非可識別個人數(shù)據(jù)流通法律規(guī)則的理論構(gòu)建

摘? ?要：我國目前缺乏個人數(shù)據(jù)流通規(guī)則，立法和理論研究更集中在數(shù)據(jù)權(quán)利、數(shù)據(jù)歸屬等方面，對數(shù)據(jù)流通關(guān)注不足。為了促進(jìn)數(shù)據(jù)更好的流通以發(fā)揮其價值，有必要通過匿名化技術(shù)來解決數(shù)據(jù)流通中的隱私保護問題。但是，匿名化技術(shù)的不完美性，使得基于結(jié)果的匿名化標(biāo)準(zhǔn)無法發(fā)揮其作用，因此需要建立一種基于過程的匿名化規(guī)則。這種規(guī)則更接近于數(shù)據(jù)安全規(guī)則，注重于匿名化處理過程中不同環(huán)境下的風(fēng)險評估，通過一系列考量因素確定一種動態(tài)的匿名化標(biāo)準(zhǔn)。滿足這一標(biāo)準(zhǔn)的個人數(shù)據(jù)被視為不具有可識別性，可以不經(jīng)用戶同意而流通，但數(shù)據(jù)控制者必須在流通過程中持續(xù)監(jiān)督匿名化效果，一旦發(fā)生隱私泄露危險將依據(jù)過錯承擔(dān)責(zé)任。

關(guān)鍵詞：數(shù)據(jù)流通;匿名化技術(shù);數(shù)據(jù)安全

中圖分類號： TP309.2? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： There is a lack of rules for the circulation of personal data in China. The legislation and theoretical research are more focused on the aspects of data rights and data ownership， and insufficient attention is paid to the circulation of data. In order to promote the better circulation of data and give full play to its value， it is necessary to solve the privacy protection problem in data circulation through anonymization technology. However， due to the imperfection of anonymization technology， the result-based standard of anonymity cannot play its role， so it is necessary to establish a process-based rule of anonymity. This kind of rule is more similar to the data security rule， which focuses on the risk assessment in different environments during the anonymization process， and determines a kind of dynamic anonymization standard through a series of factors. Personal data that meets this standard is deemed not identifiable and can be circulated without the consent of the user. However， the data controller must continue to monitor the effect of anonymization during the circulation process， and will be liable for any risk of privacy disclosure based on fault.

Key words： data circulation; anonymization; data security

1 引言

在大數(shù)據(jù)時代，信息技術(shù)與經(jīng)濟社會的交匯融合引發(fā)了數(shù)據(jù)迅猛增長，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對全球生產(chǎn)、流通、分配、消費活動以及經(jīng)濟運行機制、社會生活方式和國家治理能力產(chǎn)生重要影響。個人數(shù)據(jù)已經(jīng)成為企業(yè)甚至國家經(jīng)濟命脈的重要部分，其在不斷的流通中逐漸被發(fā)掘出其中的價值。

隨著個人數(shù)據(jù)經(jīng)濟價值的不斷發(fā)掘和利用，個人數(shù)據(jù)權(quán)益的保護問題也隨之而來。2012年全國人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》宣布，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，由此開啟了我國個人數(shù)據(jù)保護的立法之路。放眼國際，歐洲的個人數(shù)據(jù)保護法是在公法，或者更確切地說，是在憲法的背景下發(fā)揮效力的，其主要目標(biāo)是在涉及個人數(shù)據(jù)的處理業(yè)務(wù)范圍內(nèi)保護個人隱私和自由。而美國將個人數(shù)據(jù)進(jìn)行保護置于隱私權(quán)的框架下。

隱私控制是自由自治原則的產(chǎn)物，該原則置個人于個人數(shù)據(jù)使用的核心位置，通過個人管理個人數(shù)據(jù)和個人決定信息使用來實現(xiàn)信息自治。無論立法基礎(chǔ)為何，對個人數(shù)據(jù)保護均與隱私保護有著密不可分的關(guān)系。由于個人數(shù)據(jù)的“可識別性”導(dǎo)致了個人數(shù)據(jù)的泄漏會引發(fā)個人隱私危險，保護隱私信息在發(fā)布或者使用的時候，不被識別出來的安全數(shù)據(jù)發(fā)布機制的研究已成為研究熱點。匿名化技術(shù)便是一種隱私保護的有效方法，自Samarati和Sweeney首次提出匿名化概念之后，該技術(shù)得到了廣泛的關(guān)注。匿名化技術(shù)能夠破壞個人數(shù)據(jù)與數(shù)據(jù)主體之間的聯(lián)系，從而有效地保護數(shù)據(jù)主體的隱私。

