《个人信息保护法》与隐私计算应用场景的合规路径浅析

最新推荐文章于 2024-12-19 08:10:20 发布

洞见科技InsightOne

最新推荐文章于 2024-12-19 08:10:20 发布

阅读量871

点赞数 1

分类专栏：隐私计算联邦学习文章标签：其他去中心化区块链同态加密零知识证明

本文链接：https://blog.csdn.net/DJKJInsightOne/article/details/121115557

版权

本文分析了《个人信息保护法》的主要原则，并探讨了隐私计算如何与这些原则相结合，特别是在最小必要原则和信息安全保证原则方面的应用。隐私计算通过安全多方计算、同态加密等技术，实现在不泄露原始数据的情况下进行分析计算，以满足业务需求，同时保护个人信息。案例展示了匿踪私密查询和联合风控建模在金融行业的应用，表明隐私计算在保障信息安全的同时，促进了数据的合规利用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

从《个人信息保护法》看隐私计算的科技向善应用

——关于隐私计算应用场景的合规路径浅析

2021年8月20日，《个人信息保护法》（以下简称《个保法》）经十三届全国人大常委会第三十次会议正式表决通过并发布，于2021年11月1日施行。《个保法》的施行将对电子商务、金融、医疗等众多行业在个人信息处理的合规方面带来挑战，个人信息保护技术也将因此得到前所未有的发展契机。

本文主要从《个人信息保护法》主要原则出发，结合隐私计算的特征及应用场景进行合规路径分析，进一步阐述隐私计算的科技向善应用及发展趋势。

01《个人信息保护法》的主要原则

《个保法》规定了个人信息处理的八大主要原则，包括：

(一) 合法、正当、必要、诚信原则

合法性原则是世界范围内个人信息保护法普遍确立的基本原则，要求个人信息处理者在个人信息处理过程中必须遵守法律、行政法规规定，不得以非法方式处理个人信息，不得从事危害国家安全、公共利益的个人信息处理活动。

《个保法》第五条，在第十条禁止性规定的基础上，进一步强调合法、正当、必要、诚信原则，指引个人信息处理者及国家机关监督部门结合特定的个人信息收集、使用、加工、传输、存储等应用场景，综合个人信息处理目的、方式、不利后果等评估因素，评估及判断其处理行为的合法性。

合法、正当、必要、诚信原则，实际上是合法性原则的内涵及外延理解的融合，更大程度上强调个人信息处理者在个人信息保护方面的积极作为。个人信息处理者应当在充分尊重个人信息主体合法权利的基础上，从国家安全、公共利益保护高度提升对个人信息处理行为的合法性认知，积极采取有效合规措施避免对个人信息的非法收集、滥用、泄露等违法违规或不良行为发生。

(二) 最小必要原则

《个保法》第六条规定「处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。」「收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。」

《个保法》第六条是在该法第五条「正当、必要」原则的基础上进一步细化的行为准则。本条原则主要体现了个人信息处理的最小必要原则，个人信息处理者对个人信息的处理目的、方式、收集范围等均应围绕实现明确且合理的处理目的之必要，在与处理目的直接相关的限定范围内，采取对个人权益影响最小的方式处理，不得过度收集、处理。

在《个保法》施行之前，国内《网络安全法》、《数据安全法》等法律、行政法规及国家标准已对个人信息处理的最小必要原则进行了规定，特别是国家市场监督管理总局、国家标准化管理委员会2020年3月6日发布并于2020年10月1日已实施的GB/T 35273-2020《信息安全技术个人信息安全规范》（国家推荐性标准，以下简称《个人信息安全规范》）对最小必要原则细化了技术标准，根据该标准，实现“收集个人信息的最小必要”的技术要求主要包括：

1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；

2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

《个保法》在现行立法及国家标准基础上对最小必要原则做出了更全面的规定。不过，在实践层面，最小必要原则还需要结合现行各行业法律法规、政策指引及国家/行业/地方技术标准等规定予以落地。随着《个保法》的施行，相关配套性法律法规、司法解释及各类标准、规程等也正在并将如雨后春笋般陆续出台。

(三) 公开透明原则

《个保法》第七条明确个人信息处理者应当遵守公开透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。公开透明原则以信息主体（个人）知情权为基础，要求个人信息处理者应以通俗易懂的用语、明确、完整地向个人公开明示其收集、使用、加工、存储个人信息的目的、处理方式、个人权益影响等内容，以减少因技术隐蔽性导致个人与处理者之间的信息不对称，避免处理者通过隐蔽的技术手段误导、诱导、欺骗个人做出不利于其合法权益的同意决定。个人也只有在充分知悉信息被处理的目的、方式、范围及可能对个人权益所造成的影响等内容，才会更准确、真实、自愿地选择是否将个人信息处理的权利授予处理者，此点也符合知情原则和诚信原则的要求。

公开透明原则是个人信息处理者应予以重视的合规要求之一，制定个人信息处理的合规规则，需要对自身业务进行全面地合规梳理及自查自纠，对于不安全、不规范的个人信息处理方式也将面临技术革新，从个人信息保护角度重新审视产品和服务设计的合规性及合理性，以建立及完善涉及个人信息处理的产品或服务中隐私政策，而处理规则的公开公示，将使个人信息处理者更加自律，引导其注意梳理及规范业务过程中对个人信息最小必要收集、使用、加密、存储、输出、目的与实现方式等关键环节的合规操作，以避免脱离其公开公示的规则而不规范或非法处理个人信息。

(四) 知情（告知）原则与同意原则

《个保法》以「知情（告知）