如今,企业可获得的个人数据数量空前,为利用这些数据利用人工智能(AI)等技术(包括机器学习(ML))获得洞察力创造了无穷无尽的新机会。然而,这些事态发展也带来了新的威胁并增加了对这些系统使用其个人数据的个人造成隐私损害的风险。
为了应对不断扩大的威胁面,消费者要求企业成为其数据的良好管理者,并负责任地使用数据。在最近的一次调研,来自19个国家的约5,000名消费者中,近68%的人担心在线隐私。企业面临的挑战是找到从个人数据中提取价值的方法,同时尊重隐私。
隐私增强技术(PET)是一种很有前途的解决方案。它们支持个人数据的分析、共享和使用,同时遵守数据保护原则,而不会对隐私产生负面影响。PET通过加强数据保护实践,可以帮助预防下游的伤害。在过去的十年中,它们已经从研究领域脱颖而出,并开始通过商业产品和开源解决方案获得行业采用,从而降低了实施的成本门槛。
定义 PET
PET的早期定义可以在1995年安大略省信息和隐私专员的报告中找到。PET被描述为“通过最小化或消除可识别数据的收集来保护个人隐私的各种技术”,以及2002年经济合作与发展组织(OECD)隐私增强技术清单,该清单将PET定义为“有助于保护个人隐私的广泛技术”。
虽然数据隐私法中没有对PET进行具体的法律定义,但最近的指导意见英国信息专员办公室(ICO)发布的PET认为PET是“通过最大限度地减少个人信息使用来体现基本数据保护原则的技术(这涵盖了英国 GDPR 中个人数据的法律定义);最大限度地提高信息安全性;或赋予人们权力。
国际标准化组织(ISO)将PET定义为:
隐私控制,包括信息和通信技术(ICT)措施、产品或服务,通过消除或减少个人身份信息(PII)或防止不必要和/或不需要的PII处理来保护隐私,所有这些都不会失去ICT系统的功能。
在ISACA最新发布的白皮书《隐私增强技术:实用考量与应用指南》中将采用欧盟网络安全局(ENISA)PET的定义,即“软件和硬件解决方案,即包含技术流程、方法或知识的系统,以实现特定的隐私或数据保护功能,或防止个人或自然群体的隐私风险。
PET通过降低与数据共享相关的风险,在企业内部实现更大的隐私和数据实用性,并促进潜在竞争组织的外部合作;因此,它们也被非正式地称为伙伴关系增强技术和信任技术。
推动PET市场增长
处理敏感的个人数据,如健康相关或财务信息,并与第三方共享,会给企业带来法律责任和风险。这些挑战阻碍了数据生态系统中数据的充分开发。PET可以从未充分利用的数据中提取价值,并使潜在的敌对方能够执行数据分析,而无需相互信任。
除了对于保护隐私至关重要之外,它们还通过释放数据的潜力和支持新的业务用例来提供显着的经济优势。以下增长驱动因素可能会在未来十年内刺激PET市场的扩张:
- 用户对隐私的期望 – 客户希望企业负责任地处理其数据并确保隐私。近68%的客户担心在线隐私。这种担忧反映了他们对公司数据的信任程度,而失去信任可能会导致收入损失。思科调查报告称,76%的消费者停止使用产品并从他们不信任其数据的组织购买。
- 不断发展的合规性要求 – 130多个国家/地区制定了管理数据隐私的法律,导致复杂的监管合规环境。关于PET的监管指南,以潜在地减轻合规负担,例如ENISA关于数据保护工程的报告14以及英国ICO的PET指南,可能会加速PET的实施,作为一种支持合规工作的机制。
- 创新和新的商机 – 随着数据供应链的扩展,对多方之间的协作和无缝数据共享的需求不断增长。PET支持多方协作,同时保持数据的私密性,并可以支持探索以前被认为是高风险的新用例。另一个例子是数字广告行业,它正在转向无cookie的未来需要改进广告定位、测量和归因解决方案,同时仍尊重用户隐私。IAB Tech Lab等一些联盟正在开发开源解决方案,以在数字广告行业中宣传PET。
- 向合乎道德的数据使用转变 – 数据道德包括收集、保护和负责任地使用个人信息的道德义务。倡导团体和智囊团18正在将道德数据使用的讨论从数据科学家和首席数据官的领域转移到董事会层面的对话。PET可以支持数据道德并提供保证,同时为正在进行的工作做出贡献,例如加拿大CIO战略委员会的AI道德保证计划以及电气和电子工程师协会(IEEE)标准模型流程,用于解决系统设计过程中的道德问题。
- 新兴加密货币市场 – 截至2023年,加密货币市场规模估计为378亿美元。随着机构接受度的提高,对去中心化金融平台的认识提高,以及作为缓解通胀担忧的多元化工具,它可能会继续扩大。隐私对于加密货币保护交易历史至关重要。因此,加密货币市场的增长预计将推动零知识证明(ZKP)等PET的增长,这些PET可以在不泄露敏感财务数据的情况下验证交易。
PETs的分类
根据底层技术或与之相关的用例对 PET 进行分类和分类。这些类别和类别可以帮助企业确定哪些PET可能最适合其特定用例。下面检查了分类和分类的几个示例:
