鄭佳寧

(中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院，北京 100088)

在數(shù)字經(jīng)濟(jì)的發(fā)展浪潮中，數(shù)據(jù)成為了社會生產(chǎn)的一項全新要素，交易中數(shù)據(jù)流的作用已然與現(xiàn)金流無異。隨著個人信息的交易限制成為企業(yè)生產(chǎn)數(shù)據(jù)產(chǎn)品的桎梏，作為消除數(shù)據(jù)可識別性的通用技術(shù)，匿名化處理應(yīng)運而生。顧名思義，匿名化處理是指使得個人信息無法被識別的技術(shù)處理過程。在完成同意采集用戶信息后，企業(yè)通過采用數(shù)種匿名化技術(shù)將其中的個人信息處理為匿名信息，之后方可進(jìn)入市場流通領(lǐng)域。值得注意的是，數(shù)據(jù)匿名化并不是企業(yè)自發(fā)進(jìn)行的一種單純數(shù)據(jù)處理行為，其價值也不止停留在商業(yè)層面，事實上，匿名化對于個人信息的保護(hù)與數(shù)據(jù)產(chǎn)品的流通都具有重要價值。歐盟、美國等地區(qū)或國家均在法律規(guī)范的層面對匿名化的行為及效果予以關(guān)注，我國也不例外，2017年實施的《網(wǎng)絡(luò)安全法》、2021年實施的《個人信息保護(hù)法》等法律規(guī)范同樣對數(shù)據(jù)匿名化作了特別規(guī)制。然而，作為個人信息處理規(guī)則與數(shù)字財產(chǎn)權(quán)體系結(jié)合并展開的基礎(chǔ)，當(dāng)前我國個人信息匿名化規(guī)則過于籠統(tǒng)，對于匿名化的范圍、程序以及效果規(guī)定粗糙，缺乏可識別性的判斷標(biāo)準(zhǔn)，導(dǎo)致該規(guī)則在數(shù)字經(jīng)濟(jì)實踐中缺乏明確指引。為此，本文認(rèn)為，數(shù)據(jù)匿名化對實現(xiàn)個人信息保護(hù)和數(shù)據(jù)產(chǎn)品化之間的利益平衡上具有不容忽視的價值，應(yīng)當(dāng)結(jié)合數(shù)據(jù)的應(yīng)用場景對匿名化規(guī)范進(jìn)行體系性構(gòu)建。

一、匿名化概念的梳理、辨析與解釋

對數(shù)據(jù)匿名化作出規(guī)范層面論述之前，首先要對匿名化相關(guān)概念的內(nèi)涵進(jìn)行剖析，以避免諸多概念運用中的誤解與齟齬。詞源上看，英文中的 “anonymization”源自希臘語“anonymia”，原意為沒有名稱的或佚名的。至今，英文詞典中的匿名仍舊是指行為或事件主體姓名的不為人所知或被隱藏的狀態(tài)。[1]而布萊克法律詞典則賦予“匿名”一詞簡潔卻更進(jìn)一步的解釋——不知姓名或未得識別。[2]圍繞自然人主體的姓名及其背后的身份，以可識別性為橋梁匿名化后形成的匿名信息與個人信息構(gòu)成了對立的兩端——個人信息以對自然人身份的識別為特征，而匿名信息則以不具有身份標(biāo)識性為特征。因此，匿名信息除了包括本身即未與任何被識別或能被識別的自然人發(fā)生關(guān)聯(lián)的非個人信息，還包括個人信息經(jīng)特定方式的匿名化處理后形成的、不再能被用以識別個人身份的個人信息。學(xué)者們所關(guān)注的顯然是與個人信息發(fā)生互動的后者，即通過匿名化阻斷相關(guān)信息與個人身份的關(guān)聯(lián)性。[3]更具體而言，本文中使用的“匿名”或“匿名化”之詞語涵蓋了表狀態(tài)的匿名化效果和表過程的匿名化處理兩層含義。表狀態(tài)的匿名化，是指個人信息經(jīng)處理后達(dá)到的無法識別個人信息主體的不可復(fù)原的、永久性的結(jié)果，匿名信息中的匿名即為此義。表過程的匿名化，或稱匿名化處理，是指為達(dá)到匿名狀態(tài)而運用技術(shù)手段對個人信息進(jìn)行處理的過程。然而，完滿的匿名化狀態(tài)僅僅是一種理論上的美好追求和絕對化假定——第三方處理者總有諸多動機(jī)反其道而行之，對數(shù)據(jù)的匿名化狀態(tài)進(jìn)行破解。這種以再次識別個人信息主體為目標(biāo)、與匿名化處理恰恰反向的行為被稱為去匿名化。質(zhì)言之，表狀態(tài)的匿名化效果只是理想情形，當(dāng)個人信息轉(zhuǎn)變?yōu)槟涿畔⒅螅谌教幚碚呖偸乔Х桨儆嫷夭捎脭?shù)據(jù)挖掘等手段對匿名信息進(jìn)行去匿名化，繼而將匿名信息復(fù)原為個人信息，侵犯個人隱私等權(quán)益的損害由此發(fā)生。

與匿名化相近的概念是去標(biāo)識化，亦又被譯作去身份化，該詞從組詞方式上來看，是對“標(biāo)識”一詞的否定和背離。美國商務(wù)部下轄的國家標(biāo)準(zhǔn)與技術(shù)研究院在相關(guān)文件中將去標(biāo)識化的信息定義為，其中的個人可識別信息已被去除、掩去、模糊化或混淆化，以致余下的信息不能夠且無合理的基礎(chǔ)相信其可被用以識別自然人個體的信息。[4]對于“去匿名化”與“去標(biāo)識化”概念的辨析，有學(xué)者認(rèn)為，兩者之間本質(zhì)相近，其差異僅體現(xiàn)在用語習(xí)慣上，匿名化為歐洲地區(qū)常用詞，而去標(biāo)識化則是北美地區(qū)的用法。[5]本文則認(rèn)為，除去使用地域上的表象差異，無論是從立法相關(guān)文件抑或?qū)W者著述中看，去標(biāo)識化與匿名化相較存在明顯不同。兩者雖然都強(qiáng)調(diào)個人信息主體無法被識別或者關(guān)聯(lián)，即不可識別性，但匿名化同時要求“不可復(fù)原性”。去標(biāo)識化則不然，由于使用假名、加密等替代性標(biāo)識技術(shù)，其本身含有“還原”標(biāo)識的可能性。假名與加密是去標(biāo)識化的主要技術(shù)手段，這種解釋被歐盟、美國的法律規(guī)范所采納，亦符合我國2020年發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》中的表述邏輯。①假名，是指通過令牌化、應(yīng)用哈希函數(shù)等替換個人信息中直接標(biāo)識符的部分或全部的數(shù)據(jù)處理技術(shù)。加密，是指運用計算機(jī)加密算法，將個人信息轉(zhuǎn)換為密文，并將密鑰妥善保管的數(shù)據(jù)處理技術(shù)。假名和加密技術(shù)在個人信息保護(hù)處理層面具有顯而易見的共性，即兩者對個人信息可識別性的處理都是可逆的。關(guān)于假名技術(shù)，國際標(biāo)準(zhǔn)化組織在2017年修訂《醫(yī)療信息學(xué)——假名》中點明，該技術(shù)用一個或多個假名替換掉個人信息中的標(biāo)識符，雖然在一個方面去除了原個人信息與個人信息主體之間的聯(lián)系，但卻在另一方面建立了這些假名和個人信息主體特征之間的新聯(lián)系。②可想而知，這種新聯(lián)系如果為合法控制數(shù)據(jù)的企業(yè)之外的其他主體所掌握，則假名化處理將很可能招致未經(jīng)授權(quán)的逆轉(zhuǎn)。關(guān)于加密技術(shù)，加密處理必然產(chǎn)生一套既可以用來加密，也可用以解密的算法密匙，如果這套密匙未得到良好的管理而被未經(jīng)授權(quán)的他人所獲取，那么，對個人信息的解密自將發(fā)生。

