平衡：匿名化处理——基于EDPS《Shaping a Digital Future》之评论

2021-02-08

【摘要】

《Shaping a Digital Future》的出台标志着欧盟对数据保护的进一步加强。近年来，中美日德等各国陆续出台相关条例对数据滥用的情况予以规制。但不可否认的是，数字经济给全球经济市场注入了新的活力，因此要实现数据保护和数据利用的平衡，其关键是对数据实现匿名化处理。匿名化是欧日常用之概念，其意为将可识别信息转化为与已经识别或者可能识别的信息的不相关信息，匿名化信息不属于可识别信息。假名化和匿名化不同，假名化属于可识别信息。而美国常用“去标识化”来表示对数据的安全处理，“去标识化”相较于“匿名化”门槛较低。中国于2017年在《个人信息安全规范》中规定了“匿名化”和“去标识化”的定义，《个人信息保护法（草案）》也对匿名化和去标识化等进行了规定，但匿名化处理应当确定行业标准，即对一般信息采用一般可能且合理的标准；对二级以上的私密信息引入专家判断标准。“去标识化”的概念可能引起歧义，应当将其定义转换为“假名化”，并在《个人信息保护法》通过后的司法解释中详细规定需要去除标识符的种类。

【关键词】

匿名化；去标识化；假名化；可识别信息；平衡；

一、引言

在大数据时代，数据采集和存储变得越来越容易。在政府、互联网、运营商、医疗、银行和电力等各行各业的大数据中，或多或少与个人信息有关。比如手机APP收集用户的个人注册，网页浏览息，购物和GPS位置等信息；运营商收集用户注册、电话账单、GPS以及使用流量等信息；医院会记录患者个人基本信息，以及医疗原始数据和诊断等信息。

与此同时，Open Data成为全球的大数据发展的典型趋势。数据共享、发布、外包，甚至交易等场景需求变得越来越多。欧盟在2003年实施了《公共部门信息再利用指令》；美国在2009年颁布了《开放政府指令》。我国同样实施一系列的政策和措施，比如《促进大数据发展行动纲要》（2015）、《贵州省大数据发展应用促进条例》（2016），以及今年5月份实施的《中华人民共和国政府信息公开条例》。此外，我国《网络安全法》的第十八条指出“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展”。

在时代的浪潮中，数据已经成为数字经济发展的主干，但不得不说，数据保护滥用的风险依然过大，数据不正当使用的情况依然存在。比如我们所熟知的“脸书”——Facebook，大多数人只了解使用此软件所带来的便利，而忽视了其可能存在“强买强卖”的风险；比如我们所熟知的微软，我们只记得了其操作系统的顺畅，而未重视其可能存在的数据垄断。作为走在数据保护前列的欧盟，其格外重视对公民个人信息的保护，不仅颁布了GDPR等通用性数据保护条例，而且在2020年6月发布了《Shaping a Digital Future》的报告来进一步加强对欧盟国家公民个人信息的保护。

因此，本文将展开分析EDPS所发布文件的内容，提取有关数据保护的重要观点和要素，并基于我国实际情况对其进行学习和总结。

二、《Shaping a Digital Future》内容概述及评述

近年来，数据、隐私等个人信息需要保护成为世界之共识，让数据更好地为人类服务已经成为数字时代开启以来世界各国人民美好的愿望，并且已经有不少组织体和主权国家为此进行了不懈的努力和奋斗，如，德国在2019年颁布了联邦数据保护法^[1]，旨在以立法的形式加强对公民隐私的保护；西班牙在2018年开始适用数据保护法^[2]，此后其境内的数据滥用之现象确在一定程度上有被遏制；而欧盟在其1995年通过的《计算机数据保护法》的基础上，又于2018年5月25日出台了《通用数据保护条例》^[3]，不仅对大型跨境互联网企业之间的数据传输起到了更好的监督作用，而且对数据采集、数据流动和数据监管的研究达到了全新的高度，引起了世界各国的对数据保护的重视。

