風(fēng)險(xiǎn)控制理念下我國個(gè)人信息匿名化處理的法律規(guī)制
2023-08-10 00:00:00張麗許多奇
摘要:
數(shù)據(jù)匿名化為數(shù)據(jù)的流通和共享提供了重要的技術(shù)助力,技術(shù)的易變性同時(shí)也對數(shù)據(jù)匿名化處理的法律規(guī)制帶來諸多障礙。在當(dāng)前的技術(shù)背景下,我國個(gè)人信息①匿名化面臨身份識別標(biāo)準(zhǔn)不確定、身份再識別可逆轉(zhuǎn)等風(fēng)險(xiǎn),個(gè)人信息匿名化處理過程中所產(chǎn)生的技術(shù)風(fēng)險(xiǎn)給個(gè)人隱私利益帶來極大挑戰(zhàn)。目前以結(jié)果導(dǎo)向?yàn)槟繕?biāo)的規(guī)制手段在個(gè)人信息匿名化規(guī)制方面缺乏靈活性,難以緩釋技術(shù)帶來的不確定性風(fēng)險(xiǎn)。平衡好個(gè)人隱私利益、企業(yè)經(jīng)濟(jì)利益以及社會公共利益之間的沖突是個(gè)人信息匿名化處理的終極目標(biāo)。風(fēng)險(xiǎn)控制導(dǎo)向理念的優(yōu)位在理念層面上擺脫了數(shù)據(jù)保護(hù)的現(xiàn)實(shí)訴求與理想價(jià)值判斷之間的束縛,替代結(jié)果導(dǎo)向理念,為信息處理者內(nèi)源性的數(shù)據(jù)合規(guī)與自律監(jiān)管、信息主體外向性的權(quán)利保護(hù)與數(shù)據(jù)使用提供了較為有效的彌合思維進(jìn)路,為個(gè)人信息匿名化處理的法律規(guī)制提供新的可能。以風(fēng)險(xiǎn)控制理念為核心的個(gè)人信息匿名化法律規(guī)制架構(gòu)以實(shí)現(xiàn)數(shù)據(jù)的有效性與實(shí)用性之間的動態(tài)平衡為目標(biāo),圍繞降低個(gè)人信息匿名化處理過程中的風(fēng)險(xiǎn)進(jìn)行法律機(jī)制設(shè)計(jì),通過課以信息處理者相應(yīng)的信息處理風(fēng)險(xiǎn)評估義務(wù)實(shí)現(xiàn)對個(gè)人信息匿名化規(guī)制的良善治理。在無規(guī)范性文件作理據(jù)支撐的前提下,個(gè)人信息匿名化的風(fēng)險(xiǎn)評估及評估標(biāo)準(zhǔn)于實(shí)踐中難以穩(wěn)定量化,故而在個(gè)人信息匿名化法律規(guī)制方面,應(yīng)當(dāng)提倡將保障個(gè)人信息主體權(quán)利作為個(gè)人信息匿名化處理的核心,通過賦予信息主體在信息處理過程中相應(yīng)的數(shù)據(jù)權(quán)利以實(shí)現(xiàn)信息主體自身的權(quán)利。個(gè)人信息匿名化以個(gè)人信息可識別為前提,在個(gè)人信息概念界定上應(yīng)當(dāng)依據(jù)具體場景加以個(gè)案判斷,因此,對于匿名數(shù)據(jù)的認(rèn)定也應(yīng)當(dāng)采取動態(tài)場景化的方式進(jìn)行理解。在個(gè)人信息匿名化處理風(fēng)險(xiǎn)控制手段的實(shí)現(xiàn)上,通過確立相關(guān)隱私風(fēng)險(xiǎn)評估機(jī)制為信息處理者提供明確的數(shù)據(jù)利用指引,規(guī)范信息處理者的行為。
關(guān)鍵詞:個(gè)人信息;匿名處理;風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn)控制
中圖分類號:D923;D922.16" 文獻(xiàn)標(biāo)志碼:A" 文章編號:1008-5831(2023)02-0220-12
一、問題之提出
在全球發(fā)達(dá)國家對應(yīng)法域較之以前更加倡導(dǎo)數(shù)據(jù)開放、數(shù)據(jù)共享的浪潮下,全球范圍內(nèi)的多層次、多類型主體對于個(gè)人信息匿名化的需求亦與日俱增。匿名化技術(shù)在于切斷原始數(shù)據(jù)集中數(shù)據(jù)所有者和敏感信息之間的一一對應(yīng)關(guān)系,產(chǎn)生既滿足隱私保護(hù)需求又保證數(shù)據(jù)可用的匿名數(shù)據(jù)集[1]。從原理上看,該等技術(shù)有效解決了數(shù)據(jù)利用過程中所帶來的隱私泄露問題,極大促進(jìn)了數(shù)據(jù)的自由流通,提升了數(shù)據(jù)共享和利用效率。換言之,匿名化技術(shù)已成為數(shù)據(jù)利用環(huán)節(jié)的重要前提和保障。與此同時(shí),由于技術(shù)的負(fù)外部性,匿名化技術(shù)也面臨明顯的現(xiàn)實(shí)困境。首先,數(shù)據(jù)的形式多樣,作用各異,很難運(yùn)用統(tǒng)一的標(biāo)準(zhǔn)達(dá)到完全的匿名化[2]。其次,匿名化處理的再識別對個(gè)人信息匿名化法律標(biāo)準(zhǔn)的確立提出了挑戰(zhàn):匿名化與再識別技術(shù)的天然對抗性使匿名化處理面臨從傳統(tǒng)的完全匿名化困境到目前的可逆轉(zhuǎn)風(fēng)險(xiǎn)的嬗變,無疑擴(kuò)大了匿名化處理過程中的隱私風(fēng)險(xiǎn)。技術(shù)的易變性增加了個(gè)人信息匿名化法律規(guī)制的不確定性,如何確立個(gè)人信息匿名化的法律標(biāo)準(zhǔn),以及如何規(guī)制成為亟待解決的現(xiàn)實(shí)問題。
通過梳理現(xiàn)有文獻(xiàn)可以看出,相關(guān)學(xué)者的理論著述均不同程度吸收和借鑒了風(fēng)險(xiǎn)控制理念。有學(xué)者從如何實(shí)現(xiàn)真正的匿名化入手,提出構(gòu)建事前、事中、事后的風(fēng)險(xiǎn)評估機(jī)制[3]。有學(xué)者從匿名化的實(shí)現(xiàn)方式上切入,建議進(jìn)行功能性匿名化,并將比例原則引入個(gè)人信息匿名化的法律標(biāo)準(zhǔn)重塑中[4]。還有學(xué)者從匿名化的再識別風(fēng)險(xiǎn)出發(fā),提出在事前、事中、事后分階段構(gòu)建基于再識別風(fēng)險(xiǎn)的匿名信息分級披露制[5]。通過梳理前期研究成果可知,學(xué)者主要是從風(fēng)險(xiǎn)評估及技術(shù)視角探討如何實(shí)現(xiàn)信息處理者在個(gè)人信息匿名化處理時(shí)的合規(guī)行為,而從法律治理視角對個(gè)人信息匿名化的研究則有待進(jìn)一步探討。本文試從風(fēng)險(xiǎn)控制理念的視角切入,通過對我國個(gè)人信息匿名化規(guī)則的缺陷進(jìn)行檢視,在此基礎(chǔ)上提出優(yōu)化個(gè)人信息匿名化規(guī)則的方案,以期為我國個(gè)人信息匿名化的法律規(guī)制提供有益借鑒。
二、個(gè)人信息匿名化處理之技術(shù)風(fēng)險(xiǎn)的法律透視
