个人信息匿名化处理法律标准探究

　　摘 要：个人信息匿名化处理法律制度作为联通个人信息保护与个人信息流通利用的制度桥梁，能够以一种隐私友好的方式满足社会的信息需求。我国现行“无法识别特定个人且不能复原”的匿名化处理法律标准缺乏可操作性，难以有效规范匿名化处理实践。我国可以确立操作方法标准与识别风险检验标准协同的匿名化处理法律标准：关于操作方法标准，可以在技术领域确定适用于直接标识符和间接标识符的匿名化处理措施指南;关于识别风险检验标准，可以引入“蓄意侵入者检验”标准，明确规定侵入者的识别动机和识别能力。通过操作方法维度与识别风险检验维度的协同作用，最终实现“无法识别特定个人且不能复原”的匿名化处理法律效果。

　　关键词：个人信息;匿名化处理;法律标准;直接标识符;间接标识符;识别风险检验

　　引 言

　　人类社会形成以来，经历过多次世界性的技术革命[1]。从农业革命、工业革命到智能革命，人类的生产、生活和思维方式也不断发生着变化。在智能时代，互联网成为社会发展的基本工具，数据成为国家基础性战略资源。数据共享能激励创新，创造巨额财富，已成为推动当今社会发展的重要引擎[2]。与此同时，数据流通利用也可能损害数据主体的隐私和其他利益。

　　大数据时代，个人信息1保护问题被推到了风口浪尖。如何平衡个人信息保护与个人信息利用之间的关系成为横亘在我们面前的时代难题。为因应这一难题，个人信息匿名化处理技术应运而生，该技术旨在通过去除或者改变个人信息中的识别因子，满足社会的信息需求，并避免损害信息主体的合法权益。技术的发展与应用离不开法律制度的保驾护航，匿名化处理技术亦不例外，匿名化处理法律制度应至少包括匿名化处理法律标准、匿名信息流通利用规则、再识别风险防范规则等内容。而匿名化处理法律标准是匿名化处理法律制度的核心内容，直接关涉到匿名化处理制度的有效性和可行性，本文围绕该问题展开探究。

　　一、制度功用透视：平衡个人信息保护与个人信息流通利用

　　匿名化处理技术是信息时代的产物，旨在解决个人信息流通利用与个人信息保护之间的冲突，以一种“隐私友好(privacy-friendly)”的方式满足社会的信息需求[3]。重申匿名化处理的制度功用，对确立合理可行的匿名化处理法律标准至为关键。

　　(一)保护信息主体人格尊严和人身自由不受侵害

　　“与已识别或可识别的自然人有关的任何信息”，这一关于个人信息的国际主流定义，体现了个人信息的识别性和关联性特征。我国国家标准GB/T 35723—2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)也将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。个人信息的识别性和关联性特征是个人信息的首要特性[4]，决定了其直接关涉信息主体的人格尊严[5]和人身自由。

　　基于人格尊严和人身自由乃人之基本权利的定性，为避免科技进步“对独立人格的维护和自由人格的发展造成难以弥补的损害”[6]，我们必须贯彻“以人为本”的发展理念。个人信息所承载的信息主体人格利益应当是个人信息保护立法中的优先考量因素，信息主体权利及信息处理者义务的正当性基础也源于个人信息的人格属性。保护信息主体的人格尊严和人身自由是个人信息保护的基本目的[7]。

　　个人信息匿名化处理技术的相关措施包括删除标识符、替换标识符、泛化标识符、子抽样处理等，这些技术措施能够降低个人信息与信息主体之间的关联度，进而避免在流通利用匿名信息的过程中损害信息主体的合法权益。个人信息匿名化处理法律制度旨在保障匿名化处理技术的规范化、制度化运行，其首要目的与功用即规范对个人信息的技术处理以保护信息主体的人格尊严和人身自由不受侵害。

　　(二)提供大数据发展和应用的原材料，推动数据资源开发利用

　　大數据对国家发展的重要意义已为诸多国家和政府所肯认，并被视为“未来的新石油”，发展大数据被上升到借助信息技术提升国家竞争力的宏观战略高度[8]。全球范围内，运用大数据推动经济发展、完善社会治理、提升政府服务和监管能力正深入推进，各国相继制定实施大数据战略性文件，大力推动大数据发展和应用。

