中國信息通信研究院互聯(lián)網(wǎng)法律中心 北京 100096

數(shù)據(jù)匿名化在計(jì)算機(jī)科學(xué)領(lǐng)域是方興未艾的熱門話題。自1997年美國學(xué)者Samarati和Sweeney提出k-anonymity匿名模型后，目前已發(fā)展出許多成熟的技術(shù)解決方案[1]。相比于技術(shù)領(lǐng)域的長足進(jìn)步，法律領(lǐng)域?qū)τ谀涿年P(guān)注才剛剛開始(就國內(nèi)研究看，通過中國知網(wǎng)查詢“數(shù)據(jù)匿名”、“匿名化”，大量文獻(xiàn)集中在計(jì)算機(jī)科學(xué)、通信科學(xué)領(lǐng)域，法學(xué)領(lǐng)域文獻(xiàn)寥寥)。但隨著全球個(gè)人數(shù)據(jù)保護(hù)立法制度的不斷完善，關(guān)于數(shù)據(jù)匿名化的法律規(guī)范正逐步浮現(xiàn)。特別是在大數(shù)據(jù)浪潮的推動(dòng)下，數(shù)據(jù)挖掘、數(shù)據(jù)共享(交易)、數(shù)據(jù)開放對于匿名化的需求越來越高，有關(guān)法律規(guī)范問題亟待澄清。本文從法律視角出發(fā)，對數(shù)據(jù)匿名化的法律規(guī)范問題予以系統(tǒng)分析。

1 數(shù)據(jù)匿名化的概念

如果從法律視角理解匿名化，則需要從個(gè)人數(shù)據(jù)保護(hù)法中的個(gè)人數(shù)據(jù)概念入手。一個(gè)基本的法律前提是：個(gè)人數(shù)據(jù)保護(hù)法規(guī)范個(gè)人數(shù)據(jù)的收集和處理活動(dòng)，個(gè)人數(shù)據(jù)經(jīng)匿名化之后不再適用個(gè)人數(shù)據(jù)保護(hù)法。

1.1 個(gè)人數(shù)據(jù)的概念

個(gè)人數(shù)據(jù)是個(gè)人數(shù)據(jù)保護(hù)法中的核心概念，其界定的關(guān)鍵是可識別特定自然人的數(shù)據(jù)，包括直接識別與間接識別。直接識別是指單憑該數(shù)據(jù)本身就能夠指向特定個(gè)人，例如身份證號碼、電話號碼、家庭住址等；間接識別是指將該數(shù)據(jù)結(jié)合其他數(shù)據(jù)后也能夠關(guān)聯(lián)到特定個(gè)人。例如有關(guān)個(gè)人的一組常去地點(diǎn)數(shù)據(jù)，可以通過參考其他數(shù)據(jù)識別到特定個(gè)人。

相比于直接識別，間接識別標(biāo)準(zhǔn)為個(gè)人數(shù)據(jù)的界定預(yù)留了一定空間。特別是根據(jù)技術(shù)、應(yīng)用的發(fā)展，可以通過立法等方式不斷擴(kuò)展個(gè)人數(shù)據(jù)的類別。例如：剛剛通過的歐盟《數(shù)據(jù)保護(hù)一般條例》(General Data Protection Regulation，GDPR)第4條中將位置數(shù)據(jù)(Location Data)、在線活動(dòng)識別符號(Online Identif i er，如IP地址、MAC地址、COOKIE等)明確納入個(gè)人數(shù)據(jù)范圍[2]。美國隱私保護(hù)最主要的執(zhí)法機(jī)構(gòu)美國聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission，F(xiàn)TC)在2012年發(fā)布的隱私保護(hù)指南，《在一個(gè)充滿快速變化的時(shí)代，保護(hù)消費(fèi)者隱私——關(guān)于隱私權(quán)的建議》中提出，F(xiàn)TC倡導(dǎo)的隱私保護(hù)框架應(yīng)當(dāng)適用于：能夠合理地與特定的消費(fèi)者、電腦以及其他設(shè)備相聯(lián)系的消費(fèi)者數(shù)據(jù)的收集和使用行為。個(gè)人數(shù)據(jù)突破了傳統(tǒng)定義中的與具體的自然人相關(guān)聯(lián)，而是擴(kuò)展到了用戶所使用設(shè)備標(biāo)識等[3]。這一擴(kuò)展趨勢在《美國兒童在線隱私保護(hù)法》執(zhí)行規(guī)則中已經(jīng)有所體現(xiàn)。規(guī)則中明確個(gè)人信息包括：能夠被用來跟蹤和識別個(gè)人在線活動(dòng)的符號，例如IP地址、MAC地址等[4]。

