劉業(yè)

數(shù)據(jù)匿名化處理行為的合法標(biāo)準(zhǔn)

數(shù)據(jù)處理者必須對(duì)其獲取的患者醫(yī)療數(shù)據(jù)進(jìn)行合理的形式上審查，以確保所保有的數(shù)據(jù)來(lái)源合法正當(dāng)。對(duì)存在權(quán)利瑕疵的數(shù)據(jù)為匿名化處理，將使匿名化處理行為處于非法狀態(tài)。上一部分已對(duì)數(shù)據(jù)匿名化處理行為合法性前提條件進(jìn)行了細(xì)致探討，本部分將立足數(shù)據(jù)匿名化處理行為本身，對(duì)其合法標(biāo)準(zhǔn)展開(kāi)討論。

關(guān)于匿名化的法律定義，前已部分述及，美歐除稱呼上略有不同，對(duì)其概念核心含義的界定基本一致，結(jié)合日本《個(gè)人信息保護(hù)法》第2（9）條和中國(guó)《網(wǎng)絡(luò)安全法》第42條等國(guó)家對(duì)匿名化的定義，可以推定，國(guó)際上對(duì)匿名化的定義方式采結(jié)果主義，即處理行為若能達(dá)到“不可再識(shí)別至具體個(gè)人”之結(jié)果，便是法律所要求的數(shù)據(jù)匿名化。

參考GDPR前言第26條對(duì)匿名化的要求，筆者認(rèn)為，數(shù)據(jù)匿名化處理行為是否符合“不可再識(shí)別至具體個(gè)人”之法律標(biāo)準(zhǔn)，具體可拆解成三個(gè)要件進(jìn)行判斷：其一，匿名化需達(dá)到無(wú)法直接或間接識(shí)別至特定個(gè)人之效果;其二，不可再識(shí)別的行為主體包括數(shù)據(jù)控制者和第三方;其三，數(shù)據(jù)控制者或第三方需用盡所有合理可能之再識(shí)別方法。

需達(dá)到無(wú)法直接或間接識(shí)別至特定個(gè)人之效果

針對(duì)直接識(shí)別：HIPAA隱私規(guī)則之安全港模式

直接識(shí)別至特定個(gè)人指依獨(dú)特的身份標(biāo)識(shí)符便具有識(shí)別個(gè)人身份的高度可能性，而無(wú)須與其他數(shù)據(jù)交叉驗(yàn)證。HIPAA隱私規(guī)則去識(shí)別方式之一的安全港模式，即是通過(guò)刪除獨(dú)特的身份識(shí)別數(shù)據(jù)來(lái)達(dá)到匿名化的目的。它逐一列舉了18類必須刪除的身份識(shí)別數(shù)據(jù)：姓名;住址（包括詳細(xì)住址和郵編等）;與個(gè)人相關(guān)聯(lián)的所有日期元素（包括出身死亡日期、注冊(cè)日期等）;電話號(hào)碼;傳真號(hào)碼;電子郵件地址;社保號(hào)碼;醫(yī)療記錄號(hào)碼;健康計(jì)劃受益號(hào)碼;賬戶號(hào)碼;駕駛證許可證號(hào)碼;車輛標(biāo)識(shí)符和序列號(hào)（包括車牌號(hào)）;設(shè)備標(biāo)識(shí)符和序列號(hào);URLs;IP地址;生物識(shí)別符（包括指紋和聲紋）;全臉攝影圖像和任何可比圖像;以及任何其他唯一識(shí)別號(hào)、特征或代碼。為盡可能降低再識(shí)別的可能性，安全港模式還要求數(shù)據(jù)處理者在刪除身份識(shí)別符后應(yīng)確保其自身對(duì)去識(shí)別后的數(shù)據(jù)不可單獨(dú)或與其他數(shù)據(jù)結(jié)合后識(shí)別至數(shù)據(jù)主體這一結(jié)果持確信態(tài)度，若數(shù)據(jù)處理者依自身技術(shù)能力可輕易識(shí)別至具體個(gè)人，即便刪除了指定的18類數(shù)據(jù)，仍不符合法律要求。有學(xué)者利用匈牙利建立的假名化人口醫(yī)療健康數(shù)據(jù)庫(kù)，測(cè)試了HIPAA隱私規(guī)則是否能達(dá)到其所說(shuō)的“公平的匿名化”標(biāo)準(zhǔn)，測(cè)試結(jié)果表明，即使在悲觀情況下，1000萬(wàn)人中僅7人有被識(shí)別的風(fēng)險(xiǎn)。

