摘 要:個人信息匿名化處理法律制度作為聯通個人信息保護與個人信息流通利用的制度橋梁,能夠以一種隱私友好的方式滿足社會的信息需求。我國現行“無法識別特定個人且不能復原”的匿名化處理法律標準缺乏可操作性,難以有效規范匿名化處理實踐。我國可以確立操作方法標準與識別風險檢驗標準協同的匿名化處理法律標準:關于操作方法標準,可以在技術領域確定適用于直接標識符和間接標識符的匿名化處理措施指南;關于識別風險檢驗標準,可以引入“蓄意侵入者檢驗”標準,明確規定侵入者的識別動機和識別能力。通過操作方法維度與識別風險檢驗維度的協同作用,最終實現“無法識別特定個人且不能復原”的匿名化處理法律效果。
關鍵詞:個人信息;匿名化處理;法律標準;直接標識符;間接標識符;識別風險檢驗
引 言
人類社會形成以來,經歷過多次世界性的技術革命[1]。從農業革命、工業革命到智能革命,人類的生產、生活和思維方式也不斷發生著變化。在智能時代,互聯網成為社會發展的基本工具,數據成為國家基礎性戰略資源。數據共享能激勵創新,創造巨額財富,已成為推動當今社會發展的重要引擎[2]。與此同時,數據流通利用也可能損害數據主體的隱私和其他利益。
大數據時代,個人信息1保護問題被推到了風口浪尖。如何平衡個人信息保護與個人信息利用之間的關系成為橫亙在我們面前的時代難題。為因應這一難題,個人信息匿名化處理技術應運而生,該技術旨在通過去除或者改變個人信息中的識別因子,滿足社會的信息需求,并避免損害信息主體的合法權益。技術的發展與應用離不開法律制度的保駕護航,匿名化處理技術亦不例外,匿名化處理法律制度應至少包括匿名化處理法律標準、匿名信息流通利用規則、再識別風險防范規則等內容。而匿名化處理法律標準是匿名化處理法律制度的核心內容,直接關涉到匿名化處理制度的有效性和可行性,本文圍繞該問題展開探究。
一、制度功用透視:平衡個人信息保護與個人信息流通利用
匿名化處理技術是信息時代的產物,旨在解決個人信息流通利用與個人信息保護之間的沖突,以一種“隱私友好(privacy-friendly)”的方式滿足社會的信息需求[3]。重申匿名化處理的制度功用,對確立合理可行的匿名化處理法律標準至為關鍵。
(一)保護信息主體人格尊嚴和人身自由不受侵害
“與已識別或可識別的自然人有關的任何信息”,這一關于個人信息的國際主流定義,體現了個人信息的識別性和關聯性特征。我國國家標準GB/T 35723—2020《信息安全技術 個人信息安全規范》(以下簡稱《個人信息安全規范》)也將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。個人信息的識別性和關聯性特征是個人信息的首要特性[4],決定了其直接關涉信息主體的人格尊嚴[5]和人身自由。
基于人格尊嚴和人身自由乃人之基本權利的定性,為避免科技進步“對獨立人格的維護和自由人格的發展造成難以彌補的損害”[6],我們必須貫徹“以人為本”的發展理念。個人信息所承載的信息主體人格利益應當是個人信息保護立法中的優先考量因素,信息主體權利及信息處理者義務的正當性基礎也源于個人信息的人格屬性。保護信息主體的人格尊嚴和人身自由是個人信息保護的基本目的[7]。
個人信息匿名化處理技術的相關措施包括刪除標識符、替換標識符、泛化標識符、子抽樣處理等,這些技術措施能夠降低個人信息與信息主體之間的關聯度,進而避免在流通利用匿名信息的過程中損害信息主體的合法權益。個人信息匿名化處理法律制度旨在保障匿名化處理技術的規范化、制度化運行,其首要目的與功用即規范對個人信息的技術處理以保護信息主體的人格尊嚴和人身自由不受侵害。
(二)提供大數據發展和應用的原材料,推動數據資源開發利用
大數據對國家發展的重要意義已為諸多國家和政府所肯認,并被視為“未來的新石油”,發展大數據被上升到借助信息技術提升國家競爭力的宏觀戰略高度[8]。全球范圍內,運用大數據推動經濟發展、完善社會治理、提升政府服務和監管能力正深入推進,各國相繼制定實施大數據戰略性文件,大力推動大數據發展和應用。
