查看原文
其他

域外观察|国外隐私增强技术监管和实践

信通院互联网法律研究中心 CAICT互联网法律研究中心 2023-04-12


全文约2500字,预计阅读时间15分钟文|张君蔓 中国信息通信研究院互联网法律研究中心助理研究员


2023年3月,经济合作与发展组织(Organization for Economic Cooperation and Development,“OECD”)发布《新兴隐私增强技术-当前监管与政策方法报告》。OECD是由全球30个市场经济国家组成的政府间国际经济合作组织,其旨在帮助各成员国家的政府实现可持续性经济增长和就业,成员国生活水准上升,同时保持金融稳定,从而为世界经济发展作出贡献。

隐私增强技术(“Privacy Enhancing technologies ”,“PETs”)指一种数字技术与方法,它允许收集、处理、分析和共享信息的同时保护个人数据的保密性,也就是从技术层面进一步落实了“数据可用不可见”的原则。报告回顾了近期技术进步,并评估了不同类型的PETs的成熟度,以及它所带来的机遇与挑战。报告主体内容包括五个章节:第一章背景介绍、第二章当前对于PETs的定义及分类、第三章主要PETs的类型、成熟度及其机遇与调整、第四章PETs的监管与政策方法、第五章总结。 

一、 背景介绍 

越来越多的政策制定者和隐私执法机构(Privacy Enforcement Authority, “PEA”)正在考虑如何将PETs纳入其国内隐私和数据保护框架。然而,由于PETs高度专业且发展迅速,给政策制定者以及PEAs的具体实施相关计划带来了障碍。

OECD对其成员和伙伴经济体进行问卷调查,了解他们对PETs的监管和政策方法,旨在帮助政策制定者、PEA等相关主体,更好地将PETs运用于隐私保护及数据治理。为此,报告评估了与PETs有关的技术发展、各种类型的PETs的成熟度及使用的机会和挑战,并介绍目前对PETs的监管和政策方法。

二、 主要的PETs技术及其成熟度、机会与挑战

报告将隐私增强技术主要分为了四大类:第一类为数据混淆工具,包括零知识证明(ZKP)、差分隐私、合成数据、 以及匿名化和去标识化工具。第二类为数据加密工具,包括同态加密、多方计算、私有集交叉和可信执行环境等。第三类为联合和分布式分析,包括联盟式和分布式学习,其允许相关人员在数据上执行分析任务的同时,人员无法访问数据。第四类为数据可责性工具,包括问责系统、阈值秘密共享和个人数据存储。该技术主要目的不是在技术层面上保护个人数据机密性,而是通过工具加强数据主体对于自己数据的控制,例如制定和执行访问数据规则。因此,其通常不是严格意义上的PETs。

报告第三章具体分析了上述四个大类别下的14种不同类型的PETs,包括这些技术的成熟度,当前的具体应用情况、潜在应用场景以及所面临的风险与挑战。概括如下:

第一类数据混淆工具当前以及潜在的应用场景为安全存储、隐私保护机器学习、扩大研究机会、不披露信息核实(例如,年龄验证)。其限制与挑战为(1)需要保证信息不泄露;(2)对于合成数据而言,存在放大偏差;(3)当前技术和能力的不足等。

第二类数据加密工具,当前以及潜在的应用场景为同一组织内成员在加密数据(敏感数据)上进行计算、在需要保持隐私的模型上进行计算。其限制与挑战为(1)数据清洗的挑战;(2)数据泄露的挑战;(3)高昂的计算费用以及(4)数字安全的挑战。

第三类为联合和分布式分析,当前以及潜在的应用场景为隐私保护机器学习。其限制与挑战为(1)需要可靠的安全连接;(2)在数据模型上的信息需要被受托方所接触。

第四类数据可责性工具,当前以及潜在的应用场景为设置访问限制、为数据主体提供控制其数据的方式。其限制与挑战为(1)使用范围狭窄,且缺乏独立的应用程序;(2)配置的复杂性;(3)其中使用分布式账本技术存在隐私和数据保护合规风险;(4)数字安全挑战以及(5)不被认为是严格意义上的PETs。

三、 PETs的监管及政策方法

报告具体阐述了各国隐私和数据保护法律法规解决PETs相关问题的明示或者默示的方式,包括法律及相关规定中隐私和数据保护的设计或默示方式、对于去标识化、数字安全和问责的要求、通过对PEA授权,以进一步强化PETs的使用等。前述措施通常由政府或者PEA发布相关指引,以帮助澄清PETs满足法律要求的具体情况。

具体而言,关于法律及相关规定中隐私和数据保护的方式,加拿大、欧盟、土耳其、英国均发布PETs相关指南,使公众进一步了解PETs,以促进PETs技术的发展;欧盟《一般数据保护条例》、英国隐私执法机构、加拿大隐私执法机构均将隐私设计的相关原则融入隐私保护之中。关于去标识化,欧盟、韩国、墨西哥、加拿大、英国等多国在数据相关法律法规中就是否应当采取去标识化、采取去标识化的具体情形等问题做出规定。关于数据安全,欧盟、墨西哥、加拿大、澳大利亚、挪威、日本等国均在法律法规中规定了数据安全的具体要求。关于可责性,通常认为PETs有助于实施可责性原则,目前,欧盟、墨西哥等国相关法律法规中对于数据责任方面进行了规定。 

同时,本报告还总结了其成员使用多种方式促进PETs发展的具体情况。一是研究和技术开放,加拿大、土耳其、英国、美国、新加坡等国均支持隐私设计相关研究项目;二是安全数据处理平台,英国建立了OpenSAFELY等平台;三是可信PETs认证,日本政府研究个人数据信托银行使用,以促进个人信息的分配和使用;四是创新竞赛,法国、墨西哥、英国相关组织,均组织隐私设计相关创新竞赛;五是监管沙盒(即:在一定期限内,企业不受繁重法律法规约束)以及提供其他支持环境,法国、新加坡、挪威、英国对人工智能、数据分享等领域设置了监管沙盒;六是数字身份解决方案,芬兰对数字身份进行了国家立法;七是PETs支持官方数据情况,各国统计局以及负责官方统计数据的国际组织越来越多地考虑并推动采用PETs,例如:欧盟2023年发布“欧洲人口和住房统计”中明确指出使用PETs技术以与欧盟个人数据保护立法衔接。

总而言之,PETs有利于实现“数据可用不可见”,很可能成为数据治理框架的一部分,但就当前而言,PETs许多技术还处于起步阶段,并局限于特定的运用场景。鉴于PETs的巨大潜力,OECD建议各国政府应统筹考虑PETs可能的有效使用与PETs的安全使用,同时通过平衡PETs技术的监管与促进,以实现PETs技术的良性发展。

END


往期精彩回顾



域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存