在數(shù)據(jù)流通方面，各國也針對技術(shù)手段的各個處理過程制定了相關(guān)的規(guī)則，從而形成了體系化的個人數(shù)據(jù)流通規(guī)則。其中，歐盟于2017年發(fā)布了《非個人數(shù)據(jù)自由流動框架條例》（以下簡稱《框架條例》），與《一般數(shù)據(jù)保護條例（GDPR）》共同構(gòu)建了較為完善的個人數(shù)據(jù)流通規(guī)則框架。反觀我國，具體完善的規(guī)則體系還未建立，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第四章網(wǎng)絡(luò)信息安全部分是為數(shù)不多針對數(shù)據(jù)流通中個人數(shù)據(jù)安全的法律規(guī)則。此外，法院通過“新浪微博案”提出的“三重授權(quán)”原則，系針對第三方應(yīng)用通過開放平臺獲取用戶信息時應(yīng)遵循的原則。該原則要求數(shù)據(jù)接收者在接收數(shù)據(jù)時既要獲得數(shù)據(jù)提供方企業(yè)的同意，同時也要獲得用戶的同意。這種寬泛的“三種授權(quán)”原則，為數(shù)據(jù)控制者和接收者施加過多的負(fù)擔(dān)，不利于數(shù)據(jù)的自由流通及數(shù)據(jù)價值的發(fā)掘，因此在理論界頗有爭議。

在此現(xiàn)狀之下，完善我國個人數(shù)據(jù)流通規(guī)則體系已刻不容緩。本文旨在分析解讀歐盟的個人數(shù)據(jù)流通規(guī)則，明確個人數(shù)據(jù)與非個人數(shù)據(jù)的邊界和轉(zhuǎn)化標(biāo)準(zhǔn)，并結(jié)合理論觀點構(gòu)建更有效和可操作性的個人數(shù)據(jù)流通規(guī)則，在此基礎(chǔ)上為我國的個人數(shù)據(jù)立法提出立法建議。

2 “非可識別個人數(shù)據(jù)流通規(guī)則”

《一般數(shù)據(jù)保護條例（GDPR）》與《非個人數(shù)據(jù)自由流動框架條例》是目前歐盟數(shù)據(jù)保護規(guī)則體系的兩大基石。前者針對“個人數(shù)據(jù)”（Personal Data），后者適用于“非個人數(shù)據(jù)”（Non-personal Data）。兩條例根據(jù)個人數(shù)據(jù)的可識別性與否將個人數(shù)據(jù)保護規(guī)則劃分為兩個部分，這種劃分方式也是目前世界各國數(shù)據(jù)保護法的主流做法。顯然，兩部分的邊界由“個人數(shù)據(jù)”所決定，但這個邊界并非封閉的。匿名化技術(shù)能夠?qū)崿F(xiàn)個人數(shù)據(jù)向非個人數(shù)據(jù)的轉(zhuǎn)化，成為連通兩部分的橋梁。

2.1 個人數(shù)據(jù)與匿名化

歐盟對個人數(shù)據(jù)保護的立法工作始于20世紀(jì)，而個人數(shù)據(jù)的概念卻并未發(fā)生過大的變動。1981年《有關(guān)個人數(shù)據(jù)自動化處理的個人保護協(xié)定（歐洲理事會）》在第2條中將“個人數(shù)據(jù)”定義為“與已識別或可識別的個人（數(shù)據(jù)主體）相關(guān)的任何信息”。1995年歐盟《數(shù)據(jù)保護指令（DPD）》將“個人數(shù)據(jù)”定義為“任何與已識別的或可識別的自然人有關(guān)的信息”。

由于數(shù)據(jù)處理技術(shù)的不斷發(fā)展，尤其是進(jìn)入大數(shù)據(jù)時代以后，能否識別個人身份的信息的邊界也越來越模糊，許多傳統(tǒng)概念上無法識別個人身份的信息，經(jīng)過技術(shù)手段的處理后，也能夠準(zhǔn)確識別到個人用戶。因此，“可識別性”已經(jīng)不僅包括能夠單獨或直接識別個人身份的信息，對這一現(xiàn)狀的應(yīng)對也體現(xiàn)在各國的定義之中。2016年歐盟在DPD等基礎(chǔ)上制定的GDPR也基本沿襲了這一定義，但在其后加入了“姓名、身份證號碼、定位數(shù)據(jù)、在線身份識等”的列舉，對該定義進(jìn)一步完善。

與此同時，匿名化規(guī)則也隨著個人數(shù)據(jù)保護立法的發(fā)展而不斷完善。自1995年的DPD開始，歐盟就對個人數(shù)據(jù)和匿名化數(shù)據(jù)的保護進(jìn)行了區(qū)分。DPD在序言中指出，“數(shù)據(jù)保護原則不應(yīng)適用于匿名信息，即與已識別或可識別的自然人無關(guān)的信息，或與以數(shù)據(jù)主體無法識別或不再可識別的方式匿名的個人數(shù)據(jù)無關(guān)的信息。”同樣在該段中，DPD通過一種基于風(fēng)險的方式確定了“可能且合理（Likely Reasonably）”標(biāo)準(zhǔn)對匿名化進(jìn)行評估：在確定某個人是否能夠通過該信息被識別時，應(yīng)當(dāng)考慮所有可能且合理的手段。其中，“可能”針對實際中采用該識別手段的可能性，“合理”針對該采用手段的難度。

