刘云 孙绮雯｜论同态加密的个人信息保护法律果

　　原创 刘云 孙绮雯 上海市法学会 东方法学

　　刘云

　　清华大学智库中心助理研究员

　　孙绮雯

　　清华大学法学院计算法学方向硕士研究生

　　要目

　　一、区分数据与信息的技术选择

　　二、同态加密的个人信息处置功能

　　三、同态加密的脱敏效果评价

　　四、同态加密后的个人信息合规效果评价

　　结语

　　同态加密技术有助于区分数据和个人信息，让个人信息在加密数据的保护下以可控的方式流转，以此实现安全与发展的平衡。同态加密支持在无须访问数据本身的情况下对密文进行运算，解密所得运算结果与直接对明文进行同样计算的结果相同的属性，让同态加密可以在统计计算场景下实现原始个人信息不出域，在信息共享场景下实现敏感个人信息保护，在结果验证场景下实现最小必要信息才出域。同态加密后的个人信息是否是匿名化数据需要根据具体场景来判断。通过同态加密进行数据脱敏具有很高的安全性，但仍然存在加密数据泄露的风险，故而需要履行相应的网络安全义务。同态加密技术使用的法律意义存在不同结果，有时可以通过减少个人信息处理类型的方法降低数据合规成本，有时则属于履行必要技术措施的法定义务的选择之一，有时还会基于同态加密计算获得用户画像结果等新的个人信息而增加新的个人信息保护义务。总之，同态加密技术可以在不受信任的环境中保护个人信息安全，有助于个人信息在安全的环境中实现数据赋能个人、组织与社会的发展目标。

　　“日益增长的数据流通共享使用需求与日趋严格的合规要求让隐私增强技术迅速崛起，然而却没有一项技术可以同时解决数据流通的所有障碍。”相比于传统数据脱敏和数据失真的技术，数据加密技术可以保留数据中的信息并以可控的方式计算，而在数据加密技术中，多方安全计算、联邦学习往往依赖于跨组织的信任为基础，同态加密以加密后的属性值代替个人信息进行计算，可以实现零信任基础上的隐私计算。此外，同态加密具有普适性、广泛性，可以和多方安全计算、联邦学习等隐私计算方案结合使用，也可以在某些技术方案中作为底层技术支撑多方安全计算和联邦学习的应用。尽管同态加密目前具有较高的计算成本，随着个人数据安全与流通利用价值的同步增强和矛盾调和的巨大需求，我们认为该技术将以其显著的法律意义和应用效果而显示出巨大的潜力。

　　一、区分数据与信息的技术选择

　　数字经济发展面临着数据流通利用与个人信息保护的矛盾。数据利用要求数据可查找、可获取、可兼容、可再用，也即FAIR原则，这就需要我们建立一张能够互联互通的数据网络。个人信息的大量采集和使用便利了生产生活，但是个人信息保护法从“以人为本”的理念出发，维护个人信息限定在授权范围内使用，避免泄露、滥用。个人信息保护源于隐私权的扩张，将私密性保护上升为控制权保护，要求在一定范围内提供的个人信息可以被信息主体控制，防止非授权的个人、组织或者非受控的机器读取到个人信息。此外，个人信息保护法对于个人信息设置了一系列个人信息的权利体系、处理者的义务体系，个人信息处理者要相应大量的个人信息权利主张，同时履行包括告知、单独同意、个人信息风险评估等内容在内的一系列义务，这种个人信息合规成本和数据流通利用的需求存在巨大的张力。根据民法典第1034条的规定，个人信息可以划分为私密信息和非私密信息。同态加密的技术方案，可以分别对私密信息和非私密信息提供充分的保护，实现个人信息安全与数据流通利用的平衡。

　　从私密信息保护的视角而言，同态加密这种技术方案所追寻的目标就是维持这种私密水平。同态加密技术允许数据处理者对密文进行特定形式的代数运算，得到加密的计算结果，解密后的计算结果与数据在明文状态下进行相同运算的结果保持一致。对私密信息进行同态加密，允许用户在不先对其进行解密的情况下对数据执行计算，整个过程中数据都处于加密状态，实现数据可用不可见，从而实现私密信息保护和数据价值利用的平衡。对于非私密的个人信息而言，可以个人信息的“逻辑集中”代替“物理集中”的方式提升数字经济创新效率。在不采用加密技术的情况下，个人信息的任何一次流转和处理都会触发个人信息合规要求；此时要求所有的个人信息在被授权后使用，必然会造成计算效率降低造成的经济社会便利度降低，甚至导致一些智能应用模式无法创新使用。例如，在信用借贷场景下，如果在数据无法提前汇聚情况下，获得贷款需要金融机构查询调取相关个人信息，然后再确定放贷标准，这种信用借贷往往需要几天的时间。然而，在数据提前汇聚、个人信息逻辑集中的情况下，信贷申请人只需要发出请求并做出个人信息使用授权，此时即可在数秒内获得信贷资金。在这种数据提前汇聚的过程中，也必然存在个人信息合规要求。我们认为，个人信息保护的对象是可以被识别的个人信息，而非无法识别个人信息的数据。同态加密可以通过加密的方式，将个人信息封装成为一个无法识别个人信息的数据，同时以密钥的方式为数据解密成个人信息提供了可能。在此情况下，数据可以提前汇聚，而解密的方式是以满足个人信息保护法的规则为根据。对于这种在一定范围内提供的个人信息有序流转而言，同态加密让数据流转而个人信息可控，经手数据的人无法窃取个人信息内容，个人信息只在获得授权时方可以最小必要的方式提供。

