網(wǎng)絡(luò)安全法》明確對公民個人信息安全進行保護：第四十四條指出任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。2020年3月1日實施的國家標準GB/T

37964-2019《信息安全技術(shù)個人信息去標識化指南》，細化了去標識化活動的開展過程，就個人信息去標識化問題給出了具體指導。2020

年10

月1

日實施的國家標準GB/T

35273-2020《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應(yīng)遵循的原則和安全要求。2021

年

9

月

1

日正式實施的《中華人民共和國數(shù)據(jù)安全法》明確提出，開展數(shù)據(jù)處理活動，應(yīng)當遵守法律法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，履行數(shù)據(jù)安全保護義務(wù)，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益。同時第三十二條也明確規(guī)定：任何組織、個人收集數(shù)據(jù)，應(yīng)當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。2021年11月1日開始施行的《中華人民共和國個人信息保護法》特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開9數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意，并要求通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。2022

年11

月1

日正式實施的國家標準GB/T

41391-2022《移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本要求》，明確提出

APP

收集個人信息還應(yīng)滿足定向推送信息和用戶畫像場景采用唯一設(shè)備識別碼識別用戶時，應(yīng)使用可交更的唯一設(shè)備識別碼，且不應(yīng)將其與用戶身份信息或不可變更的唯一設(shè)備識別碼關(guān)聯(lián)等要求。2023

年

8

月國家互聯(lián)網(wǎng)信息辦公室就《個人信息保護合規(guī)審計管理辦法（征求意見稿）》向社會公開征求意見，提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益。這意味著廣告主必須獲得用戶明確的、自由的、明示的同意，才能收集、使用、處理和傳輸個人信息。2023

年10

月24

日發(fā)布、2024

年1

月1

日起施行的《未成年人網(wǎng)絡(luò)保護條例》作為我國第一部專門性的未成年人網(wǎng)絡(luò)保護綜合立法，注重保障未成年人在網(wǎng)絡(luò)空間的健康成長，提出任何組織和個人不得在專門以未成年人為服務(wù)對象的網(wǎng)絡(luò)產(chǎn)品和服務(wù)中制作、復(fù)制、發(fā)布、傳播可能影響未成年人身心健康的信息、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不得通過自動化決策方式向未成年人進行商業(yè)營銷。2023

年10

月1

日實施的國家標準GB/T

42460-2023《信息安全技術(shù)

個人信息去標識化效果評估指南》旨在依據(jù)個人信息能多大程度上標識個人身份（即標識度）進行分級，用于評估去標識化活動的效果，以此形成的個人信息標識度分級，該標準尚無法解決不同分級10數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）下法律效果的差異，但是有利于面向未來探討一種分類分級的治理措施。(二)廣告數(shù)據(jù)安全相關(guān)標準持續(xù)制定為推動數(shù)據(jù)資源自由流通，促進互聯(lián)網(wǎng)廣告產(chǎn)業(yè)的安全、健康、快速發(fā)展，中國通信標準化協(xié)會（CCSA）與中國廣告協(xié)會（CAA）聯(lián)合制定了互聯(lián)網(wǎng)廣告數(shù)據(jù)安全與個人信息保護系列標準，包括：

《互聯(lián)網(wǎng)廣告數(shù)據(jù)應(yīng)用和安全技術(shù)要求》

《互聯(lián)網(wǎng)廣告?zhèn)€人信息告知同意分類指南》

《互聯(lián)網(wǎng)廣告匿名化實施指南》

《互聯(lián)網(wǎng)廣告群體標識技術(shù)要求》

《互聯(lián)網(wǎng)廣告數(shù)據(jù)分類分級指南》

《互聯(lián)網(wǎng)廣告數(shù)據(jù)流通平臺技術(shù)架構(gòu)》

《互聯(lián)網(wǎng)廣告隱私計算平臺技術(shù)要求》2021年12月31日，CCSA與CAA聯(lián)合發(fā)布首個雙編號團體標準

：T/CCSA329-2021

|

T/CAAAD001-2021《互聯(lián)網(wǎng)廣告數(shù)據(jù)應(yīng)用和安全技術(shù)要求》，旨在規(guī)定互聯(lián)網(wǎng)廣告數(shù)據(jù)的應(yīng)用原則、應(yīng)用場景和安全技術(shù)要求，并給出了互聯(lián)網(wǎng)廣告數(shù)據(jù)應(yīng)用數(shù)據(jù)交換接口定義和升級要求等，同時提供了技術(shù)指引建議。標準適用于廣告主、媒體和流量平臺、用戶、廣告代理公司、廣告技術(shù)公司、廣告監(jiān)測公司、其他第三方組織等，規(guī)范互聯(lián)網(wǎng)廣告數(shù)據(jù)收集、使用、存儲、傳輸和刪除等活動。CCSA/CAA

聯(lián)合發(fā)布的《互聯(lián)網(wǎng)廣告隱私計算平臺技術(shù)要求》，11數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）通過規(guī)定互聯(lián)網(wǎng)廣告場景隱私計算平臺的整體框架、技術(shù)流程、安全要求，用于指導互聯(lián)網(wǎng)廣告營銷企業(yè)、科技企業(yè)、用戶機構(gòu)、第三方機構(gòu)等，對廣告場景隱私計算平臺的設(shè)計、開發(fā)、測試、使用，保障數(shù)據(jù)在流通與融合過程中的“可用不可見”、“數(shù)據(jù)不動模型動”。2023

年

1

月

3

日，CCSA

與

CAA

聯(lián)合發(fā)布雙編號團體標準：T/CCSA

424-2022

|

T/CAAAD

004-2022《互聯(lián)網(wǎng)廣告匿名化實施指南》規(guī)定了互聯(lián)網(wǎng)廣告匿名化實施的目標、原則和適用場景，給出了數(shù)據(jù)匿名預(yù)處理技術(shù)指引，相應(yīng)配套了業(yè)務(wù)法律邊界的評估見證方法和運營過程監(jiān)控的管理控制體系，實現(xiàn)了“技術(shù)問題技術(shù)解決，法律問題回歸法律，管理問題過程控制”的三位一體互信且制衡的實施方法。《互聯(lián)網(wǎng)廣告

匿名化實施指南》形成的“技術(shù)保障、評估規(guī)制、過程控制”的互信制衡機制，適用于各類互聯(lián)網(wǎng)廣告業(yè)務(wù)，包括廣告投放、程序化交易、廣告監(jiān)測等應(yīng)用場景下的數(shù)據(jù)匿名化處理。(三)數(shù)據(jù)泄露引發(fā)擔憂，流通意愿待加強數(shù)據(jù)泄露問題已成為全球性難題。據(jù)國際數(shù)據(jù)公司（IDC）預(yù)測，2025

年全球數(shù)據(jù)量將高達

175ZB，其中，中國數(shù)據(jù)總量增速最為迅猛，正以高于全球平均年增長速度3%的幅度激增，預(yù)計2025年增至48.6ZB，占全球數(shù)據(jù)圈的27.8％，成為全球最大的數(shù)據(jù)圈。隨之而來的是數(shù)據(jù)泄露、數(shù)據(jù)濫用等數(shù)據(jù)安全事件頻發(fā)。據(jù)《中國政企機構(gòu)數(shù)據(jù)安全風險分析報告》介紹，2022年1月至10月全球政企機構(gòu)重大數(shù)據(jù)安全報道

