張 濤

1 問(wèn)題的提出

在全球范圍內(nèi)，數(shù)以百萬(wàn)計(jì)的電腦每時(shí)每刻都有數(shù)據(jù)注入，所有計(jì)算機(jī)上存儲(chǔ)的數(shù)據(jù)總量約為3000EB，并正以每年28%的速度增加。我們已經(jīng)進(jìn)入“3V”數(shù)據(jù)時(shí)代：Volume(數(shù)據(jù)體量大)、Variety(數(shù)據(jù)類型多)和Velocity(處理速度快)，即“大數(shù)據(jù)”(big data)時(shí)代[1]。有學(xué)者對(duì)大數(shù)據(jù)的特征進(jìn)行了修正，增加一個(gè)“V”(Value)，代表“數(shù)據(jù)的價(jià)值”，即組織可以通過(guò)新型的處理方式從大數(shù)據(jù)中獲得洞察力和決策力[2]。正如《大數(shù)據(jù)時(shí)代》所指出的：“數(shù)據(jù)的真實(shí)價(jià)值就像漂浮在海洋中的冰山，第一眼只能看到冰山一角，而絕大部分則隱藏在表面之下。明白了這一點(diǎn)，那些創(chuàng)新型企業(yè)就能夠提取其潛在價(jià)值并獲得潛在的巨大收益”[3]。數(shù)據(jù)的這種“潛在價(jià)值”一般可以通過(guò)再利用(re-use)、重新組合等方式進(jìn)行釋放。如今數(shù)據(jù)已成為“生產(chǎn)原材料”，具有巨大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。在商業(yè)領(lǐng)域，企業(yè)組織可以通過(guò)大數(shù)據(jù)分析各種不同的策略模式，為公司或機(jī)構(gòu)創(chuàng)造新價(jià)值，如通過(guò)對(duì)消費(fèi)者的購(gòu)買記錄進(jìn)行大數(shù)據(jù)分析，生成結(jié)果可以預(yù)測(cè)消費(fèi)者的購(gòu)買喜好，從而提高營(yíng)銷的針對(duì)性和有效性。在公共領(lǐng)域，政府部門通過(guò)大數(shù)據(jù)分析，可以降低執(zhí)法成本，提高行政效率，如通過(guò)對(duì)城市犯罪數(shù)據(jù)進(jìn)行分析，可能推測(cè)出城市的犯罪熱點(diǎn)，提高犯罪打擊率。此外，“開放數(shù)據(jù)”(open data)運(yùn)動(dòng)在全球范圍內(nèi)興起，使得越來(lái)越多的數(shù)據(jù)進(jìn)入公共視野。對(duì)“開放數(shù)據(jù)”的最佳描述是：個(gè)人或組織可以接觸到大量的公共數(shù)據(jù)，用于確立新的投資，尋找新的合作伙伴，發(fā)現(xiàn)新的發(fā)展趨勢(shì)，作出基于數(shù)據(jù)處理的決策，并能解決復(fù)雜的問(wèn)題[4]。“開放數(shù)據(jù)”不同于大數(shù)據(jù)，“開放數(shù)據(jù)”的宗旨是提供免費(fèi)、公開、透明的數(shù)據(jù)信息，并能適用于我們需要的任何領(lǐng)域，它不僅可以監(jiān)督政府的政策執(zhí)行，促進(jìn)政府運(yùn)作透明化，而且還能創(chuàng)造巨大的商業(yè)機(jī)會(huì)。但是，“開放數(shù)據(jù)”與大數(shù)據(jù)又有所重疊，共性之一就在于挖掘個(gè)人數(shù)據(jù)(personal data)①的潛在價(jià)值。

由于個(gè)人是數(shù)據(jù)的重要“生產(chǎn)者”，個(gè)人數(shù)據(jù)又是數(shù)據(jù)的重要組成部分。因此，在數(shù)據(jù)挖掘或“開放數(shù)據(jù)”過(guò)程中，便產(chǎn)生了侵犯?jìng)€(gè)人隱私的風(fēng)險(xiǎn)及隱憂。有鑒于此，如何在個(gè)人隱私保護(hù)與數(shù)據(jù)合理利用之間保持平衡，便成為個(gè)人數(shù)據(jù)保護(hù)的重要課題。目前在各國(guó)個(gè)人數(shù)據(jù)保護(hù)法制中主要將“匿名化”(anonymisation)或“去識(shí)別化”(de-identification)作為政策工具。一般而言，“匿名化”是指利用一定的技術(shù)，通過(guò)特定程序進(jìn)行加工處理，使個(gè)人數(shù)據(jù)不再具有直接或間接識(shí)別性②。經(jīng)過(guò)“匿名化”的個(gè)人數(shù)據(jù)稱為“匿名數(shù)據(jù)”(anonymised data)，對(duì)任何人而言，均無(wú)法采取任何合理可能的方法識(shí)別特定個(gè)人，也即意味著個(gè)人數(shù)據(jù)經(jīng)過(guò)匿名化處理后，毫無(wú)保留連結(jié)的可能性[5]。在歐盟個(gè)人數(shù)據(jù)保護(hù)法制中，1995年《數(shù)據(jù)保護(hù)指令》(Data Protection Directive，DPD)對(duì)個(gè)人數(shù)據(jù)匿名化進(jìn)行了原則性規(guī)定；2014年《第05/2014 號(hào)意見：匿名化技術(shù)》 (Opinion 05/2014 on Anonymisation Techniques)細(xì)化了技術(shù)標(biāo)準(zhǔn)；2016年《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)進(jìn)一步加強(qiáng)了對(duì)個(gè)人數(shù)據(jù)匿名化的立法規(guī)定。我國(guó)《網(wǎng)絡(luò)安全法》第42 條第1 款規(guī)定：“……未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。”這里的“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”可以看成是我國(guó)關(guān)于個(gè)人信息去識(shí)別化的法律依據(jù)[6]。然而，何為“無(wú)法識(shí)別”？何為“特定個(gè)人”？應(yīng)該遵循何種判斷標(biāo)準(zhǔn)？我國(guó)相關(guān)法律法規(guī)并未針對(duì)前述問(wèn)題提出解決方案，在司法實(shí)踐中，法院也尚未形成完整及確定的裁判標(biāo)準(zhǔn)。因此，我國(guó)個(gè)人信息去識(shí)別化(匿名化)議題仍有很大的討論空間。

據(jù)此，本文利用比較分析、實(shí)證分析方法，通過(guò)對(duì)歐盟個(gè)人數(shù)據(jù)匿名化治理經(jīng)驗(yàn)進(jìn)行研究，為我國(guó)個(gè)人信息去識(shí)別化提供參考借鑒。本文主要研究以下問(wèn)題：(1)歐盟個(gè)人數(shù)據(jù)匿名化在立法上是如何體現(xiàn)的？(2)歐盟個(gè)人數(shù)據(jù)匿名化主要采用了哪些技術(shù)，效果如何？(3)歐盟個(gè)人數(shù)據(jù)匿名化可能存在的風(fēng)險(xiǎn)是什么？(4)歐盟個(gè)人數(shù)據(jù)匿名化能為我國(guó)提供何種經(jīng)驗(yàn)？

2 歐盟個(gè)人數(shù)據(jù)匿名化的立法內(nèi)容及解讀

“個(gè)人數(shù)據(jù)匿名化”有兩個(gè)關(guān)鍵詞：一是“個(gè)人數(shù)據(jù)”，二是“匿名化”，前者是后者的前提條件。如果某一數(shù)據(jù)(信息)不屬于個(gè)人數(shù)據(jù)的范圍，相關(guān)的行為就與個(gè)人數(shù)據(jù)保護(hù)法制沒有關(guān)系，就更談不上承擔(dān)個(gè)人數(shù)據(jù)保護(hù)的責(zé)任。因此，本部分在對(duì)歐盟個(gè)人數(shù)據(jù)匿名化的立法內(nèi)容進(jìn)行闡述時(shí)，附帶對(duì)歐盟有關(guān)“個(gè)人數(shù)據(jù)”內(nèi)涵的立法內(nèi)容進(jìn)行解讀。

2.1 《數(shù)據(jù)保護(hù)指令》對(duì)個(gè)人數(shù)據(jù)匿名化的規(guī)定

1995年10月，歐洲議會(huì)及歐盟理事會(huì)(European Parliament and Council)制定了《數(shù)據(jù)保護(hù)指令》，并對(duì)“個(gè)人數(shù)據(jù)”和“個(gè)人數(shù)據(jù)匿名化”進(jìn)行了明確規(guī)定，詳見表1。

