非可識別個人數據流通法律規則的理論構建

摘? ?要：我國目前缺乏個人數據流通規則，立法和理論研究更集中在數據權利、數據歸屬等方面，對數據流通關注不足。為了促進數據更好的流通以發揮其價值，有必要通過匿名化技術來解決數據流通中的隱私保護問題。但是，匿名化技術的不完美性，使得基于結果的匿名化標準無法發揮其作用，因此需要建立一種基于過程的匿名化規則。這種規則更接近于數據安全規則，注重于匿名化處理過程中不同環境下的風險評估，通過一系列考量因素確定一種動態的匿名化標準。滿足這一標準的個人數據被視為不具有可識別性，可以不經用戶同意而流通，但數據控制者必須在流通過程中持續監督匿名化效果，一旦發生隱私泄露危險將依據過錯承擔責任。

關鍵詞：數據流通;匿名化技術;數據安全

中圖分類號： TP309.2? ? ? ? ? 文獻標識碼：A

Abstract： There is a lack of rules for the circulation of personal data in China. The legislation and theoretical research are more focused on the aspects of data rights and data ownership， and insufficient attention is paid to the circulation of data. In order to promote the better circulation of data and give full play to its value， it is necessary to solve the privacy protection problem in data circulation through anonymization technology. However， due to the imperfection of anonymization technology， the result-based standard of anonymity cannot play its role， so it is necessary to establish a process-based rule of anonymity. This kind of rule is more similar to the data security rule， which focuses on the risk assessment in different environments during the anonymization process， and determines a kind of dynamic anonymization standard through a series of factors. Personal data that meets this standard is deemed not identifiable and can be circulated without the consent of the user. However， the data controller must continue to monitor the effect of anonymization during the circulation process， and will be liable for any risk of privacy disclosure based on fault.

Key words： data circulation; anonymization; data security

1 引言

在大數據時代，信息技術與經濟社會的交匯融合引發了數據迅猛增長，數據已成為國家基礎性戰略資源，大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。個人數據已經成為企業甚至國家經濟命脈的重要部分，其在不斷的流通中逐漸被發掘出其中的價值。

隨著個人數據經濟價值的不斷發掘和利用，個人數據權益的保護問題也隨之而來。2012年全國人大常委會通過的《關于加強網絡信息保護的決定》宣布，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，由此開啟了我國個人數據保護的立法之路。放眼國際，歐洲的個人數據保護法是在公法，或者更確切地說，是在憲法的背景下發揮效力的，其主要目標是在涉及個人數據的處理業務范圍內保護個人隱私和自由。而美國將個人數據進行保護置于隱私權的框架下。

隱私控制是自由自治原則的產物，該原則置個人于個人數據使用的核心位置，通過個人管理個人數據和個人決定信息使用來實現信息自治。無論立法基礎為何，對個人數據保護均與隱私保護有著密不可分的關系。由于個人數據的“可識別性”導致了個人數據的泄漏會引發個人隱私危險，保護隱私信息在發布或者使用的時候，不被識別出來的安全數據發布機制的研究已成為研究熱點。匿名化技術便是一種隱私保護的有效方法，自Samarati和Sweeney首次提出匿名化概念之后，該技術得到了廣泛的關注。匿名化技術能夠破壞個人數據與數據主體之間的聯系，從而有效地保護數據主體的隱私。

在數據流通方面，各國也針對技術手段的各個處理過程制定了相關的規則，從而形成了體系化的個人數據流通規則。其中，歐盟于2017年發布了《非個人數據自由流動框架條例》（以下簡稱《框架條例》），與《一般數據保護條例（GDPR）》共同構建了較為完善的個人數據流通規則框架。反觀我國，具體完善的規則體系還未建立，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第四章網絡信息安全部分是為數不多針對數據流通中個人數據安全的法律規則。此外，法院通過“新浪微博案”提出的“三重授權”原則，系針對第三方應用通過開放平臺獲取用戶信息時應遵循的原則。該原則要求數據接收者在接收數據時既要獲得數據提供方企業的同意，同時也要獲得用戶的同意。這種寬泛的“三種授權”原則，為數據控制者和接收者施加過多的負擔，不利于數據的自由流通及數據價值的發掘，因此在理論界頗有爭議。

