宋云婷

(南京大學(xué) 法學(xué)院,江蘇 南京 210093)

一、問(wèn)題之提出:我國(guó)個(gè)人信息“可識(shí)別性”界分標(biāo)準(zhǔn)的困境

《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第四條規(guī)定:個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。第四條對(duì)“個(gè)人信息”進(jìn)行了界定——以一定方式記錄的與自然人相關(guān)的已識(shí)別或者可識(shí)別自然人本身的各種信息,并且將匿名化處理后的信息排除在個(gè)人信息保護(hù)的范圍之外。同時(shí),第七十三條第四款規(guī)定：匿名化，是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程?！秱€(gè)人信息保護(hù)法》開(kāi)篇厘清了法律所保護(hù)的個(gè)人信息的概念及其范圍，對(duì)個(gè)人信息保護(hù)立法具有先導(dǎo)作用。此法之立法目的在于平衡信息利用、信息保護(hù)二者的關(guān)系,而平衡的實(shí)質(zhì)在于對(duì)國(guó)家利益、社會(huì)公共利益與個(gè)人利益三者之間的衡量。以個(gè)人利益平衡為例,若禁止個(gè)人信息流轉(zhuǎn),則極大阻礙企業(yè)信息利用及企業(yè)提供信息的積極性。個(gè)人信息得到絕對(duì)保護(hù)的同時(shí),社會(huì)公共利益受損進(jìn)而影響國(guó)家經(jīng)濟(jì)利益。

《個(gè)人信息保護(hù)法》第四條的規(guī)定采取并列包含及結(jié)果排除的方式界定了個(gè)人信息的概念及范圍,即嚴(yán)格以“可識(shí)別性”作為界分標(biāo)準(zhǔn),將能夠直接識(shí)別與間接識(shí)別(1)直接個(gè)人信息是指能夠直接識(shí)別信息主體的個(gè)人信息,包括姓名、身份證號(hào)、肖像、聲音、基因等內(nèi)容。間接個(gè)人信息是指需要結(jié)合其他個(gè)人信息方能識(shí)別信息主體的個(gè)人信息,如性別、年齡、身高、職業(yè)、學(xué)歷、家庭住址、個(gè)人消費(fèi)習(xí)慣、網(wǎng)絡(luò)瀏覽記錄、消費(fèi)能力、地理位置、銀行賬號(hào)、支付寶賬號(hào)等。[1]自然人的信息納入個(gè)人信息保護(hù)法予以保護(hù)的范圍,把匿名化技術(shù)處理過(guò)后的無(wú)法識(shí)別的信息排除于個(gè)人信息保護(hù)的范圍之外。該規(guī)定雖然體現(xiàn)了兼顧個(gè)人信息保護(hù)與信息利用的價(jià)值取向,但根據(jù)現(xiàn)有司法實(shí)踐觀察,由于個(gè)人信息“可識(shí)別性”界分標(biāo)準(zhǔn)自身的不確定性及配套規(guī)定的缺乏,致使立法價(jià)值與司法的實(shí)際操作之間產(chǎn)生現(xiàn)實(shí)分歧。

大數(shù)據(jù)時(shí)代的來(lái)臨使得數(shù)據(jù)日益成為創(chuàng)造價(jià)值的核心資產(chǎn)。傳統(tǒng)被認(rèn)為可以直接識(shí)別自然人的信息,如姓名、手機(jī)號(hào)碼等,成為龐大數(shù)據(jù)中的一粒塵?！，F(xiàn)今有時(shí)并不能直接對(duì)自然人進(jìn)行識(shí)別,需要與其他信息結(jié)合才能準(zhǔn)確識(shí)別出個(gè)體。此時(shí),被認(rèn)為皆具有“可識(shí)別性”的直接識(shí)別信息與間接識(shí)別信息的界限開(kāi)始模糊,“可識(shí)別性”標(biāo)準(zhǔn)的應(yīng)用從內(nèi)部逐漸瓦解。因此,在區(qū)分信息類型的過(guò)程中,不能將某類信息特定化為直接識(shí)別信息或間接識(shí)別信息。如在“蘇州貝爾塔數(shù)據(jù)技術(shù)有限公司與伊日克斯慶一般人格權(quán)糾紛案”中,伊某的姓名具有特殊性,人民法院認(rèn)定為可直接識(shí)別信息;而在“陳江霞、何啟偉侵犯公民個(gè)人信息案”中,人民法院將公民的姓名與其他信息相結(jié)合進(jìn)而識(shí)別公民本身,此時(shí)姓名則成為一種間接識(shí)別信息，見(jiàn)表1。

表1 個(gè)人信息分類與定性情況表

從表1列舉的各案來(lái)看,我國(guó)民事與刑事司法裁判中對(duì)“個(gè)人信息”認(rèn)定區(qū)分的標(biāo)準(zhǔn)與定性不同。當(dāng)前,我國(guó)的民事司法裁判中逐漸將個(gè)人信息保護(hù)從隱私權(quán)保護(hù)路徑中予以分離,而進(jìn)一步明確個(gè)人信息獲得保護(hù)的標(biāo)準(zhǔn)為該信息的“可識(shí)別性”。但是在刑事判決中,個(gè)人信息的保護(hù)仍然過(guò)度依賴于隱私保護(hù)的路徑,個(gè)人信息的定性與隱私的認(rèn)定相互雜糅,呈現(xiàn)出與民事司法實(shí)務(wù)中二者相區(qū)分之理念的背離,從而破壞了法秩序的統(tǒng)一性。例如，在“周琦等人侵犯公民個(gè)人信息案”及“肖江等人侵犯公民個(gè)人信息案”的判決書(shū)中,人民法院依據(jù)2013年4月23日公布的《最高人民法院、最高人民檢察院、公安部關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》將公民個(gè)人信息區(qū)分為公民個(gè)人身份信息和涉及公民個(gè)人隱私的信息兩類。人民法院在認(rèn)定犯罪嫌疑人侵犯公民個(gè)人信息時(shí),首先判定該涉案信息是屬于公民個(gè)人身份信息還是屬于個(gè)人隱私信息。雖然個(gè)人信息與隱私具有一定的重合交叉關(guān)系,二者交叉部分為個(gè)人隱私信息,但是正確的邏輯是區(qū)分二者之后再討論其重合部分。如果將個(gè)人信息先行割裂為隱私信息及個(gè)人身份信息，就會(huì)發(fā)生逆向的邏輯錯(cuò)誤。同時(shí),將公民個(gè)人信息分為公民個(gè)人身份信息和個(gè)人隱私信息的分類并不能涵蓋所有公民個(gè)人信息的范圍。

