蔣潔 蘭舟 祁怡然

摘? ?要：文章厘清長(zhǎng)期混用的個(gè)人信息去識(shí)別化、匿名化、假名化、去標(biāo)識(shí)化的內(nèi)涵外延，結(jié)合域內(nèi)外建規(guī)立制的發(fā)展脈絡(luò)，搭建動(dòng)態(tài)平衡個(gè)體隱私安全與數(shù)據(jù)充分利用的層級(jí)治理方案。充分論證迭代算法有可能重新識(shí)別嚴(yán)重不完整的零散數(shù)據(jù)集，客觀上難以達(dá)致無(wú)法識(shí)別且不能復(fù)原的匿名狀態(tài)，亟待有條件免除數(shù)據(jù)處理者在符合去標(biāo)識(shí)化標(biāo)準(zhǔn)下的同意獲取義務(wù)。通過(guò)基于風(fēng)險(xiǎn)管控搭建的個(gè)人信息規(guī)制模式、隱私保障方案和以數(shù)據(jù)利用為核心的權(quán)屬機(jī)制，安全變現(xiàn)數(shù)據(jù)價(jià)值，助力后疫情時(shí)代數(shù)字經(jīng)濟(jì)有序發(fā)展。

關(guān)鍵詞：個(gè)人信息;去識(shí)別化;匿名化;去標(biāo)識(shí)化;數(shù)據(jù)治理

Abstract The purpose of the article is clarifying the concepts of de-recognization， anonymization， pseudonymization， and de-identification with the development path on making regulations， and promoting the dynamic equilibrium between the protection of personal information and the full use of data. Since iterative algorithms may re-recognize seriously incomplete anonymous data sets， it is objectively difficult to achieve an absolute state that cannot be recognized and cannot be recovered. It is necessary to ensure that completely anonymous data does not belong to the category of personal information， and conditionally exempt the processor from obtaining consent obligation under fully meeting the basic standards of de-identification. Through the governance mechanism and the protection mechanism of personal information de-identification based on risk controlling and management， and the ownership mechanism of rights and interests on personal information de-identification with data utilization as the core， rights and interests of specific natural persons will be protected， and the value of massive data will be fully realized. These will promote the harmonious development of economy and society.

Key words personal information; de-recognization; anonymization; de-identification; data governance

1? ?引言

網(wǎng)絡(luò)的誕生源于對(duì)自由的追求，最初的開拓者以開源代碼為己任，致力于搭建“終端對(duì)終端”的在線行為無(wú)法追溯的互聯(lián)架構(gòu)，試圖營(yíng)造一個(gè)摒棄真實(shí)身份的賽博環(huán)境[1]。直至頻發(fā)的風(fēng)險(xiǎn)事件促使人們意識(shí)到表面隔離在現(xiàn)實(shí)世界之外的虛擬空間能夠?qū)萍歼M(jìn)步、經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定等產(chǎn)生實(shí)質(zhì)影響，方才拉開個(gè)人信息可識(shí)別化的序幕。如多個(gè)國(guó)家和地區(qū)為了社會(huì)治理需要而責(zé)令網(wǎng)絡(luò)服務(wù)提供商設(shè)置實(shí)名門檻[2];又如虛擬平臺(tái)運(yùn)營(yíng)企業(yè)為了精準(zhǔn)推送商業(yè)廣告，迅速開發(fā)出能夠揭示真實(shí)地理位置的地圖程序以取代虛擬IP地址[3]。

回顧全球數(shù)字經(jīng)濟(jì)的發(fā)展歷程，個(gè)人信息的可識(shí)別化曾是萬(wàn)物互聯(lián)的核心動(dòng)能。顯名模式助力海量數(shù)據(jù)作為安全可信的生產(chǎn)要素參與市場(chǎng)交易，推動(dòng)建設(shè)開放型世界經(jīng)濟(jì)，支撐信息化時(shí)代的科技文化和社會(huì)發(fā)展。問(wèn)題在于，日新月異的物聯(lián)網(wǎng)、大數(shù)據(jù)與人工智能共同營(yíng)建的能夠迅速挖掘零散數(shù)據(jù)微弱關(guān)聯(lián)的復(fù)雜場(chǎng)景大幅加劇了個(gè)人信息全生命周期的風(fēng)險(xiǎn)。《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）、《美國(guó)加州消費(fèi)者隱私法案》（CCPA）、《新加坡個(gè)人數(shù)據(jù)保護(hù)法案》（PDPA）以及我國(guó)的《網(wǎng)絡(luò)安全法》《密碼法》《個(gè)人信息安全規(guī)范（2020版）》和《個(gè)人信息去標(biāo)識(shí)化指南》（GB/T 37964-2019）等規(guī)范性文件不約而同地強(qiáng)調(diào)數(shù)據(jù)隱私保護(hù)，卻在實(shí)際落地中暴露出諸多問(wèn)題。如廣泛適用的知情同意模式在運(yùn)作中暴露出流程復(fù)雜、術(shù)語(yǔ)晦澀、成本高昂、成效不彰等弊端。

一方面，海量數(shù)據(jù)資源的分享與利用是信息經(jīng)濟(jì)邁向高階智能化的核心支撐;另一方面，個(gè)人信息安全的充分保障是人格尊嚴(yán)與自由平等的重要表征。在我國(guó)培育和發(fā)展數(shù)據(jù)要素市場(chǎng)與全面加強(qiáng)數(shù)據(jù)安全規(guī)制之際，亟待及時(shí)總結(jié)域內(nèi)外為個(gè)人信息處理建規(guī)立制的經(jīng)驗(yàn)教訓(xùn)，厘清整個(gè)過(guò)程中涉及的匿名化、假名化、去標(biāo)識(shí)化等概念，進(jìn)而搭建既適應(yīng)我國(guó)當(dāng)前需要，又有能力引領(lǐng)全球數(shù)據(jù)治理的去識(shí)別化方案，迅速增強(qiáng)數(shù)字經(jīng)濟(jì)活力，提升全球影響力。

2? ?個(gè)人信息去識(shí)別化的類型解構(gòu)

曾為網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展立下汗馬之功的個(gè)人信息顯名化以“識(shí)別”為核心支撐，包括“被識(shí)別”（個(gè)人身份已被辨識(shí)）和“可識(shí)別”（有能力結(jié)合處理中的信息與其他信息進(jìn)行尚未發(fā)生的識(shí)別）等情形。識(shí)別對(duì)象主要是特定自然人的直接標(biāo)識(shí)符或間接標(biāo)識(shí)符。前者指姓名、住址、身份證號(hào)等可以直接關(guān)聯(lián)到特定自然人的信息;后者則指年齡、性別、郵編等本身不能識(shí)別特定自然人，但關(guān)聯(lián)其他信息時(shí)可以識(shí)別的信息。

