多方計(jì)算特定應(yīng)用場(chǎng)景的匿名化認(rèn)定與建議

莊媛媛 靳 晨 何昊青

1(華控清交信息科技(北京)有限公司 北京 100084)

2(清華大學(xué)五道口金融學(xué)院 北京 100084)

1 匿名化相關(guān)規(guī)定對(duì)數(shù)據(jù)流通的意義

新一代信息技術(shù)的迅速發(fā)展，使得數(shù)據(jù)控制者(controller)對(duì)于數(shù)據(jù)主體(data subject)個(gè)人信息的收集、處理、利用的深度與廣度不斷加大.隨著數(shù)據(jù)控制者越發(fā)強(qiáng)勢(shì)，數(shù)據(jù)主體的權(quán)利顯得微不足道.為了消弭數(shù)據(jù)控制者與數(shù)據(jù)主體之間的權(quán)責(zé)失衡，保障個(gè)人信息能夠合理利用，各國(guó)紛紛出臺(tái)了建立在“告知同意”框架下的個(gè)人信息保護(hù)相關(guān)法律法規(guī)，定義了匿名化等概念，并給出了相應(yīng)的管理規(guī)定.

各國(guó)對(duì)匿名化等相關(guān)術(shù)語(yǔ)的定義多有出入，寬嚴(yán)不一，但主要皆聚焦于信息能否“識(shí)別出特定個(gè)人”，其根本目的在于通過(guò)將特定個(gè)人“埋沒(méi)”于群體中，在“統(tǒng)計(jì)學(xué)意義上”保障個(gè)人隱私.在我國(guó)，“匿名化”“去標(biāo)識(shí)化”“假名化”等原屬于技術(shù)概念的范疇，2021年出臺(tái)的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)保法》)，定義了“去標(biāo)識(shí)化”與“匿名化”，并將匿名化處理后的信息排除在《個(gè)保法》規(guī)制的范疇之外，至此“去標(biāo)識(shí)化”與“匿名化”在我國(guó)已經(jīng)成為法律概念.對(duì)于匿名化處理后的數(shù)據(jù)的豁免規(guī)定，歐盟的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)將匿名化數(shù)據(jù)排除GDPR規(guī)制范疇；美國(guó)《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(California Consumer Privacy Act, CCPA)將去標(biāo)識(shí)化后且無(wú)法合理識(shí)別出特定個(gè)人的信息排除CCPA規(guī)制范疇，以上規(guī)定皆旨在平衡個(gè)人信息隱私保護(hù)與個(gè)人信息流通所能帶來(lái)利益之間的關(guān)系.

從匿名化數(shù)據(jù)消除了數(shù)據(jù)集中個(gè)體顆粒度的角度來(lái)看，該方式確實(shí)能夠在一定程度上保障個(gè)人隱私，但還有以下問(wèn)題亟待厘清：

1) 匿名化既是法律概念也是技術(shù)問(wèn)題，是網(wǎng)絡(luò)安全、信息安全與數(shù)據(jù)保護(hù)的關(guān)鍵一環(huán)，需要考慮涉及數(shù)據(jù)上下游產(chǎn)業(yè)鏈對(duì)數(shù)據(jù)的利用情況，輔之以政策、法律法規(guī)、標(biāo)準(zhǔn)、內(nèi)部管理制度；

2) 匿名化不是孤立的，數(shù)據(jù)鏈條上相關(guān)方的數(shù)據(jù)處理與保護(hù)能力各不相同，對(duì)于數(shù)據(jù)的顆粒度需求也不同，故需結(jié)合數(shù)據(jù)的實(shí)際使用場(chǎng)景和目的去探討；

3) 匿名化是一種對(duì)數(shù)據(jù)“狀態(tài)”的評(píng)估，但數(shù)據(jù)處理是一個(gè)動(dòng)態(tài)的過(guò)程，需充分衡量整個(gè)動(dòng)態(tài)過(guò)程的評(píng)估與管理；

4) 合理利用數(shù)據(jù)是匿名化的目的，但匿名化不是唯一的起點(diǎn)或者手段，新技術(shù)的出現(xiàn)將會(huì)改變合理利用數(shù)據(jù)的方式.

在目前的研究過(guò)程中，上述問(wèn)題并未受到充分關(guān)注.因此，本文將以歐美對(duì)匿名化的相關(guān)規(guī)定為起點(diǎn)，闡釋上述觀點(diǎn)并結(jié)合具體應(yīng)用場(chǎng)景辨析匿名化相關(guān)規(guī)定在合規(guī)實(shí)踐上的難點(diǎn)，于文末提出相關(guān)的政策建議.

