李润生
(北京中医药大学人文学院,北京 100029)
保护和利用始终是个人信息立法的两大价值追求,保护毋庸赘言,利用亦不可或缺。国务院发布的《促进大数据发展行动纲要》明确指出“数据已成为国家基础性战略资源”,各级政府应“加快大数据部署,深化大数据应用”。截至2022年8月,已有约20个省市陆续出台了配套法规(如《安徽省大数据发展条例》《山东省大数据发展促进条例》《上海市数据条例》),设立了40多个数据交易平台(如北京国际大数据交易所、上海数据交易所、深圳数据交易所),为数据的流通和利用创造了条件。[1]个人信息的保护和利用从来都不是非此即彼的简单选择,而是纵横交错的复杂建构,问题的关键不在于选择,而在于平衡,这已成为学界的基本共识。关于个人信息保护和利用的平衡,已有不少有益的探讨,但是,匿名化是其中一个常被忽视的环节,这不得不说是一个巨大的遗憾。匿名化是个人信息保护法的基本概念,在各国个人信息保护立法中均有规定。我国《个人信息保护法》第73条规定:“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”一般而言,匿名化信息不再属于个人信息,不受个人信息保护法的约束,匿名化需要同时去除个人信息的直接识别性(单独即可识别特定个人)和间接识别性(与其他信息结合后可识别特定个人)。个人信息为个人信息保护法的适用对象,受个人信息保护规则的约束,匿名化信息则因与信息主体断开连结而可得豁免。申言之,匿名化制度是平衡个人信息保护和利用的关键环节,关乎个人信息立法价值之实现,须细察之。
我国《个人信息保护法》已于2021年11月1日起施行。《个人信息保护法》第73条规定了匿名化的概念,即“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程”,并于第4条规定了匿名化的法律效果,即“匿名化处理后的信息”不再属于个人信息,从而不受个人信息保护规则的约束。除上述条款外,再无其他关于匿名化的明确规定。
我国《个人信息保护法》所构建的匿名化制度具有明显的不足,并未形成完整的制度闭环。第一,《个人信息保护法》并未明确规定匿名化的实施标准。如果说,匿名化的概念和法律效果分别对应着匿名化的起点和终点,那么,匿名化的标准就是从起点通往终点的具体路径,标准的缺失将导致处理者无所适从。从用语来看,我国《个人信息保护法》对匿名化的定义与欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)非常相似,这是否意味着我国也采取了“任何人”标准?如若如此,个人信息的范围亦将过度扩张,个人信息的认定也将缺乏明确性。我国也未就匿名化信息的认定设置任何兜底性规则(如安全港规则等),这无疑将加剧规则适用的混乱。第二,《个人信息保护法》并未对匿名化信息的后续流通和处理进行额外的规定。这将导致匿名化信息缺乏必要的保护,最终抑制制度实施的效果。例如,《个人信息保护法》并未规定禁止再识别制度,那么,这是否意味着匿名化信息的后续接收者可以借由外部条件无限制地回复匿名化信息而不受惩罚?再如,《个人信息保护法》第55条虽然规定了风险评估制度,但似乎仅是针对个人信息,匿名化信息的风险评估付之阙如,无法有效应对外部环境对匿名化的持续挑战。此外,《个人信息保护法》对安全保障措施的规定也相当粗糙,缺乏系统性和可操作性,更重要的是,这些安全保障措施也仅适用于个人信息,而不及于匿名化信息。
应予指出的是,除《个人信息保护法》外,《数据安全法》也应被纳入匿名化制度建构的讨论范围,因为后者所设定的数据安全制度不仅适用于个人数据,也适用于匿名化数据。《数据安全法》是我国数据安全领域的基本法,已于2021年9月1日正式施行。根据该法第1条的规定,其适用对象为“数据”,即“任何以电子或者其他方式对信息的记录”(1),这其中既包括了个人数据,也涵盖了匿名化数据。因此,《数据安全法》所规定的各项数据安全制度将一并适用于个人数据和匿名化数据。