王文宇

(北京數安行科技有限公司 北京 100036)(wwy@datasecops.com.cn)

數據信息可以分為個人信息、公眾信息、商業(yè)信息、國家機密等.個人信息在各類數據中屬于特殊的一類，其特殊性表現在：1)與每個個體息息相關，并且攜帶個人的隱私特性，對個體的影響深遠；2)收集、使用個人信息的主體，可能是教育機構、政務機構、企業(yè)單位等等，個人信息一旦被違規(guī)使用，從受損害的主體來講，個人承受的損害更嚴重.在互聯網、大數據、5G萬物互聯的時代，個人信息相比歷史時期被更加廣泛地收集和使用.個人信息被收集和使用，對個人來講期望掌握主動權.當個人發(fā)起個人信息遺忘的訴求時，個人信息的控制者或個人信息的處理者應當按照個人信息合規(guī)要求，對個人信息進行刪除.在歷史時期個人信息遺忘并沒有真正的貫徹執(zhí)行.一方面，在個人信息遺忘方面缺乏針對性的法律法規(guī)，法律監(jiān)管力度不強，政策方面的驅動力較弱；另一方面，持有個人信息或使用個人信息的一方擁有大量雜亂無章的個人信息，對執(zhí)行個人信息遺忘缺乏有效的技術手段.在上述背景下個人信息遺忘等同虛設.在數字化轉型時期，數據運營是數字化轉型的核心驅動，數字化轉型時期數據運營的特性決定了數據安全需要從數據運營角度重新審視，個人信息作為數據運營中的一類特殊數據，在數字化轉型中，個人信息一方面隨著數據運營業(yè)務的多線條化變得無處不在，另一方面?zhèn)€人信息合規(guī)要求達到史無前例的嚴格程度，不管因何種緣由導致個人信息遺忘的不作為都將面臨嚴重的法律制裁.針對上述問題，本文提出了基于DataSecOps(即數據運營安全)的個人信息遺忘的技術，達到個人信息遺忘的合規(guī)目標.

1 個人信息遺忘的立法要求

個人信息遺忘在法律法規(guī)中稱為被遺忘權或刪除權，國內外法律法規(guī)對此都有定義.2018年5月25日實施的GDPR指出：“當用戶依法撤回同意或者控制者不再有合法理由繼續(xù)處理數據等情形時，用戶有權要求刪除數據”.GDPR是由歐盟頒布實施，其管轄目標是歐盟成員國，但實際GDPR的管轄范圍不止是歐盟國家，任何國家或者企業(yè)在一定條件下都會進入GDPR的管轄區(qū)域.

在我國，《關于加強網絡信息保護的決定》[1]《中華人民共和國網絡安全法》[2]《中華人民共和國民法總則》[3]都對個人信息刪除作了定義.作為首部專門規(guī)定個人信息保護的法律,《中華人民共和國個人信息保護法(草案)》[4]規(guī)定：“在滿足指定條件時，個人信息處理者應當主動或者根據個人的請求,刪除個人信息”.《中華人民共和國個人信息保護法》目前仍在草案階段，正式出臺后將成為個人信息保護領域的基本法.隨著立法的進一步完善，個人信息遺忘將成為政府機關、企事業(yè)單位等個人信息合規(guī)性的重要環(huán)節(jié).

2 個人信息遺忘所面臨的挑戰(zhàn)

作為個人信息合規(guī)的重要一環(huán)，個人信息遺忘因個人信息本身的特性以及數字化轉型中無處不在的個人信息流動，導致貫徹實施面臨較大挑戰(zhàn)，主要表現在：1)在過去的歷史時期，個人信息雖有收集，但使用過程相比數字化轉型時期簡單化，流動性較小.在數字化轉型中，個人信息滲透到數據運營的多個環(huán)節(jié)，諸如收集、存儲、分析、共享合作等.與之相關的主體既包括個人信息的控制者，也包括個人信息的處理者.一旦需要對指定個人信息執(zhí)行被遺忘權或刪除權，不管是個人信息的控制者還是個人信息的處理者都無法掌控局面：比如不了解需要執(zhí)行刪除的個人信息在哪里，應賦予誰刪除權限，從哪里著手刪除，刪除了指定信息后是否可能造成業(yè)務層面影響，即使執(zhí)行了刪除是否刪除徹底并滿足合規(guī)性要求.2)存儲個人信息的數據源多，同一個人信息的不同屬性在不同的數據源里表現為不同的形態(tài)，刪除個人信息時無法全面找到這些信息，刪除不徹底.3)個人信息刪除，如何證明刪除的信息與當前的個人完全對應，如何證明刪除后個人信息真正不存在，這些證據鏈如何向監(jiān)管部門提供合規(guī)性證明.