2 歐美匿名化相關(guān)規(guī)定及其發(fā)展

2.1 歐盟匿名化規(guī)定解讀

2.1.1 歐盟匿名化概念及發(fā)展歷程

在技術(shù)領(lǐng)域，匿名化模型的起點(diǎn)可以追溯至1997年美國(guó)的Samarati和Sweeney提出的k匿名模型，目前也發(fā)展出許多其他的技術(shù)與解決方案.在法律領(lǐng)域，歐盟1995年的《數(shù)據(jù)保護(hù)指令》提及“匿名化”的概念.隨著技術(shù)的進(jìn)步，各產(chǎn)業(yè)對(duì)數(shù)據(jù)挖掘、共享、交換的需求越來(lái)越高，為保護(hù)個(gè)人隱私，各界紛紛對(duì)匿名化及其技術(shù)投入了更多關(guān)注，在與個(gè)人信息有關(guān)的法律法規(guī)中都有跡可循.例如，2014年歐盟第29條數(shù)據(jù)保護(hù)工作組起草的《關(guān)于匿名技術(shù)的意見(jiàn)》，對(duì)匿名化的場(chǎng)景因素、判斷標(biāo)準(zhǔn)、常用匿名化技術(shù)等，結(jié)合1995年的《數(shù)據(jù)保護(hù)指令》與2002年的《電子隱私指令》作了詳盡的介紹.2020年歐盟《電子隱私條例》延續(xù)了匿名化的相關(guān)規(guī)定，規(guī)定用于研究的元數(shù)據(jù)必須匿名化或假名化、電子通信服務(wù)商必須對(duì)其元數(shù)據(jù)刪除或匿名化處理(如圖1所示).

圖1 歐盟匿名化相關(guān)概念的發(fā)展

2.1.2 歐盟匿名化和假名化的區(qū)別

歐盟在對(duì)于個(gè)人數(shù)據(jù)匿名化方面提出了“假名化”與“匿名化”這2個(gè)概念.假名化(pseudonymisation)是一種處理數(shù)據(jù)的方式，使其在不結(jié)合額外信息的情況下，無(wú)法再度識(shí)別到特定數(shù)據(jù)主體，前提是這些額外信息必須單獨(dú)保存，采取相應(yīng)技術(shù)和組織措施，確保個(gè)人數(shù)據(jù)不再被用于識(shí)別特定自然人(如圖2所示).

圖2 歐盟匿名化概念圖例

匿名數(shù)據(jù)(anonymous data)則是與已識(shí)別或可識(shí)別的自然人無(wú)關(guān)的數(shù)據(jù)，以及經(jīng)過(guò)處理后無(wú)法或不再可識(shí)別到特定自然人的數(shù)據(jù).在《關(guān)于匿名化技術(shù)的意見(jiàn)》中對(duì)其有更詳盡的闡釋，認(rèn)為“只有當(dāng)數(shù)據(jù)控制者將數(shù)據(jù)匯總到個(gè)別事件(event-level)不再可識(shí)別的水平時(shí)”該數(shù)據(jù)集才是匿名的數(shù)據(jù)集，即數(shù)據(jù)控制者應(yīng)當(dāng)在事件層面刪除原始(可識(shí)別)的數(shù)據(jù)(如圖3所示).

圖3 歐盟去標(biāo)識(shí)化概念圖例

2.1.3 歐盟關(guān)于匿名化的技術(shù)評(píng)估

歐盟的《關(guān)于匿名技術(shù)的意見(jiàn)》主要從3個(gè)維度考慮匿名化技術(shù)的穩(wěn)健(robustness)程度：

1) 篩選(singling out).將數(shù)據(jù)集中的所有或某些記錄分離出來(lái)，從而識(shí)別出特定個(gè)人.

2) 關(guān)聯(lián)(linkability).從1個(gè)數(shù)據(jù)集中的至少2條記錄或者至少不同數(shù)據(jù)集中的2條記錄關(guān)聯(lián)到特定個(gè)人(單獨(dú)的數(shù)據(jù)集中無(wú)法篩選出特定個(gè)人則不具有篩選風(fēng)險(xiǎn)).

3) 推斷(inference).從1組其他屬性顯著可能地推斷出其他屬性.

當(dāng)數(shù)據(jù)集有可能出現(xiàn)篩選、關(guān)聯(lián)、推斷情況時(shí)，數(shù)據(jù)集就不是匿名化的數(shù)據(jù)集，需受GDPR的約束.《關(guān)于匿名技術(shù)的意見(jiàn)》中將對(duì)標(biāo)簽進(jìn)行加密的一類密碼學(xué)相關(guān)技術(shù)歸類為假名化的技術(shù)，認(rèn)為該類技術(shù)在不結(jié)合其他技術(shù)的情況下，無(wú)法實(shí)現(xiàn)匿名化(如圖4所示).在評(píng)估穩(wěn)健性要求時(shí)，采取“合理可能”(reasonably likely)的標(biāo)準(zhǔn)，即綜合考慮了采取重識(shí)別的技術(shù)手段需付出的成本(所需時(shí)間與資源)和技術(shù)，并且考慮了技術(shù)隨時(shí)間發(fā)展的變化.

