個人信息匿名化的制度困境與優化路徑*
——構建“前端寬松+過程控制”規制模式之探討

李潤生

（北京中醫藥大學人文學院，北京 100029）

保護和利用始終是個人信息立法的兩大價值追求，保護毋庸贅言，利用亦不可或缺。國務院發布的《促進大數據發展行動綱要》明確指出“數據已成為國家基礎性戰略資源”，各級政府應“加快大數據部署，深化大數據應用”。截至2022年8月，已有約20個省市陸續出臺了配套法規（如《安徽省大數據發展條例》《山東省大數據發展促進條例》《上海市數據條例》），設立了40多個數據交易平臺（如北京國際大數據交易所、上海數據交易所、深圳數據交易所），為數據的流通和利用創造了條件。［1］個人信息的保護和利用從來都不是非此即彼的簡單選擇，而是縱橫交錯的復雜建構，問題的關鍵不在于選擇，而在于平衡，這已成為學界的基本共識。關于個人信息保護和利用的平衡，已有不少有益的探討，但是，匿名化是其中一個常被忽視的環節，這不得不說是一個巨大的遺憾。匿名化是個人信息保護法的基本概念，在各國個人信息保護立法中均有規定。我國《個人信息保護法》第73條規定：“匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程?！币话愣裕涿畔⒉辉賹儆趥€人信息，不受個人信息保護法的約束，匿名化需要同時去除個人信息的直接識別性（單獨即可識別特定個人）和間接識別性（與其他信息結合后可識別特定個人）。個人信息為個人信息保護法的適用對象，受個人信息保護規則的約束，匿名化信息則因與信息主體斷開連結而可得豁免。申言之，匿名化制度是平衡個人信息保護和利用的關鍵環節，關乎個人信息立法價值之實現，須細察之。

一、個人信息匿名化制度的現狀

我國《個人信息保護法》已于2021年11月1日起施行?！秱€人信息保護法》第73條規定了匿名化的概念，即“匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程”，并于第4條規定了匿名化的法律效果，即“匿名化處理后的信息”不再屬于個人信息，從而不受個人信息保護規則的約束。除上述條款外，再無其他關于匿名化的明確規定。

我國《個人信息保護法》所構建的匿名化制度具有明顯的不足，并未形成完整的制度閉環。第一，《個人信息保護法》并未明確規定匿名化的實施標準。如果說，匿名化的概念和法律效果分別對應著匿名化的起點和終點，那么，匿名化的標準就是從起點通往終點的具體路徑，標準的缺失將導致處理者無所適從。從用語來看，我國《個人信息保護法》對匿名化的定義與歐盟《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）非常相似，這是否意味著我國也采取了“任何人”標準？如若如此，個人信息的范圍亦將過度擴張，個人信息的認定也將缺乏明確性。我國也未就匿名化信息的認定設置任何兜底性規則（如安全港規則等），這無疑將加劇規則適用的混亂。第二，《個人信息保護法》并未對匿名化信息的后續流通和處理進行額外的規定。這將導致匿名化信息缺乏必要的保護，最終抑制制度實施的效果。例如，《個人信息保護法》并未規定禁止再識別制度，那么，這是否意味著匿名化信息的后續接收者可以借由外部條件無限制地回復匿名化信息而不受懲罰？再如，《個人信息保護法》第55條雖然規定了風險評估制度，但似乎僅是針對個人信息，匿名化信息的風險評估付之闕如，無法有效應對外部環境對匿名化的持續挑戰。此外，《個人信息保護法》對安全保障措施的規定也相當粗糙，缺乏系統性和可操作性，更重要的是，這些安全保障措施也僅適用于個人信息，而不及于匿名化信息。

應予指出的是，除《個人信息保護法》外，《數據安全法》也應被納入匿名化制度建構的討論范圍，因為后者所設定的數據安全制度不僅適用于個人數據，也適用于匿名化數據?！稊祿踩ā肥俏覈鴶祿踩I域的基本法，已于2021年9月1日正式施行。根據該法第1條的規定，其適用對象為“數據”，即“任何以電子或者其他方式對信息的記錄”（1），這其中既包括了個人數據，也涵蓋了匿名化數據。因此，《數據安全法》所規定的各項數據安全制度將一并適用于個人數據和匿名化數據。《數據安全法》規定了較為全面的數據安全制度，包括：（1）風險評估制度，即數據處理者應當對其數據處理活動定期開展風險評估，并向主管機關報送評估報告，尤其應重點評估數據安全的現實風險及其應對措施（第30條）；（2）安全保障制度，即數據處理者應當建立全流程的數據安全管理制度，采取相應的技術措施和其他必要措施，保障數據安全，包括進行安全教育培訓、指定數據安全負責人和管理機構以及加強數據安全風險監測等（第27、29條）；（3）分級分類保護制度，即國家建立數據的分級分類保護制度，對關系國家安全、國民經濟命脈、重要民生、重大公共利益等的國家核心數據，實行更加嚴格的管理（第21條）；（4）應急處置制度，即國家建立數據安全應急處置機制，當發生數據安全事件時，有關主管部門將及時啟動應急預案，采取相應的應急處置措施（第23條），等等?！稊祿踩ā坊凇帮L險-安全”范式，通過對數據處理活動各個主體、各個環節和各個領域的干預和規制，防止未經授權的數據訪問、使用、披露、破壞、修改或銷毀行為，從而保障數據的安全。［2］由此可見，《數據安全法》部分彌補了《個人信息保護法》所規定的匿名化制度的缺憾，尤其在匿名化信息的后續流通上填補了制度空白。不過，這并未從根本上改變我國個人信息匿名化制度所面臨的困境，因為匿名化標準的缺失將導致制度實施無所適從。

