我國個人信息匿名化法律標準的反思與優(yōu)化

□ 文 鄭詩怡

0 引言

在數(shù)字經濟時代，隨著物聯(lián)網(wǎng)、云計算、區(qū)塊鏈等技術的飛速發(fā)展與普遍應用，大數(shù)據(jù)分析已經滲透到生活的各個角落，在一定程度上改變了人們的生活方式，個人信息具有豐富的潛在價值。然而，在此背景下，個人信息作為大數(shù)據(jù)應用之“原材料”，在對其進行采集獲取的過程中，便產生了個人信息泄露、個人隱私遭受損害的風險。如何處理創(chuàng)新發(fā)展與隱私保護之間的沖突，在挖掘數(shù)據(jù)價值的同時維護個人信息的安全，已然成為一個亟待解決的難題。

出于協(xié)調個人信息保護和數(shù)據(jù)流通利用之目的，匿名化制度應運而生。借助對個人信息的匿名化處理，能夠在一定程度上切斷相關信息與主體身份之間的聯(lián)結性，減少利用個人信息過程中的隱私風險；匿名化后進行數(shù)據(jù)共享原則上無需獲取信息主體的同意，數(shù)據(jù)流通和共享的效率因此提升。在匿名化制度實踐中，匿名化法律標準扮演著至關重要的角色：若該標準不能合理地結合現(xiàn)實環(huán)境，則可能使匿名化的概念止步于紙上。由此，本文旨在通過對我國現(xiàn)行匿名化標準的反思，結合相關域外標準的觀察與分析，以探索我國個人信息匿名化標準的優(yōu)化路徑。

1 我國現(xiàn)行匿名化法律標準之檢視

1.1 絕對的匿名化法律標準

關于匿名化處理的內涵，《網(wǎng)絡安全法》第42條將其界定為“經過處理無法識別特定個人且不能復原”；《民法典》對該表述進行了微調，第1038條將匿名化定義為“經過加工無法識別特定個人且不能復原”。結合《個人信息保護法》第73條的相關規(guī)定，可將現(xiàn)行匿名化的法律標準總結為以下兩點：其一，匿名化處理后無法識別到特定主體；其二，匿名化后的數(shù)據(jù)不可被復原。

值得注意的是，《網(wǎng)絡安全法》和《民法典》中針對匿名化的相關規(guī)定，更偏向于是對網(wǎng)絡運營者和信息處理者的一種責任除外條款：該類主體若將被收集主體的個人信息進行匿名化，那么即使未經被收集主體的同意而對匿名信息進行處理和運用，也無需承擔法律責任。除此之外，這兩部法律均未提及匿名信息本身的性質。《個人信息保護法》在沿襲“無法識別、不能復原”標準的基礎之上，于第4條明確匿名信息不屬于個人信息，意味著其不受《個人信息保護法》相關規(guī)制，體現(xiàn)了對匿名化制度的進一步發(fā)展，彰顯了匿名化獨特的制度意義。

1.2 現(xiàn)行標準的所存漏洞

1.2.1 絕對化標準忽視了再識別風險

我國現(xiàn)行標準要求匿名化處理后的信息無法識別到特定個人且不能被復原，然而，這樣的絕對表述易使人產生“只要將個人信息匿名化便可一勞永逸”的錯覺。實際上，絕對匿名化的信息是不存在的：經過匿名化處理的個人信息，可通過與其他信息相聯(lián)結或者應用新興識別技術而再次連接至特定個人，即再識別風險。隨著社會發(fā)展和時間推移，能夠與匿名信息相結合的公開信息將不斷增加，再識別技術也會隨之更新進步，由此可知，再識別風險不僅是難以回避的，且該風險發(fā)生的概率會日益增加。

《信息安全技術個人信息安全規(guī)范》不僅肯定了經過匿名化處理后的信息仍存在再識別風險，還提出了個人信息控制者應當定期評估上述風險的要求；《個人信息保護法》則僅強調了匿名化的絕對標準。然而，從技術層面來看，匿名化狀態(tài)既然是依賴相關技術而實現(xiàn)的，那么理論上也可被技術所逆向破解。在該現(xiàn)實狀況下，若將匿名化處理視為穩(wěn)定的終局保護措施，不對處理后的剩余風險給予足夠的重視和規(guī)制，將難以應對因外部環(huán)境之變化而導致的再識別風險，不利于充分保護個人信息安全。

