2023隱私計算合規(guī)白皮書

隱私計算合規(guī)白皮書（2023）目 錄一隱私計算合規(guī)意義 1(一)隱私計算有助于升數(shù)據(jù)合規(guī) 1(二)隱私計算應用的見誤區(qū) 8二參與主體其法律關系 10(一)參與主體的定義主要職能 10(二)參與方的法律定性 12三隱私計算法律和合要點 14(一)明確數(shù)據(jù)處理的法性基礎 14(二)事先評估全流程險 15(三)參與方管理 17(四)數(shù)據(jù)源合規(guī) 19(五)關注技術方案的全性 20(六)明確計算模型的屬 21(七)關注產(chǎn)出結(jié)果的規(guī)性 22(八)關注自動化決策風險 23(九)日志審計和監(jiān)督制 23四隱私計算應用實例果評估 25(一)廣告營銷場景 25(二)個人融資風控場景 27(三)小微企業(yè)信貸風場景 29(四)金融穿透式監(jiān)管30(五)人臉識別場景 32五隱私計算規(guī)發(fā)展的望 35(一)鼓勵創(chuàng)新，留足間 35(二)以點帶面，逐步入 36(三)多方參與，各盡能 36(四)層級分明，分類管 37PAGEPAGE10第一章隱私計算的合規(guī)意義2021絡合規(guī)的基本法律架構已初步搭建完成。在此基礎上，關注重點行業(yè)、新的合(一) 隱私計算有助于提升數(shù)據(jù)合規(guī)全權以在不轉(zhuǎn)移或泄露原始數(shù)據(jù)的前提下，實現(xiàn)數(shù)據(jù)融合“可用不可見”的效果，為數(shù)據(jù)要素的融合流通提供了一種可能的合規(guī)“技術解”。隱私計算有助于履行安全保障義務隱私計算可被理解為是一種加強數(shù)據(jù)安全的技術措施網(wǎng)絡安全法第四十二條向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，網(wǎng)絡安全法第四十二條向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，數(shù)據(jù)安全法第二十七條度的基礎上，履行上述數(shù)據(jù)安全保護義務。個人信息保護法第五十一條個人信息處理者應當（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對個人信息實行分類管理；（三）采取相應的加密、去標識化等安全技術措施；（四訓；（五）制定并組織實施個人信息安全事件應急預案；（六）法律、行政法規(guī)規(guī)定的其他措施。第六十九條處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑?。?：數(shù)據(jù)安全義務相關法律條款隱私計算有助于防止數(shù)據(jù)濫用《個人信息保護法》確立了個人信息處理的“最小必要”原則，據(jù)的后續(xù)失控流轉(zhuǎn)追責。隱私計算有助于實現(xiàn)一定條件下的匿名化（等）的相對匿名化。換言之，當一種技術方案能夠?qū)崿F(xiàn)還原部分原隱私計算技術可作為匿名化技術方案的一個組成部分或還原個人信息的高危行為進行攔截，可以實現(xiàn)數(shù)據(jù)計算過程中的隱私計算有助于減輕授權同意的合規(guī)隱患包含隱私計算的技術方案有助于降低參與方在數(shù)據(jù)融通中的授權同意壓力，兩種技術方案的授權同意模式如圖1所示。1兩種技術方案授權同意的差異主體沒有權利瑕疵的授權同意，或在獲取數(shù)據(jù)后對數(shù)據(jù)進行的脫敏、流通過程中由授權引發(fā)的法律風險和成本支出。意與去標識化/匿名化的技術方案加以有機融合，在數(shù)據(jù)流通的全流程綜合降低合規(guī)風險。授權同意涉及的主要法律條款如表2所示：網(wǎng)絡安全法第四十二條之一向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。民法典第一千零三十八條之一向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復原的除個人信息保護法第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。