二、個人信息匿名化制度的問題及成因

個人信息匿名化制度是個人信息保護法的基礎性制度，具有廣泛而深刻的影響，但它在實施過程中卻遭遇了共通性問題，抑制了制度實施的效果。以下，我們將對個人信息匿名化制度的問題及其成因進行深入分析。

（一）個人信息匿名化制度的問題闡釋

匿名化制度是各國個人信息保護法制的共性制度，各主要發達國家均十分重視匿名化的制度建設。日本《個人信息保護法》第2條規定：“匿名化信息是指按照規定的方法對個人信息進行加工后獲得的無法識別特定個人，并無法得到恢復的信息?！边@與我國關于匿名化的概念界定基本相同。歐盟GDPR也使用了匿名化（anonymization）的術語，將其定義為：“一種處理個人數據的方式，即處理后單獨或與其他數據結合后無法識別特定自然人的過程?！泵绹ㄊ褂玫膶~匯是去識別化（de-identified），《加州消費者隱私法案》（California Consumer Privacy Act of 2018，以下簡稱CCPA）和《健康保險可攜性和責任法之隱私規則》（Privacy Rule of Health Insurance Portability and Accountability Act，以下簡稱《HIPPA隱私規則》）等都對去識別化進行了規定。例如，《HIPPA隱私規則》規定，“去識別化信息是指無法識別出特定個人且沒有合理理由相信可以被用來識別出特定個人的信息?！保?）美國法上的去識別化概念與匿名化已非常接近。

個人信息經匿名化處理后，便不再屬于個人信息，從而不受個人信息保護規則的約束。由此，匿名化制度的設定直接決定了個人信息的范圍，并深刻影響著數據保護和利用的平衡：匿名化的標準越高，則保護的力度越大，利用的空間越?。荒涿臉藴试降?，則保護的力度越小，利用的空間越大。這似乎陷入了“零和博弈”的迷局。更讓人感到困惑的是，曾經顛撲不破的“匿名化”本身正在遭受技術質疑。計算機科學家最近的研究表明，“健壯匿名化”（robust anonymization）的假設存在嚴重缺陷，即使刪除大多數甚至全部識別資料，信息仍可能被再次識別，信息的獨特性遠超我們的認知。［3］有學者甚至宣稱，匿名化已經失敗。［3］匿名化的技術爭論深刻影響著匿名化制度的發展方向和進程。為緩解公眾擔憂，各國紛紛提升匿名化的門檻和標準，擴大個人信息保護法的適用范圍，由此，個人信息像空氣一樣無限延展，一部本應有所限制的法律變得無邊無際，打破了保護和利用之間的謹慎平衡。這給個人信息保護法的實施帶來了很大困難，同時也導致了個人信息認定的模糊。雖然歐盟出臺了統一的GDPR，但在歐盟內部，不同國家對特定數據是否構成個人數據也存在分歧，例如，西班牙、瑞典將IP地址認定為個人數據，而德國、法國、英國等則持相反意見。如果說，國外（典型如歐盟國家）匿名化制度實施的困境主要在于個人信息范圍的過度擴張以及匿名化標準的模糊，那么，連匿名化的標準都尚未明確建立的我國，則面臨著更為嚴峻的實施困境。綜上，本文將重點討論以下兩個核心問題：第一，是否能夠構建出一種科學理性的匿名化宏觀規制模式，從而平衡個人信息的保護和利用、破解實施困境？第二，基于此種宏觀規制模式，我國現行制度應如何完善？

（二）個人信息匿名化制度問題之成因分析

我們首先有必要對匿名化進行必要的區分。信息的匿名化可以區分為技術匿名化和法律匿名化：前者是從技術視角界定的匿名化，主要探討匿名化的技術可行性問題；后者是從法律視角界定的匿名化，是在承認技術匿名化局限性的基礎上，以法律規則對匿名化進行必要的限定。個人信息匿名化制度問題之根源即在于對技術匿名化和法律匿名化之混淆，以及對于法律匿名化之過高期待和過度反應。

