文|楊春白雪 中國信通院互聯(lián)網(wǎng)法律研究中心研究員
2023年2月13日,聯(lián)合國大數(shù)據(jù)和數(shù)據(jù)科學(xué)專家委員(UNCEBD)會(huì)發(fā)布《隱私增強(qiáng)技術(shù)指南》(The PET Guide)。指南重點(diǎn)關(guān)注隱私增強(qiáng)技術(shù)在官方統(tǒng)計(jì)數(shù)據(jù)中的應(yīng)用,旨在幫助各國的國家統(tǒng)計(jì)局更好地理解和運(yùn)用隱私增強(qiáng)技術(shù)處理敏感數(shù)據(jù),提升數(shù)據(jù)的準(zhǔn)確性和安全性,進(jìn)而助力政府科學(xué)合理決策。
隱私增強(qiáng)技術(shù)是用于安全處理和共享敏感數(shù)據(jù)的技術(shù),旨在平衡隱私保護(hù)和數(shù)據(jù)可用性,可以分為輸入端和輸出端兩大類。指南的主體部分包含五個(gè)章節(jié):第一章是背景簡(jiǎn)介,第二章是方法分類,第三章是各國案例研究,第四章是技術(shù)標(biāo)準(zhǔn),第五章是法律和監(jiān)管。
一、背景簡(jiǎn)介
官方統(tǒng)計(jì)數(shù)據(jù)是世界各國政府做出明智決策的可靠信息來源。為保證官方統(tǒng)計(jì)數(shù)據(jù)的可信性、相關(guān)性、及時(shí)性和高質(zhì)量,處理調(diào)查和普查獲得的個(gè)人和企業(yè)數(shù)據(jù)在所難免。由于其中涉及到大量敏感數(shù)據(jù),政府、企業(yè)、個(gè)人和數(shù)據(jù)保護(hù)機(jī)構(gòu)都對(duì)此高度關(guān)注。利用隱私增強(qiáng)技術(shù)可以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn),從數(shù)據(jù)全生命周期維度保護(hù)個(gè)人隱私和數(shù)據(jù)安全,增強(qiáng)數(shù)據(jù)主體的信心和信任,進(jìn)而平衡統(tǒng)計(jì)分析的靈活性和隱私保護(hù)的有效性之間的矛盾。
為此,聯(lián)合國設(shè)立了隱私增強(qiáng)技術(shù)實(shí)驗(yàn)室(UN PET Lab),希望通過實(shí)驗(yàn)評(píng)估、培訓(xùn)交流和支持服務(wù)三大功能,助力各國更好地了解和運(yùn)用隱私增強(qiáng)技術(shù)。
二、方法分類
指南重點(diǎn)介紹了七種隱私增強(qiáng)技術(shù)的技術(shù)概況、發(fā)展歷史、安全模型和使用成本等。一是多方安全計(jì)算(sMPC),是指允許對(duì)多方輸入的數(shù)據(jù)進(jìn)行聯(lián)合計(jì)算,每一參與方只能獲得正確計(jì)算結(jié)果,對(duì)其他參與方的輸入數(shù)據(jù)保密的輸入端技術(shù)。多方安全計(jì)算常見的技術(shù)選擇是混淆電路(Garbled Circuit)和線性秘密共享(linear secret sharing)。二是同態(tài)加密(HE),是指直接對(duì)加密數(shù)據(jù)進(jìn)行計(jì)算產(chǎn)生加密結(jié)果,由數(shù)據(jù)控制者自行解密的輸入端技術(shù)。同態(tài)加密可以應(yīng)用于將數(shù)據(jù)外包給不受信任的第三方處理者、不完全信任的計(jì)算環(huán)境等,實(shí)踐中往往應(yīng)用于醫(yī)療領(lǐng)域。