非可識(shí)別個(gè)人數(shù)據(jù)流通法律規(guī)則的理論構(gòu)建

摘? ?要：我國目前缺乏個(gè)人數(shù)據(jù)流通規(guī)則，立法和理論研究更集中在數(shù)據(jù)權(quán)利、數(shù)據(jù)歸屬等方面，對數(shù)據(jù)流通關(guān)注不足。為了促進(jìn)數(shù)據(jù)更好的流通以發(fā)揮其價(jià)值，有必要通過匿名化技術(shù)來解決數(shù)據(jù)流通中的隱私保護(hù)問題。但是，匿名化技術(shù)的不完美性，使得基于結(jié)果的匿名化標(biāo)準(zhǔn)無法發(fā)揮其作用，因此需要建立一種基于過程的匿名化規(guī)則。這種規(guī)則更接近于數(shù)據(jù)安全規(guī)則，注重于匿名化處理過程中不同環(huán)境下的風(fēng)險(xiǎn)評估，通過一系列考量因素確定一種動(dòng)態(tài)的匿名化標(biāo)準(zhǔn)。滿足這一標(biāo)準(zhǔn)的個(gè)人數(shù)據(jù)被視為不具有可識(shí)別性，可以不經(jīng)用戶同意而流通，但數(shù)據(jù)控制者必須在流通過程中持續(xù)監(jiān)督匿名化效果，一旦發(fā)生隱私泄露危險(xiǎn)將依據(jù)過錯(cuò)承擔(dān)責(zé)任。

關(guān)鍵詞：數(shù)據(jù)流通;匿名化技術(shù);數(shù)據(jù)安全

中圖分類號(hào)： TP309.2? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： There is a lack of rules for the circulation of personal data in China. The legislation and theoretical research are more focused on the aspects of data rights and data ownership， and insufficient attention is paid to the circulation of data. In order to promote the better circulation of data and give full play to its value， it is necessary to solve the privacy protection problem in data circulation through anonymization technology. However， due to the imperfection of anonymization technology， the result-based standard of anonymity cannot play its role， so it is necessary to establish a process-based rule of anonymity. This kind of rule is more similar to the data security rule， which focuses on the risk assessment in different environments during the anonymization process， and determines a kind of dynamic anonymization standard through a series of factors. Personal data that meets this standard is deemed not identifiable and can be circulated without the consent of the user. However， the data controller must continue to monitor the effect of anonymization during the circulation process， and will be liable for any risk of privacy disclosure based on fault.

Key words： data circulation; anonymization; data security

1 引言

在大數(shù)據(jù)時(shí)代，信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合引發(fā)了數(shù)據(jù)迅猛增長，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對全球生產(chǎn)、流通、分配、消費(fèi)活動(dòng)以及經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國家治理能力產(chǎn)生重要影響。個(gè)人數(shù)據(jù)已經(jīng)成為企業(yè)甚至國家經(jīng)濟(jì)命脈的重要部分，其在不斷的流通中逐漸被發(fā)掘出其中的價(jià)值。

隨著個(gè)人數(shù)據(jù)經(jīng)濟(jì)價(jià)值的不斷發(fā)掘和利用，個(gè)人數(shù)據(jù)權(quán)益的保護(hù)問題也隨之而來。2012年全國人大常委會(huì)通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》宣布，國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息，由此開啟了我國個(gè)人數(shù)據(jù)保護(hù)的立法之路。放眼國際，歐洲的個(gè)人數(shù)據(jù)保護(hù)法是在公法，或者更確切地說，是在憲法的背景下發(fā)揮效力的，其主要目標(biāo)是在涉及個(gè)人數(shù)據(jù)的處理業(yè)務(wù)范圍內(nèi)保護(hù)個(gè)人隱私和自由。而美國將個(gè)人數(shù)據(jù)進(jìn)行保護(hù)置于隱私權(quán)的框架下。

隱私控制是自由自治原則的產(chǎn)物，該原則置個(gè)人于個(gè)人數(shù)據(jù)使用的核心位置，通過個(gè)人管理個(gè)人數(shù)據(jù)和個(gè)人決定信息使用來實(shí)現(xiàn)信息自治。無論立法基礎(chǔ)為何，對個(gè)人數(shù)據(jù)保護(hù)均與隱私保護(hù)有著密不可分的關(guān)系。由于個(gè)人數(shù)據(jù)的“可識(shí)別性”導(dǎo)致了個(gè)人數(shù)據(jù)的泄漏會(huì)引發(fā)個(gè)人隱私危險(xiǎn)，保護(hù)隱私信息在發(fā)布或者使用的時(shí)候，不被識(shí)別出來的安全數(shù)據(jù)發(fā)布機(jī)制的研究已成為研究熱點(diǎn)。匿名化技術(shù)便是一種隱私保護(hù)的有效方法，自Samarati和Sweeney首次提出匿名化概念之后，該技術(shù)得到了廣泛的關(guān)注。匿名化技術(shù)能夠破壞個(gè)人數(shù)據(jù)與數(shù)據(jù)主體之間的聯(lián)系，從而有效地保護(hù)數(shù)據(jù)主體的隱私。