　　大数据的发展和应用离不开海量数据的喂养，海量数据的重要来源之一即个人数据。个人信息具有人格自由和人格尊严价值、商业价值和公共管理等多重价值[9]，需要通过合理的制度安排实现个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益之间的平衡[10]。就信息业者对个人信息的利用而言，其正当性基础已为各国立法和社会公众所普遍认可，促进个人信息流通利用也已成为个人信息保护的重要立法宗旨之一。

　　个人信息匿名化处理制度补强了个人信息流通利用的正当性基础，能够提供数据开发利用所需的原材料，“是促进数据流通和共享的重要途径”[11]。通过对个人信息的匿名化处理，降低个人信息与信息主体之间的关联度，增强个人信息流通利用的适格性，以发挥个人信息蕴含的社会、经济价值，满足大数据时代对“新石油”原料的需求。个人信息匿名化处理法律制度的另一重要功用即提供大数据发展和应用所需的原材料，推动数据资源开发利用。

　　简言之，个人信息匿名化处理法律制度旨在规范对个人信息的技术处理，以保护信息主体的人格尊严和人身自由不受侵害，同时提供大数据发展和应用所需的原材料，推动数据资源开发利用，致力于实现“自然人的个人信息权益的保护与信息的自由流动这一对法律价值的权衡与协调”[12]。

　　二、现状检视：我国现行匿名化处理法律标准评析

　　我国匿名化处理法律制度滥觞于行业标准2，成形于《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国民法典》(以下简称《民法典》)。前述规范或效力层级较低，或规范目的特定，致使匿名化处理法律制度虽已在我国正式确立，但规范内容极为简单，而体现于匿名化处理内涵之中的匿名化处理法律标准亦不清晰。

　　(一)匿名化处理法律标准：无法识别特定个人且不能复原

　　关于个人信息匿名化处理的内涵，按《中国互联网定向广告用户信息保护去身份化指引》(以下简称《定向广告去身份化指引》)的规定，去身份化是对某项信息(集)进行变更以去除或模糊个人身份关联信息的过程;《网络安全法》规定“经过处理无法识别特定个人且不能复原”3;《民法典》4基本沿用了《网络安全法》的规定;《数据安全管理办法(征求意见稿)》规定“经过处理无法关联到特定个人且不能复原”5;《个人信息安全规范》强调无法识别或关联到信息主体且不能复原6;《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)7亦采用了与《网络安全法》近似的规定。

　　前述关于匿名化处理基本内涵的各规定并无本质区别。《民法典》与《网络安全法》相比，在保持匿名化处理内涵不变的基础上，将处理主体从网络运营者调整为一切信息处理者。《个人信息安全规范》基于将关联信息纳入个人信息范畴的考量而将匿名化处理的法律标准调整为“无法识别或关联到信息主体且不能复原”，但该规范仅为推荐性国家标准，不具有强制适用的效力。综上，我国现行匿名化处理法律标准为“无法识别特定个人且不能复原”。

　　此外，关于匿名化处理的法律标准，依据《定向广告去身份化指引》的规定，在向非关联方转移信息时，单位应采取“运用‘有动机入侵者’测试”8“全面查明是否能够重新识别”9“必要时委托专家评估”10的方式确认是否成功去身份化。此处规定的三个标准只是对域外不同国家和地区匿名化处理法律标准的简单借鉴，缺乏具体的适用规则，同时由于该指引效力层级及适用范围的局限性，此规定的实质意义远远小于其形式意义。

　　(二)匿名化处理法律标准的涵义

　　“无法识别特定个人”与个人信息的识别性特征相对应。匿名化处理力求在“技术的信仰与人身的信仰之间”寻找一个平衡点[13]，以避免个人信息处理行为侵害信息主体的合法权益，因而匿名化处理的关键即弱化个人信息与信息主体的关联度。个人信息识别信息主体的方式包括直接识别和间接识别，根据体系解释的法律解释方法，匿名化处理法律标准中的“识别”同样包括直接识别和间接识别，是故，匿名化处理需要达到通过处理后的信息既不能直接识别，也不能与其他信息相结合而识别信息主体的效果。这就要求信息处理者在匿名化处理过程中既要去除直接标识符，也不能忽视了对间接标识符的处理。