事實(shí)上,表1還反映了兩個(gè)重要的問(wèn)題。一是實(shí)務(wù)中對(duì)間接識(shí)別信息的認(rèn)定存在矛盾與沖突。各級(jí)人民法院對(duì)間接識(shí)別信息的界定存在偏差,即與其他信息結(jié)合能夠識(shí)別自然人本身的信息中所結(jié)合的“其他信息”是否應(yīng)當(dāng)是違法行為人所掌握、利用或流轉(zhuǎn)的信息。如在“陳某某、剛某某侵犯公民個(gè)人信息案”中,人民法院認(rèn)為雖然被告人陳某某提供的信息只有電話號(hào)碼,但電話號(hào)碼與其他信息結(jié)合后能識(shí)別特定自然人身份,因而將電話號(hào)碼認(rèn)定為間接識(shí)別信息,但與電話號(hào)碼結(jié)合的其他信息陳某某并未掌握。而在“朱某訴北京百度網(wǎng)訊科技公司隱私權(quán)案”中,人民法院認(rèn)為網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好匿名化信息與網(wǎng)絡(luò)用戶身份相分離,用戶身份為該公司未知,因而該公司就無(wú)法識(shí)別并確定自然人主體。該信息被認(rèn)定為匿名化信息而不屬于個(gè)人信息保護(hù)的范疇。在上述兩案中,行為人皆僅掌握無(wú)法單獨(dú)適用識(shí)別自然人身份的信息,但該信息在不同人民法院的實(shí)際認(rèn)定中被雙重定性。二是我國(guó)司法實(shí)踐中對(duì)匿名化信息認(rèn)定極少,法院通常傾向于將無(wú)法區(qū)分為間接識(shí)別信息還是匿名化信息的相關(guān)信息判定為間接識(shí)別性信息,從而納入相關(guān)法律予以保護(hù)。匿名化信息的認(rèn)定通常對(duì)技術(shù)認(rèn)知水平的要求較高。我國(guó)法官大多缺乏信息處理專業(yè)技術(shù)知識(shí)，所以認(rèn)定技術(shù)處理信息的程度與水平較低。同時(shí),我國(guó)法院司法資源較為緊張,法官處理一個(gè)案件的調(diào)查成本有限,認(rèn)定匿名化信息的案件極少,法院審判缺乏先例。為了避免對(duì)現(xiàn)有裁判秩序產(chǎn)生沖擊性影響,法官認(rèn)定信息性質(zhì)時(shí)通常采取保守態(tài)度,傾向于將難以定性的個(gè)人信息全部納入信息保護(hù)范圍之中。

以上問(wèn)題,究其本質(zhì)而言是由于司法實(shí)務(wù)中個(gè)人信息保護(hù)的可識(shí)別性界分標(biāo)準(zhǔn)模糊、實(shí)操性較差。該標(biāo)準(zhǔn)不僅內(nèi)部正在逐漸瓦解,且外部應(yīng)用存在無(wú)法區(qū)分間接識(shí)別信息與匿名化信息的核心問(wèn)題。為解決上述疑難,本文將功能性匿名的方法引入,并在此基礎(chǔ)上嘗試調(diào)試與應(yīng)用個(gè)人信息界分之新標(biāo)準(zhǔn),并對(duì)整體功能性匿名的流程進(jìn)行評(píng)價(jià)。

二、功能性匿名方法的提出

本部分通過(guò)對(duì)歐盟及美國(guó)數(shù)據(jù)保護(hù)立法的研究,發(fā)現(xiàn)域外匿名化處理規(guī)則中的不適宜標(biāo)準(zhǔn)及簡(jiǎn)約化處理存在的問(wèn)題,進(jìn)而引入功能性匿名流程嘗試探索解決問(wèn)題的可能性。

(一)域外個(gè)人信息“可識(shí)別性”標(biāo)準(zhǔn)的困境

本文中個(gè)人信息保護(hù)與個(gè)人數(shù)據(jù)保護(hù)意義相同,研究中不做區(qū)分。域外數(shù)據(jù)保護(hù)[2]實(shí)踐中,以“可識(shí)別性”標(biāo)準(zhǔn)界分?jǐn)?shù)據(jù)保護(hù)范圍的共識(shí)導(dǎo)致數(shù)據(jù)的簡(jiǎn)約化處理模型廣泛應(yīng)用。該模型包括歐盟使用的假名化處理，以及美國(guó)應(yīng)用的移除直接標(biāo)識(shí)符等,此種方法的實(shí)質(zhì)是一種應(yīng)用于數(shù)據(jù)匿名化處理而使數(shù)據(jù)達(dá)到不可識(shí)別性的算法[3]。而域外匿名化數(shù)據(jù)處理體系的崩塌源于簡(jiǎn)約化處理的失敗。數(shù)據(jù)與信息的保護(hù)目的在于對(duì)信息的保護(hù)與利用進(jìn)行平衡,而在過(guò)往的數(shù)據(jù)匿名化處理實(shí)踐中,歐盟由于對(duì)匿名化數(shù)據(jù)采“窮盡一切合理可能之方法”的畸高標(biāo)準(zhǔn),限制了數(shù)據(jù)的流轉(zhuǎn)與利用,而美國(guó)移除數(shù)據(jù)中的直接識(shí)別符,片面考慮數(shù)據(jù)的去可識(shí)別性而未區(qū)分敏感信息的保護(hù),可能導(dǎo)致隱私的泄露,產(chǎn)生數(shù)據(jù)保護(hù)的危機(jī)。

1.歐盟

歐盟對(duì)數(shù)據(jù)保護(hù)原則的排除適用施加了煩瑣的限制。歐盟于2018年5月開(kāi)始實(shí)施的《歐盟通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡(jiǎn)稱GDPR)第4條將個(gè)人數(shù)據(jù)定義為“任何已識(shí)別或可識(shí)別的自然人有關(guān)的信息”,界定可識(shí)別的自然人是指“可以直接或間接識(shí)別的自然人,特別是通過(guò)相關(guān)的標(biāo)識(shí)符識(shí)別,如姓名、位置數(shù)據(jù);或通過(guò)一個(gè)或多個(gè)特定的因素識(shí)別,如生理、遺傳、精神、經(jīng)濟(jì)、自然人的文化或社會(huì)身份”。此外,GDPR在序言第26條中還做了進(jìn)一步限定：決定該數(shù)據(jù)是否能夠識(shí)別特定自然人應(yīng)窮極一切合理且可能使用之方法,允許直接或間接識(shí)別的方式,同時(shí)應(yīng)考慮一切諸如成本、技術(shù)發(fā)展等客觀因素。數(shù)據(jù)保護(hù)原則不適用于無(wú)法識(shí)別自然人的匿名數(shù)據(jù)及信息[4]?？v觀歐盟建構(gòu)的個(gè)人數(shù)據(jù)保護(hù)與匿名化數(shù)據(jù)標(biāo)準(zhǔn)的組成極為嚴(yán)苛,“直接或間接之識(shí)別性”成為適用數(shù)據(jù)保護(hù)原則的核心,而“窮盡一切合理且可能之方法”的判定似乎成為一道數(shù)據(jù)保護(hù)堅(jiān)不可摧的防火墻。

歐盟對(duì)個(gè)人數(shù)據(jù)的匿名化處理主要采用假名化的方法。假名化處理是用一個(gè)抽象版本代替原有可識(shí)別性信息而達(dá)到匿名效果的算法。實(shí)踐中兩個(gè)問(wèn)題導(dǎo)致假名化的失敗:一是假名化處理的信息仍具有潛在可識(shí)別性。以假名化實(shí)踐為例,研究人員通過(guò)個(gè)人對(duì)電影評(píng)級(jí)的輔助信息,從Netflix的50萬(wàn)個(gè)假名訂閱用戶的數(shù)據(jù)集中發(fā)掘出大量可識(shí)別用戶個(gè)人的數(shù)據(jù)[5]。因此,對(duì)數(shù)據(jù)進(jìn)行假名化處理時(shí),無(wú)法排除試圖識(shí)別信息者已經(jīng)或?qū)⒁獡碛邢嚓P(guān)輔助信息的可能性,這種客觀上無(wú)法周全的考慮可能為信息披露埋下伏筆。二是信息擴(kuò)大化傳播模式的形成進(jìn)一步增加了信息披露的風(fēng)險(xiǎn)?，F(xiàn)今人們的社交行為傾向于彼此之間信息的交流與生活的分享,輔助信息在擴(kuò)大化傳播模式中變得更加容易獲得,信息披露風(fēng)險(xiǎn)上升也不可避免。

2.美國(guó)