概之，個(gè)人信息去識(shí)別化是在尊重自然人正當(dāng)權(quán)益的基礎(chǔ)上擯除一定量的直接或間接標(biāo)識(shí)符，以便將相關(guān)風(fēng)險(xiǎn)控制在合理范圍內(nèi)的復(fù)雜過(guò)程。個(gè)人信息去識(shí)別化主要包括匿名化和去標(biāo)識(shí)化兩大分支。由于兩者存在一定的相似性，常被混用或誤用。然而，兩者實(shí)際上在去識(shí)別化的方式、過(guò)程、后果上存在顯著差異。

2.1? ?個(gè)人信息匿名化

早在現(xiàn)代統(tǒng)計(jì)技術(shù)誕生之初，如何在達(dá)到數(shù)據(jù)采集目的之前提下，有序控制個(gè)人信息披露的范圍與方式就是關(guān)鍵性研發(fā)子域。19世紀(jì)中葉，美國(guó)聯(lián)邦人口調(diào)查局為了重新分配眾議院席位、確定各州征稅標(biāo)準(zhǔn)以及估算戰(zhàn)時(shí)軍事潛力等而開展的大規(guī)模人口普查中就刪除了一些與數(shù)據(jù)采集目的無(wú)關(guān)的個(gè)人信息[4]。20世紀(jì)50年代，計(jì)算機(jī)交叉制表技術(shù)大幅提升從業(yè)人員的數(shù)據(jù)分析能力。能夠反復(fù)設(shè)置復(fù)雜過(guò)濾條件的查詢模式使得參與者可以通過(guò)檢索唯一標(biāo)識(shí)符來(lái)鎖定特定自然人，在節(jié)約資源、促進(jìn)發(fā)展與維護(hù)穩(wěn)定等方面發(fā)揮積極效用，卻也引起一些專家學(xué)者對(duì)于隱私和安全的憂慮，進(jìn)而推進(jìn)一系列旨在強(qiáng)化匿名性的技術(shù)創(chuàng)新。如采取多種技術(shù)增加元數(shù)據(jù)集的隨機(jī)噪聲以降低識(shí)別出特定自然人的概率。

事實(shí)上，個(gè)人信息匿名化是在整合數(shù)據(jù)集聚與數(shù)據(jù)共享的大數(shù)據(jù)處理模式興起之前就廣泛應(yīng)用的數(shù)據(jù)處理方法，最初被用于指代各種去識(shí)別化的方式方法，“改變個(gè)人數(shù)據(jù)以致有關(guān)個(gè)人或客觀情況的信息不能夠確定為或必須付出相當(dāng)大的時(shí)間、經(jīng)費(fèi)和勞動(dòng)才能確定為歸屬于認(rèn)定的個(gè)人”①。即只要達(dá)到難以識(shí)別或復(fù)原困難就屬于匿名數(shù)據(jù)，而非“無(wú)法識(shí)別”或“不能復(fù)原”。

隨著現(xiàn)代信息基礎(chǔ)架構(gòu)和大數(shù)據(jù)處理技術(shù)迅猛發(fā)展，消噪攻擊行為等更為頻繁、便捷與隱蔽，大幅加劇了個(gè)人信息處理中重新識(shí)別的風(fēng)險(xiǎn)[5]。各國(guó)基于動(dòng)態(tài)權(quán)衡數(shù)據(jù)質(zhì)量與數(shù)據(jù)安全之目的，不得不持續(xù)收緊匿名化標(biāo)準(zhǔn)。如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)委員會(huì)（ANSI）將之表述為“信息控制者對(duì)數(shù)據(jù)集中可以識(shí)別個(gè)人身份的信息予以改變或者刪除，從而使信息利用者不能再識(shí)別信息主體?！盵6]又如《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）寫明“數(shù)據(jù)保護(hù)原則不應(yīng)當(dāng)適用于匿名化數(shù)據(jù)”，并將匿名化的內(nèi)涵限定為“無(wú)法識(shí)別且不能復(fù)原”[7]，試圖實(shí)現(xiàn)包括推斷預(yù)測(cè)在內(nèi)的各種數(shù)據(jù)處理模式均無(wú)法指向特定個(gè)體。這一將絕對(duì)匿名化數(shù)據(jù)排除在個(gè)人信息處理規(guī)制之外的治理模式不僅有利于節(jié)約資源并促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展，亦不會(huì)對(duì)自然人造成明顯的負(fù)面影響，獲得多個(gè)國(guó)家和地區(qū)認(rèn)同。如《印度個(gè)人數(shù)據(jù)保護(hù)法案（草案）》（PDPB）將匿名化界定為“對(duì)個(gè)人數(shù)據(jù)進(jìn)行不可逆的轉(zhuǎn)化處理或轉(zhuǎn)換為無(wú)法識(shí)別數(shù)據(jù)主體身份的格式，以符合監(jiān)管機(jī)構(gòu)的不可逆標(biāo)準(zhǔn)”[8]。又如我國(guó)的《個(gè)人信息保護(hù)法（草案）》第69條第1款第4項(xiàng)對(duì)“匿名化”的定義亦是“經(jīng)過(guò)處理無(wú)法識(shí)別且不能復(fù)原”的絕對(duì)匿名化[9]。

因之，當(dāng)前普遍使用的個(gè)人信息匿名化是指一個(gè)通過(guò)技術(shù)處理使得數(shù)據(jù)無(wú)法與任何已識(shí)別或可識(shí)別的特定自然人相關(guān)聯(lián)、不能通過(guò)數(shù)據(jù)處理者與第三方協(xié)作直接或間接識(shí)別特定自然人的不可逆轉(zhuǎn)的過(guò)程。

2.2? ? 個(gè)人信息去標(biāo)識(shí)化

2.2.1? ?必要性分析

信息技術(shù)廣域應(yīng)用的發(fā)展歷程中充斥著個(gè)人數(shù)據(jù)重新識(shí)別與復(fù)原的風(fēng)險(xiǎn)，“數(shù)據(jù)處理可能永遠(yuǎn)無(wú)法確保完全不會(huì)泄露敏感信息”[10]。如哈佛大學(xué)隱私實(shí)驗(yàn)室主任拉塔妮婭·斯維尼（Ratanay Sweeney）早在1996年就運(yùn)用“K-匿名”思路從海量健康數(shù)據(jù)中重新識(shí)別出時(shí)任馬薩諸塞州州長(zhǎng)的威廉·維爾德（William Weld）[11]。

