張 麗,許多奇

(1.上海交通大學(xué) 凱原法學(xué)院,上海 200030;2.復(fù)旦大學(xué) 法學(xué)院,上海 200438)

一、問(wèn)題之提出

在全球發(fā)達(dá)國(guó)家對(duì)應(yīng)法域較之以前更加倡導(dǎo)數(shù)據(jù)開(kāi)放、數(shù)據(jù)共享的浪潮下,全球范圍內(nèi)的多層次、多類型主體對(duì)于個(gè)人信息匿名化的需求亦與日俱增。匿名化技術(shù)在于切斷原始數(shù)據(jù)集中數(shù)據(jù)所有者和敏感信息之間的一一對(duì)應(yīng)關(guān)系,產(chǎn)生既滿足隱私保護(hù)需求又保證數(shù)據(jù)可用的匿名數(shù)據(jù)集[1]。從原理上看,該等技術(shù)有效解決了數(shù)據(jù)利用過(guò)程中所帶來(lái)的隱私泄露問(wèn)題,極大促進(jìn)了數(shù)據(jù)的自由流通,提升了數(shù)據(jù)共享和利用效率。換言之,匿名化技術(shù)已成為數(shù)據(jù)利用環(huán)節(jié)的重要前提和保障。與此同時(shí),由于技術(shù)的負(fù)外部性,匿名化技術(shù)也面臨明顯的現(xiàn)實(shí)困境。首先,數(shù)據(jù)的形式多樣,作用各異,很難運(yùn)用統(tǒng)一的標(biāo)準(zhǔn)達(dá)到完全的匿名化[2]。其次,匿名化處理的再識(shí)別對(duì)個(gè)人信息匿名化法律標(biāo)準(zhǔn)的確立提出了挑戰(zhàn):匿名化與再識(shí)別技術(shù)的天然對(duì)抗性使匿名化處理面臨從傳統(tǒng)的完全匿名化困境到目前的可逆轉(zhuǎn)風(fēng)險(xiǎn)的嬗變,無(wú)疑擴(kuò)大了匿名化處理過(guò)程中的隱私風(fēng)險(xiǎn)。技術(shù)的易變性增加了個(gè)人信息匿名化法律規(guī)制的不確定性,如何確立個(gè)人信息匿名化的法律標(biāo)準(zhǔn),以及如何規(guī)制成為亟待解決的現(xiàn)實(shí)問(wèn)題。

通過(guò)梳理現(xiàn)有文獻(xiàn)可以看出,相關(guān)學(xué)者的理論著述均不同程度吸收和借鑒了風(fēng)險(xiǎn)控制理念。有學(xué)者從如何實(shí)現(xiàn)真正的匿名化入手,提出構(gòu)建事前、事中、事后的風(fēng)險(xiǎn)評(píng)估機(jī)制[3]。有學(xué)者從匿名化的實(shí)現(xiàn)方式上切入,建議進(jìn)行功能性匿名化,并將比例原則引入個(gè)人信息匿名化的法律標(biāo)準(zhǔn)重塑中[4]。還有學(xué)者從匿名化的再識(shí)別風(fēng)險(xiǎn)出發(fā),提出在事前、事中、事后分階段構(gòu)建基于再識(shí)別風(fēng)險(xiǎn)的匿名信息分級(jí)披露制[5]。通過(guò)梳理前期研究成果可知,學(xué)者主要是從風(fēng)險(xiǎn)評(píng)估及技術(shù)視角探討如何實(shí)現(xiàn)信息處理者在個(gè)人信息匿名化處理時(shí)的合規(guī)行為,而從法律治理視角對(duì)個(gè)人信息匿名化的研究則有待進(jìn)一步探討。本文試從風(fēng)險(xiǎn)控制理念的視角切入,通過(guò)對(duì)我國(guó)個(gè)人信息匿名化規(guī)則的缺陷進(jìn)行檢視,在此基礎(chǔ)上提出優(yōu)化個(gè)人信息匿名化規(guī)則的方案,以期為我國(guó)個(gè)人信息匿名化的法律規(guī)制提供有益借鑒。

二、個(gè)人信息匿名化處理之技術(shù)風(fēng)險(xiǎn)的法律透視

信息技術(shù)發(fā)展為社會(huì)經(jīng)濟(jì)發(fā)展帶來(lái)便利的同時(shí),也帶來(lái)極大的隱私侵權(quán)風(fēng)險(xiǎn)。法律長(zhǎng)期發(fā)揮著規(guī)范秩序和控制風(fēng)險(xiǎn)的重要作用,當(dāng)人工智能等信息科技帶來(lái)諸多社會(huì)風(fēng)險(xiǎn)時(shí),法律介入規(guī)制應(yīng)當(dāng)確立必要的風(fēng)險(xiǎn)社會(huì)理念,進(jìn)行有效的風(fēng)險(xiǎn)控制[6]。數(shù)據(jù)保護(hù)自一開(kāi)始就是一種風(fēng)險(xiǎn)監(jiān)管機(jī)制[7],特別是針對(duì)技術(shù)所引發(fā)的隱私風(fēng)險(xiǎn)進(jìn)行規(guī)制。以信息技術(shù)為代表的數(shù)據(jù)挖掘、數(shù)據(jù)分析等技術(shù)為社會(huì)經(jīng)濟(jì)發(fā)展帶來(lái)諸多數(shù)據(jù)紅利,各國(guó)也均紛紛致力于探究如何有效平衡數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)利用之間的沖突。在此方面,匿名化技術(shù)通過(guò)元組泛化、抑制等數(shù)據(jù)處理的K系列匿名方案實(shí)現(xiàn)數(shù)據(jù)的匿名化,從而保證數(shù)據(jù)集發(fā)布的隱私安全[8],是信息處理者排除適用個(gè)人信息保護(hù)法規(guī)制的重要手段,是降低數(shù)據(jù)隱私侵權(quán)風(fēng)險(xiǎn)的技術(shù)保障。