《数据安全法》规定了较为全面的数据安全制度,包括:(1)风险评估制度,即数据处理者应当对其数据处理活动定期开展风险评估,并向主管机关报送评估报告,尤其应重点评估数据安全的现实风险及其应对措施(第30条);(2)安全保障制度,即数据处理者应当建立全流程的数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全,包括进行安全教育培训、指定数据安全负责人和管理机构以及加强数据安全风险监测等(第27、29条);(3)分级分类保护制度,即国家建立数据的分级分类保护制度,对关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,实行更加严格的管理(第21条);(4)应急处置制度,即国家建立数据安全应急处置机制,当发生数据安全事件时,有关主管部门将及时启动应急预案,采取相应的应急处置措施(第23条),等等。《数据安全法》基于“风险-安全”范式,通过对数据处理活动各个主体、各个环节和各个领域的干预和规制,防止未经授权的数据访问、使用、披露、破坏、修改或销毁行为,从而保障数据的安全。[2]由此可见,《数据安全法》部分弥补了《个人信息保护法》所规定的匿名化制度的缺憾,尤其在匿名化信息的后续流通上填补了制度空白。不过,这并未从根本上改变我国个人信息匿名化制度所面临的困境,因为匿名化标准的缺失将导致制度实施无所适从。
个人信息匿名化制度是个人信息保护法的基础性制度,具有广泛而深刻的影响,但它在实施过程中却遭遇了共通性问题,抑制了制度实施的效果。以下,我们将对个人信息匿名化制度的问题及其成因进行深入分析。
匿名化制度是各国个人信息保护法制的共性制度,各主要发达国家均十分重视匿名化的制度建设。日本《个人信息保护法》第2条规定:“匿名化信息是指按照规定的方法对个人信息进行加工后获得的无法识别特定个人,并无法得到恢复的信息。”这与我国关于匿名化的概念界定基本相同。欧盟GDPR也使用了匿名化(anonymization)的术语,将其定义为:“一种处理个人数据的方式,即处理后单独或与其他数据结合后无法识别特定自然人的过程。”美国法使用的对应词汇是去识别化(de-identified),《加州消费者隐私法案》(California Consumer Privacy Act of 2018,以下简称CCPA)和《健康保险可携性和责任法之隐私规则》(Privacy Rule of Health Insurance Portability and Accountability Act,以下简称《HIPPA隐私规则》)等都对去识别化进行了规定。例如,《HIPPA隐私规则》规定,“去识别化信息是指无法识别出特定个人且没有合理理由相信可以被用来识别出特定个人的信息。”(2)美国法上的去识别化概念与匿名化已非常接近。
个人信息经匿名化处理后,便不再属于个人信息,从而不受个人信息保护规则的约束。由此,匿名化制度的设定直接决定了个人信息的范围,并深刻影响着数据保护和利用的平衡:匿名化的标准越高,则保护的力度越大,利用的空间越小;匿名化的标准越低,则保护的力度越小,利用的空间越大。这似乎陷入了“零和博弈”的迷局。更让人感到困惑的是,曾经颠扑不破的“匿名化”本身正在遭受技术质疑。计算机科学家最近的研究表明,“健壮匿名化”(robust anonymization)的假设存在严重缺陷,即使删除大多数甚至全部识别资料,信息仍可能被再次识别,信息的独特性远超我们的认知。[3]有学者甚至宣称,匿名化已经失败。[3]匿名化的技术争论深刻影响着匿名化制度的发展方向和进程。为缓解公众担忧,各国纷纷提升匿名化的门槛和标准,扩大个人信息保护法的适用范围,由此,个人信息像空气一样无限延展,一部本应有所限制的法律变得无边无际,打破了保护和利用之间的谨慎平衡。这给个人信息保护法的实施带来了很大困难,同时也导致了个人信息认定的模糊。虽然欧盟出台了统一的GDPR,但在欧盟内部,不同国家对特定数据是否构成个人数据也存在分歧,例如,西班牙、瑞典将IP地址认定为个人数据,而德国、法国、英国等则持相反意见。如果说,国外(典型如欧盟国家)匿名化制度实施的困境主要在于个人信息范围的过度扩张以及匿名化标准的模糊,那么,连匿名化的标准都尚未明确建立的我国,则面临着更为严峻的实施困境。综上,本文将重点讨论以下两个核心问题:第一,是否能够构建出一种科学理性的匿名化宏观规制模式,从而平衡个人信息的保护和利用、破解实施困境?第二,基于此种宏观规制模式,我国现行制度应如何完善?