表1 《數(shù)據(jù)保護(hù)指令》對(duì)個(gè)人數(shù)據(jù)匿名化的規(guī)定

從《數(shù)據(jù)保護(hù)指令》對(duì)“個(gè)人數(shù)據(jù)”的界定來(lái)看，“任何信息”“被識(shí)別或可識(shí)別”“直接或間接”的表述，足以反映立法者有廣泛解釋的意圖。這可能是因?yàn)榱⒎ㄕ哒J(rèn)為，不宜對(duì)個(gè)人數(shù)據(jù)概念的解釋作出不當(dāng)限制，為避免存在灰色地帶或漏洞，而盡可能地將與一個(gè)人有關(guān)的信息都包括在個(gè)人數(shù)據(jù)的概念內(nèi)，以確保個(gè)人及其權(quán)利和自由得到實(shí)質(zhì)性的尊重。歐盟委員會(huì)在原始提案建議中解釋：“與《第108號(hào)公約》一樣，采用寬泛的定義，以涵蓋可能與個(gè)人有關(guān)的所有信息?！盵7]在修改后的提案建議中，歐盟委員會(huì)指出，經(jīng)修訂的建議符合議會(huì)的愿望，即“個(gè)人數(shù)據(jù)”的定義應(yīng)盡可能一般化，以便包括有關(guān)可識(shí)別個(gè)人的所有信息[8]。

盡管立法者在個(gè)人數(shù)據(jù)的概念中保持了相當(dāng)程度的廣泛性，但也通過(guò)數(shù)據(jù)處理方法等規(guī)定作出了限制，以便可以在數(shù)據(jù)主體、數(shù)據(jù)控制者及可能存在的公共利益之間取得適當(dāng)?shù)钠胶?。“個(gè)人數(shù)據(jù)匿名化”正是為了在“保護(hù)個(gè)人基本權(quán)利及自由”與“促進(jìn)數(shù)據(jù)自由流動(dòng)”之間保持平衡，正如《數(shù)據(jù)保護(hù)指令》所規(guī)定的“保護(hù)原則不應(yīng)適用于以數(shù)據(jù)主體不再可識(shí)別的方式呈現(xiàn)的匿名數(shù)據(jù)”。如前文所述，個(gè)人數(shù)據(jù)的核心是“識(shí)別性”，那么匿名化的核心便是“去識(shí)別”。從《數(shù)據(jù)保護(hù)指令》對(duì)“個(gè)人數(shù)據(jù)匿名化”的規(guī)定來(lái)看，其強(qiáng)調(diào)在對(duì)個(gè)人數(shù)據(jù)進(jìn)行匿名化處理時(shí)，必須充分去掉其中的所有重要元素，以使數(shù)據(jù)主體無(wú)法再識(shí)別。

筆者認(rèn)為，《數(shù)據(jù)保護(hù)指令》前言第26條實(shí)際上是“風(fēng)險(xiǎn)預(yù)防原則”(precautionary principle)在個(gè)人數(shù)據(jù)保護(hù)中的體現(xiàn)，將“再識(shí)別風(fēng)險(xiǎn)”作為判斷匿名化有效性的關(guān)鍵標(biāo)準(zhǔn)。為了確定個(gè)人數(shù)據(jù)是否(合法地)呈現(xiàn)為匿名，需要對(duì)數(shù)據(jù)控制者或任何第三方“使用所有合理可能的手段”(all the means likely reasonably to be used)進(jìn)行評(píng)估或預(yù)測(cè)。盡管當(dāng)且僅當(dāng)“數(shù)據(jù)主體不再可識(shí)別”(data subject is no longer identifiable)時(shí)，個(gè)人數(shù)據(jù)才呈現(xiàn)為匿名(data is rendered anonymous)，但由于匿名化過(guò)程的“可逆性”(reversibility)風(fēng)險(xiǎn)，這意味著該等數(shù)據(jù)不能永遠(yuǎn)處于個(gè)人數(shù)據(jù)保護(hù)法律的范圍之外。

2.2 《第05/2014號(hào)意見：匿名化技術(shù)》對(duì)個(gè)人數(shù)據(jù)匿名化的規(guī)定

盡管《數(shù)據(jù)保護(hù)指令》早在1995年就對(duì)“個(gè)人數(shù)據(jù)匿名化”進(jìn)行了規(guī)定，但歐盟未出臺(tái)細(xì)則予以指導(dǎo)。直到2014年，歐盟“第29條工作小組”(Article 29 Working Party，Art.29 WP③)發(fā)布了《第05/2014號(hào)意見：匿名化技術(shù)》，對(duì)個(gè)人數(shù)據(jù)匿名化進(jìn)行了全方位解讀。

在《第05/2014 號(hào)意見：匿名化技術(shù)》中，歐盟“第29條工作小組”綜合了“匿名化”的法律性與技術(shù)性。歐盟“第29條工作小組”概述了該領(lǐng)域的最新技術(shù)，并側(cè)重于當(dāng)前用于追求匿名化目標(biāo)的技術(shù)。在實(shí)踐中，匿名化技術(shù)主要包括數(shù)據(jù)隨機(jī)化(Randomization)和數(shù)據(jù)概括化(Generalisation)兩大類，具體又分為“噪音添加”(Noise addition)、“屬性交換”(Permutation)、“差分隱私”(Differential privacy)等技術(shù)。《第05/2014 號(hào)意見：匿名化技術(shù)》詳細(xì)分析了前述技術(shù)的原理、優(yōu)缺點(diǎn)以及使用技術(shù)時(shí)的常見錯(cuò)誤和失效情況。歐盟“第29條工作小組”還針對(duì)“再識(shí)別風(fēng)險(xiǎn)”提出了使用這些技術(shù)的建議，這有助于數(shù)據(jù)控制者設(shè)計(jì)匿名化過(guò)程。此外，歐盟“第29 條工作小組”還對(duì)“假名化”(pseudonymisation)與“匿名化”進(jìn)行了區(qū)分，在實(shí)踐中很多數(shù)據(jù)控制者都錯(cuò)誤地理解和使用了“假名化”。雖然假名化處理降低了數(shù)據(jù)集與數(shù)據(jù)主體原始身份的關(guān)聯(lián)性，但它只是一種較為初級(jí)的安全措施，并非匿名化的方法，假名化數(shù)據(jù)仍然受到數(shù)據(jù)保護(hù)原則的約束。

歐盟“第29條工作小組”還詳細(xì)解析了匿名化的4個(gè)基本特征：(1)數(shù)據(jù)匿名化的目的在于防止識(shí)別數(shù)據(jù)主體的具體身份，且這種處理結(jié)果必須是“不可逆轉(zhuǎn)的”(irreversible)。(2)考慮到匿名化技術(shù)的不斷發(fā)展，不同的匿名化技術(shù)具有不同的適用情形，因而立法者并未在歐盟法律中制定統(tǒng)一的匿名化標(biāo)準(zhǔn)。(3)在數(shù)據(jù)匿名化過(guò)程中，必須重視情境因素(contextual elements)，必須考慮數(shù)據(jù)控制者和任何第三方用于識(shí)別數(shù)據(jù)主體身份的“一切”“可能”“合理”之手段，尤其應(yīng)該考慮在尖端科技中，哪些能成為“可能”“合理”的方法。(4)數(shù)據(jù)匿名化過(guò)程存在固有風(fēng)險(xiǎn)：在評(píng)估任何匿名化技術(shù)之有效性時(shí)，都必須考慮其中的風(fēng)險(xiǎn)因素，包括經(jīng)某種技術(shù)“匿名化”的數(shù)據(jù)之可能用途，必須評(píng)估所致風(fēng)險(xiǎn)的可能性及其嚴(yán)重性[9]。

2.3 《一般數(shù)據(jù)保護(hù)條例》對(duì)個(gè)人數(shù)據(jù)匿名化的規(guī)定

《一般數(shù)據(jù)保護(hù)條例》之目的在于確保對(duì)數(shù)據(jù)主體進(jìn)行一致且高度的保護(hù)，并且排除數(shù)據(jù)在歐盟境內(nèi)的流通障礙，全體成員國(guó)須一體適用。因此，有關(guān)個(gè)人數(shù)據(jù)保護(hù)的諸多議題都被納入到一個(gè)強(qiáng)力保護(hù)框架之內(nèi)，個(gè)人數(shù)據(jù)匿名化也不例外，詳見表2。

