摘 要：個(gè)人信息匿名化處理法律制度作為聯(lián)通個(gè)人信息保護(hù)與個(gè)人信息流通利用的制度橋梁，能夠以一種隱私友好的方式滿足社會(huì)的信息需求。我國現(xiàn)行“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)缺乏可操作性，難以有效規(guī)范匿名化處理實(shí)踐。我國可以確立操作方法標(biāo)準(zhǔn)與識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)協(xié)同的匿名化處理法律標(biāo)準(zhǔn)：關(guān)于操作方法標(biāo)準(zhǔn)，可以在技術(shù)領(lǐng)域確定適用于直接標(biāo)識符和間接標(biāo)識符的匿名化處理措施指南;關(guān)于識別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)，可以引入“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)，明確規(guī)定侵入者的識別動(dòng)機(jī)和識別能力。通過操作方法維度與識別風(fēng)險(xiǎn)檢驗(yàn)維度的協(xié)同作用，最終實(shí)現(xiàn)“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律效果。

　　關(guān)鍵詞：個(gè)人信息;匿名化處理;法律標(biāo)準(zhǔn);直接標(biāo)識符;間接標(biāo)識符;識別風(fēng)險(xiǎn)檢驗(yàn)

　　引 言

　　人類社會(huì)形成以來，經(jīng)歷過多次世界性的技術(shù)革命[1]。從農(nóng)業(yè)革命、工業(yè)革命到智能革命，人類的生產(chǎn)、生活和思維方式也不斷發(fā)生著變化。在智能時(shí)代，互聯(lián)網(wǎng)成為社會(huì)發(fā)展的基本工具，數(shù)據(jù)成為國家基礎(chǔ)性倡議資源。數(shù)據(jù)共享能激勵(lì)創(chuàng)新，創(chuàng)造巨額財(cái)富，已成為推動(dòng)當(dāng)今社會(huì)發(fā)展的重要引擎[2]。與此同時(shí)，數(shù)據(jù)流通利用也可能損害數(shù)據(jù)主體的隱私和其他利益。

　　大數(shù)據(jù)時(shí)代，個(gè)人信息1保護(hù)問題被推到了風(fēng)口浪尖。如何平衡個(gè)人信息保護(hù)與個(gè)人信息利用之間的關(guān)系成為橫亙在我們面前的時(shí)代難題。為因應(yīng)這一難題，個(gè)人信息匿名化處理技術(shù)應(yīng)運(yùn)而生，該技術(shù)旨在通過去除或者改變個(gè)人信息中的識別因子，滿足社會(huì)的信息需求，并避免損害信息主體的合法權(quán)益。技術(shù)的發(fā)展與應(yīng)用離不開法律制度的保駕護(hù)航，匿名化處理技術(shù)亦不例外，匿名化處理法律制度應(yīng)至少包括匿名化處理法律標(biāo)準(zhǔn)、匿名信息流通利用規(guī)則、再識別風(fēng)險(xiǎn)防范規(guī)則等內(nèi)容。而匿名化處理法律標(biāo)準(zhǔn)是匿名化處理法律制度的核心內(nèi)容，直接關(guān)涉到匿名化處理制度的有效性和可行性，本文圍繞該問題展開探究。

　　一、制度功用透視：平衡個(gè)人信息保護(hù)與個(gè)人信息流通利用

　　匿名化處理技術(shù)是信息時(shí)代的產(chǎn)物，旨在解決個(gè)人信息流通利用與個(gè)人信息保護(hù)之間的沖突，以一種“隱私友好(privacy-friendly)”的方式滿足社會(huì)的信息需求[3]。重申匿名化處理的制度功用，對確立合理可行的匿名化處理法律標(biāo)準(zhǔn)至為關(guān)鍵。

