《中國金融》｜隱私技術與個人信息保護

導讀：通過隱私技術對數據進行匿名化處理，應依法采取充分的業務合規措施并進行必要評估，從而兼顧個人信息保護與促進金融數據資源盤活

作者｜中國銀聯隱私技術法律研究課題組「課題組成員：鄭曉琴  楊燕明  呂伊蒙  歐陽琛  何東杰  鄭建賓  劉紅寶  金靈」

文章｜《中國金融》2021年第20期

所謂隱私技術，是一種在不泄露原始數據的前提下對數據進行分析計算的信息技術，它能夠保障數據在流通與融合的過程中實現“可用不可見”，從而為數據流通與融合業務提供新的發展路徑。我國頒布《個人信息保護法》，從專門法角度完善了個人信息保護框架，將金融賬戶信息明確列入敏感個人信息，提出了更為嚴格的處理要求，結合現有的個人金融信息細化監管規定，強化了對金融領域信息保護的合規要求。本文旨在從《個人信息保護法》視角，厘清隱私技術應用與個人信息保護和金融數據資源盤活的關系，并結合國際上隱私技術的立法與實踐提出相關建議。

個人信息保護與數據利用面臨的突出問題

個人信息保護與金融數據資源盤活尚未很好協調。2015年9月國務院頒布的《促進大數據發展行動綱要》指出，大數據是以容量大、類型多、存取速度快、應用價值高為主要特征的數據集合，大數據技術應用就是對數量巨大、來源分散、格式多樣的數據進行采集、存儲和關聯分析。在數字經濟時代，以人工智能為代表的新興科技發展很大程度上取決于數據、算法以及算力三大要素的支撐。只有通過海量數據(603138,股吧)訓練算法，利用人工智能對海量數據進行收集、加工處理形成價值密度極高的衍生數據，才能形成數據價值鏈。由于大數據的性質有異于一般性數據，適用于大數據的處理規則亦應與一般數據處理規則存在差異，而隱私技術恰恰契合大數據的特征，有助于挖掘和發揮大數據的價值。目前，我國通過《民法典》《個人信息保護法》《網絡安全法》《數據安全法》等法律法規，構建了一般數據中個人信息的保護規則體系和個人信息主體權利體系，同時確立了知情同意、最小必要為主的個人信息處理基本原則，意在保障用戶對個人信息權利的充分行使。但若依據以上規則處理個人信息，目前能合規地被收集進入隱私計算等大數據分析和應用環節的個人信息極其有限，而且收集相關個人信息的合規成本將因為需要逐一獲取個人同意等因素變得十分高昂，這在客觀上為隱私技術等必要的大數據處理帶來合規性困擾。

個人信息匿名化的法律界定相對模糊。針對無法獲取用戶授權的個人信息處理問題，《個人信息保護法》在規則層面提供了一定的例外路徑，如處理匿名化信息無需獲取個人信息主體的同意。同時，《個人信息保護法》也強調匿名化信息需具備絕對匿名化的特征，即如果任何主體采用可能的技術，使得匿名化后的信息與其他任何數據結合后可以識別到個人信息主體，那么該信息就不屬于被匿名化的信息。

但實際上，技術層面絕對的匿名化難以實現。若將匿名化數據提供至持有足夠特征值樣本的主體，且不對識別技術及成本等判斷維度進行限定，理論上始終能夠通過特征值匹配回溯至特定個人。因此，匿名化雖使得信息安全程度最大化，但也剝離了信息自身的使用價值，使得數據合理利用與個人信息保護之間出現沖突。因此，厘定匿名化的界限對隱私技術的合規應用尤為關鍵。

個人信息權益受影響程度不一致。《個人信息保護法》明確規定，個人信息的處理需要滿足最小必要原則并具備合法基礎。在立法層面制定限制個人信息處理的規則，目的在于保障用戶對其個人信息的自主掌控，以避免用戶的合法權益受到侵害。至于用戶本身能否感知到個人信息的處理，相關個人信息處理行為對用戶權益的影響可能不同。對于可感知的情形，如將數據分析結果直接轉化為對用戶的個性化推送，不論作用于個人的效果如何，均直接涉及對《個人信息保護法》所保護的個人人格權等方面的影響，應當嚴格基于個人信息保護的相關規則進行信息處理。而對于不可感知的情形，如將數據分析結果作為群體情況的代表，不會直接對相關個人產生個性化的影響，本質上不會直接侵犯前述個人信息保護的主要法定權益，也不會對具體用戶的安寧權、隱私權等人格權產生影響；但如果將可感知及不可感知的情形均采用相同的信息處理規則，則可能會對部分金融數據資源盤活及數據孤島的解決造成阻礙。為此，在充分保障個人信息主體權益的基礎上，就數據處理活動進行區別對待具有重要意義，如對不可感知的情形可以重點考慮給予用戶事后救濟的途徑。

個人信息授權機制缺乏靈活性。從隱私技術的各種形態來看，該技術在運行過程中可能涉及對用戶ID、用戶標簽、計算梯度等類型信息的處理。根據《個人信息保護法》規定，以上信息與其他信息通常會被納入個人信息范疇，則使用隱私技術過程中涉及對前述要素信息的處理均需要按照規定向用戶告知收集、處理其個人信息的具體情況并征得用戶同意。