表2 《一般數(shù)據(jù)保護(hù)條例》對(duì)個(gè)人數(shù)據(jù)匿名化的規(guī)定

在《一般數(shù)據(jù)保護(hù)條例》中，“個(gè)人數(shù)據(jù)”的定義基本上與《數(shù)據(jù)保護(hù)指令》相同，均指“有關(guān)被識(shí)別或可識(shí)別自然人之任何信息”。相比較于《數(shù)據(jù)保護(hù)指令》，《一般數(shù)據(jù)保護(hù)條例》只是在定義“可識(shí)別”的數(shù)據(jù)時(shí)，結(jié)合網(wǎng)絡(luò)通信科技的發(fā)展，有略微詳細(xì)的說(shuō)明，如新增“姓名”“身份證號(hào)碼”“位置數(shù)據(jù)”“網(wǎng)絡(luò)識(shí)別碼”“基因”等。在司法實(shí)踐中，歐盟法院也通過(guò)一些典型判例對(duì)個(gè)人數(shù)據(jù)的內(nèi)涵進(jìn)行確定，試圖通過(guò)判例建構(gòu)一套個(gè)人數(shù)據(jù)的識(shí)別標(biāo)準(zhǔn)，這些都為個(gè)人數(shù)據(jù)匿名化奠定了堅(jiān)實(shí)的基礎(chǔ)。

就個(gè)人數(shù)據(jù)匿名化而言，《一般數(shù)據(jù)保護(hù)條例》秉承了《數(shù)據(jù)保護(hù)指令》的立法模式，亦即強(qiáng)調(diào)個(gè)人數(shù)據(jù)匿名化的結(jié)果，并且將匿名數(shù)據(jù)排除在個(gè)人數(shù)據(jù)之外。此外，《一般數(shù)據(jù)保護(hù)條例》還吸收了《第05/2014號(hào)意見：匿名化技術(shù)》的經(jīng)驗(yàn)，在第4(5)條中將“假名化”予以明確，把“假名化”從“匿名化”中剔除，這實(shí)際上是縮小了“匿名化”的范圍。從這個(gè)意義上看，《一般數(shù)據(jù)保護(hù)條例》為個(gè)人數(shù)據(jù)匿名化設(shè)定了一個(gè)更為嚴(yán)格的法律標(biāo)準(zhǔn)，可以稱為“合理可能”(reasonably likely)標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)具體包括三個(gè)部分：一是主體標(biāo)準(zhǔn)，即“數(shù)據(jù)控制者或任何其他人”；二是識(shí)別手段標(biāo)準(zhǔn)，即“所有合理可能使用之方法”；三是識(shí)別方式標(biāo)準(zhǔn)，即“直接或間接地識(shí)別該自然人”。

此外，由于《一般數(shù)據(jù)保護(hù)條例》在使用“個(gè)人數(shù)據(jù)”這一概念時(shí)，本身就融入了一種動(dòng)態(tài)理念，即“個(gè)人數(shù)據(jù)”的內(nèi)涵是處于動(dòng)態(tài)發(fā)展中的。因此，個(gè)人數(shù)據(jù)匿名化也天然的具有易變性。換言之，匿名數(shù)據(jù)與個(gè)人數(shù)據(jù)之間的界限并非涇渭分明，隨著情境因素的變化，二者可能出現(xiàn)轉(zhuǎn)換。正如《一般數(shù)據(jù)保護(hù)條例》中所規(guī)定的：“為確認(rèn)何為可合理使用作為識(shí)別自然人之方法，應(yīng)考慮所有客觀因素，諸如識(shí)別所需之成本與時(shí)間，并考慮到處理數(shù)據(jù)當(dāng)時(shí)現(xiàn)有之技術(shù)及科技發(fā)展?！?/p>

3 歐盟個(gè)人數(shù)據(jù)匿名化的關(guān)鍵技術(shù)及示例

個(gè)人數(shù)據(jù)匿名化并非單純的法規(guī)遵循議題，尚涉及網(wǎng)絡(luò)科技、信息管理等跨領(lǐng)域或?qū)W科的有效整合。從歐盟個(gè)人數(shù)據(jù)匿名化的立法內(nèi)容來(lái)看，其最大的特點(diǎn)在于“技術(shù)設(shè)計(jì)”法制化，明文規(guī)定成員國(guó)應(yīng)推動(dòng)“通過(guò)設(shè)計(jì)保護(hù)隱私”(Privacy by Design)的重要理念，以使個(gè)人數(shù)據(jù)保護(hù)法制，不僅是企業(yè)違法后的處罰依據(jù)，借由“技術(shù)設(shè)計(jì)”入法，使相關(guān)數(shù)據(jù)控制者預(yù)先評(píng)估行為可能產(chǎn)生的風(fēng)險(xiǎn)，并使得隱私保護(hù)概念，自設(shè)計(jì)之初，便融入產(chǎn)品或服務(wù)的生產(chǎn)過(guò)程中，達(dá)到保護(hù)數(shù)據(jù)主體權(quán)益的目標(biāo)[10]。個(gè)人數(shù)據(jù)匿名化是“技術(shù)設(shè)計(jì)”入法的重要體現(xiàn)，在歐盟法語(yǔ)境中，常見的個(gè)人數(shù)據(jù)匿名化技術(shù)主要包括以下兩大類：一類是數(shù)據(jù)隨機(jī)化；另一類是數(shù)據(jù)概括化。本部分主要對(duì)歐盟一些主要的個(gè)人數(shù)據(jù)匿名化技術(shù)進(jìn)行概述，并舉出相關(guān)例子予以說(shuō)明。

3.1 數(shù)據(jù)隨機(jī)化

“數(shù)據(jù)隨機(jī)化”是修改數(shù)據(jù)真實(shí)性的技術(shù)，用于清除數(shù)據(jù)與個(gè)人之間的緊密聯(lián)系，當(dāng)數(shù)據(jù)不確定時(shí)，自然就不足以辨識(shí)特定個(gè)人?！皵?shù)據(jù)隨機(jī)化”本身不會(huì)降低每一項(xiàng)記錄的單一性(singularity)，因?yàn)楦黜?xiàng)記錄本身就源自其獨(dú)有的數(shù)據(jù)主體，這項(xiàng)技術(shù)能抵御攻擊或阻擋風(fēng)險(xiǎn)，更能夠與其他技術(shù)一起使用，提供更強(qiáng)的隱私保護(hù)。常見的“數(shù)據(jù)隨機(jī)化”技術(shù)包括以下幾類：(1)“噪音添加”(Noise addition)。如果數(shù)據(jù)集內(nèi)包含的修改屬性(modifying attributes)本身不一定準(zhǔn)確，而且也保留了整體分布(overall distribution)，屬性也同時(shí)對(duì)個(gè)人產(chǎn)生嚴(yán)重的影響，那么就可以考慮噪音添加技術(shù)。(2)“屬性交換”(Permutation)。這種技術(shù)首先打亂表格里面的屬性數(shù)值，利用人為的方式使部分?jǐn)?shù)值關(guān)聯(lián)到不同的數(shù)據(jù)主體，但能夠保留數(shù)據(jù)集中各個(gè)屬性的準(zhǔn)確分布(exact distribution)。(3)“差分隱私”(Differentialprivacy)。這種技術(shù)的好處是，當(dāng)針對(duì)特定查詢時(shí)，獲得授權(quán)的第三方只會(huì)因此而取得數(shù)據(jù)集，而非將某一數(shù)據(jù)集公開。查詢本身也可以被匿名化技術(shù)處理，包括噪音添加或替換，強(qiáng)化隱私保護(hù)[9]。本文主要以“屬性交換”為例進(jìn)行說(shuō)明。