（一）数据保护仍有待加强

但是，隐私被滥用的风险仍然存在，数据被无底线买卖的情况接连不断，侵害他方数据以此获益的案件也时常发生，比如在微软收购专业社交网络企业领英一案中^[4]，微软因可能掌控独有数据可能涉及垄断而被欧盟委员会所调查，而在重重压力下，微软也最终承诺在5年内，制造商们可以选择是否在windows系统上安装LinkedIn，这也被视为促进互联网企业竞争的关键一案；此外，2020年2月，抖音正式向北京知识产权法院递交了腾讯涉嫌数据垄断的不竞争行为之诉状^[5]，这是中国自2020年底公布《关于平台经济领域的反垄断指南（征求意见稿）》以来，国内首例发生在大型互联网平台之间的数据反垄断诉讼；Facebook以其优势地位变相迫使用户不得不同意其服务条款也饱受诟病^[6]。这些案件无不在表明：对于数据保护、数据反垄断问题的监管力度仍需进一步加强。

在此时代背景下，欧洲数据保护监督员(EDPS)沃伊切赫·维维罗斯基于2020年6月发表了‘Shaping a Safer Digital Future’^[7]（以下称为报告），以表明其对2020-2024年欧盟数据保护之未来的展望。

在此报告中，沃伊切赫·维维罗斯基提到：在《里斯本条约》^[8]的支持下，公民对于数据、隐私等个人信息保护的意识普遍增强，数据保护在过去十年里已经成为大多数人的堡垒，而这对于弱势群体具有极为重要的意义，儿童、老人、妇女等弱势群体的数据权益在很大程度上也得到了保护。此外，沃伊切赫·维维罗斯基还明确数据保护作为一项公民的基本权利是有迹可循的，《欧洲联盟基本权利宪章》第8条明确规定欧盟保护公民的数据隐私权，数据隐私权正在变得同公民的名誉权、荣誉权等公民基本权利同样重要。

（二）疫情常态化对个人数据保护之影响

报告还指出，虽然新冠肺炎危机加速了经济数字化的发展，但这同样意味着数据收集的增加，不仅仅是病人或消费者的数据，还有教育、工作和社会生活的数据。当前的危机将继续影响所有个人，但对弱势群体的打击最大。

危机的严重经济影响可能会加大组织最大限度提高效率的压力，这可能会以牺牲个人权利和自由为代价。在全球新冠疫情状况尚未根本性好转的情况下，健康危机提升了数字经济的重要性，作为管理危机和恢复欧洲经济的集体努力的一部分，通信网络、数据和设备被大规模使用，而限制社交距离的措施也大大加快了数字转型的步伐，会和经济比以往任何时候都更加依赖数字方式进行日常活动，而且显而易见的是，一些政府已经开始以安全的说辞吸引其公民，作为交换，允许公共当局侵入公民的私人领域，甚至入侵程度在以前被认为是不可接受的，比如：疫情下的人们无时无刻扫描健康码，此种举动会导致位置信息无时无刻不被他人所掌握；许多工作人员进出企业都要进行面部识别，而人脸之特征和要素之多无疑会对个人隐私安全产生潜在威胁；而疫情常态化之下，多种信息被控制后的交叉识别才是最令人恐惧的事。

此外，大多数解决社会、环境和公共卫生问题的政策干预都不得不涉及技术和数据的使用，数据保护将在几乎所有环境中变得相关。但这些对数据和技术的日益依赖放大了我们数字生态系统的现有条件：市场力量过度集中、信息不对称、虚假信息、操纵、数据泄露和平台主导。但此报告同样认为：《GDPR法案》和《电子隐私法案》，允许出于公共卫生目的处理个人数据，包括在紧急情况下。数据保护法有助于支持公共利益，但并不构成对抗病毒的障碍。

（三）举措与反思

1. EDPS将采取之举措

最后，公告重点介绍了关于未来可能采取的对数据保护的举措，具体包括：

(1)支持在欧盟暂停在公共场所自动识别人的特征，不仅是面部特征，还包括步态、指纹、脱氧核糖核酸、声音、击键和其他生物特征或行为信号，以便能够进行知情和民主的选择；

