数牍观点 | 探讨“数据出境”管理中“隐私计算”的适用性

CCIA数据安全工作委员会
裴超
隐私计算全称应为隐私保护计算,也有隐私增强计算的说法,本质是通过采用密码学、分布式机器学习等相关技术,以数据物理隔离或逻辑隔离的方式,来实现既保护敏感数据不外泄又满足了对于多方之间数据进行共同联合分析的目的。

2021年10月29日,国家互联网信息办公室发布了《数据出境安全评估办法(征求意见稿)》(以下简称“评估办法”),对外公开征求意见。从对应国内立法进度来看,该评估办法既是对《数据安全法》中的第三十一条关于重要数据的出境安全管理的补充落实,同样也是在《个人信息保护法》生效前,对于其第三章关于个人信息跨境内容的具体实施说明。

追溯其历史,早在2017年国家互联网信息办公室就发布了关于《个人信息和重要数据出境安全评估办法(征求意见稿)》,当时依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》等法律法规,对于约束主体还称为“网络运营者”。后期在考虑到个人信息和重要数据之间的不同,以及个人信息在处理上的一些特殊性,2019年6月通过修订又单独发布了《个人信息出境安全评估办法(征求意见稿)》。但是在这个过程中,对于重要数据的定义和识别也一直在修订中的状态。虽然目前《重要数据的识别指南(征求意见稿)》中指出重要数据不包括个人信息,但也说到了批量个人信息可能构成重要数据,个人信息和重要数据之间还是存在一个量变与质变的关系。而随着2021年《数据安全法》和《个人信息保护法》的发布和生效,在从数据的角度来讲,约束主体改为“数据处理者”明显更为准确,原先关于出境相关的描述应当进行调整,以与相关的法律保持一致。在对于个人信息和重要数据的出境问题上,从管理层面来讲二者其实没有太大区别,所以此次重新调整形成《数据出境安全评估办法》,并与今年7月发布的《网络安全审查办法(征求意见稿)》中的部分相关要求保持了一致。相关法律和办法的制定,共同构成了在总的上位法框架之下,先限制数据流向境外,再回头治理境内数据的局面。

01、数据出境

数据出境是当前全球化与数据经济发展过程中的必然,数据作为具有极大潜在经济价值的生产要素,在国际间的流动需求变得越来越旺盛。但是数据的出境应当保证安全有序、合法、合规、合理,否则将给数据主体,包括个人、社会、国家等带来安全带来极大风险。我国的《数据出境安全评估办法(征求意见稿)》正是在这个历史背景下,从对数据处理者的角度和主管和监管部门的角度分别进行了明确,给出了基本的评估流程,包括需要评估的对象、评估的重要事项、评估的方式等。

然而数据出境在一些场景下并非是一个单向数据传输问题那么简单,在涉及数据结果返回、双方数据交换的情况,需要数据处理活动的参与各方严格遵照各自国家对于数据出境的合规要求。当出境的数据涉及个人信息时,尤其敏感个人信息时,还会涉及数据的所有人的授权同意等相关操作,活动主体的维度将更广。如果相关国家的法律法规不明确、不完善,监管实施部门也没有相关的实施指南、办法可依循,这将使得组织、企业在相关的数据服务上无法开展,无疑造成了对企业、国家和全球的数字化快速发展、数据业务合作的障碍。

可以看到,一些大型互联网企业、能源组织机构等,在主要国家都设有分部或子公司。除了市场驱动以外,领域人才的分布也是造成这种情况产生的原因。业务数据、经营数据、研发数据等必然存在数据跨境融合的需求,这还只是针对一个集团企业内部,更勿论不同企业或组织之间的需求。当然,近年关于建设数字自贸区通过划分不同的管辖方式能够获得一定需求的缓解,但是这种情况是否会为个人信息的处理提供一定的宽松条件目前还不清楚。