針對(duì)間接識(shí)別：專家決策模式與歐盟“三性標(biāo)準(zhǔn)”相結(jié)合

不具有直接身份標(biāo)識(shí)的數(shù)據(jù)，需要與其他數(shù)據(jù)相結(jié)合才可能識(shí)別具體個(gè)人，此謂之間接識(shí)別。通過(guò)間接方式識(shí)別至特定個(gè)人的判斷，較難確定。原因在于：其一，據(jù)以識(shí)別的數(shù)據(jù)范圍不確定，有可能通過(guò)同一數(shù)據(jù)集的各項(xiàng)屬性值即可識(shí)別，也有可能通過(guò)多個(gè)數(shù)據(jù)集的屬性值交叉認(rèn)證得以識(shí)別，為防止數(shù)據(jù)控制者或第三方間接識(shí)別而試圖窮盡所有相關(guān)的間接識(shí)別的數(shù)據(jù)，不具現(xiàn)實(shí)可行性;其二，數(shù)據(jù)控制者或獲取匿名化數(shù)據(jù)第三方的背景數(shù)據(jù)和數(shù)據(jù)分析能力未知，再高明的匿名化技術(shù)，可能僅僅因?yàn)橐粭l始料未及的關(guān)鍵性的背景數(shù)據(jù)，再輔以相應(yīng)的數(shù)據(jù)分析能力，即可間接識(shí)別至具體個(gè)人，如美國(guó)AOL公司匿名化失敗的典型案例即屬此類;其三，進(jìn)行匿名化風(fēng)險(xiǎn)評(píng)估時(shí)，難以將所有世界上所有去匿名化技術(shù)一一加以檢驗(yàn)，時(shí)間成本和人力成本高昂。因此，在判斷能否通過(guò)間接方式識(shí)別至具體個(gè)人時(shí)，必須依據(jù)一個(gè)合理可行的標(biāo)準(zhǔn)，最終的結(jié)論也必須容忍和接納合理范圍內(nèi)的再識(shí)別風(fēng)險(xiǎn)。

HIPAA隱私規(guī)則去識(shí)別方式之二的專家決策模式，要求專家在設(shè)計(jì)去識(shí)別方案時(shí)必須使去識(shí)別數(shù)據(jù)接收者單獨(dú)或與其他數(shù)據(jù)結(jié)合以識(shí)別具體個(gè)人的風(fēng)險(xiǎn)非常小，并證明其方案是合理的。為增強(qiáng)模式的可實(shí)施性，《去識(shí)別指南》為其設(shè)置了一套操作流程：首先，專家需對(duì)數(shù)據(jù)接收者的再識(shí)別能力進(jìn)行評(píng)估，以確定采用何種去識(shí)別技術(shù)的大致范圍;其次，專家向數(shù)據(jù)處理者提供一套去識(shí)別技術(shù)的指導(dǎo)方案;然后，與數(shù)據(jù)處理者配合實(shí)施去識(shí)別技術(shù)方案并就去識(shí)別后的數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，若風(fēng)險(xiǎn)仍較高，需對(duì)方案進(jìn)行修正;最后，風(fēng)險(xiǎn)降至非常小的范圍，方案可正式實(shí)施，專家需出具報(bào)告證明方案的合理性?！度プR(shí)別指南》為專家和數(shù)據(jù)處理者提供了再識(shí)別風(fēng)險(xiǎn)評(píng)估的三項(xiàng)參照原則：數(shù)據(jù)可重復(fù)性（Replicability）、數(shù)據(jù)源可獲取性（Data Source Availability）、數(shù)據(jù)可區(qū)分性（Distinguishability）。可重復(fù)性或稱與個(gè)人關(guān)聯(lián)的穩(wěn)定性，根據(jù)健康信息特征與個(gè)人相關(guān)聯(lián)的穩(wěn)定性，劃分其風(fēng)險(xiǎn)等級(jí)，如患者出生日期這類基本信息相對(duì)于患者血糖水平測(cè)試數(shù)據(jù)更加穩(wěn)定，風(fēng)險(xiǎn)等級(jí)更高。數(shù)據(jù)源可獲取性是指有多少外部數(shù)據(jù)源包含有患者的身份標(biāo)識(shí)符數(shù)據(jù)或其他可重復(fù)性高的數(shù)據(jù)，以及訪問(wèn)這些數(shù)據(jù)源的難易程度。可區(qū)分性則關(guān)注患者的數(shù)據(jù)在數(shù)據(jù)庫(kù)中與其他患者數(shù)據(jù)的可區(qū)分程度，如出生年月日比只有出生年月的可區(qū)分度更高。健康信息的可重復(fù)性、可獲取性和可區(qū)分性越強(qiáng)，識(shí)別的風(fēng)險(xiǎn)就越大。

