引言
近年來��,隨著網絡信息技術的迅猛發展及我國數據立法體係的不斷完善��,數據流通與數據保護間的張力日益突顯。2019年����,黨的十九屆四中全會首次將數據列為新的生產要素���;2021年�,國家發改委����、中央網信辦����、工信部��、國家能源局聯合印發的《全國一體化大數據中心協同創新體係算力樞紐實施方案》提出����,“試驗多方安全計算����、區塊鏈�、隱私計算����、數據沙箱等技術模式�����,構建數據可信流通環境���,提高數據流通效率”����;工信部在《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》中提出��,“推動聯邦學習�����、多方安全技術����、隱私計算���、密態計算���、安全檢索��、多閾協同追蹤等數據安全技術研究應用”����;國務院辦公廳在《要素市場化配置綜合改革試點總體方案》中明確規定��,“探索‘原始數據不出域�、數據可用不可見’的交易範式���,在保護個人隱私和確保數據安全的前提下����,分級分類�、分步有序推動部分領域數據流通應用”。另一方麵�,自2021年《數據安全法》《個人信息保護法》相繼落地實施並與《網絡安全法》共同構成我國頂層數據立法的“三駕馬車”以來��,各類配套法律文件也如雨後春筍般湧現����,各部門���、各ge地di區qu的de執zhi法fa力li度du不bu斷duan加jia大da�����,監jian管guan強qiang度du不bu斷duan收shou緊jin�����,企qi業ye合he規gui壓ya力li日ri益yi突tu顯xian。在zai此ci背bei景jing下xia�,隱yin私si計ji算suan為wei數shu據ju流liu通tong與yu數shu據ju保bao護hu間jian的de價jia值zhi平ping衡heng提ti供gong了le一yi種zhong可ke行xing的de技ji術shu解jie決jue方fang案an。
天tian達da共gong和he數shu據ju合he規gui團tuan隊dui在zai為wei客ke戶hu解jie決jue實shi際ji問wen題ti的de過guo程cheng中zhong��,發fa現xian隱yin私si計ji算suan在zai法fa律lv層ceng麵mian上shang存cun在zai一yi些xie有you待dai解jie決jue的de問wen題ti。我wo們men在zai此ci選xuan取qu數shu據ju求qiu交jiao和he客ke戶hu端duan本ben地di模mo型xing計ji算suan兩liang個ge場chang景jing中zhong涉she及ji的de個ge人ren信xin息xi保bao護hu問wen題ti進jin行xing探tan討tao����,以yi期qi為wei企qi業ye了le解jie和he解jie決jue相xiang關guan問wen題ti提ti供gong一yi些xie思si路lu和he啟qi發fa。
一��、隱私計算概述
隱私計算又稱隱私保護計算(Privacy-Preserving Computation)或隱私增強技術(Privacy Enhancing Technology)���,是指在保證數據提供方不泄露原始數據的前提下��,在保障數據安全及個人隱私的基礎上��,通過一係列包含人工智能��、密碼學���、數據科學等領域的技術手段���,對數據進行分析和計算�、充分釋放數據價值�����,實現數據流通過程中“可用不可見”的技術解決方案。
1�、隱私計算技術主要類型
隱私計算技術目前主要分為三種類型:第一類是以多方安全計算為代表的密碼學技術��,還包括同態加密�、差分隱私�、零知識證明等��;第二類是以聯邦學習為代表的人工智能技術�����;disanleishiyikexinzhixinghuanjingweidaibiaodeyingjiansheshijishu。qizhong����,duofanganquanjisuanhelianbangxuexiyibancongruanjiancengmianshejianquanjishukuangjia���,kexinzhixinghuanjingzhuyaocongdicengyingjiancengmiantigonganquanhuanjing。[1] 不同技術往往組合使用����,以提供更加全麵的隱私保護。
2�、隱私計算應用