大數據的發展和應用離不開海量數據的喂養,海量數據的重要來源之一即個人數據。個人信息具有人格自由和人格尊嚴價值、商業價值和公共管理等多重價值[9],需要通過合理的制度安排實現個人對個人信息保護的利益、信息業者對個人信息利用的利益和國家管理社會的公共利益之間的平衡[10]。就信息業者對個人信息的利用而言,其正當性基礎已為各國立法和社會公眾所普遍認可,促進個人信息流通利用也已成為個人信息保護的重要立法宗旨之一。
個人信息匿名化處理制度補強了個人信息流通利用的正當性基礎,能夠提供數據開發利用所需的原材料,“是促進數據流通和共享的重要途徑”[11]。通過對個人信息的匿名化處理,降低個人信息與信息主體之間的關聯度,增強個人信息流通利用的適格性,以發揮個人信息蘊含的社會、經濟價值,滿足大數據時代對“新石油”原料的需求。個人信息匿名化處理法律制度的另一重要功用即提供大數據發展和應用所需的原材料,推動數據資源開發利用。
簡言之,個人信息匿名化處理法律制度旨在規范對個人信息的技術處理,以保護信息主體的人格尊嚴和人身自由不受侵害,同時提供大數據發展和應用所需的原材料,推動數據資源開發利用,致力于實現“自然人的個人信息權益的保護與信息的自由流動這一對法律價值的權衡與協調”[12]。
二、現狀檢視:我國現行匿名化處理法律標準評析
我國匿名化處理法律制度濫觴于行業標準2,成形于《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國民法典》(以下簡稱《民法典》)。前述規范或效力層級較低,或規范目的特定,致使匿名化處理法律制度雖已在我國正式確立,但規范內容極為簡單,而體現于匿名化處理內涵之中的匿名化處理法律標準亦不清晰。
(一)匿名化處理法律標準:無法識別特定個人且不能復原
關于個人信息匿名化處理的內涵,按《中國互聯網定向廣告用戶信息保護去身份化指引》(以下簡稱《定向廣告去身份化指引》)的規定,去身份化是對某項信息(集)進行變更以去除或模糊個人身份關聯信息的過程;《網絡安全法》規定“經過處理無法識別特定個人且不能復原”3;《民法典》4基本沿用了《網絡安全法》的規定;《數據安全管理辦法(征求意見稿)》規定“經過處理無法關聯到特定個人且不能復原”5;《個人信息安全規范》強調無法識別或關聯到信息主體且不能復原6;《中華人民共和國個人信息保護法(草案)》(以下簡稱《個人信息保護法(草案)》)7亦采用了與《網絡安全法》近似的規定。
前述關于匿名化處理基本內涵的各規定并無本質區別。《民法典》與《網絡安全法》相比,在保持匿名化處理內涵不變的基礎上,將處理主體從網絡運營者調整為一切信息處理者。《個人信息安全規范》基于將關聯信息納入個人信息范疇的考量而將匿名化處理的法律標準調整為“無法識別或關聯到信息主體且不能復原”,但該規范僅為推薦性國家標準,不具有強制適用的效力。綜上,我國現行匿名化處理法律標準為“無法識別特定個人且不能復原”。
此外,關于匿名化處理的法律標準,依據《定向廣告去身份化指引》的規定,在向非關聯方轉移信息時,單位應采取“運用‘有動機入侵者’測試”8“全面查明是否能夠重新識別”9“必要時委托專家評估”10的方式確認是否成功去身份化。此處規定的三個標準只是對域外不同國家和地區匿名化處理法律標準的簡單借鑒,缺乏具體的適用規則,同時由于該指引效力層級及適用范圍的局限性,此規定的實質意義遠遠小于其形式意義。
(二)匿名化處理法律標準的涵義
“無法識別特定個人”與個人信息的識別性特征相對應。匿名化處理力求在“技術的信仰與人身的信仰之間”尋找一個平衡點[13],以避免個人信息處理行為侵害信息主體的合法權益,因而匿名化處理的關鍵即弱化個人信息與信息主體的關聯度。個人信息識別信息主體的方式包括直接識別和間接識別,根據體系解釋的法律解釋方法,匿名化處理法律標準中的“識別”同樣包括直接識別和間接識別,是故,匿名化處理需要達到通過處理后的信息既不能直接識別,也不能與其他信息相結合而識別信息主體的效果。這就要求信息處理者在匿名化處理過程中既要去除直接標識符,也不能忽視了對間接標識符的處理。
