數(shù)據(jù)匿名化處理的法律規(guī)制*

張晨原

(重慶大學(xué) 法學(xué)院，重慶 400044)

數(shù)據(jù)匿名化處理的法律規(guī)制*

張晨原

(重慶大學(xué) 法學(xué)院，重慶 400044)

在大數(shù)據(jù)的時代背景下，大數(shù)據(jù)交易已成現(xiàn)實(shí)，但是個人信息的不可交易性使大數(shù)據(jù)交易缺乏了合法性基礎(chǔ)。對原始數(shù)據(jù)的匿名化處理，可以在數(shù)據(jù)利用和個人信息保護(hù)之間達(dá)到平衡。但是我國現(xiàn)行法和大數(shù)據(jù)交易平臺指定的交易規(guī)則中關(guān)于匿名化只有簡略的規(guī)定，遠(yuǎn)遠(yuǎn)不能滿足當(dāng)下大數(shù)據(jù)交易的市場要求。應(yīng)當(dāng)借鑒英國法的規(guī)定，建立匿名化數(shù)據(jù)再識別風(fēng)險(xiǎn)等級分類，根據(jù)再識別風(fēng)險(xiǎn)高低區(qū)分匿名化數(shù)據(jù)被披露的對象范圍，同時對再識別風(fēng)險(xiǎn)較高的匿名化數(shù)據(jù)控制者課以額外的義務(wù)，最終通過個人信息侵權(quán)的事后救濟(jì)來兜底匿名化數(shù)據(jù)的法律規(guī)制。

大數(shù)據(jù)；匿名化；再識別

一、引言：問題的提出

當(dāng)今信息時代，數(shù)據(jù)已經(jīng)成為國家的重要戰(zhàn)略資源，而對數(shù)據(jù)進(jìn)行挖掘、分析、處理等的大數(shù)據(jù)活動則是實(shí)現(xiàn)數(shù)據(jù)價(jià)值的重要手段。不管是國家的頂層規(guī)劃還是具體的市場經(jīng)濟(jì)實(shí)踐，大數(shù)據(jù)交易已經(jīng)成為現(xiàn)實(shí)，大數(shù)據(jù)產(chǎn)品*大數(shù)據(jù)產(chǎn)品的概念可以借鑒工信部《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》(工信部規(guī)[2016]412號)中關(guān)于大數(shù)據(jù)產(chǎn)業(yè)的概念：“大數(shù)據(jù)產(chǎn)業(yè)指以數(shù)據(jù)生產(chǎn)、采集、儲存、加工、分析、服務(wù)為主的相關(guān)經(jīng)濟(jì)活動?！彼源髷?shù)據(jù)產(chǎn)品是指原始數(shù)據(jù)經(jīng)過以生產(chǎn)、采集、儲存、加工、分析、服務(wù)為主的相關(guān)經(jīng)濟(jì)活動后產(chǎn)生的衍生數(shù)據(jù)產(chǎn)品。的可交易性應(yīng)當(dāng)獲得肯認(rèn)。具體來說，從國家頂層設(shè)計(jì)來說，國務(wù)院于2015年8月頒布了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，其中明確規(guī)定：“引導(dǎo)培育大數(shù)據(jù)市場，開展面向應(yīng)用的數(shù)據(jù)交易市場試點(diǎn)，探索開展大數(shù)據(jù)衍生產(chǎn)品交易，鼓勵產(chǎn)業(yè)鏈各環(huán)節(jié)主體進(jìn)行數(shù)據(jù)交換和交易，促進(jìn)數(shù)據(jù)資源流通，建立健全數(shù)據(jù)交易機(jī)制和定價(jià)機(jī)制，規(guī)范交易行為”[1]；從市場經(jīng)濟(jì)的實(shí)踐來說，當(dāng)今數(shù)據(jù)成為企業(yè)最有價(jià)值的財(cái)產(chǎn)和新型商業(yè)模式的基石[2]，而現(xiàn)今我國國內(nèi)已經(jīng)有了貴陽大數(shù)據(jù)交易所、上海大數(shù)據(jù)交易中心、武漢東湖大數(shù)據(jù)交易中心、武漢長江大數(shù)據(jù)交易中心、華東江蘇大數(shù)據(jù)交易平臺、華中數(shù)交所、海峽大數(shù)據(jù)、錢塘平安等等大數(shù)據(jù)交易平臺，甚至每天都會有新的大數(shù)據(jù)交易平臺誕生。大數(shù)據(jù)交易所的建立和交易市場的擴(kuò)大，打破了政府、企業(yè)等信息條塊分割的現(xiàn)狀，實(shí)現(xiàn)了信息的自由流通，推動了信息的共享和利用效率，加快了產(chǎn)業(yè)的升級和轉(zhuǎn)型[3]，而這些大數(shù)據(jù)交易的對象就是大數(shù)據(jù)產(chǎn)品。

