摘要:个人信息匿名化兼顾个人信息权益保护和数据合规功能,日益成为推动数据要素安全高水平应用的关键法律制度。我国现行法律对个人信息匿名化采用了概括式立法技术,尽管该种立法技术以灵活性和适应性见长,但会弱化条文的行为指引功能,导致个案中的匿名化处理法律评价模糊化。具体表现为,立法条文规定了匿名化的基本定义和法律除外地位,但并未对匿名化判断标准、技术操作与法律责任厘定等问题作更具体化的立法设计。对照域外各国的立法技术和经验得失,我国应在现有基础上,扩充匿名化的配套立法条文数量,扩展立法体系所规范的范围与事项,充实匿名化立法架构,加强个人信息匿名化立法的专门化与可操作性。此外,专设与细化匿名化的法定管理和指导职权,明确个人信息匿名化技术和管理措施的分类评价,推动公私部门合作,才能建立更加完善的匿名化数据流通体系,以便合法、安全、充分实现数据要素的内在价值。
关键词:匿名化;个人信息;法律渊源;法律确定性;概括式立法
一、问题的提出
个人信息匿名化(以下简称匿名化)是指“个人信息经过处理无法识别特定自然人且不能复原的过程”。匿名化具有特别的立法功能,可在规范信息处理活动、保护信息主体权益的前提下,促进个人信息的合理使用,提升数据要素的生产与利用效率。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条、《中华人民共和国网络安全法》(以下简称《网络安全法》)第42条、《中华人民共和国民法典》(以下简称《民法典》)第1038条均对匿名化作出特别规定,相关国家政策也对匿名化高度重视。《“数据要素×”三年行动计划(2024—2026年)》强调,要以推动数据要素高水平应用为主线,带动数据要素高质量供给、合规高效流通,为推动高质量发展、推进中国式现代化提供有力支撑。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确提出,数据流通交易要以隐私保护为前提,“推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”。在此现实背景下,国内外学界聚焦以下三个方面的讨论:一是接纳个人信息的不确定性,批判绝对匿名化,认为应当回归基于风险的方法(therisk-basedapproach)或基于个案实践积累,渐进式评估和确定匿名化的具体标准;二是认为事实上难以有效消解匿名数据具有的“剩余风险”,建议将匿名化归入去标识化(假名化),以便整合与简化立法上的判定标准;三是重视对匿名化数据的功能性控制,结合统计学上的信息泄露控制概念实施匿名化,用数据与数据环境之间的管理标准代替传统的绝对标准,以便更好地释放数据价值。这些讨论背后所指向的核心问题是:法律如何评价匿名化数据的生产过程与匿名状态的可靠性,而目前尚未有论着从匿名化的概括性立法模式进行反思与分析。
从概括式立法的视角梳理,可以发现匿名化存在着“立法抽象守法难”的现实窘境。特定产业的市场需求和产业竞争的态势往往通过专利数量加以衡量,匿名化实践同样离不开复杂的数据处理和算法设计专利。2001-2015年,匿名化全球专利数量不断增加,美国和日本增长最为明显,专利数量分别达到159个和72个,而中国只有14个。由于我国专利数量少,叠加专利的先发垄断特性,国内相关产业后起赶超并不容易,匿名化的专利使用成本也往往偏高,中小企业主动部署匿名化技术的意愿也受到一定影响。结合调研情况来看,产业的主要担忧不仅是技术成本问题,还集中在匿名化合规预期的不稳定。如汽车保险数据交易商A认为,匿名化处理者为获取法律豁免适用资格投入巨大的技术和管理成本,但在很多时候都无法摆脱“个人信息”的宽泛认定。流量广告服务供应商B认为,无论如何匿名,总有被还原的可能。这导致匿名化合规风险较大,实践预期不明朗,无法有效促进产业数据流通,特别是广告营销与虚假流量审计时,对用户SDK数据的读取也会受到不同程度的限制。而视频平台企业C坦言,匿名化的合规标准是否明确,既对出海业务数据的跨境合规有重要影响,也对不同平台间跨APP的数据匿名传输可靠性提出了挑战。此外,互联网银行D反映,为了满足金融监管的要求,银行一般都会通过匿名化处理来实现金融数据的二次利用,以便优化放贷风控模型等。但有不少客户并不信任匿名化,还将其与贷款电话营销联系起来。
为了缓解这一窘境,我国也在持续努力地完善规则供给体系,但总体上缺乏规划,呈现出碎片化、原则性、附随性的特点,整体设计并不完善。其中,碎片化体现在绝大多数与匿名化相关的规定散落在互联网和数据安全、个人信息保护、汽车数据安全、医疗卫生信息安全、金融信息保护、特定行业数据安全管理等行业管理的征求意见稿或标准文件中,目前并无单独针对匿名化出台专门文件。而原则性体现在,“数据二十条”等国家级规范性文件有纲领性、概括性的行文要求,并不适宜载明对匿名化具体的落实方案。至于附随性,层级较高的规范,如行政法规、地方性数据法规、部门规章仅在其他条文中附带性提及“匿名化”,亦未给出具体的执行标准或者指导意见。
“大数据时代的个人数据权利涉及自然人的民事权益保护与数据企业的数据活动自由关系的协调。”匿名化正是协调二者的关键法律制度。通过上述现行立法、数据政策、产业实践和细化规则四个角度的观察可发现:一方面,我国立法对匿名化所遵循的简约策略,导致匿名化处理者在具体适法过程过度依赖和遵从文义解释结论,抱着“以防万一”的主观动机奉行绝对的匿名化标准。另一方面,大量的匿名化认定标准会视乎场景的不同而各有区分。概括性立法既无法通过授权的方式引入非正式法源,为不同的场景化需求提供指导和界别,又无法在短期之内借助可观数量的个案裁判结果为其提供稳定的法律续造,造成长期以来“倡导匿名化而不敢匿名化”的行为悖论。因此,要让匿名化实践跳出上述的逻辑怪圈,需要对概括式立法困局作系统分析,通过适当扩展法源,优化和补强相关立法架构,为匿名化提供更加细致的规则供给,在保护个人信息权益的同时,促进匿名化产业的健康发展和实践创新。