(2)作为“必要性工具包”和“相称性准则”的后续行动，根据法院的判例和这一领域日益增长的学术，启动、探索和解释隐私权和数据保护的“本质”概念；

(3)呼吁对新技术使用的欧盟新监管框架采取一致的做法，以便欧盟工业遵守欧盟成员国适用的同样规则；

(4)呼吁通过拟议的电子隐私条例，但不要损害现有的保护；

(5)提出“数字正义”之概念，明确隐私和数据保护永远不能用获得基本服务来交换^[9]，数据保护是弱势个人的最后一道防线；

(6)就政策和措施(如《数字服务法》)向欧盟机构提供指导，这些政策和措施要求私营公司对操纵和扩大服务于私人利益负责，但要避免对不可避免地干扰隐私权和数据保护权的言论进行全面监控和审查等等。

2.建议与反思

通过公告之内容不难发现，虽然技术的发展带给了欧盟和世界人民更多的便利，但其同样带来了对个人信息侵蚀的负面影响。因此，我们必须树立一种技术中立的理念，我们也必须明白：持续性的经济增长不能通过私人信息的无限货币化来实现，而这一切，都需要电子通信保密性的最新规则来保护。2020年10月21日，《中华人民共和国个人信息保护法（草案）》公布并公开征求社会公众意见，不久的将来我国也会拥有自己的数据保护法案，这无疑是以最具确定性的方式表明人民对个人信息保护的预期。

针对疫情而言，新冠肺炎危机似乎对个人数据的流失构成了更大的威胁，但它同样进一步促进了公众隐私保护意识的觉醒。在公共安全必须实现的前提下，个人隐私和数据应当对公共安全进行部分的让渡，但这种让渡不是无限制的。各国应当采取侵害最小化的行为，奉行必要性的原则，如：瞳孔识别能够确定个人身份就不要使用面部识别，因为面部要素过多；健康绿码能够确定公民健康就不要登记其他信息，因为登记其他信息完全是过度侵害的表现；能够以一种软件或系统确定公民的健康信息就不要用多种软件，因为分散的软件、分散的商家势必会增大公民信息流失的风险。

针对行业性监管而言，国家要特别注重新兴领域数据流动的情况。新兴领域一般具有高度智能化的特点，因而公众难以知晓其运作原理，此类行业具有更大的对数据侵扰的风险。因此各国应当定期组织关于侵入性、新兴或假设性实践的循证讨论，如电子健康、生物识别技术和自动识别系统、量子计算、边缘计算、比特币和区块链领域；吸纳专家进行数据保护风险评估，联合各国一起抹除新兴领域之立法空白。

数据保护的进度取决于每一个公民对自身数据保护的重视程度。在时代飞速发展的今天，身份证、手机号、指纹等私人信息已经具备了传统时期所不具备的巨大价值，因此在国家进行宣传的同时，公民自身更应该加强对自身数据保护的意识，产生“数据就是黄金”的时代理念。

虽然用户存在数据被滥用的风险，但不可否认的是，数据已经成为生产要素，全球金融资本的流动和数据等非固定化资产的结合助推世界经济的发展^[10]。在数据流动的过程中，多边交易成本迅速下降，规模经济的作用愈发凸显，市场交易的门槛被降低，资源配置的效率越来越高。可以预见，数据在未来经济发展中的作用将变得更加重要，社会生产组织之模式也将被数据所改变。数据流动的加剧是已为经济发展的必然趋势，而数据保护也迫在眉睫，处理此问题之关键在于实现数据保护和数据利用的良性互动。

三、实现平衡——匿名化

匿名化或许是实现数据利用和隐私保护平衡之关键，它是由欧盟率先提出的概念。

欧盟《一般数据保护条例》（GDPR）是在承继《数据保护指令》（Data Protection Directive，简称DPD）内容基础上颁行的，欧盟依照DPD第29条设立了欧盟第29条数据保护工作组（欧洲数据保护委员会的前身），此工作组于2014年4月10日通过的《第05/2014 号意见书：匿名化技术》（Opinion 05/2014 on Anonymisation Techniques）对匿名化技术进行了详尽规定，成为此词来源之开端。