信息技術(shù)發(fā)展為社會經(jīng)濟(jì)發(fā)展帶來便利的同時(shí),也帶來極大的隱私侵權(quán)風(fēng)險(xiǎn)。法律長期發(fā)揮著規(guī)范秩序和控制風(fēng)險(xiǎn)的重要作用,當(dāng)人工智能等信息科技帶來諸多社會風(fēng)險(xiǎn)時(shí),法律介入規(guī)制應(yīng)當(dāng)確立必要的風(fēng)險(xiǎn)社會理念,進(jìn)行有效的風(fēng)險(xiǎn)控制[6]。數(shù)據(jù)保護(hù)自一開始就是一種風(fēng)險(xiǎn)監(jiān)管機(jī)制[7],特別是針對技術(shù)所引發(fā)的隱私風(fēng)險(xiǎn)進(jìn)行規(guī)制。以信息技術(shù)為代表的數(shù)據(jù)挖掘、數(shù)據(jù)分析等技術(shù)為社會經(jīng)濟(jì)發(fā)展帶來諸多數(shù)據(jù)紅利,各國也均紛紛致力于探究如何有效平衡數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)利用之間的沖突。在此方面,匿名化技術(shù)通過元組泛化、抑制等數(shù)據(jù)處理的K系列匿名方案實(shí)現(xiàn)數(shù)據(jù)的匿名化,從而保證數(shù)據(jù)集發(fā)布的隱私安全[8],是信息處理者排除適用個(gè)人信息保護(hù)法規(guī)制的重要手段,是降低數(shù)據(jù)隱私侵權(quán)風(fēng)險(xiǎn)的技術(shù)保障。
匿名化技術(shù)主要包括兩個(gè)不同的目標(biāo),主要目標(biāo)在于對信息進(jìn)行實(shí)際的身份識別,第二個(gè)目標(biāo)是降低數(shù)據(jù)的敏感屬性,換言之,匿名化減少了將信息與特定數(shù)據(jù)主體相關(guān)聯(lián)的能力。在一定程度上,隱含的風(fēng)險(xiǎn)特性涉及身份信息和敏感屬性,假設(shè)可行,匿名化可以減少隱私風(fēng)險(xiǎn)[9]。然而,在信息技術(shù)不斷更新迭代的當(dāng)下,匿名化處理所固有的技術(shù)風(fēng)險(xiǎn)以及匿名數(shù)據(jù)法律標(biāo)準(zhǔn)的不確定性使以降低隱私風(fēng)險(xiǎn)為目標(biāo)的匿名化仍面臨挑戰(zhàn)。
(一)身份識別標(biāo)準(zhǔn)的不確定性
如前文所述,匿名化首要目標(biāo)在于對信息進(jìn)行實(shí)際的身份識別。所謂“識別”是指個(gè)人信息與信息主體存在某一客觀確定的可能性,簡單說是通過這些個(gè)人信息能夠把信息主體直接或間接“認(rèn)出來”[10]。根據(jù)定義,匿名數(shù)據(jù)是“與識別或可識別自然人無關(guān)的信息或以數(shù)據(jù)主體不能或不再可識別的方式匿名提供的個(gè)人信息”[GDPR序言第26條。]。由此可知,匿名數(shù)據(jù)的界定是以明確的個(gè)人信息邊界為前提。在個(gè)人信息界定方面,我國現(xiàn)行立法對個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)采用身份識別標(biāo)準(zhǔn)(identification),此種標(biāo)準(zhǔn)也是目前世界范圍內(nèi)占據(jù)主流地位的認(rèn)定標(biāo)準(zhǔn)之一[11]。根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》(也稱《通用數(shù)據(jù)保護(hù)條例》,系指General Data Protection Regulation,縮寫為“GDPR”)第4條規(guī)定,“個(gè)人數(shù)據(jù)是指與已識別或可識別的自然人(數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)”[GDPR第4條第1款。]。對于“已識別”而言,通常是指可以通過直觀的判斷而無需借助任何技術(shù)或價(jià)值判斷即可直接識別特定數(shù)據(jù)主體,如通過自然人的姓名、出生日期、身份證件號等數(shù)據(jù)可以直接識別特定數(shù)據(jù)主體。反之,對于“可識別”而言,也即所謂的間接識別,則往往需要借助特定技術(shù)手段甚至需要通過價(jià)值判斷來實(shí)現(xiàn),如位置信息、消費(fèi)者行為信息甚至是網(wǎng)頁瀏覽記錄等信息。
對于可識別的判斷標(biāo)準(zhǔn),不少國家或地區(qū)的法律實(shí)踐對其界定時(shí),事實(shí)上采取的是一種預(yù)測判斷,并且這種預(yù)測判斷需要合理和實(shí)踐可行[11]。即便在特定場景中,一筆信息(集)能否識別或關(guān)聯(lián)特定個(gè)人,仍無法作“是或非”的二元化界定,只能作“程度化”考量,即評估構(gòu)成個(gè)人信息的“可能性”[12],如歐盟采用的判斷標(biāo)準(zhǔn)為“所有合理可能的方法”[GDPR序言第26條已明確:為確定自然人是否具有可識別性,必須考慮可能使用的所有方法,例如數(shù)據(jù)控制者或其他任何人為直接或間接地識別自然人而采取的篩選方法。為確定某一方法是否可合理地用于識別自然人,必須考慮所有客觀因素,例如識別所需的成本和時(shí)間,還需考慮處理和技術(shù)開發(fā)過程中可用的技術(shù)。]。在是否構(gòu)成個(gè)人信息方面,歐盟雖然強(qiáng)調(diào)要結(jié)合上下文語境進(jìn)行判斷,但“合理可能”本身就隱含了大量的技術(shù)判斷及價(jià)值判斷。同一條數(shù)據(jù)在某一方手中可能是個(gè)人數(shù)據(jù),但是在另一方手中就不是個(gè)人數(shù)據(jù)[13]。因此,在個(gè)人信息界定上存在諸多不確定性。
此外,身份識別的標(biāo)準(zhǔn)也會隨著信息處理者(GDPR中表述為數(shù)據(jù)控制者)的識別技術(shù)水平甚至是被識別主體對于隱私被侵犯的接受程度因人因情景而異。身份識別判斷標(biāo)準(zhǔn)的不確定直接導(dǎo)致個(gè)人信息與非個(gè)人信息之間的界限模糊。更為甚者,通過信息技術(shù),幾乎所有數(shù)據(jù)都可納入個(gè)人信息范疇,這會直接導(dǎo)致身份識別標(biāo)準(zhǔn)在界定個(gè)人信息方面的作用失效。數(shù)據(jù)流通、共享是以排除適用個(gè)人信息保護(hù)法為前提,而身份識別法律標(biāo)準(zhǔn)的模糊性以及不確定性無法為信息處理者提供明確的行為指引,在個(gè)人信息匿名化處理中信息處理者很難找到可參照的行為標(biāo)準(zhǔn)來對信息處理行為加以約束,這無疑會增加個(gè)人信息匿名化處理中的隱私侵權(quán)風(fēng)險(xiǎn)。
(二)身份再識別的可逆轉(zhuǎn)性
