■ 文/閆怡萱 王梓嫣 李文健

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)的快速發(fā)展以及數(shù)據(jù)共享范圍的逐步擴(kuò)大，數(shù)據(jù)的自動(dòng)收集和發(fā)布越來越方便。然而，任何事物的出現(xiàn)都具有兩面性，在數(shù)據(jù)發(fā)布過程中隱私泄露問題也日益突出，而匿名化技術(shù)可以有效解決鏈接攻擊所帶來的隱私泄露問題，成為扼制信息泄露的一大關(guān)鍵手段。

匿名化的法律法規(guī)

數(shù)據(jù)、隱私等個(gè)人信息需要保護(hù)已成為世界之共識(shí)，美國、歐盟、新加坡等國家和地區(qū)均發(fā)布了匿名化相關(guān)的法律法規(guī)（見表1）。目前，我國的匿名化概念是指，通過對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過程。其關(guān)鍵點(diǎn)在于，數(shù)據(jù)一旦經(jīng)過了匿名化處理，就不再屬于個(gè)人信息。這就使得匿名化反而成為逃脫隱私信息保護(hù)責(zé)任的捷徑，因?yàn)閿?shù)據(jù)只要經(jīng)過極其簡單的匿名化處理，就不再屬于個(gè)人信息，也就免除了技術(shù)處理人員對(duì)處理后信息的保護(hù)義務(wù)。這樣的邏輯無疑賦予了匿名化斬?cái)鄠€(gè)人信息與信息主體一切關(guān)聯(lián)的效果，片面強(qiáng)調(diào)匿名化的效果而忽略數(shù)據(jù)流轉(zhuǎn)、處理的動(dòng)態(tài)過程。

表1 匿名化相關(guān)的法律法規(guī)

然而，假如采取了較為嚴(yán)格的匿名化認(rèn)定模式，那么匿名化又成為偽命題，因?yàn)橹灰凶銐虻耐獠啃畔?，?jīng)過匿名化的數(shù)據(jù)都可以被重新識(shí)別還原，這就使得真正的匿名化需要抹殺掉原始數(shù)據(jù)全部的后續(xù)利用價(jià)值。

動(dòng)態(tài)化的匿名化及場景理論

●動(dòng)態(tài)化的匿名化

由上文可知，匿名化操作的技術(shù)有效性和數(shù)據(jù)實(shí)用性的矛盾成為難以平衡的價(jià)值選擇。英國南安普敦實(shí)大學(xué)法學(xué)院信息技術(shù)法和數(shù)據(jù)治理教授索菲·斯塔爾- 鮑迪倫（Sophie Stalla-Bourdillon）和法學(xué)研究員艾利森·奈特（Alison Knight）等曾提出，應(yīng)當(dāng)將匿名化視為一個(gè)持續(xù)不斷的動(dòng)態(tài)過程。筆者認(rèn)為，匿名化如果可以隨著數(shù)據(jù)的使用和流轉(zhuǎn)而不斷進(jìn)行下去，將有利于實(shí)現(xiàn)對(duì)數(shù)據(jù)的監(jiān)管。

動(dòng)態(tài)的匿名化是指在信息處理的各個(gè)過程以及先后多次的匿名化過程中進(jìn)行匿名操作和監(jiān)管的匿名化方式，有別于傳統(tǒng)的“操作即完成”的靜態(tài)匿名。在動(dòng)態(tài)匿名化的實(shí)現(xiàn)中，不可或缺的一項(xiàng)就是引用場景化。對(duì)于不同的場景，法律所保護(hù)的個(gè)人信息敏感點(diǎn)并非是完全相同的，即使相同的數(shù)據(jù)在不同的使用場景下也需要采用不同的匿名化處理，在場景的轉(zhuǎn)換中進(jìn)行相應(yīng)的操作從而實(shí)現(xiàn)實(shí)時(shí)更新的匿名化。

●場景化的引入

場景化并非是在互聯(lián)網(wǎng)的信息保護(hù)領(lǐng)域最先出現(xiàn)的。場景在一開始僅為影視傳媒中的概念，經(jīng)過學(xué)者在更多維度的使用，場景理論的適用范圍從現(xiàn)實(shí)場景延伸到了互聯(lián)網(wǎng)場景中。場景理論看似與匿名化沒有直接關(guān)聯(lián)，個(gè)性化信息的匿名似乎是不具有公共性的。然而，在個(gè)人信息的背后隱含著共同的匿名需求和共性的匿名操作。此外，相同的匿名化操作會(huì)因?yàn)閳鼍暗淖儞Q而導(dǎo)致信息的匿名有效性發(fā)生變化。