在此現狀之下，完善我國個人數據流通規則體系已刻不容緩。本文旨在分析解讀歐盟的個人數據流通規則，明確個人數據與非個人數據的邊界和轉化標準，并結合理論觀點構建更有效和可操作性的個人數據流通規則，在此基礎上為我國的個人數據立法提出立法建議。

2 “非可識別個人數據流通規則”

《一般數據保護條例（GDPR）》與《非個人數據自由流動框架條例》是目前歐盟數據保護規則體系的兩大基石。前者針對“個人數據”（Personal Data），后者適用于“非個人數據”（Non-personal Data）。兩條例根據個人數據的可識別性與否將個人數據保護規則劃分為兩個部分，這種劃分方式也是目前世界各國數據保護法的主流做法。顯然，兩部分的邊界由“個人數據”所決定，但這個邊界并非封閉的。匿名化技術能夠實現個人數據向非個人數據的轉化，成為連通兩部分的橋梁。

2.1 個人數據與匿名化

歐盟對個人數據保護的立法工作始于20世紀，而個人數據的概念卻并未發生過大的變動。1981年《有關個人數據自動化處理的個人保護協定（歐洲理事會）》在第2條中將“個人數據”定義為“與已識別或可識別的個人（數據主體）相關的任何信息”。1995年歐盟《數據保護指令（DPD）》將“個人數據”定義為“任何與已識別的或可識別的自然人有關的信息”。

由于數據處理技術的不斷發展，尤其是進入大數據時代以后，能否識別個人身份的信息的邊界也越來越模糊，許多傳統概念上無法識別個人身份的信息，經過技術手段的處理后，也能夠準確識別到個人用戶。因此，“可識別性”已經不僅包括能夠單獨或直接識別個人身份的信息，對這一現狀的應對也體現在各國的定義之中。2016年歐盟在DPD等基礎上制定的GDPR也基本沿襲了這一定義，但在其后加入了“姓名、身份證號碼、定位數據、在線身份識等”的列舉，對該定義進一步完善。

與此同時，匿名化規則也隨著個人數據保護立法的發展而不斷完善。自1995年的DPD開始，歐盟就對個人數據和匿名化數據的保護進行了區分。DPD在序言中指出，“數據保護原則不應適用于匿名信息，即與已識別或可識別的自然人無關的信息，或與以數據主體無法識別或不再可識別的方式匿名的個人數據無關的信息。”同樣在該段中，DPD通過一種基于風險的方式確定了“可能且合理（Likely Reasonably）”標準對匿名化進行評估：在確定某個人是否能夠通過該信息被識別時，應當考慮所有可能且合理的手段。其中，“可能”針對實際中采用該識別手段的可能性，“合理”針對該采用手段的難度。

2014年，29條工作組發布的《匿名化技術意見》（以下簡稱《意見》）在歐盟層面對匿名化技術從法律和技術兩方面做了詳盡的規定。29條工作組是根據歐盟95 /46 / EC法令的29條的規定所設立的，是一家旨在解決數據和隱私保護問題的獨立咨詢機構。

《意見》提出了匿名化檢驗的“三步法”：（1）是否仍能夠（從該數據中）選出某個人;（2）是否能夠（通過該數據）鏈接到某個人相關的記錄;（3）是否能（從該數據中）推斷出與某個人有關的信息。同時《意見》強調需要在匿名化過程中考慮環境因素，例如數據的性質以及任何限制對數據訪問的信息披露控制機制，還建議應根據個案情況選擇使用提到的不同匿名化手段。然而，《意見》要求合格的匿名化為一種不可逆的過程引起了一些爭議，這也表明《意見》沒有完全從基于風險的視角看待匿名化的過程，而是更加注重于匿名化的結果。

在隨后的GDPR中沿用了DPD的觀點，同樣將匿名化數據排除在規制范圍外，同時還明確引入了假名化的概念，據此進一步強化了對匿名化過程不可逆的要求。假名化被定義為：以該方式處理個人數據，使得在不使用附加信息的情況下，個人數據無法指向特定數據主體，但前提是此類附加信息應單獨保存，并受技術和組織措施的約束，以確保個人數據不會指向已識別或可識別的自然人。同時，GDPR序言中明確指出，假名化后的數據無法單獨識別到具體數據主體，但仍屬于個人數據的范疇。因為雖經過假名化處理，數據控制者仍持有能夠重識別該數據的“密碼”。