“大數(shù)據(jù)必然是聚合了圍繞個人的個體性的數(shù)據(jù)”[4],大數(shù)據(jù)產(chǎn)品本質(zhì)上是對原始數(shù)據(jù)分析之后產(chǎn)生的衍生數(shù)據(jù)，衍生數(shù)據(jù)是指原始數(shù)據(jù)被記錄、存儲后，經(jīng)過算法加工、計(jì)算、聚合而成的系統(tǒng)的、可讀取、有使用價(jià)值的數(shù)據(jù)[5]。而當(dāng)下的原始數(shù)據(jù)都或多或少與個人信息有關(guān)，但是個人信息在我國的現(xiàn)行法律語境下不能夠成為合同的對象。這些法律法規(guī)包括全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的規(guī)定》第一條第二款*“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息?！?、《民法總則》第一百一十一條*“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄ⅰ毒W(wǎng)絡(luò)安全法》第四十四條*“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”、《刑法》第二百五十三條之一第一款*“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或拘役，并處或者單處罰金?！?、工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)的規(guī)定》第十條*“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者損毀，不得出售或者非法向他人提供?！?。大數(shù)據(jù)產(chǎn)品在現(xiàn)實(shí)中有交易的實(shí)踐，但作為其基礎(chǔ)的個人信息卻不能被交易，這就導(dǎo)致邏輯上的矛盾。本文試圖從個人信息匿名化的角度，論證大數(shù)據(jù)產(chǎn)品的可交易性，以解決市場交易現(xiàn)狀與法律制度之間的矛盾。

二、比較法視野下的個人信息匿名化(Anonymization)

匿名化是當(dāng)下計(jì)算機(jī)科學(xué)領(lǐng)域的熱點(diǎn)話題，自1997年美國學(xué)者Samarati和Sweeney提出k-anonymity匿名模型后，目前已發(fā)展出許多成熟的技術(shù)解決方案[6]。匿名化與去身份化(De-identification)的含義基本相同，就是組織實(shí)體將收集、利用、存儲和與其他組織實(shí)體共享的數(shù)據(jù)中的個人信息移除的工具[7]。比較法中，經(jīng)過匿名化處理的數(shù)據(jù)都不屬于個人信息的范疇?？梢栽O(shè)想，如果大數(shù)據(jù)產(chǎn)品經(jīng)過了匿名化處理，那么它就不屬于個人信息，按照“法無禁止即自由”的私法基本原則，經(jīng)過匿名化處理的大數(shù)據(jù)當(dāng)然可以被交易。數(shù)據(jù)匿名化是數(shù)據(jù)處理的一種，“目前很多國家和地區(qū)已經(jīng)制定了個人數(shù)據(jù)保護(hù)法，用以規(guī)范對個人數(shù)據(jù)的處理行為”[8]。以下將詳細(xì)討論比較法中關(guān)于匿名化的相關(guān)規(guī)定。

(一)歐盟

2012年，歐盟委員會發(fā)布了《數(shù)據(jù)保護(hù)通用條例》(General Data Protection Regulation，GDPR)草案，對1995年頒布的《數(shù)據(jù)保護(hù)指令》做出大幅修改，以應(yīng)對大數(shù)據(jù)時代的發(fā)展要求，該草案歷經(jīng)多輪討論修訂，于2016年4月獲最終通過并正式頒布[9]。于2016年4月27日頒布的一般數(shù)據(jù)保護(hù)條例完整地構(gòu)建了個人信息法律的框架，同時明確了數(shù)據(jù)主體(data subject)的各項(xiàng)權(quán)利和數(shù)據(jù)控制者(data controller)的各項(xiàng)義務(wù)，緊跟當(dāng)下大數(shù)據(jù)時代的步伐。同時，由歐盟各國個人信息專家組成的29條工作組，也會不定期發(fā)布指南，這些指南雖然沒有強(qiáng)制效力，但是對于理解個人信息法律制度有重要的意義。作為當(dāng)下數(shù)據(jù)處理的熱點(diǎn)問題之一的匿名化，上述的文件中都有涉及。

1.GDPR[10]

GDPR中關(guān)于匿名化的規(guī)定主要集中在前言敘述部分第26和第28段、第四條關(guān)于假名化(pseudonymisation)的定義、第十一條關(guān)于數(shù)據(jù)主體對“不需識別的數(shù)據(jù)處理”的規(guī)則中，總結(jié)來看有以下幾個特點(diǎn)。

(1)經(jīng)過匿名化的數(shù)據(jù)不屬于個人信息的范疇

GDPR在前言的第26段中明確提出：“數(shù)據(jù)保護(hù)的原則不應(yīng)當(dāng)適用于匿名化數(shù)據(jù)。匿名化數(shù)據(jù)是指與已識別或可識別的自然人不相關(guān)，或者與以數(shù)據(jù)主體不可或不再可識別的方式呈現(xiàn)的匿名數(shù)據(jù)不相關(guān)的信息。該規(guī)章因此不關(guān)注此種匿名數(shù)據(jù)的處理，包括為了統(tǒng)計(jì)或者研究的目的。”由上可以看出，GDPR并不規(guī)制經(jīng)過匿名化處理的數(shù)據(jù)。誠然，匿名化就是去除數(shù)據(jù)中個人標(biāo)識符的過程，去除了個人標(biāo)識符的數(shù)據(jù)當(dāng)然不屬于個人信息的范疇，也當(dāng)然不應(yīng)受個人信息法的規(guī)制。

(2)匿名化的標(biāo)準(zhǔn)