在美國(guó),“個(gè)人識(shí)別性信息”(PII)的范圍界定較窄,指的是由聯(lián)邦機(jī)構(gòu)維護(hù)的可用于追蹤個(gè)人身份或與個(gè)人相關(guān)的信息?？勺R(shí)別性標(biāo)識(shí)符包括名稱、地址及其他已知標(biāo)識(shí)符(如社會(huì)安全號(hào)碼)。2020年1月生效的美國(guó)加州頒布的《加州消費(fèi)者隱私法案》(California Consumer Privacy Act，簡(jiǎn)稱CCPA)中,“個(gè)人信息”是指能夠直接或間接的識(shí)別、描述與特定的消費(fèi)者或家庭相關(guān)或合理相關(guān)的信息,這些信息包括但不限于真實(shí)姓名、郵政地址、商業(yè)信息、地理位置數(shù)據(jù)、唯一的個(gè)人標(biāo)識(shí)符等。CCPA對(duì)個(gè)人信息的定義更加廣泛,其將消費(fèi)者相關(guān)推斷信息納入個(gè)人信息定義之中,突破了GDPR對(duì)個(gè)人信息泛化的列舉類型。

《健康保險(xiǎn)可攜性和責(zé)任法案》(HIPAA)隱私規(guī)則第14條列舉出一系列構(gòu)成PII的標(biāo)識(shí)符,美國(guó)通過(guò)移除直接識(shí)別符進(jìn)行數(shù)據(jù)保護(hù)。此種匿名化方法存在兩點(diǎn)失敗之處:一是通過(guò)法案對(duì)標(biāo)識(shí)符進(jìn)行列舉存在滯后性。首先,官方列舉不可能窮盡直接標(biāo)識(shí)符類型,因而該官方列舉不可能完整;其次,該官方列舉完整性僅是相對(duì)完整,列舉內(nèi)容必然會(huì)隨著時(shí)間擴(kuò)充。二是移除直接標(biāo)識(shí)符片面考慮數(shù)據(jù)的可識(shí)別性,不區(qū)分保護(hù)敏感信息。移除直接標(biāo)識(shí)符之后仍然可能存在敏感信息的殘留,進(jìn)而使得隱私泄露。根據(jù)Farzanehfar Ali等學(xué)者的實(shí)驗(yàn)，在移除直接識(shí)別符的匿名數(shù)據(jù)中,個(gè)體經(jīng)常能被重新識(shí)別。實(shí)驗(yàn)人員利用3個(gè)月的位置數(shù)據(jù),實(shí)現(xiàn)了在一個(gè)六千萬(wàn)人的數(shù)據(jù)集中,唯一識(shí)別的人占93%。若僅使用四點(diǎn)輔助信息,最少識(shí)別的人數(shù)為其中的22 %,而當(dāng)輔助信息增至五個(gè)點(diǎn)時(shí),這個(gè)下限將增加到87%[6]。

(二)功能性匿名方法的引入

鑒于域外數(shù)據(jù)匿名化的失敗,英國(guó)學(xué)者M(jìn)ark Elliot等人提出了功能性匿名的命題:數(shù)據(jù)是否匿名(因此能否識(shí)別個(gè)人)是數(shù)據(jù)與其環(huán)境之間關(guān)系的函數(shù)[7]。他們強(qiáng)調(diào)匿名不應(yīng)被理解為應(yīng)用于原始數(shù)據(jù)集以產(chǎn)出具有可測(cè)量風(fēng)險(xiǎn)水平的派生數(shù)據(jù)集的算法,而是旨在將數(shù)據(jù)重新識(shí)別的風(fēng)險(xiǎn)降低到可接受水平的持續(xù)性過(guò)程(2)該風(fēng)險(xiǎn)并無(wú)準(zhǔn)確的數(shù)字約束,此處采用Elliot等人使用的可忽略性概念來(lái)表示一個(gè)理性的人會(huì)忽略的風(fēng)險(xiǎn),具體性質(zhì)將根據(jù)具體情況而定。舉例說(shuō)明風(fēng)險(xiǎn)的可忽略性是指我離開(kāi)家鎖門(mén)時(shí)忽略被小偷撬門(mén)的風(fēng)險(xiǎn),但我不忽略沒(méi)有鎖門(mén)時(shí)被小偷光顧的風(fēng)險(xiǎn)。參見(jiàn)文獻(xiàn)[7]。。功能性匿名將一元的是否可識(shí)別的標(biāo)準(zhǔn)問(wèn)題轉(zhuǎn)化為風(fēng)險(xiǎn)控制問(wèn)題,即將數(shù)據(jù)重新識(shí)別的風(fēng)險(xiǎn)降低到可接受之低水平,從而將技術(shù)支持的流程與數(shù)據(jù)匿名性度量相結(jié)合,在確保敏感數(shù)據(jù)安全保護(hù)的同時(shí),提供滿足復(fù)雜利用需求的機(jī)會(huì)[8]。

功能性匿名在原始數(shù)據(jù)集的基礎(chǔ)上建立一個(gè)派生數(shù)據(jù)集,而使派生數(shù)據(jù)集達(dá)到功能性匿名要求的再識(shí)別風(fēng)險(xiǎn)可接受的低水平風(fēng)險(xiǎn)標(biāo)準(zhǔn)。功能性匿名呈現(xiàn)如下流程，見(jiàn)圖1。

圖1 功能性匿名流程圖

功能性匿名中,數(shù)據(jù)環(huán)境包括原始數(shù)據(jù)集與派生數(shù)據(jù)集交互、控制該數(shù)據(jù)的交互或者為該數(shù)據(jù)提供可解釋的背景。進(jìn)一步確定數(shù)據(jù)環(huán)境的內(nèi)部機(jī)理,數(shù)據(jù)環(huán)境通常由4個(gè)關(guān)鍵元素組成:其他數(shù)據(jù)、數(shù)據(jù)用戶、治理過(guò)程及基礎(chǔ)設(shè)施。其他數(shù)據(jù)是指放置派生數(shù)據(jù)集的環(huán)境中包含的以一系列復(fù)雜方式相互關(guān)聯(lián)的數(shù)據(jù),即上文提到的極易與原始數(shù)據(jù)產(chǎn)生鏈接的輔助性數(shù)據(jù);數(shù)據(jù)用戶及基礎(chǔ)設(shè)施是數(shù)據(jù)操作的源頭,對(duì)數(shù)據(jù)環(huán)境產(chǎn)生著重要的交互影響;而環(huán)境的治理流程將決定數(shù)據(jù)控制者如何管理用戶與數(shù)據(jù)的關(guān)系。

全局?jǐn)?shù)據(jù)環(huán)境由本地?cái)?shù)據(jù)環(huán)境和二者之間的關(guān)系組成,數(shù)據(jù)環(huán)境由剛性或柔性的邊界劃分,如法律法規(guī)、業(yè)務(wù)模型、許可協(xié)議、防火墻等。這些邊界被環(huán)境的基礎(chǔ)元素構(gòu)建,并由這些元素篩選。從利用的簡(jiǎn)單性及實(shí)用性出發(fā),功能性匿名將復(fù)雜的、流動(dòng)的總體數(shù)據(jù)環(huán)境屏蔽,而以數(shù)據(jù)控制者對(duì)基礎(chǔ)元素的操作控制來(lái)建構(gòu)本地?cái)?shù)據(jù)環(huán)境。也就是說(shuō),基礎(chǔ)元素的篩選與過(guò)濾在某種程度上最接近派生數(shù)據(jù)集環(huán)境。因此,在大多數(shù)情況下,數(shù)據(jù)控制者對(duì)基礎(chǔ)元素的控制將顯著影響從派生數(shù)據(jù)集重新識(shí)別數(shù)據(jù)主體的可能性及成本。

