本文嚟自微信公众号“腾讯研究院”(ID:cyberlawrc),作者:戴俊哲、王融,经授权发布。
作为一项起源于金融领域嘅监管创新模式,“监管沙盒”机制喺数字治理领域嘅积极效用正逐步显现。本文介绍其喺隐私治理领域嘅最新进展。当前已开展嘅“隐私监管沙盒”项目涉及人工智可以、人脸识别、政务数据共享、未成年人保护等最为前沿或实践落地中最为复杂嘅隐私保护议题。
同试点试验类似,“监管沙盒”嘅出发点系鼓励创新,包容试错,但唔同嘅系,“监管沙盒”更强调监管机构同市场主体嘅相互协作同正向反馈,依托法律法规同沙盒协议,喺沙盒各阶段采取精细化管理,从而更有效地激励市场创新、防范风险同保护消费者利益。
监管沙盒嘅起源同发展
沙盒(Sandbox)本为计算机术语,表示可以够为运行中嘅程序提供隔离环境嘅一种安全机制,一般喺试验一啲难以预知或判定风险嘅程序时使用,其可以喺保证测试环境真实、测试方法准确嘅同嗰阵,唔对“盒外”数据同程序造成影响,从而保证安全。
“监管沙盒”嘅概念首见于2015年3月英国政府科学办公室发布嘅报告《金融科技嘅未来》中,此后英国金融行为监管局(Financial Conduct Authority,简称FCA)将其作为治理工具引入到金融市场监管语境下。
FCA引入嘅监管沙盒,系指监管者建立一定嘅框架,喺采用适当嘅安全措施嘅前提下,允许金融科技创新公司喺真实嘅市场环境中,测试其具有创新性嘅产品、服务或商业模式,并且唔识因所从事嘅活动招致通常嘅监管后果。喺监管沙盒中,监管者并唔再系传统意义上嘅“监管者”,而系以一种“合作者”嘅姿态嚟协助参同者将更安全、有效嘅技术付诸于实践。喺金融科技日新月异嘅今日,“监管沙盒”模式积极回应点样更有效地防范金融风险,保护消费者利益,同时激励创新呢一重要议题。自英国FCA首创呢一模式以嚟,澳大利亚、新加坡、美国、韩国、日本等纷纷因地制宜以探究自身喺金融领域内嘅“监管沙盒”方案。迄今为止,已有约50个国家对“监管沙盒”进行探索。2019年12月,中国人民银行宣布启动金融科技创新监管试点工作,意喺打造中国版嘅“监管沙盒”,探索审慎包容嘅金融科技创新监管工具。
监管沙盒喺隐私保护领域嘅应用
“监管沙盒”嘅提出为市场创新主体同监管者协同探索未来之路提供新嘅思路。尽管发端于金融领域,但 “监管沙盒”对于数字治理各类复杂议题都具有借鉴性。自2017年以嚟,基于监管沙盒理念嘅启发,各国数据保护机构、国际组织等都喺度隐私保护领域中进行尝试:
2017年7月,新加坡交流同信息部部长Yaacob Ibrahim宣布将喺隐私保护领域建立监管沙盒机制。此后,新加坡个人信息保护委员识同新加坡信息通信媒体开发局(Infocomm Media Development Authority)合作,以“探索数据共享机制”为目的正式启动隐私保护监管沙盒;
2017年12月,芬兰经济事务同劳动委员识喺其公布嘅《芬兰国家人工智可以战略》中明确将使用“监管沙盒”探索数据共享机制;
2018年9月,英国信息专员办公室(Information Commissioner’s Office,简称ICO)开始研究点样借助监管沙盒喺促进技术创新嘅同时保护隐私,并喺2019年3月开放第一期嘅报名;
2020年12月,挪威数据保护局开启以人工智可以发展为主题嘅第一期隐私监管沙盒报名。目前,第一期入选嘅25个项目已于网站公布,涵盖金融科技到食品技术等多个领域;
2021年2月15日,法国信息自由委员识开放法国第一期隐私监管沙盒嘅报名,该计划以医疗领域中点样利用个人数据进行创新为目的。
国际组织方面,2018年12月,欧盟委员识喺其“人工智可以协调计划”嘅附件中提及“该计划中嘅试验措施(Testing Facilities)包括喺特定领域且法律允许嘅框架下尝试“监管沙盒”;2019年11月,东盟同全球移动通信系统协识(Global System for Mobile Communications assembly,简称GMSA)展开合作,建立隐私监管沙盒试验空间,以探索成员国间数据跨境流动嘅可能性。
喺以上国家、国际组织对隐私保护监管沙盒嘅探索中,较为典型嘅系英国ICO开展嘅隐私监管沙盒。
英国ICO嘅隐私保护监管沙盒
(一)流程:隐私监管沙盒嘅运行机制