匿名化技術(shù)主要包括兩個(gè)不同的目標(biāo),主要目標(biāo)在于對(duì)信息進(jìn)行實(shí)際的身份識(shí)別,第二個(gè)目標(biāo)是降低數(shù)據(jù)的敏感屬性,換言之,匿名化減少了將信息與特定數(shù)據(jù)主體相關(guān)聯(lián)的能力。在一定程度上,隱含的風(fēng)險(xiǎn)特性涉及身份信息和敏感屬性,假設(shè)可行,匿名化可以減少隱私風(fēng)險(xiǎn)[9]。然而,在信息技術(shù)不斷更新迭代的當(dāng)下,匿名化處理所固有的技術(shù)風(fēng)險(xiǎn)以及匿名數(shù)據(jù)法律標(biāo)準(zhǔn)的不確定性使以降低隱私風(fēng)險(xiǎn)為目標(biāo)的匿名化仍面臨挑戰(zhàn)。

(一)身份識(shí)別標(biāo)準(zhǔn)的不確定性

如前文所述,匿名化首要目標(biāo)在于對(duì)信息進(jìn)行實(shí)際的身份識(shí)別。所謂“識(shí)別”是指?jìng)€(gè)人信息與信息主體存在某一客觀確定的可能性,簡(jiǎn)單說(shuō)是通過(guò)這些個(gè)人信息能夠把信息主體直接或間接“認(rèn)出來(lái)”[10]。根據(jù)定義,匿名數(shù)據(jù)是“與識(shí)別或可識(shí)別自然人無(wú)關(guān)的信息或以數(shù)據(jù)主體不能或不再可識(shí)別的方式匿名提供的個(gè)人信息”(2)GDPR序言第26條。。由此可知,匿名數(shù)據(jù)的界定是以明確的個(gè)人信息邊界為前提。在個(gè)人信息界定方面,我國(guó)現(xiàn)行立法對(duì)個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)采用身份識(shí)別標(biāo)準(zhǔn)(identification),此種標(biāo)準(zhǔn)也是目前世界范圍內(nèi)占據(jù)主流地位的認(rèn)定標(biāo)準(zhǔn)之一[11]。根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》(也稱《通用數(shù)據(jù)保護(hù)條例》,系指General Data Protection Regulation,縮寫(xiě)為“GDPR”)第4條規(guī)定,“個(gè)人數(shù)據(jù)是指與已識(shí)別或可識(shí)別的自然人(數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)”(3)GDPR第4條第1款。。對(duì)于“已識(shí)別”而言,通常是指可以通過(guò)直觀的判斷而無(wú)需借助任何技術(shù)或價(jià)值判斷即可直接識(shí)別特定數(shù)據(jù)主體,如通過(guò)自然人的姓名、出生日期、身份證件號(hào)等數(shù)據(jù)可以直接識(shí)別特定數(shù)據(jù)主體。反之,對(duì)于“可識(shí)別”而言,也即所謂的間接識(shí)別,則往往需要借助特定技術(shù)手段甚至需要通過(guò)價(jià)值判斷來(lái)實(shí)現(xiàn),如位置信息、消費(fèi)者行為信息甚至是網(wǎng)頁(yè)瀏覽記錄等信息。

對(duì)于可識(shí)別的判斷標(biāo)準(zhǔn),不少國(guó)家或地區(qū)的法律實(shí)踐對(duì)其界定時(shí),事實(shí)上采取的是一種預(yù)測(cè)判斷,并且這種預(yù)測(cè)判斷需要合理和實(shí)踐可行[11]。即便在特定場(chǎng)景中,一筆信息(集)能否識(shí)別或關(guān)聯(lián)特定個(gè)人,仍無(wú)法作“是或非”的二元化界定,只能作“程度化”考量,即評(píng)估構(gòu)成個(gè)人信息的“可能性”[12],如歐盟采用的判斷標(biāo)準(zhǔn)為“所有合理可能的方法”(4)GDPR序言第26條已明確:為確定自然人是否具有可識(shí)別性,必須考慮可能使用的所有方法,例如數(shù)據(jù)控制者或其他任何人為直接或間接地識(shí)別自然人而采取的篩選方法。為確定某一方法是否可合理地用于識(shí)別自然人,必須考慮所有客觀因素,例如識(shí)別所需的成本和時(shí)間,還需考慮處理和技術(shù)開(kāi)發(fā)過(guò)程中可用的技術(shù)。。在是否構(gòu)成個(gè)人信息方面,歐盟雖然強(qiáng)調(diào)要結(jié)合上下文語(yǔ)境進(jìn)行判斷,但“合理可能”本身就隱含了大量的技術(shù)判斷及價(jià)值判斷。同一條數(shù)據(jù)在某一方手中可能是個(gè)人數(shù)據(jù),但是在另一方手中就不是個(gè)人數(shù)據(jù)[13]。因此,在個(gè)人信息界定上存在諸多不確定性。

此外,身份識(shí)別的標(biāo)準(zhǔn)也會(huì)隨著信息處理者(GDPR中表述為數(shù)據(jù)控制者)的識(shí)別技術(shù)水平甚至是被識(shí)別主體對(duì)于隱私被侵犯的接受程度因人因情景而異。身份識(shí)別判斷標(biāo)準(zhǔn)的不確定直接導(dǎo)致個(gè)人信息與非個(gè)人信息之間的界限模糊。更為甚者,通過(guò)信息技術(shù),幾乎所有數(shù)據(jù)都可納入個(gè)人信息范疇,這會(huì)直接導(dǎo)致身份識(shí)別標(biāo)準(zhǔn)在界定個(gè)人信息方面的作用失效。數(shù)據(jù)流通、共享是以排除適用個(gè)人信息保護(hù)法為前提,而身份識(shí)別法律標(biāo)準(zhǔn)的模糊性以及不確定性無(wú)法為信息處理者提供明確的行為指引,在個(gè)人信息匿名化處理中信息處理者很難找到可參照的行為標(biāo)準(zhǔn)來(lái)對(duì)信息處理行為加以約束,這無(wú)疑會(huì)增加個(gè)人信息匿名化處理中的隱私侵權(quán)風(fēng)險(xiǎn)。