由you於yu不bu同tong的de隱yin私si計ji算suan技ji術shu具ju備bei不bu同tong的de特te點dian與yu優you劣lie����,隱yin私si計ji算suan在zai不bu同tong技ji術shu的de組zu合he下xia演yan化hua出chu豐feng富fu的de應ying用yong場chang景jing。隱yin私si計ji算suan目mu前qian應ying用yong較jiao多duo的de領ling域yu包bao括kuo:① 金融領域中�����,在聯合風控���、聯合營銷�、反洗錢��、保險精算等方麵�����,金融機構利用隱私計算促進數據技術與金融業務深度融合�����;② 政務領域中���,隱私計算助力智慧城市建設���、數據基礎設施建設����、企業投融資��、普惠金融等活動�,推進公共數據與社會數據深度融合��;③ 醫療領域中�����,隱私計算在增強數據安全的前提下�,為疫情防控�����、臨床輔助決策���、醫學研究���、醫保理賠等提供了技術支持�;④ 此外�,隱私計算還被應用於精準營銷�����、算法推薦��、能源數據分析�����、智能汽車數據分析等方麵。[2]
二��、場景分析之數據求交
shujuqiujiaozhuyaofashengzailianbangxuexijishuyingyongzhong。shujujinxinglianhejisuanshi��,duogeshujutigongfanggezichiyoucunzaijiaojidanbingbuwanquanzhonghedeyonghushuju��,meiyishujutigongfangdoubuxiwangbaoluzishenfeijiaojibufenyonghudeshujugeiqitashujutigongfang。cishikeliyongyinsijiheqiujiaojishu(Private Set Intersection, PSI)先對各數據提供方的用戶求交集���,然後通過內部數據匹配來對交集用戶展開聯合計算��、進行模型訓練[3]���,從而有效打破數據壁壘�,實現數據跨機構有效融合。PSI技術通常適用於用戶ID對dui齊qi環huan節jie��,該gai技ji術shu保bao障zhang了le各ge參can與yu方fang僅jin能neng對dui交jiao集ji用yong戶hu數shu據ju進jin行xing計ji算suan��,而er無wu法fa留liu存cun或huo反fan推tui自zi身shen原yuan本ben所suo未wei持chi有you的de用yong戶hu數shu據ju�,大da大da降jiang低di了le在zai傳chuan統tong數shu據ju求qiu交jiao過guo程cheng中zhong非fei交jiao集ji用yong戶hu數shu據ju被bei其qi他ta參can與yu方fang獲huo知zhi後hou的de濫lan用yong隱yin患huan。
例如����,利用縱向聯邦學習技術進行聯合營銷��,電信運營商A持有100位用戶的特征數據�,銀行B持有100位用戶的行為數據��,其中二者通過標識符(例如經過一定處理的身份證號)進行ID對齊後篩選出50位重合用戶。銀行B使用其持有的50位交集用戶數據����,與電信運營商A持有的50位交集用戶數據聯合建模�����、共同計算��,從而更精準地對用戶進行畫像�、風險評估以及優化金融營銷效果。
1�����、PSI合規與匿名化
正如上文所述��,PSI的de目mu的de是shi識shi別bie多duo個ge數shu據ju提ti供gong方fang的de共gong同tong用yong戶hu集ji。盡jin管guan在zai這zhe一yi過guo程cheng中zhong����,通tong常chang會hui使shi用yong加jia密mi技ji術shu對dui原yuan始shi數shu據ju進jin行xing處chu理li��,避bi免mian用yong戶hu數shu據ju的de明ming文wen交jiao互hu���,但dan數shu據ju求qiu交jiao的de過guo程cheng即ji是shi對dui各ge參can與yu方fang共gong同tong用yong戶hu的de識shi別bie����,必bi然ran指zhi向xiang了le個ge人ren信xin息xi的de“可識別性”特征(即使僅從機器語言角度可識別)。對於交集用戶的數據而言�,盡管隱私計算可以對用戶ID或特征數據進行“脫敏”技術處理���,降低數據泄露����、濫用�、重識別的風險�����,但仍可能無法達到我國法律下的“匿名化”要求。
(1)我國關於“匿名化”的現行規定
