隐私计算应用合规如何破局
01 隐私计算技术的概念和原理
隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,实现数据在流通与融合过程中的“可用不可见”[1]。主流的隐私计算技术可以分为三大方向:一是以多方安全计算为代表的基于密码学的隐私计算技术,二是以联邦学习为代表的人工智能与隐私保护技术融合衍生的技术,三是以可信执行环境为代表的基于可信硬件的隐私计算技术[2]。
多方安全计算可以在各方不泄露输入数据的前提下完成多方协同分析、处理和结果发布,因此广泛应用于联合统计、联合查询、联合建模、联合预测等场景。联邦学习能够在本地原始数据不出库的情况下,通过对中间加密数据的流通与处理来完成多方联合的机器学习训练,因此广泛应用于联合建模,也可与可信执行环境配合使用,提供安全性、应用性更强的综合解决方案。可信执行环境通过软硬件方法在中央处理器中构建一个安全的区域,保证其内部加载的程序和数据在机密性和完整性上得到保护,可以完成对多方数据完成联合统计、联合查询、联合建模及预测等各种安全计算[3]。
02 隐私计算技术合规讨论的产生原因
在我国,隐私计算技术应用的合规在行业内引发了热烈的讨论,原因主要有以下几点:
多主体参与导致法律关系复杂。从法律主体看,隐私计算技术应用往往会涉及多个参与方共同协作,数据提供方、技术提供方、结果使用方是最为常见的三类主体。数据提供方一般是指在隐私计算技术应用过程中提供数据的主体。技术提供方一般是指提供数据处理平台、算法工具、解决方案等技术支持的主体。结果使用方一般是指获取隐私计算最终输出的数据结果并进行场景应用的主体。在实践中,还存在数据提供方本身不只一方、各参与方角色重合等情况。因此,一个隐私计算应用场景中往往包含多对法律关系,各参与方角色的重合还会带来数据合规义务的竞合或抵消。倘若不能准确判断各方之间的法律关系或明确法律义务或法律责任,就会引发一些合规问题。
受疫情影响,某快递公司“先寄后付”业务深受客户追捧,但仅依靠快递公司内部用户数据无法准确判断客户是否为低风险用户,若判断失误,容易引发坏账风险。故在第三方隐私计算技术提供方的协助下,该快递公司引入某大型银行信用卡中心掌握的用户在金融业务中的个人信用相关行为和跨行数据,通过联合建模建立散单客户风险识别模型。
在上述案例中,银行信用卡中心为数据提供方,快递公司同时为数据提供方和结果使用方,技术提供方为第三方隐私计算技术服务方。
隐私计算技术在我国的合规价值缺乏背书。隐私计算技术包含多种数据处理行为,各参与方应当遵守我国数据合规相关法律法规。尽管目前我国数据合规法律的基本框架已初步建立,但配套的实施细则尚不完备,可供参考的司法和执法案例较少。相比之下,国外在立法和监管方面提供了更明确细致的指引。欧洲数据保护委员会(EDPB)发布的《关于第 25 条的设计和默认数据保护指南》在建议部分指出,有条件的使用隐私增强技术可以作为满足欧盟《通用数据保护条例》(GDPR)第25条规定的保护措施[4]。这在某种程度上从监管的角度赋予了隐私计算技术能够帮助履行合规义务的法律地位[5]。但目前在我国,隐私计算技术的合规价值尚未得到类似的背书。实际上,隐私计算技术的合规价值会因法律体系、社会和经济背景的不同而有所不同。在立法方面,尽管我国的《个人信息保护法》在立法原则上与欧盟《通用数据保护条例》有共通之处,但具体的法律规定存在很多差异。因此,隐私计算技术在欧盟得到认可的合规价值,放置在我国的法律体系下并不天然成立。在社会和经济背景方面,隐私计算在欧洲的推广主要得益于隐私保护问题亟待解决,其本身就带有一定的合规属性;而隐私计算在我国的快速发展主要是因为能够促进数据流通,其价值更多的体现在促进社会经济发展层面。基于以上差异,隐私计算技术在我国的合规价值,需要基于我国的具体情况进行研究和讨论。
技术与法律对于相同问题的认知存在差异。隐私计算技术的合规分析,涉及技术与法律两大专业领域的碰撞与融合。对法律专家而言,判断隐私计算技术的合规性,需要理解通过技术语言描述的数据处理行为,将其与法律条文的规定相对应,进而判断相关行为属于何种法律行为,会触发何种合规风险。对技术专家而言,了解隐私计算技术应用合规性,也需要经历从技术到法律的认知转变。这种涉及跨专业的沟通往往会引发一些认识和理解上的偏差,进而导致关于合规问题的一些争议和讨论。