2014年，29條工作組發(fā)布的《匿名化技術(shù)意見》（以下簡稱《意見》）在歐盟層面對匿名化技術(shù)從法律和技術(shù)兩方面做了詳盡的規(guī)定。29條工作組是根據(jù)歐盟95 /46 / EC法令的29條的規(guī)定所設(shè)立的，是一家旨在解決數(shù)據(jù)和隱私保護問題的獨立咨詢機構(gòu)。

《意見》提出了匿名化檢驗的“三步法”：（1）是否仍能夠（從該數(shù)據(jù)中）選出某個人;（2）是否能夠（通過該數(shù)據(jù)）鏈接到某個人相關(guān)的記錄;（3）是否能（從該數(shù)據(jù)中）推斷出與某個人有關(guān)的信息。同時《意見》強調(diào)需要在匿名化過程中考慮環(huán)境因素，例如數(shù)據(jù)的性質(zhì)以及任何限制對數(shù)據(jù)訪問的信息披露控制機制，還建議應(yīng)根據(jù)個案情況選擇使用提到的不同匿名化手段。然而，《意見》要求合格的匿名化為一種不可逆的過程引起了一些爭議，這也表明《意見》沒有完全從基于風(fēng)險的視角看待匿名化的過程，而是更加注重于匿名化的結(jié)果。

在隨后的GDPR中沿用了DPD的觀點，同樣將匿名化數(shù)據(jù)排除在規(guī)制范圍外，同時還明確引入了假名化的概念，據(jù)此進(jìn)一步強化了對匿名化過程不可逆的要求。假名化被定義為：以該方式處理個人數(shù)據(jù)，使得在不使用附加信息的情況下，個人數(shù)據(jù)無法指向特定數(shù)據(jù)主體，但前提是此類附加信息應(yīng)單獨保存，并受技術(shù)和組織措施的約束，以確保個人數(shù)據(jù)不會指向已識別或可識別的自然人。同時，GDPR序言中明確指出，假名化后的數(shù)據(jù)無法單獨識別到具體數(shù)據(jù)主體，但仍屬于個人數(shù)據(jù)的范疇。因為雖經(jīng)過假名化處理，數(shù)據(jù)控制者仍持有能夠重識別該數(shù)據(jù)的“密碼”。

可見，GDPR同樣為匿名化賦予了非常高的標(biāo)準(zhǔn)，只有無法被重識別的數(shù)據(jù)才能滿足這一要求。當(dāng)然，也有反對觀點認(rèn)為，如果重識別的密碼被安全保管，且假名化的算法不會被輕易破解的，則不應(yīng)當(dāng)一律認(rèn)為達(dá)不到匿名化數(shù)據(jù)的標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)過于苛求完美。

2.2 歐盟非可識別個人數(shù)據(jù)流通規(guī)則

個人數(shù)據(jù)一旦經(jīng)過符合GDPR標(biāo)準(zhǔn)的匿名化處理后，便不存在個人隱私方面的風(fēng)險，成為非個人數(shù)據(jù)中的一種，因此其流通相較來說自由得多。與個人數(shù)據(jù)相比，非個人數(shù)據(jù)的流通無需經(jīng)用戶同意，且無需保證用戶在個人數(shù)據(jù)流通過程中享有的各項權(quán)利。《框架條例》主要為非個人數(shù)據(jù)的流通提出了三方面的要求。

一是保障非個人數(shù)據(jù)的跨境自由流動。新規(guī)則為整個歐盟的數(shù)據(jù)存儲和處理設(shè)置了框架，禁止數(shù)據(jù)本地化限制。如果成員國認(rèn)為含有數(shù)據(jù)本地化的要求因公共安全為由而需繼續(xù)有效，則應(yīng)當(dāng)將該措施報告歐盟委員會，并說明理由。該要求對GDPR的適用沒有影響，因為它不包括個人數(shù)據(jù)。在混合數(shù)據(jù)集中，在能區(qū)分個人數(shù)據(jù)于非個人數(shù)據(jù)的情況下，分別使用兩條例;無法區(qū)分的，優(yōu)先適用GDPR的有關(guān)規(guī)定。

