風險控制理念下我國個人信息匿名化處理的法律規制

張 麗,許多奇

(1.上海交通大學 凱原法學院,上海 200030;2.復旦大學 法學院,上海 200438)

一、問題之提出

在全球發達國家對應法域較之以前更加倡導數據開放、數據共享的浪潮下,全球范圍內的多層次、多類型主體對于個人信息匿名化的需求亦與日俱增。匿名化技術在于切斷原始數據集中數據所有者和敏感信息之間的一一對應關系,產生既滿足隱私保護需求又保證數據可用的匿名數據集[1]。從原理上看,該等技術有效解決了數據利用過程中所帶來的隱私泄露問題,極大促進了數據的自由流通,提升了數據共享和利用效率。換言之,匿名化技術已成為數據利用環節的重要前提和保障。與此同時,由于技術的負外部性,匿名化技術也面臨明顯的現實困境。首先,數據的形式多樣,作用各異,很難運用統一的標準達到完全的匿名化[2]。其次,匿名化處理的再識別對個人信息匿名化法律標準的確立提出了挑戰:匿名化與再識別技術的天然對抗性使匿名化處理面臨從傳統的完全匿名化困境到目前的可逆轉風險的嬗變,無疑擴大了匿名化處理過程中的隱私風險。技術的易變性增加了個人信息匿名化法律規制的不確定性,如何確立個人信息匿名化的法律標準,以及如何規制成為亟待解決的現實問題。

通過梳理現有文獻可以看出,相關學者的理論著述均不同程度吸收和借鑒了風險控制理念。有學者從如何實現真正的匿名化入手,提出構建事前、事中、事后的風險評估機制[3]。有學者從匿名化的實現方式上切入,建議進行功能性匿名化,并將比例原則引入個人信息匿名化的法律標準重塑中[4]。還有學者從匿名化的再識別風險出發,提出在事前、事中、事后分階段構建基于再識別風險的匿名信息分級披露制[5]。通過梳理前期研究成果可知,學者主要是從風險評估及技術視角探討如何實現信息處理者在個人信息匿名化處理時的合規行為,而從法律治理視角對個人信息匿名化的研究則有待進一步探討。本文試從風險控制理念的視角切入,通過對我國個人信息匿名化規則的缺陷進行檢視,在此基礎上提出優化個人信息匿名化規則的方案,以期為我國個人信息匿名化的法律規制提供有益借鑒。

二、個人信息匿名化處理之技術風險的法律透視

信息技術發展為社會經濟發展帶來便利的同時,也帶來極大的隱私侵權風險。法律長期發揮著規范秩序和控制風險的重要作用,當人工智能等信息科技帶來諸多社會風險時,法律介入規制應當確立必要的風險社會理念,進行有效的風險控制[6]。數據保護自一開始就是一種風險監管機制[7],特別是針對技術所引發的隱私風險進行規制。以信息技術為代表的數據挖掘、數據分析等技術為社會經濟發展帶來諸多數據紅利,各國也均紛紛致力于探究如何有效平衡數據隱私保護與數據利用之間的沖突。在此方面,匿名化技術通過元組泛化、抑制等數據處理的K系列匿名方案實現數據的匿名化,從而保證數據集發布的隱私安全[8],是信息處理者排除適用個人信息保護法規制的重要手段,是降低數據隱私侵權風險的技術保障。

匿名化技術主要包括兩個不同的目標,主要目標在于對信息進行實際的身份識別,第二個目標是降低數據的敏感屬性,換言之,匿名化減少了將信息與特定數據主體相關聯的能力。在一定程度上,隱含的風險特性涉及身份信息和敏感屬性,假設可行,匿名化可以減少隱私風險[9]。然而,在信息技術不斷更新迭代的當下,匿名化處理所固有的技術風險以及匿名數據法律標準的不確定性使以降低隱私風險為目標的匿名化仍面臨挑戰。