　　同态加密技术也印证了区分数据和个人信息可以实现安全与发展的平衡。在不区分数据和个人信息的情况下，数据和个人信息是一体两面、如影随形，任何对数据的处理也是对个人信息的处理，数据之中存在大量的个人信息权利而阻碍了数据的利用。但是，已有学者证明，民法典构建了隐私、个人信息、数据的差序保护格局。同态加密可以让数据中仅仅是数据，所意欲保护的个人信息在同态加密的情况下是无法获取的，而可以视为不存在。数据为机器所读取计算，而信息则由人来读取。整个同态加密过程中流转传输的始终是数据，但信息始终控制在特定个人手中，从而更好地区分个人信息和数据，有助于以信息与数据的区分为基础对个人权利在规范世界的技术性构建。

　　二、同态加密的个人信息处置功能

　　在统计计算场景下原始个人信息不出域

　　在统计计算场景下，特定个人的原始个人信息中存在许多非计算值，真正需要的输出结果的是个人信息中元数据的累计结果。此时使用同态加密技术可以确保在统计计算场景下原始个人信息不出域，在保护个人信息的私密性的同时，提取脱敏后的元数据进行计算以获取新的数据和知识。

　　在选举投票等统计计算场景中，需要对集合数据进行求和或者评估数据集的均值和方差等运算。同态加密技术的使用保护明文原始个人信息不被第三方获取，确保在原始个人信息不出域的情况下统计每个候选人获得的总票数，保护选民投票选择的隐私和投票的私密性，保障选举数据结果的正确性。此外，同态加密帮助投票者对其投票选择溯源跟踪，防止选票被篡改，从而达到个人信息保护和个人信息控制的平衡，进一步增强选民对选举的信心和创造良好的政治环境。无论是投票还是跟踪自己选票流向，整个过程同态加密都能确保原始个人信息不出域。在加密投票聚合过程中，利用EI-Gamal椭圆曲线的同态加密原理，无需解密每张选票，直接自动收集并合并统计系统中记录的加密选票，然后解密合并密文，即可得到每张选票选择方案相加的总数，从而在不透露每次投票人身份的情况下准确统计选票。微软创建的Election Guard研究项目，对选民的选择进行同态加密后，生成要存入的纸质选票、纸质选票确认和跟踪代码。选民可以在线输入该跟踪号并确认他们的投票被正确计入。如果他们的投票以某种方式被更改或篡改，他们就会收到相关信息。

　　在基于统计学方法构建机器学习模型的技术开发场景下，同态加密技术可以应用在面向隐私保护的机器学习中，供隐私保护模型训练和预测使用，抵御联邦学习训练模型过程中重构攻击、模型反演攻击等威胁，进一步确保原始个人信息不出域。在机器学习任务中，有输入方、计算方和结果方三类参与者。输入方为原始个人信息所有者，计算方为模型建立者和模型训练预测服务提供者，结果方为模型查询者和用户。在联邦学习过程中，每一个参与方使用自己的本地数据来训练机器学习模型，只将模型的权重更新和梯度信息与其他参与方共享。然而，如果数据结构是已知的，梯度信息可能也会被利用，由于梯度在一定程度上可能被反推出原始个人信息，因此可能会导致训练数据相关原始个人信息的泄露。此外，明文形式的梯度更新可能也会在一些应用场景中违反隐私规定。在模型训练过程中，同态加密可以被用来保护计算中间结果来抵御重构攻击，防止攻击者抽取训练数据或训练数据的特征向量，从而避免原始个人信息被泄露、重构、反演导致出域。在面向隐私保护的机器学习中，很多基于同态加密的研究成果都得到应用。例如，在通过实体解析和加法同态加密对纵向划分数据进行私有联邦学习方案中，利用Paillier同态加密进行安全梯度下降，以训练逻辑回归模型。在安全梯度下降算法中，双方交换同态加密后的中间数据密文掩码。最后，结果方在接收到同态加密后的梯度信息后进行解密和模型更新。