21世紀(jì)以來(lái)，有關(guān)個(gè)人信息匿名化的技術(shù)驗(yàn)證如火如荼。令人遺憾的是，萬(wàn)物互聯(lián)場(chǎng)景下不斷豐富的復(fù)雜數(shù)據(jù)集、相關(guān)技術(shù)進(jìn)展和算法迭代一再證明了“E-多元”、“T-保密”、差分隱私和通過(guò)聯(lián)合系統(tǒng)進(jìn)行保持隱私的共享數(shù)據(jù)分析等匿名化方法在實(shí)現(xiàn)數(shù)據(jù)基本可用的前提下無(wú)法避免重新識(shí)別，“數(shù)據(jù)可以是有用的，也可以是完全匿名的，但絕不能兩者兼有?！盵12]如阿爾溫德·納那揚(yáng)（Arvind Naranayan）和維塔利·施瑪?shù)倏品颍╒italy Shmatikov）成功重識(shí)了Netflix發(fā)布的匿名數(shù)據(jù)集[13]。又如倫敦帝國(guó)理工學(xué)院的研究人員搭建出通過(guò)郵編、性別、出生日期等3個(gè)信息就能有81%概率在匿名數(shù)據(jù)庫(kù)中準(zhǔn)確追蹤特定對(duì)象的機(jī)器學(xué)習(xí)模型（具有15個(gè)人口統(tǒng)計(jì)屬性的匿名數(shù)據(jù)集的識(shí)別率高達(dá)99.98%），意味著較為先進(jìn)的估算模式有可能成功重識(shí)嚴(yán)重不完整的匿名數(shù)據(jù)集，“即便采樣量極大的匿名數(shù)據(jù)集也難以滿足GDPR規(guī)定的現(xiàn)代匿名標(biāo)準(zhǔn)?！盵14]

事實(shí)上，能夠發(fā)揮最基本的數(shù)據(jù)價(jià)值的人口統(tǒng)計(jì)數(shù)據(jù)集必然包括特定自然人一定的屬性點(diǎn)（少于3個(gè)屬性點(diǎn)的人口集合數(shù)據(jù)毫無(wú)價(jià)值）。當(dāng)前，大量數(shù)據(jù)集存在類似難題，尤其是生物特征數(shù)據(jù)具備海量獨(dú)特因子。問(wèn)題在于，經(jīng)過(guò)處理的個(gè)人信息并不具有絕對(duì)不可識(shí)別性和無(wú)法復(fù)原性。美國(guó)AOL公開的用戶搜索請(qǐng)求、Netflix的用戶視頻推送以及澳大利亞政府發(fā)布的數(shù)百萬(wàn)公民健康數(shù)據(jù)，均是刪除或屏蔽了多項(xiàng)標(biāo)識(shí)符的個(gè)人信息，卻在萬(wàn)物互聯(lián)化、零散數(shù)據(jù)海量化以及挖掘技術(shù)復(fù)雜化的現(xiàn)實(shí)環(huán)境中精準(zhǔn)鎖定到特定自然人。2019年，蘇黎世的兩位研究人員試圖結(jié)合案情從瑞士聯(lián)邦最高法院判決書中提及的匿名的制藥公司和藥品名稱里評(píng)估哪些制藥公司和醫(yī)療藥物參與了針對(duì)聯(lián)邦辦公室的法律訴訟。結(jié)果顯示，通過(guò)挖掘公開的匿名數(shù)據(jù)庫(kù)，能夠重新識(shí)別84%的案件[15]。

全球?qū)＜医?jīng)過(guò)40年的技術(shù)驗(yàn)證已經(jīng)就個(gè)人信息無(wú)法徹底匿名達(dá)成共識(shí)。隨著元數(shù)據(jù)集越來(lái)越大、數(shù)據(jù)更新越來(lái)越快、數(shù)據(jù)庫(kù)交互越來(lái)越多，匿名難度也越來(lái)越高。有關(guān)個(gè)人信息處理的治理機(jī)制不僅應(yīng)當(dāng)避免將絕對(duì)匿名化作為評(píng)判指標(biāo)，也有必要完善去標(biāo)識(shí)化分支的相關(guān)概念、標(biāo)準(zhǔn)、技術(shù)規(guī)制與風(fēng)險(xiǎn)評(píng)估，在維護(hù)自然人正當(dāng)權(quán)益的基礎(chǔ)上，建立科學(xué)合理、清晰友好的數(shù)據(jù)利用模式，促進(jìn)居民健康、改善交通出行、提升教育質(zhì)量、推動(dòng)技術(shù)進(jìn)步、助力經(jīng)濟(jì)發(fā)展、實(shí)現(xiàn)社會(huì)和諧。

2.2.2? ?概念界定

個(gè)人信息去標(biāo)識(shí)化亦可稱為“個(gè)人信息去標(biāo)識(shí)化過(guò)程”，意指一個(gè)通過(guò)技術(shù)處理去除目標(biāo)數(shù)據(jù)集中定量識(shí)別屬性和數(shù)據(jù)主體之間關(guān)聯(lián)并搭建充分防御重識(shí)別壁壘的過(guò)程。一般而言，去標(biāo)識(shí)化過(guò)程是在保留個(gè)體顆粒度的基礎(chǔ)上，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的直接標(biāo)識(shí)或準(zhǔn)標(biāo)識(shí)，使得第三方在不借助額外信息的情況下無(wú)法識(shí)別或者關(guān)聯(lián)特定自然人，從而能夠安全地將目標(biāo)數(shù)據(jù)集共享應(yīng)用到外部系統(tǒng)。

一般而言，去標(biāo)識(shí)化涵蓋了絕對(duì)匿名化以外的全部去識(shí)別化的方式方法。如假名化就是去標(biāo)識(shí)化的一種技術(shù)手段，即使用假名為特定自然人創(chuàng)建唯一標(biāo)識(shí)符以替代原始的直接標(biāo)識(shí)符，從而在不同數(shù)據(jù)集的相關(guān)記錄之間建立不會(huì)泄露隱私的關(guān)聯(lián)關(guān)系。

2.2.3? ?基本標(biāo)準(zhǔn)

