2023年6月19日,英国ICO发布了新的隐私增强技术(PETs)指南。该指南针对数据保护官员(DPO)和其他在金融、医疗保健、科研行业以及中央和地方政府使用大型个人数据集的人,第一部分侧重于PETs如何帮助组织遵守数据保护法规,第二部分则是采取更具技术性的方法,概述了目前可用的不同类型的PETs的详细信息。
PETs如何帮助数据保护合规
PETs可以协助展示“通过设计和默认方式保护数据”的处理方法。
PETs可以帮助组织遵守数据最小化原则。
PETs还可以为数据处理提供适当级别的安全性。
使用PETs让人们访问那些原本过于敏感而无法分享的数据集,可以确保个人信息得到足够的保护。
大多数PETs涉及处理个人信息,这些处理仍应当合法、公平和透明。
应该通过对不同的数据处理活动进行个案评估,来识别对人员的风险。这一评估结果将决定PETs是否适合减轻这些风险。
不应将所有PETs视为个人信息匿名化的方式。因为并非所有的PETs都会导致有效的匿名化,同时也可以在不使用它们的情况下实现匿名化。
什么是隐私增强技术(PETs)?
PETs是通过尽量减少个人信息的使用、最大限度地提高信息安全、赋予人们权力等方式,体现基本数据保护原则的技术。
英国GDPR没有定义PETs,而事实上这一概念涵盖了许多不同的技术和工艺。欧盟网络安全局(ENISA)将PETs定义为:“软件和硬件解决方案,即包含技术流程、方法或知识的系统,以实现特定的隐私或数据保护功能或防止个人或群体的隐私风险。“
PETs与英国GDPR有何关系?
PETs与"数据保护设计"的概念有关,因此与组织所采取的技术和措施有关。它们可以帮助组织有效地实施数据保护原则,并将必要的保障措施纳入数据处理过程。
PETs可以通过以下方式帮助展示"通过设计和默认的数据保护"方法:
遵守数据最小化原则,确保只处理达到目的所需的信息;
提供适当的安全水平;
实施强大的匿名化或假名化解决方案;
通过使未经授权的人无法理解个人信息,从而最大限度地降低个人数据泄露所带来的风险。
使用PETs有哪些好处?
PETs可以帮助降低个人信息泄露的风险,同时能够进一步分析个人信息。以这种方式共享、链接和分析个人信息的能力可以为组织提供宝贵的见解,同时确保其遵守数据保护原则。
通过使用PETs,组织可以从数据集中获得见解,而不会影响数据集中数据的人的隐私。适当的PETs可以访问原本过于敏感而无法分享的数据集。
使用PETs存在哪些风险?
不应将PETs视为满足所有数据保护要求的灵丹妙药,组织处理数据仍然必须是合法、公平和透明的。在考虑PETs之前,组织应该:
评估处理的影响;
清楚想达到的目的;
了解并记录PETs如何帮助组织遵守数据保护原则;
了解并解决PETs在遵守数据保护原则方面可能造成的问题(如准确性和问责制问题)。
缺乏成熟度
一些PETs在可扩展性、标准的可用性和攻击的鲁棒性方面可能不够成熟。
缺乏专业知识
设置和适当使用PETs需要大量的专业知识,专业知识不足可能导致实施错误,以及对如何配置PETs以平衡隐私保护和实用性的理解不足。
实施中的错误
专业知识不足会带来实施不当的风险(例如,在使用以加密为基础的技术时,密钥管理不善),这可能意味着PETs实际上并无法达到预期的保护效果。因此,这些人的权利和自由仍面临着一些风险。组织还应该定期监控攻击和漏洞,以确保组织及时采取适当的解决措施。
缺乏适当的组织措施
缺乏适当的组织措施可能会降低甚至完全破坏PETs的有效性。根据威胁模型,一些PETs假设组织正在使用受信任的第三方(即受信任的组织不会以恶意或疏忽的方式行事)。在这种情况下,保证主要来自组织控制,包括法律义务(如合同控制)、监测和审计流程。
PETs分为哪些类型?
