从《个人信息保护法》看隐私计算的科技向善应用——关于隐私计算应用场景的合规路径浅析

2021-11-01 16:14 浏览量:503


本文主要从《个人信息保护法》主要原则出发,结合隐私计算的特征及应用场景进行合规路径分析,进一步阐述隐私计算的科技向善应用及发展趋势。
 

 

一、《个人信息保护法》的主要原则

 

《个人信息保护法》规定了个人信息处理的八大主要原则,包括:

 

(一) 合法、正当、必要、诚信原则

合法性原则是世界范围内个人信息保护法普遍确立的基本原则,要求个人信息处理者在个人信息处理过程中必须遵守法律、行政法规规定,不得以非法方式处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。

《个人信息保护法》第五条,在第十条禁止性规定的基础上,进一步强调合法、正当、必要、诚信原则,指引个人信息处理者及国家机关监督部门结合特定的个人信息收集、使用、加工、传输、存储等应用场景,综合个人信息处理目的、方式、不利后果等评估因素,评估及判断其处理行为的合法性。

合法、正当、必要、诚信原则,实际上是合法性原则的内涵及外延理解的融合,更大程度上强调个人信息处理者在个人信息保护方面的积极作为。个人信息处理者应当在充分尊重个人信息主体合法权利的基础上,从国家安全、公共利益保护高度提升对个人信息处理行为的合法性认知,积极采取有效合规措施避免对个人信息的非法收集、滥用、泄露等违法违规或不良行为发生。


 

(二) 最小必要原则

个人信息保护法》第六条规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”

个人信息保护法》第六条是在该法第五条“正当、必要”原则的基础上进一步细化的行为准则。本条原则主要体现了个人信息处理的最小必要原则,个人信息处理者对个人信息的处理目的、方式、收集范围等均应围绕实现明确且合理的处理目的之必要,在与处理目的直接相关的限定范围内,采取对个人权益影响最小的方式处理,不得过度收集、处理。

在《个人信息保护法》施行之前,国内《网络安全法》、《数据安全法》等法律、行政法规及国家标准已对个人信息处理的最小必要原则进行了规定,特别是国家市场监督管理总局、国家标准化管理委员会2020年3月6日发布并于2020年10月1日已实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》(国家推荐性标准,以下简称“《个人信息安全规范》”)对最小必要原则细化了技术标准,根据该标准,实现“收集个人信息的最小必要”的技术要求主要包括:1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;3)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。个人信息保护法》在现行立法及国家标准基础上对最小必要原则做出了更全面的规定。不过,在实践层面,最小必要原则还需要结合现行各行业法律法规、政策指引及国家/行业/地方技术标准等规定予以落地。随着《个人信息保护法》的施行,相关配套性法律法规、司法解释及各类标准、规程等也正在并将如雨后春笋般陆续出台。


 

(三) 公开透明原则

个人信息保护法》第七条明确个人信息处理者应当遵守公开透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。公开透明原则以信息主体(个人)知情权为基础,要求个人信息处理者应以通俗易懂的用语、明确、完整地向个人公开明示其收集、使用、加工、存储个人信息的目的、处理方式、个人权益影响等内容,以减少因技术隐蔽性导致个人与处理者之间的信息不对称,避免处理者通过隐蔽的技术手段误导、诱导、欺骗个人做出不利于其合法权益的同意决定。个人也只有在充分知悉信息被处理的目的、方式、范围及可能对个人权益所造成的影响等内容,才会更准确、真实、自愿地选择是否将个人信息处理的权利授予处理者,此点也符合知情原则和诚信原则的要求。,

公开透明原则是个人信息处理者应予以重视的合规要求之一,制定个人信息处理的合规规则,需要对自身业务进行全面地合规梳理及自查自纠,对于不安全、不规范的个人信息处理方式也将面临技术革新,从个人信息保护角度重新审视产品和服务设计的合规性及合理性,以建立及完善涉及个人信息处理的产品或服务中隐私政策,而处理规则的公开公示,将使个人信息处理者更加自律,引导其注意梳理及规范业务过程中对个人信息最小必要收集、使用、加密、存储、输出、目的与实现方式等关键环节的合规操作,以避免脱离其公开公示的规则而不规范或非法处理个人信息。


 