(一)身份識別標準的不確定性

如前文所述,匿名化首要目標在于對信息進行實際的身份識別。所謂“識別”是指個人信息與信息主體存在某一客觀確定的可能性,簡單說是通過這些個人信息能夠把信息主體直接或間接“認出來”[10]。根據定義,匿名數據是“與識別或可識別自然人無關的信息或以數據主體不能或不再可識別的方式匿名提供的個人信息”(2)GDPR序言第26條。。由此可知,匿名數據的界定是以明確的個人信息邊界為前提。在個人信息界定方面,我國現行立法對個人信息的認定標準采用身份識別標準(identification),此種標準也是目前世界范圍內占據主流地位的認定標準之一[11]。根據歐盟《一般數據保護條例》(也稱《通用數據保護條例》,系指General Data Protection Regulation,縮寫為“GDPR”)第4條規定,“個人數據是指與已識別或可識別的自然人(數據主體)相關的任何數據”(3)GDPR第4條第1款。。對于“已識別”而言,通常是指可以通過直觀的判斷而無需借助任何技術或價值判斷即可直接識別特定數據主體,如通過自然人的姓名、出生日期、身份證件號等數據可以直接識別特定數據主體。反之,對于“可識別”而言,也即所謂的間接識別,則往往需要借助特定技術手段甚至需要通過價值判斷來實現,如位置信息、消費者行為信息甚至是網頁瀏覽記錄等信息。

對于可識別的判斷標準,不少國家或地區的法律實踐對其界定時,事實上采取的是一種預測判斷,并且這種預測判斷需要合理和實踐可行[11]。即便在特定場景中,一筆信息(集)能否識別或關聯特定個人,仍無法作“是或非”的二元化界定,只能作“程度化”考量,即評估構成個人信息的“可能性”[12],如歐盟采用的判斷標準為“所有合理可能的方法”(4)GDPR序言第26條已明確:為確定自然人是否具有可識別性,必須考慮可能使用的所有方法,例如數據控制者或其他任何人為直接或間接地識別自然人而采取的篩選方法。為確定某一方法是否可合理地用于識別自然人,必須考慮所有客觀因素,例如識別所需的成本和時間,還需考慮處理和技術開發過程中可用的技術。。在是否構成個人信息方面,歐盟雖然強調要結合上下文語境進行判斷,但“合理可能”本身就隱含了大量的技術判斷及價值判斷。同一條數據在某一方手中可能是個人數據,但是在另一方手中就不是個人數據[13]。因此,在個人信息界定上存在諸多不確定性。

此外,身份識別的標準也會隨著信息處理者(GDPR中表述為數據控制者)的識別技術水平甚至是被識別主體對于隱私被侵犯的接受程度因人因情景而異。身份識別判斷標準的不確定直接導致個人信息與非個人信息之間的界限模糊。更為甚者,通過信息技術,幾乎所有數據都可納入個人信息范疇,這會直接導致身份識別標準在界定個人信息方面的作用失效。數據流通、共享是以排除適用個人信息保護法為前提,而身份識別法律標準的模糊性以及不確定性無法為信息處理者提供明確的行為指引,在個人信息匿名化處理中信息處理者很難找到可參照的行為標準來對信息處理行為加以約束,這無疑會增加個人信息匿名化處理中的隱私侵權風險。

(二)身份再識別的可逆轉性

匿名化的另一目標在于降低數據的敏感屬性。從技術角度來看,其實現方式主要通過從數據中永久和完全刪除個人標識符,如將個人身份信息轉換為匯總數據。而匿名數據則是不能再以任何方式與個人關聯的數據,一旦剝離了此數據中的個人識別元素,這些元素就永遠無法與數據或底層個人重新關聯。對此,歐盟第29小組特別強調匿名化的處理必須是“不可逆轉的”(irreversible)[14]。實踐中,在大數據技術的作用下,完全且徹底的匿名化已不再可能。有研究表明,特定個人被重新識別的可能性很高,即使匿名數據集嚴重不完整,也可以保證其重新識別的準確性,如在任何數據集中使用15個受眾特征都會正確地重新識別99.98%的美國人[15]。身份再識別帶來的匿名數據可逆轉的風險,給以降低隱私風險為目的的匿名化帶來威脅。信息處理者使用、共享數據的合法性源于所用數據已切斷與信息主體之間的可識別性,意味著信息處理者對數據安全保護義務的完成。然而在再識別技術下,該識別性再次被重新連結,攻擊者可以通過收集的輔助信息來實現去匿名化,一方面加重了信息處理者的責任負擔,另一方面直接導致隱私侵權風險加大。