二是加強政府監(jiān)管?！犊蚣軛l例》中強調(diào)了消除數(shù)據(jù)本地化的要求，并規(guī)定不得因數(shù)據(jù)處理行為發(fā)生在另一成員國而拒絕監(jiān)管機構(gòu)調(diào)取數(shù)據(jù)的合法要求。此時，監(jiān)管機構(gòu)可以采取強制措施調(diào)取有關(guān)數(shù)據(jù)，例如要求獲取留存在相關(guān)成員國的系統(tǒng)描述信息。有義務(wù)向監(jiān)管機構(gòu)提供數(shù)據(jù)的自然人或法人，應(yīng)當(dāng)依法及時有效地向監(jiān)管機構(gòu)提供上述數(shù)據(jù)，而不論數(shù)據(jù)的處理行為是否發(fā)生在其他歐盟成員國;沒有依法履行數(shù)據(jù)提供的義務(wù)，有關(guān)主管機構(gòu)可以要求其他成員國協(xié)助調(diào)取。這些措施是為了加強歐盟機構(gòu)對數(shù)據(jù)流通過程的監(jiān)管，消除執(zhí)法過程中的障礙。

此外，《框架條例》還要求成員國應(yīng)確保數(shù)據(jù)服務(wù)提供商能夠識別并采取適當(dāng)、相應(yīng)的技術(shù)和組織措施，以管理他們所使用的信息系統(tǒng)及網(wǎng)絡(luò)的安全風(fēng)險。前述措施應(yīng)確保安全級別符合已有的風(fēng)險，并應(yīng)當(dāng)考慮系統(tǒng)和設(shè)施的安全性，緊急事件處理，業(yè)務(wù)連續(xù)性管理等因素。在數(shù)據(jù)安全的具體規(guī)則上，歐盟及各成員國的相關(guān)數(shù)據(jù)安全法律法規(guī)仍可適用。因此，《框架條例》并未將數(shù)據(jù)流通完全自由開放給用戶和行業(yè)自我監(jiān)管，相反在數(shù)據(jù)安全方面加強了政府層面的管控。

三是鼓勵數(shù)據(jù)流通行業(yè)標(biāo)準(zhǔn)的設(shè)立?！犊蚣軛l例》引入了“專業(yè)用戶”的概念，并明確指出數(shù)據(jù)傳輸?shù)脑敿?xì)信息和操作要求，應(yīng)當(dāng)由市場參與者通過委員會的自律、鼓勵、促進(jìn)和監(jiān)管來進(jìn)行規(guī)定?！犊蚣軛l例》還要求，在正式通過后的12個月內(nèi)，云服務(wù)行業(yè)應(yīng)拿出“行為準(zhǔn)則”，該“行為準(zhǔn)則”應(yīng)當(dāng)是全面的并且至少應(yīng)當(dāng)涵蓋數(shù)據(jù)傳輸過程中的重要方面?！靶袨闇?zhǔn)則”還應(yīng)當(dāng)明確供應(yīng)商鎖定不是可接受的商業(yè)慣例，應(yīng)當(dāng)提供增加信任的技術(shù)，并且應(yīng)當(dāng)定期更新以保持與科技同步發(fā)展的步伐。同時，《框架條例》要求歐盟委員會應(yīng)當(dāng)保證在整個“行為準(zhǔn)則”的形成過程中，包括中小企業(yè)協(xié)會、初創(chuàng)企業(yè)、用戶和云服務(wù)提供商等在內(nèi)的所有利益相關(guān)者均有參與機會。而且歐盟委員會應(yīng)當(dāng)對“行為準(zhǔn)則”的發(fā)展和實施的有效性進(jìn)行評估，以決定是否繼續(xù)給予行業(yè)這樣的自由度，或者何時自己就該出手。

總的來說，歐盟通過可識別原則為個人數(shù)據(jù)劃定了一個廣大的范圍，同時通過嚴(yán)苛的標(biāo)準(zhǔn)，將個人數(shù)據(jù)通過匿名化脫離規(guī)制范圍的可能性明顯降低，將個人數(shù)據(jù)與非個人數(shù)據(jù)之間的橋梁設(shè)置為“單行道”。然而，正如Ohm所言，個人數(shù)據(jù)可以發(fā)揮其巨大價值也可以被非常好地匿名化，但二者不可兼得，個人隱私保護和信息安全在一定程度上是與個人數(shù)據(jù)流通矛盾的。這種體系雖然強化了對個人隱私的保護，但也為數(shù)據(jù)控制者施加了沉重的負(fù)擔(dān)，同時限制了數(shù)據(jù)的流動。

然而，隨著完美的匿名化已被公認(rèn)不可能存在，匿名化技術(shù)逐漸“走下神壇”。歐盟的匿名化標(biāo)準(zhǔn)在實踐中難以真正實現(xiàn)，同時導(dǎo)致一些數(shù)據(jù)控制者借助劣質(zhì)的匿名化逃避法律責(zé)任，實際加大了數(shù)據(jù)流通中個人隱私損害的風(fēng)險。理論界在匿名化技術(shù)上有較大的爭議，對歐盟這種偏重匿名化結(jié)果的立法方式也有反對聲音。