　　在信息共享场景下的敏感个人信息保护

　　在信息共享场景下，对敏感个人信息进行同态加密后，密文不再是敏感个人信息，密文中也不会显示关于明文的任何信息，被预期的接收者单独或与其他合理可用的信息结合使用以识别作为信息主体的个人的风险非常小。此时同态加密技术可以在保护敏感个人信息同时，促进信息共享协作。

　　在临床研究中成功引入同态加密有望提高数据共享协议的接受度、增加样本量并加速从真实世界数据中学习。对所有患者敏感个人信息（如标识符、访问日期、测量值等）进行同态加密，分析者无法获得这些敏感个人信息，而只能对加密数据进行计算分析。同态加密后的数据不再是敏感个人信息，只需履行一般个人信息的告知义务，并且可以从应当取得个人的单独同意变为概括性同意或一揽子同意。由于同态加密在隐私保护上的优势，基于同态加密的真实世界医疗学习系统将吸引更多的患者自愿提供数据以支持罕见病药物的研究和上市监管，而不仅仅是目前从医院电子健康记录和行政索赔中获得的二手数据。引入同态加密学习系统，对个人敏感数据和隐私的增强保护使得临床研究能够接触大量有意愿的研究参与者，可以满足医疗领域个人健康数据共享和聚合的需求，从而一方面推动医学研究的发展进步，确定针对各种遗传定义条件的靶向治疗方法的功效。另一方面也可以进一步推进精准医疗，向患者提供个性化治疗和其他类型的干预措施。

　　在涉及公共利益的信息共享场景中，同态加密技术可以帮助达到公共利益与敏感个人信息保护的平衡。在没有考虑同态加密的某些信息共享场景中，对敏感个人信息的保护只能简单的让渡于公共利益。个人信息保护法第28条对处理敏感个人信息的条件进行限制，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。然而，在《突发公共卫生事件与传染病疫情监测信息报告管理办法》第8条规定，各级疾病预防控制机构负责开展现场流行病学调查与处理，搜索密切接触者、追踪传染源。在公共利益的合法性理由之下，地方的健康信息采集者容易降低这类场景下敏感个人信息保护的必要性程度。收集个人敏感信息、跟踪个人行踪轨迹等有效遏制疫情蔓延，如何平衡公共利益与敏感个人信息保护已经引发了国内外的广泛关切。此时，在健康信息的处理过程中引入同态加密技术可以在保护敏感个人信息的情况下对COVID-19跟踪接触情况，进而提高公共健康管理部门的信息安全管控能力和公众对数据安全的信任度。对COVID-19患者和使用该程序的用户的历史位置信息进行同态加密，以加密格式交换位置信息，计算密文来确定历史位置是否存在交集。同态加密使得在加密位置信息和非加密位置信息之间执行计算成为可能，将准确的位置信息映射到预定义的网格区域，并将邻近度计算问题替换为计算网格是否相同或相邻，即帮助确定这两个位置是在同一个网格中还是在相邻的网格中，但整个过程不提供有关这两个位置的信息。应用在追踪接触者程序中的同态加密技术可以在帮助确定密接、次密接、时空伴随者等同时，共享位置信息但确保不会暴露COVID-19患者和其他用户的位置信息，达到“应用程序追踪的是病毒而不是人”的效果。

　　在结果验证场景下的最小必要信息才出域

　　在结果验证场景下，目的是输出“是”或“否”或预测事情发生的概率之类的结果验证，原始信息和计算过程中的信息并不是关注的重点，也不是需要处理的必要信息。此时使用同态加密将个人信息转化为非个人信息的密文，并对密文进行运算，输出结果验证，从而达到最小必要信息才出域的效果。

　　某些结果验证场景的目的是预测事情发生的概率，此时可使用回归分析，拟合推断自变量和因变量之间因果关系。回归分析根据输入数据，识别不同属性间的相关性，通过给定的大量高维数据点生成最佳拟合曲线。例如，输入个人的年龄、体重、性别、多个时间段的血糖水平，输出患糖尿病的可能性。此时输入数据一方面涉及较多个人信息，另一方面与输出事情发生的概率的目的相比，并无出域的必要性。将同态加密技术应用到分布式数据集的隐私保护回归分析，首先将回归问题转变为多个可分解的部分，数据所有者在本地计算这些可分解的中间结果并对其进行同态加密，然后将加密的中间结果发送到中央服务器。中央服务器使用同态加法运算聚合中间结果，并传递到托管在中央服务器上的安全硬件。在这里，聚合的中间结果被解密，并在明文上执行涉及矩阵求逆和除法等在现有的同态加密方案中很难被处理的计算。最后在安全硬件内部计算模型系数，拟合自变量和因变量间的因果关系。同态加密在回归分析中的应用，可以在不暴露任何其他用户数据信息的情况下执行回归分析所需的计算，实现出域信息包含的范围最小、必要性程度最高，达到预测事情发生概率的结果验证。