三、風險控制理念對個人信息匿名化處理的回應

(一)風險控制目標:平衡數據的有效性與實用性

匿名化作為平衡個人信息隱私保護與利用之間沖突的技術手段,在一定程度上緩解了二者之間的矛盾沖突。同時,對于個人信息匿名化技術本身而言,在實現二者之間的平衡目標時,也面臨數據有效性與實用性之間的沖突。具體而言,在匿名化的實現方式上,主要依靠去除能夠識別信息主體標識符的方式達到隱私保護的目的。然而,單純將原始數據中能夠標識數據主體的標識符去除的方法并不能有效實現匿名保護,實現匿名保護通常要對數據在準標識符上的屬性值作概化處理(generalization)方能實現數據的匿名化,而此舉往往會在很大程度上降低數據的精確性繼而導致降低共享數據的可用性(5)所謂概化處理,即用較為抽象概括的屬性值來代替原本具體的屬性值。參見:王智慧、許儉、汪衛、施伯樂《一種基于聚類的數據匿名方法》,(《軟件學報》,2010年第4期680-693頁)。。筆者認為,過度的匿名化雖有利于數據隱私保護,但該保護以犧牲數據的利用價值為前提,有悖于個人信息匿名化提升數據利用價值的初衷。

從技術角度看,匿名化和去匿名化屬于兩個對立的概念,但二者之間的界限也并非非黑即白。實踐中,通過一定的技術手段可以基本實現完全的匿名化,將匿名化所產生的隱私風險降至最低甚至消除;對于去匿名化而言,盡管已有諸多實例證明已經匿名化的數據有被再識別的風險,對此有學者提出,已匿名化的數據被重新識別的風險主要源于不良的匿名化,并已試圖從技術角度提出如何實現充分的匿名化[16]。二者之間的界限雖然在很大程度上能夠從技術角度加以區分,但考慮到數據的有效性和實用性,追求完全的匿名化或許并不具備特別積極的現實意義。而若默許非完全匿名化,抑或意味著為再識別留下一定空間,加大了再識別信息主體的隱私風險。筆者認為,之所以二者之間形成對立,在于研究主體對二者的判斷是基于結果導向方法所致,并未充分考慮二者之間存在的數據實用性空間。為有效平衡數據有效性和實用性之間的沖突,應當將重點轉向關注降低匿名化處理過程中的風險。

(二)風險控制手段:從結果導向到風險控制

信息科技的發展使掌握核心技術的信息處理者與信息主體之間的地位出現嚴重失衡,私權力地位不斷上升,信息主體弱勢地位愈發凸顯。越來越多的研究表明,以信息主體“知情—同意”為數據保護核心原則的傳統在實踐運用中受阻(6)知情同意所面臨的困境學術界已存在諸多討論,觀點詳情可參見:高富平《個人信息保護:從個人控制到社會控制》,(《法學研究》,2018年第3期84-101頁);萬方《隱私政策中的告知同意原則及其異化》,(《法律科學(西北政法大學學報)》,2019年第2期61-68頁)。。由于前述雙方在技術理解、運用上存在明顯的“知識溝壑”,信息處理者掌握絕對的話語權,大量個人信息由信息處理者掌控,信息主體僅僅依靠日常經驗及其對信息技術的一般理解,容易喪失對其自身數據掌控的能力?！爸椤狻敝贫冗M而可能成為紙上談兵,信息主體合法權益難以獲得有效保障。信息處理者責任承擔的觸發往往建立在信息主體合法權益已遭受侵權的基礎上。然而,大數據時代的隱私侵權行為方式變得更加隱秘,性質更加模糊,后果呈現形式多樣且損害程度更加嚴重,行為與結果之間的因果關系更加松散,致使信息主體在維權方面面臨極大的障礙[17]。不僅如此,當前一些業內領先的大型企業已經比政府掌握了更多的公民信息,相當一部分公權力部門也不得不依賴它們,久而久之,在未建立明確約束機制而存在長期勾稽互通的語境下,前述依賴將模糊公權力與私權力之間的邊界,使本來應當由政府監管的對象成為政府的合作伙伴乃至實際控制者[18]。信息處理者的“數據權力”缺乏制衡將導致信息主體只能被動承受數據被分析、使用甚至泄露等一系列后果而無力反抗[19]。對于個人信息匿名化而言,現實的訴求往往聚焦于追求匿名化的最終目標,以匿名化的結果是否實現來判斷信息處理者是否達到保障隱私安全的義務。然而,如上文所述,匿名化的結果充滿諸多不確定性,以結果導向的規制方式使匿名化處理過程中的隱私風險未能進行有效及時準確地識別,在侵權救濟方面也面臨極大障礙,無法有效保障信息主體的合法利益。有鑒于此,筆者認為,與其在價值判斷與現實訴求上趨于理想化地專注于匿名化的最終目標,不如圍繞降低風險的必要流程對法律進行機制設計,關注重新識別和敏感屬性公開的規范方式[20],轉變個人信息匿名化的規制方式,從結果導向轉變為風險控制。