(二)身份再識(shí)別的可逆轉(zhuǎn)性

匿名化的另一目標(biāo)在于降低數(shù)據(jù)的敏感屬性。從技術(shù)角度來(lái)看,其實(shí)現(xiàn)方式主要通過(guò)從數(shù)據(jù)中永久和完全刪除個(gè)人標(biāo)識(shí)符,如將個(gè)人身份信息轉(zhuǎn)換為匯總數(shù)據(jù)。而匿名數(shù)據(jù)則是不能再以任何方式與個(gè)人關(guān)聯(lián)的數(shù)據(jù),一旦剝離了此數(shù)據(jù)中的個(gè)人識(shí)別元素,這些元素就永遠(yuǎn)無(wú)法與數(shù)據(jù)或底層個(gè)人重新關(guān)聯(lián)。對(duì)此,歐盟第29小組特別強(qiáng)調(diào)匿名化的處理必須是“不可逆轉(zhuǎn)的”(irreversible)[14]。實(shí)踐中,在大數(shù)據(jù)技術(shù)的作用下,完全且徹底的匿名化已不再可能。有研究表明,特定個(gè)人被重新識(shí)別的可能性很高,即使匿名數(shù)據(jù)集嚴(yán)重不完整,也可以保證其重新識(shí)別的準(zhǔn)確性,如在任何數(shù)據(jù)集中使用15個(gè)受眾特征都會(huì)正確地重新識(shí)別99.98%的美國(guó)人[15]。身份再識(shí)別帶來(lái)的匿名數(shù)據(jù)可逆轉(zhuǎn)的風(fēng)險(xiǎn),給以降低隱私風(fēng)險(xiǎn)為目的的匿名化帶來(lái)威脅。信息處理者使用、共享數(shù)據(jù)的合法性源于所用數(shù)據(jù)已切斷與信息主體之間的可識(shí)別性,意味著信息處理者對(duì)數(shù)據(jù)安全保護(hù)義務(wù)的完成。然而在再識(shí)別技術(shù)下,該識(shí)別性再次被重新連結(jié),攻擊者可以通過(guò)收集的輔助信息來(lái)實(shí)現(xiàn)去匿名化,一方面加重了信息處理者的責(zé)任負(fù)擔(dān),另一方面直接導(dǎo)致隱私侵權(quán)風(fēng)險(xiǎn)加大。

三、風(fēng)險(xiǎn)控制理念對(duì)個(gè)人信息匿名化處理的回應(yīng)

(一)風(fēng)險(xiǎn)控制目標(biāo):平衡數(shù)據(jù)的有效性與實(shí)用性

匿名化作為平衡個(gè)人信息隱私保護(hù)與利用之間沖突的技術(shù)手段,在一定程度上緩解了二者之間的矛盾沖突。同時(shí),對(duì)于個(gè)人信息匿名化技術(shù)本身而言,在實(shí)現(xiàn)二者之間的平衡目標(biāo)時(shí),也面臨數(shù)據(jù)有效性與實(shí)用性之間的沖突。具體而言,在匿名化的實(shí)現(xiàn)方式上,主要依靠去除能夠識(shí)別信息主體標(biāo)識(shí)符的方式達(dá)到隱私保護(hù)的目的。然而,單純將原始數(shù)據(jù)中能夠標(biāo)識(shí)數(shù)據(jù)主體的標(biāo)識(shí)符去除的方法并不能有效實(shí)現(xiàn)匿名保護(hù),實(shí)現(xiàn)匿名保護(hù)通常要對(duì)數(shù)據(jù)在準(zhǔn)標(biāo)識(shí)符上的屬性值作概化處理(generalization)方能實(shí)現(xiàn)數(shù)據(jù)的匿名化,而此舉往往會(huì)在很大程度上降低數(shù)據(jù)的精確性繼而導(dǎo)致降低共享數(shù)據(jù)的可用性(5)所謂概化處理,即用較為抽象概括的屬性值來(lái)代替原本具體的屬性值。參見(jiàn):王智慧、許儉、汪衛(wèi)、施伯樂(lè)《一種基于聚類的數(shù)據(jù)匿名方法》,(《軟件學(xué)報(bào)》,2010年第4期680-693頁(yè))。。筆者認(rèn)為,過(guò)度的匿名化雖有利于數(shù)據(jù)隱私保護(hù),但該保護(hù)以犧牲數(shù)據(jù)的利用價(jià)值為前提,有悖于個(gè)人信息匿名化提升數(shù)據(jù)利用價(jià)值的初衷。

從技術(shù)角度看,匿名化和去匿名化屬于兩個(gè)對(duì)立的概念,但二者之間的界限也并非非黑即白。實(shí)踐中,通過(guò)一定的技術(shù)手段可以基本實(shí)現(xiàn)完全的匿名化,將匿名化所產(chǎn)生的隱私風(fēng)險(xiǎn)降至最低甚至消除;對(duì)于去匿名化而言,盡管已有諸多實(shí)例證明已經(jīng)匿名化的數(shù)據(jù)有被再識(shí)別的風(fēng)險(xiǎn),對(duì)此有學(xué)者提出,已匿名化的數(shù)據(jù)被重新識(shí)別的風(fēng)險(xiǎn)主要源于不良的匿名化,并已試圖從技術(shù)角度提出如何實(shí)現(xiàn)充分的匿名化[16]。二者之間的界限雖然在很大程度上能夠從技術(shù)角度加以區(qū)分,但考慮到數(shù)據(jù)的有效性和實(shí)用性,追求完全的匿名化或許并不具備特別積極的現(xiàn)實(shí)意義。而若默許非完全匿名化,抑或意味著為再識(shí)別留下一定空間,加大了再識(shí)別信息主體的隱私風(fēng)險(xiǎn)。筆者認(rèn)為,之所以二者之間形成對(duì)立,在于研究主體對(duì)二者的判斷是基于結(jié)果導(dǎo)向方法所致,并未充分考慮二者之間存在的數(shù)據(jù)實(shí)用性空間。為有效平衡數(shù)據(jù)有效性和實(shí)用性之間的沖突,應(yīng)當(dāng)將重點(diǎn)轉(zhuǎn)向關(guān)注降低匿名化處理過(guò)程中的風(fēng)險(xiǎn)。

