摘? ? 要：個(gè)人信息匿名化處理法律制度作為聯(lián)通個(gè)人信息保護(hù)與個(gè)人信息流通利用的制度橋梁，能夠以一種隱私友好的方式滿足社會的信息需求。我國現(xiàn)行“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)缺乏可操作性，難以有效規(guī)范匿名化處理實(shí)踐。我國可以確立操作方法標(biāo)準(zhǔn)與識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)協(xié)同的匿名化處理法律標(biāo)準(zhǔn)：關(guān)于操作方法標(biāo)準(zhǔn)，可以在技術(shù)領(lǐng)域確定適用于直接標(biāo)識符和間接標(biāo)識符的匿名化處理措施指南;關(guān)于識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)，可以引入“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)，明確規(guī)定侵入者的識別動機(jī)和識別能力。通過操作方法維度與識別風(fēng)險(xiǎn)檢驗(yàn)維度的協(xié)同作用，最終實(shí)現(xiàn)“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律效果。

關(guān)鍵詞：個(gè)人信息;匿名化處理;法律標(biāo)準(zhǔn);直接標(biāo)識符;間接標(biāo)識符;識別風(fēng)險(xiǎn)檢驗(yàn)

中圖分類號：D 912? ? 文獻(xiàn)標(biāo)識碼：A? ? ? 文章編號： 2096-9783（2021）03-0026-10

引? ?言

人類社會形成以來，經(jīng)歷過多次世界性的技術(shù)革命[1]。從農(nóng)業(yè)革命、工業(yè)革命到智能革命，人類的生產(chǎn)、生活和思維方式也不斷發(fā)生著變化。在智能時(shí)代，互聯(lián)網(wǎng)成為社會發(fā)展的基本工具，數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源。數(shù)據(jù)共享能激勵(lì)創(chuàng)新，創(chuàng)造巨額財(cái)富，已成為推動當(dāng)今社會發(fā)展的重要引擎[2]。與此同時(shí)，數(shù)據(jù)流通利用也可能損害數(shù)據(jù)主體的隱私和其他利益。

大數(shù)據(jù)時(shí)代，個(gè)人信息1保護(hù)問題被推到了風(fēng)口浪尖。如何平衡個(gè)人信息保護(hù)與個(gè)人信息利用之間的關(guān)系成為橫亙在我們面前的時(shí)代難題。為因應(yīng)這一難題，個(gè)人信息匿名化處理技術(shù)應(yīng)運(yùn)而生，該技術(shù)旨在通過去除或者改變個(gè)人信息中的識別因子，滿足社會的信息需求，并避免損害信息主體的合法權(quán)益。技術(shù)的發(fā)展與應(yīng)用離不開法律制度的保駕護(hù)航，匿名化處理技術(shù)亦不例外，匿名化處理法律制度應(yīng)至少包括匿名化處理法律標(biāo)準(zhǔn)、匿名信息流通利用規(guī)則、再識別風(fēng)險(xiǎn)防范規(guī)則等內(nèi)容。而匿名化處理法律標(biāo)準(zhǔn)是匿名化處理法律制度的核心內(nèi)容，直接關(guān)涉到匿名化處理制度的有效性和可行性，本文圍繞該問題展開探究。

一、制度功用透視：平衡個(gè)人信息保護(hù)與個(gè)人信息流通利用

匿名化處理技術(shù)是信息時(shí)代的產(chǎn)物，旨在解決個(gè)人信息流通利用與個(gè)人信息保護(hù)之間的沖突，以一種“隱私友好（privacy-friendly）”的方式滿足社會的信息需求[3]。重申匿名化處理的制度功用，對確立合理可行的匿名化處理法律標(biāo)準(zhǔn)至為關(guān)鍵。

（一）保護(hù)信息主體人格尊嚴(yán)和人身自由不受侵害

“與已識別或可識別的自然人有關(guān)的任何信息”，這一關(guān)于個(gè)人信息的國際主流定義，體現(xiàn)了個(gè)人信息的識別性和關(guān)聯(lián)性特征。我國國家標(biāo)準(zhǔn)GB/T 35723—2020《信息安全技術(shù)? 個(gè)人信息安全規(guī)范》（以下簡稱《個(gè)人信息安全規(guī)范》）也將個(gè)人信息界定為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。個(gè)人信息的識別性和關(guān)聯(lián)性特征是個(gè)人信息的首要特性[4]，決定了其直接關(guān)涉信息主體的人格尊嚴(yán)[5]和人身自由。

基于人格尊嚴(yán)和人身自由乃人之基本權(quán)利的定性，為避免科技進(jìn)步“對獨(dú)立人格的維護(hù)和自由人格的發(fā)展造成難以彌補(bǔ)的損害”[6]，我們必須貫徹“以人為本”的發(fā)展理念。個(gè)人信息所承載的信息主體人格利益應(yīng)當(dāng)是個(gè)人信息保護(hù)立法中的優(yōu)先考量因素，信息主體權(quán)利及信息處理者義務(wù)的正當(dāng)性基礎(chǔ)也源于個(gè)人信息的人格屬性。保護(hù)信息主體的人格尊嚴(yán)和人身自由是個(gè)人信息保護(hù)的基本目的[7]。

個(gè)人信息匿名化處理技術(shù)的相關(guān)措施包括刪除標(biāo)識符、替換標(biāo)識符、泛化標(biāo)識符、子抽樣處理等，這些技術(shù)措施能夠降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，進(jìn)而避免在流通利用匿名信息的過程中損害信息主體的合法權(quán)益。個(gè)人信息匿名化處理法律制度旨在保障匿名化處理技術(shù)的規(guī)范化、制度化運(yùn)行，其首要目的與功用即規(guī)范對個(gè)人信息的技術(shù)處理以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害。

（二）提供大數(shù)據(jù)發(fā)展和應(yīng)用的原材料，推動數(shù)據(jù)資源開發(fā)利用

大數(shù)據(jù)對國家發(fā)展的重要意義已為諸多國家和政府所肯認(rèn)，并被視為“未來的新石油”，發(fā)展大數(shù)據(jù)被上升到借助信息技術(shù)提升國家競爭力的宏觀戰(zhàn)略高度[8]。全球范圍內(nèi)，運(yùn)用大數(shù)據(jù)推動經(jīng)濟(jì)發(fā)展、完善社會治理、提升政府服務(wù)和監(jiān)管能力正深入推進(jìn)，各國相繼制定實(shí)施大數(shù)據(jù)戰(zhàn)略性文件，大力推動大數(shù)據(jù)發(fā)展和應(yīng)用。

大數(shù)據(jù)的發(fā)展和應(yīng)用離不開海量數(shù)據(jù)的喂養(yǎng)，海量數(shù)據(jù)的重要來源之一即個(gè)人數(shù)據(jù)。個(gè)人信息具有人格自由和人格尊嚴(yán)價(jià)值、商業(yè)價(jià)值和公共管理等多重價(jià)值[9]，需要通過合理的制度安排實(shí)現(xiàn)個(gè)人對個(gè)人信息保護(hù)的利益、信息業(yè)者對個(gè)人信息利用的利益和國家管理社會的公共利益之間的平衡[10]。就信息業(yè)者對個(gè)人信息的利用而言，其正當(dāng)性基礎(chǔ)已為各國立法和社會公眾所普遍認(rèn)可，促進(jìn)個(gè)人信息流通利用也已成為個(gè)人信息保護(hù)的重要立法宗旨之一。

