“监管沙盒”在隐私监管领域的积极效用正逐步显现。

编者按:本文来自微信公众号“腾讯研究院”(ID:cyberlawrc),作者:戴俊哲、王融。

作为一项起源于金融领域的监管创新模式,“监管沙盒”机制在数字治理领域的积极效用正逐步显现。本文介绍了其在隐私治理领域的最新进展。当前已开展的“隐私监管沙盒”项目涉及人工智能、人脸识别、政务数据共享、未成年人保护等最为前沿或实践落地中最为复杂的隐私保护议题。

与试点试验类似,“监管沙盒”的出发点是鼓励创新,包容试错,但不同的是,“监管沙盒”更强调监管机构与市场主体的相互协作与正向反馈,依托法律法规和沙盒协议,在沙盒各阶段采取精细化管理,从而更有效地激励市场创新、防范风险和保护消费者利益。

监管沙盒的起源与发展

沙盒(Sandbox)本为计算机术语,表示能够为运行中的程序提供隔离环境的一种安全机制,一般在试验一些难以预知或判定风险的程序时使用,其能在保证测试环境真实、测试方法准确的同时,不对“盒外”数据和程序造成影响,从而保证安全。

“监管沙盒”的概念首见于2015年3月英国政府科学办公室发布的报告《金融科技的未来》中,此后英国金融行为监管局(Financial Conduct Authority,简称FCA)将其作为治理工具引入到金融市场监管语境下。

FCA引入的监管沙盒,是指监管者建立一定的框架,在采用适当的安全措施的前提下,允许金融科技创新公司在真实的市场环境中,测试其具有创新性的产品、服务或商业模式,并且不会因所从事的活动招致通常的监管后果。在监管沙盒中,监管者并不再是传统意义上的“监管者”,而是以一种“合作者”的姿态来协助参与者将更安全、有效的技术付诸于实践。在金融科技日新月异的今天,“监管沙盒”模式积极回应了如何更有效地防范金融风险,保护消费者利益,同时激励创新这一重要议题。自英国FCA首创这一模式以来,澳大利亚、新加坡、美国、韩国、日本等纷纷因地制宜以探究自身在金融领域内的“监管沙盒”方案。迄今为止,已有约50个国家对“监管沙盒”进行了探索。2019年12月,中国人民银行宣布启动金融科技创新监管试点工作,意在打造中国版的“监管沙盒”,探索审慎包容的金融科技创新监管工具。

监管沙盒在隐私保护领域的应用

 “监管沙盒”的提出为市场创新主体和监管者协同探索未来之路提供了新的思路。尽管发端于金融领域,但 “监管沙盒”对于数字治理各类复杂议题都具有借鉴性。自2017年以来,基于监管沙盒理念的启发,各国数据保护机构、国际组织等也在隐私保护领域中进行尝试:

2017年7月,新加坡交流与信息部部长Yaacob Ibrahim宣布将在隐私保护领域建立监管沙盒机制。此后,新加坡个人信息保护委员会与新加坡信息通信媒体开发局(Infocomm Media Development Authority)合作,以“探索数据共享机制”为目的正式启动了隐私保护监管沙盒;

2017年12月,芬兰经济事务与劳动委员会在其公布的《芬兰国家人工智能战略》中明确了将使用“监管沙盒”探索数据共享机制;

2018年9月,英国信息专员办公室(Information Commissioner’s Office,简称ICO)开始研究如何借助监管沙盒在促进技术创新的同时保护隐私,并在2019年3月开放第一期的报名;

2020年12月,挪威数据保护局开启了以人工智能发展为主题的第一期隐私监管沙盒报名。目前,第一期入选的25个项目已于网站公布,涵盖了金融科技到食品技术等多个领域;