（一）匿名不同于“假名”

匿名化是指将可识别信息进行匿名处理，使其成为与已经识别或者可能识别的信息的不相关信息，或者数据主体不可或不再可识别的方式提供的信息。

GDPR生效后，在DPD的基础上对如何判断可识别信息提供了更加明确的标准。GDPR序言第（26）段之内容包含了DPD第（26）段内容的原有概念：（1）数据保护应当适用于任何已识别或可识别的自然人信息。（2）对于信息的可识别性判断，应当考虑识别信息的手段是否为合理且可能的手段，此处的合理且可能应当包括所有存有可能性的客观因素，比如识别的成本、识别的时间、识别所需要的技术等。（3）数据保护原则不适用于已经过匿名化处理的个人数据。除此之外，GDPR额外规定：假名化后的信息仍属于可识别信息^[11]。

因此匿名化和假名化并不相同，匿名后信息不属于可识别信息，而假名化后之信息仍属于可识别的信息。具体而言，匿名化是将部分关键信息隐匿甚至去除，以达到删减可识别性信息的目的，进而起到保护个人隐私的作用，如图1所示：

而假名化则是以生成新字符的方式取代原来的直接标识符，使得不借助额外信息情况下无法识别出个人信息主体。生成新字符需要以密钥加密之方式进行，其中用于还原标识符的信息为密匙。

根据GDPR和CCPA^[12]等法律的要求，这类密钥或者映射通道可以用来还原标识符的“额外信息”需要与假名化后的个人信息分开存储以保证个人信息的安全。例如在社交网络中，大多数人利用“昵称”来代替其真实身份，这虽然在一定程度上降低了被识别出其真实姓名的危险，但是昵称仍是个人信息，黑客等技术人员完全可以结合其账号登陆的IP地址或者所绑定的其他信息而识别出个人的真实信息^[13]。因此，假名化作为个人信息仍属于GDPR所规定的可识别信息。又如，假设一个有关医疗的个人信息为：张三，64岁，新冠状病毒阳性患者。那么经假名化处理后其信息就可能会变成AAA，64岁，新冠状病毒阳性患者。假名信息虽然也是个人信息，但其经过加密转化，相较于其他可能被滥用之个人信息的风险降低，对个人隐私的保护有益。

（二）匿名化的比较法研究

对数据采用遮盖的方式已经成为世界各国数据保护机构的常见做法，欧盟和日本采用常见的“匿名化”之概念，而美国则以“去标识化”来显示被处理的信息。

1.日本

日本个人信息保护法（2017）^[14]规定个人信息是能够识别特定个人或者含有个人识别符号的信息。这符合多数国家的思路，采用了“识别说”来界定个人信息，以是否能够识别特定自然人作为判断标准。

根据日本个人信息保护法（2017）第二条第9款之表述，本法中的“匿名处理信息”(Anonymously processed information)是指通过处理个人信息而产生的既不能根据采取措施识别到特定个人，也无法还原成个人信息的信息。而具体可能采取的手段如下：(1)删除个人信息包含的个人描述部分等(包括将描述部分替换为其他描述部分，或者使用具有不可恢复的方法等);(2)删除所述个人信息中所包含的全部标识符(包括将标识符替换为其他描述部分，或者使用具有不可恢复的方法等)。而日本学者佐藤一郎认为匿名处理信息可被理解做“为了不能够识别特定的个人，对个人信息进行加工，并且不能复原个人信息的信息”，该信息如确属匿名化之信息，即使未经本人同意也可提供给第三方使用^[15]。