180

起，其中數(shù)據(jù)泄露相關(guān)安全事件

93起，比如國內(nèi)某快遞公司10億用戶信息發(fā)生泄露。12數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）國際上也發(fā)生多起嚴重的信息泄露事件，比如2018

年3

月曝光的劍橋分析事件中，F(xiàn)acebook泄露8700萬用戶數(shù)據(jù)，影響美國大選；Uber

泄露全球3500

萬用戶、370

萬名司機的個人信息。數(shù)據(jù)一旦被獲取后，用戶便失去了對數(shù)據(jù)的控制權(quán)，若個人數(shù)據(jù)被不法分子獲取，很容易對用戶的財產(chǎn)、名譽等造成損失，有甚者更是會對國家安全、公眾利益和組織利益帶來重大損害。數(shù)據(jù)資產(chǎn)作為企業(yè)重要的價值資產(chǎn)，潛力巨大但也暗藏安全風險，故企業(yè)多傾向于在保留源數(shù)據(jù)的基礎(chǔ)上計算使用。而在數(shù)字廣告數(shù)據(jù)要素流通實踐中，數(shù)據(jù)持有方多對參與數(shù)據(jù)要素流通持焦慮態(tài)度甚至不愿參與，具體原因可概括為下述五點：

隱私擔憂：數(shù)據(jù)持有方擔心參與數(shù)據(jù)要素流通會泄露用戶個人信息，引發(fā)隱私問題。

競爭風險：數(shù)據(jù)持有方擔心會與競爭對手分享數(shù)據(jù)，使競爭對手利用這些數(shù)據(jù)優(yōu)化自己的廣告策略或獲得市場份額，從而使數(shù)據(jù)持有方失去競爭優(yōu)勢。

價值回報不確定：數(shù)據(jù)持有方擔心無法獲得足夠的價值回報，對能否獲得充分的經(jīng)濟利益持懷疑態(tài)度。

數(shù)據(jù)安全風險：參與數(shù)據(jù)要素流通可能會面臨數(shù)據(jù)泄露、濫用或黑客攻擊等風險，尤其像銀行、醫(yī)療機構(gòu)等敏感數(shù)據(jù)持有方會對數(shù)據(jù)安全風險格外擔憂。

法律合規(guī)要求：由于數(shù)據(jù)要素相關(guān)制度規(guī)范的欠缺，以及數(shù)據(jù)要素流通、安全保障等技術(shù)發(fā)展的局限，數(shù)據(jù)持有方擔心在共享13數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）數(shù)據(jù)的過程中，相關(guān)工作人員因不熟悉數(shù)據(jù)要素特征，觸碰數(shù)據(jù)合規(guī)底線。(四)

數(shù)據(jù)“孤島”向“平臺”演進，平臺互通待加快數(shù)據(jù)孤島指的是數(shù)據(jù)在不同部門間獨立存儲和維護，受制于技術(shù)阻礙、企業(yè)/行業(yè)保護機制以及政策法規(guī)等因素而形成的不對稱、冗余等封閉或半封閉式現(xiàn)象，普遍存在于所有需要進行數(shù)據(jù)共享和交換的系統(tǒng)之間，涉及不同部門、企業(yè)、產(chǎn)業(yè)間數(shù)據(jù)信息能否共享等問題。近年來，互聯(lián)網(wǎng)平臺方為加強數(shù)據(jù)安全和保護用戶隱私，紛紛推出廣告數(shù)據(jù)平臺。一些大型企業(yè)更是建立了具有獨立存儲空間和嚴格權(quán)限管理機制、能為重要數(shù)據(jù)加密且保證數(shù)據(jù)不出庫等特點的AdsDataHub；廣告主和中小媒體可依附于上述數(shù)據(jù)平臺進行數(shù)據(jù)融合流通。數(shù)據(jù)平臺的建立，可保證域內(nèi)數(shù)據(jù)安全流通，實現(xiàn)數(shù)據(jù)可用不可見，有效保障用戶隱私，一定程度上緩解了“數(shù)據(jù)孤島”現(xiàn)象。數(shù)據(jù)平臺一定程度上能夠解決數(shù)據(jù)流通問題，但同時也成為了各個數(shù)據(jù)控制者為拒絕數(shù)據(jù)分享而高筑的壁壘，繼而形成數(shù)據(jù)“圍墻花園”。數(shù)據(jù)“圍墻花園”的存在，強化了強勢媒體的壟斷地位，具體表現(xiàn)在：

平臺的建造需要大量的人力、物力和財力，這些都需要較大的建設(shè)成本，不適合中尾部互聯(lián)網(wǎng)企業(yè)建設(shè)；14數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）

越來越多的數(shù)據(jù)匯入到平臺中，廣告主和中小媒體為了利用這些數(shù)據(jù)開展廣告業(yè)務(wù)，只能與眾多強勢媒體分別合作；

由于平臺的建造者是強勢媒體，這導致合作過程中，雙方的地位不對等，其透明度、安全性主要取決于平臺主體，對廣告主、中小媒體和監(jiān)測公司降低了透明度?；ヂ?lián)互通是互聯(lián)網(wǎng)行業(yè)高質(zhì)量發(fā)展的必然選擇，數(shù)據(jù)“圍墻花園”可以促進數(shù)據(jù)要素在域內(nèi)的安全流通，但不利于數(shù)據(jù)要素跨域流通，“不怕墻內(nèi)鎖春色，墻外亦能傳芬芳”，讓數(shù)據(jù)能夠在整個互聯(lián)網(wǎng)安全、高效地流通是互聯(lián)網(wǎng)行業(yè)的努力方向。(五)廣告標識符策略收緊，演進方案待升級日益收緊的隱私保護法案及針對互聯(lián)網(wǎng)巨頭的反壟斷調(diào)查都讓廣告界通用的基于標識符的用戶追蹤方式愈加受到挑戰(zhàn)。從全球來看，通過唯一標識符開展數(shù)字廣告業(yè)務(wù)的趨勢也在逐漸收緊，國際上諸如iOS、Android

等主流操作系統(tǒng)平臺基于隱私保護方面的合法合規(guī)考慮，都在逐漸弱化或取消直接通過唯一標識符來開展廣告業(yè)務(wù)。2021

年

4

月，隨著蘋果iOS

14.5

的上線，蘋果公司正式推出APP追蹤透明（App

Tracking

Transparency，簡稱ATT）功能，該功能可讓用戶選擇是否允許APP

跟蹤用戶在其他公司的APP

和網(wǎng)站上的活動，以便用于廣告投放或與數(shù)據(jù)代理商共享。與此同時，蘋果廣告標識符（Identifier

For

Advertising，簡稱IDFA）獲取方式從opt-out（手動選擇關(guān)閉）變?yōu)閛pt-in（手動選擇加入），用戶管理顆粒度從設(shè)備變?yōu)閼?yīng)用，同時更新APP

Store政策限制任何第三方標識。在iOS1415數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）發(fā)布后，蘋果推出了SKAdNetwork2.0