因此而看，為應(yīng)對大數(shù)據(jù)等信息技術(shù)的發(fā)展，各國通過立法適當(dāng)擴(kuò)展個(gè)人數(shù)據(jù)的范圍，讓在線跟蹤、精準(zhǔn)行為營銷等新型數(shù)據(jù)處理活動(dòng)也能夠落入法律適用范圍，以此對網(wǎng)絡(luò)環(huán)境下的個(gè)人隱私保護(hù)提供新的補(bǔ)充。而在相反的方向上，匿名化則成為兼顧隱私保護(hù)和數(shù)據(jù)利用的另一條有效路徑。

1.2 匿名化的提出

盡管人們在上世紀(jì)90年代就提出了匿名化思想，但大數(shù)據(jù)時(shí)代的到來真正讓匿名化迅速成為熱點(diǎn)技術(shù)。大數(shù)據(jù)中的大部分?jǐn)?shù)據(jù)來源于人和傳感器，包括用戶上網(wǎng)瀏覽記錄、社交網(wǎng)絡(luò)上用戶的信息、傳感器數(shù)據(jù)和監(jiān)視數(shù)據(jù)等。從浩瀚的數(shù)據(jù)寶藏中獲得有價(jià)值的信息是各大企業(yè)收集數(shù)據(jù)的主要目的。數(shù)據(jù)成為企業(yè)最有價(jià)值的財(cái)產(chǎn)和新型商業(yè)模式的基石[5]。

與此同時(shí)，政府?dāng)?shù)據(jù)在促進(jìn)創(chuàng)新方面所擁有的巨大經(jīng)濟(jì)、社會(huì)價(jià)值潛能也逐漸被各國所認(rèn)知，自2009年起，在美國的引領(lǐng)下掀起了全球開放政府?dāng)?shù)據(jù)運(yùn)動(dòng)浪潮，推動(dòng)以機(jī)器可讀、可重復(fù)利用方式全面向社會(huì)公眾開放。

然而無論是企業(yè)還是政府所掌握的數(shù)據(jù)中，都大量涉及個(gè)人數(shù)據(jù)，因此無可避免地遭遇隱私保護(hù)問題。個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)蘊(yùn)藏的巨大價(jià)值之間的矛盾日益突出。匿名化作為二者的折衷，提供了一條技術(shù)解決路徑。通過匿名化方法消除用戶的身份信息、敏感信息以達(dá)到隱私保護(hù)的目的，同時(shí)還能夠最大化地發(fā)揮數(shù)據(jù)價(jià)值。

匿名化技術(shù)發(fā)展的初衷主要是為了在數(shù)據(jù)利用的過程中降低個(gè)人隱私風(fēng)險(xiǎn)，因此它包含了不同的匿名化方法，例如泛化、壓縮、分解、置換以及干擾等等，這些方法相應(yīng)地負(fù)載不同程度的風(fēng)險(xiǎn)，有的相對容易被攻擊復(fù)原，有的難度較高，甚至幾乎不可能被復(fù)原。而從近年來各國個(gè)人數(shù)據(jù)保護(hù)法對于匿名化的理解看，法律語義下的匿名化相較于技術(shù)語義下的匿名化較為狹窄。根據(jù)個(gè)人數(shù)據(jù)保護(hù)法對個(gè)人數(shù)據(jù)界定的反向推導(dǎo)，法律語義下的匿名化數(shù)據(jù)至少要滿足兩個(gè)標(biāo)準(zhǔn)：1)僅從該數(shù)據(jù)本身無法指向特定的個(gè)人；2)即使結(jié)合其他數(shù)據(jù)也無法指向特定個(gè)人。

正如歐盟數(shù)據(jù)保護(hù)條例(GDPR)在引言部分對于匿名化的界定：“匿名化是指將個(gè)人數(shù)據(jù)移除可識別個(gè)人信息的部分，并且通過這一方法，數(shù)據(jù)主體不會(huì)再被識別。匿名化數(shù)據(jù)不屬于個(gè)人數(shù)據(jù)，因此無須適用條例的相關(guān)要求，機(jī)構(gòu)可以自由地處理匿名化數(shù)據(jù)?！币舱且?yàn)槟涿瘮?shù)據(jù)豁免了嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)規(guī)范，法律語義下的匿名化有著更高的標(biāo)準(zhǔn)——不可能被識別，或者被識別的可能性極低(為行文方便，下文中對于匿名化不可能被識別的定義包含了識別可能性極低的情況)。而在個(gè)人數(shù)據(jù)保護(hù)法下，與匿名數(shù)據(jù)相對應(yīng)的另一個(gè)概念——假名數(shù)據(jù)，可被識別身份的風(fēng)險(xiǎn)相對較高。