此外，日本方面在《个人资料保护委员会秘书处的报告：匿名处理信息》中明确指出，关于匿名信息是否处理得当的认定，由个人信息保护委员会提供最低标准。此做法与欧盟不同，欧盟虽也是自身对匿名化进行评估，但欧盟需将评估报告交由相关管理局进行最终的认定。而日本匿名化处理标准由个人信息保护委员会提供，有一个更为统一和具体的实施标准，匿名处理信息的边界范围更加清晰，实践和操作性更强。

2.美国

美国的法规多数没有采用匿名化的概念，进而取代使用“去标识化” (Deidentification)相关概念，CCPA法案中阐述了“去标识化”的含义，即信息不能合理地被识别、关联、描述、被联系在一起，或者说被链接，直接地或间接地联系到特定消费者。

对于CCPA去标识处理后的结果——去标识信息，与GDPR的匿名信息十分相近，但从以上定义看，存在区别：CCPA强调的“去标识信息”的识别评估手段应该是“合理的”，但没有强调是“可能的”，弱化了某些低概率的识别手段（即低概率发生的识别手段或技术）。因此，可知美国CCPA语境下的“去标识信息”更GDPR的“匿名信息”门槛更低，但这意味着前者存在的“重识别剩余风险”更高。从上述的定义看，CCPA已经将这一类信息的使用方法和范围进行严格限定，一是通过法规限制重识别，另一个是通过技术的措施防止重识别。GDPR和CCPA给出两种完全不同的解决思路^[16]：前者处理数据门槛更高，后面的使用范围更宽；后者门槛低，但其使用范围相对窄一些，这两者具有各自的优势。

HIPAA法案^[17]中还针对敏感性信息的保护规定了专家判断标准和安全港标准。专家判断标准是从专家的角度判断个人信息被识别的可能性风险，作为判断主体的专家应当具有丰富的知识和经验，采用科学的原则和方法客观地对经过处理的信息予以保密性强弱的判断，如果判断的结果是风险非常小，那么可以认定去标识化处理达标。此外，HIPPA第164.514条第b款第2项中设立了安全港标准，其罗列出包括名称、身份信息、医疗信息、车牌号等18种识别符，并规定只要信息处理者（控制者）采取措施删除此18种识别符，且控制者不明知该信息单独或与其他信息相结合能够识别出特定个人，该信息就被认定为去身份化信息。本条表明安全港标准采用主客观相统一的标准，即主观上不知信息有单独或结合识别他信息的可能，客观上确实有删除18种识别符的行为。

3.中国

我国对于数据匿名化相关概念的研究也更加深入，2020年10月1日，新版《信息安全技术个人信息安全规范》^[18]开始实行，该规范将“匿名化”定义为‘通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。’此外，它还将“去标识化”定义为‘通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。’2020年3月1日，《信息安全技术——个人信息去标识化指南》正式实施，该指南指出假名化技术是一种使用假名替换直接标识（或其它敏感标识符）的去标识化技术。这些文件的出台表明我国对数据保护重视程度的加深。

此外，在已通过的正式法律文件中，虽未明确提及匿名化，但已暗含匿名信息之意味。根据2017年《网络安全法》：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。” ^[19] “经过处理无法识特定个人且不能复原”之表述，和日欧匿名化概念的实质十分接近，都在强调信息经过处理后无法被识别为特定个人的信息，起到了信息采用和信息保护的双重作用。我国于2020年10月21日公布了《个人信息保护法（草案）》，《草案》对匿名的概念采用了和2017《网络安全法》相同的规定^[20]，并在其六十九条第三款规定：去标识化，是指个人信息经过处理无法识别特定自然人且不能复原的过程；在第五十条第三款规定：个人信息处理者应当采取相应的加密、去标识化等安全技术措施防止个人信息泄露或者被窃取、篡改和删除。此外，《草案》还规定：“个人信息是以电子或者其他方式记录的与识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”^[21]，实际上把“匿名信息”置于个人信息保护的范畴之外。《草案》第二十四条规定，“个人信息处理者向第三方提供匿名信息的，第三方不得利用技术等手段重新识别个人身份”，实际上是杜绝了匿名信息的逆向识别。“经过处理无法识别自然个人且无法复原”中，“无法复原”的技术标准是否达成尚未可知，因此第二十四条实际上规避了逆向识别可能导致的信息二次泄露的风险。