由于在不可復(fù)原性上存在著顯著區(qū)別，導(dǎo)致去標(biāo)識化和匿名化的規(guī)范設(shè)計存在如下不同：第一，在處理手法上，去標(biāo)識化主要指向?qū)χ苯訕?biāo)識符的去除、替換或模糊，具體應(yīng)用的技術(shù)通常包括將原數(shù)值替以假名或換上隨機(jī)值等。典型范例為美國2000年頒布的《健康保險流通與責(zé)任法案》配套隱私規(guī)則(以下簡稱“HIPAA隱私規(guī)則”)中提及的去標(biāo)識化安全港標(biāo)準(zhǔn)——企業(yè)通過去除規(guī)則中列明的18類識別符，即可達(dá)到規(guī)范意義上的去標(biāo)識化效果。這些識別符中大多數(shù)是姓名、電話號碼、社會安全號碼、醫(yī)療記錄號碼、證書編號、URL地址、車牌號碼、郵箱地址、全臉相片、指紋和聲紋等沒有爭議的直接標(biāo)識符，準(zhǔn)標(biāo)識符則僅有選區(qū)、郵編與IP地址三項。③由此可知，其余未被列明的準(zhǔn)標(biāo)識符將被保留在數(shù)據(jù)集中。而匿名化則不只重視對直接標(biāo)識符的去除，還需綜合運用數(shù)據(jù)抑制、數(shù)據(jù)模糊化、增加數(shù)據(jù)噪音、數(shù)據(jù)替換、均值替代等統(tǒng)計披露限制技術(shù)，全面針對所有標(biāo)識符進(jìn)行處理。第二，為了實現(xiàn)信息主體不可識別的規(guī)范目的，去標(biāo)識化處理者必須承擔(dān)不得還原信息的前置義務(wù)，才能達(dá)到匿名化的法律效果，因此，可被視為附前提的匿名化。以去標(biāo)識化為核心的規(guī)范需對處理者增設(shè)前置義務(wù)，這是因為，采用該路徑可能遭致的去匿名化風(fēng)險通常由于處理直接標(biāo)識符的簡單手法所致，與匿名化路徑中無法消除的去匿名化風(fēng)險不可同日而語。因此，例如，美國《加州消費者隱私法案》在認(rèn)定去標(biāo)識化的信息時，要求使用數(shù)據(jù)的企業(yè)滿足四項前置義務(wù)，即“已開展技術(shù)保障措施防范對消費者的再識別；已設(shè)置防范再識別的商業(yè)流程；已設(shè)置防范匿名信息意外泄露的商業(yè)流程；不試圖對匿名信息進(jìn)行再識別?！雹苡秩?，HIPAA隱私規(guī)則對去標(biāo)識化路徑作出了前提性限定——采用去標(biāo)識化安全港標(biāo)準(zhǔn)時，數(shù)據(jù)控制者必須對去標(biāo)識化信息可被單獨使用，或可與其他信息結(jié)合使用以識別出個人信息主體的情況存在實質(zhì)上的不知情。⑤由此可知，不同法域用語習(xí)慣上的差異僅是冰山一角，處理手法與法律效果的不同才是去標(biāo)識化與匿名化的實質(zhì)區(qū)別。綜上所述，去標(biāo)識化應(yīng)當(dāng)被解釋為在追求匿名化過程中退而求其次的一種簡單化處理方法。相應(yīng)地，去標(biāo)識化無法單獨實現(xiàn)匿名化的法律效力——經(jīng)去標(biāo)識化處理的數(shù)據(jù)不能等同于匿名信息，脫離個人信息的范疇。因此，本文認(rèn)為，去標(biāo)識化和匿名化之間具有手段和目的的對應(yīng)關(guān)系，兩者并不位于同一制度層面，去標(biāo)識化只是數(shù)據(jù)風(fēng)險管理的一個環(huán)節(jié)，不能將其與“匿名化”的概念混同，否則將帶來個人信息保護(hù)的不足。匿名化規(guī)范作為個人信息處理與數(shù)據(jù)利用銜接的連接點，不僅包含去標(biāo)識化的單一規(guī)則，還需要一套包括不可復(fù)原義務(wù)、匿名化風(fēng)險責(zé)任等規(guī)則在內(nèi)的體系性制度。這樣才能符合統(tǒng)計學(xué)披露限制理論的邏輯要求，既保護(hù)了數(shù)據(jù)集合的隱私和機(jī)密防范風(fēng)險發(fā)生，又保留了原始數(shù)據(jù)的總體統(tǒng)計特征以供數(shù)據(jù)的后續(xù)利用。

因此，在構(gòu)建匿名化體系規(guī)范時，應(yīng)充分認(rèn)識兩個關(guān)鍵問題：一是，欲構(gòu)建語義明確、邏輯自洽的規(guī)范體系，不宜將位居不同層面的匿名化和去標(biāo)識化概念混用，特別是用去標(biāo)識化代替匿名化，應(yīng)當(dāng)堅持以匿名化概念為核心設(shè)計相關(guān)法律規(guī)范。二是，從理論上界分?jǐn)?shù)據(jù)匿名化的狀態(tài)和過程兩層含義，就表狀態(tài)的匿名化而言，絕對的匿名化狀態(tài)既不存在，也不宜成為人們所追求的目標(biāo)。規(guī)范視角下匿名化效果相對說已經(jīng)成為通說，[6]學(xué)界普遍認(rèn)為應(yīng)從具體情境出發(fā)，從而形成對匿名化標(biāo)準(zhǔn)的動態(tài)、合理解釋。

二、社會情境理論在匿名化領(lǐng)域的適用

匿名化幾無可能達(dá)成完滿的、絕對的狀態(tài)，去匿名化的風(fēng)險始終存在。于立法者而言，需明確如何判定匿名化有效與否，以決定是否賦予控制數(shù)據(jù)的企業(yè)以法律適用的豁免；于企業(yè)而言，匿名化處理需以有效性標(biāo)準(zhǔn)為準(zhǔn)則和目的，有的放矢地降低數(shù)據(jù)產(chǎn)品生產(chǎn)的風(fēng)險。此時，專家判定法主觀判斷標(biāo)準(zhǔn)的弊端就顯現(xiàn)出來，無論是專家的選任資格，還是判定風(fēng)險的方法與水準(zhǔn)，都無法達(dá)到定紛止?fàn)幍男Ч?。因此，?gòu)建匿名化客觀判斷標(biāo)準(zhǔn)勢在必行。而在此之前，需要先引入一套能夠與匿名化的相對性、動態(tài)性特征所適應(yīng)，并在此基礎(chǔ)上提出解決之法的理論工具，以起提綱挈領(lǐng)、統(tǒng)攝全局之效。就此，圍繞信息所處情境因素展開分析的路徑逐步進(jìn)入研究者和立法者的視野。

(一)社會情境對匿名化效果的影響

事實上，將不同社會情境區(qū)別開來的研究方法早在社會學(xué)中有所應(yīng)用，F(xiàn)riedland與Alford教授在制度理論研究中旗幟鮮明地指出，對社會個體行為或組織性行為的研究必須在其所處的社會情境之下開展，并不存在任何脫離情境的理論解釋進(jìn)路。[7]P232本文認(rèn)為，對匿名化效果的情境式理解，需要明確以下幾點：

首先，情境是研究中的變量而非常量，千差萬別，不可一概而論。情境，是指特定的社會背景，這一背景不僅由物理意義上的地域、環(huán)境指征所定義，更具備政治影響、社會期許、歷史發(fā)展、文化氛圍乃至生活習(xí)慣等無形特征。這些迥然不同的特征共同組成了差異化的結(jié)構(gòu)性情境設(shè)置，人們事實上生活于這些特定且相異的情境之中，諸如街坊鄰里、購物、就診、教育、雇傭、商事交易等。更進(jìn)一步說，情境還可以根據(jù)參與者、行為等因素的不同再進(jìn)行細(xì)分。如購物的情境可以細(xì)分為線下購物和線上購物、購買日用品和煙酒等特殊物品等多種場景。若再考慮到時間推移的因素，一些偶然性事件的發(fā)生又將帶來情境的變化。如隨著消費者行為定位技術(shù)的發(fā)展，企業(yè)對用戶行為信息的需求不斷增加，在線搜索、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)化社交的情境亦會相應(yīng)地發(fā)生變化。

