□ 文 鄭詩怡

0 引言

在數(shù)字經(jīng)濟時代，隨著物聯(lián)網(wǎng)、云計算、區(qū)塊鏈等技術(shù)的飛速發(fā)展與普遍應(yīng)用，大數(shù)據(jù)分析已經(jīng)滲透到生活的各個角落，在一定程度上改變了人們的生活方式，個人信息具有豐富的潛在價值。然而，在此背景下，個人信息作為大數(shù)據(jù)應(yīng)用之“原材料”，在對其進行采集獲取的過程中，便產(chǎn)生了個人信息泄露、個人隱私遭受損害的風(fēng)險。如何處理創(chuàng)新發(fā)展與隱私保護之間的沖突，在挖掘數(shù)據(jù)價值的同時維護個人信息的安全，已然成為一個亟待解決的難題。

出于協(xié)調(diào)個人信息保護和數(shù)據(jù)流通利用之目的，匿名化制度應(yīng)運而生。借助對個人信息的匿名化處理，能夠在一定程度上切斷相關(guān)信息與主體身份之間的聯(lián)結(jié)性，減少利用個人信息過程中的隱私風(fēng)險；匿名化后進行數(shù)據(jù)共享原則上無需獲取信息主體的同意，數(shù)據(jù)流通和共享的效率因此提升。在匿名化制度實踐中，匿名化法律標(biāo)準(zhǔn)扮演著至關(guān)重要的角色：若該標(biāo)準(zhǔn)不能合理地結(jié)合現(xiàn)實環(huán)境，則可能使匿名化的概念止步于紙上。由此，本文旨在通過對我國現(xiàn)行匿名化標(biāo)準(zhǔn)的反思，結(jié)合相關(guān)域外標(biāo)準(zhǔn)的觀察與分析，以探索我國個人信息匿名化標(biāo)準(zhǔn)的優(yōu)化路徑。

1 我國現(xiàn)行匿名化法律標(biāo)準(zhǔn)之檢視

1.1 絕對的匿名化法律標(biāo)準(zhǔn)

關(guān)于匿名化處理的內(nèi)涵，《網(wǎng)絡(luò)安全法》第42條將其界定為“經(jīng)過處理無法識別特定個人且不能復(fù)原”；《民法典》對該表述進行了微調(diào)，第1038條將匿名化定義為“經(jīng)過加工無法識別特定個人且不能復(fù)原”。結(jié)合《個人信息保護法》第73條的相關(guān)規(guī)定，可將現(xiàn)行匿名化的法律標(biāo)準(zhǔn)總結(jié)為以下兩點：其一，匿名化處理后無法識別到特定主體；其二，匿名化后的數(shù)據(jù)不可被復(fù)原。

值得注意的是，《網(wǎng)絡(luò)安全法》和《民法典》中針對匿名化的相關(guān)規(guī)定，更偏向于是對網(wǎng)絡(luò)運營者和信息處理者的一種責(zé)任除外條款：該類主體若將被收集主體的個人信息進行匿名化，那么即使未經(jīng)被收集主體的同意而對匿名信息進行處理和運用，也無需承擔(dān)法律責(zé)任。除此之外，這兩部法律均未提及匿名信息本身的性質(zhì)?！秱€人信息保護法》在沿襲“無法識別、不能復(fù)原”標(biāo)準(zhǔn)的基礎(chǔ)之上，于第4條明確匿名信息不屬于個人信息，意味著其不受《個人信息保護法》相關(guān)規(guī)制，體現(xiàn)了對匿名化制度的進一步發(fā)展，彰顯了匿名化獨特的制度意義。

1.2 現(xiàn)行標(biāo)準(zhǔn)的所存漏洞

1.2.1 絕對化標(biāo)準(zhǔn)忽視了再識別風(fēng)險

我國現(xiàn)行標(biāo)準(zhǔn)要求匿名化處理后的信息無法識別到特定個人且不能被復(fù)原，然而，這樣的絕對表述易使人產(chǎn)生“只要將個人信息匿名化便可一勞永逸”的錯覺。實際上，絕對匿名化的信息是不存在的：經(jīng)過匿名化處理的個人信息，可通過與其他信息相聯(lián)結(jié)或者應(yīng)用新興識別技術(shù)而再次連接至特定個人，即再識別風(fēng)險。隨著社會發(fā)展和時間推移，能夠與匿名信息相結(jié)合的公開信息將不斷增加，再識別技術(shù)也會隨之更新進步，由此可知，再識別風(fēng)險不僅是難以回避的，且該風(fēng)險發(fā)生的概率會日益增加。