現代社會之所以強化個人信息保護,原因在于個人不易對個人信息流通中的風險進行有效管理。面對越來越復雜的信息收集方式和信息的不規范流轉,個人也很難對相關風險加以判斷和防范[21]。風險控制理念以風險監管為核心。不同于結果導向的事后救濟,風險控制的方法更加強調技術對個人信息侵害的潛在的以及未知的影響,是基于事先的防范措施而不是以危害結果為導向的規制方式。事先防范措施意味著在保障信息主體合法權益方面更加強調信息處理者的義務及責任,將風險置于一定的可控范圍內。風險控制的邏輯起點在于將風險分析工具嵌入信息處理全流程,其目的是評估每個處理操作的利弊,并以此為基礎管理風險[22]。具言之,風險導向的個人信息保護方法將規制重點轉向以信息處理者處理數據行為規范為中心,通過劃分不同風險級別對信息處理者相應的義務及責任作出類型化規定,使信息處理者在個人信息處理活動中可形成自律監管的模式,從而達到保障信息主體合法權益的目的。

(三)風險控制結果:課以信息處理者相應的義務

風險評估是實現風險控制理念的核心。個人信息匿名化處理過程中面臨身份識別標準不確定以及身份再識別的風險,兩種風險貫穿個人信息匿名化處理的全流程。信息處理者作為風險評估的義務主體,應當承擔降低隱私侵權風險的責任。評估匿名化處理過程中的風險是信息處理者的應有義務,通過信息處理者自律監管模式的數據評估,能夠提升信息主體對信息處理者合法合理利用數據的信心,對于促進數據產業發展大有裨益。在數據處理中,賦予信息處理者一定的自由裁量權,由風險管理人員運用科學方法,對個人信息匿名化有關的風險進行系統分析與研究,確定各項風險的頻度和強度,為選擇適當的風險處理方法提供依據[23]?！吨腥A人民共和國數據安全法》(以下簡稱《數據安全法》)提出,國家建立集中統一、高效權威的數據安全評估、報告、信息共享、監測預警機制,加強數據安全風險信息的獲取、分析、研判、預警工作(7)《中華人民共和國數據安全法》第22條。。與《數據安全法》相呼應,筆者認為,通過風險評估并根據風險等級確定數據匿名化的程度,進一步依據風險程度的高低課以數據控制者相應的義務,這一風險導向的制度邏輯閉環比結果導向的制度邏輯閉環更具實踐性。