“屬性交換”也稱為“屬性排列”(shuffling)或“屬性置換”(swapping)，這種數(shù)據(jù)匿名化技術(shù)之目的主要是重新排列數(shù)據(jù)集中的數(shù)據(jù)，使各個(gè)屬性值仍然在數(shù)據(jù)集中得以保留，但通常與原始記錄不對(duì)應(yīng)。換言之，“屬性交換”將確保數(shù)值的范圍和分布保持不變，但數(shù)值與數(shù)據(jù)主體之間的關(guān)系將會(huì)改變。當(dāng)后續(xù)分析只需要查看聚合數(shù)據(jù)，或者分析只是停留在內(nèi)部屬性層級(jí)(intraattribute level)時(shí)，可以考慮使用“屬性交換”。在進(jìn)行“屬性交換”時(shí)，一般包括如下步驟：首先，確定要交換的屬性。其次，將每一個(gè)屬性值交換或重新分配給數(shù)據(jù)集中的任何記錄。表3大致展示了“屬性交換”前后的實(shí)例數(shù)據(jù)。

表3 “屬性交換”前后的數(shù)據(jù)

3.2 數(shù)據(jù)概括化

“數(shù)據(jù)概括化”是一種重要的數(shù)據(jù)匿名化技術(shù)，它主要是通過(guò)概括化(generalizing)或模糊化(diluting)數(shù)據(jù)主體的屬性，修改數(shù)據(jù)的規(guī)?；驈?qiáng)度排序(order of magnitude)[9]。當(dāng)數(shù)據(jù)屬性能夠被概括，并且這些數(shù)據(jù)屬性對(duì)于預(yù)期目的仍然具有價(jià)值時(shí)，可以考慮使用數(shù)據(jù)概括化技術(shù)。在使用“數(shù)據(jù)概括化”時(shí)，要注意設(shè)計(jì)適當(dāng)大小的數(shù)據(jù)范圍。新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(Personal Data Protection Commission，PDPC )在《基本數(shù)據(jù)匿名技術(shù)指南》(Guide to Basic Data Anonymisation Techniques)中也指出，過(guò)大的數(shù)據(jù)范圍意味著數(shù)據(jù)可能會(huì)被修改很多，而過(guò)小的數(shù)據(jù)范圍可能意味著數(shù)據(jù)很難被修改，因此數(shù)據(jù)主體也很容易被再識(shí)別[11]。常見的“數(shù)據(jù)概括化”技術(shù)主要包括以下幾類：(1)“數(shù)據(jù)聚合”(Aggregation)。這種技術(shù)是從一個(gè)或多個(gè)屬性派生或合成一個(gè)或多個(gè)新的屬性，這些新的屬性能夠最大限度阻隔與數(shù)據(jù)主體之間的關(guān)聯(lián)，同時(shí)也能更好地用于實(shí)現(xiàn)數(shù)據(jù)分析的目標(biāo)。(2)“K-匿名”(K-anonymity)。這種技術(shù)主要是防止數(shù)據(jù)主體從群體中被挑出，因而將數(shù)據(jù)主體與至少k個(gè)他人列為一組。(3)“L-多樣性”(L-diversity)。這種技術(shù)改良了“K-匿名”技術(shù)，確保各個(gè)等價(jià)類(equivalent class)中的每一個(gè)屬性均具有至少l個(gè)不同的數(shù)值，阻斷決定性推斷攻擊(deterministic inference attacks)[9]。本文主要以“K-匿名”為例進(jìn)行舉例說(shuō)明。

“K-匿名”的核心是故意降低數(shù)據(jù)的精確度，其目的是防止數(shù)據(jù)主體從群體中被“單獨(dú)分離”，因此，在數(shù)據(jù)集中至少有k個(gè)他人與數(shù)據(jù)主體同為一組。為了實(shí)現(xiàn)“匿名化”目的，數(shù)據(jù)屬性的具體數(shù)值將被概括化，例如將一個(gè)人的具體年齡轉(zhuǎn)換為年齡范圍，或者將精確的位置轉(zhuǎn)換為不太精確的位置。表4大致展示了“K-匿名”前后的實(shí)例數(shù)據(jù)。

表4 “K-匿名”前后的數(shù)據(jù)

盡管歐盟在《一般數(shù)據(jù)保護(hù)條例》中并未對(duì)個(gè)人數(shù)據(jù)匿名化設(shè)立統(tǒng)一技術(shù)標(biāo)準(zhǔn)，但一般認(rèn)為，要維持匿名化技術(shù)的穩(wěn)健性(robustness)，須滿足3項(xiàng)要求：(1)是否仍可能識(shí)別數(shù)據(jù)主體；(2)是否仍可能與其他個(gè)人數(shù)據(jù)相連結(jié)；(3)是否仍可能推論出與特定人相關(guān)。由此可知，歐盟規(guī)定的“匿名數(shù)據(jù)”必須達(dá)到“完全無(wú)從再識(shí)別數(shù)據(jù)主體”的程度，如果僅僅是減少數(shù)據(jù)主體“再識(shí)別風(fēng)險(xiǎn)”，但仍有再識(shí)別的可能性，即不符合“匿名化”的要件。有學(xué)者據(jù)此認(rèn)為歐盟將匿名化的可接受“再識(shí)別風(fēng)險(xiǎn)”定位為“零風(fēng)險(xiǎn)”，這在一定程度上給數(shù)據(jù)控制者造成了困擾[5]。因?yàn)槿魏文涿夹g(shù)都存在一定的剩余風(fēng)險(xiǎn)，正如一些研究者所指出的，匿名化技術(shù)作為一種新型技術(shù)，目前仍然處于起步階段，還存在許多問(wèn)題，主要表現(xiàn)在兩個(gè)方面：一是對(duì)輔助知識(shí)的隱私侵犯；二是匿名化過(guò)程中大量信息損失[12]。比照前面3項(xiàng)技術(shù)標(biāo)準(zhǔn)，歐盟“第29條工作小組”對(duì)主要匿名化技術(shù)的有效性進(jìn)行了評(píng)估，見表5[9]。

由表5可知，目前并沒有任何匿名化技術(shù)能夠達(dá)到完全無(wú)風(fēng)險(xiǎn)的匿名化，部分匿名化技術(shù)有其固有限制。因此，數(shù)據(jù)控制者在計(jì)劃使用某種匿名化技術(shù)之前，必須仔細(xì)考量匿名化處理的各個(gè)細(xì)節(jié)，包括通過(guò)匿名化想要實(shí)現(xiàn)的目的、公布數(shù)據(jù)集時(shí)能否保護(hù)個(gè)人隱私，以及“攻擊者”能否從公開的數(shù)據(jù)集中獲取特定信息。為了能夠最大限度地降低“再識(shí)別風(fēng)險(xiǎn)”，歐盟“第29條工作小組”認(rèn)為良好的匿名化方案(good anoymisation practices)應(yīng)該包括以下基本要素[9]：

表5 主要匿名化技術(shù)的有效性評(píng)估

第一，整體要素(in general)。在整體上不能依賴“釋放”(release)以及“遺忘”(forget)。面對(duì)身份識(shí)別的“剩余風(fēng)險(xiǎn)”(residual risk)，數(shù)據(jù)控制者應(yīng)該注意以下幾點(diǎn)：(1)定期評(píng)估是否存在新的風(fēng)險(xiǎn)，再鑒別各種剩余風(fēng)險(xiǎn)；(2)對(duì)于已經(jīng)確定的風(fēng)險(xiǎn)，評(píng)估已采取的措施是否充分，并進(jìn)行相應(yīng)地調(diào)整；(3)監(jiān)測(cè)和控制風(fēng)險(xiǎn)。

第二，背景要素(contextual elements)。數(shù)據(jù)控制者在識(shí)別風(fēng)險(xiǎn)上扮演了重要的角色，因此，應(yīng)該清楚地說(shuō)明匿名化所欲達(dá)到的目的，并且考量所有的相關(guān)背景元素。例如，原始數(shù)據(jù)的性質(zhì)、現(xiàn)行的監(jiān)管機(jī)制(包括限制查閱數(shù)據(jù)集的保護(hù)措施)、樣本大小(量化特征)、可用公共信息的來(lái)源(取決于數(shù)據(jù)接收方)、接收數(shù)據(jù)的可能第三方等。此外，還需要同時(shí)考慮可能出現(xiàn)的攻擊者，并建立相應(yīng)的申訴機(jī)制。