在數(shù)據(jù)流通方面，各國也針對技術(shù)手段的各個(gè)處理過程制定了相關(guān)的規(guī)則，從而形成了體系化的個(gè)人數(shù)據(jù)流通規(guī)則。其中，歐盟于2017年發(fā)布了《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例》（以下簡稱《框架條例》），與《一般數(shù)據(jù)保護(hù)條例（GDPR）》共同構(gòu)建了較為完善的個(gè)人數(shù)據(jù)流通規(guī)則框架。反觀我國，具體完善的規(guī)則體系還未建立，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第四章網(wǎng)絡(luò)信息安全部分是為數(shù)不多針對數(shù)據(jù)流通中個(gè)人數(shù)據(jù)安全的法律規(guī)則。此外，法院通過“新浪微博案”提出的“三重授權(quán)”原則，系針對第三方應(yīng)用通過開放平臺(tái)獲取用戶信息時(shí)應(yīng)遵循的原則。該原則要求數(shù)據(jù)接收者在接收數(shù)據(jù)時(shí)既要獲得數(shù)據(jù)提供方企業(yè)的同意，同時(shí)也要獲得用戶的同意。這種寬泛的“三種授權(quán)”原則，為數(shù)據(jù)控制者和接收者施加過多的負(fù)擔(dān)，不利于數(shù)據(jù)的自由流通及數(shù)據(jù)價(jià)值的發(fā)掘，因此在理論界頗有爭議。

在此現(xiàn)狀之下，完善我國個(gè)人數(shù)據(jù)流通規(guī)則體系已刻不容緩。本文旨在分析解讀歐盟的個(gè)人數(shù)據(jù)流通規(guī)則，明確個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)的邊界和轉(zhuǎn)化標(biāo)準(zhǔn)，并結(jié)合理論觀點(diǎn)構(gòu)建更有效和可操作性的個(gè)人數(shù)據(jù)流通規(guī)則，在此基礎(chǔ)上為我國的個(gè)人數(shù)據(jù)立法提出立法建議。

2 “非可識(shí)別個(gè)人數(shù)據(jù)流通規(guī)則”

《一般數(shù)據(jù)保護(hù)條例（GDPR）》與《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例》是目前歐盟數(shù)據(jù)保護(hù)規(guī)則體系的兩大基石。前者針對“個(gè)人數(shù)據(jù)”（Personal Data），后者適用于“非個(gè)人數(shù)據(jù)”（Non-personal Data）。兩條例根據(jù)個(gè)人數(shù)據(jù)的可識(shí)別性與否將個(gè)人數(shù)據(jù)保護(hù)規(guī)則劃分為兩個(gè)部分，這種劃分方式也是目前世界各國數(shù)據(jù)保護(hù)法的主流做法。顯然，兩部分的邊界由“個(gè)人數(shù)據(jù)”所決定，但這個(gè)邊界并非封閉的。匿名化技術(shù)能夠?qū)崿F(xiàn)個(gè)人數(shù)據(jù)向非個(gè)人數(shù)據(jù)的轉(zhuǎn)化，成為連通兩部分的橋梁。

2.1 個(gè)人數(shù)據(jù)與匿名化

歐盟對個(gè)人數(shù)據(jù)保護(hù)的立法工作始于20世紀(jì)，而個(gè)人數(shù)據(jù)的概念卻并未發(fā)生過大的變動(dòng)。1981年《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)協(xié)定（歐洲理事會(huì)）》在第2條中將“個(gè)人數(shù)據(jù)”定義為“與已識(shí)別或可識(shí)別的個(gè)人（數(shù)據(jù)主體）相關(guān)的任何信息”。1995年歐盟《數(shù)據(jù)保護(hù)指令（DPD）》將“個(gè)人數(shù)據(jù)”定義為“任何與已識(shí)別的或可識(shí)別的自然人有關(guān)的信息”。

由于數(shù)據(jù)處理技術(shù)的不斷發(fā)展，尤其是進(jìn)入大數(shù)據(jù)時(shí)代以后，能否識(shí)別個(gè)人身份的信息的邊界也越來越模糊，許多傳統(tǒng)概念上無法識(shí)別個(gè)人身份的信息，經(jīng)過技術(shù)手段的處理后，也能夠準(zhǔn)確識(shí)別到個(gè)人用戶。因此，“可識(shí)別性”已經(jīng)不僅包括能夠單獨(dú)或直接識(shí)別個(gè)人身份的信息，對這一現(xiàn)狀的應(yīng)對也體現(xiàn)在各國的定義之中。2016年歐盟在DPD等基礎(chǔ)上制定的GDPR也基本沿襲了這一定義，但在其后加入了“姓名、身份證號(hào)碼、定位數(shù)據(jù)、在線身份識(shí)等”的列舉，對該定義進(jìn)一步完善。

與此同時(shí)，匿名化規(guī)則也隨著個(gè)人數(shù)據(jù)保護(hù)立法的發(fā)展而不斷完善。自1995年的DPD開始，歐盟就對個(gè)人數(shù)據(jù)和匿名化數(shù)據(jù)的保護(hù)進(jìn)行了區(qū)分。DPD在序言中指出，“數(shù)據(jù)保護(hù)原則不應(yīng)適用于匿名信息，即與已識(shí)別或可識(shí)別的自然人無關(guān)的信息，或與以數(shù)據(jù)主體無法識(shí)別或不再可識(shí)別的方式匿名的個(gè)人數(shù)據(jù)無關(guān)的信息?！蓖瑯釉谠摱沃校珼PD通過一種基于風(fēng)險(xiǎn)的方式確定了“可能且合理（Likely Reasonably）”標(biāo)準(zhǔn)對匿名化進(jìn)行評估：在確定某個(gè)人是否能夠通過該信息被識(shí)別時(shí)，應(yīng)當(dāng)考慮所有可能且合理的手段。其中，“可能”針對實(shí)際中采用該識(shí)別手段的可能性，“合理”針對該采用手段的難度。