可見，GDPR同樣為匿名化賦予了非常高的標準，只有無法被重識別的數據才能滿足這一要求。當然，也有反對觀點認為，如果重識別的密碼被安全保管，且假名化的算法不會被輕易破解的，則不應當一律認為達不到匿名化數據的標準，這一標準過于苛求完美。

2.2 歐盟非可識別個人數據流通規則

個人數據一旦經過符合GDPR標準的匿名化處理后，便不存在個人隱私方面的風險，成為非個人數據中的一種，因此其流通相較來說自由得多。與個人數據相比，非個人數據的流通無需經用戶同意，且無需保證用戶在個人數據流通過程中享有的各項權利。《框架條例》主要為非個人數據的流通提出了三方面的要求。

一是保障非個人數據的跨境自由流動。新規則為整個歐盟的數據存儲和處理設置了框架，禁止數據本地化限制。如果成員國認為含有數據本地化的要求因公共安全為由而需繼續有效，則應當將該措施報告歐盟委員會，并說明理由。該要求對GDPR的適用沒有影響，因為它不包括個人數據。在混合數據集中，在能區分個人數據于非個人數據的情況下，分別使用兩條例;無法區分的，優先適用GDPR的有關規定。

二是加強政府監管。《框架條例》中強調了消除數據本地化的要求，并規定不得因數據處理行為發生在另一成員國而拒絕監管機構調取數據的合法要求。此時，監管機構可以采取強制措施調取有關數據，例如要求獲取留存在相關成員國的系統描述信息。有義務向監管機構提供數據的自然人或法人，應當依法及時有效地向監管機構提供上述數據，而不論數據的處理行為是否發生在其他歐盟成員國;沒有依法履行數據提供的義務，有關主管機構可以要求其他成員國協助調取。這些措施是為了加強歐盟機構對數據流通過程的監管，消除執法過程中的障礙。

此外，《框架條例》還要求成員國應確保數據服務提供商能夠識別并采取適當、相應的技術和組織措施，以管理他們所使用的信息系統及網絡的安全風險。前述措施應確保安全級別符合已有的風險，并應當考慮系統和設施的安全性，緊急事件處理，業務連續性管理等因素。在數據安全的具體規則上，歐盟及各成員國的相關數據安全法律法規仍可適用。因此，《框架條例》并未將數據流通完全自由開放給用戶和行業自我監管，相反在數據安全方面加強了政府層面的管控。

三是鼓勵數據流通行業標準的設立。《框架條例》引入了“專業用戶”的概念，并明確指出數據傳輸的詳細信息和操作要求，應當由市場參與者通過委員會的自律、鼓勵、促進和監管來進行規定。《框架條例》還要求，在正式通過后的12個月內，云服務行業應拿出“行為準則”，該“行為準則”應當是全面的并且至少應當涵蓋數據傳輸過程中的重要方面。“行為準則”還應當明確供應商鎖定不是可接受的商業慣例，應當提供增加信任的技術，并且應當定期更新以保持與科技同步發展的步伐。同時，《框架條例》要求歐盟委員會應當保證在整個“行為準則”的形成過程中，包括中小企業協會、初創企業、用戶和云服務提供商等在內的所有利益相關者均有參與機會。而且歐盟委員會應當對“行為準則”的發展和實施的有效性進行評估，以決定是否繼續給予行業這樣的自由度，或者何時自己就該出手。

總的來說，歐盟通過可識別原則為個人數據劃定了一個廣大的范圍，同時通過嚴苛的標準，將個人數據通過匿名化脫離規制范圍的可能性明顯降低，將個人數據與非個人數據之間的橋梁設置為“單行道”。然而，正如Ohm所言，個人數據可以發揮其巨大價值也可以被非常好地匿名化，但二者不可兼得，個人隱私保護和信息安全在一定程度上是與個人數據流通矛盾的。這種體系雖然強化了對個人隱私的保護，但也為數據控制者施加了沉重的負擔，同時限制了數據的流動。

然而，隨著完美的匿名化已被公認不可能存在，匿名化技術逐漸“走下神壇”。歐盟的匿名化標準在實踐中難以真正實現，同時導致一些數據控制者借助劣質的匿名化逃避法律責任，實際加大了數據流通中個人隱私損害的風險。理論界在匿名化技術上有較大的爭議，對歐盟這種偏重匿名化結果的立法方式也有反對聲音。