匿名化的另一目標(biāo)在于降低數(shù)據(jù)的敏感屬性。從技術(shù)角度來看,其實(shí)現(xiàn)方式主要通過從數(shù)據(jù)中永久和完全刪除個(gè)人標(biāo)識符,如將個(gè)人身份信息轉(zhuǎn)換為匯總數(shù)據(jù)。而匿名數(shù)據(jù)則是不能再以任何方式與個(gè)人關(guān)聯(lián)的數(shù)據(jù),一旦剝離了此數(shù)據(jù)中的個(gè)人識別元素,這些元素就永遠(yuǎn)無法與數(shù)據(jù)或底層個(gè)人重新關(guān)聯(lián)。對此,歐盟第29小組特別強(qiáng)調(diào)匿名化的處理必須是“不可逆轉(zhuǎn)的”(irreversible)[14]。實(shí)踐中,在大數(shù)據(jù)技術(shù)的作用下,完全且徹底的匿名化已不再可能。有研究表明,特定個(gè)人被重新識別的可能性很高,即使匿名數(shù)據(jù)集嚴(yán)重不完整,也可以保證其重新識別的準(zhǔn)確性,如在任何數(shù)據(jù)集中使用15個(gè)受眾特征都會正確地重新識別99.98%的美國人[15]。身份再識別帶來的匿名數(shù)據(jù)可逆轉(zhuǎn)的風(fēng)險(xiǎn),給以降低隱私風(fēng)險(xiǎn)為目的的匿名化帶來威脅。信息處理者使用、共享數(shù)據(jù)的合法性源于所用數(shù)據(jù)已切斷與信息主體之間的可識別性,意味著信息處理者對數(shù)據(jù)安全保護(hù)義務(wù)的完成。然而在再識別技術(shù)下,該識別性再次被重新連結(jié),攻擊者可以通過收集的輔助信息來實(shí)現(xiàn)去匿名化,一方面加重了信息處理者的責(zé)任負(fù)擔(dān),另一方面直接導(dǎo)致隱私侵權(quán)風(fēng)險(xiǎn)加大。
三、風(fēng)險(xiǎn)控制理念對個(gè)人信息匿名化處理的回應(yīng)
(一)風(fēng)險(xiǎn)控制目標(biāo):平衡數(shù)據(jù)的有效性與實(shí)用性
匿名化作為平衡個(gè)人信息隱私保護(hù)與利用之間沖突的技術(shù)手段,在一定程度上緩解了二者之間的矛盾沖突。同時(shí),對于個(gè)人信息匿名化技術(shù)本身而言,在實(shí)現(xiàn)二者之間的平衡目標(biāo)時(shí),也面臨數(shù)據(jù)有效性與實(shí)用性之間的沖突。具體而言,在匿名化的實(shí)現(xiàn)方式上,主要依靠去除能夠識別信息主體標(biāo)識符的方式達(dá)到隱私保護(hù)的目的。然而,單純將原始數(shù)據(jù)中能夠標(biāo)識數(shù)據(jù)主體的標(biāo)識符去除的方法并不能有效實(shí)現(xiàn)匿名保護(hù),實(shí)現(xiàn)匿名保護(hù)通常要對數(shù)據(jù)在準(zhǔn)標(biāo)識符上的屬性值作概化處理(generalization)方能實(shí)現(xiàn)數(shù)據(jù)的匿名化,而此舉往往會在很大程度上降低數(shù)據(jù)的精確性繼而導(dǎo)致降低共享數(shù)據(jù)的可用性[所謂概化處理,即用較為抽象概括的屬性值來代替原本具體的屬性值。參見:王智慧、許儉、汪衛(wèi)、施伯樂《一種基于聚類的數(shù)據(jù)匿名方法》,(《軟件學(xué)報(bào)》,2010年第4期680-693頁)。]。筆者認(rèn)為,過度的匿名化雖有利于數(shù)據(jù)隱私保護(hù),但該保護(hù)以犧牲數(shù)據(jù)的利用價(jià)值為前提,有悖于個(gè)人信息匿名化提升數(shù)據(jù)利用價(jià)值的初衷。
從技術(shù)角度看,匿名化和去匿名化屬于兩個(gè)對立的概念,但二者之間的界限也并非非黑即白。實(shí)踐中,通過一定的技術(shù)手段可以基本實(shí)現(xiàn)完全的匿名化,將匿名化所產(chǎn)生的隱私風(fēng)險(xiǎn)降至最低甚至消除;對于去匿名化而言,盡管已有諸多實(shí)例證明已經(jīng)匿名化的數(shù)據(jù)有被再識別的風(fēng)險(xiǎn),對此有學(xué)者提出,已匿名化的數(shù)據(jù)被重新識別的風(fēng)險(xiǎn)主要源于不良的匿名化,并已試圖從技術(shù)角度提出如何實(shí)現(xiàn)充分的匿名化[16]。二者之間的界限雖然在很大程度上能夠從技術(shù)角度加以區(qū)分,但考慮到數(shù)據(jù)的有效性和實(shí)用性,追求完全的匿名化或許并不具備特別積極的現(xiàn)實(shí)意義。而若默許非完全匿名化,抑或意味著為再識別留下一定空間,加大了再識別信息主體的隱私風(fēng)險(xiǎn)。筆者認(rèn)為,之所以二者之間形成對立,在于研究主體對二者的判斷是基于結(jié)果導(dǎo)向方法所致,并未充分考慮二者之間存在的數(shù)據(jù)實(shí)用性空間。為有效平衡數(shù)據(jù)有效性和實(shí)用性之間的沖突,應(yīng)當(dāng)將重點(diǎn)轉(zhuǎn)向關(guān)注降低匿名化處理過程中的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)控制手段:從結(jié)果導(dǎo)向到風(fēng)險(xiǎn)控制
信息科技的發(fā)展使掌握核心技術(shù)的信息處理者與信息主體之間的地位出現(xiàn)嚴(yán)重失衡,私權(quán)力地位不斷上升,信息主體弱勢地位愈發(fā)凸顯。越來越多的研究表明,以信息主體“知情—同意”為數(shù)據(jù)保護(hù)核心原則的傳統(tǒng)在實(shí)踐運(yùn)用中受阻[知情同意所面臨的困境學(xué)術(shù)界已存在諸多討論,觀點(diǎn)詳情可參見:高富平《個(gè)人信息保護(hù):從個(gè)人控制到社會控制》,(《法學(xué)研究》,2018年第3期84-101頁);萬方《隱私政策中的告知同意原則及其異化》,(《法律科學(xué)(西北政法大學(xué)學(xué)報(bào))》,2019年第2期61-68頁)。]。由于前述雙方在技術(shù)理解、運(yùn)用上存在明顯的“知識溝壑”,信息處理者掌握絕對的話語權(quán),大量個(gè)人信息由信息處理者掌控,信息主體僅僅依靠日常經(jīng)驗(yàn)及其對信息技術(shù)的一般理解,容易喪失對其自身數(shù)據(jù)掌控的能力。“知情—同意”制度進(jìn)而可能成為紙上談兵,信息主體合法權(quán)益難以獲得有效保障。信息處理者責(zé)任承擔(dān)的觸發(fā)往往建立在信息主體合法權(quán)益已遭受侵權(quán)的基礎(chǔ)上。然而,大數(shù)據(jù)時(shí)代的隱私侵權(quán)行為方式變得更加隱秘,性質(zhì)更加模糊,后果呈現(xiàn)形式多樣且損害程度更加嚴(yán)重,行為與結(jié)果之間的因果關(guān)系更加松散,致使信息主體在維權(quán)方面面臨極大的障礙[17]。不僅如此,當(dāng)前一些業(yè)內(nèi)領(lǐng)先的大型企業(yè)已經(jīng)比政府掌握了更多的公民信息,相當(dāng)一部分公權(quán)力部門也不得不依賴它們,久而久之,在未建立明確約束機(jī)制而存在長期勾稽互通的語境下,前述依賴將模糊公權(quán)力與私權(quán)力之間的邊界,使本來應(yīng)當(dāng)由政府監(jiān)管的對象成為政府的合作伙伴乃至實(shí)際控制者[18]。信息處理者的“數(shù)據(jù)權(quán)力”缺乏制衡將導(dǎo)致信息主體只能被動承受數(shù)據(jù)被分析、使用甚至泄露等一系列后果而無力反抗[19]。對于個(gè)人信息匿名化而言,現(xiàn)實(shí)的訴求往往聚焦于追求匿名化的最終目標(biāo),以匿名化的結(jié)果是否實(shí)現(xiàn)來判斷信息處理者是否達(dá)到保障隱私安全的義務(wù)。然而,如上文所述,匿名化的結(jié)果充滿諸多不確定性,以結(jié)果導(dǎo)向的規(guī)制方式使匿名化處理過程中的隱私風(fēng)險(xiǎn)未能進(jìn)行有效及時(shí)準(zhǔn)確地識別,在侵權(quán)救濟(jì)方面也面臨極大障礙,無法有效保障信息主體的合法利益。有鑒于此,筆者認(rèn)為,與其在價(jià)值判斷與現(xiàn)實(shí)訴求上趨于理想化地專注于匿名化的最終目標(biāo),不如圍繞降低風(fēng)險(xiǎn)的必要流程對法律進(jìn)行機(jī)制設(shè)計(jì),關(guān)注重新識別和敏感屬性公開的規(guī)范方式[20],轉(zhuǎn)變個(gè)人信息匿名化的規(guī)制方式,從結(jié)果導(dǎo)向轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)控制。