個(gè)人信息匿名化處理制度補(bǔ)強(qiáng)了個(gè)人信息流通利用的正當(dāng)性基礎(chǔ)，能夠提供數(shù)據(jù)開發(fā)利用所需的原材料，“是促進(jìn)數(shù)據(jù)流通和共享的重要途徑”[11]。通過對個(gè)人信息的匿名化處理，降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，增強(qiáng)個(gè)人信息流通利用的適格性，以發(fā)揮個(gè)人信息蘊(yùn)含的社會、經(jīng)濟(jì)價(jià)值，滿足大數(shù)據(jù)時(shí)代對“新石油”原料的需求。個(gè)人信息匿名化處理法律制度的另一重要功用即提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動數(shù)據(jù)資源開發(fā)利用。

簡言之，個(gè)人信息匿名化處理法律制度旨在規(guī)范對個(gè)人信息的技術(shù)處理，以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害，同時(shí)提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動數(shù)據(jù)資源開發(fā)利用，致力于實(shí)現(xiàn)“自然人的個(gè)人信息權(quán)益的保護(hù)與信息的自由流動這一對法律價(jià)值的權(quán)衡與協(xié)調(diào)”[12]。

二、現(xiàn)狀檢視：我國現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)評析

我國匿名化處理法律制度濫觴于行業(yè)標(biāo)準(zhǔn)2，成形于《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國民法典》（以下簡稱《民法典》）。前述規(guī)范或效力層級較低，或規(guī)范目的特定，致使匿名化處理法律制度雖已在我國正式確立，但規(guī)范內(nèi)容極為簡單，而體現(xiàn)于匿名化處理內(nèi)涵之中的匿名化處理法律標(biāo)準(zhǔn)亦不清晰。

（一）匿名化處理法律標(biāo)準(zhǔn)：無法識別特定個(gè)人且不能復(fù)原

關(guān)于個(gè)人信息匿名化處理的內(nèi)涵，按《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)去身份化指引》（以下簡稱《定向廣告去身份化指引》）的規(guī)定，去身份化是對某項(xiàng)信息（集）進(jìn)行變更以去除或模糊個(gè)人身份關(guān)聯(lián)信息的過程;《網(wǎng)絡(luò)安全法》規(guī)定“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原”3;《民法典》4基本沿用了《網(wǎng)絡(luò)安全法》的規(guī)定;《數(shù)據(jù)安全管理辦法（征求意見稿）》規(guī)定“經(jīng)過處理無法關(guān)聯(lián)到特定個(gè)人且不能復(fù)原”5;《個(gè)人信息安全規(guī)范》強(qiáng)調(diào)無法識別或關(guān)聯(lián)到信息主體且不能復(fù)原6;《中華人民共和國個(gè)人信息保護(hù)法（草案）》（以下簡稱《個(gè)人信息保護(hù)法（草案）》）7亦采用了與《網(wǎng)絡(luò)安全法》近似的規(guī)定。

前述關(guān)于匿名化處理基本內(nèi)涵的各規(guī)定并無本質(zhì)區(qū)別?！睹穹ǖ洹放c《網(wǎng)絡(luò)安全法》相比，在保持匿名化處理內(nèi)涵不變的基礎(chǔ)上，將處理主體從網(wǎng)絡(luò)運(yùn)營者調(diào)整為一切信息處理者?！秱€(gè)人信息安全規(guī)范》基于將關(guān)聯(lián)信息納入個(gè)人信息范疇的考量而將匿名化處理的法律標(biāo)準(zhǔn)調(diào)整為“無法識別或關(guān)聯(lián)到信息主體且不能復(fù)原”，但該規(guī)范僅為推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制適用的效力。綜上，我國現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)為“無法識別特定個(gè)人且不能復(fù)原”。

此外，關(guān)于匿名化處理的法律標(biāo)準(zhǔn)，依據(jù)《定向廣告去身份化指引》的規(guī)定，在向非關(guān)聯(lián)方轉(zhuǎn)移信息時(shí)，單位應(yīng)采取“運(yùn)用‘有動機(jī)入侵者測試”8“全面查明是否能夠重新識別”9“必要時(shí)委托專家評估”10的方式確認(rèn)是否成功去身份化。此處規(guī)定的三個(gè)標(biāo)準(zhǔn)只是對域外不同國家和地區(qū)匿名化處理法律標(biāo)準(zhǔn)的簡單借鑒，缺乏具體的適用規(guī)則，同時(shí)由于該指引效力層級及適用范圍的局限性，此規(guī)定的實(shí)質(zhì)意義遠(yuǎn)遠(yuǎn)小于其形式意義。

（二）匿名化處理法律標(biāo)準(zhǔn)的涵義

“無法識別特定個(gè)人”與個(gè)人信息的識別性特征相對應(yīng)。匿名化處理力求在“技術(shù)的信仰與人身的信仰之間”尋找一個(gè)平衡點(diǎn)[13]，以避免個(gè)人信息處理行為侵害信息主體的合法權(quán)益，因而匿名化處理的關(guān)鍵即弱化個(gè)人信息與信息主體的關(guān)聯(lián)度。個(gè)人信息識別信息主體的方式包括直接識別和間接識別，根據(jù)體系解釋的法律解釋方法，匿名化處理法律標(biāo)準(zhǔn)中的“識別”同樣包括直接識別和間接識別，是故，匿名化處理需要達(dá)到通過處理后的信息既不能直接識別，也不能與其他信息相結(jié)合而識別信息主體的效果。這就要求信息處理者在匿名化處理過程中既要去除直接標(biāo)識符，也不能忽視了對間接標(biāo)識符的處理。

“不能復(fù)原”即要求匿名信息不存在復(fù)原為個(gè)人信息的可能性。個(gè)人信息的認(rèn)定離不開具體的場景，個(gè)人信息的場景性特征決定了其與匿名信息并非涇渭分明，而是可以互相轉(zhuǎn)化的動態(tài)關(guān)系。特定場景下的匿名信息，在場景發(fā)生變化時(shí)，或許能夠識別特定個(gè)人而成為個(gè)人信息。因此，有效的匿名化處理應(yīng)當(dāng)能夠通過技術(shù)手段使得處理后的信息無法識別特定個(gè)人，并且增加匿名信息轉(zhuǎn)化為個(gè)人信息的難度。然而，技術(shù)手段的可破解性內(nèi)在地決定了技術(shù)層面的絕對不能復(fù)原是難以實(shí)現(xiàn)的，故此處的“不能復(fù)原”應(yīng)當(dāng)理解為法律層面的不能復(fù)原，即信息處理者和接收者不得對經(jīng)匿名化處理后的個(gè)人信息進(jìn)行再識別，從而保證匿名信息處于“不能復(fù)原”的狀態(tài)。

