文|楊春白雪 中國(guó)信通院互聯(lián)網(wǎng)法律研究中心研究員

2023年2月13日，聯(lián)合國(guó)大數(shù)據(jù)和數(shù)據(jù)科學(xué)專家委員（UNCEBD）會(huì)發(fā)布《隱私增強(qiáng)技術(shù)指南》（The PET Guide）。指南重點(diǎn)關(guān)注隱私增強(qiáng)技術(shù)在官方統(tǒng)計(jì)數(shù)據(jù)中的應(yīng)用，旨在幫助各國(guó)的國(guó)家統(tǒng)計(jì)局更好地理解和運(yùn)用隱私增強(qiáng)技術(shù)處理敏感數(shù)據(jù)，提升數(shù)據(jù)的準(zhǔn)確性和安全性，進(jìn)而助力政府科學(xué)合理決策。

隱私增強(qiáng)技術(shù)是用于安全處理和共享敏感數(shù)據(jù)的技術(shù)，旨在平衡隱私保護(hù)和數(shù)據(jù)可用性，可以分為輸入端和輸出端兩大類。指南的主體部分包含五個(gè)章節(jié)：第一章是背景簡(jiǎn)介，第二章是方法分類，第三章是各國(guó)案例研究，第四章是技術(shù)標(biāo)準(zhǔn)，第五章是法律和監(jiān)管。

一、背景簡(jiǎn)介

官方統(tǒng)計(jì)數(shù)據(jù)是世界各國(guó)政府做出明智決策的可靠信息來(lái)源。為保證官方統(tǒng)計(jì)數(shù)據(jù)的可信性、相關(guān)性、及時(shí)性和高質(zhì)量，處理調(diào)查和普查獲得的個(gè)人和企業(yè)數(shù)據(jù)在所難免。由于其中涉及到大量敏感數(shù)據(jù)，政府、企業(yè)、個(gè)人和數(shù)據(jù)保護(hù)機(jī)構(gòu)都對(duì)此高度關(guān)注。利用隱私增強(qiáng)技術(shù)可以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)，從數(shù)據(jù)全生命周期維度保護(hù)個(gè)人隱私和數(shù)據(jù)安全，增強(qiáng)數(shù)據(jù)主體的信心和信任，進(jìn)而平衡統(tǒng)計(jì)分析的靈活性和隱私保護(hù)的有效性之間的矛盾。

為此，聯(lián)合國(guó)設(shè)立了隱私增強(qiáng)技術(shù)實(shí)驗(yàn)室（UN PET Lab），希望通過(guò)實(shí)驗(yàn)評(píng)估、培訓(xùn)交流和支持服務(wù)三大功能，助力各國(guó)更好地了解和運(yùn)用隱私增強(qiáng)技術(shù)。