同時，根據現有監管要求，在授權機制下，收集個人信息的環節至少需要向用戶告知后續對其個人信息的處理目的、方式及個人信息種類等；而在隱私技術應用場景下，個人信息收集階段很難預判對具體個人的信息處理將應用何種技術措施，導致難以事先就隱私技術應用獲取用戶授權，一旦進入隱私技術處理環節則可能涉及個人信息處理方式的變更而需要另行獲取授權。此外，在個人信息進入算法模型后，普通人對于其個人信息在算法模型中的處理原理、邏輯、技術路徑不可能完全理解，如此作出的授權并不能代表信息主體的真實意志且無法保證數據利用不會對授權主體權益造成不當侵害。

個人信息保護和隱私技術應用監管的國際實踐

2021年，歐盟網絡安全局（ENISA）發布《據保護和隱私方面的網絡安全措施的技術分析》，在第三章討論了“安全的多方計算和秘密共享計劃”，將多方安全計算確定為復雜數據共享場景的高級技術解決方案。同時，歐盟細化了匿名化判斷標準，要求在判斷是否達到匿名化效果時，考量破解該技術所需的成本、時間以及彼時的處理技術和科技發展水平等客觀因素。

美國參議院在2021年審議的《促進數字隱私技術法案(S.224)》中，要求在保持公平性、準確性和效率的同時，對集中的個人數據進行去身份化、假名化、匿名化或模糊化的技術處理；在處理數據時使用保護個人隱私的算法和其他類似的數學工具；要求商業機構和政府部門在數據應用中實現加密隱私增強技術的標準化。

日本在2017年頒布的《個人信息保護法》修正案規定了匿名信息處理者的法定責任，要求在信息處理過程中進行匿名化。同年，日本個人信息保護委員會細化出臺了《匿名處理信息報告》，明確了日本匿名化效果的判斷因素，即不要求匿名化的結果始終無法被破解，只需要匿名化的結果在使用了業界普遍認可的技術后，也無法再識別到具體個人或恢復成原有信息形態。匿名化本身并非為了阻止信息利用，而是希望通過匿名化來平衡數據的可用性與用戶信息的安全性。

相關建議

當前，隱私技術正處于快速更迭階段。在促進金融領域數據流通、融合的過程中，該技術在一定程度上能夠降低數據泄露的安全風險，有效保護個人信息安全。但依據我國現有監管要求，隱私技術尚不能完全解決數據合規問題，仍需從監管規制和使用者合規等方面加以完善。

完善匿名化技術合規標準要求。我國暫無匿名化技術的具體判斷標準，導致其在適用性方面存在困惑，有必要通過制定相應監管規則加以指導。同時，由于匿名化技術的應用還需符合具體行業的要求，如金融領域的信息敏感度高，個人信息保護尤為重要，可根據行業特殊要求對匿名化技術標準進一步細化。

完善業務合規措施。鑒于個人信息保護規則要求結合具體業務情況落實相應的信息保護義務，在具體業務場景下使用隱私技術進行個人信息處理時，需確保業務場景的真實性，按要求獲取用戶授權，完善證據留存（包括留存真實場景的證明材料、授權簽署文件及相關操作日志信息等）。

完善評估制度。鑒于整個隱私計算運行過程中會涉及利用技術及算法對個人信息進行處理，因此有必要完善相關的評估流程，并對整體算法及處理過程的安全、合規程度加以佐證。一是根據《互聯網信息服務算法推薦管理規定（征求意見稿）》等相關規定，對算法邏輯加以公開，并就算法機制機理、模型、數據和應用結果等的公德倫理和安全性能進行定期評估。二是在數據融合、交互階段對數據處理的必要性、安全性、字段泄露風險等進行評估。三是在相關算法使用后，對用戶可能產生的權益影響情況進行綜合評估，從而保證對算法本身、數據處理及結果應用等環節進行持續監測，以降低可能產生的合規風險。

完善算法規范體系。近年來，監管部門對算法規制日益重視。國家網信辦等九部委于2021年9月發布的《關于加強互聯網信息服務算法綜合治理的指導意見》提出，要利用三年左右時間，逐步建立治理機制健全、監管體系完善、算法生態規范的算法安全綜合治理格局。但總體而言，現有法規更多地聚焦在用戶有感知的個推場景，對目前普遍存在的用戶無感知的算法應用，尚無監管文件對其進行界定與規范。對此，可考慮從對個人的影響程度對不同算法類型進行區分，并進一步就不直接影響用戶權利的算法規則進行區分規范，為其豁免適用個人信息保護相關規則提供規范依據。此外，在對用戶產生影響的算法應用場景中，使用模型算法的信息處理者應當結合監管動向適時開展內部合規審查、評估及適當公示，不斷強化算法的公平性、透明性及公德倫理性。

針對金融領域大數據處理活動與現有個人信息處理規則之間可能存在的沖突，未來需從規則和金融應用領域探索新的路徑加以平衡。在不侵害用戶個體權益的前提下，通過隱私技術對數據進行匿名化處理，應依法采取充分的業務合規措施并進行必要風險評估，從而兼顧個人信息保護與促進金融數據資源盤活的關系。■

（責任編輯　張林）

本文首發于微信公眾號：中國金融雜志。文章內容屬作者個人觀點，不代表和訊網立場。投資者據此操作，風險請自擔。