王立梅

(中國政法大學 刑事司法學院，北京 100089)

在數(shù)字技術及網絡應用高速發(fā)展的信息時代，網絡空間與傳統(tǒng)社會的交融互嵌已經成為不爭的事實。這使得通過部分信息識別到特定自然人成為可能。由個人信息集合構成的原本是虛擬的東西也更多地被我們當做現(xiàn)實的東西加以接受，現(xiàn)在的信息社會更容易被視為一種新的制造業(yè)社會，其中的原材料和能量已經被數(shù)據(jù)和信息所取代，(1)[英]盧恰諾·弗洛里迪：《信息倫理學》，薛平譯，上海：上海譯文出版社，2018年版，第23頁。這都影響到了當前形式下對個人信息的定義方式。伴隨著技術的進步，信息處理活動會不斷發(fā)生變化，對社會產生的影響也會有所不同，所以應當從法律規(guī)范的目的出發(fā)對個人信息的處理進行界定，使得真正危害到其他人權利的處理行為得到必要的規(guī)范。(2)高富平：《個人信息處理：我國個人信息保護法的規(guī)范對象》，載《法商研究》2021年第2期。在以互聯(lián)網重塑信息傳播、大數(shù)據(jù)賦能信息應用等為代表的技術沖擊下，個人信息的處理形態(tài)已經發(fā)生了巨大轉變，生成了傳統(tǒng)個人信息保護規(guī)范所無法妥當評價與規(guī)制的風險。

一、個人信息的“可識別性”判斷呼喚匿名化處理規(guī)則登場

(一)個人信息的定義

個人信息具有載體依賴性，其呈現(xiàn)及傳播受制于技術發(fā)展的程度與階段。不同國家和地區(qū)對個人信息的定義都有所不同，但是共同點是基本上都認可了個人信息“識別性”為其本質特征，認為通過個人信息可以勾勒出個人的“信息化形象”(3)張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。。

1968年，聯(lián)合國國際人權會議首次提出“數(shù)據(jù)保護”的概念。在探索階段的立法實踐中，有些立法例選擇使用“個人數(shù)據(jù)”(或譯為“個人資料”)的用法(4)1970年德國《黑森州個人數(shù)據(jù)保護法》、1973年瑞典《個人數(shù)據(jù)法》和1995年歐盟《數(shù)據(jù)保護指令》。，有些則選擇使用“個人信息”(5)1994年韓國《公共機關個人信息保護法》和2003年日本《個人信息保護法》都是對個人信息在數(shù)字技術增速發(fā)展階段的法益識別與立法回應。來表達，而對于個人數(shù)據(jù)或者個人信息的定義，則主要是純定義式(6)例如德國《聯(lián)邦數(shù)據(jù)保護法》(以下簡稱“BDSG”)以及英國《數(shù)據(jù)保護法案》(以下簡稱“DPA”)?；蛘叨x加列舉的方式(7)例如歐盟《一般數(shù)據(jù)保護條例》(以下簡稱“GDPR”)、美國《2018年加州消費者隱私法案》、日本《個人信息保護法》 。進行界定。

我國對于“個人信息”的定義也主要采用的定義加列舉方式，例如《網絡安全法》將“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期等”(8)《網絡安全法》第76條。。《民法典》基本沿用了《網絡安全法》的規(guī)定，將“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期等”(9)《民法典》第1034條第2款。而在《個人信息保護法》“個人信息”的定義中，在“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”之外，增加了“不包括匿名化處理后的信息”的表述。(10)個人信息保護法》第4條統(tǒng)觀各國的立法實踐，個人信息的判斷標準主要是集中在是否“可識別”，而這一標準面臨著文義解釋的困境。

(二)個人信息的“可識別性”判斷

誠如阿爾希波夫所述，“平衡法律概念的形式確定性與技術發(fā)展的問題是個人信息界定中的核心問題”(11)ARKHIPO V, NAUMOV V, The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation: Between Formal Certainty and Technoligical Development, Computer Law & Security Review, 868(2016).，個人信息的可識別既是一項規(guī)范判斷，具有規(guī)避侵權風險的制度性功用，但因其根植于數(shù)字技術的發(fā)展，又使得不可識別性的滿足條件處于技術前提之下，使得個人信息“可識別性”這一概念所本應具有的相對穩(wěn)定性被數(shù)字技術的發(fā)展持久沖擊。

個人信息可識別，強調信息與信息主體之間被直接或間接“認出來”的可能性。(12)齊愛民：《大數(shù)據(jù)時代個人信息保護法國際比較研究》，北京：法律出版社，2015年版，第136頁。可識別性觀點是對個人信息具有個人權益與社會權益、人格屬性與經濟屬性緊密聚合的外觀判斷。我國《民法典》和《網絡安全法》對個人信息的界定即體現(xiàn)了此種界定方式。該界定方式以概括式描述聚焦識別的效果，并以適當列舉作為補充解釋，考量可能因技術躍升帶來的識別能力突破，基本能夠靈活應對日后可能出現(xiàn)的新型個人信息，是一種較為科學的方法。但是“可識別性”這一概念的邊界到底在哪里，信息的識別區(qū)分度應當如何考慮，信息的結合性識別如何判斷等問題，(13)蘇宇，高文英：《個人信息的身份識別標準：源流、實踐與反思》，載《交大法學》2019年第4期。也都需要以相關分級制度、分類方法，或者通過反方向的阻斷達成思路來加以配合。另外仍然需要考慮，當個人信息的“可識別性”已經作為個人信息的通行定義類型并被立法實踐采納后，究竟要以何種標準判斷“可識別性”之阻斷的達成呢？