版本，可以解決IDFA

缺失帶來的安裝以及之后在

APP

內(nèi)注冊、購買等轉(zhuǎn)化行為，但仍然存在使用場景局限性、歸因回傳延遲、結(jié)果完全依賴蘋果提供等問題。谷歌為了保護用戶隱私，在谷歌應(yīng)用商店（Google

Play）的管理中心頁面顯示將不會再向開發(fā)者提供那些不想看個性化廣告的用戶的廣告標識符。與此同時，為提供有效的個性化廣告體驗，谷歌為Android

引入新的解決方案——隱私沙盒。隱私沙盒通過限制與第三方共享用戶信息，通過Topics

API技術(shù)能夠在沒有跨應(yīng)用標識（包括廣告ID）的情況下運行，以及通過更加安全的方式來完成應(yīng)用程序與廣告

SDK

的集成。但隱私沙盒技術(shù)本身存在一定爭議，且利用Topics

API技術(shù)進行廣告定向投放、廣告歸因等業(yè)務(wù)實踐效果仍需相關(guān)數(shù)據(jù)予以支持和證明。國內(nèi)也在積極探索新的廣告標識符方案，主要分為兩條技術(shù)路線：一是探索建立統(tǒng)一高效、安全合規(guī)的廣告標識符。中國信息通信研究院聯(lián)合華米OV制定了《移動智能終端補充設(shè)備標識體系規(guī)范》、實現(xiàn)了開放匿名設(shè)備標識符（Open

Anonymous

Device

Identifier，簡

稱OAID）等標識的生成，OAID可作為廣告標識使用，可以被用戶主動關(guān)閉和重置，但在統(tǒng)一管理和用戶對標識符的控制機制上有待進一步提高。二是群體

ID

技術(shù)。群體

ID

代表一群具有某種共性的用戶的標識符，對該群共性用戶，標識符一致。目前，群體

ID

的生成是基于用戶在平臺使用產(chǎn)生的數(shù)據(jù)，單一平臺內(nèi)部能做到通過群體

ID

實現(xiàn)16數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）廣告投放、廣告推薦，在不感知具體用戶及其敏感隱私信息的前提下，為用戶提供一定個性化程度的廣告推薦服務(wù)。但由于各平臺對用戶群體劃分，以及數(shù)據(jù)表達不一致等多方面因素，群體

ID

尚未完全驗證跨平臺的應(yīng)用，基于多方數(shù)據(jù)的群體ID實現(xiàn)方案還需要進一步討論。(六)隱私計算助力數(shù)據(jù)流通，落地應(yīng)用待加深為做到數(shù)據(jù)被無障礙使用且能確保數(shù)據(jù)安全和個人信息不被泄露，實現(xiàn)“數(shù)據(jù)可用而不見”，以隱私計算技術(shù)為基礎(chǔ)的流通方案成為行業(yè)首選探索方向。近年來，媒體、監(jiān)測公司等企業(yè)紛紛入局，投入資金和人力進行深入探索，市場也陸續(xù)推出相關(guān)數(shù)據(jù)流通平臺產(chǎn)品。但由于缺乏統(tǒng)一的標準指導、技術(shù)水平良莠不齊，導致平臺所提供的數(shù)據(jù)流通能力也是參差不齊，體現(xiàn)在業(yè)務(wù)場景支持、技術(shù)方案選擇和流通過程中數(shù)據(jù)保護能力等方面。行業(yè)普遍認可的隱私計算技術(shù)，涉及多方計算和通信，需對敏感數(shù)據(jù)進行加密和解密操作，數(shù)據(jù)量龐大且處理速度要求高，伴隨的是計算資源和網(wǎng)絡(luò)帶寬的極大消耗，這一點在大規(guī)模廣告數(shù)據(jù)處理中尤為明顯。而在大規(guī)模廣告數(shù)據(jù)處理中，為保護數(shù)據(jù)隱私，需使用特定算法，如同態(tài)加密、安全多方計算等，這相對于傳統(tǒng)計算方法而言更復(fù)雜，易降低算法的運行效率，且需要額外的計算開銷，增加了計算時間和資源的消耗。據(jù)調(diào)研，隱私計算技術(shù)目前雖初步形成技術(shù)體系，但在數(shù)字廣告行業(yè)的落地應(yīng)用中還需進一步強化與發(fā)展。(七)匿名化技術(shù)受關(guān)注，實施方案待完善“數(shù)據(jù)二十條”明確提出：“創(chuàng)新技術(shù)手段，推動個人信息匿名17數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）化處理，保障使用個人信息數(shù)據(jù)時的信息安全和個人隱私”。盡管我國已將數(shù)據(jù)上升為“生產(chǎn)要素”，然而在實踐中出于數(shù)據(jù)安全的擔憂和隱私合規(guī)要求，各個主體掌握的數(shù)據(jù)是分散而碎片化的，數(shù)據(jù)往往難以在規(guī)?；A(chǔ)上實現(xiàn)價值利用。在此背景下，匿名化技術(shù)作為一種行之有效的解決路徑越來越引起更多關(guān)注。個人信息匿名化處理有利于實現(xiàn)個人信息向數(shù)據(jù)要素的轉(zhuǎn)化。個人信息匿名化處理是平衡數(shù)據(jù)要素流動和數(shù)據(jù)合規(guī)安全利用的一種關(guān)鍵路徑。高效地對個人信息進行匿名化處理，能夠確保數(shù)據(jù)要素的合規(guī)流通，極大地提高數(shù)據(jù)利用效率。但在廣告領(lǐng)域的業(yè)務(wù)實踐中，匿名化技術(shù)方案沒有大規(guī)模推廣應(yīng)用，主要挑戰(zhàn)在于：匿名化、個人信息的定義標準不明晰，在實踐中擴大解讀個人信息范疇；同時一些追求絕對安全和零風險的思路導致匿名化合規(guī)門檻高、難以落地，在數(shù)據(jù)使用和共享具體場景中匿名化無法被有效證明；產(chǎn)業(yè)實踐中的匿名化技術(shù)方案還缺乏標準方面的合規(guī)認定支撐，難以進行大規(guī)模推廣。(八)“告知同意”難實施，機制實現(xiàn)待突破數(shù)字廣告涉及曝光、點擊、歸因分析等多個環(huán)節(jié)，數(shù)據(jù)需要在多個機構(gòu)間進行流轉(zhuǎn)。在法律法規(guī)的要求下，用戶個人信息不能再隨意流轉(zhuǎn)，必須取得用戶的同意并采取合理的安全保護措施。如果每個數(shù)據(jù)處理環(huán)節(jié)都在用戶同意的前提下進行，將對廣告投放效率效果和用戶體驗帶來影響。告知同意機制偏重于數(shù)據(jù)收集環(huán)節(jié)，難以滿足后續(xù)數(shù)據(jù)處理的發(fā)展要求。在廣告行業(yè)，數(shù)據(jù)持有方既難以在數(shù)據(jù)收集時18數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）要求用戶給予廣泛的授權(quán)，也難以在數(shù)據(jù)流通過程中獲得用戶的二次授權(quán)。此時，不僅告知同意的難度加大、成本上升，強調(diào)告知同意還可能會影響數(shù)字廣告產(chǎn)業(yè)的發(fā)展。透明和同意框架（Transparency

and

Consent

Framework，TCF）是行業(yè)為遵從GDPR

而制定的傳達程序化同意信號的機制，由歐洲互聯(lián)網(wǎng)廣告局（IAB

Europe）和互動廣告局技術(shù)實驗室（IAB

Tech

Lab）在2018

年8

月聯(lián)合推出。2019

年8

月21

日推出TCF

2.0

版本，持續(xù)深化

TCF

的總體推動力，涵蓋消費者授予或拒絕同意的權(quán)利，以及行使反對處理其數(shù)據(jù)的權(quán)利，消費者還可以更好地控制廣告技術(shù)供應(yīng)商是否以及如何使用精確地理定位等數(shù)據(jù)處理的某些功能。IAB的會員可使用這一框架允許合作伙伴為了廣告和其他目的合法收集和處理數(shù)據(jù)。但是，為滿足GDPR

