個人信息匿名化處理法律標準探究

摘? ? 要：個人信息匿名化處理法律制度作為聯通個人信息保護與個人信息流通利用的制度橋梁，能夠以一種隱私友好的方式滿足社會的信息需求。我國現行“無法識別特定個人且不能復原”的匿名化處理法律標準缺乏可操作性，難以有效規范匿名化處理實踐。我國可以確立操作方法標準與識別風險檢驗標準協同的匿名化處理法律標準：關于操作方法標準，可以在技術領域確定適用于直接標識符和間接標識符的匿名化處理措施指南;關于識別風險檢驗標準，可以引入“蓄意侵入者檢驗”標準，明確規定侵入者的識別動機和識別能力。通過操作方法維度與識別風險檢驗維度的協同作用，最終實現“無法識別特定個人且不能復原”的匿名化處理法律效果。

關鍵詞：個人信息;匿名化處理;法律標準;直接標識符;間接標識符;識別風險檢驗

中圖分類號：D 912? ? 文獻標識碼：A? ? ? 文章編號： 2096-9783（2021）03-0026-10

引? ?言

人類社會形成以來，經歷過多次世界性的技術革命[1]。從農業革命、工業革命到智能革命，人類的生產、生活和思維方式也不斷發生著變化。在智能時代，互聯網成為社會發展的基本工具，數據成為國家基礎性戰略資源。數據共享能激勵創新，創造巨額財富，已成為推動當今社會發展的重要引擎[2]。與此同時，數據流通利用也可能損害數據主體的隱私和其他利益。

大數據時代，個人信息1保護問題被推到了風口浪尖。如何平衡個人信息保護與個人信息利用之間的關系成為橫亙在我們面前的時代難題。為因應這一難題，個人信息匿名化處理技術應運而生，該技術旨在通過去除或者改變個人信息中的識別因子，滿足社會的信息需求，并避免損害信息主體的合法權益。技術的發展與應用離不開法律制度的保駕護航，匿名化處理技術亦不例外，匿名化處理法律制度應至少包括匿名化處理法律標準、匿名信息流通利用規則、再識別風險防范規則等內容。而匿名化處理法律標準是匿名化處理法律制度的核心內容，直接關涉到匿名化處理制度的有效性和可行性，本文圍繞該問題展開探究。

一、制度功用透視：平衡個人信息保護與個人信息流通利用

匿名化處理技術是信息時代的產物，旨在解決個人信息流通利用與個人信息保護之間的沖突，以一種“隱私友好（privacy-friendly）”的方式滿足社會的信息需求[3]。重申匿名化處理的制度功用，對確立合理可行的匿名化處理法律標準至為關鍵。

（一）保護信息主體人格尊嚴和人身自由不受侵害

“與已識別或可識別的自然人有關的任何信息”，這一關于個人信息的國際主流定義，體現了個人信息的識別性和關聯性特征。我國國家標準GB/T 35723—2020《信息安全技術? 個人信息安全規范》（以下簡稱《個人信息安全規范》）也將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。個人信息的識別性和關聯性特征是個人信息的首要特性[4]，決定了其直接關涉信息主體的人格尊嚴[5]和人身自由。

基于人格尊嚴和人身自由乃人之基本權利的定性，為避免科技進步“對獨立人格的維護和自由人格的發展造成難以彌補的損害”[6]，我們必須貫徹“以人為本”的發展理念。個人信息所承載的信息主體人格利益應當是個人信息保護立法中的優先考量因素，信息主體權利及信息處理者義務的正當性基礎也源于個人信息的人格屬性。保護信息主體的人格尊嚴和人身自由是個人信息保護的基本目的[7]。

個人信息匿名化處理技術的相關措施包括刪除標識符、替換標識符、泛化標識符、子抽樣處理等，這些技術措施能夠降低個人信息與信息主體之間的關聯度，進而避免在流通利用匿名信息的過程中損害信息主體的合法權益。個人信息匿名化處理法律制度旨在保障匿名化處理技術的規范化、制度化運行，其首要目的與功用即規范對個人信息的技術處理以保護信息主體的人格尊嚴和人身自由不受侵害。

（二）提供大數據發展和應用的原材料，推動數據資源開發利用

大數據對國家發展的重要意義已為諸多國家和政府所肯認，并被視為“未來的新石油”，發展大數據被上升到借助信息技術提升國家競爭力的宏觀戰略高度[8]。全球范圍內，運用大數據推動經濟發展、完善社會治理、提升政府服務和監管能力正深入推進，各國相繼制定實施大數據戰略性文件，大力推動大數據發展和應用。

大數據的發展和應用離不開海量數據的喂養，海量數據的重要來源之一即個人數據。個人信息具有人格自由和人格尊嚴價值、商業價值和公共管理等多重價值[9]，需要通過合理的制度安排實現個人對個人信息保護的利益、信息業者對個人信息利用的利益和國家管理社會的公共利益之間的平衡[10]。就信息業者對個人信息的利用而言，其正當性基礎已為各國立法和社會公眾所普遍認可，促進個人信息流通利用也已成為個人信息保護的重要立法宗旨之一。