(三)個人信息匿名化處理的制度性補位

信息的個人識別屬性是天然的，只是在數(shù)字技術尚未深度廣域應用前，淺層化、碎片化的信息無法聚合起來產生個人識別的效用，故而不生成因個體識別而引致的侵權風險，這是以前的技術發(fā)展水平帶來的限制所決定的。數(shù)字技術廣泛應用以后，因個體被識別從而導致的侵權風險隨之增加，知情同意原則便是用來解決這一問題，通過數(shù)據(jù)主體表示知情并且同意的做法，讓個人去判斷是否要讓渡自己的信息以獲取某些服務。這是傳統(tǒng)的“知情同意”架構，要求網絡服務提供者在收集用戶的個人信息之前，必須要告知用戶他們的信息處理情況，表現(xiàn)出來通常就是以發(fā)布隱私聲明的方式，讓用戶在閱讀之后作出其同意的意思表示，作為一種合法授權。(14)范為：《大數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。這也是“信息自決權”的一種體現(xiàn)，信息主體對自身信息要擁有控制和選擇權，可以決定自身信息要在何時、何地以何種方式被處理。(15)姚岳絨：《論信息自決權作為一項基本權利在我國的證成》，載《政治與法律》2012年第4期。

然而隨著技術的發(fā)展，信息的數(shù)據(jù)形態(tài)越來越多樣，借由信息傳達或被解讀出來的個人需求越來越深層，指向性越來越明顯。信息收集的過程也從個人登記提交為主轉變?yōu)槭跈嘧詣犹崛橹鳎谝苿咏K端、可穿戴設備等信息提取追蹤硬件的發(fā)展和大數(shù)據(jù)等信息分析軟件的賦能下，數(shù)據(jù)的控制者和處理者往往會比信息主體更“了解”信息主體，形成越來越精準的用戶畫像和行為軌跡。并且在大量應用場景中，信息主體無法意識到自己的授權導致數(shù)據(jù)控制者和提供者獲取了哪些信息，數(shù)據(jù)的控制者和處理者獲取信息并提供服務被概括授權，機構會列出冗長的隱私聲明讓信息主體同意，這種授權方式對控制者和處理者來說簡單快速并且成本非常低。

這樣就導致，在傳統(tǒng)的知情同意機制的框架之下，點擊同意成為了用戶獲取網絡服務之門的唯一鑰匙，而發(fā)布隱私政策成為網絡服務提供者獲取用戶知情同意時降低風險的首選手段，而實際操作中進行概括授權的時候，信息主體根本不會確切了解到自己提供了哪些東西，因為用戶往往會直接越過隱私聲明而直接點擊同意，既不去閱讀也難以理解其中的內容，(16)范為：《大數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期?；蛘呒幢闶橇私獾搅艘采儆懈鶕?jù)自己的需求選擇提供信息量大小的權利，導致這一機制事實上被架空。同時，信息的海量聚合生成了社會的整體性風險，單純以個體同意之名對信息集合不予規(guī)制顯然是失當?shù)摹?/p>

對此種處境的反思，可以歸納為在知情同意原則下，數(shù)字經濟對信息收集及處理的海量征詢與真意表達成本的制度性挑戰(zhàn)；以及數(shù)字技術發(fā)展之下，個人信息可識別性會因技術突破而導致其內涵動態(tài)擴張的技術性挑戰(zhàn)。這些挑戰(zhàn)使得個人信息的匿名化成為信息流通和數(shù)據(jù)再利用的必然之選。例如歐盟《一般數(shù)據(jù)保護條例》(GDPR)第26條就規(guī)定了匿名信息的定義和法律效果：數(shù)據(jù)保護原則應適用于與已識別或可識別自然人有關的任何信息。因此，該數(shù)據(jù)保護原則不應適用于匿名信息。同時我國《網絡安全法》第42條規(guī)定，“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外?！逼渲械牡珪糠忠呀洺蔀榱宋覈鴤€人數(shù)據(jù)流通中的法律基礎，匿名化的信息無需得到個人的同意就可以處理，因為個人信息的特征在于可以識別出特定的自然人，而經過匿名化處理后的信息已經無法識別特定的自然人并且不能復原，所以已經不再屬于個人信息。(17)程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學》2020年第4期。

然而個人數(shù)據(jù)和非個人數(shù)據(jù)之間的界限正在變得越來越模糊，關鍵的原因在于匿名化技術缺乏穩(wěn)健性，以及將數(shù)據(jù)分析應用于非個人數(shù)據(jù)(匿名數(shù)據(jù))時被重新識別的風險。并且，經濟價值和隱私保護之間的平衡也很難保持，因為重新識別的可能性和識別度似乎正在增加，匿名化的數(shù)據(jù)越多，數(shù)據(jù)的用處就會越少，數(shù)據(jù)共享策略的效果也就越差。我們希望釋放出大數(shù)據(jù)的力量，因為它可以為經濟和社會帶來改善，但是任何數(shù)據(jù)都不可能永遠是完全匿名的，效用上的微小收益可能會導致更大的隱私損失。(18)Policy Department for Economic, Scientific and Quality of Life Policies, European Union data challenge, European Union(Aug.5,2021)，https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/658206/IPOL_BRI(2020)658206_EN.pdf.

