2023年3月,由30个市场经济国家组成的政府间国际经济合作组织——经济合作与发展组织(OECD)发布了一份名为《新兴隐私增强技术-当前监管与政策方法报告》的文件。该报告回顾了近期隐私增强领域的技术进步,并评估了不同类型的技术成熟度以及带来的机遇与挑战。在之前的文章《盘点全球四大类14种隐私增强技术的发展、应用和难点》中我们对隐私增强技术本身做了全面深入地梳理,本文则从另外一个重要角度——“技术监管和政策方法”上,给大家盘点下全球各国的监管和政策差异。
《报告》针对全球各个国家在提供指导、数据保护设计和默认的法律要求,去标识化、数据安全和问责制的要求、监管命令等问题上做了一个调查问卷。
问卷结果表明,隐私增强技术(PETs)通常在各国的隐私和数据保护法律法规中有直接或间接的规定要求。主要通过以下方式实现:1、隐私和数据保护法律要求,2、去标识化要求,3、数字安全要求,4、问责要求, 5、监管命令。为了补充上述措施,政府或隐私安全相关执法机构还发布了各类管理指南。
下面我们一一来看一下全球各国监管形式的差异:
PETs有时可以直接与国家法律中的具体规定相关联。最具代表性的例子是欧盟的《通用数据保护条例》(GDPR),其中的几篇文章提到或意在涵盖PETs的使用。它规定数据控制者应采取适当的技术和组织措施,确保默认情况下只处理每个特定处理目的隐私个人数据。英国没有针对PETs的具体立法,但是英国的《数据保护法》也包含了数据保护要求。该法要求数据控制者在处理个人数据时采取适当的技术和组织措施,以确保符合数据保护原则。PETs是数据控制者可以用来遵守数据保护原则的工具和方法之一。组织可以使用“去标识化”来符合国家数据保护和隐私法规的规定。根据OECD关于健康数据治理的建议:“去标识化是指对一组个人健康数据进行改变的过程,以便得到的信息不能轻易地与特定个人相关联。去标识化数据不是匿名数据。”因此,匿名化和去标识化需要互相区分,因为不同国家法律对这些过程的要求有所不同。《GDPR》第4条第5款:“去标识化”是指以使个人数据无法在不使用附加信息的情况下归属于特定数据主体的方式来处理个人数据,但前提是这种附加信息被单独保存并受到技术和组织措施的保护,以确保个人数据可以被追踪溯源。《韩国个人信息保护法》第3条第7款建议个人信息控制者在收集个人信息时尽可能使用去标识化数据。2022年4月,韩国政府发布了《处理匿名信息指南》,强调个人信息数据控制者可以用于去标识化的一般任务技术。这些技术包括差分隐私和同态加密等。韩国政府还于2021年5月发布了《AI个人信息保护自检清单》,针对开发或运营AI技术和服务,推荐使用PETs来保护个人信息和防止侵犯隐私。墨西哥的《联邦数据法》和《一般数据法》提供了“分离”的定义:“个人数据无法与持有人或通过其结构、内容或细分程度进行关联,也无法通过任何手段识别或确定持有人身份的过程。”《土耳其个人数据保护法》第6698号关于“个人数据的删除、销毁或匿名化”的第7条第1款规定,“在处理的原因不再存在的情况下,个人数据应由数据控制者自行或在数据主体的请求下进行删除、销毁或匿名化。”在美国,健康数据的保护受《1996年医疗保险可携带性与责任法案》(HIPAA)的管理。该法律包含了一个去标识化标准,确定数据是否被视为可识别个人。值得注意的是,加利福尼亚消费者隐私法将“去标识化信息”定义为:“不能合理地识别、关联、描述、与特定消费者相关联或通过任何方式直接或间接地与特定消费者相连的数据。”加拿大提议的《消费者隐私保护法》(CPPA)是2022年6月在国会提交的一项法案,为PETs提供了一些激励措施,并涉及它们的潜在用途。例如,该法案提出了对去标识化的定义,明确了如何处理已经变得不太可识别但并非匿名的个人信息。如果该法案获得通过,将规范法律对此类信息的适用。该法案还提出了“匿名化”的定义,并将匿名化信息排除在该法案的适用范围之外。英国的《数据保护和数字信息法案》于2022年7月在议会提出,在数据处理过程中为确定何时数据将被视为个人信息或匿名数据创造了一个法律测试。这些措施旨在确认对匿名数据是否可以进行重新识别的测试应相对于控制者用于重新识别数据的手段而言。结合加拿大信息专员办公室即将发布的指导意见,这将为组织提供PETs用于满足法律规定的匿名化义务的明确指导。因此,该指南将提供关于需要采取的组织措施的信息,以确保PETs符合法律对匿名化的要求。PET通常允许数据控制者实施数据安全义务,特别是在数据保护法律中。例如,欧盟《通用数据保护条例》(GDPR)的第32条关于“个人数据安全”规定:“控制者和处理者应采取适当的技术和组织措施,确保与风险相适应的安全水平”。该条款还列举了对个人数据进行伪装化和加密作为两种适当的措施。还要求数据控制者确保系统的机密性、安全性和弹性,并在发生事故时能够恢复对数据的访问。他们还必须制定定期测试、评估和评估已实施措施的流程。墨西哥的《联邦数据法》强调,所有处理个人数据的责任方必须建立和维护物理和技术行政安全措施,以保护个人数据免受损坏、丢失、篡改、销毁或未经授权的使用、访问或处理。数据控制者不能采用低于其自身信息管理水平的安全措施。