個人信息匿名化處理制度補強了個人信息流通利用的正當性基礎，能夠提供數據開發利用所需的原材料，“是促進數據流通和共享的重要途徑”[11]。通過對個人信息的匿名化處理，降低個人信息與信息主體之間的關聯度，增強個人信息流通利用的適格性，以發揮個人信息蘊含的社會、經濟價值，滿足大數據時代對“新石油”原料的需求。個人信息匿名化處理法律制度的另一重要功用即提供大數據發展和應用所需的原材料，推動數據資源開發利用。

簡言之，個人信息匿名化處理法律制度旨在規范對個人信息的技術處理，以保護信息主體的人格尊嚴和人身自由不受侵害，同時提供大數據發展和應用所需的原材料，推動數據資源開發利用，致力于實現“自然人的個人信息權益的保護與信息的自由流動這一對法律價值的權衡與協調”[12]。

二、現狀檢視：我國現行匿名化處理法律標準評析

我國匿名化處理法律制度濫觴于行業標準2，成形于《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國民法典》（以下簡稱《民法典》）。前述規范或效力層級較低，或規范目的特定，致使匿名化處理法律制度雖已在我國正式確立，但規范內容極為簡單，而體現于匿名化處理內涵之中的匿名化處理法律標準亦不清晰。

（一）匿名化處理法律標準：無法識別特定個人且不能復原

關于個人信息匿名化處理的內涵，按《中國互聯網定向廣告用戶信息保護去身份化指引》（以下簡稱《定向廣告去身份化指引》）的規定，去身份化是對某項信息（集）進行變更以去除或模糊個人身份關聯信息的過程;《網絡安全法》規定“經過處理無法識別特定個人且不能復原”3;《民法典》4基本沿用了《網絡安全法》的規定;《數據安全管理辦法（征求意見稿）》規定“經過處理無法關聯到特定個人且不能復原”5;《個人信息安全規范》強調無法識別或關聯到信息主體且不能復原6;《中華人民共和國個人信息保護法（草案）》（以下簡稱《個人信息保護法（草案）》）7亦采用了與《網絡安全法》近似的規定。

前述關于匿名化處理基本內涵的各規定并無本質區別?！睹穹ǖ洹放c《網絡安全法》相比，在保持匿名化處理內涵不變的基礎上，將處理主體從網絡運營者調整為一切信息處理者。《個人信息安全規范》基于將關聯信息納入個人信息范疇的考量而將匿名化處理的法律標準調整為“無法識別或關聯到信息主體且不能復原”，但該規范僅為推薦性國家標準，不具有強制適用的效力。綜上，我國現行匿名化處理法律標準為“無法識別特定個人且不能復原”。

此外，關于匿名化處理的法律標準，依據《定向廣告去身份化指引》的規定，在向非關聯方轉移信息時，單位應采取“運用‘有動機入侵者測試”8“全面查明是否能夠重新識別”9“必要時委托專家評估”10的方式確認是否成功去身份化。此處規定的三個標準只是對域外不同國家和地區匿名化處理法律標準的簡單借鑒，缺乏具體的適用規則，同時由于該指引效力層級及適用范圍的局限性，此規定的實質意義遠遠小于其形式意義。

（二）匿名化處理法律標準的涵義

“無法識別特定個人”與個人信息的識別性特征相對應。匿名化處理力求在“技術的信仰與人身的信仰之間”尋找一個平衡點[13]，以避免個人信息處理行為侵害信息主體的合法權益，因而匿名化處理的關鍵即弱化個人信息與信息主體的關聯度。個人信息識別信息主體的方式包括直接識別和間接識別，根據體系解釋的法律解釋方法，匿名化處理法律標準中的“識別”同樣包括直接識別和間接識別，是故，匿名化處理需要達到通過處理后的信息既不能直接識別，也不能與其他信息相結合而識別信息主體的效果。這就要求信息處理者在匿名化處理過程中既要去除直接標識符，也不能忽視了對間接標識符的處理。

“不能復原”即要求匿名信息不存在復原為個人信息的可能性。個人信息的認定離不開具體的場景，個人信息的場景性特征決定了其與匿名信息并非涇渭分明，而是可以互相轉化的動態關系。特定場景下的匿名信息，在場景發生變化時，或許能夠識別特定個人而成為個人信息。因此，有效的匿名化處理應當能夠通過技術手段使得處理后的信息無法識別特定個人，并且增加匿名信息轉化為個人信息的難度。然而，技術手段的可破解性內在地決定了技術層面的絕對不能復原是難以實現的，故此處的“不能復原”應當理解為法律層面的不能復原，即信息處理者和接收者不得對經匿名化處理后的個人信息進行再識別，從而保證匿名信息處于“不能復原”的狀態。

