文│国家信息中心 程子栋 王鹏彪 罗海宁

近年来全球化的数字化转型和数字经济高速发展,带来了世界性的数据合规及隐私挑战难题,掀起了全球化数据安全与隐私保护的立法热潮。全球相关法规监管强度不断强化,比较有代表性的如欧盟颁布的“史上最严”的 《通用数据保护条例》(GDPR)、美国加州的《加州消费者隐私法案》(CCPA),以及巴西的《通用数据保护法》(LGPD)。

我国在立法层面也已制定并出台了两部相关的基础性法律,分别是 2021 年 9 月 1 日正式施行的《中华人民共和国数据安全法》(以下简称《数据安全法》)和 2021 年 11 月 1 日正式施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。这两部法律都涉及到规范数据安全与个人信息保护领域,但侧重点有所不同:前者更加强调在总体国家安全观指导下,对国家利益、公共利益和个人、组织合法权益方面给予全面保护;后者则更加侧重于对个人信息方面进行保护,同时赋予自然人的各项个人信息权利。6 月 6 日,国务院颁布了《关于加强数字政府建设的指导意见》,提出要“构建数字政府全方位安全保障体系”“促进数据有序开发利用”。显然,保障政务数据的安全合规,是推进数字政府建设的重要工作。

一、法律合规需求和技术应对概述

从政府视角来看,《数据安全法》在“第五章 政务数据安全与开放”中,明确提出政务数据要合规收集、使用,以及做好数据安全防护。另外,电子政务建设、政务数据科学运用,旨在服务经济社会发展能力的提升,惠及民生,其中政务数据不可避免地涵盖了大量公民个人信息乃至敏感个人信息,故《个人信息保护法》也是电子政务中处理涉及个人信息的政务数据等相关活动必须遵循的“行为规范”。从国家监管视角来看,《个人信息保护法》是国家、地方政府对电子政务中涉及公民个人信息违法违规案件处罚的法规监管依据。这使得在推进数字政府的过程中,尤其是在国家电子政务管理、省级政务大数据运营、“互联网 + 政务”等应用场景中,对个人信息保护合规、数据安全合规的建设变得十分重要而迫切。

《个人信息保护法》全文映射到数字政府领域中涉及公民个人隐私的合规性论述,可以分为显式合规需求和隐式合规需求两种类型。前者有明确的规定,可通过应用现有相对标准化、成熟度较高的技术手段实现;后者是合规应达到的一个效果或者目标,可以通过不同技术的探索发展与管理措施不断稽核优化等手段降低合规性风险。本文重点聚焦技术层面对于数字政府、电子政务的合规性论述,关于两类合规性需求的核心观点如下。

(一)显式合规需求

典型需求如“告知-同意”机制和为个人信息主体提供行使个人信息权利的申请受理机制等。对数字政府领域,在特定的政务服务场景中,需在与个人信息主体交互的入口(App/服务门户网站)嵌入各类受理交互弹窗与可操作界面;同时需完善隐私声明,对个人信息的安全风险与各项个人信息权利进行解释;在 App/服务门户网站的后端,需要使用更多自动化技术,包括使用知识图谱赋能,以对可能出现的高并发的用户权利请求实现快速响应。

(二)隐式合规需求

典型需求如采取必要措施保护个人信息安全、防止个人信息泄露、窃取和篡改等目标。涉及公民个人信息采集、使用的政府部门或政务大数据运营管理部门可以根据国标《个人信息安全规范》《个人信息去标识化指南》等,以及根据自身数据安全与个人信息保护的建设水平,在不同的业务场景采取技术和管理措施以确保个人信息安全。包括去标识化(数据脱敏)、加密、数据水印、访问控制等常规技术措施,以及同态加密、安全多方计算和联邦学习等隐私计算技术,以及设置个人信息保护负责人、个人信息安全培训、评估检查等制度。对基于国家电子政务外网建设的政务信息共享体系,涉及“国家-省-市-县”等多级数据共享平台的联动和跨地域、跨体系的数据共享交换,在传统安全技术手段对合规和保障要求支撑效果有限的情况下,聚焦同态加密、安全多方计算、隐私计算等技术应用方向上提供更多可孵化场景,以寻求技术和业务的有机结合突破,将是未来政务信息共享体系落实行业数据/个人隐私安全应用、安全价值兑现的契机。

二、应对合规要求的技术实现方向分析

(一)合规对政务数据安全发展的挑战

目前,国内个别发达地区已经基于地市、自贸区开展新型智慧城市、城市大脑的建设,进一步推进惠及民生的智慧政务型数字政府的发展。《数据安全法》“第五章 政务数据安全与开放”对政务数据开放层面的明确定位,将会进一步加速政务数据领域建设的进程。相信在不久的将来,政务数据体系建设将进入共享利用、智慧运营为代表的城市大脑阶段。