二、方法分類

指南重點(diǎn)介紹了七種隱私增強(qiáng)技術(shù)的技術(shù)概況、發(fā)展歷史、安全模型和使用成本等。一是多方安全計(jì)算（sMPC），是指允許對(duì)多方輸入的數(shù)據(jù)進(jìn)行聯(lián)合計(jì)算，每一參與方只能獲得正確計(jì)算結(jié)果，對(duì)其他參與方的輸入數(shù)據(jù)保密的輸入端技術(shù)。多方安全計(jì)算常見的技術(shù)選擇是混淆電路（Garbled Circuit）和線性秘密共享（linear secret sharing）。二是同態(tài)加密（HE），是指直接對(duì)加密數(shù)據(jù)進(jìn)行計(jì)算產(chǎn)生加密結(jié)果，由數(shù)據(jù)控制者自行解密的輸入端技術(shù)。同態(tài)加密可以應(yīng)用于將數(shù)據(jù)外包給不受信任的第三方處理者、不完全信任的計(jì)算環(huán)境等，實(shí)踐中往往應(yīng)用于醫(yī)療領(lǐng)域。三是差分隱私（DP），這是一種嚴(yán)格強(qiáng)調(diào)隨機(jī)性的輸出端隱私標(biāo)準(zhǔn)，旨在量化數(shù)據(jù)庫(kù)中單個(gè)記錄的最大信息量，防止因多次查詢后計(jì)算結(jié)果的微小改動(dòng)反向推導(dǎo)而導(dǎo)致的隱私泄露。四是合成數(shù)據(jù)，是指將敏感數(shù)據(jù)集轉(zhuǎn)換為具有相似統(tǒng)計(jì)學(xué)特征、但不透露個(gè)人信息的新數(shù)據(jù)集的輸出端隱私技術(shù)，可以運(yùn)用在需要共享敏感數(shù)據(jù)的領(lǐng)域。五是分布式學(xué)習(xí)，是指利用多個(gè)計(jì)算節(jié)點(diǎn)訓(xùn)練機(jī)器學(xué)習(xí)、深度學(xué)習(xí)模型的隱私協(xié)議，保證用戶數(shù)據(jù)永遠(yuǎn)不會(huì)離開設(shè)備，可以分為聯(lián)邦學(xué)習(xí)（FL）和拆分學(xué)習(xí)（SL）兩種。六是零知識(shí)證明（ZK），是指允許一方向另一方證明某項(xiàng)聲明的真實(shí)性，而無(wú)需提供作為前提的相關(guān)秘密信息。近年來(lái)，零知識(shí)證明被廣泛運(yùn)用于加密貨幣、身份驗(yàn)證的相關(guān)應(yīng)用程序。七是可信執(zhí)行環(huán)境（TEE）和安全飛地，是指與計(jì)算機(jī)主處理器和內(nèi)存隔離并進(jìn)行加密通信的數(shù)據(jù)處理環(huán)境，可以緩釋輸入隱私、代碼隱私、代碼驗(yàn)證風(fēng)險(xiǎn)。以上七種隱私增強(qiáng)技術(shù)，相關(guān)機(jī)構(gòu)可以根據(jù)實(shí)際需要選擇特定技術(shù)或者技術(shù)組合。

指南第三章詳細(xì)列舉了十八個(gè)涉及隱私增強(qiáng)技術(shù)的具體案例，涉及跨部門使用、多種技術(shù)組合、多國(guó)合作參與、公私部門協(xié)作等具體場(chǎng)景，涵蓋美國(guó)、加拿大、歐盟、英國(guó)、意大利、荷蘭、韓國(guó)、印度尼西亞等國(guó)家和地區(qū)。其中，十五個(gè)案例仍處于構(gòu)思或部署階段，另外三個(gè)已經(jīng)實(shí)際投入使用。

指南第四章概述了隱私增強(qiáng)技術(shù)的標(biāo)準(zhǔn)情況，包括關(guān)鍵技術(shù)標(biāo)準(zhǔn)和間接相關(guān)標(biāo)準(zhǔn)等。自《聯(lián)合國(guó)隱私保護(hù)技術(shù)手冊(cè)》出版以來(lái)，與隱私增強(qiáng)技術(shù)和人工智能相關(guān)的標(biāo)準(zhǔn)制定活動(dòng)顯著增加，尤其是在機(jī)器學(xué)習(xí)領(lǐng)域。與以往注重事后經(jīng)驗(yàn)積累不同，隱私增強(qiáng)技術(shù)的相關(guān)標(biāo)準(zhǔn)制定活動(dòng)越來(lái)越關(guān)注對(duì)“已知的已知”和“已知的未知”兩種潛在危害的事前防范，相關(guān)標(biāo)準(zhǔn)也更加關(guān)注精細(xì)的技術(shù)細(xì)節(jié)。

三、法律監(jiān)管

目前，世界主要國(guó)家和地區(qū)尚未出臺(tái)專門針對(duì)隱私增強(qiáng)技術(shù)的監(jiān)管政策，其技術(shù)特性也使得隱私增強(qiáng)技術(shù)難以納入到現(xiàn)有的規(guī)制框架。隨著政府、機(jī)構(gòu)和企業(yè)等對(duì)隱私增強(qiáng)技術(shù)的認(rèn)識(shí)不斷提高，對(duì)于隱私增強(qiáng)技術(shù)在不同應(yīng)用場(chǎng)景下的合規(guī)性確認(rèn)需求也愈發(fā)迫切。