其次，匿名信息中潛藏的去匿名化風(fēng)險，因情境的不同而有所差異。值得注意的是，這種由情境因素引發(fā)的去匿名化風(fēng)險差異往往相去甚遠(yuǎn)。例如，以單條數(shù)據(jù)、單個表格的形式存在的數(shù)據(jù)顯然比居于擁有海量類似數(shù)據(jù)的大型數(shù)據(jù)庫中的數(shù)據(jù)更容易被去匿名化。這符合差分隱私的基本算法邏輯，即如果在大量的數(shù)據(jù)之中，某一單條數(shù)據(jù)與任一相鄰數(shù)據(jù)相區(qū)分的難度越高，該數(shù)據(jù)被識別的風(fēng)險就越低。故而，當(dāng)某一數(shù)據(jù)被置于足夠多的數(shù)據(jù)之中，其去匿名化的風(fēng)險則相對較低。又如，數(shù)據(jù)所記錄的內(nèi)容不同，會導(dǎo)致第三方處理者的動機(jī)強(qiáng)弱，其所包含的商業(yè)價值越大，就會面臨更多的去匿名化風(fēng)險。為此，互聯(lián)網(wǎng)上公開的明星收入、行程或健康等匿名信息，較之政府普查中公布的一般公眾的上述信息而言，顯然更容易激發(fā)第三方處理者的再識別動機(jī)，故而其存在更高的去匿名化風(fēng)險。

再次，不同情境下自然人對個人私域之期待有所差異，導(dǎo)致人格權(quán)益受侵害的程度不同。學(xué)者們逐漸認(rèn)識到，以智能手機(jī)或?qū)崟rGPS系統(tǒng)為代表的追蹤技術(shù)，使過去以私人場合物理性侵入為表征的判斷方式捉襟見肘，隱私侵權(quán)應(yīng)基于具體、變動的情境進(jìn)行評判。⑥由于人們的隱私期待不同，當(dāng)匿名信息被再識別后，心理感受是不一樣的。例如，在線下購物的情境中，人們的行蹤往往處在店方監(jiān)控之下，倘若云儲存的商場監(jiān)控記錄匿名化效果不佳，被直播平臺復(fù)原并傳播，公眾勢必會產(chǎn)生明顯的隱私被冒犯的感受。而在線上購物的情境中，用戶瀏覽商品、點擊訂購、支付結(jié)算等種種消費行為均被Cookies等工具實時追蹤，當(dāng)該類行為信息被數(shù)據(jù)控制者去匿名化，并被廣泛地投入行為定位分析時，公眾對此類追蹤行為的反感程度遠(yuǎn)不如被現(xiàn)場跟蹤強(qiáng)烈，在這一情境下，私域被侵犯之表征就不那么明顯。

(二)情境完整理論下的信息規(guī)則

在引入情境理論進(jìn)行數(shù)據(jù)匿名化有效分析時必須注意的是，情境本身乃是一個抽象的社會學(xué)概念，其內(nèi)涵豐富且外延模糊。因此，還應(yīng)將研究的目光集中在社會信息規(guī)則的構(gòu)建之上。Nissenbau教授創(chuàng)設(shè)的情境完整理論很好地解決了這一問題，[8]P136-138從而使情境分析的方法成為一種評判個人信息保護(hù)法律效果的成熟方法論。

根據(jù)情境完整性理論，情境由社會中的信息規(guī)則所構(gòu)成，自然人則生活在信息規(guī)則下不斷流通的個人信息流的背景當(dāng)中?；谶@一定義，倘若情境中的信息規(guī)則得到了充分的尊重和維護(hù)，個人信息始終在規(guī)則之內(nèi)適當(dāng)?shù)亓魍?，即可認(rèn)定該情境具備了完整性，自然人的隱私也就無損。具言之，不同的情境存在相異的信息規(guī)則，故而，個人信息在人與人之間的流通需要對每一特定情境下的信息規(guī)則施以恰如其分的尊重。應(yīng)當(dāng)注意的是，情境完整性理論中的信息規(guī)則并不局限于已上升到法律層面的法律規(guī)范，還廣泛地囊括了歷史影響、文化積淀、社會習(xí)俗、鄉(xiāng)規(guī)民約、合同條款以及政策規(guī)定。這些信息規(guī)則明示或潛在地影響著人們對個人的角色定位、行為方式和權(quán)益認(rèn)知，如果違背了這些規(guī)則，就意味著破壞了人們對個人信息自我控制的合理預(yù)期。

因此，要想衡量去匿名化風(fēng)險之高低，進(jìn)而考察數(shù)據(jù)匿名化是否有效，應(yīng)當(dāng)結(jié)合其所處特定情境下的信息規(guī)則進(jìn)行判斷。換言之，根據(jù)某一情境中的特定信息規(guī)則，數(shù)據(jù)或許僅有較低的去匿名化風(fēng)險，但是若被置于另一情境的信息規(guī)則之下，則有可能出現(xiàn)難以容忍的敏感信息泄露或身份再識別之風(fēng)險。例如，在整形醫(yī)患關(guān)系的情境中，信息規(guī)則不僅包括個人信息保護(hù)的法律規(guī)定，還包括醫(yī)療衛(wèi)生行業(yè)的行業(yè)規(guī)則、整形手術(shù)協(xié)議中的保密約定、接觸患者臉部信息的醫(yī)護(hù)人員的職業(yè)道德，乃至醫(yī)療機(jī)構(gòu)的內(nèi)部管理秩序和聲譽(yù)。故而，為臉部外形治療所需，在采用數(shù)據(jù)匿名化處理后，根據(jù)該情境下的信息規(guī)則，患者臉部信息在醫(yī)療機(jī)構(gòu)內(nèi)部傳遞、瀏覽或分析時所面臨的去匿名化風(fēng)險不高。然而，倘若情境變?yōu)槁糜畏?wù)關(guān)系，如某地野生動物園以升級年卡系統(tǒng)為由采集用戶臉部信息，⑦則需另論風(fēng)險。旅游服務(wù)情境下的信息規(guī)則，除一般性的個人信息保護(hù)法律規(guī)定外，并無行業(yè)通行的保密準(zhǔn)則，也欠缺與個人信息主體之間的詳盡約定，且旅游商業(yè)機(jī)構(gòu)往往欠缺系統(tǒng)的數(shù)據(jù)控制流程。故而，在此種情境下，被采集的臉部信息即便經(jīng)過匿名化處理，被再次識別的風(fēng)險也顯然高于前一種情境。由此可見，不同的情境會導(dǎo)致去匿名化風(fēng)險程度的天壤之別，這無疑佐證了以單一評判標(biāo)準(zhǔn)來衡量數(shù)據(jù)匿名化效果，面臨著誤差過大、有效性不足的困境。情境完整理論提出的信息規(guī)則分析法恰能幫助克服這一困境，既避免了過度高估風(fēng)險所引發(fā)的數(shù)據(jù)流通性降低，同時，又避免低估風(fēng)險所肇致的個人信息保護(hù)不足。

