匿名化數(shù)據(jù)的全流程再識(shí)別風(fēng)險(xiǎn)防范

在數(shù)字化時(shí)代，數(shù)據(jù)的價(jià)值日益凸顯。匿名化處理作為平衡數(shù)據(jù)利用與個(gè)人數(shù)據(jù)保護(hù)的關(guān)鍵手段，備受關(guān)注。然而，匿名化數(shù)據(jù)并非絕對(duì)安全，再識(shí)別風(fēng)險(xiǎn)始終存在，一旦數(shù)據(jù)被重新識(shí)別為個(gè)人數(shù)據(jù)，個(gè)人隱私與數(shù)據(jù)安全將面臨威脅。因此，構(gòu)建全流程的匿名化數(shù)據(jù)再識(shí)別風(fēng)險(xiǎn)防范體系至關(guān)重要。

風(fēng)險(xiǎn)防范的必要性

個(gè)人數(shù)據(jù)具有私益與公益雙重屬性。從私益角度觀察，其包含大量個(gè)人隱私信息，且與個(gè)人尊嚴(yán)緊密相連；從公益層面來(lái)看，數(shù)據(jù)的流通利用能夠促進(jìn)社會(huì)發(fā)展，如推動(dòng)數(shù)字經(jīng)濟(jì)創(chuàng)新、豐富公共服務(wù)等。

匿名化處理雖能于一定程度上在保護(hù)個(gè)人隱私的同時(shí)釋放數(shù)據(jù)使用價(jià)值，但無(wú)法完全消除數(shù)據(jù)與數(shù)據(jù)主體之間的關(guān)聯(lián)。當(dāng)外部主體將匿名化數(shù)據(jù)與其他信息相結(jié)合時(shí)，有可能重新識(shí)別出數(shù)據(jù)主體，使匿名化數(shù)據(jù)恢復(fù)為個(gè)人數(shù)據(jù)，數(shù)據(jù)流通再次受到法律的嚴(yán)格約束。匿名化數(shù)據(jù)被再識(shí)別，不僅會(huì)損害數(shù)據(jù)主體利益，而且可能引發(fā)公眾對(duì)數(shù)據(jù)開(kāi)發(fā)利用的信任危機(jī)，影響數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。因此，對(duì)匿名化數(shù)據(jù)的再識(shí)別風(fēng)險(xiǎn)進(jìn)行有效防范，是保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)合理利用的必然要求。

前端風(fēng)險(xiǎn)防范

前端風(fēng)險(xiǎn)防范是整個(gè)再識(shí)別風(fēng)險(xiǎn)防范體系的基石，其核心在于通過(guò)有效的匿名化處理，從源頭上降低再識(shí)別風(fēng)險(xiǎn)。

匿名化的判斷標(biāo)準(zhǔn)——定性與定量結(jié)合。我國(guó)匿名化判斷標(biāo)準(zhǔn)的發(fā)展經(jīng)歷了從單純概念定性到引入定量評(píng)估的過(guò)程，但目前仍存在不足。定性標(biāo)準(zhǔn)包括宏觀上的“無(wú)法識(shí)別”判斷標(biāo)準(zhǔn)與微觀上間接識(shí)別情形“其他數(shù)據(jù)”的范圍判定兩項(xiàng)內(nèi)容。從宏觀視角觀察，國(guó)際上主流的“合理可能性標(biāo)準(zhǔn)”追求“零風(fēng)險(xiǎn)”，成本過(guò)高難以實(shí)踐；“不成比例投入標(biāo)準(zhǔn)”將識(shí)別成本與數(shù)據(jù)效益對(duì)比，更具合理性。從微觀視角觀察，“一般人標(biāo)準(zhǔn)說(shuō)”標(biāo)準(zhǔn)寬松，“特別標(biāo)準(zhǔn)說(shuō)”要求過(guò)高，“有心侵入者標(biāo)準(zhǔn)”則較為適中，符合我國(guó)個(gè)人數(shù)據(jù)匿名化實(shí)踐需求。因此，我國(guó)宜在宏觀上采用“不成比例投入標(biāo)準(zhǔn)”判斷“無(wú)法識(shí)別”，在微觀上采用“有心侵入者標(biāo)準(zhǔn)”界定“其他數(shù)據(jù)”范圍。定量標(biāo)準(zhǔn)一般通過(guò)統(tǒng)計(jì)學(xué)和數(shù)學(xué)建模等量化形式確定，并以標(biāo)識(shí)符的唯一性、敏感標(biāo)識(shí)符分布距離、數(shù)據(jù)集規(guī)模等要素界定可識(shí)別性數(shù)值。判斷匿名化的有效性需設(shè)定最大可識(shí)別風(fēng)險(xiǎn)閾值，對(duì)數(shù)據(jù)進(jìn)行處理并評(píng)估可識(shí)別風(fēng)險(xiǎn)，再與閾值進(jìn)行比對(duì)。我國(guó)宜盡快確定并發(fā)布各領(lǐng)域最大風(fēng)險(xiǎn)閾值標(biāo)準(zhǔn)，如設(shè)置高、中、低三個(gè)等級(jí)，適用于不同類型的數(shù)據(jù)；同時(shí)制定評(píng)估準(zhǔn)則，綜合運(yùn)用多種方法設(shè)計(jì)國(guó)家技術(shù)標(biāo)準(zhǔn)，并持續(xù)更新。在定性與定量標(biāo)準(zhǔn)相結(jié)合的過(guò)程中，宜以定性為原則性標(biāo)準(zhǔn)，定量為具體化標(biāo)準(zhǔn)，在不同情形下發(fā)揮二者的作用，確保匿名化判斷的科學(xué)性與合理性。