3 基于風險控制的匿名化數據流通理論規則的構建

匿名化在很長一段時間被看作是保護隱私的最佳手段，然而近20年來越來越多研究發現，即使從已經“匿名化”的數據中也有可能識別出單獨個人，因此各界圍繞著匿名化技術展開了激烈的爭論。Rubinstein和Hartzog將爭論者們分為實用派與形式派。實用派通過對實踐結果進行分析，主張重識別攻擊發生概率很低。他們認為用于重識別的輔助信息很難獲得，且雖然重新識別到數據主體是唯一的，但是無法指向任何實際存在的個人。而形式派在定義隱私、建模攻擊者和量化重新識別的可能性方面堅持嚴格的數學方法論證，主張匿名化已經失去價值。他們認為對匿名化技術有效性進行量化的做法是，“通過假設攻擊者可能采取的模型而錯誤的提升了匿名化的安全系數”。

無論重識別攻擊在實踐中發生概率有多少，匿名化的不完美性已經成為共識。但在目前的技術下，匿名化依然是個人隱私保護和數據流通中不可或缺的技術。因此應當結合匿名化技術的特點，建立能發揮其優勢、彌補其不足的數據流通規則模式。

3.1 借鑒數據安全規則，制定基于風險控制的匿名化標準

歐洲的數據保護法是在公法，或者更確切地說，是在憲法的背景下發揮效力的，其主要目標是在涉及個人數據的處理業務范圍內保護個人隱私和自由。個人數據保護涉及保障人的尊嚴問題，因為需要防止個人在個人數據處理中被僅僅視為客體對待。這種傳統的個人隱私保護是以他人行為對個人造成損害為前提。而隱私法中的“損害”本身就是一個有爭議的概念，在個人數據領域就顯得更為模糊。Rubinstein和Hartzog在其文章中問道：如果黑客盜取了某個人的個人數據并銷售到黑市上，是否對這個人造成了損害？如果這個人沒有損失財產，是否仍造成了損害？如果該信息僅被用來制作了錯誤的用戶畫像，以致推送的用戶定向內容不符合個人喜好，是否造成了損害？因此，在“損害”無法明確范圍的情況下，重識別是否發生以及損害結果都難以準確界定，隱私保護難以與數據流通過程中的個人數據安全保護完全契合。

在這種損害發生風險不確定的情況下，數據安全規則能夠很好地發揮其效力。數據安全規則的特點在于，它注重于過程、考慮不同環境下的情況、且容忍風險的發生。在策略層面，數據安全被認為是不斷識別風險的過程。盡量減少數據收集和保留;制定和實施政策、技術和物理保護措施，以防止數據泄露;如果確實發生違規的情況，則制定應對計劃。數據安全規則在匿名化技術方面的體現兩個方面。

一是匿名化標準應當容忍風險存在。“沒有完美的安全措施”這一觀點為數據安全領域所公認。匿名化技術既然無法保證其結果的穩定性和有效性，那么唯有針對處理過程中的各種風險設定合理標準，才能盡量提高匿名化技術的可靠性。

二是匿名化標準應當因環境而異。數據安全水平取決于數據的敏感性、公司業務運營的規模和性質以及公司面臨的風險類型等諸多因素。同樣，匿名化處理的過程需要考慮數據的類型和敏感水平、重識別攻擊者動機和技術手段、攻擊可能造成的損害類型、數據控制者對匿名化維護的能力等因素。這些因素是無法窮盡的，任何能夠識別和減少重識別風險的因素都應被考慮在內，這將導致一個細致全面的穩定規則體系會很快過時。因此，數據流通規則應當是與環境變化相關，同時與行業標準相結合。行業標準定期更新的特點，能很好地契合數據安全規則的特性，且結合行業規則的安全規則已經在實踐中證明了其有效性。

3.2 改變“分發-遺忘”的舊模式，加強匿名化數據控制

前述歐盟匿名化技術的規則是采取了類似隱私保護的方式，在個人數據與非個人數據之間設定了固定的邊界，沒有考慮到不完美匿名化帶來的后果。也正是如此，《框架條例》中沒有為非個人數據中的兩種類型的數據—本身與個人無關的數據與經匿名化處理的個人數據分別制定不同的規則。而事實上，由于重識別風險的必定存在，單純依靠一次性“分發-遺忘”的匿名化無法保證數據在后續流通過程中的隱私安全。Ohm在他極具影響力的文章中批判了這種傳統的匿名化模式，因為去識別化技術存在著與生俱來的缺陷。這種不完美的匿名化會使得隱私損害在數據重識別過程中變得更加嚴重。“分發-遺忘”模式有其優點，但是對于非個人數據，放棄數據控制的好處不會超過其代價，最著名的重新識別攻擊都涉及“分發-遺忘”數據集。