1.技術匿名化“神話”之幻滅

科學家曾經對匿名化抱有堅定的信心，認為通過刪除姓名、身份證號等識別資料便可以充分保護個人隱私。這在前計算機時代是可以理解的。在紙質記錄環境下，個人信息的保存和重復利用絕非易事，對信息進行綜合分析則更加困難，在刪除常見的個人標識符后，信息很難再與個人相關聯，或要付出極高的代價。即使到了計算機發展的早期，受限于存儲和計算能力，數據集之間大范圍的交叉串聯和深度分析也受到很大的限制。在這一階段，信息的處理是碎片化和隨機的，匿名化理論并未受到根本沖擊。

但是，隨著計算機軟硬件技術的快速發展，以及網絡所搜集的信息量的爆炸式增長，情況發生了改變。分布式和去中心的計算機系統具有超強的收集、傳遞和運算個人數據的能力，處理者可借以建立和使用數據聚合進行識別分析，數據處理呈現出四個方面的新變化：（1）可以不經個人知曉而搜集個人數據；（2）可以存儲個人數據并長期脫離數據主體對數據進行處理；（3）可以運用數據的邏輯對獲取的數據進行比較、聯結和運算分析；（4）可以輕易地處理成千上萬的位于不同地方、從不同渠道獲取的個人數據。［4］這種全面、系統和持續的數據處理方式給匿名化帶來了巨大壓力。

計算機科學家已經證明，匿名化存在著嚴重的缺陷，它更像是一個“美麗的神話”。［5］研究發現，數據中潛藏著一種獨特的性質，可以用以辨識數據主體，即使刪除所有識別字段，也難以將其清除，它被形象地稱為“數據指紋”（data fingerprint）。［6］就像遺留在犯罪現場的人類指紋一樣，“數據指紋”將暴露數據主體的身份。匿名化信息中也留存有“數據指紋”，而且比大多數人想象的更多、更容易獲取。［6］“數據指紋”的產生并非基于孤立的數據集，而是在眾多數據集融會貫通下所呈現出的一種整體傾向性，就此而言，即使刪除單個數據集中的識別字段，也無法斷開個人與數據之間的關聯。一旦對手發現了某個數據指紋，他便可以利用豐富的外部信息（即“輔助信息”）識別出特定個體。如果我們對這個世界一無所知，那么許多匿名化技術將是完美的，但事實上，移動互聯的世界充斥著有關個人的數據，“輔助信息”散落在地球的各個角落。有學者提出了“唯一性”（unicity）的概念，以量化在一個匿名數據集中，平均需要多少外部信息來重新識別數據主體，結果發現，大型元數據集（如網絡瀏覽歷史、財務記錄、交通和流動性數據、社交網絡數據等）具有更高的唯一性，只需要較少的外部信息，便可以再次識別數據主體。［7］

各種極具渲染力的事件進一步加深了公眾對匿名化的不信任。例如，哈佛大學計算機系教授拉坦亞·斯維尼（Latanya Sweeney）僅使用出生日期、性別、選民登記標識符以及保留在出院記錄中的郵政編碼等公開信息，便確認了時任馬薩諸塞州州長威廉·威爾德（William Weld）的健康記錄。［8］斯維尼教授堅信，在大數據時代和大數據技術下，完全不可識別的數據是不存在的。類似事件還有不少，未來還會更多，這加劇了公眾對隱私泄露的擔憂。

2.法律匿名化的制度因應及困境

事實上，各國在立法時均已意識到技術匿名化的局限性。2014年4月，歐盟“第29條工作組”（Article 29 Working Party）提出了《第05/2014號意見：匿名化技術》（Opinion 05/2014 on Anonymization Techniques，以下簡稱《匿名化意見》），專門分析了匿名化技術在大數據時代的局限性，認為創建真正的匿名數據集將非常困難，技術處理后的匿名數據仍然存在被再次識別的剩余風險（residual risk），任何一項測試技術都不能保證匿名化的效果。［9］日本在修改其匿名加工制度時也認為，“因信息技術不斷進步，即使經匿名加工之信息，仍然很難防止第三人利用組合比對技術，回復至特定個人”［10］。而且，研究發現，數據的隱私和效用之間存在固有的沖突關系：為了可用，數據必須保持一定程度的識別性，數據的效用和隱私之間呈現出明顯的負相關關系。［3］也就是說，若要保持數據的可用性，完美的匿名化將是不可能的。

