高玉玲,徐詠軍

(1.皖南醫(yī)學院 人文與管理學院,安徽 蕪湖 241001;2.皖南醫(yī)學院 學報編輯部，安徽 蕪湖 241002)

大數(shù)據(jù)已廣泛應用于醫(yī)療、教育、旅游、城市管理、社交媒體等領(lǐng)域，是現(xiàn)代社會發(fā)展的重要資源，對大數(shù)據(jù)的挖掘、分析和使用是許多企業(yè)贏得市場競爭的關(guān)鍵。去識別協(xié)調(diào)了數(shù)據(jù)利用與數(shù)據(jù)保護之間的矛盾，但隨著反向識別技術(shù)的運用和發(fā)展，再識別對個人信息的保護帶來了新的風險，其擊破了數(shù)據(jù)使用和個人信息保護之間的平衡，原有的數(shù)據(jù)法律保護制度面臨著新的挑戰(zhàn)，對再識別行為進行法律規(guī)制是大數(shù)據(jù)時代發(fā)展中需回應的議題。

一、大數(shù)據(jù)識別性的理論闡釋

對識別性的數(shù)據(jù)進行保護是世界各國對個人信息保護的基本要求，但何謂“識別”，如何界定，是司法適用中面臨的難題，特別是間接識別認定及其標準問題。

(一)識別的內(nèi)涵

識別的界定關(guān)系到個人數(shù)據(jù)保護的范圍以及數(shù)據(jù)控制者和使用者行使權(quán)利和履行義務的界限，同時也關(guān)涉去識別等相關(guān)技術(shù)使用的合法性問題。歐盟《通用數(shù)據(jù)保護條例》第4.1條規(guī)定：“個人數(shù)據(jù)是指與已識別或可識別的自然人(數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)?！蔽覈睹穹ǖ洹返?034條規(guī)定，個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”。《個人信息保護法》第4條也規(guī)定，個人信息是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。識別是他人根據(jù)數(shù)據(jù)主體提供的數(shù)據(jù)信息可以認識并分辨出特定的自然人。法律中的識別應包含了直接識別和間接識別、已識別和可識別、原始識別和再識別等情形。

直接識別是指依據(jù)提供的數(shù)據(jù)信息可以直接關(guān)聯(lián)到特定的主體，無需附加其他信息或者與其他信息進行交叉比對分析，即可識別特定自然人的身份，依據(jù)數(shù)據(jù)主體提供的標識符能直接識別特定主體，如身份證號、社會保障號、駕駛證號、電話號碼、肖像、網(wǎng)絡賬戶等，這些數(shù)據(jù)一般是唯一的，依據(jù)一項信息能夠單獨識別個人，其與間接識別是相對的。

間接識別是指依據(jù)現(xiàn)有的一項數(shù)據(jù)信息不能直接識別特定自然人身份，還需要與其他數(shù)據(jù)信息相關(guān)聯(lián)或相結(jié)合，才能分辨特定主體身份，如個人的家庭住址、年齡、性別、出生日期、郵政編碼、種族、民族等，其往往需要兩項或多項數(shù)據(jù)的結(jié)合才能識別特定主體。某些數(shù)據(jù)信息雖然表面上是直接標識符，但通常也需要結(jié)合其他數(shù)據(jù)信息才能識別特定個人，如姓名數(shù)據(jù)，就存在較多同名同姓的情形。無論是直接識別還是間接識別的數(shù)據(jù)都受法律保護。對直接識別的數(shù)據(jù)法律保護容易操作，但對于多項數(shù)據(jù)結(jié)合的間接識別性個人數(shù)據(jù)，法律適用中存在操作難的問題。大數(shù)據(jù)匯聚利用中基于數(shù)據(jù)主體權(quán)益保護的“去識別”如何實施，一直是理論和實務中探討的焦點，也是難點。其核心問題就是“識別性”的界定。去識別后，其效用性如何保障，去識別中如何平衡個人數(shù)據(jù)的保護和去識別后數(shù)據(jù)的有用性，在公共衛(wèi)生安全、國家安全等領(lǐng)域，如何把握數(shù)據(jù)最小化原則的利用，也與識別性數(shù)據(jù)的認定具有關(guān)聯(lián)性。其間接識別性通常與數(shù)據(jù)的種類、大小、屬性及應用場景等因素相關(guān)，需結(jié)合實際情況綜合判定。