匿名化的判斷視角——相對(duì)性視角。國(guó)際上關(guān)于匿名化的判斷視角主要有絕對(duì)性和相對(duì)性兩種視角。絕對(duì)性視角要求所有主體都無(wú)法識(shí)別出數(shù)據(jù)主體，標(biāo)準(zhǔn)過(guò)于嚴(yán)格，會(huì)嚴(yán)重限制他人對(duì)原始數(shù)據(jù)的利用，且在現(xiàn)實(shí)中難以實(shí)現(xiàn)。相對(duì)性視角即“數(shù)據(jù)接收者視角”，以數(shù)據(jù)接收者能否識(shí)別數(shù)據(jù)主體為判斷依據(jù)，更符合社會(huì)對(duì)數(shù)據(jù)進(jìn)行利用的實(shí)際需求。我國(guó)在一般情況下宜采用相對(duì)性視角，只要數(shù)據(jù)接收者無(wú)法識(shí)別，就應(yīng)認(rèn)定數(shù)據(jù)已實(shí)現(xiàn)匿名化。但對(duì)于涉及國(guó)家安全、社會(huì)公共安全的個(gè)人數(shù)據(jù)，應(yīng)采取更嚴(yán)格的相對(duì)性視角，由相關(guān)責(zé)任主體確保已刪除足以重新識(shí)別的信息。

匿名化流程可采用國(guó)際通行的“三級(jí)分類制度”。在處理前，對(duì)篩選出的數(shù)據(jù)結(jié)合多因素分級(jí)分類，確定最大風(fēng)險(xiǎn)閾值，并進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估；處理過(guò)程中，按可識(shí)別程度對(duì)數(shù)據(jù)要素進(jìn)行分類，對(duì)直接標(biāo)識(shí)符脫敏，對(duì)間接標(biāo)識(shí)符實(shí)施泛化或隨機(jī)化處理，并遵循比例原則平衡數(shù)據(jù)安全性與可用性；處理后，評(píng)估匿名化程度并與最大風(fēng)險(xiǎn)閾值進(jìn)行對(duì)比，根據(jù)結(jié)果決定數(shù)據(jù)是否公開(kāi)及公開(kāi)方式，對(duì)不符合標(biāo)準(zhǔn)的數(shù)據(jù)進(jìn)行重新處理。

中端風(fēng)險(xiǎn)防范

在完成前端匿名化處理后，隨著外部環(huán)境變化，匿名化數(shù)據(jù)仍面臨被再識(shí)別的風(fēng)險(xiǎn)。中端風(fēng)險(xiǎn)防范宜通過(guò)再識(shí)別風(fēng)險(xiǎn)評(píng)估與實(shí)時(shí)監(jiān)控風(fēng)險(xiǎn)鞏固前端成果，減輕后端壓力。

評(píng)估時(shí)間——定期與應(yīng)急結(jié)合。我國(guó)宜采用以固定周期評(píng)估為主、突發(fā)事件評(píng)估為輔的模式。固定評(píng)估時(shí)間建議確定為每年一次。突發(fā)事件指可能導(dǎo)致匿名化數(shù)據(jù)被再識(shí)別的重大事件，如數(shù)據(jù)使用者、系統(tǒng)、安全環(huán)境發(fā)生變化等。數(shù)據(jù)持有機(jī)構(gòu)應(yīng)及時(shí)關(guān)注內(nèi)外部數(shù)據(jù)環(huán)境，在突發(fā)事件發(fā)生或收到投訴后，迅速進(jìn)行再識(shí)別風(fēng)險(xiǎn)評(píng)估，調(diào)整風(fēng)險(xiǎn)類別，并記錄相關(guān)信息。定期與應(yīng)急相結(jié)合的評(píng)估模式既能保障數(shù)據(jù)環(huán)境的日常維護(hù)，又能及時(shí)應(yīng)對(duì)突發(fā)風(fēng)險(xiǎn)。

評(píng)估方式——利用綜合攻擊模型。中端再識(shí)別風(fēng)險(xiǎn)評(píng)估與前端風(fēng)險(xiǎn)評(píng)估在動(dòng)機(jī)、程序和內(nèi)容上存在差異。攻擊模型是目前較為有效的評(píng)估方法，其具體分類主要有按動(dòng)機(jī)、按主體和綜合型三種模式。按動(dòng)機(jī)分類一般有“動(dòng)機(jī)溫和的攻擊者”和“動(dòng)機(jī)強(qiáng)烈的攻擊者”兩類模型；按主體分類一般有三類主體場(chǎng)景，不同場(chǎng)景對(duì)應(yīng)的風(fēng)險(xiǎn)程度不同。我國(guó)宜采用主體、動(dòng)機(jī)與方法相結(jié)合的新加坡式綜合性評(píng)估方式，同時(shí)根據(jù)技術(shù)發(fā)展情況及時(shí)調(diào)整評(píng)估模式。