03隐私计算技术的法律适用
讨论隐私计算技术应用的合规问题,首先需要明确法律适用,厘清法律关系。尽管我国数据保护领域的相关立法尚不完备,但现有法律框架基本可以涵盖隐私计算应用所涉及的法律行为。各参与方需根据隐私计算应用的场景进行具体的判断和分析。
隐私计算技术应用本质上是一种数据处理行为,各方在隐私计算技术应用涉及的数据提供、加工、传输、使用等环节的数据处理行为,均适用相关法律法规对于数据处理的要求。
首先,应用隐私计算技术应当遵守《中华人民共和国民法典》[6]《中华人民共和国刑法》[7]等综合性立法以及相关司法解释[8]中对于个人信息保护和数据保护的相关要求,违反相关规定将视情节承担相应的民事或刑事责任。
其次,应用隐私计算技术应当遵守数据合规领域的专门规定。2021年,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《个人信息保护法》相继正式出台并生效,与此前的《中华人民共和国网络安全法》(“《网络安全法》”)共同构成了我国数据合规领域的基本法律架构。2022年9月12日,国家互联网信息办公室发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,拟修订后的《网络安全法》与《个人信息保护法》《数据安全法》的衔接更加严密合理。违反《网络安全法》《数据安全法》和《个人信息保护法》的相关规定将根据不同情节承担暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、高额罚款等行政责任。
同时,应用隐私计算技术应遵循相关国家标准、行业标准中对于数据处理行为的细节要求,如《信息安全技术 个人信息安全规范(GB/T 35273-2020)》《信息安全技术 个人信息去标识化指南(GB/T 37964-2019)》等。
此外,若隐私计算技术应用涉及特殊监管行业,如金融、医疗、汽车、地图测绘等,也应当符合相关行业对于数据处理行为的具体要求。以隐私计算技术应用最广泛的金融行业为例,行业相关要求包括《征信业管理条例》《征信业务管理办法》《中国人民银行金融消费者权益保护实施办法》《银行金融机构数据治理指引》《金融信息服务管理规定》《银行保险机构信息科技外包风险监管办法》等等,还包括《个人金融信息保护技术规范(JR/T 0171-2020)》《金融数据安全 数据生命周期安全规范(JR/T 0223-2021)》《金融数据安全 数据安全分级指南(JR/T 0197-2020)》等金融行业的相关标准。
04隐私计算参与方法律关系认定
如前所述,隐私计算技术应用主要涉及数据提供方、技术提供方、结果使用方三类主体。在实际应用场景中,通常是由技术提供方为数据提供方或结果使用方部署隐私计算平台(包括软件、硬件或软硬件一体机),提供技术服务或软件开发服务,并负责隐私计算平台的日常运维,并不直接参与处理数据。除为数据提供方和结果使用方量身打造隐私计算平台之外,技术提供方也可以将自己的隐私计算平台部署在数据提供方或结果使用方本地,技术提供方作为平台方寻找掌握数据资源的数据提供方入驻平台,数据提供方将节点部署在技术提供方平台。
隐私计算技术应用涉及的各参与方之间的法律关系需要进行个案分析,在不同的应用场景中判断其所扮演的角色属于数据合规法律法规中的哪些义务方,确定所适用的法律法规,进而判断具体应当遵守的合规要求。在我国现行法律下,隐私计算技术的参与方可能被认定为如下法律主体,包括但不限于:
1. 个人信息处理者
《个人信息保护法》第七十三条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。根据《个人信息保护法》第二十条,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,属于“共同处理个人信息”,若侵害个人信息权益造成损害的,应当依法承担连带责任。