（三）匿名化處理法律標準存在的問題

匿名化處理法律標準的明晰，關鍵在于“識別”標準的確定。在個人信息識別性認定問題上，除識別方式外，特別需要明確識別認定的主體基準。關于該主體基準，有“主觀說”和“客觀說”之別?！爸饔^說”即“信息控制者說”，主張以信息控制者為基準判斷信息是否能識別特定個人;“客觀說”包括“社會一般多數人說”和“任一主體說”，前者主張以社會一般多數人為主體基準進行判斷，后者主張將一切個人和組織作為識別認定的主體基準，即只要該信息能被某機構所識別，無論該機構是否已實際識別，都視為可識別[14]。如前所述，我國現行法律確立了“無法識別特定個人且不能復原”的匿名化處理法律標準，但是并未明確識別認定的主體基準。另外，“不能復原”的要求該如何理解、如何落實，是絕對的不能復原還是相對的不能復原，也存有很大疑問。

至于《定向廣告去身份化指引》中所規定的“運用‘有動機入侵者測試”“全面查明是否能夠重新識別”“必要時委托專家評估”的檢驗標準，其實是對英國“蓄意侵入者檢驗標準”、歐盟“所有合理可能性標準”和美國“專家判定法”標準的借鑒，文章第三部分將詳細闡釋這些標準?！抖ㄏ驈V告去身份化指引》將前述不同標準簡單并列，實質上是確立了識別認定的不同主體基準，這些規定本身即存在矛盾和混亂之處，具體該如何適用也不得而知。

我們必須認識到，個人信息的利用價值與其識別性特征密切相關，個人信息經匿名化處理后若變得過于“干凈”，則其利用價值很有可能也隨之喪失，正如有學者所指出的“匿名信息的有效性與實用性，二者永遠水火難容”[15]。個人信息匿名化處理究竟應達到什么樣的法律標準以兼顧匿名信息的有效性與實用性，進而實現個人信息保護與個人信息利用的妥當平衡，我國現行法律尚未提供行之有效的解決方案。

三、域外鏡鑒：匿名化處理法律標準的域外經驗及啟示

（一）歐盟：“所有合理可能性”標準

歐盟個人數據匿名化處理相關規范主要體現在GDPR、歐洲委員會“108公約+”11及WP29《匿名化技術》意見書12中，GDPR前言第26段規定了識別的認定標準及匿名信息的概念。據此可知歐盟匿名化處理法律標準為“所有合理可能性”標準。

1.識別的內涵：挑出、關聯和推斷

WP29在《匿名化技術》意見書中指出，識別并非單純指揭示某人的姓名和/或地址，還包括從數據中挑出當事人、產生關聯或進行推斷[16]。在進行匿名化處理時，需要著重考慮挑出（singling out）風險、關聯性（linkability）風險和推斷（reference）風險。若能夠在數據集中分離出部分或全部能識別個人身份的記錄，則構成挑出風險。若通過同一或不同數據集中的記錄，能夠在至少兩項屬于同一（組）數據主體的記錄之間產生關聯，則構成關聯性風險。如果通過關聯分析等能證明兩項記錄屬于同一組數據主體，但不能挑出某一數據主體，則該技術只能有效避免挑出風險，但不能防范關聯性風險。若根據一系列其他屬性值推斷出某一屬性值的概率較高，則構成推斷風險。匿名化處理方案應當能夠防范這三種風險，以有效防止數據控制者和任何第三方通過最可能（most likely）和合理（reasonable）的手段重新識別數據主體。

2.識別認定的主體基準：數據控制者和其他人

如前所述，識別認定的主體基準有主觀說和客觀說之別。歐盟采用了客觀說中的“任一主體說”，主張以一切個人和組織作為識別認定的主體基準，這與歐盟追求“具有廣泛延伸性”[17]的個人數據定義之理念相吻合，能夠更為充分地保護數據主體。在此基礎上，歐盟將匿名數據作為非個人數據，為其營造了較為寬松的流通利用環境。《歐盟非個人數據自由流通框架條例》規定除非為了國家安全，非個人數據的流通應不受本地化限制[18];《歐盟非個人數據自由流通框架條例指南》進一步指出“匿名化處理后的個人數據”[19]屬于非個人數據，并強調在個人數據被適當匿名化后，公民個人數據受保護的權利仍應受到尊重。

3.識別認定的方式標準：所有合理手段

在識別的判斷上，利用數據識別特定主體的合理可能性是認定識別的關鍵。誠如阿爾希波夫（Vladislav A.）所言，“有足夠的精力和時間，蛛絲馬跡都能識別到個人，這就是世界上私家偵探的工作方式，但并不應當是法律的工作方式”[20]。歐盟將識別方式標準明確界定為“所有合理手段”，“合理”即要求綜合考慮數據控制者和其他人進行識別所需的費用和時間，同時考慮到數據處理時可采用的技術及技術的研發?！叭绻麑祿黧w的識別被法律禁止，或由于需要在時間、成本和人力等方面付出不成比例的努力而幾乎不可能，以至于被識別的風險在現實中是微不足道的”13，則應認為該數據不具有識別性。

識別的內涵、識別認定的主體標準和方式標準共同構成了歐盟匿名化處理的法律標準，即匿名化處理需達到數據控制者和任何其他人通過所有合理可能的手段（綜合考慮進行識別的費用、時間、當時的可用技術及技術的研發等）都無法從數據中挑出個人、關聯到個人或推斷出個人身份的標準。