(二)風(fēng)險(xiǎn)控制手段:從結(jié)果導(dǎo)向到風(fēng)險(xiǎn)控制

信息科技的發(fā)展使掌握核心技術(shù)的信息處理者與信息主體之間的地位出現(xiàn)嚴(yán)重失衡,私權(quán)力地位不斷上升,信息主體弱勢(shì)地位愈發(fā)凸顯。越來(lái)越多的研究表明,以信息主體“知情—同意”為數(shù)據(jù)保護(hù)核心原則的傳統(tǒng)在實(shí)踐運(yùn)用中受阻(6)知情同意所面臨的困境學(xué)術(shù)界已存在諸多討論,觀點(diǎn)詳情可參見(jiàn):高富平《個(gè)人信息保護(hù):從個(gè)人控制到社會(huì)控制》,(《法學(xué)研究》,2018年第3期84-101頁(yè));萬(wàn)方《隱私政策中的告知同意原則及其異化》,(《法律科學(xué)(西北政法大學(xué)學(xué)報(bào))》,2019年第2期61-68頁(yè))。。由于前述雙方在技術(shù)理解、運(yùn)用上存在明顯的“知識(shí)溝壑”,信息處理者掌握絕對(duì)的話語(yǔ)權(quán),大量個(gè)人信息由信息處理者掌控,信息主體僅僅依靠日常經(jīng)驗(yàn)及其對(duì)信息技術(shù)的一般理解,容易喪失對(duì)其自身數(shù)據(jù)掌控的能力?！爸椤狻敝贫冗M(jìn)而可能成為紙上談兵,信息主體合法權(quán)益難以獲得有效保障。信息處理者責(zé)任承擔(dān)的觸發(fā)往往建立在信息主體合法權(quán)益已遭受侵權(quán)的基礎(chǔ)上。然而,大數(shù)據(jù)時(shí)代的隱私侵權(quán)行為方式變得更加隱秘,性質(zhì)更加模糊,后果呈現(xiàn)形式多樣且損害程度更加嚴(yán)重,行為與結(jié)果之間的因果關(guān)系更加松散,致使信息主體在維權(quán)方面面臨極大的障礙[17]。不僅如此,當(dāng)前一些業(yè)內(nèi)領(lǐng)先的大型企業(yè)已經(jīng)比政府掌握了更多的公民信息,相當(dāng)一部分公權(quán)力部門(mén)也不得不依賴它們,久而久之,在未建立明確約束機(jī)制而存在長(zhǎng)期勾稽互通的語(yǔ)境下,前述依賴將模糊公權(quán)力與私權(quán)力之間的邊界,使本來(lái)應(yīng)當(dāng)由政府監(jiān)管的對(duì)象成為政府的合作伙伴乃至實(shí)際控制者[18]。信息處理者的“數(shù)據(jù)權(quán)力”缺乏制衡將導(dǎo)致信息主體只能被動(dòng)承受數(shù)據(jù)被分析、使用甚至泄露等一系列后果而無(wú)力反抗[19]。對(duì)于個(gè)人信息匿名化而言,現(xiàn)實(shí)的訴求往往聚焦于追求匿名化的最終目標(biāo),以匿名化的結(jié)果是否實(shí)現(xiàn)來(lái)判斷信息處理者是否達(dá)到保障隱私安全的義務(wù)。然而,如上文所述,匿名化的結(jié)果充滿諸多不確定性,以結(jié)果導(dǎo)向的規(guī)制方式使匿名化處理過(guò)程中的隱私風(fēng)險(xiǎn)未能進(jìn)行有效及時(shí)準(zhǔn)確地識(shí)別,在侵權(quán)救濟(jì)方面也面臨極大障礙,無(wú)法有效保障信息主體的合法利益。有鑒于此,筆者認(rèn)為,與其在價(jià)值判斷與現(xiàn)實(shí)訴求上趨于理想化地專注于匿名化的最終目標(biāo),不如圍繞降低風(fēng)險(xiǎn)的必要流程對(duì)法律進(jìn)行機(jī)制設(shè)計(jì),關(guān)注重新識(shí)別和敏感屬性公開(kāi)的規(guī)范方式[20],轉(zhuǎn)變個(gè)人信息匿名化的規(guī)制方式,從結(jié)果導(dǎo)向轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)控制。

現(xiàn)代社會(huì)之所以強(qiáng)化個(gè)人信息保護(hù),原因在于個(gè)人不易對(duì)個(gè)人信息流通中的風(fēng)險(xiǎn)進(jìn)行有效管理。面對(duì)越來(lái)越復(fù)雜的信息收集方式和信息的不規(guī)范流轉(zhuǎn),個(gè)人也很難對(duì)相關(guān)風(fēng)險(xiǎn)加以判斷和防范[21]。風(fēng)險(xiǎn)控制理念以風(fēng)險(xiǎn)監(jiān)管為核心。不同于結(jié)果導(dǎo)向的事后救濟(jì),風(fēng)險(xiǎn)控制的方法更加強(qiáng)調(diào)技術(shù)對(duì)個(gè)人信息侵害的潛在的以及未知的影響,是基于事先的防范措施而不是以危害結(jié)果為導(dǎo)向的規(guī)制方式。事先防范措施意味著在保障信息主體合法權(quán)益方面更加強(qiáng)調(diào)信息處理者的義務(wù)及責(zé)任,將風(fēng)險(xiǎn)置于一定的可控范圍內(nèi)。風(fēng)險(xiǎn)控制的邏輯起點(diǎn)在于將風(fēng)險(xiǎn)分析工具嵌入信息處理全流程,其目的是評(píng)估每個(gè)處理操作的利弊,并以此為基礎(chǔ)管理風(fēng)險(xiǎn)[22]。具言之,風(fēng)險(xiǎn)導(dǎo)向的個(gè)人信息保護(hù)方法將規(guī)制重點(diǎn)轉(zhuǎn)向以信息處理者處理數(shù)據(jù)行為規(guī)范為中心,通過(guò)劃分不同風(fēng)險(xiǎn)級(jí)別對(duì)信息處理者相應(yīng)的義務(wù)及責(zé)任作出類型化規(guī)定,使信息處理者在個(gè)人信息處理活動(dòng)中可形成自律監(jiān)管的模式,從而達(dá)到保障信息主體合法權(quán)益的目的。

(三)風(fēng)險(xiǎn)控制結(jié)果:課以信息處理者相應(yīng)的義務(wù)