2021年2月15日,法国信息自由委员会开放法国第一期隐私监管沙盒的报名,该计划以医疗领域中如何利用个人数据进行创新为目的。

国际组织方面,2018年12月,欧盟委员会在其“人工智能协调计划”的附件中提及“该计划中的试验措施(Testing Facilities)包括在特定领域且法律允许的框架下尝试“监管沙盒”;2019年11月,东盟同全球移动通信系统协会(Global System for Mobile Communications assembly,简称GMSA)展开合作,建立了隐私监管沙盒试验空间,以探索成员国间数据跨境流动的可能性。

在以上国家、国际组织对隐私保护监管沙盒的探索中,较为典型的是英国ICO开展的隐私监管沙盒。

英国ICO的隐私保护监管沙盒

(一)流程:隐私监管沙盒的运行机制

英国ICO发起的隐私监管沙盒,旨在探究“隐私保护与激发科技创新”两者的良性互动。沙盒仅适用于在英国境内提供的产品与服务。从流程上看,分为报名、筛选、入选、确定监管沙盒计划、具体执行、出盒和公布报告等7个主要阶段。

在具体的合作中,参与者会得到一份ICO出具的监管保证声明(a statement of regulatory comfort),其将载明当“监管沙盒”运行出现问题(如参与者违规)时,数据保护机构将采取的对应措施。ICO也向参与者保证,参与者在为解决问题采取了必要的措施后,便不会招致数据保护监管机构的处罚。但是,参与者在数据保护法以及其他领域法律法规下的合规要求仍需要得到遵守。

在这份监管保证声明之外,参与者将获得ICO提供的一些非正式指导意见、支持性的咨询建议机制(supportive advisory mechanisms)等。例如,ICO专家将通过与相关组织机构的讨论工作坊、书面意见、实地考察等方式,给予参与者就如何“通过设计实现数据保护”的意见,并且探究如何在实现技术创新的过程中降低风险、确保适当的数据安全。而ICO在隐私监管沙盒中取得的经验,也将体现在其后为特定领域制定的隐私保障指引等文件中。

(二) 实践进展:已进行的两期隐私监管沙盒概览

目前,ICO的隐私监管沙盒已开展两期,其中参与主体包括了不同规模与行业的科技公司以及英国的不同政府部门等,而从项目内容上看,涉及的领域较为广泛,包括了交通、安全、住房、医疗、金融、青少年保护等场景中的隐私保护问题。

ICO第一期隐私保护监管沙盒共涉及十个项目,参与者包括FutureFlow、Jisc 、Novartis、Onfido、Tonic Analytics、TrustElevate、希思罗机场(Heathrow Airport Ltd)等公司,也有大伦敦当局(Greater London Authority)、住房社区与地方政府事务部(The Ministry of Housing Communities and Local Government)、NHS Digital等部门、组织。

截至目前,ICO已发布6份隐私监管沙盒成果报告,分别是JISC(为学生制定健康实践准则)、希思罗机场有限公司(通过生物识别简化机场旅客流程)、FutureFlow(数据流分析平台助力金融犯罪调查)、Onfido(减轻客户基于生物识别的身份验证中的偏差)、NHS Digital(在“通过设计的数据保护”前提下实现患者数据共享,促进新冠疫苗研发)和Novartis(医疗信息共享)。当前推进的第二期沙盒项目聚焦于:儿童年龄识别及身份认证、儿童同意管理系统、基于在线内容的AI临床咨询评估服务等。

从上述项目看,几乎涵盖了当前数字隐私保护领域内最为前沿、或实践落地中最为复杂的议题。

(三) 案例:希思罗机场利用生物识别简化旅客登机流程

下文将以希思罗机场“利用生物识别简化旅客登机流程”的监管沙盒项目为基础,介绍项目的技术细节以及ICO如何与希思罗机场展开合作,从而促进这一项目在保护隐私安全的前提下为旅客提供便利。

