前沿分享｜新兴隐私增强技术：当前监管和政策方法

隐私增强技术（PETs）是一系列数字化技术和方法的集合，其可在信息采集、处理、分析和共享过程保护个人数据的机密性。在数据监管合规收紧的背景下，PETs可以帮助企业突破数据孤岛效应，充分发挥数据流通价值。

为了更好地明确PETs为社会带来的挑战和机遇，经济合作与发展组织（OECD）近期发布了《新兴隐私增强技术：当前监管和政策方法（Emerging Privacy Enhancing Technologies: Current Regulatory and Policy Approaches）》。该指南对PETs本身及与其相关的政策法规进行了系统的梳理，从不同视角来评价PETs价值和局限性，帮助企业和政策制定者理解PETs如何能被用于增强数据隐私、优化数据治理。

本系列文章对该指南进行了全文翻译，按原文章节展开，分为“引言”、“PETs的既有定义和分类”、“隐私增强技术的主要分类、成熟度、机遇及挑战”、“隐私增强技术相关的监管政策”几个部分，为大家呈现出完整、易读的内容。

本文是《新兴隐私增强技术：当前监管和政策方法》第一节。

本报告在Clarisse Girot先生（来自数字经济政策处）的监督下，由Christian Reimsbach-Kounatze先生（来自数字经济政策处）及外部顾问Taylor Reynolds先生（麻省理工学院互联网政策研究倡议技术政策主任）共同拟稿。

该报告是数字经济政策委员会2021-2022年工作和预算计划（Programme of Work and Budget，PWB）IOR 1.3.1.2.3的产出。数字经济政策委员会于2023年2月27日批准并公布了该文件。

本出版物是对OECD数字化项目第三阶段的贡献，该项目旨在为政策制定者提供设计和实施更好的数据政策所需的工具，以促进增长和福祉。

想了解更多信息，可以访问www.oecd.org/going-digital。

本文件以及本文件中包含的任何数据和地图均不影响任何领土的地位或主权，不影响国际边界和边界的划定，也不影响任何领土、城市或地区的名称。

概述

隐私增强技术（PETs）是一系列数字化技术和方法的集合，其可在信息采集、处理、分析和共享过程保护个人数据的机密性。需要重点说明的是，PETs可以在保障数据采集和处理满足最少必要性的同时，让数据保留相对较高的可用性。PETs并不是一项新技术，但PETs在网络通信和计算能力方面的发展和进步，使数据处理和共享方式可以发生根本性的转变。尽管仍在起步阶段，但PETs的相关发展使其具有巨大潜力，可以更进一步持续实践隐私设计，从而增强数据共享和重复使用过程中的信任。

越来越多的政策制定者和隐私执法机构（PEAs）正在考虑如何将PETs纳入其国内隐私和数据保护框架中。然而，在实施过程中，技术的专业性及发展速度往往成为阻碍。

关键技术及其成熟度、机遇和挑战

PETs可以分为以下4类：数据混淆、加密数据处理、联邦及分布式分析、数据审控工具。

数据混淆工具包括零知识证明（ZKP）、差分隐私、合成数据、匿名化和假名化工具。此类技术通过在数据中添加噪音或移除数据的可标识信息来增强隐私保护效果。混淆数据可以实现隐私保护机器学习，允许在不需要披露敏感数据的情况下来验证信息（例如验证年龄）。但是，如果实现不到位，数据混淆工具仍可能泄露信息。例如，在数据分析和补充数据集的帮助下，匿名化数据可能会被重标识。

• 加密数据处理工具包括：同态加密，包括隐私集合求交在内的安全多方计算，以及可信执行环境。加密数据处理类的PETs让数据在使用过程保持密态（使用时加密），避免在处理数据之前必须经过解密。加密数据处理工具被广泛部署在如新冠肺炎跟踪等应用场景中。然而，此类工具也有一定的局限性。例如，虽然新工具的出现可进一步提升性能，但加密数据处理工具引入的计算开销往往仍然很大。
• 联邦及分布式分析支持在数据不可见/不可访问的前提下执行任务。例如，在联邦学习（一种近年来备受关注的技术）中，数据在数据源就完成数据的预处理。这样一来，任务执行过程中只需要传输统计信息/计算结果。联邦学习模型当前正得到大规模的部署。例如，在移动终端的预测文本应用程序中部署联邦学习，避免将敏感的键盘输入数据传送回数据控制者。但是，需要可靠网络连接才能运行联邦及分布式分析。
• 数据审控工具包括：审控系统、门限秘密共享，以及个人数据存储。此类工具的主要目的不是通过技术层面保护个人数据的机密性，因此其往往不被认为是狭义上的PETs。但是，这些技术旨在通过预设数据访问策略以增强数据主体对其数据的控制能力，以进一步增强隐私性和数据保护。大多数此类工具都处于初期开发阶段，实践案例较少，缺乏独立的应用程序。
• PETs在保护（个人及非个人）数据机密性方面的巨大潜力得到了广泛认可。保护数据机密性可以提升隐私性和数据保护程度，增强个体权利。但是，除了少数可靠且令人信服的数据处理实践案例外，一般认为PETs的成熟度仍然不足。