1.3 與假名數(shù)據(jù)的區(qū)別

假名化(Pseudonymisation)是指對個(gè)人數(shù)據(jù)處理后，在沒有特定信息參考(該特定信息被安全地單獨(dú)保存)的情況下，不能指向特定個(gè)人。假名化數(shù)據(jù)與匿名化數(shù)據(jù)最大的不同是，前者仍然屬于個(gè)人數(shù)據(jù)，仍要適用個(gè)人數(shù)據(jù)保護(hù)法。

換言之，假名數(shù)據(jù)仍建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，只是用了其他符號來標(biāo)注數(shù)據(jù)，而非用真實(shí)的身份。假名數(shù)據(jù)結(jié)合了特定信息會(huì)恢復(fù)身份屬性。例如：“張曉明，65歲，糖尿病患者”是真實(shí)的個(gè)人數(shù)據(jù)，在此基礎(chǔ)上生成假名數(shù)據(jù)：“00108，65歲，糖尿病患者”。

因此法律要求，若要維持?jǐn)?shù)據(jù)的假名狀態(tài)，則機(jī)構(gòu)必須單獨(dú)安全地存儲能夠使得假名數(shù)據(jù)恢復(fù)身份數(shù)據(jù)的特定信息。例如，針對上面的例子，機(jī)構(gòu)必須安全的存儲“00108與張曉明”的對應(yīng)關(guān)系信息。而匿名化數(shù)據(jù)在結(jié)合其他數(shù)據(jù)的任何情況下也不可能被識別。

相比于匿名化數(shù)據(jù)，假名數(shù)據(jù)的隱私風(fēng)險(xiǎn)會(huì)更高一些。但相比于真實(shí)的個(gè)人數(shù)據(jù)，假名數(shù)據(jù)有利于降低隱私風(fēng)險(xiǎn)，是幫助機(jī)構(gòu)更好地履行數(shù)據(jù)保護(hù)義務(wù)的有效手段，因此在數(shù)據(jù)保護(hù)嚴(yán)格的歐盟，也鼓勵(lì)機(jī)構(gòu)對個(gè)人數(shù)據(jù)的假名處理。并且假名數(shù)據(jù)本身在科研領(lǐng)域有著重要價(jià)值，一方面假名數(shù)據(jù)最大程度地保留了信息價(jià)值，另一方面，科研領(lǐng)域數(shù)據(jù)公開的范圍較小，僅限于科研人員使用，且有著較為完善的安全保障措施，隱私風(fēng)險(xiǎn)相對較低。

1.4 小結(jié)

個(gè)人數(shù)據(jù)不同的處理方法伴隨不同的隱私風(fēng)險(xiǎn)，如果將數(shù)據(jù)看做是一段光譜，在光譜左端是真實(shí)的個(gè)人數(shù)據(jù)，其隱私風(fēng)險(xiǎn)最高，居中是假名數(shù)據(jù)，它保留了個(gè)體顆粒度，但隱私風(fēng)險(xiǎn)降低，右端是匿名數(shù)據(jù)(特別是匿名化后的聚合數(shù)據(jù))，隱私風(fēng)險(xiǎn)努力接近于零。

2 匿名化的法律標(biāo)準(zhǔn)

如果缺乏其他的數(shù)據(jù)源，很多數(shù)據(jù)將保持匿名的狀態(tài)。然而在大數(shù)據(jù)推動(dòng)之下，有越來越多的數(shù)據(jù)集產(chǎn)生并公布，機(jī)構(gòu)甚至是普通的個(gè)人都可以獲取大量的數(shù)據(jù)資源。同時(shí)，軟件算法和分析學(xué)的發(fā)展使得數(shù)據(jù)更易被關(guān)聯(lián)和聚合，大大增強(qiáng)了人們將非個(gè)人數(shù)據(jù)轉(zhuǎn)化為個(gè)人數(shù)據(jù)的能力。個(gè)人數(shù)據(jù)匿名化后遭遇有目的攻擊的情況也更為普遍。