随着政务数据领域业务场景的不断丰富和深入,对政务数据安全的配套建设也面临新的挑战和机遇。因为政务业务除支撑国家、社会的发展,最重要的目标即是民生保障和公民权益保障,数据安全及个人信息保护如何进一步深入到政务数据业务场景中与业务紧密结合,如何在保障政务数据得到充分保护的同时不阻碍业务的发展和创新,将是政务场景中数据技术和数据安全需要重点突破和创新落地的关键方向。

(二)落实法律合规要求的技术响应措施

1. 宏观要求

政务数据中对个人信息的处理必须要遵从《个人信息保护法》的宏观要求(第一章 总则),显式合规需求中明确提出:“匿名化处理后的信息”具有该法的“豁免权”。因此,如何实现信息的匿名化处理是关键,建议可考虑以下技术。

(1) 匿名化算法技术。包括 K-匿名、L-多样和 T-近似处理得到匿名化数据集,并对其隐私风险进行评估,确保风险处于较低水平。

(2) “数据脱敏+重标识风险评估”技术。对数据脱敏处理后的数据集进行重标识风险评估,确保其在现有技术发展水平和攻击者能力下处于低风险级别。

此外,对于个人信息处理者所要求的“必要措施”,可以从管理措施和技术措施两个维度进行探索。

管理措施,包括个人信息保护负责人、进行个人信息安全培训、评估检查等组织架构设立和制度体系完善。技术措施,包括去标识化(数据脱敏)、加密、数据水印、访问控制等常规技术措施,以及差分隐私、同态加密、安全多方计算和联邦学习等前沿类隐私计算技术的应用探索。

2. 对个人信息处理中合规要求的技术措施

对个人信息处理者,除法律法规中要求其自身需遵守的处理活动规则外,也需要履行为个人信息主体提供权利保障和便利的职责,如“知情权”“决定权”“限制权”“拒绝权”“删除权”等,下面对不同的个人信息处理环节列举可应用的技术措施和机制。

(1)采集

个人信息处理规则的要求相对比较具体化,对个人信息处理者取得个人信息主体同意的手段和机制,在管理要求的基础上应施行相应技术手段。例如,政务服务 App、政务服务门户网站等设立公民个人信息采集渠道的载体,需要在进行个人信息采集(要求公民注册、登录后使用服务中登记信息等事务)中提供显著且明确的隐私声明,并提供包含授权同意等类型的交互窗口,并配套身份识别确认等机制保障授权的真实意愿。

(2)撤销

此外,个人信息处理者方同样需要配套提供可以供个人信息主体(已经被采集并授权个人信息)行使“撤销权”的便利机制。例如:政务服务 App、政务服务门户网站的隐私声明中,包括对“撤销权”的解释说明;政务服务 App、政务服务门户网站中,提供用户权利的申请受理和处理机制,比如嵌入用户“撤回同意”的交互窗口;公民的用户权利请求响应完成后,为用户提供合规报告;对公民的用户权利请求响应使用自动化技术,包括使用知识图谱赋能,构建以个人信息主体为单位的关联图,能快速响应高并发的用户撤回同意需求。

(3)处理

个人信息处理者在处理个人信息前,可通过隐私声明等措施实现合规。例如,政务服务App、政务服务门户网站的隐私声明,内容中包括法律条款规定的各个事项。政务服务 App、政务服务门户网站的弹窗形式,告知信息变更。

(4)保存

个人信息保存期限最小化合规要求,超出保存期限后,可通过以下措施与机制实现合规。

个人信息销毁:销毁数据包含处理过程中产生的衍生信息,具有可识别个人的相关信息。

个人信息匿名化处理:对其进行匿名化处理以及重标识风险评估,使其达到“不可识别特定个人且不能复原”效果,从而以“非个人信息”的数据范畴进行保存。

(5)委托

委托处理个人信息(如公有云)场景,可通过以下措施与机制实现合规:双方约定的协议与合同,内容包括法律条款规定的事项以及双方的义务划分;委托处理方提供的个人信息处理报告,证明合规性;委托方进行个人信息销毁,并提供合规报告;通过同态加密技术实现委托第三方处理个人信息,通过联邦学习技术分别实现多方委托第三方的联合 AI 建模,通过技术降低第三方的隐私合规风险。

(6)自动化分析决策

个人信息进行自动化决策场景中,可通过以下措施与机制实现合规,包括:可解释人工智能(XAI)技术;向公民提供自动化决策的报告;商业营销、 信息推送场景,为用户拒绝自动化决策的服务的入口(窗口、按钮)。