我们首先有必要对匿名化进行必要的区分。信息的匿名化可以区分为技术匿名化和法律匿名化:前者是从技术视角界定的匿名化,主要探讨匿名化的技术可行性问题;后者是从法律视角界定的匿名化,是在承认技术匿名化局限性的基础上,以法律规则对匿名化进行必要的限定。个人信息匿名化制度问题之根源即在于对技术匿名化和法律匿名化之混淆,以及对于法律匿名化之过高期待和过度反应。
1.技术匿名化“神话”之幻灭
科学家曾经对匿名化抱有坚定的信心,认为通过删除姓名、身份证号等识别资料便可以充分保护个人隐私。这在前计算机时代是可以理解的。在纸质记录环境下,个人信息的保存和重复利用绝非易事,对信息进行综合分析则更加困难,在删除常见的个人标识符后,信息很难再与个人相关联,或要付出极高的代价。即使到了计算机发展的早期,受限于存储和计算能力,数据集之间大范围的交叉串联和深度分析也受到很大的限制。在这一阶段,信息的处理是碎片化和随机的,匿名化理论并未受到根本冲击。
但是,随着计算机软硬件技术的快速发展,以及网络所搜集的信息量的爆炸式增长,情况发生了改变。分布式和去中心的计算机系统具有超强的收集、传递和运算个人数据的能力,处理者可借以建立和使用数据聚合进行识别分析,数据处理呈现出四个方面的新变化:(1)可以不经个人知晓而搜集个人数据;(2)可以存储个人数据并长期脱离数据主体对数据进行处理;(3)可以运用数据的逻辑对获取的数据进行比较、联结和运算分析;(4)可以轻易地处理成千上万的位于不同地方、从不同渠道获取的个人数据。[4]这种全面、系统和持续的数据处理方式给匿名化带来了巨大压力。
计算机科学家已经证明,匿名化存在着严重的缺陷,它更像是一个“美丽的神话”。[5]研究发现,数据中潜藏着一种独特的性质,可以用以辨识数据主体,即使删除所有识别字段,也难以将其清除,它被形象地称为“数据指纹”(data fingerprint)。[6]就像遗留在犯罪现场的人类指纹一样,“数据指纹”将暴露数据主体的身份。匿名化信息中也留存有“数据指纹”,而且比大多数人想象的更多、更容易获取。[6]“数据指纹”的产生并非基于孤立的数据集,而是在众多数据集融会贯通下所呈现出的一种整体倾向性,就此而言,即使删除单个数据集中的识别字段,也无法断开个人与数据之间的关联。一旦对手发现了某个数据指纹,他便可以利用丰富的外部信息(即“辅助信息”)识别出特定个体。如果我们对这个世界一无所知,那么许多匿名化技术将是完美的,但事实上,移动互联的世界充斥着有关个人的数据,“辅助信息”散落在地球的各个角落。有学者提出了“唯一性”(unicity)的概念,以量化在一个匿名数据集中,平均需要多少外部信息来重新识别数据主体,结果发现,大型元数据集(如网络浏览历史、财务记录、交通和流动性数据、社交网络数据等)具有更高的唯一性,只需要较少的外部信息,便可以再次识别数据主体。[7]
各种极具渲染力的事件进一步加深了公众对匿名化的不信任。例如,哈佛大学计算机系教授拉坦亚·斯维尼(Latanya Sweeney)仅使用出生日期、性别、选民登记标识符以及保留在出院记录中的邮政编码等公开信息,便确认了时任马萨诸塞州州长威廉·威尔德(William Weld)的健康记录。[8]斯维尼教授坚信,在大数据时代和大数据技术下,完全不可识别的数据是不存在的。类似事件还有不少,未来还会更多,这加剧了公众对隐私泄露的担忧。
2.法律匿名化的制度因应及困境