歐盟《匿名化意見(jiàn)》對(duì)匿名化處理技術(shù)提出了三個(gè)風(fēng)險(xiǎn)衡量標(biāo)準(zhǔn)：指向性（Singling out）、關(guān)聯(lián)性（Linkability）和推斷性（Inference）。指向性關(guān)注的是數(shù)據(jù)集中能識(shí)別至特定個(gè)人的數(shù)據(jù)記錄，若數(shù)據(jù)集中存在較多具有識(shí)別性的數(shù)據(jù)記錄，則指向性風(fēng)險(xiǎn)較高，反之則低。關(guān)聯(lián)性是指將至少兩個(gè)數(shù)據(jù)記錄與同一數(shù)據(jù)主體或一組數(shù)據(jù)主體相聯(lián)系的可能性。如果攻擊者能夠通過(guò)兩個(gè)數(shù)據(jù)記錄關(guān)聯(lián)到一群數(shù)據(jù)主體，但無(wú)法進(jìn)一步識(shí)別該數(shù)據(jù)記錄具體歸屬于哪一個(gè)數(shù)據(jù)主體，則該匿名化技術(shù)具有關(guān)聯(lián)性風(fēng)險(xiǎn)，而不具有指向性風(fēng)險(xiǎn)。推斷性是指從一部分屬性的屬性值推斷出另一屬性的屬性值的可能性。從這三個(gè)標(biāo)準(zhǔn)出發(fā)，《匿名化意見(jiàn)》逐一詳細(xì)評(píng)估了主要匿名化技術(shù)的再識(shí)別風(fēng)險(xiǎn)大小（如表1所示）。主要匿名化技術(shù)均在一定程度上具有被再識(shí)別的技術(shù)風(fēng)險(xiǎn)，且不同技術(shù)在不同標(biāo)準(zhǔn)下風(fēng)險(xiǎn)大小均有差異。在合理風(fēng)險(xiǎn)范圍內(nèi)，結(jié)合數(shù)據(jù)適用的具體情境，綜合運(yùn)用多種匿名化技術(shù)以實(shí)現(xiàn)不可間接識(shí)別的目的。

