财新传媒
位置:博客 > 高声谈 > 隐私计算与个人信息保护的深层逻辑关系

隐私计算与个人信息保护的深层逻辑关系

个人信息保护法如何颠覆数据服务模式

研究清除这个问题,首先要弄清楚个人信息的概念内核与产生原理。

按照个人信息保护法的定义,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。这里包含两层含义,首先,个人信息识别自然人的各种信息,是每个自然人独有的,或是通过自我行为生产出来的;其次,必须记录下来。只有满足这两条才能称作个人信息。

举两个例子加深理解。古代智能人最早的记录方式可能是石岩上的壁画,记录了部落狩猎、祭祀等一系列重大事件。壁画算作个人信息吗?应该不算,因为并未识别或特定指向某一个自然人。文字出现后,表达的信息量和精准度更加充分,对于某一自然人的区别记录普遍起来,比如帝王本纪和诸侯列传,属于个人信息的早期形态

进入到数字社会后,个人信息大爆发。各类现代化设备对于每一自然人识别刻画的维度和精度大幅提高,但由于设备是B端企业或机构拥有或运维,记录动作由B端完成,因此造成了个人信息所有权和使用权的分离。使用权滥用造成了数据服务的混乱无序,个人信息保护法、数据安全法应运而生,主要目的是对拥有使用权的B端企业或机构的相关义务和责任进行规范

数据运营主体和处理者应履行诸多责任

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。每个环节运营主体或处理者均有相应的责任与义务,例如数据采集时要履行“最小收集”与“告知知晓”原则;处理前,应告知处理者的名称、联系方式、处理目的、方式、范围等;向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称、联系方式、处理、目的、处理方式和种类,并取得个人的单独同意。具备数据“删除”和“携带转移”功能;传输时要遵循“可用不可见”原则;存储时要进行“分类管理”,采取“加密”和“去标识化”等措施;平日要制定内部管理制度和操作规程,应定期对执行情况进行合规审计等。

这些数据传输方式有问题么?

对照个人信息保护法,下面常用的处理方式合法吗?我们一一来看。

场景一:大数据市场有很多数据源头厂商,有的是提供基础通信组件或服务,有的是to C的行业垄断厂商,汇总了大量个人信息。它们对外提供个人信息的标签化查询输出服务,或与其他公司以联合建模方式输出对个人的精准风控或服务决策支持。

分析与结论:判断该场景是否合法,首先要看源头数据厂商是否履行了充分告知义务,不仅告知自己的处理方式、目的、数据种类,还要明确告知涉及的其他合作单位的名称、处理方式、目的与数据种类,没有明确告知的,则违法。

特别是对于存量客户,在当时服务时与客户签订的线上或线下告知协议,是否包含了上述内容?处理者不能以新上线的告知协议,替代对存量客户的处理义务。换句话说,在调整告知义务相关内容后,处理者只能处理已经重新签约的个人信息,对于没有重新签约的存量客户,不能超范围处理数据。

场景二:数据需求方获得了个人授权,从源头厂商查询个人信息时,通过MD5或SHA256等方式进行加密传输,源头厂商并未反馈个人客观信息,而是反馈“是”与“否”,或者标签化结果。

分析与结论:按照个人信息保护法规定,对个人信息的加密和去标识化处理数据的基础工作,但并不是无所畏忌操作的保护伞,即便取得了客户授权。个人保护法对于去标识化的定义是:个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。对于数据查询厂商,其通过简单加密方式能够确保源头厂商无法识别特定自然人么?并不能。这些加密方式都是可逆的,且加密数据到达源头厂商后,均通过私钥转化为明文查询,加密方式只是稍微提升了传输过程的安全性,仅此而已。

因此,真正合法的查询应该是“双盲"性质的,数据查询方和源头厂商均无法知晓特定的被查询个人

场景三:集团进行数据整合,将不同子公司数据进行明文汇集。

分析与结论:首先,与场景一类似,整合前,应明确告知合并与共享单位、用途、类型及或有影响,并取得客户授权;其次,应加密或去标签化存储与传输。完全明文状态下的数据共享与综合应用是不符合规定的。