1.2.2 籠統(tǒng)化表述缺乏可操作性

現(xiàn)行法均強調匿名化的“無法識別、不能復原”的狀態(tài)，但就如何達致這一狀態(tài)、如何檢驗匿名化的有效性等問題幾乎沒有規(guī)定。這樣偏向原則性的籠統(tǒng)表述并不能為個人信息匿名化提供有效指導，進而導致可操作性的缺位。換言之，個人信息經過匿名化處理后，達到怎樣的程度方可對外流通使用是不確定的。

匿名化規(guī)定的籠統(tǒng)性，輕則造成個人信息處理者因沒有確切指引而在進行匿名化處理時成本投入和技術水平各異，匿名化處理質量難以進行統(tǒng)一化檢驗；重則導致互聯(lián)網(wǎng)產業(yè)陷入“檸檬市場”，進而架空已有的匿名化制度及其目的：意在嚴格遵守個人信息保護規(guī)則的企業(yè)，往往需要付出高昂的合規(guī)成本以實施審慎且充分的匿名化處理；反觀試圖鉆監(jiān)管漏洞、試探規(guī)則邊緣的企業(yè)，則因現(xiàn)有匿名化規(guī)定的籠統(tǒng)性而選擇減少相應的成本投入。若任由該種態(tài)勢發(fā)展，“劣幣驅逐良幣”之發(fā)生是可以預見的，這不僅會損害數(shù)據(jù)產業(yè)的發(fā)展質量，還將極大阻礙個人數(shù)據(jù)的有序流通與合理保護。

2 域外匿名化法律標準之鏡鑒

2.1 歐盟的所有合理可能性標準

歐盟的《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）和《數(shù)據(jù)保護指令》都將匿名數(shù)據(jù)排除出個人數(shù)據(jù)的類別，GDPR前言第26條規(guī)定“為確定特定個人能否被識別，應考慮到所有合理可能采取的手段，包括數(shù)據(jù)控制者以及任何其他人為了直接或間接地識別特定個人而選擇的途徑”。由此可將歐盟個人信息匿名化的處理標準總結為“所有合理可能性標準”。

識別主體上，歐盟主張識別認定的主體基準為一切個人和組織；在識別方法上，則包括所有合理可能的方法。之所以強調合理，則正如阿爾希波夫所言，“有充沛的時間和精力，些許端倪也能識別到特定個人，這便是私家偵探的工作模式，但并不應當是法律的運行路徑”。故GDPR對“所有合理可能”進一步解釋為“應將現(xiàn)實存在的客觀因素納入考慮，比如識別到特定個人所花費的時間和成本，以及處理數(shù)據(jù)時的可用技術和技術迭代”。

2.2 英國的有動機入侵者測試標準

2012年英國信息專員公署（以下簡稱ICO）提出了有動機入侵者測試，以作為評估匿名化處理后的數(shù)據(jù)再識別風險的標準：如果經過匿名化處理后的數(shù)據(jù)能順利通過有動機入侵者測試，就意味著匿名化是成功的。該標準由入侵者的識別動機和入侵者的識別能力兩方面組成。

識別動機上，ICO將入侵者的識別動機擬制為希望通過匿名化處理后的數(shù)據(jù)重新識別到特定主體，如為了挖掘經濟利益而獲取他人信息，又如出于好奇窺探他人隱私，無論具體原因為何，入侵者有進行再識別的積極性，也即所謂的“有動機”。識別能力上，ICO假設入侵者有合理的能力：能夠訪問諸如互聯(lián)網(wǎng)、圖書館、所有公共文檔等資源，并會采用調查技術，例如向可能對數(shù)據(jù)主體的身份有額外了解的人進行詢問。但該測試下的入侵者被擬定為不具備任何專業(yè)知識，比如能夠使用專業(yè)設備，或掌握黑客技能，或采取犯罪手段（如偷盜）以獲得妥善保管的數(shù)據(jù)。