風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)風(fēng)險(xiǎn)控制理念的核心。個(gè)人信息匿名化處理過(guò)程中面臨身份識(shí)別標(biāo)準(zhǔn)不確定以及身份再識(shí)別的風(fēng)險(xiǎn),兩種風(fēng)險(xiǎn)貫穿個(gè)人信息匿名化處理的全流程。信息處理者作為風(fēng)險(xiǎn)評(píng)估的義務(wù)主體,應(yīng)當(dāng)承擔(dān)降低隱私侵權(quán)風(fēng)險(xiǎn)的責(zé)任。評(píng)估匿名化處理過(guò)程中的風(fēng)險(xiǎn)是信息處理者的應(yīng)有義務(wù),通過(guò)信息處理者自律監(jiān)管模式的數(shù)據(jù)評(píng)估,能夠提升信息主體對(duì)信息處理者合法合理利用數(shù)據(jù)的信心,對(duì)于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展大有裨益。在數(shù)據(jù)處理中,賦予信息處理者一定的自由裁量權(quán),由風(fēng)險(xiǎn)管理人員運(yùn)用科學(xué)方法,對(duì)個(gè)人信息匿名化有關(guān)的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)分析與研究,確定各項(xiàng)風(fēng)險(xiǎn)的頻度和強(qiáng)度,為選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)處理方法提供依據(jù)[23]?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)提出,國(guó)家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制,加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作(7)《中華人民共和國(guó)數(shù)據(jù)安全法》第22條。。與《數(shù)據(jù)安全法》相呼應(yīng),筆者認(rèn)為,通過(guò)風(fēng)險(xiǎn)評(píng)估并根據(jù)風(fēng)險(xiǎn)等級(jí)確定數(shù)據(jù)匿名化的程度,進(jìn)一步依據(jù)風(fēng)險(xiǎn)程度的高低課以數(shù)據(jù)控制者相應(yīng)的義務(wù),這一風(fēng)險(xiǎn)導(dǎo)向的制度邏輯閉環(huán)比結(jié)果導(dǎo)向的制度邏輯閉環(huán)更具實(shí)踐性。

四、風(fēng)險(xiǎn)控制理念下個(gè)人信息匿名化的制度因應(yīng)

數(shù)據(jù)開(kāi)放與共享是當(dāng)前世界各國(guó)制定大數(shù)據(jù)發(fā)展戰(zhàn)略重點(diǎn)關(guān)注的問(wèn)題,《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》明確指出當(dāng)下我國(guó)數(shù)據(jù)市場(chǎng)面臨數(shù)據(jù)開(kāi)放不足的問(wèn)題。在法律規(guī)范層面,《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)保法》)以及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)第42條的但書(shū)條款構(gòu)成了我國(guó)當(dāng)前法律層面關(guān)于個(gè)人信息匿名化處理的主要規(guī)定(8)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第4條規(guī)定:個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第42條規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。。以上規(guī)定作為基本法的規(guī)范,在文字表述上雖然相對(duì)抽象、籠統(tǒng),但從原則與觀念上,依然確立了我國(guó)個(gè)人信息匿名化處理不可識(shí)別不可復(fù)原的標(biāo)準(zhǔn)?？上У氖?由于具體法律標(biāo)準(zhǔn)缺失,在具體適用上缺乏具體的法律性規(guī)范解釋,前述規(guī)范已幾乎淪為宣誓性條款。此外,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中對(duì)于匿名化、去標(biāo)識(shí)化以及再識(shí)別等相應(yīng)內(nèi)容也有所提及,可整體看來(lái),同樣缺乏對(duì)個(gè)人信息匿名化的細(xì)則說(shuō)明(9)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》GB/T35273-2020。。在實(shí)踐中,以上海和貴州為代表的大數(shù)據(jù)交易中心已經(jīng)通過(guò)開(kāi)展數(shù)據(jù)交易的模式來(lái)實(shí)現(xiàn)數(shù)據(jù)的流通、共享,并針對(duì)數(shù)據(jù)匿名化形成了一定標(biāo)準(zhǔn)規(guī)范(10)以上海大數(shù)據(jù)交易中心《流通數(shù)據(jù)處理準(zhǔn)則》為例,其明確可直接識(shí)別特定個(gè)人身份的標(biāo)識(shí)與其他個(gè)人數(shù)據(jù)分別存管和處理的隔離原則,并進(jìn)一步明確在任何情形下均不得擅自公開(kāi)、向第三人提供帶有身份標(biāo)識(shí)個(gè)人數(shù)據(jù)的禁止公開(kāi)原則等。,囿于一些外部客觀原因,亦多體現(xiàn)為原則性規(guī)定,并無(wú)針對(duì)個(gè)人信息匿名化操作的具體技術(shù)性、強(qiáng)制性標(biāo)準(zhǔn)規(guī)范。

總體來(lái)看,我國(guó)關(guān)于個(gè)人信息匿名化的規(guī)制碎片化現(xiàn)象突出,規(guī)范性文件位階偏低,高位階的規(guī)范性文件由于無(wú)法較好銜接細(xì)化規(guī)則,容易流于形式或者淪為宣誓性規(guī)定,缺乏可操作、可對(duì)接的具體機(jī)制。鑒于數(shù)據(jù)開(kāi)放、共享日益重要,在立法層面亟待對(duì)個(gè)人信息的匿名化進(jìn)行規(guī)范。個(gè)人信息匿名化本質(zhì)上屬于技術(shù)范疇,對(duì)于技術(shù)治理需要通過(guò)一定的程序或者機(jī)制讓不同的利益相關(guān)者參與到相應(yīng)的技術(shù)過(guò)程之中,充分考慮權(quán)利、資源和利益分配等問(wèn)題,以實(shí)現(xiàn)解決沖突和理性決策的目標(biāo)[24]?？紤]到基于風(fēng)險(xiǎn)控制的個(gè)人信息匿名化仍具有諸多不確定性,在具體規(guī)制上要以保障信息主體權(quán)利為核心、以限制信息處理者權(quán)力為目的、賦予監(jiān)管主體權(quán)力為手段的制度規(guī)范。

