个人信息保护向左,数据安全向右
引言:
9月1号《数据安全法》正式生效,看了很多数安法解读,发现除了强调数据分级分类等,很多人最后将关注点都放到个人信息保护上。这说明数据安全确实对个人信息保护非常重要,不过,也让我想起另一个事情。
2018年在深圳参加一个隐私保护会议时,发现一个奇怪现象:学界和法律界的议题围绕着“隐私保护”或“个人信息保护”展开,产业界却围绕着“数据安全”或“数据防泄露”。数月前,参加某个人信息保护会议时,从头到尾、反反复复主要内容依然是数据安全和数据防泄露。如果说三年前的差异是有客观历史原因的话,近期的会议则说明,“数据安全=个人信息保护、数据防泄露=个人信息保护”的观点依然存在。可数据安全与个人信息保护的关系到底是怎样的呢?
注意1.本文中数据安全的定义相对普适与传统,指保护数据免受任何未经授权的访问或恶意泄露等,未包含数据备份等技术,也未泛化“安全”至更多含义如国家安全的风险;
2.考虑到数据主权的兴起与跨境的特殊性,若非特指本文讨论场景暂以国内应用为主。
一、从定义中看数据安全与个人信息保护的关系
个人信息保护,是“个人信息”的保护
个人信息保护法第九条“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”,充分说明个人信息保护需要数据安全。
确实,“个人信息”无论如何定义,其始终以“数据”的形式客观存在,而且是极有价值、非常重要的数据。因此,个人信息的保护天然需要保证其机密性、完整性和可用性,必须保证授权用户访问的可靠与准确,必须阻止未经授权的访问,且保护数据免受外部攻击者或恶意内部人员的破坏与泄露。所以,个人信息保护建立在安全尤其是数据安全基础之上,是无可争议的。特别是,伴随着大数据/AI的发展,数据资产化,提升企业数据安全防护能力的需求尤为迫切。
不过,从这个角度来看,数据安全之于个人信息保护,其实与数据安全之于知识产权,数据安全之于商业秘密等,本质上没有区别,都是要保护“重要数据”,只是也许数据安全遇到的最多问题是个人信息相关问题而已。
个人信息保护,是“个人”的信息保护
个人信息,不仅是数据,还是涉及到“个人”的一种特殊数据,与自然人强相关。为此,个人信息保护法规范了个人信息的利用原则,赋予了消费者相应的权利,定义了企业对个人信息保护的责任与义务;涉及到企业对个人信息的收集、处理与使用、共享与交换、存储和删除等各个阶段的要求。在实现个人信息保护的过程中,需尊重消费者的知情同意权利,需实现消费者对个人信息的查/删/改/复制/可携带等权利,需实现数据最小化的要求等。
如果说,数据安全因个人信息“重要且有价值”而保护,个人信息保护则因个人信息关联到“个人”而保护,更关注数据背后与人相关的“含义”,更强调对消费者权利的提升与企业行为的约束等。个人信息保护有其独特的特点与诉求,与传统的数据安全不一样。
总结:数据安全与个人信息保护的关系
数据安全就像安装在窗户上的栅栏,而个人信息保护就像窗帘。假如没有栅栏而被恶意闯入,住户隐私的保护将变得毫无意义;但仅有栅栏,虽可防止闯入,却依然无法防止恶意窥视。
与之类似,没有数据安全,个人信息保护就变成了一纸空文,数据安全是个人信息保护的基础;但在《个人信息保护法》之下,“保护”有了新的内涵。
数据安全是实现个人信息保护的必要条件,但决不是充分条件。数据安全不等于个人信息保护!企业数据安全的防攻击防泄露能力不等于个人信息保护的能力!