目前，很多處理中的數(shù)據(jù)集源于多元信息整合。如醫(yī)療保健類數(shù)據(jù)集可能來(lái)自病患檢查數(shù)據(jù)、可穿戴式傳感器傳輸數(shù)據(jù)、臨床試驗(yàn)數(shù)據(jù)、基因組數(shù)據(jù)、醫(yī)患描述數(shù)據(jù)等。復(fù)雜的數(shù)據(jù)來(lái)源使得傳統(tǒng)的知情同意原則難以有效執(zhí)行且有可能影響數(shù)據(jù)價(jià)值變現(xiàn)，亟待有條件地免除個(gè)人信息處理者在充分滿足去標(biāo)識(shí)化基本標(biāo)準(zhǔn)下的同意獲取義務(wù)。

個(gè)人信息去標(biāo)識(shí)化是一個(gè)專業(yè)性很強(qiáng)的復(fù)雜技術(shù)處理過(guò)程且并非全程處于不可知狀態(tài)，需要清晰明確的基本標(biāo)準(zhǔn)。對(duì)于直接標(biāo)識(shí)符，應(yīng)當(dāng)予以刪除或使用隨機(jī)值或通用名稱替換、采用系統(tǒng)化特定值一致替換信息系統(tǒng)中多個(gè)數(shù)據(jù)記錄等。對(duì)于無(wú)法獨(dú)立識(shí)別特定自然人的間接標(biāo)識(shí)符，由于這些數(shù)據(jù)量級(jí)巨大、覆蓋廣泛且隨著環(huán)境要素變化而調(diào)整，技術(shù)上無(wú)法全部徹底地刪除或更改。實(shí)際操作中刪除某種可能對(duì)后續(xù)分析非常重要的信息還有可能會(huì)損害整個(gè)數(shù)據(jù)集的效用[16]，違背了去標(biāo)識(shí)化合理權(quán)衡個(gè)人信息安全與數(shù)據(jù)充分利用的初衷。如以醫(yī)學(xué)創(chuàng)新與醫(yī)療質(zhì)量發(fā)展為例，技術(shù)進(jìn)步使得人們能夠從大量電子醫(yī)療記錄和其他與健康相關(guān)的數(shù)據(jù)資源庫(kù)中獲得海量有用數(shù)據(jù)，迅速擴(kuò)充臨床醫(yī)療知識(shí)儲(chǔ)備、增加協(xié)作平臺(tái)的互操作性。有必要給予彈性較大的合理使用空間，推動(dòng)人類健康存續(xù)與有序發(fā)展。當(dāng)然，應(yīng)當(dāng)建立包括一系列基本標(biāo)準(zhǔn)和安全評(píng)估方案，督促個(gè)人信息處理者采用可證明的加密搜索、隱私計(jì)算、粒度訪問(wèn)控制、問(wèn)責(zé)制、數(shù)據(jù)來(lái)源管控等增強(qiáng)型隱私系統(tǒng)和安全措施。

3? ?個(gè)人信息去識(shí)別化的域外治理經(jīng)驗(yàn)和我國(guó)實(shí)踐

3.1? ? 域外治理經(jīng)驗(yàn)

基于全球合理權(quán)衡個(gè)人信息安全與數(shù)據(jù)充分利用的共識(shí)，主要國(guó)家和地區(qū)紛紛為個(gè)人信息去識(shí)別化建規(guī)立約。整個(gè)發(fā)展脈絡(luò)經(jīng)歷了從統(tǒng)一混用匿名化到以去識(shí)別化為上位概念，分別明確匿名化與去標(biāo)識(shí)化的變遷。

3.1.1? ?歐盟

1995年，歐洲議會(huì)和歐盟理事會(huì)制定的《數(shù)據(jù)保護(hù)指令》（Data Protection Directive，95/46/EC）提到了個(gè)人數(shù)據(jù)匿名化處理，卻由于規(guī)定過(guò)于寬泛模糊、缺乏可操作性， 一直未能有效落實(shí)。2014年，歐盟第29條工作小組（Article 29 Working Party，WP29）發(fā)布了《第05/2014號(hào)意見(jiàn)：匿名化技術(shù)》（Opinion 05/2014 on Anonymization Techniques），大致梳理了歐盟個(gè)人數(shù)據(jù)保護(hù)框架的正負(fù)效應(yīng)并提出有關(guān)第三方評(píng)判匿名化狀態(tài)的客觀標(biāo)準(zhǔn)的建議。即基于個(gè)人數(shù)據(jù)的分離識(shí)別風(fēng)險(xiǎn)、關(guān)聯(lián)性風(fēng)險(xiǎn)和推測(cè)風(fēng)險(xiǎn)等等，主張避免能夠從數(shù)據(jù)集中分離出部分或全部可識(shí)別個(gè)人身份的記錄、能夠在兩項(xiàng)或以上同屬一個(gè)或一組數(shù)據(jù)主體卻分散在不同數(shù)據(jù)集的記錄之間產(chǎn)生關(guān)聯(lián)以及避免能夠以較高概率從一系列屬性中精準(zhǔn)推測(cè)某一屬性的數(shù)值，試圖通過(guò)規(guī)制具體行為以提升個(gè)人數(shù)據(jù)重新識(shí)別的難度、成本與可責(zé)性，卻依舊無(wú)法回避個(gè)人數(shù)據(jù)無(wú)法徹底匿名的問(wèn)題。

2016年，《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）試圖積極協(xié)調(diào)數(shù)據(jù)利用和隱私保護(hù)之間的博弈關(guān)系，既寫入嚴(yán)苛的個(gè)人數(shù)據(jù)匿名化條款，又已經(jīng)意識(shí)到難以確保經(jīng)匿名化處理后的數(shù)據(jù)具有不可識(shí)別性和無(wú)法復(fù)原性，相關(guān)治理規(guī)則呈現(xiàn)出明顯的矛盾性與模糊性，難以實(shí)際落地。

一方面，GDPR第4條將“匿名化”描述為“一種在個(gè)人數(shù)據(jù)被處理后不使用額外信息就不能指向特定數(shù)據(jù)主體的處理方式。該處理方式將個(gè)人數(shù)據(jù)與其他額外信息分別存儲(chǔ)，并且使個(gè)人數(shù)據(jù)因技術(shù)和組織手段而無(wú)法指向一個(gè)可識(shí)別和已識(shí)別的自然人?！辈⒃谛蜓缘?6條中指出，本條例的數(shù)據(jù)保護(hù)原則不適用于匿名信息。也就是說(shuō)，那些沒(méi)有關(guān)聯(lián)到一個(gè)已識(shí)別或可識(shí)別自然人的信息，或者通過(guò)技術(shù)方法使得個(gè)人數(shù)據(jù)呈現(xiàn)出匿名性的數(shù)據(jù)主體不能也不再是可識(shí)別的。但在對(duì)“可識(shí)別”的解釋中將之界定為雖然經(jīng)過(guò)假名化處理卻在使用額外信息后仍然能夠關(guān)聯(lián)到特定的數(shù)據(jù)主體。

