文章目錄
- 前言
- 一、涉私數據的概述及分類
- (一)涉私數據的“知情同意原則”
- (二)涉私數據的分類
- 二、涉私數據可控匿名化利用機制
- (一)數據產品與涉私數據的利用形式
- (二)通過可信數據空間受控環境實現涉私數據可控匿名化處理
- (三)可控匿名化機制實現涉私數據的合法合規利用
前言
當前,數據要素價值化、市場化正在積極推進,相關數據安全問題也極為突出,亟待分類分級治理。其中,涉私數據的安全保護和流通利用問題尤其值得重視。這類數據不僅承載著個人、企業等主體的核心利益,更涉及人格權、商業秘密等敏感權益,其流通利用與隱私保護存在天然張力。
一、涉私數據的概述及分類
涉私數據因包含身份識別要素而天然承載人格權益屬性,需以人身屬性為優先級錨點,通過“知情同意原則”實現數據來源者權益對處理行為的約束。
(一)涉私數據的“知情同意原則”
數據二十條指出:“建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制。”“健全數據要素權益保護制度,逐步形成具有中國特色的數據產權制度體系。”這是針對數據處理者的權益。同時,數據二十條也指出:“充分保護數據來源者合法權益,推動基于知情同意或存在法定事由的數據流通使用模式,保障數據來源者享有獲取或復制轉移由其促成產生數據的權益……在保護公共利益、數據安全、數據來源者合法權益的前提下,承認和保護依照法律規定或合同約定獲取的數據加工使用權,尊重數據采集、加工等數據處理者的勞動和其他要素貢獻,充分保障數據處理者使用數據和獲得收益的權利。”即保障數據處理者的權益以優先保障數據來源者的權益為前提,數據來源者的權益高于數據處理者的權益。按照《個人信息保護法》的原則,即數據來源者對數據的“知情權、決定權”高于數據處理者的持有權、加工使用權和數據產品經營權。
一般來說,數據權益直接涉及生產主體、關聯對象和價值載體這三方面。其中,關聯對象即數據二十條中的“數據來源者”,歐盟為數據主體;而生產主體和價值載體則相當于“數據處理者”。所謂涉私數據,是指數據關聯對象涉及私權的數據,包括個人數據、法人數據及非法人組織數據。
根據《個人信息保護法》的原則,數據來源者(即數據關聯對象或數據主體,包括個人、法人及非法人組織)對數據擁有“知情權、決定權”,這里也隱含了對數據的“可攜帶權”。此三項權利共同構成數據人身屬性的三大支柱。基于數據的四維框架——主權屬性、人身屬性、公共屬性和價值屬性,其屬性的位階應遵循如下排序:主權屬性>人身屬性>公共屬性>價值屬性。從本質上看,數據依據人身屬性可以分類為涉私數據和非涉私數據,前者因包含直接或間接的身份識別要素而關涉人格權益,后者則不涉及此類權益。據此,非涉私數據可作為獨立客體進行數據處理,而涉私數據因涉及人格權保護,需嚴格遵循“知情同意原則”并經法定程序方可處理。
(二)涉私數據的分類
《個人信息保護法》區分了敏感個人信息和非敏感個人信息,《民法典》則區分了私密信息和非私密信息。在實踐中,兩種區分具有一致性。當前,學界存在進一步細化涉私數據分類的學術主張,甚至通過場景化區分涉私數據的私密性和敏感性。然而,這種細分路徑在實務層面面臨雙重困境:一方面,需求側應用場景的動態演進導致分類標準難以固化;另一方面,供給側數據治理需兼顧操作可行性與制度穩定性。鑒于此,應當回歸法律的實踐邏輯,從數據分類和敏感分級角度,涉私數據的私密性和敏感性應當視同。
涉私數據依據私密性和敏感性可以分為四類:敏感(私密)個人數據、敏感(私密)法人/組織數據、非敏感(非私密)個人數據,以及非敏感(非私密)法人/組織數據。根據數據二十條和《個人信息保護法》要求,涉私數據的處理及流通需以“知情同意”或“法定事由”為前提。其中,敏感數據需疊加隱私保護和涉私數據保護雙重機制,僅可在特定使用場景下經關聯對象單獨授權后方可處理;非敏感數據需要受到涉私數據保護,經關聯對象授權后進行處理。
二、涉私數據可控匿名化利用機制
為平衡涉私數據的隱私保護與價值利用,需構建以可信數據空間為核心的可控匿名化機制,通過在受控環境中處理邏輯真實數據并輔以映射關系表及授權還原,實現數據的合法合規應用。
(一)數據產品與涉私數據的利用形式