　　(一)保護(hù)信息主體人格尊嚴(yán)和人身自由不受侵害

　　“與已識別或可識別的自然人有關(guān)的任何信息”，這一關(guān)于個(gè)人信息的國際主流定義，體現(xiàn)了個(gè)人信息的識別性和關(guān)聯(lián)性特征。我國國家標(biāo)準(zhǔn)GB/T 35723—2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡稱《個(gè)人信息安全規(guī)范》)也將個(gè)人信息界定為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息”。個(gè)人信息的識別性和關(guān)聯(lián)性特征是個(gè)人信息的首要特性[4]，決定了其直接關(guān)涉信息主體的人格尊嚴(yán)[5]和人身自由。

　　基于人格尊嚴(yán)和人身自由乃人之基本權(quán)利的定性，為避免科技進(jìn)步“對獨(dú)立人格的維護(hù)和自由人格的發(fā)展造成難以彌補(bǔ)的損害”[6]，我們必須貫徹“以人為本”的發(fā)展理念。個(gè)人信息所承載的信息主體人格利益應(yīng)當(dāng)是個(gè)人信息保護(hù)立法中的優(yōu)先考量因素，信息主體權(quán)利及信息處理者義務(wù)的正當(dāng)性基礎(chǔ)也源于個(gè)人信息的人格屬性。保護(hù)信息主體的人格尊嚴(yán)和人身自由是個(gè)人信息保護(hù)的基本目的[7]。

　　個(gè)人信息匿名化處理技術(shù)的相關(guān)措施包括刪除標(biāo)識符、替換標(biāo)識符、泛化標(biāo)識符、子抽樣處理等，這些技術(shù)措施能夠降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，進(jìn)而避免在流通利用匿名信息的過程中損害信息主體的合法權(quán)益。個(gè)人信息匿名化處理法律制度旨在保障匿名化處理技術(shù)的規(guī)范化、制度化運(yùn)行，其首要目的與功用即規(guī)范對個(gè)人信息的技術(shù)處理以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害。

　　(二)提供大數(shù)據(jù)發(fā)展和應(yīng)用的原材料，推動(dòng)數(shù)據(jù)資源開發(fā)利用

　　大數(shù)據(jù)對國家發(fā)展的重要意義已為諸多國家和政府所肯認(rèn)，并被視為“未來的新石油”，發(fā)展大數(shù)據(jù)被上升到借助信息技術(shù)提升國家競爭力的宏觀倡議高度[8]。全球范圍內(nèi)，運(yùn)用大數(shù)據(jù)推動(dòng)經(jīng)濟(jì)發(fā)展、完善社會(huì)治理、提升政府服務(wù)和監(jiān)管能力正深入推進(jìn)，各國相繼制定實(shí)施大數(shù)據(jù)倡議性文件，大力推動(dòng)大數(shù)據(jù)發(fā)展和應(yīng)用。

　　大數(shù)據(jù)的發(fā)展和應(yīng)用離不開海量數(shù)據(jù)的喂養(yǎng)，海量數(shù)據(jù)的重要來源之一即個(gè)人數(shù)據(jù)。個(gè)人信息具有人格自由和人格尊嚴(yán)價(jià)值、商業(yè)價(jià)值和公共管理等多重價(jià)值[9]，需要通過合理的制度安排實(shí)現(xiàn)個(gè)人對個(gè)人信息保護(hù)的利益、信息業(yè)者對個(gè)人信息利用的利益和國家管理社會(huì)的公共利益之間的平衡[10]。就信息業(yè)者對個(gè)人信息的利用而言，其正當(dāng)性基礎(chǔ)已為各國立法和社會(huì)公眾所普遍認(rèn)可，促進(jìn)個(gè)人信息流通利用也已成為個(gè)人信息保護(hù)的重要立法宗旨之一。

　　個(gè)人信息匿名化處理制度補(bǔ)強(qiáng)了個(gè)人信息流通利用的正當(dāng)性基礎(chǔ)，能夠提供數(shù)據(jù)開發(fā)利用所需的原材料，“是促進(jìn)數(shù)據(jù)流通和共享的重要途徑”[11]。通過對個(gè)人信息的匿名化處理，降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，增強(qiáng)個(gè)人信息流通利用的適格性，以發(fā)揮個(gè)人信息蘊(yùn)含的社會(huì)、經(jīng)濟(jì)價(jià)值，滿足大數(shù)據(jù)時(shí)代對“新石油”原料的需求。個(gè)人信息匿名化處理法律制度的另一重要功用即提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動(dòng)數(shù)據(jù)資源開發(fā)利用。