二、实践中看数据安全与个人信息保的关系
从企业角度看,个人信息保护与数据安全的差异
毋庸置疑,与在个人信息流动中承担主导地位相匹配,构建个人信息保护系统的“球“自然且必然在企业脚下,这既企业的责任,更是企业使用个人信息所必须承担的义务。
以企业为中心,个人信息在企业内流动的全途径,至少涉及了5个角色:从提供个人信息的消费者,到合理收集、处理与使用个人信息的企业,再到共享与交换数据的第三方,它们组成个人信息流动的正常途径;当然,还有需要特别防护的企业内鬼及外部的恶意攻击者。
以企业为中心的个人信息流动示意图
面对数据流动过程中的不同角色,数据 安全与个人信息保护系统发挥着不同的作用:数据安全系统:企业防御内鬼作恶、黑客攻击等,以防数据泄露为主要目的;个人信息保护系统:企业主动构建,实现个人信息的正确收集、处理与使用、共享与交换、存储和删除等管理系统,核心是实现权利的平衡,构建消费者对企业的信任。它们有很多不同的特征,在此简略列举几点:
个人信息保护与数据安全的差异
|
个人信息保护 |
数据安全 |
|
|
保护目标 |
个人信息 |
一切价值信息,包括个人信息,也包括如商业秘密、知识产权等 |
|
业务价值 |
防强迫、防窥探、防操控、防泄露(主动的共享与交换)等 |
防泄露(被动或恶意或无意) |
|
业务驱动 |
基于风险的合规 合规基础上释放数据价值 |
基于风险管控的合规 |
|
业务措施 |
合理正确的收集、使用、共享、删除和存储个人信息等 |
保护数据的策略、方法与手段 |
|
消费者感知 |
必须增加消费者可知可控能力,并逐步构建企业与消费者之间的信任平衡,最终实现消费者的无感 |
天然无感 保护数据是企业自然义务 数据泄露后被通知 |
|
企业主动性 |
企业自主可控,需自证清白 |
企业主动构建防护系统,但大部分情况下被动受到攻击 |
|
… … |
… … |
… … |
数据安全与个人信息保护本质不同
数据安全(Data Security)与个人信息保护(Data Privacy)都在努力构建消费者、企业以及第三方之间的信任,但因其面对的对象、业务价值与目标的不同,实现方式从本质上就大相径庭。
安全包括数据安全目的是帮助企业防止各种恶意攻击,从某种程度上讲,更像“军队、警察,防敌人,抓坏蛋”,解决的是“敌我矛盾”(虽未必是全部),普遍做法是首先将数据放在“保险柜里”,其次怀疑大多数或假设任何对象都是“坏蛋”,都不可信。(零信任和隐私计算的火爆,不是没有原因的)。
相比数据安全面临着攻击者等的不确定性,个人信息保护的参与对象是消费者、企业以及第三方等,个人信息的流动是建立消费者知情同意与数据合理可控的基础之上,企业们本就是正常的业务对象而不是“坏蛋”。在法律法规支持与公权力机构监管之下,追求创新、效率与保护的平衡,合理做法是企业可自证清白的前提下信任大多数;而企业与消费者之间的问题归因于类似正常商业行为的“不信任”而非“敌对”。从这个意义上讲,个人信息保护,更像在解决“人民内部”的矛盾,像极了现实世界的“消费者权益保护”,尽管企业与消费者之间的关系有数字世界的新特点,也面临着新的问题。
当前个人信息保护的问题源于信任失衡
与数据安全“道高一尺,魔高一丈”永无休止的技术对抗不同,个人信息保护最完美的情况是建立在公平、透明、合法基础之上、兼顾效率与收益的信任平衡。在这种平衡机制下,企业完全执行个人信息保护的相关要求,具备经得起放大镜下审视的自证清白能力;消费者则相信企业遵守法律法规,可自由但并不随意行使主体权利,不再也不需关注个人信息滥用等问题,而更关注企业提供应用的功能与体验等。就像我们从不担心把钱存入银行的安全性,而更关心银行的服务质量与便利性一样。建立信任平衡,构建良性数据生态,让消费者“忘记”个人信息需保护,而企业们利用个人信息创造更多、更大的价值,也许是个人信息保护的终极目标。是的,个人信息保护落地的目标可能就是“消灭自己”。
回到现实!现在的我们,享受着技术创新带来便利,却也不得不承受着企业过于追逐数字红利,个人信息被过度收集、滥用、非法交易等风险。企业在使用个人信息方面的技术日新月异,却忽视了处于相对弱势地位消费者的顾虑,个人信息保护技术的研究和落地进展缓慢,个人信息保护的问题非常突出,企业与消费者之间存在着严重的信任失衡。
这种失衡,是企业与消费者之间权利不平衡的必然结果。解决它,对症的“良药”各国的个人信息保护法已给出了答案,自然就是“重构信任”。不同人对于“信任”的理解可能并不一致,数字世界的“数字信任”机制确实也有待于去探索建立。但无论如何,至少应符合《个人信息保护法》,建立在可知、可控的、透明的个人信息管理体系之上。