2.3 對域外匿名化標準的分析

歐盟的所有合理可能性標準基于其識別主體及識別方式的廣泛性，對于個人信息保護的程度相對較高。然而，從數(shù)據(jù)有效流通的角度看來，該標準就顯得過于苛刻了：其一，信息處理者若希望對個人信息進行匿名化，就必須考慮、調研當下所有可能的重新識別出特定個人的合理手段，這一步驟所花費的時間成本和人力成本極其巨大，甚至導致信息處理者棄用匿名化規(guī)則；其二，在信息處理者滿足該標準的情形下，匿名化處理后的數(shù)據(jù)有效性極有可能被過度減損，數(shù)據(jù)所蘊含的價值隨之被消磨，數(shù)據(jù)本身喪失可利用性。

與所有合理可能性標準相比，英國的有動機入侵者測試標準具備清晰的運行流程，可操作性比較強。但筆者認為，此標準在識別能力上的消極擬制可能會導致對個人信息的保護力度不足：該標準假設入侵者并不具備任何與匿名化相關的先驗知識、不會使用任何專業(yè)設備。但在現(xiàn)實生活中，不少數(shù)據(jù)使用者不僅具有充分的識別動機，同時還掌握了先進技術及豐富數(shù)據(jù)，而在有動機入侵者測試標準下，此類主體將被排除出去。這意味著經過匿名化處理的數(shù)據(jù)即使通過了有動機入侵者測試，還是有較大的可能性會被上述主體再識別到特定個人，不利于對個人信息進行較為全面的保護。

通過以上對域外標準的分析，筆者認為在制定匿名化法律標準時必須考慮以下三個要素：匿名化處理后數(shù)據(jù)的可利用性、匿名化標準本身的可操作性和再識別風險防范的有效性。同時，這三個要素也可以用來評價標準制定的質量。

3 優(yōu)化路徑：基于功能性匿名化的設計

3.1 功能性匿名化理念的引入

隨著數(shù)據(jù)技術的更新迭代，社會中的數(shù)據(jù)來源不斷擴展，公眾獲取信息的成本越來越低，復原匿名信息的可能性越來越大。既然基于結果的絕對不可逆的匿名化缺乏現(xiàn)實性，那不妨把規(guī)制重心放到個人信息所處環(huán)境及匿名化處理過程之上。英國學者Mark Elliota、Kieron O’Hara等人將這種方案稱為“功能性匿名化”：僅通過查看數(shù)據(jù)遠不能確定其是否匿名，真正的匿名化不僅需關注數(shù)據(jù)本身，還應當著眼于數(shù)據(jù)與其所處環(huán)境的聯(lián)系。

功能性匿名化由“數(shù)據(jù)環(huán)境”和“匿名化決策”兩部分組成。數(shù)據(jù)環(huán)境又包含四個關鍵元素，分別是其他數(shù)據(jù)、數(shù)據(jù)使用者、管理程序及基本設施。匿名化決策主要是指數(shù)據(jù)控制者并非數(shù)據(jù)環(huán)境的被動占有者，而是可以主動設計有關環(huán)境以確保更有效地控制再識別風險：比如確定以何種流程來評估披露數(shù)據(jù)的風險，預想在發(fā)布數(shù)據(jù)后可能出現(xiàn)的狀況及應對方案等。

以功能性匿名化作為標準制定的理念基礎，能夠較好地平衡個人信息保護和數(shù)據(jù)有效流通之間的關系。但功能性匿名化畢竟只是一個具有啟發(fā)性的框架，要建立行之有效且可落地的匿名化法律標準，還需在該理念的指導下，從以下方面展開進一步的設計和細化。

3.2 管理完備的內部驗證機制

功能性匿名化理念的出發(fā)點在于，匿名化應當是一種“合理保證”而非“絕對保證”，其中“匿名化決策”的部分將重心放在對數(shù)據(jù)控制者的行為規(guī)范上：為了化解匿名化處理后的剩余風險，數(shù)據(jù)控制者應當及時關注不斷更新的技術應用和其他相關情況變動，定期測評是否出現(xiàn)了新的再識別風險，并進一步分析當前采取的設備和手段是否足以應對并妥善調整。因此在匿名化流程中，應當要求數(shù)據(jù)控制者建立管理完備的內部驗證機制，從而自證其已盡到合理可能范圍內的最大努力。筆者認為，可以參考《信息安全技術個人信息去標識化指南》中的5.5驗證審批部分，將內部驗證機制分為驗證個人信息安全和驗證數(shù)據(jù)有用性兩個板塊。