三是差分隱私(DP),這是一種嚴(yán)格強(qiáng)調(diào)隨機(jī)性的輸出端隱私標(biāo)準(zhǔn),旨在量化數(shù)據(jù)庫中單個(gè)記錄的最大信息量,防止因多次查詢后計(jì)算結(jié)果的微小改動(dòng)反向推導(dǎo)而導(dǎo)致的隱私泄露。四是合成數(shù)據(jù),是指將敏感數(shù)據(jù)集轉(zhuǎn)換為具有相似統(tǒng)計(jì)學(xué)特征、但不透露個(gè)人信息的新數(shù)據(jù)集的輸出端隱私技術(shù),可以運(yùn)用在需要共享敏感數(shù)據(jù)的領(lǐng)域。五是分布式學(xué)習(xí),是指利用多個(gè)計(jì)算節(jié)點(diǎn)訓(xùn)練機(jī)器學(xué)習(xí)、深度學(xué)習(xí)模型的隱私協(xié)議,保證用戶數(shù)據(jù)永遠(yuǎn)不會(huì)離開設(shè)備,可以分為聯(lián)邦學(xué)習(xí)(FL)和拆分學(xué)習(xí)(SL)兩種。六是零知識(shí)證明(ZK),是指允許一方向另一方證明某項(xiàng)聲明的真實(shí)性,而無需提供作為前提的相關(guān)秘密信息。近年來,零知識(shí)證明被廣泛運(yùn)用于加密貨幣、身份驗(yàn)證的相關(guān)應(yīng)用程序。七是可信執(zhí)行環(huán)境(TEE)和安全飛地,是指與計(jì)算機(jī)主處理器和內(nèi)存隔離并進(jìn)行加密通信的數(shù)據(jù)處理環(huán)境,可以緩釋輸入隱私、代碼隱私、代碼驗(yàn)證風(fēng)險(xiǎn)。以上七種隱私增強(qiáng)技術(shù),相關(guān)機(jī)構(gòu)可以根據(jù)實(shí)際需要選擇特定技術(shù)或者技術(shù)組合。
指南第三章詳細(xì)列舉了十八個(gè)涉及隱私增強(qiáng)技術(shù)的具體案例,涉及跨部門使用、多種技術(shù)組合、多國合作參與、公私部門協(xié)作等具體場(chǎng)景,涵蓋美國、加拿大、歐盟、英國、意大利、荷蘭、韓國、印度尼西亞等國家和地區(qū)。其中,十五個(gè)案例仍處于構(gòu)思或部署階段,另外三個(gè)已經(jīng)實(shí)際投入使用。
指南第四章概述了隱私增強(qiáng)技術(shù)的標(biāo)準(zhǔn)情況,包括關(guān)鍵技術(shù)標(biāo)準(zhǔn)和間接相關(guān)標(biāo)準(zhǔn)等。自《聯(lián)合國隱私保護(hù)技術(shù)手冊(cè)》出版以來,與隱私增強(qiáng)技術(shù)和人工智能相關(guān)的標(biāo)準(zhǔn)制定活動(dòng)顯著增加,尤其是在機(jī)器學(xué)習(xí)領(lǐng)域。與以往注重事后經(jīng)驗(yàn)積累不同,隱私增強(qiáng)技術(shù)的相關(guān)標(biāo)準(zhǔn)制定活動(dòng)越來越關(guān)注對(duì)“已知的已知”和“已知的未知”兩種潛在危害的事前防范,相關(guān)標(biāo)準(zhǔn)也更加關(guān)注精細(xì)的技術(shù)細(xì)節(jié)。
三、法律監(jiān)管
目前,世界主要國家和地區(qū)尚未出臺(tái)專門針對(duì)隱私增強(qiáng)技術(shù)的監(jiān)管政策,其技術(shù)特性也使得隱私增強(qiáng)技術(shù)難以納入到現(xiàn)有的規(guī)制框架。隨著政府、機(jī)構(gòu)和企業(yè)等對(duì)隱私增強(qiáng)技術(shù)的認(rèn)識(shí)不斷提高,對(duì)于隱私增強(qiáng)技術(shù)在不同應(yīng)用場(chǎng)景下的合規(guī)性確認(rèn)需求也愈發(fā)迫切。