二、个人信息匿名化立法的三种形态
不同国家的法律环境和社会背景各异,对匿名化的立法安排也有着不同的实践和经验。研究不同国家的立法形态,可以更好地理解与厘清我国匿名化概括式立法的长处与短板。从各国在联合国贸促会(UNCTAD)备案的个人信息保护立法文本来看,不同国家对匿名化的重视程度、立法考量和具体规定均不相同。根据各国立法文本的条文表述和体例安排,匿名化立法可划分为“二分型”“合一型”“留白型”三种形态。
(一)“二分型”立法形态
“国际社会在个人信息的界定上基本形成了以可识别性为核心判定标准的共识;但个人信息界定的动态性和场景性不仅带来了司法认定上的困难”,也使企业在匿名化处理问题上无所适从。
由于“个人信息”定义的宽泛性,匿名化总会意外回落到“个人信息”范畴,导致产业界减少或放弃使用匿名化技术,进而降低个人信息权益的保护力度。因此,部分国家专门增加了“去标识化”(de-identification)或“假名化”(pseudonymisation),为匿名数据提供法律责任上的缓冲。比如,除了《个人信息保护法》采用了“匿名化+去标识化”的二分设计外,GDPR、日本《个人信息保护法》(APPI)、德国《联邦数据保护法》(BDSG)也采用了“匿名化+假名化”的类似立法。一些非洲与南美国家,深受GDPR的影响,如赞比亚《数据保护法》[27]与秘鲁《个人数据保护法》。
虽然欧洲与亚洲部分国家与我国都采取了二分的立法形态,但这些国家对匿名化立法及其配套工作更为重视。英国师承欧盟《一般数据条例》(GDPR),于2018年出台了英国《数据保护法案》(DPA),也同样采用了概括性立法的方式,但其通过英国信息保护专员(ICO)发布了大量的风险指引、执法意见和行业规程。比如,ICO在2012年11月就分别发布了《匿名化:管理数据保护风险行为准则》《匿名化:管理数据保护风险行为准则咨询摘要》。甚至在ICO的影响下,欧盟于2015年6月24日出台了为出版目的对临床报告进行匿名化的指导意见。2021年1月1日,ICO就其《匿名化,假名化和PET指南》草案的第二章启动咨询。2021年3月22日,ICO发布有关数据共享指南和更新匿名化指南的博客文章。2022年2月8日,ICO就上述指南草案的第三、四章启动公众咨询。在公私合作领域,ICO还就匿名化指南的具体要求,资助建立了专业的非政府组织——英国匿名化网络(UKAN),领衔其国内的匿名化最佳实践探索,定期出版更详细的产业答疑与实用建议。
除学界讨论较多的欧美各国外,新加坡、日本等国对匿名化的重视程度实际上更高,立法资源及其配套规则出台更及时、紧凑和务实。以新加坡为例,2013年9月24日,新加坡个人资料保护委员会(PDPC)发布《咨询指南:匿名化》,分别于2017年5月23日、2019年10月9日进行修订。2018年1月25日,PDPC发布《资料匿名化技术指南》,提供了恶意破解者、匿名化数据集、直接标识符和间接标识符等概念的关键定义。特别是,该指南提供了匿名化技术清单。2022年3月31日,PDPC发布了《基本数据匿名化技术指南》,更新了匿名化基本的概念和用例,并提出简单明了的五步流程法指导企业如何对各种数据集进行适当的基本匿名化。作为配套规则,2022年4月4日,PDPC和新加坡信息通信媒体发展局(IMDA)推出了数据保护要点(DPE)计划,支持中小型企业(SME)获得匿名化等安全实践保护客户数据。2022年5月30日,PDPC发布《基本匿名化指引》,取代了上述的《基本数据匿名化技术指南》,上线免费数据匿名化工具。2022年7月20日,IMDA和PDPC再次联手,推出了隐私增强技术(PET)沙盒支持相关企业。2022年10月1日,新加坡《个人信息保护法》(PDPA)修正案生效,大幅增强PDPC权力。特别是创新性引入“接受自愿承诺(voluntaryundertakings)”执法制度,鼓励组织自觉合规履行匿名化。
(二)“合一型”立法形态
该种立法形态并不单独区分匿名化和假名化,而是通过“去标识化”直接统合匿名化的立法功能,主要代表国家为美国。美国与中欧之间对“匿名化”的定义和观念均不相同。美国国家标准与技术研究院(NIST)2015年内部报告《个人信息去标识化规程》(NISTIR8053)解释了美国使用“去标识化”,而不使用“匿名化”的原因。NIST认为,匿名化的实践与欧盟标准《健康信息学——假名化》(ISO25237-2008)的定义不一致,往往被认为已经匿名化的数据其实并没有成功匿名化,反而被重新识别,所以美国行此安排。类似地,莱索托国《数据保护法》在第2条也有类似规定。合一型设计对匿名化的认定更加灵活,以取得类似于二分制中“假名化/去标识化”的缓冲效果。比如,印度2019年发布的《个人信息保护条例》(DPDP)草案第3条第2款规定:“与个人数据相关的‘匿名化’,是指将个人数据转换或转化为数据主体无法实现的形式的不可逆过程符合个人信息管理局规定的不可逆转性标准。”斯洛文尼亚《个人数据保护法》(ZVOP-1)第6条规定:“18.匿名化(Anonimiziranje)——是指个人数据形式的变化,以至于它不再与个人相关联,或者只有付出不成比例的巨大努力、成本或时间才能实现。”巴西《个人数据保护法》(LGPD)第11款规定:“匿名化(anonimiza??o):在处理时使用合理且可用的技术手段,通过这种方式数据丢失与个人直接或间接关联的可能性。”但合一型在加速数据流通的同时,也带来了很多棘手的问题。2022年6月11日,美国FTC隐私与身份保护部代理副主任克里斯丁·科恩(KristinCohen)针对匿名化数据和数据经纪人发布消费者提示(consumeralert)。她在提示中强调:“某些公司可能会声称他们数据已被匿名化,来安抚消费者的隐私担忧,但这种说辞充满了欺骗性,对匿名化作出虚假声明的公司最好小心FTC的来信。”因此,“合一型”的立法设计会不可避免带来过度宽松的判定标准,在从宽解释匿名化概括式立法时需要特别注意。