第三，技術(shù)要素(technical elements)。在對(duì)個(gè)人數(shù)據(jù)進(jìn)行匿名化處理時(shí)，數(shù)據(jù)控制者應(yīng)公布單獨(dú)或混合使用的匿名化技術(shù)，并從數(shù)據(jù)集中清除明顯的個(gè)人特征或準(zhǔn)標(biāo)識(shí)符(quasi-identifiers)。例如，選擇數(shù)據(jù)概括化處理時(shí)，即使是同樣的數(shù)據(jù)屬性，也不應(yīng)受限于某一項(xiàng)數(shù)據(jù)概括化標(biāo)準(zhǔn)，換言之，應(yīng)選擇不同的位置細(xì)度(location granularities)或時(shí)間間隔(time intervals)。

4 歐盟個(gè)人數(shù)據(jù)匿名化的主要風(fēng)險(xiǎn)及評(píng)析

個(gè)人數(shù)據(jù)匿名化的主要目的在于平衡個(gè)人隱私保護(hù)與數(shù)據(jù)合理使用。早在20世紀(jì)70年代，隱私研究者就認(rèn)識(shí)到“匿名化”需要謹(jǐn)慎對(duì)待。盡管“匿名化”的算法種類越來(lái)越多，技術(shù)也日趨復(fù)雜，但與此同時(shí)，各類“去匿名化”技術(shù)也迅速發(fā)展，對(duì)匿名化技術(shù)展開了強(qiáng)烈攻勢(shì)。實(shí)踐經(jīng)驗(yàn)也表明匿名數(shù)據(jù)通常容易受到“去匿名化攻擊”(de-anonymisation attacks)。匿名化作為一種概念和實(shí)踐的價(jià)值不斷受到質(zhì)疑，最具代表性的是美國(guó)學(xué)者保羅·歐姆(Paul Ohm)提出的“打破隱私承諾”(broken promises of privacy)[13]。本部分對(duì)個(gè)人數(shù)據(jù)匿名化的主要風(fēng)險(xiǎn)——“簡(jiǎn)約化處理”進(jìn)行闡述，這是實(shí)踐中匿名化“失敗”的主要原因，也是“反匿名化”(anti-anonymisation)觀點(diǎn)的主要批判目標(biāo)。

4.1 個(gè)人數(shù)據(jù)匿名化的主要風(fēng)險(xiǎn)：簡(jiǎn)約化處理

如前文所述，歐盟從《數(shù)據(jù)保護(hù)指令》到《第05/2014號(hào)意見：匿名化技術(shù)》再到《一般數(shù)據(jù)保護(hù)條例》，逐步為個(gè)人數(shù)據(jù)匿名化建構(gòu)了一個(gè)非常嚴(yán)格的“合理可能”標(biāo)準(zhǔn)，即在檢查個(gè)人數(shù)據(jù)是否匿名時(shí)必須考慮數(shù)據(jù)控制者和任何第三方用于識(shí)別數(shù)據(jù)主體身份的“一切”“合理”“可能”之手段。然而，立法政策在轉(zhuǎn)化為實(shí)踐時(shí)，難免會(huì)產(chǎn)生“漏斗效應(yīng)”，對(duì)于個(gè)人數(shù)據(jù)匿名化而言，最直接的體現(xiàn)就是“簡(jiǎn)約化處理”或“簡(jiǎn)約化解讀”?！昂?jiǎn)約化處理”的觀點(diǎn)認(rèn)為個(gè)人數(shù)據(jù)匿名化的基本原理，就是數(shù)據(jù)控制者設(shè)計(jì)一種“算法”(algorithm)，并將之應(yīng)用于個(gè)人數(shù)據(jù)，便能完全確保個(gè)人數(shù)據(jù)是匿名的，并且不存在再識(shí)別的可能性[14]。換言之，就是將用于進(jìn)一步處理(如數(shù)據(jù)挖掘)的個(gè)人數(shù)據(jù)轉(zhuǎn)換為“匿名信息”(anonymous information)。

關(guān)于“簡(jiǎn)約化處理”出現(xiàn)的原因，筆者認(rèn)為，在某種程度上是由于立法者與數(shù)據(jù)控制者對(duì)于匿名化的價(jià)值追求不一致所導(dǎo)致的。一般認(rèn)為，個(gè)人數(shù)據(jù)匿名化的目的有兩個(gè)：一是保護(hù)數(shù)據(jù)的保密性和個(gè)人隱私；二是發(fā)揮數(shù)據(jù)的效用。對(duì)于立法者而言，個(gè)人隱私背后是人性尊嚴(yán)的維護(hù)，而數(shù)據(jù)效用更多體現(xiàn)為一種經(jīng)濟(jì)價(jià)值。因此，從利益衡量的角度看，個(gè)人隱私保護(hù)應(yīng)該高于數(shù)據(jù)效用，當(dāng)然能夠維持個(gè)人隱私保護(hù)與數(shù)據(jù)有效利用的平衡是最好的。而對(duì)于數(shù)據(jù)控制者而言，其所看重的往往是數(shù)據(jù)的效用。分析數(shù)據(jù)集(特別是使用自動(dòng)算法軟件)所能獲得的價(jià)值或知識(shí)是通過(guò)查找模式(基本上是鏈接數(shù)據(jù)點(diǎn)之間的關(guān)系)來(lái)最大化的。相比之下，匿名化旨在將這種數(shù)據(jù)點(diǎn)關(guān)系斷開，因?yàn)樵谶@些數(shù)據(jù)點(diǎn)關(guān)系中，它們與可以針對(duì)特定人員及其身份收集的信息相關(guān)，這就使得數(shù)據(jù)控制者面臨一個(gè)困境：如何確保對(duì)其所擁有的個(gè)人數(shù)據(jù)進(jìn)行有效匿名化，同時(shí)又保留該等數(shù)據(jù)的效用，以便將來(lái)向可能的第三方披露，并由第三方進(jìn)一步處理[15]？在這種情況下，“簡(jiǎn)約化處理”便為數(shù)據(jù)控制者提供了一種“暫時(shí)性”策略，在形式上能夠達(dá)到已經(jīng)“匿名化”的效果，同時(shí)又保留數(shù)據(jù)的效用。

“簡(jiǎn)約化處理”在實(shí)踐中主要體現(xiàn)為兩種“版本”(version)或“變體”(variant)：第一種版本稱為“直接移除標(biāo)識(shí)符”，即只要?jiǎng)h除可能識(shí)別數(shù)據(jù)主體的敏感信息(sensitive information)就足夠了，如姓名、出生日期、身份證號(hào)碼、家庭住址、工作地點(diǎn)等。對(duì)于“直接移除標(biāo)識(shí)符”，一般認(rèn)為，在這種模式下數(shù)據(jù)主體再識(shí)別的風(fēng)險(xiǎn)最大。第二種版本稱為“假名化”，即利用無(wú)法追溯到數(shù)據(jù)主體的“假名”(如一個(gè)隨機(jī)生成的數(shù)字)替換具體的姓名，數(shù)據(jù)主體的不同信息可以鏈接到同一個(gè)“假名”，但是無(wú)法確定具體身份。如前文所述，對(duì)于“假名化”，歐盟《一般數(shù)據(jù)保護(hù)條例》將其與“匿名化”進(jìn)行了區(qū)分，并于第4(5)條規(guī)定，“假名化”是指處理個(gè)人數(shù)據(jù)的方式，使該個(gè)人數(shù)據(jù)在不使用額外信息時(shí)，不再能夠識(shí)別出特定的數(shù)據(jù)主體，且該額外數(shù)據(jù)已被分開存放，并以技術(shù)及組織措施確保該個(gè)人數(shù)據(jù)無(wú)法或無(wú)可識(shí)別出主數(shù)據(jù)主體。