墨西哥的国家透明度、信息获取和个人数据保护研究所(INAI)发布了一份关于实施个人数据安全管理系统的指南,为控制者和处理者提供了指导,以确保数据的安全。加拿大联邦法案C-27《数字宪章实施法案2022年》旨在修订《个人信息保护和电子文件法》(PIPEDA)等法案,并颁布《消费者隐私保护法》(CPPA)等法案。根据提议的CPPA,数据控制组织必须通过物理、组织和技术安全措施保护个人信息。这些安全措施的保护水平必须与信息的敏感性相称。该法案还包括《人工智能和数据法案》,将详细说明保护数据所需的措施,并提供遵守法规的途径。澳大利亚隐私原则(APP)11要求受《1988年隐私法》覆盖的实体采取合理措施,保护个人信息免受滥用、干扰和丢失,以及未经授权的访问、修改或披露。挪威数据保护机构与安全专家和软件开发人员合作,帮助组织理解并遵守《通用数据保护条例》第25条中有关数据保护设计和默认保护的要求。他们确定了七个活动作为确保遵守数据保护设计和默认保护的持续过程的一部分:培训、需求、设计、编码、测试、发布和维护。以色列《隐私保护条例(数据安全)5777-2017》第10(a)条规定,在中等或高安全级别的数据库系统中,强制要求具备自动记录机制,以监控对数据库系统的访问,包括以下所有数据:用户身份、访问尝试的日期和时间、访问尝试的系统组件、访问类型、访问范围,以及访问是否被授权。通常认为,PET有助于组织实施追责原则,即“数据控制者应对给予OECD隐私指南基本原则以实效的措施负责”。
《通用数据保护条例》关于从数据控制者接收数据和处理指令的数据处理者的第28条规定如下:如果在控制者的授权下进行处理,控制者应只使用提供足够保证以采取适当的技术和组织措施进行处理的处理者,以确保处理符合本条例的要求并确保保护数据主体的权利。墨西哥的《通用数据法》定义了数据控制者的责任(第16条),并要求负责方默认遵守法律的义务(第30条)。不论个人数据所托管的系统类型或所应用的处理类型如何,数据控制者必须建立行政、物理和技术安全措施来保护个人数据。具体措施需要防止数据的损坏、丢失、更改、销毁或未经授权的使用、访问或处理,并确保其机密性、完整性和可用性(第31条)。与个人数据处理相关的任何行动也必须进行记录,并保存在管理系统中(第34条)。对PET问卷调查结果的评估显示,公共机构在履行使命的框架下促进PET的使用,包括通过积极义务。例如:法国的数据保护委员会(CNIL)根据法律第2016-1321号法案,有义务推广使用PET,特别是数据加密技术。加拿大国库委员会秘书处于2020年发布了《服务和数字政策》,概述了隐私保护的需求。该政策规定,副部长有责任“确保在任何计划或战略中处理部门信息或数据的背景下解决隐私问题。”虽然没有明确提及PET,但它适用于加拿大政府可能实施的任何计划或倡议,包括采用新技术的计划。韩国的《个人信息保护法》没有明确规定PET使用的具体法规,但有两个条款适用于PET。具体而言,《个人信息保护法委员会条例》第7-8号第7项规定了“支持和推广与个人信息保护相关的技术发展”属于个人信息保护委员会的管辖范围。2017年,加拿大隐私专员办公室(OPC)发布了一份名为《隐私增强技术-工具与技术综述》的报告,旨在填补关于这些工具和技术的知识空白。OPC还在2021年发布了一篇博客文章,概述了PETs如何支持企业保护数据隐私,包括:(i)联邦学习;(ii)差分隐私;(iii)同态加密;(iv)安全多方计算。2019年,欧洲数据保护委员会发布了关于PETs的指南,涵盖了控制器的角色,并澄清了控制器应如何在个人数据处理中设计数据保护,并将其作为整个处理生命周期中的默认设置。如果PETs成熟,数据控制器可以将其作为符合《GDPR》第25条关于数据安全的措施使用,前提是数据控制器采用适当的风险基础方法。在土耳其的《关于个人数据的删除、销毁或匿名化的条例》于2018年生效后,土耳其数据保护委员会发布了《个人数据删除、销毁或匿名化指南》,以阐明数据控制器应如何在实践中实施程序和原则。除了提供建议和最佳实践外,该指南还强调了数据控制器应解决的重新识别风险(例如数据关联和数据分析的使用)。英国信息专员办公室(ICO)于2022年9月发布了有关PETs的草案指南,供公众咨询,这是迄今为止最全面的PETs指南之一。该指南研究了诸如同态加密、安全多方计算、联邦学习、可信执行环境和零知识证明等PETs以及它们的广泛应用。以上是关于数据安全要求、追责要求和法规要求的信息。这些要求和要求的目的是确保个人数据的安全和保护,并确保组织遵守相关的数据保护法律和规定。各国和地区的法规和指南提供了关于如何采取适当的技术和组织措施来保护个人数据的指导,其中包括提到了使用PET的重要性。随着互联网和数字技术的发展,数据已经成为了一种重要的资产。而数据资产的价值实现离不开隐私增强技术。随着技术的不断发展和应用场景的不断扩展,用户隐私的监管将会变得更加复杂。未来的监管和政策是也许会变得更加严格,并且将会变得更加智能化,监管机构和企业的合作也将会变得更加深入,用户、机构和企业、政府将需要一起努力,共同维护用户的隐私和数据的安全。关注“开放隐私计算”,
及时为您更新最新隐私计算动态。