功能性匿名要求數(shù)據(jù)控制者不僅需要考慮與數(shù)據(jù)屬性有關(guān)的風(fēng)險(xiǎn)因素,還需要考慮與數(shù)據(jù)環(huán)境有關(guān)的風(fēng)險(xiǎn)因素。有學(xué)者認(rèn)為功能性匿名包括數(shù)據(jù)環(huán)境(Data Environment)和匿名化決策(Anonymization Decision-Making)兩個(gè)要素[7]。實(shí)際上該種區(qū)分割裂了功能性匿名化的持續(xù)性過(guò)程,二者并非要素的并列關(guān)系,而是邏輯上的順承關(guān)系,即數(shù)據(jù)控制者在進(jìn)行匿名化決策時(shí)應(yīng)當(dāng)以數(shù)據(jù)環(huán)境為基準(zhǔn)。

在整個(gè)功能性匿名流程中,數(shù)據(jù)控制者并非數(shù)據(jù)環(huán)境的被動(dòng)承接者,他們?cè)谝欢ǔ潭壬舷碛型ㄟ^(guò)設(shè)計(jì)數(shù)據(jù)環(huán)境確保數(shù)據(jù)安全的主動(dòng)權(quán)。數(shù)據(jù)控制者被要求必須考慮風(fēng)險(xiǎn)因素,構(gòu)建有用的威脅模型,并在此基礎(chǔ)上對(duì)原始數(shù)據(jù)集采取數(shù)據(jù)處理技術(shù)與手段,如聚合、刪除字段或變量、抑制獨(dú)特的價(jià)值觀等,從而建立派生的數(shù)據(jù)集。開(kāi)放的數(shù)據(jù)環(huán)境非常寬松,不會(huì)留下任何殘留的控制因素,派生數(shù)據(jù)集要求自身數(shù)據(jù)環(huán)境具有安全性、開(kāi)放性。因此,數(shù)據(jù)控制者不僅需要考慮數(shù)據(jù)與環(huán)境中的風(fēng)險(xiǎn)因素,同時(shí)也應(yīng)當(dāng)以自己為主體,構(gòu)建一個(gè)開(kāi)放、安全的數(shù)據(jù)環(huán)境。

功能性匿名是一種基于數(shù)據(jù)環(huán)境依賴和風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)匿名“可識(shí)別性”標(biāo)準(zhǔn)的替代方法,旨在將法律與匿名的實(shí)際現(xiàn)實(shí)進(jìn)行調(diào)和，并使數(shù)據(jù)保護(hù)設(shè)計(jì)嵌入到數(shù)據(jù)控制者與數(shù)據(jù)處理者的數(shù)據(jù)處理實(shí)踐中，以促進(jìn)數(shù)據(jù)的進(jìn)一步利用[9]。這種方法具有主動(dòng)性、預(yù)防性。在設(shè)計(jì)中嵌入數(shù)據(jù)保護(hù),通過(guò)完整的閉合回路實(shí)現(xiàn)數(shù)據(jù)保護(hù)與數(shù)據(jù)利用的良性互動(dòng)。且此方法以數(shù)據(jù)用戶為中心,具有極強(qiáng)的可見(jiàn)性和透明性,從而實(shí)現(xiàn)正向收益。

三、功能性匿名的本土化調(diào)適

(一)我國(guó)個(gè)人信息保護(hù)的本土現(xiàn)實(shí)

2000年前后,我國(guó)開(kāi)始著手個(gè)人信息保護(hù)專項(xiàng)立法。自2012年全國(guó)人大常委會(huì)通過(guò)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(3)《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一條：國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。到2017年實(shí)行的《網(wǎng)絡(luò)安全法》(4)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十二條：網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。第七十六條第五款：個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。，再到2020年實(shí)施的以《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(5)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》3.1:個(gè)人信息,以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。為代表的一系列配套國(guó)家標(biāo)準(zhǔn)都將可識(shí)別性作為個(gè)人信息保護(hù)劃定范圍的標(biāo)準(zhǔn)。

《個(gè)人信息保護(hù)法》與該法第一版草案相比,刪去了禁止匿名信息重新識(shí)別的規(guī)定(6)《個(gè)人信息保護(hù)法(草案)征求意見(jiàn)》第二十四條第二款:個(gè)人信息處理者向第三方提供匿名化信息的,第三方不得利用技術(shù)等手段重新識(shí)別個(gè)人身份。,這具有一定進(jìn)步意義。再識(shí)別禁止規(guī)定在實(shí)踐中無(wú)法落實(shí)。數(shù)據(jù)控制者已經(jīng)獲取原始數(shù)據(jù)集,數(shù)據(jù)處理者使用匿名化技術(shù)得到派生數(shù)據(jù)集,若能在數(shù)據(jù)處理的過(guò)程中利用原始數(shù)據(jù)集間接地從派生數(shù)據(jù)集中識(shí)別個(gè)體,任何一個(gè)客觀理性人都會(huì)這樣做以掌握更多信息。有的學(xué)者主張我國(guó)《個(gè)人信息保護(hù)法》應(yīng)當(dāng)規(guī)定“禁止反向識(shí)別”[10]，但數(shù)據(jù)處理過(guò)程中的信息獲取無(wú)法避免,因此禁止信息再識(shí)別在實(shí)然狀態(tài)下無(wú)法實(shí)現(xiàn)。

《個(gè)人信息保護(hù)法》同樣以“可識(shí)別性”作為個(gè)人信息保護(hù)范圍的判斷標(biāo)準(zhǔn)。正如有的學(xué)者所言,“可識(shí)別性”是一個(gè)不確定概念,由于數(shù)據(jù)的聚合操作或其他技術(shù)性手段,信息的識(shí)別區(qū)分度不斷發(fā)生改變,間接識(shí)別變得更加容易,使得可識(shí)別性范圍不斷擴(kuò)大[11]。此種“可識(shí)別性”的判斷標(biāo)準(zhǔn)在實(shí)務(wù)應(yīng)用中僵化、抽象:相互抵牾的審判較多、救濟(jì)途徑和銜接機(jī)制不暢、信息處理與分層保護(hù)規(guī)定存在空白、學(xué)界對(duì)個(gè)人信息標(biāo)準(zhǔn)問(wèn)題也存在諸多誤解。此時(shí),信息保護(hù)的范圍界定應(yīng)尋求突破一元化可識(shí)別性標(biāo)準(zhǔn)的界點(diǎn)認(rèn)定,而轉(zhuǎn)向功能性過(guò)程化的綜合評(píng)估。

(二)功能性匿名的遞進(jìn)式調(diào)適

1.整體架構(gòu)之搭建

(1)匿名信息概念的再界定

傳統(tǒng)視野下個(gè)人信息保護(hù)以可識(shí)別性分野,不具有識(shí)別性的信息，即匿名化信息被劃出信息保護(hù)的范疇。上已述及,可識(shí)別性概念具有自身也無(wú)法克服之頑疾,而“概念是解決法律問(wèn)題所必需的和必不可少的工具。沒(méi)有限定嚴(yán)格的專門(mén)概念,我們便不能清楚地和理性地思考法律問(wèn)題”[12]。

功能性匿名視角下,個(gè)人信息保護(hù)范圍的分界點(diǎn)發(fā)生轉(zhuǎn)移,該點(diǎn)并不在于信息是否具備可識(shí)別性,而在于識(shí)別風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的低水平。此時(shí)不受保護(hù)的匿名化信息不再以“可識(shí)別性”作為區(qū)分標(biāo)準(zhǔn),而成為識(shí)別風(fēng)險(xiǎn)處于可接受之低水平的一類信息。這就解決了傳統(tǒng)匿名化信息概念中的不確定問(wèn)題,進(jìn)一步從根源處解決信息保護(hù)界分模糊的痼疾。

(2)信息保護(hù)范圍標(biāo)準(zhǔn)的再調(diào)整

對(duì)信息保護(hù)范圍的綜合性過(guò)程評(píng)估與一元化界點(diǎn)判斷相比,摒棄了界點(diǎn)判斷時(shí)“全有或全無(wú)”的桎梏,而采取了一個(gè)動(dòng)態(tài)化相對(duì)性標(biāo)準(zhǔn),即功能性匿名是通過(guò)對(duì)數(shù)據(jù)及其環(huán)境的控制來(lái)降低重新識(shí)別風(fēng)險(xiǎn),從而使該風(fēng)險(xiǎn)處于可接受的較低水平標(biāo)準(zhǔn)。識(shí)別風(fēng)險(xiǎn)的可接受低水平標(biāo)準(zhǔn)中,似乎仍然存在不確定概念:風(fēng)險(xiǎn)究竟處于何種水平,該派生數(shù)據(jù)集才能被視為匿名數(shù)據(jù)集呢?