圖4 歐盟關(guān)于匿名化的判斷

2.2 美國(guó)不采用匿名化，而采用假名化和去標(biāo)識(shí)化

美國(guó)采用去標(biāo)識(shí)化(de-identification)與假名化(pseudonymization)的概念，而未有匿名化的概念，即將個(gè)人信息中的直接或者間接標(biāo)識(shí)符刪除.1996年出臺(tái)的《健康保險(xiǎn)責(zé)任流通法案》(Health Insurance Portability and Accountability Act, HIPAA)是最早有關(guān)個(gè)人信息去身份化的法律規(guī)定.HIPPA指出去標(biāo)識(shí)化處理后的健康信息，使用和公開(kāi)不再受限，其認(rèn)定標(biāo)準(zhǔn)采取“專家標(biāo)準(zhǔn)”與“安全港標(biāo)準(zhǔn)”.2015年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)發(fā)表了《個(gè)人信息去標(biāo)識(shí)化》，將去標(biāo)識(shí)化定義為從數(shù)據(jù)庫(kù)刪除身份信息，使其不能再鏈接到特定個(gè)人，處理后的數(shù)據(jù)不再受到隱私保護(hù)的限制.美國(guó)關(guān)于去標(biāo)識(shí)化的方法較為簡(jiǎn)單，將標(biāo)識(shí)符分為直接標(biāo)識(shí)符與準(zhǔn)標(biāo)識(shí)符(間接標(biāo)識(shí)符)，對(duì)于與特定個(gè)人高度關(guān)聯(lián)的直接標(biāo)識(shí)符，應(yīng)采取“刪除”或者“置換”的方式.準(zhǔn)標(biāo)識(shí)符無(wú)法直接識(shí)別到特定個(gè)人，但結(jié)合其他信息后則可連接到特定個(gè)人，對(duì)其可選擇抑制(suppression)、泛化(generalization)、干擾(perturbation)、交換(swapping)、子抽樣(sub-sampling)的處理方式.2018年的《加利福尼亞州消費(fèi)者隱私法案》(The California Consumer Privacy Act, CCPA)將去標(biāo)識(shí)化的消費(fèi)者信息或聚合消費(fèi)者信息排除在個(gè)人信息的范圍之外.“假名化”則是一種個(gè)人信息的處理方式，在附加信息單獨(dú)保存并受技術(shù)合組織管理的前提下，通過(guò)該方式處理后的數(shù)據(jù)若不附加其他信息則不再被用于識(shí)別到特定個(gè)人.2020年的《加利福尼亞隱私權(quán)法案》(Consumer Privacy Bill of Right Act, CPRA)對(duì)去標(biāo)識(shí)化與假名化的相關(guān)規(guī)定與CCPA一致，同時(shí)還認(rèn)為去標(biāo)識(shí)化后的數(shù)據(jù)仍有殘存的安全風(fēng)險(xiǎn)，規(guī)定信息處理者有禁止重新識(shí)別的義務(wù)，從管理的角度上保障個(gè)人信息安全(如圖5所示).

圖5 美國(guó)匿名化相關(guān)概念發(fā)展

可以看出，相較于歐盟的規(guī)定，美國(guó)對(duì)于去標(biāo)識(shí)化的標(biāo)準(zhǔn)作了較為寬松的規(guī)定，提出的技術(shù)手段操作上更加簡(jiǎn)易，對(duì)于去標(biāo)識(shí)化結(jié)果也沒(méi)有提出定量或定性的評(píng)估方式.美國(guó)更傾向于通過(guò)合同約束數(shù)據(jù)的轉(zhuǎn)讓者與接收者，并且在法律當(dāng)中規(guī)定其具有禁止重新識(shí)別的義務(wù)(如圖6所示).

圖6 歐美匿名化、假名化、去標(biāo)識(shí)化相關(guān)概念對(duì)比

3 國(guó)內(nèi)對(duì)去標(biāo)識(shí)化、匿名化的定義及發(fā)展

2016年出臺(tái)的《網(wǎng)絡(luò)安全法》是我國(guó)法律領(lǐng)域與“匿名化”相關(guān)概念的起點(diǎn).其中第42條規(guī)定，不得向他人提供個(gè)人信息，但經(jīng)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外.2017年《信息安全技術(shù) 個(gè)人信息安全規(guī)范》是我國(guó)首次對(duì)“匿名化”“去標(biāo)識(shí)化”定義的標(biāo)準(zhǔn).匿名化為通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無(wú)法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過(guò)程.個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息.去標(biāo)識(shí)化指的是通過(guò)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的過(guò)程.2019年《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》(以下簡(jiǎn)稱《去標(biāo)識(shí)化指南》)提出了常用去標(biāo)識(shí)化技術(shù)，并且對(duì)技術(shù)的去標(biāo)識(shí)化效果進(jìn)行了評(píng)價(jià).需要提及的是，該評(píng)價(jià)并非從“匿名化”的角度出發(fā)，而是將所有技術(shù)都置于“去標(biāo)識(shí)化”的框架下，最后將去標(biāo)識(shí)化后的效果進(jìn)行重標(biāo)識(shí)風(fēng)險(xiǎn)評(píng)估(如圖7所示).與歐盟的《關(guān)于匿名化技術(shù)的意見(jiàn)》類似，《去標(biāo)識(shí)化指南》列舉了3類重標(biāo)識(shí)的方法即隔離、關(guān)聯(lián)、推斷，并提出了重標(biāo)識(shí)概率的定量分析方法，即先計(jì)算每行的重標(biāo)識(shí)概率，從而得出數(shù)據(jù)集重標(biāo)識(shí)的概率，再結(jié)合環(huán)境風(fēng)險(xiǎn)計(jì)算整個(gè)數(shù)據(jù)集重標(biāo)識(shí)的概率.2021年4月，《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《分級(jí)評(píng)估規(guī)范》)給出了定量的去標(biāo)識(shí)化評(píng)估方式，如圖8所示，這與歐美的技術(shù)意見(jiàn)相比增加了可供評(píng)價(jià)的依據(jù).