3 基于風(fēng)險控制的匿名化數(shù)據(jù)流通理論規(guī)則的構(gòu)建

匿名化在很長一段時間被看作是保護隱私的最佳手段，然而近20年來越來越多研究發(fā)現(xiàn)，即使從已經(jīng)“匿名化”的數(shù)據(jù)中也有可能識別出單獨個人，因此各界圍繞著匿名化技術(shù)展開了激烈的爭論。Rubinstein和Hartzog將爭論者們分為實用派與形式派。實用派通過對實踐結(jié)果進(jìn)行分析，主張重識別攻擊發(fā)生概率很低。他們認(rèn)為用于重識別的輔助信息很難獲得，且雖然重新識別到數(shù)據(jù)主體是唯一的，但是無法指向任何實際存在的個人。而形式派在定義隱私、建模攻擊者和量化重新識別的可能性方面堅持嚴(yán)格的數(shù)學(xué)方法論證，主張匿名化已經(jīng)失去價值。他們認(rèn)為對匿名化技術(shù)有效性進(jìn)行量化的做法是，“通過假設(shè)攻擊者可能采取的模型而錯誤的提升了匿名化的安全系數(shù)”。

無論重識別攻擊在實踐中發(fā)生概率有多少，匿名化的不完美性已經(jīng)成為共識。但在目前的技術(shù)下，匿名化依然是個人隱私保護和數(shù)據(jù)流通中不可或缺的技術(shù)。因此應(yīng)當(dāng)結(jié)合匿名化技術(shù)的特點，建立能發(fā)揮其優(yōu)勢、彌補其不足的數(shù)據(jù)流通規(guī)則模式。

3.1 借鑒數(shù)據(jù)安全規(guī)則，制定基于風(fēng)險控制的匿名化標(biāo)準(zhǔn)

歐洲的數(shù)據(jù)保護法是在公法，或者更確切地說，是在憲法的背景下發(fā)揮效力的，其主要目標(biāo)是在涉及個人數(shù)據(jù)的處理業(yè)務(wù)范圍內(nèi)保護個人隱私和自由。個人數(shù)據(jù)保護涉及保障人的尊嚴(yán)問題，因為需要防止個人在個人數(shù)據(jù)處理中被僅僅視為客體對待。這種傳統(tǒng)的個人隱私保護是以他人行為對個人造成損害為前提。而隱私法中的“損害”本身就是一個有爭議的概念，在個人數(shù)據(jù)領(lǐng)域就顯得更為模糊。Rubinstein和Hartzog在其文章中問道：如果黑客盜取了某個人的個人數(shù)據(jù)并銷售到黑市上，是否對這個人造成了損害？如果這個人沒有損失財產(chǎn)，是否仍造成了損害？如果該信息僅被用來制作了錯誤的用戶畫像，以致推送的用戶定向內(nèi)容不符合個人喜好，是否造成了損害？因此，在“損害”無法明確范圍的情況下，重識別是否發(fā)生以及損害結(jié)果都難以準(zhǔn)確界定，隱私保護難以與數(shù)據(jù)流通過程中的個人數(shù)據(jù)安全保護完全契合。

在這種損害發(fā)生風(fēng)險不確定的情況下，數(shù)據(jù)安全規(guī)則能夠很好地發(fā)揮其效力。數(shù)據(jù)安全規(guī)則的特點在于，它注重于過程、考慮不同環(huán)境下的情況、且容忍風(fēng)險的發(fā)生。在策略層面，數(shù)據(jù)安全被認(rèn)為是不斷識別風(fēng)險的過程。盡量減少數(shù)據(jù)收集和保留;制定和實施政策、技術(shù)和物理保護措施，以防止數(shù)據(jù)泄露;如果確實發(fā)生違規(guī)的情況，則制定應(yīng)對計劃。數(shù)據(jù)安全規(guī)則在匿名化技術(shù)方面的體現(xiàn)兩個方面。

一是匿名化標(biāo)準(zhǔn)應(yīng)當(dāng)容忍風(fēng)險存在?！皼]有完美的安全措施”這一觀點為數(shù)據(jù)安全領(lǐng)域所公認(rèn)。匿名化技術(shù)既然無法保證其結(jié)果的穩(wěn)定性和有效性，那么唯有針對處理過程中的各種風(fēng)險設(shè)定合理標(biāo)準(zhǔn)，才能盡量提高匿名化技術(shù)的可靠性。