(三)“留白型”立法形态
立法完全不定义匿名化的情况也不少见,如已有20余年历史的加拿大《个人信息保护和电子文件法》(PIPEDA)、安道尔《个人数据保护法案》、安哥拉《信息社会技术和服务管理条例》、安提瓜和巴布达《数据保护法》、巴哈马《个人资料私隐法令》、巴林《个人资料保护法》、白俄罗斯《信息、信息化和信息保护法案》等,均未出现“匿名化”的相关表述,转而侧重于通过数据最小化、隐私设计或数据保护影响评估、完善的行政执法配套等措施来实现个人信息保护功能。以PIPEDA为例,该法许可个人信息处理者自行决定适当且有效的个人信息保护技术,而将技术的有效性审查下放给加拿大联邦和各省行政职权部门自行决定。在PIPEDA的具体执法适用中,加拿大国内对匿名化实践逐渐形成了“合理预期(reasonableexpectations)”或“合理可预见(reasonablyforeseeable)”的判定标准,还成为主要省级地方立法解释时优先适用的标准,特别是省级健康隐私立法,如萨斯喀彻温省《健康信息保护法》(HIPA)、安大略省信息和隐私专员《结构化数据去标识化指南》和安大略省《个人健康信息保护法》(PHIPA)、魁北克省《第64号法案》(Québec'sBill64)。值得关注的是,2022年12月,加拿大提出C-27法案(Bill-27),计划以全新的《消费者隐私保护法》(CPPA)取代PIPEDA。这引发了加拿大国内的激烈讨论。其中,最引人关注的是CPPA由原先的留白状态直接引入去识别化和匿名化数据的二分形态,以便与GDPR等国际标准接轨,保证加拿大在全球数字经济中保持竞争力。
从上述的梳理可以发现,匿名化立法在政治、经济、社会和文化背景中的差异化发展,并无孰优孰劣之分。但无法忽视的是,全球化的进一步加深,也让跨境数据流动日益频繁,个人信息匿名化问题也随之具有了全球化特征。无论是宽松的合一形态,还是完全不定义的留白形态,都不约而同慢慢向二分形态演进。因此,在反思和完善我国的匿名化立法时,当然可以自主借鉴发达国家的先进经验,但更应当充分考虑我国国情与立法实际,在二分型的基础上,因地制宜、因时制宜对概括式立法加以渐进式改良。
三、我国个人信息匿名化现行立法的不足
匿名化处理的首要目的是降低个人数据被重新识别的风险,但不同的个人信息处理场景会面临不同级别的风险。由于法律对于匿名化缺乏明确、可操作性的定义。这种模糊性会导致匿名化的两极分化,处理者要么求稳而保守处理,要么求快而粗暴处理。进言之,概括式立法往往对于在匿名化失败导致数据泄露时的责任归属和处理标准缺乏具体规定。简单的法律表述无法为如何基于具体风险情境来适当地进行匿名化处理提供指导。相较于适用《个人信息保护法》第7章稍显严苛的法律责任承担方式,通过如行政许可、备案等方式来指导匿名化措施的实施,为匿名化构建层次化、多样化的法律规制结构,更有利于违法行为的预防、法律责任的落实,但这些举措都需要通过法定的形式加以确定。在此现状下,行业良好实践与惯常标准虽然可提供一定的规范作用,但这又必须依靠产业界在诸多场景下的大量匿名化实践,试错成本与时间成本亦不能忽视。参照过往对新型业态的规制实践来看,司法个案裁判具有其独特作用,但个案针对性强,裁判规则不一定在裁判尺度与价值追求上保持基本一致,甚至还会出现互斥的情况。此外,相对固定的裁判规则依赖于足够的个案数量,而立法的细化无疑会大大促进这一进程。因此,有必要系统分析我国匿名化现行立法的不足。
(一)现行立法条文缺乏细化路径
从《个人信息保护法》第1条的表述可知,匿名化数据与个人信息之间相辅相成,二者概念外延的划定会直接影响个人信息保护与数据流通利用的功能实现。从国内立法进程看,个人信息的范畴正在逐步扩张。2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条,仅将能够直接识别信息主体的信息认定为个人信息;2016年颁布的《网络安全法》第76条规定“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,采“单独识别+结合识别”标准;2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高解释》)第1条,将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,首次将关联信息纳入个人信息范畴;《民法典》第1034条将认定个人信息的标准退回到“单独识别+结合识别”,与《网络安全法》一致,而《个人信息保护法》又再度将个人信息范围扩展至“关联+识别”的最宽泛标准。个人信息界定范围的不断扩大带来了立法适用上困惑:在当今“万物互联”的背景下,各种数据类型均有可能与自然人关联,从而落入“个人信息”范畴,对应的数据处理行为就需要受到个人信息保护立法的调整。
