摘要:匿名信息即經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的信息�����。面對大數(shù)據(jù)時(shí)代的挑戰(zhàn)���,匿名應(yīng)回歸到對信息可識別程度的關(guān)切之上。匿名信息的法律標(biāo)準(zhǔn)是��,在現(xiàn)有技術(shù)水平與合理成本的限制下,信息控制者與積極侵權(quán)人使用該信息本身或結(jié)合其他一切可獲取信息均無法識別出特定的個(gè)人�����。匿名化處理方式主要包括:通過相關(guān)技術(shù)手段刪除或替換全部直接識別符與部分準(zhǔn)識別符����;將個(gè)案式的風(fēng)險(xiǎn)評估貫穿于匿名化處理的全過程并持續(xù)監(jiān)控;信息控制者承諾不進(jìn)行再識別且通過合同禁止信息接收方再識別��。匿名在大數(shù)據(jù)與技術(shù)創(chuàng)新中扮演著重要的角色�。通過匿名,可排除個(gè)人信息以發(fā)揮信息效用�,亦可控制信息風(fēng)險(xiǎn)以履行法律義務(wù)。
關(guān)鍵詞:匿名信息��;個(gè)人信息�����;識別��;匿名�����;去身份
一、引言
2014年“朱燁訴百度案”中��,百度公司利用Cookies技術(shù)記錄朱燁的搜索信息��,并根據(jù)大數(shù)據(jù)算法提供個(gè)性化推薦服務(wù)���。朱燁以隱私權(quán)侵權(quán)為由起訴百度公司����。一審法院認(rèn)為����,“Cookies所抓取的信息展示了個(gè)人上網(wǎng)的偏好���,反映個(gè)人的興趣����、需求等私人信息�,在一定程度上標(biāo)識個(gè)人基本情況和個(gè)人私有生活情況?�!辈⑴袥Q百度公司構(gòu)成隱私侵權(quán)�。二審法院卻認(rèn)為���,“個(gè)性化推薦服務(wù)中運(yùn)用網(wǎng)絡(luò)技術(shù)收集、利用的是未能與網(wǎng)絡(luò)用戶個(gè)人身份對應(yīng)識別的數(shù)據(jù)信息�,該數(shù)據(jù)信息的匿名化特征不符合‘個(gè)人信息’的可識別性要求?!庇钟捎谙嚓P(guān)信息只在計(jì)算機(jī)系統(tǒng)內(nèi)部進(jìn)行處理并未被公開,遂撤銷一審判決并駁回朱燁全部訴訟請求���。
涉Cookies抓取的信息究竟為何屬于匿名信息����,二審法院論證不足����。讓人不禁疑惑,案涉信息當(dāng)真不具識別性嗎���?一審法院所指的“在一定程度上標(biāo)識個(gè)人”的間接識別性也不存在嗎�����?尤其是在涉及大數(shù)據(jù)分析時(shí)����,匿名仍能輕易達(dá)成嗎?這些問題不得不求解于個(gè)人信息匿名的法律制度���。
本文立足于大數(shù)據(jù)的時(shí)代背景����,以《網(wǎng)絡(luò)安全法》第42條第1款�����、第76條第5款作為我國個(gè)人信息匿名的制度原點(diǎn)����,結(jié)合本土情境與域外經(jīng)驗(yàn),重新思考我國個(gè)人信息匿名的制度設(shè)計(jì)�����,探尋匿名信息的法律標(biāo)準(zhǔn)���、處理方式與制度價(jià)值。
二�、大數(shù)據(jù)時(shí)代下匿名的界定
匿名信息即《網(wǎng)絡(luò)安全法》第42條第1款規(guī)定的“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的”信息。雖經(jīng)一定處理�����,但仍有識別特定個(gè)人的可能且能被復(fù)原的信息系假名信息。識別性是個(gè)人信息的首要特性�,不具識別性的匿名信息不是個(gè)人信息。面對大數(shù)據(jù)時(shí)代的挑戰(zhàn)��,匿名應(yīng)回歸到對信息可識別程度的關(guān)切之上��。
1.從個(gè)人信息到匿名信息
根據(jù)《網(wǎng)絡(luò)安全法》第76條第5款�,個(gè)人信息即“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息”。識別是個(gè)人信息概念的核心�����。參照歐盟的相關(guān)規(guī)定����,識別需結(jié)合判斷基準(zhǔn)、信息相關(guān)性���、識別可能性來判斷��。不具識別性的匿名信息并不符合個(gè)人信息的概念構(gòu)成����。