（二）英國：“蓄意侵入者檢驗”標準

英國信息專員辦公室（Information Commissioners Office）（以下簡稱ICO）2012年發布了《匿名化：數據保護風險管理實踐準則》14（以下簡稱《準則》），以指導英國企業的匿名化處理實踐。《準則》規范了個人數據匿名化及數據披露的相關問題。在《準則》中，“匿名數據”指本身不能識別個人并且不太可能通過與其他數據結合而識別個人的數據;“重新識別”指通過數據匹配或類似技術將匿名數據轉換為個人數據的過程[3]。ICO特別強調，“識別”并不必然意味著“知曉姓名（named）”，在特定數據和已知個體間建立可靠的關聯（connection）也應認為構成識別。

ICO認為，多樣識別方式導致了識別（在另一層面上也即匿名）認定的復雜性;同時，即使數據控制者自身確實無法通過處理后的數據識別任何個人，但其并不能確定是否有其他數據使得第三方能夠重新識別，這就增加了匿名化處理的難度。鑒于英國現有數據保護規范并未對解決“發布匿名化處理后的個人數據是否會導致重新識別”“是否有人有動機進行重新識別”兩個問題提供實質幫助，ICO提出了“蓄意侵入者檢驗（a motivated intruder test）”標準。

1.侵入者的識別動機

ICO將侵入者的識別動機擬制為希望通過來源于個人數據的匿名數據識別數據主體，有進行重新識別的主觀積極性，追求重新識別結果的發生，也即所謂的“蓄意（motivated）”。為防范匿名化處理可能存在的再識別風險，數據控制者需要充分衡量通過匿名化處理后的數據重新識別特定個人的可能性，這就必然要求所擬制的侵入者在主觀上具有充分的識別動機。

2.侵入者的識別能力

侵入者的識別能力直接決定著匿名化處理的難易程度，也是確定匿名化處理法律標準的關鍵。ICO假設侵入者具有相當的識別能力，并分別從積極方面和消極方面予以明定。在識別能力的積極方面，侵入者可以訪問互聯網、圖書館等所有公開資源，并可能采取技術調查措施（如詢問可能對數據主體身份有更多了解的人，或發布廣告尋找能提供信息的人等）[3];在識別能力的消極方面，侵入者不具有任何與匿名信息相關的先前知識，不具有專業知識（如掌握電腦黑客技能），不會使用專業設備，也不會訴諸犯罪手段（如通過入室盜竊獲取安全保存的數據）對匿名數據進行重新識別。

3.“蓄意侵入者檢驗”標準的合理性

ICO認為，“蓄意侵入者檢驗”標準設置了一個高于“相對不熟練”的普通公眾而又低于擁有較強專業知識、分析能力和先前知識的人所能達到的識別標準，因而是有效的[3]。在識別動機方面，假設侵入者具有充分的識別動機是保障匿名化處理有效性的直接要求;在識別能力方面，消極識別能力的擬制可避免匿名化處理法律標準過于嚴苛，但又不會造成對個人數據保護的疏忽，因為專業知識者（如醫生、律師等）的執業規范中往往規定了相應的保密義務和倫理守則，而運用犯罪手段進行再識別者則將面臨刑事制裁。由此可見，“蓄意侵入者檢驗”標準有助于實現個人數據保護與個人數據流通利用之間的適當平衡。

在蓄意侵入者檢驗標準的具體操作中，企業可能要進行網絡搜索以檢測是否可通過出生日期和郵政編碼等數據的組合識別特定個人，或者使用社交網絡查看是否可以將匿名數據與用戶畫像相聯系等。此外，ICO還列舉了一些常見的信息來源：圖書館、地方議會辦公室、教會記錄、族譜學網站、社交媒體、互聯網、其他組織，尤其是公共當局發布的匿名數據[3]。

（三）美國個人信息去識別化15法律標準

NIST16于2015年10月發布了《個人信息去識別化》（De-Identification of Personal Information）報告，總結了近二十年來個人信息去識別化的研究和實踐狀況，對深入理解美國去識別化處理規范內容具有重大參考價值。美國在個人信息去識別化處理實踐中，對直接標識符和準標識符采取了不同的處理方法，部分專門領域法律還規定了去識別化處理檢驗標準。

1.“專家判定法”與“安全港方法”標準

《健康保險可攜性和責任法案》（以下簡稱HIPAA法案）17的隱私規則中描述了受保護的健康信息去識別化處理的兩種標準。

第一，“專家判定法”標準。專家判定法即專家通過檢查信息確定最大限度地降低再識別風險的適當去識別方法。專家乃具有知識和經驗的人，掌握了公認的關于去識別的統計學科的原則及方法。專家運用這些原則和方法，判斷單獨使用處理后的信息或將處理后的信息與其他合理可用的信息結合使用時，信息預期接收者識別信息主體的風險是否非常小，進而認定是否達到了有效的去識別化。該標準還要求專家記錄分析的方法和結果，以證明其作出的判定是合理的。