2006年10月， DVD租賃商奈飛公司開展“Netflix Prize”算法競賽。該公司公布了大約來自50萬用戶的一億條租賃記錄，并且公開懸賞一百萬美金，獎(jiǎng)勵(lì)工程師通過軟件設(shè)計(jì)來提高其電影推薦系統(tǒng)的精準(zhǔn)度。雖然奈飛公司對數(shù)據(jù)進(jìn)行了精心的匿名化處理，然而其中部分?jǐn)?shù)據(jù)仍然被認(rèn)出，包括一名化名“無名氏”的同性戀，她因此起訴了奈飛公司[6]。在國內(nèi)，某知名移動(dòng)應(yīng)用由于不注意保護(hù)用戶位置大數(shù)據(jù)，攻擊者可根據(jù)三角測量方法推斷出用戶的家庭住址等敏感位置[7]。

盡管數(shù)據(jù)匿名化的難度越來越高，但需重申的是：匿名化仍然是重要的數(shù)據(jù)安全保障措施，在大數(shù)據(jù)環(huán)境下，更應(yīng)得到廣泛的應(yīng)用。匿名化是可能的，也是可行的。數(shù)據(jù)匿名化使得豐富的數(shù)據(jù)資源得以利用，同時(shí)也能最大程度保護(hù)個(gè)人隱私和數(shù)據(jù)。并且各國個(gè)人數(shù)據(jù)保護(hù)法對匿名化數(shù)據(jù)予以了法律適用上的豁免。那么，在法律上認(rèn)可匿名數(shù)據(jù)需要考慮的因素是什么？如何確定匿名化的法律標(biāo)準(zhǔn)？

2.1 部分國家立法或監(jiān)管機(jī)構(gòu)對于匿名化的標(biāo)準(zhǔn)

1)美國。對于匿名化數(shù)據(jù)，法律中還沒有明確細(xì)致的標(biāo)準(zhǔn)。但美國《健康保險(xiǎn)可轉(zhuǎn)移及責(zé)任法案》(HIPAA)對另一個(gè)相似的概念——去身份化(deidenti fi cation)作出了界定：“通過處理使得數(shù)據(jù)不能識別特定個(gè)人，或者沒有合理的基礎(chǔ)能夠認(rèn)為該數(shù)據(jù)可以被用來識別特定個(gè)人。”

2)日本。日本2015年通過《個(gè)人信息保護(hù)法》修正案，對于大數(shù)據(jù)交易做出修正規(guī)定。新法案允許企業(yè)向第三方出售充分匿名化的數(shù)據(jù)，但同時(shí)提出了相關(guān)義務(wù)要求：匿名后的數(shù)據(jù)不能夠與其他信息進(jìn)行比對、參照，以實(shí)現(xiàn)身份識別的功能，且不能復(fù)原。

3)新加坡。新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)2013年頒布的《個(gè)人數(shù)據(jù)保護(hù)法指定主題咨詢指南》對個(gè)人數(shù)據(jù)的界定以及匿名化也作出了進(jìn)一步規(guī)定。匿名化是指將個(gè)人數(shù)據(jù)轉(zhuǎn)化成一種數(shù)據(jù)，這種數(shù)據(jù)無論是其本身，還是通過機(jī)構(gòu)已經(jīng)獲得的或者可能獲得的其他數(shù)據(jù)一起分析后都不能識別到個(gè)人。數(shù)據(jù)匿名化之后就不適用于個(gè)人數(shù)據(jù)保護(hù)法中的相關(guān)規(guī)定[8]。

4)英國。信息專員辦公室ICO指出：匿名化并非是完全無風(fēng)險(xiǎn)的，而只是將風(fēng)險(xiǎn)降低到最小化。如果數(shù)據(jù)可被識別的風(fēng)險(xiǎn)是合理存在的，應(yīng)當(dāng)被視為個(gè)人數(shù)據(jù)[9]。

2.2 對匿名化標(biāo)準(zhǔn)的具體分析

從各國數(shù)據(jù)保護(hù)立法和監(jiān)管實(shí)踐看，匿名化數(shù)據(jù)的法律標(biāo)準(zhǔn)有以下幾個(gè)共同要素。