從實(shí)踐來(lái)看，由于匿名化技術(shù)的固有限制，再加上個(gè)案的特殊性在某種程度上會(huì)擴(kuò)大這種固有限制。因此，即使是符合“合理可能”標(biāo)準(zhǔn)的匿名數(shù)據(jù)仍有“再識(shí)別風(fēng)險(xiǎn)”?！昂?jiǎn)約化處理”不僅成為了數(shù)據(jù)控制者的匿名化理念，而且成為了匿名化實(shí)踐。由于“簡(jiǎn)約化處理”與“合理可能”標(biāo)準(zhǔn)之間在本質(zhì)上存在很大的差距，因此，在實(shí)踐中引發(fā)了許多問(wèn)題，主要體現(xiàn)在兩個(gè)方面：第一，“簡(jiǎn)約化處理”在客觀上加劇了“再識(shí)別風(fēng)險(xiǎn)”。換言之，有些在形式上體現(xiàn)為匿名的數(shù)據(jù)實(shí)際上并沒有被匿名，這就為“去匿名化攻擊”提供了“便利”。美國(guó)學(xué)者拉坦婭·斯威尼(Latanya Sweeney)教授以1990年美國(guó)人口普查總數(shù)據(jù)進(jìn)行實(shí)驗(yàn)。研究發(fā)現(xiàn)，有87%(2.48億人口中的2.16億)的美國(guó)人可以通過(guò)綜合“郵編”“性別”“出生日期”這三個(gè)特征而被識(shí)別出來(lái)；有大約50%(2.48億人口中的1.32億)的美國(guó)人可以通過(guò)綜合“地址”“性別”“出生日期”這三個(gè)特征被識(shí)別出來(lái)。拉坦婭·斯威尼教授最后得出結(jié)論，在一般情況下，只需要少數(shù)人口特征便能唯一地識(shí)別一個(gè)人[16]。第二，“簡(jiǎn)約化處理”弱化了數(shù)據(jù)控制者的責(zé)任。在“簡(jiǎn)約化處理”的實(shí)踐中，個(gè)人數(shù)據(jù)處理的手段和目的往往是由數(shù)據(jù)控制者決定，其具有很大的自由裁量性。為了能夠配合與支持當(dāng)前的“大數(shù)據(jù)浪潮”，匿名數(shù)據(jù)不在歐盟數(shù)據(jù)保護(hù)法制范圍之內(nèi)，甚至世界上許多司法管轄區(qū)都將匿名數(shù)據(jù)排除在個(gè)人數(shù)據(jù)法律或隱私法律的范圍之外。因此，匿名數(shù)據(jù)可以在不受個(gè)人數(shù)據(jù)保護(hù)法或隱私法約束的情況下共享，這使得匿名數(shù)據(jù)的傳播模式變成了“釋放后遺忘”，這意味著數(shù)據(jù)控制者不會(huì)去關(guān)注匿名數(shù)據(jù)“釋放”后發(fā)生的情況。在這種背景下，數(shù)據(jù)控制者就通過(guò)“匿名”而回避了應(yīng)該承擔(dān)的諸多法律責(zé)任。美國(guó)學(xué)者保羅·歐姆認(rèn)為個(gè)人數(shù)據(jù)匿名化已經(jīng)失敗了，假設(shè)攻擊者很難破解匿名數(shù)據(jù)以及數(shù)據(jù)控制者能夠完美的實(shí)施匿名化，這是非常天真的想法。對(duì)于個(gè)人隱私保護(hù)而言，個(gè)人數(shù)據(jù)匿名化是一張“空頭支票”，它不應(yīng)該成為一種規(guī)制目標(biāo)(regulatory objective)[13]。

4.2 超越“簡(jiǎn)約化處理”：功能性匿名化

事實(shí)上，針對(duì)匿名化的“簡(jiǎn)約化處理”，歐盟個(gè)人數(shù)據(jù)保護(hù)法律已經(jīng)給出了回應(yīng)。如前文所述，雖然《數(shù)據(jù)保護(hù)指令》只對(duì)“個(gè)人數(shù)據(jù)匿名化”進(jìn)行了原則性規(guī)定，但也基本確立了“合理可能”標(biāo)準(zhǔn)。此外，《第05/2014 號(hào)意見：匿名化技術(shù)》從技術(shù)層面對(duì)個(gè)人數(shù)據(jù)匿名化技術(shù)進(jìn)行了詳細(xì)闡述，并給出了針對(duì)性的建議?！兑话銛?shù)據(jù)保護(hù)條例》更是在“合理可能”標(biāo)準(zhǔn)之外增加了“假名化”規(guī)定，縮小了“匿名數(shù)據(jù)”的范圍。更為重要的是，盡管匿名數(shù)據(jù)不在歐盟數(shù)據(jù)保護(hù)法律的范圍之內(nèi)，但是匿名化過(guò)程必須具備合法性。這里“合法性”主要體現(xiàn)在以下兩個(gè)方面：第一，數(shù)據(jù)本身的收集和處理都必須符合適用的法律規(guī)定，且符合法律對(duì)于數(shù)據(jù)以可識(shí)別格式儲(chǔ)存的規(guī)定。第二，“匿名化流程”，即經(jīng)過(guò)匿名化處理將數(shù)據(jù)變成匿名數(shù)據(jù)，屬于“后續(xù)處理”的一種。因此，該處理需要通過(guò)“相容性測(cè)試”(test of compatibility)，并且必須符合“目的限制”(purpose limitation)原則的要求。

對(duì)“匿名化”與“反匿名化”之間的爭(zhēng)論，艾拉·魯賓斯坦(Ira S.Rubinstein)和伍德羅·哈茨佐格(Woodrow Hartzog)認(rèn)為，圍繞匿名化失敗的辯論，印證了“隱私政策第一定律”(first law of privacy policy)：沒有靈丹妙藥。我們不能指望技術(shù)專家或政策制定者單獨(dú)給我們提供保護(hù)，我們需要一種整體性意識(shí)。我們應(yīng)該把“再識(shí)別”看作是一個(gè)數(shù)據(jù)發(fā)布問(wèn)題，健全的數(shù)據(jù)發(fā)布政策需要在多個(gè)方面保持謹(jǐn)慎的平衡：法律和技術(shù)、數(shù)據(jù)處理和數(shù)據(jù)控制、隱私和效用。兩位學(xué)者進(jìn)一步指出“基于過(guò)程的”(processbased)數(shù)據(jù)發(fā)布政策是因應(yīng)個(gè)人數(shù)據(jù)匿名化失敗的最佳方式，它是由平衡隱私保護(hù)和數(shù)據(jù)效用的策略驅(qū)動(dòng)的，它具有整體性和綜合性。最為重要的是，以“流程”為核心的數(shù)據(jù)發(fā)布政策具有很大的靈活性，它可以與相關(guān)的科學(xué)和實(shí)踐經(jīng)驗(yàn)一起發(fā)展[17]。筆者認(rèn)為，前述學(xué)者的觀點(diǎn)在一定程度上揭示了個(gè)人數(shù)據(jù)匿名化治理機(jī)制的核心，匿名化并非是“制度孤島”，它需要與個(gè)人數(shù)據(jù)保護(hù)法制中的諸多規(guī)則(透明性、目的限制、告知同意等)相結(jié)合。此外，實(shí)施個(gè)人數(shù)據(jù)“匿名化”這一行為本身必須遵循一定的正當(dāng)程序。

“基于過(guò)程的”的數(shù)據(jù)發(fā)布政策所體現(xiàn)的“整體性”思維給反思?xì)W盟匿名化治理機(jī)制提供了啟發(fā)?！昂侠砜赡堋钡哪涿瘶?biāo)準(zhǔn)本身沒有任何問(wèn)題，關(guān)鍵在于如何驗(yàn)證或?qū)崿F(xiàn)這一標(biāo)準(zhǔn)?！昂?jiǎn)約化處理”之所以在形式上是符合“合理可能”標(biāo)準(zhǔn)的，原因在于其僅通過(guò)檢查數(shù)據(jù)本身來(lái)確定是否實(shí)現(xiàn)匿名化。一個(gè)科學(xué)合理的驗(yàn)證方式或匿名化技術(shù)不僅必須考慮到數(shù)據(jù)本身，而且還必須考慮到數(shù)據(jù)所處的環(huán)境。英國(guó)學(xué)者馬克·艾略特(Mark Elliot)等人將這種解決方案稱為“功能性匿名化”(functional anonymisation)：數(shù)據(jù)是否是匿名的(是否是個(gè)人的)取決于該等數(shù)據(jù)與其環(huán)境之間的關(guān)系。按照馬克·艾略特等人的解釋，“功能性匿名化”主要包括兩個(gè)方面的要素：第一，數(shù)據(jù)環(huán)境(data environment)。數(shù)據(jù)環(huán)境通常由4個(gè)關(guān)鍵元素組成，對(duì)包含這4個(gè)元素的數(shù)據(jù)環(huán)境進(jìn)行描述通常足以討論、計(jì)劃或評(píng)估原始數(shù)據(jù)集的功能性匿名化，具體包括“其他數(shù)據(jù)”“數(shù)據(jù)使用者”“治理流程”“基礎(chǔ)設(shè)施”。第二，匿名化決策(anonymisation decision-making)。數(shù)據(jù)控制者在考慮如何在共享或發(fā)布數(shù)據(jù)時(shí)維護(hù)數(shù)據(jù)主體的秘密必須考慮如下因素：(1)描述目前的(預(yù)期)的數(shù)據(jù)情況；(2)明白自身的法律責(zé)任；(3)知道自身所擁有的數(shù)據(jù)；(4)明白使用范例；(5)履行自身的倫理義務(wù)；(6)確定評(píng)估披露風(fēng)險(xiǎn)所需的流程；(7)確定與自身的數(shù)據(jù)情況相關(guān)的披露控制流程；(8)確定利益相關(guān)者，并計(jì)劃如何與他們溝通；(9)預(yù)測(cè)數(shù)據(jù)發(fā)布后可能發(fā)生的情況；(10)制定應(yīng)急預(yù)案[18]。