Mark Elliot等人提到了“可忽略性原則”(the principle of negligibility)[7],即作為一個(gè)理智的人會(huì)忽略的該種風(fēng)險(xiǎn)為可忽略的風(fēng)險(xiǎn)。例如,一個(gè)理智的人會(huì)在離開(kāi)家時(shí)鎖好門(mén)以防盜賊的侵入,但其并不會(huì)在上班途中防范被隕石砸死的風(fēng)險(xiǎn),后種風(fēng)險(xiǎn)即為可忽略的風(fēng)險(xiǎn)。

對(duì)可忽略性原則中“一個(gè)理智的人”的界定不甚明晰,此處可采理性人標(biāo)準(zhǔn)。理性人標(biāo)準(zhǔn)解決了采取過(guò)程性動(dòng)態(tài)化標(biāo)準(zhǔn)帶來(lái)的不適配性,同時(shí)憑借自身的可調(diào)試性保留了各數(shù)據(jù)處理過(guò)程自身?yè)碛械莫?dú)特性“標(biāo)準(zhǔn)”。其適用一般經(jīng)歷三個(gè)階段:理性人建構(gòu)、場(chǎng)景重構(gòu)、透過(guò)認(rèn)知圖式得出結(jié)論[13]。將該標(biāo)準(zhǔn)融入功能性匿名中標(biāo)準(zhǔn)的調(diào)整:首先,一個(gè)理性數(shù)據(jù)控制者的構(gòu)建以其知識(shí)結(jié)構(gòu)、能力水準(zhǔn)的架構(gòu)為核心;其次,重構(gòu)該理性數(shù)據(jù)控制者所處的場(chǎng)景因素,包括對(duì)行為背景、場(chǎng)所、數(shù)據(jù)環(huán)境等信息進(jìn)行篩選;最后,就能通過(guò)該理性數(shù)據(jù)控制者在相應(yīng)的場(chǎng)景下的認(rèn)知和行為,結(jié)合可忽略性原則,確定低水平之限度。

(3)數(shù)據(jù)環(huán)境的再描述

通常情況下,數(shù)據(jù)控制者為派生數(shù)據(jù)集創(chuàng)造的三種數(shù)據(jù)環(huán)境包括:①開(kāi)放數(shù)據(jù)環(huán)境,如政府?dāng)?shù)據(jù)開(kāi)放平臺(tái);②通過(guò)許可建立的用戶社區(qū)環(huán)境,如社區(qū)服務(wù)平臺(tái);③受控安全設(shè)置環(huán)境,如受控制文件夾的訪問(wèn)環(huán)境。

根據(jù)相關(guān)法律及規(guī)范性文件要求,開(kāi)放數(shù)據(jù)環(huán)境中數(shù)據(jù)皆被匿名化處理,該環(huán)境中的數(shù)據(jù)實(shí)際上處于被施加最小限制且各用戶都能平等訪問(wèn)并處理的狀態(tài)。此種環(huán)境中的數(shù)據(jù)發(fā)放皆應(yīng)符合治理規(guī)范,因此治理約束幾乎為零。假設(shè)存在數(shù)據(jù)用戶U,U在開(kāi)放數(shù)據(jù)集中能夠接觸到大量的輔助信息,如訪問(wèn)分區(qū)得到的分區(qū)數(shù)據(jù)(Ip)、本方或他方的個(gè)人數(shù)據(jù)(Ik)、易獲取的數(shù)據(jù)(Ir)及其他數(shù)據(jù)(Io)。此時(shí),理論上U在不受治理約束中的數(shù)據(jù)環(huán)境可表述為{Ip,Ik,Ir,Io},用Ei來(lái)代指該數(shù)據(jù)環(huán)境,其中i表示輔助信息,則Ei={Ip,Ik,Ir,Io}。而由于該數(shù)據(jù)用戶U本身具備自身特性A,如特定的技能、資源及原始掌握數(shù)據(jù),則該特征A本身會(huì)對(duì)數(shù)據(jù)環(huán)境造成一定的約束。若我們將被約束的數(shù)據(jù)環(huán)境用(FE)i(即functionally-constrained data environment)表示,則(FE)i=A(Ei)。此時(shí),原始數(shù)據(jù)集D需要被納入考慮觀察被約束的數(shù)據(jù)環(huán)境(FE)i與原始數(shù)據(jù)集之間的交集,但該交集的存在具有一定概率性,就算二者的某些數(shù)據(jù)客觀上能夠重合,也不一定在實(shí)操中發(fā)生數(shù)據(jù)集的重疊。該概率性交集可表示為(FE)iD=A(Ei)∩D[7]。在功能性匿名的考慮中,要將識(shí)別風(fēng)險(xiǎn)控制在可接受的低水平中,那么(FE)iD應(yīng)當(dāng)約等于零,即(FE)iD≈0。

而通過(guò)許可建立的用戶社區(qū)環(huán)境,由于數(shù)據(jù)的傳遞需要數(shù)據(jù)控制者的許可,如數(shù)據(jù)控制者對(duì)數(shù)據(jù)用戶資格的限定，要求允許進(jìn)入的用戶做出禁止再識(shí)別的承諾等,實(shí)際上為數(shù)據(jù)的流通引入了一些摩擦。此時(shí)用戶U的數(shù)量減少,分區(qū)約束增加,則包含輔助信息的數(shù)據(jù)環(huán)境Ei可能縮小,(FE)i似乎更加容易使其趨近于零。但是,設(shè)置許可的成本不可忽略。而在受控安全設(shè)置環(huán)境中,Ei則受到直接的限制,如用戶U可能被要求在嚴(yán)格受限的物理環(huán)境中工作或從受控安全環(huán)境中刪除數(shù)據(jù)受到嚴(yán)格控制,這嚴(yán)重限制了Ip、Io和Ir的范圍。(FE)iD≈0容易實(shí)現(xiàn),但該種環(huán)境在一定程度上也約束了數(shù)據(jù)流轉(zhuǎn),限制了數(shù)據(jù)的效用,并不適合廣泛應(yīng)用。

2.細(xì)節(jié)流程之填充

(1)識(shí)別數(shù)據(jù)環(huán)境

在新一代的數(shù)字科技引領(lǐng)之下,數(shù)據(jù)成為產(chǎn)業(yè)發(fā)展的關(guān)鍵要素并進(jìn)一步進(jìn)行價(jià)值的整合。在2020騰訊全球數(shù)字生態(tài)大會(huì)上,騰訊研究院聯(lián)合騰訊云發(fā)布的《數(shù)字中國(guó)指數(shù)報(bào)告(2020)》(以下簡(jiǎn)稱《報(bào)告》)中指出，數(shù)字中國(guó)指數(shù)持續(xù)高速增長(zhǎng),較去年同期上升73.2%。根據(jù)《報(bào)告》來(lái)看,中國(guó)產(chǎn)業(yè)數(shù)字化是增長(zhǎng)的主要?jiǎng)幽?產(chǎn)業(yè)鏈上下游通過(guò)數(shù)據(jù)賦能實(shí)現(xiàn)其全要素的數(shù)字化升級(jí)、轉(zhuǎn)型和再造,具有極強(qiáng)的系統(tǒng)性與整體性。數(shù)字化程度雖有顯著整體提升,中西部地區(qū)及四線城市數(shù)字化增速領(lǐng)先,但數(shù)字鴻溝仍然存在。在識(shí)別數(shù)據(jù)環(huán)境中,數(shù)據(jù)流轉(zhuǎn)的系統(tǒng)性、整體性及各數(shù)字地域內(nèi)數(shù)據(jù)差異化程度的把握都應(yīng)納入宏觀角度綜合考量。