3. 履行个人信息安全处理义务的技术建议

个人信息处理者,无论是政务服务 App、政务服务门户网站的运营者,都需要遵照《个人信息保护法》第五十一条:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等 , 采取下列措施确保个人信息处理活动符合法律、行政法规的规定 , 并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限 , 并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。”

所以,必须在合规管理和约束基础上,切实引入并应用有效的技术手段进行个人信息保护的响应和保障,下面仍以政务场景为例做相关说明。

(1) 建立政务体系下统一的个人信息安全风险评估标准(国家标准或政府行业标准),便于审计政务部门及相关业务运营支撑机构对公民个人信息处理的合规性,同时引入并开展个人信息安全风险评估技术和服务,有理有据的对处理个人信息可能带来的风险进行评估。

(2) 引入身份认证技术、访问控制技术,在政务服务应用系统中和运营事务中防止公民个人信息未授权的访问。

(3) 引入加密技术、去标识化技术,在政务服务应用系统中和运营事务中防止公民个人信息中的敏感隐私内容泄露或被窃取。

(4) 引入数据备份技术,用以保障恢复被恶意篡改或删除的公民个人信息。

(5) 引入电子签名技术、哈希技术,用于识别用户个人信息是否受到恶意篡改。

(6) 引入行为审计分析技术,在政务服务应用在外包运营事务的过程中用于识别、追踪有不当操作行为的用户及具体行为。

(7) 引入数据资产识别、自动化分类分级、细粒度权限管理(标签化)等技术,既通过技术手段响应和支撑了《数据安全法》中第二十一条对数据分类分级制度的要求和落地方式,并用于解决公民个人信息分类管理过程中人工标注数据工作量大的问题和权限设定、分配及跟踪问题。

另外,个人信息处理者的义务还需涵盖对合规审计、影响评估、补救措施等事务(《个人信息保护法》第五十四至五十七条),相关技术措施建议包括以下 7 个方面。

(1) 引入日志审计技术,基于系统日志、安全日志等多源日志信息归一化聚合的合规审计技术,以满足政务服务系统运营过程中公民个人信息处理合规审计要求。

(2) 引入数据流转审计技术,以满足个人信息处理者之间的数据共享或委托处理等活动的合规审计要求。

(3) 引入个人信息处理风险评估技术,全面评估政务大数据计算分析等与个人信息处理活动相关事务中对个人的影响及风险程度。

(4) 引入脱敏评估技术,评估脱敏算法在“委托处理个人信息、 向他人提供个人信息、 公开个人信息”活动时的脱敏效果,以保障脱敏算法的真实有效性和对脱敏算法应用不合理等情况下的优化校正。

(5) 引入区块链存证技术,确保个人信息处理活动的处理记录的安全存证,确保处理记录不会受到篡改。

(6) 引入个人信息风险评估技术,评估“泄露的个人信息种类和可能造成的危害”。

(7) 引入安全事件分析技术,分析真实发生个人信息泄露事件时的原因和泄露路径,用于安全策略和手段的优化以规避未来该类型及相关风险的发生可能。

个人信息处理者本身还包含一种“间接处理者方”的身份,即“受托方”。对于明确的受托方身份,其仍需要兑现法律法规中对其要求的义务,其中技术手段建议可参考两条不同的技术路线进行个人信息保护。

一是以安全多方计算、联邦学习、可信执行环境(TEE)三大技术为基础实现数据“可用不可见”的隐私计算技术,从根源杜绝受托方泄露用户个人信息的可能。隐私计算技术使得原始数据对受托方不可见,保证受托方无法泄露数据。其优点是安全性高,管理复杂性低;缺点是隐私计算技术成熟度有待提高。

二是以身份认证、数据加密、访问控制、日志审计等技术为基础实现的传统数据安全管理技术。利用传统数据安全技术,相当于数据委托方将数据的保护任务连同数据一起移交给了数据受托方,使得受托方可以看到全部或部分原始数据。其优点是技术成熟度高,计算效率高;缺点是多种数据安全技术需要协同部署,缺一不可,管理复杂性高,稍有不慎受托方即会造成数据泄露。

三、总 结

当前,《数据安全法》《个人信息保护法》均已正式施行,其他如《关键信息基础设施安全保护条例》《网络数据安全管理条例》(征求意见稿)也已出台并加紧推进,对数据安全/个人信息保护合规等国家战略和意志的落地会愈加明确。同时,各行各业数字化转型背景下的安全相关政策要求和标准规范也在逐步细化,并覆盖到各行业下的各个细分领域。我国已经正式步入数据安全、个人信息保护有法可依、依据清晰、规则明确的时代,数字政府、数字企业、数字经济等领域正在面临着极大的合规挑战,任务艰巨。保障数字政府乃至数字中国的战略目标顺利实现,是所有安全从业者需要思考和探索的目标方向。

(本文刊登于《中国信息安全》杂志2022年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。