数字经济时代,随着物联网、区块链、云计算等技术的普遍应用,数据的作用越发凸显,成为社会生活中举足轻重的要素。绝大多数据是在用户使用过程中产生,用户的行踪、偏好、搜索记录和授权给app的各种信息,在被采集与分析的过程中,便产生了个人信息和隐私被泄露的风险。
数据匿名化,通过切断信息与主体身份连结的方式,为维持创新发展与信息保护的平衡发挥了重要作用,减少利用个人信息过程中的隐私风险的同时保持数据流通和共享的效率。由此,匿名化法律标准至关重要,只有契合现实的明确标准才能保证匿名化制度的有效实施。本文从匿名化制度的必要性着手,对目前匿名化法律进行检视,结合域外匿名化制度的分析,探索我国匿名化标准的优化方向。
▌一、信息泄露的普遍性
根据Verizon的《2023年数据泄露调查报告》,个人数据是以下行业中最常见的数据泄露类型:
·金融和保险,个人数据泄露占比74%
·医疗保健,67%
·制造业,60%
·专业的科学和技术服务行业,57%
·教育服务,56%
·信息行业,51%
·采矿、采石、石油和天然气开采和公用事业政府,50%
·公共管理机构,38%
个人数据泄露不仅可能泄露商业秘密,还可能导致客户的不信任,甚至违反法律法规导致法律责任。
在著名的去匿名化案例 “AOL 搜索” 事件中,美国 AOL搜索引擎公司用唯一识别码替换用户名、IP 地址信息等,将两千万余条涉及六十五万人的网络检索记录向社会公开,公布的信息中并不含个人信息。尽管已对上述检索记录信息进行了一定匿名化处理,但很多个性化、可标识信息的存在仍然使得推测出用户具体身份十分容易,纽约时报的两名调查员在几天之内通过对“60 岁的单身男性”“有益健康的茶叶”“利尔本的园丁”搜索记录的综合分析后,发现数据库中4417749号用户代表的是来自佐治亚州的Thelma Arnold。检索记录被轻易去匿名化的结果使得 AOL 公司饱受诟病。
在司法实践当中,作为法律条文中的但书部分,匿名化处理后的信息被排除在个人信息的范畴之外。对于经过匿名化处理后的信息流通,企业无需承担额外义务。然而,由于匿名化标准的模糊性与概括性,司法实践中特定信息经处理后能否被认定为个人信息,不同法院裁判并不统一。
▌二、现行法律的不足
(一)不够细化
个人信息匿名化在诸多法律法规中都有所提及。我国《民法典》第1038条、《个人信息保护法》第73条以及《网络安全法》第42条对“匿名化”进行了相关规定,匿名化即“个人信息经过处理无法识别特定自然人且不能复原的过程”,但无法识别和不能复原的具体标准却并不清晰。
去标识化与匿名化概念紧密相连,许多去标识化技术也可以运用在匿名化当中。《个人信息去标识化指南》将个人信息标识划分为直接标识符(Direct Identifier)和间接标识符。其中直接标识符为姓名、身份证号码、物理地址、电话号码和社保号码等特定环境下可唯一识别个人的识别号码;准标识符(Indirect Identifier),也称为“间接标识符”,包括性别、年龄、生日、籍贯、邮件编码等,在相应环境下无法单独识别某人,但稍作组合就可以直接定位单个人。
要想达到“无法识别特定个人”的目标,数据处理者可以对标识符进行匿名化操作。但仅仅是去标识化难以达到“不可复原”的程度,去标识化指南确立了重新识别风险的衡量标准,初步对系统性个人信息去标识化过程进行了构建,可以作为匿名化标准的参考,但远远是不够的。