我國《網絡安全法》第42條第1款[4]���、《民法典》第1038條第1款[5]�、《個人信息保護法》第73條第1款第4項[6]均將“匿名化”定義為“無法識別+不能複原”(即經加工後的個人信息無法識別特定個人且不能複原)��;且根據《個人信息保護法》第4條第1款[7]��,匿名化數據不屬於個人信息。與“匿名化”並列的概念是“在不借助額外信息的情況下無法識別特定自然人”[8]的“去標識化”����,而er去qu標biao識shi化hua處chu理li後hou的de個ge人ren信xin息xi仍reng屬shu於yu個ge人ren信xin息xi。我wo國guo法fa律lv設she置zhi匿ni名ming化hua要yao求qiu���,突tu顯xian了le立li法fa的de個ge人ren信xin息xi保bao護hu立li場chang��,同tong時shi與yu兼jian顧gu數shu據ju保bao護hu和he數shu據ju價jia值zhi的de去qu標biao識shi化hua概gai念nian並bing行xing����,對dui不bu同tong情qing景jing提ti出chu不bu同tong程cheng度du的de處chu理li要yao求qiu。
但是����,我國法律並未對“不能複原”作出程度上的具體規定����,目前也沒有關於匿名化的法律標準或指南。我們嚐試從有關去標識化的國家標準入手�,理解“不能複原”需要達到的標準。根據《信息安全技術 個人信息去標識化指南(征求意見稿)》第4.1條[9]���、第5.5.1條[10]����,去(qu)標(biao)識(shi)化(hua)是(shi)要(yao)在(zai)數(shu)據(ju)重(zhong)標(biao)識(shi)風(feng)險(xian)和(he)數(shu)據(ju)有(you)用(yong)性(xing)之(zhi)間(jian)找(zhao)到(dao)平(ping)衡(heng)。去(qu)標(biao)識(shi)化(hua)技(ji)術(shu)並(bing)不(bu)能(neng)完(wan)全(quan)消(xiao)除(chu)數(shu)據(ju)重(zhong)標(biao)識(shi)風(feng)險(xian)�,而(er)且(qie)在(zai)風(feng)險(xian)值(zhi)大(da)小(xiao)和(he)可(ke)接(jie)受(shou)度(du)方(fang)麵(mian)�����,會(hui)因(yin)企(qi)業(ye)自(zi)身(shen)需(xu)求(qiu)不(bu)同(tong)而(er)存(cun)在(zai)差(cha)異(yi)。如(ru)果(guo)對(dui)匿(ni)名(ming)化(hua)數(shu)據(ju)的(de)“不能複原”要求是完全的�、絕對的�����,則對於大多數場景而言���,不僅在技術上難以證明�,而且相當於承認匿名化數據不具備可用性和商業價值�;反言之��,能進行商業利用的數據則通常難以成為匿名化數據。關於匿名化數據�����、去標識化數據在有用性���、重標識性方麵的對比關係如下圖所示:
* 注:本示意圖僅為說明匿名化數據���、去標識化數據在有用性����、重標識性方麵的大致對比關係���,不作為相關趨勢數值的準確性依據。此外�����,考慮到對“匿名化”存在“相對匿名化”的解釋(詳見下文)���,本示意圖對匿名化數據的重標識性風險顯示為無限趨於零。
(2)域外關於匿名化的規定
歐盟《通用數據保護條例》(GDPR)序言第26條[11]規定�����,GDPR框架下的匿名化不屬於個人數據範疇。GDPR對於匿名化的要求是����,數據控製者或其他人使用了所有合理可能(reasonably likely)的方法均無法直接或間接地識別自然人。關於“合理可能”的判斷��,GDPR提出在認定匿名化的過程中����,應當考慮客觀因素�����,例如重識別所需的成本和時間����,以及處理數據時的技術水平等。
美mei國guo法fa律lv並bing未wei設she置zhi匿ni名ming化hua概gai念nian���,僅jin有you去qu標biao識shi化hua和he假jia名ming化hua���,體ti現xian了le對dui數shu據ju流liu通tong價jia值zhi的de優you先xian性xing考kao量liang。在zai此ci前qian提ti下xia��,美mei國guo要yao求qiu個ge人ren信xin息xi處chu理li者zhe采cai取qu相xiang關guan措cuo施shi降jiang低di泄xie露lu與yu濫lan用yong風feng險xian。美mei國guo聯lian邦bang貿mao易yi委wei員yuan會hui(FTC)曾在2012年發布一份報告[12], 討論了隱私框架的適用範圍��,即公司處理數據滿足以下條件時可認為其數據無法“合理鏈接”(reasonably linkable)至自然人:①采取合理措施以確保數據被去標識化����;②公開承諾不得重識別相關數據(否則可能麵臨訴訟)�;③通(tong)過(guo)合(he)同(tong)等(deng)方(fang)式(shi)禁(jin)止(zhi)服(fu)務(wu)提(ti)供(gong)商(shang)或(huo)第(di)三(san)方(fang)重(zhong)識(shi)別(bie)相(xiang)關(guan)數(shu)據(ju)。