一般情况下,数据提供方和结果使用方决定隐私计算过程中对个人信息的处理目的和方式,基本可以被认定为个人信息处理者。技术提供方一般仅提供技术支持,例如提供算法逻辑、技术解决方案、数据存储工具等,并不会对数据处理的目的和方式产生决定性影响,因此被认定为个人信息处理者的可能性较低。但若技术提供方与数据提供方和/或结果使用方构成委托处理关系,仍应当根据《个人信息保护法》的规定配合委托方履行相关合规义务。
2. 委托人和受托人
《个人信息保护法》第二十一条提到了委托人和受托人的概念。委托人更具决定权,会对受托人进行审慎监督,确保其按照约定来处理个人信息。受托人则需要严格按照约定来处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,同时需采取必要措施来保障个人信息安全,合作结束后,受托人应当将个人信息返还或者予以删除,不得保留。
在隐私计算技术的应用场景中,数据提供方和结果使用方往往对于数据有更多的控制权,可能会被视为委托人;技术提供方不决定个人信息处理的目的和方式,只是提供技术支持,所以可能被认定为受托人。
值得注意的是,目前在法律层面仅针对“个人信息的处理”对委托处理中双方权利义务进行了明确规定,但委托处理是一种常见的数据处理方式,可以理解为民法中委托合同关系在数据处理方面的应用。实践中,对非个人信息的委托处理也可以参考上述合规逻辑,在该等合规要求的基础上具体约定双方的权利义务。
3. 个人信息的提供方与接收方
《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照《个人信息保护法》的规定重新取得个人同意。
根据《个人信息保护法》第二十三条的表述,个人信息的提供和接收发生在个人信息处理者之间。如前文所述,在隐私计算技术应用场景中,通常认为技术提供方不属于个人信息处理者;通过隐私计算技术,数据提供方以“可用不可见”的方式将个人信息提供给结果使用方使用,因此二者可能被认定为个人信息的提供方和接收方。
表 1:隐私计算技术各参与方之间的法律关系
[1]隐私计算联盟、中国信通院云大所《隐私计算法律与合规研究白皮书(2021年)》。
[2]隐私计算联盟、中国信通院云大所《隐私计算白皮书(2021年)》。
[3] 隐私计算联盟、中国信通院云大所《隐私计算白皮书(2021年)》。
[4]见Guidelines on Article 25 Protection by Design and by Default 第30页。EDPB指出,最先进的隐私增强技术(Privacy-enhancing technologies)可以被视为GDPR第25条要求采取的措施(如果适用于基于风险的方法)。使用隐私增强技术本身不一定能完全履行GDPR第25条规定的义务,数据控制者应当评估该措施在实施数据保护原则和数据主体权利方面是否适当有效。
[5]欧洲数据保护委员会 (EDPB)是根据《通用数据保护条例》(GDPR)的规定设立的独立机构,其任务和职责包括提供一般指导(包括指南、建议和最佳实践)以澄清法律并促进共识或推动欧盟的数据保护法律的实施等。
[6]《中华人民共和国民法典》第四编“人格权”第六章“隐私权和个人信息保护”。
[7]《中华人民共和国刑法》第二百五十三条之一、第二百八十五条、第二百八十六条、第二百八十七条之二等。
[8]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》等。
本文节选自隐私计算联盟于2022年12月28日“2022可信隐私计算峰会”上发布的《隐私计算技术应用合规指南(2022年)》。
报告介绍及全文下载链接如下:
《隐私计算技术应用合规指南(2022年)》正式发布(附下载链接)
中国信通院云大所数据流通团队自2016年开始关注并研究解决国内数据要素流通面临的各类制度性、技术性和实践性问题,始终致力于推动数据要素安全可信流通,支撑我国数据要素市场建设。陆续承担多份数据要素领域重大政策文件和地方规划支撑工作,打造可信数据流通、可信隐私计算等评估评测体系,围绕公共数据运营、企业数据交易、数据合规及隐私计算技术应用等方面为各政府企业提供研究咨询服务。
联系人:
袁老师
18500851520
yuanbo@caict.ac.cn
吕老师
18526649944
lvailin@caict.ac.cn
往期推荐0102
推动标准规范,筑基可信数网 | “隐私计算 互联互通实践示范”第二批征集正式启动