在個(gè)人信息的屬性問題上,司法實(shí)踐中許多法院將個(gè)人信息劃入名譽(yù)權(quán)或隱私權(quán)的范疇�。在匿名信息的相關(guān)爭議中,亦時(shí)常出現(xiàn)隱私的訴求���,如前述“朱燁訴百度案”中原告即以隱私侵權(quán)為由起訴�。理論上�����,更是存在法益說����、一般人格權(quán)說、隱私權(quán)說���、新型財(cái)產(chǎn)權(quán)說�、憲法人權(quán)說���、獨(dú)立人格權(quán)說等學(xué)說�。其中�,隱私權(quán)說源于美國法上信息隱私學(xué)說。然而����,這一學(xué)說在實(shí)踐上常常無力保護(hù)個(gè)人信息,且難以與中國法上的隱私權(quán)相容����。個(gè)人信息與隱私在總體上是兩個(gè)不同的法律概念,二者在內(nèi)涵�����、外延����、理論背景、價(jià)值基礎(chǔ)�、保護(hù)原則、權(quán)能范圍���、侵權(quán)判斷�����、責(zé)任承擔(dān)各個(gè)方面均存在區(qū)別����。另外,財(cái)產(chǎn)權(quán)說則存在證明力不足�����、不利于個(gè)人信息保護(hù)�����、混淆個(gè)人信息與數(shù)據(jù)���、忽視人格權(quán)商品化理論等問題����。法益說及一般人格權(quán)說忽視個(gè)人信息權(quán)的積極權(quán)能��、適用一般侵權(quán)行為的構(gòu)成要件���,不利于保護(hù)個(gè)人信息��。憲法人權(quán)說更是與我國司法體制不符���。筆者贊同將個(gè)人信息作為具體人格權(quán)客體的獨(dú)立人格權(quán)說��。《民法總則》第111條應(yīng)解釋為個(gè)人信息權(quán)�����。在大數(shù)據(jù)時(shí)代中����,并不存在與人格尊嚴(yán)無關(guān)的個(gè)人信息,個(gè)人信息權(quán)獨(dú)特的權(quán)能����、范圍與內(nèi)容均無法為其他權(quán)利所替代。
個(gè)人信息兼具人格利益與財(cái)產(chǎn)利益�,個(gè)人信息權(quán)通過人格權(quán)商品化實(shí)現(xiàn)個(gè)人信息的財(cái)產(chǎn)利益。當(dāng)個(gè)人信息經(jīng)過匿名化處理成為匿名信息后�����,其人格利益與財(cái)產(chǎn)利益實(shí)現(xiàn)分離�,匿名信息只包含財(cái)產(chǎn)利益。筆者認(rèn)為����,匿名信息應(yīng)屬數(shù)據(jù)財(cái)產(chǎn)權(quán)的客體�。匿名化實(shí)質(zhì)上亦是從個(gè)人信息權(quán)到數(shù)據(jù)財(cái)產(chǎn)權(quán)的轉(zhuǎn)化過程����。通過匿名化,數(shù)據(jù)控制者在維護(hù)數(shù)據(jù)主體個(gè)人信息權(quán)的前提下�,獲得了相關(guān)的數(shù)據(jù)財(cái)產(chǎn)權(quán)。數(shù)據(jù)與個(gè)人信息存在區(qū)別��,作為數(shù)據(jù)財(cái)產(chǎn)權(quán)客體的數(shù)據(jù)只能是匿名化的不具可識別性的數(shù)據(jù)���。具體而言����,信息控制者只有在對個(gè)人信息匿名化處理后���,才能享有數(shù)據(jù)財(cái)產(chǎn)權(quán)�����;對于合法掌握的可識別信息�����,控制者雖有財(cái)產(chǎn)利益但不享有財(cái)產(chǎn)權(quán)��,控制者只能行使商業(yè)秘密以及《反不正當(dāng)競爭法》上的請求權(quán)�����;且當(dāng)匿名信息通過再識別(reidentification)手段被恢復(fù)識別可能性時(shí)��,這些數(shù)據(jù)即成為了個(gè)人信息�,控制者無法再主張財(cái)產(chǎn)權(quán)��。