二是匿名化標(biāo)準(zhǔn)應(yīng)當(dāng)因環(huán)境而異。數(shù)據(jù)安全水平取決于數(shù)據(jù)的敏感性、公司業(yè)務(wù)運營的規(guī)模和性質(zhì)以及公司面臨的風(fēng)險類型等諸多因素。同樣，匿名化處理的過程需要考慮數(shù)據(jù)的類型和敏感水平、重識別攻擊者動機和技術(shù)手段、攻擊可能造成的損害類型、數(shù)據(jù)控制者對匿名化維護的能力等因素。這些因素是無法窮盡的，任何能夠識別和減少重識別風(fēng)險的因素都應(yīng)被考慮在內(nèi)，這將導(dǎo)致一個細(xì)致全面的穩(wěn)定規(guī)則體系會很快過時。因此，數(shù)據(jù)流通規(guī)則應(yīng)當(dāng)是與環(huán)境變化相關(guān)，同時與行業(yè)標(biāo)準(zhǔn)相結(jié)合。行業(yè)標(biāo)準(zhǔn)定期更新的特點，能很好地契合數(shù)據(jù)安全規(guī)則的特性，且結(jié)合行業(yè)規(guī)則的安全規(guī)則已經(jīng)在實踐中證明了其有效性。

3.2 改變“分發(fā)-遺忘”的舊模式，加強匿名化數(shù)據(jù)控制

前述歐盟匿名化技術(shù)的規(guī)則是采取了類似隱私保護的方式，在個人數(shù)據(jù)與非個人數(shù)據(jù)之間設(shè)定了固定的邊界，沒有考慮到不完美匿名化帶來的后果。也正是如此，《框架條例》中沒有為非個人數(shù)據(jù)中的兩種類型的數(shù)據(jù)—本身與個人無關(guān)的數(shù)據(jù)與經(jīng)匿名化處理的個人數(shù)據(jù)分別制定不同的規(guī)則。而事實上，由于重識別風(fēng)險的必定存在，單純依靠一次性“分發(fā)-遺忘”的匿名化無法保證數(shù)據(jù)在后續(xù)流通過程中的隱私安全。Ohm在他極具影響力的文章中批判了這種傳統(tǒng)的匿名化模式，因為去識別化技術(shù)存在著與生俱來的缺陷。這種不完美的匿名化會使得隱私損害在數(shù)據(jù)重識別過程中變得更加嚴(yán)重?！胺职l(fā)-遺忘”模式有其優(yōu)點，但是對于非個人數(shù)據(jù)，放棄數(shù)據(jù)控制的好處不會超過其代價，最著名的重新識別攻擊都涉及“分發(fā)-遺忘”數(shù)據(jù)集。

采用傳統(tǒng)的匿名化模式的結(jié)果是，為了在數(shù)據(jù)流通過程中著重風(fēng)險控制，必須盡量減少數(shù)據(jù)公布。而當(dāng)數(shù)據(jù)控制者失去控制權(quán)時，評估數(shù)據(jù)重識別風(fēng)險要困難得多。因此，一種合理的解決方式是最小化或消除傳統(tǒng)的“分發(fā)-遺忘”模式，加強數(shù)據(jù)控制者在數(shù)據(jù)流通過程中的監(jiān)督義務(wù)。對此義務(wù)，歐盟條例中雖沒有明文規(guī)定，但Sophie和Alison Knight給出了證成并提出修法建議。假設(shè)前提為匿名化是一基于環(huán)境與風(fēng)險因素的可逆過程，重識別后的數(shù)據(jù)重新回到GDPR的規(guī)制范圍內(nèi)。這時，匿名化與重識別的具體標(biāo)準(zhǔn)只能由匿名化處理時的數(shù)據(jù)控制者根據(jù)實際情況決定。GDPR中定義了“共同控制者”的概念，并在損害賠償部分規(guī)定，共同控制者承擔(dān)連帶責(zé)任，且一方可向有過錯的一方追償。為了能夠判斷數(shù)據(jù)的重識別是否發(fā)生、數(shù)據(jù)接收者是否存在過錯以及責(zé)任分擔(dān)的比例，給數(shù)據(jù)控制者施加數(shù)據(jù)分發(fā)后的持續(xù)監(jiān)督義務(wù)是合理的。