法律中的識別還應包括已識別和可識別，即根據(jù)數(shù)據(jù)信息是現(xiàn)在已經(jīng)可以識別特定個體身份，還是將來可能識別個體身份。已識別是根據(jù)現(xiàn)有數(shù)據(jù)信息可以識別特定的個人?？勺R別是數(shù)據(jù)信息指向某一類人或某一類人的某種特征，但需和某些數(shù)據(jù)相鏈接，才可以識別特定個人。此外法律中的識別還包括原識別和再識別。原識別是數(shù)據(jù)接收者根據(jù)原始數(shù)據(jù)就可識別個體身份。再識別是個人信息去身份之后數(shù)據(jù)接收者可能會試圖識別數(shù)據(jù)主體的身份，這一過程被稱為個人信息的再識別。有的學者稱為重標識或重標識攻擊，即攻擊者通過數(shù)據(jù)關(guān)聯(lián)、概率推理等手段獲取已被去除的數(shù)據(jù)主體身份信息，即去標識化的數(shù)據(jù)信息重新關(guān)聯(lián)或銜接到原始的數(shù)據(jù)主體。在大數(shù)據(jù)時代，對于直接識別、已識別、原識別均容易處理，存在的難點在于間接識別、可識別、再識別的規(guī)制，而間接識別、可識別均與再識別行為之間具有相關(guān)性。在促進大數(shù)據(jù)發(fā)展的宏觀政策視野下，在匿名數(shù)據(jù)的使用規(guī)制上，應將其核心定位于對再識別行為的法律規(guī)制。

(二)識別性是判斷數(shù)據(jù)是否是個人數(shù)據(jù)的主要標準

1.能識別特定個人身份的數(shù)據(jù)是個人數(shù)據(jù)的主要特征和內(nèi)在要求

數(shù)據(jù)是進行各種統(tǒng)計、計算、科學研究或技術(shù)設計等所依據(jù)的數(shù)值，信息泛指社會傳播的一切內(nèi)容。數(shù)據(jù)中體現(xiàn)的內(nèi)容為信息，而信息往往通過一定數(shù)據(jù)表現(xiàn)出來。數(shù)據(jù)是信息的表現(xiàn)形式，信息承載著數(shù)據(jù)的內(nèi)容。數(shù)據(jù)中含有特定個人身份特征的信息為個人數(shù)據(jù)，通過該數(shù)據(jù)可識別出特定的個人。如個人社會保險賬號、身份證號碼等數(shù)據(jù)，該類數(shù)據(jù)由于能夠識別特定的自然人，是個人數(shù)據(jù)。個人數(shù)據(jù)上所體現(xiàn)的可識別特定個人身份內(nèi)容為個人信息，是人格權(quán)保護的客體。個人數(shù)據(jù)與個人信息只是表達不同，對其保護所體現(xiàn)的價值是相同的。故在國內(nèi)外的立法中，有的稱為“個人數(shù)據(jù)”，有的稱為“個人信息”。我國相關(guān)法律中采用“個人信息”的概念，對其保護目前我國已經(jīng)制定了專門的《個人信息保護法》，此外《民法典》《網(wǎng)絡安全法》等相關(guān)法律中也有散見的規(guī)定。國外法律中有采用“個人數(shù)據(jù)”的表達，如《歐盟通用數(shù)據(jù)保護條例》。也有采用“個人資料”的表達，如《德國聯(lián)邦個人資料保護法》。各國法律稱謂不同，決定了各國立法的目的不同。我國法律重在對個人人格權(quán)的保護，歐盟重在數(shù)據(jù)的有序流通和個人數(shù)據(jù)保護的平衡?？梢?，能識別特定個人身份是個人數(shù)據(jù)的主要特征。