對上述雙重挑戰(zhàn)的制度回應，應以各歸其位的思路進行治理：對個人信息進行匿名化處理，建立個人信息匿名化的規(guī)范體系，以對知情同意機制在數(shù)字經濟中的無力進行補位，將個人信息所附著的經濟屬性剝離于人格屬性之外，去除信息的個人識別性，允許其以數(shù)據(jù)資源的生產要素之樣態(tài)參與收益分配與市場交換。然而目前存在的匿名化標準尚不完善，還存在一些需要解決的問題。

二、個人信息的匿名化標準及存在的問題

在個人信息匿名化處理過程中，應該注意到，首先，匿名化并不是絕對可以實現(xiàn)的，匿名化本身是在降低再識別風險和保持數(shù)據(jù)可用性之間尋找平衡的過程，如果數(shù)據(jù)數(shù)量過少；個體數(shù)據(jù)差異過大導致某些個體有顯著特征；或者數(shù)據(jù)中含有大量人口統(tǒng)計屬性或位置數(shù)據(jù)時，都可能導致匿名化無法實現(xiàn)。其次，匿名化的過程和它的技術實現(xiàn)方式會對重新識別的風險產生直接影響。可以要求匿名化流程將重新識別的風險降低到某個值以下，從而能夠實現(xiàn)對該個人信息匿名化的程度進行分析和衡量。任何匿名化流程都應該能夠評估風險，并且在一定時間能夠對這些風險進行管控。因此，匿名化流程本身具有個性化特征。最后，匿名化后的數(shù)據(jù)仍然可用，但是必然會對結果數(shù)據(jù)的利用方式產生影響，同時匿名化數(shù)據(jù)的再識別風險客觀存在。

無論是過于極端的匿名化過程實施標準還是缺乏變動性的認知都是有局限性的。需要在不確定性當中尋求數(shù)據(jù)安全與數(shù)據(jù)利用的平衡。應該尋求不同的匿名化技術手段，同時從制度上對參與匿名化過程、匿名化數(shù)據(jù)處理過程的各個主體都進行規(guī)制。

(一)我國的個人信息絕對匿名化標準

2010年，在我國《電子病歷系統(tǒng)功能規(guī)范(試行)》中運用了匿名化處理的概念，其指出“提供對電子病歷進行患者匿名化處理的功能，以便在必要情況下保護患者健康情況等隱私?！钡钱敃r的規(guī)定并沒有進一步指出匿名化處理的具體要求，因此其與本文所稱匿名化處理的概念并不相同。2014年《互聯(lián)網企業(yè)個人信息保護測評標準》第4條規(guī)定的“本標準不適用于經不可逆的匿名化或去身份化處理，使信息或信息集合無法合理識別特定用戶身份的信息”，則將匿名化與去身份化同等考慮。根據(jù)我國《網絡安全法》第42條以及《民法典》第1038條的規(guī)定，個人信息經過匿名化處理后，如果已經達到無法識別出特定的主體并且無法還原的標準，那么這一信息流通無需征得自然人的同意，這應當成為個人信息匿名化處理的標準。 《信息安全技術 個人信息安全規(guī)范》在前述法律規(guī)定的基礎上進一步進行了應用上的規(guī)定，指出匿名化是指“通過對個人信息的技術處理，使得個人信息主體無法被識別出來，并且處理之后的信息不能被復原的過程”(19)《信息安全技術 個人信息安全規(guī)范》第3.14條，個人信息經過匿名化處理之后所得到的信息不再屬于個人信息，由此便可以脫離《網絡安全法》的規(guī)制范圍。(20)我國《網絡安全法》第76條第5款規(guī)定，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