功能性匿名提出的數(shù)據(jù)環(huán)境識(shí)別四要素,即其他數(shù)據(jù)、數(shù)據(jù)用戶、治理過(guò)程和基礎(chǔ)設(shè)施,在本土化應(yīng)用時(shí)應(yīng)當(dāng)作為識(shí)別數(shù)據(jù)環(huán)境的基點(diǎn),其內(nèi)部因子也要進(jìn)一步做適合本國(guó)數(shù)字發(fā)展國(guó)情之細(xì)化。其中,功能性匿名對(duì)數(shù)據(jù)治理過(guò)程的要求包含施加一系列的行為限制措施,通常包括正式的管理及影響用戶的社會(huì)認(rèn)知屬性，如風(fēng)險(xiǎn)規(guī)避、優(yōu)先披露傾向等的相應(yīng)舉措。同時(shí),我國(guó)正在探索建立激勵(lì)相容的個(gè)人數(shù)據(jù)治理體系,以數(shù)據(jù)控制者的內(nèi)部治理為核心,以外部執(zhí)法有效威懾與執(zhí)行的構(gòu)筑為保障[14],該體系要求在識(shí)別數(shù)據(jù)環(huán)境中將數(shù)據(jù)控制者等主體的內(nèi)部治理與外部約束納入考慮因素。因此,在數(shù)據(jù)環(huán)境識(shí)別中,對(duì)治理過(guò)程的考量就演變?yōu)橹饔^與客觀的二元邏輯推演。而基礎(chǔ)設(shè)施元素則包括安全系統(tǒng)等物理因素，以及實(shí)現(xiàn)用戶與派生數(shù)據(jù)集交互的功能限制的軟件流程。在數(shù)字鴻溝的存在之下,數(shù)據(jù)處理的技術(shù)水平也對(duì)數(shù)據(jù)環(huán)境的識(shí)別產(chǎn)生影響。綜上,本文嘗試給出一定的細(xì)化組件，見(jiàn)表2。

表2 數(shù)據(jù)環(huán)境識(shí)別因素的組件細(xì)化表

(2)考慮風(fēng)險(xiǎn)因素

在功能性匿名中,數(shù)據(jù)控制者具有一項(xiàng)重要職責(zé):考慮風(fēng)險(xiǎn)因素,構(gòu)筑威脅模型。前已明確,數(shù)據(jù)控制者在做出匿名化決策時(shí)不僅需要考慮與數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn),還應(yīng)當(dāng)對(duì)與數(shù)據(jù)環(huán)境有關(guān)的風(fēng)險(xiǎn)予以測(cè)評(píng)。結(jié)合功能性匿名理念與我國(guó)數(shù)據(jù)流轉(zhuǎn)實(shí)踐來(lái)看,風(fēng)險(xiǎn)大體包括:主體從數(shù)據(jù)中再識(shí)別的動(dòng)機(jī)、再識(shí)別的后果、數(shù)據(jù)的管理、數(shù)據(jù)的來(lái)源、相關(guān)輔助數(shù)據(jù)及數(shù)據(jù)的質(zhì)量[7]?，F(xiàn)實(shí)中,數(shù)據(jù)控制者對(duì)數(shù)據(jù)進(jìn)行再識(shí)別的動(dòng)機(jī)多種多樣,如通過(guò)成本較小的技術(shù)再識(shí)別獲得個(gè)人信息以期實(shí)現(xiàn)自己的商業(yè)目的,而本身的數(shù)據(jù)處理過(guò)程中的數(shù)據(jù)再識(shí)別也無(wú)可避免。再識(shí)別的后果本身也是重要的考慮風(fēng)險(xiǎn)因素之一。再識(shí)別可能導(dǎo)致匿名化處理的數(shù)據(jù)與信息顯形，從而造成信息泄露的后果,但若再識(shí)別本身處于一種可接受的風(fēng)險(xiǎn)低水平狀態(tài),則該派生數(shù)據(jù)集就達(dá)到了功能性匿名化的標(biāo)準(zhǔn)。數(shù)據(jù)來(lái)源與數(shù)據(jù)管理需考慮數(shù)據(jù)傳遞流程中的風(fēng)險(xiǎn),即數(shù)據(jù)經(jīng)誰(shuí)之手流轉(zhuǎn)何地、后續(xù)利用及利用條件，以及開(kāi)放主體都在該條目射程之中。相關(guān)輔助數(shù)據(jù)包括時(shí)間序列數(shù)據(jù)、開(kāi)放數(shù)據(jù)、同一領(lǐng)域的商業(yè)可用數(shù)據(jù)等,作為識(shí)別數(shù)據(jù)環(huán)境的基點(diǎn)因素,在風(fēng)控階段依然需要重點(diǎn)把握。需要注意的是,作為風(fēng)險(xiǎn)因素的數(shù)據(jù)質(zhì)量自身存在悖論,從隱私的角度來(lái)看低質(zhì)量的數(shù)據(jù)可能更安全,但是低質(zhì)量的數(shù)據(jù)本身效用不足,降低數(shù)據(jù)質(zhì)量有悖于數(shù)據(jù)匿名而加強(qiáng)對(duì)數(shù)據(jù)信息利用之目的。

除此之外,數(shù)據(jù)控制者需要全面了解數(shù)據(jù)泄露可能發(fā)生的方式、后果和環(huán)境,需要預(yù)防泄露發(fā)生的風(fēng)險(xiǎn),并至少保證:當(dāng)最壞的情況發(fā)生時(shí),應(yīng)當(dāng)按照風(fēng)險(xiǎn)威脅模型執(zhí)行。

(3)設(shè)計(jì)數(shù)據(jù)環(huán)境

數(shù)據(jù)控制者不是數(shù)據(jù)環(huán)境的被動(dòng)占用者。他們可以發(fā)揮自身設(shè)計(jì)數(shù)據(jù)環(huán)境的主動(dòng)性，以確保其對(duì)數(shù)據(jù)環(huán)境具有更大的控制力。其設(shè)計(jì)途徑包括訪問(wèn)控制以及查詢控制：控制限制數(shù)據(jù)分析者的訪問(wèn)僅使受信任的分析者通行,其在訪問(wèn)端口設(shè)置限制以使防御有效存在;控制限制數(shù)據(jù)庫(kù)中查詢問(wèn)題的回答內(nèi)容會(huì)限制它將顯示的信息。數(shù)據(jù)經(jīng)由硬件或軟件在安全的數(shù)據(jù)環(huán)境中被訪問(wèn),而此種安全的環(huán)境通常需要通過(guò)限制數(shù)據(jù)分析者的訪問(wèn)能力進(jìn)行建構(gòu),如對(duì)數(shù)據(jù)分析者資格審批制度的設(shè)立。