圖7 我國(guó)去標(biāo)識(shí)化、匿名化相關(guān)概念發(fā)展

圖8 我國(guó)匿名化相關(guān)的判斷

相較去標(biāo)識(shí)化，我國(guó)關(guān)于匿名化的提法不多.2020年《民法典 人格權(quán)篇》將散見(jiàn)于相關(guān)法律法規(guī)當(dāng)中的人格權(quán)統(tǒng)一其中，人格權(quán)、隱私權(quán)、個(gè)人信息有了新的內(nèi)涵.對(duì)匿名化信息有關(guān)的規(guī)定可見(jiàn)于第1038條，未經(jīng)自然人同意不得向他人非法提供其個(gè)人信息，但是經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外.2021年《個(gè)保法》定義了匿名化與去標(biāo)識(shí)化，其由標(biāo)準(zhǔn)中的技術(shù)概念，上升為法律概念.具體地，《個(gè)保法》指出匿名化為個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程，個(gè)人信息不包括匿名化處理后的信息，隱含了數(shù)據(jù)控制者可不經(jīng)數(shù)據(jù)主體同意對(duì)數(shù)據(jù)進(jìn)行處理的意涵；而經(jīng)過(guò)去標(biāo)識(shí)化的個(gè)人信息，借助額外信息還能識(shí)別到特定自然人，需遵循《個(gè)保法》的各項(xiàng)規(guī)定.

4 對(duì)我國(guó)個(gè)人信息保護(hù)的法律思考

從上可知，我國(guó)《個(gè)保法》對(duì)匿名化、去標(biāo)識(shí)化的闡釋較為籠統(tǒng)，在實(shí)踐中結(jié)合不同的場(chǎng)景可能有不同的解釋，故需要具備更廣泛的適用性.在技術(shù)上，去標(biāo)識(shí)化可結(jié)合《去標(biāo)識(shí)化指南》對(duì)具體數(shù)據(jù)集作出相應(yīng)操作，并參照其中風(fēng)險(xiǎn)評(píng)估方法考核去標(biāo)識(shí)化的具體效果，落地可操作性較強(qiáng).但對(duì)于匿名化而言，我國(guó)目前尚未有匿名化相關(guān)的技術(shù)指南、評(píng)估標(biāo)準(zhǔn)，實(shí)踐中亦未有人能明確自身處理后的數(shù)據(jù)為匿名化數(shù)據(jù)，若未能很好地結(jié)合實(shí)際，規(guī)范恐將淪為一個(gè)空洞且無(wú)意義的概念.故將現(xiàn)有的法律法規(guī)、標(biāo)準(zhǔn)結(jié)合歐美對(duì)于匿名化一類概念的相關(guān)規(guī)定以及實(shí)踐中可能遇到的問(wèn)題，提出如下觀點(diǎn)，以茲參考.

4.1 定級(jí)方面

《分級(jí)評(píng)估規(guī)范》將去標(biāo)識(shí)化的效果分為4級(jí)，但未明確說(shuō)明哪一個(gè)級(jí)別或者達(dá)到何種程度效果的數(shù)據(jù)為匿名化數(shù)據(jù)，或者可在哪個(gè)范圍使用的去標(biāo)識(shí)化數(shù)據(jù)，從規(guī)范到實(shí)踐有一定的跨度.例如：《分級(jí)評(píng)估規(guī)范》中的4級(jí)聚合數(shù)據(jù)僅具有統(tǒng)計(jì)概念上的意義，符合《個(gè)保法》對(duì)匿名化定義的內(nèi)涵.

4.2 定量分析方面

《分級(jí)評(píng)估規(guī)范》是以“重標(biāo)識(shí)概率”來(lái)定義風(fēng)險(xiǎn)，但必須明確的是“重標(biāo)識(shí)”只是數(shù)據(jù)風(fēng)險(xiǎn)的其中一個(gè)維度，通過(guò)定量分析出來(lái)重標(biāo)識(shí)概率高的數(shù)據(jù)集并不能完全代表數(shù)據(jù)集的其他風(fēng)險(xiǎn)就高.比如：完全公開(kāi)共享數(shù)據(jù)，除非數(shù)據(jù)集足夠大、等價(jià)類足夠多，否則在該計(jì)算方法下總體風(fēng)險(xiǎn)值為1(數(shù)值越大風(fēng)險(xiǎn)越高).但從數(shù)據(jù)敏感程度的角度來(lái)看，被完全公開(kāi)的數(shù)據(jù)集(合法合規(guī)的前提下)，一般是風(fēng)險(xiǎn)極低的非敏感數(shù)據(jù).故《分級(jí)評(píng)估規(guī)范》評(píng)估出的重標(biāo)識(shí)風(fēng)險(xiǎn)與數(shù)據(jù)實(shí)質(zhì)上面臨的風(fēng)險(xiǎn)考慮上應(yīng)當(dāng)有所區(qū)別.

