本文来自《OIDAA视界》，本篇文章作者：中国科学院信息工程研究所 高能

一、引言:从网络身份到数据身份的演进

随着网络技术的快速发展，数字世界中的身份问题也变得日益复杂和重要。从最初的计算机网络到如今的全球互联网，身份管理不仅仅涉及用户的登录验证，还逐步涵盖了更多层次的安全和隐私保护。网络身份技术作为在数字环境中标识和认证用户、设备及应用的核心技术，从最初的静态身份验证(如用户名和密码)到基于多因素认证(MFA)以及身份联合再到现代生物识别技术的应用，复杂性和安全性不断提升。同时，数字身份体系的范畴也从单一的“人”拓展到了“设备”和“应用”等多对象，信任架构也逐步向零信任架构和广义身份管理的方向发展。

数据已逐步成为核心生产要素，在其跨境流转共享与交易的过程中，如何确保数据的真实身份、合法使用和合规管理，已经成为亟待解决的问题。在此背景下，“数据身份”可以作为一种重要要素，贯穿于数据生命周期充当重要纽带，有效促进数据要素的流动和利用，推动数据治理的持续优化，从而提升数据在市场化过程中的流通效率和安全性。

二、数据身份的定义

数据身份是指为特定数据生成并与之可靠绑定的一组信息，包括唯一标识符，数据属性和可作为身份凭证进行可信鉴别的信息集合，用以确保该数据在流通过程中的真实性、完整性、可追溯性。与传统的网络身份认证系统主要关注用户、设备或应用的身份认证不同，数据身份关注的是数据本身的认证，实现对数据的每一次流转进行详细的追踪与管理。

数据身份适用于所有需要唯一标识、验证和追踪的数据对象，支持在数据对象的生成、复制、分发、修改、存储等环节中的身份管理需求。数据身份由标识、属性和凭证三个核心要素构成。数据身份标识是唯一标识数据的符号，用于识别和定位数据。数据身份属性是与数据相关的特征或元数据，描述数据的来源，历史、内容等。数据身份凭证用于验证数据身份真实性的信任依据，验证数据身份真实性的信任机制。

(一)数据身份标识

数据的唯一标识符是数据身份的核心元素，类似于传统的身份证号码或银行卡号，其赋予数据一个独特的、不可重复的标识。在数据管理中，标识符使得数据能够被精确识别、跟踪和管理。数据标识的形式可以多种多样，包括数字、字符或基于加密算法的编码。随着数据管理需求的不断发展，业界已展开了一系列针对数据和数字资产的身份标识技术的尝试，如数字对象标识符(DOI)、数联网等标识技术。

(二)数据身份属性

数据身份的属性包括描述数据特性的相关元数据如数据的来源、历史、所有权、访问权限、使用限制等。属性不仅描述了数据的具体特征，还为数据身份提供了背景信息，支持数据的合法性验证和合规性检查。以数据产品服务API为例，其数据身份的属性可以包括基本属性、供应商属性、质量标准、交易属性等。通过详细记录和管理这些属性，不仅提供了对数据的全面识别，还为跨境数据交换、数据共享和合规审查提供了有力的支持。

(三)数据身份凭证

数据身份凭证用于验证数据身份真实性的信任依据，确保数据的真实性和完整性，在数据流转过程中起到重要的信任鉴别作用。可鉴别数据属性可信的身份凭证可以有多种形式，包括数字证书、电子签章或者二维码与条形码等。可颁发这些身份凭证的主体覆盖参与各数据处理环节的各类主体，如数据供应商、平台方、使用方、测评机构等。

三、数据身份的运行机制

(一)流通中数据身份运行机制

数据身份随着数据流通经历各环节信息不断进行验证和更新，确保数据在每次流转和处理过程中产生对数据状态、来源、所有权等的必要“证明”。数据流经各个环节的过程，就是数据身份的各种属性凭证不断聚合产生证明的过程。

