2023隱私計(jì)算合規(guī)白皮書

隱私計(jì)算合規(guī)白皮書（2023）目 錄一隱私計(jì)算合規(guī)意義 1(一)隱私計(jì)算有助于升數(shù)據(jù)合規(guī) 1(二)隱私計(jì)算應(yīng)用的見(jiàn)誤區(qū) 8二參與主體其法律關(guān)系 10(一)參與主體的定義主要職能 10(二)參與方的法律定性 12三隱私計(jì)算法律和合要點(diǎn) 14(一)明確數(shù)據(jù)處理的法性基礎(chǔ) 14(二)事先評(píng)估全流程險(xiǎn) 15(三)參與方管理 17(四)數(shù)據(jù)源合規(guī) 19(五)關(guān)注技術(shù)方案的全性 20(六)明確計(jì)算模型的屬 21(七)關(guān)注產(chǎn)出結(jié)果的規(guī)性 22(八)關(guān)注自動(dòng)化決策風(fēng)險(xiǎn) 23(九)日志審計(jì)和監(jiān)督制 23四隱私計(jì)算應(yīng)用實(shí)例果評(píng)估 25(一)廣告營(yíng)銷場(chǎng)景 25(二)個(gè)人融資風(fēng)控場(chǎng)景 27(三)小微企業(yè)信貸風(fēng)場(chǎng)景 29(四)金融穿透式監(jiān)管30(五)人臉識(shí)別場(chǎng)景 32五隱私計(jì)算規(guī)發(fā)展的望 35(一)鼓勵(lì)創(chuàng)新，留足間 35(二)以點(diǎn)帶面，逐步入 36(三)多方參與，各盡能 36(四)層級(jí)分明，分類管 37PAGEPAGE10第一章隱私計(jì)算的合規(guī)意義2021絡(luò)合規(guī)的基本法律架構(gòu)已初步搭建完成。在此基礎(chǔ)上，關(guān)注重點(diǎn)行業(yè)、新的合(一) 隱私計(jì)算有助于提升數(shù)據(jù)合規(guī)全權(quán)以在不轉(zhuǎn)移或泄露原始數(shù)據(jù)的前提下，實(shí)現(xiàn)數(shù)據(jù)融合“可用不可見(jiàn)”的效果，為數(shù)據(jù)要素的融合流通提供了一種可能的合規(guī)“技術(shù)解”。隱私計(jì)算有助于履行安全保障義務(wù)隱私計(jì)算可被理解為是一種加強(qiáng)數(shù)據(jù)安全的技術(shù)措施網(wǎng)絡(luò)安全法第四十二條向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，網(wǎng)絡(luò)安全法第四十二條向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，數(shù)據(jù)安全法第二十七條度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。個(gè)人信息保護(hù)法第五十一條個(gè)人信息處理者應(yīng)當(dāng)（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對(duì)個(gè)人信息實(shí)行分類管理；（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；（四訓(xùn)；（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施。第六十九條處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。表1：數(shù)據(jù)安全義務(wù)相關(guān)法律條款隱私計(jì)算有助于防止數(shù)據(jù)濫用《個(gè)人信息保護(hù)法》確立了個(gè)人信息處理的“最小必要”原則，據(jù)的后續(xù)失控流轉(zhuǎn)追責(zé)。隱私計(jì)算有助于實(shí)現(xiàn)一定條件下的匿名化（等）的相對(duì)匿名化。換言之，當(dāng)一種技術(shù)方案能夠?qū)崿F(xiàn)還原部分原隱私計(jì)算技術(shù)可作為匿名化技術(shù)方案的一個(gè)組成部分或還原個(gè)人信息的高危行為進(jìn)行攔截，可以實(shí)現(xiàn)數(shù)據(jù)計(jì)算過(guò)程中的隱私計(jì)算有助于減輕授權(quán)同意的合規(guī)隱患包含隱私計(jì)算的技術(shù)方案有助于降低參與方在數(shù)據(jù)融通中的授權(quán)同意壓力，兩種技術(shù)方案的授權(quán)同意模式如圖1所示。