這一規(guī)范體系是對“識別性”個人信息定義模式的應用，同時也是對知情同意原則的補位。只有符合了“不可識別信息主體”以及“無法進行逆向復原”兩個標準，才能實現(xiàn)我國個人信息匿名化標準所要追求的法律效果。在個人信息匿名化處理之外，我國還有“去身份化”(21)《中國互聯(lián)網定向廣告用戶信息保護去身份化指引》第1條：去身份化是指通過對某項信息或信息的集合(例如數(shù)據(jù)集)進行變更，以達到去除或模糊個人身份關聯(lián)信息目的的過程，……但是，去身份化后的信息在某些情況下，仍可能通過數(shù)據(jù)集或信息進行匹配，重新識別出身份關聯(lián)信息。“去標識化”(22)《個人信息保護法》第73條第3款：去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。“假名化”(23)歐盟《一般數(shù)據(jù)保護條例》(GDPR)第一章第4條第5款規(guī)定，“假名化”是指，使通過這樣一種方式處理的個人信息，無法再單獨識別特定個人的過程。這意味著可以將數(shù)據(jù)鏈接到個人的某些標識符會被刪除，此類附加信息要被單獨保存，并遵守技術和組織措施，以確保個人數(shù)據(jù)不適于已識別或可識別的個人，但假名數(shù)據(jù)仍然屬于個人數(shù)據(jù)，要適用GDPR的規(guī)定。的概念，對其區(qū)別性的明確，有利于聚焦匿名化處理規(guī)則的設置目的與潛在問題。匿名化是指個人信息經過處理無法識別特定自然人并且不能復原的過程。而去身份化只是刪除或模糊與特定個人有關的信息的過程，經過去身份化處理的信息仍然可能屬于個人信息。有學者認為個人信息去身份化最終要實現(xiàn)的是數(shù)據(jù)的匿名化狀態(tài)，要確保數(shù)據(jù)不再具有可識別性，不能識別到或者聯(lián)系到該個人，(24)金耀：《個人信息去身份的法理基礎與規(guī)范重塑》，載《法學評論》2017年第3期。這樣就模糊了去身份化和匿名化在法律上的區(qū)別。對于去身份化而言最大的挑戰(zhàn)還是個人身份的再識別行為，是其始終會面臨的風險。去標識化并沒有強調不能復原，而且還特別指出“在不借助額外信息的情況下無法識別到特定的自然人”，(25)《個人信息保護法》第73條第3款這表示去識別化只是實現(xiàn)了將直接個人信息轉化為間接個人信息，依然存在實現(xiàn)個人信息再識別的可能。綜上所述，假名化數(shù)據(jù)、去標識化數(shù)據(jù)仍然屬于個人信息，要適用個人信息保護的規(guī)定。

可見，個人信息匿名化指通過技術處理，使得信息不能指向到特定自然人，同時保證信息不能被還原的過程。匿名化技術主要有兩種類型，即隨機化和一般化。隨機化技術可以修改數(shù)據(jù)的真實性，隨機化會使數(shù)據(jù)本身的屬性不太準確，同時保留下它們的整體分布，會排列交換不同主體之間的屬性，打破數(shù)據(jù)和數(shù)據(jù)主體之間的鏈接；一般化則意味著主體的數(shù)據(jù)可以通過改變規(guī)?；驍?shù)量級(例如從城市到國家級別)來進行泛化，K-anonymity 、 L-diversity 、T-closeness 、differential privacy 是一些泛化技術的類型。(26)Dr. F.B. Brokken, Prof. dr. G.R. Renardel de Lavalette, Data Anonymisation in the light of the General Data Protection Regulation, university of Groningen(Aug.5,2021), https://fse.studenttheses.ub.rug.nl/15709/1/thesisDataAnonymisation.pdf.

經過匿名化處理之后的信息不再受到關于個人信息保護法律的調整，因此匿名信息應當有嚴格的法律標準，即在現(xiàn)有的技術水平和合理成本的限制之下，任何一方使用匿名信息本身或者結合其他一切可以獲得的信息都無法再識別出特定的個人，(27)韓旭至：《大數(shù)據(jù)時代下匿名信息的法律規(guī)制》，載《大連理工大學學報(社會科學版)》2018年第4期。這就給個人信息的匿名化過程提出了更高的技術要求，可以避免遺留的身份再識別的問題， 在信息處理的自由度上會大大提升，同時由于不可再識別到個人，其商業(yè)價值可能會有所減損。

(二)個人信息絕對匿名化標準面臨的風險

我國所設定的絕對匿名化標準已經超越了其自身確立所要解決的挑戰(zhàn)，即數(shù)字技術發(fā)展引發(fā)個人信息“可識別性”的動態(tài)變化，絕對意義上不可被逆向或追溯的信息提取與處理技術過于理想化。另外，這種在技術上的理想化導致制度安排上的不周全，即并沒有對匿名處理之后的剩余風險作出妥當?shù)你暯樱瑳]有對大數(shù)據(jù)視角下信息治理風險鏈路的延長作出必要的關注。

數(shù)字科技的發(fā)展變革式地降低了產業(yè)鏈延長所要求的邊際成本，使得數(shù)據(jù)作為一種新興的生產要素，呈現(xiàn)出新的應用樣態(tài)：個人對網絡服務的消費不必然以金錢為對價，但往往要讓渡個人信息，并且無需用戶輔以額外的勞動。海量的個人信息成為了網絡服務提供者的生產資料，并且該生產資料并不會因為使用或者流轉而折損其價值，反而會因聚合與利用而衍生出更多價值。對經過匿名化處理的個人信息不劃入個人信息的規(guī)制范疇，并在為個人信息匿名化設置了較高的標準之后，還應對剩余風險進行制度安排。

個人信息收集后再利用的三種常見方式包括：在收集初始目的之外使用個人信息、對經過處理后的個人數(shù)據(jù)形成的增值數(shù)據(jù)進行使用以及與第三方進行數(shù)據(jù)的流通。(28)張建文，高悅：“我國個人信息匿名化的法律標準與規(guī)則重塑”，載《河北法學》2020年第1期。其中，剩余的風險主要包括以下兩類：