2014年，29條工作組發(fā)布的《匿名化技術(shù)意見》（以下簡稱《意見》）在歐盟層面對匿名化技術(shù)從法律和技術(shù)兩方面做了詳盡的規(guī)定。29條工作組是根據(jù)歐盟95 /46 / EC法令的29條的規(guī)定所設(shè)立的，是一家旨在解決數(shù)據(jù)和隱私保護(hù)問題的獨(dú)立咨詢機(jī)構(gòu)。

《意見》提出了匿名化檢驗(yàn)的“三步法”：（1）是否仍能夠（從該數(shù)據(jù)中）選出某個(gè)人;（2）是否能夠（通過該數(shù)據(jù)）鏈接到某個(gè)人相關(guān)的記錄;（3）是否能（從該數(shù)據(jù)中）推斷出與某個(gè)人有關(guān)的信息。同時(shí)《意見》強(qiáng)調(diào)需要在匿名化過程中考慮環(huán)境因素，例如數(shù)據(jù)的性質(zhì)以及任何限制對數(shù)據(jù)訪問的信息披露控制機(jī)制，還建議應(yīng)根據(jù)個(gè)案情況選擇使用提到的不同匿名化手段。然而，《意見》要求合格的匿名化為一種不可逆的過程引起了一些爭議，這也表明《意見》沒有完全從基于風(fēng)險(xiǎn)的視角看待匿名化的過程，而是更加注重于匿名化的結(jié)果。

在隨后的GDPR中沿用了DPD的觀點(diǎn)，同樣將匿名化數(shù)據(jù)排除在規(guī)制范圍外，同時(shí)還明確引入了假名化的概念，據(jù)此進(jìn)一步強(qiáng)化了對匿名化過程不可逆的要求。假名化被定義為：以該方式處理個(gè)人數(shù)據(jù)，使得在不使用附加信息的情況下，個(gè)人數(shù)據(jù)無法指向特定數(shù)據(jù)主體，但前提是此類附加信息應(yīng)單獨(dú)保存，并受技術(shù)和組織措施的約束，以確保個(gè)人數(shù)據(jù)不會(huì)指向已識(shí)別或可識(shí)別的自然人。同時(shí)，GDPR序言中明確指出，假名化后的數(shù)據(jù)無法單獨(dú)識(shí)別到具體數(shù)據(jù)主體，但仍屬于個(gè)人數(shù)據(jù)的范疇。因?yàn)殡m經(jīng)過假名化處理，數(shù)據(jù)控制者仍持有能夠重識(shí)別該數(shù)據(jù)的“密碼”。

可見，GDPR同樣為匿名化賦予了非常高的標(biāo)準(zhǔn)，只有無法被重識(shí)別的數(shù)據(jù)才能滿足這一要求。當(dāng)然，也有反對觀點(diǎn)認(rèn)為，如果重識(shí)別的密碼被安全保管，且假名化的算法不會(huì)被輕易破解的，則不應(yīng)當(dāng)一律認(rèn)為達(dá)不到匿名化數(shù)據(jù)的標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)過于苛求完美。

2.2 歐盟非可識(shí)別個(gè)人數(shù)據(jù)流通規(guī)則

個(gè)人數(shù)據(jù)一旦經(jīng)過符合GDPR標(biāo)準(zhǔn)的匿名化處理后，便不存在個(gè)人隱私方面的風(fēng)險(xiǎn)，成為非個(gè)人數(shù)據(jù)中的一種，因此其流通相較來說自由得多。與個(gè)人數(shù)據(jù)相比，非個(gè)人數(shù)據(jù)的流通無需經(jīng)用戶同意，且無需保證用戶在個(gè)人數(shù)據(jù)流通過程中享有的各項(xiàng)權(quán)利?！犊蚣軛l例》主要為非個(gè)人數(shù)據(jù)的流通提出了三方面的要求。

一是保障非個(gè)人數(shù)據(jù)的跨境自由流動(dòng)。新規(guī)則為整個(gè)歐盟的數(shù)據(jù)存儲(chǔ)和處理設(shè)置了框架，禁止數(shù)據(jù)本地化限制。如果成員國認(rèn)為含有數(shù)據(jù)本地化的要求因公共安全為由而需繼續(xù)有效，則應(yīng)當(dāng)將該措施報(bào)告歐盟委員會(huì)，并說明理由。該要求對GDPR的適用沒有影響，因?yàn)樗话▊€(gè)人數(shù)據(jù)。在混合數(shù)據(jù)集中，在能區(qū)分個(gè)人數(shù)據(jù)于非個(gè)人數(shù)據(jù)的情況下，分別使用兩條例;無法區(qū)分的，優(yōu)先適用GDPR的有關(guān)規(guī)定。