(一)以個(gè)人信息權(quán)利保護(hù)為核心

風(fēng)險(xiǎn)管理不只是一種技術(shù)分析方法,它還體現(xiàn)了重要的價(jià)值觀和理想,尤其在問(wèn)責(zé)制和責(zé)任層面[25]。從上文來(lái)看,基于風(fēng)險(xiǎn)的規(guī)制方法相較傳統(tǒng)個(gè)人信息保護(hù)規(guī)制方法來(lái)說(shuō)具有一定的靈活性,有效適應(yīng)了大數(shù)據(jù)時(shí)代數(shù)據(jù)規(guī)制的需求。但其具體適用效果以及規(guī)制防范是否降低甚至排除適用以個(gè)人信息人權(quán)保障為核心的保護(hù)方式,存在較大爭(zhēng)議:不同于其他領(lǐng)域的風(fēng)險(xiǎn)評(píng)估可以通過(guò)具體量化的方式進(jìn)行,隱私風(fēng)險(xiǎn)評(píng)估不僅僅涉及技術(shù)規(guī)范,還隱含大量?jī)r(jià)值判斷,很難通過(guò)量化的標(biāo)準(zhǔn)對(duì)其進(jìn)行評(píng)估。目前,以風(fēng)險(xiǎn)控制為核心的歐洲數(shù)據(jù)保護(hù)系統(tǒng)亦欠缺統(tǒng)一的框架來(lái)衡量和評(píng)估已識(shí)別的隱私風(fēng)險(xiǎn)。雖然歐盟《一般數(shù)據(jù)保護(hù)條例》在《數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上更加明確了相關(guān)風(fēng)險(xiǎn)的具體類型,但仍然以靈活抽象的方式定義風(fēng)險(xiǎn),并且需要由數(shù)據(jù)控制者根據(jù)每個(gè)數(shù)據(jù)處理案例的特殊性來(lái)指定和評(píng)估[26]。對(duì)此,有學(xué)者提出評(píng)估的決定權(quán)掌握在數(shù)據(jù)控制者手中是否會(huì)加強(qiáng)數(shù)據(jù)控制者的權(quán)力[27]。這種新興的執(zhí)法范式主要依靠數(shù)據(jù)控制者的自律監(jiān)管,可能加劇破壞數(shù)據(jù)保護(hù)機(jī)構(gòu)的作用,還可能會(huì)進(jìn)一步減弱其有效數(shù)據(jù)保護(hù)的能力以及有損數(shù)據(jù)主體的基本權(quán)利[28]。還有學(xué)者提出,基于風(fēng)險(xiǎn)的規(guī)制方法與基于權(quán)利保護(hù)的方法相悖,基于權(quán)利的保護(hù)方法更加強(qiáng)調(diào)公平,將個(gè)人數(shù)據(jù)保護(hù)的范圍公正平等地覆蓋到每個(gè)數(shù)據(jù)主體,而基于風(fēng)險(xiǎn)的規(guī)制方法是有選擇的,顯然在保障公平性上有所欠缺[29]。

筆者認(rèn)為,基于風(fēng)險(xiǎn)的規(guī)制方法雖然給予信息處理者在處理數(shù)據(jù)上評(píng)估風(fēng)險(xiǎn)的空間,但并非意味著歐盟摒棄了以個(gè)人信息人權(quán)保障為核心的保護(hù)方式。歐盟第29條工作小組(WP29)一直支持在歐盟數(shù)據(jù)保護(hù)法律框架中納入基于風(fēng)險(xiǎn)的方法,同時(shí)工作小組也指出基于風(fēng)險(xiǎn)的方法并非是替代已確立的數(shù)據(jù)保護(hù)權(quán)利和原則,其實(shí)質(zhì)上是一種數(shù)據(jù)控制者處理數(shù)據(jù)的合規(guī)方法[30]。進(jìn)一步而言,信息處理者仍需以保障信息主體的人格利益為目標(biāo),只是在規(guī)制方法上采用更靈活的基于風(fēng)險(xiǎn)的監(jiān)管方式,其目的仍是為保障信息主體的合法權(quán)益,對(duì)于匿名化而言,其本身的數(shù)據(jù)處理行為仍需要受到個(gè)人信息保護(hù)基本原則的限制,如相關(guān)機(jī)制的構(gòu)建并未豁免知情同意原則、數(shù)據(jù)最小化原則以及目的限制原則等。在個(gè)人信息主體權(quán)益保護(hù)方面,我國(guó)《個(gè)保法》更是專章對(duì)個(gè)人信息主體在個(gè)人信息處理活動(dòng)中享有的權(quán)利進(jìn)行了規(guī)定,形成了相對(duì)全面的個(gè)人信息權(quán)利體系。當(dāng)然,個(gè)人信息主體權(quán)利的實(shí)現(xiàn)有賴于個(gè)人信息處理者履行相應(yīng)的行為義務(wù),對(duì)信息主體權(quán)利的實(shí)現(xiàn)提供全面保障[31]。需要指出的是,風(fēng)險(xiǎn)控制導(dǎo)向理念的優(yōu)位,是在理念層面上擺脫數(shù)據(jù)保護(hù)現(xiàn)實(shí)訴求與理想價(jià)值判斷的束縛,替代結(jié)果導(dǎo)向理念,以此在理解技術(shù)發(fā)展與技術(shù)壁壘、平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)共享的同時(shí),從強(qiáng)化可行性的實(shí)踐視閾,為信息處理者內(nèi)源性的數(shù)據(jù)合規(guī)與自律監(jiān)管、信息主體外向性的數(shù)據(jù)使用與權(quán)利保護(hù)提供較為有效的機(jī)制彌合的思維進(jìn)路,而任何導(dǎo)向及語(yǔ)境下的思維進(jìn)路均未以規(guī)范原則與規(guī)范手段完全替代的實(shí)踐模式作為前述機(jī)制彌合的優(yōu)化模式,亦即風(fēng)險(xiǎn)控制導(dǎo)向理念側(cè)重于為解釋既有立法的執(zhí)行方向與未來(lái)立法的規(guī)范方向提供框架性理?yè)?jù)支撐。