GDPR在前言的第26段前半部分中列出了匿名化技術(shù)的標(biāo)準(zhǔn)，即當(dāng)有攻擊者企圖從已被匿名化的數(shù)據(jù)中再識別出數(shù)據(jù)主體時，這種再識別的手段應(yīng)當(dāng)有何要求。標(biāo)準(zhǔn)有三：第一，再識別可用已被匿名的數(shù)據(jù)和其他數(shù)據(jù)，如果同時運(yùn)用其他數(shù)據(jù)和匿名化數(shù)據(jù)可以識別出自然人，這種“匿名化”數(shù)據(jù)仍然歸屬個人信息的范疇；第二，再識別的手段應(yīng)當(dāng)是數(shù)據(jù)控制者或者其他人直接或間接所能聯(lián)想到的任何合理可能的手段；第三，再識別的手段應(yīng)當(dāng)考慮所有客觀的因素，包括成本高低、時間長短、數(shù)據(jù)處理時的技術(shù)水平和技術(shù)發(fā)展。可見，GDPR對匿名化的標(biāo)準(zhǔn)規(guī)定十分之高，有追求完美之嫌，這樣高的標(biāo)準(zhǔn)是否能夠在現(xiàn)實(shí)中實(shí)現(xiàn)值得商榷。

(3)假名化只是匿名化的一種手段

GDPR的第四條特別對“假名化”進(jìn)行了概念界定：“在沒有利用額外信息的情況下，個人資料以其不再歸屬于特定數(shù)據(jù)主體的方式而處理，但同時上述額外信息必須是分開保存和易受技術(shù)和組織措施影響的，進(jìn)而才能確保個人資料不會被歸于已識別或可識別的自然人。”從上述定義可以看出，個人資料假名化可以達(dá)到數(shù)據(jù)匿名化的效果，但是假名化并不只是匿名化技術(shù)的唯一。GDPR前言第28段也有論述：“本規(guī)章對‘假名化’明確的介紹并不是意圖排除其他數(shù)據(jù)保護(hù)的手段。”

2.29條工作組

29條工作組是根據(jù)歐盟95/46/EC法令的29條的規(guī)定所設(shè)立的，它是一個旨在解決數(shù)據(jù)和隱私保護(hù)問題的獨(dú)立咨詢機(jī)構(gòu)。29條工作組由每一個歐盟成員國最高當(dāng)局委派的一名代表、歐盟數(shù)據(jù)保護(hù)監(jiān)管當(dāng)局的代表和歐盟委員會的代表組成，代表了歐盟官方機(jī)構(gòu)對數(shù)據(jù)隱私保護(hù)的權(quán)威意見。29條工作組于2014年4月10日發(fā)布了《匿名化技術(shù)》[11]的意見書，其中對匿名化技術(shù)有全面的介紹，下文做一簡單介紹。

(1)匿名化處理需符合目的限制原則

匿名化處理應(yīng)當(dāng)符合個人資料收集的目的限制原則。匿名化是一種數(shù)據(jù)處理的技術(shù)，從時間上看，數(shù)據(jù)控制者在進(jìn)行數(shù)據(jù)處理之前必然會進(jìn)行數(shù)據(jù)收集，數(shù)據(jù)的收集應(yīng)當(dāng)符合目的限制原則。根據(jù)29條工作組頒布的《目的限制原則》[12]的指引，目的限制原則是指透過限制負(fù)責(zé)處理個人資料的實(shí)體(以下簡稱負(fù)責(zé)實(shí)體)對個人資料的使用，同時亦給予一定程度的靈活性，以保護(hù)資料主體。目的限制原則主要由兩個子原則組成，即目的特定性(個人資料必須為特定、明確的及正當(dāng)?shù)哪康亩占?、使用相容性(不得做出與該目的不相容的進(jìn)一步處理)。這里的匿名化處理與使用的相容性直接相關(guān)，而該指引接著就對相容性判斷所要考慮的關(guān)鍵因素做了列舉，包括：第一，收集個人資料的目的及進(jìn)一步處理的目的之間的關(guān)系；第二，收集個人資料的背景及資料主體對資料被進(jìn)一步使用的合理預(yù)期；第三，個人資料的性質(zhì)及進(jìn)一步處理對資料主體的影響；第四，負(fù)責(zé)實(shí)體應(yīng)采取保護(hù)措施以確保公平處理及防止任何對資料主體產(chǎn)生的不利影響。只有做到了上述四點(diǎn)，才可認(rèn)為數(shù)據(jù)控制者的匿名化處理符合目的限制原則。

(2)匿名化處理之后的剩余風(fēng)險(xiǎn)分析

匿名化是一種應(yīng)用于個人資料的技術(shù)，在于實(shí)現(xiàn)不逆轉(zhuǎn)的去識別化。但是隨著公開資料的不斷增多和互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展，經(jīng)過匿名化處理的技術(shù)都是有可能被再識別的，這種被識別的風(fēng)險(xiǎn)就是匿名化技術(shù)的剩余風(fēng)險(xiǎn)。29條工作組在該指引中假設(shè)現(xiàn)實(shí)中存在希望將已匿名化的數(shù)據(jù)再識別的攻擊者，隨后列出了三種主要的剩余風(fēng)險(xiǎn)：第一，數(shù)據(jù)主體被挑出的風(fēng)險(xiǎn)，即攻擊者有可能再識別數(shù)據(jù)庫中一些或全部數(shù)據(jù)，并同歸于一人的風(fēng)險(xiǎn)；第二，數(shù)據(jù)主體被關(guān)聯(lián)的風(fēng)險(xiǎn)，即能否在至少兩項(xiàng)可歸于同一(組)資料主體的記錄之間產(chǎn)生關(guān)聯(lián)(不論是在同一個數(shù)據(jù)庫或是不同的數(shù)據(jù)庫)。如果攻擊者在同歸于一組數(shù)據(jù)主體的兩項(xiàng)記錄之間建立了關(guān)聯(lián)，卻不能在這組數(shù)據(jù)主體中挑出個體，則該技術(shù)手段符合“挑出風(fēng)險(xiǎn)”的要求，但不符合“關(guān)聯(lián)性風(fēng)險(xiǎn)”的要求；第三，數(shù)據(jù)主體的其他特征被推知的風(fēng)險(xiǎn)，即可以較大的概率從數(shù)據(jù)庫中展示的數(shù)據(jù)主體的一系列特征推知數(shù)據(jù)主體另外特征的可能性。數(shù)據(jù)控制者在進(jìn)行匿名化數(shù)據(jù)處理時，應(yīng)當(dāng)綜合考慮這三種風(fēng)險(xiǎn)，把三種風(fēng)險(xiǎn)降到最低，這樣才能防止數(shù)據(jù)主體被再識別。