第二，“安全港方法”標準。安全港方法詳細列舉了姓名、地理分區18、日期19、電話號碼、傳真號碼、電子郵件地址、社會保險號碼、醫療記錄號碼、賬號、生物識別碼、任何其他唯一識別碼、特征或代碼等18項特定種類的識別符。數據控制者只有刪除“個人或其親屬、雇主、家庭成員”的前述18項標識符，且并不實際知悉“處理后的信息可以單獨使用或與其他信息結合使用，以識別作為信息主體的個人”時，方可被認為完成了有效的去識別化處理。

2.去識別化處理操作方法：區分處理直接標識符與準標識符

直接標識符（Direct-identification），也即直接識別變量或直接識別數據，是“直接識別單個個人的數據”，包括姓名、社會保險號碼和電子郵件地址等。國際標準化組織發布的ISO 25237：2017（E）《健康信息學-假名化》（Health informatics-Pseudonymization）將直接標識符定義為“無需附加信息或通過與公共領域中的其他信息進行交叉關聯即可用于識別個人的數據”[21]。NIST在《個人信息去識別化》報告中強調，建議將其他個性化信息（如醫療記錄號碼和電話號碼）作為直接標識符，盡管這些標識需要借助附加信息才能與個人身份聯系，但由于其被廣泛使用，因此易于與個人身份聯系[22]。

由于直接標識符與信息主體高度關聯，在去識別化處理時須將其刪除或通過其他方式加以轉換。信息處理者可結合具體情形及預期使用目的，選擇如下處理方法：第一，刪除;第二，替換為明顯通用的類別名稱或數據，如“某人”“某市某區”等;第三，替換為符號，如“***”“……”等;第四，替換為隨機值，若同一標識符多次出現，應替換為不同值，從而既保留原始數據形式以進行某些分析，又為數據與個人間的重新關聯設置障礙;第五，系統地替換為假名（即假名化處理），允許引用同一個人的記錄進行匹配等[22]。NIST指出，假名化是以假名替代直接標識符的一種特殊轉換。若處理者保留了直接標識符與假名間的映射，或者使用易于發現參數的算法執行替換，則假名化處理容易被逆轉進而導致重新識別;即使沒有保留映射，跨多個數據集使用一致的假名，也可通過關聯分析實現再識別?；诖?，OHRP20指出，根據普遍規則，若假名化處理易于被逆轉，假名化數據應被視為代碼化的（coded）而非匿名的[23]，但若存在禁止共享代碼密鑰的數據使用協議，則應被視為匿名的。

準標識符（Quasi-identification），也即間接標識符或間接標識變量，是指本身不能識別特定個人，但可與其他信息聚合和連接以識別數據主體的標識符[24]，如生日、性別、郵政編碼等。準標識符的存在對去識別化處理提出了重大挑戰。盡管可以從數據集中將其刪除，但由于準標識符通常能傳遞對后續分析相當重要的信息，刪除可能有損數據集的實用性[22]。因此，信息處理者應謹慎對待準標識符，以協調去識別化的有效性與實用性。

對于準標識符，信息控制者可結合去識別化處理后的預期用途，選擇如下處理方法：第一，抑制（Suppression）處理，即去除準標識符，可最大限度地保護隱私，但影響數據集的實用性。第二，泛化（Generalization）處理，將特定準標識符的值處理為在給定范圍內或作為集合的元素，如將郵政編碼123456泛化為在123000到123999之間的郵政編碼，泛化處理可應用于整個數據集或特定記錄。第三，干擾（Perturbation）處理，在給定的泛化級別內將特定值以保持個體一致的方式替換為其他值，如將數據集中的年齡統一隨機上下調整2年，或者將入院、出院日期系統性地增減相同天數[25]。第四，交換（Swapping）處理，在給定的泛化級別內交換不同準標識符的值，但如需保留統計特性，則必須謹慎交換。第五，子抽樣（Sub-sampling）處理，通過發布樣本代替數據集以降低再識別概率[26]。

（四）匿名化處理法律標準的歸納總結

關于匿名化處理法律標準，歐盟“所有合理可能性”標準、英國“蓄意侵入者檢驗”標準及美國“專家判定法”標準均系基于識別風險考量而確立的風險檢驗標準，而美國“安全港方法”標準和“區分處理直接識別符與準標識符”操作方法都屬基于處理手段確立的操作方法標準。

1.匿名化處理風險檢驗標準

風險檢驗標準旨在通過衡量重新識別風險的高低判定匿名化處理之有效性。其中，“所有合理可能性”標準最為嚴格，須數據控制者和其他人皆不能通過合理可能的手段實現重新識別，相當于“將匿名標準提高到數據公開之標準”[27]。在此基礎上，歐盟將匿名數據界定為非個人數據，并為其營造了較為寬松的流通利用環境，實際上確立了“嚴進寬出”的匿名化處理規范路徑。歐盟的規范模式能夠較為充分地保護數據主體的合法權益，但對數據控制者的要求較高，且依該標準處理后的數據的實用性將有所降低，不利于促進數據流通利用。“蓄意侵入者檢驗”標準實為一種高于“普通公眾”而低于“專家”的檢驗標準，通過對侵入者識別動機和識別能力的精巧擬制以盡可能充分地保護數據主體，同時又最大限度地確保匿名數據的實用性，該標準較好地平衡了數據主體保護與數據流通利用?！皩＜遗卸ǚā睒藴手荚谕ㄟ^專家衡量去識別化處理的有效性，但該標準較為籠統和模糊，缺乏可操作性，且須與配套規范結合才能發揮效用，如專家的認證規范、選擇規范、操作規范、責任規范等，單獨的“專家判定法”標準難以有效運行。