綜上，個人信息的遺忘或者刪除，從個人信息的特性上，與業(yè)務的深度耦合方面，落實實施是個人信息的控制者、個人信息的處理者以及個人信息合規(guī)監(jiān)管部門需關注和亟需解決的難點.

3 現有技術的不足

在過去的歷史時期，個人信息的存儲比較固定，不同的業(yè)務之間交互較少，個人信息處于一種靜態(tài)模式.當前我國已進入數字化轉型時代[5]，個人信息在數據運營的全流程中廣泛地流動，個人信息所在的數據源多，個人信息的存在形態(tài)多樣化，涉及個人信息的分析處理業(yè)務復雜化，個人信息分散、流動頻繁.現有技術在解決上述問題時具有以下局限性：1)主要針對結構化數據，對個人信息以非結構化形態(tài)存儲無能為力；2)個人信息的數據源多，傳統技術需要單一處理各個源，一方面效率低，另一方面也會刪除不全；3)個人信息頻繁流動，與數據運營業(yè)務交織，由此可能在多個業(yè)務中留下多個副本，傳統的技術無法定位到哪些業(yè)務中可能自行留存了副本，從而導致副本刪除不全；4)借助傳統的技術處理個人信息，達到同刪除個人信息相同的效果，此類技術諸如匿名化、去標識化[6-8]，相關的方案比如數據脫敏.此類手段因算法原因可能還原原始個人信息.比如通過同一原個人信息的脫敏數據經過多次組合，能夠拼湊出原個人信息，抗逆性較弱.有些算法處理后的個人信息，借助第三方工具或技術仍能去匿名化或者識別到個人[9-10]，這些處理結果最終不能滿足個人信息刪除的合規(guī)要求.一旦個人信息被還原或者被識別，實際個人信息的遺忘或刪除義務就必須重新執(zhí)行.

現有技術一方面主要面向個人信息靜態(tài)模式的處理，難以解決數據運營全流程中個人信息的遺忘或刪除問題；另一方面對個人信息的匿名化、去標識化因算法原因仍有還原或識別到個人的途徑，導致無法滿足個人信息遺忘或刪除的合規(guī)性.數字化轉型時代下，讓個人信息遺忘或刪除滿足合規(guī)性是個人、政務、企業(yè)、國家關注的重點.

4 下一代個人信息遺忘技術

基于DataSecOps的個人信息遺忘方案，在深度把握個人信息特殊性、使用方式特殊性、享有被遺忘權(或刪除權)的特殊性的基礎上，將數據運營安全內嵌到數據運營中，通過人工智能自動映射個人信息與數據運營業(yè)務的全流程關聯性，在需要執(zhí)行個人信息遺忘時，通過DataSecOps一體化刪除所有與當前個人相關的信息，達到個人信息遺忘的合規(guī)目標.基于DataSecOps的個人信息遺忘，主要包括以下核心技術：1)基于人工智能的全類型個人信息映射；2)基于數據沙盒無痕映射；3)內嵌于數據運營全業(yè)務流程的追蹤；4)自關聯檢索刪除個人信息映射是個人信息遺忘或刪除的基礎，是基于人工智能的全類型個人信息映射；5)建立刪除-合規(guī)的證據鏈，如圖1所示：

圖1 基于DataSecOps的個人信息遺忘

4.1 基于人工智能的全類型個人信息映射

基于人工智能的全類型個人信息映射，通過行為智能分析識別當前行為主體，包括個人信息控制者、個人信息處理者等；通過對個人信息智能分類、智能識別，識別當前分類客體，包括個人信息的屬性分類等；通過對個人信息的不同格式智能分析，獲得結構化數據、半結構化數據、非結構化數據等不同格式的個人信息.采用人工智能技術建立個人信息的智能分析模型，分析模型僅以上述內容作為范疇，不涉及個人信息本身的具體屬性值，持續(xù)對個人信息梳理，在不持有個人信息內容的前提下建立主體與客體的多維映射.