(二)英國

英國關(guān)于個人信息法制主要交由信息專員辦公室(Information Commissioner’s Office，ICO)來完成，ICO是旨在保護(hù)公共利益中的信息權(quán)利、擴(kuò)大公共機(jī)構(gòu)數(shù)據(jù)開放以及提高個人數(shù)據(jù)隱私保護(hù)的獨(dú)立機(jī)構(gòu)。ICO十分重視匿名化技術(shù)的發(fā)展，并于2012年頒布了《匿名化：針對實(shí)踐的信息保護(hù)風(fēng)險(xiǎn)管理》[13]，雖然該文件只是指引性的，但是英國信息專員聲明當(dāng)調(diào)查與匿名化相關(guān)問題時會考慮該指引，其中專門針對匿名化的規(guī)定還是值得我們探討。

1.從“其他信息”可知完全的匿名化是不可能的

根據(jù)英國《信息保護(hù)法令》(The Data Protection Act 1998，DPA)的規(guī)定，個人資料是指與在世的個人相關(guān)的可識別的資料——(a)可從上述資料識別，或者(b)可從上述資料或其他信息識別，其他資料是指數(shù)據(jù)控制者擁有或可能擁有的信息，并且包括對個人任意觀點(diǎn)的表達(dá)，以及數(shù)據(jù)控制者或與該個人有關(guān)的任何人的目的表達(dá)。個人資料概念中的“其他信息”也就從側(cè)面表明再識別的過程可以允許使用額外的信息。但現(xiàn)實(shí)中，用于再識別的其他信息有可能只是特定組織能獲取，也有可能是特定個人能獲取，也有可能全體社會公眾都可以獲取。并且隨著可獲取信息的不斷增加和電腦技術(shù)的不斷提高，將“其他信息”和已被匿名化的信息組合從而對個人進(jìn)行再識別的可能性將不斷提高。因?yàn)榘殡S“其他信息”的不確定性和不斷增長性，再識別的風(fēng)險(xiǎn)是難以估計(jì)的。所以，再識別的風(fēng)險(xiǎn)始終存在。

2.“蓄意侵入者”檢驗(yàn)(Motivated Intruder Test)

該指引推薦采用“蓄意侵入者”的檢驗(yàn)方法來幫助評估剩余風(fēng)險(xiǎn)[14]。“蓄意侵入者”是指之前沒有任何了解但卻希望從已被匿名化的資料中識別出個人的假想主體。分析這樣假想的攻擊者是否能夠識別個人，可以為剩余風(fēng)險(xiǎn)的評估提供方法。假設(shè)“蓄意侵入者”有特定的動機(jī)、方法和技巧來進(jìn)行再識別，具體來說包括對資源的獲取(例如圖書和因特網(wǎng))、運(yùn)用調(diào)查性質(zhì)的技術(shù)(例如向可能擁有數(shù)據(jù)主體更多信息的人詢問或者自告奮勇地向陌生人提問)。也就是說，“蓄意侵入者”相較于試圖對數(shù)據(jù)進(jìn)行再識別的非專家的普通大眾有更高的再識別技術(shù)，即“蓄意侵入者”標(biāo)準(zhǔn)比法律經(jīng)常會用的“理性人”標(biāo)準(zhǔn)更高。但是標(biāo)準(zhǔn)的提高也只是有限的，指引中緊接著指出，假設(shè)的“蓄意入侵者”沒有諸如黑客技術(shù)的專家知識，也不會有專業(yè)的設(shè)備，更不會通過訴諸于諸如盜竊的犯罪手段來獲得安全保管的數(shù)據(jù)。指引用“蓄意侵入者”標(biāo)準(zhǔn)在很大程度上可以解決匿名化所要達(dá)到的標(biāo)準(zhǔn)問題，即匿名化的數(shù)據(jù)只需要達(dá)到“蓄意侵入者”無法獲取即可。