在個人數(shù)據(jù)中，有的是能夠在一定范圍為他人知曉或公開的，如個人姓名、地址等，但使用和處理受到限制；有的是不能公開，一旦公開將會對當事人的人格和名譽造成影響，這類數(shù)據(jù)通常屬于個人隱私的范疇，其中正面、積極的隱私信息構(gòu)成侵權(quán)的較少，而負面、消極的隱私信息泄露和公開往往對數(shù)據(jù)主體造成損害，特別是個人敏感數(shù)據(jù)信息，如性病、基因數(shù)據(jù)信息等。數(shù)據(jù)上不含有特定主體身份信息的數(shù)據(jù)為非個人數(shù)據(jù)，包括去身份的個人數(shù)據(jù)、反映群體特征的群體數(shù)據(jù)等。

2.識別性是自然人個人數(shù)據(jù)受法律保護的必要條件

能識別特定的自然人是數(shù)據(jù)成為個人數(shù)據(jù)的基本條件和必要條件，無法識別特定自然人身份的數(shù)據(jù)則不屬于個人數(shù)據(jù)。識別性是個人數(shù)據(jù)受法律保護的基本要求，這是目前各國法律的基本規(guī)定。

首先，識別性是自然人個人數(shù)據(jù)受法律保護的基本要求，不適用于自然人以外的法人、非法人組織及群體?！稓W盟通用數(shù)據(jù)保護條例》第1條明確規(guī)定“本條例制定關(guān)于處理個人數(shù)據(jù)中對自然人的基本權(quán)利和自由進行保護”，第4條(1)明確規(guī)定了“個人數(shù)據(jù)指的是任何已識別或可識別的自然人相關(guān)的信息”；我國《民法典》第1034條也規(guī)定， 自然人的個人信息受法律保護，而個人信息是指“能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”?？梢姡瑖鴥?nèi)外的法律均規(guī)定：識別性是自然人個人數(shù)據(jù)受法律保護的基本要求。

其次，不具有識別性的數(shù)據(jù)不是個人數(shù)據(jù)，其是否受法律保護以及依據(jù)何種法律給予保護應依據(jù)數(shù)據(jù)本身屬性來確定。法律對個人數(shù)據(jù)進行保護，是因為這類數(shù)據(jù)往往與特定主體的身份相關(guān)，對其不當利用會侵害數(shù)據(jù)主體的人格權(quán)。而不具有識別性的數(shù)據(jù)由于不具有人格性，所以不能適用個人數(shù)據(jù)保護法或個人信息保護法等相關(guān)法律法規(guī)，但仍然可以適用于其他法律進行保護。如匿名化的不具有識別性的數(shù)據(jù)雖然不是個人數(shù)據(jù)，但仍然可能成為財產(chǎn)權(quán)保護的客體，數(shù)據(jù)控制者對其處理后經(jīng)過匯集整理的大數(shù)據(jù)享有所有權(quán)，可以適用財產(chǎn)保護的相關(guān)法律對其加以保護。如果該類數(shù)據(jù)中含有國家秘密或商業(yè)秘密的話，也可以適用相關(guān)法律中關(guān)于“國家秘密”或“商業(yè)秘密”的法律規(guī)定對其加以保護。

二、再識別：大數(shù)據(jù)時代個人數(shù)據(jù)保護的新風險

大數(shù)據(jù)時代，個人信息保護具有不同于小數(shù)據(jù)時代的特點，大數(shù)據(jù)運用中再識別行為給去識別的個人信息保護帶來新的風險和挑戰(zhàn)，對再識別行為的立法規(guī)制是大數(shù)據(jù)時代個人信息保護的法治需求。