(四) 知情(告知)原则与同意原则

个人信息保护法》以“知情(告知)-同意”两项原则为主线,结合了现行立法和相关标准的规定,对个人信息处理规则进行了较为全面的规定。规定了“明确告知”、“公开告知”、“必要性及个人权益影响告知”“单独同意”、“书面同意”、“重新同意”、“撤回同意”、“拒绝同意”“监护人同意”系列规则,多维度对个人知情权、同意权、拒绝权等多项权利行使予以保护。另外,《个人信息保护法》规定了不需告知或事先告知的例外情形,以及六类不需取得个人同意的例外情形,例外情形的规定,主要为了保护公共利益、自然人生命健康和财产安全之便,同时兼顾个人信息处理者履行法定或约定义务所必需。《个人信息安全规范》有关“征得授权同意的例外”规定大部分涵盖在《个人信息保护法》第十三条的范围中,而且《个人信息保护法》补充了人力资源管理所必需情形;但是对于《个人信息安全规范》中所述“学术研究机构出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去识别化处理的。”是否属于《个人信息保护法》规定的不需要取得个人同意的情形,并没有明确归类。从《个保法》对“个人信息”的定义范围与《个人信息安全规范》对“个人信息”的定义对比,可以看出,《个人信息保护法》将“匿名化处理后的信息”特别强调排除在个人信息之外,给予完全可脱离识别个人需求的商业利用保留合法空间。为此,学术研究机构及类似单位也应结合公益职责、与委托单位的权责约定、公共利益研究的必要性程度、信息收集及使用方式对个人权益影响程度、结果的去识别化处理程度来综合评估业务过程中对个人信息处理的合规性,积极利用匿名化技术避免合规风险。

概而言之,知情原则与同意原则是《个人信息保护法》的核心准则,也是国家立法保护个人信息主体合法权益的底线要求。各行业应将个人信息处理行为建立在尊重个人合法权利与保护个人信息合法权益基础之上。特别是涉及到敏感个人信息的金融等特殊行业,更应充分重视此项目合规要求,结合《个人信息保护法个保法》及行业配套规定,落实产品及服务的公开透明度、建立健全产品及服务所涉的“告知-同意”合规制度及个人信息安全流转体系。基于个人信息的商业利用,应充分尊重个人的知情权和自主选择权,只有在个人与处理者间建立信任关系的前提下,个人信息处理行为才能寻找到隐私保护与商业利用的平衡点及合规路径。


 

(五) 个人参与原则

个人信息保护法》充分吸收了国际立法经验,特别是受到1980年经济合作与发展组织(OECD)通过的《隐私保护与个人信息跨国流通指南》的影响,实际采信了个人参与原则。从专家建议稿至最终稿均对个人权利进行了明确规定,赋予个人对个人信息的多项权利,包括知情权、决定权、限制权、拒绝权、查询权、复制权、可携带权、更正权、补充权、删除权、请求解释权等。有利于个人自主维护合法权益,更为配套法律法规提供了个人参与的权利依据。《个人信息安全规范》从技术规范层面,细化了个人信息主体行使相关权利的合规、便捷方式。


 

(六) 质量保证原则

个人信息保护法》第八条规定“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。” 与专家建议稿、一审征求意见稿相比,《个人信息保护法》更强调个人信息质量保证义务应以避免对个人权益造成不利影响为合规风险控制标准。质量保证原则,一方面要求个人信息处理者应采取必要措施确保个人信息的准确性、完整性,另一方面与个人参与、监督权利相结合,比如,《个人信息保护法》第四十六条规定“个人发现其个人信息不准确或不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。”;第二十四条第(三)款“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”等。


 

(七) 信息安全原则

个人信息保护法》第九条规定“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”信息安全原则是《个人信息保护法》又一核心原则,围绕该原则,《个人信息保护法》主要针对个人信息处理者的信息安全义务及责任做了较多规定,另外,对国家机关、关键信息基础设施运营者和头部个人信息处理者的个人信息存储及跨境提供等行为规定了安全评估前提,而且为防止境外不法侵害个人信息权益或国家利益,赋予监管部门限制或禁止提供个人信息的权力。个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取合法有效措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。根据《个人信息保护法》第五十一条规定,个人信息处理者应当至少在:制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等方面加强个人信息保护,避免泄露、篡改及丢失,给国家、公众及个人造成不利影响。