3.通過匿名化數(shù)據(jù)披露的風(fēng)險(xiǎn)控制

運(yùn)用匿名化處理的數(shù)據(jù)控制者都會遇到一個兩難的問題：一方面，他們希望數(shù)據(jù)內(nèi)容足夠豐富來滿足其目的；另一方面，又要確保再識別不會發(fā)生。這時就應(yīng)基于不同匿名化手段帶來的不同的再識別風(fēng)險(xiǎn)，確定匿名化數(shù)據(jù)不同范圍的披露對象?？傮w來說，再識別風(fēng)險(xiǎn)越高，匿名化數(shù)據(jù)被披露的對象范圍應(yīng)當(dāng)越狹窄。例如，因?yàn)榧倜蛉プR別化的數(shù)據(jù)保留了個人層面的粒狀分布，所以再識別風(fēng)險(xiǎn)較高，從而這種數(shù)據(jù)只能披露給進(jìn)行科學(xué)研究或其他目的的封閉組織。也正因?yàn)樵僮R別風(fēng)險(xiǎn)高的數(shù)據(jù)與個人更相關(guān)，內(nèi)容更豐富，所以其價(jià)值也就更大。相對地，運(yùn)用聚合數(shù)據(jù)處理方式的再識別風(fēng)險(xiǎn)較低，所以此種數(shù)據(jù)更適合向普通民眾公開。但是需要注意的是，將再識別風(fēng)險(xiǎn)高的匿名化數(shù)據(jù)向特定主體披露，必須符合數(shù)據(jù)最小化原則，接收匿名化數(shù)據(jù)的主體應(yīng)當(dāng)履行相關(guān)的義務(wù)來保證這種高再識別風(fēng)險(xiǎn)不會變?yōu)楝F(xiàn)實(shí)。

4.經(jīng)過假名化處理的數(shù)據(jù)不一定是匿名的

“盡管假名化處理的數(shù)據(jù)不會識別出個人，但在那些沒有‘密匙’的人手里，將幾個已經(jīng)匿名化的數(shù)據(jù)集同歸于一人的可能是有的。這并不意味著，通過假名化進(jìn)行有效的匿名化變得不可能了?！本o接著，指引指出，假名化是指“通過運(yùn)用不會顯示數(shù)據(jù)主體真實(shí)身份的特殊標(biāo)識符來對個人進(jìn)行區(qū)分的數(shù)據(jù)處理過程”。上述的論證對于經(jīng)過假名化處理的數(shù)據(jù)是否是匿名的語焉不詳，應(yīng)該還要放在個案中判斷假名化處理之后的數(shù)據(jù)是否為匿名的。

三、我國關(guān)于匿名化的立法和市場實(shí)踐

當(dāng)下我國的大數(shù)據(jù)交易已成為現(xiàn)實(shí)，國內(nèi)有數(shù)十家大數(shù)據(jù)交易所，大數(shù)據(jù)交易已經(jīng)走在了相關(guān)立法的前面。但是檢索我國的現(xiàn)行法，其中也有關(guān)于匿名化的規(guī)定，可對大數(shù)據(jù)交易進(jìn)行一定的指導(dǎo)。下文詳細(xì)論述我國立法和市場實(shí)踐中關(guān)于匿名化的相關(guān)規(guī)定。

(一)我國現(xiàn)行法中匿名化的規(guī)定

由于我國當(dāng)下還沒有個人信息的單獨(dú)立法，所以有關(guān)個人信息匿名化的規(guī)定只能散見于各個單行法和司法解釋中。我國現(xiàn)行法中提到個人信息匿名化的規(guī)定有《網(wǎng)絡(luò)安全法》第四十二條*“網(wǎng)絡(luò)運(yùn)營商不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?！?、《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋[2017]10號)第三條第二款*“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息’，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?！??？偨Y(jié)來看，這兩條有三個特點(diǎn)：第一，將匿名化表述為“經(jīng)過處理無法識別特定個人”，這樣直白的表現(xiàn)可能也適用于當(dāng)下我國對匿名化技術(shù)不熟悉的大環(huán)境；第二，匿名化處理出現(xiàn)的位置都是法條的但書，并且都是“不得向他人提供個人信息”例外；第三，但書的效果就是，經(jīng)過了匿名化處理的個人信息是可以向其他公民提供的。

雖然我國現(xiàn)行法對于匿名化處理的規(guī)定少且簡單，但還是有較強(qiáng)的實(shí)踐意義。前述兩個條文都規(guī)定經(jīng)過匿名化處理的個人信息是可以提供給其他公民的，這也在一定程度上突破了我國之前法律中個人信息不能交易的強(qiáng)制性規(guī)定，為經(jīng)過匿名化處理的大數(shù)據(jù)交易提供了合法性基礎(chǔ)。但是，我國關(guān)于匿名化的規(guī)定還是太過簡陋，匿名化在大數(shù)據(jù)交易中十分復(fù)雜，需要進(jìn)行詳細(xì)的制度設(shè)計(jì)，所以將來制度的完善是必須的。

(二)大數(shù)據(jù)交易中的匿名化嘗試

據(jù)貴陽大數(shù)據(jù)交易所的統(tǒng)計(jì)來看，中國大數(shù)據(jù)產(chǎn)業(yè)在未來五年內(nèi)仍將保持著高速增長。2016年末，市場規(guī)模達(dá)到2 485億元，而隨著各項(xiàng)政策的配套落實(shí)及推進(jìn)，預(yù)計(jì)到2020年，中國大數(shù)據(jù)產(chǎn)業(yè)規(guī)?；蜻_(dá)13 626億元的高點(diǎn)[15]。在如此大規(guī)模的大數(shù)據(jù)交易量的現(xiàn)實(shí)下，大數(shù)據(jù)交易所如今也多如牛毛，但是當(dāng)下的大數(shù)據(jù)交易所更多地關(guān)注如何促成交易，卻少有制定風(fēng)險(xiǎn)控制導(dǎo)向的交易規(guī)則。筆者通過對國內(nèi)大數(shù)據(jù)交易所的檢索得知，真正制定交易規(guī)則的只有上海數(shù)據(jù)交易中心、貴陽大數(shù)據(jù)交易所和華中大數(shù)據(jù)交易中心，而其中涉及匿名化的規(guī)定較少。