的要求而設(shè)計的這一技術(shù)框架，在2022年還是被歐盟監(jiān)管方按照GDPR進行了處罰。目前在我國，僅有少數(shù)有海外廣告業(yè)務(wù)的國內(nèi)廠商加入

TCF

框架，但大部分仍處于研究和觀望階段，類似

TCF

同意管理框架是否符合我國法律法規(guī)還有待商榷，國內(nèi)尚未形成統(tǒng)一的框架體系和同意管理平臺。三、數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)保障技術(shù)主要分為兩類：匿名化技術(shù)，例如假名化、泛化、加噪、受控匿名化；隱私計算技術(shù)，例如可信執(zhí)行環(huán)境、多方安全計算、聯(lián)邦學習、可信密態(tài)計算。匿名化技術(shù)著重強調(diào)去除數(shù)據(jù)中的個人身份信息、但保留其他信19數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）息，進而達到“既能保護個人隱私、又能讓數(shù)據(jù)用于計算”的目的，但是這一方向的技術(shù)存在數(shù)據(jù)精度損失的問題。近期提出的受控匿名化技術(shù)則更好地兼顧了保護個人隱私和保證數(shù)據(jù)精度。隱私計算技術(shù)能夠在保證數(shù)據(jù)不對外泄露的前提下完成計算，所以，它可以很好地保證數(shù)據(jù)方的數(shù)據(jù)利益，這一點是匿名化技術(shù)不具備的。此外，在（高安全的）隱私計算過程中，數(shù)據(jù)的暴露范圍并沒有擴大。也就是說，“個人隱私信息原來由哪一方持有，還是哪一方持有”，個人隱私信息暴露的范圍并沒有擴大，因此，隱私計算技術(shù)也是個人隱私信息保護的有效手段。實際應(yīng)用中，隱私計算技術(shù)還可以與差分隱私等技術(shù)聯(lián)合，避免從結(jié)果中泄露個人隱私。除了匿名化、隱私計算之外，一些簡單的數(shù)據(jù)裁剪也能達到很好的個人隱私保護效果，比如只傳遞身份

ID

或者只傳遞屬性信息。前者只泄露了某個人參與了某項事情，在該項事情不具備敏感性的時候，對個人隱私的侵犯很小；后者再結(jié)合前述的匿名化方法后，反推出個人身份的難度較大。但這些方式具有一定的局限性，只適用于部分場景?！翱缬蚬芸亍敝傅氖恰皵?shù)據(jù)方管控自己運維域之外的數(shù)據(jù)”，前面的幾種技術(shù)都具備一定的跨域管控能力，但大多集中在計算環(huán)節(jié)。而大型數(shù)據(jù)流通中心需要支持豐富的功能、超高且可擴展的性能、靈活的微服務(wù)體系等。任一環(huán)節(jié)的設(shè)計失誤，都會導致數(shù)據(jù)方的數(shù)據(jù)面臨威脅。此時，需要有一個體系化的技術(shù)理論，來指導實踐。本章介紹的跨域管控技術(shù)從框架抽象、數(shù)據(jù)生命周期等入手，全方位地保障20數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）了數(shù)據(jù)方對域外數(shù)據(jù)流通的數(shù)據(jù)的管控。(一)基礎(chǔ)安全技術(shù)1.

典型匿名化技術(shù)匿名化是指個人信息經(jīng)過處理后無法識別特定自然人且不能復(fù)原的過程。匿名化技術(shù)通過對數(shù)據(jù)進行模糊化處理，改變數(shù)據(jù)顆粒度，進而降低數(shù)據(jù)的可識別風險。常用技術(shù)包括假名化、泛化、加噪等。（1）假名化假名化是使用假名替換真值的技術(shù)，通常用來處理直接標識符。假名化技術(shù)一般通過隨機假名分配、散列函數(shù)、加密算法來實現(xiàn)，使用過程中需要對假名分配表、散列函數(shù)、密鑰等輔助信息采取合理的安全保護措施。在廣告行業(yè)中，假名化技術(shù)能夠很好地隱藏用戶ID、身份證號、郵箱等直接標識用戶身份的信息。但是假名化技術(shù)一般是基于密鑰、映射表構(gòu)建假名和真名之間的連接，數(shù)據(jù)流通的部分參與者知曉這些因素，因此它們能夠從假名中恢復(fù)身份信息。假名化技術(shù)主要是保護身份類信息，無法保護需要參與計算的屬性類信息，對于外部攻擊者、部分數(shù)據(jù)流通參與者，是無法從假名化信息中獲得身份信息的。因此，假名化技術(shù)更多的是保護用戶的個人隱私，對企業(yè)的數(shù)據(jù)利益保護效果較小。（2）泛化（Generalization）泛化是將屬性值抽象為較一般化、不易區(qū)分值的過程。泛化技術(shù)21數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）的目標是減少獨特記錄的個數(shù)，使得泛化后的屬性值在多個用戶中都會出現(xiàn)，從而降低從屬性反推用戶信息的可能性。除了對單一屬性進行泛化外，目前泛化技術(shù)研究還考慮了兩種擴展情況：①從多維度屬性反推用戶信息；②針對流式數(shù)據(jù)，如何保障用戶信息。前者的典型處理技術(shù)包括k-匿名算法等；后者主要是基于擾動、樹狀結(jié)構(gòu)、偽造值和聚類等構(gòu)建方案。在廣告行業(yè)中，泛化能夠減少對外傳播的信息的量，進而減少個人隱私暴露以及企業(yè)信息泄露的程度。但是泛化也會損失數(shù)據(jù)精度，導致部分計算任務(wù)無法完成。實際使用中，泛化程度的選擇常常令人左右為難。（3）加噪在原始數(shù)據(jù)上添加擾動噪聲，能夠降低攻擊者識別出數(shù)據(jù)主體的可能性。常用的加噪技術(shù)為差分隱私，該技術(shù)為隱私保護提供了嚴格可量化的數(shù)學定義。差分隱私算法一般通過在特定分布中生成不可預(yù)測的隨機數(shù)的方法實現(xiàn)，同時能夠保證加噪結(jié)果在真實值附近，保留了數(shù)據(jù)的統(tǒng)計特征。按照差分隱私實施的位置，又可以分為本地差分隱私（LocalDifferential