采用傳統的匿名化模式的結果是，為了在數據流通過程中著重風險控制，必須盡量減少數據公布。而當數據控制者失去控制權時，評估數據重識別風險要困難得多。因此，一種合理的解決方式是最小化或消除傳統的“分發-遺忘”模式，加強數據控制者在數據流通過程中的監督義務。對此義務，歐盟條例中雖沒有明文規定，但Sophie和Alison Knight給出了證成并提出修法建議。假設前提為匿名化是一基于環境與風險因素的可逆過程，重識別后的數據重新回到GDPR的規制范圍內。這時，匿名化與重識別的具體標準只能由匿名化處理時的數據控制者根據實際情況決定。GDPR中定義了“共同控制者”的概念，并在損害賠償部分規定，共同控制者承擔連帶責任，且一方可向有過錯的一方追償。為了能夠判斷數據的重識別是否發生、數據接收者是否存在過錯以及責任分擔的比例，給數據控制者施加數據分發后的持續監督義務是合理的。

除通過法律向數據控者施加強制監督義務的方式外，Robert Gellman還提出了通過數據使用協議為數據接收者設置義務的方式。Gellman在其文章中起草了一份“個人數據去識別化法案”，旨在平衡數據控制者、數據接收者及數據主體三方的利益。該法案對數據使用協議中雙方的義務進行了構想。數據接收者應承諾不實施或嘗試實施重識別，并采取合理措施防止關聯方實施新識別;應不進行超過合同范圍的數據使用及進一步披露;應設置合理的安保措施以對數據進行保密，包括物理措施、技術措施、管理措施等;當重識別發生時，應立即通知有關部門、數據控制者和相關用戶。數據控制者要保持對數據的控制和監督，應在重識別發生時立即通知有關部門和用戶，并暫停進一步的數據披露。一旦違反了上述義務，一方可以通過合同追究違約方責任;如果發生嚴重的隱私泄漏事件，還會涉及行政或刑事責任。雖然一方通過合同授權另一方使用其數據可能涉及數據權屬這一頗具爭議的問題，但在不考慮這一點的情況下，該方式至少能夠使數據控制者在數據流通后進行后續監督，這在一定程度上能夠降低數據流通過程中的風險。且如能起草和執行得當，該協議不會給數據接收者帶來過多負擔。

4 結束語

我國《網絡安全法》第42條規定，網絡運營者未經被收集者同意，不得向他人提供個人數據，但是經過處理無法識別特定個人且不能復原的除外。可見，我國已經為個人數據流通設置了去識別化的合法基礎。匿名化等概念在2018年5月正式實施的《信息安全技術個人數據安全規范》中有明確定義。其中匿名化定義為，通過對個人數據的技術處理，使得個人數據主體無法被識別，且處理后的信息不能被復原的過程;去標識化定義為，通過對個人數據的技術處理，使其在不借助額外信息的情況下，無法識別個人數據主體的過程。“去標識化”并未要求該過程不可逆，但強調無法識別是在不借助額外信息的情況下。可見，“匿名化”的定義與歐盟相同，而“去標識化”則與歐盟“假名化”定義相同。

2019年8月國家質檢總局與國家標準化管理委員會發布了《信息安全技術個人信息去標識化指南》（以下簡稱《去標識化指南》），其中明確了去標識化的重要目標之一是控制重識別風險。與歐盟規則相比，我國已經著重了去識別化過程中的風險控制。2020年1月發布的《信息安全技術個人數據告知同意指南》（以下簡稱《告知同意指南》），在《網絡安全法》的基礎上，進一步完善了對外提供個人數據免于告知同意的情形。而與歐盟規則存在區別的是，《告知同意指南》第6條規定，收集已進行匿名化處理的個人數據免于告知同意，對外提供已經進行去標識化處理的個人數據免于告知同意;歐盟則要求經假名化引入處理的信息，也需要滿足告知同意或其它合法基礎。這種規則設置同樣說明，我國并未同歐盟一樣要求匿名化處理的不可逆性，也便于進一步建立偏重風險控制的個人數據流通規則。