2我國授權同意相關法律條款隱私計算有助于開發(fā)數(shù)據(jù)的使用價值價值。在當下數(shù)據(jù)權屬問題較難明確的前提下，通過“可用不可見”易提供技術基礎。對此，歐洲已有實踐先例。2015年，愛沙尼亞應用研究中心（CentAR）對大學期間工作與未能按時畢業(yè)之間的關聯(lián)性進行研究。CentARMPC數(shù)據(jù)庫中的數(shù)據(jù)進行關聯(lián)和分析,并使最終輸出的統(tǒng)計數(shù)據(jù)不包含個人信息。愛沙尼亞數(shù)據(jù)保護機構判斷在該案例中，CentAR(二)隱私計算應用的常見誤區(qū)由于數(shù)據(jù)安全保護義務與數(shù)據(jù)處理使用的具體規(guī)則仍有待進一也是避免濫用數(shù)據(jù)、規(guī)避合規(guī)風險的應有之義。使用隱私計算即可實現(xiàn)個人數(shù)據(jù)的匿名化如果隱私計算的參與方未獲得其他方的原始數(shù)據(jù)，即無需獲得個人的授權同意的實際處理控制在用戶授權的范圍內(nèi)。于處理個人數(shù)據(jù)于無法絕對豁免合規(guī)要求，需要參與方根據(jù)具體應用場景、技術方案、第二章參與主體及其法律關系(一) 參與主體的定義和主要職能數(shù)據(jù)提供方是負責提供模型訓練數(shù)據(jù)或隱私計算實際運算數(shù)據(jù)授權，向其他參與方告知數(shù)據(jù)使用的方式，對數(shù)據(jù)源的質(zhì)量、合規(guī)、技術提供方是負責提供隱私計算所使用的平臺設施、技術方案、管理方案的主體，可根據(jù)參與方所承擔的具體職能被分為計算方、調(diào)度方、算法提供方和平臺提供方等主體。其中計算方負責提供算力支持，依照約定的計算方法接受數(shù)據(jù)提供方的輸入因子并進行計算，并調(diào)度方負責配置計算任算法提供方負責提供計算邏輯平臺提供方結(jié)果使用方第三方機構2隱私計算參與方之間的關系在實際應用中，數(shù)據(jù)提供方、技術提供方和結(jié)果使用方三者可能ABBAABA(二)參與方的法律定性個人信息處理者在于是否能夠自主決定個人信息的處理目的和處理方式。通常而言，當數(shù)據(jù)提供方和結(jié)果使用方可以對隱私計算過程中個人信息的處理獨立施加影響時，兩方均為個人信息處理者。委托人與受托人程等承擔相應的選任、監(jiān)督責任。第三章隱私計算的法律和合規(guī)要點3隱私計算法律與合規(guī)關注要點(一) 明確數(shù)據(jù)處理的合法性基礎用戶授權鏈條的完整性隱私計算的參與方可以結(jié)合具體業(yè)務場景選擇最為適合的數(shù)據(jù)處理合法性基礎。(二)事先評估全流程風險。是否會對個人權益產(chǎn)生重大影響等事項進行事前的個人信息安全影法、正當和必要;對個人權益的影響及安全風險;保護措施是否合法、有效及與風險程度相適應等等。參與方需要動態(tài)評估數(shù)據(jù)的使用場景是否始終符合用戶的授權和參與方的約定使參與方接觸的數(shù)據(jù)是數(shù)據(jù)模型、切片數(shù)據(jù)、加密數(shù)據(jù)等衍生數(shù)據(jù)，級別等因素選擇相適應的技術隱私計算的參與方需要在保證安全模型完備性的前提下對每個節(jié)點的安全性進行考量數(shù)據(jù)處理的過程也應當注重數(shù)據(jù)安全保護者通過逆向?qū)W習等方式獲得原始數(shù)據(jù)。保數(shù)據(jù)和模型的存儲安全(三) 參與方管理參與方需要在應用隱私計算前通過協(xié)議的方式明確參與備處理特定類型數(shù)據(jù)必要的資質(zhì)等等。確認責任義務劃分是否明確合理明確對技術提供方的具體要求對合作方進行必要的風險提示項目流程管理是合作方合規(guī)管理的重要組成部分實到業(yè)務流程中。引入第三方機構(四) 數(shù)據(jù)源合規(guī)數(shù)據(jù)合作各方應當各自核。