數(shù)據(jù)匿名化的體系規(guī)范構(gòu)建*

鄭佳寧

(中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院，北京 100088)

在數(shù)字經(jīng)濟(jì)的發(fā)展浪潮中，數(shù)據(jù)成為了社會(huì)生產(chǎn)的一項(xiàng)全新要素，交易中數(shù)據(jù)流的作用已然與現(xiàn)金流無異。隨著個(gè)人信息的交易限制成為企業(yè)生產(chǎn)數(shù)據(jù)產(chǎn)品的桎梏，作為消除數(shù)據(jù)可識(shí)別性的通用技術(shù)，匿名化處理應(yīng)運(yùn)而生。顧名思義，匿名化處理是指使得個(gè)人信息無法被識(shí)別的技術(shù)處理過程。在完成同意采集用戶信息后，企業(yè)通過采用數(shù)種匿名化技術(shù)將其中的個(gè)人信息處理為匿名信息，之后方可進(jìn)入市場流通領(lǐng)域。值得注意的是，數(shù)據(jù)匿名化并不是企業(yè)自發(fā)進(jìn)行的一種單純數(shù)據(jù)處理行為，其價(jià)值也不止停留在商業(yè)層面，事實(shí)上，匿名化對(duì)于個(gè)人信息的保護(hù)與數(shù)據(jù)產(chǎn)品的流通都具有重要價(jià)值。歐盟、美國等地區(qū)或國家均在法律規(guī)范的層面對(duì)匿名化的行為及效果予以關(guān)注，我國也不例外，2017年實(shí)施的《網(wǎng)絡(luò)安全法》、2021年實(shí)施的《個(gè)人信息保護(hù)法》等法律規(guī)范同樣對(duì)數(shù)據(jù)匿名化作了特別規(guī)制。然而，作為個(gè)人信息處理規(guī)則與數(shù)字財(cái)產(chǎn)權(quán)體系結(jié)合并展開的基礎(chǔ)，當(dāng)前我國個(gè)人信息匿名化規(guī)則過于籠統(tǒng)，對(duì)于匿名化的范圍、程序以及效果規(guī)定粗糙，缺乏可識(shí)別性的判斷標(biāo)準(zhǔn)，導(dǎo)致該規(guī)則在數(shù)字經(jīng)濟(jì)實(shí)踐中缺乏明確指引。為此，本文認(rèn)為，數(shù)據(jù)匿名化對(duì)實(shí)現(xiàn)個(gè)人信息保護(hù)和數(shù)據(jù)產(chǎn)品化之間的利益平衡上具有不容忽視的價(jià)值，應(yīng)當(dāng)結(jié)合數(shù)據(jù)的應(yīng)用場景對(duì)匿名化規(guī)范進(jìn)行體系性構(gòu)建。

一、匿名化概念的梳理、辨析與解釋

對(duì)數(shù)據(jù)匿名化作出規(guī)范層面論述之前，首先要對(duì)匿名化相關(guān)概念的內(nèi)涵進(jìn)行剖析，以避免諸多概念運(yùn)用中的誤解與齟齬。詞源上看，英文中的 “anonymization”源自希臘語“anonymia”，原意為沒有名稱的或佚名的。至今，英文詞典中的匿名仍舊是指行為或事件主體姓名的不為人所知或被隱藏的狀態(tài)。[1]而布萊克法律詞典則賦予“匿名”一詞簡潔卻更進(jìn)一步的解釋——不知姓名或未得識(shí)別。[2]圍繞自然人主體的姓名及其背后的身份，以可識(shí)別性為橋梁匿名化后形成的匿名信息與個(gè)人信息構(gòu)成了對(duì)立的兩端——個(gè)人信息以對(duì)自然人身份的識(shí)別為特征，而匿名信息則以不具有身份標(biāo)識(shí)性為特征。因此，匿名信息除了包括本身即未與任何被識(shí)別或能被識(shí)別的自然人發(fā)生關(guān)聯(lián)的非個(gè)人信息，還包括個(gè)人信息經(jīng)特定方式的匿名化處理后形成的、不再能被用以識(shí)別個(gè)人身份的個(gè)人信息。學(xué)者們所關(guān)注的顯然是與個(gè)人信息發(fā)生互動(dòng)的后者，即通過匿名化阻斷相關(guān)信息與個(gè)人身份的關(guān)聯(lián)性。[3]更具體而言，本文中使用的“匿名”或“匿名化”之詞語涵蓋了表狀態(tài)的匿名化效果和表過程的匿名化處理兩層含義。表狀態(tài)的匿名化，是指個(gè)人信息經(jīng)處理后達(dá)到的無法識(shí)別個(gè)人信息主體的不可復(fù)原的、永久性的結(jié)果，匿名信息中的匿名即為此義。表過程的匿名化，或稱匿名化處理，是指為達(dá)到匿名狀態(tài)而運(yùn)用技術(shù)手段對(duì)個(gè)人信息進(jìn)行處理的過程。然而，完滿的匿名化狀態(tài)僅僅是一種理論上的美好追求和絕對(duì)化假定——第三方處理者總有諸多動(dòng)機(jī)反其道而行之，對(duì)數(shù)據(jù)的匿名化狀態(tài)進(jìn)行破解。這種以再次識(shí)別個(gè)人信息主體為目標(biāo)、與匿名化處理恰恰反向的行為被稱為去匿名化。質(zhì)言之，表狀態(tài)的匿名化效果只是理想情形，當(dāng)個(gè)人信息轉(zhuǎn)變?yōu)槟涿畔⒅螅谌教幚碚呖偸乔Х桨儆?jì)地采用數(shù)據(jù)挖掘等手段對(duì)匿名信息進(jìn)行去匿名化，繼而將匿名信息復(fù)原為個(gè)人信息，侵犯個(gè)人隱私等權(quán)益的損害由此發(fā)生。

與匿名化相近的概念是去標(biāo)識(shí)化，亦又被譯作去身份化，該詞從組詞方式上來看，是對(duì)“標(biāo)識(shí)”一詞的否定和背離。美國商務(wù)部下轄的國家標(biāo)準(zhǔn)與技術(shù)研究院在相關(guān)文件中將去標(biāo)識(shí)化的信息定義為，其中的個(gè)人可識(shí)別信息已被去除、掩去、模糊化或混淆化，以致余下的信息不能夠且無合理的基礎(chǔ)相信其可被用以識(shí)別自然人個(gè)體的信息。[4]對(duì)于“去匿名化”與“去標(biāo)識(shí)化”概念的辨析，有學(xué)者認(rèn)為，兩者之間本質(zhì)相近，其差異僅體現(xiàn)在用語習(xí)慣上，匿名化為歐洲地區(qū)常用詞，而去標(biāo)識(shí)化則是北美地區(qū)的用法。[5]本文則認(rèn)為，除去使用地域上的表象差異，無論是從立法相關(guān)文件抑或?qū)W者著述中看，去標(biāo)識(shí)化與匿名化相較存在明顯不同。兩者雖然都強(qiáng)調(diào)個(gè)人信息主體無法被識(shí)別或者關(guān)聯(lián)，即不可識(shí)別性，但匿名化同時(shí)要求“不可復(fù)原性”。去標(biāo)識(shí)化則不然，由于使用假名、加密等替代性標(biāo)識(shí)技術(shù)，其本身含有“還原”標(biāo)識(shí)的可能性。假名與加密是去標(biāo)識(shí)化的主要技術(shù)手段，這種解釋被歐盟、美國的法律規(guī)范所采納，亦符合我國2020年發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中的表述邏輯。①假名，是指通過令牌化、應(yīng)用哈希函數(shù)等替換個(gè)人信息中直接標(biāo)識(shí)符的部分或全部的數(shù)據(jù)處理技術(shù)。加密，是指運(yùn)用計(jì)算機(jī)加密算法，將個(gè)人信息轉(zhuǎn)換為密文，并將密鑰妥善保管的數(shù)據(jù)處理技術(shù)。假名和加密技術(shù)在個(gè)人信息保護(hù)處理層面具有顯而易見的共性，即兩者對(duì)個(gè)人信息可識(shí)別性的處理都是可逆的。關(guān)于假名技術(shù)，國際標(biāo)準(zhǔn)化組織在2017年修訂《醫(yī)療信息學(xué)——假名》中點(diǎn)明，該技術(shù)用一個(gè)或多個(gè)假名替換掉個(gè)人信息中的標(biāo)識(shí)符，雖然在一個(gè)方面去除了原個(gè)人信息與個(gè)人信息主體之間的聯(lián)系，但卻在另一方面建立了這些假名和個(gè)人信息主體特征之間的新聯(lián)系。②可想而知，這種新聯(lián)系如果為合法控制數(shù)據(jù)的企業(yè)之外的其他主體所掌握，則假名化處理將很可能招致未經(jīng)授權(quán)的逆轉(zhuǎn)。關(guān)于加密技術(shù)，加密處理必然產(chǎn)生一套既可以用來加密，也可用以解密的算法密匙，如果這套密匙未得到良好的管理而被未經(jīng)授權(quán)的他人所獲取，那么，對(duì)個(gè)人信息的解密自將發(fā)生。