由此可見�,雖然匿名信息與個(gè)人信息屬于兩種不同權(quán)利的客體,但其實(shí)是一個(gè)問題的兩個(gè)方面�。匿名信息的制度設(shè)計(jì)從來就離不開個(gè)人信息的規(guī)定,尤其離不開識別性的判斷����。
2.匿名、去身份與去標(biāo)識
除了《網(wǎng)絡(luò)安全法》的規(guī)定外��,我國的規(guī)范性文件中同時(shí)存在匿名�����、去身份��、去標(biāo)識幾個(gè)術(shù)語。“匿名化處理”的概念被用于2010年《電子病歷系統(tǒng)功能規(guī)范(試行)》與2011年《中醫(yī)醫(yī)院信息化建設(shè)基本規(guī)范》之中����。2014年《互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)測評標(biāo)準(zhǔn)》第4條更將匿名與去身份一并界定為“信息或信息集合無法合理識別特定用戶身份的信息”。2014年《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)行業(yè)框架標(biāo)準(zhǔn)》(以下簡稱“定向廣告行業(yè)標(biāo)準(zhǔn)”)第3條第1款指出���,去身份化使得“信息無法用于識別�����、確認(rèn)或關(guān)聯(lián)至某個(gè)特定用戶”��。同時(shí)����,去身份有時(shí)也被稱為去標(biāo)識���。2014年《征信機(jī)構(gòu)信息安全規(guī)范》第9.6條第c款規(guī)定了去標(biāo)識化使“個(gè)人身份不被直接或間接識別����?�!保玻埃保纺辍缎畔踩夹g(shù)個(gè)人信息去標(biāo)識化指南(征求意見稿)》第3.3條更是明確界定了去標(biāo)識化的概念��,即“通過對個(gè)人信息的技術(shù)處理,使其在不借助額外信息的情況下����,無法識別個(gè)人信息主體的過程”。
實(shí)際上�����,匿名�、去身份��、去標(biāo)識的含義并無本質(zhì)區(qū)別�����。匿名(Anonymization)的概念一般為歐洲地區(qū)所采用�,而去身份、去標(biāo)識只是對北美地區(qū)常采用的Deidentification概念的不同譯稱���。
匿名的法律概念源于1995年歐盟《數(shù)據(jù)保護(hù)指令》條款第26條的規(guī)定��。該條指出�����,數(shù)據(jù)主體無法確定的匿名信息不適用數(shù)據(jù)保護(hù)原則�����。2018年生效并替代《數(shù)據(jù)保護(hù)指令》的《統(tǒng)一數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)鑒于條款第26條進(jìn)一步指出�����,匿名信息即“與識別或可識別自然人無關(guān)的信息或以數(shù)據(jù)主體不能或不再可識別的方式匿名提供的個(gè)人信息”����。為推動(dòng)GDPR的實(shí)施,歐盟委員會(huì)將匿名信息的概念進(jìn)一步解釋為“任何被收集的個(gè)人信息�,被替換或以其他處理方式處理使得該信息在沒有使用附加信息時(shí)不能歸屬于數(shù)據(jù)主體,并且通過區(qū)別和區(qū)分的技術(shù)和組織手段保障這種非關(guān)聯(lián)的屬性��,或者關(guān)聯(lián)到個(gè)人需要一個(gè)總量不合適的時(shí)間��、成本和精力”��,并指出“匿名信息不應(yīng)被認(rèn)為是個(gè)人信息”�����。
在美國法中,去身份(或譯“去標(biāo)識”)意味著所有可能與特定個(gè)人的身份相關(guān)聯(lián)的信息已被從相關(guān)的報(bào)告�、數(shù)據(jù)或其他信息中移除。美國商務(wù)部與國家標(biāo)準(zhǔn)化和技術(shù)機(jī)構(gòu)指出���,“去身份移除識別信息目的在于使得數(shù)據(jù)不能與特定個(gè)人相關(guān)聯(lián)”�����。根據(jù)美國政府2010年發(fā)布的《個(gè)人信息保護(hù)指引》����,去身份即“通過移除足夠的個(gè)人可識別信息以至于剩余的信息不能識別特定個(gè)人�����,以及沒有合理的理由相信這些信息能被用于識別特定個(gè)人����?���!奔幽么蟀泊舐允⌒畔⒑碗[私專員亦指出,“去身份的信息是不能直接或間接識別個(gè)人的信息�����。如果信息不識別個(gè)人,并且在信息可單獨(dú)使用或與其他信息一起使用的情況下識別個(gè)人是不合理預(yù)見的��,則信息已被去身份��?�!?/span>