與此同時，情境完整理論不僅能為判定匿名化有效性提供事實判斷層面的指引，還能在規(guī)范層面為去匿名化風(fēng)險的控制提供規(guī)制思路。例如，在著名的去匿名化案例“AOL搜索”事件中，美國AOL搜索引擎公司采取以唯一識別碼替換用戶名、IP地址信息的處理后，將兩百萬余條涉及六十五萬人的網(wǎng)絡(luò)檢索記錄向社會公開。盡管該公司已對上述檢索記錄信息進(jìn)行了匿名化處理，但紐約時報的兩名調(diào)查員在對某一編號的用戶檢索記錄進(jìn)行交叉引證后，迅速完成了對該名用戶的身份再識別。⑧檢索記錄被輕易去匿名化的結(jié)果使得AOL公司廣為公眾所詬病。從該情境下的信息規(guī)則分析，針對AOL公司搜索事件所折射的去匿名化風(fēng)險，至少有兩項控制措施可以被提出：一是對匿名化技術(shù)的標(biāo)準(zhǔn)提出控制要求。在AOL公司搜索事件中，該公司對檢索記錄僅采取了數(shù)據(jù)抑制的技術(shù)思路，而沒有對地理位置等半識別符進(jìn)行模糊化處理。故而，應(yīng)當(dāng)統(tǒng)一技術(shù)控制標(biāo)準(zhǔn)，對數(shù)據(jù)匿名化提出一個合理的技術(shù)門檻，防止企業(yè)為了節(jié)約成本而采取過低的匿名化處理方式，導(dǎo)致匿名信息被輕易破防。二是對完全公開的匿名信息應(yīng)當(dāng)進(jìn)行控制。AOL公司將處理后的用戶檢索記錄上傳至網(wǎng)絡(luò)且不做任何限制，意味著任何接入網(wǎng)絡(luò)的第三方處理者都能夠出于好奇、窺私甚至惡意之動機(jī)，利用網(wǎng)絡(luò)上存在的輔助再識別信息，進(jìn)行去匿名化處理。匿名信息的公開不能脫離職業(yè)道德、合同約定或行業(yè)標(biāo)準(zhǔn)等信息規(guī)則的約束，因此，應(yīng)當(dāng)相應(yīng)地采取限制訪問、下載或處理等控制措施來降低匿名信息公開傳播時去匿名化風(fēng)險的發(fā)生。

三、匿名化合理性標(biāo)準(zhǔn)的確立

在明確情境理論對去匿名化風(fēng)險評判與控制的重要性之后，匿名化的單一判斷標(biāo)準(zhǔn)逐漸被摒棄，取而代之的是建立動態(tài)的匿名化有效性審查標(biāo)準(zhǔn)。為此，歐盟、美國、澳大利亞等國家或地區(qū)都傾向采用“合理性”標(biāo)準(zhǔn)，⑨即匿名化應(yīng)當(dāng)達(dá)到包括數(shù)據(jù)控制者在內(nèi)的所有人，運用任何合理可能的方法手段，都無法直接或間接地識別個人信息主體之身份，即阻斷相關(guān)信息與個人身份的關(guān)聯(lián)性。[8]56概言之，判斷采用特定去匿名化的方法是否合理可能，需要建立在全面考量客觀情境因素的基礎(chǔ)之上。此外，英國通過2018年《數(shù)據(jù)保護(hù)法案》及相關(guān)文件提出了去匿名化的反向識別標(biāo)準(zhǔn)，不僅規(guī)定了哪些再識別匿名信息的行為構(gòu)成侵權(quán)，哪些行為則因法定正當(dāng)理由可以進(jìn)行抗辯，還提出了一項“故意侵入者測試”標(biāo)準(zhǔn)。⑩該標(biāo)準(zhǔn)假設(shè)第三方處理者在具有故意識別的主觀目的下，具備獲取公共信息資源卻不具有特殊專業(yè)識別技能，且不進(jìn)行信息竊取等犯罪行為，從而判斷高于社會普通公眾而又低于特殊專家的人是否能夠?qū)嵤┰僮R別行為。若在此標(biāo)準(zhǔn)下匿名信息無法被再識別，則該數(shù)據(jù)匿名化處理將被證明有效。

然而，無論是采取合理性標(biāo)準(zhǔn)的歐盟、美國、澳大利亞立法例，還是從反向識別標(biāo)準(zhǔn)入手的英國立法例，均未能構(gòu)建出一套兼具系統(tǒng)性和可操作性的匿名化有效性的判斷標(biāo)準(zhǔn)。前者雖以合理性的靈活用詞彌合了不同情境下信息規(guī)則的變動性，但卻未能進(jìn)一步提出細(xì)則規(guī)范來中和用詞含糊所帶來的不確定性；后者則僅僅切中了第三方處理者的去匿名化行為這一項因素，而影響匿名化有效性的其他因素卻并未提及。本文認(rèn)為，欲系統(tǒng)地構(gòu)建匿名化有效性標(biāo)準(zhǔn)，以判別與控制去匿名化風(fēng)險，可取路徑為對合理性標(biāo)準(zhǔn)進(jìn)行具象化。而匿名化合理性標(biāo)準(zhǔn)的構(gòu)建，則有賴于情境完整理論對信息規(guī)則的分析方法。誠如前述，不同情境下的信息規(guī)則迥異，為此，對不同場景中的數(shù)據(jù)采取相同的匿名化標(biāo)準(zhǔn)顯然不妥，必須考慮從規(guī)制的“一體主義”走向“區(qū)別規(guī)制”。[9]即面臨不同的情境，綜合運用諸種具體指標(biāo)作為判別匿名化有效性的靈活尺度，只要合理遵從情境信息規(guī)則，依照具體指標(biāo)的指引進(jìn)行處理，將風(fēng)險把控在尺度內(nèi)，即可被認(rèn)為達(dá)到有效的匿名化。實踐中，情境信息規(guī)則雖然層級各異、類型繁多，但不外乎由主體、客體和傳播法則三種因素組成，細(xì)節(jié)指標(biāo)的提取亦可圍繞這三者進(jìn)行。

(一)主體相關(guān)指標(biāo)

通常來說，數(shù)據(jù)流動所涉及的主體至少包括數(shù)據(jù)的發(fā)送者、接收者與個人信息主體。在研判匿名信息的再識別風(fēng)險時，有關(guān)主體必然還包括開展匿名化處理的處理者——處理者既可能同時是掌握并發(fā)送數(shù)據(jù)的企業(yè)，也可以是獨立承接處理流程的受托方。此外，去匿名化第三方處理者也應(yīng)被視為接收者——盡管通過去匿名化行為而接收個人信息在合法性上有待商榷，但這并不影響第三方處理者正是肇致風(fēng)險者這一事實。圍繞這些主體，可以確立以下指標(biāo)：

第一，數(shù)據(jù)發(fā)送者、處理者和接收者的內(nèi)部組織情況和數(shù)據(jù)安全制度。經(jīng)匿名化處理后的數(shù)據(jù)將儲存或暫留在進(jìn)行發(fā)送、處理和接收行為的企業(yè)內(nèi)部，因而，經(jīng)手匿名信息企業(yè)的內(nèi)部管理、安全防控的規(guī)范性成為了匿名化合理性標(biāo)準(zhǔn)的評判標(biāo)尺之一。就內(nèi)部管理而言，歐盟《通用數(shù)據(jù)保護(hù)條例》要求處理個人敏感信息或大規(guī)模監(jiān)控個人信息主體的企業(yè)委任內(nèi)部職員為數(shù)據(jù)保護(hù)官，并規(guī)定了數(shù)據(jù)保護(hù)官的職責(zé)與企業(yè)的配合義務(wù)。英國《數(shù)據(jù)保護(hù)法》第69條至第71條也規(guī)定了數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)制度，以落實數(shù)據(jù)安全保護(hù)責(zé)任。我國《個人信息安全規(guī)范》則規(guī)定了控制個人信息企業(yè)的責(zé)任擔(dān)當(dāng)、記錄管理、安全評估、人員培訓(xùn)管理、安全審計等內(nèi)部機(jī)制的組織性標(biāo)準(zhǔn)。特別需要注意的是，以跟蹤應(yīng)用軟件為代表的惡意軟件極易繞過設(shè)備制造者、網(wǎng)絡(luò)服務(wù)提供商、系統(tǒng)服務(wù)提供者的日常安保手段，從而監(jiān)視消費者使用設(shè)備時產(chǎn)生的數(shù)據(jù)流，具有極強(qiáng)的去匿名化能力，因此，實踐中主體是否配置反惡意軟件等安全措施，將作為數(shù)據(jù)安全防控措施的重要內(nèi)容之一。