由于在不可復(fù)原性上存在著顯著區(qū)別，導(dǎo)致去標(biāo)識(shí)化和匿名化的規(guī)范設(shè)計(jì)存在如下不同：第一，在處理手法上，去標(biāo)識(shí)化主要指向?qū)χ苯訕?biāo)識(shí)符的去除、替換或模糊，具體應(yīng)用的技術(shù)通常包括將原數(shù)值替以假名或換上隨機(jī)值等。典型范例為美國2000年頒布的《健康保險(xiǎn)流通與責(zé)任法案》配套隱私規(guī)則(以下簡稱“HIPAA隱私規(guī)則”)中提及的去標(biāo)識(shí)化安全港標(biāo)準(zhǔn)——企業(yè)通過去除規(guī)則中列明的18類識(shí)別符，即可達(dá)到規(guī)范意義上的去標(biāo)識(shí)化效果。這些識(shí)別符中大多數(shù)是姓名、電話號(hào)碼、社會(huì)安全號(hào)碼、醫(yī)療記錄號(hào)碼、證書編號(hào)、URL地址、車牌號(hào)碼、郵箱地址、全臉相片、指紋和聲紋等沒有爭議的直接標(biāo)識(shí)符，準(zhǔn)標(biāo)識(shí)符則僅有選區(qū)、郵編與IP地址三項(xiàng)。③由此可知，其余未被列明的準(zhǔn)標(biāo)識(shí)符將被保留在數(shù)據(jù)集中。而匿名化則不只重視對(duì)直接標(biāo)識(shí)符的去除，還需綜合運(yùn)用數(shù)據(jù)抑制、數(shù)據(jù)模糊化、增加數(shù)據(jù)噪音、數(shù)據(jù)替換、均值替代等統(tǒng)計(jì)披露限制技術(shù)，全面針對(duì)所有標(biāo)識(shí)符進(jìn)行處理。第二，為了實(shí)現(xiàn)信息主體不可識(shí)別的規(guī)范目的，去標(biāo)識(shí)化處理者必須承擔(dān)不得還原信息的前置義務(wù)，才能達(dá)到匿名化的法律效果，因此，可被視為附前提的匿名化。以去標(biāo)識(shí)化為核心的規(guī)范需對(duì)處理者增設(shè)前置義務(wù)，這是因?yàn)?，采用該路徑可能遭致的去匿名化風(fēng)險(xiǎn)通常由于處理直接標(biāo)識(shí)符的簡單手法所致，與匿名化路徑中無法消除的去匿名化風(fēng)險(xiǎn)不可同日而語。因此，例如，美國《加州消費(fèi)者隱私法案》在認(rèn)定去標(biāo)識(shí)化的信息時(shí)，要求使用數(shù)據(jù)的企業(yè)滿足四項(xiàng)前置義務(wù)，即“已開展技術(shù)保障措施防范對(duì)消費(fèi)者的再識(shí)別；已設(shè)置防范再識(shí)別的商業(yè)流程；已設(shè)置防范匿名信息意外泄露的商業(yè)流程；不試圖對(duì)匿名信息進(jìn)行再識(shí)別?！雹苡秩?，HIPAA隱私規(guī)則對(duì)去標(biāo)識(shí)化路徑作出了前提性限定——采用去標(biāo)識(shí)化安全港標(biāo)準(zhǔn)時(shí)，數(shù)據(jù)控制者必須對(duì)去標(biāo)識(shí)化信息可被單獨(dú)使用，或可與其他信息結(jié)合使用以識(shí)別出個(gè)人信息主體的情況存在實(shí)質(zhì)上的不知情。⑤由此可知，不同法域用語習(xí)慣上的差異僅是冰山一角，處理手法與法律效果的不同才是去標(biāo)識(shí)化與匿名化的實(shí)質(zhì)區(qū)別。綜上所述，去標(biāo)識(shí)化應(yīng)當(dāng)被解釋為在追求匿名化過程中退而求其次的一種簡單化處理方法。相應(yīng)地，去標(biāo)識(shí)化無法單獨(dú)實(shí)現(xiàn)匿名化的法律效力——經(jīng)去標(biāo)識(shí)化處理的數(shù)據(jù)不能等同于匿名信息，脫離個(gè)人信息的范疇。因此，本文認(rèn)為，去標(biāo)識(shí)化和匿名化之間具有手段和目的的對(duì)應(yīng)關(guān)系，兩者并不位于同一制度層面，去標(biāo)識(shí)化只是數(shù)據(jù)風(fēng)險(xiǎn)管理的一個(gè)環(huán)節(jié)，不能將其與“匿名化”的概念混同，否則將帶來個(gè)人信息保護(hù)的不足。匿名化規(guī)范作為個(gè)人信息處理與數(shù)據(jù)利用銜接的連接點(diǎn)，不僅包含去標(biāo)識(shí)化的單一規(guī)則，還需要一套包括不可復(fù)原義務(wù)、匿名化風(fēng)險(xiǎn)責(zé)任等規(guī)則在內(nèi)的體系性制度。這樣才能符合統(tǒng)計(jì)學(xué)披露限制理論的邏輯要求，既保護(hù)了數(shù)據(jù)集合的隱私和機(jī)密防范風(fēng)險(xiǎn)發(fā)生，又保留了原始數(shù)據(jù)的總體統(tǒng)計(jì)特征以供數(shù)據(jù)的后續(xù)利用。

因此，在構(gòu)建匿名化體系規(guī)范時(shí)，應(yīng)充分認(rèn)識(shí)兩個(gè)關(guān)鍵問題：一是，欲構(gòu)建語義明確、邏輯自洽的規(guī)范體系，不宜將位居不同層面的匿名化和去標(biāo)識(shí)化概念混用，特別是用去標(biāo)識(shí)化代替匿名化，應(yīng)當(dāng)堅(jiān)持以匿名化概念為核心設(shè)計(jì)相關(guān)法律規(guī)范。二是，從理論上界分?jǐn)?shù)據(jù)匿名化的狀態(tài)和過程兩層含義，就表狀態(tài)的匿名化而言，絕對(duì)的匿名化狀態(tài)既不存在，也不宜成為人們所追求的目標(biāo)。規(guī)范視角下匿名化效果相對(duì)說已經(jīng)成為通說，[6]學(xué)界普遍認(rèn)為應(yīng)從具體情境出發(fā)，從而形成對(duì)匿名化標(biāo)準(zhǔn)的動(dòng)態(tài)、合理解釋。

二、社會(huì)情境理論在匿名化領(lǐng)域的適用

匿名化幾無可能達(dá)成完滿的、絕對(duì)的狀態(tài)，去匿名化的風(fēng)險(xiǎn)始終存在。于立法者而言，需明確如何判定匿名化有效與否，以決定是否賦予控制數(shù)據(jù)的企業(yè)以法律適用的豁免；于企業(yè)而言，匿名化處理需以有效性標(biāo)準(zhǔn)為準(zhǔn)則和目的，有的放矢地降低數(shù)據(jù)產(chǎn)品生產(chǎn)的風(fēng)險(xiǎn)。此時(shí)，專家判定法主觀判斷標(biāo)準(zhǔn)的弊端就顯現(xiàn)出來，無論是專家的選任資格，還是判定風(fēng)險(xiǎn)的方法與水準(zhǔn)，都無法達(dá)到定紛止?fàn)幍男Ч?。因此，?gòu)建匿名化客觀判斷標(biāo)準(zhǔn)勢在必行。而在此之前，需要先引入一套能夠與匿名化的相對(duì)性、動(dòng)態(tài)性特征所適應(yīng)，并在此基礎(chǔ)上提出解決之法的理論工具，以起提綱挈領(lǐng)、統(tǒng)攝全局之效。就此，圍繞信息所處情境因素展開分析的路徑逐步進(jìn)入研究者和立法者的視野。

(一)社會(huì)情境對(duì)匿名化效果的影響

事實(shí)上，將不同社會(huì)情境區(qū)別開來的研究方法早在社會(huì)學(xué)中有所應(yīng)用，F(xiàn)riedland與Alford教授在制度理論研究中旗幟鮮明地指出，對(duì)社會(huì)個(gè)體行為或組織性行為的研究必須在其所處的社會(huì)情境之下開展，并不存在任何脫離情境的理論解釋進(jìn)路。[7]P232本文認(rèn)為，對(duì)匿名化效果的情境式理解，需要明確以下幾點(diǎn)：