《信息安全技術(shù)個人信息安全規(guī)范》不僅肯定了經(jīng)過匿名化處理后的信息仍存在再識別風(fēng)險，還提出了個人信息控制者應(yīng)當(dāng)定期評估上述風(fēng)險的要求；《個人信息保護法》則僅強調(diào)了匿名化的絕對標(biāo)準(zhǔn)。然而，從技術(shù)層面來看，匿名化狀態(tài)既然是依賴相關(guān)技術(shù)而實現(xiàn)的，那么理論上也可被技術(shù)所逆向破解。在該現(xiàn)實狀況下，若將匿名化處理視為穩(wěn)定的終局保護措施，不對處理后的剩余風(fēng)險給予足夠的重視和規(guī)制，將難以應(yīng)對因外部環(huán)境之變化而導(dǎo)致的再識別風(fēng)險，不利于充分保護個人信息安全。

1.2.2 籠統(tǒng)化表述缺乏可操作性

現(xiàn)行法均強調(diào)匿名化的“無法識別、不能復(fù)原”的狀態(tài)，但就如何達致這一狀態(tài)、如何檢驗?zāi)涿挠行缘葐栴}幾乎沒有規(guī)定。這樣偏向原則性的籠統(tǒng)表述并不能為個人信息匿名化提供有效指導(dǎo)，進而導(dǎo)致可操作性的缺位。換言之，個人信息經(jīng)過匿名化處理后，達到怎樣的程度方可對外流通使用是不確定的。

匿名化規(guī)定的籠統(tǒng)性，輕則造成個人信息處理者因沒有確切指引而在進行匿名化處理時成本投入和技術(shù)水平各異，匿名化處理質(zhì)量難以進行統(tǒng)一化檢驗；重則導(dǎo)致互聯(lián)網(wǎng)產(chǎn)業(yè)陷入“檸檬市場”，進而架空已有的匿名化制度及其目的：意在嚴(yán)格遵守個人信息保護規(guī)則的企業(yè)，往往需要付出高昂的合規(guī)成本以實施審慎且充分的匿名化處理；反觀試圖鉆監(jiān)管漏洞、試探規(guī)則邊緣的企業(yè)，則因現(xiàn)有匿名化規(guī)定的籠統(tǒng)性而選擇減少相應(yīng)的成本投入。若任由該種態(tài)勢發(fā)展，“劣幣驅(qū)逐良幣”之發(fā)生是可以預(yù)見的，這不僅會損害數(shù)據(jù)產(chǎn)業(yè)的發(fā)展質(zhì)量，還將極大阻礙個人數(shù)據(jù)的有序流通與合理保護。

2 域外匿名化法律標(biāo)準(zhǔn)之鏡鑒

2.1 歐盟的所有合理可能性標(biāo)準(zhǔn)

歐盟的《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）和《數(shù)據(jù)保護指令》都將匿名數(shù)據(jù)排除出個人數(shù)據(jù)的類別，GDPR前言第26條規(guī)定“為確定特定個人能否被識別，應(yīng)考慮到所有合理可能采取的手段，包括數(shù)據(jù)控制者以及任何其他人為了直接或間接地識別特定個人而選擇的途徑”。由此可將歐盟個人信息匿名化的處理標(biāo)準(zhǔn)總結(jié)為“所有合理可能性標(biāo)準(zhǔn)”。

識別主體上，歐盟主張識別認(rèn)定的主體基準(zhǔn)為一切個人和組織；在識別方法上，則包括所有合理可能的方法。之所以強調(diào)合理，則正如阿爾希波夫所言，“有充沛的時間和精力，些許端倪也能識別到特定個人，這便是私家偵探的工作模式，但并不應(yīng)當(dāng)是法律的運行路徑”。故GDPR對“所有合理可能”進一步解釋為“應(yīng)將現(xiàn)實存在的客觀因素納入考慮，比如識別到特定個人所花費的時間和成本，以及處理數(shù)據(jù)時的可用技術(shù)和技術(shù)迭代”。