因此，各國事實上都是在承認技術匿名化固有局限的基礎上構建匿名化制度的，都對匿名化進行了必要的法律限定。根據筆者的總結，各國主要通過設置主客觀相結合的標準完成限定（參見表1）：主觀標準限定以誰的識別能力作為判斷基準，客觀標準限定信息自身的去連結化程度。具體而言，主觀標準主要包括五類。第一，“一般人標準”，即以社會一般多數人的識別能力作為判斷基準，不要求具備任何特殊的資質、能力或條件。如果按照社會平均條件無法識別出特定個人，則該信息為匿名化信息。第二，“處理者標準”，即以信息處理者的識別能力作為判斷基準，從信息處理者的主觀條件出發，本無一致性標準，在個案場景中審查判斷。例如，醫療機構處理個人信息時，應以醫療機構的識別能力作為判斷基準；制藥公司處理個人信息時，則應以制藥公司的識別能力作為判斷基準。這不可避免地會引起認定的相對化。日本采此標準。［10］美國CCPA也采行類似的標準。［11］第三，“專家標準”，即以特定領域內的專家的識別能力作為判斷基準。例如，《HIPPA隱私規則》規定，去識別化信息的判定標準為，“一位具有統計學與科學背景且知道如何對個人信息去連結的專家出具書面分析意見認定，該信息被第三者取得后，將其單獨或與其他合理方法可取得的信息比照后，只有非常小的風險可以識別出該信息所連結的主體”（3）。第四，“具有動機的入侵者標準（a motivated intruder test）”，這是英國信息專員辦公室在《匿名化：數據保護的風險管理（實務守則）》（Anonymization：Managing Data Protection Risk，Code of Practice）中提出的標準，即以具有動機的入侵者的識別能力作為判斷基準。［12］具有動機的入侵者是指具有再識別動機但不具備任何先驗知識的人，例如，對于醫療數據庫而言，具有動機的入侵者通常不會是一般人，而是醫藥公司或相關的學術研究者。這一標準假定入侵者具有合理的能力，可以使用相關的資源和技術，但并不假定其具有任何特殊的知識如電腦黑客技術等。第五，“任何人標準”，即以任何人的識別能力作為判斷基準，只要任何人基于其主觀條件得以從信息中識別出特定個人，則該信息不屬于匿名化信息。GDPR采此標準。

表1 匿名化的法律標準

客觀標準主要包括兩類。第一，“容易照合標準”，即若與其他資料簡單容易比對后無法識別出特定個人，則為匿名化信息。日本、美國CCPA采此標準。第二，“合理可能標準”，即通過任何可能、合理的手段比對分析后無法識別出特定個人，則為匿名化信息。GDPR、《HIPPA隱私規則》采此標準。從字面上看，“合理可能標準”比“容易照合標準”更加嚴格，不過，這種差別一則很難衡量，二則實踐效果已十分接近。例如，歐盟和日本在個人信息保護的互認談判中并未將客觀標準的差異作為談判要點，雙方爭論的焦點在于前述主觀標準的差異，日本為彌合雙方分歧而制定的補充細則也未提及前述客觀標準的調整，歐日順利達成了個人信息保護的互認協議。［13］因此，各國對匿名化限定的差別主要在于主觀標準，而非客觀標準，下文即以“合理可能標準”一并論述客觀標準。

技術匿名化的爭論給法律匿名化帶來了過大的壓力，導致立法者逐漸混淆了技術匿名化與法律匿名化的分野和定位，技術匿名化成為法律匿名化的指揮棒，“技術完美主義”成為否定匿名化制度的“科學”證據。為緩解公眾擔憂，各國紛紛提升匿名化的標準，擴大個人信息的范圍，以進一步滿足“技術完美主義”的訴求。這在歐盟GDPR中體現得最為明顯。GDPR將個人數據（4）定義為“與一個已識別或可識別的自然人相關的任何數據”（5），“為判斷自然人身份是否可識別，需要考慮所有可能使用的手段，為判斷所使用的手段是否可能用于識別自然人，需要考慮所有客觀因素。”（6）歐盟對此解釋為，個人數據采取了廣義的定義方式，盡量納入所有可能識別個人的數據，故立法語言盡可能一般化。［14］包括我國和韓國在內的很多國家都深受GDPR的影響，就連一向在個人信息立法上保持克制的美國，也已有部分州（如華盛頓州）提出了GDPR式的法案［15］。這是一種過度的反應，個人信息保護法由此成為一部沒有門檻的法律，打破了保護和利用之間的應有平衡。有學者悲觀地指出，無論監管機構如何有效地遵循最新的技術研究成果，將新識別的數據領域納入監管范圍，它都會發現更多尚未涵蓋的領域，直到它覆蓋一切。［16］這同時也導致了個人信息認定的模糊。沒有邊界和門檻的法律，何來規則的明確性？這給個人信息保護法的實施帶來了很大困難。歐盟在GDPR實施兩年后的評估報告中指出，GDPR并未兌現承諾，反而成為歐洲數字經濟的沉重負擔，成員國缺乏充足的執法資源，對個人信息的解釋也經常陷入分歧，執法前后不一。［17］這就是各國所面臨的個人信息保護法實施困境和問題的根源所在。

三、個人信息匿名化制度的建構模式和優化路徑

針對前文提出的兩大核心問題，可以基于比較法經驗和我國實踐分別提出針對性的解決方案。首先建構一種平衡的匿名化宏觀規制模式，進而基于該模式，提出我國現行匿名化制度的優化方案。