（三）匿名化處理法律標(biāo)準(zhǔn)存在的問題

匿名化處理法律標(biāo)準(zhǔn)的明晰，關(guān)鍵在于“識別”標(biāo)準(zhǔn)的確定。在個(gè)人信息識別性認(rèn)定問題上，除識別方式外，特別需要明確識別認(rèn)定的主體基準(zhǔn)。關(guān)于該主體基準(zhǔn)，有“主觀說”和“客觀說”之別?！爸饔^說”即“信息控制者說”，主張以信息控制者為基準(zhǔn)判斷信息是否能識別特定個(gè)人;“客觀說”包括“社會一般多數(shù)人說”和“任一主體說”，前者主張以社會一般多數(shù)人為主體基準(zhǔn)進(jìn)行判斷，后者主張將一切個(gè)人和組織作為識別認(rèn)定的主體基準(zhǔn)，即只要該信息能被某機(jī)構(gòu)所識別，無論該機(jī)構(gòu)是否已實(shí)際識別，都視為可識別[14]。如前所述，我國現(xiàn)行法律確立了“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)，但是并未明確識別認(rèn)定的主體基準(zhǔn)。另外，“不能復(fù)原”的要求該如何理解、如何落實(shí)，是絕對的不能復(fù)原還是相對的不能復(fù)原，也存有很大疑問。

至于《定向廣告去身份化指引》中所規(guī)定的“運(yùn)用‘有動機(jī)入侵者測試”“全面查明是否能夠重新識別”“必要時(shí)委托專家評估”的檢驗(yàn)標(biāo)準(zhǔn)，其實(shí)是對英國“蓄意侵入者檢驗(yàn)標(biāo)準(zhǔn)”、歐盟“所有合理可能性標(biāo)準(zhǔn)”和美國“專家判定法”標(biāo)準(zhǔn)的借鑒，文章第三部分將詳細(xì)闡釋這些標(biāo)準(zhǔn)?！抖ㄏ驈V告去身份化指引》將前述不同標(biāo)準(zhǔn)簡單并列，實(shí)質(zhì)上是確立了識別認(rèn)定的不同主體基準(zhǔn)，這些規(guī)定本身即存在矛盾和混亂之處，具體該如何適用也不得而知。

我們必須認(rèn)識到，個(gè)人信息的利用價(jià)值與其識別性特征密切相關(guān)，個(gè)人信息經(jīng)匿名化處理后若變得過于“干凈”，則其利用價(jià)值很有可能也隨之喪失，正如有學(xué)者所指出的“匿名信息的有效性與實(shí)用性，二者永遠(yuǎn)水火難容”[15]。個(gè)人信息匿名化處理究竟應(yīng)達(dá)到什么樣的法律標(biāo)準(zhǔn)以兼顧匿名信息的有效性與實(shí)用性，進(jìn)而實(shí)現(xiàn)個(gè)人信息保護(hù)與個(gè)人信息利用的妥當(dāng)平衡，我國現(xiàn)行法律尚未提供行之有效的解決方案。

三、域外鏡鑒：匿名化處理法律標(biāo)準(zhǔn)的域外經(jīng)驗(yàn)及啟示

（一）歐盟：“所有合理可能性”標(biāo)準(zhǔn)

歐盟個(gè)人數(shù)據(jù)匿名化處理相關(guān)規(guī)范主要體現(xiàn)在GDPR、歐洲委員會“108公約+”11及WP29《匿名化技術(shù)》意見書12中，GDPR前言第26段規(guī)定了識別的認(rèn)定標(biāo)準(zhǔn)及匿名信息的概念。據(jù)此可知?dú)W盟匿名化處理法律標(biāo)準(zhǔn)為“所有合理可能性”標(biāo)準(zhǔn)。

1.識別的內(nèi)涵：挑出、關(guān)聯(lián)和推斷

WP29在《匿名化技術(shù)》意見書中指出，識別并非單純指揭示某人的姓名和/或地址，還包括從數(shù)據(jù)中挑出當(dāng)事人、產(chǎn)生關(guān)聯(lián)或進(jìn)行推斷[16]。在進(jìn)行匿名化處理時(shí)，需要著重考慮挑出（singling out）風(fēng)險(xiǎn)、關(guān)聯(lián)性（linkability）風(fēng)險(xiǎn)和推斷（reference）風(fēng)險(xiǎn)。若能夠在數(shù)據(jù)集中分離出部分或全部能識別個(gè)人身份的記錄，則構(gòu)成挑出風(fēng)險(xiǎn)。若通過同一或不同數(shù)據(jù)集中的記錄，能夠在至少兩項(xiàng)屬于同一（組）數(shù)據(jù)主體的記錄之間產(chǎn)生關(guān)聯(lián)，則構(gòu)成關(guān)聯(lián)性風(fēng)險(xiǎn)。如果通過關(guān)聯(lián)分析等能證明兩項(xiàng)記錄屬于同一組數(shù)據(jù)主體，但不能挑出某一數(shù)據(jù)主體，則該技術(shù)只能有效避免挑出風(fēng)險(xiǎn)，但不能防范關(guān)聯(lián)性風(fēng)險(xiǎn)。若根據(jù)一系列其他屬性值推斷出某一屬性值的概率較高，則構(gòu)成推斷風(fēng)險(xiǎn)。匿名化處理方案應(yīng)當(dāng)能夠防范這三種風(fēng)險(xiǎn)，以有效防止數(shù)據(jù)控制者和任何第三方通過最可能（most likely）和合理（reasonable）的手段重新識別數(shù)據(jù)主體。

2.識別認(rèn)定的主體基準(zhǔn)：數(shù)據(jù)控制者和其他人

如前所述，識別認(rèn)定的主體基準(zhǔn)有主觀說和客觀說之別。歐盟采用了客觀說中的“任一主體說”，主張以一切個(gè)人和組織作為識別認(rèn)定的主體基準(zhǔn)，這與歐盟追求“具有廣泛延伸性”[17]的個(gè)人數(shù)據(jù)定義之理念相吻合，能夠更為充分地保護(hù)數(shù)據(jù)主體。在此基礎(chǔ)上，歐盟將匿名數(shù)據(jù)作為非個(gè)人數(shù)據(jù)，為其營造了較為寬松的流通利用環(huán)境?！稓W盟非個(gè)人數(shù)據(jù)自由流通框架條例》規(guī)定除非為了國家安全，非個(gè)人數(shù)據(jù)的流通應(yīng)不受本地化限制[18];《歐盟非個(gè)人數(shù)據(jù)自由流通框架條例指南》進(jìn)一步指出“匿名化處理后的個(gè)人數(shù)據(jù)”[19]屬于非個(gè)人數(shù)據(jù)，并強(qiáng)調(diào)在個(gè)人數(shù)據(jù)被適當(dāng)匿名化后，公民個(gè)人數(shù)據(jù)受保護(hù)的權(quán)利仍應(yīng)受到尊重。

3.識別認(rèn)定的方式標(biāo)準(zhǔn)：所有合理手段

在識別的判斷上，利用數(shù)據(jù)識別特定主體的合理可能性是認(rèn)定識別的關(guān)鍵。誠如阿爾希波夫（Vladislav A.）所言，“有足夠的精力和時(shí)間，蛛絲馬跡都能識別到個(gè)人，這就是世界上私家偵探的工作方式，但并不應(yīng)當(dāng)是法律的工作方式”[20]。歐盟將識別方式標(biāo)準(zhǔn)明確界定為“所有合理手段”，“合理”即要求綜合考慮數(shù)據(jù)控制者和其他人進(jìn)行識別所需的費(fèi)用和時(shí)間，同時(shí)考慮到數(shù)據(jù)處理時(shí)可采用的技術(shù)及技術(shù)的研發(fā)?！叭绻麑?shù)據(jù)主體的識別被法律禁止，或由于需要在時(shí)間、成本和人力等方面付出不成比例的努力而幾乎不可能，以至于被識別的風(fēng)險(xiǎn)在現(xiàn)實(shí)中是微不足道的”13，則應(yīng)認(rèn)為該數(shù)據(jù)不具有識別性。