另一方面，GDPR亦為個(gè)人數(shù)據(jù)匿名化設(shè)定了“合理可能”的規(guī)制標(biāo)準(zhǔn)。既強(qiáng)調(diào)考慮識(shí)別時(shí)間和成本、處理時(shí)現(xiàn)有技術(shù)與技術(shù)發(fā)展等客觀要素，卻又在確定自然人是否可識(shí)別時(shí)，要求數(shù)據(jù)控制者或第三方應(yīng)當(dāng)“窮舉”直接或間接識(shí)別自然人的一切“合理可能”的手段。即“可識(shí)別”是“數(shù)據(jù)控制者或任何其他人”等識(shí)別主體采用“所有合理可能使用之方法”以“直接或間接地識(shí)別該自然人”。

然而，這一旨在通過(guò)復(fù)合技術(shù)使得個(gè)人數(shù)據(jù)在不能被識(shí)別的基礎(chǔ)上充分發(fā)揮合理利用價(jià)值的匿名化規(guī)則難以實(shí)現(xiàn)。個(gè)人數(shù)據(jù)固有的動(dòng)態(tài)特征和識(shí)別技術(shù)的持續(xù)提升使得匿名化數(shù)據(jù)不可避免地存在被再識(shí)別的剩余風(fēng)險(xiǎn)。雖然GDPR也提及了刪除明顯標(biāo)識(shí)符并替換為代碼的數(shù)據(jù)假名化是不使用額外信息就無(wú)法關(guān)聯(lián)到特定數(shù)據(jù)主體的去識(shí)別化方式，卻并未在嚴(yán)格監(jiān)管的前提下給予一定的同意豁免，不利于數(shù)據(jù)價(jià)值的充分實(shí)現(xiàn)，抑制了數(shù)據(jù)市場(chǎng)的活力。

3.1.2? ?美國(guó)

1996年，美國(guó)出臺(tái)的以個(gè)人隱私為中心的《健康保險(xiǎn)便攜性與責(zé)任法案 》（HIPAA）探討了個(gè)人信息匿名化的實(shí)現(xiàn)路徑。2012年，時(shí)任美國(guó)總統(tǒng)的奧巴馬簽發(fā)了《隱私權(quán)法案》（Privacy Act），強(qiáng)調(diào)個(gè)人數(shù)據(jù)收集、使用和披露的場(chǎng)景應(yīng)當(dāng)與消費(fèi)者提供數(shù)據(jù)的場(chǎng)景相一致，進(jìn)一步細(xì)化匿名化的具體要求。

2018年的《加州消費(fèi)者隱私法案》（CCPA）在權(quán)衡數(shù)據(jù)價(jià)值利用與個(gè)人數(shù)據(jù)保護(hù)的基礎(chǔ)上，認(rèn)為數(shù)據(jù)單獨(dú)或與其他數(shù)據(jù)相結(jié)合無(wú)法識(shí)別到特定自然人的絕對(duì)匿名狀態(tài)不僅難以實(shí)現(xiàn)且可能會(huì)大幅降低數(shù)據(jù)價(jià)值，進(jìn)而搭建了去標(biāo)識(shí)的相對(duì)匿名狀態(tài)下免除個(gè)人數(shù)據(jù)處理者知情同意義務(wù)，但不減輕侵權(quán)損害賠償責(zé)任的治理模式。對(duì)于個(gè)人數(shù)據(jù)去識(shí)別化的要求集中體現(xiàn)在控制者必須采取合理措施刪除或更改能夠識(shí)別特定自然人的直接標(biāo)識(shí)符。控制者不僅應(yīng)當(dāng)公開承諾不會(huì)重新識(shí)別數(shù)據(jù)，在與第三方數(shù)據(jù)接收者或使用者簽訂的合同中也應(yīng)當(dāng)禁止二次識(shí)別[17]。

3.1.3? ?日本

日本的《個(gè)人信息保護(hù)法（修訂）》（APPI）規(guī)定，任何包含“個(gè)人信息識(shí)別符號(hào)”的數(shù)據(jù)都屬于個(gè)人信息。并將之歸納為，“屬于下列各項(xiàng)規(guī)定的情形之一的、由法令規(guī)定的文字、號(hào)碼、記號(hào)及其他符號(hào)：（1）為了將特定個(gè)人身體的某一部分特征用于電子計(jì)算機(jī)而將其變換為文字、號(hào)碼、記號(hào)及其他符號(hào)，并且能夠識(shí)別該特定個(gè)人;（2）利用提供給個(gè)人的服務(wù)或購(gòu)買出售給個(gè)人的商品時(shí)被分配或發(fā)行的用戶號(hào)及其他材料中記載的或者以電磁方式記錄的文字、號(hào)碼、記號(hào)及其他符號(hào)，能夠識(shí)別特定購(gòu)買者或使用者等等?！奔劝樞?、步態(tài)、聲紋、掌紋等生理信息， 也包括護(hù)照號(hào)、保險(xiǎn)號(hào)、身份證號(hào)等社會(huì)信息。

這一治理模式同時(shí)對(duì)個(gè)人信息去識(shí)別化的匿名化分支和去標(biāo)識(shí)化分支做出了規(guī)定，既肯定了徹底匿名的數(shù)據(jù)不再屬于個(gè)人信息的范疇，又對(duì)去標(biāo)識(shí)化的概念、方式、影響及其權(quán)責(zé)關(guān)系做出了規(guī)定[18]。

