释放数据价值：白宫OSTP发布《国家战略：推进隐私保护的数据共享与分析》

数据在推动科学技术突破以及全球经济发展的同时，数据的共享和分析会对隐私安全产生现实和潜在的风险。隐私保护的数据共享与分析技术（PPDSA）作为隐私增强技术（PETs）的一个子集，在保护隐私的前提下，充分发挥数据共享与分析的价值。PPDSA将在应对气候变化、金融犯罪以及人口贩卖等问题中发挥重要作用。对此，美国白宫科学技术政策办公室（OSTP）和网络与信息技术研究与发展计划推进成立隐私保护的数据共享与分析的快速行动委员会（FTAC），该委员会的任务是制定国家战略以推进PPDSA的研究、开发和应用。^[1]国家战略将有助于补充网络与信息技术研究与发展小组委员会（NITRD）隐私研发跨机构工作组（IWG）领导的更广泛的隐私研发战略。^[2]

2023年3月，白宫OSTP正式发布《国家战略：推进隐私保护的数据共享与分析》。^[3]该战略概述了未来数据生态系统的愿景，制定基本指导原则和具体战略优先事项，旨在推动公共和私营部门将PPDSA技术有效融入未来数据生态系统，朝着“负责任地利用隐私保护的数据共享与分析来造福个人和社会”的愿景前进。

1

PPDSA介绍

在共享和分析数据时，如果未能适当地满足隐私目标，可能会出现隐私风险。例如，数据保密性的丧失可能会暴露隐私敏感信息，即使是采用去标识化或匿名化技术，仍可能存在各种重新识别、数据重建或关联攻击的问题。隐私保护的数据共享与分析（privacy-preserving data sharing and analytics，以下简称“PPDSA”）可以有效实现隐私保护和释放数据共享与分析价值之间的平衡。PPDSA是指采用某些类型的隐私增强技术（PETs）来保护隐私和安全的技术和社会方法，并从数据中生成价值并实现数据分析。PPDSA技术是PETs技术的一个子集，它们在保护隐私的前提下，实现了数据的共享和分析。PPDSA技术包括加密和非加密技术，并涵盖基于硬件和软件的方法，它们能够解决各种隐私问题，具体技术方法包括安全多方计算、同态加密、差分隐私、零知识证明、合成数据、联邦学习和可信执行环境等。PPDSA技术可以开启新形式的合作，并在个人数据的负责使用方面建立新的规范。PPDSA技术可以实现更全面和多样化的数据使用，从而帮助全球各国应对共同挑战，在医疗保健、气候变化、金融犯罪、人口贩运和疫情应对等领域开发解决方案，并为被边缘化和弱势群体实现更公平的结果。

PPDSA已经开始应用于公共卫生、交通分析、城市规划以及保护客户隐私等公共部门和私营部门中。本战略列举了四个实践案例，体现了PPDSA已经在实践中取得初步成效。

表1 PPDSA应用案例

综上所述，PPDSA技术在未来数据生态系统领域具有巨大潜力促进数据协作，发挥数据共享与分析的作用。同时，需要建立强有力的政策和治理措施，以确保技术能够真正保护公民的隐私、安全和自由。如何设计和使用PPDSA技术，需要数据共享与分析的受益者，包括各级政府、学术界和各行业的相关部门，以及技术开发者、政策制定者和作为数据共享与分析主体或受其影响的个人的多方参与，以确保PPDSA能够负责任地设计、开发和部署。

2

PPDSA部署面临的挑战

PPDSA在减轻隐私风险和危害的同时，可以有效发挥数据共享与分析的价值。随着数据价值和需求的迅速增长，隐私风险也不断增加，PPSDSA技术在未来数据生态领域发挥着不可或缺的作用。然而，PPDSA技术的应用进展缓慢，本战略认为主要存在以下障碍和挑战：

首先，PPDSA技术面临复杂的法律监管环境。美国联邦层面，个人数据的使用和保护受到一系列法律的管理，涵盖不同类型或用途的数据。如1974年的《隐私法案》，1996年的《健康保险可携带性和责任法案》（HIPPA）以及1998年的《儿童在线隐私保护法》（COPPA）等。美国各州层面，2018年加利福尼亚州通过的《消费者隐私法案》后，越来越多的州为数据提供保护。全球范围内，随着欧盟《通用数据保护条例》（GDPR）的引入，世界各国有关数据保护的法律在过去几年中大量涌现，包括中国、巴西^[4]、加拿大^[5]和新加坡^[6]等国家。这些法律创建了一个复杂的法律监管环境和跨司法辖区管辖问题，实践中难以确保使用PPDSA技术是否符合法律法规的要求。

