個人信息匿名化標準的實踐和優化

劉曉春 劉瑾

互聯網時代信息采集和存儲的便利化，使得數據共享交易的適用場景更加廣泛，數據在數字經濟發展中扮演著舉足輕重的角色。“水能載舟，亦能覆舟。”大數據浪潮下個人信息的開放流通增大了零散數據微弱關聯被挖掘的風險，也使得個人隱私權益的保護岌岌可危。作為平衡數據價值與主體權益的重要一環，個人信息匿名化通過技術措施有效削弱和去除信息與特定主體的關聯性，促進信息合規流通，提高數據利用效率，進而實現法律與技術的深度融合。在目前階段，個人信息匿名化的標準在實踐中已有若干探索，但是亟需形成共識，以激活數據活力，推動數字經濟快速健康發展。

匿名化的界定和產業標準應用

個人信息匿名化在諸多法律法規中都有所提及。我國《民法典》第1038條、《個人信息保護法》第73條以及《網絡安全法》第42條對“匿名化”的基本概念進行闡釋，即“個人信息經過處理無法識別特定自然人且不能復原的過程”，但并未對“無法識別”以及“不能復原”的具體標準詳細說明。

匿名化的時效性、技術性、普遍性等特征為軟法的適用開拓了廣闊的空間。《個人信息安全規范》在法律規定基礎上進一步定義匿名化為“通過對個人信息的技術處理，使得個人信息主體無法被識別出來，并且處理之后的信息不能被復原的過程。”針對其中的“不可復原”性，它明確指出匿名化處理后的信息可能會面臨的再識別風險。歐盟第29條數據保護工作組在其發布的《第05/2014號意見書》中也提及“現有的各項匿名化技術都無法徹底消除處理后的信息所殘留的再識別風險”。

事實上，“無法復原”的絕對化在互聯網技術快速發展的現今可實現的空間過于狹窄，各國實踐中大多并非追求技術上的絕對實現，而是法律上的主觀匿名。歐盟GDPR在序言部分規定了匿名信息的合理可能性標準：其一，判斷再識別可能時應當涵蓋數據控制者及其他任何人；其二，判斷再識別的可能時應當考慮到所有合理可能的手段，判斷手段是否合理時應考慮所有客觀因素，例如識別成本、所需時間、當時可用技術及技術的可能發展。除去上述歐盟的合理可能性標準之外，美國也在HIPAA中提出了專家確定和安全港兩個實踐層面的實體標準，其中“專家確定標準”從主體角度限制識別主體為具有相關背景知識的專家，由專家評估確定信息復原的風險，安全港標準則要求將明確列舉的18項標識符全部刪除即可，相較歐盟標準更為寬松。

《個人信息去標識化指南》確立了重新識別風險的量化指標，初步搭建起系統性的個人信息去標識化過程模板，將個人信息標識劃分為直接標識符和間接標識符。其中直接標識符為姓名、身份證號碼、詳細住址等特定環境下可唯一識別個人的識別號碼；準標識符為性別、年齡、籍貫等在相應環境下無法單獨唯一識別但結合其他信息可唯一識別個人信息主體的屬性。通常而言，要想實現“無法識別特定個人”的法定標準，就需要數據處理者對直接標識符進行匿名化操作。

《個人信息去標識化效果分級評估規范》列舉了部分去標識化的數據處理手段，如抑制、泛化、分解、干擾、壓縮等，并將個人信息去標識化分為接受需評估內容、進行定性評估、進行定量評估三個階段，對匿名化的適用具備一定的借鑒意義。值得注意的是，去標識化意味著結合相關信息仍舊存在指向特定個人的可能性，但匿名化要求這種可能性“不可復原”，后者的安全和保密程度標準顯然更高。

除此之外，今年年初正式發布實施的、由中國信息通信研究院、中國廣告協會等牽頭制定的《互聯網廣告匿名化實施指南》從技術、法律、管理三個角度，為互聯網廣告業務的數據匿名化處理搭建了“技術保障、評估規制、過程控制”的互信平衡機制。

