劉曉春 劉瑾

互聯(lián)網(wǎng)時(shí)代信息采集和存儲的便利化，使得數(shù)據(jù)共享交易的適用場景更加廣泛，數(shù)據(jù)在數(shù)字經(jīng)濟(jì)發(fā)展中扮演著舉足輕重的角色?！八茌d舟，亦能覆舟。”大數(shù)據(jù)浪潮下個(gè)人信息的開放流通增大了零散數(shù)據(jù)微弱關(guān)聯(lián)被挖掘的風(fēng)險(xiǎn)，也使得個(gè)人隱私權(quán)益的保護(hù)岌岌可危。作為平衡數(shù)據(jù)價(jià)值與主體權(quán)益的重要一環(huán)，個(gè)人信息匿名化通過技術(shù)措施有效削弱和去除信息與特定主體的關(guān)聯(lián)性，促進(jìn)信息合規(guī)流通，提高數(shù)據(jù)利用效率，進(jìn)而實(shí)現(xiàn)法律與技術(shù)的深度融合。在目前階段，個(gè)人信息匿名化的標(biāo)準(zhǔn)在實(shí)踐中已有若干探索，但是亟需形成共識，以激活數(shù)據(jù)活力，推動數(shù)字經(jīng)濟(jì)快速健康發(fā)展。

匿名化的界定和產(chǎn)業(yè)標(biāo)準(zhǔn)應(yīng)用

個(gè)人信息匿名化在諸多法律法規(guī)中都有所提及。我國《民法典》第1038條、《個(gè)人信息保護(hù)法》第73條以及《網(wǎng)絡(luò)安全法》第42條對“匿名化”的基本概念進(jìn)行闡釋，即“個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”，但并未對“無法識別”以及“不能復(fù)原”的具體標(biāo)準(zhǔn)詳細(xì)說明。

匿名化的時(shí)效性、技術(shù)性、普遍性等特征為軟法的適用開拓了廣闊的空間。《個(gè)人信息安全規(guī)范》在法律規(guī)定基礎(chǔ)上進(jìn)一步定義匿名化為“通過對個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識別出來，并且處理之后的信息不能被復(fù)原的過程。”針對其中的“不可復(fù)原”性，它明確指出匿名化處理后的信息可能會面臨的再識別風(fēng)險(xiǎn)。歐盟第29條數(shù)據(jù)保護(hù)工作組在其發(fā)布的《第05/2014號意見書》中也提及“現(xiàn)有的各項(xiàng)匿名化技術(shù)都無法徹底消除處理后的信息所殘留的再識別風(fēng)險(xiǎn)”。

事實(shí)上，“無法復(fù)原”的絕對化在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的現(xiàn)今可實(shí)現(xiàn)的空間過于狹窄，各國實(shí)踐中大多并非追求技術(shù)上的絕對實(shí)現(xiàn)，而是法律上的主觀匿名。歐盟GDPR在序言部分規(guī)定了匿名信息的合理可能性標(biāo)準(zhǔn)：其一，判斷再識別可能時(shí)應(yīng)當(dāng)涵蓋數(shù)據(jù)控制者及其他任何人；其二，判斷再識別的可能時(shí)應(yīng)當(dāng)考慮到所有合理可能的手段，判斷手段是否合理時(shí)應(yīng)考慮所有客觀因素，例如識別成本、所需時(shí)間、當(dāng)時(shí)可用技術(shù)及技術(shù)的可能發(fā)展。除去上述歐盟的合理可能性標(biāo)準(zhǔn)之外，美國也在HIPAA中提出了專家確定和安全港兩個(gè)實(shí)踐層面的實(shí)體標(biāo)準(zhǔn)，其中“專家確定標(biāo)準(zhǔn)”從主體角度限制識別主體為具有相關(guān)背景知識的專家，由專家評估確定信息復(fù)原的風(fēng)險(xiǎn)，安全港標(biāo)準(zhǔn)則要求將明確列舉的18項(xiàng)標(biāo)識符全部刪除即可，相較歐盟標(biāo)準(zhǔn)更為寬松。

《個(gè)人信息去標(biāo)識化指南》確立了重新識別風(fēng)險(xiǎn)的量化指標(biāo)，初步搭建起系統(tǒng)性的個(gè)人信息去標(biāo)識化過程模板，將個(gè)人信息標(biāo)識劃分為直接標(biāo)識符和間接標(biāo)識符。其中直接標(biāo)識符為姓名、身份證號碼、詳細(xì)住址等特定環(huán)境下可唯一識別個(gè)人的識別號碼；準(zhǔn)標(biāo)識符為性別、年齡、籍貫等在相應(yīng)環(huán)境下無法單獨(dú)唯一識別但結(jié)合其他信息可唯一識別個(gè)人信息主體的屬性。通常而言，要想實(shí)現(xiàn)“無法識別特定個(gè)人”的法定標(biāo)準(zhǔn)，就需要數(shù)據(jù)處理者對直接標(biāo)識符進(jìn)行匿名化操作。