其中,与《个人信息保护法相衔接,对各类数据实行分类分级管理的现行标准可参考:《网络安全标准实践指南——数据分级分类指引》;《工业数据分类分级指南(试行)》;《证券期货业数据分类分级指引》(JR/T 0158—2018);《金融数据安全数据安全分级指南》(JR/T 0197—2020);《个人金融信息保护技术规范》(JR/T 0171-2020);《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)等;加密、去标识化等技术标准可参考:《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021),《信息安全技术个人信息去标识化指南》(GB/T 37964-2019)等。

 

二、隐私计算与《个人信息保护法》的主要原则


 

隐私计算(Privacy-preserving Computation,缩写为 PC)是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算并能验证计算结果的信息技术。广义上是指面向隐私保护的计算系统与技术,涵盖数据的产生、存储、计算、应用、销毁等信息流程全过程,想要达成的效果是使数据在各个环节中“可用不可见”。隐私计算的技术流派有可信执行环境(Trusted Execution Environment)、安全多方计算(Secure Multi-Party Computation)、联邦学习(Federated Learning)。保护隐私通用的方法可分为基于密码学、基于失真与基于限制发布等类型。

可信执行环境(Trusted Execution Environment,缩写为 TEE)是数据计算平台上由软硬件方法构建的一个安全区域,可保证在安全区域内部加载的代码和数据在机密性和完整性方面得到保护。该方案计算性能较高,但需要将数据集中处理,主要依赖硬件安全,目前代表性的有 Intel SGX、ARM Trustzone。

安全多方计算(Secure Multi-Party Computation,缩写为 MPC 或 SMC)是指针对无可信第三方情况下,安全地进行多方协同的计算问题。即在一个分布式网络中,多个参与实体各自持有秘密输入,各方希望共同完成对某函数的计算,而要求每个参与实体除计算结果外均不能得到其他参与实体的任何输入信息。安全多方计算的常用的底层技术有混淆电路(Garbled Circuit)、不经意传输(Oblivious Transfer)、秘密共享(也称为秘密分割,Secret Sharing)、同态加密(Homomorphic Encryption)等。

联邦学习(Federated Learning,缩写为 FL) 是一种多个参与方在保证各自原始私有数据不出数据方定义的私有边界的前提下,协作完成某项机器学习任务的机器学习模式。

隐私计算的目标主要是防止数据中隐私信息的泄露,因此隐私保护技术最主要的性能指标为隐私保护强度;其次,还需综合考虑数据可用性与处理开销。隐私计算的技术目标与《个人信息保护法》的立法目的相符,而隐私计算技术对个人信息数据的保护路径与《个人信息保护法》的主要原则也存在高度结合


 

(一) 隐私计算与最小必要原则

以安全多方计算为例,安全多方计算协议作为密码学的一个子领域,其允许多个数据所有者在互不信任的情况下进行协同计算,输出计算结果,并保证任何一方均无法得到除应得的计算结果之外的其他任何信息。安全多方计算的核心思想是不接触明文数据,在加密算法和协议的框架内直接对加密数据进行计算得出结果。其特点包括输入隐私性、计算正确性及去中心化等特性,主要适用的场景包括联合数据分析、数据安全查询、数据可信交换等。安全多方计算的关键技术包括:不经意传输、秘密共享、混淆电路等。安全多方计算在电子选举、电子投票、电子拍卖、秘密共享、门限签名等场景中有重要的作用。

例如:因业务所需,A希望了解客户张三、李四、王五的工资总和。如果使用传统方式,A需要从张三、李四、王五节点直接采集数条工资记录,然后求和,但实际A对个人信息处理的目的只是想了解三人的工资总和,采集工资记录并没有做到《个人信息保护法》下最小必要原则。

相比之下,如通过秘密分享对原始数据进行隐私保护方式下的计算,张三、李四、王五节点并不需要将工资记录直接传输给A,便可以直接计算出工资总和,对于A而言,所获得的输出结果只有三人工资总和数值,将数据流转控制在最小必要范围内。(注:本案例假定A已具备取得处理张三、李四、王五对个人信息的合法同意且已符合对个人信息处理的其他合规要求。)


 

 (二) 隐私计算与信息安全保证原则

个人信息保护法》要求个人信息处理者采取相应的加密、去标识化等安全技术措施,以保障处理的个人信息安全。隐私计算对信息安全的保护,不仅在于加密、去标识化,还在于可以实现参与者的隐私信息不出私域,最低程度减少了隐私信息泄露的可能。从实践经验而言,在安全多方计算中,基于加密电路、不经意传输、同态加密等多种隐私计算保护方法,能为个人信息提供非常高的安全性。当然,隐私计算对个人信息安全的保护程度,需要结合特定业务场景及信息可用性需求等综合评估,并寻找信息安全与业务可用性的平衡点。为此,隐私计算对个人信息安全的最优保证方案是满足个人信息处理者特定目的及业务场景使用需求,且最大化确保个人信息不被泄露、篡改、丢失的解决方案。