數(shù)據(jù)環(huán)境的安全性是必然要求,除此以外數(shù)據(jù)控制者還應(yīng)當(dāng)設(shè)計(jì)一個(gè)開(kāi)放的數(shù)據(jù)環(huán)境。開(kāi)放的數(shù)據(jù)環(huán)境的內(nèi)部是一種非常寬松且不會(huì)殘留任何干擾或控制因素的狀態(tài),因此個(gè)人信息將會(huì)安全的以數(shù)據(jù)的形式存在于開(kāi)放數(shù)據(jù)環(huán)境內(nèi)部。保持?jǐn)?shù)據(jù)環(huán)境的開(kāi)放性是實(shí)現(xiàn)我國(guó)數(shù)據(jù)增值開(kāi)發(fā)與利用的前提。數(shù)據(jù)環(huán)境的開(kāi)放利用程度直接反應(yīng)數(shù)據(jù)環(huán)境設(shè)計(jì)與治理的能力和水平。保證一個(gè)開(kāi)放、安全的數(shù)據(jù)環(huán)境,能夠更好地提高數(shù)據(jù)利用水平,縮小我國(guó)各區(qū)域的數(shù)據(jù)鴻溝及區(qū)域間數(shù)據(jù)利用的差距,實(shí)現(xiàn)數(shù)據(jù)提供者和數(shù)據(jù)利用者的價(jià)值共創(chuàng)和共享,才能使數(shù)據(jù)的開(kāi)放利用能更好地服務(wù)于數(shù)據(jù)治理實(shí)踐。

DPSIR概念模型最早是由OECD在1993年對(duì)PSR模型和DSR模型進(jìn)行修訂而提出的,現(xiàn)已逐漸成為解決各類社會(huì)問(wèn)題的有效工具。對(duì)數(shù)據(jù)環(huán)境開(kāi)放性評(píng)估可采用DPSIR框架[15]。該框架基于指標(biāo)間的因果關(guān)系而建立,通過(guò)驅(qū)動(dòng)力、壓力、狀態(tài)、影響、響應(yīng)五個(gè)維度的基礎(chǔ)因素分析數(shù)據(jù)及其利用水平的變化,有助于探求提高數(shù)據(jù)效用發(fā)揮的方法,進(jìn)而全面把握數(shù)據(jù)環(huán)境中的數(shù)據(jù)開(kāi)放利用程度[16]。本文嘗試在DPSIR框架的基礎(chǔ)上構(gòu)建簡(jiǎn)單的數(shù)據(jù)環(huán)境開(kāi)放性評(píng)價(jià)指標(biāo)體系，見(jiàn)圖2。

圖2 數(shù)據(jù)環(huán)境開(kāi)放性評(píng)價(jià)指標(biāo)體系圖

四、功能性匿名運(yùn)行的反思與檢視:評(píng)價(jià)與調(diào)整

(一)功能性匿名運(yùn)行的總體評(píng)價(jià)

從制度運(yùn)行的角度看,任何運(yùn)行的制度與規(guī)則都需要具備相應(yīng)的評(píng)價(jià)與防御機(jī)制,缺乏評(píng)價(jià)與防御機(jī)制的制度體系運(yùn)行如空中樓閣,無(wú)法付諸實(shí)施。同時(shí),數(shù)據(jù)的匿名化處理應(yīng)當(dāng)采取將功能性匿名的技術(shù)方法與其他非技術(shù)方法組合應(yīng)用，形成一體化的整體方法論；而非把兩種技術(shù)方法割裂開(kāi)，將匿名化作為一項(xiàng)專門(mén)技術(shù),將非技術(shù)性手段作為匿名化技術(shù)的彌補(bǔ)形式。因此,功能性匿名運(yùn)行的評(píng)價(jià)機(jī)制是其自身屬性的根本要求,也是運(yùn)用整體方法論解決匿名化問(wèn)題的關(guān)鍵所在。

宏觀下的社會(huì)組織中各事態(tài)變化，以及各個(gè)環(huán)節(jié)的動(dòng)態(tài)發(fā)展使得法律與規(guī)則的制訂存在一定滯后性。同樣,功能性匿名不是應(yīng)用于數(shù)據(jù)集以達(dá)到可衡量安全水平的算法,而是一個(gè)持續(xù)的動(dòng)態(tài)變化的過(guò)程,其目的是將識(shí)別風(fēng)險(xiǎn)降低到可接受的低水平狀態(tài)。功能性匿名的流程運(yùn)行中,其技術(shù)方法對(duì)各數(shù)據(jù)集的運(yùn)用程度需要存在評(píng)價(jià)系統(tǒng)予以及時(shí)評(píng)價(jià),再對(duì)流程的各個(gè)環(huán)節(jié)進(jìn)行適時(shí)調(diào)整。功能性匿名的流程運(yùn)行完成后,整體流程也需要評(píng)價(jià)系統(tǒng)予以檢視,使之適應(yīng)數(shù)據(jù)處理要求,達(dá)到識(shí)別風(fēng)險(xiǎn)可接受之低水平的目的。

大數(shù)據(jù)治理的背景下,數(shù)據(jù)脫敏作為信息廣泛利用、共享的前提,離不開(kāi)采取功能性匿名手段處理個(gè)人信息的決策,而這正應(yīng)和了決策作為治理要旨之一的重要地位[17]。同時(shí),考慮數(shù)據(jù)利益相關(guān)者各方的利益平衡,激勵(lì)相容的數(shù)據(jù)治理機(jī)制必不可少。此外,要對(duì)功能性匿名的運(yùn)行進(jìn)行整體評(píng)價(jià),有效的監(jiān)督機(jī)制下決策結(jié)果的呈現(xiàn)才是評(píng)價(jià)該技術(shù)手段的重要因素。因此,為了更直觀地檢視功能性匿名的整體性運(yùn)行,及時(shí)反饋與評(píng)價(jià)其運(yùn)行過(guò)程中出現(xiàn)的問(wèn)題及產(chǎn)生的實(shí)效,本文在參考鄭大慶[18]、程昔武[19]等學(xué)者的研究成果后，結(jié)合上述分析,總結(jié)抽取外部約束與內(nèi)部治理兩個(gè)維度,包括數(shù)據(jù)利益相關(guān)者、數(shù)據(jù)流通環(huán)境、決策機(jī)制、激勵(lì)與約束機(jī)制、監(jiān)督機(jī)制五個(gè)方面的指標(biāo),設(shè)計(jì)功能性匿名運(yùn)行的評(píng)價(jià)體系，見(jiàn)表3。

表3 功能性匿名運(yùn)行評(píng)價(jià)表

(二)基于數(shù)據(jù)生命周期的評(píng)價(jià)體系再調(diào)整

通過(guò)對(duì)以上文獻(xiàn)的研究本文得出，數(shù)據(jù)的生命周期是指某個(gè)數(shù)據(jù)集中的數(shù)據(jù)從采集、處理、利用到歸檔和銷毀的整個(gè)過(guò)程,體現(xiàn)數(shù)據(jù)從產(chǎn)生到消亡全過(guò)程狀態(tài)的轉(zhuǎn)變及其衍生物產(chǎn)出的整個(gè)循環(huán)周期,它是數(shù)據(jù)治理過(guò)程中數(shù)據(jù)呈現(xiàn)出的區(qū)別性狀態(tài)特征。為了適應(yīng)數(shù)據(jù)的動(dòng)態(tài)周期性變化和功能性匿名的流程性特征,更加適時(shí)恰當(dāng)?shù)貞?yīng)用功能性匿名運(yùn)行反饋評(píng)價(jià)系統(tǒng),滿足數(shù)據(jù)周期性變化的不同需求,本文基于數(shù)據(jù)生命周期各階段呈現(xiàn)的不同狀態(tài),將數(shù)據(jù)生命周期大致分為數(shù)據(jù)采集、數(shù)據(jù)利用與數(shù)據(jù)銷毀三階段。功能性匿名運(yùn)行的評(píng)價(jià)系統(tǒng)根據(jù)其所處數(shù)據(jù)生命周期階段的不同,各指標(biāo)衡量評(píng)價(jià)的側(cè)重點(diǎn)也隨之發(fā)生改變。

