个人信息保护平台化协同经验分享
The following article is from CCIA数据安全工作委员会 Author 谭峻楠 郭丽丽
2022年11月1日是《个人信息保护法》(以下简称个保法)实施1周年,以下对个保法主要内容、基本概念、相关标准和技术进行梳理,并对个人信息在DSCP(数据安全协同平台)进行保护和共享的经验进行介绍,以便个人信息处理者充分了解如何在合法的前提下充分挖掘个人信息的价值。
01
个保法解读
个保法总结构共分为7章。其中:
1-总则:对个保法的总体描述,重点给出了立法目的和个人信息关键概念定义及处理原则(合法,正当,必要,诚信)。
2-个人信息处理规则:围绕个人信息处理活动,面向个人权益保护,对个人信息、敏感个人信息及国家机关特殊处理个人信息三个维度给出个人信息处理的规则要求。
3-个人信息跨境规则:以单独章节给出个人信息跨境的规则要求,强调个人信息跨境处理的重要性和关键性。
4-个人主体权利:定义了个人主体的各种权利。
5-个人信息处理者保护义务:对个人信息数据处理者的处理活动,从组织、管理、技术防护到评估、监测给出整体要求。
6-个人信息监管部门职责定义:明确了国家网信办及各级政府部门的个人信息保护和监督管理职责。
7-法律责任:给出了违反要求的法律责任,处罚及行政,刑事责任。
8-附则:给出了本法的边界界定及重要概念定义。(自然人因个人或者家庭事务处理个人信息不属于本法)
02
重要概念定义
第一个概念:个人信息是指电子或其他方式记录的已识别或可识别的自然人各种信息,诸如姓名,年龄,身份证号、手机号等。
在这里特别强调不包括匿名化处理的信息。在数据安全通常个人信息一般指电子信息(网络数据)。
相关联的概念:(个保法第73条给出了如下定义)
匿名化:个人信息经过处理无法识别特定自然人且不能复原的过程 (如*号遮蔽)
去标识化:个人信息经过处理,无法识别,但可以借助额外信息可还原。(如加密,可还原脱敏算法)
参考《ISO/IEC20889:增强隐私数据去标识化术语和技术分类》等颁布的GB/T 37964—2019《信息安全技术 个人信息去标识化指南》描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施,也确立了防御重识风险的量化保障,初步搭建起系统性的个人信息去标识化过程范式。
第二个概念:敏感个人信息指一旦泄露或非法使用,对个人人格、财产甚至人身带来侵害。如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及儿童信息等。是个人信息的子集,也是重点保护对象。
参考GB/T 35273-2020 《信息安全技术 个人信息安全规范》中对个人敏感信息的定义,在附录B中有个人敏感信息的判定方法和类型,个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息。
第三个概念:个人信息处理过程,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,与数安法中数据处理的全生命周期略有区别。
第四个概念:个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
第五个概念:自动化决策是指采用算法向个人主体进行推荐,在过程需要避免受到算法歧视,差别待遇、及定向推送。
03
个人信息处理者义务
同数安法,从组织人员、制度保障、技术防护、运营方面对个人信息处理者义务的要求如下:
1-组织人员:
1)组织需指定责任人负责个人信息保护,在境外,需单独设立围绕个人信息保护的执行机构与代表,并履行报送业务。
2)内部人员在对个人信息进行处理时,需确定操作权限,并定期开展教育培训。
2-管理制度:
对个人信息进行分类分级管理,需制定围绕个人信息保护的系列制度规程。
3-防护技术:
面向各处理活动的安全防护措施,如加密,脱敏,访问控制,去标识化等。
4-安全运营:
开展事前各类处理下的影响评估,制定应急预案,定期监测与审计,事后安全事件通知上报。
04
落地面临问题
1、广泛适用的知情同意模式在实际运作中暴露出流程复杂、术语晦涩、成本高昂、成效不彰等弊端。
2、个人信息去识别化主要包括匿名化和去标识化两大分支,由于两者存在一定的相似性,常被混用或误用,两者实际上存在显著差异,去标识化涵盖了绝对匿名化以外的全部去识别化的方式方法。绝对匿名化的实操难度和失去数据价值,以及去标识化的重识风险是个难点问题。