由此可見�,匿名與去身份只是同一術(shù)語在不同法域的不同表述,均指使得個(gè)人信息不再能識別個(gè)人�����。實(shí)際上���,兩個(gè)概念的同一性已被廣泛認(rèn)可����。國際標(biāo)準(zhǔn)化組織對匿名與去身份的界定亦是高度相似�����。FredH.Cate直接將匿名信息與去身份信息等同�����。GregoryS.Nelson將匿名化處理稱之為個(gè)人信息去身份的過程。為便于理解����,本文將統(tǒng)一采取匿名的表述。筆者認(rèn)為��,匿名化處理即數(shù)據(jù)控制者運(yùn)用特有的處理方式��,刪除或替換可識別個(gè)人身份的信息�����,使得個(gè)人信息達(dá)到不具識別可能性的標(biāo)準(zhǔn)�。由于匿名信息已非個(gè)人信息,處理匿名信息不受個(gè)人信息保護(hù)規(guī)范的約束�����。
3.假名與匿名
在匿名的概念外����,域外個(gè)人信息保護(hù)立法中還存在假名(Pseudonymization)的概念�����。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第3條在第6款匿名的概念后規(guī)定了第6(a)款,“假名指用其他標(biāo)志替代姓名或者識別符號���,以便無法確認(rèn)數(shù)據(jù)當(dāng)事人或者實(shí)質(zhì)性增加確認(rèn)數(shù)據(jù)當(dāng)事人的困難��?���!睔W盟第29條數(shù)據(jù)保護(hù)工作組(以下簡稱WP29)即指出��,假名只是對信息主體身份進(jìn)行偽裝����,形成的假名信息可被復(fù)原;假名并非匿名的一種方式����,其僅僅減少了數(shù)據(jù)與可識別數(shù)據(jù)主體之間的關(guān)聯(lián)能力,是一種有用的安全措施�����;如網(wǎng)絡(luò)用戶的網(wǎng)名屬于假名�����,但仍屬于個(gè)人信息。GDPR鑒于條款第4條第5款亦對假名進(jìn)行了詳細(xì)規(guī)定�����,“假名意味著通過這樣一個(gè)方式處理個(gè)人信息:若不使用附加信息�����,個(gè)人信息將不再與一個(gè)特定數(shù)據(jù)主體相連���,且附加信息被分別保存并使用技術(shù)和組織措施保障個(gè)人信息不被與一個(gè)已識別或可識別的自然人相連�����?�!睋Q言之�����,借助輔助信息�����,假名信息仍有可能識別特定的自然人�����。因此���,GDPR鑒于條款第26條指出,“經(jīng)過假名的個(gè)人信息��,可以通過使用附加信息識別個(gè)人���,應(yīng)被認(rèn)為是一個(gè)可識別的自然人的信息���。”
由此可見����,假名與匿名具有一定的相似性,均具有防止信息主體身份泄露的作用�����。假名與匿名最根本的區(qū)別即在于假名存在被識別的可能性�����,因此,假名信息仍是個(gè)人信息���。在某些情形中�����,甚至可以通過假名直接識別特定個(gè)人����。歐盟《電子簽名指令》第8條第3款即規(guī)定��,簽名人有權(quán)使用假名在文件中作合格簽名�。
雖然假名信息仍是個(gè)人信息,但其實(shí)際上起到降低風(fēng)險(xiǎn)的作用����。GDPR鑒于條款第28條明確指出,“將假名應(yīng)用于個(gè)人信息可以減少有關(guān)數(shù)據(jù)主體的風(fēng)險(xiǎn)���,并幫助控制者和處理者實(shí)現(xiàn)其數(shù)據(jù)保護(hù)義務(wù)����。”對此���,WP29曾經(jīng)認(rèn)為,數(shù)據(jù)保護(hù)規(guī)則應(yīng)被更加靈活地適用于假名信息之中[11]18�。然而,GDPR鑒于條款第28條對這一理論進(jìn)行修正并明確指出����,“假名并不排除任何其他數(shù)據(jù)保護(hù)措施?����!币虼?��,處理未達(dá)到匿名標(biāo)準(zhǔn)的假名信息��,仍需遵循個(gè)人信息保護(hù)規(guī)范����。