这些文件为匿名化的实践实施提供支持,但效力位阶高的法律过于笼统、并不明晰;稍有操作性的标准文件则效力位阶低、缺乏法律强制力;目前匿名化相关规范不成体系、不够完善,导致匿名化标准在实践中仍不统一,难以指导数据控制者有效遵循。
(二)过于关注结果
现行标准是绝对的匿名化标准(无法识别、不可复原、不属于个人信息),偏向对网络运营者和信息处理者的责任除外条款,未景收集主体的同意而对匿名化信息进行处理和应用也无需承担法律责任
仅关注结果上的匿名化,一经匿名化便不作为信息进行保护,实则忽略了数据重新识别的风险,暗含匿名化可以一劳永逸,对个人信息进行绝对保护的意思。实际上数据的增多带来的可关联数据的扩充,技术的发展均导致此前匿名化处理过的信息被重新关联和识别风险的增加,变得不够安全,无法满足实质上对于匿名化“不可识别、无法复原”的要求。
此外,目前法律仅要求匿名化处理达标(无法识别、不可复原),偏向于信息处理者和数据使用者的责任除外条款。实践中,用户无法监控app的数据收集情况,且数据是海量的,用户对自己信息作出理性决定的能力有限,对数据的控制很快变成一种负担,导致通知——决策机制无效。倘若app未经用户切实同意而对信息进行收集并匿名化处理和应用,用户不能诉诸个人信息保护,又该如何维权呢?
▌三、域外制度
(一)欧盟
欧盟GDPR(《通用数据保护条例》)在序言部分规定了匿名信息的合理可能性标准:其一,判断再识别可能时应当考虑数据控制者及其他任何人;其二,应当考虑到所有直接或间接途径、所有合理可能的手段,判断手段是否合理时应考虑所有客观因素,例如识别实践、识别成本、数据处理时的可用技术及技术迭代。
(二)美国
美国的HIPAA(《健康保险流通与责任法案》)主要提供数据保密和安全条款以保护患者信息,其中提出了专家确定和安全港两个实践层面的实体标准,“专家确定标准”从主体角度限制识别主体为具有相关背景知识的专家,由专家评估确定信息复原的风险,安全港标准则要求将明确列举的18项标识符全部删除即可,相较欧盟标准更为宽松。
(三)英国
英国在DPA(《数据保护法案》)及相关文件提出了去匿名化的反向识别标准,不仅规定了哪些再识别匿名信息的行为构成侵权,哪些行为则因法定正当理由可以进行抗辩,还提出了一项 “有动机入侵者测试”标准,来进行匿名化处理后的数据再识别风险评估和判断匿名化的有效性。标准包括识别动机和识别手段两个方面,假设第三方处理者在具有故意识别的主观目的下,具备获取公共信息资源却不具有特殊专业识别知识、设备或技能,且不进行信息窃取等犯罪行为,从而判断高于社会普通公众而又低于特殊专家的人是否能够实施再识别行为。
(四)对域外匿名化标准的分析
因不同情境对匿名化要求不同,世界范围内,单一评判标准逐渐被摒弃,动态匿名化有效性审查逐步建立。欧盟的所有合理可能性标准考虑全面,对个人信息保护程度较高,但于我国相对苛刻,可能导致执法资源缺乏的困扰,数据流通效率也可能较低。至于美国HIPAA所提出的标准,仅删除直接标识符仍具有重识别风险,AOL公司搜索信息的案例殷鉴不远。专家标准或许也较为苛刻了,可能降低数据处理者的积极性。
英国的动机入侵者测试标准相对来说可操作性较强,值得借鉴。但也要认清其与我国国情不相适应的地方。近年来计算机和网络侵权、犯罪逐渐低龄化,且反直觉地,犯罪人员并非绝大部分人认为的具备高智商、高学历和专业知识,这主要拜各种功能齐全、操作简单的软件所赐。故而预设入侵者不具备专业知识、没有能力使用专业设备,将专业人员和操作简单的专业软件排除在外,并不利于匿名化有效性的达成,造成个人信息保护的不足。