現(xiàn)代社會之所以強(qiáng)化個(gè)人信息保護(hù),原因在于個(gè)人不易對個(gè)人信息流通中的風(fēng)險(xiǎn)進(jìn)行有效管理。面對越來越復(fù)雜的信息收集方式和信息的不規(guī)范流轉(zhuǎn),個(gè)人也很難對相關(guān)風(fēng)險(xiǎn)加以判斷和防范[21]。風(fēng)險(xiǎn)控制理念以風(fēng)險(xiǎn)監(jiān)管為核心。不同于結(jié)果導(dǎo)向的事后救濟(jì),風(fēng)險(xiǎn)控制的方法更加強(qiáng)調(diào)技術(shù)對個(gè)人信息侵害的潛在的以及未知的影響,是基于事先的防范措施而不是以危害結(jié)果為導(dǎo)向的規(guī)制方式。事先防范措施意味著在保障信息主體合法權(quán)益方面更加強(qiáng)調(diào)信息處理者的義務(wù)及責(zé)任,將風(fēng)險(xiǎn)置于一定的可控范圍內(nèi)。風(fēng)險(xiǎn)控制的邏輯起點(diǎn)在于將風(fēng)險(xiǎn)分析工具嵌入信息處理全流程,其目的是評估每個(gè)處理操作的利弊,并以此為基礎(chǔ)管理風(fēng)險(xiǎn)[22]。具言之,風(fēng)險(xiǎn)導(dǎo)向的個(gè)人信息保護(hù)方法將規(guī)制重點(diǎn)轉(zhuǎn)向以信息處理者處理數(shù)據(jù)行為規(guī)范為中心,通過劃分不同風(fēng)險(xiǎn)級別對信息處理者相應(yīng)的義務(wù)及責(zé)任作出類型化規(guī)定,使信息處理者在個(gè)人信息處理活動中可形成自律監(jiān)管的模式,從而達(dá)到保障信息主體合法權(quán)益的目的。
(三)風(fēng)險(xiǎn)控制結(jié)果:課以信息處理者相應(yīng)的義務(wù)
風(fēng)險(xiǎn)評估是實(shí)現(xiàn)風(fēng)險(xiǎn)控制理念的核心。個(gè)人信息匿名化處理過程中面臨身份識別標(biāo)準(zhǔn)不確定以及身份再識別的風(fēng)險(xiǎn),兩種風(fēng)險(xiǎn)貫穿個(gè)人信息匿名化處理的全流程。信息處理者作為風(fēng)險(xiǎn)評估的義務(wù)主體,應(yīng)當(dāng)承擔(dān)降低隱私侵權(quán)風(fēng)險(xiǎn)的責(zé)任。評估匿名化處理過程中的風(fēng)險(xiǎn)是信息處理者的應(yīng)有義務(wù),通過信息處理者自律監(jiān)管模式的數(shù)據(jù)評估,能夠提升信息主體對信息處理者合法合理利用數(shù)據(jù)的信心,對于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展大有裨益。在數(shù)據(jù)處理中,賦予信息處理者一定的自由裁量權(quán),由風(fēng)險(xiǎn)管理人員運(yùn)用科學(xué)方法,對個(gè)人信息匿名化有關(guān)的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)分析與研究,確定各項(xiàng)風(fēng)險(xiǎn)的頻度和強(qiáng)度,為選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)處理方法提供依據(jù)[23]。《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)提出,國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制,加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作[《中華人民共和國數(shù)據(jù)安全法》第22條。]。與《數(shù)據(jù)安全法》相呼應(yīng),筆者認(rèn)為,通過風(fēng)險(xiǎn)評估并根據(jù)風(fēng)險(xiǎn)等級確定數(shù)據(jù)匿名化的程度,進(jìn)一步依據(jù)風(fēng)險(xiǎn)程度的高低課以數(shù)據(jù)控制者相應(yīng)的義務(wù),這一風(fēng)險(xiǎn)導(dǎo)向的制度邏輯閉環(huán)比結(jié)果導(dǎo)向的制度邏輯閉環(huán)更具實(shí)踐性。
四、風(fēng)險(xiǎn)控制理念下個(gè)人信息匿名化的制度因應(yīng)
數(shù)據(jù)開放與共享是當(dāng)前世界各國制定大數(shù)據(jù)發(fā)展戰(zhàn)略重點(diǎn)關(guān)注的問題,《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》明確指出當(dāng)下我國數(shù)據(jù)市場面臨數(shù)據(jù)開放不足的問題。在法律規(guī)范層面,《中華人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)保法》)以及《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)第42條的但書條款構(gòu)成了我國當(dāng)前法律層面關(guān)于個(gè)人信息匿名化處理的主要規(guī)定[《中華人民共和國個(gè)人信息保護(hù)法》第4條規(guī)定:個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。《中華人民共和國網(wǎng)絡(luò)安全法》第42條規(guī)定:網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外。]。以上規(guī)定作為基本法的規(guī)范,在文字表述上雖然相對抽象、籠統(tǒng),但從原則與觀念上,依然確立了我國個(gè)人信息匿名化處理不可識別不可復(fù)原的標(biāo)準(zhǔn)。可惜的是,由于具體法律標(biāo)準(zhǔn)缺失,在具體適用上缺乏具體的法律性規(guī)范解釋,前述規(guī)范已幾乎淪為宣誓性條款。此外,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中對于匿名化、去標(biāo)識化以及再識別等相應(yīng)內(nèi)容也有所提及,可整體看來,同樣缺乏對個(gè)人信息匿名化的細(xì)則說明[中華人民共和國國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》GB/T35273-2020。]。在實(shí)踐中,以上海和貴州為代表的大數(shù)據(jù)交易中心已經(jīng)通過開展數(shù)據(jù)交易的模式來實(shí)現(xiàn)數(shù)據(jù)的流通、共享,并針對數(shù)據(jù)匿名化形成了一定標(biāo)準(zhǔn)規(guī)范[以上海大數(shù)據(jù)交易中心《流通數(shù)據(jù)處理準(zhǔn)則》為例,其明確可直接識別特定個(gè)人身份的標(biāo)識與其他個(gè)人數(shù)據(jù)分別存管和處理的隔離原則,并進(jìn)一步明確在任何情形下均不得擅自公開、向第三人提供帶有身份標(biāo)識個(gè)人數(shù)據(jù)的禁止公開原則等。],囿于一些外部客觀原因,亦多體現(xiàn)為原則性規(guī)定,并無針對個(gè)人信息匿名化操作的具體技術(shù)性、強(qiáng)制性標(biāo)準(zhǔn)規(guī)范。