相较于个人信息“领地”的逐步扩大,“匿名化”与“匿名化数据”及类似的表述,在立法中的出现次数却并不多,而且为了配适个人信息的外延扩展,匿名化的立法条文大多采用了简单但绝对化的表述方式。与GDPR类似,《个人信息保护法》全文仅出现了2次“匿名化”,且未规定具体的操作方式及规范标准。又如《网络安全法》第42条第1款规定,经过处理无法识别特定个人且不能复原的个人信息向他人提供,可不经被收集者同意。《民法典》第1038条规定:“……未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”《个人信息保护法》第4条规定:“个人信息……不包括匿名化处理后的信息。”从该系列条文的更迭来看,作为后法的《个人信息保护法》对匿名化沿袭了概括式立法技术,与前法的立法内容相近,表述几乎一致,也并未授权有关机关加以细化解释。这也将匿名化处理的法律指引实效推向了另外一端:虽然法律规则的简化意在提高规则的可理解性和可操作性,但过度简化反而会导致规则缺乏必要的详细性和灵活性,反而无法充分涵盖复杂多变的社会实践。
就匿名化立法技术而言,中国法与欧盟相关立法高度一致。然而,欧盟并不像《个人信息保护法》那样直接给出匿名化的定义,GDPR正文甚至一次都未出现“匿名化(anonymisation、anonymity、anonymousdata)”,而是仅在GDPR序言第26条(Recital26)阐明,数据保护原则不适用于匿名数据。欧盟学者分析认为,GDPR此举是为了遵循立法技术的一般规则,对于非本法规范的对象或者客体,不宜在该法中作过多的条文阐述与解释。但需要注意的是,欧盟并没有止步于GDPR,而是快速响应新的技术挑战和社会需求,通过补丁式立法(patchlaw)修补现行法的不足,解决GDPR实施中出现的具体问题,增强监管一致性和指导的明确性,帮助企业更好地理解和遵守数据保护规则。反观中国,虽然参照了欧盟的立法模式,但并未同步跟进欧盟的配套立法举措。
就匿名化法定标准而言,GDPR和它的前身《电子隐私指令》(Directive95/46/EC)均在各自序言第26条规定了较为严格的匿名化标准,即“数据控制者(datacontroller)或者其他任何第三方(anyotherperson),使用所有可能的(likely)合理的(reasonably)方法,都不可能识别数据主体”。不过对这种不可逆性,GDPR和《电子隐私指令》均表述为“合理的方法”或“合理的努力”,意大利、德国、斯洛文尼亚等欧盟国家的国内法,则采用“不成比例的努力(disproportionateeffort)”的表述;而法国则采用更加严格的定义,即“重新识别是极其困难或者不可能”。此外,2014年,欧洲数据保护委员会(EDPB)的前身——第29条工作组(WP29)在其《匿名化意见》中,一再坚持对个人数据进行宽泛解释。根据该意见,如果数据经过匿名处理后,在任何情况下,应保证匿名化的状态完全不可逆。但这一系列的表述依旧模糊,缺乏确定的判断标准。正如国际标准《健康信息学——假名化》(ISO25237:2017)中总结的那样,“匿名化”的定义实际上基于“未定义的行为(undefinedbehavior)”和“未定义的行为者(undefinedactor)”。这种循环定义导致了产业界在实践中产生很多困惑。“任何法律都需要明确其适用范围,否则一旦范围不清晰,即使一个人在善意地认为自己没有违规,仍然可能会受到法律的约束,并被处以罚款。”
值得注意的是,尽管欧盟通过大量的法律文件确立了对匿名化的严苛标准,但是新近的欧盟立法却呈现出相反态势。最典型的是《数据治理法》(theDataGovernanceAct,DGA)与《欧洲健康数据空间监管提案》(以下简称《提案》)都规定了在匿名化状态下共享医疗健康数据等的重要性,并设计了细致的执行标准。如《提案》第45条就专门规定了匿名数据访问应用程序,任何自然人或法人均可就提交查阅资料申请,且要求申请人说明是否应以匿名格式提供电子健康数据,并对电子健康数据的预期用途加以详细说明。由此可见,欧盟有关匿名化的法定标准并非拘泥于GDPR的原教旨,而是在补丁立法中不断演进。
除成文法之外,作为欧盟立法的另一主要法律渊源——判例法,对匿名化法律标准也同步调适。对匿名化判定标准产生重要影响的判例法,当属2016年10月裁判的“布莱耶诉德国联邦机构案”,其争议焦点在于德国联邦机构官方网站是否拥有“合理且可能”的途径来访问网络服务提供者(ISP)存储的数据。欧洲联盟法院(CJEU)并未直接判断动态IP地址是否为个人信息,而是结合动态IP地址的原理及其数据收集方是否可以通过合理方式识别到特定自然人。CJEU在判决中引用了德国《国家安全法》的规定,认为在发生网络攻击的情况下,在线媒体服务提供者有权联系执法机关(如德国警方),使其配合完成对具体的自然人的识别,进一步实施逮捕或其他措施。而在2023年6月裁判的“单一决议委员会(SRB)诉欧洲数据保护监管专员(EDPS)案”中,欧洲普通法院(GeneralCourt)判决改变了EDPS有关匿名化的既往判定标准,转而认为:如果数据持有者无法(重新)识别与此数据相关的个人,则假名数据将被视为匿名数据;在默认情况下,个人观点或意见不能被推定为个人数据。目前,该案正在CJEU上诉审阶段。若维持原判,该判决意味着GDPR将不适用于接收者没有合法手段从数据中识别个人身份的情况下传输的任何个人数据,这将彻底打破在“布莱耶案”中确立的匿名化严格标准。巧合的是,该案裁判时,恰逢欧盟多部促进数据共享立法的审议,该判决为匿名化相关立法的讨论奠定了更宽松的基调,对具有重要影响的《人工智能法案》(AIAct)与《数据法案》(DataAct)通过审议产生实际助益。
综合上述分析可知,匿名化的立法条款设计过于简单,显然无法全面覆盖匿名化处理的各个环节与对应风险,反而会加剧法律适用的不确定性和不一致性。在此情势下,由于我国并非判例法国家,立法者若能参照上述“个人信息”的修法路径,新增条文数量抑或通过立法解释细化匿名化的相关规定,对解决上述问题大有裨益,有助于跳出简单重复而导致的“1+1<2”的立法适用现状,为匿名化提供系统性和前瞻性的法律指引。
(二)依赖“全有或全无”的法律归责逻辑