随着隐私计算应用在多种业务场景中不断推广,各种隐私保护技术间将不断融合、优势互补,以适应《个人信息保护法》及配套法律法规、标准、指引对信息安全技术的合规要求,以防御不断更新的攻击手段、破解技术等安全风险。 


 

(三) 隐私计算与其他主要原则的结合

与合法、正当、必要、诚信原则
 

隐私计算技术需要法律指引以实现科技向善,应用隐私计算技术仍然应以“合法、正当、必要、诚信”为原则,遵守《个人信息保护法》及相关配套法律法规的规定,妥善处理不同应用场景所涉个人信息处理及隐私计算应用环节的各方权利义务及法律责任,避免使用隐私计算从事违法违规活动。

与公开透明原则

个人信息处理者将采用隐私计算等安全技术措施及基本原理予以公开,相比传统方式的信息安全保护措施,应用了隐私计算等更高层级的信息安全技术,将更有助于增强个人对处理者的信任度,有利于落实公开透明原则。 对于涉及个人信息处理的隐私计算共同参与者,虽实际业务并不与个人接触,但如被认定为个人信息共同处理者,也应与面向个人应用场景的结果方合作,共同制定隐私政策或类似个人信息处理规则,并将该等规则在应用场景中予以公开。

知情(告知)原则与同意原则

隐私计算在个人信息流入、输出环节,可以实现趋近于个人信息处理最小化原则,但是在与个人密切相关的业务场景,通过隐私计算技术进行ID对齐等个人数据处理环节,个人信息处理者仍需要遵循知情(告知)原则与同意原则。从技术层面,将隐私计算应用程序或功能模块套嵌于面向C端用户或可以直接取得C端用户实时授权的应用系统中,对《个人信息保护法》需要单独同意、重新同意等情形下进行实时操作,会更有利于解决合规问题。另外,区块链与隐私计算的结合应用将有助于对个人用户、隐私计算参与方、平台调度方等多方行为的不可篡改记录、可溯源查证,加强告知-同意流程的合规控制。

与质量保证原则

在数据的流通应用中,用户提供服务和决策的是算法,隐私计算的“算法”本质上改变了数据的流通方式,但是“数据”本身的质量才决定着最后的使用价值。要保证信息质量,个人信息处理者应对隐私计算产品所提供的算法运行情况进行测试评估,同时,还应与诚实度高的数据源参与方合作,确保通过算法等自动化决策程序所输出信息的准确、完整。另外,应注意合理利用自动化决策结果,对个人信息权益可能产生重大影响的业务场景,应结合《个人信息保护法》要求向个人进行合理解释并给予其拒绝接受的通道,以避免自动化决策对个人产生负面影响。

与个人参与原则

对于隐私计算技术输出结果所涉个人信息的修复、改正、补充、删除等,同样应遵守《个人信息保护法》对个人参与的规定,建议隐私计算产品及服务提供方结合应用场景所需,合理设计与用户所使用系统同步的个人参与方式或通道。

 

三、隐私计算应用案例浅析

 

案例1:匿踪私密查询的应用场景 

在传统的数据查询服务模式中,被授权查询机构或法定职责部门(查询方)一般会向数据源机构(数据源方)发送明文或 md5/sha256 加密的身份要素发起查询,数据源机构直接返回数据标签,这种查询方式,数据源机构存在将客户身份要素缓存、泄露及非法处理等风险。

采用匿踪私密查询技术,对查询方的客户身份 ID 进行混淆加密,数据源方返回多条查询结果,但查询方只能解密出目标客户的那一条,数据源方无法确切知道查询方的客户信息,有效避免了查询方的客户身份 ID 信息泄漏。

匿踪私密查询技术使数据源方无法获取被查询个人的身份ID信息,避免在信息传输过程中的人为泄密,返回多条与查询目的无关的加密结果并不与个人身份结合且不被查询方获取(在查询方仅可解密其真实查询ID所对应的结果),为此,在数据源方与查询方不存在恶意串通的情况下,是无法识别个人的;但是匿踪私密查询过程中对个人信息的加密处理、访问、去标识化应用等行为及目的仍应遵守告知-同意等规定。对于国家机关或相关授权机构履行法定职责(如刑侦、司法调查等),以及在涉及国家安全、公共利益等需要保密查询的应用场景下,合理、合规应用匿踪私密查询技术,将有助于进一步保障信息安全,防止查询目标泄露及被非法利用或造成不利影响。