Privacy，簡稱LDP）和集中式差分隱私（Central

DifferentialPrivacy，簡稱CDP）。LDP一般作用在數(shù)據(jù)開始計算以及對外傳播之前，比如機器模型訓練之前；CDP一般作用在數(shù)據(jù)完成計算之后、對外傳播之前，比如數(shù)據(jù)庫返回聚合信息。加噪與泛化的作用類似，能一定程度上保護用戶信息和企業(yè)數(shù)據(jù)22數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）利益，但同時也面臨“加噪程度如何選擇的難題”。2.可信執(zhí)行環(huán)境及可信計算技術(shù)可信執(zhí)行環(huán)境（Trusted

Execution

Environment，簡稱TEE）提供一個基于硬件的隔離運行環(huán)境，其隔離性不受任何外部軟硬件和運營人員的影響。所以多個參與方可以把數(shù)據(jù)都放到一個

TEE

中，而不擔心

TEE

的物理持有者可以窺探其中的內(nèi)容。TEE

還提供遠程驗證能力，通過該技術(shù)，遠程客戶端可以確認

TEE

內(nèi)執(zhí)行的代碼邏輯，進而可以判斷該代碼是否會惡意輸出數(shù)據(jù)。與典型的匿名化技術(shù)相對，TEE不需要損失數(shù)據(jù)精度，可以全面保護各種類型的數(shù)據(jù)；與MPC/FL相比，TEE在計算過程中不需要密碼學計算和網(wǎng)絡(luò)交互，性能可接近明文?？尚庞嬎悖═rusted

Computing，簡稱TC）指的是計算機系統(tǒng)的行為如預(yù)期的計算技術(shù)。廣義上也包括TEE，一般情況下特指基于可信平臺模塊(Trusted

Platform

Module,

簡稱

TPM)、可信平臺控制模塊(Trusted

Platform

Control

Module，簡稱TPCM)的計算系統(tǒng)度量和驗證技術(shù)。在恰當?shù)能浻布浜舷?，比如去除軟件的特?quán)賬號、防止物理攻擊內(nèi)存等，上述技術(shù)可以實現(xiàn)抵御物理持有者的攻擊。在廣告行業(yè)中，TEE和TPM技術(shù)可以用來保護各個場景下的用戶數(shù)據(jù)，對場景和性能的約束很小。它主要缺點是依賴特殊硬件，會引起一些額外的成本，從現(xiàn)實情況來看，部分廣告場景數(shù)據(jù)量大、數(shù)據(jù)價值密度低，額外的成本市場接受度低。TEE和TPM技術(shù)一般需要部署在數(shù)據(jù)方自己的管理域外，一旦有系統(tǒng)漏洞，數(shù)據(jù)可能會面臨23數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）失竊風險。3.多方安全計算與聯(lián)邦學習多方安全計算（Secure

Multi-Party

Computation，簡稱MPC）通過密碼學技術(shù)讓多方共同計算一個目標且不需要將自己的數(shù)據(jù)泄露給其他方。MPC

一般會針對每個基礎(chǔ)運算設(shè)計不同的協(xié)議，再通過基礎(chǔ)運算的組合實現(xiàn)復(fù)雜運算。每個基礎(chǔ)運算的協(xié)議一般都會伴隨著密碼學運算和網(wǎng)絡(luò)交互，所以MPC

協(xié)議一般需要大量的密碼學運算和網(wǎng)絡(luò)交互。為了探索技術(shù)理論，一些弱化的MPC

算法會在“參與方不會篡改本地邏輯”的假設(shè)下進行研究，但這種假設(shè)一般與現(xiàn)實不符，通常僅能提供一定的安全性，但無法充分滿足現(xiàn)實要求。聯(lián)邦學習（Federated

Learning，簡稱FL）指多個參與方在不交換原始數(shù)據(jù)的情況下，僅通過交換模型參數(shù)和中間結(jié)果，完成機器學習訓練和預(yù)測。與MPC相比，F(xiàn)L存在中間變量泄露、被惡意參與方竊取有價值信息的風險。目前一些FL在探索使用同態(tài)加密、差分隱私、TEE等技術(shù)緩解上述風險。在廣告場景中，MPC

和

FL

可用于數(shù)據(jù)價值大但規(guī)模較小的場景，因為MPC和FL

不需要特殊硬件，部署相對靈活。但與此同時，MPC和FL

同樣也有著“安全性”和“性能”處于蹺蹺板關(guān)系的困境，實際使用中需根據(jù)情況甄別。(二)可信密態(tài)計算可

信

密

態(tài)

計

算

(Trusted-Environment-based

Cryptographic24數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）Computing，簡稱TECC)是指將數(shù)據(jù)以密態(tài)形式在高速互聯(lián)的可信節(jié)點集群中進行計算、存儲和流轉(zhuǎn)的一種可信隱私計算技術(shù)?？尚琶軕B(tài)計算既能夠抵御常見的安全隱患又能夠快速處理大規(guī)模數(shù)據(jù)。具體表現(xiàn)在，它能夠緩解供應(yīng)鏈攻擊、系統(tǒng)漏洞等常見的硬件安全隱患，以及抵御合謀攻擊、惡意敵手攻擊等常見的密碼協(xié)議攻擊。同時，它不受公網(wǎng)傳輸瓶頸和復(fù)雜的密碼計算拖累，沒有顯著的性能瓶頸。圖2是TECC典型的原理示例圖：來源：螞蟻科技集團股份有限公司圖2

TECC原理示意圖

數(shù)據(jù)提供者在本地將數(shù)據(jù)拆分成多個密態(tài)分片數(shù)據(jù)，并將每個密態(tài)分片數(shù)據(jù)傳遞給不同分區(qū)的可信計算節(jié)點。這里單個密態(tài)分片數(shù)據(jù)不會泄露原始數(shù)據(jù)的任何信息。25數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）

每個分區(qū)的可信計算節(jié)點只接觸一份密態(tài)分片數(shù)據(jù)，不接觸任何明文數(shù)據(jù)。多個分區(qū)的可信計算節(jié)點通過密碼協(xié)議（MPC、安全聯(lián)邦學習等）完成目標計算，單一分區(qū)被攻破不會產(chǎn)生數(shù)據(jù)泄露風險。