1兩種技術(shù)方案授權(quán)同意的差異主體沒(méi)有權(quán)利瑕疵的授權(quán)同意，或在獲取數(shù)據(jù)后對(duì)數(shù)據(jù)進(jìn)行的脫敏、流通過(guò)程中由授權(quán)引發(fā)的法律風(fēng)險(xiǎn)和成本支出。意與去標(biāo)識(shí)化/匿名化的技術(shù)方案加以有機(jī)融合，在數(shù)據(jù)流通的全流程綜合降低合規(guī)風(fēng)險(xiǎn)。授權(quán)同意涉及的主要法律條款如表2所示：網(wǎng)絡(luò)安全法第四十二條之一向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。民法典第一千零三十八條之一向他人非法提供其個(gè)人信息，但是經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除個(gè)人信息保護(hù)法第四條個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。2我國(guó)授權(quán)同意相關(guān)法律條款隱私計(jì)算有助于開(kāi)發(fā)數(shù)據(jù)的使用價(jià)值價(jià)值。在當(dāng)下數(shù)據(jù)權(quán)屬問(wèn)題較難明確的前提下，通過(guò)“可用不可見(jiàn)”易提供技術(shù)基礎(chǔ)。對(duì)此，歐洲已有實(shí)踐先例。2015年，愛(ài)沙尼亞應(yīng)用研究中心（CentAR）對(duì)大學(xué)期間工作與未能按時(shí)畢業(yè)之間的關(guān)聯(lián)性進(jìn)行研究。CentARMPC數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)和分析,并使最終輸出的統(tǒng)計(jì)數(shù)據(jù)不包含個(gè)人信息。愛(ài)沙尼亞數(shù)據(jù)保護(hù)機(jī)構(gòu)判斷在該案例中，CentAR(二)隱私計(jì)算應(yīng)用的常見(jiàn)誤區(qū)由于數(shù)據(jù)安全保護(hù)義務(wù)與數(shù)據(jù)處理使用的具體規(guī)則仍有待進(jìn)一也是避免濫用數(shù)據(jù)、規(guī)避合規(guī)風(fēng)險(xiǎn)的應(yīng)有之義。使用隱私計(jì)算即可實(shí)現(xiàn)個(gè)人數(shù)據(jù)的匿名化如果隱私計(jì)算的參與方未獲得其他方的原始數(shù)據(jù)，即無(wú)需獲得個(gè)人的授權(quán)同意的實(shí)際處理控制在用戶授權(quán)的范圍內(nèi)。于處理個(gè)人數(shù)據(jù)于無(wú)法絕對(duì)豁免合規(guī)要求，需要參與方根據(jù)具體應(yīng)用場(chǎng)景、技術(shù)方案、第二章參與主體及其法律關(guān)系(一) 參與主體的定義和主要職能數(shù)據(jù)提供方是負(fù)責(zé)提供模型訓(xùn)練數(shù)據(jù)或隱私計(jì)算實(shí)際運(yùn)算數(shù)據(jù)授權(quán)，向其他參與方告知數(shù)據(jù)使用的方式，對(duì)數(shù)據(jù)源的質(zhì)量、合規(guī)、技術(shù)提供方是負(fù)責(zé)提供隱私計(jì)算所使用的平臺(tái)設(shè)施、技術(shù)方案、管理方案的主體，可根據(jù)參與方所承擔(dān)的具體職能被分為計(jì)算方、調(diào)度方、算法提供方和平臺(tái)提供方等主體。其中計(jì)算方負(fù)責(zé)提供算力支持，依照約定的計(jì)算方法接受數(shù)據(jù)提供方的輸入因子并進(jìn)行計(jì)算，并調(diào)度方負(fù)責(zé)配置計(jì)算任算法提供方負(fù)責(zé)提供計(jì)算邏輯平臺(tái)提供方結(jié)果使用方第三方機(jī)構(gòu)2隱私計(jì)算參與方之間的關(guān)系在實(shí)際應(yīng)用中，數(shù)據(jù)提供方、技術(shù)提供方和結(jié)果使用方三者可能ABBAABA(二)參與方的法律定性個(gè)人信息處理者在于是否能夠自主決定個(gè)人信息的處理目的和處理方式。通常而言，當(dāng)數(shù)據(jù)提供方和結(jié)果使用方可以對(duì)隱私計(jì)算過(guò)程中個(gè)人信息的處理獨(dú)立施加影響時(shí)，兩方均為個(gè)人信息處理者。