ENISA报告 | 隐私挑战下,数据保护工程的设计与延展实践
2022年1月27日,欧洲网络及信息安全局(European Network and Information Security Agency,简称“ENISA”)发布《数据保护工程》(Data Protection Engineering)报告。报告对数据保护工程进行了更广泛的研究,旨在支持从业者和组织设计数据保护方式、部署和配置相关数据保护技术,并讨论了与满足GDPR第5条规定的数据保护原则相关的可能优势和适用性。最后,报告为利益相关者提出了相关建议。
【关注公众号并回复“20220602” 获取完整报告】
技术的发展带来了数据共享、处理和存储的新技术,与新兴技术和应用相关的隐私和数据保护新挑战也随之产生。
首先,新技术的引入往往没有事先评估其对隐私和数据保护的影响。在这种情况下,处理个人数据缺乏预定目的,而这与GDPR规定的必要性和目的限制原则相冲突。
其次,区块链和分布式账本等技术使得个人对其数据的控制权大幅降低,譬如所有区块链参与者都可以看到数据的活动状态,而这又与数据最小化原则相矛盾,并对数据主体行使删除权构成严重障碍。
最后,人工智能系统可能被授权以某种程度的自主性做出决策,但这种自主性很可能与个人数据保护和GDPR的核心——人类对机器的代理和自决权相冲突。
简言之,隐私和数据保护的挑战包括:缺乏控制和透明度、数据不兼容重用、数据推断和重新识别困难、分析和自动决策中的数据保护难题。此外,在这种情况下实现GDPR相关数据保护原则同样极具挑战性,新技术也无法以传统的、“直观”的方式与数据保护原则相契合。
在GDPR颁布实施之后,欧盟数据保护委员会(EDPB)发布了一套关于设计和默认数据保护的指南。其中指出:数据保护的核心义务是通过适当、必要的保障措施有效维护数据保护原则,并最终实现数据主体在设计和默认数据保护情况下的权利和自由。
简单来说,这意味着GDPR鼓励企业在设计数据处理程序的最初阶段,通过采用技术及组织措施,从一开始就保护个人数据隐私资料。无疑,数据保护工程可以被视为数据保护的一部分。
因此,数据保护工程被定义为:通过选择、部署和配置适当的技术和组织措施,以满足GDPR第5条数据保护原则的隐私和数据保护策略。
GDPR第5条指出:
1.对于个人数据,应遵循下列规定:
(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);
(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);
(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);
(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);
(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。(“限期储存”);
(f)处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。(“可问责性”)。
目前,在设计和默认数据保护的过程中,可采用的现有安全技术主要包括以下几种:
隐私增强技术
隐私增强技术涵盖范围广,支持在系统和基础设施层面实现数据保护原则。作为技术解决方案,隐私增强技术通过最大限度地减少个人数据使用、最大限度地提高数据安全性和赋予个人权力来体现基本数据保护原则,可以被视为实现GDPR第5条数据保护原则和GDPR第25条设计数据保护义务的基石。
匿名化和假名化
数据匿名化所面临的问题是如何协调数据可用性和再识别二者之间的冲突。它通过噪声处理或泛化来改变数据,从而实现匿名化。
假名化技术则属于“去识别”技术,旨在消除一组识别数据与数据主体之间的关联。值得注意的是,假名化数据是个人数据,而匿名化数据不是;假名化数据具有再识别的可能性,而匿名化数据不能。
目前两种最流行的匿名方法为k-匿名和差分隐私。企业选择匿名化方案需要根据其实际情况来决定。譬如差分隐私不需要攻击建模,而且无论攻击者知道什么,数据都是安全的,具有更强的数据保护效果也更适合参与人数较多的情况。
数据屏蔽和隐私保护计算
同态加密
同态加密是许多隐私增强技术的基础,它允许对加密数据进行计算,而无需先解密。其典型应用场景是,数据主体希望将其个人数据的处理外包,而又不以明文形式披露个人数据。显然,同态加密的功能非常适合由第三方(如云服务提供商)执行数据处理的情形。
安全多方计算
安全多方计算是指在没有任何一方可以看到其他方数据的前提下,通过在各方之间进行分发计算来解决各方间信任问题的加密协议。