2.2 英國的有動機入侵者測試標(biāo)準(zhǔn)

2012年英國信息專員公署（以下簡稱ICO）提出了有動機入侵者測試，以作為評估匿名化處理后的數(shù)據(jù)再識別風(fēng)險的標(biāo)準(zhǔn)：如果經(jīng)過匿名化處理后的數(shù)據(jù)能順利通過有動機入侵者測試，就意味著匿名化是成功的。該標(biāo)準(zhǔn)由入侵者的識別動機和入侵者的識別能力兩方面組成。

識別動機上，ICO將入侵者的識別動機擬制為希望通過匿名化處理后的數(shù)據(jù)重新識別到特定主體，如為了挖掘經(jīng)濟利益而獲取他人信息，又如出于好奇窺探他人隱私，無論具體原因為何，入侵者有進行再識別的積極性，也即所謂的“有動機”。識別能力上，ICO假設(shè)入侵者有合理的能力：能夠訪問諸如互聯(lián)網(wǎng)、圖書館、所有公共文檔等資源，并會采用調(diào)查技術(shù)，例如向可能對數(shù)據(jù)主體的身份有額外了解的人進行詢問。但該測試下的入侵者被擬定為不具備任何專業(yè)知識，比如能夠使用專業(yè)設(shè)備，或掌握黑客技能，或采取犯罪手段（如偷盜）以獲得妥善保管的數(shù)據(jù)。

2.3 對域外匿名化標(biāo)準(zhǔn)的分析

歐盟的所有合理可能性標(biāo)準(zhǔn)基于其識別主體及識別方式的廣泛性，對于個人信息保護的程度相對較高。然而，從數(shù)據(jù)有效流通的角度看來，該標(biāo)準(zhǔn)就顯得過于苛刻了：其一，信息處理者若希望對個人信息進行匿名化，就必須考慮、調(diào)研當(dāng)下所有可能的重新識別出特定個人的合理手段，這一步驟所花費的時間成本和人力成本極其巨大，甚至導(dǎo)致信息處理者棄用匿名化規(guī)則；其二，在信息處理者滿足該標(biāo)準(zhǔn)的情形下，匿名化處理后的數(shù)據(jù)有效性極有可能被過度減損，數(shù)據(jù)所蘊含的價值隨之被消磨，數(shù)據(jù)本身喪失可利用性。

與所有合理可能性標(biāo)準(zhǔn)相比，英國的有動機入侵者測試標(biāo)準(zhǔn)具備清晰的運行流程，可操作性比較強。但筆者認(rèn)為，此標(biāo)準(zhǔn)在識別能力上的消極擬制可能會導(dǎo)致對個人信息的保護力度不足：該標(biāo)準(zhǔn)假設(shè)入侵者并不具備任何與匿名化相關(guān)的先驗知識、不會使用任何專業(yè)設(shè)備。但在現(xiàn)實生活中，不少數(shù)據(jù)使用者不僅具有充分的識別動機，同時還掌握了先進技術(shù)及豐富數(shù)據(jù)，而在有動機入侵者測試標(biāo)準(zhǔn)下，此類主體將被排除出去。這意味著經(jīng)過匿名化處理的數(shù)據(jù)即使通過了有動機入侵者測試，還是有較大的可能性會被上述主體再識別到特定個人，不利于對個人信息進行較為全面的保護。

通過以上對域外標(biāo)準(zhǔn)的分析，筆者認(rèn)為在制定匿名化法律標(biāo)準(zhǔn)時必須考慮以下三個要素：匿名化處理后數(shù)據(jù)的可利用性、匿名化標(biāo)準(zhǔn)本身的可操作性和再識別風(fēng)險防范的有效性。同時，這三個要素也可以用來評價標(biāo)準(zhǔn)制定的質(zhì)量。