其次，技术本身和PPDSA相关行业方面，行业和学术界对PPDSA技术机制或使用方式的标准缺乏共识；技术的成熟度存在差异，无法应对广泛的隐私威胁和全球监管环境复杂的问题；解决方案可用性不足，增加了技术部署的负担；技术实施的评估能力和隐私与其他问题之间的权衡管理不足影响技术的效用程度。

再者，公共和私营部门对隐私风险和PPDSA技术的认识有限。人们对PPDSA技术的能力了解有限，理解不足，导致PPDSA无法有效在实践中得以部署和应用。此外，PPDSA某些方法可能会放大或引入偏见的分析结构，可能会对个人、边缘群体甚至社会产生伤害。

为了解决上述问题，美国采取制定国家战略的方式解决PPDSA应当如何实施应用以确保技术的使用符合目标的问题，以应对未来数据产业进一步发展带来的挑战。战略概述未来数据生态系统的愿景，提出基本指导原则指导战略优先事项和建议行动的实施落地。

3

愿景和指导原则

战略明确提出实施愿景：保护隐私的数据共享与分析技术有助于增进个人和社会的福祉与繁荣，并以肯定民主价值观的方式促进科学和创新。这个未来的愿景广泛适用于个人、群体和整个社会，包括工业、公民社会、学术界以及各级政府。

为实现战略提出的实施愿景，解决数据分析产生的隐私、自由、公平、问责和侵犯公民权利和自由的问题，战略提出四项指导原则旨在保障PPDSA技术在全生命周期向实现愿景的目标前进：

PPDSA将以保护隐私、公民权利和公民自由的方式创建和使用。尽管PPDSA技术在保护隐私方面发挥重要作用，但其并非完美的解决方案。如果没有适当的措施，PPDSA技术的保密性可能导致比传统技术更加难以审计，因为PPDSA限制了各方访问或获取信息的机会。因此，PPDSA必须保持透明性和包容度，有效保护隐私。对此，可以通过现有风险管理框架，如NIST隐私框架^[7]和人工智能风险管理框架^[8]，发布隐私影响评估报告。

同时，仍需进一步开发以伦理、社会、行为和经济因素以及以人为本的设计原则为基础的系统。

PPDSA将以刺激负责任的科学研究和创新的方式创建和使用，并使个人和社会公平受益于数据共享与分析所产生的价值。战略希望PPDSA技术促使数据的科学研究和创新能够增进人类福祉，确保每个受益者公平受益于数据共享与分析所产生的价值。有效防止数据行业出现市场集中或反竞争行为，因为这些行为将损害创新以及对数据负责任使用的激励。

PPDSA技术将是可信任的，并将以维护问责制的方式创建和使用。为确保PPDSA技术是可信任并能够按照预期应用，需要建立有效方法对PPDSA技术的性能进行严格测试、评估和持续监测。除此之外，应当为PPDSA技术提供问责制机制。当数据共享与分析被用于损害公民合法权益或社会公共利益时，应当广泛吸收公共部门、产业界、学术界以及社会公众的专业意见，通过法律、监管、伦理和政策机制的设计支持问责机制的创建和使用。同时，还应重视技术相关参与方对PPDSA专业知识的教育和培训。

PPDSA技术将以最小化数据共享与分析所产生的对个人和社会的伤害风险的方式创建和使用，并明确考虑对未受到公正对待、边缘化和弱势群体的影响。如前所述，PPDSA技术不应对个人、边缘化和弱势群体产生不成比例的意外或有害影响。对此，PPDSA的公平使用在研究和开发中吸纳多样化的观点、专业知识和视角，以便为应用PPDSA技术提供必要的措施的完整性。

上述四项指导原则共同促进PPDSA朝着“负责任地利用隐私保护的数据共享与分析来造福个人和社会”的愿景前进。为保障战略实施愿景得以实现，本战略还规定五项具体的战略优先事项和相关建议行动，以确保本战略的可适用性和执行的可操作性。指导原则通常是抽象和概括性的，而战略优先事项和建议行动能够将原则转化为具体的行为规范和权利义务。