1)對于數(shù)據(jù)控制者(data controller，是個(gè)人數(shù)據(jù)保護(hù)法中的主體概念，指單獨(dú)或聯(lián)合其他方?jīng)Q定了數(shù)據(jù)處理目的和方法的主體，如公司 、公共機(jī)構(gòu)等)來說，匿名化的數(shù)據(jù)不能夠再被識別特定個(gè)人。如果對數(shù)據(jù)進(jìn)行匿名化處理的機(jī)構(gòu)仍然掌握著恢復(fù)該數(shù)據(jù)身份屬性的關(guān)鍵信息、算法，則對于該機(jī)構(gòu)來說，這些數(shù)據(jù)仍然屬于個(gè)人數(shù)據(jù)，仍需要適用個(gè)人數(shù)據(jù)保護(hù)法。因?yàn)閷τ谠摍C(jī)構(gòu)而言，其隨時(shí)可以恢復(fù)該數(shù)據(jù)的身份屬性，不屬于不能識別的情形。

2)如果數(shù)據(jù)匿名化之后被公布，則除了數(shù)據(jù)控制者之外，還要考慮能夠獲得該數(shù)據(jù)的第三方，其所能夠獲得的數(shù)據(jù)資源、數(shù)據(jù)能力，以及在此基礎(chǔ)上對匿名化數(shù)據(jù)重新恢復(fù)身份的可能性。歐盟個(gè)人數(shù)據(jù)保護(hù)的指導(dǎo)機(jī)構(gòu)——第29工作組，關(guān)于個(gè)人數(shù)據(jù)概念的法律意見表明(EU Article 29 working party Opinion (4/2007) on the concept of personal data)，匿名化數(shù)據(jù)不能識別出特定個(gè)人是指：不論是對于掌握該數(shù)據(jù)的數(shù)據(jù)控制者，還是其他獲得該數(shù)據(jù)的任何主體，采取一般可能的措施、手段也無法將該數(shù)據(jù)關(guān)聯(lián)到特定個(gè)人。

3)依照第2)點(diǎn)標(biāo)準(zhǔn)帶來的一個(gè)現(xiàn)實(shí)問題是：對于向社會(huì)公開的匿名化數(shù)據(jù)，接收匿名化數(shù)據(jù)的第三方的數(shù)據(jù)能力是千差萬別的，其所能獲取的數(shù)據(jù)資源也各有不同。因此對于泛泛主體而言，數(shù)據(jù)是否匿名的評判結(jié)果是因人而異的。

針對這一問題，在技術(shù)領(lǐng)域提出的“有動(dòng)機(jī)的攻擊者測試”(a motivated intruder test)也逐步為監(jiān)管實(shí)踐所認(rèn)可。例如英國數(shù)據(jù)保護(hù)機(jī)構(gòu)ICO推薦在判斷匿名化問題時(shí)應(yīng)用該測試[10]。該測試假設(shè)包括以下幾個(gè)方面。第一，有目的明確的入侵者，他沒有預(yù)先掌握相關(guān)的其他資源，只是希望從公開的匿名數(shù)據(jù)集中重新識別數(shù)據(jù)。匿名數(shù)據(jù)被重新識別，并不僅僅指該數(shù)據(jù)所指向的個(gè)人的名字被知道，只要能夠建立該數(shù)據(jù)與特定個(gè)人的可靠聯(lián)系就可以被認(rèn)為是“被識別”。第二，該入侵者具備一般人的合理能力，能夠獲得相關(guān)資源(例如包括互聯(lián)網(wǎng)、圖書館、公開文件等)，但通常不能將該入侵者假設(shè)成為具備特殊技能知識的專家(如黑客)，或者是極端情況下的犯罪分子(如入室非法獲取數(shù)據(jù))。因此，該測試的可應(yīng)用性在于它比普通大眾的標(biāo)準(zhǔn)要高，同時(shí)又比專業(yè)人士的標(biāo)準(zhǔn)要低，在一個(gè)合理可能的范圍內(nèi)。

應(yīng)用該測試，考慮數(shù)據(jù)是否匿名的主要因素包括以下3點(diǎn)。

1)動(dòng)機(jī)。即嘗試重新識別的可能性。在實(shí)踐中，一些特定類型的數(shù)據(jù)對于有動(dòng)機(jī)的入侵者來說更有吸引力，對個(gè)人帶來負(fù)面結(jié)果的可能性也就越大。例如能夠通過去匿名化獲得經(jīng)濟(jì)利益或其他不法利益，或者去匿名化后能夠引起刺探他人隱私、引起他人尷尬的數(shù)據(jù)。