二是加強(qiáng)政府監(jiān)管。《框架條例》中強(qiáng)調(diào)了消除數(shù)據(jù)本地化的要求，并規(guī)定不得因數(shù)據(jù)處理行為發(fā)生在另一成員國而拒絕監(jiān)管機(jī)構(gòu)調(diào)取數(shù)據(jù)的合法要求。此時(shí)，監(jiān)管機(jī)構(gòu)可以采取強(qiáng)制措施調(diào)取有關(guān)數(shù)據(jù)，例如要求獲取留存在相關(guān)成員國的系統(tǒng)描述信息。有義務(wù)向監(jiān)管機(jī)構(gòu)提供數(shù)據(jù)的自然人或法人，應(yīng)當(dāng)依法及時(shí)有效地向監(jiān)管機(jī)構(gòu)提供上述數(shù)據(jù)，而不論數(shù)據(jù)的處理行為是否發(fā)生在其他歐盟成員國;沒有依法履行數(shù)據(jù)提供的義務(wù)，有關(guān)主管機(jī)構(gòu)可以要求其他成員國協(xié)助調(diào)取。這些措施是為了加強(qiáng)歐盟機(jī)構(gòu)對數(shù)據(jù)流通過程的監(jiān)管，消除執(zhí)法過程中的障礙。

此外，《框架條例》還要求成員國應(yīng)確保數(shù)據(jù)服務(wù)提供商能夠識(shí)別并采取適當(dāng)、相應(yīng)的技術(shù)和組織措施，以管理他們所使用的信息系統(tǒng)及網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。前述措施應(yīng)確保安全級別符合已有的風(fēng)險(xiǎn)，并應(yīng)當(dāng)考慮系統(tǒng)和設(shè)施的安全性，緊急事件處理，業(yè)務(wù)連續(xù)性管理等因素。在數(shù)據(jù)安全的具體規(guī)則上，歐盟及各成員國的相關(guān)數(shù)據(jù)安全法律法規(guī)仍可適用。因此，《框架條例》并未將數(shù)據(jù)流通完全自由開放給用戶和行業(yè)自我監(jiān)管，相反在數(shù)據(jù)安全方面加強(qiáng)了政府層面的管控。

三是鼓勵(lì)數(shù)據(jù)流通行業(yè)標(biāo)準(zhǔn)的設(shè)立。《框架條例》引入了“專業(yè)用戶”的概念，并明確指出數(shù)據(jù)傳輸?shù)脑敿?xì)信息和操作要求，應(yīng)當(dāng)由市場參與者通過委員會(huì)的自律、鼓勵(lì)、促進(jìn)和監(jiān)管來進(jìn)行規(guī)定。《框架條例》還要求，在正式通過后的12個(gè)月內(nèi)，云服務(wù)行業(yè)應(yīng)拿出“行為準(zhǔn)則”，該“行為準(zhǔn)則”應(yīng)當(dāng)是全面的并且至少應(yīng)當(dāng)涵蓋數(shù)據(jù)傳輸過程中的重要方面?！靶袨闇?zhǔn)則”還應(yīng)當(dāng)明確供應(yīng)商鎖定不是可接受的商業(yè)慣例，應(yīng)當(dāng)提供增加信任的技術(shù)，并且應(yīng)當(dāng)定期更新以保持與科技同步發(fā)展的步伐。同時(shí)，《框架條例》要求歐盟委員會(huì)應(yīng)當(dāng)保證在整個(gè)“行為準(zhǔn)則”的形成過程中，包括中小企業(yè)協(xié)會(huì)、初創(chuàng)企業(yè)、用戶和云服務(wù)提供商等在內(nèi)的所有利益相關(guān)者均有參與機(jī)會(huì)。而且歐盟委員會(huì)應(yīng)當(dāng)對“行為準(zhǔn)則”的發(fā)展和實(shí)施的有效性進(jìn)行評估，以決定是否繼續(xù)給予行業(yè)這樣的自由度，或者何時(shí)自己就該出手。

總的來說，歐盟通過可識(shí)別原則為個(gè)人數(shù)據(jù)劃定了一個(gè)廣大的范圍，同時(shí)通過嚴(yán)苛的標(biāo)準(zhǔn)，將個(gè)人數(shù)據(jù)通過匿名化脫離規(guī)制范圍的可能性明顯降低，將個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)之間的橋梁設(shè)置為“單行道”。然而，正如Ohm所言，個(gè)人數(shù)據(jù)可以發(fā)揮其巨大價(jià)值也可以被非常好地匿名化，但二者不可兼得，個(gè)人隱私保護(hù)和信息安全在一定程度上是與個(gè)人數(shù)據(jù)流通矛盾的。這種體系雖然強(qiáng)化了對個(gè)人隱私的保護(hù)，但也為數(shù)據(jù)控制者施加了沉重的負(fù)擔(dān)，同時(shí)限制了數(shù)據(jù)的流動(dòng)。

然而，隨著完美的匿名化已被公認(rèn)不可能存在，匿名化技術(shù)逐漸“走下神壇”。歐盟的匿名化標(biāo)準(zhǔn)在實(shí)踐中難以真正實(shí)現(xiàn)，同時(shí)導(dǎo)致一些數(shù)據(jù)控制者借助劣質(zhì)的匿名化逃避法律責(zé)任，實(shí)際加大了數(shù)據(jù)流通中個(gè)人隱私損害的風(fēng)險(xiǎn)。理論界在匿名化技術(shù)上有較大的爭議，對歐盟這種偏重匿名化結(jié)果的立法方式也有反對聲音。