首先，情境是研究中的變量而非常量，千差萬別，不可一概而論。情境，是指特定的社會(huì)背景，這一背景不僅由物理意義上的地域、環(huán)境指征所定義，更具備政治影響、社會(huì)期許、歷史發(fā)展、文化氛圍乃至生活習(xí)慣等無形特征。這些迥然不同的特征共同組成了差異化的結(jié)構(gòu)性情境設(shè)置，人們事實(shí)上生活于這些特定且相異的情境之中，諸如街坊鄰里、購物、就診、教育、雇傭、商事交易等。更進(jìn)一步說，情境還可以根據(jù)參與者、行為等因素的不同再進(jìn)行細(xì)分。如購物的情境可以細(xì)分為線下購物和線上購物、購買日用品和煙酒等特殊物品等多種場景。若再考慮到時(shí)間推移的因素，一些偶然性事件的發(fā)生又將帶來情境的變化。如隨著消費(fèi)者行為定位技術(shù)的發(fā)展，企業(yè)對(duì)用戶行為信息的需求不斷增加，在線搜索、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)化社交的情境亦會(huì)相應(yīng)地發(fā)生變化。

其次，匿名信息中潛藏的去匿名化風(fēng)險(xiǎn)，因情境的不同而有所差異。值得注意的是，這種由情境因素引發(fā)的去匿名化風(fēng)險(xiǎn)差異往往相去甚遠(yuǎn)。例如，以單條數(shù)據(jù)、單個(gè)表格的形式存在的數(shù)據(jù)顯然比居于擁有海量類似數(shù)據(jù)的大型數(shù)據(jù)庫中的數(shù)據(jù)更容易被去匿名化。這符合差分隱私的基本算法邏輯，即如果在大量的數(shù)據(jù)之中，某一單條數(shù)據(jù)與任一相鄰數(shù)據(jù)相區(qū)分的難度越高，該數(shù)據(jù)被識(shí)別的風(fēng)險(xiǎn)就越低。故而，當(dāng)某一數(shù)據(jù)被置于足夠多的數(shù)據(jù)之中，其去匿名化的風(fēng)險(xiǎn)則相對(duì)較低。又如，數(shù)據(jù)所記錄的內(nèi)容不同，會(huì)導(dǎo)致第三方處理者的動(dòng)機(jī)強(qiáng)弱，其所包含的商業(yè)價(jià)值越大，就會(huì)面臨更多的去匿名化風(fēng)險(xiǎn)。為此，互聯(lián)網(wǎng)上公開的明星收入、行程或健康等匿名信息，較之政府普查中公布的一般公眾的上述信息而言，顯然更容易激發(fā)第三方處理者的再識(shí)別動(dòng)機(jī)，故而其存在更高的去匿名化風(fēng)險(xiǎn)。

再次，不同情境下自然人對(duì)個(gè)人私域之期待有所差異，導(dǎo)致人格權(quán)益受侵害的程度不同。學(xué)者們逐漸認(rèn)識(shí)到，以智能手機(jī)或?qū)崟r(shí)GPS系統(tǒng)為代表的追蹤技術(shù)，使過去以私人場合物理性侵入為表征的判斷方式捉襟見肘，隱私侵權(quán)應(yīng)基于具體、變動(dòng)的情境進(jìn)行評(píng)判。⑥由于人們的隱私期待不同，當(dāng)匿名信息被再識(shí)別后，心理感受是不一樣的。例如，在線下購物的情境中，人們的行蹤往往處在店方監(jiān)控之下，倘若云儲(chǔ)存的商場監(jiān)控記錄匿名化效果不佳，被直播平臺(tái)復(fù)原并傳播，公眾勢必會(huì)產(chǎn)生明顯的隱私被冒犯的感受。而在線上購物的情境中，用戶瀏覽商品、點(diǎn)擊訂購、支付結(jié)算等種種消費(fèi)行為均被Cookies等工具實(shí)時(shí)追蹤，當(dāng)該類行為信息被數(shù)據(jù)控制者去匿名化，并被廣泛地投入行為定位分析時(shí)，公眾對(duì)此類追蹤行為的反感程度遠(yuǎn)不如被現(xiàn)場跟蹤強(qiáng)烈，在這一情境下，私域被侵犯之表征就不那么明顯。

(二)情境完整理論下的信息規(guī)則

在引入情境理論進(jìn)行數(shù)據(jù)匿名化有效分析時(shí)必須注意的是，情境本身乃是一個(gè)抽象的社會(huì)學(xué)概念，其內(nèi)涵豐富且外延模糊。因此，還應(yīng)將研究的目光集中在社會(huì)信息規(guī)則的構(gòu)建之上。Nissenbau教授創(chuàng)設(shè)的情境完整理論很好地解決了這一問題，[8]P136-138從而使情境分析的方法成為一種評(píng)判個(gè)人信息保護(hù)法律效果的成熟方法論。

根據(jù)情境完整性理論，情境由社會(huì)中的信息規(guī)則所構(gòu)成，自然人則生活在信息規(guī)則下不斷流通的個(gè)人信息流的背景當(dāng)中。基于這一定義，倘若情境中的信息規(guī)則得到了充分的尊重和維護(hù)，個(gè)人信息始終在規(guī)則之內(nèi)適當(dāng)?shù)亓魍?，即可認(rèn)定該情境具備了完整性，自然人的隱私也就無損。具言之，不同的情境存在相異的信息規(guī)則，故而，個(gè)人信息在人與人之間的流通需要對(duì)每一特定情境下的信息規(guī)則施以恰如其分的尊重。應(yīng)當(dāng)注意的是，情境完整性理論中的信息規(guī)則并不局限于已上升到法律層面的法律規(guī)范，還廣泛地囊括了歷史影響、文化積淀、社會(huì)習(xí)俗、鄉(xiāng)規(guī)民約、合同條款以及政策規(guī)定。這些信息規(guī)則明示或潛在地影響著人們對(duì)個(gè)人的角色定位、行為方式和權(quán)益認(rèn)知，如果違背了這些規(guī)則，就意味著破壞了人們對(duì)個(gè)人信息自我控制的合理預(yù)期。

因此，要想衡量去匿名化風(fēng)險(xiǎn)之高低，進(jìn)而考察數(shù)據(jù)匿名化是否有效，應(yīng)當(dāng)結(jié)合其所處特定情境下的信息規(guī)則進(jìn)行判斷。換言之，根據(jù)某一情境中的特定信息規(guī)則，數(shù)據(jù)或許僅有較低的去匿名化風(fēng)險(xiǎn)，但是若被置于另一情境的信息規(guī)則之下，則有可能出現(xiàn)難以容忍的敏感信息泄露或身份再識(shí)別之風(fēng)險(xiǎn)。例如，在整形醫(yī)患關(guān)系的情境中，信息規(guī)則不僅包括個(gè)人信息保護(hù)的法律規(guī)定，還包括醫(yī)療衛(wèi)生行業(yè)的行業(yè)規(guī)則、整形手術(shù)協(xié)議中的保密約定、接觸患者臉部信息的醫(yī)護(hù)人員的職業(yè)道德，乃至醫(yī)療機(jī)構(gòu)的內(nèi)部管理秩序和聲譽(yù)。故而，為臉部外形治療所需，在采用數(shù)據(jù)匿名化處理后，根據(jù)該情境下的信息規(guī)則，患者臉部信息在醫(yī)療機(jī)構(gòu)內(nèi)部傳遞、瀏覽或分析時(shí)所面臨的去匿名化風(fēng)險(xiǎn)不高。然而，倘若情境變?yōu)槁糜畏?wù)關(guān)系，如某地野生動(dòng)物園以升級(jí)年卡系統(tǒng)為由采集用戶臉部信息，⑦則需另論風(fēng)險(xiǎn)。旅游服務(wù)情境下的信息規(guī)則，除一般性的個(gè)人信息保護(hù)法律規(guī)定外，并無行業(yè)通行的保密準(zhǔn)則，也欠缺與個(gè)人信息主體之間的詳盡約定，且旅游商業(yè)機(jī)構(gòu)往往欠缺系統(tǒng)的數(shù)據(jù)控制流程。故而，在此種情境下，被采集的臉部信息即便經(jīng)過匿名化處理，被再次識(shí)別的風(fēng)險(xiǎn)也顯然高于前一種情境。由此可見，不同的情境會(huì)導(dǎo)致去匿名化風(fēng)險(xiǎn)程度的天壤之別，這無疑佐證了以單一評(píng)判標(biāo)準(zhǔn)來衡量數(shù)據(jù)匿名化效果，面臨著誤差過大、有效性不足的困境。情境完整理論提出的信息規(guī)則分析法恰能幫助克服這一困境，既避免了過度高估風(fēng)險(xiǎn)所引發(fā)的數(shù)據(jù)流通性降低，同時(shí)，又避免低估風(fēng)險(xiǎn)所肇致的個(gè)人信息保護(hù)不足。