事实上,各国在立法时均已意识到技术匿名化的局限性。2014年4月,欧盟“第29条工作组”(Article 29 Working Party)提出了《第05/2014号意见:匿名化技术》(Opinion 05/2014 on Anonymization Techniques,以下简称《匿名化意见》),专门分析了匿名化技术在大数据时代的局限性,认为创建真正的匿名数据集将非常困难,技术处理后的匿名数据仍然存在被再次识别的剩余风险(residual risk),任何一项测试技术都不能保证匿名化的效果。[9]日本在修改其匿名加工制度时也认为,“因信息技术不断进步,即使经匿名加工之信息,仍然很难防止第三人利用组合比对技术,回复至特定个人”[10]。而且,研究发现,数据的隐私和效用之间存在固有的冲突关系:为了可用,数据必须保持一定程度的识别性,数据的效用和隐私之间呈现出明显的负相关关系。[3]也就是说,若要保持数据的可用性,完美的匿名化将是不可能的。
因此,各国事实上都是在承认技术匿名化固有局限的基础上构建匿名化制度的,都对匿名化进行了必要的法律限定。根据笔者的总结,各国主要通过设置主客观相结合的标准完成限定(参见表1):主观标准限定以谁的识别能力作为判断基准,客观标准限定信息自身的去连结化程度。具体而言,主观标准主要包括五类。第一,“一般人标准”,即以社会一般多数人的识别能力作为判断基准,不要求具备任何特殊的资质、能力或条件。如果按照社会平均条件无法识别出特定个人,则该信息为匿名化信息。第二,“处理者标准”,即以信息处理者的识别能力作为判断基准,从信息处理者的主观条件出发,本无一致性标准,在个案场景中审查判断。例如,医疗机构处理个人信息时,应以医疗机构的识别能力作为判断基准;制药公司处理个人信息时,则应以制药公司的识别能力作为判断基准。这不可避免地会引起认定的相对化。日本采此标准。[10]美国CCPA也采行类似的标准。[11]第三,“专家标准”,即以特定领域内的专家的识别能力作为判断基准。例如,《HIPPA隐私规则》规定,去识别化信息的判定标准为,“一位具有统计学与科学背景且知道如何对个人信息去连结的专家出具书面分析意见认定,该信息被第三者取得后,将其单独或与其他合理方法可取得的信息比照后,只有非常小的风险可以识别出该信息所连结的主体”(3)。第四,“具有动机的入侵者标准(a motivated intruder test)”,这是英国信息专员办公室在《匿名化:数据保护的风险管理(实务守则)》(Anonymization:Managing Data Protection Risk,Code of Practice)中提出的标准,即以具有动机的入侵者的识别能力作为判断基准。[12]具有动机的入侵者是指具有再识别动机但不具备任何先验知识的人,例如,对于医疗数据库而言,具有动机的入侵者通常不会是一般人,而是医药公司或相关的学术研究者。这一标准假定入侵者具有合理的能力,可以使用相关的资源和技术,但并不假定其具有任何特殊的知识如电脑黑客技术等。第五,“任何人标准”,即以任何人的识别能力作为判断基准,只要任何人基于其主观条件得以从信息中识别出特定个人,则该信息不属于匿名化信息。GDPR采此标准。
表1 匿名化的法律标准
客观标准主要包括两类。第一,“容易照合标准”,即若与其他资料简单容易比对后无法识别出特定个人,则为匿名化信息。日本、美国CCPA采此标准。第二,“合理可能标准”,即通过任何可能、合理的手段比对分析后无法识别出特定个人,则为匿名化信息。GDPR、《HIPPA隐私规则》采此标准。从字面上看,“合理可能标准”比“容易照合标准”更加严格,不过,这种差别一则很难衡量,二则实践效果已十分接近。例如,欧盟和日本在个人信息保护的互认谈判中并未将客观标准的差异作为谈判要点,双方争论的焦点在于前述主观标准的差异,日本为弥合双方分歧而制定的补充细则也未提及前述客观标准的调整,欧日顺利达成了个人信息保护的互认协议。[13]因此,各国对匿名化限定的差别主要在于主观标准,而非客观标准,下文即以“合理可能标准”一并论述客观标准。