(二)完善個(gè)人信息分類保護(hù)制度

個(gè)人信息匿名化建立于個(gè)人信息可識(shí)別的基礎(chǔ)上,系個(gè)人信息分類保護(hù)的大前提。值得注意的是,在個(gè)人信息界定上,各國(guó)將“場(chǎng)景”理念嵌入個(gè)人信息界定中,即對(duì)個(gè)人信息的界定需要依據(jù)具體的場(chǎng)景加以個(gè)案判斷。同樣,對(duì)于匿名數(shù)據(jù)的認(rèn)定也采取動(dòng)態(tài)場(chǎng)景化的方式進(jìn)行理解[32]。動(dòng)態(tài)場(chǎng)景化的界定方式從個(gè)案判斷出發(fā),根據(jù)數(shù)據(jù)所處上下文語(yǔ)境進(jìn)行判斷,能夠?qū)κ欠駱?gòu)成個(gè)人信息進(jìn)行客觀評(píng)價(jià),但動(dòng)態(tài)場(chǎng)景化的界定方式仍無(wú)法突破信息技術(shù)判斷標(biāo)準(zhǔn)因人而異所帶來(lái)的差異。場(chǎng)景一詞作為研究中的變量往往千差萬(wàn)別,去匿名化過(guò)程中所存在的風(fēng)險(xiǎn)更是因場(chǎng)景不同而所有差異[33]。學(xué)者Paul Ohm提出匿名化是“破碎的隱私承諾”,提議取消傳統(tǒng)的個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)的界分[34]。應(yīng)當(dāng)看到,取消個(gè)人信息與非個(gè)人信息的方式并不可取,原因在于對(duì)個(gè)人信息進(jìn)行準(zhǔn)確厘定是清晰權(quán)利與義務(wù)的前提,既是信息主體確認(rèn)其基本權(quán)利的起點(diǎn),亦屬于對(duì)信息處理者課以相應(yīng)義務(wù)的起點(diǎn)。應(yīng)當(dāng)摒棄個(gè)人信息與非個(gè)人信息的絕對(duì)化區(qū)分,根據(jù)具體場(chǎng)景與制度功能對(duì)個(gè)人信息的范圍予以厘定并加以規(guī)制,為應(yīng)對(duì)場(chǎng)景化理論存在的不確定性問(wèn)題,可以建立模塊化的個(gè)人信息分類保護(hù)制度[35]。

如上文所述,身份識(shí)別標(biāo)準(zhǔn)存在諸多不確定性風(fēng)險(xiǎn),個(gè)人信息范圍的抽象性和不確定性無(wú)法為企業(yè)等數(shù)據(jù)利用者提供明確的行為預(yù)期[36]?，F(xiàn)有關(guān)于個(gè)人信息的界定已經(jīng)無(wú)法適應(yīng)信息技術(shù)背景下個(gè)人信息隱私保護(hù)和利用需求,個(gè)人信息分類保護(hù)成為當(dāng)前學(xué)界普遍認(rèn)為合理可行的方式。在具體類型劃分上,有學(xué)者提出可參考保羅·施瓦茨與丹尼爾·索洛夫所提出的“個(gè)人信息2.0”的概念,將可識(shí)別的個(gè)人信息分為三類(11)觀點(diǎn)詳情參見(jiàn):丁曉東《用戶畫(huà)像、個(gè)性化推薦與個(gè)人信息保護(hù)》,(《環(huán)球法律評(píng)論》,2019年第5期82-96頁(yè));金耀《個(gè)人信息去身份的法理基礎(chǔ)與規(guī)范重塑》,(《法學(xué)評(píng)論》,2017年第3期120-130頁(yè))。:已識(shí)別個(gè)人的信息、可識(shí)別個(gè)人的信息、不可識(shí)別的個(gè)人信息。還有學(xué)者提出根據(jù)能否直接識(shí)別信息主體、社會(huì)性強(qiáng)弱以及是否具有敏感性這三項(xiàng)要素對(duì)個(gè)人信息進(jìn)行類型化構(gòu)建[37]。另有學(xué)者提出將個(gè)人信息的識(shí)別性和相關(guān)性進(jìn)行程度上的區(qū)分,即從識(shí)別性上可分為已識(shí)別信息、可識(shí)別信息、匿名信息,從相關(guān)性程度上可分為個(gè)人敏感信息、個(gè)人一般信息、完全無(wú)關(guān)的信息[38]。從以上類型劃分來(lái)看,雖然體現(xiàn)了差異化的個(gè)人數(shù)據(jù)分析,但無(wú)法脫離“可識(shí)別”與“不可識(shí)別”這一二分制的界定方式。筆者認(rèn)為,該分類標(biāo)準(zhǔn)存在局限性,無(wú)論是“已識(shí)別”還是“可識(shí)別”抑或是“身份”本身都有其相對(duì)性,不能直接幫助規(guī)范的制定者或爭(zhēng)議的裁判者了解相關(guān)信息在生活實(shí)踐中的應(yīng)用價(jià)值[39]。在數(shù)字技術(shù)背景下,數(shù)字技術(shù)的發(fā)展更是改變了信息識(shí)別個(gè)人的能力和方式,“識(shí)別”與“可識(shí)別”之間并非非此即彼[40]。