2)可獲取的其他數(shù)據(jù)資源。包括通過政府?dāng)?shù)據(jù)開放能夠?yàn)樯鐣?huì)大眾所獲取的數(shù)據(jù)，也包括通過共享、交易方式獲得的其他數(shù)據(jù)。

3)技術(shù)能力。對技術(shù)能力的考慮應(yīng)當(dāng)結(jié)合當(dāng)下技術(shù)的最新發(fā)展。特別是在數(shù)據(jù)分析、挖掘技術(shù)快速發(fā)展的今天，當(dāng)前的匿名化并不代表永久的匿名化。

總之，盡管立法和監(jiān)管實(shí)踐竭盡努力地為數(shù)據(jù)匿名化提供盡量客觀的判斷標(biāo)準(zhǔn)，但實(shí)際上，對數(shù)據(jù)重新識別身份的風(fēng)險(xiǎn)給出絕對結(jié)論依然是不嚴(yán)謹(jǐn)?shù)摹＞唧w案例具體分析仍然是判斷匿名化問題的第一法則。當(dāng)然，以上所列出的具體標(biāo)準(zhǔn)分析可以作為實(shí)踐的重要參考。

3 數(shù)據(jù)匿名化的法律規(guī)范

匿名化數(shù)據(jù)不受個(gè)人數(shù)據(jù)保護(hù)法保護(hù)是本文一再重申的觀點(diǎn)。這一觀點(diǎn)主要表達(dá)的是：數(shù)據(jù)經(jīng)充分匿名化后，數(shù)據(jù)控制者對于該數(shù)據(jù)的使用處理不再受個(gè)人數(shù)據(jù)保護(hù)法的規(guī)范，例如包括知情同意原則、目的限制原則、最小化原則等都不再發(fā)揮約束作用。并且由于這些數(shù)據(jù)切斷了與特定個(gè)人的聯(lián)系，數(shù)據(jù)控制者也無需為個(gè)人數(shù)據(jù)權(quán)利(如知情權(quán)、訪問權(quán)、拒絕權(quán)、刪除權(quán))的實(shí)現(xiàn)提供支撐。

然而，享受個(gè)人數(shù)據(jù)保護(hù)法的豁免待遇，則需要為此承擔(dān)其他的法律義務(wù)，這些義務(wù)一方面來源于個(gè)人數(shù)據(jù)保護(hù)法對于匿名化數(shù)據(jù)認(rèn)定的高標(biāo)準(zhǔn)(即通過施加此類義務(wù)，實(shí)現(xiàn)真正的數(shù)據(jù)匿名化)，另一方面來自于信息安全其他方面的法定要求。我們可以將這些規(guī)范分為事前、事中、事后三個(gè)階段。

3.1 事前階段

1)關(guān)于同意。開展數(shù)據(jù)匿名化，數(shù)據(jù)控制者面臨的第一問題——這是否需要經(jīng)得用戶的同意。一般情況下，匿名化處理個(gè)人數(shù)據(jù)并不需要征得用戶同意。單純的匿名化，是有助于數(shù)據(jù)安全的有效手段。在這個(gè)階段，征求用戶同意將會(huì)十分繁瑣，甚至不可行。但是這并不意味著對匿名化沒有透明度方面的要求。相反，如果機(jī)構(gòu)能夠通過隱私政策在事前告知用戶數(shù)據(jù)可能的匿名化利用，則可以作為最佳市場實(shí)踐推薦。例如：無論是手機(jī)制造商還是應(yīng)用開發(fā)商在使用用戶位置信息時(shí)，應(yīng)當(dāng)向用戶明確告知其個(gè)人位置信息是如何被使用的，是以個(gè)人數(shù)據(jù)模式使用，還是以匿名化的方式被使用。

值得注意的是，如果機(jī)構(gòu)收集非個(gè)人數(shù)據(jù)，但之后利用某種手段或者技術(shù)方式，再次恢復(fù)數(shù)據(jù)的可識別性(re-identification)，而這種收集與識別活動(dòng)并沒有得到用戶知情或者同意，則涉嫌違反個(gè)人數(shù)據(jù)保護(hù)法。