在我国法框架下,匿名化是通过“非个人信息”的方式来定义的。根据《个人信息保护法》第4条的规定,如果匿名化数据被重新识别,这些数据都会被认定为“个人信息”,进而要求处理者具有处理这些信息的法律依据。如果无法证明事前已取得具体的法律依据而匿名化处理的,则应承担相应的法律责任。如此一来,匿名化处理者就会落入“全有或全无(allornothing)”的归责逻辑。加上产业实践一般都是通过批量处理数据集来生产匿名化数据,一旦重新识别的数据条数超过法定数量,根据《中华人民共和国刑法》第253条及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4、5条所规定,相同主体可被追诉侵犯公民个人信息罪。因此,匿名化处理者在对个人信息进行匿名化处理时,不仅需要投入大量的人力资源、技术和管理成本,而且一旦处理失败,将可能面临严重的法律责任。
顺着“全有或全无”的法律归责逻辑推演,可以得出一个监管上的悖论:一方面,匿名化促使行业内部进行恶性的逐底竞争(racetothebottom)。过于简单的立法条文可能导致监管机构在执行时面临困难,因为缺乏具体、可执行的标准来评估数据处理者的行为是否合规。只要监管机构没有查处,匿名化处理者就可以一直秉持“富贵险中求”的执念,就如上文FTC所警告的那样,对外宣称自己对数据已经匿名化,即可节省大量匿名化技术成本并实现套利。另一方面,这一归责逻辑也会抑制通过提升自身产品或服务质量来获取市场优势的逐顶竞争(racetothetop)。对个人信息保护与自身法律责任承担减轻而言,匿名化“有总比没有好”。即便匿名化不完美,亦能降低数据泄露的风险。因此,相较于完全没有匿名化处理,进行任何程度的匿名化总是更佳的方案,但这也决定了匿名化很难有明显的边际收益。由于法律责任的严格化,匿名化处理者会选择限制其业务规模,减少潜在的错误和相应的法律风险。这种做法会削弱匿名化处理的规模化效应,进而增加匿名化成本,而这些成本最终会通过价格传递给最终用户,使得匿名化服务的成本相较更高,反过来抑制匿名化技术的应用与发展。
正如布拉什(ElizabethBrasher)所言,美国的匿名化法律框架采取了“全有或全无”的逻辑,导致了对匿名化实践的激励不充分。美国应该考虑采用GDPR中的多层匿名化(multipletiersofanonymization),为部分匿名化的数据提供相对宽松的要求,这既在数据隐私和数据效用之间取得了平衡,又为数据主体提供了更好的法定保护。在GDPR的条文设计当中,欧盟立法者也通过引入“假名化”等概念,为匿名化处理者提供了一定程度的责任缓冲。GDPR第89条专门针对处理个人数据以进行科学研究、统计和历史研究的情形,提供了数据处理的保护和豁免措施,在一定程度上为匿名化和假名化处理提供了法律基础和操作指南,具体表现在四个方面:第一,在进行科学研究等活动时应当尊重数据最小化原则,采取适当安全措施保护个人数据。当数据处理者采用假名化减少数据与特定个人直接关联的可能性时,可减少因数据泄露或不当处理而产生的法律风险。第二,当处理活动有适当保障措施时,可以在某些情况下豁免数据访问与更正等义务。这为数据处理者在特定研究领域内提供了更大的灵活性,同时也体现了GDPR对于科研自由和公共利益的尊重。第三,第89条要求数据处理必须遵循比例原则,处理措施应当与其追求的研究目标成比例。在考虑采用匿名化或假名化等技术时,数据处理者需要评估这些措施与保护个人隐私的必要性之间的平衡,确保数据处理活动的合法性和正当性。第四,通过第89条的规定,GDPR实际上鼓励了在科研等特定场景下使用假名化技术,因为假名化的数据若被重新识别,责任并不会像处理未经任何保护的个人数据那样严重。
相比之下,《个人信息保护法》虽然也采用了与GDPR同样的二分立法形态,在第73条规定了去标识化的定义。但细究之,去标识化被视为一种个人信息的保护措施,而非彻底改变信息性质的手段。言外之意是法律承认在某些情况下,去标识化信息仍有可能被重新识别,从而构成对个人信息的潜在威胁。因此,尽管去标识化降低了个人信息泄露的风险,但这类信息仍需受到《个人信息保护法》的约束和保护,而我国没有一并借鉴GDPR第89条作为去标识化的配套条文,也未在其他条款中明确去标识化的法律减免责任,继而无法有效软化“全有或全无”的匿名化法律归责逻辑。
(三)缺乏公众风险沟通机制路径
匿名化立法的公众风险沟通机制是通过立法条文授权个人信息执法机关设计并实施,用来确保公众能够理解、参与和影响关于数据匿名化立法的机制。这个机制的主要目的是提高透明度、建立信任、并确保公众充分了解匿名化政策可能带来的风险和益处。匿名化技术的复杂性和相关法律概念的抽象性,导致一般公众难以全面理解匿名化的重要性。匿名化涉及高度技术性的处理,包括数据的随机化、泛化、扰动等多种技术手段。这些技术不仅要确保数据在去除个人标识信息后,仍然保持其在统计和研究中的有效性,还要确保数据不能通过被还原而重新识别个人。这种技术的双重要求,使得匿名化变得复杂且难以用非专业的语言描述清楚。而法律条文在处理匿名化的定义和规范时,常常使用抽象和宽泛的语言来覆盖各种潜在的情形,这使得非法律专业的公众又难以直观理解。例如,个人信息保护立法会规定数据在“去除了所有可能识别个人身份的信息后”才被认为是匿名化,但具体哪些信息属于“可能识别个人身份的信息”则需要专业的解读来界定。
对于一般社会公众而言,概括式立法本身过于简约,缺乏有效的风险沟通会加剧公众对匿名化技术理解不足,可能基于错误信息造成对这些技术的恐惧或误解。匿名化是最有效的数据保护措施之一,但社会公众往往更关注直接影响到自己隐私的问题,媒体也更倾向于报道数据泄露等热点问题,而对匿名化这类预防性的技术和措施的解释和普及不足。因此,公众对于这些概念的了解往往片面或误读,过于担心数据匿名化后仍能被重新识别的风险,或者错误地认为匿名化数据完全没有隐私泄露的风险。没有良好的风险沟通基础,一旦发生数据泄露或匿名化失败的事件,公众大多会因为缺乏足够的背景知识而反应过度,导致公众恐慌和对匿名化的不信任。