新西蘭康奈爾理工學(xué)院信息科學(xué)教授海倫·尼森鮑姆（Helen Nissenbaum）在應(yīng)對(duì)匿名化的動(dòng)態(tài)性問題時(shí)提出了場景完整性理論。此概念通過社科類型的定義應(yīng)對(duì)技術(shù)領(lǐng)域的難題，以此為隱私確定界限。該理論強(qiáng)調(diào)個(gè)人信息的隱私性指的并非信息的不可泄露，而是信息的合理使用和傳遞，因?yàn)橹挥行畔⒉粩鄠鬟f才能完成社會(huì)關(guān)系的建立，這是對(duì)個(gè)人隱私的合理期待。此理論中，信息擁有者、信息關(guān)聯(lián)主體、信息傳輸者、信息接收者以及信息的種類構(gòu)成了信息流動(dòng)的五要素，任何一個(gè)要素都決定了信息流動(dòng)的性質(zhì)。

匿名化的場景實(shí)現(xiàn)

●風(fēng)險(xiǎn)評(píng)估體系的引入

匿名處理為適應(yīng)多種場景實(shí)現(xiàn)動(dòng)態(tài)化會(huì)面臨不同場景標(biāo)準(zhǔn)不同的問題，這就需要引入針對(duì)各個(gè)場景的風(fēng)險(xiǎn)評(píng)估體系。不過，國內(nèi)目前并未確立完備的評(píng)估規(guī)范，僅停留在行業(yè)內(nèi)的經(jīng)驗(yàn)交流階段，屬于法律法規(guī)的空白地段。匿名化的安全性和后續(xù)數(shù)據(jù)實(shí)用性上的平衡難以精確把控，信息使用場景多樣化、不同場景的敏感程度不同，是規(guī)范難以確立的兩大關(guān)鍵因素。

匿名化的風(fēng)險(xiǎn)評(píng)估體系需要結(jié)合的是場景下的信息隱私性程度，需要著重考量以下內(nèi)容。一是信息接收者可利用的技術(shù)和工具水平。隨著人工智能技術(shù)的發(fā)展，信息重識(shí)別不再成為專業(yè)技術(shù)人員的“專利”，因此在技術(shù)手段逐漸公開化、大眾化的進(jìn)程中，獲取可操作的重識(shí)別方式的成本大大降低。無論是客觀方面還是主觀方面，這一條件都會(huì)影響信息接收者的重識(shí)別的意愿。二是其他外部信息的可獲取程度，這一點(diǎn)決定了去匿名化的可能性大小。三是信息使用者的使用目的與申請信息時(shí)的目的是否匹配，如果發(fā)現(xiàn)信息使用者在使用過程中違背了申請接收信息時(shí)的目的，可以認(rèn)定其為違法行為。

●風(fēng)險(xiǎn)評(píng)估體系的構(gòu)建

匿名化處理者需要在處理時(shí)進(jìn)行一定的風(fēng)險(xiǎn)預(yù)測，目前看來有較為嚴(yán)格的“所有合理可能性”標(biāo)準(zhǔn)，還有“蓄意入侵者檢驗(yàn)”標(biāo)準(zhǔn)，以及“專家判別”標(biāo)準(zhǔn)，我們需要做的不是將三者簡單相加，對(duì)匿名化進(jìn)行一層一層的過濾，而是將三者融合為一體，各司其職，充分發(fā)揮其可用性的同時(shí)避免程序冗雜。

第一步，針對(duì)信息處理者而言，僅需要對(duì)相應(yīng)的風(fēng)險(xiǎn)進(jìn)行可能的、合理的排除。雖然“所有合理可能”看似過于嚴(yán)格，不適于應(yīng)用在動(dòng)態(tài)化監(jiān)管之中，但這不意味著此項(xiàng)標(biāo)準(zhǔn)應(yīng)被完全摒棄，而是應(yīng)當(dāng)要求信息處理者按照合理的程度進(jìn)行自查，在數(shù)據(jù)中不得在一般認(rèn)知和法律框架下出現(xiàn)缺漏，其流程包括對(duì)特定標(biāo)識(shí)符的刪除或替換、對(duì)可能再識(shí)別的人群的甄別、對(duì)再識(shí)別動(dòng)機(jī)的分析以及考慮所有合理可能手段。