技术匿名化的争论给法律匿名化带来了过大的压力,导致立法者逐渐混淆了技术匿名化与法律匿名化的分野和定位,技术匿名化成为法律匿名化的指挥棒,“技术完美主义”成为否定匿名化制度的“科学”证据。为缓解公众担忧,各国纷纷提升匿名化的标准,扩大个人信息的范围,以进一步满足“技术完美主义”的诉求。这在欧盟GDPR中体现得最为明显。GDPR将个人数据(4)定义为“与一个已识别或可识别的自然人相关的任何数据”(5),“为判断自然人身份是否可识别,需要考虑所有可能使用的手段,为判断所使用的手段是否可能用于识别自然人,需要考虑所有客观因素。”(6)欧盟对此解释为,个人数据采取了广义的定义方式,尽量纳入所有可能识别个人的数据,故立法语言尽可能一般化。[14]包括我国和韩国在内的很多国家都深受GDPR的影响,就连一向在个人信息立法上保持克制的美国,也已有部分州(如华盛顿州)提出了GDPR式的法案[15]。这是一种过度的反应,个人信息保护法由此成为一部没有门槛的法律,打破了保护和利用之间的应有平衡。有学者悲观地指出,无论监管机构如何有效地遵循最新的技术研究成果,将新识别的数据领域纳入监管范围,它都会发现更多尚未涵盖的领域,直到它覆盖一切。[16]这同时也导致了个人信息认定的模糊。没有边界和门槛的法律,何来规则的明确性?这给个人信息保护法的实施带来了很大困难。欧盟在GDPR实施两年后的评估报告中指出,GDPR并未兑现承诺,反而成为欧洲数字经济的沉重负担,成员国缺乏充足的执法资源,对个人信息的解释也经常陷入分歧,执法前后不一。[17]这就是各国所面临的个人信息保护法实施困境和问题的根源所在。
针对前文提出的两大核心问题,可以基于比较法经验和我国实践分别提出针对性的解决方案。首先建构一种平衡的匿名化宏观规制模式,进而基于该模式,提出我国现行匿名化制度的优化方案。
尽管存在诸多问题,各国均未抛弃匿名化制度,而是在保留的基础上予以修缮。原因在于,取消匿名化制度可能导致个人信息范围的进一步扩张。如果连匿名化的过滤功能也被取消,个人信息将无所不在,侵蚀正常的社会交往空间。理性的选择是对匿名化制度进行修改和完善,各国已经开展了诸多尝试。例如,有的国家选择降低匿名化的标准,限缩个人信息的范围,典型如美国CCPA;有的国家选择设置安全港规则和符号型个人信息制度,提升匿名化认定的明确性,典型如《HIPPA隐私规则》和日本《个人信息保护法》;有的国家选择建立动态风险评估制度,动态评估匿名化信息的风险,典型如欧盟GDPR等。不过,上述多种方案总体给人头痛医头、杂乱无章之感,无法形成琴瑟和谐的制度合力。若要打破此种僵局,提炼出匿名化规制的宏观模式并据此构建井然有序的制度体系,需要细化举措。在此,力求通过“前端宽松+过程控制”模式,破解匿名化制度的实施困境。
1.“前端宽松+过程控制”规制模式的正当性探析
所谓“前端宽松+过程控制”,是指适度降低匿名化的认定标准,放宽前端准入门槛,注重通过过程控制措施保障信息的安全,从而实现平衡有序的规制。其中,“前端宽松”是规制目标,以利用为导向,“过程控制”是安全保障,以风险为导向,二者前后衔接、相互配合,共同组成逻辑整体。“前端宽松+后端控制”的规制理念,既可化解个人信息的无序扩张和认定混乱困境,也能有效平衡信息的保护和利用。
(1)“前端宽松”的正当性探析