但总体而言，《草案》对“匿名化”的规范需要加深。《草案》全文仅出现了三次“匿名化”，并且对“匿名”未规定具体的操作方式及规范标准。而在2019年10月发布的《个人信息保护法（专家建议稿）》^[22]中，张宝新团队对匿名化的操作规范进行了详实的建议：《意见稿》第三十八条规定：“信息业者对外提供匿名化信息，应当审查接收方信息业者的个人信息安全保护措施、能力和水平，向接收方信息业者说明该信息为匿名化信息，并与接收方信息业者书面约定，要求其不得尝试复原匿名化信息的可识别性。”此条赋予“匿名信息”处理方（控制方）信息说明义务和资质审查义务，有助于“匿名信息”再传播过程中的安全流转。《建议稿》第五十三条规定了定向商业营销信息的规制模式：“信息业者基于信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向其发送商业营销信息内容的，应当显著标明退订标志，确保一键退订。信息主体退订的，信息业者不得再次发送，并应向信息主体提供删除或匿名化商业营销活动所使用的个人信息的方式。”这一规定对数据跟踪现象进行了明确的规制，要求信息业者向信息主体公开“信息匿名方式”也有益于当前网络追踪的乱象。但是，不能将所有投放行为都视为知身份性投放行为。在朱某诉百度公司精准投放广告侵犯其隐私案中^[23]，原告朱某使用百度搜索减肥、丰胸等关联词，当其再次使用百度搜索其他网页时，丰胸减肥等相关广告频繁出现，朱某认为百度公司未经其同意跟踪其在cookie上的浏览足迹，进行精准的广告投送，侵犯了她的隐私权。而法院认为，百度利用cookie技术搜集的信息虽然属于用户私人信息，但该信息已经过匿名化处理，不属于‘可识别的个人信息’。理由是百度个性化推荐服务收集和推送的信息终端是浏览器，没有定向识别该浏览器的网络用户身份^[24]。此判决还说明大多时候，互联网上的身份经假名化后具有虚拟的特点，判断是否属于能够识别的个人信息的关键在于物理空间中能否定位至个人。

此外，《建议稿》第一百零三条第13款明确指出：“经过匿名化处理后的信息，不属于个人信息。”第一百零三条第14款规定了信息处理应有之范围，即包括收集、使用、加工、共享、转让、跨境传输等多种情形下都需要应当进行“匿名化”处理。不论是数据的收集、使用、加工还是共享，它们都只是数据转换或传输的形式而已，笔者认为应当设立“数据转输”之概念，对数据转移的全过程进行控导，在实操层面重实质而不重形式。

四、我国“匿名化处理”应当设置统一标准

依上所言，GDPR中对“匿名化处理”规定了“合理且可能的标准”，全方位判断识别匿名信息可能耗费的时间成本、财力成本、技术可能等各方要素；日本赋予了个人信息保护委员会提供最低标准的权限，实际上使其个人信息保护委员会获得了一定的自由裁量权，便于识别数据处理的情况；美国CCPA对“匿名信息”采取“合理性”标准；HIPPA也对去身份化的信息采用了专家判断标准和安全港标准，其中，安全港标准采用主客观相结合的方式对信息是否去身份化提供了具体可行的操作模式，但我国《个人信息保护法（草案）》似乎对何种情况才能达到“匿名化处理”的标准缺乏统一的规定，一些概念的使用稍欠妥当也有做出调整的必要。