在(zai)保(bao)障(zhang)數(shu)據(ju)商(shang)業(ye)性(xing)開(kai)發(fa)的(de)基(ji)礎(chu)上(shang)加(jia)強(qiang)對(dui)數(shu)據(ju)處(chu)理(li)者(zhe)的(de)監(jian)管(guan)��,這(zhe)一(yi)思(si)路(lu)影(ying)響(xiang)了(le)後(hou)續(xu)州(zhou)隱(yin)私(si)立(li)法(fa)�,例(li)如(ru)《加州消費者隱私法案》(CCPA)���、《加州隱私權法》(CPRA)等。
2��、合規建議
從技術角度而言�����,理想狀況下的隱私計算技術使用了高強度的加密算法����,能夠在很大程度上保障數據處理活動的安全性�����,甚至“複原”可能需要花費相當的成本和時間����,從而在技術上接近於“不可複原”�����;但另一方麵��,隱私計算無法實現“完全的�����、徹底的不可複原”����,jiamihoudeshujuyirancunzaizhongshibiekenengxing�����,zhongshibiekenengxingjuedingleyinsijisuanzhuyaoshiyizhongchulishujudeanquanjishucuoshi��,erwufachongfenmanzuwoguodangqianfalvsuoyaoqiude“不能複原”deniminghuabiaozhun。tongshi�����,shijianzhongqiyewangwanghuijiyuzishenziyuanshuipingcaiquxiangyingbaohucuoshi�,suocaiqudejutijishuweibinengdadaozuijiabaohuhuojiamichengdu。ruguomianlinzhongshibiegongji��,gongjizherengkenengtongguomoxingdezhongjiancanshutuicechuyuanshishuju�,congerfashengshujuxielufengxian。
從法律角度而言�����,首先需要認識到���,技術上的“匿名化”(或“脫敏”“加密”等)術語並不能等同於我國法律上的匿名化概念��,實踐中企業(尤其是技術人員)易將二者相混淆��,認為去除個人信息中的標識符或借助一些加密手段就可以實現匿名化���;其次����,盡管域外存在“相對匿名化”的立法和實踐�,但我國法律對匿名化要求的“不可複原”暫未作出進一步細化規定���,並未明確轉向“相對匿名化”的界定路徑。
從(cong)商(shang)業(ye)目(mu)的(de)而(er)言(yan)�,數(shu)據(ju)求(qiu)交(jiao)的(de)目(mu)的(de)是(shi)為(wei)了(le)識(shi)別(bie)出(chu)同(tong)屬(shu)於(yu)各(ge)數(shu)據(ju)提(ti)供(gong)方(fang)或(huo)具(ju)備(bei)特(te)定(ding)特(te)征(zheng)的(de)用(yong)戶(hu)群(qun)體(ti)���,以(yi)期(qi)獲(huo)取(qu)可(ke)以(yi)指(zhi)向(xiang)或(huo)關(guan)聯(lian)到(dao)特(te)定(ding)自(zi)然(ran)人(ren)(或自然人群體)的數據分析結果。按照數據求交最終要實現的商業目的��,PSI技術處理後的個人信息並未超出我國現行法律對個人信息定義的“與已識別或者可識別的自然人有關的各種信息”[13]範疇���,因此監管部門仍有可能認定數據求交的相關技術處理未達到法律要求的匿名化程度。