第一是處理過程中的泛基準風險。在“技術為王”的數(shù)字時代，數(shù)據(jù)控制者或受委托的數(shù)據(jù)處理者并不具備同等的技術能力，僅通過規(guī)范的方法也無法從事實上改變數(shù)據(jù)控制者和數(shù)據(jù)處理者的技術水平。規(guī)范層面上需要解決和明確技術準入標準，這有待法律明確，以防止處理者以技術能力不足為借口轉嫁責任。該標準判斷應該是任一主體采用可能合理的手段是否可以將其識別。(29)以歐盟的實踐為例，衡量信息是否可識別的標準即是，“數(shù)據(jù)控制者及任何第三方”采用“所有可能合理采用的手段”是否可以將其識別。參見歐盟《一般數(shù)據(jù)保護條例》(GDPR)第26條序言。即以任意主體的識別能力為基準，以合理可能為客觀標準。

第二是處理完成后的再識別風險。如果缺乏其他的數(shù)據(jù)源，很多數(shù)據(jù)將保持匿名的狀態(tài)。然而在大數(shù)據(jù)的推動之下，有越來越多的數(shù)據(jù)集產生并且被公布。軟件算法和分析學的發(fā)展使得數(shù)據(jù)更容易被關聯(lián)和聚合，這大大增強了人們識別匿名化信息的能力。具體而言，已經匿名化的數(shù)據(jù)跟其他數(shù)據(jù)相結合，有可能被重新識別；識別技術的進步也有可能使已經匿名化的信息再次被識別(30)謝琳：《大數(shù)據(jù)時代個人信息邊界的界定》，載《學術研究》2019年第3期。。因此，匿名化已經從一個靜態(tài)概念演變成一個動態(tài)概念，這種識別風險的變化將會對匿名化處理后的數(shù)據(jù)不再受個人信息保護這一制度設計產生巨大沖擊。同時絕對的匿名化與技術發(fā)展和社會活動進步相違背，因此匿名化規(guī)則必然應當是動態(tài)可變的，及時根據(jù)現(xiàn)實中技術水平的發(fā)展和具體情況的變化作出調整。

(三)匿名化規(guī)則構建的必要性

個人信息匿名化因其技術依賴性具有很強的動態(tài)波動，無法在技術上形成內在的風險約束。無論采用哪種匿名化技術，都需要從制度設計上既能促使數(shù)據(jù)控制者和處理者主動完成匿名化任務，又使其依舊保持交換和處理數(shù)據(jù)的積極性，這可以通過設置數(shù)據(jù)控制者和處理者主體義務的方法來完成。但是，匿名化的動態(tài)變化導致要求有所提升，比如要求數(shù)據(jù)控制者定期評估剩余風險；評估對識別風險的控制手段是否足夠并且匹配；監(jiān)控并控制識別風險，及時發(fā)現(xiàn)新的識別風險；如果有新的識別風險，則需要重新進行匿名化處理。(31)例如在云服務領域，具體守則可以包括：“(1)促進服務提供者以結構化、通用和機器可讀的格式轉換和傳輸數(shù)據(jù)的最佳做法；(2)如果專業(yè)用戶希望切換到另一個服務提供商或將數(shù)據(jù)傳輸回自己的IT系統(tǒng)，確保專業(yè)用戶在簽訂合同之前，能夠獲得足夠詳細和明確的信息，以了解過程、技術要求、時間框架和收費等最低信息要求；(3)提供認證方案的方法，以更好地比較云服務；(4)提供溝通線路圖，以便提升對行為守則的認識?！眳⒁姡篈rticle 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, WP216, p.4.

例如歐盟的《非個人數(shù)據(jù)自由流動條例》(以下簡稱《條例》)，為非個人數(shù)據(jù)自由流動制定了規(guī)則體系，其中包括一些對數(shù)據(jù)控制者和處理者的自我監(jiān)管要求。為了保證企業(yè)之間數(shù)據(jù)的可攜性，(32)可攜權的目的是使數(shù)據(jù)可以從一個IT環(huán)境移植到另一個IT環(huán)境，可能出于數(shù)據(jù)處理、利用和保護的目的?！稐l例》第6條規(guī)定了委員會應該鼓勵和促進歐盟層面的自我監(jiān)管行為守則的制定。(33)胡苗苗，胡代芳，崔若雨，等譯：《歐盟非個人數(shù)據(jù)自由流動框架條例指南》，載《北外法學》2020年第1期。除了為促進可攜性進行的規(guī)范，也包含了為促進個人數(shù)據(jù)保護而制定的行為準則和認證方式。

在大數(shù)據(jù)背景之下，必須建立匿名化規(guī)則，并依此作出個人信息之上多方權益的平衡。個人信息的風險層級即依據(jù)識別性和相關性的程度來確定個人信息的風險程度，已識別的敏感信息風險程度最高，反之匿名化的一般信息則風險程度最低。風險路徑就是依據(jù)風險程度的高低確立相應的合規(guī)義務。(34)周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。