指南提出了五大合規(guī)要點(diǎn):一是強(qiáng)烈建議任何涉及到使用隱私增強(qiáng)技術(shù)進(jìn)行數(shù)據(jù)分析的項(xiàng)目都應(yīng)當(dāng)盡早咨詢法律專家,盡量在技術(shù)參數(shù)部署之前完成相應(yīng)的合規(guī)審查,否則會(huì)大大增加合規(guī)成本和違法風(fēng)險(xiǎn)。二是立法一般不會(huì)強(qiáng)制性使用隱私增強(qiáng)技術(shù),但是隱私增強(qiáng)技術(shù)客觀上可以滿足法律對(duì)于“數(shù)據(jù)最小化”“數(shù)據(jù)保護(hù)設(shè)計(jì)”“默認(rèn)數(shù)據(jù)保護(hù)”等要求,特定監(jiān)管機(jī)構(gòu)可能會(huì)針對(duì)某些特殊場(chǎng)景推薦或要求使用特定的隱私增強(qiáng)技術(shù)。三是隱私增強(qiáng)技術(shù)的使用必須要與現(xiàn)行法律、政策和社會(huì)文化規(guī)范相協(xié)調(diào)一致,以負(fù)責(zé)任的態(tài)度開辟新的發(fā)展機(jī)遇。四是涉及到使用來自兩個(gè)及兩個(gè)以上司法管轄區(qū)的數(shù)據(jù)集會(huì)使情況變得更加復(fù)雜,應(yīng)當(dāng)充分考慮跨境數(shù)據(jù)規(guī)制等要求。五是不同法系和司法管轄區(qū)對(duì)于同一隱私增強(qiáng)技術(shù)在特定場(chǎng)景下的使用是否適當(dāng)可能會(huì)做出不同判斷,希望立法者及時(shí)發(fā)布隱私增強(qiáng)技術(shù)適用的案例指導(dǎo)。
具體舉例而言,美國《加州消費(fèi)者隱私法》(CCPA)適用于企業(yè)和服務(wù)提供商,但可能不適用于政府部門和非盈利機(jī)構(gòu)等;而歐洲《通用數(shù)據(jù)保護(hù)條例》(GDPR)項(xiàng)下的數(shù)據(jù)保護(hù)責(zé)任適用于數(shù)據(jù)控制者和處理者,包括政府部門和非盈利機(jī)構(gòu)。根據(jù)GDPR,出于歷史研究或統(tǒng)計(jì)目的等對(duì)個(gè)人數(shù)據(jù)進(jìn)行的某些處理可能會(huì)被豁免或受到相對(duì)寬松的監(jiān)管,具體細(xì)節(jié)取決于歐洲經(jīng)濟(jì)區(qū)(EEA)具體國家和地區(qū)的法律要求。荷蘭《統(tǒng)計(jì)法》明確禁止公開發(fā)表用于統(tǒng)計(jì)學(xué)目的的個(gè)人、家庭及組織數(shù)據(jù),涉及到公司或組織數(shù)據(jù),有正當(dāng)充分理由認(rèn)定公司或組織對(duì)此無異議的可以發(fā)布。英國信息專員辦公室(ICO)一直在就隱私增強(qiáng)技術(shù)開展咨詢,并發(fā)布了《匿名化、假名化和隱私增強(qiáng)技術(shù)指南》。歐洲對(duì)于隱私增強(qiáng)技術(shù)的更多監(jiān)管動(dòng)向還應(yīng)當(dāng)關(guān)注《歐洲數(shù)據(jù)戰(zhàn)略》《數(shù)據(jù)治理法》《數(shù)字服務(wù)法》《數(shù)字市場(chǎng)法》和《人工智能法案》等法律文件。