識別的內(nèi)涵、識別認(rèn)定的主體標(biāo)準(zhǔn)和方式標(biāo)準(zhǔn)共同構(gòu)成了歐盟匿名化處理的法律標(biāo)準(zhǔn)，即匿名化處理需達(dá)到數(shù)據(jù)控制者和任何其他人通過所有合理可能的手段（綜合考慮進(jìn)行識別的費(fèi)用、時(shí)間、當(dāng)時(shí)的可用技術(shù)及技術(shù)的研發(fā)等）都無法從數(shù)據(jù)中挑出個(gè)人、關(guān)聯(lián)到個(gè)人或推斷出個(gè)人身份的標(biāo)準(zhǔn)。

（二）英國：“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)

英國信息專員辦公室（Information Commissioners Office）（以下簡稱ICO）2012年發(fā)布了《匿名化：數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)管理實(shí)踐準(zhǔn)則》14（以下簡稱《準(zhǔn)則》），以指導(dǎo)英國企業(yè)的匿名化處理實(shí)踐。《準(zhǔn)則》規(guī)范了個(gè)人數(shù)據(jù)匿名化及數(shù)據(jù)披露的相關(guān)問題。在《準(zhǔn)則》中，“匿名數(shù)據(jù)”指本身不能識別個(gè)人并且不太可能通過與其他數(shù)據(jù)結(jié)合而識別個(gè)人的數(shù)據(jù);“重新識別”指通過數(shù)據(jù)匹配或類似技術(shù)將匿名數(shù)據(jù)轉(zhuǎn)換為個(gè)人數(shù)據(jù)的過程[3]。ICO特別強(qiáng)調(diào)，“識別”并不必然意味著“知曉姓名（named）”，在特定數(shù)據(jù)和已知個(gè)體間建立可靠的關(guān)聯(lián)（connection）也應(yīng)認(rèn)為構(gòu)成識別。

ICO認(rèn)為，多樣識別方式導(dǎo)致了識別（在另一層面上也即匿名）認(rèn)定的復(fù)雜性;同時(shí)，即使數(shù)據(jù)控制者自身確實(shí)無法通過處理后的數(shù)據(jù)識別任何個(gè)人，但其并不能確定是否有其他數(shù)據(jù)使得第三方能夠重新識別，這就增加了匿名化處理的難度。鑒于英國現(xiàn)有數(shù)據(jù)保護(hù)規(guī)范并未對解決“發(fā)布匿名化處理后的個(gè)人數(shù)據(jù)是否會導(dǎo)致重新識別”“是否有人有動機(jī)進(jìn)行重新識別”兩個(gè)問題提供實(shí)質(zhì)幫助，ICO提出了“蓄意侵入者檢驗(yàn)（a motivated intruder test）”標(biāo)準(zhǔn)。

1.侵入者的識別動機(jī)

ICO將侵入者的識別動機(jī)擬制為希望通過來源于個(gè)人數(shù)據(jù)的匿名數(shù)據(jù)識別數(shù)據(jù)主體，有進(jìn)行重新識別的主觀積極性，追求重新識別結(jié)果的發(fā)生，也即所謂的“蓄意（motivated）”。為防范匿名化處理可能存在的再識別風(fēng)險(xiǎn)，數(shù)據(jù)控制者需要充分衡量通過匿名化處理后的數(shù)據(jù)重新識別特定個(gè)人的可能性，這就必然要求所擬制的侵入者在主觀上具有充分的識別動機(jī)。

2.侵入者的識別能力

侵入者的識別能力直接決定著匿名化處理的難易程度，也是確定匿名化處理法律標(biāo)準(zhǔn)的關(guān)鍵。ICO假設(shè)侵入者具有相當(dāng)?shù)淖R別能力，并分別從積極方面和消極方面予以明定。在識別能力的積極方面，侵入者可以訪問互聯(lián)網(wǎng)、圖書館等所有公開資源，并可能采取技術(shù)調(diào)查措施（如詢問可能對數(shù)據(jù)主體身份有更多了解的人，或發(fā)布廣告尋找能提供信息的人等）[3];在識別能力的消極方面，侵入者不具有任何與匿名信息相關(guān)的先前知識，不具有專業(yè)知識（如掌握電腦黑客技能），不會使用專業(yè)設(shè)備，也不會訴諸犯罪手段（如通過入室盜竊獲取安全保存的數(shù)據(jù)）對匿名數(shù)據(jù)進(jìn)行重新識別。

3.“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)的合理性

ICO認(rèn)為，“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)設(shè)置了一個(gè)高于“相對不熟練”的普通公眾而又低于擁有較強(qiáng)專業(yè)知識、分析能力和先前知識的人所能達(dá)到的識別標(biāo)準(zhǔn)，因而是有效的[3]。在識別動機(jī)方面，假設(shè)侵入者具有充分的識別動機(jī)是保障匿名化處理有效性的直接要求;在識別能力方面，消極識別能力的擬制可避免匿名化處理法律標(biāo)準(zhǔn)過于嚴(yán)苛，但又不會造成對個(gè)人數(shù)據(jù)保護(hù)的疏忽，因?yàn)閷I(yè)知識者（如醫(yī)生、律師等）的執(zhí)業(yè)規(guī)范中往往規(guī)定了相應(yīng)的保密義務(wù)和倫理守則，而運(yùn)用犯罪手段進(jìn)行再識別者則將面臨刑事制裁。由此可見，“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)有助于實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)與個(gè)人數(shù)據(jù)流通利用之間的適當(dāng)平衡。

在蓄意侵入者檢驗(yàn)標(biāo)準(zhǔn)的具體操作中，企業(yè)可能要進(jìn)行網(wǎng)絡(luò)搜索以檢測是否可通過出生日期和郵政編碼等數(shù)據(jù)的組合識別特定個(gè)人，或者使用社交網(wǎng)絡(luò)查看是否可以將匿名數(shù)據(jù)與用戶畫像相聯(lián)系等。此外，ICO還列舉了一些常見的信息來源：圖書館、地方議會辦公室、教會記錄、族譜學(xué)網(wǎng)站、社交媒體、互聯(lián)網(wǎng)、其他組織，尤其是公共當(dāng)局發(fā)布的匿名數(shù)據(jù)[3]。

（三）美國個(gè)人信息去識別化15法律標(biāo)準(zhǔn)

NIST16于2015年10月發(fā)布了《個(gè)人信息去識別化》（De-Identification of Personal Information）報(bào)告，總結(jié)了近二十年來個(gè)人信息去識別化的研究和實(shí)踐狀況，對深入理解美國去識別化處理規(guī)范內(nèi)容具有重大參考價(jià)值。美國在個(gè)人信息去識別化處理實(shí)踐中，對直接標(biāo)識符和準(zhǔn)標(biāo)識符采取了不同的處理方法，部分專門領(lǐng)域法律還規(guī)定了去識別化處理檢驗(yàn)標(biāo)準(zhǔn)。

1.“專家判定法”與“安全港方法”標(biāo)準(zhǔn)

《健康保險(xiǎn)可攜性和責(zé)任法案》（以下簡稱HIPAA法案）17的隱私規(guī)則中描述了受保護(hù)的健康信息去識別化處理的兩種標(biāo)準(zhǔn)。