　　在某些结果验证场景下，目的是输出“是”或“否”，只关心判断结果，而对具体的个人信息和判断过程无需过多关注。例如，在在线广告投放中，需要验证判断用户是否是某个广告的目标客户，一般是从用户的浏览行为中推断出来，但对用户行为的跟踪以及广泛的数据收集引发用户对隐私的担忧。此时同态加密用户的浏览行为（使用或者访问的网页、搜索查询和在线购买等数据），将加密数据上传到服务器，服务器做出结果判断并将其输出给广告商。针对每个用户，广告商只能在交互过程中得到该用户是否是目标客户的结果验证。同态加密在结果验证场景中的应用，可以在保护用户隐私，缩小出域个人信息范围的情况下，通过对密文的运算准确定位潜在客户，提高广告的预期效果，以最小最精准的范围在交互过程中输出最必要的验证结果。

　　三、同态加密的脱敏效果评价

　　匿名化的判断标准及其范围

　　我国个人信息保护法第73条将匿名化定义为“个人信息经过处理无法识别特定自然人且不能复原的过程”。《信息安全技术个人信息去标识化效果分级与评定》（征求意见稿）将个人信息去标识化效果分为四级，但未明确说明那种级别或者达到哪种程度效果的数据为匿名化数据。其中第4级是指不包含任何标识符（包括直接标识符和准标识符）的数据，大致符合个人信息保护法对匿名化的定义，因为依靠技术手段实现的匿名化状态一般存在去匿名化的可能，不能复原应是一个法律概念，而非技术概念。当个人信息去标识化效果达到3级时，即消除了直接标识符，且重标识风险低于设定阈值的数据，近似达到个人信息的匿名化处理效果。

　　对同态加密的处理效果定性分析来看，在同态加密中，存在个人信息主体、数据提供方、同态加密技术服务提供者、结果获得方等多方主体，该多方主体在同态加密中的参与过程见图1。考虑使用同态加密技术的整个过程，个人信息主体提供原始数据，数据提供方先对原始数据进行本地化处理，然后加密上传至同态加密计算平台，同态加密技术服务提供者对密文进行运算，通过系统平台向结果获得方输出满足其业务需求的数据处理结果。加密方案的同态属性能让第三方在不知道明文数据源的情况下，利用加密数据集进行分析，因此大部分情况下同态加密方案从技术上阻断数据使用与原始数据主体的关联，计算的结果近似达到个人信息的匿名化处理效果，此时应当在法律上不再认定为个人信息。

　　图1 同态加密的过程

　　采用同态加密是否是对数据的匿名化处理需要分类讨论。欧盟WP29工作小组《Opinion 05/2014 on Anonymisation Techniques》中对匿名化标准的判断过于绝对，《意见》认为只要密钥或原始数据是可用的，就不排除识别数据主体的可能性。若从相对化标准角度看，由于同态加密无须分享密钥，以与明文相同的方式在密文中执行分析；处理的结果也被加密，只能由用户本身解密，因此若采用相对化标准，使用同态加密处理个人数据可以被认为是匿名数据，从而不属于相关个人信息保护法律法规规制范围内。2021年，中国信通院发布的《隐私保护计算与合规应用研究报告》指出，“当启用了最先进的加密技术，且执行了严格的密钥管理，数据接收者无法获取解密密钥，在当前经典计算机的算力下，在一定的时间期限范围内想要破解几乎又是不可能的，则可认为构成匿名化。”此外，不仅需要考虑同态加密过程，还需考虑输出结果。有些输出结果切断了与个人信息主体间的关联，达到匿名化处理的效果，但有时还存在重新识别的风险，或者产生新的个人信息，此时输出结果并非匿名化数据，是去标识化数据。从《信息安全技术个人信息去标识化效果分级与评定》（征求意见稿）出发，可以定量得出，一般情况下，当重标识风险小于0.05时，被同态加密后的个人信息被重识别或者反向识别的风险极小，近似达到个人信息的匿名化处理效果，即个人信息去标识化效果为3级或者4级时，可以认定为是匿名化数据；当重标识风险大于等于0.05，即个人信息去标识化效果为1级或者2级时，可以认定为去标识化数据。

　　去标识化的效果及其意义

　　对同态加密后的具体数据，可以根据《信息安全技术个人信息去标识化效果分级与评定》（征求意见稿）进行重标识风险计算，并与阈值相比较。《信息安全技术个人信息去标识化效果分级与评定》（征求意见稿）基于重标识风险从高到低，将个人信息去标识化效果分为4级。