各大交易所中，只有上海數(shù)據(jù)交易中心在《流通數(shù)據(jù)處理規(guī)則》[16]中明確了數(shù)據(jù)的匿名化要求，具體包括：第一，可流通的數(shù)據(jù)必須是脫離可直接識別個人身份的標(biāo)識的；第二，對于已經(jīng)脫離個人身份標(biāo)識的數(shù)據(jù)，禁止再識別。貴陽大數(shù)據(jù)交易所意識到了其交易的數(shù)據(jù)是基于底層數(shù)據(jù)，通過數(shù)據(jù)的清洗、分析、建模、可視化出來的結(jié)果，并且意識到上述數(shù)據(jù)的處理都是為了隱私保護(hù)和確立數(shù)據(jù)所有權(quán)[17]，但是其對于達(dá)到上述目的的匿名化數(shù)據(jù)處理卻缺少具體的描述。同樣地，華中大數(shù)據(jù)交易所頒布的《華中大數(shù)據(jù)交易所交易規(guī)則(意見稿)》[18]中也只是認(rèn)識到了涉及個人信息的數(shù)據(jù)不得交易，但對于如何除去個人信息標(biāo)識的匿名化數(shù)據(jù)處理方式卻從未涉及。

可見，我國現(xiàn)有的大數(shù)據(jù)交易平臺基本都能認(rèn)識到保護(hù)個人信息和個人隱私的重要性，但是少有關(guān)注達(dá)致保護(hù)個人信息和隱私目的的匿名化數(shù)據(jù)處理方法。匿名化數(shù)據(jù)處理手段可以極大地平衡數(shù)據(jù)利用和個人信息保護(hù)，應(yīng)當(dāng)受到大數(shù)據(jù)交易所的重視。

四、數(shù)據(jù)利用與個人信息保護(hù)平衡視角下的匿名化制度構(gòu)建

大數(shù)據(jù)利用和個人信息保護(hù)是一個硬幣的兩面，匿名化技術(shù)能夠在數(shù)據(jù)發(fā)布環(huán)境下防止用戶敏感數(shù)據(jù)被泄露，同時又能保證發(fā)布數(shù)據(jù)的真實(shí)性[19]，如何平衡這兩者是匿名化制度設(shè)計(jì)是否成功的關(guān)鍵。匿名化制度構(gòu)建的關(guān)鍵就是數(shù)據(jù)主體被再識別的風(fēng)險(xiǎn)控制與管理。相比于歐盟的相關(guān)規(guī)定，英國的規(guī)定更具有現(xiàn)實(shí)的可操作性。擬建議我國仿效英國的相關(guān)規(guī)定，首先，建立再識別風(fēng)險(xiǎn)分級制度；其次，根據(jù)風(fēng)險(xiǎn)分級確定匿名化數(shù)據(jù)可披露的對象；再次，應(yīng)當(dāng)限制再識別風(fēng)險(xiǎn)較高的匿名化數(shù)據(jù)接收方的再處理；最后，用個人信息侵權(quán)做數(shù)據(jù)主體被再識別的兜底。

(一)再識別風(fēng)險(xiǎn)分級制度的建立

“當(dāng)抽象——一般概念及其邏輯體系不足以掌握某生活現(xiàn)象或意義脈絡(luò)的多樣表現(xiàn)形態(tài)時，大家首先會想到的補(bǔ)助思考形式是‘類型’?！盵20]現(xiàn)實(shí)中匿名化技術(shù)有很多種，每種匿名化技術(shù)所帶來的再識別風(fēng)險(xiǎn)都不同，所以對各種匿名化技術(shù)進(jìn)行再識別風(fēng)險(xiǎn)的等級分類是可能的。29條工作組的《匿名化技術(shù)》指引中列舉了當(dāng)代社會常用的兩類匿名化技術(shù)手段，即隨機(jī)分派和資料概括化*關(guān)于假名化是否為匿名化技術(shù)存在爭議。29條工作組認(rèn)為假名化處理后的數(shù)據(jù)仍然存在個人層面的可識別性，不屬于匿名化技術(shù)；而英國ICO辦公室的匿名化法案中先是認(rèn)為假名化是否為匿名化技術(shù)是有爭議的，但在后面的論述中不自覺地將其歸入了匿名化的范疇。鑒于假名化技術(shù)是否屬于匿名化技術(shù)存在較大爭議，本文認(rèn)為假名化技術(shù)不屬于匿名化技術(shù)的范疇。，前者包括資訊添加、排列變更和差分隱私，后者包括資料聚合、K-匿名、L-多樣性和T-相似性，隨后指引中對上述各種匿名化手段進(jìn)行了風(fēng)險(xiǎn)分析，并得出了相應(yīng)的結(jié)論。這里需要說明的是，假名化數(shù)據(jù)不同于匿名化數(shù)據(jù)，經(jīng)過假名化處理的數(shù)據(jù)仍然為個人數(shù)據(jù)[21]，所以假名化處理之后的數(shù)據(jù)仍然屬于個人信息。由此可以看出，再識別風(fēng)險(xiǎn)的分類分級是一項(xiàng)技術(shù)性極強(qiáng)的工作，應(yīng)當(dāng)結(jié)合統(tǒng)計(jì)學(xué)或其他學(xué)科的專業(yè)人員共同完成，單純憑借法學(xué)界是無法完成這項(xiàng)工作的。當(dāng)代社會講求團(tuán)隊(duì)合作，通過學(xué)科間的合作，應(yīng)當(dāng)可以制定出匿名化技術(shù)的再識別風(fēng)險(xiǎn)分級對應(yīng)表。對于構(gòu)建法律制度來說，只需要將再識別風(fēng)險(xiǎn)進(jìn)行從高到低排序即可。