總體來看,我國關(guān)于個(gè)人信息匿名化的規(guī)制碎片化現(xiàn)象突出,規(guī)范性文件位階偏低,高位階的規(guī)范性文件由于無法較好銜接細(xì)化規(guī)則,容易流于形式或者淪為宣誓性規(guī)定,缺乏可操作、可對接的具體機(jī)制。鑒于數(shù)據(jù)開放、共享日益重要,在立法層面亟待對個(gè)人信息的匿名化進(jìn)行規(guī)范。個(gè)人信息匿名化本質(zhì)上屬于技術(shù)范疇,對于技術(shù)治理需要通過一定的程序或者機(jī)制讓不同的利益相關(guān)者參與到相應(yīng)的技術(shù)過程之中,充分考慮權(quán)利、資源和利益分配等問題,以實(shí)現(xiàn)解決沖突和理性決策的目標(biāo)[24]。考慮到基于風(fēng)險(xiǎn)控制的個(gè)人信息匿名化仍具有諸多不確定性,在具體規(guī)制上要以保障信息主體權(quán)利為核心、以限制信息處理者權(quán)力為目的、賦予監(jiān)管主體權(quán)力為手段的制度規(guī)范。
(一)以個(gè)人信息權(quán)利保護(hù)為核心
風(fēng)險(xiǎn)管理不只是一種技術(shù)分析方法,它還體現(xiàn)了重要的價(jià)值觀和理想,尤其在問責(zé)制和責(zé)任層面[25]。從上文來看,基于風(fēng)險(xiǎn)的規(guī)制方法相較傳統(tǒng)個(gè)人信息保護(hù)規(guī)制方法來說具有一定的靈活性,有效適應(yīng)了大數(shù)據(jù)時(shí)代數(shù)據(jù)規(guī)制的需求。但其具體適用效果以及規(guī)制防范是否降低甚至排除適用以個(gè)人信息人權(quán)保障為核心的保護(hù)方式,存在較大爭議:不同于其他領(lǐng)域的風(fēng)險(xiǎn)評估可以通過具體量化的方式進(jìn)行,隱私風(fēng)險(xiǎn)評估不僅僅涉及技術(shù)規(guī)范,還隱含大量價(jià)值判斷,很難通過量化的標(biāo)準(zhǔn)對其進(jìn)行評估。目前,以風(fēng)險(xiǎn)控制為核心的歐洲數(shù)據(jù)保護(hù)系統(tǒng)亦欠缺統(tǒng)一的框架來衡量和評估已識別的隱私風(fēng)險(xiǎn)。雖然歐盟《一般數(shù)據(jù)保護(hù)條例》在《數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上更加明確了相關(guān)風(fēng)險(xiǎn)的具體類型,但仍然以靈活抽象的方式定義風(fēng)險(xiǎn),并且需要由數(shù)據(jù)控制者根據(jù)每個(gè)數(shù)據(jù)處理案例的特殊性來指定和評估[26]。對此,有學(xué)者提出評估的決定權(quán)掌握在數(shù)據(jù)控制者手中是否會加強(qiáng)數(shù)據(jù)控制者的權(quán)力[27]。這種新興的執(zhí)法范式主要依靠數(shù)據(jù)控制者的自律監(jiān)管,可能加劇破壞數(shù)據(jù)保護(hù)機(jī)構(gòu)的作用,還可能會進(jìn)一步減弱其有效數(shù)據(jù)保護(hù)的能力以及有損數(shù)據(jù)主體的基本權(quán)利[28]。還有學(xué)者提出,基于風(fēng)險(xiǎn)的規(guī)制方法與基于權(quán)利保護(hù)的方法相悖,基于權(quán)利的保護(hù)方法更加強(qiáng)調(diào)公平,將個(gè)人數(shù)據(jù)保護(hù)的范圍公正平等地覆蓋到每個(gè)數(shù)據(jù)主體,而基于風(fēng)險(xiǎn)的規(guī)制方法是有選擇的,顯然在保障公平性上有所欠缺[29]。
筆者認(rèn)為,基于風(fēng)險(xiǎn)的規(guī)制方法雖然給予信息處理者在處理數(shù)據(jù)上評估風(fēng)險(xiǎn)的空間,但并非意味著歐盟摒棄了以個(gè)人信息人權(quán)保障為核心的保護(hù)方式。歐盟第29條工作小組(WP29)一直支持在歐盟數(shù)據(jù)保護(hù)法律框架中納入基于風(fēng)險(xiǎn)的方法,同時(shí)工作小組也指出基于風(fēng)險(xiǎn)的方法并非是替代已確立的數(shù)據(jù)保護(hù)權(quán)利和原則,其實(shí)質(zhì)上是一種數(shù)據(jù)控制者處理數(shù)據(jù)的合規(guī)方法[30]。進(jìn)一步而言,信息處理者仍需以保障信息主體的人格利益為目標(biāo),只是在規(guī)制方法上采用更靈活的基于風(fēng)險(xiǎn)的監(jiān)管方式,其目的仍是為保障信息主體的合法權(quán)益,對于匿名化而言,其本身的數(shù)據(jù)處理行為仍需要受到個(gè)人信息保護(hù)基本原則的限制,如相關(guān)機(jī)制的構(gòu)建并未豁免知情同意原則、數(shù)據(jù)最小化原則以及目的限制原則等。在個(gè)人信息主體權(quán)益保護(hù)方面,我國《個(gè)保法》更是專章對個(gè)人信息主體在個(gè)人信息處理活動中享有的權(quán)利進(jìn)行了規(guī)定,形成了相對全面的個(gè)人信息權(quán)利體系。當(dāng)然,個(gè)人信息主體權(quán)利的實(shí)現(xiàn)有賴于個(gè)人信息處理者履行相應(yīng)的行為義務(wù),對信息主體權(quán)利的實(shí)現(xiàn)提供全面保障[31]。需要指出的是,風(fēng)險(xiǎn)控制導(dǎo)向理念的優(yōu)位,是在理念層面上擺脫數(shù)據(jù)保護(hù)現(xiàn)實(shí)訴求與理想價(jià)值判斷的束縛,替代結(jié)果導(dǎo)向理念,以此在理解技術(shù)發(fā)展與技術(shù)壁壘、平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)共享的同時(shí),從強(qiáng)化可行性的實(shí)踐視閾,為信息處理者內(nèi)源性的數(shù)據(jù)合規(guī)與自律監(jiān)管、信息主體外向性的數(shù)據(jù)使用與權(quán)利保護(hù)提供較為有效的機(jī)制彌合的思維進(jìn)路,而任何導(dǎo)向及語境下的思維進(jìn)路均未以規(guī)范原則與規(guī)范手段完全替代的實(shí)踐模式作為前述機(jī)制彌合的優(yōu)化模式,亦即風(fēng)險(xiǎn)控制導(dǎo)向理念側(cè)重于為解釋既有立法的執(zhí)行方向與未來立法的規(guī)范方向提供框架性理據(jù)支撐。