　　在同态加密语境下，有时可能出现计算结果是包含直接标识符的数据，因此在特定环境下能直接识别个人，此时去标识化效果为1级。这时采用同态加密技术似乎事倍功半，成本高但无法发挥同态属性的优势，可以考虑采用其他成本较低的加密技术，或者对计算结果进行进一步处理。

　　在某些情况下，同态加密技术的应用消除了直接标识符，但重标识风险高于或等于设定阈值的数据，此时去标识化效果为2级。同态加密过程的数据可以分为三类：个人信息主体的原始数据，数据提供方加密处理后的数据，以及同态加密处理后的数据结果。同态加密的技术原理是给定明文数据x1和x2，☆为运算符，E为加密算法，则加密后x1的密文为E（x1），x2的密文为E（x2）。若满足：E（x1）☆E（x2）=E（x1☆x2），则加密算法E在☆运算上符合同态加密的性质。在不解密明文数据的情况下，对密文进行运算，解密所得运算结果，该运算结果与直接对明文进行同样计算的结果相同。在广告投放、个性化推荐等过程中，由于同态加密有对密文运算结果和直接对明文进行同样计算结果相同的特性，同态加密技术服务提供者可以对同态加密后的用户个人信息进行数据分析挖掘，根据用户人口学特征、网络浏览内容、网络社交活动和消费行为等抽象出用户模型。当新接收到加密后的用户个人信息时，同态加密技术服务提供者对用户打上标签，表示用户某一维度的特征标识，再将结果返给平台解密。同态加密处理数据的过程是对密文的计算，计算过程中的数据是匿名化数据，但是计算结果可能会对用户进行画像，有时可能反向识别出相关个人信息。当应用软件页面上每周一到周五中午12:00推送外卖优惠券以及周边店铺，可以推断出用户为上班族，根据推荐店铺的位置和消费人均可以推断出用户上班区域和消费水平，此时存在较高重识别风险，结合相关信息可以反向识别，无法达到匿名化效果。此外，使用同态加密系统后的基因组数据存在从汇集样本中识别个体的可能性，而血亲个体之间基因组数据存在显著的共性，因此同态加密后的基因组数据也存在较高重识别风险。

　　从立法论的角度而言，禁止对去标识化的个人信息做未经授权的反向识别，限制相关个人信息的聚合，对于同态加密技术的应用具有重要意义。个人信息保护法（一审稿）第24条曾经规定，“个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。”二审稿以后的条文中删除了前述规定，其根据在于，提供匿名化信息的前提条件既必须保证个人信息无法复原，因此客观上接收方是无法重新识别个人身份的。事实上，如果改成“个人信息处理者向第三方提供去标识化信息的，第三方不得利用技术等手段重新识别个人身份”，则对于同态加密等隐私计算技术的应用将起到重要的支撑，从而提高去标识化技术的法律意义。因为在数据处理过程中，同态加密技术应用在加密后的匿名化或者去标识化数据上，技术的使用本身一定程度上实现了对个人信息和隐私的个人保护，减少了输出结果中包含的个人信息，在某种意义上实现了“最小必要原则”。虽然消除了直接标识符，输出结果中存在某些目的合理且具有充分的必要性的个人信息，这些信息在结合相关个人信息时仍然有重标识风险。从立法完善的角度而言，未来需要对输出结果的后续处理进行限制，禁止反向识别；输出时需要获得用户知情同意，允许用户对授权同意予以撤回。

　　个人信息去标识化效果第2级和第3级都消除了直接标识符，但差别在于重标识风险与设定阈值数据之间的比较关系。具体需要根据去标识化效果公式计算重标识风险，当重标识风险高于或等于设定阈值的数据时，可以认定为第2级；当重标识风险低于设定阈值的数据时，可以认定为第3级。一般而言，当重标识风险低于5%时，个人信息去标识化效果为3级。如上文对某医院同态加密后数据集重标识概率的计算，可以将其去标识化效果定为3级。3级时个人信息被反向识别的概率较小，可以在满足某些条件下（如合理目的、获得用户概括同意、采取严格保护措施等）实现一定程度的数据开放共享。

　　个人信息去标识化效果第4级是理想的同态加密处理效果，同态加密处理后的数据不包含任何标识符（包括直接标识符和准标识符），尤其是在统计计算场景下输出汇总分析聚合数据后的结果，如对集合数据进行求和或者评估数据集的均值和方差，以及将集合数据喂给机器学习模型来训练参数并输出等。此时使用同态加密技术可以确保在统计计算场景下原始个人信息不出域，处理后的数据不包含任何标识符，在保护个人信息私密性的同时，发挥数据的统计价值，据此通过同态属性实现了数据可用不可见。作为技术标准，《信息安全技术个人信息去标识化效果分级与评定》无法改变现行法律对于匿名化的定义，这需要在配套立法或者司法解释中对此问题做出进一步明确。由于没有绝对不可复原的加密技术，4级大致符合个人信息保护法对匿名化的定义，因此输出数据不再是个人信息，也不再个人信息保护法的规制范围内。此时应鼓励使用同态加密技术，允许数据开放共享协作。