“不能復原”即要求匿名信息不存在復原為個人信息的可能性。個人信息的認定離不開具體的場景,個人信息的場景性特征決定了其與匿名信息并非涇渭分明,而是可以互相轉化的動態關系。特定場景下的匿名信息,在場景發生變化時,或許能夠識別特定個人而成為個人信息。因此,有效的匿名化處理應當能夠通過技術手段使得處理后的信息無法識別特定個人,并且增加匿名信息轉化為個人信息的難度。然而,技術手段的可破解性內在地決定了技術層面的絕對不能復原是難以實現的,故此處的“不能復原”應當理解為法律層面的不能復原,即信息處理者和接收者不得對經匿名化處理后的個人信息進行再識別,從而保證匿名信息處于“不能復原”的狀態。
(三)匿名化處理法律標準存在的問題
匿名化處理法律標準的明晰,關鍵在于“識別”標準的確定。在個人信息識別性認定問題上,除識別方式外,特別需要明確識別認定的主體基準。關于該主體基準,有“主觀說”和“客觀說”之別。“主觀說”即“信息控制者說”,主張以信息控制者為基準判斷信息是否能識別特定個人;“客觀說”包括“社會一般多數人說”和“任一主體說”,前者主張以社會一般多數人為主體基準進行判斷,后者主張將一切個人和組織作為識別認定的主體基準,即只要該信息能被某機構所識別,無論該機構是否已實際識別,都視為可識別[14]。如前所述,我國現行法律確立了“無法識別特定個人且不能復原”的匿名化處理法律標準,但是并未明確識別認定的主體基準。另外,“不能復原”的要求該如何理解、如何落實,是絕對的不能復原還是相對的不能復原,也存有很大疑問。
至于《定向廣告去身份化指引》中所規定的“運用‘有動機入侵者’測試”“全面查明是否能夠重新識別”“必要時委托專家評估”的檢驗標準,其實是對英國“蓄意侵入者檢驗標準”、歐盟“所有合理可能性標準”和美國“專家判定法”標準的借鑒,文章第三部分將詳細闡釋這些標準。《定向廣告去身份化指引》將前述不同標準簡單并列,實質上是確立了識別認定的不同主體基準,這些規定本身即存在矛盾和混亂之處,具體該如何適用也不得而知。
我們必須認識到,個人信息的利用價值與其識別性特征密切相關,個人信息經匿名化處理后若變得過于“干凈”,則其利用價值很有可能也隨之喪失,正如有學者所指出的“匿名信息的有效性與實用性,二者永遠水火難容”[15]。個人信息匿名化處理究竟應達到什么樣的法律標準以兼顧匿名信息的有效性與實用性,進而實現個人信息保護與個人信息利用的妥當平衡,我國現行法律尚未提供行之有效的解決方案。
三、域外鏡鑒:匿名化處理法律標準的域外經驗及啟示
(一)歐盟:“所有合理可能性”標準
歐盟個人數據匿名化處理相關規范主要體現在GDPR、歐洲委員會“108公約+”11及WP29《匿名化技術》意見書12中,GDPR前言第26段規定了識別的認定標準及匿名信息的概念。據此可知歐盟匿名化處理法律標準為“所有合理可能性”標準。
1.識別的內涵:挑出、關聯和推斷
WP29在《匿名化技術》意見書中指出,識別并非單純指揭示某人的姓名和/或地址,還包括從數據中挑出當事人、產生關聯或進行推斷[16]。在進行匿名化處理時,需要著重考慮挑出(singling out)風險、關聯性(linkability)風險和推斷(reference)風險。若能夠在數據集中分離出部分或全部能識別個人身份的記錄,則構成挑出風險。若通過同一或不同數據集中的記錄,能夠在至少兩項屬于同一(組)數據主體的記錄之間產生關聯,則構成關聯性風險。如果通過關聯分析等能證明兩項記錄屬于同一組數據主體,但不能挑出某一數據主體,則該技術只能有效避免挑出風險,但不能防范關聯性風險。若根據一系列其他屬性值推斷出某一屬性值的概率較高,則構成推斷風險。匿名化處理方案應當能夠防范這三種風險,以有效防止數據控制者和任何第三方通過最可能(most likely)和合理(reasonable)的手段重新識別數據主體。
推薦閱讀:法律法學論文往哪發表