不过,安全多方计算有如下不足:首先,安全多方协议在应用中可能变得非常复杂,且需要巨大的网络通信开销,因此不适合具有快速实时需求的应用场景。其次,安全多方协议在所有相关方之间分配总权力,但并不能让任何一方都能单方面对其他方作出决定。此外,如果安全多方协议出现错误,手动覆盖安全多方计算的结果绝非易事。
可信执行环境
可信执行环境是设备主处理器上的防篡改处理环境。可信执行环境可以抵御软件攻击以及对系统主内存的物理攻击。它通过防御未经授权的访问、数据泄露和恶意软件,在保护个人数据方面发挥关键作用。
其他
此外还有诸如私有信息检索(允许用户恢复数据库中的条目,而无需向数据保管人透露查询了哪个元素)、合成数据(类似于真实数据但实际上不涉及任何特定可识别个体的数据)等安全技术。
访问、通信和存储
通信信道
安全通信信道是指在两个或多个通信方之间进行安全数据交换的渠道。其设计通常是为了增强通信的隐私程度,使未经授权的第三方无法访问通信内容。通信信道不仅应保障数据安全,更应具有隐私增强功能。端到端加密(在两个或多个通信方之间始终对数据保持加密,只有参与通信的各方才能访问解密密钥)和代理路由(使用支持公共网络匿名通信的代理路由传输数据)技术能够成为实现这两个目标的工具。
隐私保护存储
隐私保护存储既可以保护个人隐私数据的机密性,又能够在违约发生时通知数据管理员。它可以应用于存储、数据库和应用加密三个级别。
增强隐私的访问控制、授权和认证
身份验证用以确认提出访问数据请求的用户的身份;授权则确定经过身份验证的用户可以进行哪些操作;而访问控制则确保只有经过身份验证的用户才能访问他们有权访问的信息。这三个要素密切相关,省略其中一个要素都会削弱数据保护级别。
透明度、可干预性和用户控制工具
隐私政策
在设计隐私政策时,为达到准确保护数据的目的,一方面需要简化数据以便普通人能够理解,另一方面简化也不能引起误解。首先,隐私政策须考虑用户的潜在设备情况。其次,信息应具有可访问性且符合辅助技术要求,以便残疾人也能访问。再次,在特定情况如智能家居环境中,文本信息并不适用。
隐私偏好信息
根据用户以机器可读方式表达隐私要求的想法,有以下隐私偏好信号模式:①“不跟踪”标准(DNT);②全球隐私控制(GPC)。网站或网络服务提供商应支持标准化的隐私偏好信号,并在决定处理个人数据时考虑并尊重用户的需求。
同意管理系统
同意管理系统首先进行同意收集,即向用户展示网络服务使用条款,在页面底部添加一个按钮,声明“我已阅读并理解这些使用条款”。一旦用户点击按钮,就视为用户已明确同意签署同意书。对于收集的电子同意书,由同意管理系统审核同意书的完整性和可用性。
行使访问权、删除权、更正权
根据GDPR第15条的规定,数据主体有权请求数据控制者和数据处理者提供系统中存储的个人数据及关于数据处理程度的信息,即访问权。删除权、更正权类似于访问权,可通过专用服务器进行操作。
此外,隐私图标(通过机器可读的图形符号代替文字传达信息)、粘性政策(将隐私政策“固定”在数据上,在传输时随数据一起移动)、隐私仪表盘(能够显示数据主体正在处理哪些个人数据、何时以及向谁披露个人数据的仪表盘)等技术也可以成为保护用户数据和个人隐私的工具。
基于上述概念的理解,以及相关安全技术的梳理,企业开展数据保护工程设计可以遵循3个核心思路:
定义最适用的技术
报告指出,研究界应在政策指导和研究资金支持下,继续探索部署(安全)技术和方法,以支持数据保护原则的实际应用落地。监管机构应宣传此类技术和方法的好处,并就其适用和部署提供指导。另外,应采取举措支持、鼓励数据保护工程师。
实施最先进的技术
数字保护工程高度依赖于最先进的技术。虽然不是所有的技术都同样有效,每一项技术都可能存在实施挑战或实施限制——这不仅关系到技术本身的选择,也关系到处理操作的总体设计。因此,监管机构应讨论并在各地推广相关技术和最先进的解决方案。此外,监管机构还可以通过公开相关文件对良好实践进行推广。
证明合规性并提供说明
数据控制者和数据处理者应该保证其部署的处理操作具有可靠性和正确性,同时履行其监管义务,以证明其总体保护水平的合规性。
譬如欧洲监管机构和欧盟委员会应根据GDPR第42条的规定,推动建立相关认证计划,以确保数据保护的适当工程化。同时,监管机构应确立新技术和新应用等领域监管方法,从数据保护的角度出发,考虑所有可能的实体和角色,同时保持技术中立。
来源 | ENISA
往期推荐:
Gartner:2025年60%的大型企业机构将使用隐私增强计算技术
公开课 │茹志强《中国移动梧桐大数据隐私计算应用实践》(附PPT)