前言

数字经济背景下，庞大的数据如何促进经济社会发展、提升幸福感？当需要利用个人信息、甚至个人敏感信息的时候，又如何让大数据在安全有保障的环境下发挥作用？这是数字经济发展所面临的一个至关重要的问题，隐私计算技术则尝试解决这一难题。

隐私计算（Privacy compute 或Privacy computing）是指，在保护数据本身不对外泄露的前提下，实现数据分析计算的技术集合，达到对数据“可用不可见”的目的；在充分保护数据和隐私安全的前提下，实现数据价值的转化和释放（资料来源于百度百科）。目前主流的隐私计算技术主要分为三大方向：第一类是以多方安全计算为代表的基于密码学的隐私计算技术；第二类是以联邦学习为代表的人工智能与隐私保护技术融合衍生的技术；第三类是以可信执行环境为代表的基于可信硬件的隐私计算技术。不同技术组合使用，能够在保证原始数据安全和隐私性的同时，完成对数据的计算和分析任务。另外还有同态加密、零知识证明、差分隐私等技术。

虽然隐私计算能够实现上述“可用不可见”的目的，起到个人信息保护的作用，但其仍然是一种应然状态下的保证，而具体的隐私计算，基于其不同的应用场景以及各种现实情况，是否能够达到相关法律法规的合规要求，仍然需要一个检视的过程，存在相关的合规问题需要梳理。

本文基于三大法（《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称《网络安全法》《数据安全法》《个人信息保护法》）的要求，尝试对此进行初步的梳理。

一、是否涉及个人信息、个人敏感信息

（一）个人信息的认定

在隐私计算的具体应用场景中，首先需要基于《个人信息保护法》及相关技术标准规范等，判断是否涉及个人信息、甚至个人敏感信息。

（二）隐私计算是否可以等同匿名化？

《个人信息保护法》第四条明确规定，个人信息“不包括匿名化处理后的信息”，《网络安全法》第四十二条明确规定，“经过处理无法识别特定个人且不能复原的除外”，《民法典》第一千零三十八条明确规定，“经过加工无法识别特定个人且不能复原的除外”。因此如果是已经匿名化的信息，可以不受相关法律法规的约束。原因在于“匿名化”达到了无法识别或关联某个具体个人的效果，自然不会对个人的信息权益造成影响。隐私计算在一定程度上，可以接近“匿名化”的要求，但始终无法保证完全或者绝对的匿名化，其中原因有很多。一方面，技术保障的效果无法绝对保证；另一方面，技术操作过程的各个节点以及载有个人信息的数据的整个存储、传输过程难以完全做到无法反推、无法复原、不会泄露等等。因此，无论是从动态角度还是从静态角度，我们无法绝对地作出一个结论，即隐私计算等于匿名化。自然，隐私计算还是需要根据相关法律法规，进行合规性的审查。

接下来，我们在假定隐私计算所涉及的应用场景涉及个人信息时，所可能涉及的相关合规要点。

二、处理的合法性基础之一

《个人信息保护法》第十三条规定了处理个人信息的七种法律依据，只要符合这七种之一即存在合法性基础，分别是：

“（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

结合这七种法律依据，换一个角度看，如果不属于第二到第七项的情形，那么均要取得个人的同意。

三、处理的合法性基础之二

在判断处理的合法性基础时，除了审视前述合法性基础之外，还要进一步结合《个人信息保护法》对处理行为的要求来进一步判断。

（一）合法、正当、必要和诚信原则

《个人信息保护法》第五条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息”。因此，在具体采用隐私计算应用场景中，也要去判断采用隐私计算是否正当、必要与诚信，且不具备误导、欺诈、胁迫的情形。在某些隐私计算场景中，可能必要性不足，正当性不足，或者有违诚信。

（二）目的明确合理且最小相关

《个人信息保护法》第六条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。这是对处理目的与收集范围的要求。在隐私计算的具体应用场景中，需要通过大量数据来进行自动化决策时，则更加要注意收集范围的可控程度。目的明确这一方面更要与透明度结合起来，例如“通过隐私计算，达到……的结果或者效果”，这个结果或者效果的描述也应当尽量明确。

（三）公开透明

《个人信息保护法》第七条规定，“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”。这一条和前述第六条相关联。这里需要重点关注的，就是透明的要求；公开与透明是两个方面，公开指的是手段途径上的要求，透明更侧重于公开的内容要达到“透明”的程度，而不是遮遮掩掩。

四、是否需要进行个人信息保护影响评估

《个人信息保护法》第五十五条规定，“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动”。

在隐私计算的场景中如果涉及到上述情形，要在处理前对处理行为进行个人信息保护影响评估。评估的内容在《个人信息保护法》第五十六条有所交代。

五、隐私计算所涉及的法律关系

隐私计算一般可能涉及如下几个主体：数据的提供方、计算技术的提供方和数据的需求方。当然在某些情形下，数据的提供方和数据的需求方也可能是同一方。那么这几方又需要遵循哪些合规义务呢？

（一）数据的提供方

数据的提供方首先要对自身所获取的数据的合法性负责，也就是前述第二、第三点以及第四点所提到的义务，均需要审查是否满足合规要求。这里惟须注意的是《个人信息保护法》第四条规定了，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。因此，除了“收集、存储”行为需要受到《个人信息保护法》的约束，“传输”“提供”等行为也属于处理行为，也受到《个人信息保护法》的约束。