與此同時(shí)，情境完整理論不僅能為判定匿名化有效性提供事實(shí)判斷層面的指引，還能在規(guī)范層面為去匿名化風(fēng)險(xiǎn)的控制提供規(guī)制思路。例如，在著名的去匿名化案例“AOL搜索”事件中，美國AOL搜索引擎公司采取以唯一識(shí)別碼替換用戶名、IP地址信息的處理后，將兩百萬余條涉及六十五萬人的網(wǎng)絡(luò)檢索記錄向社會(huì)公開。盡管該公司已對(duì)上述檢索記錄信息進(jìn)行了匿名化處理，但紐約時(shí)報(bào)的兩名調(diào)查員在對(duì)某一編號(hào)的用戶檢索記錄進(jìn)行交叉引證后，迅速完成了對(duì)該名用戶的身份再識(shí)別。⑧檢索記錄被輕易去匿名化的結(jié)果使得AOL公司廣為公眾所詬病。從該情境下的信息規(guī)則分析，針對(duì)AOL公司搜索事件所折射的去匿名化風(fēng)險(xiǎn)，至少有兩項(xiàng)控制措施可以被提出：一是對(duì)匿名化技術(shù)的標(biāo)準(zhǔn)提出控制要求。在AOL公司搜索事件中，該公司對(duì)檢索記錄僅采取了數(shù)據(jù)抑制的技術(shù)思路，而沒有對(duì)地理位置等半識(shí)別符進(jìn)行模糊化處理。故而，應(yīng)當(dāng)統(tǒng)一技術(shù)控制標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)匿名化提出一個(gè)合理的技術(shù)門檻，防止企業(yè)為了節(jié)約成本而采取過低的匿名化處理方式，導(dǎo)致匿名信息被輕易破防。二是對(duì)完全公開的匿名信息應(yīng)當(dāng)進(jìn)行控制。AOL公司將處理后的用戶檢索記錄上傳至網(wǎng)絡(luò)且不做任何限制，意味著任何接入網(wǎng)絡(luò)的第三方處理者都能夠出于好奇、窺私甚至惡意之動(dòng)機(jī)，利用網(wǎng)絡(luò)上存在的輔助再識(shí)別信息，進(jìn)行去匿名化處理。匿名信息的公開不能脫離職業(yè)道德、合同約定或行業(yè)標(biāo)準(zhǔn)等信息規(guī)則的約束，因此，應(yīng)當(dāng)相應(yīng)地采取限制訪問、下載或處理等控制措施來降低匿名信息公開傳播時(shí)去匿名化風(fēng)險(xiǎn)的發(fā)生。

三、匿名化合理性標(biāo)準(zhǔn)的確立

在明確情境理論對(duì)去匿名化風(fēng)險(xiǎn)評(píng)判與控制的重要性之后，匿名化的單一判斷標(biāo)準(zhǔn)逐漸被摒棄，取而代之的是建立動(dòng)態(tài)的匿名化有效性審查標(biāo)準(zhǔn)。為此，歐盟、美國、澳大利亞等國家或地區(qū)都傾向采用“合理性”標(biāo)準(zhǔn)，⑨即匿名化應(yīng)當(dāng)達(dá)到包括數(shù)據(jù)控制者在內(nèi)的所有人，運(yùn)用任何合理可能的方法手段，都無法直接或間接地識(shí)別個(gè)人信息主體之身份，即阻斷相關(guān)信息與個(gè)人身份的關(guān)聯(lián)性。[8]56概言之，判斷采用特定去匿名化的方法是否合理可能，需要建立在全面考量客觀情境因素的基礎(chǔ)之上。此外，英國通過2018年《數(shù)據(jù)保護(hù)法案》及相關(guān)文件提出了去匿名化的反向識(shí)別標(biāo)準(zhǔn)，不僅規(guī)定了哪些再識(shí)別匿名信息的行為構(gòu)成侵權(quán)，哪些行為則因法定正當(dāng)理由可以進(jìn)行抗辯，還提出了一項(xiàng)“故意侵入者測試”標(biāo)準(zhǔn)。⑩該標(biāo)準(zhǔn)假設(shè)第三方處理者在具有故意識(shí)別的主觀目的下，具備獲取公共信息資源卻不具有特殊專業(yè)識(shí)別技能，且不進(jìn)行信息竊取等犯罪行為，從而判斷高于社會(huì)普通公眾而又低于特殊專家的人是否能夠?qū)嵤┰僮R(shí)別行為。若在此標(biāo)準(zhǔn)下匿名信息無法被再識(shí)別，則該數(shù)據(jù)匿名化處理將被證明有效。

然而，無論是采取合理性標(biāo)準(zhǔn)的歐盟、美國、澳大利亞立法例，還是從反向識(shí)別標(biāo)準(zhǔn)入手的英國立法例，均未能構(gòu)建出一套兼具系統(tǒng)性和可操作性的匿名化有效性的判斷標(biāo)準(zhǔn)。前者雖以合理性的靈活用詞彌合了不同情境下信息規(guī)則的變動(dòng)性，但卻未能進(jìn)一步提出細(xì)則規(guī)范來中和用詞含糊所帶來的不確定性；后者則僅僅切中了第三方處理者的去匿名化行為這一項(xiàng)因素，而影響匿名化有效性的其他因素卻并未提及。本文認(rèn)為，欲系統(tǒng)地構(gòu)建匿名化有效性標(biāo)準(zhǔn)，以判別與控制去匿名化風(fēng)險(xiǎn)，可取路徑為對(duì)合理性標(biāo)準(zhǔn)進(jìn)行具象化。而匿名化合理性標(biāo)準(zhǔn)的構(gòu)建，則有賴于情境完整理論對(duì)信息規(guī)則的分析方法。誠如前述，不同情境下的信息規(guī)則迥異，為此，對(duì)不同場景中的數(shù)據(jù)采取相同的匿名化標(biāo)準(zhǔn)顯然不妥，必須考慮從規(guī)制的“一體主義”走向“區(qū)別規(guī)制”。[9]即面臨不同的情境，綜合運(yùn)用諸種具體指標(biāo)作為判別匿名化有效性的靈活尺度，只要合理遵從情境信息規(guī)則，依照具體指標(biāo)的指引進(jìn)行處理，將風(fēng)險(xiǎn)把控在尺度內(nèi)，即可被認(rèn)為達(dá)到有效的匿名化。實(shí)踐中，情境信息規(guī)則雖然層級(jí)各異、類型繁多，但不外乎由主體、客體和傳播法則三種因素組成，細(xì)節(jié)指標(biāo)的提取亦可圍繞這三者進(jìn)行。

(一)主體相關(guān)指標(biāo)

通常來說，數(shù)據(jù)流動(dòng)所涉及的主體至少包括數(shù)據(jù)的發(fā)送者、接收者與個(gè)人信息主體。在研判匿名信息的再識(shí)別風(fēng)險(xiǎn)時(shí)，有關(guān)主體必然還包括開展匿名化處理的處理者——處理者既可能同時(shí)是掌握并發(fā)送數(shù)據(jù)的企業(yè)，也可以是獨(dú)立承接處理流程的受托方。此外，去匿名化第三方處理者也應(yīng)被視為接收者——盡管通過去匿名化行為而接收個(gè)人信息在合法性上有待商榷，但這并不影響第三方處理者正是肇致風(fēng)險(xiǎn)者這一事實(shí)。圍繞這些主體，可以確立以下指標(biāo)：

第一，數(shù)據(jù)發(fā)送者、處理者和接收者的內(nèi)部組織情況和數(shù)據(jù)安全制度。經(jīng)匿名化處理后的數(shù)據(jù)將儲(chǔ)存或暫留在進(jìn)行發(fā)送、處理和接收行為的企業(yè)內(nèi)部，因而，經(jīng)手匿名信息企業(yè)的內(nèi)部管理、安全防控的規(guī)范性成為了匿名化合理性標(biāo)準(zhǔn)的評(píng)判標(biāo)尺之一。就內(nèi)部管理而言，歐盟《通用數(shù)據(jù)保護(hù)條例》要求處理個(gè)人敏感信息或大規(guī)模監(jiān)控個(gè)人信息主體的企業(yè)委任內(nèi)部職員為數(shù)據(jù)保護(hù)官，并規(guī)定了數(shù)據(jù)保護(hù)官的職責(zé)與企業(yè)的配合義務(wù)。英國《數(shù)據(jù)保護(hù)法》第69條至第71條也規(guī)定了數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)制度，以落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。我國《個(gè)人信息安全規(guī)范》則規(guī)定了控制個(gè)人信息企業(yè)的責(zé)任擔(dān)當(dāng)、記錄管理、安全評(píng)估、人員培訓(xùn)管理、安全審計(jì)等內(nèi)部機(jī)制的組織性標(biāo)準(zhǔn)。特別需要注意的是，以跟蹤應(yīng)用軟件為代表的惡意軟件極易繞過設(shè)備制造者、網(wǎng)絡(luò)服務(wù)提供商、系統(tǒng)服務(wù)提供者的日常安保手段，從而監(jiān)視消費(fèi)者使用設(shè)備時(shí)產(chǎn)生的數(shù)據(jù)流，具有極強(qiáng)的去匿名化能力，因此，實(shí)踐中主體是否配置反惡意軟件等安全措施，將作為數(shù)據(jù)安全防控措施的重要內(nèi)容之一。