4.匿名與再識別
大數(shù)據(jù)時(shí)代下����,匿名與假名的邊界逐漸模糊���,匿名信息也可能通過再識別處理而被復(fù)原。PaulOhm研究指出�����,現(xiàn)行的匿名手段所起到的作用有限���,無法起到預(yù)期的個(gè)人信息保護(hù)效果���,惡意的入侵者可獲取相關(guān)身份信息,匿名已經(jīng)成為了一個(gè)“破碎的承諾”���。美國在線(AOL)曾經(jīng)將用戶搜索信息刪除用戶名稱和用戶地址后附加上唯一數(shù)字編碼發(fā)布����,記者通過這些數(shù)據(jù)卻識別出了部分用戶�����。在線電影租賃網(wǎng)址Netflix亦曾以刪除用戶名并以編碼替換的形式公開了其用戶數(shù)據(jù)���,德克薩斯州大學(xué)的研究者則發(fā)現(xiàn)這些數(shù)據(jù)非常容易被再識別���。
正是由于再識別變得簡單易行��,幾乎各種信息都可能識別個(gè)人而構(gòu)成個(gè)人信息����,個(gè)人信息的法律概念本身亦受到了挑戰(zhàn)��。有學(xué)者稱之為“匿名的迷思”��。對此��,PaulOhm主張放棄匿名的概念��,其宣稱“匿名已死”并認(rèn)為“個(gè)人可識別信息(P.I.I.)的概念已走向終結(jié)”�����。PaulM.Schwartz與DanielJ.Solove亦認(rèn)為���,數(shù)據(jù)再識別技術(shù)將使得個(gè)人可識別信息的概念走向消亡。
筆者并不贊同該種觀點(diǎn)����。第一,匿名追求的是風(fēng)險(xiǎn)最小化����,而非100%的安全。事實(shí)上���,100%的安全措施并不存在����。一些怵目驚心的再識別個(gè)案只能說明�,大數(shù)據(jù)背景下匿名無法做到100%安全,并不能說明相關(guān)風(fēng)險(xiǎn)已超出匿名信息的法律標(biāo)準(zhǔn)�。再識別技術(shù)發(fā)展的同時(shí),匿名技術(shù)也在不斷更新���。加拿大安大略省信息和隱私專員認(rèn)為�,匿名信息再識別的風(fēng)險(xiǎn)被一些研究者錯(cuò)誤地高估了�����。美國聯(lián)邦通訊委員會(huì)也指出���,匿名信息的再識別通常是瑣碎的��。據(jù)JaneYakowitz研究����,匿名化處理后信息的識別率只有0.013%??梢姡涿畔⒌脑僮R別風(fēng)險(xiǎn)仍是極小的���。第二���,否定匿名信息���,將造成意料之外的后果����。否定匿名��,必將降低信息主體將個(gè)人信息匿名的積極性�����,從而不利于個(gè)人信息保護(hù)。另外���,對匿名信息適用個(gè)人信息保護(hù)規(guī)則亦不可行�。若匿名信息處理須獲得信息主體同意���,則為了明確信息主體��,還需先將相關(guān)信息作再識別處理�����,反而更不利于個(gè)人信息保護(hù)���。
筆者認(rèn)為,大數(shù)據(jù)時(shí)代下�����,匿名應(yīng)更加關(guān)注信息的可識別程度���?����?勺R別程度的層次性特征已為國外學(xué)者所注意���。根據(jù)可識別程度��,美國商務(wù)部與國家標(biāo)準(zhǔn)化和技術(shù)機(jī)構(gòu)將信息分為與個(gè)人無關(guān)的信息��、不能被關(guān)聯(lián)到任何個(gè)人的信息���、可被模糊地關(guān)聯(lián)到某些個(gè)人的信息、可被不模糊地關(guān)聯(lián)到一個(gè)特定個(gè)人的信息����、關(guān)聯(lián)到一個(gè)特定個(gè)人的信息。因此����,《網(wǎng)絡(luò)安全法》第42條第1款“無法識別特定個(gè)人且不能復(fù)原”中的“無法”亦應(yīng)按可識別程度解釋���,理解為可識別程度極低��,而實(shí)際上無法做到的100%不可識別��。在大數(shù)據(jù)的背景下充分衡量信息風(fēng)險(xiǎn)�、判定信息的可識別程度,是反思與重構(gòu)匿名的法律標(biāo)準(zhǔn)與處理方式的必由之路���。
立即詢價(jià)