《去識(shí)別指南》的專家決策模式更側(cè)重于對(duì)擬匿名化數(shù)據(jù)的再識(shí)別風(fēng)險(xiǎn)評(píng)估，而《匿名化意見(jiàn)》則側(cè)重于對(duì)匿名化技術(shù)的風(fēng)險(xiǎn)評(píng)估，二者存在一定互補(bǔ)性。在降低間接識(shí)別風(fēng)險(xiǎn)時(shí)，一方面可對(duì)擬匿名化處理的數(shù)據(jù)從數(shù)據(jù)可重復(fù)性、數(shù)據(jù)源可獲取性、數(shù)據(jù)可區(qū)分性三方面進(jìn)行風(fēng)險(xiǎn)評(píng)估;另一方面在選擇匿名化技術(shù)并進(jìn)行風(fēng)險(xiǎn)測(cè)試時(shí)，可從指向性、關(guān)聯(lián)性和推斷性三方面對(duì)擬采用的匿名化技術(shù)方案進(jìn)行再識(shí)別風(fēng)險(xiǎn)評(píng)估。國(guó)際上已有從這三條標(biāo)準(zhǔn)出發(fā)，設(shè)計(jì)出一套較為合理的量化評(píng)分的方式對(duì)匿名化技術(shù)方案的安全性以及數(shù)據(jù)可利用性進(jìn)行打分的研究[ Open GDA Score Project是一項(xiàng)專門對(duì)去身份化技術(shù)方案（de-identification schemes）進(jìn)行量化評(píng)價(jià)的項(xiàng)目，主要評(píng)估技術(shù)方案的防御（defence）和效用（utility）能力。對(duì)防御能力的評(píng)估，主要以數(shù)據(jù)敏感性（susceptibility）、信心提升（confidence improvement）、索求概率（claim probability）、先驗(yàn)信息（prior knowledge）以及工作量（work）這五個(gè)為評(píng)估參考因素，通過(guò)特定軟件進(jìn)行計(jì)算自動(dòng)生成該技術(shù)方案的GDA分值。隨著每次去匿名化攻擊手段的不同，GDA分值也會(huì)出現(xiàn)一定變化，詳情內(nèi)容可訪問(wèn)https：//www.gda-score.org/.]，可資借鑒。

不可再識(shí)別的行為主體

對(duì)數(shù)據(jù)控制者而言，由于它是數(shù)據(jù)匿名化處理行為的實(shí)際掌控者，原始數(shù)據(jù)和匿名化算法均由其掌握，而數(shù)據(jù)控制者必須剝奪對(duì)匿名化數(shù)據(jù)的再識(shí)別能力，才能使其匿名化處理行為合法。為此，原始數(shù)據(jù)經(jīng)匿名化處理之后需不得留存?zhèn)浞?，且采取的匿名化技術(shù)必須不具備可回溯性，匿名化數(shù)據(jù)無(wú)法通過(guò)數(shù)據(jù)控制者自身具有之技術(shù)能力再回溯識(shí)別至特定個(gè)人。

對(duì)獲得匿名化數(shù)據(jù)的第三方而言，需要求其采取一般可能的措施、手段無(wú)法將匿名化數(shù)據(jù)關(guān)聯(lián)到具體個(gè)人。然實(shí)踐中獲取匿名化數(shù)據(jù)的第三方自身所具有的數(shù)據(jù)資源和數(shù)據(jù)分析處理能力千差萬(wàn)別，針對(duì)第三方的數(shù)據(jù)匿名化標(biāo)準(zhǔn)如何確定是個(gè)難題，標(biāo)準(zhǔn)過(guò)低會(huì)造成再識(shí)別風(fēng)險(xiǎn)增大隱私受威脅，標(biāo)準(zhǔn)過(guò)高又會(huì)造成數(shù)據(jù)價(jià)值的極大減損。HIPAA隱私規(guī)則中專家決策模式在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)亦將第三方能力納入考量范圍，但僅適用于個(gè)案化場(chǎng)景。對(duì)于第三方為不特定主體時(shí)，將難以進(jìn)行。對(duì)此，英國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)（ICO）采取“蓄意攻擊者”測(cè)試（Motivated Intruder Test）方式對(duì)第三方進(jìn)行明確，進(jìn)而確定具體的匿名化標(biāo)準(zhǔn)。根據(jù)ICO測(cè)試，第三方應(yīng)具備以下條件：（1）主觀上有去匿名化的故意，即意圖通過(guò)識(shí)別匿名化數(shù)據(jù)至特定個(gè)人，以獲取經(jīng)濟(jì)利益或其他不法利益;（2）具備獲取任何公開(kāi)數(shù)據(jù)或可通過(guò)合法方式獲取數(shù)據(jù)的一般能力。這一數(shù)據(jù)獲取能力要求高于一般大眾，同時(shí)低于數(shù)據(jù)領(lǐng)域的專業(yè)人士，控制在一個(gè)較合理的范圍。