《個(gè)人信息去標(biāo)識化效果分級評估規(guī)范》列舉了部分去標(biāo)識化的數(shù)據(jù)處理手段，如抑制、泛化、分解、干擾、壓縮等，并將個(gè)人信息去標(biāo)識化分為接受需評估內(nèi)容、進(jìn)行定性評估、進(jìn)行定量評估三個(gè)階段，對匿名化的適用具備一定的借鑒意義。值得注意的是，去標(biāo)識化意味著結(jié)合相關(guān)信息仍舊存在指向特定個(gè)人的可能性，但匿名化要求這種可能性“不可復(fù)原”，后者的安全和保密程度標(biāo)準(zhǔn)顯然更高。

除此之外，今年年初正式發(fā)布實(shí)施的、由中國信息通信研究院、中國廣告協(xié)會等牽頭制定的《互聯(lián)網(wǎng)廣告匿名化實(shí)施指南》從技術(shù)、法律、管理三個(gè)角度，為互聯(lián)網(wǎng)廣告業(yè)務(wù)的數(shù)據(jù)匿名化處理搭建了“技術(shù)保障、評估規(guī)制、過程控制”的互信平衡機(jī)制。

當(dāng)前已有諸多文件為匿名化的落地實(shí)施提供支持，但現(xiàn)階段匿名化標(biāo)準(zhǔn)文件法律強(qiáng)制力缺乏、效力位階較低、規(guī)范不成體系、內(nèi)容不夠完善等問題依然存在，導(dǎo)致了實(shí)踐中匿名化標(biāo)準(zhǔn)的適用尚缺統(tǒng)一標(biāo)準(zhǔn)。

匿名化的相關(guān)司法實(shí)踐

作為法律條文中的但書部分，匿名化處理后的信息被排除在個(gè)人信息的范疇之外。對于經(jīng)過匿名化處理后的信息流通，企業(yè)無需承擔(dān)額外的合規(guī)義務(wù)。然而，由于匿名化標(biāo)準(zhǔn)的模糊性與概括性，司法實(shí)踐中特定信息經(jīng)處理后能否被認(rèn)定為個(gè)人信息，不同法院裁判不一。

在余某訴北京酷車易美網(wǎng)絡(luò)科技有限公司一案中，余某訴稱北京某網(wǎng)絡(luò)科技公司屬下APP可以付費(fèi)獲得包含案涉車輛的年均行駛里程、維修保養(yǎng)項(xiàng)目等信息的歷史車況報(bào)告，綜合反映了其本人駕駛習(xí)慣、維保行蹤、消費(fèi)能力、消費(fèi)習(xí)慣等，屬于其個(gè)人信息及隱私。廣州互聯(lián)網(wǎng)法院經(jīng)審理認(rèn)為，其一，案涉歷史車況信息未出現(xiàn)自然人身份信息、行蹤信息、聯(lián)系方式等能直接識別特定自然人的信息，僅能反應(yīng)所查車輛的使用情況，內(nèi)容不涉及具體個(gè)人，也不用于評價(jià)具體個(gè)人的行為或狀態(tài)，歷史車況信息無法與其他信息結(jié)合識別特定自然人。其二，一般理性人要想實(shí)現(xiàn)復(fù)原目的，需要綜合考慮行為成本，比如技術(shù)門檻、第三方數(shù)據(jù)來源、經(jīng)濟(jì)成本、還原時(shí)間等因素，識別成本較高。其三，數(shù)據(jù)提供方的主體與協(xié)議細(xì)節(jié)均為商業(yè)秘密，且不對外披露，降低了一般公眾將車況信息與第三方信息結(jié)合重新識別特定自然人的可能性。因此，在車輛交易場景下，案涉車況信息與其他信息結(jié)合進(jìn)行關(guān)聯(lián)識別的可能性較低，不能以此認(rèn)定為個(gè)人信息。

在淘寶（ 中國 ）軟件有限公司訴安徽美景信息科技有限公司案中，一審、二審和再審三級法院均認(rèn)為涉案“生意參謀”數(shù)據(jù)產(chǎn)品所使用的網(wǎng)絡(luò)用戶信息是在巨量原始網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)上，經(jīng)過深度分析過濾、提煉整合以及匿名化脫敏處理后而形成衍生數(shù)據(jù)，無法識別特定個(gè)人且不能復(fù)原，公開其數(shù)據(jù)產(chǎn)品數(shù)據(jù)內(nèi)容，不會對網(wǎng)絡(luò)用戶信息提供者產(chǎn)生不利影響，因此認(rèn)定淘寶公司公開使用經(jīng)匿名化脫敏處理后的數(shù)據(jù)內(nèi)容屬于法律規(guī)定的除外情形。