將個人信息匿名化規(guī)則在合規(guī)視野下展開探討，將“權利的控制”轉向“情景的識別+風險的控制”以實現(xiàn)“合規(guī)的達成”，是一條平衡個人信息利用與數(shù)據(jù)效益的新進路。同時還要注意強調多元主體之間的合作，加強政府的保護和監(jiān)管職責，這樣配合企業(yè)的自我治理和合規(guī)手段，才有利于展開更加有效的治理實踐。(35)郭春鎮(zhèn)，馬磊：《大數(shù)據(jù)時代個人信息問題的回應型治理》，載《法制與社會發(fā)展》2020年第2期。

三、個人信息匿名化規(guī)則的制度路徑

(一)個人信息匿名化處理的差別原則

1.從信息性質出發(fā)劃分層級

我國目前對匿名化處理的治理思路是，在整體上對侵犯公民個人信息的行為設置了入罪路徑，但以比較高的匿名化標準作為門檻，排除了對已經經過匿名化處理之后的信息的涵蓋，對再識別行為予以了行政責任框架下的原則性禁止，形成了規(guī)制閉環(huán)。

從教義學的角度出發(fā)，理想化的規(guī)制閉環(huán)自然需要匹配分類差別化處理的層級標準，否則將會因為標準的模糊性而整體性地侵犯以權限控制為基礎的信息自決的個人需求，或者侵犯以數(shù)據(jù)流動為基礎的效益聚合的社會需求。對此，有學者提出兩頭強化的思路，即“強化個人敏感信息的保護”和“強化個人一般信息的利用”，以期最大限度調和個人信息保護與企業(yè)利用信息之間的關系。(36)張新寶：《我國個人信息保護法立法主要矛盾研討》，載《吉林大學社會科學學報》2018年第5期。

對個人信息匿名化處理的差別考量，根植于對信息個人指向性程度的界限劃分。根據(jù)信息的個人指向性，個人信息可以分為無個人指向信息、一般個人信息、敏感個人信息。對于個人指向性完全無涉的信息，其流通和利用顯然不具備值得法律予以保護的權益關聯(lián)，故而有學者認為，對于此類信息不需要進行匿名化處理即可流通。(37)張建文，高悅：《我國個人信息匿名化的法律標準與規(guī)則重塑》，載《河北法學》2020年第1期。對于敏感個人信息，則聚合了個人的隱私屬性和整體的安全屬性，比如醫(yī)療健康信息，因其匿名化處理對個人指向性的阻隔被復原，將產生被歧視的風險或者緊迫的人身、財產威脅，顯然需要施以最為嚴格和審慎的力度，對于顯現(xiàn)為生物特征的基因信息，其流通和聚合分析具有巨大經濟價值，但具有極強的人格侵犯風險和種族安全風險。由于當前匿名技術還不完善，應該全面禁止處理特殊類別的敏感數(shù)據(jù)，比如與基因、種族等有關的數(shù)據(jù)。

隨著信息個人指向性的增強，其隱私挖掘潛能、匿名化解構風險也隨之提升，在流通環(huán)節(jié)，從不需要匿名化處理即可流通，逐漸嚴格為經過匿名化處理也不可以流通，在這兩個極限之間分級分類化的判斷，既依托于技術背景的客觀判斷，也依托于規(guī)范背景的價值判斷，是一個層級明確的動態(tài)體系。為加強規(guī)范的明確性，在對于分類差別化原則的應用中，鑒于個人信息的內涵在法律體系中有待統(tǒng)一而明確的界定，以及個人信息可識別性的變化，可采用清單的方式確立匿名化規(guī)則的差別對應范圍，同時引入個人信息安全影響評估制度，將匿名化處理明確歸入信息的處理行為，為我國匿名化標準的剩余風險進行評估。

同時，還要考慮數(shù)據(jù)控制者所采用的保障措施與其可能引發(fā)的風險是否相匹配。當風險過高時，數(shù)據(jù)控制者還應該進行專業(yè)的隱私風險影響評估 ，采取額外的保障措施。(38)可參考英國的“場景中合理使用”作為判定是否合規(guī)的標準，而歐盟立法中所貫穿的比例原則也體現(xiàn)了這一點。謝琳：《大數(shù)據(jù)時代個人信息邊界的界定》，載《學術研究》2019年第3期。隱私風險影響評估是一種早期預警系統(tǒng)，其采用的評估措施也應當根據(jù)評估對象的風險水平而有所差別，同時并非所有數(shù)據(jù)都要進行隱私風險影響評估，例如根據(jù)澳大利亞的《隱私影響評估準則》，其政府機構需要對所有“高隱私風險項目”(39)“高隱私風險項目”是指，涉及處理個人信息的新方法或改進的方法，而且可能會對個人隱私產生重大影響的項目。楊婕：《澳大利亞信息專員辦公室發(fā)布〈隱私影響評估準則〉》，載微信公眾號“CAICT互聯(lián)網法律研究中心”，2020年10月20日。進行評估。

需要注意的是，從這一角度進行區(qū)分則不僅需要考慮到匿名化技術的再識別風險大小與匿名化信息的應用目的差別，同時也需要從最根源的信息類型出發(fā)，即結合信息性質劃分層級 ，即便是在同一領域內的不同利用場景也可能會對信息保護方式產生重大影響。