　　“不能复原”即要求匿名信息不存在复原为个人信息的可能性。个人信息的认定离不开具体的场景，个人信息的场景性特征决定了其与匿名信息并非泾渭分明，而是可以互相转化的动态关系。特定场景下的匿名信息，在场景发生变化时，或许能够识别特定个人而成为个人信息。因此，有效的匿名化处理应当能够通过技术手段使得处理后的信息无法识别特定个人，并且增加匿名信息转化为个人信息的难度。然而，技术手段的可破解性内在地决定了技术层面的绝对不能复原是难以实现的，故此处的“不能复原”应当理解为法律层面的不能复原，即信息处理者和接收者不得对经匿名化处理后的个人信息进行再识别，從而保证匿名信息处于“不能复原”的状态。

　　(三)匿名化处理法律标准存在的问题

　　匿名化处理法律标准的明晰，关键在于“识别”标准的确定。在个人信息识别性认定问题上，除识别方式外，特别需要明确识别认定的主体基准。关于该主体基准，有“主观说”和“客观说”之别。“主观说”即“信息控制者说”，主张以信息控制者为基准判断信息是否能识别特定个人;“客观说”包括“社会一般多数人说”和“任一主体说”，前者主张以社会一般多数人为主体基准进行判断，后者主张将一切个人和组织作为识别认定的主体基准，即只要该信息能被某机构所识别，无论该机构是否已实际识别，都视为可识别[14]。如前所述，我国现行法律确立了“无法识别特定个人且不能复原”的匿名化处理法律标准，但是并未明确识别认定的主体基准。另外，“不能复原”的要求该如何理解、如何落实，是绝对的不能复原还是相对的不能复原，也存有很大疑问。

　　至于《定向广告去身份化指引》中所规定的“运用‘有动机入侵者’测试”“全面查明是否能够重新识别”“必要时委托专家评估”的检验标准，其实是对英国“蓄意侵入者检验标准”、欧盟“所有合理可能性标准”和美国“专家判定法”标准的借鉴，文章第三部分将详细阐释这些标准。《定向广告去身份化指引》将前述不同标准简单并列，实质上是确立了识别认定的不同主体基准，这些规定本身即存在矛盾和混乱之处，具体该如何适用也不得而知。

　　我们必须认识到，个人信息的利用价值与其识别性特征密切相关，个人信息经匿名化处理后若变得过于“干净”，则其利用价值很有可能也随之丧失，正如有学者所指出的“匿名信息的有效性与实用性，二者永远水火难容”[15]。个人信息匿名化处理究竟应达到什么样的法律标准以兼顾匿名信息的有效性与实用性，进而实现个人信息保护与个人信息利用的妥当平衡，我国现行法律尚未提供行之有效的解决方案。

　　三、域外镜鉴：匿名化处理法律标准的域外经验及启示

　　(一)欧盟：“所有合理可能性”标准

　　欧盟个人数据匿名化处理相关规范主要体现在GDPR、欧洲委员会“108公约+”11及WP29《匿名化技术》意见书12中，GDPR前言第26段规定了识别的认定标准及匿名信息的概念。据此可知欧盟匿名化处理法律标准为“所有合理可能性”标准。

　　1.识别的内涵：挑出、关联和推断

　　WP29在《匿名化技术》意见书中指出，识别并非单纯指揭示某人的姓名和/或地址，还包括从数据中挑出当事人、产生关联或进行推断[16]。在进行匿名化处理时，需要着重考虑挑出(singling out)风险、关联性(linkability)风险和推断(reference)风险。若能够在数据集中分离出部分或全部能识别个人身份的记录，则构成挑出风险。若通过同一或不同数据集中的记录，能够在至少两项属于同一(组)数据主体的记录之间产生关联，则构成关联性风险。如果通过关联分析等能证明两项记录属于同一组数据主体，但不能挑出某一数据主体，则该技术只能有效避免挑出风险，但不能防范关联性风险。若根据一系列其他属性值推断出某一属性值的概率较高，则构成推断风险。匿名化处理方案应当能够防范这三种风险，以有效防止数据控制者和任何第三方通过最可能(most likely)和合理(reasonable)的手段重新识别数据主体。

　　推荐阅读：法律法学论文往哪发表

期刊VIP网，您身边的高端学术顾问

文章名称： 个人信息匿名化处理法律标准探究

文章地址： http://www.qikanvip.com/lunwen/zonghelunwen/2021/0804/58829.html