（一）“前端寬松+過程控制”的匿名化規制模式之建構

盡管存在諸多問題，各國均未拋棄匿名化制度，而是在保留的基礎上予以修繕。原因在于，取消匿名化制度可能導致個人信息范圍的進一步擴張。如果連匿名化的過濾功能也被取消，個人信息將無所不在，侵蝕正常的社會交往空間。理性的選擇是對匿名化制度進行修改和完善，各國已經開展了諸多嘗試。例如，有的國家選擇降低匿名化的標準，限縮個人信息的范圍，典型如美國CCPA；有的國家選擇設置安全港規則和符號型個人信息制度，提升匿名化認定的明確性，典型如《HIPPA隱私規則》和日本《個人信息保護法》；有的國家選擇建立動態風險評估制度，動態評估匿名化信息的風險，典型如歐盟GDPR等。不過，上述多種方案總體給人頭痛醫頭、雜亂無章之感，無法形成琴瑟和諧的制度合力。若要打破此種僵局，提煉出匿名化規制的宏觀模式并據此構建井然有序的制度體系，需要細化舉措。在此，力求通過“前端寬松+過程控制”模式，破解匿名化制度的實施困境。

1.“前端寬松+過程控制”規制模式的正當性探析

所謂“前端寬松+過程控制”，是指適度降低匿名化的認定標準，放寬前端準入門檻，注重通過過程控制措施保障信息的安全，從而實現平衡有序的規制。其中，“前端寬松”是規制目標，以利用為導向，“過程控制”是安全保障，以風險為導向，二者前后銜接、相互配合，共同組成邏輯整體?！扒岸藢捤?后端控制”的規制理念，既可化解個人信息的無序擴張和認定混亂困境，也能有效平衡信息的保護和利用。

（1）“前端寬松”的正當性探析

“前端寬松”是否具有正當性呢？這首先需要理清匿名化的制度定位。誠如前述，個人信息立法始終在保護和利用兩種價值目標之間穿梭游走，名曰保護法，實為保護和利用平衡之法。而且，不同制度所肩負的具體使命是不同的，其中，匿名化制度的基本定位是利用導向，這有可靠的立法證據。例如，日本明確將匿名加工制度視為“促進大數據利用的重要催化劑”［18］，旨在通過匿名化信息目的外利用之豁免，推動大數據技術的應用和發展。［19］為進一步推動個人醫療信息的活用，增進國民健康福祉，日本還專門頒布了《下一代醫療基礎設施法》，該法全稱為《有助于醫療領域研究開發的匿名加工醫療信息法》，旨在通過對匿名加工制度的針對性改造，進一步推動個人醫療信息的流通和利用。［20］可見，日本法明確將匿名加工制度視為促進信息利用的工具。歐盟《匿名化意見》也指出，匿名數據的價值在于通過匿名化技術使原本具有人身屬性的數據不再能夠識別特定個人，從而推動合理的商業化利用。

事實上，這也深深地烙印于個人信息立法的規制邏輯。個人信息與個人相關聯，關乎個人尊嚴、原則保護、例外豁免（如基于各種公共利益的許可處理規則）；匿名化信息則因與個人斷開連結，原則上不受個人信息保護規則的約束，但仍應例外地履行相關義務（如禁止再識別義務等）。匿名化制度的設立宗旨在于創造信息利用的公共空間，維護公共利益。正如學者所言，幾乎每一次公共政策辯論都得益于匿名數據集的大規模傳播：衛生經濟學家利用醫療保險數據進行的研究是醫療制度改革的辯論核心，公共犯罪數據被用于揭示警察資源的分配不公，微觀人口數據被用于檢測居民住房中的種族隔離趨勢，等等。［21］過分嚴苛的匿名化制度將使社會遭受所謂的“數據共享悲?。╰ragedy of data commons）”。

因此，以利用為導向就是匿名化制度的基本定位，適度降低匿名化的標準無疑是合理的選擇。我們不應過度夸大匿名化本身所提供的保護功能，而應更多依靠體系的力量、依靠匿名化之外的措施、依靠“過程控制”機制達成保護目標。

（2）“過程控制”的正當性探析

“過程控制”是否具有正當性呢？須知，“過程控制”并非要完全排除風險，而是追求風險的最小化，因而是風險導向和風險容忍的?！斑^程控制”的邏輯起點在于承認完美匿名化的虛幻性，承認技術進步對匿名化的現實沖擊，因而將關注重點從結果轉向過程，通過對匿名化信息流轉利用的各個環節、各個主體的約束性安排，盡可能減少再識別的風險。關注過程的視角將讓我們超越技術匿名化自身是否可靠的爭論，而將更多精力置于風險的控制上，專注于減輕風險的流程和步驟，而不是一味地拒絕風險和危害。這是一種務實的中間道路，在承認匿名化局限性的同時，將其置于更寬廣的視野，通過各類措施（包括但不限于去識別化）的綜合運用，盡可能降低數據流通的風險，并為數據利用創造空間。正如學者所言，數據保護法應是一種基于過程的、場景化的和危害容忍的法律，其重點在于執行各類風險管控措施，即使威脅是遙遠的，也要盡可能降低危害發生的可能性。［5］“過程控制”所懲罰的不是匿名化信息被泄露或再次識別的結果，而是未執行各項安全措施的行為和狀態，數據保護法應從結果導向轉向過程導向，從前端控制轉向過程控制，從隱私侵權法（以損害為核心）轉向數據安全法（以風險為核心）。