首先,在數(shù)據(jù)的采集階段,個(gè)人數(shù)據(jù)匯集成為公共數(shù)據(jù)形成原始數(shù)據(jù)集,從原始數(shù)據(jù)集中采集出具有完整性、精確性等特征的高質(zhì)量數(shù)據(jù)是保證匿名化后的數(shù)據(jù)具有較高效用的前提。此時(shí),易出現(xiàn)的問(wèn)題是所采集的基礎(chǔ)信息質(zhì)量無(wú)法滿足應(yīng)用需求[20],采集行為與獲取的基礎(chǔ)信息質(zhì)量呈現(xiàn)事倍功半的效果。因此,評(píng)價(jià)體系的外部約束指標(biāo)應(yīng)當(dāng)側(cè)重?cái)?shù)據(jù)利用者對(duì)高質(zhì)量數(shù)據(jù)的抽取采集,監(jiān)督者在此階段監(jiān)督力度不應(yīng)過(guò)大,且需盡量為數(shù)據(jù)采集提供開(kāi)放性強(qiáng)的數(shù)據(jù)環(huán)境，以保證高質(zhì)量數(shù)據(jù)收集的可能性。在評(píng)價(jià)體系的內(nèi)部治理指標(biāo)中,決策機(jī)制指標(biāo)應(yīng)明確決策主體基礎(chǔ)數(shù)據(jù)采集、匯總的權(quán)限,優(yōu)化數(shù)據(jù)報(bào)送的規(guī)則與程序;激勵(lì)與約束機(jī)制指標(biāo)注重?cái)?shù)據(jù)利用激勵(lì)機(jī)制,激發(fā)各主體數(shù)據(jù)收集利用的積極性與主動(dòng)性;同時(shí),監(jiān)督機(jī)制應(yīng)側(cè)重于對(duì)數(shù)據(jù)收集過(guò)程中存在的違規(guī)收集行為進(jìn)行監(jiān)督。

其次,數(shù)據(jù)的利用階段包括數(shù)據(jù)的存儲(chǔ)、處理、利用、共享等多環(huán)節(jié)內(nèi)容。本階段決定著數(shù)據(jù)匿名化目的實(shí)現(xiàn)的成功性,在數(shù)據(jù)的生命周期中具有主導(dǎo)性地位。數(shù)據(jù)利用與數(shù)據(jù)保護(hù)在此階段發(fā)生激烈的價(jià)值碰撞。本階段存在三重疑難,即如何擴(kuò)大數(shù)據(jù)的利用效用，如何進(jìn)行有效的信息保護(hù)，以及二者之間如何平衡,這對(duì)基于社會(huì)需求的價(jià)值衡量提出了較高的要求。因此,評(píng)價(jià)體系的外部約束指標(biāo)中,主體方面應(yīng)當(dāng)廣泛注重自然人、數(shù)據(jù)利用者，以及監(jiān)督者個(gè)體及其相互關(guān)系,注重保護(hù)自然人隱私權(quán)、數(shù)據(jù)利用效能,監(jiān)督者對(duì)數(shù)據(jù)利用者的行為也應(yīng)當(dāng)嚴(yán)格把關(guān);而客觀方面的數(shù)據(jù)流通環(huán)境要依據(jù)數(shù)據(jù)效用選擇設(shè)置適當(dāng)?shù)臄?shù)據(jù)環(huán)境,如在準(zhǔn)入門(mén)檻較高的數(shù)據(jù)環(huán)境中,其內(nèi)含的數(shù)據(jù)應(yīng)當(dāng)具有更高的價(jià)值,以使數(shù)據(jù)利用者進(jìn)入環(huán)境的成本與獲得的數(shù)據(jù)效用相匹配。在體系的內(nèi)部治理指標(biāo)中,決策機(jī)制指標(biāo)應(yīng)完善數(shù)據(jù)運(yùn)用、功能性匿名方法處理，以及風(fēng)險(xiǎn)應(yīng)對(duì)等決策的規(guī)則及程序,制訂決策評(píng)價(jià)與追責(zé)制度,涉及技術(shù)手段及專業(yè)的問(wèn)題要進(jìn)行專家論證;激勵(lì)與約束機(jī)制指標(biāo)要側(cè)重于激勵(lì)規(guī)則與約束規(guī)則的協(xié)調(diào)運(yùn)用,達(dá)到平衡激勵(lì)、協(xié)調(diào)約束的效果;監(jiān)督機(jī)制指標(biāo)中應(yīng)注意個(gè)人信息的匿名化處理是否成功并防范數(shù)據(jù)利用過(guò)程中信息的非法使用、扒竊、泄露等違法行為。

最后,數(shù)據(jù)銷毀階段主要運(yùn)用刪除、清除、物理銷毀等數(shù)據(jù)銷毀技術(shù)對(duì)數(shù)據(jù)進(jìn)行清除[21]，使數(shù)據(jù)生命歸于消亡。數(shù)據(jù)清除不徹底就可能發(fā)生數(shù)據(jù)的泄露?；诖?在信息的價(jià)值發(fā)揮與個(gè)人利益保護(hù)中,應(yīng)更加側(cè)重對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)。在評(píng)價(jià)體系的外部約束指標(biāo)中,該階段要求注重自然人權(quán)益保護(hù),監(jiān)督者對(duì)數(shù)據(jù)銷毀也要進(jìn)行監(jiān)督;數(shù)據(jù)流通環(huán)境應(yīng)具有安全性、開(kāi)放性以使數(shù)據(jù)痕跡更容易清除。內(nèi)部治理指標(biāo)中,決策機(jī)制指標(biāo)應(yīng)廣泛運(yùn)用追責(zé)與評(píng)價(jià)機(jī)制及專家論證制度,隱私權(quán)、被遺忘權(quán)等權(quán)利應(yīng)被給予程序保障;激勵(lì)與約束機(jī)制指標(biāo)中要側(cè)重于約束規(guī)則的運(yùn)用,達(dá)到防范信息泄露進(jìn)而保護(hù)數(shù)據(jù)主體權(quán)益的效果;監(jiān)督機(jī)制中應(yīng)當(dāng)建立完善的內(nèi)部與外部監(jiān)督體系,雙向互動(dòng)并及時(shí)對(duì)清除數(shù)據(jù)的環(huán)境進(jìn)行過(guò)濾,檢測(cè)是否存在遺留信息，見(jiàn)表4。

表4 基于數(shù)據(jù)生命周期的匿名化評(píng)價(jià)側(cè)重表

五、結(jié)語(yǔ)

數(shù)字時(shí)代,數(shù)據(jù)利用不斷尋求與數(shù)據(jù)保護(hù)共贏的平衡狀態(tài)以謀得數(shù)字經(jīng)濟(jì)的發(fā)展。我國(guó)個(gè)人信息保護(hù)立法正在以兼具價(jià)值創(chuàng)造與信息保護(hù)的目的全面鋪開(kāi),僵化的“可識(shí)別性”信息保護(hù)界分標(biāo)準(zhǔn)不應(yīng)當(dāng)成為限制數(shù)據(jù)利用與數(shù)據(jù)保護(hù)的阻礙。為了擺脫該標(biāo)準(zhǔn)的制約,功能性匿名技術(shù)應(yīng)當(dāng)被及時(shí)引入,以此建立動(dòng)態(tài)的匿名化處理流程,確定新的識(shí)別風(fēng)險(xiǎn)處于可接受之低水平的匿名化信息區(qū)分標(biāo)準(zhǔn)。由此,在平衡信息利用、信息保護(hù)的基礎(chǔ)上實(shí)現(xiàn)個(gè)人信息保護(hù)目的中個(gè)人、社會(huì)及國(guó)家三重利益的良性互動(dòng),真正實(shí)現(xiàn)挖掘數(shù)據(jù)價(jià)值的同時(shí)保證信息安全。