第一，“專家判定法”標(biāo)準(zhǔn)。專家判定法即專家通過檢查信息確定最大限度地降低再識別風(fēng)險(xiǎn)的適當(dāng)去識別方法。專家乃具有知識和經(jīng)驗(yàn)的人，掌握了公認(rèn)的關(guān)于去識別的統(tǒng)計(jì)學(xué)科的原則及方法。專家運(yùn)用這些原則和方法，判斷單獨(dú)使用處理后的信息或?qū)⑻幚砗蟮男畔⑴c其他合理可用的信息結(jié)合使用時(shí)，信息預(yù)期接收者識別信息主體的風(fēng)險(xiǎn)是否非常小，進(jìn)而認(rèn)定是否達(dá)到了有效的去識別化。該標(biāo)準(zhǔn)還要求專家記錄分析的方法和結(jié)果，以證明其作出的判定是合理的。

第二，“安全港方法”標(biāo)準(zhǔn)。安全港方法詳細(xì)列舉了姓名、地理分區(qū)18、日期19、電話號碼、傳真號碼、電子郵件地址、社會保險(xiǎn)號碼、醫(yī)療記錄號碼、賬號、生物識別碼、任何其他唯一識別碼、特征或代碼等18項(xiàng)特定種類的識別符。數(shù)據(jù)控制者只有刪除“個(gè)人或其親屬、雇主、家庭成員”的前述18項(xiàng)標(biāo)識符，且并不實(shí)際知悉“處理后的信息可以單獨(dú)使用或與其他信息結(jié)合使用，以識別作為信息主體的個(gè)人”時(shí)，方可被認(rèn)為完成了有效的去識別化處理。

2.去識別化處理操作方法：區(qū)分處理直接標(biāo)識符與準(zhǔn)標(biāo)識符

直接標(biāo)識符（Direct-identification），也即直接識別變量或直接識別數(shù)據(jù)，是“直接識別單個(gè)個(gè)人的數(shù)據(jù)”，包括姓名、社會保險(xiǎn)號碼和電子郵件地址等。國際標(biāo)準(zhǔn)化組織發(fā)布的ISO 25237：2017（E）《健康信息學(xué)-假名化》（Health informatics-Pseudonymization）將直接標(biāo)識符定義為“無需附加信息或通過與公共領(lǐng)域中的其他信息進(jìn)行交叉關(guān)聯(lián)即可用于識別個(gè)人的數(shù)據(jù)”[21]。NIST在《個(gè)人信息去識別化》報(bào)告中強(qiáng)調(diào)，建議將其他個(gè)性化信息（如醫(yī)療記錄號碼和電話號碼）作為直接標(biāo)識符，盡管這些標(biāo)識需要借助附加信息才能與個(gè)人身份聯(lián)系，但由于其被廣泛使用，因此易于與個(gè)人身份聯(lián)系[22]。

由于直接標(biāo)識符與信息主體高度關(guān)聯(lián)，在去識別化處理時(shí)須將其刪除或通過其他方式加以轉(zhuǎn)換。信息處理者可結(jié)合具體情形及預(yù)期使用目的，選擇如下處理方法：第一，刪除;第二，替換為明顯通用的類別名稱或數(shù)據(jù)，如“某人”“某市某區(qū)”等;第三，替換為符號，如“***”“……”等;第四，替換為隨機(jī)值，若同一標(biāo)識符多次出現(xiàn)，應(yīng)替換為不同值，從而既保留原始數(shù)據(jù)形式以進(jìn)行某些分析，又為數(shù)據(jù)與個(gè)人間的重新關(guān)聯(lián)設(shè)置障礙;第五，系統(tǒng)地替換為假名（即假名化處理），允許引用同一個(gè)人的記錄進(jìn)行匹配等[22]。NIST指出，假名化是以假名替代直接標(biāo)識符的一種特殊轉(zhuǎn)換。若處理者保留了直接標(biāo)識符與假名間的映射，或者使用易于發(fā)現(xiàn)參數(shù)的算法執(zhí)行替換，則假名化處理容易被逆轉(zhuǎn)進(jìn)而導(dǎo)致重新識別;即使沒有保留映射，跨多個(gè)數(shù)據(jù)集使用一致的假名，也可通過關(guān)聯(lián)分析實(shí)現(xiàn)再識別。基于此，OHRP20指出，根據(jù)普遍規(guī)則，若假名化處理易于被逆轉(zhuǎn)，假名化數(shù)據(jù)應(yīng)被視為代碼化的（coded）而非匿名的[23]，但若存在禁止共享代碼密鑰的數(shù)據(jù)使用協(xié)議，則應(yīng)被視為匿名的。

準(zhǔn)標(biāo)識符（Quasi-identification），也即間接標(biāo)識符或間接標(biāo)識變量，是指本身不能識別特定個(gè)人，但可與其他信息聚合和連接以識別數(shù)據(jù)主體的標(biāo)識符[24]，如生日、性別、郵政編碼等。準(zhǔn)標(biāo)識符的存在對去識別化處理提出了重大挑戰(zhàn)。盡管可以從數(shù)據(jù)集中將其刪除，但由于準(zhǔn)標(biāo)識符通常能傳遞對后續(xù)分析相當(dāng)重要的信息，刪除可能有損數(shù)據(jù)集的實(shí)用性[22]。因此，信息處理者應(yīng)謹(jǐn)慎對待準(zhǔn)標(biāo)識符，以協(xié)調(diào)去識別化的有效性與實(shí)用性。

對于準(zhǔn)標(biāo)識符，信息控制者可結(jié)合去識別化處理后的預(yù)期用途，選擇如下處理方法：第一，抑制（Suppression）處理，即去除準(zhǔn)標(biāo)識符，可最大限度地保護(hù)隱私，但影響數(shù)據(jù)集的實(shí)用性。第二，泛化（Generalization）處理，將特定準(zhǔn)標(biāo)識符的值處理為在給定范圍內(nèi)或作為集合的元素，如將郵政編碼123456泛化為在123000到123999之間的郵政編碼，泛化處理可應(yīng)用于整個(gè)數(shù)據(jù)集或特定記錄。第三，干擾（Perturbation）處理，在給定的泛化級別內(nèi)將特定值以保持個(gè)體一致的方式替換為其他值，如將數(shù)據(jù)集中的年齡統(tǒng)一隨機(jī)上下調(diào)整2年，或者將入院、出院日期系統(tǒng)性地增減相同天數(shù)[25]。第四，交換（Swapping）處理，在給定的泛化級別內(nèi)交換不同準(zhǔn)標(biāo)識符的值，但如需保留統(tǒng)計(jì)特性，則必須謹(jǐn)慎交換。第五，子抽樣（Sub-sampling）處理，通過發(fā)布樣本代替數(shù)據(jù)集以降低再識別概率[26]。

（四）匿名化處理法律標(biāo)準(zhǔn)的歸納總結(jié)

關(guān)于匿名化處理法律標(biāo)準(zhǔn)，歐盟“所有合理可能性”標(biāo)準(zhǔn)、英國“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)及美國“專家判定法”標(biāo)準(zhǔn)均系基于識別風(fēng)險(xiǎn)考量而確立的風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)，而美國“安全港方法”標(biāo)準(zhǔn)和“區(qū)分處理直接識別符與準(zhǔn)標(biāo)識符”操作方法都屬基于處理手段確立的操作方法標(biāo)準(zhǔn)。

1.匿名化處理風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)