綜合考慮技術的局限性����、法律的不確定性��、商(shang)業(ye)目(mu)的(de)的(de)可(ke)識(shi)別(bie)要(yao)求(qiu)以(yi)及(ji)近(jin)年(nian)來(lai)監(jian)管(guan)加(jia)強(qiang)的(de)趨(qu)勢(shi)�����,求(qiu)交(jiao)過(guo)程(cheng)中(zhong)數(shu)據(ju)的(de)流(liu)通(tong)與(yu)交(jiao)互(hu)可(ke)能(neng)構(gou)成(cheng)對(dui)外(wai)提(ti)供(gong)個(ge)人(ren)信(xin)息(xi)的(de)數(shu)據(ju)處(chu)理(li)關(guan)係(xi)����,因(yin)此(ci)我(wo)們(men)建(jian)議(yi)���,采(cai)取(qu)PSI技術處理個人信息的企業仍然需要(通過隱私政策等方式)向用戶進行告知���,並取得相關合法性基礎(多數場景下為同意)����,以yi保bao證zheng個ge人ren信xin息xi來lai源yuan和he利li用yong的de合he法fa性xing。同tong時shi��,出chu於yu降jiang低di合he規gui風feng險xian的de考kao慮lv�����,上shang述shu義yi務wu還hai應ying當dang在zai合he同tong等deng法fa律lv文wen件jian中zhong予yu以yi明ming確que約yue定ding�����,由you其qi他ta參can與yu方fang作zuo出chu承cheng諾nuo。在zai取qu得de了le合he法fa性xing基ji礎chu的de前qian提ti下xia����,使shi用yongPSI技術可作為企業采取技術措施等必要手段履行數據安全和個人信息保護義務的證明。
此外��,基於數據求交的商業目的�����,隱私計算結果往往用於對個體進行分析����、評估���、預yu測ce等deng活huo動dong��,構gou成cheng對dui個ge人ren信xin息xi的de使shi用yong和he加jia工gong�,且qie通tong常chang會hui脫tuo離li收shou集ji個ge人ren信xin息xi時shi的de原yuan始shi處chu理li目mu的de或huo基ji本ben業ye務wu場chang景jing�����,因yin此ci需xu要yao就jiu計ji算suan結jie果guo的de利li用yong取qu得de相xiang關guan合he法fa性xing基ji礎chu��,並bing且qie注zhu意yi滿man足zu自zi動dong化hua決jue策ce���、算法推薦的相關合規要求。
三���、場景分析之客戶端本地模型計算
在直接麵向客戶端(C端)的(de)聯(lian)邦(bang)學(xue)習(xi)技(ji)術(shu)中(zhong)���,用(yong)戶(hu)的(de)原(yuan)始(shi)數(shu)據(ju)始(shi)終(zhong)存(cun)儲(chu)在(zai)本(ben)地(di)不(bu)出(chu)庫(ku)�,數(shu)據(ju)處(chu)理(li)者(zhe)利(li)用(yong)用(yong)戶(hu)本(ben)地(di)數(shu)據(ju)對(dui)服(fu)務(wu)器(qi)分(fen)發(fa)的(de)初(chu)始(shi)模(mo)型(xing)進(jin)行(xing)訓(xun)練(lian)���,再(zai)將(jiang)訓(xun)練(lian)模(mo)型(xing)後(hou)得(de)到(dao)的(de)加(jia)密(mi)中(zhong)間(jian)參(can)數(shu)(如模型梯度)上傳至服務器。服務器利用加密中間參數更新初始模型�,然後將更新後的模型分發至用戶����,在用戶端繼續完成對模型的訓練。
例如���,用戶在使用輸入法軟件或App時(shi)��,其(qi)在(zai)使(shi)用(yong)過(guo)程(cheng)中(zhong)的(de)語(yu)言(yan)和(he)行(xing)為(wei)習(xi)慣(guan)等(deng)操(cao)作(zuo)數(shu)據(ju)僅(jin)在(zai)手(shou)機(ji)或(huo)電(dian)腦(nao)終(zhong)端(duan)進(jin)行(xing)計(ji)算(suan)分(fen)析(xi)����,從(cong)客(ke)戶(hu)端(duan)向(xiang)輸(shu)入(ru)法(fa)服(fu)務(wu)器(qi)回(hui)傳(chuan)的(de)僅(jin)是(shi)中(zhong)間(jian)參(can)數(shu)�����,服(fu)務(wu)器(qi)進(jin)一(yi)步(bu)利(li)用(yong)中(zhong)間(jian)參(can)數(shu)優(you)化(hua)算(suan)法(fa)����、改善模型預測的準確度。