4

战略优先事项和建议行动

PPDSA需要从当前发展和应用状态向未来的数据生态系统前进，需要政府、私营部门和社会公众共同行动。为了实现这一目标，五个战略优先事项及其相关建议着重加快研究、推进和监管PPDSA技术的应用。

表2 战略优先事项和行动建议

（一）推进治理和负责任的应用

仅仅依靠PPDSA技术本身并不能实现本战略提出的愿景，还需要国家指导、监管框架的完善以及风险缓解措施的制定推进PPDSA的治理和负责任的应用。

第一，国家指导层面，可以成立一个包括广泛代表的指导小组，确保指导小组具备制定政策和技术相关的专业知识。指导小组可以先由政府主导，逐渐过渡到指导小组自身持续发展。第二，监管框架的完善层面，鉴于现有隐私法律、政策和法规监管框架下PPDSA合规性判断复杂的问题，对此需要PPDSA相关参与方之间相互沟通，同时加强政策制定者和法律专业人员对技术的认识，从而确保隐私立法和技术发展之间能够相辅相成。第三，风险缓解措施的制定方面， 尽管PPDSA具有保护隐私的巨大潜力，但是任何技术不能确保隐私事件永远不会发生。因此，相关组织应当做好风险管理和积极应对风险事件的准备，主动制定风险缓解措施和事件相应政策和程序。

（二）提升和推动基础性和应用性研究

新兴技术的发展导致数据共享与分析的隐私风险快速增长，提升和推广PPDSA基础和应用的研究具有重要意义。PPDSA基础性和应用性强调加强对隐私风险的理解、加大投资力度以及跨学科研究。

第一，研究工作应加强对隐私风险的理解。在不同风险威胁背景下，开发跨学科的分类法系统地对隐私威胁、攻击和危害进行分类十分重要。分类法需要吸收不同贡献者和学科之间关于隐私的关键概念的术语和概念差异。此外，研发工作应支持具备风险和危害意识的PPDSA解决方案，并支持开发适当的隐私风险和危害度量和测量方法。第二，公共和私营部门应加大PPDSA的投资力度，支持加速研发，重点关注新兴的PPDSA技术和针对创建下一代PPDSA能力的大胆探索性研究。具体而言，应加速当前和新兴PPDSA技术的研发，推动具有变革目标的未来导向性探索性研究和开发。第三，基础性和应用性研究工作强调跨学科研究，因为隐私是一个高度跨学科的领域，不同学科对于隐私风险的理解存在差异。应大力促进跨学科的研发工作，以开发和实施有效、可用和社会负责的PPDSA解决方案。同样，研究如何将PPDSA解决方案将与现有组织流程和文化相互作用或接口对于其有效设计和最终采用也非常重要。因此，应加快在技术、政策、法律、监管以及社会和经济科学交叉领域的研究，以促进对隐私威胁、风险、伤害和法律影响以及其他数据保护合规问题的更一致理解。最后，为了有效地使用PPDSA技术，决策者、组织和公众需要适当程度地了解这些技术。

（三）加速实践转化

许多新兴的PPDSA技术具有巨大的潜力，但也面临实际部署的挑战，这需要从推动研究、建立试点、制定技术标准和分类法以及提高解决方案的易用性和包容性五个方面加速PPDSA的实践转化。

第一，需要开发创新性解决方案推动PPDSA的应用和转化研究，以弥合理论和实践之间的差距。在许多情况下，需要开发生成针对特定应用场景或约束条件定制的优化解决方案的方法。还应该扩大联邦资金机会和支持转化项目和初创企业的计划。第二，联邦政府内部应探索并确定PPDSA技术实施和追求新形式的数据协作试点，可以建立联邦卓越中心，专门提供直接支持给正在探索PPDSA技术的联邦机构。第三，自愿、基于共识的标准将在促进PPDSA技术的采用过程中发挥关键作用。PPDSA技术的标准仍处于初级发展阶段，产业界、政府、学术界和标准制定组织应相互合作，致力于评估技术的成熟度，并弥合理论与实践之间的差距。建立这些标准旨在提供一个共同框架指导PPDSA技术的采用，减轻风险和偏见，促进认证的开发，并在商业产品和服务中促进实施，同时促进供应商之间的互操作性。第四，需要制定标准的分类法，以便在PPDSA生命周期的每个阶段促进讨论。需要工具来帮助用户配置和管理PPDSA解决方案。联邦政府应探索资助开源项目，以支持PPDSA生态系统。NIST的隐私工程协作空间提供了一个开源工具和用例的存储库。^[9]第五，设计和实施PPDSA需要考虑产品的易用性和包容性。如今PPDSA技术和工具在编程、配置和管理方面十分复杂，改进易用性应关注具有不同能力和限制用户群体，还需要大力发展基于人文因素、社会、行为和经济科学的包容性工具。