3 基于風(fēng)險(xiǎn)控制的匿名化數(shù)據(jù)流通理論規(guī)則的構(gòu)建

匿名化在很長一段時(shí)間被看作是保護(hù)隱私的最佳手段，然而近20年來越來越多研究發(fā)現(xiàn)，即使從已經(jīng)“匿名化”的數(shù)據(jù)中也有可能識(shí)別出單獨(dú)個(gè)人，因此各界圍繞著匿名化技術(shù)展開了激烈的爭論。Rubinstein和Hartzog將爭論者們分為實(shí)用派與形式派。實(shí)用派通過對實(shí)踐結(jié)果進(jìn)行分析，主張重識(shí)別攻擊發(fā)生概率很低。他們認(rèn)為用于重識(shí)別的輔助信息很難獲得，且雖然重新識(shí)別到數(shù)據(jù)主體是唯一的，但是無法指向任何實(shí)際存在的個(gè)人。而形式派在定義隱私、建模攻擊者和量化重新識(shí)別的可能性方面堅(jiān)持嚴(yán)格的數(shù)學(xué)方法論證，主張匿名化已經(jīng)失去價(jià)值。他們認(rèn)為對匿名化技術(shù)有效性進(jìn)行量化的做法是，“通過假設(shè)攻擊者可能采取的模型而錯(cuò)誤的提升了匿名化的安全系數(shù)”。

無論重識(shí)別攻擊在實(shí)踐中發(fā)生概率有多少，匿名化的不完美性已經(jīng)成為共識(shí)。但在目前的技術(shù)下，匿名化依然是個(gè)人隱私保護(hù)和數(shù)據(jù)流通中不可或缺的技術(shù)。因此應(yīng)當(dāng)結(jié)合匿名化技術(shù)的特點(diǎn)，建立能發(fā)揮其優(yōu)勢、彌補(bǔ)其不足的數(shù)據(jù)流通規(guī)則模式。

3.1 借鑒數(shù)據(jù)安全規(guī)則，制定基于風(fēng)險(xiǎn)控制的匿名化標(biāo)準(zhǔn)

歐洲的數(shù)據(jù)保護(hù)法是在公法，或者更確切地說，是在憲法的背景下發(fā)揮效力的，其主要目標(biāo)是在涉及個(gè)人數(shù)據(jù)的處理業(yè)務(wù)范圍內(nèi)保護(hù)個(gè)人隱私和自由。個(gè)人數(shù)據(jù)保護(hù)涉及保障人的尊嚴(yán)問題，因?yàn)樾枰乐箓€(gè)人在個(gè)人數(shù)據(jù)處理中被僅僅視為客體對待。這種傳統(tǒng)的個(gè)人隱私保護(hù)是以他人行為對個(gè)人造成損害為前提。而隱私法中的“損害”本身就是一個(gè)有爭議的概念，在個(gè)人數(shù)據(jù)領(lǐng)域就顯得更為模糊。Rubinstein和Hartzog在其文章中問道：如果黑客盜取了某個(gè)人的個(gè)人數(shù)據(jù)并銷售到黑市上，是否對這個(gè)人造成了損害？如果這個(gè)人沒有損失財(cái)產(chǎn)，是否仍造成了損害？如果該信息僅被用來制作了錯(cuò)誤的用戶畫像，以致推送的用戶定向內(nèi)容不符合個(gè)人喜好，是否造成了損害？因此，在“損害”無法明確范圍的情況下，重識(shí)別是否發(fā)生以及損害結(jié)果都難以準(zhǔn)確界定，隱私保護(hù)難以與數(shù)據(jù)流通過程中的個(gè)人數(shù)據(jù)安全保護(hù)完全契合。

在這種損害發(fā)生風(fēng)險(xiǎn)不確定的情況下，數(shù)據(jù)安全規(guī)則能夠很好地發(fā)揮其效力。數(shù)據(jù)安全規(guī)則的特點(diǎn)在于，它注重于過程、考慮不同環(huán)境下的情況、且容忍風(fēng)險(xiǎn)的發(fā)生。在策略層面，數(shù)據(jù)安全被認(rèn)為是不斷識(shí)別風(fēng)險(xiǎn)的過程。盡量減少數(shù)據(jù)收集和保留;制定和實(shí)施政策、技術(shù)和物理保護(hù)措施，以防止數(shù)據(jù)泄露;如果確實(shí)發(fā)生違規(guī)的情況，則制定應(yīng)對計(jì)劃。數(shù)據(jù)安全規(guī)則在匿名化技術(shù)方面的體現(xiàn)兩個(gè)方面。

一是匿名化標(biāo)準(zhǔn)應(yīng)當(dāng)容忍風(fēng)險(xiǎn)存在?！皼]有完美的安全措施”這一觀點(diǎn)為數(shù)據(jù)安全領(lǐng)域所公認(rèn)。匿名化技術(shù)既然無法保證其結(jié)果的穩(wěn)定性和有效性，那么唯有針對處理過程中的各種風(fēng)險(xiǎn)設(shè)定合理標(biāo)準(zhǔn)，才能盡量提高匿名化技術(shù)的可靠性。