1 /项目技术原理

为了提高旅客在机场办理手续的速度与便捷度、减低机场阻塞,希思罗机场正在推进一项新的技术手段,以实现在无需向航空公司出具身份证明文件的前提下,乘客也能够证明“自己是自己”,该项目被称为“自动化的乘客旅程”(Automated Passenger Journey,简称APJ)。

APJ项目通过人脸识别技术,并结合特定的身份数据源(ID Source,例如护照或其他的身份文件或服务等)来确认乘客的身份。具体来说,乘客在进入机场时,将首先在某一触点(Touchpoint)拍下当天的照片,这一照片将和护照上的相片进行比对并确认一致。而在此之后的机场手续中,人脸识别技术将一直应用并确认乘客就是“乘客自己”,而无需乘客出示任何身份证明文件。

2 /监管沙盒的要点与结论

(1)机场、航空公司在数据处理中的角色定位

自动化的乘客旅程APJ项目中有机场、航空公司、生物识别技术服务商,海关边境管理机构等主体,监管沙盒的首要任务是明确各个主体在数据保护中的角色。ICO认为,希思罗机场与乘客航程对应的航空公司一起,被视为“共同的数据控制者”。理由是希思罗机场在引入APJ项目时存在自己的商业利益,并对以何种方式进行数据处理等问题能产生决定性的影响。

(2)数据处理的合法性基础是什么?

希思罗机场提出,是否可以将《英国移民法2009年修正案》(2009 Amendment to the Immigration Act 1971)中规定的法定义务作为其数据处理的合法性基础,即GDPR第6条第1款c项规定的为履行数据主体的法定义务而进行数据处理。机场认为,该修正案要求希思罗机场应当在所有的候机地点中应用生物识别系统,来确保并阻止跨境旅客对英国边境安全的影响。

ICO认为这不能构成机场处理个人数据的合法性基础。在希思罗机场的候机地点中,包括了等待国内航班、过境航班、出入境航班等不同类型的乘客,因此在APJ中对人脸识别等生物识别信息的处理,显然超过了《英国移民法2009年修正案》专门授权的生物识别信息处理的范围。因此,根据GDPR第6条第1款a项和第9条的规定,“同意”(consent)和“单独同意”(explicit consent)更适宜成为希思罗机场在APJ中处理生物识别信息的合法性基础。

(3)机场如何取得乘客的同意?

基于以上对数据处理合法性基础的分析,希思罗机场便继续探索,在处理生物识别数据的目的下如何取得乘客可记录的、明确的同意指示,其提出了两种解决方式。较为传统的第一种方式为,使用书面或电子的同意声明(consent statements),即乘客在同意的选项上打勾等传统方式。但由于这样的方式可能消耗乘客较多的时间,机场在同ICO充分交流商讨后,发展出来另一种可能可行的、安全且便捷的方式。

第二种方式为,在特定场景下,由乘客自主完成的积极性动作将被视为乘客表达了明确的同意。具体来说,如果机场已经通过明确的标识、语音导览等方式明确表示某一队列将使用APJ技术,而乘客在此队列排队、作出了扫描登记牌并进行拍照的行为,那么此时就认为乘客表达了明确的同意。

不过,ICO也意识到,以第二种方式搜集的同意与其公布的“同意指南”有相矛盾的地方,但ICO准许希思罗机场通过这种方式先进行测试,如果在实践中被证明有效,ICO可能将根据这一经验对其相关指南进行更新。从该项目的出盒报告上看,希思罗机场提出的以“扫描登机牌”为同意表示的具体方案,ICO最终还是认为不符合GDPR及相关法律法规对“同意”的要求,因此,机场还应当寻求更加完善的机制,以达到同意内容透明度的同时获得乘客的同意。

隐私监管沙盒的积极意义

同金融领域的监管沙盒类似,隐私监管沙盒不论对公司企业、监管者还是对消费者而言,均具有积极意义。

1 /公司企业:在较低的隐私合规风险下进行技术创新

隐私监管沙盒为参与者提供了一个“安全环境”,以缓解技术创新和法律监管之间的潜在矛盾。入盒的企业能够同监管者展开积极、广泛的合作,并在真实世界,而不是模拟环境中去测试它们的创新产品是否满足合规要求,由此得到的结果及对产品的修正,更加具有实践的指向性。