四、風險控制理念下個人信息匿名化的制度因應

數據開放與共享是當前世界各國制定大數據發展戰略重點關注的問題,《促進大數據發展行動綱要》明確指出當下我國數據市場面臨數據開放不足的問題。在法律規范層面,《中華人民共和國個人信息保護法》(以下簡稱《個保法》)以及《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第42條的但書條款構成了我國當前法律層面關于個人信息匿名化處理的主要規定(8)《中華人民共和國個人信息保護法》第4條規定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息?！吨腥A人民共和國網絡安全法》第42條規定:網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。。以上規定作為基本法的規范,在文字表述上雖然相對抽象、籠統,但從原則與觀念上,依然確立了我國個人信息匿名化處理不可識別不可復原的標準?？上У氖?由于具體法律標準缺失,在具體適用上缺乏具體的法律性規范解釋,前述規范已幾乎淪為宣誓性條款。此外,《信息安全技術 個人信息安全規范》中對于匿名化、去標識化以及再識別等相應內容也有所提及,可整體看來,同樣缺乏對個人信息匿名化的細則說明(9)中華人民共和國國家標準《信息安全技術 個人信息安全規范》GB/T35273-2020。。在實踐中,以上海和貴州為代表的大數據交易中心已經通過開展數據交易的模式來實現數據的流通、共享,并針對數據匿名化形成了一定標準規范(10)以上海大數據交易中心《流通數據處理準則》為例,其明確可直接識別特定個人身份的標識與其他個人數據分別存管和處理的隔離原則,并進一步明確在任何情形下均不得擅自公開、向第三人提供帶有身份標識個人數據的禁止公開原則等。,囿于一些外部客觀原因,亦多體現為原則性規定,并無針對個人信息匿名化操作的具體技術性、強制性標準規范。

總體來看,我國關于個人信息匿名化的規制碎片化現象突出,規范性文件位階偏低,高位階的規范性文件由于無法較好銜接細化規則,容易流于形式或者淪為宣誓性規定,缺乏可操作、可對接的具體機制。鑒于數據開放、共享日益重要,在立法層面亟待對個人信息的匿名化進行規范。個人信息匿名化本質上屬于技術范疇,對于技術治理需要通過一定的程序或者機制讓不同的利益相關者參與到相應的技術過程之中,充分考慮權利、資源和利益分配等問題,以實現解決沖突和理性決策的目標[24]?？紤]到基于風險控制的個人信息匿名化仍具有諸多不確定性,在具體規制上要以保障信息主體權利為核心、以限制信息處理者權力為目的、賦予監管主體權力為手段的制度規范。

(一)以個人信息權利保護為核心

風險管理不只是一種技術分析方法,它還體現了重要的價值觀和理想,尤其在問責制和責任層面[25]。從上文來看,基于風險的規制方法相較傳統個人信息保護規制方法來說具有一定的靈活性,有效適應了大數據時代數據規制的需求。但其具體適用效果以及規制防范是否降低甚至排除適用以個人信息人權保障為核心的保護方式,存在較大爭議:不同于其他領域的風險評估可以通過具體量化的方式進行,隱私風險評估不僅僅涉及技術規范,還隱含大量價值判斷,很難通過量化的標準對其進行評估。目前,以風險控制為核心的歐洲數據保護系統亦欠缺統一的框架來衡量和評估已識別的隱私風險。雖然歐盟《一般數據保護條例》在《數據保護指令》的基礎上更加明確了相關風險的具體類型,但仍然以靈活抽象的方式定義風險,并且需要由數據控制者根據每個數據處理案例的特殊性來指定和評估[26]。對此,有學者提出評估的決定權掌握在數據控制者手中是否會加強數據控制者的權力[27]。這種新興的執法范式主要依靠數據控制者的自律監管,可能加劇破壞數據保護機構的作用,還可能會進一步減弱其有效數據保護的能力以及有損數據主體的基本權利[28]。還有學者提出,基于風險的規制方法與基于權利保護的方法相悖,基于權利的保護方法更加強調公平,將個人數據保護的范圍公正平等地覆蓋到每個數據主體,而基于風險的規制方法是有選擇的,顯然在保障公平性上有所欠缺[29]。