指南提出了五大合規(guī)要點(diǎn)：一是強(qiáng)烈建議任何涉及到使用隱私增強(qiáng)技術(shù)進(jìn)行數(shù)據(jù)分析的項(xiàng)目都應(yīng)當(dāng)盡早咨詢法律專家，盡量在技術(shù)參數(shù)部署之前完成相應(yīng)的合規(guī)審查，否則會(huì)大大增加合規(guī)成本和違法風(fēng)險(xiǎn)。二是立法一般不會(huì)強(qiáng)制性使用隱私增強(qiáng)技術(shù)，但是隱私增強(qiáng)技術(shù)客觀上可以滿足法律對(duì)于“數(shù)據(jù)最小化”“數(shù)據(jù)保護(hù)設(shè)計(jì)”“默認(rèn)數(shù)據(jù)保護(hù)”等要求，特定監(jiān)管機(jī)構(gòu)可能會(huì)針對(duì)某些特殊場(chǎng)景推薦或要求使用特定的隱私增強(qiáng)技術(shù)。三是隱私增強(qiáng)技術(shù)的使用必須要與現(xiàn)行法律、政策和社會(huì)文化規(guī)范相協(xié)調(diào)一致，以負(fù)責(zé)任的態(tài)度開辟新的發(fā)展機(jī)遇。四是涉及到使用來(lái)自兩個(gè)及兩個(gè)以上司法管轄區(qū)的數(shù)據(jù)集會(huì)使情況變得更加復(fù)雜，應(yīng)當(dāng)充分考慮跨境數(shù)據(jù)規(guī)制等要求。五是不同法系和司法管轄區(qū)對(duì)于同一隱私增強(qiáng)技術(shù)在特定場(chǎng)景下的使用是否適當(dāng)可能會(huì)做出不同判斷，希望立法者及時(shí)發(fā)布隱私增強(qiáng)技術(shù)適用的案例指導(dǎo)。

具體舉例而言，美國(guó)《加州消費(fèi)者隱私法》（CCPA）適用于企業(yè)和服務(wù)提供商，但可能不適用于政府部門和非盈利機(jī)構(gòu)等；而歐洲《通用數(shù)據(jù)保護(hù)條例》（GDPR）項(xiàng)下的數(shù)據(jù)保護(hù)責(zé)任適用于數(shù)據(jù)控制者和處理者，包括政府部門和非盈利機(jī)構(gòu)。根據(jù)GDPR，出于歷史研究或統(tǒng)計(jì)目的等對(duì)個(gè)人數(shù)據(jù)進(jìn)行的某些處理可能會(huì)被豁免或受到相對(duì)寬松的監(jiān)管，具體細(xì)節(jié)取決于歐洲經(jīng)濟(jì)區(qū)（EEA）具體國(guó)家和地區(qū)的法律要求。荷蘭《統(tǒng)計(jì)法》明確禁止公開發(fā)表用于統(tǒng)計(jì)學(xué)目的的個(gè)人、家庭及組織數(shù)據(jù)，涉及到公司或組織數(shù)據(jù)，有正當(dāng)充分理由認(rèn)定公司或組織對(duì)此無(wú)異議的可以發(fā)布。英國(guó)信息專員辦公室（ICO）一直在就隱私增強(qiáng)技術(shù)開展咨詢，并發(fā)布了《匿名化、假名化和隱私增強(qiáng)技術(shù)指南》。歐洲對(duì)于隱私增強(qiáng)技術(shù)的更多監(jiān)管動(dòng)向還應(yīng)當(dāng)關(guān)注《歐洲數(shù)據(jù)戰(zhàn)略》《數(shù)據(jù)治理法》《數(shù)字服務(wù)法》《數(shù)字市場(chǎng)法》和《人工智能法案》等法律文件。