第二，個人信息主體的同意和被再次識別時所遭受的損害后果。“知情-同意”是構(gòu)建主體間法律關(guān)系的重要行為描述。[10]個人信息主體的同意能夠使企業(yè)的處理行為和對外披露行為合法化。因而，若企業(yè)事先通過知情同意原則取得了用戶的共識，對匿名化處理后仍存的風(fēng)險達(dá)成一致，則能免于嚴(yán)苛匿名化效果的要求。換言之，同意之行為表示出個人信息主體對去匿名化風(fēng)險的主觀預(yù)期，降低了企業(yè)匿名化處理行為達(dá)到有效標(biāo)準(zhǔn)的難度。此外，去匿名化風(fēng)險兌現(xiàn)后個人信息主體所面臨的損害也不盡一致，其結(jié)果既可能是個人敏感信息的泄露，也可能是整體身份的暴露；既可能只是收到定向廣告的投送，也可能因定位信息外泄而遭到人身權(quán)益的侵害。故而，損害后果亦應(yīng)成為評判標(biāo)尺之一，可能遭受的損害越嚴(yán)重，規(guī)范所容許的去匿名化風(fēng)險就越低，達(dá)到匿名化有效性的標(biāo)準(zhǔn)就越高。

第三，第三方處理者的類型及其動機(jī)?；⒁曧耥竦牡谌教幚碚叩拇嬖冢瑹o疑對數(shù)據(jù)匿名化的效果帶來了莫大挑戰(zhàn)。類型不同的第三方處理者，必然會導(dǎo)致數(shù)據(jù)挖掘能力的強(qiáng)弱。一方面，職業(yè)第三方處理者比私人處理者掌握了更多的數(shù)據(jù)挖掘技術(shù)，更易通過“人肉搜索”或行業(yè)調(diào)查完成再識別行為；另一方面，在輔助識別信息上，私人處理者只能查閱互聯(lián)網(wǎng)、政府或公益機(jī)構(gòu)的公開信息，而職業(yè)第三方處理者還能夠借助商業(yè)數(shù)據(jù)庫中的額外數(shù)據(jù)資源完成再識別行為。實踐中，調(diào)查員、分析師、廣告商、雇主、跟蹤者，乃至伙伴、鄰居和同事都有可能出于不同的動機(jī)嘗試去匿名化。第三方處理者的動機(jī)不同，對匿名化效果所帶來挑戰(zhàn)的程度也有所區(qū)別。出于政治或商業(yè)目的挖掘他人身份信息，通常比為了好奇、惡作劇等私人目的破譯他人信息帶來的危害更大。例如，公司利用不當(dāng)收集的用戶的個人數(shù)據(jù)來為大選參選人提供數(shù)據(jù)采集、分析和戰(zhàn)略傳播。

(二)客體相關(guān)指標(biāo)

情境中不斷流動交互的客體自然是數(shù)據(jù)。在匿名化合理性標(biāo)準(zhǔn)的視角下，個人信息的體量、歷經(jīng)的處理手法和實際用途都將影響去匿名化風(fēng)險的衡量。

第一，匿名化處理所使用的技術(shù)。如前所述，就數(shù)量而言，匿名化技術(shù)類目繁多，既可使用數(shù)據(jù)遮掩和替換等徑直抹去可識別單元的方法，亦可使用數(shù)據(jù)模糊化、數(shù)據(jù)隨機(jī)化等僅部分干擾數(shù)據(jù)的可識別性或保留一定程度關(guān)聯(lián)性的處理技術(shù)，后者包含諸如數(shù)據(jù)偏移和隨機(jī)修約等類型繁多的技術(shù)群。就技術(shù)應(yīng)用而言，企業(yè)既可單獨選用某一技術(shù)，亦可設(shè)計全面的處理流程，綜合運用多種手段進(jìn)行數(shù)據(jù)匿名化處理。五花八門的技術(shù)應(yīng)用方式將產(chǎn)出風(fēng)險不一的匿名信息，計算機(jī)學(xué)上業(yè)已發(fā)展出評判不同匿名化技術(shù)應(yīng)用所留存風(fēng)險的諸多公式與算法。故而，運用何種匿名化技術(shù)可以成為判別匿名化有效性的具體指標(biāo)。

第二，數(shù)據(jù)的體量。數(shù)據(jù)體量對風(fēng)險衡量的影響較為復(fù)雜。一方面，數(shù)據(jù)匿名化的L-多樣性理論證明了湮沒在批量類似數(shù)據(jù)中的單條數(shù)據(jù)遭到去匿名化的可能性較低，因為其特性將被近似的數(shù)值混淆。在這一層面上，單條數(shù)據(jù)比批量數(shù)據(jù)被再次識別的風(fēng)險更高。不過，事物具有兩面性，數(shù)據(jù)的體量與數(shù)據(jù)的類目成正比，企業(yè)所控制與處理的數(shù)據(jù)體量越大，數(shù)據(jù)類目就越豐富，這意味著進(jìn)入流通領(lǐng)域后可為去匿名化第三方處理者所獲取的數(shù)據(jù)就越多。顯然，數(shù)據(jù)類目的增多將導(dǎo)致個人信息主體身份被挖掘的可能性隨之升高。因而，在衡量風(fēng)險時，宜對數(shù)據(jù)體量因素的影響進(jìn)行辯證分析。

第三，匿名信息的具體用途。用途上的差異也將影響匿名信息所面臨風(fēng)險的大小。將匿名信息運用在政府網(wǎng)站建設(shè)、消費者數(shù)據(jù)存檔等日常用途上，通常并不會招致過高風(fēng)險，無需設(shè)定格外嚴(yán)格的匿名化處理流程。不過，如果匿名信息被應(yīng)用于非常態(tài)的、易激發(fā)去匿名化動機(jī)的用途，則顯然需要效果更佳的匿名化處理流程。此外，還有學(xué)者提出，對待那些應(yīng)用于重要的公益目的，或防范對他人利益嚴(yán)重?fù)p害的匿名信息，不應(yīng)對其匿名化效果加以苛求。因為此時此刻，匿名信息將帶來無價的公共收益，使得其有限的去匿名化風(fēng)險不再成為立法的唯一關(guān)注點。例如，在地震、傳染疫病暴發(fā)等情境下，相關(guān)信息的有效傳遞業(yè)已上升為更高的利益位階，在評判匿名化是否達(dá)到有效性時不宜過分嚴(yán)苛。

(三)傳播法則相關(guān)指標(biāo)

傳播法則是指，約束主體間信息流通的條款或條件的信息規(guī)則。在匿名化合理性標(biāo)準(zhǔn)的視角下，傳播法則的區(qū)別意味著匿名信息所面臨第三方處理者的多寡，也當(dāng)然地影響了去匿名化風(fēng)險的大小。匿名化處理后的數(shù)據(jù)將按照何種法則在主體間流通，同樣關(guān)乎對匿名化處理效果的規(guī)范性評價。

首要解決的核心問題是，匿名信息的傳播是否受到限制，也即披露對象是公眾全體，還是僅限于部分主體之間。實踐中，不僅企業(yè)會公開商業(yè)匿名信息，政府、公共機(jī)構(gòu)也會對政務(wù)匿名信息和公共事務(wù)匿名信息進(jìn)行公開。例如，美國奧巴馬政府曾大力推行Data.gov網(wǎng)絡(luò)信息匯集與公開項目，從而達(dá)到豐富公共數(shù)據(jù)儲量、開啟民智和公眾監(jiān)督之效。然而，匿名信息公開傳播的代價是沉重的——完全不區(qū)分接收對象的公開傳播，徑直將匿名信息暴露在所有潛在的第三方處理者的面前，這無疑為匿名化效果招來了最嚴(yán)峻的挑戰(zhàn)。反觀非公開的傳播法則，至少在一定程度上擇取了數(shù)據(jù)的接收者，嘗試將數(shù)據(jù)的流通局限在可信任的主體之間，從而隔絕了部分外來威脅。因此，以公開為傳播法則的匿名信息應(yīng)當(dāng)經(jīng)受更高要求的匿名化處理，而非公開法則中的匿名信息只需達(dá)到相對較低的匿名化處理要求即可。