(二)完善個(gè)人信息分類保護(hù)制度
個(gè)人信息匿名化建立于個(gè)人信息可識別的基礎(chǔ)上,系個(gè)人信息分類保護(hù)的大前提。值得注意的是,在個(gè)人信息界定上,各國將“場景”理念嵌入個(gè)人信息界定中,即對個(gè)人信息的界定需要依據(jù)具體的場景加以個(gè)案判斷。同樣,對于匿名數(shù)據(jù)的認(rèn)定也采取動態(tài)場景化的方式進(jìn)行理解[32]。動態(tài)場景化的界定方式從個(gè)案判斷出發(fā),根據(jù)數(shù)據(jù)所處上下文語境進(jìn)行判斷,能夠?qū)κ欠駱?gòu)成個(gè)人信息進(jìn)行客觀評價(jià),但動態(tài)場景化的界定方式仍無法突破信息技術(shù)判斷標(biāo)準(zhǔn)因人而異所帶來的差異。場景一詞作為研究中的變量往往千差萬別,去匿名化過程中所存在的風(fēng)險(xiǎn)更是因場景不同而所有差異[33]。學(xué)者Paul Ohm提出匿名化是“破碎的隱私承諾”,提議取消傳統(tǒng)的個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)的界分[34]。應(yīng)當(dāng)看到,取消個(gè)人信息與非個(gè)人信息的方式并不可取,原因在于對個(gè)人信息進(jìn)行準(zhǔn)確厘定是清晰權(quán)利與義務(wù)的前提,既是信息主體確認(rèn)其基本權(quán)利的起點(diǎn),亦屬于對信息處理者課以相應(yīng)義務(wù)的起點(diǎn)。應(yīng)當(dāng)摒棄個(gè)人信息與非個(gè)人信息的絕對化區(qū)分,根據(jù)具體場景與制度功能對個(gè)人信息的范圍予以厘定并加以規(guī)制,為應(yīng)對場景化理論存在的不確定性問題,可以建立模塊化的個(gè)人信息分類保護(hù)制度[35]。
如上文所述,身份識別標(biāo)準(zhǔn)存在諸多不確定性風(fēng)險(xiǎn),個(gè)人信息范圍的抽象性和不確定性無法為企業(yè)等數(shù)據(jù)利用者提供明確的行為預(yù)期[36]。現(xiàn)有關(guān)于個(gè)人信息的界定已經(jīng)無法適應(yīng)信息技術(shù)背景下個(gè)人信息隱私保護(hù)和利用需求,個(gè)人信息分類保護(hù)成為當(dāng)前學(xué)界普遍認(rèn)為合理可行的方式。在具體類型劃分上,有學(xué)者提出可參考保羅·施瓦茨與丹尼爾·索洛夫所提出的“個(gè)人信息2.0”的概念,將可識別的個(gè)人信息分為三類[觀點(diǎn)詳情參見:丁曉東《用戶畫像、個(gè)性化推薦與個(gè)人信息保護(hù)》,(《環(huán)球法律評論》,2019年第5期82-96頁);金耀《個(gè)人信息去身份的法理基礎(chǔ)與規(guī)范重塑》,(《法學(xué)評論》,2017年第3期120-130頁)。]:已識別個(gè)人的信息、可識別個(gè)人的信息、不可識別的個(gè)人信息。還有學(xué)者提出根據(jù)能否直接識別信息主體、社會性強(qiáng)弱以及是否具有敏感性這三項(xiàng)要素對個(gè)人信息進(jìn)行類型化構(gòu)建[37]。另有學(xué)者提出將個(gè)人信息的識別性和相關(guān)性進(jìn)行程度上的區(qū)分,即從識別性上可分為已識別信息、可識別信息、匿名信息,從相關(guān)性程度上可分為個(gè)人敏感信息、個(gè)人一般信息、完全無關(guān)的信息[38]。從以上類型劃分來看,雖然體現(xiàn)了差異化的個(gè)人數(shù)據(jù)分析,但無法脫離“可識別”與“不可識別”這一二分制的界定方式。筆者認(rèn)為,該分類標(biāo)準(zhǔn)存在局限性,無論是“已識別”還是“可識別”抑或是“身份”本身都有其相對性,不能直接幫助規(guī)范的制定者或爭議的裁判者了解相關(guān)信息在生活實(shí)踐中的應(yīng)用價(jià)值[39]。在數(shù)字技術(shù)背景下,數(shù)字技術(shù)的發(fā)展更是改變了信息識別個(gè)人的能力和方式,“識別”與“可識別”之間并非非此即彼[40]。
事實(shí)上,“可識別”與“不可識別”之間存在可識別性的連續(xù)性,可在可識別性的連續(xù)性上定義一個(gè)閾值。如果數(shù)據(jù)集的可識別性高于閾值,則將其視為個(gè)人數(shù)據(jù),反之,則為非個(gè)人數(shù)據(jù)[41]。根據(jù)個(gè)人數(shù)據(jù)被識別的難易程度,學(xué)者Emma提出了可識別性的五級模型,據(jù)該類型劃分,從可明確識別的數(shù)據(jù)到匯總數(shù)據(jù)的再識別,重新識別需要付出的精力、成本、時(shí)間以及技巧越高,數(shù)據(jù)被重新識別的風(fēng)險(xiǎn)愈小。根據(jù)以上標(biāo)準(zhǔn)劃分為:(1)可明確識別的數(shù)據(jù)(Readily identifiable data)[可明確識別的數(shù)據(jù)可通過社會安全號碼(SSN)及生物特征和出生日期或其他識別信息直接識別到數(shù)據(jù)主體,該級別需要最小的努力來重新識別到個(gè)人。];(2)掩碼數(shù)據(jù)(Masked data)[處于該級別的數(shù)據(jù)根據(jù)隨機(jī)化和創(chuàng)建可逆或不可逆的方式操縱識別變量,其主要作用是防止個(gè)人身份信息、敏感個(gè)人數(shù)據(jù)以及商業(yè)敏感數(shù)據(jù)被暴露給未經(jīng)授權(quán)的用戶。];(3)暴露數(shù)據(jù)(Exposed data)[該級別數(shù)據(jù)是指除屏蔽標(biāo)識符(如姓名和出生日期)外,還屏蔽了被視為準(zhǔn)標(biāo)識符(如日期、年齡和性別)的變量,但由于數(shù)據(jù)的可識別性不可確定,因此,該級別的數(shù)據(jù)代表了托管人的高風(fēng)險(xiǎn)暴露。];(4)托管數(shù)據(jù)(Managed data)[該級別數(shù)據(jù)可以是微數(shù)據(jù)或以表格形式出現(xiàn),并且僅在此級別上,數(shù)據(jù)可以從個(gè)人信息轉(zhuǎn)移到非個(gè)人信息,數(shù)據(jù)托管人可以管理重新識別的風(fēng)險(xiǎn)。];(5)匯總數(shù)據(jù)(Aggregate data)[特指明顯無法識別的數(shù)據(jù)。]。該數(shù)據(jù)類型劃分突破了可識別和已識別之間的二元制界限,除可明顯識別的數(shù)據(jù)和完全無法識別的數(shù)據(jù)外,對處于中間狀態(tài)的數(shù)據(jù)更加強(qiáng)調(diào)數(shù)據(jù)控制者對數(shù)據(jù)的管理能力,如通過匿名或者去標(biāo)識符的方式來對數(shù)據(jù)進(jìn)行安全管理[42]。我國2021年4月發(fā)布的《信息安全技術(shù) 個(gè)人信息去標(biāo)識化效果分級評估規(guī)范》(征求意見稿)亦對個(gè)人信息的去標(biāo)識化分級進(jìn)行了有益嘗試,為去標(biāo)識化效果評估提供了國家標(biāo)準(zhǔn)[《信息安全技術(shù) 個(gè)人信息去標(biāo)識化效果分級評估規(guī)范》將個(gè)人信息標(biāo)識度分為四級:能直接識別主體的數(shù)據(jù)、消除直接標(biāo)識符的數(shù)據(jù)、重標(biāo)識風(fēng)險(xiǎn)可接受數(shù)據(jù)以及聚合數(shù)據(jù)。]。筆者認(rèn)為,該劃分方式較好地以信息處理者的責(zé)任和義務(wù)為核心,根據(jù)可識別風(fēng)險(xiǎn)的大小來課以其義務(wù),能夠敦促信息處理者合法合規(guī)的處理數(shù)據(jù)。