4.2 基于數據沙盒無痕映射

在對個人信息的映射、追蹤過程中，不獲得、不存儲原始個人信息，而是通過個人信息關聯特征進行映射、追蹤，即數據沙盒.數據沙盒技術下的處理，借助基于人工智能的全類型個人信息映射中所建立的分析模型，對個人信息進行信息的提取、關聯和映射，個人信息原內容或屬性特征保留原狀態(tài)，未因新的處理形成新的副本，處理結果以虛擬化數據的方式呈現，對個人信息本體來講是無痕的.

4.3 內嵌于數據運營全業(yè)務流程的追蹤

通過輕量化探針與數據運營業(yè)務融合，內嵌于數據運營中，涉及個人信息存儲、分析、共享協作等各業(yè)務，追蹤個人信息、個人信息的片段、不同個人信息屬性組合隨數據運營業(yè)務的流動，從數量、類型、位置、應用場景等方面建立個人信息的追蹤視圖，動態(tài)跟蹤個人信息的實時狀態(tài).如圖2所示:

圖2 個人信息追蹤

4.4 自關聯檢索刪除個人信息

通過基于人工智能的分析模型、數據沙盒以及數據運營業(yè)務流程的映射、追蹤，個人信息以一種虛擬化的數據方式，建立了涵蓋全數據、全業(yè)務的個人信息視圖，完整地了解并掌握哪些用戶信息，在用戶提出要求時能夠準確、及時地提供或刪除.當個人信息因合規(guī)需要執(zhí)行遺忘或刪除時，從虛擬化的數據集中，基于人工智能的特征模型，自動檢索、刪除所有與當前個人信息特征相關聯的數據，包括但不限于作為個人信息控制者持有的個人信息相關數據、個人信息處理者持有的個人信息相關數據以及隨業(yè)務流動與數據運營業(yè)務融合交錯的個人信息.

4.5 刪除-合規(guī)的證據鏈

經過自關聯檢索刪除當前個人信息后，刪除的徹底性、合規(guī)性，通過人工智能關聯分析進行自證，并保留證據鏈.其中，自證形成的證據鏈不包含任何與已刪除個人信息特征相關的信息，而是通過對個人信息控制者持有的個人信息相關數據、個人信息處理者持有的個人信息相關數據以及隨業(yè)務流動與數據運營業(yè)務融合交錯的個人信息等方面進行個人信息遺忘刪除的合規(guī)驗證，形成數據運營全業(yè)務的檢查結果.

在過去的歷史階段，個人信息被遺忘權或刪除權，因需要經歷逐步的立法完善過程，可實施性較弱，而個人層面對個人信息能夠妥善處理的主觀意識相對來講不強.近些年來，從個人角度來看，個人對個人信息的保護意識愈來愈強，未來個人對有效行使個人信息處置權利的要求也會相應地越來越高.《中華人民共和國個人信息保護法》(草案)已發(fā)布，落地實施也將逐步提上日程，國家有關部門的監(jiān)管力度越來越強，在這些背景下，個人信息遺忘或刪除也必須與國家、社會、個體的發(fā)展和訴求相符，才能有助于數字經濟的持續(xù)健康發(fā)展.基于DataSecOps的個人信息遺忘，遵循個人信息保護的合規(guī)性要求，結合人工智能、數據沙盒，內嵌至數據運營全周期中對個人信息進行追蹤，自關聯檢索刪除個人信息，并動態(tài)反饋檢查刪除后的合規(guī)狀態(tài)，形成刪除-合規(guī)證據鏈，是當前數字化轉型時代適應個人信息合規(guī)新訴求的技術手段.

5 結 語

基于DataSecOps的個人信息遺忘，是現階段適應個人信息合規(guī)新訴求的技術手段.而隨著社會大變革及新興領域、新興技術的發(fā)展，個人信息將繼續(xù)以不同的形態(tài)參與到各個環(huán)節(jié)，比如，有些領域在建立人工智能模型時，是基于個人信息的具體屬性值的數據學習而形成的，針對此場景下行使個人信息的被遺忘權或刪除權，一旦刪除個人信息的具體屬性，有可能造成模型失效.因此，個人信息的遺忘、刪除，需要結合新興的技術特征進一步研究和探索，以兼顧新興技術的持續(xù)發(fā)展與個人信息的合規(guī).