信任重构的核心是企业与消费者之间义务与权利的重平衡,企业必须重视并积极构建个人信息合规管理系统去实现它。这个系统就像“汽车上的安全气囊”,也许未必面临着消费者的挑战,但一旦消费者行权尤其是大量行权,则能避免企业巨大的信誉与商业损失。更重要的是,从长远看,这个系统将会成为解决“数据垄断”与真正解决“数据孤岛”的关键,是未来新数据生态的基础!(说实话,我不知道有多少人能够看懂这一点)
个人信息保护独特技术体系
数据安全与个人信息保护在技术实现上有不少共用技术,譬如当下火爆的多方计算技术,它能解决数据接收方不可信、避免数据泄露的数据安全问题,又可解决共享交换过程中数据最小化的个人信息保护问题等。不过,基于本质及业务目的等不一致,个人信息保护有其独特的技术体系。
从信任重构角度,可以将个人信息保护技术分为两大类:管理信任和技术信任。
管理信任技术,一般体现为落地管理流程和策略的合规管理系统,以实现个人信息的可知、可控等,诸如数据分级分类技术、个人信息元数据管理技术、DPIA(Data Protection Impact Access)、同意管理以及权利响应技术等等。
技术信任,主要是通过data masking、泛化、差分隐私、联邦学习、多方计算及数据合成技术等,解决数据收集、使用、处理、存储、共享交换等过程中数据最小化等问题,以实现合规及数据价值的更大化。
管理信任是技术信任的基础,但其作用在各种眼花缭乱的技术下,总是容易被忽视,实际其作用甚大。如企业可通过极短时间甚至秒回用户的权利请求,侧面佐证其已有效管理个人信息,增强信任;再如隐私计算技术某些场景下,只有在同意管理技术等支撑下,才能真正实现合规。
三、正确理解数据安全与个人信息保护关系,对数据生产要素化极其重要
之所以在此说明个人信息保护与数据安全的关系,绝不是否定数据安全的基础作用,而是希望通过梳理清楚两者之间的关系,明确完整的个人信息保护发展方向,包括解决数据流动的困境:
1) 如果把数据安全问题导致的个人信息泄露等比喻成地震、洪水、瘟疫等,会造成暴风骤雨式的巨大影响(这种影响指的是对消费者的安全影响,而非连篇累牍的恐慌式宣传);那么常见的个人信息保护问题就更像掩盖在利益欲望下的伪劣食品,默默的侵蚀影响着你、我、他的生活,直至有一天,个人信息的泛滥形成新的地震、洪水和瘟疫。所以,两者都要抓,两手都要硬,缺一不可。
2) 个人信息的流动就像被数据安全(军队、警察)保护下的“商业流动”。数据安全保障流动的安全性,而个人信息保护解决流动的合法合规性、权益平衡等。正确理解它们不同分工与作用,将有助真正理清个人信息流动的问题所在,才能为真正实现数据的合理流动做好准备。尘归尘,土归土,安全问题归安全,隐私问题归隐私,而不是纠缠混淆在一起,更不是从极度的无序滥用、毫无合规概念,到用单纯的绝对安全来证明合规性。
3) 在数据安全保护之下,符合个人信息保护要求的数据流动形式可多样性。研究英国匿名化技术公司Privitar的技术发展史可看出,基于众多条件汇总而成信任评估机制,进而自动生成管理控制策略,才是未来大规模自动化共享交换数据的核心控制点。基于信任评估,数据共享交换也有源数据、不同程度的匿名化数据、合成数据等多种形式,而不仅仅有传递数据价值的隐私计算技术;当确实无法信任之时,如数据对外公开发布,可采用强匿名化技术等。所有匿名化、隐私计算技术都在为管理控制策略服务。
总结
相比国外,国内确实存在着数据安全(Data Security)与个人信息(隐私)保护(Data Privacy)概念混乱的情况,尤其是过于强调数据安全的作用,试图用“绝对安全”代替“个人信息保护”,这会导致个人信息合规、数据流动与共享、数据生产要素化产生偏差甚至迷失方向。
从个人信息保护落地角度看,毫无疑问,数据安全是个人信息保护的基础。但数据安全与个人信息保护亦有本质上的差异:是“敌我矛盾”还是“人民内部矛盾”;是怀疑大多数,还是信任大多数;是构建防御管理体系还是构建自证清白的信任管理体系等等。很显然,从这个意义上,数据安全和个人信息保护走在了不同的方向,一味的泛化与扩大数据安全的范围,实际上在混淆它们的本质,并不一定有利于个人信息保护的发展。相比安全的深入人心,个人信息保护体系的构建,更需打破传统桎梏,更需创新精神,所以,个人信息保护技术向左,数据安全技术向右。
希望通过这篇文章,让大家了解数据安全与个人信息保护的关系,尤其是它们的差异,真正找准个人信息保护的方向;也希望越多越来的人加入个人信息保护新领域,共同进步,勇于尝试,在数据要素化的道路上,抓住机会,快速发展,助力中国成为世界数字经济的领头羊!