在具體操作流程方面，指南建議了四步流程法。一是列出參與數(shù)據(jù)處理、技術(shù)開發(fā)等任一環(huán)節(jié)的所有參與者。從法律角度，隱私增強(qiáng)技術(shù)的主要參與者有五類，分別是立法者、監(jiān)管機(jī)構(gòu)、受保護(hù)客體、義務(wù)主體、隱私增強(qiáng)技術(shù)生產(chǎn)商或供應(yīng)商。二是確認(rèn)每個(gè)參與者適用的法律范圍，包括法律施加的確認(rèn)性要求和禁止性規(guī)范。明確隱私增強(qiáng)技術(shù)的法律監(jiān)管環(huán)境非常重要，對(duì)于數(shù)據(jù)安全、最小化、公平性、準(zhǔn)確性、問責(zé)制等方面的要求可能同時(shí)并行于多部法律規(guī)范。此外，還要考慮數(shù)據(jù)處理者如何影響隱私增強(qiáng)技術(shù)參與者對(duì)數(shù)據(jù)的使用，例如限制向其他參與者披露派生數(shù)據(jù)產(chǎn)品。隱私增強(qiáng)技術(shù)在超出數(shù)據(jù)處理、使用、披露限制以外對(duì)數(shù)據(jù)主體產(chǎn)生的影響也應(yīng)當(dāng)關(guān)注，例如對(duì)某些數(shù)據(jù)集的長(zhǎng)期訪問可能是保證準(zhǔn)確性和可問責(zé)性的需要，但會(huì)因?qū)?shù)據(jù)主體的保護(hù)要求而被禁止。三是分析隱私增強(qiáng)技術(shù)部署與相關(guān)法律要求的一致性，指南指出類似于“隱私增強(qiáng)技術(shù)是否合法”的問題并非有效提問，因?yàn)閹缀鯖]有法律會(huì)對(duì)該問題給出是或者否的準(zhǔn)確答案，這是基于對(duì)隱私增強(qiáng)技術(shù)的不了解或者是奉行技術(shù)中立原則的法律設(shè)計(jì)，保證法律在保持穩(wěn)定性、相關(guān)性、靈活性的基礎(chǔ)上適應(yīng)現(xiàn)代技術(shù)快速發(fā)展的需要。四是上述相關(guān)問題在數(shù)據(jù)的全生命周期都要納入考量和重新審視。在構(gòu)思設(shè)想和需求建立階段，盡早引入法律專家以充分識(shí)別法律風(fēng)險(xiǎn)很有必要，包括對(duì)功能性需要和非功能性需要的法律建議；在設(shè)計(jì)研發(fā)階段，數(shù)據(jù)的規(guī)劃采集涉及到劃定主要數(shù)據(jù)和輔助數(shù)據(jù)的范圍，需要考慮到不同司法管轄區(qū)下對(duì)數(shù)據(jù)安全和隱私保護(hù)的具體監(jiān)管要求，例如特定目的、從第三方獲取數(shù)據(jù)、跨境數(shù)據(jù)流動(dòng)等；在模型構(gòu)建階段，經(jīng)處理后的人工數(shù)據(jù)、合成數(shù)據(jù)或真實(shí)數(shù)據(jù)被用于集中式或分布式構(gòu)建模型和測(cè)試模型。由于合成數(shù)據(jù)通常來(lái)源于處理后的真實(shí)數(shù)據(jù)，難免涉及到隱私保護(hù)、偏差引入、異常值修正等問題；在模型部署階段，經(jīng)過(guò)測(cè)試的模型正式開始處理真實(shí)的實(shí)時(shí)數(shù)據(jù)，發(fā)揮功能性效用，輸出決策結(jié)果；在操作監(jiān)控階段，隱私增強(qiáng)技術(shù)模型收集、處理、分析并輸出數(shù)據(jù)，流程中還包括不間斷的身份認(rèn)證、合規(guī)評(píng)估、偏差修正、結(jié)果確認(rèn)等監(jiān)控功能；在模型退役階段，數(shù)據(jù)需要經(jīng)處理以滿足安全刪除、存檔或重新利用的相關(guān)要求，要充分考量法律在數(shù)據(jù)安全和隱私保護(hù)方面的合規(guī)要求，尤其要防止未經(jīng)授權(quán)的反向數(shù)據(jù)解析，及時(shí)采取適當(dāng)措施解決去識(shí)別化的安全風(fēng)險(xiǎn)。

聲明：本文來(lái)自CAICT互聯(lián)網(wǎng)法律研究中心，版權(quán)歸作者所有。