英国ICO发起嘅隐私监管沙盒,旨喺探究“隐私保护同激发科技创新”两者嘅良性互动。沙盒仅适用于喺英国境内提供嘅产品同服务。从流程上睇,分为报名、筛选、入选、确定监管沙盒计划、具体执行、出盒同公布报告等7个主要阶段。
喺具体嘅合作中,参同者识得到一份ICO出具嘅监管保证声明(a statement of regulatory comfort),其将载明当“监管沙盒”运行出现问题(如参同者违规)嗰阵,数据保护机构将采取嘅对应措施。ICO都向参同者保证,参同者喺为解决问题采取必要嘅措施后,便唔识招致数据保护监管机构嘅处罚。但系,参同者喺数据保护法以及其他领域法律法规下嘅合规要求仍需要得到遵守。
喺呢份监管保证声明之外,参同者将获得ICO提供嘅一啲非正式指导意见、支持性嘅咨询建议机制(supportive advisory mechanisms)等。例如,ICO专家将通过同相关组织机构嘅讨论工作坊、书面意见、实地考察等方式,畀予参同者就点样“通过设计实现数据保护”嘅意见,并且探究点样喺实现技术创新嘅过程中降低风险、确保适当嘅数据安全。而ICO喺隐私监管沙盒中取得嘅经验,都将体而家其后为特定领域制定嘅隐私保障指引等文件中。
(二) 实践进展:已进行嘅两期隐私监管沙盒概览
目前,ICO嘅隐私监管沙盒已开展两期,其中参同主体包括唔同规模同行业嘅科技公司以及英国嘅唔同政府部门等,而从项目内容上睇,涉及嘅领域较为广泛,包括交通、安全、住房、医疗、金融、青少年保护等场景中嘅隐私保护问题。
ICO第一期隐私保护监管沙盒共涉及十个项目,参同者包括FutureFlow、Jisc 、Novartis、Onfido、Tonic Analytics、TrustElevate、希思罗机场(Heathrow Airport Ltd)等公司,都有大伦敦当局(Greater London Authority)、住房社区同地方政府事务部(The Ministry of Housing Communities and Local Government)、NHS Digital等部门、组织。
截至目前,ICO已发布6份隐私监管沙盒成果报告,分别系JISC(为学生制定健康实践准就)、希思罗机场有限公司(通过生物识别简化机场旅客流程)、FutureFlow(数据流分析平台助力金融犯罪调查)、Onfido(减轻客户基于生物识别嘅身份验证中嘅偏差)、NHS Digital(喺“通过设计嘅数据保护”前提下实现患者数据共享,促进新冠疫苗研发)同Novartis(医疗信息共享)。当前推进嘅第二期沙盒项目聚焦于:儿童年龄识别及身份认证、儿童同意管理系统、基于喺线内容嘅AI临床咨询评估服务等。
从上述项目睇,几乎涵盖当前数字隐私保护领域内最为前沿、或实践落地中最为复杂嘅议题。
(三) 案例:希思罗机场利用生物识别简化旅客登机流程
下文将以希思罗机场“利用生物识别简化旅客登机流程”嘅监管沙盒项目为基础,介绍项目的技术细节以及ICO点样同希思罗机场展开合作,从而促进呢一项目喺保护隐私安全嘅前提下为旅客提供便利。
1 /项目技术原理
为咗提高旅客喺机场办理手续嘅速度同便捷度、减低机场阻塞,希思罗机场正喺推进一项新嘅技术手段,以实而家无需向航空公司出具身份证明文件嘅前提下,乘客都可以够证明“自己系自己”,该项目被称为“自动化嘅乘客旅程”(Automated Passenger Journey,简称APJ)。
APJ项目通过人脸识别技术,并结合特定嘅身份数据源(ID Source,例如护照或其他嘅身份文件或服务等)嚟确认乘客嘅身份。具体嚟讲,乘客喺进入机场嗰阵,将首先喺某一触点(Touchpoint)拍下当日嘅照片,呢一照片将同护照上嘅相片进行比对并确认一致。而喺此之后嘅机场手续中,人脸识别技术将一直应用并确认乘客就系“乘客自己”,而无需乘客出示任何身份证明文件。
2 /监管沙盒嘅要点同结论
(1)机场、航空公司喺数据处理中嘅角色定位
自动化嘅乘客旅程APJ项目中有机场、航空公司、生物识别技术服务商,海关边境管理机构等主体,监管沙盒嘅首要任务系明确各个主体喺数据保护中嘅角色。ICO认为,希思罗机场同乘客航程对应嘅航空公司一起,被视为“共同嘅数据控制者”。理由系希思罗机场喺引入APJ项目时存在自己嘅商业利益,并对以何种方式进行数据处理等问题可以产生决定性嘅影响。
(2)数据处理嘅合法性基础系乜嘢?