3.2? ? 我國(guó)的治理實(shí)踐

我國(guó)有關(guān)個(gè)人信息去識(shí)別化的治理方案散見(jiàn)于《民法典（總則）》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》以及《個(gè)人信息保護(hù)法（草案）》等。主要采用概括規(guī)定和部分列舉并用的“可識(shí)別說(shuō)”挖掘單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人的信息。如《網(wǎng)絡(luò)安全法》既將遵循知情同意原則作為獲得個(gè)人信息處理權(quán)的一般性合規(guī)基礎(chǔ)，又在第42條的條款中規(guī)定，個(gè)人信息匿名化的要件是信息必須經(jīng)過(guò)技術(shù)處理、處理后的信息無(wú)法識(shí)別特定個(gè)人且不能復(fù)原[19]?！秱€(gè)人信息安全規(guī)范》不僅強(qiáng)調(diào)控制者應(yīng)當(dāng)采用技術(shù)手段和管理措施進(jìn)行個(gè)人信息去標(biāo)識(shí)化，還具體規(guī)定了分開存儲(chǔ)可用于恢復(fù)識(shí)別特定自然人的信息與去標(biāo)識(shí)化后的信息、通過(guò)界面展示個(gè)人信息時(shí)建議采取去標(biāo)識(shí)化處理措施、個(gè)人信息安全影響評(píng)估應(yīng)當(dāng)包括去標(biāo)識(shí)化處理后的數(shù)據(jù)集重新識(shí)別出特定自然人或與其他數(shù)據(jù)集匯聚后重新識(shí)別出特定自然人的風(fēng)險(xiǎn)等等。同時(shí)，以促進(jìn)數(shù)據(jù)安全與數(shù)據(jù)利用為宗旨，指出“共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人信息，且確保數(shù)據(jù)接收者無(wú)法重新識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的”不再需要“向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果，并事先征得個(gè)人信息主體的授權(quán)同意。”特別強(qiáng)調(diào)了“將所收集的個(gè)人信息用于學(xué)術(shù)研究或得出對(duì)自然、科學(xué)、社會(huì)、經(jīng)濟(jì)等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)”，不再需要“再次征得個(gè)人信息主體明示同意”，但“對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，需對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理?！盵20]

近幾年，我國(guó)數(shù)據(jù)治理部門和研究人員開始意識(shí)到難以實(shí)操且較為嚴(yán)苛的傳統(tǒng)匿名化處理規(guī)則導(dǎo)致相應(yīng)社會(huì)關(guān)系長(zhǎng)期處于不穩(wěn)定狀態(tài)，嚴(yán)重阻礙數(shù)據(jù)合理開發(fā)利用。如早先的《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第27條重申了《網(wǎng)絡(luò)安全法》的匿名化處理規(guī)則，將之表述為“網(wǎng)絡(luò)運(yùn)營(yíng)者向他人提供個(gè)人信息前，應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)，并征得個(gè)人信息主體同意。下列情況除外：（三）經(jīng)過(guò)匿名化處理”。2020年的《數(shù)據(jù)安全法（草案）》卻以“保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)開發(fā)利用”為主旨，強(qiáng)調(diào)個(gè)人信息控制者應(yīng)當(dāng)建立健全流程化的數(shù)據(jù)安全管理制度，并未具體提及個(gè)人信息的匿名化處理問(wèn)題。如《個(gè)人信息安全規(guī)范》將匿名化數(shù)據(jù)處理的應(yīng)用場(chǎng)景限定為需要?jiǎng)h除個(gè)人信息、注銷個(gè)人賬戶、停止產(chǎn)品或服務(wù)運(yùn)營(yíng)等，作為數(shù)據(jù)清除的同質(zhì)手段。

此外，中國(guó)國(guó)家標(biāo)準(zhǔn)化委員會(huì)立足我國(guó)現(xiàn)狀、參考《ISO/IEC20889：增強(qiáng)隱私數(shù)據(jù)去識(shí)別化術(shù)語(yǔ)和技術(shù)分類》等頒布的《個(gè)人信息去標(biāo)識(shí)化指南》中確立了防御重識(shí)風(fēng)險(xiǎn)的量化保障，初步搭建起系統(tǒng)性的個(gè)人信息去標(biāo)識(shí)化過(guò)程范式。問(wèn)題在于，這一指導(dǎo)性國(guó)家標(biāo)準(zhǔn)的效力層次較低、體系不夠完善、內(nèi)容疏漏明顯，亟待創(chuàng)建科學(xué)高效的高位階去識(shí)別化治理機(jī)制。

4? ?聚焦隱私安全的治理方案

積極聚焦個(gè)人隱私安全的有效治理，反思匿名處理的實(shí)操難度與負(fù)面影響，構(gòu)建在實(shí)踐中能夠切實(shí)達(dá)致個(gè)人信息保護(hù)與數(shù)據(jù)充分利用動(dòng)態(tài)平衡的去識(shí)別化治理方案，不僅具有重要的現(xiàn)實(shí)意義，亦將進(jìn)一步推高我國(guó)在全球個(gè)人信息去識(shí)別化建設(shè)中的位次并提升在國(guó)際治理模式構(gòu)建中的話語(yǔ)權(quán)。

4.1? ? 搭建基于風(fēng)險(xiǎn)管控的去標(biāo)識(shí)化框架

“去標(biāo)識(shí)化”作為“個(gè)人信息去識(shí)別化”的主要分支，制定具體規(guī)則時(shí)有必要圍繞降低再識(shí)別風(fēng)險(xiǎn)的必要過(guò)程展開框架設(shè)計(jì)，明確個(gè)人信息處理者在去除直接識(shí)別符的情形下有條件豁免知情同意的前提是處理者綜合考量了個(gè)人信息類型與敏感程度、數(shù)據(jù)集流轉(zhuǎn)方式與目的、避免再識(shí)別的技術(shù)和協(xié)議保障等。

同時(shí)，信息技術(shù)迭代發(fā)展的外部環(huán)境之下，嚴(yán)格的個(gè)人信息去標(biāo)識(shí)化實(shí)踐基本可以應(yīng)對(duì)惡意攻擊和泄露行為，卻不能確保不會(huì)出現(xiàn)數(shù)據(jù)安全事件。去標(biāo)識(shí)化并不意味著徹底無(wú)法復(fù)原個(gè)人信息，而是需要花費(fèi)巨額物力、人力和時(shí)間精力才能確定信息內(nèi)容。尋求個(gè)人信息安全與數(shù)字經(jīng)濟(jì)發(fā)展之間動(dòng)態(tài)平衡的關(guān)鍵在于嚴(yán)格監(jiān)管擅自實(shí)施個(gè)人信息再識(shí)別的主體，甚至將之納入社會(huì)信用黑名單，使得個(gè)人信息違法侵權(quán)面臨高昂代價(jià)，強(qiáng)力威懾肆意還原行為，使得特定自然人能夠得到充分補(bǔ)償和完整救濟(jì)。

4.2? ? 完善去識(shí)別化的保障機(jī)制

首先，亟待釋明個(gè)人信息去識(shí)別化的概念與分支，區(qū)分標(biāo)識(shí)符、直接標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符、微數(shù)據(jù)、重標(biāo)識(shí)等等，強(qiáng)調(diào)廣義的去識(shí)別化就是通過(guò)分離、刪除或變換直接標(biāo)識(shí)符和準(zhǔn)標(biāo)識(shí)符，避免攻擊者依據(jù)這些屬性直接識(shí)別或結(jié)合其他信息識(shí)別出特定自然人，并根據(jù)可獲得的數(shù)據(jù)情況和應(yīng)用場(chǎng)景選擇合適的模型和技術(shù)，確保增加新信息或信息接收方的私下通謀不會(huì)增加隱私風(fēng)險(xiǎn)，且確保去識(shí)別數(shù)據(jù)集盡量滿足預(yù)期目的。