　　簡言之，個(gè)人信息匿名化處理法律制度旨在規(guī)范對個(gè)人信息的技術(shù)處理，以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害，同時(shí)提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動(dòng)數(shù)據(jù)資源開發(fā)利用，致力于實(shí)現(xiàn)“自然人的個(gè)人信息權(quán)益的保護(hù)與信息的自由流動(dòng)這一對法律價(jià)值的權(quán)衡與協(xié)調(diào)”[12]。

　　二、現(xiàn)狀檢視：我國現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)評析

　　我國匿名化處理法律制度濫觴于行業(yè)標(biāo)準(zhǔn)2，成形于《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《中華人民共和國民法典》(以下簡稱《民法典》)。前述規(guī)范或效力層級較低，或規(guī)范目的特定，致使匿名化處理法律制度雖已在我國正式確立，但規(guī)范內(nèi)容極為簡單，而體現(xiàn)于匿名化處理內(nèi)涵之中的匿名化處理法律標(biāo)準(zhǔn)亦不清晰。

　　(一)匿名化處理法律標(biāo)準(zhǔn)：無法識別特定個(gè)人且不能復(fù)原

　　關(guān)于個(gè)人信息匿名化處理的內(nèi)涵，按《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)去身份化指引》(以下簡稱《定向廣告去身份化指引》)的規(guī)定，去身份化是對某項(xiàng)信息(集)進(jìn)行變更以去除或模糊個(gè)人身份關(guān)聯(lián)信息的過程;《網(wǎng)絡(luò)安全法》規(guī)定“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原”3;《民法典》4基本沿用了《網(wǎng)絡(luò)安全法》的規(guī)定;《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定“經(jīng)過處理無法關(guān)聯(lián)到特定個(gè)人且不能復(fù)原”5;《個(gè)人信息安全規(guī)范》強(qiáng)調(diào)無法識別或關(guān)聯(lián)到信息主體且不能復(fù)原6;《中華人民共和國個(gè)人信息保護(hù)法(草案)》(以下簡稱《個(gè)人信息保護(hù)法(草案)》)7亦采用了與《網(wǎng)絡(luò)安全法》近似的規(guī)定。

　　前述關(guān)于匿名化處理基本內(nèi)涵的各規(guī)定并無本質(zhì)區(qū)別。《民法典》與《網(wǎng)絡(luò)安全法》相比，在保持匿名化處理內(nèi)涵不變的基礎(chǔ)上，將處理主體從網(wǎng)絡(luò)運(yùn)營者調(diào)整為一切信息處理者。《個(gè)人信息安全規(guī)范》基于將關(guān)聯(lián)信息納入個(gè)人信息范疇的考量而將匿名化處理的法律標(biāo)準(zhǔn)調(diào)整為“無法識別或關(guān)聯(lián)到信息主體且不能復(fù)原”，但該規(guī)范僅為推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制適用的效力。綜上，我國現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)為“無法識別特定個(gè)人且不能復(fù)原”。

　　此外，關(guān)于匿名化處理的法律標(biāo)準(zhǔn)，依據(jù)《定向廣告去身份化指引》的規(guī)定，在向非關(guān)聯(lián)方轉(zhuǎn)移信息時(shí)，單位應(yīng)采取“運(yùn)用‘有動(dòng)機(jī)入侵者’測試”8“全面查明是否能夠重新識別”9“必要時(shí)委托專家評估”10的方式確認(rèn)是否成功去身份化。此處規(guī)定的三個(gè)標(biāo)準(zhǔn)只是對域外不同國家和地區(qū)匿名化處理法律標(biāo)準(zhǔn)的簡單借鑒，缺乏具體的適用規(guī)則，同時(shí)由于該指引效力層級及適用范圍的局限性，此規(guī)定的實(shí)質(zhì)意義遠(yuǎn)遠(yuǎn)小于其形式意義。