 

案例2:联合风控建模在金融行业的应用 

联合风控建模常被用于金融机构放贷审查等应用场景。金融机构,作为AI模型需求方,通过利用内外部数据一起构建风控模型和策略的方式,抵抗变化多端的新型欺诈手段,对放贷等业务客户进行更精准信用风险评估。

然而,随着个人信息保护立法及政策趋严,特别是《征信业务管理办法》即将实施,金融机构以商业合作方式与非个人征信机构通过API等方式直接进行联合风控建模的方式将受到合规阻碍。

通过隐私计算平台进行联合风控建模,数据源机构-征信机构-金融机构等多方参与者,均可在原始数据不出私域的情况下,更加安全合规地传输加密、去识别化的个人信息;通过对个人金融信息的分类分级,金融机构可在统一的隐私计算平台,直接利用不同数据源机构或征信机构所提供的信息进行加工特征,数据维度更丰富、信息价值损失更少,建立的风控模型效果更好,利用平台的可视化交互界面完成 AI 模型的自动训练、部署、调用与迭代,可以缩短数据源/征信机构与金融机构对接周期,而且可用综合利用多种隐私保护技术手段,更加高效快捷地交互信息价值。

 

四、隐私计算的科技向善应用展望

2020年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置机制的意见》对外公布,明确地表示数据成为生产要素。标志着数据将会是未来社会数字化、信息化发展的重要基础。隐私计算作为国家重点支持的安全技术措施,随着国家数字化进程而逐步被推上大数据时代的风口浪尖,国家工信部及北京、上海、深圳、广东省、浙江省、江苏省、山东省、四川省、贵州省、江西省、内蒙古自治区等多地省级或省会城市政府已出台政策明确支持安全多方计算(多方安全计算)等隐私计算的应用与发展。

在国家政策引导下,隐私计算迎来了技术革新的春天,随着数据分级管理、数据交易等举措的推进,以隐私保护技术为主助推数据安全释能的合规方案将被更多行业所接受,隐私计算正在或将在更多领域发挥更重要的作用。而隐私保护技术的革新之路仍任重道远,为了适用大数据时代对数据安全不断升级的需求,技术服务企业对隐私计算技术的研发与创新也应加速进行,各技术方向的隐私保护技术应结合各自优势进行高度融合,隐私计算产品及服务也应快速升级以适应用户个性化需求。技术创新将推动隐私保护技术的普惠化发展,诸如隐私计算一体机等创新产品的研发及投入市场,将节省硬件采购、安装时间且降低技术应用成本,使隐私保护技术得到更快普及。另一方面,隐私计算在中国仍然处于启蒙阶段,立法状态仍处于初期,技术服务企业不能盲目自信,仍应清晰地认知到各自的短板,理性吸收国内外先进技术经验,反思产品及服务设计的合规性,以促进隐私保护技术在大数据时代健康、稳定、持续发展。

 

五、结语

个人信息保护法》的立法目的,并不是将个人信息的良性商业利用拒之门外,而是希望通过法律引导科技向善,无论是技术服务方还是个人信息处理者均应在充分尊重个人合法权利和保护个人信息合法权益的前提下,加强个人信息安全保护意识,并通过对产品及服务的升级、创新技术研发等积极举措促进个人信息商业化利用,以创造更和谐、安全地数据交易秩序。

 

参考文献:

1. 《个人信息保护法(专家建议稿)及立法理由书》,张新宝、葛鑫著,中国人民大学出版社,P27。

2. GB/T 35273-2020《信息安全技术 个人信息安全规范》(国家市场监督管理总局、国家标准化管理委员会2020年3月6日发布并于2020年10月1日实施)中第5.2条收集个人信息最小必要。

3. 《大数据隐私保护技术与治理机制研究》,毛典辉,清华大学出版社。

 

来源:数据要素发展委员会

上一篇:数据质量评估体系构建与评估治理实践

下一篇:什么是数据治理,企业为什么需要数据治理?

  • 分享:
龙石数据
咨询电话: 0512-87811036,18013092598
联系我们
商务联系微信

商务联系微信

0512-87811036,

18013092598

咨询电话