(二)匿名化數(shù)據(jù)披露對象的對應(yīng)

在對各種匿名化技術(shù)進(jìn)行再識別風(fēng)險(xiǎn)分級之后，就需通過區(qū)分不同風(fēng)險(xiǎn)等級的匿名化數(shù)據(jù)的披露對象來完成數(shù)據(jù)利用與個人信息保護(hù)的平衡。一般來說，匿名化數(shù)據(jù)的再識別風(fēng)險(xiǎn)等級越高，其可披露的對象范圍越狹窄[13]。具體來說，如果匿名化數(shù)據(jù)的再識別風(fēng)險(xiǎn)較低，將其向大范圍受眾披露也基本不會導(dǎo)致數(shù)據(jù)主體被再識別。反之，如果匿名化數(shù)據(jù)的再識別風(fēng)險(xiǎn)較高，此時只能向特定機(jī)構(gòu)披露，獲得這種再識別風(fēng)險(xiǎn)較高的匿名化數(shù)據(jù)的受眾越少，數(shù)據(jù)主體被匿名化的概率也就越小。上述披露的合法性基礎(chǔ)在于數(shù)據(jù)利用的價(jià)值，因?yàn)樵僮R別風(fēng)險(xiǎn)越高，往往也意味著該數(shù)據(jù)的可利用價(jià)值就越大。但由于這種匿名化數(shù)據(jù)的再識別風(fēng)險(xiǎn)較高，進(jìn)行此種數(shù)據(jù)披露的數(shù)據(jù)控制者應(yīng)當(dāng)遵守額外的義務(wù)來確保數(shù)據(jù)主體不被再識別。

(三)高風(fēng)險(xiǎn)匿名化數(shù)據(jù)的數(shù)據(jù)控制者的額外義務(wù)

允許再識別風(fēng)險(xiǎn)較高的匿名化數(shù)據(jù)的數(shù)據(jù)控制者將上述數(shù)據(jù)披露給第三方，這是基于數(shù)據(jù)利用的考慮，但同時應(yīng)當(dāng)讓進(jìn)行披露的數(shù)據(jù)控制者承擔(dān)一定的義務(wù)，以更好地保護(hù)數(shù)據(jù)主體的個人信息。關(guān)于此，英國ICO辦公室的《匿名化：數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)管理實(shí)踐》中給出了相應(yīng)的指引，可加以參考?！斑M(jìn)行上述披露的數(shù)據(jù)控制者應(yīng)當(dāng)在披露前制定健全的保護(hù)機(jī)制，包括第一，目的限制，例如數(shù)據(jù)只能由接受者以協(xié)商同意的目的來使用；第二，培訓(xùn)接收者的員工學(xué)習(xí)獲取數(shù)據(jù)的方法，特別是數(shù)據(jù)安全和數(shù)據(jù)最小化原則；第三，對即將獲得數(shù)據(jù)的個體進(jìn)行背景調(diào)查；第四，控制將其他數(shù)據(jù)轉(zhuǎn)移到原始數(shù)據(jù)環(huán)境的能力，同時允許管理通過連接和聯(lián)合而產(chǎn)生的再識別風(fēng)險(xiǎn)；第五，數(shù)據(jù)只能用于限定的項(xiàng)目；第六，限制披露該數(shù)據(jù)；第七，禁止任何再識別的嘗試，并且制定措施消滅任何被意外再識別的個人數(shù)據(jù)；第八，制定技術(shù)和組織雙重層面的安全措施，例如員工保密協(xié)議；第九，限制數(shù)據(jù)的復(fù)制，或復(fù)制的數(shù)量；第十，項(xiàng)目完成時應(yīng)當(dāng)歸還或銷毀數(shù)據(jù)；第十一，制定懲罰措施，例如通過合同對接收者課以違約的明確責(zé)任?！盵13]上述對披露者義務(wù)的規(guī)定可以給我國的制度構(gòu)建提供建議。

(四)數(shù)據(jù)主體被再識別的侵權(quán)法救濟(jì)

上述的規(guī)定都是事前的限制，不論法律制度如何規(guī)定，數(shù)據(jù)主體被再識別的風(fēng)險(xiǎn)仍然存在。如果攻擊者通過各種技術(shù)手段最終成功地再識別出了數(shù)據(jù)主體并進(jìn)行了披露，這時損害已經(jīng)發(fā)生，只能通過侵權(quán)法來進(jìn)行事后調(diào)節(jié)。雖然事后調(diào)節(jié)難免有事后諸葛亮的嫌疑，但是對受害人的民事救濟(jì)也是必要的。由于之前的侵權(quán)法中沒有承認(rèn)個人信息為單獨(dú)的權(quán)利，所以，在司法實(shí)踐層面通過隱私權(quán)保護(hù)個人信息也形成了一個較為全面的體系[22]。但是隨著2017年3月頒布的《民法總則》第一百一十一條明確規(guī)定“自然人的個人信息受法律保護(hù)”，確定了個人信息侵權(quán)的請求權(quán)基礎(chǔ)。由于現(xiàn)在沒有對個人信息侵權(quán)進(jìn)行特別的規(guī)定，所以只能適用一般侵權(quán)的規(guī)定，采損害行為、損害結(jié)果、因果關(guān)系和加害人過錯來進(jìn)行界定。

[1] 國務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動綱要的通知(國發(fā)[2015]50號)[EB/OL].(2015- 09- 05)[2017- 01- 03].http://www.gov.cn/zhengce/content/2015- 09/05/content_10137.htm.