（1）進一步完善《去標識化指南》

《去標識化指南》詳細構建了去標識化技術各項標準，內容形式與歐盟數據保護29條工作組的《意見》比較相似，既包括了法律方面的規制，又詳細解釋了去標識化的各種技術標準。總的來說，《去標識化指南》中已經明確提到需要通過環境因素等控制重識別的風險，但更多是在去標識化模型和技術的判斷選擇上，去標識化處理的后續工作并未過多提及。其中，5.6部分規定了監控審查的相關內容，要求在去標識化完成后進行持續監控和定期風險評估，但內容較為原則化，也未有更詳細的風險評估標準，內容有待繼續豐富。此外，《去標識化指南》主要設定了去標識化過程各環節的標準，沒有涉及重識別發生后的危險處理內容，如及時通知監管部門和相關用戶、行業內部處理、政府部門執法等方面。同樣，這些內容也應當在后續的個人數據流通規則中著重體現。

（2）結合信息安全規則制定去標識化個人數據流通規則

去標識化是最有利于流通的個人數據形式，但也存在著更大的隱私風險，因此在立法中應著重平衡自由流動與隱私保護之間的關系。應明確區分個人數據、去標識化個人數據與非個人數據三個概念的范圍與關系。針對去標識化個人數據，除去標識化過程的規則之外，還應當明確個人數據流通過程中數據控制者的監督義務、行業內部的標準制定與監管、政府部門的執法以及隱私損害的救濟措施。同時，這些規則應當控制適當限度，避免為數據控制者施加過重的負擔，保障信息流通自由。

參考文獻

[1] 王波.數據發布中的個性化隱私匿名技術研究[D].哈爾濱：工程大學，2012.

[2] 許娟.互聯網疑難案件中數據權利保護的風險決策樹模型[J].南京社會科學，2019（03）：81-86+107.

[3] 薛其宇.互聯網企業間數據不正當競爭的規制路徑[J].汕頭大學學報（人文社會科學版），2018，34（12）：62-68+95-96.

[4] 徐偉.企業數據獲取“三重授權原則”反思及類型化構建[J].交大法學，2019（04）：20-39.

[5] 高富平.個人數據保護：從個人控制到社會控制[J].法學研究，2018，40（03）：84-101.

[6] GB/T 37964-2019，信息安全技術個人數據去標識化指南[S].2019-08-30

[7] Peter Rott.Data protection law as consumer law – How consumer organisations can contribute to the enforcement of data protection law[J]. Journal of European Consumer and Market Law，2017，6（03）：113-119.

[8] Latanya Sweeney.Simple demographics often identify people uniquely[J].Carnegie Mellon University Data Privacy Working Paper.2000（03）：1–34.

[9] Khaled E E ， Cecilia L . A critical appraisal of the Article 29 Working Party Opinion 05/2014 on data anonymization techniques[J].International Data Privacy Law，2015，5（1）：73-87.

[10] Stalla-Bourdillon， Sophie and Knight， Alison， Anonymous Data v. Personal Data — A False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data[J].Wisconsin International Law Journal，2017：235-247.

[11] Samson Yoseph Esayas. The role of anonymisation and pseudonymisation under the EU data privacy rules： beyond the 'all or nothing' approach[J]. Social Science Electronic Publishing，2016：78-92.

[12] Ohm， Paul.Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J].UCLA Law Review，2009，57：1701-2010.

[13] Rubinstein， Ira and Hartzog， Woodrow. Anonymization and Risk[J].Washington Law Review 2016，703：15-36.

[14] Calo， Ryan. The Boundaries of Privacy Harm[J].Indiana Law Journal， 2011，86（3）：1131-1135.

[15] Bolognini L ， Bistolfi C . Pseudonymization and impacts of Big （personal/anonymous） Data processing in the transition from the Directive 95/46/EC to the new EU General Data Protection Regulation[J]. Computer Law & Security Review，2017，33（2）：171-181.

[16] Lee A， Bygrave. Data Protection Law， Approaching Its Rationale， Logic and Limits[M].Kluwer Law Intl，2002.

作者簡介：

陳子朝（1995-），男，漢族，山東青島人，華東政法大學，在讀碩士;主要研究方向和關注領域：知識產權法、個人數據保護。