　　(二)匿名化處理法律標(biāo)準(zhǔn)的涵義

　　“無法識別特定個(gè)人”與個(gè)人信息的識別性特征相對應(yīng)。匿名化處理力求在“技術(shù)的信仰與人身的信仰之間”尋找一個(gè)平衡點(diǎn)[13]，以避免個(gè)人信息處理行為侵害信息主體的合法權(quán)益，因而匿名化處理的關(guān)鍵即弱化個(gè)人信息與信息主體的關(guān)聯(lián)度。個(gè)人信息識別信息主體的方式包括直接識別和間接識別，根據(jù)體系解釋的法律解釋方法，匿名化處理法律標(biāo)準(zhǔn)中的“識別”同樣包括直接識別和間接識別，是故，匿名化處理需要達(dá)到通過處理后的信息既不能直接識別，也不能與其他信息相結(jié)合而識別信息主體的效果。這就要求信息處理者在匿名化處理過程中既要去除直接標(biāo)識符，也不能忽視了對間接標(biāo)識符的處理。

　　“不能復(fù)原”即要求匿名信息不存在復(fù)原為個(gè)人信息的可能性。個(gè)人信息的認(rèn)定離不開具體的場景，個(gè)人信息的場景性特征決定了其與匿名信息并非涇渭分明，而是可以互相轉(zhuǎn)化的動(dòng)態(tài)關(guān)系。特定場景下的匿名信息，在場景發(fā)生變化時(shí)，或許能夠識別特定個(gè)人而成為個(gè)人信息。因此，有效的匿名化處理應(yīng)當(dāng)能夠通過技術(shù)手段使得處理后的信息無法識別特定個(gè)人，并且增加匿名信息轉(zhuǎn)化為個(gè)人信息的難度。然而，技術(shù)手段的可破解性內(nèi)在地決定了技術(shù)層面的絕對不能復(fù)原是難以實(shí)現(xiàn)的，故此處的“不能復(fù)原”應(yīng)當(dāng)理解為法律層面的不能復(fù)原，即信息處理者和接收者不得對經(jīng)匿名化處理后的個(gè)人信息進(jìn)行再識別，從而保證匿名信息處于“不能復(fù)原”的狀態(tài)。

　　(三)匿名化處理法律標(biāo)準(zhǔn)存在的問題

　　匿名化處理法律標(biāo)準(zhǔn)的明晰，關(guān)鍵在于“識別”標(biāo)準(zhǔn)的確定。在個(gè)人信息識別性認(rèn)定問題上，除識別方式外，特別需要明確識別認(rèn)定的主體基準(zhǔn)。關(guān)于該主體基準(zhǔn)，有“主觀說”和“客觀說”之別。“主觀說”即“信息控制者說”，主張以信息控制者為基準(zhǔn)判斷信息是否能識別特定個(gè)人;“客觀說”包括“社會(huì)一般多數(shù)人說”和“任一主體說”，前者主張以社會(huì)一般多數(shù)人為主體基準(zhǔn)進(jìn)行判斷，后者主張將一切個(gè)人和組織作為識別認(rèn)定的主體基準(zhǔn)，即只要該信息能被某機(jī)構(gòu)所識別，無論該機(jī)構(gòu)是否已實(shí)際識別，都視為可識別[14]。如前所述，我國現(xiàn)行法律確立了“無法識別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)，但是并未明確識別認(rèn)定的主體基準(zhǔn)。另外，“不能復(fù)原”的要求該如何理解、如何落實(shí)，是絕對的不能復(fù)原還是相對的不能復(fù)原，也存有很大疑問。