(三)確立相關(guān)隱私風(fēng)險(xiǎn)評估機(jī)制
風(fēng)險(xiǎn)評估的目的在于更好地對風(fēng)險(xiǎn)進(jìn)行控制和管理。隱私風(fēng)險(xiǎn)評估是對組織機(jī)構(gòu)所收集、儲存、管理、利用、開放的數(shù)據(jù)是否對隱私產(chǎn)生影響所進(jìn)行的生命周期的、系統(tǒng)的評估過程和結(jié)果[43]。其目的在于為信息處理者提供明確的數(shù)據(jù)利用指引,規(guī)范信息處理者的行為。隱私風(fēng)險(xiǎn)評估對少數(shù)國家的政府機(jī)關(guān)來說是一項(xiàng)強(qiáng)制性義務(wù),但大多數(shù)國家主要還是將其作為一種風(fēng)險(xiǎn)防控的商業(yè)手段,多體現(xiàn)在行業(yè)制度、企業(yè)內(nèi)部規(guī)范之中[44]。我國《數(shù)據(jù)安全法》明確將風(fēng)險(xiǎn)評估確定為信息處理者的一項(xiàng)強(qiáng)制性義務(wù)。筆者認(rèn)為,通過隱私風(fēng)險(xiǎn)評估可以實(shí)現(xiàn)兩方面的目標(biāo),一是明確信息處理者的義務(wù),二是可以形成相對透明的問責(zé)機(jī)制。個(gè)人信息匿名化最終目的是發(fā)布無涉?zhèn)€人隱私的數(shù)據(jù)用于流通、共享。鑒于匿名化處理中存在的諸多風(fēng)險(xiǎn),應(yīng)當(dāng)通過隱私風(fēng)險(xiǎn)評估識別可能的隱私侵權(quán)風(fēng)險(xiǎn),將匿名化處理過程中的隱私風(fēng)險(xiǎn)評估作為數(shù)據(jù)控制者一項(xiàng)強(qiáng)制義務(wù)予以規(guī)范。此外,隱私風(fēng)險(xiǎn)評估本質(zhì)上是一種工具、方法,也需要通過制定相應(yīng)的操作性規(guī)范將隱私風(fēng)險(xiǎn)評估機(jī)制落到實(shí)處。
五、結(jié)語
匿名化作為平衡數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)利用沖突的重要技術(shù)手段,為數(shù)據(jù)的流通、共享提供了可能。考慮到個(gè)人信息匿名化處理過程中所面臨的諸多風(fēng)險(xiǎn),應(yīng)當(dāng)將風(fēng)險(xiǎn)控制理念嵌入個(gè)人信息匿名化的法律制度構(gòu)建中。從個(gè)人信息匿名化標(biāo)準(zhǔn)確立到個(gè)人信息匿名化風(fēng)險(xiǎn)識別再到“匿名”數(shù)據(jù)發(fā)布,風(fēng)險(xiǎn)控制理念能夠與存在諸多不確定性風(fēng)險(xiǎn)的個(gè)人信息匿名化形成有效契合。在具體制度構(gòu)建上,應(yīng)當(dāng)緊緊圍繞個(gè)人信息權(quán)利保護(hù),通過完善個(gè)人信息分類制度以及隱私風(fēng)險(xiǎn)評估制度將匿名化的不確定性風(fēng)險(xiǎn)置于可控范圍內(nèi),為信息處理者處理數(shù)據(jù)提供清晰明確的指引。
參考文獻(xiàn):
[1]劉湘雯,王良民.數(shù)據(jù)發(fā)布匿名技術(shù)進(jìn)展[J].江蘇大學(xué)學(xué)報(bào)(自然科學(xué)版),2016(5):562-571.
[2]孫廣中,魏燊,謝幸.大數(shù)據(jù)時(shí)代中的去匿名化技術(shù)及應(yīng)用[J].信息通信技術(shù),2013(6):52-57.
[3]王融.數(shù)據(jù)匿名化的法律規(guī)制[J].信息通信技術(shù),2016(4):38-44.
[4]張建文,高悅.我國個(gè)人信息匿名化的法律標(biāo)準(zhǔn)與規(guī)則重塑[J].河北法學(xué),2020(1):43-56.
[5]張晨原.數(shù)據(jù)匿名化處理的法律規(guī)制[J].重慶郵電大學(xué)學(xué)報(bào)(社會科學(xué)版),2017(6):52-58.
[6]馬長山.人工智能的社會風(fēng)險(xiǎn)及其法律規(guī)制[J].法律科學(xué)(西北政法大學(xué)學(xué)報(bào)),2018(6):47-55.
[7]GELLERT R.Data protection:A risk regulation? Between the risk management of everything and the precautionary alternative[J].International Data Privacy Law,2015,5(1):3-19.
[8]宋健,許國艷,夭榮朋.基于差分隱私的數(shù)據(jù)匿名化隱私保護(hù)方法[J].計(jì)算機(jī)應(yīng)用,2016(10):2753-2757.
[9]SHAPIRO S S.Situating anonymization within a privacy risk model[C]∥2012 IEEE International Systems Conference SysCon 2012.Vancouver,BC:IEEE,2012:1-6.
[10]齊愛民.界定法律意義上的信息[J].社會科學(xué)家,2009(3):6-10.
[11]蘇宇,高文英.個(gè)人信息的身份識別標(biāo)準(zhǔn):源流、實(shí)踐與反思[J].交大法學(xué),2019(4):54-71.
[12]范為.大數(shù)據(jù)時(shí)代個(gè)人信息定義的再審視[J].信息安全與通信保密,2016(10):70-80.
[13]Information Commissioner’s Office.Determining what is personal data[R/OL].(2012-12-12)[2023-02-24].https:∥ico.org.uk/media/for-organisations/documents/1554/determining-what-is-personal-data.pdf.
[14]Article 29 Data Protection Working Party.Opinion 05/2014 on anoymisation techniques[EB/OL].(2014-04-10)[2023-02-24].https:∥www.pdpjournals.com/docs/88197.pdf.