在(zai)此(ci)場(chang)景(jing)下(xia)����,由(you)於(yu)數(shu)據(ju)處(chu)理(li)者(zhe)僅(jin)提(ti)供(gong)相(xiang)關(guan)產(chan)品(pin)或(huo)服(fu)務(wu)供(gong)用(yong)戶(hu)使(shi)用(yong)����,不(bu)訪(fang)問(wen)用(yong)戶(hu)個(ge)人(ren)信(xin)息(xi)���,計(ji)算(suan)在(zai)用(yong)戶(hu)設(she)備(bei)終(zhong)端(duan)本(ben)地(di)進(jin)行(xing)�����,不(bu)回(hui)傳(chuan)至(zhi)數(shu)據(ju)處(chu)理(li)者(zhe)�,因(yin)此(ci)不(bu)構(gou)成(cheng)個(ge)人(ren)信(xin)息(xi)的(de)收(shou)集(ji)行(xing)為(wei)[14]�,也不涉及個人信息的存儲���,但是利用用戶本地數據訓練模型的行為仍然構成對個人信息的使用。根據《個人信息保護法》第4條第2款�����,個人信息的處理包括個人信息的收集��、存儲���、使用����、加工�、傳輸���、提供���、公開����、刪(shan)除(chu)等(deng)。盡(jin)管(guan)個(ge)人(ren)信(xin)息(xi)強(qiang)調(tiao)全(quan)生(sheng)命(ming)周(zhou)期(qi)保(bao)護(hu)���,但(dan)並(bing)非(fei)必(bi)須(xu)在(zai)全(quan)鏈(lian)條(tiao)場(chang)景(jing)下(xia)數(shu)據(ju)處(chu)理(li)活(huo)動(dong)才(cai)納(na)入(ru)相(xiang)關(guan)法(fa)律(lv)規(gui)製(zhi)範(fan)圍(wei)���,涉(she)及(ji)上(shang)述(shu)任(ren)一(yi)環(huan)節(jie)的(de)行(xing)為(wei)均(jun)構(gou)成(cheng)對(dui)個(ge)人(ren)信(xin)息(xi)的(de)處(chu)理(li)��,均(jun)應(ying)遵(zun)守(shou)相(xiang)關(guan)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)規(gui)定(ding)。同(tong)時(shi)�����,中(zhong)間(jian)參(can)數(shu)的(de)本(ben)質(zhi)是(shi)基(ji)於(yu)原(yuan)始(shi)數(shu)據(ju)的(de)函(han)數(shu)[15]��,通過中間參數逆推原始數據在技術上並非無法達成�,仍然存在重識別風險甚至泄露風險。因此我們建議���,在直接麵向C端的本地模型計算場景下��,數據處理者需要向用戶進行告知並取得相關合法性基礎。
四�����、結語
在(zai)當(dang)前(qian)數(shu)字(zi)經(jing)濟(ji)蓬(peng)勃(bo)發(fa)展(zhan)與(yu)法(fa)律(lv)體(ti)係(xi)不(bu)斷(duan)完(wan)善(shan)的(de)背(bei)景(jing)之(zhi)下(xia)��,數(shu)據(ju)保(bao)護(hu)與(yu)數(shu)據(ju)流(liu)通(tong)的(de)價(jia)值(zhi)平(ping)衡(heng)已(yi)成(cheng)為(wei)社(she)會(hui)共(gong)識(shi)。一(yi)方(fang)麵(mian)��,數(shu)據(ju)價(jia)值(zhi)的(de)挖(wa)掘(jue)和(he)新(xin)興(xing)技(ji)術(shu)的(de)利(li)用(yong)需(xu)要(yao)以(yi)保(bao)障(zhang)數(shu)據(ju)安(an)全(quan)和(he)個(ge)人(ren)信(xin)息(xi)為(wei)前(qian)提(ti)��;另一方麵�,不應片麵強調數據保護而否定數據融合價值甚至阻礙技術對社會�、經濟的推動。
從國家層麵而言����,“絕對匿名化”恐難以滿足數字化時代的需要�,“相對匿名化”是更加現實可行的路徑。在認可“相對匿名化”的前提下���,通過完善去標識化技術��、采取數據安全管理措施以及加強事中和事後監管等方式相結合的模式��,實現對個人隱私�����、個人信息和數據的安全保護和風險防控�����,不失為促進數據合規����、有序流動的一種有益思路和探索。
對於特定企業而言�,應當具體情況具體分析�,結合自身的商業模式��、技術應用情況以及立法和監管環境等因素��,綜合評估並判斷隱私計算場景下的合規要求��,積極履行相關法律義務���、采取技術保障�����,降低個人信息安全風險。