用盡所有合理可能之再識(shí)別方法

用盡所有合理可能之方法（all the means reasonably likely to be used），“所有方法”意指數(shù)據(jù)匿名化行為之時(shí)，現(xiàn)存的、公開(kāi)的、可預(yù)期的去匿名化技術(shù)方法，而不包括匿名化處理之后新出現(xiàn)的去匿名化技術(shù);“合理可能”意指在具體情境中，根據(jù)匿名化數(shù)據(jù)內(nèi)容的敏感性、匿名化程度的大小、匿名化數(shù)據(jù)接收主體數(shù)據(jù)收集和數(shù)據(jù)處理能力的強(qiáng)弱等因素，從各種去匿名化數(shù)據(jù)中選擇出適合數(shù)據(jù)接收主體的合理去匿名化方法，以用盡篩選出的去匿名化方法為合法標(biāo)準(zhǔn)。為便于理解，筆者通過(guò)四個(gè)主要影響參數(shù)對(duì)“合理可能”作出具體判斷（如表2所示）。

現(xiàn)將低敏感的患者基本數(shù)據(jù)進(jìn)行匿名化處理，為兼顧數(shù)據(jù)有用性，將信息損失降至最低，應(yīng)選擇C類的三項(xiàng)技術(shù)。若此類數(shù)據(jù)面向收集和處理能力中等的數(shù)據(jù)主體開(kāi)放，那么針對(duì)這類主體，a、b、c三類去匿名化技術(shù)何者為“合理可能”選擇？由于能力為中，對(duì)于a類技術(shù)無(wú)使用的能力，排除a類，故應(yīng)當(dāng)以用盡所有b類和c類的六項(xiàng)去匿名化技術(shù)為匿名化合法判斷標(biāo)準(zhǔn)，而不能以未用盡a類去匿名化技術(shù)主張其違法，因?yàn)閍類技術(shù)不屬于“合理可能”的范圍。若面向低能力者開(kāi)放，則合理可能的范圍為c類的三項(xiàng)，高能力者則為以上全部九項(xiàng)。對(duì)于此類數(shù)據(jù)，在兼顧隱私保護(hù)的同時(shí)，應(yīng)側(cè)重?cái)?shù)據(jù)的有效利用，“合理可能”的技術(shù)范圍可適當(dāng)縮小，以鼓勵(lì)數(shù)據(jù)的利用。對(duì)于敏感疾病數(shù)據(jù)，因與患者人格尊嚴(yán)關(guān)切甚大，法律上應(yīng)側(cè)重患者隱私保護(hù)，“合理可能”技術(shù)范圍應(yīng)適當(dāng)擴(kuò)大，限制對(duì)敏感數(shù)據(jù)的處理，保護(hù)患者人格尊嚴(yán)。

事后行為——合法匿名化處理的剩余風(fēng)險(xiǎn)管理

對(duì)于匿名化之后數(shù)據(jù)的規(guī)制態(tài)度上，美歐立法不謀而合，合法匿名化后的數(shù)據(jù)由于與個(gè)人相分離，便不再受諸如GDPR和HIPAA隱私規(guī)則之類的個(gè)人信息保護(hù)法規(guī)制?；跀?shù)據(jù)匿名化處理的相對(duì)性，不存在零再識(shí)別風(fēng)險(xiǎn)的匿名化技術(shù)，合法匿名化數(shù)據(jù)在轉(zhuǎn)移、使用和刪除等事后行為過(guò)程中被再識(shí)別風(fēng)險(xiǎn)會(huì)因背景數(shù)據(jù)增加或技術(shù)進(jìn)步而逐漸增大，因而數(shù)據(jù)匿名化處理的合法性認(rèn)定也并非一勞永逸，加強(qiáng)對(duì)再識(shí)別風(fēng)險(xiǎn)的剩余風(fēng)險(xiǎn)（Residual Risks）管控也是對(duì)數(shù)據(jù)匿名化處理行為保持合法性的必然要求。在匿名化數(shù)據(jù)的轉(zhuǎn)移、使用和刪除過(guò)程中，雖不受個(gè)人數(shù)據(jù)保護(hù)法律的約束，但均具有剩余風(fēng)險(xiǎn)管控的義務(wù)。