事實上，各國已經在個人信息保護實踐中或多或少地融入了“過程控制”理念。例如，CCPA首先對去識別化進行了抽象定義，“去識別化信息是指不能直接或間接地合理識別、關聯或描述到某一特定消費者的信息”，進而設定了一個更加具象的標準，即如果經營者采取（1）防止再次識別的技術保護措施；（2）防止再次識別的經營流程；（3）防止去識別化信息因疏忽而泄露的經營流程；以及（4）承諾不再重新識別，則該等信息被視為去識別化信息。（7）CCPA的邏輯是，只要經營者采取了必要的“過程性”控制措施并證明沒有再次識別的意圖，便推定其符合去識別化的標準。［22］某種意義而言，這是以過程控制措施取代前端識別標準。此外，歐盟GDPR的數據保護影響評估制度、安全保障制度，日本的禁止再識別制度、明示制度等都是“過程控制”的具體體現。需要指出的是，“過程控制”應與“前端寬松”有序銜接、適當配合，“過程控制”既是“前端寬松”的延伸和保障，也是“前端寬松”的調節工具：“過程控制”越周延有效，“前端寬松”越具張力和空間，反之則越趨緊縮和壓抑。

2.“前端寬松+過程控制”規制模式之展開

依據“前端寬松+過程控制”的規制理念，我們首先對各國的匿名化制度作簡要評述。總體而言，歐盟GDPR相當重視匿名數據的“過程控制”，設置了風險評估、安全保障等過程控制措施，不過，歐盟的匿名化標準過于嚴苛，前后失調，偏重保護而抑制利用。美國似乎有些分裂：CCPA和FTCA（8）較為充分地貫徹了“前端寬松+過程控制”的理念，甚至有以“過程控制”取代“前端管控”的傾向，不過，其過程控制措施較為粗糙，不夠完善；《HIPPA隱私規則》既規定了嚴苛的去識別化標準，又設置了細密的過程控制措施，更接近于GDPR。日本《個人信息保護法》的設計相對均衡，采行了以處理者為參照系的匿名化標準，也設置了若干過程控制措施，但整體而言仍有較大的充實空間。那么，究竟如何才能充分貫徹“前端寬松+過程控制”的規制理念呢？以下，筆者將參鑒各國經驗，提出規制方案。

第一，設定以處理者為參照的匿名化標準。即以信息處理者的識別能力作為判別匿名化的基準。這是相對較低的標準，為匿名化創造了空間，是“前端寬松”的直接體現。應當說，個人信息保護法本身就是以處理者為核心的規則體系，規范對象是處理者的信息處理活動［4］，以信息處理者為參照系設定判斷基準，合乎法理。處理者是匿名化的主要實施者，以處理者的能力及其所掌控的外部信息評估匿名化的風險，亦合乎情理。相反，采行第三人標準（如具有動機的入侵者標準、任何人標準等），則有強人所難之嫌，因為第三方的技術能力及其所掌控的外部信息，并非處理者所能預測或評估。［19］當然，處理者標準的運用可能會導致認定的相對性，但相對性不等于模糊性，相對性不會妨礙規則的適用，匿名化的認定本身就是動態的、基于場景的，應根據場景的不同而作相應調整，相對性本為題中應有之義。處理者是“自主決定處理目的、處理方式等個人信息處理事項的組織和個人”（9），處理者標準不但不會增加匿名加工的模糊性，反而有助于提升其明確性。

反面觀之，“一般人標準”過于寬松，暫無國家采行，“任何人標準”又過于嚴苛，將導致個人信息的無序擴張和認定混亂?！皩＜覙藴省币彩且环N過高的標準，“專家”一詞本身就有嚴格認定的色彩和傾向，正如我們在侵權責任法中所構建的“專家責任”制度?！熬哂袆訖C的入侵者標準”較為模糊，如何選定“入侵者”，如何衡量其識別能力，難以掌控，雖然假定“入侵者”不具有任何先驗知識和特殊技能，但實際操作中到底與“任何人標準”和“專家標準”有多少差別，不無疑問，以至于最先提出該標準的英國也未在其正式立法中予以采行。