1.数据生成

数据要素化阶段为“数据商品”赋予唯一标识同时链接到数据的属性和凭证，共同作为数据流转和交易的基础。在数据生成和注册时，数据身份标识会与数据的身份属性凭证绑定，数据身份属性包括数据的生成基本属性、数据源属性、填充交易属性、填充提供方属性等，并由参与方颁发这些属性的可验证凭证，形成数据的初始身份和验证链条。该标识将作为数据的唯一标识符，贯穿数据流通的整个生命周期，在后续处理环节确保数据流转的过程中的每一步都能被验证和追踪，提供强有力的数据来源证明。

2.数据流通

在数据流通过程中，数据的身份标识与交易主体的身份认证相结合，每一环节的参与方都可能对数据的身份进行验证或修改，如在流通中填充交易属性和授权属性。这些操作会被记录在数据的凭证和属性中通过签名技术进行加密，生成新的凭证，从而确保每个参与方的操作都是合法的并且可追湖的，防止未经授权的数据交易，确保交易双方的权利得到保护，避免数据在未经授权的情况下流转。

3.数据使用

通过溯源，任何使用过的数据都可以追踪到其来源和历史，防止数据滥用、非法复制或篡改。例如，在涉及个人数据的应用场景中，若该数据属性中说明为3级数据，则对该敏感个人信息的处理需要在符合该安全级别的中间件或安全环境中进行处理和使用可通过溯源检查流转和使用中的合规情况。

(二)监管中基于数据身份的运行机制

数据身份管理作为一种重要的技术手段，能够提供数据流转过程中的透明度和可追溯性，有效支持数据流转监管的实施。监管的作用在于通过确保数据在生命周期内的合规性，保护用户隐私、维护数据安全，防止数据滥用和非法交易。

在实际应用中，数据监管包括基于证书的合规认证监管和监管部门对数据直接监管两种角度。前者侧重于数据合规性的认证和证明，后者则强调对数据本身的监控和管理。通过两种监管模式的结合，更全面地应对数据流转中的合规风险和安全隐患。

1.基于证书的合规认证监管

第一种监管模式通过颁发证明的方式来实现数据的合规性认证，重点关注数据在流转过程中合法性和合规性的验证。这种模式类似于商品的合格认证(例如标明符合某个国家标准)，在数据流转过程中，通过“证书”或“证明”来确认数据是否符合相关标准或法规。在数据流通中，数据提供方、加工方、数据运营中心、数据需求方通过信任背书和身份行为审计等机制，分别对数据合规、交易过程合规和应用合规进行保障。

2.面向数据处理过程的动态监管

在动态监管模式下，重点是监管机构通过对数据身份标识符的有效管理实现对数据本身的管理与监控控制数据在流转过程中的合法性，并确保数据在不同环节符合相关合规性要求。这一监管模式要求建立一套全面的机制，不仅对数据的合规性进行认证，同时对数据的流动、处理、交易和使用等环节进行动态监管。

(三)数据身份生态

构建一个数据身份生态系统是推动数据治理和保障合规性的重要前提。数据身份生态是由多方主体、技术基础设施以及信任机制共同构建的复杂系统。它涵盖了数据的标识和验证，以及跨域互认、信任机制、监管框架及各参与方的协作，确保数据能够跨域、跨平台地流动。

1.数据身份信任锚点:借助现有身份基础设施

数据身份的信任锚点是构建整个生态的核心组成部分。数据身份信任锚点的构建是通过密码、公信力证明等多种可信技术和工具，保障数据可信的基础设施。例如，区块链技术作为一种去中心化的分布式账本技术，能够为每一个数据对象提供永久、不可篡改的标识。通过多种信任锚点技术的结合，数据身份能够在跨平台、跨组织的流通中确保其真实性与合法性。