風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)旨在通過衡量重新識別風(fēng)險(xiǎn)的高低判定匿名化處理之有效性。其中，“所有合理可能性”標(biāo)準(zhǔn)最為嚴(yán)格，須數(shù)據(jù)控制者和其他人皆不能通過合理可能的手段實(shí)現(xiàn)重新識別，相當(dāng)于“將匿名標(biāo)準(zhǔn)提高到數(shù)據(jù)公開之標(biāo)準(zhǔn)”[27]。在此基礎(chǔ)上，歐盟將匿名數(shù)據(jù)界定為非個(gè)人數(shù)據(jù)，并為其營造了較為寬松的流通利用環(huán)境，實(shí)際上確立了“嚴(yán)進(jìn)寬出”的匿名化處理規(guī)范路徑。歐盟的規(guī)范模式能夠較為充分地保護(hù)數(shù)據(jù)主體的合法權(quán)益，但對數(shù)據(jù)控制者的要求較高，且依該標(biāo)準(zhǔn)處理后的數(shù)據(jù)的實(shí)用性將有所降低，不利于促進(jìn)數(shù)據(jù)流通利用。“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)實(shí)為一種高于“普通公眾”而低于“專家”的檢驗(yàn)標(biāo)準(zhǔn)，通過對侵入者識別動機(jī)和識別能力的精巧擬制以盡可能充分地保護(hù)數(shù)據(jù)主體，同時(shí)又最大限度地確保匿名數(shù)據(jù)的實(shí)用性，該標(biāo)準(zhǔn)較好地平衡了數(shù)據(jù)主體保護(hù)與數(shù)據(jù)流通利用。“專家判定法”標(biāo)準(zhǔn)旨在通過專家衡量去識別化處理的有效性，但該標(biāo)準(zhǔn)較為籠統(tǒng)和模糊，缺乏可操作性，且須與配套規(guī)范結(jié)合才能發(fā)揮效用，如專家的認(rèn)證規(guī)范、選擇規(guī)范、操作規(guī)范、責(zé)任規(guī)范等，單獨(dú)的“專家判定法”標(biāo)準(zhǔn)難以有效運(yùn)行。

2.匿名化處理操作方法標(biāo)準(zhǔn)

美國“區(qū)分處理直接標(biāo)識符與準(zhǔn)標(biāo)識符”的操作方法標(biāo)準(zhǔn)，強(qiáng)調(diào)類型化標(biāo)識符并采用不同方法進(jìn)行處理。直接標(biāo)識符識別性較強(qiáng)，所關(guān)涉的信息主體利益與信息流通利用利益相比通常具有優(yōu)先重要性，因此，在去識別化處理過程中必須將其刪除或通過其他方式進(jìn)行轉(zhuǎn)換;而準(zhǔn)標(biāo)識符識別性相對較弱，同時(shí)可能對去識別化數(shù)據(jù)集更具實(shí)用性，故可通過刪除以外的其他方式進(jìn)行處理，從而在保護(hù)信息主體合法權(quán)益的同時(shí)盡可能地保留信息的實(shí)用性。整體而言，區(qū)分處理方法標(biāo)準(zhǔn)既能保護(hù)信息主體權(quán)益免受不當(dāng)侵害，保證去識別化處理的有效性，又盡可能地保留了去識別化信息的實(shí)用性，有利于達(dá)致個(gè)人信息保護(hù)與個(gè)人信息流通利用之妥當(dāng)平衡，為去識別化處理實(shí)踐提供了重要操作指南?！鞍踩鄯椒ā睒?biāo)準(zhǔn)列舉的必須刪除的18項(xiàng)標(biāo)識符在世界立法中堪稱最全[15]，但該標(biāo)準(zhǔn)存在的缺陷也十分淺顯。第一，試圖周延列舉標(biāo)識符是不現(xiàn)實(shí)的，不能排除在18項(xiàng)標(biāo)識符之外可能存在其他能夠識別特定主體的信息。第二，試圖周延列舉標(biāo)識符導(dǎo)致該標(biāo)準(zhǔn)缺乏靈活性，難以有效應(yīng)對技術(shù)發(fā)展帶來的挑戰(zhàn)，也有悖于去識別化處理方案應(yīng)根據(jù)個(gè)案情況設(shè)計(jì)的理念。美國聯(lián)邦通訊委員會亦認(rèn)為，安全港標(biāo)準(zhǔn)缺乏靈活性，現(xiàn)行列舉的標(biāo)識符隨著數(shù)據(jù)技術(shù)的發(fā)展將不可避免被淘汰。第三，該標(biāo)準(zhǔn)可能無法有效滿足數(shù)據(jù)利用的需要。其允許保留前三位郵政編碼及大多數(shù)日期的年份以平衡去識別信息的有效性和實(shí)用性，但這些舉措能否保留信息的實(shí)用性不無疑問。由于研究者在多數(shù)醫(yī)療研究中都需要獲取病人的病史信息、用藥時(shí)間和日期等信息[28]，F(xiàn)red H. Cate質(zhì)疑去除18項(xiàng)標(biāo)識符后信息能否滿足醫(yī)療研究之目的。NIST在報(bào)告結(jié)論部分也指出安全港方法標(biāo)準(zhǔn)缺乏牢固的理論基礎(chǔ)。

實(shí)際上，基于處理手段的匿名化處理操作方法標(biāo)準(zhǔn)與基于識別風(fēng)險(xiǎn)的匿名化處理風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)乃從不同維度構(gòu)建的匿名化處理法律標(biāo)準(zhǔn)。具體而言，前者系從技術(shù)手段維度確立的操作方法標(biāo)準(zhǔn)，后者系從風(fēng)險(xiǎn)考量維度確立的有效性檢驗(yàn)標(biāo)準(zhǔn)，二者既非對立，也無沖突，且可以相互結(jié)合共同豐富匿名化處理法律標(biāo)準(zhǔn)。

四、雙維重構(gòu)：操作方法與識別風(fēng)險(xiǎn)檢驗(yàn)協(xié)同的匿名化處理法律標(biāo)準(zhǔn)

我國現(xiàn)行“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)主要是針對處理效果提出的要求，該標(biāo)準(zhǔn)較為籠統(tǒng)和模糊，缺乏可操作性，難以有效指引及規(guī)范匿名化處理實(shí)踐。我國在完善個(gè)人信息匿名化處理法律制度的過程中，可以在借鑒英國和美國匿名化處理相關(guān)法律標(biāo)準(zhǔn)的基礎(chǔ)上，另辟蹊徑，構(gòu)建匿名化處理操作方法標(biāo)準(zhǔn)與識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)協(xié)同的雙維匿名化處理法律標(biāo)準(zhǔn)，以最終實(shí)現(xiàn)無法識別特定個(gè)人且不能復(fù)原的匿名化處理法律效果。