可信計算節(jié)點使用可信計算技術(shù)（TEE/TPM/全?？尚诺龋ＷC運營者無法進行窺探。

密碼協(xié)議的同一個角色由一個可信計算分區(qū)集群承擔，計算資源可以進行動態(tài)水平伸縮。

數(shù)據(jù)采用密態(tài)膠囊形式進行存儲，包括密態(tài)分片數(shù)據(jù)以及與其綁定的訪問規(guī)則，運營者無法濫用密態(tài)數(shù)據(jù)。在廣告行業(yè)中，TECC可以用于構(gòu)建面向廣大機構(gòu)的數(shù)據(jù)流通的平臺，一方面讓中小企業(yè)能夠享受到高安全的數(shù)據(jù)流通服務(wù)，另一方面通過多場景的共享，平攤TECC的建設(shè)成本。(三)受控匿名化絕對匿名化是指任何情況下都無法識別特定自然人且不能復(fù)原，但科學無法證明未知，因此絕對匿名化難以被有效證明。在具體實踐中，相對匿名化會是更加切實可行的方案。相對匿名化是指個人信息經(jīng)過處理，在不結(jié)合額外信息、在經(jīng)典算力和合理時間范圍內(nèi)，無法識別特定自然人且不能復(fù)原的技術(shù)。受控匿名化是指將相對匿名化的數(shù)據(jù)限制在受控環(huán)境中使用，以確保在受控環(huán)境中，達到無法識別特定自然人且不能復(fù)原的匿名化效果。通過嚴格管控受控環(huán)境與外界的交互，進而滿足了相對匿名化的限制條件。26數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）受控匿名化技術(shù)中，各參與方首先在本地對數(shù)據(jù)進行去標識和模糊化處理，并且數(shù)據(jù)的后續(xù)處理和使用也受到嚴格的管控，通過受控環(huán)境來限制其與外部的交互。圖3所示為典型的受控匿名化流程。來源：公開資料整理圖3受控匿名化流程在參與方本地，需要分別對標識符（Identifier，簡稱ID）和屬性進行處理。首先，參與方在本地對ID

進行去標識。為保證ID能夠支持融合碰撞計算，一般通過

HMAC

或確定性加密算法實現(xiàn)去標識。其次，參與方對屬性信息進行模糊化處理，可采用泛化、加噪等方式，通過對屬性的模糊處理能夠進一步降低數(shù)據(jù)的可識別性。最后，所有參與方完成數(shù)據(jù)處理后，將數(shù)據(jù)傳輸?shù)绞芸丨h(huán)境中進行融合計算，相對匿名化的數(shù)據(jù)在離開參與方后僅出現(xiàn)在受控環(huán)境中，在研發(fā)中的數(shù)據(jù)展示和結(jié)果輸出中，需要對數(shù)據(jù)進行泛化、加噪等模糊化處理，以避免通過結(jié)果推斷原始數(shù)據(jù)。受控環(huán)境通過可信計算等安全保障技術(shù)，可實現(xiàn)受控環(huán)境與外部27數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）通道交互的嚴格管控，降低了數(shù)據(jù)泄露的風險。此外，受控匿名化極大程度地保留了

ID

和屬性的數(shù)據(jù)價值，且計算量小性能高，能夠適用于較多數(shù)據(jù)碰撞、融合計算等場景中。在廣告產(chǎn)業(yè)中，受控匿名化可以保障數(shù)據(jù)流通過程中用戶的隱私，尤其是同時需要流通身份、屬性信息的場景，且由于受控匿名化方案性能損耗小，能夠適用大規(guī)?；?qū)崟r運算場景。例如在廣告程序化交易流程中，供應(yīng)方將其用戶的User

ID、IP地址和廣告位信息發(fā)送給廣告主，廣告主結(jié)合其已有的用戶信息，給出更為精準的報價，提升資金利用效率。對受控環(huán)境的審核是合規(guī)的重要環(huán)節(jié)。由于廣告行業(yè)數(shù)據(jù)傳輸鏈路非常多，全部自建受控環(huán)境審核壓力較大，因此，部分自建、部分適用公共服務(wù)，也是平衡上述問題的一種選擇。(四)跨域管控技術(shù)在數(shù)據(jù)流通場景中，跨域管控是指數(shù)據(jù)離開持有者（也叫數(shù)據(jù)方、數(shù)據(jù)持有方）的運維域后，數(shù)據(jù)方仍然能夠有效地控制數(shù)據(jù)的流轉(zhuǎn)過程，避免其被竊取或者非預(yù)期地使用。圖4是跨域管控技術(shù)通用邏輯的抽象示意圖。一部分工作需要數(shù)據(jù)方親自進行（在數(shù)據(jù)方域內(nèi)進行），包括：1）驗證數(shù)據(jù)方域外的環(huán)境，以確認該環(huán)境是否安全；2）對數(shù)據(jù)做預(yù)處理，以滿足后續(xù)處理的格式要求，或者減少對外傳遞的信息量；3）對數(shù)據(jù)進行加密，并且保證只有前述驗證過的環(huán)境才能解密；4）當有其他方請求數(shù)據(jù)時，要對數(shù)據(jù)進行授權(quán)。28數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）來源：公開資料整理圖4數(shù)據(jù)跨域管控示意圖在數(shù)據(jù)方域外，要有相應(yīng)的機制，提供數(shù)據(jù)跨域管控的底層基礎(chǔ)，如圖中的“可控機制”；在此基礎(chǔ)上，設(shè)計支持數(shù)據(jù)生命周期管理的相應(yīng)技術(shù)功能，如圖中的“可控功能”，這里需要指出的是，跨域可控技術(shù)里面的數(shù)據(jù)生命周期比一般的數(shù)據(jù)生命周期要更細致，因為任何一個細小的生命周期設(shè)計不當，都有可能導致數(shù)據(jù)泄露，除此以外，數(shù)據(jù)生命周期的相互轉(zhuǎn)換，也需要進行周密的設(shè)計，否則也有可能被攻擊者利用。部分域外的功能可以由域外運維者自主控制，叫做非可控功能，包括各種資源的管理、任務(wù)的管理、任務(wù)與資源的映射、軟件環(huán)境的維護等。這一靈活度可以很好地提升資源利用率和保障系統(tǒng)穩(wěn)定性。圖

5

是一個“如何將參與方、ID、數(shù)據(jù)、計算、結(jié)果嚴密地綁定在一起”的示例，避免因設(shè)計不周密導致數(shù)據(jù)受威脅。假設(shè)整個數(shù)據(jù)生命周期在可信環(huán)境中進行，但是由于采用微服務(wù)體系，不同29數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）的生命周期可能被分散到不同的可信環(huán)境中，數(shù)據(jù)也是通過可信環(huán)境的密鑰加密后存儲在可信環(huán)境之外。其中的標識、屬主關(guān)系等在“非數(shù)據(jù)流通場景”通常不需要施加安全保護措施，也是容易在數(shù)據(jù)流通方案設(shè)計中被忽略的地方。主要原理如下：來源：公開資料整理圖5各實體及其間的綁定關(guān)系

授權(quán)：數(shù)據(jù)方聲明“誰能夠?qū)ξ业哪姆輸?shù)據(jù)使用什么算法進行計算”，聲明的方式一般采用數(shù)字簽名。

標識：聲明消息中的三個實體一般采用ID進行標識。所以必須要有可靠的機制確保ID和其背后的實體關(guān)聯(lián)起來，并且關(guān)聯(lián)程度要能夠防止域外的惡意者進行破壞。一種可行的實現(xiàn)方法是采用身份公鑰的哈希值作為身份ID、采用數(shù)據(jù)的哈希值作為數(shù)據(jù)ID、采用算法的哈希值作為算法ID。