二是匿名化標(biāo)準(zhǔn)應(yīng)當(dāng)因環(huán)境而異。數(shù)據(jù)安全水平取決于數(shù)據(jù)的敏感性、公司業(yè)務(wù)運(yùn)營的規(guī)模和性質(zhì)以及公司面臨的風(fēng)險(xiǎn)類型等諸多因素。同樣，匿名化處理的過程需要考慮數(shù)據(jù)的類型和敏感水平、重識(shí)別攻擊者動(dòng)機(jī)和技術(shù)手段、攻擊可能造成的損害類型、數(shù)據(jù)控制者對匿名化維護(hù)的能力等因素。這些因素是無法窮盡的，任何能夠識(shí)別和減少重識(shí)別風(fēng)險(xiǎn)的因素都應(yīng)被考慮在內(nèi)，這將導(dǎo)致一個(gè)細(xì)致全面的穩(wěn)定規(guī)則體系會(huì)很快過時(shí)。因此，數(shù)據(jù)流通規(guī)則應(yīng)當(dāng)是與環(huán)境變化相關(guān)，同時(shí)與行業(yè)標(biāo)準(zhǔn)相結(jié)合。行業(yè)標(biāo)準(zhǔn)定期更新的特點(diǎn)，能很好地契合數(shù)據(jù)安全規(guī)則的特性，且結(jié)合行業(yè)規(guī)則的安全規(guī)則已經(jīng)在實(shí)踐中證明了其有效性。

3.2 改變“分發(fā)-遺忘”的舊模式，加強(qiáng)匿名化數(shù)據(jù)控制

前述歐盟匿名化技術(shù)的規(guī)則是采取了類似隱私保護(hù)的方式，在個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)之間設(shè)定了固定的邊界，沒有考慮到不完美匿名化帶來的后果。也正是如此，《框架條例》中沒有為非個(gè)人數(shù)據(jù)中的兩種類型的數(shù)據(jù)—本身與個(gè)人無關(guān)的數(shù)據(jù)與經(jīng)匿名化處理的個(gè)人數(shù)據(jù)分別制定不同的規(guī)則。而事實(shí)上，由于重識(shí)別風(fēng)險(xiǎn)的必定存在，單純依靠一次性“分發(fā)-遺忘”的匿名化無法保證數(shù)據(jù)在后續(xù)流通過程中的隱私安全。Ohm在他極具影響力的文章中批判了這種傳統(tǒng)的匿名化模式，因?yàn)槿プR(shí)別化技術(shù)存在著與生俱來的缺陷。這種不完美的匿名化會(huì)使得隱私損害在數(shù)據(jù)重識(shí)別過程中變得更加嚴(yán)重。“分發(fā)-遺忘”模式有其優(yōu)點(diǎn)，但是對于非個(gè)人數(shù)據(jù)，放棄數(shù)據(jù)控制的好處不會(huì)超過其代價(jià)，最著名的重新識(shí)別攻擊都涉及“分發(fā)-遺忘”數(shù)據(jù)集。

采用傳統(tǒng)的匿名化模式的結(jié)果是，為了在數(shù)據(jù)流通過程中著重風(fēng)險(xiǎn)控制，必須盡量減少數(shù)據(jù)公布。而當(dāng)數(shù)據(jù)控制者失去控制權(quán)時(shí)，評估數(shù)據(jù)重識(shí)別風(fēng)險(xiǎn)要困難得多。因此，一種合理的解決方式是最小化或消除傳統(tǒng)的“分發(fā)-遺忘”模式，加強(qiáng)數(shù)據(jù)控制者在數(shù)據(jù)流通過程中的監(jiān)督義務(wù)。對此義務(wù)，歐盟條例中雖沒有明文規(guī)定，但Sophie和Alison Knight給出了證成并提出修法建議。假設(shè)前提為匿名化是一基于環(huán)境與風(fēng)險(xiǎn)因素的可逆過程，重識(shí)別后的數(shù)據(jù)重新回到GDPR的規(guī)制范圍內(nèi)。這時(shí)，匿名化與重識(shí)別的具體標(biāo)準(zhǔn)只能由匿名化處理時(shí)的數(shù)據(jù)控制者根據(jù)實(shí)際情況決定。GDPR中定義了“共同控制者”的概念，并在損害賠償部分規(guī)定，共同控制者承擔(dān)連帶責(zé)任，且一方可向有過錯(cuò)的一方追償。為了能夠判斷數(shù)據(jù)的重識(shí)別是否發(fā)生、數(shù)據(jù)接收者是否存在過錯(cuò)以及責(zé)任分擔(dān)的比例，給數(shù)據(jù)控制者施加數(shù)據(jù)分發(fā)后的持續(xù)監(jiān)督義務(wù)是合理的。