第二，個(gè)人信息主體的同意和被再次識(shí)別時(shí)所遭受的損害后果。“知情-同意”是構(gòu)建主體間法律關(guān)系的重要行為描述。[10]個(gè)人信息主體的同意能夠使企業(yè)的處理行為和對(duì)外披露行為合法化。因而，若企業(yè)事先通過知情同意原則取得了用戶的共識(shí)，對(duì)匿名化處理后仍存的風(fēng)險(xiǎn)達(dá)成一致，則能免于嚴(yán)苛匿名化效果的要求。換言之，同意之行為表示出個(gè)人信息主體對(duì)去匿名化風(fēng)險(xiǎn)的主觀預(yù)期，降低了企業(yè)匿名化處理行為達(dá)到有效標(biāo)準(zhǔn)的難度。此外，去匿名化風(fēng)險(xiǎn)兌現(xiàn)后個(gè)人信息主體所面臨的損害也不盡一致，其結(jié)果既可能是個(gè)人敏感信息的泄露，也可能是整體身份的暴露；既可能只是收到定向廣告的投送，也可能因定位信息外泄而遭到人身權(quán)益的侵害。故而，損害后果亦應(yīng)成為評(píng)判標(biāo)尺之一，可能遭受的損害越嚴(yán)重，規(guī)范所容許的去匿名化風(fēng)險(xiǎn)就越低，達(dá)到匿名化有效性的標(biāo)準(zhǔn)就越高。

第三，第三方處理者的類型及其動(dòng)機(jī)。虎視眈眈的第三方處理者的存在，無疑對(duì)數(shù)據(jù)匿名化的效果帶來了莫大挑戰(zhàn)。類型不同的第三方處理者，必然會(huì)導(dǎo)致數(shù)據(jù)挖掘能力的強(qiáng)弱。一方面，職業(yè)第三方處理者比私人處理者掌握了更多的數(shù)據(jù)挖掘技術(shù)，更易通過“人肉搜索”或行業(yè)調(diào)查完成再識(shí)別行為；另一方面，在輔助識(shí)別信息上，私人處理者只能查閱互聯(lián)網(wǎng)、政府或公益機(jī)構(gòu)的公開信息，而職業(yè)第三方處理者還能夠借助商業(yè)數(shù)據(jù)庫中的額外數(shù)據(jù)資源完成再識(shí)別行為。實(shí)踐中，調(diào)查員、分析師、廣告商、雇主、跟蹤者，乃至伙伴、鄰居和同事都有可能出于不同的動(dòng)機(jī)嘗試去匿名化。第三方處理者的動(dòng)機(jī)不同，對(duì)匿名化效果所帶來挑戰(zhàn)的程度也有所區(qū)別。出于政治或商業(yè)目的挖掘他人身份信息，通常比為了好奇、惡作劇等私人目的破譯他人信息帶來的危害更大。例如，公司利用不當(dāng)收集的用戶的個(gè)人數(shù)據(jù)來為大選參選人提供數(shù)據(jù)采集、分析和戰(zhàn)略傳播。

(二)客體相關(guān)指標(biāo)

情境中不斷流動(dòng)交互的客體自然是數(shù)據(jù)。在匿名化合理性標(biāo)準(zhǔn)的視角下，個(gè)人信息的體量、歷經(jīng)的處理手法和實(shí)際用途都將影響去匿名化風(fēng)險(xiǎn)的衡量。

第一，匿名化處理所使用的技術(shù)。如前所述，就數(shù)量而言，匿名化技術(shù)類目繁多，既可使用數(shù)據(jù)遮掩和替換等徑直抹去可識(shí)別單元的方法，亦可使用數(shù)據(jù)模糊化、數(shù)據(jù)隨機(jī)化等僅部分干擾數(shù)據(jù)的可識(shí)別性或保留一定程度關(guān)聯(lián)性的處理技術(shù)，后者包含諸如數(shù)據(jù)偏移和隨機(jī)修約等類型繁多的技術(shù)群。就技術(shù)應(yīng)用而言，企業(yè)既可單獨(dú)選用某一技術(shù)，亦可設(shè)計(jì)全面的處理流程，綜合運(yùn)用多種手段進(jìn)行數(shù)據(jù)匿名化處理。五花八門的技術(shù)應(yīng)用方式將產(chǎn)出風(fēng)險(xiǎn)不一的匿名信息，計(jì)算機(jī)學(xué)上業(yè)已發(fā)展出評(píng)判不同匿名化技術(shù)應(yīng)用所留存風(fēng)險(xiǎn)的諸多公式與算法。故而，運(yùn)用何種匿名化技術(shù)可以成為判別匿名化有效性的具體指標(biāo)。

第二，數(shù)據(jù)的體量。數(shù)據(jù)體量對(duì)風(fēng)險(xiǎn)衡量的影響較為復(fù)雜。一方面，數(shù)據(jù)匿名化的L-多樣性理論證明了湮沒在批量類似數(shù)據(jù)中的單條數(shù)據(jù)遭到去匿名化的可能性較低，因?yàn)槠涮匦詫⒈唤频臄?shù)值混淆。在這一層面上，單條數(shù)據(jù)比批量數(shù)據(jù)被再次識(shí)別的風(fēng)險(xiǎn)更高。不過，事物具有兩面性，數(shù)據(jù)的體量與數(shù)據(jù)的類目成正比，企業(yè)所控制與處理的數(shù)據(jù)體量越大，數(shù)據(jù)類目就越豐富，這意味著進(jìn)入流通領(lǐng)域后可為去匿名化第三方處理者所獲取的數(shù)據(jù)就越多。顯然，數(shù)據(jù)類目的增多將導(dǎo)致個(gè)人信息主體身份被挖掘的可能性隨之升高。因而，在衡量風(fēng)險(xiǎn)時(shí)，宜對(duì)數(shù)據(jù)體量因素的影響進(jìn)行辯證分析。

第三，匿名信息的具體用途。用途上的差異也將影響匿名信息所面臨風(fēng)險(xiǎn)的大小。將匿名信息運(yùn)用在政府網(wǎng)站建設(shè)、消費(fèi)者數(shù)據(jù)存檔等日常用途上，通常并不會(huì)招致過高風(fēng)險(xiǎn)，無需設(shè)定格外嚴(yán)格的匿名化處理流程。不過，如果匿名信息被應(yīng)用于非常態(tài)的、易激發(fā)去匿名化動(dòng)機(jī)的用途，則顯然需要效果更佳的匿名化處理流程。此外，還有學(xué)者提出，對(duì)待那些應(yīng)用于重要的公益目的，或防范對(duì)他人利益嚴(yán)重?fù)p害的匿名信息，不應(yīng)對(duì)其匿名化效果加以苛求。因?yàn)榇藭r(shí)此刻，匿名信息將帶來無價(jià)的公共收益，使得其有限的去匿名化風(fēng)險(xiǎn)不再成為立法的唯一關(guān)注點(diǎn)。例如，在地震、傳染疫病暴發(fā)等情境下，相關(guān)信息的有效傳遞業(yè)已上升為更高的利益位階，在評(píng)判匿名化是否達(dá)到有效性時(shí)不宜過分嚴(yán)苛。

(三)傳播法則相關(guān)指標(biāo)

傳播法則是指，約束主體間信息流通的條款或條件的信息規(guī)則。在匿名化合理性標(biāo)準(zhǔn)的視角下，傳播法則的區(qū)別意味著匿名信息所面臨第三方處理者的多寡，也當(dāng)然地影響了去匿名化風(fēng)險(xiǎn)的大小。匿名化處理后的數(shù)據(jù)將按照何種法則在主體間流通，同樣關(guān)乎對(duì)匿名化處理效果的規(guī)范性評(píng)價(jià)。

首要解決的核心問題是，匿名信息的傳播是否受到限制，也即披露對(duì)象是公眾全體，還是僅限于部分主體之間。實(shí)踐中，不僅企業(yè)會(huì)公開商業(yè)匿名信息，政府、公共機(jī)構(gòu)也會(huì)對(duì)政務(wù)匿名信息和公共事務(wù)匿名信息進(jìn)行公開。例如，美國奧巴馬政府曾大力推行Data.gov網(wǎng)絡(luò)信息匯集與公開項(xiàng)目，從而達(dá)到豐富公共數(shù)據(jù)儲(chǔ)量、開啟民智和公眾監(jiān)督之效。然而，匿名信息公開傳播的代價(jià)是沉重的——完全不區(qū)分接收對(duì)象的公開傳播，徑直將匿名信息暴露在所有潛在的第三方處理者的面前，這無疑為匿名化效果招來了最嚴(yán)峻的挑戰(zhàn)。反觀非公開的傳播法則，至少在一定程度上擇取了數(shù)據(jù)的接收者，嘗試將數(shù)據(jù)的流通局限在可信任的主體之間，從而隔絕了部分外來威脅。因此，以公開為傳播法則的匿名信息應(yīng)當(dāng)經(jīng)受更高要求的匿名化處理，而非公開法則中的匿名信息只需達(dá)到相對(duì)較低的匿名化處理要求即可。