4.3 對(duì)于密碼學(xué)技術(shù)去標(biāo)識(shí)化的認(rèn)識(shí)

無(wú)論是在歐盟《關(guān)于匿名技術(shù)的意見(jiàn)》中還是在我國(guó)的《去標(biāo)識(shí)化指南》中都有提及密碼學(xué)相關(guān)技術(shù)，對(duì)于密碼學(xué)技術(shù)的考慮局限于用其對(duì)標(biāo)識(shí)符進(jìn)行加密處理，只要密鑰沒(méi)刪除，個(gè)人信息就可以被“重新識(shí)別”.《去標(biāo)識(shí)化指南》認(rèn)為其不可能降低隔離風(fēng)險(xiǎn)、關(guān)聯(lián)風(fēng)險(xiǎn)、推導(dǎo)風(fēng)險(xiǎn)與可辨別風(fēng)險(xiǎn).上述認(rèn)識(shí)具有一定局限性，因?yàn)樵诿艽a學(xué)技術(shù)中，在安全性假設(shè)成立的前提下其安全性具有嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)證明.只要符合基于其安全性假設(shè)建立的安全模型，隔離、關(guān)聯(lián)與推斷風(fēng)險(xiǎn)對(duì)于密碼技術(shù)來(lái)說(shuō)在所有“合理可能”(攻擊者的能力，如有效時(shí)間和計(jì)算能力)的情況下是可忽略的，除非攻擊者付出“不合理的努力”(違法攻擊服務(wù)器)才會(huì)發(fā)生，即在“合理可能”的情況下該風(fēng)險(xiǎn)近乎于0，符合匿名化的要求.

4.4 關(guān)于“合理可能”的考慮

歐盟認(rèn)為匿名化應(yīng)當(dāng)考慮重識(shí)別所需的具體手段，特別是實(shí)施這些手段的成本和技術(shù)，評(píng)估對(duì)匿名化付出的努力和成本.我國(guó)的相關(guān)規(guī)定則不具備這方面的考慮，是一種較為絕對(duì)的規(guī)定方式.

4.5 關(guān)于“可操作性”的考慮

美國(guó)的相關(guān)規(guī)定則是將規(guī)定中的標(biāo)識(shí)符刪除或置換即可達(dá)到相應(yīng)標(biāo)準(zhǔn)，從技術(shù)上看是一種較為“簡(jiǎn)單粗暴”的保障方式，但是操作方式較為簡(jiǎn)便，評(píng)估也具備可行性，其關(guān)鍵在于對(duì)管理的要求較高，包括對(duì)于違反規(guī)則所導(dǎo)致個(gè)人或群體利益受損時(shí)的追責(zé)機(jī)制健全.

4.6 對(duì)于“識(shí)別主體”的考慮

目前《個(gè)保法》對(duì)匿名化與去標(biāo)識(shí)化的定義中未有對(duì)“無(wú)法識(shí)別到特定個(gè)人”的“識(shí)別主體”作出相應(yīng)規(guī)定，但在實(shí)際業(yè)務(wù)場(chǎng)景中，對(duì)個(gè)人信息的保護(hù)考慮可能是“第三人”不可識(shí)別出特定個(gè)人，而對(duì)數(shù)據(jù)發(fā)送和接收方則是利用管理的手段保障個(gè)人信息安全.

4.7 對(duì)于數(shù)據(jù)處理全流程活動(dòng)的考慮

去標(biāo)識(shí)化考慮的模式是單方采集、享有、處理的數(shù)據(jù)，要對(duì)外發(fā)送時(shí)，用去除可識(shí)別出特定自然人標(biāo)簽的方式來(lái)保障個(gè)人信息不被泄露.但目前市場(chǎng)上對(duì)數(shù)據(jù)多方融合的需求已經(jīng)進(jìn)入深水區(qū)，對(duì)于數(shù)據(jù)中存在的個(gè)人信息保護(hù)已經(jīng)可以貫穿數(shù)據(jù)處理的全流程活動(dòng)，而無(wú)需將其限定在數(shù)據(jù)處理的起點(diǎn).

5 基于多方計(jì)算數(shù)據(jù)交易所場(chǎng)景下的匿名化認(rèn)定

在厘清我國(guó)匿名化、去標(biāo)識(shí)化相關(guān)概念與實(shí)踐中，近年來(lái)我國(guó)隱私計(jì)算技術(shù)的發(fā)展也為數(shù)據(jù)流通創(chuàng)造了新的可能性.本文在自主可控的多方計(jì)算(multi-party computation, MPC)應(yīng)用可能存在問(wèn)題的基礎(chǔ)上，選取大數(shù)據(jù)交易所為例，對(duì)在采用MPC的特定場(chǎng)景下匿名化的認(rèn)定進(jìn)行分析.MPC是一種基于多方數(shù)據(jù)協(xié)同完成計(jì)算目標(biāo)，實(shí)現(xiàn)除計(jì)算結(jié)果及其可推導(dǎo)出的信息之外不泄露各方隱私數(shù)據(jù)的密碼技術(shù).計(jì)算因子是基于多方計(jì)算輸入數(shù)據(jù)產(chǎn)生的數(shù)據(jù)，包括輸入因子、輸出因子和中間因子.輸入因子是指數(shù)據(jù)提供方執(zhí)行數(shù)據(jù)輸入過(guò)程后可供計(jì)算方執(zhí)行后續(xù)計(jì)算的數(shù)據(jù)；輸出因子是指計(jì)算方執(zhí)行計(jì)算后，返回給結(jié)果適用房用以恢復(fù)最終計(jì)算結(jié)果的數(shù)據(jù)；中間因子指計(jì)算方中間計(jì)算過(guò)程中產(chǎn)生的數(shù)據(jù).數(shù)據(jù)交易所基于MPC的數(shù)據(jù)交易平臺(tái)，可實(shí)現(xiàn)數(shù)據(jù)的安全交易，降低因數(shù)據(jù)交易造成的個(gè)人信息泄露的風(fēng)險(xiǎn).