的數(shù)據(jù)來源包括直接數(shù)據(jù)源（例如移動終端、APP、小程序、互聯(lián)網(wǎng)網(wǎng)站、物聯(lián)網(wǎng)設備、營業(yè)廳等；間接數(shù)據(jù)源（例如向提供方采購、與參與方共享的數(shù)據(jù)等；公共場所采集（例如人臉識別、步態(tài)識別等個人身份識別采集等。對直接數(shù)據(jù)源而言，最主要的合規(guī)關鍵點在于獲取個人信息主體對間接數(shù)據(jù)源征得個人信息主體的明示同意等等。據(jù)的處理收集，如：民族或者種族背景、政治立場、宗教哲學信仰、(五)關注技術方案的安全性參與方需要對隱私計算技術方案的建模預處理及運算過程進行充分的安全性評估。以聯(lián)邦學習建模的場景為例，其主要流程包括樣應當保證各方均不能通過過程數(shù)據(jù)反推出除共有樣本外的其他原始參與方需要對隱私計算平臺中涉及敏感數(shù)據(jù)處理的關鍵代碼進行審計（即數(shù)據(jù)的使用方式和目的(六) 明確計算模型的歸屬計算模型一般是指由特定訓練數(shù)據(jù)使用特定的算法和參數(shù)訓練規(guī)模擴大后因后續(xù)爭議影響計算模型的使用。在模型的知識產(chǎn)權方面在模型的使用權限方面可使用（即僅允許模型購買方使用該模型；排他使用許可（即僅允許本方以及模型購買方使用該模型；普通使用許可（允許本方以及(七) 關注產(chǎn)出結(jié)果的合規(guī)性例如在醫(yī)療機構就某種疾病進行聯(lián)合建模的場景，ID，則有可能泄露患者本ID，從而實現(xiàn)輸出結(jié)果階段的隱私保護。參與方應對輸出模型和結(jié)果數(shù)據(jù)的使用進行明確的約定IP進而減輕結(jié)果使用方可能為其他參與方帶來的合規(guī)隱患。的進一步探討。(八) 關注自動化決策的風險隱私計算的參與方須根據(jù)具體場景的要求考慮決策的透明度披露和結(jié)果的公平公正，不得導致會對個人實行不合理的差別待遇。此外，當結(jié)果使用方需要通過自動化決策向個人進行信息推送、(九) 日志審計和監(jiān)督機制為提升參與并考慮構建隱私計算技術應用效果的評估機制。第四章隱私計算的應用實例效果評估隱私計算在平衡數(shù)據(jù)流通過程中的監(jiān)管合規(guī)和安全保護中發(fā)揮行業(yè)的隱私計算應用逐漸落地開花。(一) 廣告營銷場景44廣告營銷場景隱私計算數(shù)據(jù)流轉(zhuǎn)示意圖ID（例如不會未經(jīng)授權的查看、復制或轉(zhuǎn)移數(shù)據(jù)，在服務結(jié)束后還需要求技術提供方刪除留存的數(shù)據(jù)。對技術提供方而言IDID(二) 個人融資風控場景金融電信數(shù)據(jù)融合應用于反欺詐是金融風控的主要場景之一，在及運營商側(cè)通過主流圖數(shù)據(jù)庫以拓撲結(jié)構圖數(shù)據(jù)的形式保存用戶的5銀行賬戶轉(zhuǎn)賬記錄、運營商通話時長、通話頻次等拓撲結(jié)構圖數(shù)據(jù)；計算層根據(jù)基礎層返回的數(shù)據(jù)提取結(jié)果進行圖處理和安全圖計算；應用層根據(jù)計算層返回的計算結(jié)果向用戶提供圖譜導入和密態(tài)圖譜查詢服務。5多方安全圖計算平臺技術架構節(jié)點（即運營商用戶，并將中心節(jié)點與關聯(lián)節(jié)點以連線的方式刻畫出(三) 小微企業(yè)信貸風控場景6圖6：多方安全計算訓練流程進行存證，對計算過程中的相關結(jié)果和信息進行記錄。(四) 金融穿透式監(jiān)管場景套用于監(jiān)管報送的數(shù)據(jù)，僅通過監(jiān)管系統(tǒng)設置的內(nèi)部勾稽關系驗證，那么監(jiān)管系統(tǒng)將很難在缺少資金流穿透等其他輔助手段的情況下發(fā)現(xiàn)此類違規(guī)行為，賬外交易的風險也同樣難以被有效監(jiān)測。流水核驗需求比較簡單，業(yè)務核驗本身的實時性要求不高，設置為T+1T具體包括了各機構上報的業(yè)務交易信息和銀行上報的資金流水信息，如業(yè)務類型、交易金額、交易當事人身份證號碼或組織機構代碼等，C2類個人金融信息，主管部門對其保密性要7交易銀行的業(yè)務交易流水數(shù)據(jù)均