探讨去标识化与隐私计算,个人信息保护沙龙召开
2021年3月26日下午,由中国通信标准化协会大数据技术推进委员会(CCSA TC601)、中国互联网协会数据治理工作委员会、隐私计算联盟共同举办的个人信息保护沙龙通过线上方式召开。
本次会议由中国信通院云计算与大数据研究所牵头,邀请了来自互联网法治研究院、北京清律律师事务所和南京信息工程大学的法律专家,以及来自来自京东、华为、小米、华大集团、光之树、浦发银行、中国邮政储蓄银行总行、中国人寿、北京大学、中国人民大学、北京交通大学等企业和组织的代表,围绕去标识化技术相关法律和实践问题进行了深入讨论。中国信通院云大所大数据与区块链部副主任闫树主持沙龙。
《个人信息保护法》草案和《网络安全法》等法律法规对个人信息的匿名化和去标识化进行了进一步的明确。但个人数据分析和识别技术的持续发展使得去标识化数据不可避免地存在被再识别的风险,进而导致企业难以达到法律规定的高合规标准。因此,法律规范的模糊性和监管红线的不确定性为产业和技术的发展带来了一定程度的阻碍,相关企业在合规制度拟定、技术产品设计、业务流程规划等方面急需规范的指引。
互联网法治研究院(杭州)常务副院长、华东政法大学数据法律研究中心主任高富平教授指出,去标识技术在降低隐私泄露风险的同时也会相应降低数据的可用性,两者之间的矛盾需要得到平衡和解决。在使用去标识化技术之后,仍然存在个人被重新识别的风险和加入额外数据后个人信息主体进行精准分析画像的风险。在简要介绍美欧的立法与实践经验后,高富平教授指出,去标识可以作为数据流动利用的一种可行的解决方案,即去标识个人信息可不经同意而对外提供,但使用去标识个人信息须遵守个保法规定,从而实现个人与社会利益、隐私与效用的平衡。
清华大学法学院互联网法律与政策研究中心秘书长、北京清律律师事务所主任熊定中主任表示,去标识化信息的处理范围、后续利用、共享范围等内容是否需要告知个人且获得同意等实践中普遍遇到的问题仍缺乏立法的指引,建议在个保法中明确个人信息处理者在告知个人且提供材料证明其已无识别特定自然人的能力的情况下,有权对去标识化的信息进行处理利用。另外,针对去标识化后仍可能存在高风险的敏感个人信息,也可进一步规定需要单独获得个人的同意。
南京信息工程大学蒋洁教授简要介绍了欧盟GDPR的最新立法动态,并从比较法的角度介绍了匿名化和去标识化的相关法律沿革,指出企业在技术上去除定量识别的属性,在组织制度上充分建立可量化的防范措施,即可基本避免了个人信息的安全风险,目前的国际立法趋势是会为其给予一定的豁免条件。因此,蒋洁教授建议在立法中明确企业在采取可证明的合理措施去除可识别属性并承诺自身或关联方不进行重识别时,可以对处理后的数据进行分析和利用,进而建立采取免除个人数据处理者知情同意义务但不减轻侵权损害赔偿责任的治理模式。
中国信息通信研究院云大所法律合规研究员仵姣姣主持讨论环节。与会企业界专家就从企业实际面临的合规风险、技术困难和未来可能发展的方向进行了探讨。参会代表呼吁《个人信息保护法》更进一步明确要保护的核心法益,明确数据产品合规审查的要点和思路,并在回应技术现状和产业发展需要的前提下,进一步明确授权的明确性和链条的完整性的要求。我们将会继续促进产业界与法律界的交流沟通,搭建技术实践与法律规范之间的桥梁,也欢迎更多的行业专家能够加入我们,共同推进隐私计算法律合规的发展。
有兴趣持续探讨相关话题的,请联系
仵姣姣 wujiaojiao@caict.ac.cn
往期推荐