2.匿名化處理操作方法標準

美國“區分處理直接標識符與準標識符”的操作方法標準，強調類型化標識符并采用不同方法進行處理。直接標識符識別性較強，所關涉的信息主體利益與信息流通利用利益相比通常具有優先重要性，因此，在去識別化處理過程中必須將其刪除或通過其他方式進行轉換;而準標識符識別性相對較弱，同時可能對去識別化數據集更具實用性，故可通過刪除以外的其他方式進行處理，從而在保護信息主體合法權益的同時盡可能地保留信息的實用性。整體而言，區分處理方法標準既能保護信息主體權益免受不當侵害，保證去識別化處理的有效性，又盡可能地保留了去識別化信息的實用性，有利于達致個人信息保護與個人信息流通利用之妥當平衡，為去識別化處理實踐提供了重要操作指南。“安全港方法”標準列舉的必須刪除的18項標識符在世界立法中堪稱最全[15]，但該標準存在的缺陷也十分淺顯。第一，試圖周延列舉標識符是不現實的，不能排除在18項標識符之外可能存在其他能夠識別特定主體的信息。第二，試圖周延列舉標識符導致該標準缺乏靈活性，難以有效應對技術發展帶來的挑戰，也有悖于去識別化處理方案應根據個案情況設計的理念。美國聯邦通訊委員會亦認為，安全港標準缺乏靈活性，現行列舉的標識符隨著數據技術的發展將不可避免被淘汰。第三，該標準可能無法有效滿足數據利用的需要。其允許保留前三位郵政編碼及大多數日期的年份以平衡去識別信息的有效性和實用性，但這些舉措能否保留信息的實用性不無疑問。由于研究者在多數醫療研究中都需要獲取病人的病史信息、用藥時間和日期等信息[28]，Fred H. Cate質疑去除18項標識符后信息能否滿足醫療研究之目的。NIST在報告結論部分也指出安全港方法標準缺乏牢固的理論基礎。

實際上，基于處理手段的匿名化處理操作方法標準與基于識別風險的匿名化處理風險檢驗標準乃從不同維度構建的匿名化處理法律標準。具體而言，前者系從技術手段維度確立的操作方法標準，后者系從風險考量維度確立的有效性檢驗標準，二者既非對立，也無沖突，且可以相互結合共同豐富匿名化處理法律標準。

四、雙維重構：操作方法與識別風險檢驗協同的匿名化處理法律標準

我國現行“無法識別特定個人且不能復原”的匿名化處理法律標準主要是針對處理效果提出的要求，該標準較為籠統和模糊，缺乏可操作性，難以有效指引及規范匿名化處理實踐。我國在完善個人信息匿名化處理法律制度的過程中，可以在借鑒英國和美國匿名化處理相關法律標準的基礎上，另辟蹊徑，構建匿名化處理操作方法標準與識別風險檢驗標準協同的雙維匿名化處理法律標準，以最終實現無法識別特定個人且不能復原的匿名化處理法律效果。

（一）操作方法：區分處理直接標識符與間接標識符

匿名化處理操作方法標準的確定，應堅持保護信息主體人格尊嚴人身自由與保留匿名信息實用性促進個人信息流通利用相平衡的基本理念?！爱敵橄蟆话愀拍罴捌溥壿嬻w系不足以掌握某生活現象或意義脈絡的多樣表現形態時，大家首先會想到的補助思考形式是‘類型”。[29]不同標識符識別能力強弱有別，蘊含的經濟價值也有區別，具有進行類型化區分的可行性和必要性。同時，不同技術手段的側重點和處理效果各有不同，為區分處理直接標識符和間接標識符提供了技術支撐。如刪除處理能夠最有效地保護個人信息，但也使得個人信息蘊含的效用徹底喪失;泛化或者干擾處理等，通過降低個人信息的精確度削弱處理后信息與信息主體的關聯，以保護信息主體的人格尊嚴和人身自由，同時也在一定程度上保留處理后信息的實用性。因此，可以將不同技術手段有針對性地適用于直接標識符和間接標識符的處理。

對于直接標識符，由于其能夠直接識別特定個人，與信息主體的人格尊嚴和人身自由密切相關，基于人格尊嚴保護之目的價值應優先于個人信息利用之工具價值的基本理念[30]，必須將直接標識符刪除或者進行轉換，從而盡可能地避免在流通利用處理后信息的過程中不當損害信息主體的合法權益。對于間接標識符，由于其與信息主體人格尊嚴和人身自由的聯系相對疏遠，同時其可能蘊含著個人信息的經濟效用，對其進行挖掘分析能夠產生巨大價值，因此可以主要通過刪除以外的其他匿名化技術措施進行處理，如泛化處理或干擾處理等，以兼顧信息主體人格尊嚴人身自由的保護與匿名化處理后信息實用性的保留。據此，根據不同匿名化技術手段處理效果的差異，可以在技術領域確定適用于直接標識符和間接標識符的匿名化處理措施指南，供信息控制者在匿名化處理實踐中參考。信息控制者在進行匿名化處理時，應結合具體場景及預期使用目的，在參考匿名化處理措施指南的基礎上分別挑選適用于個案中直接標識符和間接標識符處理的技術手段。