屬主關(guān)系：在采納數(shù)據(jù)方聲明的授權(quán)之前，還需要確認“該數(shù)據(jù)”是否屬于“該數(shù)據(jù)方”，并且這一關(guān)聯(lián)關(guān)系不能被域外的惡意者破壞。一種可行的實現(xiàn)方法為，數(shù)據(jù)方通過密碼學手段證實自己擁有解密該數(shù)據(jù)的密鑰。在廣告行業(yè)中，跨域管控技術(shù)可以助力構(gòu)建大規(guī)模的數(shù)據(jù)流轉(zhuǎn)中30數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）心，使得大規(guī)模數(shù)據(jù)中心既可以具備豐富的功能、高的性能和靈活性，同時也避免了因為這些能力的增加，導致數(shù)據(jù)方失去對自己數(shù)據(jù)的管控。從而極大地提升數(shù)據(jù)方參與數(shù)據(jù)流通的意愿。四、數(shù)字廣告數(shù)據(jù)要素流通保障平臺實踐探索(一)基于可信密態(tài)技術(shù)的廣告數(shù)據(jù)流通平臺1.平臺設(shè)計思路（1）流通模型基于可信密態(tài)技術(shù)的廣告數(shù)據(jù)流通平臺數(shù)據(jù)流通鏈路中的主要角色分為數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)經(jīng)營方、平臺管理方：

數(shù)據(jù)提供方/數(shù)據(jù)持有方，簡稱“數(shù)據(jù)方”，是為數(shù)據(jù)流通提供數(shù)據(jù)的一方。

數(shù)據(jù)使用方，簡稱“使用方”，是使用數(shù)據(jù)的一方。

平臺管理方，簡稱“平臺方”，是運營數(shù)據(jù)流通平臺的一方。

數(shù)據(jù)經(jīng)營方，簡稱“經(jīng)營方”，是代替數(shù)據(jù)方進行數(shù)據(jù)經(jīng)營的一方。與之相對應(yīng)，數(shù)據(jù)流通平臺也設(shè)計了三種權(quán)限：數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)和數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)。

數(shù)據(jù)資源持有權(quán)，簡稱“持有權(quán)”，數(shù)據(jù)在數(shù)據(jù)流通平臺中的最高權(quán)限，可以決定其他方如何使用該數(shù)據(jù)。

數(shù)據(jù)加工使用權(quán)，簡稱“使用權(quán)”，加工使用數(shù)據(jù)的權(quán)力，能夠使用的范圍是持有方?jīng)Q定的。31數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）

數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)，簡稱“經(jīng)營權(quán)”，可以代數(shù)據(jù)方向其他方授予使用權(quán)，但自身不包含持有權(quán)和使用權(quán)。

平臺管理方不擁有上述數(shù)據(jù)權(quán)限，只能運行維護平臺。圖6展示了在上述角色和權(quán)限的設(shè)計下，可以實施的幾種流通模式。

常規(guī)模式下，數(shù)據(jù)方直接向使用方授權(quán)，獲得授權(quán)后的使用方向平臺發(fā)起請求。

代理授權(quán)模式下，數(shù)據(jù)方向經(jīng)營方授予經(jīng)營權(quán)，經(jīng)營方向使用方授予使用權(quán)。

代理請求模式下，數(shù)據(jù)方向經(jīng)營方授予使用權(quán)，使用方將請求發(fā)給經(jīng)營方，由經(jīng)營方代為發(fā)起請求。

場外流通模式下，經(jīng)營方在場外撮合數(shù)據(jù)方和使用方，之后按照常規(guī)模式運行。來源：中國信息通信研究院圖6數(shù)據(jù)流通平臺示意圖（2）安全模型32數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）由于數(shù)據(jù)具有獨特性、可復(fù)制性、高價值等特征，在實際的數(shù)據(jù)流通過程中的各參與方都有竊取他人數(shù)據(jù)的動機，在系統(tǒng)設(shè)計中應(yīng)按照其他方存在竊取的動機去設(shè)計，以適應(yīng)更多的情況，一定程度上規(guī)避風險。情況稍微特殊的是平臺的管理方，平臺的管理方可以選擇信譽度高的機構(gòu)承擔。但即便如此，也可能因為被系統(tǒng)入侵、少量員工作惡等，導致平臺的管理方做出惡意行為。為此，在系統(tǒng)設(shè)計時，我們假設(shè)平臺管理方也可能是惡意的，這樣可以在上述突發(fā)情況下依舊保障數(shù)據(jù)方數(shù)據(jù)的安全。為了支持豐富的功能，數(shù)據(jù)流通平臺中包含了多個數(shù)據(jù)生命周期，這些生命周期及生命周期之間的銜接都必須進行充分的安全保障。也就是說，即使平臺管理方是惡意的，以下安全性質(zhì)也能夠得到保障：

數(shù)據(jù)存儲：存儲數(shù)據(jù)的機密性和完整性不會被破壞。

數(shù)據(jù)屬主：數(shù)據(jù)和屬主的對應(yīng)關(guān)系不會被破壞。

標識：標識（ID）與“其背后實體、實體關(guān)聯(lián)的資源”的對應(yīng)關(guān)系不會被破壞。

鑒權(quán)和規(guī)則驗證：無法繞過鑒權(quán)和規(guī)則驗證，發(fā)起計算、結(jié)果分發(fā)。

計算：無法通過計算過程窺探數(shù)據(jù)。

結(jié)果分發(fā)：不會將結(jié)果分發(fā)給非預(yù)期方。

上述功能要能夠無縫地銜接在一起：無法通過干擾功能切換間隙，進行攻擊。33數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）（3）計算引擎選型在數(shù)據(jù)廣告數(shù)據(jù)流通實際業(yè)務(wù)場景中，數(shù)據(jù)流通如果采用頻繁跨越公網(wǎng)的一些密碼協(xié)議（如MPC方案），則可能在性能（如延時性、QPS等）和成本上無法滿足訴求，因此，數(shù)據(jù)流通平臺著重選擇TEE、TECC

等集中式的數(shù)據(jù)流通技術(shù)。TEE

在隔離環(huán)境中進行明文運算，隔離環(huán)境會防止來自外部的攻擊，明文運算使得

TEE

能夠提供更高的性能；TECC在隔離環(huán)境中運行密文運算，由于其內(nèi)在性質(zhì)，能夠抵御常見的密碼協(xié)議攻擊、典型硬件漏洞隱患，密文運算使得TECC安全性更高。TEE

和

TECC

相互配合能為用戶提供更強的安全性和更多的性能選擇。（4）跨域管控落地實踐數(shù)據(jù)流通平臺的目標是成為大型的數(shù)據(jù)流通中心，既要確保數(shù)據(jù)持有方對數(shù)據(jù)擁有管控力，也要具備數(shù)據(jù)開發(fā)行為的多樣性能，挖掘數(shù)據(jù)要素潛在價值。為此數(shù)據(jù)流通平臺實踐了前述的跨域管控技術(shù)。圖

7

是數(shù)據(jù)流通平臺原理示意圖：數(shù)據(jù)流通平臺具有大量

TEE組成的集群，便于數(shù)據(jù)方能夠?qū)φ麄€集群進行驗證以及集群不同節(jié)點之間相互驗證，平臺中包含了一種專門提供驗證服務(wù)的TEE，稱為“