(一)大數(shù)據(jù)時代個人數(shù)據(jù)保護的新特點

大數(shù)據(jù)時代個人數(shù)據(jù)保護與小數(shù)據(jù)時代個人數(shù)據(jù)保護相比具有復雜性，這是大數(shù)據(jù)自身的特點，以及基于數(shù)據(jù)安全和利用中數(shù)據(jù)本身的變化和流動等特點決定的。

1.大數(shù)據(jù)時代小數(shù)據(jù)的法律保護與傳統(tǒng)小數(shù)據(jù)的保護相比具有復雜性

小數(shù)據(jù)主要是含有識別個人身份信息的數(shù)據(jù)，具有人格性，數(shù)據(jù)之間重因果關(guān)系。而在大數(shù)據(jù)時代，數(shù)據(jù)的價值被重新評估和定義，數(shù)據(jù)成為核心資產(chǎn)，數(shù)據(jù)之間的因果關(guān)系逐漸淡化而數(shù)據(jù)相關(guān)關(guān)系凸顯。大數(shù)據(jù)通過相關(guān)關(guān)系來實現(xiàn)結(jié)果預測和精準預測。大數(shù)據(jù)本身雖然價值密度低，但通過對海量數(shù)據(jù)的挖掘分析，可以得到用戶的個人信息，有些數(shù)據(jù)表面上看不是個人數(shù)據(jù)，但是經(jīng)過大數(shù)據(jù)處理后，又可以追溯到個人。即大數(shù)據(jù)經(jīng)過再識別行為處理后，又變成了含有個人信息的小數(shù)據(jù)，即從匿名數(shù)據(jù)轉(zhuǎn)化為非匿名數(shù)據(jù)。我國《民法典》《網(wǎng)絡安全法》等法律法規(guī)中規(guī)定了保護個人信息，該類個人信息既包含了傳統(tǒng)的含有個人身份、可以直接識別的非匿名數(shù)據(jù)，也包含了大數(shù)據(jù)時代，經(jīng)過再識別技術(shù)行為處理后，可以間接識別個人身份信息的數(shù)據(jù)。大數(shù)據(jù)時代，由于政府、社會組織、各種平臺獲取信息的便利性，大數(shù)據(jù)時代合成小數(shù)據(jù)路徑的隱蔽性和二次使用的風險性，個人很難對其自身信息進行保護。如何對大數(shù)據(jù)經(jīng)過再識別行為衍生成小數(shù)據(jù)的行為進行規(guī)制顯得較為復雜，也尤為重要。從數(shù)據(jù)上其經(jīng)歷了從非匿名數(shù)據(jù)到匿名數(shù)據(jù)到大數(shù)據(jù)再到非匿名數(shù)據(jù)的轉(zhuǎn)化過程，從行為上經(jīng)歷了收集、儲存、去識別、再識別、再利用等過程，從主體上經(jīng)歷了數(shù)據(jù)主體—數(shù)據(jù)收集者—數(shù)據(jù)控制者—數(shù)據(jù)處理者(數(shù)據(jù)挖掘、數(shù)據(jù)分析)—再利用者的過程，因而大數(shù)據(jù)時代，個人信息保護制度實施較為復雜。

2.從數(shù)據(jù)收集中的“告知—許可”轉(zhuǎn)向數(shù)據(jù)再次使用中的“告知—許可”