3 優(yōu)化路徑：基于功能性匿名化的設(shè)計

3.1 功能性匿名化理念的引入

隨著數(shù)據(jù)技術(shù)的更新迭代，社會中的數(shù)據(jù)來源不斷擴展，公眾獲取信息的成本越來越低，復(fù)原匿名信息的可能性越來越大。既然基于結(jié)果的絕對不可逆的匿名化缺乏現(xiàn)實性，那不妨把規(guī)制重心放到個人信息所處環(huán)境及匿名化處理過程之上。英國學(xué)者Mark Elliota、Kieron O’Hara等人將這種方案稱為“功能性匿名化”：僅通過查看數(shù)據(jù)遠不能確定其是否匿名，真正的匿名化不僅需關(guān)注數(shù)據(jù)本身，還應(yīng)當(dāng)著眼于數(shù)據(jù)與其所處環(huán)境的聯(lián)系。

功能性匿名化由“數(shù)據(jù)環(huán)境”和“匿名化決策”兩部分組成。數(shù)據(jù)環(huán)境又包含四個關(guān)鍵元素，分別是其他數(shù)據(jù)、數(shù)據(jù)使用者、管理程序及基本設(shè)施。匿名化決策主要是指數(shù)據(jù)控制者并非數(shù)據(jù)環(huán)境的被動占有者，而是可以主動設(shè)計有關(guān)環(huán)境以確保更有效地控制再識別風(fēng)險：比如確定以何種流程來評估披露數(shù)據(jù)的風(fēng)險，預(yù)想在發(fā)布數(shù)據(jù)后可能出現(xiàn)的狀況及應(yīng)對方案等。

以功能性匿名化作為標(biāo)準(zhǔn)制定的理念基礎(chǔ)，能夠較好地平衡個人信息保護和數(shù)據(jù)有效流通之間的關(guān)系。但功能性匿名化畢竟只是一個具有啟發(fā)性的框架，要建立行之有效且可落地的匿名化法律標(biāo)準(zhǔn)，還需在該理念的指導(dǎo)下，從以下方面展開進一步的設(shè)計和細化。

3.2 管理完備的內(nèi)部驗證機制

功能性匿名化理念的出發(fā)點在于，匿名化應(yīng)當(dāng)是一種“合理保證”而非“絕對保證”，其中“匿名化決策”的部分將重心放在對數(shù)據(jù)控制者的行為規(guī)范上：為了化解匿名化處理后的剩余風(fēng)險，數(shù)據(jù)控制者應(yīng)當(dāng)及時關(guān)注不斷更新的技術(shù)應(yīng)用和其他相關(guān)情況變動，定期測評是否出現(xiàn)了新的再識別風(fēng)險，并進一步分析當(dāng)前采取的設(shè)備和手段是否足以應(yīng)對并妥善調(diào)整。因此在匿名化流程中，應(yīng)當(dāng)要求數(shù)據(jù)控制者建立管理完備的內(nèi)部驗證機制，從而自證其已盡到合理可能范圍內(nèi)的最大努力。筆者認(rèn)為，可以參考《信息安全技術(shù)個人信息去標(biāo)識化指南》中的5.5驗證審批部分，將內(nèi)部驗證機制分為驗證個人信息安全和驗證數(shù)據(jù)有用性兩個板塊。

具體而言，數(shù)據(jù)控制者應(yīng)當(dāng)形成匿名化全流程的監(jiān)控審查記錄，通過檢查生成的數(shù)據(jù)文件來考核匿名化的具體效果；以及經(jīng)由特殊的合同安排，為數(shù)據(jù)使用者施加在一定程度上限制對匿名信息進行分析或關(guān)聯(lián)的義務(wù)，并對其義務(wù)履行狀況加以監(jiān)督，以控制再識別風(fēng)險，維護個人信息安全。此外，還需考慮匿名化處理后的數(shù)據(jù)仍可發(fā)揮預(yù)期效用，可以讓數(shù)據(jù)控制者的內(nèi)部人員對原始數(shù)據(jù)集和匿名化后的數(shù)據(jù)集執(zhí)行統(tǒng)計計算，并對結(jié)果進行比較，以查看匿名化后是否導(dǎo)致不可接受的更改，以驗證數(shù)據(jù)的可利用性。通過建立上述管理完備的內(nèi)部驗證機制，有助于數(shù)據(jù)控制者證明，其匿名化處理后的信息在再識別風(fēng)險防范和數(shù)據(jù)效用性方面都符合預(yù)設(shè)的目標(biāo)。