其次，有必要細(xì)化個(gè)人信息去識(shí)別化的主要技術(shù)指標(biāo)。詳細(xì)描述數(shù)據(jù)抽樣和數(shù)據(jù)聚合等統(tǒng)計(jì)技術(shù)，同態(tài)加密、同態(tài)秘密共享、保留加密、保留格式加密等密碼技術(shù)，屏蔽、局部抑制、記錄抑制等抑制技術(shù)，選擇屬性并創(chuàng)建假名等假名化技術(shù)，取整、頂層與底層編碼等泛化技術(shù)，添加噪聲、微聚集和置換等隨機(jī)技術(shù)，具體展示K-匿名模型和差分隱私模型等。

最后，應(yīng)當(dāng)持續(xù)監(jiān)管個(gè)人信息去識(shí)別化的全生命周期。依據(jù)政策法規(guī)、業(yè)務(wù)需求和數(shù)據(jù)用途等要素確定去識(shí)別化的對(duì)象范圍、具體目的、操作人員、實(shí)施方案和進(jìn)度安排，描述查表識(shí)別法（預(yù)先建立包括多屬性的個(gè)人信息元數(shù)據(jù)表格并逐項(xiàng)對(duì)比待識(shí)別信息）、規(guī)則判定法（通過(guò)建立自動(dòng)化程序分析個(gè)人信息規(guī)律并發(fā)掘需要去識(shí)別化的標(biāo)識(shí)符）和人工分析法（通過(guò)人工發(fā)現(xiàn)和確定需要去識(shí)別化的標(biāo)識(shí)符），通過(guò)預(yù)處理、選擇模型、實(shí)施去識(shí)別化等處理各種隱私標(biāo)識(shí)，評(píng)估重識(shí)風(fēng)險(xiǎn)、預(yù)期可接受風(fēng)險(xiǎn)閾值、完善驗(yàn)證審批機(jī)制等。

4.3? ? 建立去標(biāo)識(shí)化個(gè)人信息的具體利用范式

數(shù)據(jù)作為新型生產(chǎn)要素的重要價(jià)值已經(jīng)得到廣泛認(rèn)可，但在培育和發(fā)展數(shù)據(jù)要素市場(chǎng)的過(guò)程中，缺乏以促進(jìn)數(shù)據(jù)利用為核心的權(quán)益歸屬模式嚴(yán)重阻礙了海量數(shù)據(jù)創(chuàng)造價(jià)值與參與價(jià)值分配。亟待立足國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展戰(zhàn)略，建立去標(biāo)識(shí)化個(gè)人信息的具體利用范式，加快實(shí)現(xiàn)數(shù)據(jù)有序開放與協(xié)調(diào)共享，切實(shí)提升數(shù)據(jù)要素參與價(jià)值創(chuàng)造的效率并保障價(jià)值分配的公平性，實(shí)現(xiàn)數(shù)據(jù)有效利用和個(gè)人隱私保護(hù)的有機(jī)平衡。

4.3.1? ?構(gòu)建以數(shù)據(jù)利用為核心的權(quán)屬機(jī)制

復(fù)雜的數(shù)據(jù)產(chǎn)權(quán)問(wèn)題一直是各界焦點(diǎn)，在一定程度上已經(jīng)成為阻滯數(shù)據(jù)資源充分利用的主要障礙。具體到去標(biāo)識(shí)化的個(gè)人信息領(lǐng)域，經(jīng)過(guò)高投入的技術(shù)加工的輸出數(shù)據(jù)集是企業(yè)的重要資產(chǎn)。但數(shù)據(jù)要素固有的非排他性與非競(jìng)爭(zhēng)性特質(zhì)為競(jìng)爭(zhēng)對(duì)手提供了巨大的惡意使用的空間。集合數(shù)據(jù)剝離困難及其對(duì)結(jié)果穩(wěn)健性的負(fù)面影響使得個(gè)人信息處理者急需明確去標(biāo)識(shí)化的輸出數(shù)據(jù)集的權(quán)益歸屬。根據(jù)此類數(shù)據(jù)創(chuàng)造的過(guò)程與性質(zhì)，基于不同的數(shù)據(jù)利用場(chǎng)景建立差異化的數(shù)據(jù)權(quán)能配置方案。

迅速建立以數(shù)據(jù)利用為核心的去標(biāo)識(shí)化個(gè)人信息的權(quán)屬機(jī)制，嚴(yán)格限制使用范圍，避免重新識(shí)別風(fēng)險(xiǎn)。同時(shí)，面對(duì)時(shí)代發(fā)展為個(gè)人信息增添的公共屬性，肯定個(gè)人信息處理者對(duì)去標(biāo)識(shí)化輸出數(shù)據(jù)集的基本權(quán)能，提升處理者主動(dòng)分析和利用數(shù)據(jù)的動(dòng)力，有利于避免大量數(shù)據(jù)資源處于休眠狀態(tài)，推進(jìn)多業(yè)態(tài)創(chuàng)新和社會(huì)和諧的良性互動(dòng)。

4.3.2? ?搭建“三全”透明的使用規(guī)則

使用規(guī)則應(yīng)當(dāng)是全面覆蓋去標(biāo)識(shí)化個(gè)人信息使用全流程、全模式、全響應(yīng)的透明體系。通過(guò)積極建設(shè)科學(xué)的共享流程，完善政企數(shù)據(jù)開放協(xié)調(diào)機(jī)制，肯定企業(yè)在公共衛(wèi)生、環(huán)境保護(hù)、社會(huì)保障、征信認(rèn)證等公益領(lǐng)域內(nèi)充分使用信息的權(quán)利，建立企業(yè)運(yùn)用去標(biāo)識(shí)化數(shù)據(jù)集分析計(jì)算消費(fèi)者選擇傾向、需求偏好、退換貨情況等改善服務(wù)場(chǎng)景和優(yōu)化企業(yè)整體生態(tài)系統(tǒng)中的合理使用準(zhǔn)則，使得各部門、各地區(qū)、各行業(yè)、各領(lǐng)域能夠在去標(biāo)識(shí)化個(gè)人信息全生命周期的不同場(chǎng)景中合規(guī)開展高質(zhì)量的數(shù)據(jù)處理，加快數(shù)據(jù)開放共享，提高產(chǎn)業(yè)創(chuàng)新能力。