其次，在涉及隐私计算的场景下，数据的提供方也往往是委托处理的委托方，由其委托隐私计算的技术提供方进行隐私计算，那么，《个人信息保护法》第二十一条规定，“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息”。因此，委托方与受托方之间存在上述的法定义务，且该法定义务需要通过合同的方式予以具体明确。

再次，数据的提供方也要遵循《个人信息保护法》第五章“个人信息处理者的义务”，并需采取措施满足第四章“个人在个人信息处理活动中的权利”。

（二）隐私计算技术的提供方

隐私计算技术的提供方除了遵循前述所有关于个人信息处理者的合规义务之外，重点提及两个重要方面：第一，技术以及技术使用上的安全保障要求（包括组织、技术、制度、流程等各个方面）是否充分，残留风险是否能够最小化；第二，技术本身的合法性授权问题。因为在当前数字经济的分工条件下，一项笼统的隐私计算可能涉及到诸多主体来参与到代码的开发、模型的建立以及模型的测试等环节中，那么其中知识产权的归属、授权使用的范围、授权链的完整性以及各自在隐私计算中权利义务的分配，均是需要仔细分析与梳理的。

（三）数据的需求方/使用方

在数据的需求方与提供方不同的情形下，数据的需求方又会形成一个相对独立的法律地位，同样要满足前述的各项法定义务以及约定义务。

六、隐私计算的告知同意要求

此处同样存在一个误区，是不是采用了隐私计算技术，能够较高等级和程度的满足个人信息保护的要求，就可以不需要授权同意或者采取笼统的授权同意即可？我们认为，基于以下几点原因，在隐私计算所涉及的应用场景中，尤其在涉及对个人敏感信息的隐私计算场景中，单独明确的同意是必要条件。

（一）《个人信息保护法》第七条公开透明原则的要求

前已述及，第七条明确代理公开透明的要求，因此当涉及处理个人信息处理的隐私计算时，应当告知个人采用了相关的隐私计算技术，明确相关的目的、方式和范围；其中的“方式”在具体场景中指向的就是“隐私计算”这一方式，所以，告知个人采用“隐私计算”是该条的法定要求。

（二）《个人信息保护法》第十四条明确了充分知情自愿同意的要求

《个人信息保护法》第十四条规定，“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”。在涉及隐私计算的场合，告知个人采用隐私计算技术才满足该条的“充分知情”，才能够得出自愿同意的结论。

（三）《个人信息保护法》第十四条明确了变更情形下的要求

《个人信息保护法》第十四条第二款规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”。在涉及隐私计算的场合，往往场景是，某一数据收集方以前并没有采用这一技术，数据收集方的隐私政策中也没有涵盖告知这一项，那么隐私计算作为一种新的技术所带来的新的服务，就涉及到处理的目的、方式、种类可能会发生变更，在这种情形下，就应当更新隐私政策，重新取得个人同意，在涉及处理个人敏感信息的场合，还需要重新取得个人的单独同意。

（四）《个人信息保护法》第十七条对告知的要求

《个人信息保护法》第十七条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。”

因此，当数据的收集方采用隐私计算这一技术提供服务时，如果此前没有明确，那么根据该条的要求，也属于应当告知与明确的范围。

（五）《个人信息保护法》第四十四条对知情权的要求

《个人信息保护法》第四十四条规定，“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外”。因此，从个人角度，个人也有权对收集方是否采用了隐私计算这一技术享有知情权。

综上，我们认为，在涉及隐私计算场景下，告知的范围应当具体明确，简言之，在数据收集方的隐私政策中应当明确具体指向采用了哪一主体的什么样的隐私计算技术来提供什么样的服务，在涉及个人敏感信息的场景，还要取得个人单独的授权同意（《个人信息保护法》第二十九条、第三十条）。概括授权并不能满足前述法律上的要求。

隐私计算是一项有助于推动大数据应用的数据合规技术措施，但其仍然要遵守相关法律法规中对数据安全、个人信息保护方面的合规性要求，否则也可能产生影响民事、行政甚至刑事上的法律风险，因此对其进行充分的合规性论证以及相应的评估是必不可少的工作。

作者介绍

闪涛 高级合伙人

执业证号：14401200810597414

专注领域：“一带一路”与海外投资、跨境争议解决、跨境电商、新兴科技（人工智能、区块链、数据安全与信息保护）等

在海外投资、跨境电商等方面以及在东南亚、南亚、西亚、中东欧、中亚等“一带一路”沿线地区国家开展了大量的具体涉外法律服务，累积了丰富的涉外法律实践经验。同时，致力于数据合规、信息安全保护法律实践研究，特别是在数据合规风险管理、数据产品合规审查、数据合规制度设计等方面，目前闪涛律师已获得国际信息科学考试学会（EXIN）数据保护官（DPO）认证。

*声明：本站对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。本站发布的文章、图片等版权归作者享有，如需转载原创文章，或因部分转载作品、图片的作者来源标记有误或涉及侵权，请通过留言方式联系本站运营者。谢谢！