5.1 數(shù)據(jù)交易的參與主體

1) 每個(gè)需要作數(shù)據(jù)共享的部門(mén)或單位都是數(shù)據(jù)提供方，如圖9的數(shù)據(jù)提供方1與數(shù)據(jù)提供方2.在每個(gè)數(shù)據(jù)提供方部署數(shù)據(jù)接入模塊，對(duì)應(yīng)圖中的“MPC數(shù)據(jù)輸入處理”，用于實(shí)現(xiàn)數(shù)據(jù)的密文接入.

圖9 基于MPC的數(shù)據(jù)交易平臺(tái)匿名化的認(rèn)定

2) 數(shù)據(jù)交易平臺(tái)是計(jì)算方，主要提供算力，監(jiān)督數(shù)據(jù)交易過(guò)程.

3) 結(jié)果獲得方一般也是數(shù)據(jù)的實(shí)際需求方.

5.2 數(shù)據(jù)交易的流程

1) 數(shù)據(jù)提供方提供數(shù)據(jù)目錄；

2) 數(shù)據(jù)需求方查看數(shù)據(jù)目錄，根據(jù)自身需求與數(shù)據(jù)交易所訂立合約；

3) 數(shù)據(jù)提供方審核所需數(shù)據(jù)及算法后，將數(shù)據(jù)通過(guò)MPC數(shù)據(jù)輸入處理后形成計(jì)算因子，將計(jì)算因子傳輸至數(shù)據(jù)交易平臺(tái)；

4) 數(shù)據(jù)交易平臺(tái)對(duì)接入的計(jì)算因子根據(jù)合約中的算法進(jìn)行計(jì)算；

5) 數(shù)據(jù)交易平臺(tái)將計(jì)算后的結(jié)果發(fā)送至數(shù)據(jù)需求方(結(jié)果獲得方).

5.3 數(shù)據(jù)交易的管理

數(shù)據(jù)提供方對(duì)算法進(jìn)行審核，只有審核通過(guò)后，數(shù)據(jù)需求方才能正常使用該算法.數(shù)據(jù)交易平臺(tái)基于區(qū)塊鏈等技術(shù)搭建的應(yīng)用，負(fù)責(zé)數(shù)據(jù)資源目錄管理、數(shù)據(jù)合約訂立和執(zhí)行以及數(shù)據(jù)安全融合流程存證等功能，建立多方可見(jiàn)且不可篡改的存證體系，支持問(wèn)題溯源和審計(jì)需求.

5.4 數(shù)據(jù)交易中匿名化數(shù)據(jù)的認(rèn)定

1) 輸入因子，不降低數(shù)據(jù)的可用性，其他方只有在獲得所有輸入因子時(shí)才可能恢復(fù)、識(shí)別出原始數(shù)據(jù)集中的特定自然人，可以說(shuō)每個(gè)獨(dú)立的輸入因子完全符合匿名化的相關(guān)規(guī)定；

2) 輸入因子在數(shù)據(jù)交易平臺(tái)集中計(jì)算，可能被視為“加密數(shù)據(jù)與密鑰結(jié)合”，導(dǎo)致不再被視為“匿名化”，但計(jì)算場(chǎng)所是一個(gè)可監(jiān)管的環(huán)境，通過(guò)嚴(yán)格的管理約束，按照計(jì)算合約限制的范圍完成計(jì)算，基本不存在泄露特定個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)；

3) 數(shù)據(jù)交易平臺(tái)輸出的輸出因子依然是加密數(shù)據(jù)，符合匿名化的相關(guān)規(guī)定；

4) 輸出因子傳輸至計(jì)算結(jié)果獲得方，通過(guò)MPC數(shù)據(jù)輸出處理(解密)，從而獲得“計(jì)算結(jié)果”，其一般為一個(gè)不具備任何可識(shí)別出特定自然人可能性的“模型”或者符合“聚合數(shù)據(jù)”特征的數(shù)據(jù).“聚合數(shù)據(jù)”在《分級(jí)評(píng)估規(guī)范》被定為第4級(jí)，雖然目前該級(jí)別數(shù)據(jù)尚未被認(rèn)定為匿名化數(shù)據(jù)，但根據(jù)其“不可重識(shí)別出特定個(gè)人”的特性，可認(rèn)為其符合匿名化的相關(guān)規(guī)定.