各國法律基于對數(shù)據(jù)主體權(quán)益的保護，均規(guī)定信息的收集應取得數(shù)據(jù)主體的同意，即要告知數(shù)據(jù)主體采集的范圍、目的和將來的使用，在取得數(shù)據(jù)主體同意后才能收集使用，歐盟、德國、日本以及我國相關(guān)法律中均有此規(guī)定。但在大數(shù)據(jù)時代，大數(shù)據(jù)的價值在于其挖掘、分析后的二次使用或再次使用，其數(shù)據(jù)有的來源于政府公開的數(shù)據(jù)或者匿名化的不受法律保護的數(shù)據(jù)，這些數(shù)據(jù)有的經(jīng)過再識別處理后變成了“個人數(shù)據(jù)”，原有的收集者同意模式不符合大數(shù)據(jù)發(fā)展的促進要求，也不利于數(shù)據(jù)主體利益的保護，其保護的重心應轉(zhuǎn)移到再次使用時的“同意”，即許可模式將責任從收集者轉(zhuǎn)到數(shù)據(jù)使用者方面。以知情同意為核心的傳統(tǒng)個人信息保護架構(gòu)日益捉襟見肘。其實這種情形下，告知義務的主體發(fā)生變化，從數(shù)據(jù)收集者轉(zhuǎn)到數(shù)據(jù)控制者。目前在各國法律和相關(guān)規(guī)范中已有相關(guān)規(guī)定，如我國《信息安全技術(shù)—個人信息安全規(guī)范》為了保障個人信息安全，規(guī)定了個人信息的存儲、使用、傳輸、展示及數(shù)據(jù)主體權(quán)利等，并且規(guī)定了數(shù)據(jù)控制者的責任和義務。但是由于再次使用時，數(shù)據(jù)采集的時間已過，鑒于人口的規(guī)模以及數(shù)據(jù)控制者和數(shù)據(jù)主體的無法聯(lián)系，此時的知情同意則存在操作難等困境。

(二) 再識別：個人數(shù)據(jù)法律保護的新挑戰(zhàn)

1.去標識處理是個人數(shù)據(jù)信息受法律保護的基本手段

為保障個人信息不被非法利用，法律要求數(shù)據(jù)提供者采用去標識的方式保護個人信息。所謂去標識化，就是指去除一組可識別數(shù)據(jù)和數(shù)據(jù)主體之間關(guān)聯(lián)關(guān)系的過程。我國《信息安全技術(shù)—個人信息安全規(guī)范》第3.15條將“去標識化”定義為：“通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者關(guān)聯(lián)個人信息主體的過程?！奔慈俗R化是采取技術(shù)手段進行數(shù)據(jù)處理的行為，所采取的技術(shù)處理主要是指“保留了個體顆粒度， 采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標識”。即對數(shù)據(jù)中含有個人身份的相關(guān)標識符進行去除和更改，故也有采用“去身份”概念，即數(shù)據(jù)控制者將數(shù)據(jù)中可識別個人身份的數(shù)據(jù)進行刪除或者改變的過程，其性質(zhì)上屬于數(shù)據(jù)處理行為。目前法律中主要規(guī)定了匿名、假名等去標識符的方式?！栋拇罄麃嗠[私法》將匿名和使用假名作為隱私保護的基本原則，其中第2.1條規(guī)定：“當某實體處理特定問題時，個人有權(quán)選擇不識別他們本身或使用假名。”但何謂“匿名”，何謂“假名”，我國《信息安全技術(shù)—個人信息安全規(guī)范》第3.14條對“匿名化”是這樣定義的：“通過對個人信息的技術(shù)處理，使得個人信息主體無法被識別或者關(guān)聯(lián)，且處理后的信息不能被復原的過程?！?《歐盟數(shù)據(jù)保護條例》第4(5)條規(guī)定：“匿名化”指的是在“采取某種方式對個人數(shù)據(jù)進行處理后，如果沒有額外的信息就不能識別數(shù)據(jù)主體的處理方式。此類額外信息應當單獨保存，并且已有技術(shù)與組織方式確保個人數(shù)據(jù)不能關(guān)聯(lián)到某個已識別或可識別的自然人”，個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息，不受法律保護。《德國聯(lián)邦數(shù)據(jù)保護法》對匿名和假名做了區(qū)分，其中第3條第6款規(guī)定：“匿名是改變個人數(shù)據(jù)以致有關(guān)個人或客觀情況的信息不能夠確定為或者必須付出相當大的時間、經(jīng)費和勞動才能確定為歸屬于認定個人?！薄凹倜赣脴酥咎鎿Q個人的姓名和其他辨識特征，以致數(shù)據(jù)主體的認定或此種認定產(chǎn)生實質(zhì)困難?！比缤ㄟ^使用隨機的ID代替?zhèn)€人身份中敏感信息，如姓名、手機號、地址等，可見匿名和假名都是個人信息處理的行為。假名是去標識的方式之一，匿名是去標識的基本要求；假名只是對信息主體身份進行偽裝，降低主體身份被識別的風險，不使用額外信息便不能將數(shù)據(jù)歸屬于某一特定自然人主體，該處理方式一般是將額外信息分開存儲，并對其施加一定的技術(shù)和措施，以確保該類數(shù)據(jù)不歸屬于已識別或可識別的自然人。