第二，明確規定安全港規則和符號型個人信息制度。為進一步避免認定歧義，廓清適用范圍，筆者建議設立安全港規則和符號型個人信息制度。安全港規則是指只要刪除法定種類的識別資料，即為匿名化信息，無須再作額外審查。這為匿名信息的認定提供了“安全港”，有助于提升認定的明確性。例如，《HIPPA隱私規則》規定，只要刪除法定的18種識別資料，即確定的成為去識別化信息。符號型個人信息制度是指只要包含特定的符號，即為個人信息，無須額外審查。這有助于簡化個人信息的認定程序、減少灰色地帶、提升明確性。例如，日本《個人信息保護法》于2015年增設了符號型個人信息制度，即政府事先認定特定的符號，只要包含認定的符號，則為個人信息，無須額外的評估。認定符號是匿名加工時必須刪除的符號。［19］安全港規則和符號型個人信息制度，一正一反，相互配合，共同廓清個人信息的范圍，簡化匿名信息的認定，完成“前端寬松”的標定。

第三，明確規定禁止再識別制度。禁止再識別制度是指匿名化信息的處理者和接收者不得再次識別信息主體，違者將承擔行政或刑事法律責任。日本《個人信息保護法》第36條第5項規定，匿名化信息的處理者和接收者不得再次識別信息中的特定個人，違者將承擔行政或刑事法律責任。英國《數據保護法》明確將“故意或重大過失從匿名或化名數據中重新確認個人身份的行為”認定為犯罪。［23］禁止再識別制度賦予匿名化信息的處理者和接收者以強制性義務，從而精準補齊了“處理者標準”的視野盲區。應當說，禁止再識別義務從制度上阻斷了匿名化信息被再次識別之可能，使匿名化信息從制作、保管到流通均有制度護航，從而形成了完整鏈條，為“前端寬松”創造了條件。匿名化信息之“不能復原”，既包括技術上之“不能復原”，也包括法律上、制度上之“不能復原”。禁止再識別制度是“過程控制”的重要環節。

第四，明確規定公開制度和明示制度。這是日本法上的經驗。根據日本《個人信息保護法》第36條第4、6項的規定，匿名化信息的處理者應當將匿名化信息的加工方法、流向等公開，以接受公眾監督；匿名化信息的處理者應當向接受匿名化信息的第三者明示，其負擔與提供人相同之義務，包括禁止再識別義務、安全維護義務等。公開制度可以有效發動社會監督，促使處理者形成自我約束機制。明示義務的設置將禁止再識別義務、安全維護義務等真正落實于流通鏈條的各個環節、各個主體，從而使匿名化信息的流通更加順暢可靠。公開和明示制度是“過程控制”的重要保障。

第五，明確規定匿名化信息的動態風險評估制度。包括歐盟在內的不少國家已建立起動態風險評估制度，它承認技術和場景的變化對匿名化的影響，不再將匿名化視作一蹴而就，而是一項持續的、不斷調適的長期工作。處理者不應過度依賴某種特定的匿名加工方法，而應定期識別新的風險、重新評估剩余風險。例如，GDPR第35條全面規定了數據保護影響評估制度，“對于可能給自然人的權利和自由帶來高風險的數據處理活動，處理者應在處理活動開展前對預期處理操作進行數據保護影響評估”，評估的具體內容包括“預期處理活動的內容及目的、處理活動的必要性和適當性、對自然人的權利和自由所帶來的風險以及預期的風險防范措施等”。動態風險評估制度將匿名化的認定與特定場景結合，以個案分析的精神，評估特定場景中匿名化信息的風險狀況及防控措施的有效性，從而提升了保護的實效，是“過程控制”的重要支撐。

第六，規定完備的安全保障措施。安全保障措施是處理者在信息管理過程中為維護信息安全而采取的技術、組織和物理空間上的保護措施的總稱。安全保障措施通過賦予處理者以各類強制性保障義務，建立安全保障體系，維護信息安全。大多數國家都規定了安全保障措施，例如，歐盟GDPR規定，數據控制者應采取必要的技術性和組織性措施保障匿名數據的安全（10）；日本《個人信息保護法》第36條第3項規定，匿名化信息的處理者負有安全維護義務，應采取適當的安全維護措施，防止匿名化信息被泄露或違法利用。安全保障措施是一個宏大的體系，旨在通過各類技術、組織和物理空間措施，編織細密的安全網，保證信息的全程安全，它涵蓋了各類常見的安全措施，覆蓋了數據處理的各個環節、各個主體，具有良好的伸縮性，更加契合動態保護的需求，充分彰顯了“過程控制”的理念，是“前端寬松”的最終保障。

