导读:通过隐私技术对数据进行匿名化处理,应依法采取充分的业务合规措施并进行必要评估,从而兼顾个人信息保护与促进金融数据资源盘活
作者|中国银联隐私技术法律研究课题组「课题组成员:郑晓琴 杨燕明 吕伊蒙 欧阳琛 何东杰 郑建宾 刘红宝 金灵」
文章|《中国金融》2021年第20期
所谓隐私技术,是一种在不泄露原始数据的前提下对数据进行分析计算的信息技术,它能够保障数据在流通与融合的过程中实现“可用不可见”,从而为数据流通与融合业务提供新的发展路径。我国颁布《个人信息保护法》,从专门法角度完善了个人信息保护框架,将金融账户信息明确列入敏感个人信息,提出了更为严格的处理要求,结合现有的个人金融信息细化监管规定,强化了对金融领域信息保护的合规要求。本文旨在从《个人信息保护法》视角,厘清隐私技术应用与个人信息保护和金融数据资源盘活的关系,并结合国际上隐私技术的立法与实践提出相关建议。
个人信息保护与数据利用面临的突出问题
个人信息保护与金融数据资源盘活尚未很好协调。2015年9月国务院颁布的《促进大数据发展行动纲要》指出,大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,大数据技术应用就是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析。在数字经济时代,以人工智能为代表的新兴科技发展很大程度上取决于数据、算法以及算力三大要素的支撑。只有通过海量数据(603138,股吧)训练算法,利用人工智能对海量数据进行收集、加工处理形成价值密度极高的衍生数据,才能形成数据价值链。由于大数据的性质有异于一般性数据,适用于大数据的处理规则亦应与一般数据处理规则存在差异,而隐私技术恰恰契合大数据的特征,有助于挖掘和发挥大数据的价值。目前,我国通过《民法典》《个人信息保护法》《网络安全法》《数据安全法》等法律法规,构建了一般数据中个人信息的保护规则体系和个人信息主体权利体系,同时确立了知情同意、最小必要为主的个人信息处理基本原则,意在保障用户对个人信息权利的充分行使。但若依据以上规则处理个人信息,目前能合规地被收集进入隐私计算等大数据分析和应用环节的个人信息极其有限,而且收集相关个人信息的合规成本将因为需要逐一获取个人同意等因素变得十分高昂,这在客观上为隐私技术等必要的大数据处理带来合规性困扰。
个人信息匿名化的法律界定相对模糊。针对无法获取用户授权的个人信息处理问题,《个人信息保护法》在规则层面提供了一定的例外路径,如处理匿名化信息无需获取个人信息主体的同意。同时,《个人信息保护法》也强调匿名化信息需具备绝对匿名化的特征,即如果任何主体采用可能的技术,使得匿名化后的信息与其他任何数据结合后可以识别到个人信息主体,那么该信息就不属于被匿名化的信息。
但实际上,技术层面绝对的匿名化难以实现。若将匿名化数据提供至持有足够特征值样本的主体,且不对识别技术及成本等判断维度进行限定,理论上始终能够通过特征值匹配回溯至特定个人。因此,匿名化虽使得信息安全程度最大化,但也剥离了信息自身的使用价值,使得数据合理利用与个人信息保护之间出现冲突。因此,厘定匿名化的界限对隐私技术的合规应用尤为关键。
个人信息权益受影响程度不一致。《个人信息保护法》明确规定,个人信息的处理需要满足最小必要原则并具备合法基础。在立法层面制定限制个人信息处理的规则,目的在于保障用户对其个人信息的自主掌控,以避免用户的合法权益受到侵害。至于用户本身能否感知到个人信息的处理,相关个人信息处理行为对用户权益的影响可能不同。对于可感知的情形,如将数据分析结果直接转化为对用户的个性化推送,不论作用于个人的效果如何,均直接涉及对《个人信息保护法》所保护的个人人格权等方面的影响,应当严格基于个人信息保护的相关规则进行信息处理。而对于不可感知的情形,如将数据分析结果作为群体情况的代表,不会直接对相关个人产生个性化的影响,本质上不会直接侵犯前述个人信息保护的主要法定权益,也不会对具体用户的安宁权、隐私权等人格权产生影响;但如果将可感知及不可感知的情形均采用相同的信息处理规则,则可能会对部分金融数据资源盘活及数据孤岛的解决造成阻碍。为此,在充分保障个人信息主体权益的基础上,就数据处理活动进行区别对待具有重要意义,如对不可感知的情形可以重点考虑给予用户事后救济的途径。
个人信息授权机制缺乏灵活性。从隐私技术的各种形态来看,该技术在运行过程中可能涉及对用户ID、用户标签、计算梯度等类型信息的处理。根据《个人信息保护法》规定,以上信息与其他信息通常会被纳入个人信息范畴,则使用隐私技术过程中涉及对前述要素信息的处理均需要按照规定向用户告知收集、处理其个人信息的具体情况并征得用户同意。