2.再識別帶來大數(shù)據(jù)時代個人信息保護新困境

匿名化是小數(shù)據(jù)時代個人信息保護的通常做法，但在大數(shù)據(jù)時代，去識別等匿名方式并不能有效地保護個人信息。數(shù)據(jù)持有者仍然可以通過其持有的大量不同種類的數(shù)據(jù)進行內(nèi)容的融合和交叉檢驗，利用現(xiàn)有數(shù)據(jù)和反向識別技術(shù)，再識別個人信息，國內(nèi)外有過許多類似的報道。大數(shù)據(jù)時代，即使數(shù)據(jù)已被匿名處理，數(shù)據(jù)使用者仍然可以通過反向識別技術(shù)，通過時空等外部信息識別個體。盡管在數(shù)據(jù)的運用過程中，大數(shù)據(jù)的研發(fā)者們?yōu)榱吮Ｗo個人信息嘗試采取了“差分隱私”“K—匿名隱私保護模型”“同態(tài)機密”“l(fā)—多樣化”等匿名方法，無論采取多么復雜的匿名技術(shù)都很難阻止“反向識別”技術(shù)等再識別行為的實施，個人數(shù)據(jù)保護面臨新的困境。盡管我國《民法典》第1032—1039條規(guī)定了自然人的隱私和個人信息的二元化保護制度，要求數(shù)據(jù)處理者處理數(shù)據(jù)時應遵循合法、正當、必要的原則。但大數(shù)據(jù)時代，其數(shù)據(jù)有的來源于政府公開的數(shù)據(jù)，有的來源于數(shù)據(jù)主體自己主動提供或公開的數(shù)據(jù)或者是匿名化的數(shù)據(jù)，這些數(shù)據(jù)由于不是個人信息，不能適用《民法典》或其他法律中對個人信息保護的規(guī)定。傳統(tǒng)法律中關(guān)于個人同意、數(shù)據(jù)最小化、目的限制等原則在大數(shù)據(jù)下運用將產(chǎn)生新的困惑，傳統(tǒng)的個人信息保護制度面臨新的困境，應借鑒歐美“基于場景的風險管理理念”，重構(gòu)個人信息保護的新路徑。美國的《健康保險攜帶和責任法》(簡稱HIPAA)及其修正法(HITECH)下的“隱私”和安全規(guī)則對當時患者的隱私保護起著重要的作用，但大數(shù)據(jù)的運用已突破 HIPAA規(guī)則，其僅適用于結(jié)構(gòu)狹窄的垂直保健市場與大數(shù)據(jù)經(jīng)濟發(fā)展不協(xié)調(diào)。大數(shù)據(jù)不僅創(chuàng)造了利益，也創(chuàng)造包括隱私在內(nèi)的一系列問題。大數(shù)據(jù)發(fā)展中再識別技術(shù)等運用對個人信息和隱私保護制度帶來了新的挑戰(zhàn)。

三、再識別行為法律規(guī)制的建議

去識別數(shù)據(jù)雖然可以促進數(shù)據(jù)的使用和數(shù)據(jù)的有序流通，降低隱私風險，但去身份效果的達成有賴于對再識別行為的進一步控制。大數(shù)據(jù)時代，惡意入侵者通過再識別行為可以輕而易舉地識別個人身份信息，公開數(shù)據(jù)的匿名性被再識別技術(shù)攻破的現(xiàn)象已經(jīng)變得常見。盡管目前在技術(shù)領(lǐng)域已進行了廣泛的研究，但在匿名化數(shù)據(jù)的使用中如何規(guī)制再識別行為帶來的新風險個人信息保護的時代議題，法律應對再識別行為目的、再識別主體及相關(guān)主體的責任和義務進行規(guī)制，從而推動大數(shù)據(jù)運用和個人數(shù)據(jù)保護的協(xié)調(diào)發(fā)展。