除通過法律向數(shù)據(jù)控者施加強制監(jiān)督義務(wù)的方式外，Robert Gellman還提出了通過數(shù)據(jù)使用協(xié)議為數(shù)據(jù)接收者設(shè)置義務(wù)的方式。Gellman在其文章中起草了一份“個人數(shù)據(jù)去識別化法案”，旨在平衡數(shù)據(jù)控制者、數(shù)據(jù)接收者及數(shù)據(jù)主體三方的利益。該法案對數(shù)據(jù)使用協(xié)議中雙方的義務(wù)進(jìn)行了構(gòu)想。數(shù)據(jù)接收者應(yīng)承諾不實施或嘗試實施重識別，并采取合理措施防止關(guān)聯(lián)方實施新識別;應(yīng)不進(jìn)行超過合同范圍的數(shù)據(jù)使用及進(jìn)一步披露;應(yīng)設(shè)置合理的安保措施以對數(shù)據(jù)進(jìn)行保密，包括物理措施、技術(shù)措施、管理措施等;當(dāng)重識別發(fā)生時，應(yīng)立即通知有關(guān)部門、數(shù)據(jù)控制者和相關(guān)用戶。數(shù)據(jù)控制者要保持對數(shù)據(jù)的控制和監(jiān)督，應(yīng)在重識別發(fā)生時立即通知有關(guān)部門和用戶，并暫停進(jìn)一步的數(shù)據(jù)披露。一旦違反了上述義務(wù)，一方可以通過合同追究違約方責(zé)任;如果發(fā)生嚴(yán)重的隱私泄漏事件，還會涉及行政或刑事責(zé)任。雖然一方通過合同授權(quán)另一方使用其數(shù)據(jù)可能涉及數(shù)據(jù)權(quán)屬這一頗具爭議的問題，但在不考慮這一點的情況下，該方式至少能夠使數(shù)據(jù)控制者在數(shù)據(jù)流通后進(jìn)行后續(xù)監(jiān)督，這在一定程度上能夠降低數(shù)據(jù)流通過程中的風(fēng)險。且如能起草和執(zhí)行得當(dāng)，該協(xié)議不會給數(shù)據(jù)接收者帶來過多負(fù)擔(dān)。

4 結(jié)束語

我國《網(wǎng)絡(luò)安全法》第42條規(guī)定，網(wǎng)絡(luò)運營者未經(jīng)被收集者同意，不得向他人提供個人數(shù)據(jù)，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?？梢?，我國已經(jīng)為個人數(shù)據(jù)流通設(shè)置了去識別化的合法基礎(chǔ)。匿名化等概念在2018年5月正式實施的《信息安全技術(shù)個人數(shù)據(jù)安全規(guī)范》中有明確定義。其中匿名化定義為，通過對個人數(shù)據(jù)的技術(shù)處理，使得個人數(shù)據(jù)主體無法被識別，且處理后的信息不能被復(fù)原的過程;去標(biāo)識化定義為，通過對個人數(shù)據(jù)的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人數(shù)據(jù)主體的過程?！叭?biāo)識化”并未要求該過程不可逆，但強調(diào)無法識別是在不借助額外信息的情況下。可見，“匿名化”的定義與歐盟相同，而“去標(biāo)識化”則與歐盟“假名化”定義相同。

2019年8月國家質(zhì)檢總局與國家標(biāo)準(zhǔn)化管理委員會發(fā)布了《信息安全技術(shù)個人信息去標(biāo)識化指南》（以下簡稱《去標(biāo)識化指南》），其中明確了去標(biāo)識化的重要目標(biāo)之一是控制重識別風(fēng)險。與歐盟規(guī)則相比，我國已經(jīng)著重了去識別化過程中的風(fēng)險控制。2020年1月發(fā)布的《信息安全技術(shù)個人數(shù)據(jù)告知同意指南》（以下簡稱《告知同意指南》），在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，進(jìn)一步完善了對外提供個人數(shù)據(jù)免于告知同意的情形。而與歐盟規(guī)則存在區(qū)別的是，《告知同意指南》第6條規(guī)定，收集已進(jìn)行匿名化處理的個人數(shù)據(jù)免于告知同意，對外提供已經(jīng)進(jìn)行去標(biāo)識化處理的個人數(shù)據(jù)免于告知同意;歐盟則要求經(jīng)假名化引入處理的信息，也需要滿足告知同意或其它合法基礎(chǔ)。這種規(guī)則設(shè)置同樣說明，我國并未同歐盟一樣要求匿名化處理的不可逆性，也便于進(jìn)一步建立偏重風(fēng)險控制的個人數(shù)據(jù)流通規(guī)則。

（1）進(jìn)一步完善《去標(biāo)識化指南》

《去標(biāo)識化指南》詳細(xì)構(gòu)建了去標(biāo)識化技術(shù)各項標(biāo)準(zhǔn)，內(nèi)容形式與歐盟數(shù)據(jù)保護29條工作組的《意見》比較相似，既包括了法律方面的規(guī)制，又詳細(xì)解釋了去標(biāo)識化的各種技術(shù)標(biāo)準(zhǔn)?？偟膩碚f，《去標(biāo)識化指南》中已經(jīng)明確提到需要通過環(huán)境因素等控制重識別的風(fēng)險，但更多是在去標(biāo)識化模型和技術(shù)的判斷選擇上，去標(biāo)識化處理的后續(xù)工作并未過多提及。其中，5.6部分規(guī)定了監(jiān)控審查的相關(guān)內(nèi)容，要求在去標(biāo)識化完成后進(jìn)行持續(xù)監(jiān)控和定期風(fēng)險評估，但內(nèi)容較為原則化，也未有更詳細(xì)的風(fēng)險評估標(biāo)準(zhǔn)，內(nèi)容有待繼續(xù)豐富。此外，《去標(biāo)識化指南》主要設(shè)定了去標(biāo)識化過程各環(huán)節(jié)的標(biāo)準(zhǔn)，沒有涉及重識別發(fā)生后的危險處理內(nèi)容，如及時通知監(jiān)管部門和相關(guān)用戶、行業(yè)內(nèi)部處理、政府部門執(zhí)法等方面。同樣，這些內(nèi)容也應(yīng)當(dāng)在后續(xù)的個人數(shù)據(jù)流通規(guī)則中著重體現(xiàn)。