具體而言，數(shù)據(jù)控制者應當形成匿名化全流程的監(jiān)控審查記錄，通過檢查生成的數(shù)據(jù)文件來考核匿名化的具體效果；以及經由特殊的合同安排，為數(shù)據(jù)使用者施加在一定程度上限制對匿名信息進行分析或關聯(lián)的義務，并對其義務履行狀況加以監(jiān)督，以控制再識別風險，維護個人信息安全。此外，還需考慮匿名化處理后的數(shù)據(jù)仍可發(fā)揮預期效用，可以讓數(shù)據(jù)控制者的內部人員對原始數(shù)據(jù)集和匿名化后的數(shù)據(jù)集執(zhí)行統(tǒng)計計算，并對結果進行比較，以查看匿名化后是否導致不可接受的更改，以驗證數(shù)據(jù)的可利用性。通過建立上述管理完備的內部驗證機制，有助于數(shù)據(jù)控制者證明，其匿名化處理后的信息在再識別風險防范和數(shù)據(jù)效用性方面都符合預設的目標。

3.3 針對性的蓄意入侵者測試

如果說功能性匿名化理念中的“匿名化決策”要素偏向對數(shù)據(jù)控制者的關注，那么“數(shù)據(jù)環(huán)境”要素則將重心轉移到數(shù)據(jù)使用者身上：數(shù)據(jù)使用者是進出、跨越不同數(shù)據(jù)環(huán)境的主體，他們通過存儲和處理數(shù)據(jù)，把自己變成了這些數(shù)據(jù)環(huán)境中有感知的部分，其自身所擁有的數(shù)據(jù)資源會根據(jù)其跨越數(shù)據(jù)環(huán)境的頻次而有所不同。此外，不同數(shù)據(jù)使用者的數(shù)據(jù)技術和對匿名信息的潛在識別動機也有所差別，而這些因素則共同作用于對匿名信息再識別的成功概率。據(jù)此可以推知：相較于普通數(shù)據(jù)使用者，享有豐富數(shù)據(jù)資源、能夠使用頂尖設備且掌握先進數(shù)據(jù)技術的行業(yè)佼佼者，對匿名信息實現(xiàn)成功再識別的可能性要大幅提升。進言之，在同一個數(shù)據(jù)環(huán)境下，若數(shù)據(jù)控制者向不同的數(shù)據(jù)使用者發(fā)送經過匿名化處理的信息，此時應以當中再識別風險最高的數(shù)據(jù)使用者為主體基準，以其就現(xiàn)有技術和資源無法識別到匿名信息中特定個人作為匿名化標準。

實踐中，筆者認為這可以與英國的有動機入侵者標準相結合。首先，將入侵者的識別動機擬制為希望通過匿名信息再識別到個人信息主體，即主觀上有對匿名信息進行復原的積極性；其次，在識別能力方面，則以在特定數(shù)據(jù)環(huán)境下風險最高的數(shù)據(jù)使用者就其現(xiàn)有技術和資源所具有的識別能力為準。可以將其歸納為“針對性的蓄意入侵者測試”標準，該標準基本沿襲了有動機入侵者測試的判斷機制，保留了其流程清晰性和可操作性強的優(yōu)點；而在識別能力方面的補強則有利于加大對個人信息保護的力度，進一步提升再識別風險防范的有效性。與歐盟的所有合理可能性標準相比，該標準增加了對充分識別動機的限制，通過對識別動機的擬制合理限縮了識別主體的范圍，故不至于過分減損數(shù)據(jù)的有用性。

4 結束語

在匿名化制度中，匿名化標準作為重中之重，將對制度本身的效用性和實操性產生直接影響。通過對我國現(xiàn)行匿名化法律標準的檢視，可發(fā)現(xiàn)其存在忽視再識別風險和缺乏可操作性的問題。為優(yōu)化匿名化法律標準，基于對域外標準的分析，結合制度目的和現(xiàn)實環(huán)境進行考慮，可選擇引入功能性匿名化的理念。在該理念的指引下，進一步構建數(shù)據(jù)控制者的內部驗證機制和針對性的蓄意入侵者測試，共同組成個人信息的匿名化法律標準。該綜合標準不僅本身具備較強可操作性，還兼顧了再識別風險防范的有效性和數(shù)據(jù)的可利用性，從而有助于匿名化在實踐中能夠將其制度價值最大化，實現(xiàn)個人信息保護和數(shù)據(jù)價值開發(fā)的共贏。■