[2] 劉雅輝,張鐵贏,靳小龍,等.大數(shù)據(jù)時代的個人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展,2015(1):229-247.

[3] 丁旋.社交網(wǎng)絡(luò)分析中的隱私保護(hù)問題：去匿名化與無縫隱私[D].北京：清華大學(xué),2014.

[4] 李源粒.網(wǎng)絡(luò)個人數(shù)據(jù)安全刑法保護(hù)研究[J].重慶郵電大學(xué)學(xué)報(bào)(社會科學(xué)版)，2015(6)：46.

[5] 楊立新,陳小江.衍生數(shù)據(jù)是數(shù)據(jù)專有權(quán)的客體[N].中國社會科學(xué)報(bào),2016- 07-13(5).

[6] 湯琪.大數(shù)據(jù)交易中的產(chǎn)權(quán)問題研究[J].圖書與情報(bào),2016(4):38- 45.

[7] RUBINSTEIN I S,HARTZOG W.Anonymization and Risk[J].Washington Law Review,2016(2):703-706.

[8] 田新月.云計(jì)算環(huán)境中數(shù)據(jù)處理行為的法律規(guī)制研究[J].重慶郵電大學(xué)學(xué)報(bào)(社會科學(xué)版)，2016(4)：38.

[9] 范為.大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)[J].環(huán)球法律評論,2016(5):92-115.

[10] REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation)[EB/OL].(2016- 04-27)[2017- 03-26].http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679amp;from=EN.

[11] Article 29 Data Protection Working Party: Opinion 05/2014 on Anonymisation Techniques [EB/OL]. (2014- 04-10)[2016- 06-26]. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[12] Article 29 Data Protection Working Party: Opinion 03/2013 on purpose limitation [EB/OL]. (2013- 04- 02) [2017- 01-26]. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf.

[13] UK. Information Commissioner’s Office. Anoymisation: Managing Data Protection Risk Code of Practice[EB/OL].[2017- 03-26].https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf.

[14] STALLA-BOURDILLON S,KNIGHT A.Anonymous Data V. Personal Data [J]. Wisconsin International Law Journal,2016(2):284-322.

[15] 貴陽大數(shù)據(jù)交易所.2016年中國大數(shù)據(jù)交易產(chǎn)業(yè)白皮書[EB/OL].(2016- 05-30)[2017- 01- 03].http://www.useit.com.cn/forum.php?mod=viewthreadamp;tid

=12297.

[16] 上海數(shù)據(jù)交易中心.流通數(shù)據(jù)處理準(zhǔn)則[EB/OL].[2017- 01-27]. http://mcc.chinadep.com/static/chinadep/image/cover3.pdf.

[17] 貴陽大數(shù)據(jù)交易所.貴陽大數(shù)據(jù)交易所701公約[EB/OL]. (2015- 05-26)[2017- 03-27]. http://mcc.chinadep.com/static/chinadep/image/cover3.pdf.

[18] 華中大數(shù)據(jù)交易所.華中大數(shù)據(jù)交易所交易規(guī)則(意見稿)[EB/OL].(2015- 07-10)[2017- 04-27].http://www.ccbde.cn/htmls/about.html.

[19] 王平水,王建東.匿名化隱私保護(hù)技術(shù)研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng),2011(2):248-252.

[20] 卡爾·拉倫茨.法學(xué)方法論[M].陳愛娥,譯.北京：商務(wù)印書館,2003:337.

[21] 王融.數(shù)據(jù)匿名化的法律規(guī)制[J].信息通訊技術(shù),2016(4):38- 44.

[22] 謝遠(yuǎn)揚(yáng).信息論視角下的個人信息的價(jià)值——兼對隱私權(quán)保護(hù)模式的檢討[J].清華法學(xué),2015(3):94-110.

(編輯：劉仲秋)

OntheRegulationofDataAnonymization

ZHANG Chenyuan

(LawSchool,ChongqingUniversity,Chongqing400044,China)

In the today’s big data era, transactions of big data lacks legal basis, posing a threat to personal information protection in that personal information is marked as non-tradable in nature. Through anonymization of the raw data, the balance between data utilization and personal information protection can be achieved. In China, only simple prescript on anonymization is provided in current laws of our country and in the trading rules designated by the big data trading platforms, far from being sufficient to meet the market requirements of big data transactions. By taking the related provisions in the English law as references, the classification of re-identification risk of the anonymized data could be first established. Besides, according to the level of re-identification risk, the scope of the object being disclosed in the anonymized data could be then distinguished while additional obligation should be imposed on the controller of those high-risk anonymized data. Finally, legal regulations concerning the anonymized data could be improved by providing relief in the case of personal information infringement.

big data; anonymization; re-identification

10.3969/j.issn.1673- 8268.2017.06.007

2017- 07- 04

教育部人文社會科學(xué)重點(diǎn)研究基地重大委托項(xiàng)目：新興權(quán)利的基本問題研究(16JJD820031)；司法部國家法治與法學(xué)理論研究項(xiàng)目：新生權(quán)利的理論與實(shí)踐問題研究(16SFB2001)

張晨原(1992-)，男，河南漯河人，民商法學(xué)博士研究生，主要從事信息法和侵權(quán)法研究。

D913

A

1673- 8268(2017)06- 0052- 07