（四）建立专业知识并促进培训和教育

评估实施PPDSA方法风险和利益的决策者，管理解决方案的采购和评估的项目管理和合同人员，实施解决方案的技术人员，均需要建立PPDSA专业知识和意识，以有效地部署和管理PPDSA技术。

第一，相关机构内部招募和培训人员，以满足PPDSA技术带来的机遇和挑战。政府内部和各个行业的人员均需要提升专业知识，可以考虑使用认证计划证明人员具备相应资质。第二，教育和培训数据专业人员，应对PPDSA专业领域的挑战。第三，相关人才培养方面，应当重视发展学术界的隐私教育，联邦可以建立措施和资金机制促进隐私教育。

（五）促进PPDSA的国际合作

PPDSA具有将政府、企业和公民汇集在一起共同解决全球问题，同时遵守相关隐私法律并维护隐私权的潜力。美国须与其他国家合作，共同开发、实施和建立国内国际对PPDSA技术的信任。第一，国家可以采取多样化政策举措推进PPDSA的国际合作。可以通过举办隐私增强技术奖励挑战赛、开展试点项目和研究合作，以及参与双边和多边论坛的方式，促进国际合作和国际政策环境推动PPDSA的发展和采用，并支持共同的价值观，保护国家和经济安全。第二，应当采取措施促进跨境数据共享流动。互联网的日益普及和全球经济的数字化使得跨境数据的收集、使用和传输迅速增加。PPDSA技术能够改变传统的数据流动观念，实现在不共享或暴露实际数据的情况下共享洞见。美国应采取一致的国家方法，利用PPDSA技术促进可信的跨境数据共享。还可以推广更广泛的认证机制，在国际建立合规性基准。以跨境隐私规则（CBPR）认证模型为例，不但可以保护隐私，而且能够促进跨境数据流动。

5

结语

大规模共享和分析数据在人工智能时代具有推动变革性创新的力量。如何释放数据的价值，同时努力减少侵犯个人隐私和削弱基本权利的潜在问题，是当前美国以及国际社会关注的热点问题。PPDSA技术可以有效通过促进数据共享与分析来催生美国的创新和创造力，同时保护个人隐私。然而，将PPDSA技术推向成熟阶段以实现大规模部署存在诸多障碍。本战略提供了可以实现有影响力的PPDSA解决方案，介绍了PPDSA技术以及技术应用状况，提出指导原则和战略实施建议，以期向实现本战略核心愿景“PPDSA有助于增进个人和社会的福祉和繁荣，并以肯定民主价值观的方式促进科学和创新”的目标前进。

[1] FTAC On Advancing Privacy-Preserving Data Sharing And Analytics Roundtable Series：https://www.nitrd.gov/coordination-areas/privacy-rd/ftac-appdsa-roundtable-series/.

[2] Advancing Privacy-Preserving Data Sharing And Analytics：https://www.nitrd.gov/coordination-areas/privacy-rd/appdsa/.

[3] National Strategy To Advancing Privacy-Preserving Data Sharing And Analytics：https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Strategy-to-Advance-Privacy-Preserving-Data-Sharing-and-Analytics.pdf.

[4] LGPD Brazil - General Personal Data Protection Act：https://lgpd-brazil.info/.

[5] Summary of privacy laws in Canada - Office of the Privacy Commissioner of Canada：https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/02_05_d_15/.

[6] Personal Data Protection Act 2012 - Singapore Statutes Online：https://sso.agc.gov.sg/Act/PDPA2012.

[7] NIST Privacy Framework：https://www.nist.gov/itl/appliedcybersecurity/privacy-engineering/resources.

[8] AI Risk Management Framework：https://www.nist.gov/itl/ai-risk-management-framework.

[9] Collaboration Space：https://www.nist.gov/itl/applied-cybersecurity/privacy-engineering/collaboration-space.

撰稿 | 寇晨雪，清华大学智能法治研究院实习生 

选题、指导、修订 | 刘云

编辑 | 王欣辰

注：本公众号原创文章的著作权均归属于清华大学智能法治研究院，需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn，申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。