5.5 數(shù)據(jù)交易需考慮的風(fēng)險(xiǎn)點(diǎn)

1) 計(jì)算因子僅在符合安全性假設(shè)的前提下，可視為完全清除“隔離”“關(guān)聯(lián)”“推斷”風(fēng)險(xiǎn)，即不存在被識(shí)別出的可能性；

2) 計(jì)算因子的“匿名化”保證，需結(jié)合管理上的措施，對(duì)算法用途的審核，保證數(shù)據(jù)有限的用途，且不可用于識(shí)別出特定個(gè)人.

6 結(jié)論與建議

6.1 法律法規(guī)與標(biāo)準(zhǔn)的制定應(yīng)當(dāng)考慮技術(shù)進(jìn)步及其應(yīng)用場(chǎng)景

去標(biāo)識(shí)化是一種通過(guò)對(duì)標(biāo)識(shí)符處理來(lái)達(dá)到不可識(shí)別具體個(gè)人效果的技術(shù)，較少考慮數(shù)據(jù)在具體場(chǎng)景應(yīng)用上的問(wèn)題，也忽略了技術(shù)進(jìn)步在法律法規(guī)中的融合實(shí)踐.因?yàn)樾畔⒓夹g(shù)的快速發(fā)展，如果對(duì)相關(guān)法令的運(yùn)用解釋過(guò)度制式化、僵化，亦可能造成產(chǎn)業(yè)創(chuàng)新的阻礙.應(yīng)當(dāng)考慮具體化、匿名化與加工信息流程的關(guān)系，并保持彈性以應(yīng)對(duì)各種可能場(chǎng)景的個(gè)案問(wèn)題.

6.2 對(duì)于匿名化的“合理保證”與“重新被識(shí)別”的標(biāo)準(zhǔn)

匿名化應(yīng)當(dāng)是一種“合理保證”而不是“絕對(duì)保證”，法律法規(guī)與標(biāo)準(zhǔn)的制定應(yīng)當(dāng)考慮可操作性，以在實(shí)踐中更好地應(yīng)用.應(yīng)適當(dāng)考慮“重新被識(shí)別”的標(biāo)準(zhǔn)是一種合理的可能性，并建立數(shù)據(jù)責(zé)任人自證其管理完備且已盡到合理可能范圍內(nèi)最大努力的機(jī)制.目前對(duì)于匿名化的效果未有相應(yīng)的標(biāo)準(zhǔn)，《分級(jí)評(píng)估規(guī)范》建立了去標(biāo)識(shí)化后的數(shù)據(jù)集的評(píng)價(jià)機(jī)制，但對(duì)應(yīng)級(jí)別是什么樣類型的數(shù)據(jù)卻未有明示.

6.3 關(guān)于數(shù)據(jù)處理的全流程活動(dòng)與重新識(shí)別的主體

目前所有去標(biāo)識(shí)化的技術(shù)都是“單方”“本地處理”，新的技術(shù)應(yīng)用方式“多方融合”與數(shù)據(jù)處理的全流程活動(dòng)卻沒(méi)有被考慮.去標(biāo)識(shí)化與匿名化考慮的是單方采集、享有、處理的數(shù)據(jù)，要對(duì)外發(fā)送時(shí)，用去除可識(shí)別出特定自然人標(biāo)識(shí)符的方式來(lái)保障個(gè)人信息不被泄露，是一種靜態(tài)的、基于數(shù)據(jù)接收方取得的是明文數(shù)據(jù)集的思路.采用類似MPC的技術(shù)已經(jīng)可以對(duì)數(shù)據(jù)中存在的個(gè)人信息保護(hù)貫穿數(shù)據(jù)處理的全流程活動(dòng)，通過(guò)對(duì)數(shù)據(jù)使用的限制做到數(shù)據(jù)接收方不能濫用個(gè)人信息.同時(shí)，可由6.2節(jié)對(duì)數(shù)據(jù)交易所的場(chǎng)景示例得知，在數(shù)據(jù)交易的關(guān)鍵節(jié)點(diǎn)，數(shù)據(jù)符合“匿名化”相關(guān)規(guī)定；有被“重新識(shí)別”可能性的數(shù)據(jù)交易節(jié)點(diǎn)，被嚴(yán)格監(jiān)管.

6.4 管理機(jī)制對(duì)于個(gè)人信息保護(hù)的重要性

匿名化不能只考慮技術(shù)，隨著法律法規(guī)的逐步完善，數(shù)據(jù)處理的管理機(jī)制對(duì)于個(gè)人信息保護(hù)至關(guān)重要.借鑒美國(guó)的規(guī)定，認(rèn)識(shí)管理手段對(duì)個(gè)人信息保護(hù)的重要性，制定技術(shù)保護(hù)措施與管理規(guī)定，禁止重新識(shí)別到特定自然人.需充分認(rèn)識(shí)到：

1) 數(shù)據(jù)泄露或?yàn)E用造成風(fēng)險(xiǎn)的本質(zhì)是數(shù)據(jù)控制者對(duì)數(shù)據(jù)的“用途”與“用量”失去控制，而在基于MPC的數(shù)據(jù)交易平臺(tái)是對(duì)數(shù)據(jù)“用途”與“用量”的交易，是一種從源頭上控制風(fēng)險(xiǎn)的手段.