　　脱敏的网络安全效果评价

　　使用同态加密开展数据脱敏有很高的安全性，但仍然存在加密数据泄露的风险。一是窃听信号得到足够用来解密的信息。麻省理工学院Hongchao Zhou和Gregory Wornell在2014年开发了一种直接操作整数向量的同态加密方案，该方案支持信号处理应用中最基本的三种操作：加法、线性变换和加权内积，当组合使用时允许高效和安全地计算任意多项式。该框架支持特征提取、识别、分类和数据聚合等实际操作。方案对广播消息进行同态加密以支持数据分享，但在2016年洛桑理工学院的研究小组在论文中展示了针对该技术广播加密部分，攻击者能够窃听广播信号，并得到足够的信息来解密该同态加密系统。二是攻击密文恢复出加密密钥。上述研究小组的论文中还展示了选择密文攻击的方案，攻击者能够通过访问可解密文本的单元，恢复出加密密钥，导致加密数据的泄露。三是侧信道攻击，从同态加密过程中窃取数据。2022年3月，北卡罗来纳州立大学的研究人员利用了微软的完全同态加密库SEAL中的漏洞，绕过用数学工具破解同态加密，仅通过监听执行同态加密编码操作的设备的功率就能以明文形式提取同态加密中的数据。该方案无需花费大量时间金钱，只需要成本不到1000美元的设备，最多大约一个小时就能发起真实攻击。除了上述窃听广播信号、攻击密文恢复出加密密钥、侧信道攻击，还存在一些技术方案会导致同态加密数据的泄露。

　　当实施同态加密对数据脱敏时，应当根据同态加密在不同应用场景中的鲁棒性，结合密码法和相关国密标准，落实网络安全等级保护。按照网络安全法的要求，同态加密技术服务提供者也应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。关于关键信息基础设施，还应在网络安全等级保护制度的基础上，实行重点保护。

　　当将同态加密技术应用在自主保护级和指导保护级的保护对象时，由于同态加密存在一定的技术门槛，处理速度缓慢，成本较高，不可避免地引入大量计算开销，在这种情况下使用同态加密技术类似于杀鸡用牛刀，建议使用其他成本相对较低，计算开销较小的加密技术达到更高效率。

　　当将同态加密技术应用在监督保护级（网络安全等保三级）的保护对象时，在敏感信息处理的情形下，使用同态加密技术可以更好地保障原始的敏感个人信息不被其他方知悉，降低数据处理过程中敏感个人信息的泄露风险。传统方法检索、处理、使用数据，需要先解密后运算利用，这个过程可能存在较大数据泄露、滥用、篡改等安全风险。与传统先解密后计算不同，同态加密可以在保护数据隐私的情况下，利用密文进行运算并能保障结果的准确性，有效保持在不受信任的环境中处理数据时数据的私密性和安全性，降低数据泄露的风险。对政务数据进行同态加密，是政务信息化建设改造的新方向，不仅可以减小甚至避免如公文信息、邮件信息等重要数据泄露、篡改的安全风险，保证政务业务平台的安全稳定运行，还以颠覆性方式促进政府各级各部门横向纵向的数据流通、共享和协作，提高政务工作效率，助力政务信息化建设，构建便利高效安全的电子政务网络空间。由于仍然存在数据泄露的风险，因此在采用同态加密方案时，应当开展同态加密应用安全性评估，依照国家有关管理规范和技术标准备案、测评，并接受国家信息安全监管部门的监督、检查。

　　同态加密并非完全防篡改，加密过程涉及解密密钥的创建，该密钥的存在会产生安全风险；同态加密只允许简单的加减乘法操作，所以无法处理更复杂的运算。同态加密生成的密文大且复杂，随着运算次数增多深度随之增加，且当超过阈值时很难得到正确结果。因此，当面对需要强制保护级和专控保护级的保护对象时，需要结合其他技术，如云计算、区块链、联邦学习、多方安全计算等，进一步降低个人信息和隐私泄露风险，确保重要数据安全和信息系统稳定运行，履行和落实网络安全责任义务。

　　四、同态加密后的个人信息合规效果评价

　　减少个人信息合规风险

　　同态加密技术的使用以改变处理数据敏感度的方式而不适用于部分法律义务，由此降低了信息风险级别和合规难度，减少了数据泄露的风险，从而助力平衡数据融合流通利用的需求和数据合规的要求。

　　在很多应用场景中，同态加密技术实现了原始个人信息不出域，最小必要信息才出域。相较于输入的原始个人信息，同态加密过程中使用的加密信息以及输出结果中包含的个人信息数量、种类明显减少，继而可以减少了受法律约束的情形。