此外,产品合规的不确定性、进入市场的周期与潜在风险等将显著降低。入盒的企业在隐私监管沙盒中得到了保证,因此在法律监管方面能够得到一定的豁免。这有助于企业在创新技术的同时提前明确可能的合规问题,从而帮助企业及早调整产品。一方面,降低了企业将创新产品引入市场的潜在合规风险,另一方面,也缩短了创新产品进入市场的周期。而这一点对于小微企业而言更为重要,由于在企业规模、财力人力资源方面可能逊色于大型企业,加之成本上的考虑,小微企业在技术创新的合规问题上可能存在更大的劣势。隐私监管沙盒能够为其在风险评估、通过设计实现隐私保护、构建企业的隐私保护法律框架等方面提供帮助。

2 /监管者:紧跟科技发展的基础上制定法规政策

监管沙盒能为公共政策的制定者提供更立体的、与实践相关的经验与参照,供监管者制定更有效的法规政策。在隐私监管沙盒中,监管者在数字产品或服务设计的早期便展开调研,这有助于其理解隐私保护法律法规在哪些阶段才能实现,如何得到运用。“通过设计而保护隐私”这一理念能够得到更具体化的理解,从而给相应的立法增加更多的灵活性与可适用性。

透过隐私监管沙盒,隐私保护的监管者将实现与新兴领域内市场主体的对话,并获得一手、新鲜的信息和资讯。监管者能够了解到当下产业中的需求,并集中于法律法规存在的亟需明确的部分进行完善,缓解眼下隐私保护立法与技术高速更新间较大的滞后性问题。

3 /消费者、市场竞争:审慎考虑的数据保护与同类技术的示范效果

对于消费者而言,由于已经在小范围的隐私监管沙盒中对创新产品、服务进行了量身定制的审查与完善,该产品、服务在市场上大范围推广之时便能够更好地保护个人相关的数据权利,为消费者带来真正、全面的价值,而相应的数据处理也将更有信心、更负责任地发生。在更低的数据保护合规的不确定性下,不仅仅是企业本身,包括消费者在内的整体公共福祉将得到提升。

对所有的市场竞争者而言,隐私监管沙盒的相应资料,特别是相关的“出盒报告”,能够为同行业、同类型或采用类似技术的企业提供有效的参考意见与指引,形成一定的示范效果,促进数据使用和信息流动。此外,从更大的范围上看,如果监管沙盒某一项目涉及技术在隐私保护法方面得到了认可,那么也将鼓励这一类的技术加速应用,也将鼓励其他企业在技术创新上发力。

当然,也需注意的是,监管沙盒的探索实践仍旧处于初级阶段,涉及隐私保护领域的合规问题时也有待进一步协调。除此之外,对商业秘密、知识产权、不公平对待等方面的担忧也是隐私监管沙盒机制在当下面临的诸多挑战之一。但不容否认的,作为一种监管创新方式,监管沙盒提供了相对包容的空间与弹性的监管方式,形成市场创新者、监管者与消费者三者之间的良性互动,为探索数字治理未来之路提供了一种重要的方法论。

参考文献:

[1]参见毕马威中国:《积微成著,蓄势待发——中国“监管沙盒”创新与实践报告》,载毕马威官网:

https://assets.kpmg/content/dam/kpmg/cn/pdf/zh/2020/10/china-regulatory-sandbox-innovation-and-practice-report.pdf,2021年2月7日访问。

[2] See Government Office for Science, FinTech Futures, available at https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/413095/gs-15-3-fintech-futures.pdf (last visited on March 4, 2021).