由于个人信息保护法并没有规定同一集团下不同子公司之间数据传输与合作的特殊性,因此,跨法人主体的数据传输与共享应遵循统一标准和要求

与此类似场景还有两家持牌机构间的联合贷款业务,涉及用户信息共享以及外采数据的联合建模。区别之处在于:联合贷款的必要性及相关告知均已取得了客户的授权,且属于“为订立、履行个人作为一方当事人的合同所必需”的情况,因此,联合贷款两方持牌机构可以就客户信息进行共享,但同样需遵守“最小收集”、加密等信息管理基础要求。

何为个人信息和匿名化处理

研究个人信息概念时,有一个特别发现:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。也就是说,经过匿名化处理的信息不属于个人信息范畴,不用遵循个人信息保护法对于相关主体的若干义务要求

那何为匿名化处理呢?是指个人信息经过处理无法识别特定自然人且不能复原的过程。同属无法识别特定自然人的处理过程,但匿名化要求高于去标识化。

实际使用中,匿名化对于数据查询方尤为重要。数据源头厂商原本拥有客户的明文数据,其遵循处理主体若干义务责无旁贷。但对于数据查询方(或使用方)来说,其原本不拥有个人信息,如果用明文方式查得,则也须遵守相关义务;但如果通过匿名化手段查得的信息不属于个人信息,不需遵循相关义务,甚至不用履行告知义务和取得授权。因此匿名化手段是信息传输时,减轻无数据一方义务责任的有效手段

隐私计算是否属于匿名化解决方案,尚无官方认可

隐私计算的技术目的和最大意义就是实现“数据的匿名化传输”,通俗来讲就是“数据可用不可见”。就目前的技术安全性而言,隐私计算的技术路径之一——多方安全计算中使用的一些加密算法和协议的安全性已经得到理论学界和工业实践的验证,其他两个技术路径:联邦学习和可信执行环境,尚未解决全部的恶意攻击假设并确保绝对安全,并未经过大规模实践检验。目前,官方和监管也并未给出隐私计算中哪一门技术符合匿名化要求的说法,隐私计算相关理论与实践正处于行业实验与论证的初级发展阶段

没有绝对的安全,只有相对的安全

笔者始终认为:信息保护领域,没有绝对的安全,只有相对的安全。虽然当前的隐私计算技术并未被证明“绝对的安全”,但它已经在现有做法基础上向前迈进了一大步。在个人信息保护法倒逼数据安全的大环境下,隐私计算为个人信息保护提供了更为可靠的技术方案,也是目前诸多方案中最好的解决方案

当然,隐私计算技术同样需要优化与进步,并与实际应用场景进行深度结合、创新,经过大量实际案例验证其安全性。因此,我们不妨让子弹飞一会。

隐私计算顶层设计快速推进

虽然官方并未给出明确结论,但无疑肯定了隐私计算技术的发展方向。

2021年5月24日,国家发改委、中央网信办、工业和信息化部 、国家能源局联合印发《全国一体化大数据中心协同创新体系算力枢纽实施方案》,提出“试验多方安全计算、区块链、隐私计算 、数据沙箱等技术模式,构建数据可信流通环境,提高数据流通效率。”

中国人民银行副行长范一飞在2021年10月《金融电子化》杂志中刊文称:要探索应用多方安全计算、联邦学习等技术,在保障原始数据不出域前提下规范开展数据共享。建立数据全生命周期安全保护机制,运用匿踪查询、去标记化等措施,严防数据误用、滥用,切实保障金融数据和个人隐私安全。

行业标准和团体标准正在被快速制定:阿里集团与多家国内隐私计算公司联合IEEE-SA(国际电子电气工程师协会)标准委员会颁布了《IEEE关于安全多方计算的推荐实践标准》;中国人民银行也于2020年10月颁布《多方安全计算金融应用技术规范》。据悉,中国信息通信研究院正在加快制定行业技术标准。

官方行业认证也已经出现:中国信息通信研究院已经实施了多期有关多方安全计算基础能力、多方安全计算性能、联邦学习基础能力、联邦学习性能、可信执行环境基础能力、区块链辅助隐私计算基础能力等专项评测;国家金融科技测试中心(信用卡检测中心)也通过了多家隐私计算厂商关于多方安全计算和联邦学习的金融应用测评。

———————————————————————————

笔者个人公众号:高声谈,Inter-FinanceCow

邮箱:gaoshengtan2021@yeah.net

欢迎读者多交流!

 



推荐 0