[1] 隱私計算聯盟��、中國信息通信研究院雲計算與大數據研究所:《隱私計算白皮書(2021年)》。
[2] 中國移動通信集團有限公司:《隱私計算應用白皮書》。
[3] 抖音集團:《隱私計算法律規則適用報告》。
[4] 《網絡安全法》第42條第1款:網絡運營者不得泄露�����、篡改���、毀損其收集的個人信息��;未經被收集者同意��,不得向他人提供個人信息。但是���,經過處理無法識別特定個人且不能複原的除外。
[5] 《民法典》第1038條第1款:信息處理者不得泄露或者篡改其收集�����、存儲的個人信息����;未經自然人同意���,不得向他人非法提供其個人信息�,但是經過加工無法識別特定個人且不能複原的除外。
[6] 《個人信息保護法》第73條第1款第4項:匿名化��,是指個人信息經過處理無法識別特定自然人且不能複原的過程。
[7] 《個人信息保護法》第4條第1款:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息�����,不包括匿名化處理後的信息。
[8] 《個人信息保護法》第73條第1款第3項。
[9] 《信息安全技術 個人信息去標識化指南(征求意見稿)》第4.1條 去標識化目標:
a) 對直接標識符和準標識符進行刪除或變換�,避免攻擊者根據這些屬性直接識別或者結合其它信息識別出原始個人信息主體���;
b) 控(kong)製(zhi)重(zhong)標(biao)識(shi)的(de)風(feng)險(xian)�����,根(gen)據(ju)可(ke)獲(huo)得(de)的(de)數(shu)據(ju)情(qing)況(kuang)和(he)應(ying)用(yong)場(chang)景(jing)選(xuan)擇(ze)合(he)適(shi)的(de)模(mo)型(xing)和(he)技(ji)術(shu)�,將(jiang)重(zhong)標(biao)識(shi)的(de)風(feng)險(xian)控(kong)製(zhi)在(zai)可(ke)接(jie)受(shou)範(fan)圍(wei)內(nei)�����,確(que)保(bao)重(zhong)標(biao)識(shi)風(feng)險(xian)不(bu)會(hui)隨(sui)著(zhe)新(xin)數(shu)據(ju)發(fa)布(bu)而(er)增(zeng)加(jia)�,確(que)保(bao)數(shu)據(ju)接(jie)收(shou)方(fang)之(zhi)間(jian)的(de)潛(qian)在(zai)串(chuan)通(tong)不(bu)會(hui)增(zeng)加(jia)重(zhong)標(biao)識(shi)風(feng)險(xian)�����;
c) 在zai控kong製zhi重zhong標biao識shi風feng險xian的de前qian提ti下xia����,結jie合he業ye務wu目mu標biao和he數shu據ju特te性xing���,選xuan擇ze合he適shi的de去qu標biao識shi化hua模mo型xing和he技ji術shu����,確que保bao去qu標biao識shi化hua後hou的de數shu據ju集ji盡jin量liang滿man足zu其qi預yu期qi目mu的de(有用)。
[10] 《信息安全技術 個人信息去標識化指南(征求意見稿)》第5.5.1條 驗證結果含義:
duishujujiqubiaoshihuahoujinxingyanzheng��,yiquebaoshengchengdeshujujizaizhongbiaoshifengxianheshujuyouyongxingfangmiandoufuheyushedemubiao。zaiyanzhengmanzumubiaoguochengzhong���,xuduiqubiaoshihuahouzhongbiaoshifengxianjinxingpinggu�,jisuanchushijifengxian���,yuyuqikejieshoufengxianyuzhijinxingbijiao�����,ruofengxianchaochuyuzhi�����,xujixujinxingtiaozhengzhidaomanzuyaoqiu。youyuzhongbiaoshijishuhezhongbiaoshigongjidenenglizaixunsuyanbian����,xuyaoyouneibuzhuanyerenyuanhuoquanweidewaibuzuzhidingqizhankaiyanzhengpinggu。