除通過法律向數(shù)據(jù)控者施加強(qiáng)制監(jiān)督義務(wù)的方式外，Robert Gellman還提出了通過數(shù)據(jù)使用協(xié)議為數(shù)據(jù)接收者設(shè)置義務(wù)的方式。Gellman在其文章中起草了一份“個(gè)人數(shù)據(jù)去識(shí)別化法案”，旨在平衡數(shù)據(jù)控制者、數(shù)據(jù)接收者及數(shù)據(jù)主體三方的利益。該法案對數(shù)據(jù)使用協(xié)議中雙方的義務(wù)進(jìn)行了構(gòu)想。數(shù)據(jù)接收者應(yīng)承諾不實(shí)施或嘗試實(shí)施重識(shí)別，并采取合理措施防止關(guān)聯(lián)方實(shí)施新識(shí)別;應(yīng)不進(jìn)行超過合同范圍的數(shù)據(jù)使用及進(jìn)一步披露;應(yīng)設(shè)置合理的安保措施以對數(shù)據(jù)進(jìn)行保密，包括物理措施、技術(shù)措施、管理措施等;當(dāng)重識(shí)別發(fā)生時(shí)，應(yīng)立即通知有關(guān)部門、數(shù)據(jù)控制者和相關(guān)用戶。數(shù)據(jù)控制者要保持對數(shù)據(jù)的控制和監(jiān)督，應(yīng)在重識(shí)別發(fā)生時(shí)立即通知有關(guān)部門和用戶，并暫停進(jìn)一步的數(shù)據(jù)披露。一旦違反了上述義務(wù)，一方可以通過合同追究違約方責(zé)任;如果發(fā)生嚴(yán)重的隱私泄漏事件，還會(huì)涉及行政或刑事責(zé)任。雖然一方通過合同授權(quán)另一方使用其數(shù)據(jù)可能涉及數(shù)據(jù)權(quán)屬這一頗具爭議的問題，但在不考慮這一點(diǎn)的情況下，該方式至少能夠使數(shù)據(jù)控制者在數(shù)據(jù)流通后進(jìn)行后續(xù)監(jiān)督，這在一定程度上能夠降低數(shù)據(jù)流通過程中的風(fēng)險(xiǎn)。且如能起草和執(zhí)行得當(dāng)，該協(xié)議不會(huì)給數(shù)據(jù)接收者帶來過多負(fù)擔(dān)。

4 結(jié)束語

我國《網(wǎng)絡(luò)安全法》第42條規(guī)定，網(wǎng)絡(luò)運(yùn)營者未經(jīng)被收集者同意，不得向他人提供個(gè)人數(shù)據(jù)，但是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外?？梢姡覈呀?jīng)為個(gè)人數(shù)據(jù)流通設(shè)置了去識(shí)別化的合法基礎(chǔ)。匿名化等概念在2018年5月正式實(shí)施的《信息安全技術(shù)個(gè)人數(shù)據(jù)安全規(guī)范》中有明確定義。其中匿名化定義為，通過對個(gè)人數(shù)據(jù)的技術(shù)處理，使得個(gè)人數(shù)據(jù)主體無法被識(shí)別，且處理后的信息不能被復(fù)原的過程;去標(biāo)識(shí)化定義為，通過對個(gè)人數(shù)據(jù)的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別個(gè)人數(shù)據(jù)主體的過程?！叭?biāo)識(shí)化”并未要求該過程不可逆，但強(qiáng)調(diào)無法識(shí)別是在不借助額外信息的情況下?？梢?，“匿名化”的定義與歐盟相同，而“去標(biāo)識(shí)化”則與歐盟“假名化”定義相同。

2019年8月國家質(zhì)檢總局與國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南》（以下簡稱《去標(biāo)識(shí)化指南》），其中明確了去標(biāo)識(shí)化的重要目標(biāo)之一是控制重識(shí)別風(fēng)險(xiǎn)。與歐盟規(guī)則相比，我國已經(jīng)著重了去識(shí)別化過程中的風(fēng)險(xiǎn)控制。2020年1月發(fā)布的《信息安全技術(shù)個(gè)人數(shù)據(jù)告知同意指南》（以下簡稱《告知同意指南》），在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，進(jìn)一步完善了對外提供個(gè)人數(shù)據(jù)免于告知同意的情形。而與歐盟規(guī)則存在區(qū)別的是，《告知同意指南》第6條規(guī)定，收集已進(jìn)行匿名化處理的個(gè)人數(shù)據(jù)免于告知同意，對外提供已經(jīng)進(jìn)行去標(biāo)識(shí)化處理的個(gè)人數(shù)據(jù)免于告知同意;歐盟則要求經(jīng)假名化引入處理的信息，也需要滿足告知同意或其它合法基礎(chǔ)。這種規(guī)則設(shè)置同樣說明，我國并未同歐盟一樣要求匿名化處理的不可逆性，也便于進(jìn)一步建立偏重風(fēng)險(xiǎn)控制的個(gè)人數(shù)據(jù)流通規(guī)則。

（1）進(jìn)一步完善《去標(biāo)識(shí)化指南》

《去標(biāo)識(shí)化指南》詳細(xì)構(gòu)建了去標(biāo)識(shí)化技術(shù)各項(xiàng)標(biāo)準(zhǔn)，內(nèi)容形式與歐盟數(shù)據(jù)保護(hù)29條工作組的《意見》比較相似，既包括了法律方面的規(guī)制，又詳細(xì)解釋了去標(biāo)識(shí)化的各種技術(shù)標(biāo)準(zhǔn)。總的來說，《去標(biāo)識(shí)化指南》中已經(jīng)明確提到需要通過環(huán)境因素等控制重識(shí)別的風(fēng)險(xiǎn)，但更多是在去標(biāo)識(shí)化模型和技術(shù)的判斷選擇上，去標(biāo)識(shí)化處理的后續(xù)工作并未過多提及。其中，5.6部分規(guī)定了監(jiān)控審查的相關(guān)內(nèi)容，要求在去標(biāo)識(shí)化完成后進(jìn)行持續(xù)監(jiān)控和定期風(fēng)險(xiǎn)評估，但內(nèi)容較為原則化，也未有更詳細(xì)的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，內(nèi)容有待繼續(xù)豐富。此外，《去標(biāo)識(shí)化指南》主要設(shè)定了去標(biāo)識(shí)化過程各環(huán)節(jié)的標(biāo)準(zhǔn)，沒有涉及重識(shí)別發(fā)生后的危險(xiǎn)處理內(nèi)容，如及時(shí)通知監(jiān)管部門和相關(guān)用戶、行業(yè)內(nèi)部處理、政府部門執(zhí)法等方面。同樣，這些內(nèi)容也應(yīng)當(dāng)在后續(xù)的個(gè)人數(shù)據(jù)流通規(guī)則中著重體現(xiàn)。