第二步，進(jìn)行蓄意入侵檢驗(yàn)，通過實(shí)踐操作模擬入侵狀況。只需在信息現(xiàn)有處理者完成自查之后提交給監(jiān)督機(jī)構(gòu)，相關(guān)技術(shù)人員確定相應(yīng)場景下的再識(shí)別風(fēng)險(xiǎn)，綜合運(yùn)用網(wǎng)絡(luò)上任何可以合法獲得的信息進(jìn)行再識(shí)別測試，以確保蓄意入侵檢驗(yàn)可以排除絕大多數(shù)的再識(shí)別情形。在完成這一步后，數(shù)據(jù)即可準(zhǔn)許流通，但并不意味著信息處理者的法律責(zé)任終結(jié)。

第三步，進(jìn)行專家判別。在第二步完成后，安排專家以最前沿的匿名化認(rèn)知以及前瞻性的視角定期對(duì)數(shù)據(jù)進(jìn)行抽檢，開展隱私風(fēng)險(xiǎn)評(píng)估，明確當(dāng)前及可預(yù)見未來的威脅，并及時(shí)對(duì)數(shù)據(jù)匿名策略做出調(diào)整。

風(fēng)險(xiǎn)評(píng)估體系的法律責(zé)任

在引入風(fēng)險(xiǎn)評(píng)估體系之后，相應(yīng)的法律責(zé)任劃分也應(yīng)當(dāng)進(jìn)一步明確。對(duì)信息接收者而言，需要嚴(yán)格遵守信息流通合同中的內(nèi)容。另外，信息接收者需要在信息流通中首先進(jìn)行申請，明確信息使用的用途和范疇，并且在接收數(shù)據(jù)后嚴(yán)格按照此范圍進(jìn)行，否則應(yīng)當(dāng)承擔(dān)違約責(zé)任、行政責(zé)任甚至刑事責(zé)任。雙方不得在合同中約定排除最基本、最低限度的防范重識(shí)別的義務(wù)。同時(shí)，也應(yīng)當(dāng)在合同中對(duì)數(shù)據(jù)的后續(xù)使用做出安排，或者在項(xiàng)目完成時(shí)對(duì)數(shù)據(jù)進(jìn)行返還銷毀，或者進(jìn)行下一步流轉(zhuǎn)。在信息再次傳遞時(shí)，應(yīng)當(dāng)同樣按照匿名化標(biāo)準(zhǔn)進(jìn)行，并及時(shí)告知上游信息傳遞者，以便對(duì)信息實(shí)現(xiàn)監(jiān)管，多層的信息流轉(zhuǎn)采用間接監(jiān)管而非垂直監(jiān)管的模式。

引入動(dòng)態(tài)化的匿名化，使匿名化不再于一次操作后戛然而止，而是隨著數(shù)據(jù)的使用和流轉(zhuǎn)不斷更新，這有利于對(duì)全流程的信息保護(hù)。法律責(zé)任的空缺區(qū)域需要彌補(bǔ)，從而形成較為嚴(yán)密的法律責(zé)任分配體系。為了實(shí)現(xiàn)匿名化的動(dòng)態(tài)化，可引入場景化，充分保證數(shù)據(jù)的有效性并更具針對(duì)性，形成基于場景的數(shù)據(jù)流轉(zhuǎn)閉環(huán)。為了更好地實(shí)現(xiàn)場景化，應(yīng)引入風(fēng)險(xiǎn)評(píng)估體系。

匿名化的初衷是降低隱私泄露風(fēng)險(xiǎn)，匿名化的動(dòng)態(tài)化將極大地改善匿名化對(duì)隱私保護(hù)的效用，為數(shù)據(jù)主體提供強(qiáng)有力的隱私保障，從而增強(qiáng)民眾對(duì)大數(shù)據(jù)的信任，促進(jìn)大數(shù)據(jù)領(lǐng)域的健康發(fā)展。