[3] See FCA, Regulatory Sandbox, available at 

https://www.fca.org.uk/publication/research/regulatory-sandbox.pdf (last visited on March 4, 2021).

[4] See Deloitte, The Future of Regulation – Principles for regulating emerging technologies, available at 

https://www2.deloitte.com/content/dam/insights/us/articles/4979_natl-security-and-tech-regulation/DI_natl%20security%20and%20tech%20regulation.pdf(last visited on February 7, 2021).

[5] See Deloitte, The Future of Regulation – Principles for regulating emerging technologies, available at 

https://www2.deloitte.com/content/dam/insights/us/articles/4979_natl-security-and-tech-regulation/DI_natl%20security%20and%20tech%20regulation.pdf(last visited on February 7, 2021).

[6] See Bank for International Settlement, Inside the regulatory sandbox: effects on fintech funding, available at 

https://www.bis.org/publ/work901.pdf (last visited on February 8, 2021).

[7]《中国人民银行启动金融科技创新监管试点工作》,载中国政府网:http://www.gov.cn/xinwen/2019-12/06/content_5458990.htm,2021年2月7日访问。

[8] See Speech by Dr Yaacob Ibrahim, Minister for Communications and Information, at the Personal Data Protection Seminar 2017, available at 

https://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2017/7/personal-data-protection-seminar-2017 (last visited on March 4, 2021).

[9] See Data Collaboratives Programme (DCP), available at 

https://www.imda.gov.sg/programme-listing/data-collaborative-programme (last visited on February 6, 2021).

[10] See the Finnish Ministry of Economic Affairs and Employment, Finland’s Age of Artificial Intelligence, available at 

https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/160391/TEMrap_47_2017_verkkojulkaisu.pdf?sequence=1&isAllowed=y (last visited on March 4, 2021).

[11] See Chris Taylor, blogs about how organisations can help us shape our regulatory sandbox, available at https://ico.org.uk/about-the-ico/news-and-events/blog-ico-regulatory-sandbox#sep18 (last visited on March 4, 2021).

[12] See Sandbox for responsible artificial intelligence, available at 

https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/ (last visited on February 6, 2021).

[13] See CNIL, Un « bac à sable » RGPD pour accompagner des projets innovants dans le domaine de la santé numérique, available at https://www.cnil.fr/fr/un-bac-sable-rgpd-pour-accompagner-des-projets-innovants-dans-le-domaine-de-la-sante-numerique (last visited on March 4, 2021).

[14] See Annex to the Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions – Coordinated Plan on Artificial Intelligence (COM(2018) 795 final), available at https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=56017 (last visited on February 17, 2021).

[15] See The Regulatory Pilot Space for Cross Border Data Transfers, available at https://www.gsma.com/asia-pacific/resources/rps/ (last visited on February 7, 2021).

[16] See ICO, Informatioin Commissoner’s Annual Report and Financial Statements, available at 

https://ico.org.uk/media/about-the-ico/documents/2618021/annual-report-2019-20-v83-certified.pdf (last visited on March 4, 2021).

[17] 本部分主要参考自希思罗机场的出盒报告,来源:https://ico.org.uk/media/for-organisations/documents/2618024/heathrow-airport-ltd-regulatory-sandbox-final-report.pdf。

[18]See Business at OECD (BIAC), Regulatory Sandboxes for Privacy Analytical Report, available at 

https://biac.org/wp-content/uploads/2021/02/Final-Business-at-OECD-Analytical-Paper-Regulatory-Sandboxes-for-Privacy.pdf (last visited on March 3, 2021).

[19] See Centre for Information Policy Leadership(Hunton Andrews Kurth), Regulatory Sandboxes in Data Protection: Constructive Engagement and Innovative Regulation in Practice, available at 

https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_white_paper_on_regulatory_sandboxes_in_data_protection_-_constructive_engagement_and_innovative_regulation_in_practice__8_march_2019_.pdf (last visited on March 3)