委托人與受托人程等承擔(dān)相應(yīng)的選任、監(jiān)督責(zé)任。第三章隱私計(jì)算的法律和合規(guī)要點(diǎn)3隱私計(jì)算法律與合規(guī)關(guān)注要點(diǎn)(一) 明確數(shù)據(jù)處理的合法性基礎(chǔ)用戶授權(quán)鏈條的完整性隱私計(jì)算的參與方可以結(jié)合具體業(yè)務(wù)場(chǎng)景選擇最為適合的數(shù)據(jù)處理合法性基礎(chǔ)。(二)事先評(píng)估全流程風(fēng)險(xiǎn)。是否會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生重大影響等事項(xiàng)進(jìn)行事前的個(gè)人信息安全影法、正當(dāng)和必要;對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);保護(hù)措施是否合法、有效及與風(fēng)險(xiǎn)程度相適應(yīng)等等。參與方需要?jiǎng)討B(tài)評(píng)估數(shù)據(jù)的使用場(chǎng)景是否始終符合用戶的授權(quán)和參與方的約定使參與方接觸的數(shù)據(jù)是數(shù)據(jù)模型、切片數(shù)據(jù)、加密數(shù)據(jù)等衍生數(shù)據(jù)，級(jí)別等因素選擇相適應(yīng)的技術(shù)隱私計(jì)算的參與方需要在保證安全模型完備性的前提下對(duì)每個(gè)節(jié)點(diǎn)的安全性進(jìn)行考量數(shù)據(jù)處理的過(guò)程也應(yīng)當(dāng)注重?cái)?shù)據(jù)安全保護(hù)者通過(guò)逆向?qū)W習(xí)等方式獲得原始數(shù)據(jù)。保數(shù)據(jù)和模型的存儲(chǔ)安全(三) 參與方管理參與方需要在應(yīng)用隱私計(jì)算前通過(guò)協(xié)議的方式明確參與備處理特定類型數(shù)據(jù)必要的資質(zhì)等等。確認(rèn)責(zé)任義務(wù)劃分是否明確合理明確對(duì)技術(shù)提供方的具體要求對(duì)合作方進(jìn)行必要的風(fēng)險(xiǎn)提示項(xiàng)目流程管理是合作方合規(guī)管理的重要組成部分實(shí)到業(yè)務(wù)流程中。引入第三方機(jī)構(gòu)(四) 數(shù)據(jù)源合規(guī)數(shù)據(jù)合作各方應(yīng)當(dāng)各自核。的數(shù)據(jù)來(lái)源包括直接數(shù)據(jù)源（例如移動(dòng)終端、APP、小程序、互聯(lián)網(wǎng)網(wǎng)站、物聯(lián)網(wǎng)設(shè)備、營(yíng)業(yè)廳等；間接數(shù)據(jù)源（例如向提供方采購(gòu)、與參與方共享的數(shù)據(jù)等；公共場(chǎng)所采集（例如人臉識(shí)別、步態(tài)識(shí)別等個(gè)人身份識(shí)別采集等。對(duì)直接數(shù)據(jù)源而言，最主要的合規(guī)關(guān)鍵點(diǎn)在于獲取個(gè)人信息主體對(duì)間接數(shù)據(jù)源征得個(gè)人信息主體的明示同意等等。據(jù)的處理收集，如：民族或者種族背景、政治立場(chǎng)、宗教哲學(xué)信仰、(五)關(guān)注技術(shù)方案的安全性參與方需要對(duì)隱私計(jì)算技術(shù)方案的建模預(yù)處理及運(yùn)算過(guò)程進(jìn)行充分的安全性評(píng)估。以聯(lián)邦學(xué)習(xí)建模的場(chǎng)景為例，其主要流程包括樣應(yīng)當(dāng)保證各方均不能通過(guò)過(guò)程數(shù)據(jù)反推出除共有樣本外的其他原始參與方需要對(duì)隱私計(jì)算平臺(tái)中涉及敏感數(shù)據(jù)處理的關(guān)鍵代碼進(jìn)行審計(jì)（即數(shù)據(jù)的使用方式和目的(六) 明確計(jì)算模型的歸屬計(jì)算模型一般是指由特定訓(xùn)練數(shù)據(jù)使用特定的算法和參數(shù)訓(xùn)練規(guī)模擴(kuò)大后因后續(xù)爭(zhēng)議影響計(jì)算模型的使用。