（2）結(jié)合信息安全規(guī)則制定去標(biāo)識(shí)化個(gè)人數(shù)據(jù)流通規(guī)則

去標(biāo)識(shí)化是最有利于流通的個(gè)人數(shù)據(jù)形式，但也存在著更大的隱私風(fēng)險(xiǎn)，因此在立法中應(yīng)著重平衡自由流動(dòng)與隱私保護(hù)之間的關(guān)系。應(yīng)明確區(qū)分個(gè)人數(shù)據(jù)、去標(biāo)識(shí)化個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)三個(gè)概念的范圍與關(guān)系。針對去標(biāo)識(shí)化個(gè)人數(shù)據(jù)，除去標(biāo)識(shí)化過程的規(guī)則之外，還應(yīng)當(dāng)明確個(gè)人數(shù)據(jù)流通過程中數(shù)據(jù)控制者的監(jiān)督義務(wù)、行業(yè)內(nèi)部的標(biāo)準(zhǔn)制定與監(jiān)管、政府部門的執(zhí)法以及隱私損害的救濟(jì)措施。同時(shí)，這些規(guī)則應(yīng)當(dāng)控制適當(dāng)限度，避免為數(shù)據(jù)控制者施加過重的負(fù)擔(dān)，保障信息流通自由。

參考文獻(xiàn)

[1] 王波.數(shù)據(jù)發(fā)布中的個(gè)性化隱私匿名技術(shù)研究[D].哈爾濱：工程大學(xué)，2012.

[2] 許娟.互聯(lián)網(wǎng)疑難案件中數(shù)據(jù)權(quán)利保護(hù)的風(fēng)險(xiǎn)決策樹模型[J].南京社會(huì)科學(xué)，2019（03）：81-86+107.

[3] 薛其宇.互聯(lián)網(wǎng)企業(yè)間數(shù)據(jù)不正當(dāng)競爭的規(guī)制路徑[J].汕頭大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2018，34（12）：62-68+95-96.

[4] 徐偉.企業(yè)數(shù)據(jù)獲取“三重授權(quán)原則”反思及類型化構(gòu)建[J].交大法學(xué)，2019（04）：20-39.

[5] 高富平.個(gè)人數(shù)據(jù)保護(hù)：從個(gè)人控制到社會(huì)控制[J].法學(xué)研究，2018，40（03）：84-101.

[6] GB/T 37964-2019，信息安全技術(shù)個(gè)人數(shù)據(jù)去標(biāo)識(shí)化指南[S].2019-08-30

[7] Peter Rott.Data protection law as consumer law – How consumer organisations can contribute to the enforcement of data protection law[J]. Journal of European Consumer and Market Law，2017，6（03）：113-119.

[8] Latanya Sweeney.Simple demographics often identify people uniquely[J].Carnegie Mellon University Data Privacy Working Paper.2000（03）：1–34.

[9] Khaled E E ， Cecilia L . A critical appraisal of the Article 29 Working Party Opinion 05/2014 on data anonymization techniques[J].International Data Privacy Law，2015，5（1）：73-87.

[10] Stalla-Bourdillon， Sophie and Knight， Alison， Anonymous Data v. Personal Data — A False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data[J].Wisconsin International Law Journal，2017：235-247.

[11] Samson Yoseph Esayas. The role of anonymisation and pseudonymisation under the EU data privacy rules： beyond the 'all or nothing' approach[J]. Social Science Electronic Publishing，2016：78-92.

[12] Ohm， Paul.Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J].UCLA Law Review，2009，57：1701-2010.

[13] Rubinstein， Ira and Hartzog， Woodrow. Anonymization and Risk[J].Washington Law Review 2016，703：15-36.

[14] Calo， Ryan. The Boundaries of Privacy Harm[J].Indiana Law Journal， 2011，86（3）：1131-1135.

[15] Bolognini L ， Bistolfi C . Pseudonymization and impacts of Big （personal/anonymous） Data processing in the transition from the Directive 95/46/EC to the new EU General Data Protection Regulation[J]. Computer Law & Security Review，2017，33（2）：171-181.

[16] Lee A， Bygrave. Data Protection Law， Approaching Its Rationale， Logic and Limits[M].Kluwer Law Intl，2002.

作者簡介：

陳子朝（1995-），男，漢族，山東青島人，華東政法大學(xué)，在讀碩士;主要研究方向和關(guān)注領(lǐng)域：知識(shí)產(chǎn)權(quán)法、個(gè)人數(shù)據(jù)保護(hù)。