　　至于《定向廣告去身份化指引》中所規(guī)定的“運(yùn)用‘有動(dòng)機(jī)入侵者’測試”“全面查明是否能夠重新識別”“必要時(shí)委托專家評估”的檢驗(yàn)標(biāo)準(zhǔn)，其實(shí)是對英國“蓄意侵入者檢驗(yàn)標(biāo)準(zhǔn)”、歐盟“所有合理可能性標(biāo)準(zhǔn)”和美國“專家判定法”標(biāo)準(zhǔn)的借鑒，文章第三部分將詳細(xì)闡釋這些標(biāo)準(zhǔn)。《定向廣告去身份化指引》將前述不同標(biāo)準(zhǔn)簡單并列，實(shí)質(zhì)上是確立了識別認(rèn)定的不同主體基準(zhǔn)，這些規(guī)定本身即存在矛盾和混亂之處，具體該如何適用也不得而知。

　　我們必須認(rèn)識到，個(gè)人信息的利用價(jià)值與其識別性特征密切相關(guān)，個(gè)人信息經(jīng)匿名化處理后若變得過于“干凈”，則其利用價(jià)值很有可能也隨之喪失，正如有學(xué)者所指出的“匿名信息的有效性與實(shí)用性，二者永遠(yuǎn)水火難容”[15]。個(gè)人信息匿名化處理究竟應(yīng)達(dá)到什么樣的法律標(biāo)準(zhǔn)以兼顧匿名信息的有效性與實(shí)用性，進(jìn)而實(shí)現(xiàn)個(gè)人信息保護(hù)與個(gè)人信息利用的妥當(dāng)平衡，我國現(xiàn)行法律尚未提供行之有效的解決方案。

　　三、域外鏡鑒：匿名化處理法律標(biāo)準(zhǔn)的域外經(jīng)驗(yàn)及啟示

　　(一)歐盟：“所有合理可能性”標(biāo)準(zhǔn)

　　歐盟個(gè)人數(shù)據(jù)匿名化處理相關(guān)規(guī)范主要體現(xiàn)在GDPR、歐洲委員會(huì)“108公約+”11及WP29《匿名化技術(shù)》意見書12中，GDPR前言第26段規(guī)定了識別的認(rèn)定標(biāo)準(zhǔn)及匿名信息的概念。據(jù)此可知?dú)W盟匿名化處理法律標(biāo)準(zhǔn)為“所有合理可能性”標(biāo)準(zhǔn)。

　　1.識別的內(nèi)涵：挑出、關(guān)聯(lián)和推斷

　　WP29在《匿名化技術(shù)》意見書中指出，識別并非單純指揭示某人的姓名和/或地址，還包括從數(shù)據(jù)中挑出當(dāng)事人、產(chǎn)生關(guān)聯(lián)或進(jìn)行推斷[16]。在進(jìn)行匿名化處理時(shí)，需要著重考慮挑出(singling out)風(fēng)險(xiǎn)、關(guān)聯(lián)性(linkability)風(fēng)險(xiǎn)和推斷(reference)風(fēng)險(xiǎn)。若能夠在數(shù)據(jù)集中分離出部分或全部能識別個(gè)人身份的記錄，則構(gòu)成挑出風(fēng)險(xiǎn)。若通過同一或不同數(shù)據(jù)集中的記錄，能夠在至少兩項(xiàng)屬于同一(組)數(shù)據(jù)主體的記錄之間產(chǎn)生關(guān)聯(lián)，則構(gòu)成關(guān)聯(lián)性風(fēng)險(xiǎn)。如果通過關(guān)聯(lián)分析等能證明兩項(xiàng)記錄屬于同一組數(shù)據(jù)主體，但不能挑出某一數(shù)據(jù)主體，則該技術(shù)只能有效避免挑出風(fēng)險(xiǎn)，但不能防范關(guān)聯(lián)性風(fēng)險(xiǎn)。若根據(jù)一系列其他屬性值推斷出某一屬性值的概率較高，則構(gòu)成推斷風(fēng)險(xiǎn)。匿名化處理方案應(yīng)當(dāng)能夠防范這三種風(fēng)險(xiǎn)，以有效防止數(shù)據(jù)控制者和任何第三方通過最可能(most likely)和合理(reasonable)的手段重新識別數(shù)據(jù)主體。

　　推薦閱讀：法律法學(xué)論文往哪發(fā)表