PETs在实现OECD隐私基本准则中的作用

PETs提供了新的能力，有助于OECD实施隐私基本准则中关于数据采集和使用限制、安全保障的规定。在某种程度上，PETs也可以支持个人参与和审查这些原则。

但是，PETs也可能成为实施某些基本隐私原则过程中的挑战。例如，数据控制者使用加密数据处理工具时，可能会导致其无法“看到”输入到模型中的数据。这可能与个人数据的使用需要确保场景合理、最小必要、数据准确、数据完整、及时更新的需求相矛盾。

PETs不应该被视作“万灵药”。PETs不能取代法律框架，而是应该在法律框架内运作。PETs需要结合具有约束力和可执行性的法律义务落地，以保护个人隐私和数据保护权利。

关于PETs的监管和政策

各国的隐私和数据保护法律法规中经常明确和/或隐含地涉及PETs，例如：法律要求隐私嵌入默认设计、要求去标识、要求数字安全（digital security）和问责制；法律要求通过PEAs的授权进一步促进PETs的应用和普及等。

政府或PEAs通常会发布相关补充指导意见，以对以上措施进行补充。但是，监管机构往往不会对某种PETs是否满足特定法律要求发表明确的立场和意见，跨境传输场景就是一个典型场景：在快速演变的国际局势下，很难明确验证特定PETs解决方案的效果。

此外，各国还采取了各种各样的政策举措来促进PETs的创新。他们通过研发PETs、采用安全数据处理平台、对可信PETs做认证、举办创新竞赛、在监管或其他沙箱环境部署数字化认证解决方案的方式来鼓励创新。

1.1. 逐渐出现的隐私增强技术

个人数据的收集和处理方式已经发生了变化，现在已经可以在技术层面上提升个人数据使用的隐私保护，使社会更接近隐私设计的应用实践。一批基于前沿密码学技术和数据处理方式结构变化的技术正在出现。这些方法在数据收集和处理中引入了隐私和数字安全保护能力。

这些技术虽然不是新提出的，但它们在使用过程中为尽责审查和数据保护提供了新的方法。这些技术可以对数据进行一些变化，从而允许在不泄露数据所包含信息的情况下对数据做特定目的的处理。这些方法通常被归为“隐私增强技术”（PETs）。然而，PETs的这一术语低估了这些颠覆性技术和方法在更广泛的数据治理中可能发挥的重要作用。

PETs改变了对于数据（特别是对于个人数据）的采集、访问和处理方式。PETs大有前景，因为PETs可以在扩展数据访问和分析范围的同时增强数字安全和隐私保护。例如，PETs支持对数据的联合分析，以解决敏感数据无法在个人或其他实体间披露、融合和使用所带来的数据价值无法充分开发利用的问题。

政府和策略制定者，尤其是隐私执法机构（PEAs），已经确定并强调这类技术可以作为隐私和个人信息保护的典型解决方案。在2022年G7数据保护和隐私机构发布的《通过国际数据空间的信任和知识共享，促进数据的自由流通》报告中指出：

PETs的使用可以促进安全、合规、高效经济地进行高价值数据共享，推动用数据帮助创新者、政府和广大公民带来巨大收益。认识到这些收益后，G7数据隐私保护机构将会在适当的技术和组织措施的支持下，促进负责任和创新地使用PETs以促进数据共享。

OECD在对隐私保护和个人信息跨境流通执行情况的审查中，强调要考虑PETs及其应用在数据流通过程中的必要性：

各个国家的回应也一致同意：需要对现有技术和组织保护措施有进一步的指导。具体而言，做出回应的国家和专家指出，需要深入研究使用PETs保护个人隐私跨境数据流通的机遇和挑战。

虽然其中一些技术并不是新兴技术，但仍有许多技术处于持续发展的过程中。随着技术的更新迭代，数据采集和处理的法律法规也需要进行重新评估。同时需要关注的是，由于这些技术及其应用领域的高度创新性，其往往不在政策制定者和监管机构的关注范围内。此外，由于技术的专业性，导致PETs工程师与决定如何使用这些技术的政策制定者、监管机构之间存在巨大的“语言障碍”。这些技术本身处于不同的发展阶段，并很有可能成为广义数据治理框架的一部分，以确保其使用可以有助于管控风险（包括隐私风险和数据安全风险）。政府和PEAs将越来越多的考虑如何使用PETs来采集和处理个人数据，并将这些融入其隐私和数据保护框架。