（一）操作方法：區(qū)分處理直接標(biāo)識符與間接標(biāo)識符

匿名化處理操作方法標(biāo)準(zhǔn)的確定，應(yīng)堅(jiān)持保護(hù)信息主體人格尊嚴(yán)人身自由與保留匿名信息實(shí)用性促進(jìn)個(gè)人信息流通利用相平衡的基本理念?！爱?dāng)抽象——一般概念及其邏輯體系不足以掌握某生活現(xiàn)象或意義脈絡(luò)的多樣表現(xiàn)形態(tài)時(shí)，大家首先會想到的補(bǔ)助思考形式是‘類型”。[29]不同標(biāo)識符識別能力強(qiáng)弱有別，蘊(yùn)含的經(jīng)濟(jì)價(jià)值也有區(qū)別，具有進(jìn)行類型化區(qū)分的可行性和必要性。同時(shí)，不同技術(shù)手段的側(cè)重點(diǎn)和處理效果各有不同，為區(qū)分處理直接標(biāo)識符和間接標(biāo)識符提供了技術(shù)支撐。如刪除處理能夠最有效地保護(hù)個(gè)人信息，但也使得個(gè)人信息蘊(yùn)含的效用徹底喪失;泛化或者干擾處理等，通過降低個(gè)人信息的精確度削弱處理后信息與信息主體的關(guān)聯(lián)，以保護(hù)信息主體的人格尊嚴(yán)和人身自由，同時(shí)也在一定程度上保留處理后信息的實(shí)用性。因此，可以將不同技術(shù)手段有針對性地適用于直接標(biāo)識符和間接標(biāo)識符的處理。

對于直接標(biāo)識符，由于其能夠直接識別特定個(gè)人，與信息主體的人格尊嚴(yán)和人身自由密切相關(guān)，基于人格尊嚴(yán)保護(hù)之目的價(jià)值應(yīng)優(yōu)先于個(gè)人信息利用之工具價(jià)值的基本理念[30]，必須將直接標(biāo)識符刪除或者進(jìn)行轉(zhuǎn)換，從而盡可能地避免在流通利用處理后信息的過程中不當(dāng)損害信息主體的合法權(quán)益。對于間接標(biāo)識符，由于其與信息主體人格尊嚴(yán)和人身自由的聯(lián)系相對疏遠(yuǎn)，同時(shí)其可能蘊(yùn)含著個(gè)人信息的經(jīng)濟(jì)效用，對其進(jìn)行挖掘分析能夠產(chǎn)生巨大價(jià)值，因此可以主要通過刪除以外的其他匿名化技術(shù)措施進(jìn)行處理，如泛化處理或干擾處理等，以兼顧信息主體人格尊嚴(yán)人身自由的保護(hù)與匿名化處理后信息實(shí)用性的保留。據(jù)此，根據(jù)不同匿名化技術(shù)手段處理效果的差異，可以在技術(shù)領(lǐng)域確定適用于直接標(biāo)識符和間接標(biāo)識符的匿名化處理措施指南，供信息控制者在匿名化處理實(shí)踐中參考。信息控制者在進(jìn)行匿名化處理時(shí)，應(yīng)結(jié)合具體場景及預(yù)期使用目的，在參考匿名化處理措施指南的基礎(chǔ)上分別挑選適用于個(gè)案中直接標(biāo)識符和間接標(biāo)識符處理的技術(shù)手段。

（二）識別風(fēng)險(xiǎn)檢驗(yàn)：“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)

識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)直接決定著匿名化處理的難易程度，檢驗(yàn)標(biāo)準(zhǔn)若設(shè)置得較為嚴(yán)苛，則可能過分加重個(gè)人信息處理者的負(fù)擔(dān)，不利于促進(jìn)個(gè)人信息流通利用以發(fā)揮其蘊(yùn)含的巨大價(jià)值;反之，檢驗(yàn)標(biāo)準(zhǔn)若設(shè)置得較為寬松，則可能損害信息主體的人格尊嚴(yán)和人身自由，有違個(gè)人信息保護(hù)的基本價(jià)值理念。

確立識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)的關(guān)鍵在于對識別認(rèn)定主體基準(zhǔn)和識別可能性的明晰。在識別認(rèn)定主體基準(zhǔn)方面，“任一主體說”（即數(shù)據(jù)控制者和其他人）要求過高，實(shí)際上將匿名化處理標(biāo)準(zhǔn)近乎提高至了信息公開的程度，不利于促進(jìn)個(gè)人信息流通利用，不符合匿名化處理制度初衷;“專家判定法”標(biāo)準(zhǔn)具有一定的合理性，但該標(biāo)準(zhǔn)的實(shí)施較為復(fù)雜，需與專家認(rèn)證規(guī)范、選定規(guī)范、操作規(guī)范及責(zé)任規(guī)范等配套制度相結(jié)合，且難以克服主觀標(biāo)準(zhǔn)內(nèi)在的不確定性;“蓄意侵入者”標(biāo)準(zhǔn)相對客觀中立，通過法律明確擬制具有識別動機(jī)和特定識別能力的侵入者，能夠兼顧匿名化處理的有效性與匿名信息的實(shí)用性，且易于通過法律規(guī)范進(jìn)行調(diào)整，富有可操作性的同時(shí)，也不失靈活性和包容性。另一方面，法律擬制的“侵入者”雖然識別能力遜色于“專家”，但通過與其他法律規(guī)范（如職業(yè)倫理和信義義務(wù)規(guī)范等）共同作用，能夠充分保護(hù)信息主體。在識別可能性方面，應(yīng)強(qiáng)調(diào)識別的合理可能，如前所述，若識別為法律禁止或需付出明顯不成比例的時(shí)間、精力成本，則應(yīng)認(rèn)為不能識別，否則將過分加重處理者的負(fù)擔(dān)。法律關(guān)于侵入者識別能力的擬制也是要求合理識別可能的體現(xiàn)。因此，我國可以考慮采納“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)。

具體而言，信息控制者在參考匿名化處理措施指南完成匿名化處理后，應(yīng)當(dāng)評估處理后的信息能否通過“蓄意侵入者檢驗(yàn)”，進(jìn)而判定所進(jìn)行匿名化處理的有效性?！靶钜馇秩胝邫z驗(yàn)”，即法律擬制了一個(gè)具有識別動機(jī)和特定識別能力的侵入者，若該侵入者不能通過匿名化處理后的信息識別或者關(guān)聯(lián)至特定信息主體，則可認(rèn)為匿名化處理是有效的，反之則是無效的，信息控制者應(yīng)進(jìn)一步處理個(gè)人信息或者采取其他措施。在“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)中，侵入者在識別動機(jī)方面，試圖通過匿名化處理后的信息識別信息主體，具有重新識別的主觀積極性;在識別能力方面，侵入者能夠獲取一切公開的資源（如圖書館、互聯(lián)網(wǎng)等），能夠采取合理的調(diào)查措施以獲取進(jìn)行識別所需的信息，但其不具備專業(yè)技能，不具有關(guān)于信息主體的先前知識，也不會采用犯罪手段（如入室盜竊獲取安全保存的信息等）獲取信息以進(jìn)行識別。

結(jié)? ?語

作為“平衡商業(yè)利益和個(gè)人利益的利器”[31]，個(gè)人信息匿名化處理法律制度在大數(shù)據(jù)時(shí)代具有無可替代的重要作用。個(gè)人信息匿名化處理法律標(biāo)準(zhǔn)的優(yōu)化是發(fā)揮匿名化處理制度功用的關(guān)鍵。匿名化處理的操作方法標(biāo)準(zhǔn)與識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)是匿名化處理法律標(biāo)準(zhǔn)的兩個(gè)維度，兩者協(xié)同有助于增強(qiáng)匿名化處理法律標(biāo)準(zhǔn)的科學(xué)性和可行性。在操作方法標(biāo)準(zhǔn)方面，我國可以在技術(shù)領(lǐng)域分別確定適用于直接標(biāo)識符和間接標(biāo)識符的匿名化處理措施指南，供信息處理者在匿名化處理實(shí)踐中參考;在識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)方面，我國可以引入“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)，明確規(guī)定侵入者的識別動機(jī)和識別能力，進(jìn)而確保通過匿名化處理最終實(shí)現(xiàn)“無法識別特定個(gè)人且不能復(fù)原”的法律效果。當(dāng)然，還必須指出，技術(shù)的可破解性、匿名化處理的場景性、匿名信息的實(shí)用性等因素決定了個(gè)人信息匿名化處理并非一勞永逸，匿名信息具有再識別風(fēng)險(xiǎn)[32]，匿名化處理的再識別風(fēng)險(xiǎn)防范問題同樣需要我們深入思考。

參考文獻(xiàn)：

[1] 何星亮.智能革命與文明變遷——人類學(xué)的視角[J].中南民族大學(xué)學(xué)報(bào)（人文社會科學(xué)版）， 2019（4）：75-80.