4.3.3? ?興建去標(biāo)識(shí)化數(shù)據(jù)資產(chǎn)有序交易的市場(chǎng)保護(hù)機(jī)制

去標(biāo)識(shí)化個(gè)人信息有效參與價(jià)值創(chuàng)造與分配的前提是營(yíng)建一個(gè)合理有序的數(shù)據(jù)交易市場(chǎng)。依據(jù)去標(biāo)識(shí)化數(shù)據(jù)資產(chǎn)所屬行業(yè)的特點(diǎn)、數(shù)據(jù)資產(chǎn)自身特征、應(yīng)用環(huán)境與商業(yè)模式等，在深入分析去標(biāo)識(shí)化數(shù)據(jù)資產(chǎn)價(jià)值維度的基礎(chǔ)上，運(yùn)用提取的量化指標(biāo)形成不同行業(yè)的數(shù)據(jù)資產(chǎn)價(jià)值評(píng)估模型，建立具有一定共識(shí)基礎(chǔ)的交易價(jià)格標(biāo)準(zhǔn)，剛性約束相關(guān)資金、技術(shù)、物質(zhì)和人才的統(tǒng)籌銜接與條塊結(jié)合，實(shí)現(xiàn)跨地區(qū)、跨部門、跨層級(jí)、跨系統(tǒng)的數(shù)據(jù)資源有序交換與業(yè)務(wù)協(xié)同，加快培育和發(fā)展數(shù)據(jù)要素市場(chǎng)。

5? ?結(jié)語(yǔ)

隨著第五次科技革命和產(chǎn)業(yè)變革深入推進(jìn)，智慧時(shí)代的經(jīng)濟(jì)社會(huì)發(fā)展愈加依賴數(shù)據(jù)價(jià)值的充分挖掘。亟待厘清個(gè)人信息去識(shí)別化的內(nèi)涵與外延，建立聚焦數(shù)據(jù)隱私的治理方案，平衡個(gè)人正當(dāng)權(quán)益與數(shù)據(jù)高效利用。同時(shí)，有必要通過(guò)鼓勵(lì)相關(guān)研發(fā)工作和創(chuàng)新人才評(píng)價(jià)、合理保護(hù)信息共性關(guān)鍵技術(shù)應(yīng)用、加強(qiáng)去標(biāo)識(shí)化數(shù)據(jù)利用的宣傳教育，營(yíng)建整個(gè)社會(huì)正確認(rèn)識(shí)、積極參與和全面監(jiān)督去標(biāo)識(shí)化個(gè)人信息合規(guī)、合理、充分利用的良性生態(tài)，進(jìn)而支撐后疫情時(shí)代國(guó)家數(shù)字化發(fā)展戰(zhàn)略。

參考文獻(xiàn)：

[1]? Jerome S.End-to-end arguments in system design in： Integrated broadband networks[M].Boston：Artech House，1991：30.

[2]? Jack G，Timothy W.Who controls the internet：illusions of a border-less world？[M].Oxford：Oxford University Press，2006：44.

[3]? MRC location-based advertising measurement guidelines[EB/OL].[2017-03-20].http：//www.mediaratingcouncil.org/MRC%20Location-Based%20Advertising%20Measurement%20Guidelines%20Final%20March%202017.pdf.

[4]? A history of census privacy protections[EB/OL].[2019-10-14].http：//www.census.gov/history/pdf/history-privacy-protection102019.pdf.

[5]? Naren R，Benjamin K，Batul M.Privacy risk in recommender systems[J].Personalization and Privacy，2011（12）：56.

[6]? Jules P，Omer T，Kelsey F.Shades of gray：seeing the full spectrum of practical data deidentification[J].Santa Clara Law Review，2016（3）：596.

[7]? Recital 26：not applicable to anonymous data[EB/OL].[2016-04-27].https：//gdpr-info.eu/recitals/no-26/.

[8]? Bill No.373 of 2019.The personal data protection bill，2019.[EB/OL].[2019-06-12].http：//164.100.47.4/Bills Texts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf.

[9]? 中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）[EB/OL].[2020-10-22].https：//www.sohu.com/a/426584424_780954.

[10]? William B，Dorothy D.Security capabilities，privacy & integrity[M].Computers，F(xiàn)reedom & Privacy，1991：65.

[11]? Daniel B.The“re-identification” of governor william welds medical Information：A critical re-examination of health data identification risks and privacy protections，then and now[EB/OL].[2012-06-18].https：//fpf.org/wp-content/uploads/The-Re-identification-of-Governor-Welds-Medical-Information-Daniel-Barth-Jones.pdf.

[12]? Paul O.Broken promises of privacy：responding to the surprising failure of anonymization[J].UCLA Law Review，2010（4）：57.

[13]? Bruce S.Why“anonymous”data sometimes isnt[EB/OL].[2007-12-13].https：//www.schneier.com/essays/archives/2007/12/why_anonymous_data_s.html.

[14]? Luc R，Julien H，Yves M.Estimating the success of re-identification in incomplete datasets using generative models[J].Nature Communication，2019（10）：3069.

[15]? Researchers use big data and AI to remove legal confidentiality[EB/OL].[2020-10-29].https：//www.forbes.com/sites/forbes-personal-shopper/2020/10/29/best-black-friday-tv-deals-2020/？sh=223f5dd77a0b.

[16]? Self-regulatory principles for online behavioral advertising and multi-site data[EB/OL].[2011-11-05].https：//digitaladvertisingalliance.org/sites/aboutads/files/DAA_files/Multi-Site-Data-Principles.pdf.

[17]? Protecting consumer privacy in an era of rapid change[EB/OL].[2012-03-29].https：//www.ftc.gov/reports/protecting-consumer-privacy-era-rapid-change-recommendations-businesses-policymakers.

[18]? Janpan：overview of the act on the protection of personal information[EB/OL].[2019-01-15].https：//www.researchgate.net/publication/331462459_Japan_Overview_of_the_Act_on_the_Protection_of_Personal_Information.

[19]? 中華人民共和國(guó)網(wǎng)絡(luò)安全法[EB/OL].[2016-11-07].http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

[20]? 信息安全技術(shù)個(gè)人信息安全規(guī)范[EB/OL].[2020-03-27].https：//www.secrss.com/articles/17713.

作者簡(jiǎn)介：蔣潔，女，南京信息工程大學(xué)法政學(xué)院、中關(guān)村智用人工智能研究院教授，研究方向：信息規(guī)制與數(shù)據(jù)治理;蘭舟，女，中關(guān)村智用人工智能研究院助理研究員;祁怡然，女，南京信息工程大學(xué)法政學(xué)院碩士研究生。