在涉及隱私權(quán)的早期案例中，也對匿名化進(jìn)行過適用，不過由于當(dāng)時(shí)的立法規(guī)定和技術(shù)背景與現(xiàn)在差別較大，認(rèn)定匿名化的規(guī)則有可能在當(dāng)下已經(jīng)不一定適用。例如，北京百度網(wǎng)訊科技有限公司與朱某隱私權(quán)糾紛案中，一審法院認(rèn)為百度在朱某未知情的情況下借助cookie技術(shù)抓取信息并進(jìn)行商業(yè)利用侵犯了朱某的隱私權(quán)。然而二審法院截然相反，認(rèn)為百度所抓取的興趣愛好等信息與朱某的個(gè)人身份信息相互分離，無法確定信息歸屬人，不符合個(gè)人信息的可識別要求，最終認(rèn)定百度網(wǎng)訊并未侵犯朱某的個(gè)人隱私。

綜合相關(guān)案例可以看出，司法實(shí)踐中對于匿名化信息的不可識別性判斷仍未形成統(tǒng)一標(biāo)準(zhǔn)，一般借助于是否經(jīng)過脫敏化程序處理、是否缺失直接關(guān)鍵的身份識別信息、復(fù)原經(jīng)濟(jì)成本是否高額等判斷標(biāo)準(zhǔn)綜合考量。對于符合上述條件的數(shù)據(jù)信息，總體傾向于放寬認(rèn)定為不具有身份對應(yīng)識別的匿名信息而非個(gè)人信息。但這些判斷通常局限于個(gè)案認(rèn)定，是否能夠統(tǒng)一提煉為行業(yè)監(jiān)管和合規(guī)標(biāo)準(zhǔn)，目前尚未達(dá)成有效共識。

行業(yè)前景與優(yōu)化路徑

當(dāng)前，我國立法尚未實(shí)現(xiàn)對匿名化適用標(biāo)準(zhǔn)的明確規(guī)定以及匿名化信息再識別風(fēng)險(xiǎn)的有效規(guī)制，這也使得諸多數(shù)據(jù)使用、加工、提供和委托處理密集的行業(yè)領(lǐng)域發(fā)展受到限制。

以互聯(lián)網(wǎng)廣告行業(yè)為例，匿名化是互聯(lián)網(wǎng)廣告領(lǐng)域?qū)崿F(xiàn)數(shù)據(jù)安全利用的重要路徑。一方面，由于互聯(lián)網(wǎng)廣告業(yè)務(wù)多機(jī)構(gòu)參與的生態(tài)長鏈特性，眾多機(jī)構(gòu)數(shù)據(jù)處理不具備直接獲得個(gè)人同意的現(xiàn)實(shí)條件，導(dǎo)致網(wǎng)絡(luò)用戶在線行為的信息收集處于不合規(guī)的高風(fēng)險(xiǎn)下，其精準(zhǔn)及個(gè)性化的廣告投放服務(wù)等主體業(yè)務(wù)使得動態(tài)化的數(shù)據(jù)匿名化難以證明。另一方面，信息處理者收集個(gè)人信息往往不僅用于企業(yè)自身經(jīng)營，還可能出售或者共享給第三方，甚至作為商品打包銷售以賺取更多經(jīng)濟(jì)利益，這也是數(shù)字經(jīng)濟(jì)中數(shù)據(jù)利用的重要商業(yè)模式，但是個(gè)人信息對外分享中單獨(dú)同意等要求可能成為數(shù)據(jù)流轉(zhuǎn)的重要合規(guī)成本。如何達(dá)成合規(guī)要求，實(shí)現(xiàn)數(shù)據(jù)安全交換成為互聯(lián)網(wǎng)廣告行業(yè)急需解決的難題。盡管相關(guān)部門現(xiàn)已發(fā)布《互聯(lián)網(wǎng)廣告匿名化實(shí)施指南》及《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)去身份化指引》等規(guī)范，但非強(qiáng)制的屬性使其在“指引”過程中難免效果不佳。