當前已有諸多文件為匿名化的落地實施提供支持，但現階段匿名化標準文件法律強制力缺乏、效力位階較低、規范不成體系、內容不夠完善等問題依然存在，導致了實踐中匿名化標準的適用尚缺統一標準。

匿名化的相關司法實踐

作為法律條文中的但書部分，匿名化處理后的信息被排除在個人信息的范疇之外。對于經過匿名化處理后的信息流通，企業無需承擔額外的合規義務。然而，由于匿名化標準的模糊性與概括性，司法實踐中特定信息經處理后能否被認定為個人信息，不同法院裁判不一。

在余某訴北京酷車易美網絡科技有限公司一案中，余某訴稱北京某網絡科技公司屬下APP可以付費獲得包含案涉車輛的年均行駛里程、維修保養項目等信息的歷史車況報告，綜合反映了其本人駕駛習慣、維保行蹤、消費能力、消費習慣等，屬于其個人信息及隱私。廣州互聯網法院經審理認為，其一，案涉歷史車況信息未出現自然人身份信息、行蹤信息、聯系方式等能直接識別特定自然人的信息，僅能反應所查車輛的使用情況，內容不涉及具體個人，也不用于評價具體個人的行為或狀態，歷史車況信息無法與其他信息結合識別特定自然人。其二，一般理性人要想實現復原目的，需要綜合考慮行為成本，比如技術門檻、第三方數據來源、經濟成本、還原時間等因素，識別成本較高。其三，數據提供方的主體與協議細節均為商業秘密，且不對外披露，降低了一般公眾將車況信息與第三方信息結合重新識別特定自然人的可能性。因此，在車輛交易場景下，案涉車況信息與其他信息結合進行關聯識別的可能性較低，不能以此認定為個人信息。

在淘寶（ 中國 ）軟件有限公司訴安徽美景信息科技有限公司案中，一審、二審和再審三級法院均認為涉案“生意參謀”數據產品所使用的網絡用戶信息是在巨量原始網絡數據基礎上，經過深度分析過濾、提煉整合以及匿名化脫敏處理后而形成衍生數據，無法識別特定個人且不能復原，公開其數據產品數據內容，不會對網絡用戶信息提供者產生不利影響，因此認定淘寶公司公開使用經匿名化脫敏處理后的數據內容屬于法律規定的除外情形。

在涉及隱私權的早期案例中，也對匿名化進行過適用，不過由于當時的立法規定和技術背景與現在差別較大，認定匿名化的規則有可能在當下已經不一定適用。例如，北京百度網訊科技有限公司與朱某隱私權糾紛案中，一審法院認為百度在朱某未知情的情況下借助cookie技術抓取信息并進行商業利用侵犯了朱某的隱私權。然而二審法院截然相反，認為百度所抓取的興趣愛好等信息與朱某的個人身份信息相互分離，無法確定信息歸屬人，不符合個人信息的可識別要求，最終認定百度網訊并未侵犯朱某的個人隱私。

綜合相關案例可以看出，司法實踐中對于匿名化信息的不可識別性判斷仍未形成統一標準，一般借助于是否經過脫敏化程序處理、是否缺失直接關鍵的身份識別信息、復原經濟成本是否高額等判斷標準綜合考量。對于符合上述條件的數據信息，總體傾向于放寬認定為不具有身份對應識別的匿名信息而非個人信息。但這些判斷通常局限于個案認定，是否能夠統一提煉為行業監管和合規標準，目前尚未達成有效共識。