　　同态加密的加密过程是对原始个人信息进行去标识化甚至匿名化的过程。对使用同态加密的个人信息去标识化效果分类讨论同态加密如何降低信息风险级别，从而降低个人信息合规难度。原始的个人信息在个人信息保护法等相关法律法规的规制范围内，但当采用同态加密处理原始个人信息达到匿名化效果时，同态加密后的信息不再是个人信息，从技术上阻断数据使用与原始数据主体的关联，此时经同态加密处理后的信息满足相关个人信息保护法律法规关于匿名化不受约束的情况。当同态加密采用同态加密处理并未达到匿名化效果，只是对原始个人信息的去标识化处理时，此时经同态加密后的信息仍然在个人信息保护法等相关法律法规的规制范围内，但信息风险级别的降低减少了合规内容，也会减少个人信息合规成本。一般而言，同态加密技术可以使敏感个人信息转化为一般个人信息甚至匿名化数据，处理一般个人信息时也能达到较好去标识化效果。在数据跨境情境下，如果使用同态加密方案，数据提供方先对原始个人信息进行本地化处理，然后加密上传至同态加密计算平台，各方无需将个人信息传输或者保存至跨境国的本地，可直接在另一管辖区对密文数据进行运算来分析利用数据，以此在实现数据共享的同时，允许数据所有者保持对敏感或受监管资产的积极控制和所有权，消除了为了协作和获得数据驱动的结果而共享或集中数据的需要。确保数据在生命周期内适配不同国家与文化对于隐私保护的需求和政策差异。

　　使用同态加密技术减少了数据泄露的可能性，从而减少了如泄露通知等合规内容。个人信息保护法第57条规定，“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。”通常，如果不存在受到损害的合理风险，或者如果加密密钥未被泄露且加密数据的可用性未受损害，则不需要通知数据泄露。同态加密数据丢失要分两种情形讨论。如果是密钥丢失并造成数据泄露，则需要承担数据泄露的责任；如果是密钥没有丢失的情况，此时攻击者获得的是加密数据，而同态加密的密文能够被破解读取、翻译成明文原始数据的概率微乎其微，所以可以有效避免原始个人信息明文的泄露，几乎不会造成危害，因此在根据个人信息保护法第56条实施个人信息保护影响评估确认不造成危害后，无须向相关主体发出泄露通知。因此使用同态加密技术减少了数据泄露的可能性，某些情况下无须通知个人或上报主管机关。

　　履行必要技术措施的法定义务

　　在处理敏感个人信息时，采用同态加密技术是履行必要技术措施法定义务的选择之一。个人信息保护法第28条规定“：只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”在面对敏感个人信息时，应当采用与其风险程度相一致，且能够达到其合规要求的技术保护措施，同态加密技术可以作为本条所要求的一种技术选择，甚至可以成为某些场景下必须做出的合规选择。例如，在医院电子病例中存在很多个人健康数据，这类敏感个人信息应当适配高级别加密保护措施。若只采取传统的加密保护措施，对数据的处理还需要先对数据解密，这样只是尽到了“采取加密安全技术措施”，与“采取严格保护措施”的要求仍然存在距离。若采用同态加密技术，无需解密直接对密文进行计算处理，杜绝任何情况下的明文接触，显然比传统加密保护措施更加接近符合“采取严格保护措施”的要求。

　　在个人信息存储和跨境中，同态加密技术的使用可以更好地履行必要技术措施的法定义务，与处理个人信息的风险程度相适应。根据个人信息保护法对个人信息存储、跨境传输等方面的规定，个人信息处理者在处理个人信息时应当采取相应的加密、去标识化等安全技术必要措施，且在个人信息保护影响评估时，应确定所采取的保护措施合法、有效并与风险程度相适应。例如，银行为了防止欺诈和金融犯罪，需要在反洗钱、客户筛选和尽职调查等方面获得全球客户运营情况，类似于上文关于处理个人敏感信息的讨论可知，采用同态加密技术比传统加密保护措施更加接近符合“采取严格保护措施”的要求，因为对密文运算可以达到与直接对明文进行同样计算相同的结果，而无需解密降低明文被接触的风险，是更高级别的加密机制，从而能确保查询敏感客户数据的交互内容及其结果暴露的风险极低。