數據的價值在于應用,而數據產品是從數據到應用的唯一橋梁。數據產品可以分為分析類數據產品和個體化數據產品。前者是指嵌入數據產品的數據均不具有人身屬性的數據產品,即只涉及非涉私數據(包括涉私數據匿名化后的數據)的數據產品;后者是指包含具有人身屬性的數據嵌入的數據產品,即涉及涉私數據的數據產品,需要在應用場景中由數據關聯對象授權方可使用。相應地,涉私數據的應用有兩種形式:一是通過匿名化轉化為非涉私數據后用于分析類數據產品。當然,將數據用于分析類用途,例如,統計分析本身也是一種匿名化的過程,此說法主要針對大樣本,而小樣本的情形有可能還原出原始數據,因而需要先進行匿名化再分析。二是直接用于個體化數據產品。前者需要保證可靠的匿名化處理,后者需要基于以可信數據空間為核心和邊界的數據基礎設施(數據平臺)進行數據產品化,將涉私數據嵌入,并在應用場景中由關聯對象授權后處理和利用。
(二)通過可信數據空間受控環境實現涉私數據可控匿名化處理
數據脫敏是一種在保持數據原有特征和業務屬性的同時,對敏感信息進行變形處理的技術機制。該技術旨在安全地使用經過脫敏處理的真實數據集,防止敏感數據在測試、開發、數據分析等環節中因明文顯示而導致的數據泄露風險。數據脫敏的核心手段包括去標識化和匿名化。《個人信息保護法》明確界定:去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
值得關注的是,不僅分析類數據產品需要涉私數據的匿名化,個體化數據產品在生產過程中,為了避免個體數據在關聯對象授權之前為數據產品開發者泄露,也需要某種程度的數據脫敏,此即涉私數據的可控匿名化。
鑒于關聯對象僅在應用場景實際調用個體化數據產品時方完成授權及權益讓渡,而授權前涉私數據需嚴格遵循“數據不出域”原則,這就需要通過“擴大安全域”并“請進來”相關數據處理者,依托以可信數據空間為核心和邊界的數據基礎設施(即數據平臺),借助其公共化基礎組件實現私有域數據向公共域的合規流轉。此時,“數據不出域”的邊界便拓展至可信數據空間的公共域范疇,在該受控環境下可開展數據預處理工作,即利用域內具備“供得出、流得動”特性的樣例數據和邏輯真實數據,開發形成數據產品框架或模型原型。需特別闡明的是,個體化數據產品并非靜態存在,而是通過前述預處理流程生成的產品框架或模型系統。只有在個體化數據產品面向特定應用場景進入實質使用階段,在獲取關聯對象即時授權的同時,涉私數據將瞬時注入預置的產品框架或模型系統,經實時計算輸出服務結果,由此完成“授權-計算-服務”的一體化價值閉環。這種基于時空約束的動態授權與即時計算相結合的機制(瞬間集成),正是個體化數據產品實現安全合規應用的核心特征。
由此可見,在數據平臺內數據產品開發者并不直接接觸真實的涉私數據,而是基于脫敏后的邏輯真實數據或樣例數據進行個體化數據產品開發。這一機制有效避免了數據產品開發者在關聯對象授權前接觸真實的涉私數據,切實保障了關聯對象的數據權益。
(三)可控匿名化機制實現涉私數據的合法合規利用
所謂邏輯真實數據是指與原始數據業務邏輯一致的脫敏數據,可以在數據開發中具備與真實數據同等的使用效能。從真實原始數據到邏輯真實數據有一個映射關系表。這里利用了假名化技術,這是一種使用假名替換直接標識(或其他敏感標識符)的去標識化技術。假名化技術為每條數據創建唯一的標識符,以取代原來的直接標識或敏感標識符(如身份證號碼)。同時,假名化后的邏輯真實數據因為和原始數據有相同的業務邏輯,其用于真實的個體化數據產品的效果是一樣的。因此,基于邏輯真實數據開發的數據產品本質上即為真實的個體化數據產品。當個體化數據產品在實際運行于應用場景時,需在關聯對象授權的前提下,將邏輯真實數據替換為真實原始數據,即通過脫敏處理時的映射關系表進行逆向映射,實現從邏輯真實數據到真實原始數據的還原。此時,個體化數據產品在真實應用場景中調用的是真實原始數據,能夠即時完成集成并輸出服務結果。
從真實原始數據到邏輯真實數據的數據脫敏就是可控匿名化。所謂可控匿名化,是指數據在可控環境中的部分匿名化:對于“請進來”的數據處理者(包括數據產品開發者、第三方數據服務者等),經假名化等脫敏技術處理后的邏輯真實數據已具備不可還原、不可回溯至原始數據的特性,此類數據處理者可以將這些數據按照非涉私數據進行處理,包括數據產品開發;但對于掌控著映射關系表的可信數據空間運營者而言,邏輯真實數據可以還原為原始數據,故不屬于匿名化范疇,且僅能在真實應用場景中經關聯對象授權后實施還原操作。通過這一機制,數據產品開發者對邏輯真實數據的處理行為合法合規,而可信數據空間運營者在關聯對象授權前提下將邏輯真實數據還原為原始數據的操作亦符合規范,從而確保涉私數據的合法合規使用。
可控匿名化機制的關鍵在于“可控性”,具體體現為對映射關系表進行嚴格的訪問控制和使用控制,即便系統管理員也無法擅自還原映射關系,僅當獲得關聯對象授權時方可執行還原操作。在技術層面可以采用加密方式生產假名等;在管理層面則需明確可信數據空間運營者的法律責任,并由數據管理機構對其實施監管,確保可控匿名化機制“可信可追溯”。
)
)
