数据视角下的隐私合规3

自从《个人信息保护法》颁布以来，对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲，个人数据使用在企业内部变成一个“谈虎色变”的问题，有合规意识的业务开始拉上合规、法务、安全团队开启评估审批，但在很多没有PbD（Privacy by Design）机制的企业来讲，遇到这类问题的合规/法务同学往往会很头疼，“合法性事由”的适用性在不断压缩，告知同意/PIA/第三方管理/DSAR犹如一道道天堑，如果整改那么业务要延迟甚至推倒重来，如果不整改业务要带隐私合规风险上线，变成了鱼和熊掌不可兼得的问题。今天这篇文章我们来谈谈个人数据使用环节的合规问题。

时时勤拂拭，勿使惹尘埃

基于同意的合规路径是我们使用/共享个人数据的最常用手段，对于企业而言，合规的同意管理复杂而严格，Cristiana Santos, Nataliia Bielova等学者结合GDPR、ePD、EDPB准则、欧盟欧洲法院(CJEU)发布的有关案例裁决以及多个国家DPA（数据保护机构）发布的 Consent指南等，跨领域合作计算机科学家对“同意”法律要求进行了技术分析，确定了网上有效同意的 22 项法律和技术要求。主要包括事前提示、自由性（不强制同意）、特殊性（每个目的单独列）、告知知情、明确、可阅读性和可达性、可撤回7个大类，22项技术要求1。

那这么多的合规技术点，我们一个企业如何才能够做到面面俱到，CMP（同意偏好管理）便孕育而生。CMP是用户和企业之间的桥梁。一面朝向用户，向用户说明企业收集、处理个人数据的情况，提供视觉友好的页面和相对简洁的文本，以简明、易于获取的方式和清晰的语言向用户说明收集、处理其数据的目的、数据存储期限、数据共享等相关的情况，保障用户的知情同意。一面朝向企业，不仅帮助企业实现合规的同意请求流程，使企业自动化其同意管理过程。还可以促使企业建立对完整个人数据流的业务和运营控制，能够深入了解从选择加入到数据删除的个人数据生命周期，能够跟踪、监控和响应数据主体的请求和同意偏好。部分CMP向企业提供同意分析报告来可视化同意请求情况；提供A/B测试来帮助提高同意率；允许将同意数据库通过API接口等与相关业务系统进行集成，以实现各业务系统的合规2。

一个完整的CMP产品应该包括3部分的能力，分别是交互层、执行层、记录层。交互层基础需要提供好同意体验设计、地理位置检测、多语言支持，进阶的能力包括自动扫描、A/B Test等能力。执行层基础需要提供撤销同意的任务编排，进阶的提供数据发现、删除匿名等能力。记录层基础提供同意日志记录，进阶的提供用户画像、BashBoard等能力。用九智汇提供Consent+DSAR方案，帮助企业从严格的法律遵从和最大化同意率之间找到平衡。

本来无一物，何处惹尘埃

前面提到了基于同意的合规路径，但在实际过程中，基于同意的路径有两方面的难点，首先一旦让用户单独同意，很多场景下用户愿意同意比例会非常低，比如广告领域，Apple在iOS 14.5中首次推出的隐私功能Do Not Track（DNT），使iPhone用户可以更好地控制他们是否希望被广告商跨应用程序在线跟踪，在首次打开APP时会提示询问用户是否希望在打开应用时被跟踪。如果权限被拒绝，应用开发者将无法再访问 Apple 的广告客户标识符 （IDFA），这是一种用于定位和衡量在线广告效果的设备 ID。根据广告衡量公司 AppsFlyer 的一项研究，62% 的 iPhone 用户选择不分享他们的 IDFA。另据英国《金融时报》去年的一份报告称，Facebook90%的收入来自定向广告。然而，它指出，80%的iPhone用户选择不被Facebook，Snap和其他应用程序跟踪。这里不得不佩服苹果公司，纵观欧美的各项相关法律，可以看到美国本土法律并没有对广告追踪行为有具备强制性的法条要求，更没有要求采取比较主动激进的“选择性加入”制度。因此苹果的更新完全是自发性的改变，愿意牺牲一部分广告收入和经济利润，来保护个人数据隐私安全。在态度上实际上是对相对严格的欧洲数据隐私法律系统的主动靠近，是高标准的自我约束。3

除了同意率低的问题之外，基于同意的第二个难点是很多场景很难获得用户同意，前面广告的个性化推荐还算是对用户部分有利的场景，可以增强用户体验，但是对于一些风控场景、医疗研究场景可以说更多是企业和机构利益场景，对个人利益不直接相关的场景就更难获得用户同意了。比如用户很难同意因为企业反欺诈的目的采集手机APP清单，或者因为医药研究的目的同意共享疾病信息。

在这些场景下如果促进数据流动，我们需要引入隐私增强技术，首先提一下Facebook在Apple Do Not Track之后，公开的3个增强技术方案4，MPC（多方联合建模），边缘计算（端上计算明细数据不回传，结果回传），差分隐私（数据集加入噪音使个人不可重标识但保留统计意义），上面3个场景更多在联合建模输出模型的场景。以Facebook MPC场景为例，Facebook拥有数据uid，Feature1，Feature2...FeatureN，电商公司拥有数据uid，是否购买标签。双方利用MPC方案实现联合建模，Facebook得到广告模型，知道哪些特征是更有利促成交易，得到双方的互赢。

上面Facebook的场景方案输出的一个模型结果，并没有到具体的人，实现了匿名计算。但对于输出ID画像的隐私计算方案，比如SGX，隐私求交等技术的合规性，其实并没有充分保障，它依然无法解决数据来源的合法性问题，无法绕开个人信息保护影响评估等合规义务，无法绕开单独同意，也并非匿名化方案，隐私计算更多的是保障“最小化”处理的合规义务，更多解决了数据最小化的安全性问题5。但是在国内依然存在不少假借隐私计算来标榜其合规性，也需要监管和企业一起来推动明确认知，这样才有利于行业和市场的长远发展。隐私计算离开了具体业务场景讨论就可能会有问题，不同的业务场景所依赖的数据不一样、数据处理方式不一样，背后的合规要求、安全要求也不尽相同，用九智汇团队成员来自国内头部互联网公司，最早在各种场景中应用隐私计算技术，可以按场景为客户设计最优的隐私计算方案。

这篇文章是这个系列的完结，隐私在马斯洛的需求金字塔中不属于最底层的生理需求，但是随着社会的进步，人们对于隐私安全的需求必然会越来越高，只要有个人数据使用，一定会有隐私问题，也是我们存在的价值。也希望与行业同仁一道，为更和谐，更公平，更高效的数字化环境贡献一些力量。

引用：

1. Are Cookie Banners Indeed Compliant With the Law? Deciphering EU Legal Requirements on Consent and Technical Means to Verify Compliance of Cookie Banners Cristiana Santos

2. 数据流通利用系列 | 同意管理平台：高效数据合规的技术方案探索-叶玲

3. 苹果隐私政策重大升级，Facebook为何强烈反对？

4. What Are Privacy-Enhancing Technologies (PETs) and How Will They Apply to Ads?