在具體操作流程方面,指南建議了四步流程法。一是列出參與數(shù)據(jù)處理、技術(shù)開發(fā)等任一環(huán)節(jié)的所有參與者。從法律角度,隱私增強(qiáng)技術(shù)的主要參與者有五類,分別是立法者、監(jiān)管機(jī)構(gòu)、受保護(hù)客體、義務(wù)主體、隱私增強(qiáng)技術(shù)生產(chǎn)商或供應(yīng)商。二是確認(rèn)每個(gè)參與者適用的法律范圍,包括法律施加的確認(rèn)性要求和禁止性規(guī)范。明確隱私增強(qiáng)技術(shù)的法律監(jiān)管環(huán)境非常重要,對(duì)于數(shù)據(jù)安全、最小化、公平性、準(zhǔn)確性、問責(zé)制等方面的要求可能同時(shí)并行于多部法律規(guī)范。此外,還要考慮數(shù)據(jù)處理者如何影響隱私增強(qiáng)技術(shù)參與者對(duì)數(shù)據(jù)的使用,例如限制向其他參與者披露派生數(shù)據(jù)產(chǎn)品。隱私增強(qiáng)技術(shù)在超出數(shù)據(jù)處理、使用、披露限制以外對(duì)數(shù)據(jù)主體產(chǎn)生的影響也應(yīng)當(dāng)關(guān)注,例如對(duì)某些數(shù)據(jù)集的長期訪問可能是保證準(zhǔn)確性和可問責(zé)性的需要,但會(huì)因?qū)?shù)據(jù)主體的保護(hù)要求而被禁止。三是分析隱私增強(qiáng)技術(shù)部署與相關(guān)法律要求的一致性,指南指出類似于“隱私增強(qiáng)技術(shù)是否合法”的問題并非有效提問,因?yàn)閹缀鯖]有法律會(huì)對(duì)該問題給出是或者否的準(zhǔn)確答案,這是基于對(duì)隱私增強(qiáng)技術(shù)的不了解或者是奉行技術(shù)中立原則的法律設(shè)計(jì),保證法律在保持穩(wěn)定性、相關(guān)性、靈活性的基礎(chǔ)上適應(yīng)現(xiàn)代技術(shù)快速發(fā)展的需要。四是上述相關(guān)問題在數(shù)據(jù)的全生命周期都要納入考量和重新審視。在構(gòu)思設(shè)想和需求建立階段,盡早引入法律專家以充分識(shí)別法律風(fēng)險(xiǎn)很有必要,包括對(duì)功能性需要和非功能性需要的法律建議;在設(shè)計(jì)研發(fā)階段,數(shù)據(jù)的規(guī)劃采集涉及到劃定主要數(shù)據(jù)和輔助數(shù)據(jù)的范圍,需要考慮到不同司法管轄區(qū)下對(duì)數(shù)據(jù)安全和隱私保護(hù)的具體監(jiān)管要求,例如特定目的、從第三方獲取數(shù)據(jù)、跨境數(shù)據(jù)流動(dòng)等;在模型構(gòu)建階段,經(jīng)處理后的人工數(shù)據(jù)、合成數(shù)據(jù)或真實(shí)數(shù)據(jù)被用于集中式或分布式構(gòu)建模型和測(cè)試模型。由于合成數(shù)據(jù)通常來源于處理后的真實(shí)數(shù)據(jù),難免涉及到隱私保護(hù)、偏差引入、異常值修正等問題;在模型部署階段,經(jīng)過測(cè)試的模型正式開始處理真實(shí)的實(shí)時(shí)數(shù)據(jù),發(fā)揮功能性效用,輸出決策結(jié)果;在操作監(jiān)控階段,隱私增強(qiáng)技術(shù)模型收集、處理、分析并輸出數(shù)據(jù),流程中還包括不間斷的身份認(rèn)證、合規(guī)評(píng)估、偏差修正、結(jié)果確認(rèn)等監(jiān)控功能;在模型退役階段,數(shù)據(jù)需要經(jīng)處理以滿足安全刪除、存檔或重新利用的相關(guān)要求,要充分考量法律在數(shù)據(jù)安全和隱私保護(hù)方面的合規(guī)要求,尤其要防止未經(jīng)授權(quán)的反向數(shù)據(jù)解析,及時(shí)采取適當(dāng)措施解決去識(shí)別化的安全風(fēng)險(xiǎn)。
聲明:本文來自CAICT互聯(lián)網(wǎng)法律研究中心,版權(quán)歸作者所有。