盡管歐盟個(gè)人數(shù)據(jù)匿名化在理論上遭到諸多質(zhì)疑，在實(shí)踐中也存在一些困境。但是從保護(hù)個(gè)人數(shù)據(jù)的角度看，筆者認(rèn)為，歐盟通過(guò)立法對(duì)個(gè)人數(shù)據(jù)匿名化設(shè)定嚴(yán)格標(biāo)準(zhǔn)，并通過(guò)相關(guān)的“意見”為實(shí)踐提供指引，這種強(qiáng)化個(gè)人數(shù)據(jù)保護(hù)的立場(chǎng)是值得支持的。大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為一種特殊的“資本”，它不會(huì)因?yàn)槭褂枚萁?，反而?huì)不斷釋放潛在價(jià)值，為經(jīng)濟(jì)發(fā)展、技術(shù)創(chuàng)新提供原動(dòng)力。個(gè)人數(shù)據(jù)匿名化在某種程度上會(huì)減損個(gè)人數(shù)據(jù)的效用或價(jià)值，但其背后所追求的是有關(guān)人性尊嚴(yán)的個(gè)人隱私。大數(shù)據(jù)時(shí)代的隱私權(quán)不再是消極地避免被知悉的信息防御權(quán)，而是信息自主決定權(quán)(right to information self-determination)。如果我們?yōu)榱私?jīng)濟(jì)利益或技術(shù)進(jìn)步而犧牲個(gè)人保護(hù)，這無(wú)疑是本末倒置，也必將得不償失。

5 歐盟個(gè)人數(shù)據(jù)匿名化的經(jīng)驗(yàn)

歐盟具有尊重個(gè)人隱私權(quán)利的傳統(tǒng)，在很多重要的公約、法律中都凸顯了個(gè)人隱私權(quán)的重要性。科學(xué)技術(shù)的快速發(fā)展也給歐盟個(gè)人隱私保護(hù)制度帶來(lái)了很大的沖擊。歐盟立法者審時(shí)度勢(shì)，對(duì)新技術(shù)的發(fā)展進(jìn)行了前瞻性思考，并形成了一套系統(tǒng)的個(gè)人信息保護(hù)制度，為全世界個(gè)人信息保護(hù)法制的發(fā)展提供了一個(gè)藍(lán)本。大數(shù)據(jù)時(shí)代、人工智能時(shí)代的來(lái)臨，數(shù)據(jù)的價(jià)值越來(lái)越受到世界各國(guó)政府的重視。一方面，通過(guò)大數(shù)據(jù)及數(shù)據(jù)開放，可以促使跨機(jī)關(guān)的數(shù)據(jù)流通，提升政府施政效能及透明度，滿足社會(huì)公眾需求，以強(qiáng)化社會(huì)監(jiān)督政府的力量；另一方面，結(jié)合人工智能、云計(jì)算等技術(shù)，公共部門或私營(yíng)部門可以利用數(shù)據(jù)進(jìn)行無(wú)限創(chuàng)意，形成新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)，更好地促進(jìn)社會(huì)的進(jìn)步。2015年，國(guó)務(wù)院在《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中明確指出，到2020年要逐步實(shí)現(xiàn)交通、醫(yī)療、衛(wèi)生、就業(yè)等相關(guān)領(lǐng)域的政府?dāng)?shù)據(jù)集向社會(huì)開放。然而，開放數(shù)據(jù)并非簡(jiǎn)單地將政府掌握的數(shù)據(jù)向社會(huì)公眾釋放，其必須經(jīng)過(guò)一系列具體的流程，如盤點(diǎn)數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行分類；檢視數(shù)據(jù)權(quán)利完整性，對(duì)法規(guī)限制進(jìn)行分析；選擇數(shù)據(jù)開放范圍，等等。在開放數(shù)據(jù)、數(shù)據(jù)共享的過(guò)程中，如何避免侵害個(gè)人隱私權(quán)益成為一個(gè)重要議題。當(dāng)前，我國(guó)個(gè)人信息保護(hù)制度尚處于構(gòu)建之中，很多制度尚未完全建立，需要吸取域外制度經(jīng)驗(yàn)，實(shí)現(xiàn)制度的“本土化”。在我國(guó)個(gè)人信息保護(hù)法制背景下，就個(gè)人信息去識(shí)別化而言，筆者認(rèn)為，歐盟個(gè)人數(shù)據(jù)匿名化治理經(jīng)驗(yàn)可以為我們提供以下兩個(gè)方面的借鑒。

5.1 立法層面：完善個(gè)人信息去識(shí)別化立法

從權(quán)力運(yùn)行角度看，立法負(fù)有為執(zhí)法提供依據(jù)或授權(quán)的職責(zé)，如果某一項(xiàng)制度在立法上缺失，那么執(zhí)法就會(huì)因缺乏先關(guān)依據(jù)而帶有很大的隨意性，也就增大了侵犯公民權(quán)利的可能性。我國(guó)尚未制定《個(gè)人信息保護(hù)法》，有關(guān)個(gè)人信息保護(hù)的規(guī)定散見于各類法律法規(guī)中，如《民法總則》《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等。新近出臺(tái)的《十三屆全國(guó)人大常委會(huì)立法規(guī)劃》已經(jīng)將《個(gè)人信息保護(hù)法》列入了“第一類項(xiàng)目：條件比較成熟、任期內(nèi)擬提請(qǐng)審議的法律草案”中，這為完善我國(guó)個(gè)人信息去識(shí)別化提供了契機(jī)。

筆者認(rèn)為，在《個(gè)人信息保護(hù)法》中需要對(duì)兩個(gè)方面的內(nèi)容進(jìn)行明確：第一，明確個(gè)人信息的法律概念及分類?！皞€(gè)人信息”是個(gè)人信息去識(shí)別化的基礎(chǔ)，如果個(gè)人信息的識(shí)別本身缺乏一個(gè)明確而統(tǒng)一的標(biāo)準(zhǔn)，那么有效的個(gè)人信息去識(shí)別化制度就變成了“無(wú)源之水，無(wú)本之木”。因此，需要在《個(gè)人信息保護(hù)法》中明確個(gè)人信息的概念，并在此基礎(chǔ)上對(duì)個(gè)人信息進(jìn)行分類，如一般的個(gè)人信息、敏感信息、不法行為信息等。從歐盟的經(jīng)驗(yàn)來(lái)看，個(gè)人數(shù)據(jù)匿名化與個(gè)人數(shù)據(jù)都是同時(shí)在立法中予以明確，并且關(guān)聯(lián)甚大。第二，明確個(gè)人信息“去識(shí)別化”的概念、性質(zhì)及法律標(biāo)準(zhǔn)。對(duì)于個(gè)人信息去識(shí)別化的概念，應(yīng)該圍繞“個(gè)人信息”概念來(lái)進(jìn)行。從目前我國(guó)已有的立法例以及司法實(shí)踐來(lái)看，在認(rèn)定“個(gè)人信息”時(shí)主要著重強(qiáng)調(diào)“識(shí)別性”。因此，“去識(shí)別化”可以界定為“經(jīng)過(guò)一定程序的加工處理，使個(gè)人信息不再具有直接或間接識(shí)別性”④。對(duì)于個(gè)人信息去識(shí)別化的性質(zhì)，筆者認(rèn)為，去識(shí)別化行為應(yīng)該定性為個(gè)人信息的“處理”，因此，必須遵循有關(guān)個(gè)人信息“處理”的基本原則及限制。對(duì)于個(gè)人信息去識(shí)別化的標(biāo)準(zhǔn)，筆者認(rèn)為，在立法中不必規(guī)定統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，但是必須規(guī)定一些核心要素(不可逆、不可識(shí)別等)或法律標(biāo)準(zhǔn)，如歐盟的“合理可能”標(biāo)準(zhǔn)。最為穩(wěn)妥的辦法是在《個(gè)人信息保護(hù)法》中明確“個(gè)人信息去識(shí)別化”的概念，同時(shí)授權(quán)個(gè)人信息保護(hù)專責(zé)機(jī)關(guān)制定去識(shí)別化的技術(shù)標(biāo)準(zhǔn)。目前歐盟、日本、新加坡、韓國(guó)、加拿大均采取了此種立法例。