（2）結(jié)合信息安全規(guī)則制定去標(biāo)識化個人數(shù)據(jù)流通規(guī)則

去標(biāo)識化是最有利于流通的個人數(shù)據(jù)形式，但也存在著更大的隱私風(fēng)險，因此在立法中應(yīng)著重平衡自由流動與隱私保護之間的關(guān)系。應(yīng)明確區(qū)分個人數(shù)據(jù)、去標(biāo)識化個人數(shù)據(jù)與非個人數(shù)據(jù)三個概念的范圍與關(guān)系。針對去標(biāo)識化個人數(shù)據(jù)，除去標(biāo)識化過程的規(guī)則之外，還應(yīng)當(dāng)明確個人數(shù)據(jù)流通過程中數(shù)據(jù)控制者的監(jiān)督義務(wù)、行業(yè)內(nèi)部的標(biāo)準(zhǔn)制定與監(jiān)管、政府部門的執(zhí)法以及隱私損害的救濟措施。同時，這些規(guī)則應(yīng)當(dāng)控制適當(dāng)限度，避免為數(shù)據(jù)控制者施加過重的負(fù)擔(dān)，保障信息流通自由。

參考文獻(xiàn)

[1] 王波.數(shù)據(jù)發(fā)布中的個性化隱私匿名技術(shù)研究[D].哈爾濱：工程大學(xué)，2012.

[2] 許娟.互聯(lián)網(wǎng)疑難案件中數(shù)據(jù)權(quán)利保護的風(fēng)險決策樹模型[J].南京社會科學(xué)，2019（03）：81-86+107.

[3] 薛其宇.互聯(lián)網(wǎng)企業(yè)間數(shù)據(jù)不正當(dāng)競爭的規(guī)制路徑[J].汕頭大學(xué)學(xué)報（人文社會科學(xué)版），2018，34（12）：62-68+95-96.

[4] 徐偉.企業(yè)數(shù)據(jù)獲取“三重授權(quán)原則”反思及類型化構(gòu)建[J].交大法學(xué)，2019（04）：20-39.

[5] 高富平.個人數(shù)據(jù)保護：從個人控制到社會控制[J].法學(xué)研究，2018，40（03）：84-101.

[6] GB/T 37964-2019，信息安全技術(shù)個人數(shù)據(jù)去標(biāo)識化指南[S].2019-08-30

[7] Peter Rott.Data protection law as consumer law – How consumer organisations can contribute to the enforcement of data protection law[J]. Journal of European Consumer and Market Law，2017，6（03）：113-119.

[8] Latanya Sweeney.Simple demographics often identify people uniquely[J].Carnegie Mellon University Data Privacy Working Paper.2000（03）：1–34.

[9] Khaled E E ， Cecilia L . A critical appraisal of the Article 29 Working Party Opinion 05/2014 on data anonymization techniques[J].International Data Privacy Law，2015，5（1）：73-87.

[10] Stalla-Bourdillon， Sophie and Knight， Alison， Anonymous Data v. Personal Data — A False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data[J].Wisconsin International Law Journal，2017：235-247.

[11] Samson Yoseph Esayas. The role of anonymisation and pseudonymisation under the EU data privacy rules： beyond the 'all or nothing' approach[J]. Social Science Electronic Publishing，2016：78-92.

[12] Ohm， Paul.Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J].UCLA Law Review，2009，57：1701-2010.

[13] Rubinstein， Ira and Hartzog， Woodrow. Anonymization and Risk[J].Washington Law Review 2016，703：15-36.

[14] Calo， Ryan. The Boundaries of Privacy Harm[J].Indiana Law Journal， 2011，86（3）：1131-1135.

[15] Bolognini L ， Bistolfi C . Pseudonymization and impacts of Big （personal/anonymous） Data processing in the transition from the Directive 95/46/EC to the new EU General Data Protection Regulation[J]. Computer Law & Security Review，2017，33（2）：171-181.

[16] Lee A， Bygrave. Data Protection Law， Approaching Its Rationale， Logic and Limits[M].Kluwer Law Intl，2002.

作者簡介：

陳子朝（1995-），男，漢族，山東青島人，華東政法大學(xué)，在讀碩士;主要研究方向和關(guān)注領(lǐng)域：知識產(chǎn)權(quán)法、個人數(shù)據(jù)保護。