2.從應用目的出發(fā)確定場景豁免

匿名化規(guī)則的確立是對在信息受到目的性等限制而收集后，因超越初始信息處理階段的前提性限制，后者根植于前者但有所不同，如果將匿名化規(guī)則限制在目的性原則之下的話，不僅抽離了匿名化規(guī)則的設置功能，也妨礙了既經匿名化處理信息的流通價值的發(fā)揮?？梢?，個人信息匿名化所追求的是一種對信息再利用的使用前提限制，由此形成風險規(guī)避，對信息再利用的需求主體顯然主要是以營利創(chuàng)收為驅動的商事主體和以管理服務為驅動的公權主體。實踐中，“匿名化”的技術處理過程一般會分為兩個步驟，首先針對直接標識符進行技術脫敏處理，主要是進行假名化處理、信息加密、抑制或者屏蔽等；之后是對間接標識符進行泛化或者隨機化，隨著泛化或者隨機化程度的提高，安全性隨之提高，但是該信息的可用性會隨之下降。(40)王春暉，程樂：《完善〈個人信息保護法(草案)〉的建議》，載《人民郵電》2020年11月6日。

在商事活動中，對信息處理行為的選擇是違規(guī)成本與再利用收益的博弈的產物，并且會在算法共謀等技術應用的效用被放大后，成倍地擴展對信息主體的侵權風險。有學者指出，基于匿名化處理是助益于風險規(guī)避的有效手段的考慮，經過了匿名化處理的大數(shù)據(jù)產品，不屬于個人信息，按照“法無禁止即自由”的基本原則，經過匿名化處理的大數(shù)據(jù)當然可以被交易，(41)張晨原：《數(shù)據(jù)匿名化處理的法律規(guī)制》，載《重慶郵電大學學報(社會科學版)》2017年第6期。匿名化處理個人數(shù)據(jù)并不需要征得用戶的同意。(42)王融：《數(shù)據(jù)匿名化的法律規(guī)制》，載《信息通信技術》2016年第4期。

在公權主導的場景之下，因為其實質上是一種個人權益的聚集，具有特殊的應用場景，不存在因為追逐利潤而侵犯個人信息權益的動機，適宜有限度地嘗試特殊數(shù)據(jù)(如醫(yī)療數(shù)據(jù)、司法公開、政府數(shù)據(jù)開放)使用場景的豁免，這也是在一些情況下有限考慮國家利益和社會公共利益的要求，即便是不直接豁免其進行匿名化處理的義務，也可以將義務調整為采用諸如假名化的方式保護信息安全。

在匿名化處理的過程中，信息控制者可能會采用不同的匿名化處理技術，不同技術的處理效果以及可能導致的再識別風險會存在一定的差異。因此，可以將該再識別風險的概率進行分級，并在此基礎上確定經過不同技術處理所得到的匿名信息的披露范圍。(43)張建文，程海玲：《破碎的隱私陳難過之防范：匿名化處理再識別風險法律規(guī)則研究》，載《西北民族大學學報(哲學社會科學版)》2020年第3期。

(二)個人信息匿名化處理的責任體系

個人信息匿名化處理的制度設置是對于信息主體和信息收集及利用主體的持續(xù)性的信息不平等關系(44)丁曉東：《個人信息權利的反思與重塑 論個人信息保護的適用前提與法益基礎》，載《中外法學》2020年第2期。的制衡與調和，其價值是追求“去識別性”，以實現(xiàn)個人指向阻斷與數(shù)據(jù)流動利用之間的平衡，將信息所具有的生產要素價值從信息主體中剝離出來并聚合起來，打破信息孤島，也能避免全民“裸奔”。但是絕對意義上的“去識別性”是不存在的，其總是面臨著剩余風險的威脅。大數(shù)據(jù)利用和個人信息保護是一個硬幣的兩面，匿名化技術能夠在數(shù)據(jù)發(fā)布環(huán)境之下防止用戶敏感數(shù)據(jù)被泄露，同時又能保證發(fā)布數(shù)據(jù)的真實性。(45)王平水，王建東：《匿名化隱私保護技術研究綜述》，載《小型微型計算機系統(tǒng)》2011年第2期。個人信息匿名化的現(xiàn)實目的在于通過設置一定義務的方式控制處理風險、安排答責主體，從而實現(xiàn)需求調和的設計目的，這同時也是實現(xiàn)以構筑有效的外部執(zhí)法威懾為保障，并與激勵機制相融合(46)周漢華：《探索激勵形容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。的重要步驟。然而，任何制度的設計精妙性都應輔以救濟功能，主要包括通過圍繞可訴性展開的民事責任，以及面向再識別展開的刑事責任。