1.2. 本报告的目标

本报告旨在介绍PETs并评估其当前的成熟度。报告站在较高层面对关键技术发展及其机制进行概述，而不是深入全面的调研和技术分析。报告还将为政策制定者和监管机构（尤其是PEAs）提供背景知识，帮助他们更好地了解每种技术的优缺点并进行权衡。该评估基于OECD隐私指南的原则，以及特定的PETs如何帮助实施这些原则。

本报告的三个目标如下：

1. 基于能够反映PETs的隐私和数据保护机制的分类方法，向负责数据治理、隐私和数据保护的政策制定者和监管机构提供关于PETs的非技术性介绍，以便于政策制定者或监管机构进行决策；
2. 评估与PETs有关的技术、政策和监管的发展现状，并在OECD隐私指南的背景下考虑不同类型PETs的机遇和挑战；
3. 协助政策制定者和监管机构（尤其是PEAs）更好地了解PETs在隐私和数据保护、数据治理领域的最新技术进展。

1.3. 技术演进

在保护数据安全三要素（机密性、完整性和可用性）的技术演进历程中，隐私和数据保护的格局也随着PETs的发展而不断发生变化。数据安全正在经历一场重大变革。最初，安全的目标是在组织外部保护数据。现在，它正在向一种新的“零信任”模式演变，即攻击模型会假设恶意行为者在组织内部。因此，数字安全要求将数据使用限定到授权人员和特定用途范围内。数字安全中的零信任方法有助于降低攻击者访问内部数字资源时的潜在风险。

在隐私和数据保护方面也出现了类似的演进历程。当前，隐私和数据保护仍然主要依赖于数据采集、处理和使用的原则。一旦数据被采集或传输，“个人就失去了控制其数据如何被重复使用和处理，以及（从技术上）终止使用过程的能力，只能依靠法律强制手段进行补救。当数据在下游被进一步共享，特别是当数据下游处于多个司法管辖区时，数据安全风险将成倍增加。”（OECD, 2019_[9]）这增加了大规模数据泄露和滥用（例如剑桥分析公司事件）的风险（Isaak and Hanna, 2018_[10]）。

PETs让数据治理领域可以遵循与数字安全领域的零信任类似的发展轨迹：不再假设可信方，个人数据必须在存在攻击者的环境中被保护。从这层意义上来说，即使在数据采集后被转移到其他实体中（包括跨管辖区的），PETs仍然可以通过技术手段继续保护隐私和数据安全。通过这种方式，PETs可以在法律或合同条款中作为数据传输保护条款的有效补充。因此，PETs不应被视为可以解决所有隐私和数据保护问题的“万能药”。例如，PETs不一定有助于解决原始数据中可能存在的有偏分布问题。PETs也不能保证使用了PETs数据的IT系统的整体安全。

1.4. 朝着隐私和数据保护设计迈进

PETs可以被视为一种新的隐私和数据保护模式的基础。前文已经描述了这种模式的当前发展进度和模式。它们为数据主体提供了更多的控制，并增强了对数据处理者的信任。OECD的研究长期以来一直倡导“隐私设计”(OECD, 2010_[11]; OECD, 2013_[12])，PETs在推动社会实现这些目标方面发挥着越来越重要的作用。上面列出的许多技术对“隐私设计/安全设计”的相关目标具有重要意义(OECD, 2012_[13])。爱尔兰、英国和朝鲜等国的PEAs以及欧洲数据保护委员会将这种新模式称为“数据保护设计”[见《欧盟通用数据保护条例》（GDPR）第25条（2016_[14]）]。英国皇家学会（2019_[15]；2023_[16]）强调了PETs的发展可以帮助同时提升数据的隐私性和可用性。传统方式需要在隐私性和可用性之间进行权衡，而PETs可以同时提升数据的可用性和隐私性。

通过这种方式，PETs促进了新的应用和实践案例。在2022年亚洲科技x新加坡（ATxSG 2022）关于“数据信任”的圆桌会议上，参与者强调了PETs的价值在社会公众利益方面的案例更容易被感知（IMDA，2022_[17]）。其中包括：

通过使用PETs搭建模型来管理流行病，该模型可以预测感染率、住院率等指标；

促进ESG[环境、社会和治理]报告，这通常需要敏感的商业数据，这些数据可以通过使用PETs进行保护；

通过在跨境数据流通场景使用PETs预防金融犯罪。

翻译：彭立、黄吉鲲   校对：刘巍然、田湘
本文不代表我方观点，仅作交流参考。