对于匿名化处理者而言,个人信息保护和保持数据可用性之间存在双刃剑效应。匿名化处理者在确保合规的努力中,过分侧重于匿名化技术而不充分考虑隐私保护和数据可用性之间的平衡,就会采取过于保守的措施。这种保守策略源于对清晰指导的缺乏或对潜在法律后果的恐惧,驱使组织将技术手段用于合规性的优先考虑。毕竟IBM2023年数据泄露成本报告显示,2022年3月至2023年3月,客户和员工每条泄露的个人信息给所属组织造成的损失分别为183美元和181美元。因此,缺乏必要的风险沟通机制,会在一定程度上加剧“过度匿名化”,限制数据对研究和分析的可用性。
(四)法律标准与技术标准缺乏互补
立法者在制定匿名化立法时,往往考虑当前技术的发展水平和实际可行性。法律标准的模糊性有时是有意为之,以便给技术发展留下空间。在这种情况下,技术标准的发展和应用成为了解释和实施法律的桥梁。一方面,与法律标准不同,技术标准往往更具体、更明确。这包括数据匿名化的具体技术方法(如数据脱敏、掩码、扰动等),以及如何应用这些技术以达到法律要求的匿名化水平。技术标准还经常包括评估和验证匿名化效果的方法,例如,通过数据再识别风险评估来量化数据被重新识别的风险。在法律标准不够具体的情况下,技术标准可以提供实际操作的指导和衡量标准,帮助界定什么样的匿名化措施是足够的,什么样的再识别风险是可以接受的。另一方面,随着数据处理技术的快速发展,新的匿名化技术和方法不断出现。技术标准往往可以及时更新,而法律修订往往步伐较慢。因此,技术标准在保持与技术发展同步的同时,也承担起指导实践和评估现有法律适用性的功能。
奥尔林(OrlinYalnazov)认为法律不确定性可分为适用性不确定性(applicativecertainty)和层级性不确定性(hierarchicuncertainty)两种类型,并指出当法律在适用性上变得更加确定时,其在层级性上可能变得更加不确定。这种复杂的法律不确定性促使法律文本的适法者寻求通过语言的修辞转化来管理或减轻不确定性,从而保护自己免受不利解释的影响。也正因如此,当法律对匿名化的定义缺乏明确性时,数据处理者会借助修辞策略来强调某些解释的合理性或掩盖潜在的不确定性,以适应监管要求或避免法律责任。这种修辞上的转化其实是一种策略性的语言使用,以便在法律不确定性环境中寻找稳定性和可预测性,使得行动者能在现有的法律框架内找到一个相对安全的行为路径。
就匿名化实践来说,所有匿名化方案都会涉及大量技术操作流程和评估报告。但是,为了简化决策、规避法律定义不明确带来的风险,新技术逐渐成为了修辞转化的载体——只要采用了更先进的匿名化技术,就可以不用担心会被监管处罚。然而,这种尝试在不确定性中寻找确定性的做法,势必导致过于保守的数据处理行为,限制了数据的创新使用和价值实现。一个显着的趋势是,为了简化和加速上述的技术流程,从业者正在逐步引入人工智能等进行匿名化的自动化操作。最热门的当属合成数据(syntheticdata)和差分隐私(differentialprivacy)。以合成数据为例,其优势在于可以保留样本集统计特征的同时,创建不包含任何直接标识符的新数据,但该技术仍处于起步阶段,并不一定能消除所有重新识别风险。
造成上述技术标准“代替”法律标准的现象的重要原因是,立法缺少将有益的技术标准吸收入法或者指定参照适用的具体机制。诚然,法律标准往往追求一定程度的通用性,而技术标准则更注重针对具体技术或应用的特定需求。这种法律通用性与技术特异性之间的冲突会导致法律无法细致地反映特定技术的实际需求和条件。此外,技术的复杂性和专业性要求立法者具有一定的技术背景,才能有效地将技术标准转化为法律语言。立法者一般并不会对匿名化技术细节作深入理解,对技术理解的不足导致立法者虽重视技术标准的功能,但在很多时候却无法准确评估某项技术的个人信息保护效果。因此,立法者委托相关行政执法机关进行具体技术标准审查与认定成为了可选的方案,如法国通过法定授权予CNIL执法权限,使其可以根据GDPR标准认可上述合成数据技术的匿名可靠性。
四、我国个人信息匿名化立法的完善进路
一个有效的匿名化立法框架实际上需要兼顾多重功能:既保护个人信息,又允许数据在不侵犯个人权利的前提下被安全使用。通过规定如何合法地匿名化个人信息,立法不仅保护了数据主体的合法权益,也为数据的进一步分析和使用打开了大门。匿名化的概括式立法的具体化,也需综合考虑多个关键环节的设计。
(一)注重产业差异的细化立法设计
针对匿名化的困局,虽然立法过程需要克服政治、技术和行业利益的阻力,且在短期内看起来成本较高,但从长远来看,一个清晰、全面且适应技术发展的法律框架,能够为匿名化实践提供稳定的预期,促进技术创新,从而在整体上降低社会成本,实现更高效的个人数据保护和利用。不同行业对数据的收集、处理和使用有着根本的差异。这要求立法不仅要保护数据隐私,还需要考虑各个行业特定的数据使用需求和风险。行业特定的风险和挑战要求立法能够更准确地针对特定行业中的风险提供有效的保护措施和合规要求。过于泛化的法规既不能充分保护高风险数据,也会不必要地限制了低风险数据的合理利用。定制化的立法可以避免这种一刀切的方法,促进数据的合理利用和新技术的发展,同时确保数据隐私和安全。考虑产业差异进行立法设计可以为不同产业提供适宜的操作空间,有助于法律与技术发展同步,提高法律规定的实用性和有效性,同时加强公众对数据处理实践的信任。