因此,如何实现满足数据活动参与各方所在国家的相关数据安全和合规要求,避免因为数据跨境产生数据安全或个人隐私泄露的风险,依旧是当前国内和国际数字化快速发展形势下需要解决的问题。

02、隐私计算

隐私计算全称应为隐私保护计算,也有隐私增强计算的说法,本质是通过采用密码学、分布式机器学习等相关技术,以数据物理隔离或逻辑隔离的方式,来实现既保护敏感数据不外泄又满足了对于多方之间数据进行共同联合分析的目的。隐私计算最初是用在企业之间的数据合作中对个人隐私保护的,但是在技术层面上目前可以不再局限于是个人信息还是企业或组织所掌握的重要数据。

隐私计算在技术路径上目前广泛认为有安全多方计算、联邦学习、可信执行环境(TEE)三大类,但是从更广义的角度讲,差分隐私、零知识证明等一切以保护隐私或敏感信息的技术也是可以包含在内。

隐私计算技术的特性能够实现数据“可用不可见”、“可用不可知”,因此在数据出境的场景中,为出境的合规实践提供了一种技术方案。通过采用隐私计算的方式,跨国组织或企业,可以实现多方数据之间的虚拟融合,而无须再采用像传统的数据物理传输和统一汇集的方式,最大程度的实现了出境数据的最小化。比如,大型跨国企业的分子公司的财务数据可以通过安全多方计算的技术进行统计,数据联合分析也可以通过采用联邦学习的技术进行实现。

03、“隐私计算”的应用会对“数据出境”带来什么影响

但是,隐私计算虽然从技术层面提供了一种不对外泄露原始隐私信息的方式,我们还应清醒意识到数据出境对于隐私计算仍有两个需要关注的点。

一是关于评估办法中“向境外提供”的理解。“提供”是否只局限于对数据采用了“出境”的传输方式,是否包括数据在境内,“提供”给身份为境外组织或个人的数据处理者使用的情况。当前评估办法的第五条中关于重点评估事项的列举,更多的是站在“出境传输”的前提下。如果说使用了隐私计算的技术,以向境外身份的数据处理者提供的形式开展数据合作,那么会不会造成数据安全监管方面的缺失?因此,评估办法如能从文字上更为直观地体现“出境”的含义将更有助于指导实施。

二是关于隐私计算的结果数据出境,这里隐私计算的结果数据可以分为中间结果数据和最终结果数据。中间结果数据在联邦学习的计算过程中,一般为模型的参数或梯度等数据,这些数据会被使用秘密分享、同态加密等技术处理后传输,个人信息和重要数据的相关特征也会被隐藏掉。假如联邦学习采用了同态加密的方式,密钥仅由境内数据处理者控制,在此情况下是否会被认为不构成个人信息和重要数据的数据出境?但是境外数据处理者可能自行通过技术方式解密获得原始数据从而造成了实质性的数据出境。另外,当隐私计算活动本身包含境外数据处理者时,最终结果数据的产生是可能在境外的,然后其产生的来源与境内的数据有着强关联,单独境内数据处理者无法产生该最终结果数据,反之亦然,但是该过程中境内数据处理者没有直接将其数据向境外传输。对于这种与境外数据处理者联合产生的最终结果数据是否包含个人信息或重要数据,以及是否纳入出境评估和管理的范围需要关注。

因此,数据出境随着一些新兴技术、合作形态、安全模型的出现,其监管复杂性也随之上升,更加具体的评估办法、实施指南对规范数据出境、促进数据跨境合作非常重要。对于隐私计算技术厂商,在进行产品设计、系统部署中应认真分析不同的设计和系统部署形式可能产生的数据安全和隐私保护相关的风险,从而能够充分站在系统建设方、数据所有方的角度提供可行、可靠、可信的隐私保护计算解决方案。而对于数据处理者,应充分意识到数据在为自身带来经济价值的同时,更需对数据处理活动秉持一颗有责任、有担当、充满敬畏的心,保护好个人信息隐私和重要数据的安全,利国利民,也是在数字化时代长促发展的前提。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论