驗證服務(wù)TEE”。每個TEE在啟動時，會向“驗證服務(wù)TEE”注冊自己的代碼哈希值和公鑰，“驗證服務(wù)

TEE”使用遠程認證機制驗證過該消息真實性后，接受該消息；之后，數(shù)據(jù)方、其他TEE節(jié)點就可以利用“驗證服務(wù)

TEE”獲得其他

TEE

的準確信息，驗證服務(wù)本身也在TEE之中以防止外部篡改其內(nèi)部信息。34數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）來源：中國信息通信研究院圖7數(shù)據(jù)流通平臺原理示意圖數(shù)據(jù)方提供的信息包括三部分：數(shù)據(jù)密文、數(shù)據(jù)所屬關(guān)系和數(shù)據(jù)使用授權(quán)。

數(shù)據(jù)密文一般采用數(shù)據(jù)方認可的TEE的公鑰加密，確保只有該TEE能夠解密。圖7中采用信封加密，即公鑰加密數(shù)據(jù)密鑰，數(shù)據(jù)密鑰再加密數(shù)據(jù)。

數(shù)據(jù)所屬關(guān)系用于證實“數(shù)據(jù)是誰的”，以免攻擊者篡改存儲在平臺中的數(shù)據(jù)和其所有者之間的關(guān)系。實踐中，可以使用數(shù)據(jù)密鑰對數(shù)據(jù)和所有者公鑰簽名，因為“知道數(shù)據(jù)密鑰的人，一定是擁有數(shù)據(jù)的人”，所以數(shù)據(jù)密鑰的簽名可以代表數(shù)據(jù)所有者。

數(shù)據(jù)使用授權(quán)，即使用數(shù)據(jù)方私鑰對“誰可以使用數(shù)據(jù)進行什么運算”進行簽名。需要注意的是，數(shù)據(jù)所屬關(guān)系正是證實為什么該私鑰的簽名是有效力的基礎(chǔ)。請求方對其要使用的數(shù)據(jù)ID、運算進行簽名。真正發(fā)生計算的

TEE，首先驗證請求方的請求的簽名是否正確，35數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）然后解密數(shù)據(jù)，驗證數(shù)據(jù)與其所有者之間的對應(yīng)關(guān)系，再驗證數(shù)據(jù)所有者是否對上述請求進行授權(quán)，如果全部驗證通過，則進行計算。計算完成后，再將計算結(jié)果使用請求方公鑰進行加密，返回；或者使用TEE專屬的密鑰，保存在數(shù)據(jù)流通平臺。2.平臺技術(shù)架構(gòu)數(shù)據(jù)流通平臺分為以下幾個部分，具體見圖8。來源：中國信息通信研究院圖8數(shù)據(jù)流通平臺技術(shù)架構(gòu)圖存儲層：數(shù)據(jù)流通平臺的核心能力在“流通”上，存儲是其可選的功能，所以數(shù)據(jù)方本地建議保留存儲能力。數(shù)據(jù)流通平臺的存儲能力，是為了避免數(shù)據(jù)方反復(fù)上傳同樣的數(shù)據(jù)，浪費時間和資源。計算環(huán)境層：數(shù)據(jù)流通平臺使用

TEE、TPM

和全?？尚?，為數(shù)36數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）據(jù)方提供一個能夠抵御惡意人員攻擊的域外運行環(huán)境。數(shù)據(jù)方在使用該環(huán)境前，需要從遠程驗證該環(huán)境，以免將數(shù)據(jù)傳入到虛假的安全環(huán)境中?？蚣軐樱浩涞讓訛榛A(chǔ)的計算框架，包括集群管理、調(diào)度中心、單個計算實例的基礎(chǔ)環(huán)境，以及大數(shù)據(jù)計算的一些優(yōu)化能力，比如任務(wù)編排等。除此之外，還包括一些基礎(chǔ)服務(wù)，比如密鑰管理服務(wù)、協(xié)助環(huán)境驗證的服務(wù)、數(shù)據(jù)訪問權(quán)限鑒別服務(wù)等。安全計算引擎：安全計算引擎能夠提供隔離的計算環(huán)境，在提供計算能力的同時防止攻擊者在計算環(huán)節(jié)獲得敏感信息。安全計算引擎提供多種計算引擎，使得用戶可以根據(jù)不同場景選擇合適的計算引擎，包括受控匿名化、TECC、TEE、輕量級密態(tài)計算（適度放棄安全性換取高性能的密態(tài)計算算法）。數(shù)據(jù)方本地也具有一定程度的密態(tài)化能力，包括去標識、加噪、K匿名等，與服務(wù)端的能力相互輔助。數(shù)據(jù)流通層：數(shù)據(jù)流通層包含數(shù)據(jù)流通的生命周期過程。1）在數(shù)據(jù)方本地，首先對數(shù)據(jù)進行管理（包括增加、刪除等），然后對要流通的數(shù)據(jù)按規(guī)定進行預(yù)處理，并進行加密傳輸；2）流通平臺在接收數(shù)據(jù)后，進行加密存儲；3）流通平臺在收到請求后，依次驗證數(shù)據(jù)與數(shù)據(jù)方的所屬關(guān)系、數(shù)據(jù)方對使用方的授權(quán)、ID

與實體的綁定關(guān)系等，驗證完成后進行相應(yīng)的計算；4）計算的結(jié)果可以加密留存在數(shù)據(jù)流通平臺，或者返回給數(shù)據(jù)使用方。因為數(shù)據(jù)的全生命周期流動都使用跨域管控技術(shù)保障數(shù)據(jù)方對數(shù)據(jù)的全程可控，所以即使平臺方是惡意的也不破壞該可控性。37數(shù)字廣告數(shù)據(jù)要素流通保障技術(shù)研究報告（2023年）平臺層：平臺層包括機構(gòu)管理（機構(gòu)的注冊、審核等）、項目管理（項目的建立、成員準入等）以及任務(wù)管理（任務(wù)的配置、發(fā)起等）。數(shù)據(jù)流通平臺提供用戶可操作的界面，為達到“平臺管理方惡意的情況下也能保證數(shù)據(jù)安全”，數(shù)據(jù)方不能完全信賴數(shù)據(jù)流通平臺（服務(wù)端）提供的界面服務(wù)，其本地也必須擁有界面訪問服務(wù)。本地界面服務(wù)作為可信的媒介，將能保證數(shù)據(jù)方的操作安全傳導到其數(shù)據(jù)和密鑰上。3.平臺方案分析數(shù)據(jù)流通平臺基于數(shù)據(jù)生命周期，涵蓋各類數(shù)據(jù)要素流通角色、支撐多種安全性和具有性能差異的計算引擎、具有可彈性擴展的分布式計算能力，為海量數(shù)據(jù)流通提供公共平臺，非常適合大規(guī)模數(shù)據(jù)流通，包括為業(yè)界大量機構(gòu)提供數(shù)據(jù)流通的公共平臺。數(shù)據(jù)流通平臺使用了多種技術(shù)，突破現(xiàn)有的安全性、性能等瓶頸，使得數(shù)據(jù)流通適用場景大規(guī)模拓展：

受控匿名化技術(shù)突破了隱私保