本文認(rèn)為，由于不同情境下信息規(guī)則的迥異，傳播法則的差異性應(yīng)當(dāng)立足于公開與非公開的界分思路，進(jìn)行更為深入細(xì)致的評(píng)判。具體包括：其一，應(yīng)當(dāng)區(qū)分因不同方式傳播數(shù)據(jù)而產(chǎn)生的信息規(guī)則。以公開的匿名信息為例，公開在互聯(lián)網(wǎng)可通過搜索引擎查找的匿名信息，顯然比公開在檔案館須通過預(yù)約等程序方可瀏覽的資料面臨更高的去匿名化風(fēng)險(xiǎn)。其二，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)在組織內(nèi)和組織間傳遞的信息規(guī)則。對(duì)于非公開的匿名信息而言，亦存在信息的外部流通與內(nèi)部共享。通常而言，前者由特定可信任主體之間的契約調(diào)整，后者則受企業(yè)組織內(nèi)部規(guī)章的約束，顯然，后者面臨的去匿名化風(fēng)險(xiǎn)更小，匿名化處理的要求自然更低。其三，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)是否會(huì)被再次傳播。接收者是否可以繼續(xù)自由再次傳播匿名信息，還是需受一定程度的約定限制，抑或因保密條款而不得再次傳播，是影響去匿名化風(fēng)險(xiǎn)判別的重要因素。概言之，傳播法則越自由，匿名信息越有可能被第三方處理者反向識(shí)別。

最后需要指出的是，匿名化有效性標(biāo)準(zhǔn)符合木桶效應(yīng)的規(guī)律，某一指標(biāo)上的畸高對(duì)于匿名化的有效性而言并無增益，反之，任一尺度上的短板都將導(dǎo)致去匿名化風(fēng)險(xiǎn)的劇增。因而，無論是主體、客體還是傳播法則中的具體指標(biāo)，單獨(dú)的應(yīng)用都力有未逮，而須將三者結(jié)合運(yùn)用以進(jìn)行綜合評(píng)判。也就是說，匿名化有效性標(biāo)準(zhǔn)應(yīng)當(dāng)是建立在主體、客體和傳播法則三項(xiàng)綜合指標(biāo)之上的合理性標(biāo)準(zhǔn)。

四、數(shù)據(jù)匿名化的體系性控制

數(shù)據(jù)匿名化規(guī)范可以分為“原則導(dǎo)向”和“規(guī)則導(dǎo)向”兩類，前者強(qiáng)調(diào)去匿名化風(fēng)險(xiǎn)的綜合判斷，對(duì)匿名化效果進(jìn)行評(píng)估；后者則強(qiáng)調(diào)對(duì)匿名化對(duì)象、方式、范圍的具體規(guī)定，嚴(yán)格控制數(shù)據(jù)安全流程。正如前文所述，去匿名化風(fēng)險(xiǎn)無法通過技術(shù)處理一次性完成，數(shù)據(jù)處理者需要承擔(dān)持續(xù)性的復(fù)合義務(wù)。為此，應(yīng)當(dāng)擴(kuò)張匿名化流程控制的范圍，以規(guī)則導(dǎo)向?yàn)橹贫群诵?，從匿名化處理行為的特定環(huán)節(jié)轉(zhuǎn)向匿名信息生產(chǎn)、流通的全過程，建立數(shù)據(jù)匿名化的體系性控制。

(一)“公布即遺忘”模式的局限性

根據(jù)數(shù)據(jù)控制方式的不同，美國國家標(biāo)準(zhǔn)與技術(shù)研究院將信息發(fā)布的模式分為“公布即遺忘”模式、數(shù)據(jù)使用協(xié)議模式以及“領(lǐng)地模型”。[11]其中，“公布即遺忘”模式是指將匿名信息發(fā)布于公共網(wǎng)絡(luò)環(huán)境之后，數(shù)據(jù)處理者便不再對(duì)公布后的數(shù)據(jù)進(jìn)行管理。相較于后兩種模式而言，“公布即遺忘”模式是基于傳播獲取數(shù)據(jù)控制的模式，突破了信息使用的封閉情境。該模式背后的深層理念旨在將數(shù)據(jù)公諸于眾，從而促進(jìn)商事交易、社會(huì)生活中信息的自由流通，這不僅是采集、利用或交易數(shù)據(jù)的企業(yè)、交易相對(duì)方不懈的商業(yè)追求，同時(shí)也是提高信息的存量與流通、推進(jìn)數(shù)據(jù)產(chǎn)品化進(jìn)程的社會(huì)共同目標(biāo)。

然而，匿名信息中自始至終隱藏著一定的去匿名化風(fēng)險(xiǎn)，欲追求匿名化的有效性，只能在包容和接納去匿名化可能性的前提下理性地評(píng)估處理后的留存風(fēng)險(xiǎn)。實(shí)證研究表明，匿名化技術(shù)取得進(jìn)展的同時(shí)，去匿名化技術(shù)并非原地踏步，亦在經(jīng)歷升級(jí)與改造?？上攵?，對(duì)匿名化處理結(jié)果的過分依賴，會(huì)使得大量匿名信息在不當(dāng)保管、使用或是欠妥的公布后，即落入第三方處理者的包圍圈，被破解技術(shù)而捕獲。為此，當(dāng)數(shù)據(jù)處理者采取“公布即遺忘”模式時(shí)，匿名信息的整體性安全缺乏保障，控制企業(yè)在匿名化過程中的義務(wù)也過于單一。

面對(duì)“公布即遺忘”模式，在判定匿名化效果時(shí)，有兩點(diǎn)需要注意：一是，同時(shí)認(rèn)識(shí)匿名化處理的重要性與局限性，對(duì)經(jīng)技術(shù)處理后的匿名信息的風(fēng)險(xiǎn)評(píng)估持審慎態(tài)度，重視技術(shù)處理之外的其他隱私保護(hù)措施的作用，以全局化的眼光看待數(shù)據(jù)匿名化。二是，跳脫規(guī)范原則導(dǎo)向的桎梏，強(qiáng)調(diào)匿名化整體處理流程的安全。這意味著衡量匿名化有效性時(shí)，不必拘泥于對(duì)匿名化最終結(jié)果的苛求，而是將更多的立法資源傾注于降低去匿名化風(fēng)險(xiǎn)的程序性安排，將規(guī)范重點(diǎn)轉(zhuǎn)移至企業(yè)的數(shù)據(jù)安全控制流程之上。也就是說，對(duì)于經(jīng)匿名化處理后尚未達(dá)到有效匿名化標(biāo)準(zhǔn)的數(shù)據(jù)，或者居于某些對(duì)匿名化要求極高的情境中的數(shù)據(jù)，應(yīng)當(dāng)額外要求企業(yè)采取保護(hù)性的程序措施。

(二)匿名信息應(yīng)用的流通控制

數(shù)據(jù)環(huán)境理論可以較好地描述采取“公布即遺忘”模式下匿名信息所屬的社會(huì)情境。該理論認(rèn)為，若匿名信息一直處于保密環(huán)境中，自然不存在被再識(shí)別的可能，唯有被披露并進(jìn)入流通環(huán)境，才面臨外部風(fēng)險(xiǎn)的考驗(yàn)。因而，防范去匿名化風(fēng)險(xiǎn)必須理解數(shù)據(jù)所處的披露環(huán)境，即數(shù)據(jù)被共享、散播或公布的環(huán)境。由此可知，對(duì)匿名信息的流通實(shí)施控制是至關(guān)重要的匿名化程序保障。實(shí)踐中，流通控制可以通過技術(shù)和協(xié)議兩種方式實(shí)現(xiàn)，前者不屬于本文的討論范疇。流通控制協(xié)議的表現(xiàn)形式多樣，基于合同的自治效力，禁止性或限制性約定將對(duì)匿名信息的接收者產(chǎn)生拘束作用，使得匿名信息的流通控制束縛在篩選后的主體之上，以實(shí)現(xiàn)更為精準(zhǔn)的匿名化效果。具體而言，數(shù)據(jù)流通控制協(xié)議可以歸納為以下幾種類型：

第一，向公眾用戶發(fā)出的流通控制協(xié)議。該類協(xié)議并不是指向某一具體的數(shù)據(jù)接收者，而是向廣大公眾用戶發(fā)出，從而達(dá)到對(duì)數(shù)據(jù)使用或流通進(jìn)行控制的效果。實(shí)踐中，大型互聯(lián)網(wǎng)企業(yè)在面對(duì)公眾用戶時(shí)，往往采用“聲明”“用戶協(xié)議”的方式對(duì)數(shù)據(jù)的流通實(shí)施控制。例如，中國平安的網(wǎng)站聲明規(guī)定，該網(wǎng)站所發(fā)布的數(shù)據(jù)不提供給受法律發(fā)布限制之國家的人士獲取使用。又如，著作權(quán)領(lǐng)域的知識(shí)共用許可協(xié)議，在保證公眾用戶對(duì)作品“接觸權(quán)”的同時(shí)，對(duì)署名、非商業(yè)使用以及作品的改編、修改等都作了嚴(yán)格的限制。這類流通控制協(xié)議的優(yōu)點(diǎn)在于向所有訪問、使用數(shù)據(jù)的用戶發(fā)出，約束群體廣泛；而缺點(diǎn)在于通常采取概括式用語，對(duì)用戶的義務(wù)陳述不清，缺乏行之有效的責(zé)任條款。