[15]ROCHER L,HENDRICKX J M,DE MONTJOYE Y A.Estimating the success of re-identifications in incomplete datasets using generative models[J].Nature Communications,2019,10:1-9.
[16]SANCHEZ D,MARTINEZ S,DOMINGO-FERRER J.Comment on“Unique in the shopping mall: On the reidentifiability of credit card metadata”[J].Science,2016,351(6279):1274.
[17]徐明.大數(shù)據(jù)時(shí)代的隱私危機(jī)及其侵權(quán)法應(yīng)對[J].中國法學(xué),2017(1):130-149.
[18]鄭戈.人工智能與法律的未來[J].探索與爭鳴,2017(10):78-84.
[19]馮果,薛亦颯.從“權(quán)利規(guī)范模式”走向“行為控制模式”的數(shù)據(jù)信托:數(shù)據(jù)主體權(quán)利保護(hù)機(jī)制構(gòu)建的另一種思路[J].法學(xué)評論,2020(3):70-82.
[20]RUBINSTEIN I S,HARTZOG W.Anonymization and risk[J].Washington Law Review,2016,91:703-760.
[21]丁曉東.個(gè)人信息私法保護(hù)的困境與出路[J].法學(xué)研究,2018(6):194-206.
[22]GELLERT R.We have always managed risks in data protection law: Understanding the similarities and differences between the rights-based and the risk-based approaches to data protection[J].European Data Protection Law Review,2016,4(2):481-492.
[23]張濤.大數(shù)據(jù)時(shí)代個(gè)人信息匿名化的規(guī)制治理[J].華中科技大學(xué)學(xué)報(bào)(社會科學(xué)版),2019(2):76-85.
[24]程海東,王以梁,侯沐辰.人工智能的不確定性及其治理探究[J].自然辯證法研究,2020(2):36-41.
[25]POWER M.The risk management of everything:Rethinking the politics of uncertainty[J].The Journal of Risk Finance,2004,5(3):58-65.
[26]MACENAITE M.The“riskification”of European data protection law through a two-fold shift[J].European Journal of Risk Regulation,2017,8(3):506-540.
[27]DIJKA N V,GELLERT R,ROMMETVEIT K.A risk to a right? Beyond data protection risk assessments[J].Computer Law amp; Security Review,2016,32(2):286-306.
[28]GONALVES M E.The risk-based approach under the new EU data protection regulation: A critical perspective[J].Journal of Risk Research,2020,23(2):139-152.
[29]LYNSKEY O.The foundations of EU data protection law[M].Oxford:Oxford University Press,2015:84.
[30]Article 29 Data Protection Working Party.Statement on the role of a risk-based approach in data protection legal frameworks[EB/OL].(2014-05-30)[2023-02-24].https:∥ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf.
[31]姚佳.個(gè)人信息主體權(quán)利的實(shí)現(xiàn)困境及其保護(hù)救濟(jì)[J].中國法律評論,2022(6):132-142.
[32]STALLA-BOURDILLON S,KNIGHT A.Anonymous data v.personal data-a 1 debate:An EU perspective on anonymization,pseudonymization and personal data[J].Wisconsin International Law Journal,2016,34(2):284-322.
[33]鄭佳寧.數(shù)據(jù)匿名化的體系規(guī)范構(gòu)建[J].政法論叢,2022(4):61-71.
[34]OHM P.Broken promises of privacy:Responding to the surprising failure of anonymization[J].UCLA Law Review,2010,57:1701-1777.
[35]丁曉東.論個(gè)人信息概念的不確定性及其法律應(yīng)對[J].比較法研究,2022(5):46-60.
[36]齊愛民,張哲.識別與再識別:個(gè)人信息的概念界定與立法選擇[J].重慶大學(xué)學(xué)報(bào)(社會科學(xué)版),2018(2):119-131.
[37]項(xiàng)定宜.個(gè)人信息的類型化分析及區(qū)分保護(hù)[J].重慶郵電大學(xué)學(xué)報(bào)(社會科學(xué)版),2017(1):31-38.
[38]謝琳.大數(shù)據(jù)時(shí)代個(gè)人信息邊界的界定[J].學(xué)術(shù)研究,2019(3):69-75.
[39]岳林.個(gè)人信息的身份識別標(biāo)準(zhǔn)[J].上海大學(xué)學(xué)報(bào)(社會科學(xué)版),2017(6):28-41.
[40]高富平.個(gè)人信息流通利用的制度基礎(chǔ):以信息識別性為視角[J].環(huán)球法律評論,2022(1):84-99.
[41]EL EMAM K.Risk-based de-identification of health data[J].IEEE Security amp; Privacy,2010,8(3):64-67.
[42]NELSON G S.Practical implications of sharing data:A primer on data privacy,anonymization,and de-identification[EB/OL].(2015-04-26)[2023-02-24].https:∥support.sas.com/resources/papers/proceedings15/1884-2015.pdf.
[43]迪莉婭.大數(shù)據(jù)環(huán)境下隱私泄露影響評估研究[J].情報(bào)雜志,2016(4):141-146.
[44]肖冬梅,譚禮格.歐盟數(shù)據(jù)保護(hù)影響評估制度及其啟示[J].中國圖書館學(xué)報(bào),2018(5):76-86.
On the legal regulation of personal information anonymization
in China under the risk control concept
ZHANG Li1, XU Duoqi2
( 1.Koguan School of Law, Shanghai Jiao Tong University, Shanghai 200030, P. R. China;
2.Law School, Fudan University, Shanghai 200438, P. R. China )
Abstract:
Data anonymization provides essential technical support for the circulation and sharing of data. Technology variability also brings many obstacles to the legal regulation of data anonymization. Under the current technical background, China’s anonymization of personal information faces risks such as uncertain identification standards and reversible identity re-identification. The technical risks generated by anonymizing personal information significantly challenge personal privacy interests. The current result-oriented regulatory means lack flexibility in the regulation of personal information anonymization, and it is difficult to mitigate the uncertain risks brought about by technology. Balancing the conflict between individual privacy, corporate economic, and public social interests is the ultimate goal of anonymizing personal information. The superiority of the risk control-oriented concept eliminates the shackles between the realistic demands of data protection and ideal value judgments at the conceptual level, replacing the result-oriented concept. It provides a more practical approach to bridging thinking for the endogenous data compliance and self-regulation of information processors, the protection of rights and the use of data of information subject, and offers new possibilities for the legal regulation of the anonymization of personal information. The legal framework of personal information anonymization with the concept of risk control as the core aims to achieve a dynamic balance between the validity and practicability of data and designs legal mechanisms around reducing the risk in the process of anonymization of personal information. The excellent governance of personal information anonymization regulation can be realized by imposing corresponding information processing risk assessment obligation on information processors. Without the support of normative documents, the risk assessment and evaluation standards of anonymizing personal information are difficult to quantify stably in practice. Therefore, in terms of legal regulation of personal information anonymization, it should be advocated that the protection of the rights of personal information subjects should be the core of anonymization processing of personal information, and the rights of the information subject should be realized by giving the information subject corresponding data rights in the process of information processing. The anonymization of personal information is based on the premise that personal information can be identified, and the definition of personal information should be judged on a case-by-case basis based on specific scenarios. Therefore, the identification of anonymous data should also be understood in a dynamic and scenario-based manner. In terms of implementing risk control means for anonymizing personal information, relevant privacy risk assessment mechanism should be established to provide straightforward data utilization guidelines for information processors and regulate the behavior of information processors.
Key words:" personal information; anonymous processing; risk assessment; risk control
(責(zé)任編輯 袁 虹)