- 经合组织分类法将PET分为四类:1)数据混淆,2)加密数据处理工具,3)联合和分布式分析,以及 4)数据问责制。
- 美国旧金山联邦储备银行 PETs 报告PET按功能分为三种特定技术:1)更改数据,2)屏蔽数据,3)系统和架构。
- 《联合国PETs保护公约指南》对PETs进行了简洁的分类,分为1)输入隐私和2)输出隐私。输入隐私旨在允许多方提交数据进行计算,而其他方无法明文访问数据,而输出隐私旨在防止从传播的输出中识别或重新识别数据。
- 英国ICO的PETs指南对有助于实现数据保护合规性的PET进行分类,包括按设计和默认设置的数据保护。
- 派生或生成数据以降低或消除个人身份识别性以帮助实现数据最小化原则的PET。示例包括差分隐私和合成数据。
- “专注于隐藏和屏蔽数据以帮助实现安全原则要求”的PET。示例包括同态加密(HE)和ZKP。
- PET“根据处理的性质,分割或控制对个人数据的访问,以帮助实现数据最小化和安全原则”。示例包括可信执行环境(TEE)、安全多方计算(SMPC)和联邦学习。
- 数据伦理与创新中心“PETs采用指南”根据用例对PET进行分类。两大类是:1)传统的PET,包括传输中加密、静态加密和去标识化技术;2)新兴的PET,包括同态加密、可信执行环境、多方计算、差分隐私和联合分析。
PET选择的关键因素
PET的选择在很大程度上取决于环境、特定业务案例和隐私要求。数据伦理与创新中心PET采用指南提供交互式工具,帮助技术架构师和产品所有者为敏感数据项目选择PET。该指南包括支持性技术参考和用例存储库。但是,这些指南并不全面。需要根据企业的具体要求,仔细权衡所考虑的每种PET或PET组合的利弊。
虽然PET决策没有标准的流程,但企业在选择PET时应考虑以下因素:
执行数据保护影响评估 – 要评估企业是否应考虑PET部署,一个好的策略是执行数据保护影响评估(DPIA)评估特定数据处理用例的风险。DPIA应考虑数据处理的背景、范围和目的。它应评估必要性、相称性和遵守措施。此外,它应确定受影响个人的风险并评估应采取的措施,同时将可能实施PET以减轻风险的成本考虑在内。
开发业务案例 – 在决定通过实施PET来降低风险后,企业应考虑开发业务案例具有详细的要求,包括:
- 涉及的各种利益相关者的名单,包括技术的预期用户及其目标
- 要处理的数据的类型和数量
- 数据源和目标
- 数据输出要求
- 数据的访问控制要求
- 资源预期的计算
- 隐私保障要求
审查数据治理成熟度 – 数据治理是PET部署的先决条件。了解个人数据的范围、当前的位置、处理位置以及使用方式至关重要。如果已经制定了数据治理策略,企业应了解哪些策略要求将适用于被评估的PET数据,并评估如何执行这些策略。元数据(如数据标签)可用于帮助了解数据的敏感性和精细的数据保护要求。
建立评估标准——为确保所有需求都被考虑在内并进行评估,企业应制定全面的评估标准以帮助决策。以下是一些可以包含在评估过程中的常见标准:
- 隐私目标 – 企业应评估输入和输出隐私的隐私目标;SMPC和HE可能适合于输入隐私,而输出隐私可能需要DP。
- 隐私保护要求 – 企业应与法律团队合作评估隐私保护要求。DP和HE可以为最终用户提供可证明的隐私保证。
- 参与方数量 – 企业应评估参与计算的参与方,以及他们是受信任的参与者还是不受信任的参与者。HE可以支持一个数据提供者,而TEE和SMPC可以支持多个数据提供者。
- 灵活性和可扩展性 – 在大多数企业运营的动态环境中,范围蔓延和需求变化很常见;因此,企业应评估所考虑的PETs的适应性。HE和SPMC实施的后期更改会对时间和成本产生负面影响。
- 性能预期 – 企业应评估性能需求,因为某些用例可能对计算速度的微小下降很敏感;例如,HE通常比明文操作慢得多。
- 对其他系统的依赖性 – PET通常必须与其他安全和数据工具集成,例如身份和访问管理解决方案、数据准备工具和密钥管理技术。集成可能会带来开销,因此应在决策过程的早期进行评估。
- 实施专业知识 – 密码学专业知识等专业技能可能很难找到,这通常使PET解决方案的内部开发具有挑战性。决策应考虑所考虑的PET的资源可用性、技能需求和商业准备情况。
- 配置更改 – 隐私风险可能会随着时间的推移而演变,有关PET的适用性决策应包括配置更改的便利性,以解决动态威胁形势。
- 透明度目标 – 企业应确保选定的PET是可审计的,并应向消费者和第三方诚实地展示PET的能力。值得注意的是,美国联邦贸易委员会(FTC)已经对未能履行对消费者隐私承诺的组织提起诉讼。
考虑到单个PET与组合PET,PET并不能保证满足所有隐私风险和业务需求。企业应该考虑可以提供帮助的PET组合,而不是根据单一PET解决方案的缺点做出决定。
HE和SMPC经常用于平衡操作的速度和灵活性。同样,DP和合成数据通常结合使用以补充隐私保护功能。