同时,根据现有监管要求,在授权机制下,收集个人信息的环节至少需要向用户告知后续对其个人信息的处理目的、方式及个人信息种类等;而在隐私技术应用场景下,个人信息收集阶段很难预判对具体个人的信息处理将应用何种技术措施,导致难以事先就隐私技术应用获取用户授权,一旦进入隐私技术处理环节则可能涉及个人信息处理方式的变更而需要另行获取授权。此外,在个人信息进入算法模型后,普通人对于其个人信息在算法模型中的处理原理、逻辑、技术路径不可能完全理解,如此作出的授权并不能代表信息主体的真实意志且无法保证数据利用不会对授权主体权益造成不当侵害。
个人信息保护和隐私技术应用监管的国际实践
2021年,欧盟网络安全局(ENISA)发布《据保护和隐私方面的网络安全措施的技术分析》,在第三章讨论了“安全的多方计算和秘密共享计划”,将多方安全计算确定为复杂数据共享场景的高级技术解决方案。同时,欧盟细化了匿名化判断标准,要求在判断是否达到匿名化效果时,考量破解该技术所需的成本、时间以及彼时的处理技术和科技发展水平等客观因素。
美国参议院在2021年审议的《促进数字隐私技术法案(S.224)》中,要求在保持公平性、准确性和效率的同时,对集中的个人数据进行去身份化、假名化、匿名化或模糊化的技术处理;在处理数据时使用保护个人隐私的算法和其他类似的数学工具;要求商业机构和政府部门在数据应用中实现加密隐私增强技术的标准化。
日本在2017年颁布的《个人信息保护法》修正案规定了匿名信息处理者的法定责任,要求在信息处理过程中进行匿名化。同年,日本个人信息保护委员会细化出台了《匿名处理信息报告》,明确了日本匿名化效果的判断因素,即不要求匿名化的结果始终无法被破解,只需要匿名化的结果在使用了业界普遍认可的技术后,也无法再识别到具体个人或恢复成原有信息形态。匿名化本身并非为了阻止信息利用,而是希望通过匿名化来平衡数据的可用性与用户信息的安全性。
相关建议
当前,隐私技术正处于快速更迭阶段。在促进金融领域数据流通、融合的过程中,该技术在一定程度上能够降低数据泄露的安全风险,有效保护个人信息安全。但依据我国现有监管要求,隐私技术尚不能完全解决数据合规问题,仍需从监管规制和使用者合规等方面加以完善。
完善匿名化技术合规标准要求。我国暂无匿名化技术的具体判断标准,导致其在适用性方面存在困惑,有必要通过制定相应监管规则加以指导。同时,由于匿名化技术的应用还需符合具体行业的要求,如金融领域的信息敏感度高,个人信息保护尤为重要,可根据行业特殊要求对匿名化技术标准进一步细化。
完善业务合规措施。鉴于个人信息保护规则要求结合具体业务情况落实相应的信息保护义务,在具体业务场景下使用隐私技术进行个人信息处理时,需确保业务场景的真实性,按要求获取用户授权,完善证据留存(包括留存真实场景的证明材料、授权签署文件及相关操作日志信息等)。
完善评估制度。鉴于整个隐私计算运行过程中会涉及利用技术及算法对个人信息进行处理,因此有必要完善相关的评估流程,并对整体算法及处理过程的安全、合规程度加以佐证。一是根据《互联网信息服务算法推荐管理规定(征求意见稿)》等相关规定,对算法逻辑加以公开,并就算法机制机理、模型、数据和应用结果等的公德伦理和安全性能进行定期评估。二是在数据融合、交互阶段对数据处理的必要性、安全性、字段泄露风险等进行评估。三是在相关算法使用后,对用户可能产生的权益影响情况进行综合评估,从而保证对算法本身、数据处理及结果应用等环节进行持续监测,以降低可能产生的合规风险。
完善算法规范体系。近年来,监管部门对算法规制日益重视。国家网信办等九部委于2021年9月发布的《关于加强互联网信息服务算法综合治理的指导意见》提出,要利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。但总体而言,现有法规更多地聚焦在用户有感知的个推场景,对目前普遍存在的用户无感知的算法应用,尚无监管文件对其进行界定与规范。对此,可考虑从对个人的影响程度对不同算法类型进行区分,并进一步就不直接影响用户权利的算法规则进行区分规范,为其豁免适用个人信息保护相关规则提供规范依据。此外,在对用户产生影响的算法应用场景中,使用模型算法的信息处理者应当结合监管动向适时开展内部合规审查、评估及适当公示,不断强化算法的公平性、透明性及公德伦理性。
针对金融领域大数据处理活动与现有个人信息处理规则之间可能存在的冲突,未来需从规则和金融应用领域探索新的路径加以平衡。在不侵害用户个体权益的前提下,通过隐私技术对数据进行匿名化处理,应依法采取充分的业务合规措施并进行必要风险评估,从而兼顾个人信息保护与促进金融数据资源盘活的关系。■
(责任编辑 张林)