[2] 劉穎，谷佳琪.個(gè)人信息去身份化及其制度構(gòu)建[J].學(xué)術(shù)研究，2020（12）：58-76.

[3] UK Information Commissioners Office. Anonymisation： Managing Data Protection Risk Code of Practice[EB/OL].（2012-11-20）[2021-03-05].https：//ico.org.uk/media/1061/anonymisation-code.pdf.

[4] 韓旭至.大數(shù)據(jù)時(shí)代下匿名信息的法律規(guī)制[J].大連理工大學(xué)學(xué)報(bào)（社會科學(xué)版），2018（4） ： 64-75.

[5] 王利明.人格尊嚴(yán)：民法典人格權(quán)編的首要價(jià)值[J].當(dāng)代法學(xué)，2021（1）：3-14.

[6] 張建文.隱私權(quán)的現(xiàn)代性轉(zhuǎn)向與對公權(quán)力介入的依賴[J].社會科學(xué)家，2013（6）：10-14.

[7] 高富平.論個(gè)人信息保護(hù)的目的——以個(gè)人信息保護(hù)法益區(qū)分為核心[J].法商研究， 2019 （1）：93-104.

[8] 蔡翠紅.國際關(guān)系中的大數(shù)據(jù)變革及其挑戰(zhàn)[J].世界經(jīng)濟(jì)與政治，2014（5）：124-143.

[9] 程嘯.論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利[J].中國社會科學(xué)， 2018（3）：102-122.

[10] 張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國法學(xué)， 2015（3）：38-59.

[11] 王利明.數(shù)據(jù)共享與個(gè)人信息保護(hù)[J].現(xiàn)代法學(xué)，2019（1）：45-57.

[12] 程嘯.我國《民法典》個(gè)人信息保護(hù)制度的創(chuàng)新與發(fā)展[J].財(cái)經(jīng)法學(xué)， 2018（4）：32-53.

[13] 黃道麗，張敏.大數(shù)據(jù)背景下我國個(gè)人數(shù)據(jù)法律保護(hù)模式分析[J].中國信息安全， 2015 （6）：111-116.

[14] 謝琳.大數(shù)據(jù)時(shí)代個(gè)人信息邊界的界定[J].學(xué)術(shù)研究，2019（3）：69-75.

[15] Paul Ohm. Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J]. UCLA Law Review，2010，57（6）：1701-1777.

[16] Article 29 Data Protection Working Party. Opinion 05/2014 on Anonymisation Techniques[EB/OL].（2014-04-10）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[17] Article 29 Data Protection Working Party. Opinion 04/2007 on the Concept of Personal Data [EB/OL].（2007-06-20）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_ en. pdf.

[18] European Commission. Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2018-11-14）[2021-03-09].https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/？uri=CELEX：32018R1807& qid=1617248879534&from=EN.

[19] European Commission. Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2019-05-29）[2021-03-09].https：//eur-lex.europ-a.eu/legal-content/EN/TXT/PDF/？uri=CELEX：52019DC0250&from=EN.

[20] Vladislav A & Victor N. The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation： Between Formal Certainty and Technological Development [J].Computer Law & Security Review，2016，32（6）：868-887.

[21] International Organization for Standardization. Health informatics – Pseudonymization [S]. （2017-01-20）[2021-03-10].https：//www.iso.org/standard/63553.html.

[22] National Institute of Standards and Technology. De-identification of Personal Information [R].（2015-10-20）[2021-0313].https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.

[23] U.S. Department of Health and Human Services Office for Human Research Protections （OHRP）. Coded Private Information or Specimens Use in Research[EB/OL].（2008-10-16）[2021-03-13]. http：//wayback.archive-it.org/org-745/20160209155555/http：//archive.hhs.gov/ohrp/hum

ansubjects/guidance/cdebiol.htm.

[24] Dalenius. Finding a Needle in a Haystack， or Identifying Anonymous Census Records[J]. Journal of Official Statistics，1986，2（3）：329-336.

[25] US Department of Health and Human Services Office of Civil Rights. Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act （HIPAA） Privacy Rule[EB/OL].（2012-11-26）[2021-

03-15]. https：//www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/Deidentification/hhs_deid_guidance.pdf.

[26] El Emam. Methods for the De-identification of Electronic Health Records for Genomic Research[J]. Genome Medicine，2011，3（25）：1-9.

[27] 金耀.個(gè)人數(shù)據(jù)匿名化法律標(biāo)準(zhǔn)明晰——以《網(wǎng)絡(luò)安全法》第42條為中心[J].網(wǎng)絡(luò)法律評論，2016（2）：72-87.

[28] UK Information Commissioners Office， Data Protection Technical Guidance Determining What is Personal Data [EB/OL].（2012-12-12）[2021-03-15].https：//ico.org.uk/media/for-organi-sations/documents/1554/determining-what-is-personal-data.pdf.

[29] [德]卡爾·拉倫茨.法學(xué)方法論[M].陳愛娥譯，北京：商務(wù)印書館，2003：337.

[30] 胡文濤.我國個(gè)人敏感信息界定之構(gòu)想[J].中國法學(xué)，2018（5）：235-254.

[31] 江波，張亞男.大數(shù)據(jù)語境下的個(gè)人信息合理使用原則[J].交大法學(xué)，2018（3）：108-121.

[32] 張建文，程海玲.“破碎的隱私承諾”之防范：匿名化處理再識別風(fēng)險(xiǎn)法律規(guī)則研究[J].西北民族大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版），2020（3）：76-86.

Research on the Legal Standard of Personal Information Anonymization

Cheng Hailing

（School of Law， Chongqing University， Chongqing 400044， China）

Abstract： As a bridge between personal information protection and personal information circulation， the legal institution of personal information anonymization can meet the information needs of the society in a privacy friendly way. Chinese current legal standard of anonymization， namely "unable to identify specific individuals and cannot be reverted"， lacks operability and is difficult to regulate the practice of anonymization effectively. We can establish the legal standard of anonymization in the coordination of operation method standard and identification risk test standard. As for the operation method standard， we can establish the guidance of anonymization measures applicable to direct identifier and indirect identifier in the technical field. As for the identification risk test standard， we can introduce "a motivated intruder test" by specifying the identification motivation and identification ability of the intruder. Through the synergy of operation method dimension and identification risk test dimension， the "unable to identify specific individuals and cannot be reverted" legal effect of anonymization will finally be achieved.

Key words： personal information; anonymous processing; legal standards; direct identifier; indirect identifier; identification risk test