(一)再識別行為目的限制

再識別行為的運用原則上不得以特定主體身份識別為目的，法律另有規(guī)定的除外。去識別的目的是為了保護數(shù)據(jù)主體的個人信息，是個人信息的保護與大數(shù)據(jù)利用協(xié)調(diào)的有效手段。數(shù)據(jù)控制者應基于原有的目的使用數(shù)據(jù)，不得使用反向識別技術(shù)識別特定主體身份，除了維護國家安全、國防安全、公共衛(wèi)生安全、刑事司法以及維護他人生命等重大利益需要等原因。如重大突發(fā)的傳染病發(fā)生時，流調(diào)機構(gòu)有權(quán)就收集來的大數(shù)據(jù)運用反向識別技術(shù)進行再識別，從而識別可能染疫的特定主體身份，進行流行病的溯源和重大疫情的研判，從而保障公共衛(wèi)生安全。國家安全機關(guān)基于一定范圍主體的行程、行為、位置、交往群體等大數(shù)據(jù)的分析、研判從而識別具有特定身份的間諜犯罪嫌疑人；公安機關(guān)基于某些大數(shù)據(jù)的反向識別從而識別特定主體身份，鎖定犯罪嫌疑人。

(二)再識別行為主體限定

數(shù)據(jù)收集后，一般由數(shù)據(jù)控制者持有和使用，控制者應依法使用數(shù)據(jù)。法律中應賦予數(shù)據(jù)控制者不得再識別特定主體身份的義務。數(shù)據(jù)的控制者是指單獨或與他人共同確定個人數(shù)據(jù)處理目的和方式的自然人、法人或者其他組織(歐盟《通用數(shù)據(jù)保護條例》第4.7條)。數(shù)據(jù)的控制者有直接控制者和間接控制者，直接控制者是指從數(shù)據(jù)主體手里基于法律的規(guī)定或數(shù)據(jù)主體的同意直接獲得個人數(shù)據(jù)信息的組織和個人，該類控制者持有的是非匿名數(shù)據(jù)，一般不存在再識別行為。所以不得再識別行為義務主要是針對數(shù)據(jù)的間接控制者，即從直接控制者手里通過轉(zhuǎn)讓、共享或第三方的披露而獲得對數(shù)據(jù)的控制。通過共享或轉(zhuǎn)讓獲得數(shù)據(jù)的主體有自然人、法人或其他組織，基于再識別行為運用目的是公共安全，所以再識別行為的主體應僅限于履行行政職權(quán)和司法職權(quán)的行政機關(guān)、司法機關(guān)和國家安全機關(guān)，禁止營利性機構(gòu)和個人使用再識別技術(shù)進行反向識別，包括基于一定的大數(shù)據(jù)給予用戶畫像。