“前端宽松”是否具有正当性呢?这首先需要理清匿名化的制度定位。诚如前述,个人信息立法始终在保护和利用两种价值目标之间穿梭游走,名曰保护法,实为保护和利用平衡之法。而且,不同制度所肩负的具体使命是不同的,其中,匿名化制度的基本定位是利用导向,这有可靠的立法证据。例如,日本明确将匿名加工制度视为“促进大数据利用的重要催化剂”[18],旨在通过匿名化信息目的外利用之豁免,推动大数据技术的应用和发展。[19]为进一步推动个人医疗信息的活用,增进国民健康福祉,日本还专门颁布了《下一代医疗基础设施法》,该法全称为《有助于医疗领域研究开发的匿名加工医疗信息法》,旨在通过对匿名加工制度的针对性改造,进一步推动个人医疗信息的流通和利用。[20]可见,日本法明确将匿名加工制度视为促进信息利用的工具。欧盟《匿名化意见》也指出,匿名数据的价值在于通过匿名化技术使原本具有人身属性的数据不再能够识别特定个人,从而推动合理的商业化利用。
事实上,这也深深地烙印于个人信息立法的规制逻辑。个人信息与个人相关联,关乎个人尊严、原则保护、例外豁免(如基于各种公共利益的许可处理规则);匿名化信息则因与个人断开连结,原则上不受个人信息保护规则的约束,但仍应例外地履行相关义务(如禁止再识别义务等)。匿名化制度的设立宗旨在于创造信息利用的公共空间,维护公共利益。正如学者所言,几乎每一次公共政策辩论都得益于匿名数据集的大规模传播:卫生经济学家利用医疗保险数据进行的研究是医疗制度改革的辩论核心,公共犯罪数据被用于揭示警察资源的分配不公,微观人口数据被用于检测居民住房中的种族隔离趋势,等等。[21]过分严苛的匿名化制度将使社会遭受所谓的“数据共享悲剧(tragedy of data commons)”。
因此,以利用为导向就是匿名化制度的基本定位,适度降低匿名化的标准无疑是合理的选择。我们不应过度夸大匿名化本身所提供的保护功能,而应更多依靠体系的力量、依靠匿名化之外的措施、依靠“过程控制”机制达成保护目标。
(2)“过程控制”的正当性探析
“过程控制”是否具有正当性呢?须知,“过程控制”并非要完全排除风险,而是追求风险的最小化,因而是风险导向和风险容忍的。“过程控制”的逻辑起点在于承认完美匿名化的虚幻性,承认技术进步对匿名化的现实冲击,因而将关注重点从结果转向过程,通过对匿名化信息流转利用的各个环节、各个主体的约束性安排,尽可能减少再识别的风险。关注过程的视角将让我们超越技术匿名化自身是否可靠的争论,而将更多精力置于风险的控制上,专注于减轻风险的流程和步骤,而不是一味地拒绝风险和危害。这是一种务实的中间道路,在承认匿名化局限性的同时,将其置于更宽广的视野,通过各类措施(包括但不限于去识别化)的综合运用,尽可能降低数据流通的风险,并为数据利用创造空间。正如学者所言,数据保护法应是一种基于过程的、场景化的和危害容忍的法律,其重点在于执行各类风险管控措施,即使威胁是遥远的,也要尽可能降低危害发生的可能性。[5]“过程控制”所惩罚的不是匿名化信息被泄露或再次识别的结果,而是未执行各项安全措施的行为和状态,数据保护法应从结果导向转向过程导向,从前端控制转向过程控制,从隐私侵权法(以损害为核心)转向数据安全法(以风险为核心)。
事实上,各国已经在个人信息保护实践中或多或少地融入了“过程控制”理念。例如,CCPA首先对去识别化进行了抽象定义,“去识别化信息是指不能直接或间接地合理识别、关联或描述到某一特定消费者的信息”,进而设定了一个更加具象的标准,即如果经营者采取(1)防止再次识别的技术保护措施;(2)防止再次识别的经营流程;(3)防止去识别化信息因疏忽而泄露的经营流程;以及(4)承诺不再重新识别,则该等信息被视为去识别化信息。(7)CCPA的逻辑是,只要经营者采取了必要的“过程性”控制措施并证明没有再次识别的意图,便推定其符合去识别化的标准。[22]某种意义而言,这是以过程控制措施取代前端识别标准。此外,欧盟GDPR的数据保护影响评估制度、安全保障制度,日本的禁止再识别制度、明示制度等都是“过程控制”的具体体现。需要指出的是,“过程控制”应与“前端宽松”有序衔接、适当配合,“过程控制”既是“前端宽松”的延伸和保障,也是“前端宽松”的调节工具:“过程控制”越周延有效,“前端宽松”越具张力和空间,反之则越趋紧缩和压抑。