对于“匿名化处理”之判断标准，《个人信息保护法》应当采取技术中立的原则，只规定匿名处理后的结果而不规定其处理之方式。一方面，这是出于对法律稳定性的考量：技术日新月异难以穷列，对采取匿名处理之技术本身规定过于详细反而阻挡了个人信息保护的路径；另一方面，应当规定匿名化处理的结果，并针对不同等级的信息分层管理。《个人信息保护法》应当规定：对于一般信息，匿名处理之标准应为第三方采用合理之手段无法识别，其处理能够使索取信息的危害行为丧失一般的可能性；二级以上的敏感信息^[25]属于影响范围大的私密信息，因此《个人信息保护法》可以采取专家判断标准，即经过有丰富理论知识和实务经验的专家判断匿名信息被识别的风险非常小时，该信息即通过匿名化处理的判断标准。

此外，对于《个人信息保护法（草案）》中提及的第五十条第三款和第六十九条第三款提及的“去标识化”应当做出调整。首先，《草案》中对于去标识化中的规定和《个人信息安全规范》之规定并未完全统一，容易增加歧义。其次，随着社会发展和个人信息内涵的扩张，身份标识符数量增长乃经济发展的必然趋势，而根据美国HIPPA的判断标准，18种标识符才是切身关系个人信息安全的标识，去标识化之概念容易使人误解是将个人信息之上的所有标识都去除，并且我国原有“去标识化”之概念和欧盟的“假名化”的定义其实是一致的。因此《个人信息保护法》应当将“去标识化”之概念的定位改为“假名化”，并可在《个人信息保护法》的司法解释中引入有关“假名化”和“去标识化”的解释的概念：“假名化”是指将名称、身份证信息、居住信息、籍贯信息、电话号码等标识符经过去除处理，使第三方在合理可能的手段下无法识别个人信息。

五、总结

EDPS出台的《Shaping a Digital Future》表明了欧盟进一步加强数据保护的态度，数据保护应当被视为人权保护的组成部分。此外，数字保护应当具有平等性和实质性，特别要重视保护弱势群体的数据权利以实现数字正义。

而数字经济已经成为经济发展的时代方式，特别是在全球新冠疫情形式尚未得到根本性扭转的情况下，各国应当通过数据流动的方式促进经济复苏。但同时，个别国家和政府以安全为借口，随意获取公民私密信息的做法应当被警惕，数据只是手段，而人的发展才是最终目的。

为了实现数字发展和数据保护的平衡，多国引入了匿名化及相关概念。其中，欧盟和日本直接采用匿名化的表达方式，以匿名方式处理可识别的个人信息，达到使个人信息无法恢复、无法被识别的目的。其中，欧盟对于匿名化处理采取“合理且可能”的标准，全面分析能否破解匿名处理的时间成本、费用成本等各方因素；美国采用的是“去标识化”之概念，其实此概念与“匿名化”之运行本质有相似之处，但相较于欧盟其并未强调“可能的”标准，这就导致其对匿名信息处理评价的操作门槛降低。此外，要避免将匿名化和“假名化”混为一谈，根据GDPR之规定，匿名化信息不属于可识别信息，而假名化属于可识别之信息。

借鉴和吸收欧美日对匿名/去标识数据的两种管理方式，在数据利用和数据安全进行平衡显得非常有必要。《个人信息保护法》中应当将“去标识化”之概念改为“去身份化”，并在相关司法解释中确定去除之标识符具体的种类；对一般数据信息采用一般可能合理的标准，对二级以上信息引入专家判断标准。

此外，针对我国对数据保护的现有法律体系，提出以下建议：

①开展隐私风险评估技术研究。目前国外已有一些数据集的重识别风险评估研究，我国目前几乎处于空白。目前有多种技术手段，包括数据脱敏、匿名化、假名化和差分隐私等等，去实现法规中的“匿名化”或“去身份化”。事后救济的方式过于单一，应当针对不同情况：实现事前规制或事中规制为主体方式，事后救济为补充方式。

②实用可控的匿名化技术研究。目前的技术手段并不能很好应付各种各样的数据开放、共享和发布场景。比如高维数据集，关联关系，效率问题，自适应场景问题，最优平衡等等，均是推动实用化进程中亟需解决的关键性问题。因此，开展可控匿名化技术研究迫在眉睫。