对产业差异的定制立法实践,需要特别注重匿名数据的还原责任主体问题。新加坡专门设置特定法律条文对公职人员的适用情况进行了明确区分。其适用的违法事项涵盖了违反特定法律规定的各种情况,如《新加坡公共部门(治理)法》的第8条第1款以及《新加坡金融管理局法》的第14B条第1款。后者在条款中对“个人”的定义作出了特别说明,明确排除了两类人群:一是任何属于新加坡公共部门机构的相关公职人员,在其重新识别或促成重新识别该公共部门机构持有或控制的个人数据时;二是或曾经是属于新加坡金融管理局的董事、高级职员、雇员、顾问或代理人,在其重新识别或促成重新识别金融管理局持有或控制的个人数据时。该规定体现了法律在处理数据重新识别问题时对不同角色和身份的考量,尤其是在公共部门机构及金融管理局的背景下。通过对特定公职人员重新识别活动的豁免,新加坡法律试图在保护个人信息权益与允许合理利用数据之间找到平衡。这种区分不仅强调了在特定公共服务领域内部数据使用的合法性和必要性,同时也凸显了对于数据处理行为合规性要求的复杂性和细微差别。
(二)注重责任减免的激励立法设计
在匿名化领域,注重构建法律责任的缓冲设计不仅可以提高法律适用的层级性,来适应数据处理和分析技术的快速发展对保护个人信息权益的切实保障,还可以鼓励数据处理者采取负责任的匿名化措施,减少数据泄露或滥用的风险。这种设计通过考虑数据处理的具体情境,关注数据处理的目的和采取的安全措施,有助于在数据处理者和数据主体之间建立更为平衡的法律关系,从而增强法律的公平性和合理性。
第一,建立匿名化违法行为的举证抗辩机制。新加坡《个人数据保护法》设立的举证抗辩制度对于匿名化处理提出了一个创新且实用的法律框架。在就匿名化罪行而进行的诉讼中,被告人若能证明下列任一情况的可能性,该情况即可作为对指控的有效抗辩。抗辩清单主要包括:一是意外识别,被重新识别的组织或公共机构拥有或控制的个人数据因违法事项而公开,被告对此并不知情也没有放任自己不知情;二是授权识别,被告重新识别组织或公共机构持有或控制的个人数据是法律规定或法院命令授权允许或要求的;三是特定目的识别,被告合理地相信重新识别是为了特定目的,并在切实可行范围内尽快将重新识别一事通知PDPC或该组织或公共机构;四是表见识别,被告有合理地相信其有权重新识别或促使重新识别匿名数据,而并非出于某一特定目的轻率为之。
第二,明确匿名化特殊情形的法定豁免。法定豁免的情形,可基于风险管理理念区分不同数据开放类型面临的风险等级而定。韩国特别针对匿名数据的处理及其应用设定了明确的法律框架。专门用于档案目的、科学研究目的或统计目的的假名化数据处理,可无需事先取得数据主体的同意。当这些匿名数据被提供给第三方时,必须确保不含有任何可能用于识别特定个体的信息,以防止潜在的隐私侵犯。此外,韩国还要求特定机构负责匿名化数据的组合处理,以及对外发布组合信息需获得专业机构负责人的批准,保证其对匿名数据处理过程中隐私保护的严格控制。个人信息控制者在将组合信息发布于组织之外的,需要获得指定专业机构负责人的批准,保障处理和发布流程的合法合规。禁止任何人以识别特定个体为目的处理匿名数据,一旦在处理匿名化数据过程中不慎产生了能够识别个体的信息,个人信息控制者有责任立即中止处理该信息,并进行检索和销毁。
第三,增强匿名化法律分层激励机制。首先,通过风险等级分类,制定基于数据敏感性和处理活动可能带来的隐私侵害风险的分类标准,可以确保不同风险等级的数据处理活动采取适当的匿名化和假名化技术标准。其次,提供税收减免、补贴或优先考虑获取公共研究资金等激励促进数据处理者采取负责任的数据处理方式,同时确保匿名化处理的经济可行性和社会效益最大化。对违反匿名化标准的行为设定递增的罚款体系,确保足够的威慑作用,避免数据违法行为。最后,透明度和责任的要求也是构建有效法律激励机制的关键部分。要求数据处理者公开其匿名化和假名化的处理方法和标准,有助于在数据泄露或滥用事件中根据数据处理者采取的匿名化标准和预防措施调整其法律责任程度。通过建立专门的机构负责定期评估匿名化技术的有效性和风险分类标准的适应性,并根据技术发展和市场需求的变化适时更新法律框架和技术标准,确保法律激励机制的长期有效性和适应性。
(三)注重行政指导的授权立法设计
解决立法中缺乏公众风险沟通机制的问题,通常涉及更多的行政指导和授权立法设计,原因在于这种方法允许更为灵活和动态的政策制定过程,适应快速变化的技术环境和公众需求。而立法机关通过授权,使得行政机构可以通过更详细的规章和指南来填补法律中的空白,这些规章和指南可以更容易地更新和调整,以应对新的风险和挑战。如《泰国个人数据保护法》第33条第4款规定:“个人数据保护委员会有权出台个人数据的删除、销毁、匿名化的指导意见。”法定授权的行政指导有助于通过制定统一的匿名化标准和要求,可以避免匿名化实践之间的质量差异,提高整体匿名化数据的安全性和可靠性,降低违反数据保护法规的风险,避免因数据泄露或不当处理而导致的法律后果和经济损失。比如,2020年2月,德国联邦数据保护与信息自由专员(BfDI)发布关于电信行业匿名化的报告和公众咨询;2020年7月,爱尔兰数据保护委员会(DPC)发布《指导说明:匿名化和假名化指南》;2021年4月,荷兰数据保护局(AP)发布《匿名化数据技术准用声明》;2021年8月,土耳其个人资料保护局(KVKK)发布《关于删除、销毁或匿名化个人数据的附则》;2022年2月,ICO就《匿名化、假名化及隐私增强技术指南草案》修订工作再次启动公众咨询程序。
以对外提供匿名化数据法定事项设计为例,日本《个人信息保护法》第36条的规定,体现了法定授权行政指导匿名化的优势。有日本学者认为,通过要求匿名化数据经营者在向第三方提供匿名化数据前,根据个人信息保护委员会规则公开信息类别,并明确向第三方说明所提供的信息为匿名化数据,这一规定增强了对匿名化数据的管理透明度和责任界定。同时,对采取安全措施的责任的具体规定,如技术性、管理性和物理性措施,确保了在处理匿名数据时防止个人信息遗失、被窃、泄露、伪造、更改或毁损,体现了对个人信息保护的细致关怀。此外,注重行政指导的法定授权设计有助于应对技术发展带来的新挑战,保障个人隐私权利,同时促进数据的合理使用和共享。