剩余風(fēng)險(xiǎn)管理的責(zé)任主體

歐盟語(yǔ)境下存在數(shù)據(jù)控制者和數(shù)據(jù)處理者之分，美國(guó)HIPAA隱私規(guī)則包含專家和受規(guī)制實(shí)體。數(shù)據(jù)控制者和數(shù)據(jù)處理者可能歸屬同一主體，或數(shù)據(jù)處理者受數(shù)據(jù)控制者委托代為匿名化處理，在此情形下數(shù)據(jù)處理者應(yīng)協(xié)助數(shù)據(jù)控制者進(jìn)行剩余風(fēng)險(xiǎn)管理，并提供必要技術(shù)支持，責(zé)任主體仍為數(shù)據(jù)控制者。專家在匿名化進(jìn)程中受雇于受規(guī)制實(shí)體，為其提供專業(yè)的匿名化方案，并定期評(píng)估可能風(fēng)險(xiǎn)，受規(guī)制實(shí)體乃剩余風(fēng)險(xiǎn)管理的責(zé)任主體。而接收匿名化數(shù)據(jù)的第三方，需協(xié)助責(zé)任主體為剩余風(fēng)險(xiǎn)管控，或按照責(zé)任主體指示降低其獲取的匿名化數(shù)據(jù)的風(fēng)險(xiǎn)，或嚴(yán)格限制對(duì)匿名化數(shù)據(jù)的再識(shí)別行為并禁止其傳播等，而這一前提要求是責(zé)任主體在數(shù)據(jù)轉(zhuǎn)移時(shí)需對(duì)數(shù)據(jù)接收方主體信息進(jìn)行備案，記錄數(shù)據(jù)的傳播鏈條。

剩余風(fēng)險(xiǎn)的評(píng)估因素

對(duì)于剩余風(fēng)險(xiǎn)，數(shù)據(jù)控制者應(yīng)當(dāng)定期評(píng)估其是否有擴(kuò)大趨勢(shì)，并采取必要措施將剩余風(fēng)險(xiǎn)控制在合理范圍內(nèi)。有學(xué)者認(rèn)為，至少需要從七個(gè)方面來(lái)衡量風(fēng)險(xiǎn)大小，如匿名化數(shù)據(jù)體量大小、數(shù)據(jù)敏感程度、數(shù)據(jù)接收者能力、數(shù)據(jù)的使用方式、數(shù)據(jù)處理技術(shù)、數(shù)據(jù)訪問(wèn)限制和數(shù)據(jù)主體同意或期望。綜合來(lái)看，風(fēng)險(xiǎn)評(píng)估可進(jìn)一步從以下方面進(jìn)行：

（1）數(shù)據(jù)接收方數(shù)量，獲得數(shù)據(jù)的人數(shù)越多，可識(shí)別的背景數(shù)據(jù)就會(huì)越多;

（2）數(shù)據(jù)接收方技術(shù)能力，文化程度越高，或者與計(jì)算機(jī)數(shù)據(jù)相關(guān)的專業(yè)受眾越多，剩余風(fēng)險(xiǎn)擴(kuò)大可能性越大;

（3）去匿名化技術(shù)的進(jìn)步，若更加先進(jìn)的去匿名化技術(shù)出現(xiàn)，則匿名化數(shù)據(jù)被識(shí)別的風(fēng)險(xiǎn)將極大增加;