此外，企业内部的数据共享应当以匿名化处理为前提，同时应当对用户的身份信息数据库进行严格访问权限管理、严格使用者的使用频次和时间，从各个因素上控制和降低隐私泄露风险；企业间的数据共享在匿名处理手段操作的前提下，使用方应当停止对使用数据的重识别行为；重要数据的分享应当秉持知情同意原则，避免企业利用优势地位“迫使”用户不得不分享其数据。

文中备注：

[1]See Germany: Federal Data Protection Act of 2019

[2]See Spain: Data Protection Law of 2018

[3]《通用数据保护条例》即“General Data Protection Regulation”，简称GDPR；该条例具有极广的适用范围，在欧盟境内的任何数据采集、数据传输和数据保留活动都要受其规制，甚至在某些特定场景下，境外有关数据的传输也要受其约束。

[4]European Commission press release, Mergers: Commission approves acquisition of Linkedln by Microsoft, subject to conditions (IP/16/4284 Brussels, 6 December 2016).

[5]据抖音所属的字节跳动称，“其视频链接在腾讯公司旗下的QQ、微信均无法正常播放，而快手、微视及其他第三方视频播放软件则可以无限制播放，此现象已经持续近三年之久。”

[6]Speech by Andreas Mundt, 'Innovation Economics for Antitrust Lawyers' (Concurrences Review and King's College, London, 3 February 2017).

[7]See https://edps.europa.eu/sites/edp/files/publication/20-06-30_edps_shaping_safer_digital_future_en.pdf

[8]《里斯本条约》是在《欧盟宪法条约》的基础上修改后通过的，这一条约进一步唤醒了欧盟各国公民的人权意识。

[9]Case M.4854 TomTom/TeleAtlas, Commission decision of 14 May 2008, paras. 274-276.

[10]参见吴沈括：“数据治理的全球态势及中国应对策略”，《电子政务》2019年第 1 期，第 2-10 页。

[11]参见GDPR第四条第5项之规定。

[12]CCPA即《California Consumer Privacy Act 2018》（加州消费者隐私法案），其号称全美最严厉的隐私保护法案。

[13]参见刘颖, 谷佳琪：“个人信息去身份化及其制度构建”，《学术研究》2020年第 12 期，第 58-67 页。

[14]参见日本プライバシー情報保護委員会：個人情報の保護に関する法律（平成15年法律第57号），令和２年12月12日時点。

[15]参见［日］佐藤一郎: “ビッグデータと個人情報保護法: データシェアリングにおけるパーソナ ルデータの取り扱い”，载《情報管理》2016年第 11 号，第 828 页。

[16]魏书音：“从CCPA和GDPR比对看美国个人信息保护立法趋势及路径”，《网络空间安全》2019年第 4 期， 第 102-105 页。

[17]HIPPA法案即Health Insurance Portability and Accountability Act/1996，是美国卫生部发布的有关医疗领域电子数据交换问题的法案。

[18]2020版《信息安全技术个人信息安全规范》是在2018版《信息安全技术个人信息安全规范》基础上修订颁行的，该文件进一步加强和了对个人信息的保护，是全国信息安全标准化技术委员会在审视隐私问题上的一大进步。

[19]参见2017年《网络安全法》第42条第1款之规定。

[20]同上注。

[21]参见2020年《个人信息保护法（草案）》第4条之规定。

[22]详情请参见：

https://www.pkulaw.com/protocol/c95f813352a8cff7ce7c587fd0438727bdfb.html?keyword=%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E4%BF%9D%E6%8A%A4%E6%B3%95

[23]参见周小白：《Cookie隐私第一案终审：法院判百度不构成侵权》，http://www.techweb.com.cn/internet/2015-06-13/2163591.shtml

[24]参见南京市中级人民法院（2014）宁民终字第5028号民事判决书。

[25]根据《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008，安全保护能力分为五级，二级以上保护等级主要包括中小组织、行政单位、省部级及国家级的私密信息等。

本文作者：

（实习生侯涵斌对本文亦有贡献。）

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。