1.明確匿名化處理的責任主體

《個人信息保護法》所規(guī)定個人信息處理者的范圍，與《信息安全技術 個人信息安全規(guī)范》所使用的個人信息控制者(47)《信息安全技術 個人信息安全規(guī)范》第3.4條規(guī)定，個人信息控制者是指有能力決定個人信息處理目的、方式等的組織或個人。的概念有所不同，同時，我國《個人信息保護法》在明確個人在信息收集與處理環(huán)節(jié)享有諸多權利的同時，雖然也規(guī)定了信息處理者(48)《個人信息保護法》第69條規(guī)定處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑?。前款?guī)定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。的法律責任條款與之配套，但是根據(jù)《個人信息法》第69條 的規(guī)定，個人如果想要向信息處理者主張權利，就要證明自身存在損失或者信息處理者獲得了利益。在民事訴訟中，這樣的證明責任對于個人而言，無疑是不可承受之重。因此，個人信息侵權的構成應當予以適當?shù)木徍?，承認一些新型的損害，例如數(shù)據(jù)泄露、定向廣告導致的人格損害等。在數(shù)據(jù)控制者采用了大數(shù)據(jù)技術的場合可以建立因果關系推定規(guī)則，侵害個人信息但是沒有造成損害的時候，可以適用預防性侵權責任，還可以在過失幫助侵權、共同過失侵權以及不確定因果關系的場合新增連帶責任，這一過程中民法典侵權責任編也可以發(fā)揮一些優(yōu)勢。(49)葉名怡：《個人信息的侵權法保護》，載《法學研究》2018年第4期。

2.明確再識別處理的入罪標準

《刑法》第253條規(guī)定了侵犯公民個人信息罪，但是此處的法益保護并不是個人法益中的隱私權，而是個人法益中的個人信息權。(50)劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權利之確證——以〈個人信息保護法(草案)〉為視角之分析》，載《中國刑事法雜志》2019年第5期。大數(shù)據(jù)的產業(yè)應用正在全面嵌入社會生態(tài)，這意味著一旦既經匿名化處理的個人信息被再識別，即使后續(xù)采取補救措施，其擴散的影響也是不可逆的，并且其誘發(fā)的隱患也是不確定的。故此，當技術躍進而對人之自由與尊嚴造成潛在威脅時，需要對此種嘗試再識別的行為設置入罪路徑，吸納技術應為人類正當使用的價值，以免該再識別行為僅僅被商業(yè)主體的“經營成本”所涵蓋。

匿名化處理既為構成侵犯個人信息犯罪消除了一些構成要件屬性，同時也為再次入罪提供了再識別這一標準。我國最高法、最高檢發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第3條就規(guī)定，“向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發(fā)布公民個人信息的，應當認定為刑法第二百五十三條之一規(guī)定的‘提供公民個人信息’。未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息’，但是經過處理無法識別特定個人且不能復原的除外?！边@就將匿名信息排除出了侵犯個人信息罪的構成要件。但是如前文所述，在大數(shù)據(jù)時代之下，絕對的匿名化是不可能做到的，這一方面使得已經被匿名化的信息被再識別并泄露以后依然充滿風險，并且有可能使其行為重新該當于《解釋》第1條中規(guī)定的“與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，并構成犯罪；另一方面也給如何判定《解釋》第3條第二款但書部分的“經過處理無法識別特定個人且不能復原的除外”帶來了判斷標準的確定問題。如果對匿名化的判斷標準過高，則會導致《解釋》第3條第二款的但書部分難以達到，使這一條從事實上無法適用；如果判斷標準過低，也會導致一些行為在被該但書部分排除在罪名之外以后，又很容易因為再識別后的泄露風險而重新入罪，這樣也就失去了該但書部分存在的價值。有學者指出，對于該條但書規(guī)定再進行解釋時，不能以絕對的匿名化標準來理解，應該解釋成經過處理無法在“合理的限度內”識別特定個人并且不能“合理”復原的除外。同時，對于某些無法進行匿名化處理，或者說一旦進行了匿名化就會導致其從根本上喪失價值的大數(shù)據(jù)，應當認識到匿名化是個人信息大數(shù)據(jù)利用的正當化事由之一而不是必經程序，例如醫(yī)學上的“流程分析”過程中，如果能夠征得患者的同意，自然也能得到合法化，不一定非要進行匿名化處理。(51)儲陳城：《大數(shù)據(jù)時代個人信息保護與利用的刑法立場轉換——基于比較法視野的考察》，載《中國刑事法雜志》2019年第5期。解決了這一前置問題，那么再識別的入罪標準問題也就自然而然得到了解決。

四、結論

隨著人類社會全面進入以數(shù)據(jù)化、網絡化和智能化為標志的大數(shù)據(jù)時代，數(shù)據(jù)成為了一種新的生產要素。作為新型生產要素的數(shù)據(jù)，只有在流動、分享、加工處理中才能創(chuàng)造價值。在數(shù)字技術嵌入個人信息之后，加大了對個人信息進行認識和定義的難度，對個人信息內涵和外延的不同定位和定義方法也會導致對非個人信息認識的差異， 對個人信息的定義離不開對“可識別性”的理解，“可識別性”則已經隨著技術的發(fā)展進行了動態(tài)擴張，需要對個人信息進行匿名化處理。我國的匿名化標準確定為不可識別信息主體并無法進行逆向復原，但是無論采用什么樣的標準，匿名化處理機制都不能達到完全的理想化，處理過程中的泛基準風險和處理完成后的再識別風險一直存在， 因此可以嘗試從合規(guī)視角和標準下促進平衡匿名化數(shù)據(jù)運用的效益和個人信息保護。個人信息匿名化處理需要遵循差別原則，根據(jù)對個人信息的指向性程度進行匿名化處理的差別考量，并從不同的應用目的出發(fā)確定場景豁免。