3、隐私计算主要分三大技术路线:安全多方计算(密码学)、联邦学习及机密计算。有的会把侧重算法单列一类,比如:k-anonymity模型、差分隐私等隐私相关的技术,即使有了数据库脱敏产品,这些算法落地单靠客户自己完成也有一定难度。
4、个人信息处理者在实际运用中,数据提供方、需求方、管理方、增值服务方、监管方等多种角色,在保障数据安全的前提下,按各自的角色权限有序实现数据的开放共享、开发利用和价值挖掘有难度。
5、上传数据(如:个人信息)需要自动进行分类分级,如果单靠分类分级工具和脱敏系统,很难按照类别和等级标识对开放数据进行标准化、精细化管理,保证“个人隐私数据可用不可见”。
05
数据安全协同平台解决思路
安华金和数据安全协同平台(Data security collaboration platform ,简称DSCP),使用中心化和分布式相结合的混合架构,对数据的所有权和使用权进行分离,采用多种数据安全保障能力融合。
平台可以实现隐私计算、数据共享、安全沙箱环境等多种数据使用安全手段自由组合,也可以针对不同用户场景拆分能力,适应实际业务需求。通过安全的方式引入多样性的数据源,并协调和保证各参与方能够各司其职,形成数据流通生态闭环。
数据安全协同平台提供一站式数据分析运算能力,具备敏感数据自动识别、数据自动分级分类管控、数据操作留痕审计、输出结果申报审核等功能。平台管理方不触碰数据、不运营数据,仅提供开放、多样性的数据分析、建模环境,低代码、全程可视化操作界面,可以让业务人员、数据分析师等不同用户减少学习成本,快速提高工作效率。
多能力集合的安华金和数据安全协同平台,搭建了统一规范、互联互通、安全可控的数据开放环境,多方协同全程加密传输、缓存和运算,保护数据的安全和隐私,促使数据流通价值最大化,安全合规的推动跨部分、跨机构、跨行业的数据开放与共享,真正实现了提供数据安全流通和共享的协同生态圈。
06
实际场景经验分享
▼多能力集合,满足复杂需求场景的支持
平台不仅支持多方安全计算、隐私求交、匿踪查询、联邦学习、联合预测等隐私计算功能,还支持可信计算沙箱、数据安全共享,可以应对多种复杂场景,既可以查询、统计、分析、建模,还可以平衡数据使用供需关系,满足公共数据合规开放。
▼工作流的全程可视化
平台数据需求方根据业务需求申请操作权限,数据提供方同意授权后任务才能执行。任务执行过程中可视化显示各方数据的输入输出状态,可拖拽式生成任务流程,操作简单易用,不需要编写任何脚本。执行完成后除了可以查看各方所需的计算结果,也可以查看操作记录、任务日志,采用事前授权、事中监控、事后审计的机制保障业务流程全链路安全。
▼稳定高效的工程能力
平台支持集群分布式、并发计算、算法优化等功能,实现海量大数据安全生产共通,保障数据链路高效稳定。同时具备任意两方、三方、多方的安全计算能力,有支持亿级大数据处理的实力。完成千万级数据的模型训练仅需59分钟左右,完成千万级数据的预测仅需4分钟左右。
▼强大的API接口服务
DSCP平台拥有强大的接口服务能力,数据发布者可手写表达式自定义函数接口信息,针对接口安全采用公私钥+签名+证书管理,结合匿踪查询技术,参与方只需传递加密的参数,隐匿查询对象关键信息。未来可通过OpenAPI 方式直接自定义算法对接第三方系统。满足复杂计算场景的支持平台支持常规的数据核实、联合分析、联合建模功能,具备自定义模型的适配能力,支持自定义模型构建,模型管理支持多种模型混合使用。
▼分级审批确保数据安全
平台率先引入分级分类概念,对上传数据自动标识等级、分类,对开放数据进行标准化、精细化管理,保证用户使用的数据统一标准、分级分类、安全可控,提升平台数据质量。
07
总结
我国的相关法律法规提出了个人信息去识别化的治理方案:
★《网络安全法》第42条规定个人信息匿名化的要件是信息必须经过技术处理、处理后的信息无法识别特定个人且不能复原。
★《个人信息安全规范》不仅强调控制者应当采用技术手段和管理措施进行个人信息去标识化,还具体规定了分开存储可用于恢复识别特定自然人的信息与去标识化处理措施、个人信息安全影响评估PIA应当包括去标识化处理后的数据集重新识别出特定自然人或与其他数据集汇聚后重新识别出特定自然人的风险等等。
安华金和数据安全协同平台正是一种由多个参与方联合计算的技术系统,参与方在不泄露各自数据的前提下通过协同合作对数据进行学习和分析。随着个人信息保护的备受重视,数据的融通协作也将迎来更大的发展突破。身处大数据时代,大数据融合应用和个人信息保护的双重需求驱动,也是目前国内外政策法规的必然趋势。
参考资料:
《个人信息去识别化的类型结构与治理方案》,蒋洁 兰舟 祁怡然。
(本文作者:北京安华金和科技有限公司 谭峻楠 郭丽丽)
往期推荐