[11] 歐盟《通用數據保護條例》序言第26條:數(shu)據(ju)保(bao)護(hu)原(yuan)則(ze)適(shi)用(yong)於(yu)與(yu)已(yi)識(shi)別(bie)或(huo)可(ke)識(shi)別(bie)自(zi)然(ran)人(ren)有(you)關(guan)的(de)任(ren)何(he)信(xin)息(xi)。經(jing)過(guo)假(jia)名(ming)化(hua)處(chu)理(li)的(de)個(ge)人(ren)數(shu)據(ju)����,能(neng)夠(gou)與(yu)附(fu)加(jia)信(xin)息(xi)結(jie)合(he)從(cong)而(er)鏈(lian)接(jie)到(dao)特(te)定(ding)自(zi)然(ran)人(ren)��,應(ying)當(dang)被(bei)視(shi)為(wei)可(ke)識(shi)別(bie)自(zi)然(ran)人(ren)的(de)信(xin)息(xi)。為(wei)了(le)確(que)定(ding)自(zi)然(ran)人(ren)是(shi)否(fou)可(ke)識(shi)別(bie)�����,應(ying)當(dang)考(kao)慮(lv)由(you)數(shu)據(ju)控(kong)製(zhi)者(zhe)或(huo)其(qi)他(ta)人(ren)為(wei)了(le)直(zhi)接(jie)或(huo)間(jian)接(jie)識(shi)別(bie)特(te)定(ding)自(zi)然(ran)人(ren)而(er)所(suo)有(you)合(he)理(li)可(ke)能(neng)使(shi)用(yong)的(de)手(shou)段(duan)。為(wei)了(le)確(que)定(ding)是(shi)否(fou)有(you)合(he)理(li)可(ke)能(neng)使(shi)用(yong)的(de)手(shou)段(duan)來(lai)識(shi)別(bie)自(zi)然(ran)人(ren)����,應(ying)考(kao)慮(lv)所(suo)有(you)客(ke)觀(guan)因(yin)素(su)�,例(li)如(ru)識(shi)別(bie)的(de)成(cheng)本(ben)和(he)所(suo)需(xu)時(shi)間(jian)�,同(tong)時(shi)考(kao)慮(lv)數(shu)據(ju)處(chu)理(li)時(shi)可(ke)用(yong)的(de)技(ji)術(shu)及(ji)技(ji)術(shu)的(de)開(kai)發(fa)。因(yin)此(ci)��,數(shu)據(ju)保(bao)護(hu)原(yuan)則(ze)不(bu)適(shi)用(yong)於(yu)匿(ni)名(ming)化(hua)信(xin)息(xi)��,即(ji)與(yu)已(yi)識(shi)別(bie)或(huo)可(ke)識(shi)別(bie)自(zi)然(ran)人(ren)無(wu)關(guan)的(de)信(xin)息(xi)��,或(huo)者(zhe)以(yi)某(mou)種(zhong)導(dao)致(zhi)數(shu)據(ju)主(zhu)體(ti)不(bu)可(ke)識(shi)別(bie)或(huo)不(bu)再(zai)可(ke)識(shi)別(bie)的(de)方(fang)式(shi)匿(ni)名(ming)提(ti)供(gong)的(de)個(ge)人(ren)數(shu)據(ju)。因(yin)此(ci)�,本(ben)條(tiao)例(li)不(bu)涉(she)及(ji)此(ci)類(lei)匿(ni)名(ming)化(hua)信(xin)息(xi)的(de)處(chu)理(li)���,包(bao)括(kuo)為(wei)統(tong)計(ji)或(huo)研(yan)究(jiu)目(mu)的(de)的(de)處(chu)理(li)。
[12] Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change: Recommendations for Businnesses and Policymakers, March 2012, https://www.ftc.gov/reports/protecting-consumer-privacy-era-rapid-change-recommendations-businesses-policymakers�����,p18-22.
[13] 《個人信息保護法》第4條第1款。
[14] 《信息安全技術 個人信息安全規範》第3.5條。
[15] 中國信息通信研究院:《隱私保護計算與合規應用研究報告(2021年)》。