PET的监管观点
隐私监管是技术中立的;因此,大多数隐私法都没有明确提及PET。PET可以通过设计和普遍接受的隐私原则来支持隐私。然而,PET在多大程度上可以实现隐私监管合规性尚不清楚,需要仔细分析。
隐私设计是关于将隐私集成到企业的整个工程过程中。从设计上讲,隐私的基本概念是,当数据处理过程中的数据保护在创建时已经集成到技术中时,最好遵守数据保护。企业应定期评估数据保护技术的技术进步,并部署适当的技术控制措施,从而为PET评估和采用奠定基础。
PET还可以支持遵守其他基本隐私原则,例如经合组织隐私原则、它支撑着几项隐私法和国际隐私框架。表 1 总结了如何使用 PET 来维护数据保护原则。
表 1:PET 和数据保护原则
| 数据保护原则 | 原理描述 | 隐私增强技术 (PET) 对齐示例 |
|---|---|---|
| 目的限制 | 为特定、明确和合法的目的收集的个人数据,并且不会以与这些目的不相容的方式进一步处理。 | 可信执行环境 (TEE) 提供证明机制,用于远程验证隐私请求处理。 |
| 数据最小化 | 个人数据应该是充分的、相关的,并仅限于与处理目的相关的必要内容。 | 联邦学习 (FL) 消除了集中式数据收集,并最大限度地减少了在模型训练阶段处理的个人信息。
零知识证明 (ZKP) 限制了处理所需的个人数据量。 安全多方计算 (SMPC) 支持协作,而无需与所有相关方共享所有底层原始数据。 |
| 存储限制 | 个人数据的保存形式允许识别数据主体,保存时间不超过处理个人数据的目的所需的时间。 | 同态加密 (HE)、差分隐私 (DP) 和合成数据可能会使数据呈现为“匿名”,从而使数据不再受数据保护合规性要求和限制的约束。 |
| 准确性 | 个人数据应准确无误,并在必要时保持完整并保持最新。 | TEE 通过限制对未加密数据的访问来确保数据的准确性和一致性。 |
| 安全保障措施(完整性和机密性) | 个人数据应受到合理的安全保障措施的保护,以防止丢失或未经授权的访问、破坏、使用、修改或披露数据等风险。 | HE通过在不泄露明文数据的情况下对加密数据进行计算,降低了数据泄露的风险。
TEE 通过在安全区域存储数据来保护数据免受授权访问。 联邦学习通过消除将数据传输到集中式存储的需要来减少攻击面。 ZKP 支持安全处理,同时保护底层数据免受相关方的影响。 |
| 问 责 | 控制者应负责并能够证明遵守数据保护原则。 | 根据 PET 的实施情况,它们可以用作展示组织问责制和补充现有隐私计划的工具。
组织应确保有关使用 PET 的任何隐私声明都必须准确无误。 对于数据治理,TEE 可以提供为降低风险而采取的步骤的证据70并使企业能够展示问责制原则。 |
结论
在适当的法律指导和隐私保证的指导下,PET可以在数据治理的隐私设计方法中发挥重要作用。除了作为合规性推动者之外,它们还支持企业建立新的数据合作伙伴关系,并从数据中提取最大价值,同时保护个人免受隐私损害。
商业解决方案和开源库有助于降低PET实施成本,有助于推动中小型企业的采用。PET已成功用于各个行业的生产中,包括医疗保健、金融、保险、电信和执法部门,以减轻与数据使用相关的隐私风险。
随着这些技术的快速发展和实施以解决现实世界的业务问题,PET正在迎来一个道德使用数据的新时代。由于缺乏对使用这些技术的认识和详细的指导,PET的广泛使用前景受到阻碍。尽管一些监管机构和政策制定者已经开始努力促进PET的创新和采用,但市场将如何反应还有待观察。
最后,PET可以增强隐私并促进对数据经济的信任,但不能替代强大的隐私计划。考虑采用PET的组织仍然需要遵守既定的数据保护原则,并将PET视为更广泛的隐私框架的一部分,这可能需要通过其他技术和组织措施来补充。
本文来源:ISACA官网,《探索隐私增强技术的实际考虑因素和应用》,https://www.isaca.org/resources/white-papers/2024/exploring-practical-considerations-and-applications-for-privacy-enhancing-technologies
原创译介:Alan Huang
《隐私增强技术:实用考量与应用指南》可免费获取,访问地址为:https://www.isaca.org/resources/white-papers/2024/exploring-practical-considerations-and-applications-for-privacy-enhancing-technologies
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索隐私保护等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。