筆者認為,基于風險的規制方法雖然給予信息處理者在處理數據上評估風險的空間,但并非意味著歐盟摒棄了以個人信息人權保障為核心的保護方式。歐盟第29條工作小組(WP29)一直支持在歐盟數據保護法律框架中納入基于風險的方法,同時工作小組也指出基于風險的方法并非是替代已確立的數據保護權利和原則,其實質上是一種數據控制者處理數據的合規方法[30]。進一步而言,信息處理者仍需以保障信息主體的人格利益為目標,只是在規制方法上采用更靈活的基于風險的監管方式,其目的仍是為保障信息主體的合法權益,對于匿名化而言,其本身的數據處理行為仍需要受到個人信息保護基本原則的限制,如相關機制的構建并未豁免知情同意原則、數據最小化原則以及目的限制原則等。在個人信息主體權益保護方面,我國《個保法》更是專章對個人信息主體在個人信息處理活動中享有的權利進行了規定,形成了相對全面的個人信息權利體系。當然,個人信息主體權利的實現有賴于個人信息處理者履行相應的行為義務,對信息主體權利的實現提供全面保障[31]。需要指出的是,風險控制導向理念的優位,是在理念層面上擺脫數據保護現實訴求與理想價值判斷的束縛,替代結果導向理念,以此在理解技術發展與技術壁壘、平衡數據保護與數據共享的同時,從強化可行性的實踐視閾,為信息處理者內源性的數據合規與自律監管、信息主體外向性的數據使用與權利保護提供較為有效的機制彌合的思維進路,而任何導向及語境下的思維進路均未以規范原則與規范手段完全替代的實踐模式作為前述機制彌合的優化模式,亦即風險控制導向理念側重于為解釋既有立法的執行方向與未來立法的規范方向提供框架性理據支撐。

(二)完善個人信息分類保護制度

個人信息匿名化建立于個人信息可識別的基礎上,系個人信息分類保護的大前提。值得注意的是,在個人信息界定上,各國將“場景”理念嵌入個人信息界定中,即對個人信息的界定需要依據具體的場景加以個案判斷。同樣,對于匿名數據的認定也采取動態場景化的方式進行理解[32]。動態場景化的界定方式從個案判斷出發,根據數據所處上下文語境進行判斷,能夠對是否構成個人信息進行客觀評價,但動態場景化的界定方式仍無法突破信息技術判斷標準因人而異所帶來的差異。場景一詞作為研究中的變量往往千差萬別,去匿名化過程中所存在的風險更是因場景不同而所有差異[33]。學者Paul Ohm提出匿名化是“破碎的隱私承諾”,提議取消傳統的個人數據與非個人數據的界分[34]。應當看到,取消個人信息與非個人信息的方式并不可取,原因在于對個人信息進行準確厘定是清晰權利與義務的前提,既是信息主體確認其基本權利的起點,亦屬于對信息處理者課以相應義務的起點。應當摒棄個人信息與非個人信息的絕對化區分,根據具體場景與制度功能對個人信息的范圍予以厘定并加以規制,為應對場景化理論存在的不確定性問題,可以建立模塊化的個人信息分類保護制度[35]。

如上文所述,身份識別標準存在諸多不確定性風險,個人信息范圍的抽象性和不確定性無法為企業等數據利用者提供明確的行為預期[36]?，F有關于個人信息的界定已經無法適應信息技術背景下個人信息隱私保護和利用需求,個人信息分類保護成為當前學界普遍認為合理可行的方式。在具體類型劃分上,有學者提出可參考保羅·施瓦茨與丹尼爾·索洛夫所提出的“個人信息2.0”的概念,將可識別的個人信息分為三類(11)觀點詳情參見:丁曉東《用戶畫像、個性化推薦與個人信息保護》,(《環球法律評論》,2019年第5期82-96頁);金耀《個人信息去身份的法理基礎與規范重塑》,(《法學評論》,2017年第3期120-130頁)。:已識別個人的信息、可識別個人的信息、不可識別的個人信息。還有學者提出根據能否直接識別信息主體、社會性強弱以及是否具有敏感性這三項要素對個人信息進行類型化構建[37]。另有學者提出將個人信息的識別性和相關性進行程度上的區分,即從識別性上可分為已識別信息、可識別信息、匿名信息,從相關性程度上可分為個人敏感信息、個人一般信息、完全無關的信息[38]。從以上類型劃分來看,雖然體現了差異化的個人數據分析,但無法脫離“可識別”與“不可識別”這一二分制的界定方式。筆者認為,該分類標準存在局限性,無論是“已識別”還是“可識別”抑或是“身份”本身都有其相對性,不能直接幫助規范的制定者或爭議的裁判者了解相關信息在生活實踐中的應用價值[39]。在數字技術背景下,數字技術的發展更是改變了信息識別個人的能力和方式,“識別”與“可識別”之間并非非此即彼[40]。

