写点什么

“授权同意”落地压力大?隐私计算提供一种可能的合规“技术解”

作者:数牍科技
  • 2022 年 6 月 29 日
  • 本文字数:1738 字

    阅读完需:约 6 分钟

“授权同意”落地压力大?隐私计算提供一种可能的合规“技术解”

近日,某教育平台被疑泄漏上亿条学生信息事件再次把个人信息安全的问题推到了风口浪尖。掌握了大量用户个人信息的平台或企业,是否具有妥善保护用户信息的能力、在收集索取信息方面是否越界、点击“同意授权”后用户的信息安全是否能得到持续保护等等,诸多问题再次引发社会和行业关注。


时隔《数据安全法》出台一周年。《网络安全法》、《数据安全法》和《个人信息保护法》的相继出台,一同形成了数据合规领域的“三架马车”。企业在落实愈加严格的用户隐私保护政策实践中,其中完善用户授权同意是合规处理的重中之重。我国多项出台的相关法律条款中已多次明确,企业在收集、使用个人信息时需要事先获得用户的授权同意。个人信息处理的一般原则要求数据处理者在收集、使用用户数据前获得有效的授权同意,明确数据使用的目的、方式、范围和规则等内容。



我国授权同意相关法律条款


每一次用户隐私泄漏事件的发生都触动大众的底线,同时也对企业合规提出更严峻的挑战。信息安全无小事,每一个字节都很重要。对于企业而言,一方面隐私保护是企业最核心的信用资产,也是法律法规监督之下的行业红线;另一方面,复杂、高昂、难落地的授权同意短期内无疑增加了合规成本,一定程度上阻碍了企业间的数据流通协作。


此前,数牍科技宋一民在接受 GGV 创业内幕访谈中,提到了类似的需求矛盾,“例如广告领域,涉及到一个巨大生态,包括广告主、广告投放平台、数据提供方、各种类型的机构、测量机构、监管机构等等,都需要进行广泛的数据协作。在整个过程中,我们意识到一个矛盾点,就是我们数据协作时需要把数据开放和流通出来,但是过程之中可能会导致一些数据泄露,进而导致一些巨大成本甚至巨大风险等等。所以当时我们面临这一系列问题时就在看,是否有技术可以在数据协作的同时,能够尽可能地保护数据。”早在 2017 年初,宋一民在任职 Facebook(现为“Meta”)期间发起内部立项,开始去探索这个方向,发现隐私计算技术能够相对颠覆性地去解决这种数据协作中的痛点,满足既要分享又要保护的需求。



隐私计算技术得以在不转移或泄露原始数据的前提下,实现数据融合“可用不可见”的效果,为数据要素的融合流通提供了一种可能的合规“技术解”。尤其是在授权同意的落地中,包含隐私计算的技术方案有助于降低参与方在数据融通中的授权同意压力。


在隐私计算中,假设获取数据的一手数据源首先获得了个人信息主体没有权利瑕疵的授权同意,或在获取数据后对数据进行的脱敏、加密处理使计算数据满足了法律要求的匿名化要求,那么输入模型的数据不再属于个人信息的范畴,此后其他参与方对数据的计算和分析也因此可能不再需要经过个人信息主体的重复授权,从而减少了数据流通过程中由授权引发的法律风险和成本支出。为了进一步降低合规风险,我们仍建议参与方在选择授权同意作为主要合规基础时,根据具体涉及数据的类型和敏感程度,将授权同意与去标识化/匿名化的技术方案加以有机融合,在数据流通的全流程综合降低合规风险。


这里需要特别注意的是使用隐私计算后就可以不用授权同意了么?


隐私计算技术有利于解决参与方间互不信任而又需要进行数据流通的现实需求,但又不能跳过用户知情同意。授权同意属于数据处理的合法性基础之一,而隐私计算属于对数据进行处理、使用的一种技术手段,在流程和逻辑上需要依赖于合规基础的存在。因此,当参与方选用授权同意这一合规基础时,使用隐私计算处理数据这一目的或方式本身需要被囊括在授权同意的内容当中,而非可以豁免授权同意这一前置条件。所以,还需要参与方根据具体应用场景、技术方案、参与方的约定等判断合规风险点。


最后,从数据处理合规的功能价值来看,企业承担保障数据安全的社会责任和营利性并非绝对对立。流动的个人数据是数字经济企业的关键生产要素,为企业源源不断创造商业价值。企业从个人数据的利用中受益,其财富的积累也消耗了大量的社会资源,应当充分保障个人数据的隐私安全。虽然企业收集和处理个人数据的合规成本压力看似增加了经营成本,但企业若采取积极合规行为,塑造科技向善的经营理念,无疑将获得更高的商誉,实现潜在用户市场的逐步扩张,从长远来看,积极承担数据处理全流程的安全合规将提升企业的市场竞争力,实现长期性的盈利目的。


本文参考资料来源:隐私计算联盟、中国信通院云大所

用户头像

数牍科技

关注

为数据要素市场发展创造更好的流通环境 2022.06.09 加入

领先的隐私计算技术企业

评论

发布
暂无评论
“授权同意”落地压力大?隐私计算提供一种可能的合规“技术解”_隐私保护_数牍科技_InfoQ写作社区