3.3 針對性的蓄意入侵者測試

如果說功能性匿名化理念中的“匿名化決策”要素偏向?qū)?shù)據(jù)控制者的關(guān)注，那么“數(shù)據(jù)環(huán)境”要素則將重心轉(zhuǎn)移到數(shù)據(jù)使用者身上：數(shù)據(jù)使用者是進出、跨越不同數(shù)據(jù)環(huán)境的主體，他們通過存儲和處理數(shù)據(jù)，把自己變成了這些數(shù)據(jù)環(huán)境中有感知的部分，其自身所擁有的數(shù)據(jù)資源會根據(jù)其跨越數(shù)據(jù)環(huán)境的頻次而有所不同。此外，不同數(shù)據(jù)使用者的數(shù)據(jù)技術(shù)和對匿名信息的潛在識別動機也有所差別，而這些因素則共同作用于對匿名信息再識別的成功概率。據(jù)此可以推知：相較于普通數(shù)據(jù)使用者，享有豐富數(shù)據(jù)資源、能夠使用頂尖設(shè)備且掌握先進數(shù)據(jù)技術(shù)的行業(yè)佼佼者，對匿名信息實現(xiàn)成功再識別的可能性要大幅提升。進言之，在同一個數(shù)據(jù)環(huán)境下，若數(shù)據(jù)控制者向不同的數(shù)據(jù)使用者發(fā)送經(jīng)過匿名化處理的信息，此時應(yīng)以當(dāng)中再識別風(fēng)險最高的數(shù)據(jù)使用者為主體基準(zhǔn)，以其就現(xiàn)有技術(shù)和資源無法識別到匿名信息中特定個人作為匿名化標(biāo)準(zhǔn)。

實踐中，筆者認(rèn)為這可以與英國的有動機入侵者標(biāo)準(zhǔn)相結(jié)合。首先，將入侵者的識別動機擬制為希望通過匿名信息再識別到個人信息主體，即主觀上有對匿名信息進行復(fù)原的積極性；其次，在識別能力方面，則以在特定數(shù)據(jù)環(huán)境下風(fēng)險最高的數(shù)據(jù)使用者就其現(xiàn)有技術(shù)和資源所具有的識別能力為準(zhǔn)?？梢詫⑵錃w納為“針對性的蓄意入侵者測試”標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基本沿襲了有動機入侵者測試的判斷機制，保留了其流程清晰性和可操作性強的優(yōu)點；而在識別能力方面的補強則有利于加大對個人信息保護的力度，進一步提升再識別風(fēng)險防范的有效性。與歐盟的所有合理可能性標(biāo)準(zhǔn)相比，該標(biāo)準(zhǔn)增加了對充分識別動機的限制，通過對識別動機的擬制合理限縮了識別主體的范圍，故不至于過分減損數(shù)據(jù)的有用性。

4 結(jié)束語

在匿名化制度中，匿名化標(biāo)準(zhǔn)作為重中之重，將對制度本身的效用性和實操性產(chǎn)生直接影響。通過對我國現(xiàn)行匿名化法律標(biāo)準(zhǔn)的檢視，可發(fā)現(xiàn)其存在忽視再識別風(fēng)險和缺乏可操作性的問題。為優(yōu)化匿名化法律標(biāo)準(zhǔn)，基于對域外標(biāo)準(zhǔn)的分析，結(jié)合制度目的和現(xiàn)實環(huán)境進行考慮，可選擇引入功能性匿名化的理念。在該理念的指引下，進一步構(gòu)建數(shù)據(jù)控制者的內(nèi)部驗證機制和針對性的蓄意入侵者測試，共同組成個人信息的匿名化法律標(biāo)準(zhǔn)。該綜合標(biāo)準(zhǔn)不僅本身具備較強可操作性，還兼顧了再識別風(fēng)險防范的有效性和數(shù)據(jù)的可利用性，從而有助于匿名化在實踐中能夠?qū)⑵渲贫葍r值最大化，實現(xiàn)個人信息保護和數(shù)據(jù)價值開發(fā)的共贏?！?/p>