（4）匿名化數(shù)據(jù)的商業(yè)價(jià)值，隨著信息科技進(jìn)步以及市場(chǎng)需求的日益多樣，原來(lái)被視為“無(wú)用”的數(shù)據(jù)可能重新被賦予新的商業(yè)價(jià)值，引來(lái)人們競(jìng)相挖掘，匿名化數(shù)據(jù)面臨更大的再識(shí)別威脅，等等。

剩余風(fēng)險(xiǎn)的合理控制手段

合理評(píng)估之后若剩余風(fēng)險(xiǎn)超出可控區(qū)間，需及時(shí)采取措施將剩余風(fēng)險(xiǎn)限制在合理范圍內(nèi)?？刹扇〉氖Ｓ囡L(fēng)控手段包括：

（1）匿名化數(shù)據(jù)的進(jìn)一步匿名化處理。結(jié)合現(xiàn)有新的場(chǎng)景模式，重新審視數(shù)據(jù)集中非匿名化部分被識(shí)別的可能性，尤其是與其匿名化部分相結(jié)合的情況，以及不同屬性之間可能的關(guān)聯(lián)，再有針對(duì)性地對(duì)部分屬性值采用適當(dāng)?shù)哪涿夹g(shù)降低被識(shí)別風(fēng)險(xiǎn);

（2）對(duì)有能力進(jìn)行再識(shí)別的第三方進(jìn)行限制。如限制數(shù)據(jù)得使用目的、限制披露該數(shù)據(jù)、禁止任何再識(shí)別嘗試、要求制定技術(shù)和組織層面的安全措施等;

（3）有針對(duì)性地限縮匿名化數(shù)據(jù)的開(kāi)放范圍。對(duì)于已獲取匿名化數(shù)據(jù)的主體應(yīng)限制其對(duì)匿名化數(shù)據(jù)的使用，對(duì)于將要可能獲取匿名化數(shù)據(jù)的主體，區(qū)別其數(shù)據(jù)收集和處理能力的強(qiáng)弱，采取或拒絕其訪問(wèn)、或增加限制條件、或允許正常訪問(wèn)等不同應(yīng)對(duì)策略。

寫在最后

人是科技進(jìn)步的目的而非工具，科技的發(fā)展應(yīng)當(dāng)讓人類過(guò)上更有尊嚴(yán)的生活?；颊哚t(yī)療數(shù)據(jù)中包含著大量敏感和隱私信息，利用大數(shù)據(jù)等信息化技術(shù)挖掘醫(yī)療數(shù)據(jù)的經(jīng)濟(jì)和社會(huì)價(jià)值的前提應(yīng)是采取嚴(yán)格法律措施保障患者數(shù)據(jù)權(quán)益和隱私尊嚴(yán)不受侵犯。針對(duì)數(shù)據(jù)匿名化處理行為，不應(yīng)僅僅局限于匿名化處理行為本身的合法性，而應(yīng)站在全局高度運(yùn)籌帷幄，對(duì)擬處理數(shù)據(jù)的事前行為作形式上的合法性審查，拒絕處理權(quán)利瑕疵的數(shù)據(jù);加強(qiáng)對(duì)匿名化處理后的數(shù)據(jù)即事后行為的剩余風(fēng)險(xiǎn)管控。數(shù)據(jù)匿名化作為撬動(dòng)醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)持續(xù)快速發(fā)展的關(guān)鍵，應(yīng)當(dāng)審慎對(duì)待。全面分析并應(yīng)對(duì)其中可能存在的法律風(fēng)險(xiǎn)，做好充分的法律風(fēng)險(xiǎn)評(píng)估，切忌讓患者尊嚴(yán)邊緣化、工具化，方能真正助力國(guó)家健康醫(yī)療大數(shù)據(jù)發(fā)展戰(zhàn)略的長(zhǎng)遠(yuǎn)推進(jìn)。

（ 本報(bào)第38-39期第12版刊登的《數(shù)據(jù)匿名化處理的合法性探究》為本文的節(jié)選，為展示原文全部?jī)?nèi)容，現(xiàn)經(jīng)作者授權(quán)刊登全文，以饗讀者，本文轉(zhuǎn)載于《信息安全與通信保密》2020年第9期）