(三)賦予數(shù)據(jù)控制者保護數(shù)據(jù)不被再識別的義務

不僅數(shù)據(jù)控制者不得違法進行再識別，同時應賦予數(shù)據(jù)控制者采取措施防止身份再識別的義務，并建立相應的監(jiān)管制度。如數(shù)據(jù)接收者或數(shù)據(jù)控制者雖然遵守相關(guān)規(guī)定，不會對數(shù)據(jù)進行再識別，但如果其將數(shù)據(jù)轉(zhuǎn)讓或共享給其他主體時，共享者或受讓者可能基于某種目的對數(shù)據(jù)進行二次以上使用而進行再識別。所以對于去識別的數(shù)據(jù)共享或轉(zhuǎn)讓使用時，應規(guī)定共享方和被共享方、轉(zhuǎn)讓方和被轉(zhuǎn)讓方訂立協(xié)議，在協(xié)議中禁止數(shù)據(jù)接收方發(fā)起對數(shù)據(jù)集中個體地再識別或關(guān)聯(lián)到外部數(shù)據(jù)集或未經(jīng)許可共享數(shù)據(jù)集。同時，當數(shù)據(jù)控制者委托第三方或他人對數(shù)據(jù)去標識化處理時，應當采取積極的措施實施動態(tài)監(jiān)督，同時對去標識化的效果進行風險評估，在保障個人數(shù)據(jù)安全的基礎上，同時滿足其商用性，及時根據(jù)數(shù)據(jù)要素的變化調(diào)整去標識化技術(shù)和模型，采取可能的技術(shù)和法律措施保障數(shù)據(jù)主體不被重新識別而帶來的次生災害。數(shù)據(jù)控制者無論采取何種去標識化匿名化技術(shù)手段，最終均需評估重標識風險以實現(xiàn)在具體場景中的個人信息安全保護。這是由數(shù)據(jù)流動中數(shù)據(jù)控制者的不特定性以及數(shù)據(jù)處理行為的不可控性所決定的，只有賦予數(shù)據(jù)控制者保護數(shù)據(jù)不被識別的義務，個人數(shù)據(jù)才能在大數(shù)據(jù)的促進和利用中得到有效保護。

(四)規(guī)定相關(guān)主體違法對大數(shù)據(jù)再識別的責任

由于大數(shù)據(jù)運用中個人信息保護的復雜性，對于通過反向識別技術(shù)實施再識別，從而侵害個人信息的行為，在民事中，會存在侵權(quán)責任承擔及侵權(quán)主體的確定問題。由于數(shù)據(jù)流動的復雜性以及數(shù)據(jù)控制者或持有者的復雜性，最終的數(shù)據(jù)控制者與其前手之間、前后手之間、共同控制者之間、直接控制者與間接控制者之間，侵權(quán)責任如何承擔和分配？是個人數(shù)據(jù)的最初收集者承擔，還是大數(shù)據(jù)的接收者、控制者、處理者承擔？大數(shù)據(jù)的共享者、受讓者、再識別的行為主體是否承擔責任？各數(shù)據(jù)控制者之間是連帶責任還是按份責任？這些問題需要法律進一步明晰。同時在具體侵權(quán)責任的認定上，大數(shù)據(jù)極大地擴張了侵犯隱私的廣度、深度及嚴重程度，侵權(quán)行為和結(jié)果之間的因果關(guān)系更為松散，傳統(tǒng)的侵權(quán)行為舉證責任規(guī)則在大數(shù)據(jù)時代如何應用，如何規(guī)范大數(shù)據(jù)使用中數(shù)據(jù)使用者的責任，是法律適用中將面臨的新問題，需從法律上進行規(guī)制。使用者除了承擔私法上的責任，還需承擔公法上的責任,如對于企業(yè)及個人的違法行為應設定相應的行政處罰。因為大數(shù)據(jù)時代個人信息具有價值密度低、相關(guān)性弱等特征，如僅以私權(quán)為工具對個人信息進行保護，法律效果很難實現(xiàn)，還應將個人信息作為公共物品運用公法進行規(guī)制。大數(shù)據(jù)時代的個人信息隱私已“溢出”傳統(tǒng)“私域”而向“公域”延伸，公私法“整合”保護模式將成為公民個人信息法律保護的應然選擇。

注釋：

①如基于隱私保護技術(shù)而采取的數(shù)據(jù)失真技術(shù)、數(shù)字加密技術(shù)，在隱私保護模型上采用的數(shù)據(jù)重發(fā)布匿名技術(shù)、差分隱私保護、

k

-匿名、

t

-接近性 、

l

-多樣性等方式。 參見謝安明,金濤,周濤《個人信息去標識化框架及標準化》，載《大數(shù)據(jù)》2017年第1期，第20～29頁。