上述六條措施共同構成了“前端寬松+過程控制”的匿名化規制方案：處理者標準是一種合理適度的認定標準，為信息的匿名化創造了必要空間，是“前端寬松”的直接體現和邏輯起點；安全港規則與符號型個人信息制度則與處理者標準相互呼應、相互補充，進一步廓清匿名化信息的范圍，簡化認定程序，提升明確性，共同完成“前端寬松”的標定工作；禁止再識別制度不但將匿名化信息的加工、流通和利用全流程納入保護框架，而且精準補齊了“處理者標準”的視野盲區，搭建起“過程控制”的制度骨架；公開和明示制度通過發動社會監督并將禁止再識別等義務細致融入流通鏈條的各個環節、各個主體，為“過程控制”提供了重要保障；動態風險評估制度將匿名化信息的認定與特定場景相結合，旨在提升“過程控制”的實效性；安全保障措施則通過技術、組織和物理空間等各類措施的綜合運用，編織細密的后端防護網，為“前端寬松”和“過程控制”提供最終保障。“前端寬松+過程控制”的規制模式，既降低了匿名化的實施門檻，為信息利用創造了空間，又提升了保護的實效性，跳出了“零和博弈”的困局，真正實現了保護和利用之平衡。

（二）“前端寬松+過程控制”模式下我國匿名化制度之優化路徑

首先，我國應設定匿名化的明確標準，填補制度漏洞，采行處理者標準，即以“信息處理者能否通過合理、可能的手段識別特定個人”作為匿名化的判斷基準，可考慮通過立法解釋的形式予以明確。雖然《個人信息保護法》在匿名化的概念界定上參照了GDPR，但在具體認定標準上應有靈活解釋的余地，切忌重蹈歐盟的覆轍。正如學者所言，“歐盟停留在基本權利層面的泛化保護模式具有一定的合理性，但我國的個人信息保護立法必須兼顧規則的可執行性、可適用性和可監管性，必須考慮我國的歷史傳統和現實國情，不可將個人信息保護法看成是承擔一切個人信息保護的法律”［4］。在《數據安全法》已出臺的背景下，我們可以而且應當在匿名化的標準設定上保持必要的克制。

其次，我國應增設安全港規則和符號型個人信息制度。具體而言，可考慮于《個人信息保護法》中預留制度接口，表述為，“如果已經刪除法定類別的識別資料，則為匿名化信息”，“包含特定符號的信息是個人信息”，主管機關可據此出臺實施細則，制定行業性的、動態調整的符號目錄，以適應外部環境的變化。這之于我國尤其必要。我國幅員遼闊，地域差異大，且各地執法人員素質參差不齊，抽象標準（“處理者標準”）在落地過程中容易引起混亂，安全港規則和符號型個人信息制度有助于簡化認定程序，提升明確性。

再次，我國應增設禁止再識別制度、明示制度和公開制度，明確規定，匿名化信息的處理者及后續接收者不得再次識別信息中的特定個人；匿名化信息的處理者應向接收者明示其負擔相同之義務，包括禁止再識別義務、安全維護義務等；匿名化信息的處理者應將匿名化信息的加工方法、流向等事項向社會公開，接受社會監督。這是對“前端寬松”的直接回應，可精準填補“處理者標準”所帶來的風險漏洞，從處理者到后續接收者，從加工、存儲到流通利用，各個主體、各個環節均負擔明確的義務，匿名化制度將由此形成邏輯閉環。

從次，匿名化信息的動態風險評估制度宜由《數據安全法》及其實施細則規定，《個人信息保護法》無須另作規定。《數據安全法》第30條已經規定了動態風險評估制度，且已覆蓋匿名化數據，《個人信息保護法》無須再針對匿名化信息另作規定，惟《數據安全法》的規定較為宏觀，主管機關應盡快出臺實施細則，明確風險評估的啟動條件、評估周期、評估重點等關鍵事項，尤其應將匿名化信息的風險狀況、匿名化措施的有效性等作為重點評估事項。經評估，若匿名化措施無法維護信息安全，應要求處理者采取額外的匿名化步驟，否則不再視為匿名化信息。動態風險評估制度是我國構建“前端寬松+過程控制”的匿名化方案的重要支撐。

最后，匿名化信息的安全保障措施宜由《數據安全法》及其實施細則規定，《數據安全法》已經規定了多項安全保障措施，且已覆蓋匿名化數據，《個人信息保護法》無須另作規定。但是，《數據安全法》的規定仍較為粗獷，主管機關應盡快出臺實施細則，全面規定各類技術、組織和物理空間保障措施，并可參照《HIPPA隱私規則》，將全部措施劃分為必要性和建議性兩類，根據不同的場景進行定制化安排，增強保護的實效性。

注釋：

（1）參見《數據安全法》第3條第1款。

（2）參見美國聯邦行政法典第45本之164章514條a款，45 C.F.R.§164.514（a）。

（3）參見美國聯邦行政法典第45本之164章514條b款，45 C.F.R.§164.514（b）（1）。

（4）一般認為，數據和信息有細微差別，數據是電子信息的載體，電子信息是數據的內容。為行文方便，本文暫將數據和信息視作同義，相互通用。

（5）參見GDPR Article 4。

（6）參見GDPR Preface（26）。

（7）參見CCPA under Cal.Civ.Code§1798.145（h）。

（8）即《聯邦貿易委員會法案》（Federal Trade Commission Act），簡稱FTCA。

（9）參見《個人信息保護法》第73條。

（10）參見GDPR Preface（29）。