本文認(rèn)為，由于不同情境下信息規(guī)則的迥異，傳播法則的差異性應(yīng)當(dāng)立足于公開與非公開的界分思路，進(jìn)行更為深入細(xì)致的評判。具體包括：其一，應(yīng)當(dāng)區(qū)分因不同方式傳播數(shù)據(jù)而產(chǎn)生的信息規(guī)則。以公開的匿名信息為例，公開在互聯(lián)網(wǎng)可通過搜索引擎查找的匿名信息，顯然比公開在檔案館須通過預(yù)約等程序方可瀏覽的資料面臨更高的去匿名化風(fēng)險。其二，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)在組織內(nèi)和組織間傳遞的信息規(guī)則。對于非公開的匿名信息而言，亦存在信息的外部流通與內(nèi)部共享。通常而言，前者由特定可信任主體之間的契約調(diào)整，后者則受企業(yè)組織內(nèi)部規(guī)章的約束，顯然，后者面臨的去匿名化風(fēng)險更小，匿名化處理的要求自然更低。其三，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)是否會被再次傳播。接收者是否可以繼續(xù)自由再次傳播匿名信息，還是需受一定程度的約定限制，抑或因保密條款而不得再次傳播，是影響去匿名化風(fēng)險判別的重要因素。概言之，傳播法則越自由，匿名信息越有可能被第三方處理者反向識別。

最后需要指出的是，匿名化有效性標(biāo)準(zhǔn)符合木桶效應(yīng)的規(guī)律，某一指標(biāo)上的畸高對于匿名化的有效性而言并無增益，反之，任一尺度上的短板都將導(dǎo)致去匿名化風(fēng)險的劇增。因而，無論是主體、客體還是傳播法則中的具體指標(biāo)，單獨的應(yīng)用都力有未逮，而須將三者結(jié)合運用以進(jìn)行綜合評判。也就是說，匿名化有效性標(biāo)準(zhǔn)應(yīng)當(dāng)是建立在主體、客體和傳播法則三項綜合指標(biāo)之上的合理性標(biāo)準(zhǔn)。

四、數(shù)據(jù)匿名化的體系性控制

數(shù)據(jù)匿名化規(guī)范可以分為“原則導(dǎo)向”和“規(guī)則導(dǎo)向”兩類，前者強(qiáng)調(diào)去匿名化風(fēng)險的綜合判斷，對匿名化效果進(jìn)行評估；后者則強(qiáng)調(diào)對匿名化對象、方式、范圍的具體規(guī)定，嚴(yán)格控制數(shù)據(jù)安全流程。正如前文所述，去匿名化風(fēng)險無法通過技術(shù)處理一次性完成，數(shù)據(jù)處理者需要承擔(dān)持續(xù)性的復(fù)合義務(wù)。為此，應(yīng)當(dāng)擴(kuò)張匿名化流程控制的范圍，以規(guī)則導(dǎo)向為制度核心，從匿名化處理行為的特定環(huán)節(jié)轉(zhuǎn)向匿名信息生產(chǎn)、流通的全過程，建立數(shù)據(jù)匿名化的體系性控制。

(一)“公布即遺忘”模式的局限性

根據(jù)數(shù)據(jù)控制方式的不同，美國國家標(biāo)準(zhǔn)與技術(shù)研究院將信息發(fā)布的模式分為“公布即遺忘”模式、數(shù)據(jù)使用協(xié)議模式以及“領(lǐng)地模型”。[11]其中，“公布即遺忘”模式是指將匿名信息發(fā)布于公共網(wǎng)絡(luò)環(huán)境之后，數(shù)據(jù)處理者便不再對公布后的數(shù)據(jù)進(jìn)行管理。相較于后兩種模式而言，“公布即遺忘”模式是基于傳播獲取數(shù)據(jù)控制的模式，突破了信息使用的封閉情境。該模式背后的深層理念旨在將數(shù)據(jù)公諸于眾，從而促進(jìn)商事交易、社會生活中信息的自由流通，這不僅是采集、利用或交易數(shù)據(jù)的企業(yè)、交易相對方不懈的商業(yè)追求，同時也是提高信息的存量與流通、推進(jìn)數(shù)據(jù)產(chǎn)品化進(jìn)程的社會共同目標(biāo)。

然而，匿名信息中自始至終隱藏著一定的去匿名化風(fēng)險，欲追求匿名化的有效性，只能在包容和接納去匿名化可能性的前提下理性地評估處理后的留存風(fēng)險。實證研究表明，匿名化技術(shù)取得進(jìn)展的同時，去匿名化技術(shù)并非原地踏步，亦在經(jīng)歷升級與改造?？上攵瑢δ涿幚斫Y(jié)果的過分依賴，會使得大量匿名信息在不當(dāng)保管、使用或是欠妥的公布后，即落入第三方處理者的包圍圈，被破解技術(shù)而捕獲。為此，當(dāng)數(shù)據(jù)處理者采取“公布即遺忘”模式時，匿名信息的整體性安全缺乏保障，控制企業(yè)在匿名化過程中的義務(wù)也過于單一。

面對“公布即遺忘”模式，在判定匿名化效果時，有兩點需要注意：一是，同時認(rèn)識匿名化處理的重要性與局限性，對經(jīng)技術(shù)處理后的匿名信息的風(fēng)險評估持審慎態(tài)度，重視技術(shù)處理之外的其他隱私保護(hù)措施的作用，以全局化的眼光看待數(shù)據(jù)匿名化。二是，跳脫規(guī)范原則導(dǎo)向的桎梏，強(qiáng)調(diào)匿名化整體處理流程的安全。這意味著衡量匿名化有效性時，不必拘泥于對匿名化最終結(jié)果的苛求，而是將更多的立法資源傾注于降低去匿名化風(fēng)險的程序性安排，將規(guī)范重點轉(zhuǎn)移至企業(yè)的數(shù)據(jù)安全控制流程之上。也就是說，對于經(jīng)匿名化處理后尚未達(dá)到有效匿名化標(biāo)準(zhǔn)的數(shù)據(jù)，或者居于某些對匿名化要求極高的情境中的數(shù)據(jù)，應(yīng)當(dāng)額外要求企業(yè)采取保護(hù)性的程序措施。

(二)匿名信息應(yīng)用的流通控制

數(shù)據(jù)環(huán)境理論可以較好地描述采取“公布即遺忘”模式下匿名信息所屬的社會情境。該理論認(rèn)為，若匿名信息一直處于保密環(huán)境中，自然不存在被再識別的可能，唯有被披露并進(jìn)入流通環(huán)境，才面臨外部風(fēng)險的考驗。因而，防范去匿名化風(fēng)險必須理解數(shù)據(jù)所處的披露環(huán)境，即數(shù)據(jù)被共享、散播或公布的環(huán)境。由此可知，對匿名信息的流通實施控制是至關(guān)重要的匿名化程序保障。實踐中，流通控制可以通過技術(shù)和協(xié)議兩種方式實現(xiàn)，前者不屬于本文的討論范疇。流通控制協(xié)議的表現(xiàn)形式多樣，基于合同的自治效力，禁止性或限制性約定將對匿名信息的接收者產(chǎn)生拘束作用，使得匿名信息的流通控制束縛在篩選后的主體之上，以實現(xiàn)更為精準(zhǔn)的匿名化效果。具體而言，數(shù)據(jù)流通控制協(xié)議可以歸納為以下幾種類型：

第一，向公眾用戶發(fā)出的流通控制協(xié)議。該類協(xié)議并不是指向某一具體的數(shù)據(jù)接收者，而是向廣大公眾用戶發(fā)出，從而達(dá)到對數(shù)據(jù)使用或流通進(jìn)行控制的效果。實踐中，大型互聯(lián)網(wǎng)企業(yè)在面對公眾用戶時，往往采用“聲明”“用戶協(xié)議”的方式對數(shù)據(jù)的流通實施控制。例如，中國平安的網(wǎng)站聲明規(guī)定，該網(wǎng)站所發(fā)布的數(shù)據(jù)不提供給受法律發(fā)布限制之國家的人士獲取使用。又如，著作權(quán)領(lǐng)域的知識共用許可協(xié)議，在保證公眾用戶對作品“接觸權(quán)”的同時，對署名、非商業(yè)使用以及作品的改編、修改等都作了嚴(yán)格的限制。這類流通控制協(xié)議的優(yōu)點在于向所有訪問、使用數(shù)據(jù)的用戶發(fā)出，約束群體廣泛；而缺點在于通常采取概括式用語，對用戶的義務(wù)陳述不清，缺乏行之有效的責(zé)任條款。