第二，企業(yè)彼此間的流通控制協(xié)議。數(shù)字經(jīng)濟(jì)時(shí)代下，數(shù)據(jù)資源對(duì)企業(yè)把握市場趨勢、衡量供需關(guān)系，進(jìn)而精細(xì)化安排生產(chǎn)、服務(wù)具有重大意義。實(shí)踐中，企業(yè)間的數(shù)據(jù)流通主要有兩種類型：第一類，企業(yè)之間簽訂數(shù)據(jù)共享協(xié)議，在協(xié)議成員之間實(shí)現(xiàn)特定行業(yè)領(lǐng)域內(nèi)的數(shù)據(jù)互通共享。例如，澳大利亞主要的銀行之間訂立了數(shù)據(jù)共享協(xié)議，以實(shí)現(xiàn)用戶還款記錄等信用信息在協(xié)議成員間的互通。又如，我國民航業(yè)23家航空公司共同簽署了《中國民航運(yùn)行數(shù)據(jù)共享協(xié)議》，建立數(shù)據(jù)共享平臺(tái)，融通彼此保有的航運(yùn)信息。第二類，企業(yè)之間簽訂數(shù)據(jù)交易合同，以交換商品或提供服務(wù)的方式進(jìn)行匿名信息的轉(zhuǎn)移。例如，當(dāng)?shù)谌缴碳医尤搿梆I了么”平臺(tái)開展業(yè)務(wù)時(shí)，需遵守《“餓了么”開放平臺(tái)在線服務(wù)協(xié)議》，其中約定第三方商家對(duì)所接觸的用戶信息，僅可單次使用，不得進(jìn)行存儲(chǔ)、處理。需要指出的是，上述控制協(xié)議無論是否為了營利目的，抑或是否屬于有償合同，都不影響在特定合作關(guān)系中，企業(yè)之間所約定的數(shù)據(jù)傳輸、使用與公布方面的限制。

第三，數(shù)據(jù)經(jīng)紀(jì)人主導(dǎo)的流通控制協(xié)議。數(shù)據(jù)資源商業(yè)價(jià)值的不斷攀升，催化出了斡旋于數(shù)據(jù)信息采集端與需求端之間的數(shù)據(jù)經(jīng)紀(jì)人。例如，美國Acxiom公司，旨在提供全渠道數(shù)據(jù)驅(qū)動(dòng)營銷服務(wù)，其數(shù)據(jù)庫中包括全球范圍內(nèi)7億用戶的個(gè)人數(shù)據(jù)，平均擁有每個(gè)美國用戶的3000條數(shù)據(jù)段。實(shí)踐中，數(shù)據(jù)經(jīng)紀(jì)人既可經(jīng)由數(shù)據(jù)供應(yīng)合同從采集端企業(yè)受讓匿名信息，又可通過數(shù)據(jù)授權(quán)協(xié)議獲得特定期間內(nèi)的數(shù)據(jù)使用權(quán)限，還可憑借數(shù)據(jù)經(jīng)銷協(xié)議轉(zhuǎn)讓采集端企業(yè)的數(shù)據(jù)產(chǎn)品。上述流通控制協(xié)議通常會(huì)對(duì)數(shù)據(jù)的傳輸方式、數(shù)據(jù)的更新頻次、數(shù)據(jù)處理、使用或轉(zhuǎn)讓的限制等內(nèi)容作出約定。鑒于其在數(shù)據(jù)流通中扮演的重要角色，數(shù)據(jù)經(jīng)紀(jì)人有義務(wù)對(duì)匿名化信息的風(fēng)險(xiǎn)進(jìn)行程序性控制。對(duì)此，美國聯(lián)邦貿(mào)易委員會(huì)在報(bào)告中指出，當(dāng)企業(yè)將匿名信息向第三方開放時(shí)，應(yīng)負(fù)有對(duì)接收者履行合同義務(wù)、承擔(dān)違約責(zé)任的合理監(jiān)督之責(zé)。

(三)匿名信息應(yīng)用的目的控制

企業(yè)不能以完成匿名化處理為由徹底擺脫匿名化體系規(guī)范的束縛。從全局觀之，影響匿名化效果的環(huán)節(jié)并不單單只有匿名化處理一個(gè)環(huán)節(jié)，無論是該環(huán)節(jié)前的個(gè)人信息采集環(huán)節(jié)，還是該環(huán)節(jié)后的匿名信息的應(yīng)用環(huán)節(jié)，包括匿名信息的再處理、使用乃至轉(zhuǎn)讓、公開，企業(yè)都應(yīng)一以貫之地遵循個(gè)人信息保護(hù)的基本原則，避免對(duì)個(gè)人隱私等權(quán)益的侵犯。其中，目的限制原則在時(shí)間節(jié)點(diǎn)上具有特殊意義：在匿名化處理節(jié)點(diǎn)前，企業(yè)采集個(gè)人信息時(shí)應(yīng)當(dāng)依照合法性要求，遵從信息采集的正當(dāng)明確目的；在匿名化處理節(jié)點(diǎn)后，企業(yè)對(duì)匿名信息的使用、再處理乃至公布行為，亦應(yīng)與最初的采集目的保持一致。

目的限制原則已為多國立法所采納。早在1980年OECD頒布的《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》中，即規(guī)定了目的限制原則的兩項(xiàng)子原則——目的明確原則和用途限制原則，該規(guī)定被2013年修訂后的版本所沿用。2018年生效的歐盟《通用數(shù)據(jù)保護(hù)條例》亦明確規(guī)定了個(gè)人數(shù)據(jù)處理的目的限制原則，包含兩點(diǎn)內(nèi)容：一是企業(yè)應(yīng)以具體、明確且合法、正當(dāng)?shù)哪康拈_展個(gè)人信息的采集行為；二是此后企業(yè)對(duì)個(gè)人信息的處理行為一般不得違反初始確定的目的。那么，匿名信息的再處理與流轉(zhuǎn)是否受到目的限制原則的束縛呢？歐盟第29條立法工作組指出，無論是采集、控制并處理數(shù)據(jù)的企業(yè)，還是匿名信息的接收者，這些主體在使用、再處理抑或是公布匿名信息的過程中，仍有可能對(duì)用戶的個(gè)人隱私產(chǎn)生不利影響，即便這些數(shù)據(jù)已經(jīng)得到了妥善的匿名化處理。其中，用戶畫像和自動(dòng)決策是最可能因應(yīng)用匿名信息而致使個(gè)人隱私受損的兩個(gè)特殊情境。鑒于目的限制原則是由歐盟法賦予其公民的基本權(quán)利衍生而來，并始終貫徹在歐盟的數(shù)據(jù)保護(hù)規(guī)范體系中，具有極高的法律地位，故而，通過擴(kuò)大解釋將該原則適用于匿名信息的后續(xù)處理和使用，以約束企業(yè)的不當(dāng)行為、預(yù)防對(duì)個(gè)人隱私的侵害，確有合理之處。

不過，在強(qiáng)調(diào)個(gè)人信息保護(hù)的同時(shí)，必須清醒認(rèn)識(shí)到目的限制原則的雙刃性。不加區(qū)分地限制后續(xù)應(yīng)用匿名信息的目的，將極大地阻礙數(shù)據(jù)資源的價(jià)值開發(fā)和開放共享，很多情況下對(duì)應(yīng)用情境的假設(shè)趕不上日新月異的市場變化。這也正是美國立法謹(jǐn)慎對(duì)待給個(gè)人信息主體賦權(quán)的重要考量之一。因此，本文認(rèn)為，將目的限制原則適用于匿名信息，當(dāng)謹(jǐn)記輕重有別，結(jié)合行業(yè)和情境因素進(jìn)行審慎判斷。具體而言，對(duì)經(jīng)匿名化處理后尚未達(dá)到匿名化合理性標(biāo)準(zhǔn)的數(shù)據(jù)，必須嚴(yán)格適用目的限制原則；對(duì)已達(dá)到合理性標(biāo)準(zhǔn)，但所處行業(yè)或具體情境需要極強(qiáng)匿名化和系統(tǒng)化隱私保護(hù)的匿名信息，則可將目的限制原則作為額外的程序性保護(hù)措施，按照風(fēng)險(xiǎn)大小酌情適用。同時(shí)，應(yīng)由數(shù)據(jù)控制者證明個(gè)人數(shù)據(jù)的后續(xù)使用與流轉(zhuǎn)是否已經(jīng)達(dá)到合理有效性標(biāo)準(zhǔn)，是否需要遵守特別情境中的信息規(guī)則。為此，匿名化的體系規(guī)范要充分考慮對(duì)匿名信息應(yīng)用的目的限制，將事后性的損害風(fēng)險(xiǎn)判斷融入事前性的程序設(shè)計(jì)之中，要求企業(yè)不能將匿名化處理作為一勞永逸的解決途徑，而是要在開始數(shù)據(jù)共享、數(shù)據(jù)傳播等應(yīng)用行為之前對(duì)匿名信息的后續(xù)風(fēng)險(xiǎn)進(jìn)行充分評(píng)估。例如，英國網(wǎng)絡(luò)匿名化組織在其匿名化決策框架中提出，分析數(shù)據(jù)去匿名化風(fēng)險(xiǎn)時(shí)，存在情景審查、風(fēng)險(xiǎn)和控制、沖擊管理三個(gè)步驟。[12]根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》的要求，數(shù)據(jù)控制者需要執(zhí)行數(shù)據(jù)保護(hù)沖擊測試，綜合考慮數(shù)據(jù)主體和他人的權(quán)利、合法權(quán)益，對(duì)去匿名化風(fēng)險(xiǎn)進(jìn)行全面審查，具體測試內(nèi)容至少包括：對(duì)數(shù)據(jù)控制者訴求的利益正當(dāng)性進(jìn)行系統(tǒng)審查；對(duì)于目的一致的處理進(jìn)行必要性和適當(dāng)性的評(píng)估；對(duì)數(shù)據(jù)主體的權(quán)利和自由所面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估；對(duì)采取的安全措施和保護(hù)機(jī)制的合規(guī)性進(jìn)行審查。