2)隱私風(fēng)險(xiǎn)評估。在數(shù)據(jù)匿名化的初始階段，開展隱私風(fēng)險(xiǎn)評估非常重要。特別是如果數(shù)據(jù)匿名化的目的是將數(shù)據(jù)開放給公眾，或者與其他主體進(jìn)行共享、交易，則可能會(huì)產(chǎn)生重新被識別風(fēng)險(xiǎn)。若一旦被識別，即使后續(xù)采取補(bǔ)救措施，其影響也是不可逆的。因此要充分結(jié)合匿名化標(biāo)準(zhǔn)的三個(gè)要素進(jìn)行充分的評估，包括有動(dòng)機(jī)的攻擊者，其能掌握獲得的其他數(shù)據(jù)資源，以及可以被利用的去匿名化技術(shù)等。根據(jù)隱私風(fēng)險(xiǎn)評估的結(jié)果，機(jī)構(gòu)可以選擇不同的加密方式和利用方式，以便有針對性地消減隱私暴露風(fēng)險(xiǎn)。

1)根據(jù)隱私風(fēng)險(xiǎn)評估，對匿名化策略做出調(diào)整。例如：選擇更為復(fù)雜的匿名化方法，縮減信息披露的規(guī)模，限制披露的對象，附加合同約束條件等等。一般情況下，匿名數(shù)據(jù)越具體、越接近個(gè)體顆粒度狀態(tài)，則在披露時(shí)越需要限定在一定范圍，限定一定條件。越聚合化的信息，則更傾向于完全公開的方式，比如犯罪熱點(diǎn)地圖。

數(shù)據(jù)控制者必須意識到，限定在一定范圍、程度內(nèi)的匿名化披露，需要有強(qiáng)有力的安全保障措施，包括但不限于以下幾點(diǎn)。

①目的限制， 數(shù)據(jù)僅僅能夠服務(wù)于雙方約定的目的；

②對匿名數(shù)據(jù)接受者的員工進(jìn)行安全培訓(xùn)，特別是數(shù)據(jù)訪問方面要符合安全原則和最小化原則；

③對將其他數(shù)據(jù)帶進(jìn)使用場景的能力進(jìn)行控制，從而對應(yīng)用關(guān)聯(lián)數(shù)據(jù)方法實(shí)現(xiàn)身份識別的風(fēng)險(xiǎn)進(jìn)行管理；

④限定數(shù)據(jù)僅能在特定的項(xiàng)目中使用；

⑤限制對匿名數(shù)據(jù)的再披露；

⑥禁止嘗試對數(shù)據(jù)進(jìn)行重新再識別，并且對于隨機(jī)情況下再識別的數(shù)據(jù)做出破壞處理；

⑦加密以及秘鑰管理以限制對數(shù)據(jù)的訪問；

⑧在項(xiàng)目完成之后對數(shù)據(jù)的返還、銷毀做出協(xié)議安排；

⑨責(zé)任追究機(jī)制，即數(shù)據(jù)接收方一旦違反合同協(xié)定需要承擔(dān)違約責(zé)任。

2)持續(xù)的隱私風(fēng)險(xiǎn)評估。隱私風(fēng)險(xiǎn)評估不僅在事前階段需要，它還將貫穿匿名化數(shù)據(jù)利用整個(gè)過程。重新識別的風(fēng)險(xiǎn)會(huì)隨著時(shí)間的推進(jìn)而變化。一方面數(shù)據(jù)分析技術(shù)在飛速發(fā)展，過去公布的匿名化數(shù)據(jù)未必在新的技術(shù)、新的模型面前仍然保持匿名；另一方面，政府?dāng)?shù)據(jù)開放，以及私營主體之間的數(shù)據(jù)交易、共享使得新的數(shù)據(jù)集在源源不斷的被釋放，這些都需要機(jī)構(gòu)應(yīng)當(dāng)定期評估數(shù)據(jù)匿名化策略，特別是對于定期例行公布匿名數(shù)據(jù)

3.2 事中階段

的機(jī)構(gòu)來說(因?yàn)槭艿秸畔⒐_或者數(shù)據(jù)開放的要求，這在政府或公共機(jī)構(gòu)更為常見)，應(yīng)定期開展隱私風(fēng)險(xiǎn)評估，明確當(dāng)前及可預(yù)見未來的威脅，并及時(shí)對數(shù)據(jù)匿名策略作出調(diào)整。