行業前景與優化路徑

當前，我國立法尚未實現對匿名化適用標準的明確規定以及匿名化信息再識別風險的有效規制，這也使得諸多數據使用、加工、提供和委托處理密集的行業領域發展受到限制。

以互聯網廣告行業為例，匿名化是互聯網廣告領域實現數據安全利用的重要路徑。一方面，由于互聯網廣告業務多機構參與的生態長鏈特性，眾多機構數據處理不具備直接獲得個人同意的現實條件，導致網絡用戶在線行為的信息收集處于不合規的高風險下，其精準及個性化的廣告投放服務等主體業務使得動態化的數據匿名化難以證明。另一方面，信息處理者收集個人信息往往不僅用于企業自身經營，還可能出售或者共享給第三方，甚至作為商品打包銷售以賺取更多經濟利益，這也是數字經濟中數據利用的重要商業模式，但是個人信息對外分享中單獨同意等要求可能成為數據流轉的重要合規成本。如何達成合規要求，實現數據安全交換成為互聯網廣告行業急需解決的難題。盡管相關部門現已發布《互聯網廣告匿名化實施指南》及《中國互聯網定向廣告用戶信息保護去身份化指引》等規范，但非強制的屬性使其在“指引”過程中難免效果不佳。

另一個亟需確立匿名化標準的例子是醫療數據領域。醫療信息多數為病患檢查數據、臨床試驗數據、基因組數據、醫患描述數據等敏感個人信息，依照我國《個人信息保護法》第29條規定，敏感個人信息的處理需要嚴格遵循單獨同意規則。唯有征得信息主體的明示同意，搜集和使用個人醫療信息方屬合規。然而數據來源的復雜性與信息數量的龐大性使得單獨同意原則執行成本頗高，進而影響數據的流通和使用，影響數據價值變現。通過確立理性和確定的匿名化標準來推動智慧醫療、醫療大數據的快速合規發展，是這個領域的當務之急。

綜合考慮各行各業的價值需求，制定一個相對清晰合理的匿名化信息判斷標準已成為數據要素流動市場的關鍵需求。完全規避匿名化信息的重識風險在當前階段缺乏可行性，應當秉持相對匿名化的理念，明確匿名化的實踐標準，建立更加完善的信息處理機制以期盡可能將風險最小化。

域外立法對于個人信息匿名化治理已經積累了諸多經驗，如前所述，歐盟及美國都有明確的判斷標準，相對而言，歐盟的合理可能性標準更為嚴格，考慮信息處理者及第三方主體的技術再識別的可能性。英國信息委員辦公室發布的《匿名化：針對實踐的信息保護風險管理》中提及了“有動機的入侵者測試”標準，即并未事先掌握相關知識，但有從匿名信息中識別到特定個人的動機，強調“入侵者”主觀上的再識別故意，但客觀上不具備相比于普通人更高的專業知識，僅能采取一般理性人有限可行的手段進行信息再識別活動。一旦“入侵者”能夠在普通環境下通過測試成功識別匿名后的信息，就意味著該匿名信息存在較大的再識別風險，反之即為合格。這種“有動機的入侵者測試”標準在有效防范匿名信息再識別風險的同時相對減輕了信息處理者的義務負擔。我國可以在實踐中借鑒參考，結合本土化的特征，重塑匿名化標準，適當列舉必須去除的標識符，同時根據不同場景分析評估再識別風險，借助相關行業規范標準判斷信息屬性。

針對匿名信息的再識別風險，日本在其《個人信息保護法》中設立了“匿名加工信息”制度，為匿名化處理者規定妥善加工義務、安全管理義務、公示義務和禁止進行識別行為四種法律義務，歐盟在《第05/2014號意見書》中規定了禁止再識別行為和定期評估再識別風險的法律要求。我國在匿名化的合理范圍內，也可以建立相應的風險評估機制，降低去標識化的普遍標準，對應不同風險等級的匿名化信息采取不同程度的資源傾斜和政策保護，要求數據處理者定期評估信息再識別風險，履行信息處理公示義務，及時預防侵權行為，完善事后法律救濟，構建行之有效的匿名化處理標準，以實現數據利用和隱私保護之間的利益平衡。

（作者單位：中國社會科學院大學互聯網法治研究中心，本文是中國社會科學院大學本科教學改革創新項目“檢法協作機制下網絡法治研究型人才培養模式創新研究”的階段性成果（JGCX202312））