　　尽管同态加密、多方安全计算、联邦学习等隐私计算技术都可以是履行必要技术措施法定义务的技术，同态加密方案在很多情况下更具优势。例如，对25000个个体数据集的加密遗传和表型数据进行大规模全基因组的关联研究，依赖于受到隐私法规保护的高度敏感的个人基因组变异数据，此时使用同态加密技术一方面保护个人参与者的隐私，支持大规模基因组和临床研究的合作，是“采取严格保护”的“必要措施”。另一方面，利用同态加密技术计算结果比基于多方计算的最新技术方法快30倍，因此具有更强的实用性和高度可扩展性。从安全性来看，同态加密是基于格上困难问题（hard lattice problems），甚至能够抵抗量子计算机攻击；多方安全计算基于半诚实模型，若其中有多个恶意参与者提供虚假数据，则会导致运算结果无意义且产生安全性风险；联邦学习是针对数据源的机器学习方案，当在模型中安装后门时用户很难察觉。所以目前同态加密的安全性最高，多方安全计算次之，联邦学习最低，从安全角度来看，同态加密是履行必要技术措施法定义务的更严技术选择。

　　依然需要履行的个人信息保护义务

　　同态加密是对密文进行运算，计算过程中的数据虽然是密文，是匿名化数据，但有可能计算结果产生了新的个人信息，依然能够识别个人，需要履行各项个人信息保护义务。例如，当同态加密的计算结果输出用户画像时，存在较高重识别风险，结合相关信息可以反向识别，无法达到匿名化效果。此时计算结果同等于个人信息，个人信息保护义务反而增加，包括获得用户的知情同意、新的个人信息的可携带权、复制权、查询权等。

　　网络安全法第22条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。虽然同态加密处理的个人信息是密文，但收集用户信息是对密文进行同态加密的基础，所以仍然需要向用户明示并取得同意，用户依然享有知情同意或者拒绝的权利，数据使用者也需要证明在处理数据时保持在合理的范围内。如果数据主体明确不同意，即使同态加密大幅降低隐私泄露风险和数据主体权益受侵害的可能性，也无法将数据同态加密或者进一步使用。加密领域没有“绝对的安全”，在某些场景下依然存在较大个人数据泄露风险，此时确定是否获得用户的授权同意以及实际处理数据是否超过用户授权范围很有必要。个人信息保护法中第45条指出，个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。相关个人信息保护法律法规都明确了个人信息主体拥有对个人信息的查阅、复制、修改更正、删除、可携带权等权利，因此同态加密计算结果若产生了新的个人信息，也需要对个人信息主体权利正确响应，及时告知相关主体个人信息在传输过程中及传输后可能面临的风险。

　　此外，由于同态加密技术并非坚不可摧，仍然存在密钥丢失、技术方案被攻破、网络入侵等个人信息泄露风险，因此个人信息处理者依然需要在应用同态加密技术前进行个人信息保护影响评估，尤其是对个人权益的影响和安全风险的评估。无论是密钥丢失，还是密文被攻破，明文数据泄露时都应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。当对同态加密技术进行个人信息保护影响评估时，首先要确定个人信息处理的合法性基础进行评估。作为同态加密的起点，如果数据提供者所提供的数据来源没有遵循网络安全法第41条“合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”，没有遵循个人信息保护法最小必要原则，数据存在瑕疵甚至不合法不合规，那么在应用同态加密技术的过程、结果也无法豁免侵权责任。其次，要对加密的过程和效果进行评估。评估数据处理的必要性，如输入原始数据范围的必要性、存储时间的必要性、计算结果的敏感性、最小化实现效果等。此外，还需对个人主体权益影响进行评估，保障自动化决策，查阅、复制、更正、删除、撤回同意等相关权利。

　　结语

　　随着基于云的数据处理服务使用量的增加，同态加密成为应用于混合云解决方案的更为关键的新兴技术，并扩展到编码和处理技术等其他用途。同态加密直接对密文进行运算而无需解密的特殊属性，将主动隐私保护措施整合到处理个人数据的系统设计中，一定程度上实现了对个人信息和隐私的个人保护，在技术上实现了输出信息“最小必要”。同态加密技术本身可以在计算过程中让相关方无法直接触及原始数据，但是其输出结果有时候不可避免地存在某些构成计算目标的个人信息，这些信息在使用时依然需要遵守个人信息的合规义务。对于立法者而言，应当对输出结果的后续处理进行限制，禁止反向识别。立法者需要防止公地悲剧的出现，应当通过禁止反向识别建立秩序和规则，合理的在数据利用者的安全义务和反向识别者中分摊法律义务和责任，真正实现保护数据机密性完整性和个人隐私和数据共享协作的平衡。对于个人信息处理者而言，同态加密不是规避合规义务的手段，而是助力更好实现合规的方案。在大部分情况下，采用同态加密技术属于减少个人信息合规风险的技术措施，但有时也可能属于数据合规中采取必要技术措施要求的义务履行方式。个人信息处理者需要正确选择隐私计算技术类别，并且正确认识同态加密个人信息保护效果。与此同时，隐私计算并不是万能的，技术本身依然存在漏洞，要对计算过程和计算结果做好区分，分类认识同态加密的个人信息保护效果。

　　原标题：《刘云 孙绮雯｜论同态加密的个人信息保护法律果》

　　阅读原文