3.3 事后階段

數(shù)據(jù)匿名化事后階段的核心任務(wù)是始終保持?jǐn)?shù)據(jù)的匿名狀態(tài)。數(shù)據(jù)利用限定在非身份化的模式之下，在后續(xù)的利用中也不再進(jìn)行身份識別，企業(yè)可通過合同機(jī)制、IT審計(jì)等方式予以監(jiān)督。在后續(xù)利用階段，企業(yè)若將匿名數(shù)據(jù)恢復(fù)身份屬性，則數(shù)據(jù)處理活動(dòng)再次落入到個(gè)人數(shù)據(jù)保護(hù)法調(diào)整范圍內(nèi)。此外，一旦在攻擊事件中被去匿名化，機(jī)構(gòu)應(yīng)當(dāng)啟動(dòng)應(yīng)急預(yù)案，包括通知受到影響的個(gè)人，并幫助其采取必要的補(bǔ)救措施。

4 結(jié)語

數(shù)據(jù)匿名化不能僅僅被看作是脫離于數(shù)據(jù)保護(hù)法之外，避免管制負(fù)擔(dān)的一種手段。應(yīng)用它的初衷是降低個(gè)人數(shù)據(jù)泄露的隱私風(fēng)險(xiǎn)。采取匿名化措施的企業(yè)能夠向用戶提供更多的安全保障，讓用戶知曉其被收集的信息在用于大數(shù)據(jù)分析時(shí)，并沒有使用可識別身份的數(shù)據(jù)，因此增強(qiáng)用戶對大數(shù)據(jù)應(yīng)用的信任和安全感。為保證匿名化更多地發(fā)揮安全屏障作用，而不是作為數(shù)據(jù)濫用的擋箭牌，匿名化利用應(yīng)當(dāng)在合法合規(guī)的前提下開展。

2016年7月5日，《中華人民共和國網(wǎng)絡(luò)安全法(草案二次審議稿)》正式向社會(huì)公布。與一審稿相比，草案增加了類似匿名化的規(guī)定。例如“第四十一條：網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的公民個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供公民個(gè)人信息。但是，經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外”。這里的特殊規(guī)定，可以理解為對于個(gè)人數(shù)據(jù)匿名化利用，特別是匿名化后對外提供(交易)的情形提供了合法性。在此基礎(chǔ)上，建議我國應(yīng)當(dāng)加快建立數(shù)據(jù)匿名化利用的法律規(guī)范體系，包括：明確匿名化數(shù)據(jù)的法律概念和認(rèn)定標(biāo)準(zhǔn)，強(qiáng)調(diào)數(shù)據(jù)不再具有身份可識別性；引入隱私風(fēng)險(xiǎn)評估機(jī)制，鼓勵(lì)企業(yè)基于個(gè)案在內(nèi)部實(shí)施數(shù)據(jù)匿名化的風(fēng)險(xiǎn)評估，并基于評估結(jié)果，適時(shí)調(diào)整匿名化策略；利用合同規(guī)范、技術(shù)保障等多重工具實(shí)現(xiàn)數(shù)據(jù)的真正匿名化；建立數(shù)據(jù)匿名化的事前、事中、事后規(guī)范體系。

參考文獻(xiàn)

[1]丁旋.社交網(wǎng)絡(luò)分析中的隱私保護(hù)問題:去匿名化與無縫隱私[D].清華大學(xué),2014

[2]REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)[R].THE EUROPEAN, 4.5.2016 L 119/1 Off i cial Journal of the European Union

[3]FTC REPORT: Protecting consumer privacy in an era of rapid change, recommendations for businesses and policymakers[R/OL].[2016-08-02].https://www.ftc.gov/reports/protecting-consumer-privacy-era-rapid-changerecommendations-businesses-policymakers

[4]Complying with COPPA: Frequently Asked Questions[EB/OL].[2016-08-02]. https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppafrequently-asked-questions

[5]劉雅輝,張鐵贏,靳小龍,等.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展,2015, 52(1):229-247

[6] 維克托·邁爾-舍恩伯格,肯尼斯·庫克耶.大數(shù)據(jù)時(shí)代:生活、工作與思維的大變革[J].盛楊燕,周濤,譯.杭州:浙江人民出版社, 2013

[7]王璐,孟小峰.位置大數(shù)據(jù)隱私保護(hù)研究綜述[J].軟件學(xué)報(bào),2014,25(4):693-712

[8]Singapore Personal Data Protection Commision:Advisory Guidelines on the Personal Data Protection Act for Selected Toptics Issued by the Personal Data Protection Commision[R]. Issued 24 september 2013,revised 16 May 2014, revised 11 September 2014

[9]UK. Information Commissioner's Office. Big data and data protection[R]. 2014

[10]UK. Information Commissioner's Off i ce. Anonymisation: managing data protection risk code of practice[R].2012