評(píng)估結(jié)果——分級(jí)處理。相關(guān)責(zé)任主體應(yīng)根據(jù)評(píng)估結(jié)果將數(shù)據(jù)集劃分出高、中、低三個(gè)風(fēng)險(xiǎn)等級(jí)，分別設(shè)置最大風(fēng)險(xiǎn)閾值，并制定不同的處理路徑。高風(fēng)險(xiǎn)數(shù)據(jù)集需采取嚴(yán)格的外部和內(nèi)部措施，限制數(shù)據(jù)接收者和訪問(wèn)人數(shù)，對(duì)數(shù)據(jù)進(jìn)行加密處理并在必要時(shí)銷毀數(shù)據(jù)，同時(shí)重啟匿名化流程；中風(fēng)險(xiǎn)數(shù)據(jù)集只需合理約束數(shù)據(jù)使用環(huán)境，控制接收者訪問(wèn)“其他信息”的權(quán)限；低風(fēng)險(xiǎn)數(shù)據(jù)集無(wú)需限制，可根據(jù)接收者請(qǐng)求適當(dāng)降低匿名化程度，促進(jìn)數(shù)據(jù)利用。分級(jí)處理實(shí)現(xiàn)了對(duì)具有不同風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)的差異化管理，平衡了數(shù)據(jù)安全與利用效率。

后端風(fēng)險(xiǎn)防范

在匿名化數(shù)據(jù)被再識(shí)別后，應(yīng)通過(guò)有效的處理措施減少損失，并追究相關(guān)主體責(zé)任，警示其提升風(fēng)險(xiǎn)防范意識(shí)。

第一，被再識(shí)別后的處理措施。

一旦發(fā)生再識(shí)別情形，相關(guān)主體應(yīng)立即啟動(dòng)應(yīng)急機(jī)制。應(yīng)馬上停止相關(guān)數(shù)據(jù)與導(dǎo)致再識(shí)別的其他數(shù)據(jù)的開(kāi)放共享，對(duì)數(shù)據(jù)采取加密、增加防火墻等技術(shù)保護(hù)措施，并確保技術(shù)措施與事件規(guī)模和危害性相適應(yīng)。同時(shí)，啟動(dòng)內(nèi)部報(bào)告機(jī)制，明確各級(jí)責(zé)任人，規(guī)定報(bào)告時(shí)間和流程，對(duì)于大規(guī)模再識(shí)別事件，要進(jìn)行內(nèi)部通報(bào)并提供補(bǔ)救指導(dǎo)。相關(guān)部門需及時(shí)向數(shù)據(jù)接收者發(fā)出通知，收回或嚴(yán)格限制數(shù)據(jù)訪問(wèn)權(quán)。對(duì)于已下載數(shù)據(jù)的接收者，應(yīng)要求其刪除數(shù)據(jù)并承諾不再利用，否則將承擔(dān)法律責(zé)任；對(duì)于完全開(kāi)放的數(shù)據(jù)，應(yīng)通過(guò)發(fā)布公告進(jìn)行通知。此外，相關(guān)責(zé)任部門要對(duì)再識(shí)別給數(shù)據(jù)主體造成的負(fù)面影響進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果決定是否通知數(shù)據(jù)主體。若需通知，應(yīng)在規(guī)定時(shí)間內(nèi)告知詳細(xì)信息。

第二，被再識(shí)別后的責(zé)任追究。

責(zé)任追究機(jī)制能促使相關(guān)責(zé)任主體在前端和中端風(fēng)險(xiǎn)防范中更加盡職盡責(zé)。責(zé)任主體的失職行為可能導(dǎo)致刑事、行政和民事責(zé)任。以民事責(zé)任為例，若主體因違反數(shù)據(jù)的安全保障義務(wù)導(dǎo)致個(gè)人信息權(quán)利受損，需承擔(dān)侵權(quán)責(zé)任。歸責(zé)原則以過(guò)錯(cuò)責(zé)任為主，具體案例中宜適用過(guò)錯(cuò)推定原則。當(dāng)責(zé)任主體的過(guò)錯(cuò)與攻擊者再識(shí)別行為共同導(dǎo)致?lián)p害時(shí)，宜按“補(bǔ)足的因果關(guān)系”理論承擔(dān)相應(yīng)責(zé)任。損害結(jié)果包括財(cái)產(chǎn)和精神損害，涉精神損害賠償?shù)闹鲝堅(jiān)诜蠗l件時(shí)應(yīng)得到支持。

（作者系上海社會(huì)科學(xué)院法學(xué)研究所研究員）

編輯：張宏羽" " zhanghongyuchn@hotmail.com