在模型的知識(shí)產(chǎn)權(quán)方面在模型的使用權(quán)限方面可使用（即僅允許模型購(gòu)買方使用該模型；排他使用許可（即僅允許本方以及模型購(gòu)買方使用該模型；普通使用許可（允許本方以及(七) 關(guān)注產(chǎn)出結(jié)果的合規(guī)性例如在醫(yī)療機(jī)構(gòu)就某種疾病進(jìn)行聯(lián)合建模的場(chǎng)景，ID，則有可能泄露患者本ID，從而實(shí)現(xiàn)輸出結(jié)果階段的隱私保護(hù)。參與方應(yīng)對(duì)輸出模型和結(jié)果數(shù)據(jù)的使用進(jìn)行明確的約定IP進(jìn)而減輕結(jié)果使用方可能為其他參與方帶來(lái)的合規(guī)隱患。的進(jìn)一步探討。(八) 關(guān)注自動(dòng)化決策的風(fēng)險(xiǎn)隱私計(jì)算的參與方須根據(jù)具體場(chǎng)景的要求考慮決策的透明度披露和結(jié)果的公平公正，不得導(dǎo)致會(huì)對(duì)個(gè)人實(shí)行不合理的差別待遇。此外，當(dāng)結(jié)果使用方需要通過(guò)自動(dòng)化決策向個(gè)人進(jìn)行信息推送、(九) 日志審計(jì)和監(jiān)督機(jī)制為提升參與并考慮構(gòu)建隱私計(jì)算技術(shù)應(yīng)用效果的評(píng)估機(jī)制。第四章隱私計(jì)算的應(yīng)用實(shí)例效果評(píng)估隱私計(jì)算在平衡數(shù)據(jù)流通過(guò)程中的監(jiān)管合規(guī)和安全保護(hù)中發(fā)揮行業(yè)的隱私計(jì)算應(yīng)用逐漸落地開(kāi)花。(一) 廣告營(yíng)銷場(chǎng)景44廣告營(yíng)銷場(chǎng)景隱私計(jì)算數(shù)據(jù)流轉(zhuǎn)示意圖ID（例如不會(huì)未經(jīng)授權(quán)的查看、復(fù)制或轉(zhuǎn)移數(shù)據(jù)，在服務(wù)結(jié)束后還需要求技術(shù)提供方刪除留存的數(shù)據(jù)。對(duì)技術(shù)提供方而言IDID(二) 個(gè)人融資風(fēng)控場(chǎng)景金融電信數(shù)據(jù)融合應(yīng)用于反欺詐是金融風(fēng)控的主要場(chǎng)景之一，在及運(yùn)營(yíng)商側(cè)通過(guò)主流圖數(shù)據(jù)庫(kù)以拓?fù)浣Y(jié)構(gòu)圖數(shù)據(jù)的形式保存用戶的5銀行賬戶轉(zhuǎn)賬記錄、運(yùn)營(yíng)商通話時(shí)長(zhǎng)、通話頻次等拓?fù)浣Y(jié)構(gòu)圖數(shù)據(jù)；計(jì)算層根據(jù)基礎(chǔ)層返回的數(shù)據(jù)提取結(jié)果進(jìn)行圖處理和安全圖計(jì)算；應(yīng)用層根據(jù)計(jì)算層返回的計(jì)算結(jié)果向用戶提供圖譜導(dǎo)入和密態(tài)圖譜查詢服務(wù)。5多方安全圖計(jì)算平臺(tái)技術(shù)架構(gòu)節(jié)點(diǎn)（即運(yùn)營(yíng)商用戶，并將中心節(jié)點(diǎn)與關(guān)聯(lián)節(jié)點(diǎn)以連線的方式刻畫出(三) 小微企業(yè)信貸風(fēng)控場(chǎng)景6圖6：多方安全計(jì)算訓(xùn)練流程進(jìn)行存證，對(duì)計(jì)算過(guò)程中的相關(guān)結(jié)果和信息進(jìn)行記錄。(四) 金融穿透式監(jiān)管場(chǎng)景套用于監(jiān)管報(bào)送的數(shù)據(jù)，僅通過(guò)監(jiān)管系統(tǒng)設(shè)置的內(nèi)部勾稽關(guān)系驗(yàn)證，那么監(jiān)管系統(tǒng)將很難在缺少資金流穿透等其他輔助手段的情況下發(fā)現(xiàn)此類違規(guī)行為，賬外交易的風(fēng)險(xiǎn)也同樣難以被有效監(jiān)測(cè)。流水核驗(yàn)需求比較簡(jiǎn)單，業(yè)務(wù)核驗(yàn)本身的實(shí)時(shí)性要求不高，設(shè)置為T+1T具體包括了各機(jī)構(gòu)上報(bào)的業(yè)務(wù)交易信息和銀行上報(bào)的資金流水信息，如業(yè)務(wù)類型、交易金額、交易當(dāng)事人身份證號(hào)碼或組織機(jī)構(gòu)代碼等，C2類個(gè)人金融信息，主管部門對(duì)其保密性要7交易銀行的業(yè)務(wù)交易流水?dāng)?shù)據(jù)均