希思罗机场提出,是否可以将《英国移民法2009年修正案》(2009 Amendment to the Immigration Act 1971)中规定嘅法定义务作为其数据处理嘅合法性基础,即GDPR第6条第1款c项规定嘅为履行数据主体嘅法定义务而进行数据处理。机场认为,该修正案要求希思罗机场应当喺所有嘅候机地点中应用生物识别系统,嚟确保并阻止跨境旅客对英国边境安全嘅影响。
ICO认为呢唔可以构成机场处理个人数据嘅合法性基础。喺希思罗机场嘅候机地点中,包括等待国内航班、过境航班、出入境航班等唔同类型嘅乘客,因此喺APJ中对人脸识别等生物识别信息嘅处理,显然超过《英国移民法2009年修正案》专门授权嘅生物识别信息处理嘅范围。因此,根据GDPR第6条第1款a项同第9条嘅规定,“同意”(consent)同“单独同意”(explicit consent)更适宜成为希思罗机场喺APJ中处理生物识别信息嘅合法性基础。
(3)机场点样取得乘客嘅同意?
基于以上对数据处理合法性基础嘅分析,希思罗机场便继续探索,喺处理生物识别数据嘅目的下点样取得乘客可记录嘅、明确嘅同意指示,其提出两种解决方式。较为传统嘅第一种方式为,使用书面或电子嘅同意声明(consent statements),即乘客同意嘅选项上打勾等传统方式。但由于咁样嘅方式可能消耗乘客较多嘅时间,机场同ICO充分交流商讨后,发展出嚟另一种可能可行嘅、安全且便捷嘅方式。
第二种方式为,喺特定场景下,由乘客自主完成嘅积极性动作将被视为乘客表达明确嘅同意。具体嚟讲,如果机场已经通过明确嘅标识、语音导览等方式明确表示某一队列将使用APJ技术,而乘客喺此队列排队、作出扫描登记牌并进行拍照嘅行为,噉么此时就认为乘客表达明确嘅同意。
不过,ICO都意识到,以第二种方式搜集嘅同意同其公布嘅“同意指南”有相矛盾嘅地方,但ICO准许希思罗机场通过呢种方式先进行测试,如果喺实践中被证明有效,ICO可能将根据呢一经验对其相关指南进行更新。从该项目的出盒报告上睇,希思罗机场提出嘅以“扫描登机牌”为同意表示嘅具体方案,ICO最终定系认为唔符合GDPR及相关法律法规对“同意”嘅要求,因此,机场还应当寻求更加完善嘅机制,以达到同意内容透明度嘅同时获得乘客嘅同意。
隐私监管沙盒嘅积极意义
同金融领域嘅监管沙盒类似,隐私监管沙盒无论对公司企业、监管者定系对消费者而言,均具有积极意义。
1 /公司企业:喺较低嘅隐私合规风险下进行技术创新
隐私监管沙盒为参同者提供一个“安全环境”,以缓解技术创新同法律监管之间嘅潜喺矛盾。入盒嘅企业可以够同监管者展开积极、广泛嘅合作,并喺真实世界,而唔系模拟环境中去测试佢们嘅创新产品是否满足合规要求,由此得到嘅结果及对产品嘅修正,更加具有实践嘅指向性。
此外,产品合规嘅唔确定性、进入市场嘅周期同潜喺风险等将显著降低。入盒嘅企业喺隐私监管沙盒中得到保证,因此喺法律监管方面可以够得到一定嘅豁免。呢有助于企业喺创新技术嘅同时提前明确可能嘅合规问题,从而帮助企业及早调整产品。一方面,降低企业将创新产品引入市场嘅潜喺合规风险,另一方面,都缩短创新产品进入市场嘅周期。而呢一点对于小微企业而言更为重要,由于喺企业规模、财力人力资源方面可能逊色于大型企业,加之成本上嘅考虑,小微企业喺技术创新嘅合规问题上可能存在更大嘅劣势。隐私监管沙盒可以够为其喺风险评估、通过设计实现隐私保护、构建企业嘅隐私保护法律框架等方面提供帮助。
2 /监管者:紧跟科技发展嘅基础上制定法规政策
监管沙盒可以为公共政策嘅制定者提供更立体嘅、同实践相关嘅经验同参照,供监管者制定更有效嘅法规政策。喺隐私监管沙盒中,监管者喺数字产品或服务设计嘅早期便展开调研,呢有助于其理解隐私保护法律法规喺哪些阶段才可以实现,点样得到运用。“通过设计而保护隐私”呢一理念可以够得到更具体化嘅理解,从而畀相应嘅立法增加更多嘅灵活性同可适用性。
透过隐私监管沙盒,隐私保护嘅监管者将实现同新兴领域内市场主体嘅对话,并获得一手、新鲜嘅信息同资讯。监管者可以够解到当下产业中嘅需求,并集中于法律法规存在嘅亟需明确嘅部分进行完善,缓解眼下隐私保护立法同技术高速更新间较大嘅滞后性问题。
3 /消费者、市场竞争:审慎考虑嘅数据保护同同类技术嘅示范效果
对于消费者而言,由于已经喺小范围嘅隐私监管沙盒中对创新产品、服务进行量身定制嘅审查同完善,该产品、服务喺市场上大范围推广之时便可以够更好地保护个人相关嘅数据权利,为消费者带嚟真正、全面嘅价值,而相应嘅数据处理都将更有信心、更负责任地发生。喺更低嘅数据保护合规嘅唔确定性下,唔剩只系企业本身,包括消费者喺内嘅整体公共福祉将得到提升。
对所有嘅市场竞争者而言,隐私监管沙盒嘅相应资料,特别系相关嘅“出盒报告”,可以够为同行业、同类型或采用类似技术嘅企业提供有效嘅参考意见同指引,形成一定嘅示范效果,促进数据使用同信息流动。此外,从更大嘅范围上睇,如果监管沙盒某一项目涉及技术喺隐私保护法方面得到认可,噉么都将鼓励呢一类嘅技术加速应用,都将鼓励其他企业喺技术创新上发力。
当然,都需注意嘅系,监管沙盒嘅探索实践仍旧处于初级阶段,涉及隐私保护领域嘅合规问题时都有待进一步协调。除此之外,对商业秘密、知识产权、唔公平对待等方面嘅担忧都系隐私监管沙盒机制喺当下面临嘅诸多挑战之一。但唔容否认嘅,作为一种监管创新方式,监管沙盒提供相对包容嘅空间同弹性嘅监管方式,形成市场创新者、监管者同消费者三者之间嘅良性互动,为探索数字治理未来之路提供一种重要嘅方法论。
