個人信息保護(hù)的制度建設(shè)與技術(shù)創(chuàng)新

在2021年10月18日舉行的中央政治局第三十四次集體學(xué)習(xí)中，習(xí)近平總書記指出，要完善數(shù)字經(jīng)濟(jì)治理體系，健全法律法規(guī)和政策制度，完善體制機(jī)制，提高我國數(shù)字經(jīng)濟(jì)治理體系和治理能力現(xiàn)代化水平。數(shù)字經(jīng)濟(jì)治理含義豐富，不僅包括宏觀層面的大科技公司(Bigtech)監(jiān)管、反壟斷、反不正當(dāng)競爭、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、數(shù)字稅、數(shù)據(jù)跨境流動等重要議題，也包括微觀層面的個人信息保護(hù)等。一、個人信息保護(hù)的制度建設(shè)我國高度重視個人信息保護(hù)的立法和相關(guān)制度建設(shè)。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行。其中，第三十七條要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估”，首次規(guī)定了個人信息和重要數(shù)據(jù)保護(hù)的安全評估制度。自2021年9月1日起施行的《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)規(guī)定，要建立健全數(shù)據(jù)交易管理制度，建立分類分級數(shù)據(jù)保護(hù)制度，形成集中、統(tǒng)一、權(quán)威的數(shù)據(jù)安全機(jī)制，建立數(shù)據(jù)安全應(yīng)急處理機(jī)制、數(shù)據(jù)安全審查制度、數(shù)據(jù)安全出口管制以及根據(jù)實際情況采取數(shù)據(jù)投資貿(mào)易反制措施等。同時，《數(shù)據(jù)安全法》還規(guī)定，要明確數(shù)據(jù)安全保護(hù)義務(wù)，落實數(shù)據(jù)保護(hù)責(zé)任。任何組織、個人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。這是我國實施數(shù)據(jù)安全監(jiān)督和管理的基礎(chǔ)法律，為規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益奠定了堅實的法律基礎(chǔ)。自2021年11月1日起施行的《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)則對個人信息處理活動進(jìn)行了明確而詳細(xì)的規(guī)定，充分保障數(shù)據(jù)主體的知情同意權(quán)、持續(xù)控制權(quán)、拒絕權(quán)、可攜權(quán)、更正權(quán)、刪除權(quán)等權(quán)利。例如，在知情同意權(quán)方面，要求處理個人信息應(yīng)當(dāng)取得個人同意，且個人有權(quán)撤回其同意。在持續(xù)控制權(quán)方面，規(guī)定個人信息處理者若轉(zhuǎn)移個人信息，應(yīng)當(dāng)向個人告知，接收方應(yīng)當(dāng)繼續(xù)履行個人信息處理者的義務(wù)。拒絕權(quán)方面，通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。在可攜權(quán)方面，規(guī)定當(dāng)個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。在更正權(quán)方面，若個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的，有權(quán)請求個人信息處理者更正、補(bǔ)充。在刪除權(quán)方面，要求個人信息處理者有規(guī)定情形的應(yīng)當(dāng)主動刪除個人信息，個人信息處理者未刪除的，個人有權(quán)請求刪除。上述三部“大”法連同《中華人民共和國民法典》《中華人民共和國密碼法》等其他相關(guān)法律相輔相成，共同構(gòu)成了我國個人信息保護(hù)的法律保障體系。二、個人信息保護(hù)的技術(shù)手段工欲善其事，必先利其器。個人信息保護(hù)除了制度建設(shè)，還需要技術(shù)手段予以支撐和保障。從各國對個人信息的定義來看，可識別性是界定個人信息的關(guān)鍵標(biāo)準(zhǔn)。我國亦是如此。《個人信息保護(hù)法》第四條規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。所謂的匿名化是指一種使個人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體的對個人數(shù)據(jù)的處理方式。因此，除了制度建設(shè)，各種脫敏和匿名化創(chuàng)新技術(shù)也是個人信息保護(hù)的利器，在金融行業(yè)廣為應(yīng)用。比如支付標(biāo)記化技術(shù)(PaymentTokenization)。支付標(biāo)記化技術(shù)是國際芯片卡標(biāo)準(zhǔn)化組織EMVCo發(fā)布的一項通過支付標(biāo)記代替銀行卡號進(jìn)行交易驗證的技術(shù)，可有效避免銀行卡號信息被泄露。支付標(biāo)記化使用一個唯一的數(shù)值來取代銀行卡的主賬號，同時確保該數(shù)值被限定在一個特定的商戶、渠道或設(shè)備中使用。其主要優(yōu)勢有：無須留存敏感信息，在交易中不出現(xiàn)持卡人卡號與卡片有效期;僅可在限定交易場景使用，支付更安全；不僅可防范交易各環(huán)節(jié)的持卡人敏感信息泄露風(fēng)險，還降低了欺詐交易的發(fā)生概率。中國銀聯(lián)和蘋果公司在2016年合作推出的移動支付方案“蘋果支付”(ApplePay)就采用了支付標(biāo)記化技術(shù)，有效規(guī)避了敏感信息泄露的風(fēng)險。再比如區(qū)塊鏈技術(shù)。支付標(biāo)記化技術(shù)將個人數(shù)據(jù)的匿名化交由可信第三方負(fù)責(zé)，而區(qū)塊鏈技術(shù)則開拓了用戶完全自主可控的個人信息保護(hù)新思路。用戶的私鑰可以在本地生成，通過公鑰計算發(fā)布有效的賬戶地址，從而阻斷賬戶地址和賬戶持有人真實身份的關(guān)聯(lián)。通過控制私鑰，用戶可以在區(qū)塊鏈上自主完成交易，雖然在區(qū)塊鏈網(wǎng)絡(luò)上能夠看到每一筆交易的細(xì)節(jié)，但并不能與現(xiàn)實世界中的某個具體人相對應(yīng)。區(qū)塊鏈技術(shù)從根本上解決了中心化模式下數(shù)據(jù)控制者對數(shù)據(jù)的壟斷問題，使用戶擁有了真正的個人信息保護(hù)自主權(quán)，值得各方深入研究。此外，還有其他各種數(shù)據(jù)“可用而不可見”創(chuàng)新技術(shù)。聯(lián)邦學(xué)習(xí)技術(shù)就是一種加密的分布式機(jī)器學(xué)習(xí)技術(shù)，參與各方可以在不披露底層數(shù)據(jù)的前提下共建模型，從而實現(xiàn)各機(jī)構(gòu)自有數(shù)據(jù)不出本地，通過加密機(jī)制下的參數(shù)交換方式使各機(jī)構(gòu)在不交換數(shù)據(jù)的情況下進(jìn)行協(xié)作，提升機(jī)器學(xué)習(xí)的效果。聯(lián)邦學(xué)習(xí)可以充分保障信息安全，有望成為下一代人工智能協(xié)同算法和協(xié)作網(wǎng)絡(luò)的基礎(chǔ)。當(dāng)前，我國個人信息保護(hù)的“四梁八柱