匿名信息應(yīng)用的目的控制存在適用例外。這是為了實(shí)現(xiàn)比個(gè)人信息利益更高位階的社會(huì)利益，從而保證那些對(duì)社會(huì)整體有益的數(shù)據(jù)能夠暢通地利用和流動(dòng)。換言之，為了科學(xué)、歷史研究，統(tǒng)計(jì)或?yàn)樯鐣?huì)公益所需的信息歸檔之目的，企業(yè)可超越原本目的之范疇處理、使用乃至公布個(gè)人信息。歐盟《通用數(shù)據(jù)保護(hù)條例》將目的限制原則的例外分為“學(xué)術(shù)性豁免”和“研究性豁免”，值得借鑒。前者基于新聞報(bào)道的需要或?qū)W術(shù)、藝術(shù)、文學(xué)性的目的，即自由表達(dá)的要求；后者基于公共利益、科學(xué)、歷史的研究或數(shù)據(jù)統(tǒng)計(jì)目的。此處的“研究性”目的應(yīng)作擴(kuò)張解釋。其中，科學(xué)研究包括技術(shù)開發(fā)和示范，基礎(chǔ)研究、應(yīng)用研究和私人資助的研究，以及公共健康研究。歷史研究包括系譜研究，但不應(yīng)適用于已故的自然人。統(tǒng)計(jì)研究則要求成員國明確統(tǒng)計(jì)內(nèi)容、訪問控制，保障數(shù)據(jù)主體的權(quán)利和自由以及數(shù)據(jù)的保密，在統(tǒng)計(jì)數(shù)據(jù)后續(xù)用于科學(xué)研究時(shí)，統(tǒng)計(jì)數(shù)據(jù)應(yīng)不再是個(gè)人數(shù)據(jù)，而是綜合數(shù)據(jù)，且不能用于支持對(duì)任何特定自然人的措施或決定。當(dāng)然，目的限制的適用豁免需要獲得法律的特別授權(quán)，同時(shí)，匿名信息的應(yīng)用亦需符合數(shù)據(jù)最小化原則的要求，即數(shù)據(jù)的后續(xù)利用或流轉(zhuǎn)只能為了實(shí)現(xiàn)特殊目的之需要，而不能過度突破最初采集時(shí)之目的限制。例如，英國《數(shù)據(jù)保護(hù)法》要求此種豁免行為不得對(duì)數(shù)據(jù)主體造成嚴(yán)重的損害。其中，在適用學(xué)術(shù)性豁免時(shí)，數(shù)據(jù)控制者需要合理相信數(shù)據(jù)處理中的信息公開符合公共利益，而對(duì)公共利益的判斷則應(yīng)參考英國廣播公司的編輯準(zhǔn)則、通訊管理局的廣播準(zhǔn)則和編輯的實(shí)踐準(zhǔn)則等業(yè)界規(guī)范，即需要根據(jù)具體情境，考察對(duì)個(gè)人和公眾的可能傷害，平衡信息發(fā)布的利弊。在適用科研型豁免時(shí)，要求數(shù)據(jù)控制者存在如不進(jìn)行數(shù)據(jù)處理則無法實(shí)現(xiàn)或嚴(yán)重阻礙科研目的實(shí)現(xiàn)的情況，以防止適用豁免的濫用。

結(jié)語

“對(duì)已有材料的利用是一種值得尊重而且必須的實(shí)踐活動(dòng)。正如經(jīng)濟(jì)學(xué)家羅默和亞瑟提醒我們的，重組才是創(chuàng)新和財(cái)富的唯一動(dòng)力源泉。”[13]P242絕對(duì)的、完美的匿名化終究是空中樓臺(tái)，可望而不可及，匿名信息始終有被再次識(shí)別之可能。這也就意味著，數(shù)據(jù)匿名化應(yīng)是一個(gè)體系工程，而非僅僅停留在匿名化處理一個(gè)節(jié)點(diǎn)之上，更不能簡單地等同于對(duì)數(shù)據(jù)的去標(biāo)識(shí)化。根據(jù)我國2021年生效的《個(gè)人信息保護(hù)法》，匿名化處理后的信息不再屬于個(gè)人信息保護(hù)的范疇，為此，數(shù)據(jù)匿名化制度將成為數(shù)據(jù)進(jìn)入生產(chǎn)和流通領(lǐng)域的重要制度出口。在對(duì)數(shù)據(jù)匿名化進(jìn)行體系規(guī)范構(gòu)建時(shí)，不僅應(yīng)考慮采取何種匿名化處理流程，還應(yīng)結(jié)合數(shù)據(jù)應(yīng)用具體情境的信息規(guī)則來判斷匿名化的真實(shí)效果。這種匿名化合理性標(biāo)準(zhǔn)應(yīng)當(dāng)是綜合的，將發(fā)布者與接收者、數(shù)據(jù)類型、傳播場景納入評(píng)判指標(biāo)當(dāng)中，對(duì)數(shù)據(jù)的去匿名化風(fēng)險(xiǎn)進(jìn)行充分評(píng)估，給予匿名化效果一個(gè)規(guī)范層面的具象解釋。同時(shí)，數(shù)據(jù)匿名化規(guī)范應(yīng)貫穿在數(shù)據(jù)應(yīng)用的全過程當(dāng)中，包括數(shù)據(jù)的采集、處理、利用和再利用等，時(shí)刻警惕去匿名化風(fēng)險(xiǎn)對(duì)個(gè)人隱私等權(quán)益的侵蝕。匿名化處理不能一勞永逸，“公布即遺忘”的簡單模式顯然不能應(yīng)對(duì)數(shù)據(jù)后續(xù)利用或流轉(zhuǎn)中的全部風(fēng)險(xiǎn)，必須建立匿名信息應(yīng)用的流通控制和目的控制，對(duì)數(shù)據(jù)匿名化規(guī)范進(jìn)行動(dòng)態(tài)評(píng)估和調(diào)整，從而協(xié)調(diào)數(shù)據(jù)主體、數(shù)據(jù)企業(yè)、數(shù)據(jù)消費(fèi)者各方之間的正當(dāng)權(quán)益，最終促進(jìn)數(shù)據(jù)資源的合理利用。

注釋：

① General Data Protection Regulation § 4(5). Erika McCallister, Tim Grance and Karen Scarfone, Guide to Protecting the Confidentiality of Personally Identifiable Information, https://csrc.nist.gov/publications/detail/sp/800-122/final, 2022-04-18.《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)第3.15條的規(guī)定。

② Health informatics-Pseudonymization (ISO 25237:2017) § 3.42.

③ 45 CFR § 164.514(b)(2)(i).

④ California Consumer Privacy Act of 2018 § 1798.140. (h).

⑤ 45 CFR § 164.514(b)(2)(ii).

⑥ See United States v. Jones, 565 U.S. 400, 132 S. Ct. 945, 962 (2012).

⑦ 參見浙江省杭州市中級(jí)人民法院民事判決書(2020)浙01民終10940號(hào)。

⑧ See Michael Barbaro, Tom Zeller, A Face Is Exposed for AOL Searcher No. 4417749, https://rig.cs.luc.edu/～rig/ecs/probsolve/NYTonSearch.pdf,2022-04-18.

⑨ General Data Protection Regulation § Recital 26. 45 CFR § 164.514(a). Treasury Laws Amendment (Consumer Data Right) Bill 2019 § 56FA(1)(d).

⑩ Data Protection Act 2018 § 171, § 172. Anonymisation: managing data protection risk code of practice, https://ico.org.uk/media/1061/anonymisation-code.pdf,2022-04-18.