（二）識別風險檢驗：“蓄意侵入者檢驗”標準

識別風險檢驗標準直接決定著匿名化處理的難易程度，檢驗標準若設置得較為嚴苛，則可能過分加重個人信息處理者的負擔，不利于促進個人信息流通利用以發揮其蘊含的巨大價值;反之，檢驗標準若設置得較為寬松，則可能損害信息主體的人格尊嚴和人身自由，有違個人信息保護的基本價值理念。

確立識別風險檢驗標準的關鍵在于對識別認定主體基準和識別可能性的明晰。在識別認定主體基準方面，“任一主體說”（即數據控制者和其他人）要求過高，實際上將匿名化處理標準近乎提高至了信息公開的程度，不利于促進個人信息流通利用，不符合匿名化處理制度初衷;“專家判定法”標準具有一定的合理性，但該標準的實施較為復雜，需與專家認證規范、選定規范、操作規范及責任規范等配套制度相結合，且難以克服主觀標準內在的不確定性;“蓄意侵入者”標準相對客觀中立，通過法律明確擬制具有識別動機和特定識別能力的侵入者，能夠兼顧匿名化處理的有效性與匿名信息的實用性，且易于通過法律規范進行調整，富有可操作性的同時，也不失靈活性和包容性。另一方面，法律擬制的“侵入者”雖然識別能力遜色于“專家”，但通過與其他法律規范（如職業倫理和信義義務規范等）共同作用，能夠充分保護信息主體。在識別可能性方面，應強調識別的合理可能，如前所述，若識別為法律禁止或需付出明顯不成比例的時間、精力成本，則應認為不能識別，否則將過分加重處理者的負擔。法律關于侵入者識別能力的擬制也是要求合理識別可能的體現。因此，我國可以考慮采納“蓄意侵入者檢驗”標準。

具體而言，信息控制者在參考匿名化處理措施指南完成匿名化處理后，應當評估處理后的信息能否通過“蓄意侵入者檢驗”，進而判定所進行匿名化處理的有效性。“蓄意侵入者檢驗”，即法律擬制了一個具有識別動機和特定識別能力的侵入者，若該侵入者不能通過匿名化處理后的信息識別或者關聯至特定信息主體，則可認為匿名化處理是有效的，反之則是無效的，信息控制者應進一步處理個人信息或者采取其他措施。在“蓄意侵入者檢驗”標準中，侵入者在識別動機方面，試圖通過匿名化處理后的信息識別信息主體，具有重新識別的主觀積極性;在識別能力方面，侵入者能夠獲取一切公開的資源（如圖書館、互聯網等），能夠采取合理的調查措施以獲取進行識別所需的信息，但其不具備專業技能，不具有關于信息主體的先前知識，也不會采用犯罪手段（如入室盜竊獲取安全保存的信息等）獲取信息以進行識別。

結? ?語

作為“平衡商業利益和個人利益的利器”[31]，個人信息匿名化處理法律制度在大數據時代具有無可替代的重要作用。個人信息匿名化處理法律標準的優化是發揮匿名化處理制度功用的關鍵。匿名化處理的操作方法標準與識別風險檢驗標準是匿名化處理法律標準的兩個維度，兩者協同有助于增強匿名化處理法律標準的科學性和可行性。在操作方法標準方面，我國可以在技術領域分別確定適用于直接標識符和間接標識符的匿名化處理措施指南，供信息處理者在匿名化處理實踐中參考;在識別風險檢驗標準方面，我國可以引入“蓄意侵入者檢驗”標準，明確規定侵入者的識別動機和識別能力，進而確保通過匿名化處理最終實現“無法識別特定個人且不能復原”的法律效果。當然，還必須指出，技術的可破解性、匿名化處理的場景性、匿名信息的實用性等因素決定了個人信息匿名化處理并非一勞永逸，匿名信息具有再識別風險[32]，匿名化處理的再識別風險防范問題同樣需要我們深入思考。

參考文獻：

[1] 何星亮.智能革命與文明變遷——人類學的視角[J].中南民族大學學報（人文社會科學版）， 2019（4）：75-80.

[2] 劉穎，谷佳琪.個人信息去身份化及其制度構建[J].學術研究，2020（12）：58-76.

[3] UK Information Commissioners Office. Anonymisation： Managing Data Protection Risk Code of Practice[EB/OL].（2012-11-20）[2021-03-05].https：//ico.org.uk/media/1061/anonymisation-code.pdf.

[4] 韓旭至.大數據時代下匿名信息的法律規制[J].大連理工大學學報（社會科學版），2018（4） ： 64-75.

[5] 王利明.人格尊嚴：民法典人格權編的首要價值[J].當代法學，2021（1）：3-14.