事實上,“可識別”與“不可識別”之間存在可識別性的連續性,可在可識別性的連續性上定義一個閾值。如果數據集的可識別性高于閾值,則將其視為個人數據,反之,則為非個人數據[41]。根據個人數據被識別的難易程度,學者Emma提出了可識別性的五級模型,據該類型劃分,從可明確識別的數據到匯總數據的再識別,重新識別需要付出的精力、成本、時間以及技巧越高,數據被重新識別的風險愈小。根據以上標準劃分為:(1)可明確識別的數據(Readily identifiable data)(12)可明確識別的數據可通過社會安全號碼(SSN)及生物特征和出生日期或其他識別信息直接識別到數據主體,該級別需要最小的努力來重新識別到個人。;(2)掩碼數據(Masked data)(13)處于該級別的數據根據隨機化和創建可逆或不可逆的方式操縱識別變量,其主要作用是防止個人身份信息、敏感個人數據以及商業敏感數據被暴露給未經授權的用戶。;(3)暴露數據(Exposed data)(14)該級別數據是指除屏蔽標識符(如姓名和出生日期)外,還屏蔽了被視為準標識符(如日期、年齡和性別)的變量,但由于數據的可識別性不可確定,因此,該級別的數據代表了托管人的高風險暴露。;(4)托管數據(Managed data)(15)該級別數據可以是微數據或以表格形式出現,并且僅在此級別上,數據可以從個人信息轉移到非個人信息,數據托管人可以管理重新識別的風險。;(5)匯總數據(Aggregate data)(16)特指明顯無法識別的數據。。該數據類型劃分突破了可識別和已識別之間的二元制界限,除可明顯識別的數據和完全無法識別的數據外,對處于中間狀態的數據更加強調數據控制者對數據的管理能力,如通過匿名或者去標識符的方式來對數據進行安全管理[42]。我國2021年4月發布的《信息安全技術 個人信息去標識化效果分級評估規范》(征求意見稿)亦對個人信息的去標識化分級進行了有益嘗試,為去標識化效果評估提供了國家標準(17)《信息安全技術 個人信息去標識化效果分級評估規范》將個人信息標識度分為四級:能直接識別主體的數據、消除直接標識符的數據、重標識風險可接受數據以及聚合數據。。筆者認為,該劃分方式較好地以信息處理者的責任和義務為核心,根據可識別風險的大小來課以其義務,能夠敦促信息處理者合法合規的處理數據。

(三)確立相關隱私風險評估機制

風險評估的目的在于更好地對風險進行控制和管理。隱私風險評估是對組織機構所收集、儲存、管理、利用、開放的數據是否對隱私產生影響所進行的生命周期的、系統的評估過程和結果[43]。其目的在于為信息處理者提供明確的數據利用指引,規范信息處理者的行為。隱私風險評估對少數國家的政府機關來說是一項強制性義務,但大多數國家主要還是將其作為一種風險防控的商業手段,多體現在行業制度、企業內部規范之中[44]。我國《數據安全法》明確將風險評估確定為信息處理者的一項強制性義務。筆者認為,通過隱私風險評估可以實現兩方面的目標,一是明確信息處理者的義務,二是可以形成相對透明的問責機制。個人信息匿名化最終目的是發布無涉個人隱私的數據用于流通、共享。鑒于匿名化處理中存在的諸多風險,應當通過隱私風險評估識別可能的隱私侵權風險,將匿名化處理過程中的隱私風險評估作為數據控制者一項強制義務予以規范。此外,隱私風險評估本質上是一種工具、方法,也需要通過制定相應的操作性規范將隱私風險評估機制落到實處。

五、結語

匿名化作為平衡數據隱私保護與數據利用沖突的重要技術手段,為數據的流通、共享提供了可能?？紤]到個人信息匿名化處理過程中所面臨的諸多風險,應當將風險控制理念嵌入個人信息匿名化的法律制度構建中。從個人信息匿名化標準確立到個人信息匿名化風險識別再到“匿名”數據發布,風險控制理念能夠與存在諸多不確定性風險的個人信息匿名化形成有效契合。在具體制度構建上,應當緊緊圍繞個人信息權利保護,通過完善個人信息分類制度以及隱私風險評估制度將匿名化的不確定性風險置于可控范圍內,為信息處理者處理數據提供清晰明確的指引。