该指南主要介绍了组织可以使用的PETs。
提供输入隐私的PETs可以显著减少访问正在处理的个人信息的各方数量。输入隐私意味着进行处理的一方不能:
访问正在处理的个人信息;
在处理过程中访问中间值或统计结果(除非该值是专门为共享而选择的);
通过使用侧通道攻击等技术来获取输入,这些技术在处理过程中使用可观察到的更改(例如查询计时或电源使用)来获取输入。
这一类型的PETs还可以帮助组织遵守英国GDPR的安全性、目的限制、存储限制和数据最小化原则。
提供输出隐私的PET降低了人们从处理活动结果中获得或推断个人信息的风险,这与计算本身是否提供输入隐私无关。使用提供输出隐私的PET非常适用于以下情形:
公开匿名统计数据;
与一大群收件人分享分析结果。
这一类型的PETs可以帮助组织遵守英国GDPR的存储限制和数据最小化原则。
获取或生成减少或消除人们可识别性的信息的PETs
这一类型的PETs旨在削弱或打破原始个人信息中的某人与派生信息之间的联系,例如:差异隐私、合成数据。
这一PETs可以有效地降低风险。但与原始信息相比,由此产生的信息可能不太有用。这是因为使用这些技术可以减少查询的随机答案与真实答案(即没有应用“噪音”的答案)相比的接近程度。噪音会随机改变数据集中的信息,因此人们的直接或间接标识符等值更难显示。如果组织需要准确的个人信息或具有较高效用的数据集(即包含更多可以提取的有用信息),这些结果可能不合适。
聚焦于隐藏或屏蔽数据的PETs
这一类型的PETs旨在保护人们的隐私,同时不影响信息的实用性和准确性。例如:同态加密,这允许在不泄露明文的情况下对加密数据进行计算;零知识证明,这允许一方向另一方证明某事是真实的,而不透露某事是什么或其他任何东西(如基础数据);以及可信执行环境(TEE),这些保护信息免受外部操作系统和应用程序的影响。
拆分数据集的PETs
这一类型的PETs旨在最大限度地减少个人信息共享量,并确保机密性和完整性,同时不影响信息的实用性和准确性。
这组技术定义了组织应当如何收集、分发、存储、查询和保护个人信息,以及系统的每个组件如何相互通信。这些PETs可能会拆分信息用于计算或存储,或提供专用硬件,以防止操作系统或其他应用程序访问个人信息。这降低了来自不同数据集的信息被链接的风险。这一类型的例子包括:安全多方计算(SMPC),包括私有集交集(PSI);以及联合学习。
PETs是一种匿名化技术吗?
PETs和匿名化是独立但相关的概念,并非所有PET都能实现有效的匿名化,同时也可以在不使用PETs的情况下实现匿名化。
根据情况,PETs可以在匿名化中发挥作用。例如,组织可以配置不同的隐私方法,防止特定人员的信息被泄露。
然而,许多PETs的目的在于增强隐私并保护组织所处理的个人信息,而不是将其匿名化。这意味着许多PETs用例仍然涉及个人信息,以及部署此类技术时,组织仍然必须履行数据保护义务。
如何确定是否使用PETs?
在使用PETs来解决隐私风险前,组织应该进行DPIA,以了解使用PETs将如何影响数据的处理。评估必须包含以下内容:处理的性质、范围、背景和目的;处理对人们的权利和自由构成的风险;是否使用PETs来解决公认的数据保护风险,以及它是如何做到的;以及任何PETs的最新进展和实施成本。
来源:ICO
原文链接:https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/privacy-enhancing-technologies/how-can-pets-help-with-data-protection-compliance/
声明:本文来自上海数据安全协同创新实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