2.数据身份互认联盟:推动跨域数据流通

数据身份互认联盟是多个参与方(包括数据提供方、数据使用方、监管方等)之间达成的一种共同的认证和验证协议，如统一数据身份鉴别协议或统一访问控制协议。通过互认联盟，不同平台、组织、国家间的数据身份可以实现连接和互操作，为跨域数据流通提供保障。互认联盟不仅在数据共享中建立了互信的基础，还能有效地提升数据管理的效率，减少跨国界数据流转中的法律障碍和技术瓶颈。

3.数据流通各方与监管方的职责与协作

数据身份生态的成功运行依赖于不同主体之间的有效协作和职责分工。每个参与方在数据流通过程中都承担着重要的责任，并通过协作确保数据的安全合规与可信流转。

监管方负责为参与方发布准入、等级等资格证书评估参与方信任程度，收集数据身份行为，违规纠纷处理，并对不符合法律规定的数据流通行为进行干预与审查。

数据提供方生成数据身份，实现域内数据身份治理，并通过合法授权向数据使用方提供数据，确保所提供数据的真实性、合法性及完整性。

数据使用方需要首先通过数据身份鉴别与访问控制，在使用数据时必须遵守数据提供方设定的使用条件和权限要求，并将数据处理行为作为数据身份属性加入数据身份中，并颁发该属性的可验证凭证。

数据交易运营方作为数据交易平台或数据市场的组织者，负责在数据交易过程中确保数据身份验证交易合规性审查以及交易记录的审计。运营方应确保交易双方身份的真实性，并将自身身份凭证加入数据身份属性，为数据交易提供合规保障。

通过信任锚点、跨域互认和多方协作机制的结合数据身份生态能够将数据流通、管理和监管的各个环节有机连接在一起。数据身份不仅是单一的数据标识符，还是一个综合的可信验证体系，涵盖了数据的来源、属性、流转过程及合法性审查等多个方面。

四、数据身份的技术探索

(一)数据身份标识的部署与灵活性

数据身份标识的部署不仅要考虑技术的实现问题还需兼顾其在跨平台、跨域应用中的灵活性。数据身份标识符的设计需要在高效性、存储要求和灵活性之间找到平衡。数据身份标识符可以根据应用需求选择合适的存储方式。常见的标识存储方式包括以下几种：

1.网络流量包形式数据:网络流量包由包头和包数据组成。数据标识符可以嵌入包头的特定字段或者以附加数据的形式存在于包数据中。常见的网络协议如 IP、TCP、UDP 等都有预留字段可供扩展，可利用这些字段来嵌入标识符。

2.文件数据:在文件数据中，数据标识符可以存储在文件头、文件元数据或者以特定编码方式嵌入文件内容中。

3.应用载荷数据:数据标识符可以通过应用程序自身的编码机制或者与底层操作系统的交互机制嵌入到载荷数据中。例如，在一个移动应用程序中，可以在发送和接收的数据结构中预留字段来存储标识符。在企业级应用中，可能通过中间件或者应用框架来实现数据标识符的嵌入和提取。

数据身份标识符的首要目标是确保高效性，避免占用过多存储空间，以减少数据存储、传输和验证过程中的负担。为此，简标标识区可以采用哈希值、简洁编码等高效的标识方式，减少数据存储的空间需求，加快数据验证过程。在数据存储或传输时，标识符与数据块一起打包。

此外，数据块内标识区不受容量的严格限制，能容纳更多属性信息，如数据来源、创建时间、修改历史、访问权限等，该标识区与数据构成完整数据块。

图1 数据块标识区域示意图

(二)基于“数据身份”的数据流通利用技术架构

根据前文的分析，本文尝试以数据身份作为核心，结合合规性框架、监管技术、身份基础设施和跨环节协同等多个模块，给出适用数据流通场景的安全保障技术体系架构。

1.身份合规框架:

身份合规框架是支撑数据身份管理与合规的重要技术规范和法律基础。它为数据在生命周期中的各个环节提供了合规性保障依据。

上一篇 返回 下一篇