第二，企業(yè)彼此間的流通控制協(xié)議。數(shù)字經(jīng)濟(jì)時代下，數(shù)據(jù)資源對企業(yè)把握市場趨勢、衡量供需關(guān)系，進(jìn)而精細(xì)化安排生產(chǎn)、服務(wù)具有重大意義。實踐中，企業(yè)間的數(shù)據(jù)流通主要有兩種類型：第一類，企業(yè)之間簽訂數(shù)據(jù)共享協(xié)議，在協(xié)議成員之間實現(xiàn)特定行業(yè)領(lǐng)域內(nèi)的數(shù)據(jù)互通共享。例如，澳大利亞主要的銀行之間訂立了數(shù)據(jù)共享協(xié)議，以實現(xiàn)用戶還款記錄等信用信息在協(xié)議成員間的互通。又如，我國民航業(yè)23家航空公司共同簽署了《中國民航運行數(shù)據(jù)共享協(xié)議》，建立數(shù)據(jù)共享平臺，融通彼此保有的航運信息。第二類，企業(yè)之間簽訂數(shù)據(jù)交易合同，以交換商品或提供服務(wù)的方式進(jìn)行匿名信息的轉(zhuǎn)移。例如，當(dāng)?shù)谌缴碳医尤搿梆I了么”平臺開展業(yè)務(wù)時，需遵守《“餓了么”開放平臺在線服務(wù)協(xié)議》，其中約定第三方商家對所接觸的用戶信息，僅可單次使用，不得進(jìn)行存儲、處理。需要指出的是，上述控制協(xié)議無論是否為了營利目的，抑或是否屬于有償合同，都不影響在特定合作關(guān)系中，企業(yè)之間所約定的數(shù)據(jù)傳輸、使用與公布方面的限制。

第三，數(shù)據(jù)經(jīng)紀(jì)人主導(dǎo)的流通控制協(xié)議。數(shù)據(jù)資源商業(yè)價值的不斷攀升，催化出了斡旋于數(shù)據(jù)信息采集端與需求端之間的數(shù)據(jù)經(jīng)紀(jì)人。例如，美國Acxiom公司，旨在提供全渠道數(shù)據(jù)驅(qū)動營銷服務(wù)，其數(shù)據(jù)庫中包括全球范圍內(nèi)7億用戶的個人數(shù)據(jù)，平均擁有每個美國用戶的3000條數(shù)據(jù)段。實踐中，數(shù)據(jù)經(jīng)紀(jì)人既可經(jīng)由數(shù)據(jù)供應(yīng)合同從采集端企業(yè)受讓匿名信息，又可通過數(shù)據(jù)授權(quán)協(xié)議獲得特定期間內(nèi)的數(shù)據(jù)使用權(quán)限，還可憑借數(shù)據(jù)經(jīng)銷協(xié)議轉(zhuǎn)讓采集端企業(yè)的數(shù)據(jù)產(chǎn)品。上述流通控制協(xié)議通常會對數(shù)據(jù)的傳輸方式、數(shù)據(jù)的更新頻次、數(shù)據(jù)處理、使用或轉(zhuǎn)讓的限制等內(nèi)容作出約定。鑒于其在數(shù)據(jù)流通中扮演的重要角色，數(shù)據(jù)經(jīng)紀(jì)人有義務(wù)對匿名化信息的風(fēng)險進(jìn)行程序性控制。對此，美國聯(lián)邦貿(mào)易委員會在報告中指出，當(dāng)企業(yè)將匿名信息向第三方開放時，應(yīng)負(fù)有對接收者履行合同義務(wù)、承擔(dān)違約責(zé)任的合理監(jiān)督之責(zé)。

(三)匿名信息應(yīng)用的目的控制

企業(yè)不能以完成匿名化處理為由徹底擺脫匿名化體系規(guī)范的束縛。從全局觀之，影響匿名化效果的環(huán)節(jié)并不單單只有匿名化處理一個環(huán)節(jié)，無論是該環(huán)節(jié)前的個人信息采集環(huán)節(jié)，還是該環(huán)節(jié)后的匿名信息的應(yīng)用環(huán)節(jié)，包括匿名信息的再處理、使用乃至轉(zhuǎn)讓、公開，企業(yè)都應(yīng)一以貫之地遵循個人信息保護(hù)的基本原則，避免對個人隱私等權(quán)益的侵犯。其中，目的限制原則在時間節(jié)點上具有特殊意義：在匿名化處理節(jié)點前，企業(yè)采集個人信息時應(yīng)當(dāng)依照合法性要求，遵從信息采集的正當(dāng)明確目的；在匿名化處理節(jié)點后，企業(yè)對匿名信息的使用、再處理乃至公布行為，亦應(yīng)與最初的采集目的保持一致。

目的限制原則已為多國立法所采納。早在1980年OECD頒布的《隱私保護(hù)與個人數(shù)據(jù)跨境流通指南》中，即規(guī)定了目的限制原則的兩項子原則——目的明確原則和用途限制原則，該規(guī)定被2013年修訂后的版本所沿用。2018年生效的歐盟《通用數(shù)據(jù)保護(hù)條例》亦明確規(guī)定了個人數(shù)據(jù)處理的目的限制原則，包含兩點內(nèi)容：一是企業(yè)應(yīng)以具體、明確且合法、正當(dāng)?shù)哪康拈_展個人信息的采集行為；二是此后企業(yè)對個人信息的處理行為一般不得違反初始確定的目的。那么，匿名信息的再處理與流轉(zhuǎn)是否受到目的限制原則的束縛呢？歐盟第29條立法工作組指出，無論是采集、控制并處理數(shù)據(jù)的企業(yè)，還是匿名信息的接收者，這些主體在使用、再處理抑或是公布匿名信息的過程中，仍有可能對用戶的個人隱私產(chǎn)生不利影響，即便這些數(shù)據(jù)已經(jīng)得到了妥善的匿名化處理。其中，用戶畫像和自動決策是最可能因應(yīng)用匿名信息而致使個人隱私受損的兩個特殊情境。鑒于目的限制原則是由歐盟法賦予其公民的基本權(quán)利衍生而來，并始終貫徹在歐盟的數(shù)據(jù)保護(hù)規(guī)范體系中，具有極高的法律地位，故而，通過擴(kuò)大解釋將該原則適用于匿名信息的后續(xù)處理和使用，以約束企業(yè)的不當(dāng)行為、預(yù)防對個人隱私的侵害，確有合理之處。

不過，在強(qiáng)調(diào)個人信息保護(hù)的同時，必須清醒認(rèn)識到目的限制原則的雙刃性。不加區(qū)分地限制后續(xù)應(yīng)用匿名信息的目的，將極大地阻礙數(shù)據(jù)資源的價值開發(fā)和開放共享，很多情況下對應(yīng)用情境的假設(shè)趕不上日新月異的市場變化。這也正是美國立法謹(jǐn)慎對待給個人信息主體賦權(quán)的重要考量之一。因此，本文認(rèn)為，將目的限制原則適用于匿名信息，當(dāng)謹(jǐn)記輕重有別，結(jié)合行業(yè)和情境因素進(jìn)行審慎判斷。具體而言，對經(jīng)匿名化處理后尚未達(dá)到匿名化合理性標(biāo)準(zhǔn)的數(shù)據(jù)，必須嚴(yán)格適用目的限制原則；對已達(dá)到合理性標(biāo)準(zhǔn)，但所處行業(yè)或具體情境需要極強(qiáng)匿名化和系統(tǒng)化隱私保護(hù)的匿名信息，則可將目的限制原則作為額外的程序性保護(hù)措施，按照風(fēng)險大小酌情適用。同時，應(yīng)由數(shù)據(jù)控制者證明個人數(shù)據(jù)的后續(xù)使用與流轉(zhuǎn)是否已經(jīng)達(dá)到合理有效性標(biāo)準(zhǔn)，是否需要遵守特別情境中的信息規(guī)則。為此，匿名化的體系規(guī)范要充分考慮對匿名信息應(yīng)用的目的限制，將事后性的損害風(fēng)險判斷融入事前性的程序設(shè)計之中，要求企業(yè)不能將匿名化處理作為一勞永逸的解決途徑，而是要在開始數(shù)據(jù)共享、數(shù)據(jù)傳播等應(yīng)用行為之前對匿名信息的后續(xù)風(fēng)險進(jìn)行充分評估。例如，英國網(wǎng)絡(luò)匿名化組織在其匿名化決策框架中提出，分析數(shù)據(jù)去匿名化風(fēng)險時，存在情景審查、風(fēng)險和控制、沖擊管理三個步驟。[12]根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》的要求，數(shù)據(jù)控制者需要執(zhí)行數(shù)據(jù)保護(hù)沖擊測試，綜合考慮數(shù)據(jù)主體和他人的權(quán)利、合法權(quán)益，對去匿名化風(fēng)險進(jìn)行全面審查，具體測試內(nèi)容至少包括：對數(shù)據(jù)控制者訴求的利益正當(dāng)性進(jìn)行系統(tǒng)審查；對于目的一致的處理進(jìn)行必要性和適當(dāng)性的評估；對數(shù)據(jù)主體的權(quán)利和自由所面臨的風(fēng)險進(jìn)行評估；對采取的安全措施和保護(hù)機(jī)制的合規(guī)性進(jìn)行審查。