另一個(gè)亟需確立匿名化標(biāo)準(zhǔn)的例子是醫(yī)療數(shù)據(jù)領(lǐng)域。醫(yī)療信息多數(shù)為病患檢查數(shù)據(jù)、臨床試驗(yàn)數(shù)據(jù)、基因組數(shù)據(jù)、醫(yī)患描述數(shù)據(jù)等敏感個(gè)人信息，依照我國《個(gè)人信息保護(hù)法》第29條規(guī)定，敏感個(gè)人信息的處理需要嚴(yán)格遵循單獨(dú)同意規(guī)則。唯有征得信息主體的明示同意，搜集和使用個(gè)人醫(yī)療信息方屬合規(guī)。然而數(shù)據(jù)來源的復(fù)雜性與信息數(shù)量的龐大性使得單獨(dú)同意原則執(zhí)行成本頗高，進(jìn)而影響數(shù)據(jù)的流通和使用，影響數(shù)據(jù)價(jià)值變現(xiàn)。通過確立理性和確定的匿名化標(biāo)準(zhǔn)來推動智慧醫(yī)療、醫(yī)療大數(shù)據(jù)的快速合規(guī)發(fā)展，是這個(gè)領(lǐng)域的當(dāng)務(wù)之急。

綜合考慮各行各業(yè)的價(jià)值需求，制定一個(gè)相對清晰合理的匿名化信息判斷標(biāo)準(zhǔn)已成為數(shù)據(jù)要素流動市場的關(guān)鍵需求。完全規(guī)避匿名化信息的重識風(fēng)險(xiǎn)在當(dāng)前階段缺乏可行性，應(yīng)當(dāng)秉持相對匿名化的理念，明確匿名化的實(shí)踐標(biāo)準(zhǔn)，建立更加完善的信息處理機(jī)制以期盡可能將風(fēng)險(xiǎn)最小化。

域外立法對于個(gè)人信息匿名化治理已經(jīng)積累了諸多經(jīng)驗(yàn)，如前所述，歐盟及美國都有明確的判斷標(biāo)準(zhǔn)，相對而言，歐盟的合理可能性標(biāo)準(zhǔn)更為嚴(yán)格，考慮信息處理者及第三方主體的技術(shù)再識別的可能性。英國信息委員辦公室發(fā)布的《匿名化：針對實(shí)踐的信息保護(hù)風(fēng)險(xiǎn)管理》中提及了“有動機(jī)的入侵者測試”標(biāo)準(zhǔn)，即并未事先掌握相關(guān)知識，但有從匿名信息中識別到特定個(gè)人的動機(jī)，強(qiáng)調(diào)“入侵者”主觀上的再識別故意，但客觀上不具備相比于普通人更高的專業(yè)知識，僅能采取一般理性人有限可行的手段進(jìn)行信息再識別活動。一旦“入侵者”能夠在普通環(huán)境下通過測試成功識別匿名后的信息，就意味著該匿名信息存在較大的再識別風(fēng)險(xiǎn)，反之即為合格。這種“有動機(jī)的入侵者測試”標(biāo)準(zhǔn)在有效防范匿名信息再識別風(fēng)險(xiǎn)的同時(shí)相對減輕了信息處理者的義務(wù)負(fù)擔(dān)。我國可以在實(shí)踐中借鑒參考，結(jié)合本土化的特征，重塑匿名化標(biāo)準(zhǔn)，適當(dāng)列舉必須去除的標(biāo)識符，同時(shí)根據(jù)不同場景分析評估再識別風(fēng)險(xiǎn)，借助相關(guān)行業(yè)規(guī)范標(biāo)準(zhǔn)判斷信息屬性。

針對匿名信息的再識別風(fēng)險(xiǎn)，日本在其《個(gè)人信息保護(hù)法》中設(shè)立了“匿名加工信息”制度，為匿名化處理者規(guī)定妥善加工義務(wù)、安全管理義務(wù)、公示義務(wù)和禁止進(jìn)行識別行為四種法律義務(wù)，歐盟在《第05/2014號意見書》中規(guī)定了禁止再識別行為和定期評估再識別風(fēng)險(xiǎn)的法律要求。我國在匿名化的合理范圍內(nèi)，也可以建立相應(yīng)的風(fēng)險(xiǎn)評估機(jī)制，降低去標(biāo)識化的普遍標(biāo)準(zhǔn)，對應(yīng)不同風(fēng)險(xiǎn)等級的匿名化信息采取不同程度的資源傾斜和政策保護(hù)，要求數(shù)據(jù)處理者定期評估信息再識別風(fēng)險(xiǎn)，履行信息處理公示義務(wù)，及時(shí)預(yù)防侵權(quán)行為，完善事后法律救濟(jì)，構(gòu)建行之有效的匿名化處理標(biāo)準(zhǔn)，以實(shí)現(xiàn)數(shù)據(jù)利用和隱私保護(hù)之間的利益平衡。

（作者單位：中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心，本文是中國社會科學(xué)院大學(xué)本科教學(xué)改革創(chuàng)新項(xiàng)目“檢法協(xié)作機(jī)制下網(wǎng)絡(luò)法治研究型人才培養(yǎng)模式創(chuàng)新研究”的階段性成果（JGCX202312））