考虑到立法程序的启动,需要较长的时间筹备。在此之前,可以借鉴意大利与西班牙的代位模式,积累和丰富匿名化的合规实践经验。以意大利为例,该国个人数据保护局(GPDP)于2004年10月1日生效的专门守则(AllegatoA.4)特别强调了匿名化在处理个人数据时的重要性。守则明确指出,为统计和科学研究目的处理的个人数据应当尽可能地保持匿名。在无法完全匿名化的情况下,守则要求采取适当的技术和管理措施来最小化数据被重新识别的风险,平衡科学研究和统计分析的需求与个人数据保护之间的关系,促进数据主体权利的尊重和数据的合理利用。此外,该国行政处罚个案文书中也附带性地对匿名化判定标准加以评价,GPDP于2014年1月16日对意大利肾脏病协会(SIN)违规处理个人数据作出的整改决定,SIN在管理意大利透析和移植登记(RIDT)时,未向患者提供充分信息和获取同意,其数据处理活动违反了数据保护法规。该登记系统收集了来自各地区透析和移植登记处(RR)的数据,包括患者的出生日期、性别、基本肾病类型等。尽管SIN认为这些数据是匿名的,但实际上这些信息能够间接识别个人,属于个人数据。科学研究目的通常也需要患者知情同意,但SIN未能做到这一点。GPDP要求SIN采取一系列措施来确保数据处理的合法性,包括重新制定信息和同意收集模板,使用安全的传输协议,并在必要时验证数据的匿名性。此外,GPDP还保留了对各地区RR数据处理合法性进行独立审查的权利。
(四)注重公私互动的试验立法设计
试验立法,也称为试点立法或试行立法,允许在有限的范围或条件下,临时实施某些新法规或政策以测试其效果和可行性。
在当下快速发展的匿名化技术领域,注重公私互动的试验立法设计不仅有助于建立和维护法律标准与技术标准之间的有效沟通机制,而且可以促进立法者与匿名化从业者之间的深入合作。通过这种合作模式,立法者可以直接借助从业者在技术开发与实施方面的专业知识及资源,更精准地把握技术的最新发展动态和面临的实际挑战,从而在制定或调整匿名化标准时,更加贴近技术的实际需求和未来趋势。公私合作的试验立法设计允许在受控环境中对新法规进行前期测试,这不仅使立法者能够实时评估新规定的实际效果,还使得法规的调整和完善能够及时响应从业者的反馈和市场的变化,确保法律规定的科学性和前瞻性,增强立法的适应性和灵活性,有效促进技术标准和法律标准的协同进步,保障了个人隐私的安全,同时支持了技术创新与经济发展的双重目标。如上文所提及的UKAN,正是得益于ICO于2012年11月与曼彻斯特大学牵头的一个财团,以及南安普敦大学、英国国家统计局和国家开放数据研究所方才组建成功并服务英国匿名化产业。与之相似,加拿大也组建了加国匿名化网络(CANON)。正是通过此类公私合作,英国与加拿大立法者能够直接了解技术企业可以提供关于哪些技术措施有效、哪些可能引发实施难题的直接反馈,明确实际操作中的挑战和技术限制,从而帮助其制定更加实用和切实可行的法律标准,避免制定脱离实际应用的理论上的规定。
作为一种成熟的试验立法方案,沙盒机制的引入可以为匿名化治理提供创新且实用的立法规制效果。沙盒机制在受控环境中允许企业测试新兴技术的有效性和安全性,这种机制不仅能加速技术创新,还能显着降低在开放市场中直接测试可能带来的风险。沙盒机制的核心优势在于其为匿名化技术的开发和实施提供了一个安全的试验平台。在这个平台上,企业可以在监管机构的直接监督下进行技术测试,确保新开发的匿名化方法在投入实际使用前,其隐私保护措施能达到法律和伦理的要求。这种机制使得监管机构能够实时跟踪技术的最新发展,并根据技术进步及时更新或制定相应的监管政策。更重要的是,沙盒机制通过降低市场进入的初期成本和复杂性,特别是对于初创企业和小企业,可以促进匿名化技术解决方案的创新和多样性,丰富了市场上可用的匿名化技术选项,从而提高了整个行业的技术水平和服务质量,增强公众对新匿名化技术的信任。
结语
匿名化的法律和技术标准是平行发展的,其概念基础与实践认知也在动态变化。随着技术的发展和数据分析方法的进步,即使经过匿名处理的数据也可能被重新识别。确定何种匿名化程度足以防止重新识别,已成为技术和法律领域共同探讨的复杂问题。“我国目前的数据治理模式正在从单一强调数据安全转型至以数据安全促进数据流动,故而不能简单地将匿名化制度功能解释为保障个人信息安全,而是应当以匿名化处理所针对的数据关系为起点,将匿名化制度的功能定位为实现更大范围的数据商业化利用。”“法哲学家古斯塔夫·拉德布鲁赫(GustavRadbruch)将法律确定性(legalcertainty)视为与正义(justice)和合目的性(purposiveness)并列的法律三大基本支柱之一。如今,法律确定性被普遍认为是法治的核心要求。”匿名化的概括式立法是保证法律能在快速变化的数据环境中,妥善保护个人信息权益的有效方法,但在实际应用中往往带有天然的不确定性。故此,为了解决匿名化实践中的监管悖论和成本问题,应当重视概括式立法的具体化作业,通过立法规范的形式逻辑梳理,丰富匿名化的法律条文结构,通过更为灵活和细致的法律规制,激励匿名化处理者采取负责任的行为,同时调和科技与立法的内在张力,提供务实、协同和可扩展的规范供给,确保匿名化处理的经济可行性和匿名数据社会效益的最大化。
平台声明:该文观点仅代表作者本人,佐伊科技仅提供信息存储空间服务。发布者:rmltwz,转转请注明出处:https://www.rmltwz.com/shehui/28951.html