5.2 執(zhí)法層面：建構(gòu)基于風(fēng)險(xiǎn)的去識(shí)別化治理

需要指出的是，此處所指的“執(zhí)法”并不僅僅是指公共部門層面，尤其是在“自我規(guī)制”(self-regulation)改革的背景下，這里的“執(zhí)法”泛指所有“信息控制者”；此處所指的“治理”(governance)，既涉及公共部門，也包括私人部門(private sector)。對(duì)個(gè)人信息去識(shí)別化治理而言，除了立法要提供法律依據(jù)或授權(quán)外，尚需要“執(zhí)法”將這些立法政策轉(zhuǎn)化實(shí)踐，落到實(shí)處。信息控制者作為個(gè)人信息去識(shí)別化的實(shí)際實(shí)施者，其治理機(jī)制是否有效直接關(guān)系到去識(shí)別化的效果。

如前文所述，筆者認(rèn)為，個(gè)人信息去識(shí)別化本身就是“風(fēng)險(xiǎn)預(yù)防原則”的一種體現(xiàn)。因此，信息控制者需要將“風(fēng)險(xiǎn)管理”(risk management)融入到個(gè)人信息去識(shí)別化的治理機(jī)制中，建構(gòu)“基于風(fēng)險(xiǎn)的”(risk-based)去識(shí)別化治理機(jī)制，具體應(yīng)該注意以下幾點(diǎn)：第一，個(gè)人信息關(guān)系到個(gè)人隱私，甚至是人性尊嚴(yán)，因此，無(wú)論是收集、使用或披露個(gè)人信息時(shí)，都應(yīng)該尊重個(gè)人的基本權(quán)利。第二，不論因個(gè)人信息處理而產(chǎn)生的風(fēng)險(xiǎn)程度高或低，都應(yīng)該尊重個(gè)人信息保護(hù)法賦予信息主體的權(quán)利。第三，應(yīng)該建立風(fēng)險(xiǎn)評(píng)估機(jī)制。風(fēng)險(xiǎn)評(píng)估機(jī)制應(yīng)該具備整體性，主要包括以下兩類：(1)事前風(fēng)險(xiǎn)預(yù)防機(jī)制。在個(gè)人信息去識(shí)別化開始之前，應(yīng)該對(duì)個(gè)人信息進(jìn)行整體性風(fēng)險(xiǎn)影響評(píng)估，綜合考量個(gè)人信息類型、敏感程度、對(duì)外提供信息的方式、引發(fā)他人再識(shí)別的意圖等因素，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果計(jì)算設(shè)定風(fēng)險(xiǎn)閥值，進(jìn)而判斷去識(shí)別化的技術(shù)類型或程度。(2)事后風(fēng)險(xiǎn)評(píng)估機(jī)制。對(duì)于個(gè)人信息去識(shí)別化之后或去識(shí)別化個(gè)人信息發(fā)布以后，應(yīng)該定期對(duì)個(gè)人信息進(jìn)行風(fēng)險(xiǎn)評(píng)估。一方面，檢測(cè)已有的風(fēng)險(xiǎn)預(yù)防措施是否仍然適當(dāng)或有效；另一方面，檢測(cè)是否出現(xiàn)新的風(fēng)險(xiǎn)。

6 結(jié)語(yǔ)

大數(shù)據(jù)時(shí)代，既可能是“最好”的時(shí)代，也可能是“最壞”的時(shí)代。一方面，個(gè)人信息的潛在價(jià)值被不斷釋放；另一方面，個(gè)人隱私權(quán)也受到前所未有的挑戰(zhàn)。新技術(shù)收集更多有關(guān)我們?nèi)粘Ｉ盍?xí)慣和愿望這些看似無(wú)傷大雅的數(shù)據(jù)，信息處理技術(shù)的進(jìn)步使政府、企業(yè)和犯罪分子更容易分析和解釋這些數(shù)據(jù)，從而繪制我們的個(gè)人特征[19]。在數(shù)據(jù)開放、數(shù)據(jù)共享成為必然趨勢(shì)的情況下，個(gè)人信息去識(shí)別化是維持個(gè)人隱私權(quán)益、企業(yè)經(jīng)濟(jì)利益與社會(huì)公共利益之間平衡的重要手段。

歐盟對(duì)個(gè)人數(shù)據(jù)匿名化治理已經(jīng)積累了多年的立法經(jīng)驗(yàn)，值得我國(guó)參考。歐盟通過(guò)正式的“法律”明確了個(gè)人數(shù)據(jù)匿名化的法律標(biāo)準(zhǔn)，同時(shí)又通過(guò)非正式的“意見”細(xì)化了個(gè)人數(shù)據(jù)匿名化的技術(shù)標(biāo)準(zhǔn)，為個(gè)人數(shù)據(jù)匿名化的實(shí)踐提供全方位指導(dǎo)。與此同時(shí)，我們也應(yīng)該認(rèn)識(shí)到，個(gè)人數(shù)據(jù)匿名化在歐盟實(shí)踐中也面臨“簡(jiǎn)約化處理”的困境，難以最大限度發(fā)揮作用，導(dǎo)致某種程度上的“制度空轉(zhuǎn)”。

我國(guó)應(yīng)該審慎對(duì)待歐盟的經(jīng)驗(yàn)，要注重制度“本土化”的基礎(chǔ)及效果。在立法層面，我國(guó)應(yīng)當(dāng)盡快制定《個(gè)人信息保護(hù)法》，明確個(gè)人信息的內(nèi)涵及去識(shí)別化的法律標(biāo)準(zhǔn)，同時(shí)還應(yīng)該制定與個(gè)人信息去識(shí)別化有關(guān)的細(xì)則，設(shè)定去識(shí)別化的技術(shù)標(biāo)準(zhǔn)。在“執(zhí)法”層面，個(gè)人信息控制者應(yīng)該建立“基于風(fēng)險(xiǎn)的”去識(shí)別化治理機(jī)制，加強(qiáng)對(duì)去識(shí)別化各個(gè)階段中風(fēng)險(xiǎn)的識(shí)別、預(yù)防及處理。

注釋

①“personal data”是歐盟法中通用的法律術(shù)語(yǔ)，國(guó)內(nèi)一般將其譯為“個(gè)人數(shù)據(jù)”，其規(guī)范內(nèi)涵大致與我國(guó)法律語(yǔ)境中的“個(gè)人信息”對(duì)應(yīng)。為了保持歐盟法律制度本身之獨(dú)特性，本文統(tǒng)一采用“個(gè)人數(shù)據(jù)”這一用語(yǔ)。

③歐盟“第29條工作小組”是根據(jù)《數(shù)據(jù)保護(hù)指令》第29條之規(guī)定，于1995年成立的咨詢機(jī)構(gòu)，它是由各歐盟成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)、歐盟數(shù)據(jù)保護(hù)監(jiān)督員、歐盟委員會(huì)的代表組成的。2018年5月25日，《一般數(shù)據(jù)保護(hù)條例》正式實(shí)施以后，“第29條工作小組”已被“歐洲數(shù)據(jù)保護(hù)委員會(huì)”（European Data Protection Board，EDPB）所取代。

④我國(guó)臺(tái)灣地區(qū)的“法律事務(wù)主管部門”在關(guān)于“去識(shí)別化”的函釋見解中將“非個(gè)人資料”解釋為：“如公務(wù)機(jī)關(guān)將保有的個(gè)人數(shù)據(jù)運(yùn)用技術(shù)去識(shí)別化而呈現(xiàn)方式已無(wú)從直接或間接識(shí)別特定個(gè)人，即非屬個(gè)人資料?！?/p>