【用前必读】隐私计算“开箱”指南
数牍君的知识小卡片系列
在保护数据要素安全流通的进程中,隐私计算作为“多源”数据的跨界融合手段,已应用于越来越多的行业场景,在技术实践的过程中,技术本身的合规使用需要多方在合作前达成共识,并做好全流程把控:这项技术的使用前提是什么?使用的过程中又有哪些合规考量?结果产出以后又如何收尾?
答疑解问!
数牍君送上一份
《隐私计算开箱指南》
用前必读哦
隐私计算是多方数据安全协作的技术底座,在各方数据源“登陆”之前,任何一个数据源受到污染均可能影响输出结果的质量。数据合作各方应当各自核查及确认其数据来源的合规性,避免影响隐私计算的整体安全与合规。
对于直接数据源(移动终端、APP、小程序、互联网网站、物联网设备、营业厅等),需获取个人信息主体充分自主、清晰明确的授权同意。
对于间接数据源(向提供方采购、与参与方共享、公共场所采集的数据等)应要求数据提供方说明个人信息的来源,了解已获得的授权同意范围并尽可能对其合法性、真实性进行确认。
其中,第三方“品质检验”机构提供的中立第三方同意授权验证和合规管控服务,可以进一步帮助数据源和数据应用方建立起合作的信任桥梁。
在获得用户授权同意的过程中,要在显著位置向用户说明数据使用的目的、方式、范围和规则等内容,包括各参与方和隐私计算全部操作行为,并获得有效的授权同意。
获取用户的同意授权后,在具体应用环节中,如何向监管机构、用户、数据应用方证明数据源已经获得对应的用户同意授权,数据源方可通过搭建可信的业务流程或技术手段来进行合规使用的流程印证。数据合规管理工具中数据识别、分级分类管理、数据应用监管等功能与第三方同意授权验证的组合,可以帮助用户建立起可执行、可追溯的合规应用保障机制。
数据应用方亦可通过数据合规管理工具中的数据识别、分级分类管理等功能与中立第三方提供的数据合规溯源、同意授权验证等机制,共同对采购数据源在明确场景下的合规性进行“刮码验真”。
近期,工信部还提出了建立个人信息保护“双清单”,要求相关企业建立已收集个人信息清单和与第三方共享个人信息清单。让用户清晰掌握个人信息在平台及第三方间共享的情况。
通过协议的方式明确参与方之间的权利义务,构建完善的配合和监督机制;例如需要对个人信息主体行使查询权、复制权、删除权等设计具体的分工配合机制。
要通过技术及法律手段尽可能堵住数据安全风险点,充分评估各环节是否会影响到个人信息安全与个人权益,包括数据的处理目的和方式是否合法合规、正当和必要;保护措施是否合法、有效及与风险程度相适应;是否超范围使用等等。
保护的范围除原始数据外,还应该包括中间过程数据、模型数据和最终计算结果等,防止攻击者通过逆向学习等方式获得原始数据。
技术提供方可根据数据的类型和安全级别等因素选择相适应的技术,例如部分高保密行业场景,可选择软硬协同隐私计算产品,在专用硬件环境中进行更加独立的使用和运算。
确保数据和模型的存储安全,确保在处理敏感数据后无留存或隐通道传输,及时清除内存中的数据,并依照参与方的约定对外部存储的数据进行不可还原的删除或匿名化处理。
当应用隐私计算技术实现数据更大规模、更大范围的流动时,参与方可选择数据的分布式存储,避免大量明文数据的物理汇聚。
参与方需要对隐私计算技术方案的建模预处理及运算过程进行充分的安全性评估,找好技术选型,如有可监管功能的平台,需保证平台控制节点不参与计算,不触碰数据,不运营数据。
在模型的知识产权方面,参与方需要约定开发后的模型的权属。
值得关注的是,拥有模型知识产权的主体也可选择不同形式的使用权许可。
在输出最终计算结果时,各参与方需要尽可能控制输出结果带来的泄露隐私的风险。参与方应对输出模型和结果数据的使用进行明确的约定。要求结果使用方依照参与方约定的使用目的、范围和时限等要求使用数据和模型。
应用产出的合规性,也需要数据源提供方、数据应用方进行实时监管。数据合规工具中数据识别与行业分级分类管理要求相结合,可以帮助双方用户提供即时、可控的监督管理机制。
例如当模型可被用于精准推荐时,隐私计算的参与方须根据具体场景的要求考虑决策的透明度披露和结果的公平公正,不得对个人实行不合理的差别待遇。
此外,当结果使用方需要通过自动化决策向个人进行信息推送、商业营销时,也应为用户提供不针对个人特征的选项或向个人提供便捷的拒绝方式。
为提升参与方和监管机构对技术的信赖,参与方需要提供有效的存证和监督机制,并考虑构建隐私计算技术应用效果的评估机制。
比如通过日志或其他形式保留计算过程,对数据的获取、同意授权、合规应用、传输过程、处理方式、产出结果等过程线索或证据进行安全存储,并提供安全可信的存储环境,以及可追溯、可证明的交叉印证机制,进一步满足内外部监管要求。
参考资料:《中华人民共和国个人信息保护法》、隐私计算联盟《隐私计算法律与合规研究白皮书》(数牍科技主要参编)等,感谢数牍法务团队、战略项目团队、产品技术团队对本文的大力支持。
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。