事實(shí)上,“可識(shí)別”與“不可識(shí)別”之間存在可識(shí)別性的連續(xù)性,可在可識(shí)別性的連續(xù)性上定義一個(gè)閾值。如果數(shù)據(jù)集的可識(shí)別性高于閾值,則將其視為個(gè)人數(shù)據(jù),反之,則為非個(gè)人數(shù)據(jù)[41]。根據(jù)個(gè)人數(shù)據(jù)被識(shí)別的難易程度,學(xué)者Emma提出了可識(shí)別性的五級(jí)模型,據(jù)該類型劃分,從可明確識(shí)別的數(shù)據(jù)到匯總數(shù)據(jù)的再識(shí)別,重新識(shí)別需要付出的精力、成本、時(shí)間以及技巧越高,數(shù)據(jù)被重新識(shí)別的風(fēng)險(xiǎn)愈小。根據(jù)以上標(biāo)準(zhǔn)劃分為:(1)可明確識(shí)別的數(shù)據(jù)(Readily identifiable data)(12)可明確識(shí)別的數(shù)據(jù)可通過(guò)社會(huì)安全號(hào)碼(SSN)及生物特征和出生日期或其他識(shí)別信息直接識(shí)別到數(shù)據(jù)主體,該級(jí)別需要最小的努力來(lái)重新識(shí)別到個(gè)人。;(2)掩碼數(shù)據(jù)(Masked data)(13)處于該級(jí)別的數(shù)據(jù)根據(jù)隨機(jī)化和創(chuàng)建可逆或不可逆的方式操縱識(shí)別變量,其主要作用是防止個(gè)人身份信息、敏感個(gè)人數(shù)據(jù)以及商業(yè)敏感數(shù)據(jù)被暴露給未經(jīng)授權(quán)的用戶。;(3)暴露數(shù)據(jù)(Exposed data)(14)該級(jí)別數(shù)據(jù)是指除屏蔽標(biāo)識(shí)符(如姓名和出生日期)外,還屏蔽了被視為準(zhǔn)標(biāo)識(shí)符(如日期、年齡和性別)的變量,但由于數(shù)據(jù)的可識(shí)別性不可確定,因此,該級(jí)別的數(shù)據(jù)代表了托管人的高風(fēng)險(xiǎn)暴露。;(4)托管數(shù)據(jù)(Managed data)(15)該級(jí)別數(shù)據(jù)可以是微數(shù)據(jù)或以表格形式出現(xiàn),并且僅在此級(jí)別上,數(shù)據(jù)可以從個(gè)人信息轉(zhuǎn)移到非個(gè)人信息,數(shù)據(jù)托管人可以管理重新識(shí)別的風(fēng)險(xiǎn)。;(5)匯總數(shù)據(jù)(Aggregate data)(16)特指明顯無(wú)法識(shí)別的數(shù)據(jù)。。該數(shù)據(jù)類型劃分突破了可識(shí)別和已識(shí)別之間的二元制界限,除可明顯識(shí)別的數(shù)據(jù)和完全無(wú)法識(shí)別的數(shù)據(jù)外,對(duì)處于中間狀態(tài)的數(shù)據(jù)更加強(qiáng)調(diào)數(shù)據(jù)控制者對(duì)數(shù)據(jù)的管理能力,如通過(guò)匿名或者去標(biāo)識(shí)符的方式來(lái)對(duì)數(shù)據(jù)進(jìn)行安全管理[42]。我國(guó)2021年4月發(fā)布的《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范》(征求意見(jiàn)稿)亦對(duì)個(gè)人信息的去標(biāo)識(shí)化分級(jí)進(jìn)行了有益嘗試,為去標(biāo)識(shí)化效果評(píng)估提供了國(guó)家標(biāo)準(zhǔn)(17)《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范》將個(gè)人信息標(biāo)識(shí)度分為四級(jí):能直接識(shí)別主體的數(shù)據(jù)、消除直接標(biāo)識(shí)符的數(shù)據(jù)、重標(biāo)識(shí)風(fēng)險(xiǎn)可接受數(shù)據(jù)以及聚合數(shù)據(jù)。。筆者認(rèn)為,該劃分方式較好地以信息處理者的責(zé)任和義務(wù)為核心,根據(jù)可識(shí)別風(fēng)險(xiǎn)的大小來(lái)課以其義務(wù),能夠敦促信息處理者合法合規(guī)的處理數(shù)據(jù)。

(三)確立相關(guān)隱私風(fēng)險(xiǎn)評(píng)估機(jī)制

風(fēng)險(xiǎn)評(píng)估的目的在于更好地對(duì)風(fēng)險(xiǎn)進(jìn)行控制和管理。隱私風(fēng)險(xiǎn)評(píng)估是對(duì)組織機(jī)構(gòu)所收集、儲(chǔ)存、管理、利用、開(kāi)放的數(shù)據(jù)是否對(duì)隱私產(chǎn)生影響所進(jìn)行的生命周期的、系統(tǒng)的評(píng)估過(guò)程和結(jié)果[43]。其目的在于為信息處理者提供明確的數(shù)據(jù)利用指引,規(guī)范信息處理者的行為。隱私風(fēng)險(xiǎn)評(píng)估對(duì)少數(shù)國(guó)家的政府機(jī)關(guān)來(lái)說(shuō)是一項(xiàng)強(qiáng)制性義務(wù),但大多數(shù)國(guó)家主要還是將其作為一種風(fēng)險(xiǎn)防控的商業(yè)手段,多體現(xiàn)在行業(yè)制度、企業(yè)內(nèi)部規(guī)范之中[44]。我國(guó)《數(shù)據(jù)安全法》明確將風(fēng)險(xiǎn)評(píng)估確定為信息處理者的一項(xiàng)強(qiáng)制性義務(wù)。筆者認(rèn)為,通過(guò)隱私風(fēng)險(xiǎn)評(píng)估可以實(shí)現(xiàn)兩方面的目標(biāo),一是明確信息處理者的義務(wù),二是可以形成相對(duì)透明的問(wèn)責(zé)機(jī)制。個(gè)人信息匿名化最終目的是發(fā)布無(wú)涉?zhèn)€人隱私的數(shù)據(jù)用于流通、共享。鑒于匿名化處理中存在的諸多風(fēng)險(xiǎn),應(yīng)當(dāng)通過(guò)隱私風(fēng)險(xiǎn)評(píng)估識(shí)別可能的隱私侵權(quán)風(fēng)險(xiǎn),將匿名化處理過(guò)程中的隱私風(fēng)險(xiǎn)評(píng)估作為數(shù)據(jù)控制者一項(xiàng)強(qiáng)制義務(wù)予以規(guī)范。此外,隱私風(fēng)險(xiǎn)評(píng)估本質(zhì)上是一種工具、方法,也需要通過(guò)制定相應(yīng)的操作性規(guī)范將隱私風(fēng)險(xiǎn)評(píng)估機(jī)制落到實(shí)處。

五、結(jié)語(yǔ)

匿名化作為平衡數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)利用沖突的重要技術(shù)手段,為數(shù)據(jù)的流通、共享提供了可能?？紤]到個(gè)人信息匿名化處理過(guò)程中所面臨的諸多風(fēng)險(xiǎn),應(yīng)當(dāng)將風(fēng)險(xiǎn)控制理念嵌入個(gè)人信息匿名化的法律制度構(gòu)建中。從個(gè)人信息匿名化標(biāo)準(zhǔn)確立到個(gè)人信息匿名化風(fēng)險(xiǎn)識(shí)別再到“匿名”數(shù)據(jù)發(fā)布,風(fēng)險(xiǎn)控制理念能夠與存在諸多不確定性風(fēng)險(xiǎn)的個(gè)人信息匿名化形成有效契合。在具體制度構(gòu)建上,應(yīng)當(dāng)緊緊圍繞個(gè)人信息權(quán)利保護(hù),通過(guò)完善個(gè)人信息分類制度以及隱私風(fēng)險(xiǎn)評(píng)估制度將匿名化的不確定性風(fēng)險(xiǎn)置于可控范圍內(nèi),為信息處理者處理數(shù)據(jù)提供清晰明確的指引。