参考文献:
[1]参见毕马威中国:《积微成著,蓄势待发——中国“监管沙盒”创新同实践报告》,载毕马威官网:
[2] See Government Office for Science, FinTech Futures, available at https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/413095/gs-15-3-fintech-futures.pdf (last visited on March 4, 2021).
[3] See FCA, Regulatory Sandbox, available at
[4] See Deloitte, The Future of Regulation – Principles for regulating emerging technologies, available at
[5] See Deloitte, The Future of Regulation – Principles for regulating emerging technologies, available at
[6] See Bank for International Settlement, Inside the regulatory sandbox: effects on fintech funding, available at
[7]《中国人民银行启动金融科技创新监管试点工作》,载中国政府网:http://www.gov.cn/xinwen/2019-12/06/content_5458990.htm,2021年2月7日访问。
[8] See Speech by Dr Yaacob Ibrahim, Minister for Communications and Information, at the Personal Data Protection Seminar 2017, available at
[9] See Data Collaboratives Programme (DCP), available at
[10] See the Finnish Ministry of Economic Affairs and Employment, Finland’s Age of Artificial Intelligence, available at
[11] See Chris Taylor, blogs about how organisations can help us shape our regulatory sandbox, available at
[12] See Sandbox for responsible artificial intelligence, available at
[13] See CNIL, Un « bac à sable » RGPD pour accompagner des projets innovants dans le domaine de la santé numérique, available at
[14] See Annex to the Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions – Coordinated Plan on Artificial Intelligence (COM(2018) 795 final), available at
[15] See The Regulatory Pilot Space for Cross Border Data Transfers, available at
[16] See ICO, Informatioin Commissoner’s Annual Report and Financial Statements, available at
[17] 本部分主要参考自希思罗机场嘅出盒报告,来源:https://ico.org.uk/media/for-organisations/documents/2618024/heathrow-airport-ltd-regulatory-sandbox-final-report.pdf。
[18]See Business at OECD (BIAC), Regulatory Sandboxes for Privacy Analytical Report, available at
[19] See Centre for Information Policy Leadership(Hunton Andrews Kurth), Regulatory Sandboxes in Data Protection: Constructive Engagement and Innovative Regulation in Practice, available at
粤语翻译:cantonese.live 足跡粤字
2021-03-06 04:15:44
请登录之后再进行评论