2) 在基于MPC的數(shù)據(jù)交易平臺(tái)的數(shù)據(jù)交易中，應(yīng)當(dāng)防范的是利用多次計(jì)算重新識(shí)別出特定個(gè)人及其相關(guān)信息的行為.因此對(duì)數(shù)據(jù)的監(jiān)管應(yīng)重點(diǎn)關(guān)注對(duì)計(jì)算用途的監(jiān)管，而不能僅停留在對(duì)數(shù)據(jù)集標(biāo)識(shí)符去標(biāo)識(shí)化處理的效果及其度量本身.在基于MPC的數(shù)據(jù)交易平臺(tái)中，平臺(tái)監(jiān)督數(shù)據(jù)交易的全過(guò)程、審核計(jì)算合約中的算法、對(duì)交易過(guò)程進(jìn)行存證，是一種事前審核+事中存證+事后審計(jì)的管理模式.

6.5 保障暢通的維權(quán)渠道保護(hù)個(gè)人信息

去標(biāo)識(shí)化與匿名化的規(guī)定是一種風(fēng)險(xiǎn)防范的思維，為了更好地保障個(gè)人信息主體的各項(xiàng)權(quán)益，還應(yīng)當(dāng)完善侵權(quán)責(zé)任的相關(guān)規(guī)定，并且通暢個(gè)人維護(hù)自身權(quán)益的渠道.以數(shù)據(jù)交易所的場(chǎng)景為例，參與數(shù)據(jù)交易的主體與交易所應(yīng)積極地、謹(jǐn)慎地采取有效措施確保信息安全，防止個(gè)人信息泄露與濫用.除了《數(shù)據(jù)安全法》中對(duì)數(shù)據(jù)交易中介所需遵循的相關(guān)規(guī)定外，若數(shù)據(jù)交易引起有關(guān)個(gè)人信息泄露、濫用等問(wèn)題，應(yīng)當(dāng)采取過(guò)錯(cuò)責(zé)任推定，即參與數(shù)據(jù)交易的主體、交易所不能自證無(wú)過(guò)錯(cuò)的情況下，推定其對(duì)個(gè)人信息的泄露、濫用有過(guò)錯(cuò)，應(yīng)承擔(dān)賠償損害的民事責(zé)任，以更好地保護(hù)個(gè)人的權(quán)益，平衡數(shù)據(jù)交易參與各方的權(quán)益.

6.6 對(duì)于特定行業(yè)應(yīng)用的考慮

日本的《次世代醫(yī)療基盤(pán)法》立法移除了現(xiàn)行個(gè)人信息保護(hù)法對(duì)利用醫(yī)療大數(shù)據(jù)造成的障礙，讓各醫(yī)院、醫(yī)療機(jī)關(guān)的個(gè)人醫(yī)療信息相互串聯(lián)流通，有助于醫(yī)療領(lǐng)域能更靈活利用醫(yī)療數(shù)據(jù)作多目的研究與創(chuàng)新.我國(guó)《刑法修正案九》提出非法出售和提供個(gè)人信息罪，絕對(duì)禁止個(gè)人信息的交易行為.但必須明確，排除一切個(gè)人信息有關(guān)數(shù)據(jù)的商業(yè)化應(yīng)用，對(duì)于數(shù)字經(jīng)濟(jì)而言將會(huì)是毀滅性的打擊.同樣以數(shù)據(jù)交易為例，交易的“價(jià)值”所在是數(shù)據(jù)“用途”與“用量”，并不是含有個(gè)人隱私的“個(gè)人信息”本身，出于促進(jìn)數(shù)據(jù)流通的考慮，建議探討對(duì)特定行業(yè)應(yīng)用個(gè)人信息制定相關(guān)豁免條款的可行性.

6.7 結(jié) 語(yǔ)

2021年8月20日《個(gè)保法》正式通過(guò)，其中匿名化處理后的信息不再是個(gè)人信息，此概念備受數(shù)據(jù)相關(guān)從業(yè)人士關(guān)注.從《個(gè)保法》條文看來(lái)，可理解為匿名信息由數(shù)據(jù)控制者(企業(yè))原始取得，但處理后的效果與邊界仍有待進(jìn)一步厘清，以更好地劃分?jǐn)?shù)據(jù)流通過(guò)程中的“權(quán)責(zé)利”.當(dāng)前基于大數(shù)據(jù)分析、人工智能的發(fā)展，推動(dòng)了海量數(shù)據(jù)的匯聚融合，考慮到法律落地與未來(lái)執(zhí)法的可操作性，“匿名化”的實(shí)現(xiàn)路徑應(yīng)當(dāng)是法律、標(biāo)準(zhǔn)、技術(shù)、管理與效果評(píng)估的結(jié)合.本文借鑒歐美匿名化相關(guān)規(guī)定、技術(shù)可操作性，結(jié)合基于多方計(jì)算的數(shù)據(jù)交易所的場(chǎng)景，旨在提出一種可行的匿名化認(rèn)定方式，對(duì)《個(gè)保法》中匿名化落地提出相關(guān)建議.