[6] 張建文.隱私權的現代性轉向與對公權力介入的依賴[J].社會科學家，2013（6）：10-14.

[7] 高富平.論個人信息保護的目的——以個人信息保護法益區分為核心[J].法商研究， 2019 （1）：93-104.

[8] 蔡翠紅.國際關系中的大數據變革及其挑戰[J].世界經濟與政治，2014（5）：124-143.

[9] 程嘯.論大數據時代的個人數據權利[J].中國社會科學， 2018（3）：102-122.

[10] 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學， 2015（3）：38-59.

[11] 王利明.數據共享與個人信息保護[J].現代法學，2019（1）：45-57.

[12] 程嘯.我國《民法典》個人信息保護制度的創新與發展[J].財經法學， 2018（4）：32-53.

[13] 黃道麗，張敏.大數據背景下我國個人數據法律保護模式分析[J].中國信息安全， 2015 （6）：111-116.

[14] 謝琳.大數據時代個人信息邊界的界定[J].學術研究，2019（3）：69-75.

[15] Paul Ohm. Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J]. UCLA Law Review，2010，57（6）：1701-1777.

[16] Article 29 Data Protection Working Party. Opinion 05/2014 on Anonymisation Techniques[EB/OL].（2014-04-10）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[17] Article 29 Data Protection Working Party. Opinion 04/2007 on the Concept of Personal Data [EB/OL].（2007-06-20）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_ en. pdf.

[18] European Commission. Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2018-11-14）[2021-03-09].https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/？uri=CELEX：32018R1807& qid=1617248879534&from=EN.

[19] European Commission. Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2019-05-29）[2021-03-09].https：//eur-lex.europ-a.eu/legal-content/EN/TXT/PDF/？uri=CELEX：52019DC0250&from=EN.

[20] Vladislav A & Victor N. The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation： Between Formal Certainty and Technological Development [J].Computer Law & Security Review，2016，32（6）：868-887.

[21] International Organization for Standardization. Health informatics – Pseudonymization [S]. （2017-01-20）[2021-03-10].https：//www.iso.org/standard/63553.html.

[22] National Institute of Standards and Technology. De-identification of Personal Information [R].（2015-10-20）[2021-0313].https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.

[23] U.S. Department of Health and Human Services Office for Human Research Protections （OHRP）. Coded Private Information or Specimens Use in Research[EB/OL].（2008-10-16）[2021-03-13]. http：//wayback.archive-it.org/org-745/20160209155555/http：//archive.hhs.gov/ohrp/hum

ansubjects/guidance/cdebiol.htm.

[24] Dalenius. Finding a Needle in a Haystack， or Identifying Anonymous Census Records[J]. Journal of Official Statistics，1986，2（3）：329-336.

[25] US Department of Health and Human Services Office of Civil Rights. Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act （HIPAA） Privacy Rule[EB/OL].（2012-11-26）[2021-

03-15]. https：//www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/Deidentification/hhs_deid_guidance.pdf.

[26] El Emam. Methods for the De-identification of Electronic Health Records for Genomic Research[J]. Genome Medicine，2011，3（25）：1-9.

[27] 金耀.個人數據匿名化法律標準明晰——以《網絡安全法》第42條為中心[J].網絡法律評論，2016（2）：72-87.

[28] UK Information Commissioners Office， Data Protection Technical Guidance Determining What is Personal Data [EB/OL].（2012-12-12）[2021-03-15].https：//ico.org.uk/media/for-organi-sations/documents/1554/determining-what-is-personal-data.pdf.

[29] [德]卡爾·拉倫茨.法學方法論[M].陳愛娥譯，北京：商務印書館，2003：337.

[30] 胡文濤.我國個人敏感信息界定之構想[J].中國法學，2018（5）：235-254.

[31] 江波，張亞男.大數據語境下的個人信息合理使用原則[J].交大法學，2018（3）：108-121.

[32] 張建文，程海玲.“破碎的隱私承諾”之防范：匿名化處理再識別風險法律規則研究[J].西北民族大學學報（哲學社會科學版），2020（3）：76-86.

Research on the Legal Standard of Personal Information Anonymization

Cheng Hailing

（School of Law， Chongqing University， Chongqing 400044， China）

Abstract： As a bridge between personal information protection and personal information circulation， the legal institution of personal information anonymization can meet the information needs of the society in a privacy friendly way. Chinese current legal standard of anonymization， namely "unable to identify specific individuals and cannot be reverted"， lacks operability and is difficult to regulate the practice of anonymization effectively. We can establish the legal standard of anonymization in the coordination of operation method standard and identification risk test standard. As for the operation method standard， we can establish the guidance of anonymization measures applicable to direct identifier and indirect identifier in the technical field. As for the identification risk test standard， we can introduce "a motivated intruder test" by specifying the identification motivation and identification ability of the intruder. Through the synergy of operation method dimension and identification risk test dimension， the "unable to identify specific individuals and cannot be reverted" legal effect of anonymization will finally be achieved.

Key words： personal information; anonymous processing; legal standards; direct identifier; indirect identifier; identification risk test