匿名信息應(yīng)用的目的控制存在適用例外。這是為了實現(xiàn)比個人信息利益更高位階的社會利益，從而保證那些對社會整體有益的數(shù)據(jù)能夠暢通地利用和流動。換言之，為了科學(xué)、歷史研究，統(tǒng)計或為社會公益所需的信息歸檔之目的，企業(yè)可超越原本目的之范疇處理、使用乃至公布個人信息。歐盟《通用數(shù)據(jù)保護(hù)條例》將目的限制原則的例外分為“學(xué)術(shù)性豁免”和“研究性豁免”，值得借鑒。前者基于新聞報道的需要或?qū)W術(shù)、藝術(shù)、文學(xué)性的目的，即自由表達(dá)的要求；后者基于公共利益、科學(xué)、歷史的研究或數(shù)據(jù)統(tǒng)計目的。此處的“研究性”目的應(yīng)作擴(kuò)張解釋。其中，科學(xué)研究包括技術(shù)開發(fā)和示范，基礎(chǔ)研究、應(yīng)用研究和私人資助的研究，以及公共健康研究。歷史研究包括系譜研究，但不應(yīng)適用于已故的自然人。統(tǒng)計研究則要求成員國明確統(tǒng)計內(nèi)容、訪問控制，保障數(shù)據(jù)主體的權(quán)利和自由以及數(shù)據(jù)的保密，在統(tǒng)計數(shù)據(jù)后續(xù)用于科學(xué)研究時，統(tǒng)計數(shù)據(jù)應(yīng)不再是個人數(shù)據(jù)，而是綜合數(shù)據(jù)，且不能用于支持對任何特定自然人的措施或決定。當(dāng)然，目的限制的適用豁免需要獲得法律的特別授權(quán)，同時，匿名信息的應(yīng)用亦需符合數(shù)據(jù)最小化原則的要求，即數(shù)據(jù)的后續(xù)利用或流轉(zhuǎn)只能為了實現(xiàn)特殊目的之需要，而不能過度突破最初采集時之目的限制。例如，英國《數(shù)據(jù)保護(hù)法》要求此種豁免行為不得對數(shù)據(jù)主體造成嚴(yán)重的損害。其中，在適用學(xué)術(shù)性豁免時，數(shù)據(jù)控制者需要合理相信數(shù)據(jù)處理中的信息公開符合公共利益，而對公共利益的判斷則應(yīng)參考英國廣播公司的編輯準(zhǔn)則、通訊管理局的廣播準(zhǔn)則和編輯的實踐準(zhǔn)則等業(yè)界規(guī)范，即需要根據(jù)具體情境，考察對個人和公眾的可能傷害，平衡信息發(fā)布的利弊。在適用科研型豁免時，要求數(shù)據(jù)控制者存在如不進(jìn)行數(shù)據(jù)處理則無法實現(xiàn)或嚴(yán)重阻礙科研目的實現(xiàn)的情況，以防止適用豁免的濫用。

結(jié)語

“對已有材料的利用是一種值得尊重而且必須的實踐活動。正如經(jīng)濟(jì)學(xué)家羅默和亞瑟提醒我們的，重組才是創(chuàng)新和財富的唯一動力源泉?！盵13]P242絕對的、完美的匿名化終究是空中樓臺，可望而不可及，匿名信息始終有被再次識別之可能。這也就意味著，數(shù)據(jù)匿名化應(yīng)是一個體系工程，而非僅僅停留在匿名化處理一個節(jié)點之上，更不能簡單地等同于對數(shù)據(jù)的去標(biāo)識化。根據(jù)我國2021年生效的《個人信息保護(hù)法》，匿名化處理后的信息不再屬于個人信息保護(hù)的范疇，為此，數(shù)據(jù)匿名化制度將成為數(shù)據(jù)進(jìn)入生產(chǎn)和流通領(lǐng)域的重要制度出口。在對數(shù)據(jù)匿名化進(jìn)行體系規(guī)范構(gòu)建時，不僅應(yīng)考慮采取何種匿名化處理流程，還應(yīng)結(jié)合數(shù)據(jù)應(yīng)用具體情境的信息規(guī)則來判斷匿名化的真實效果。這種匿名化合理性標(biāo)準(zhǔn)應(yīng)當(dāng)是綜合的，將發(fā)布者與接收者、數(shù)據(jù)類型、傳播場景納入評判指標(biāo)當(dāng)中，對數(shù)據(jù)的去匿名化風(fēng)險進(jìn)行充分評估，給予匿名化效果一個規(guī)范層面的具象解釋。同時，數(shù)據(jù)匿名化規(guī)范應(yīng)貫穿在數(shù)據(jù)應(yīng)用的全過程當(dāng)中，包括數(shù)據(jù)的采集、處理、利用和再利用等，時刻警惕去匿名化風(fēng)險對個人隱私等權(quán)益的侵蝕。匿名化處理不能一勞永逸，“公布即遺忘”的簡單模式顯然不能應(yīng)對數(shù)據(jù)后續(xù)利用或流轉(zhuǎn)中的全部風(fēng)險，必須建立匿名信息應(yīng)用的流通控制和目的控制，對數(shù)據(jù)匿名化規(guī)范進(jìn)行動態(tài)評估和調(diào)整，從而協(xié)調(diào)數(shù)據(jù)主體、數(shù)據(jù)企業(yè)、數(shù)據(jù)消費者各方之間的正當(dāng)權(quán)益，最終促進(jìn)數(shù)據(jù)資源的合理利用。

注釋：

① General Data Protection Regulation § 4(5). Erika McCallister, Tim Grance and Karen Scarfone, Guide to Protecting the Confidentiality of Personally Identifiable Information, https://csrc.nist.gov/publications/detail/sp/800-122/final, 2022-04-18.《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)第3.15條的規(guī)定。

② Health informatics-Pseudonymization (ISO 25237:2017) § 3.42.

③ 45 CFR § 164.514(b)(2)(i).

④ California Consumer Privacy Act of 2018 § 1798.140. (h).

⑤ 45 CFR § 164.514(b)(2)(ii).

⑥ See United States v. Jones, 565 U.S. 400, 132 S. Ct. 945, 962 (2012).

⑦ 參見浙江省杭州市中級人民法院民事判決書(2020)浙01民終10940號。

⑧ See Michael Barbaro, Tom Zeller, A Face Is Exposed for AOL Searcher No. 4417749, https://rig.cs.luc.edu/～rig/ecs/probsolve/NYTonSearch.pdf,2022-04-18.

⑨ General Data Protection Regulation § Recital 26. 45 CFR § 164.514(a). Treasury Laws Amendment (Consumer Data Right) Bill 2019 § 56FA(1)(d).

⑩ Data Protection Act 2018 § 171, § 172. Anonymisation: managing data protection risk code of practice, https://ico.org.uk/media/1061/anonymisation-code.pdf,2022-04-18.