2.“前端宽松+过程控制”规制模式之展开
依据“前端宽松+过程控制”的规制理念,我们首先对各国的匿名化制度作简要评述。总体而言,欧盟GDPR相当重视匿名数据的“过程控制”,设置了风险评估、安全保障等过程控制措施,不过,欧盟的匿名化标准过于严苛,前后失调,偏重保护而抑制利用。美国似乎有些分裂:CCPA和FTCA(8)较为充分地贯彻了“前端宽松+过程控制”的理念,甚至有以“过程控制”取代“前端管控”的倾向,不过,其过程控制措施较为粗糙,不够完善;《HIPPA隐私规则》既规定了严苛的去识别化标准,又设置了细密的过程控制措施,更接近于GDPR。日本《个人信息保护法》的设计相对均衡,采行了以处理者为参照系的匿名化标准,也设置了若干过程控制措施,但整体而言仍有较大的充实空间。那么,究竟如何才能充分贯彻“前端宽松+过程控制”的规制理念呢?以下,笔者将参鉴各国经验,提出规制方案。
第一,设定以处理者为参照的匿名化标准。即以信息处理者的识别能力作为判别匿名化的基准。这是相对较低的标准,为匿名化创造了空间,是“前端宽松”的直接体现。应当说,个人信息保护法本身就是以处理者为核心的规则体系,规范对象是处理者的信息处理活动[4],以信息处理者为参照系设定判断基准,合乎法理。处理者是匿名化的主要实施者,以处理者的能力及其所掌控的外部信息评估匿名化的风险,亦合乎情理。相反,采行第三人标准(如具有动机的入侵者标准、任何人标准等),则有强人所难之嫌,因为第三方的技术能力及其所掌控的外部信息,并非处理者所能预测或评估。[19]当然,处理者标准的运用可能会导致认定的相对性,但相对性不等于模糊性,相对性不会妨碍规则的适用,匿名化的认定本身就是动态的、基于场景的,应根据场景的不同而作相应调整,相对性本为题中应有之义。处理者是“自主决定处理目的、处理方式等个人信息处理事项的组织和个人”(9),处理者标准不但不会增加匿名加工的模糊性,反而有助于提升其明确性。
反面观之,“一般人标准”过于宽松,暂无国家采行,“任何人标准”又过于严苛,将导致个人信息的无序扩张和认定混乱。“专家标准”也是一种过高的标准,“专家”一词本身就有严格认定的色彩和倾向,正如我们在侵权责任法中所构建的“专家责任”制度。“具有动机的入侵者标准”较为模糊,如何选定“入侵者”,如何衡量其识别能力,难以掌控,虽然假定“入侵者”不具有任何先验知识和特殊技能,但实际操作中到底与“任何人标准”和“专家标准”有多少差别,不无疑问,以至于最先提出该标准的英国也未在其正式立法中予以采行。
第二,明确规定安全港规则和符号型个人信息制度。为进一步避免认定歧义,廓清适用范围,笔者建议设立安全港规则和符号型个人信息制度。安全港规则是指只要删除法定种类的识别资料,即为匿名化信息,无须再作额外审查。这为匿名信息的认定提供了“安全港”,有助于提升认定的明确性。例如,《HIPPA隐私规则》规定,只要删除法定的18种识别资料,即确定的成为去识别化信息。符号型个人信息制度是指只要包含特定的符号,即为个人信息,无须额外审查。这有助于简化个人信息的认定程序、减少灰色地带、提升明确性。例如,日本《个人信息保护法》于2015年增设了符号型个人信息制度,即政府事先认定特定的符号,只要包含认定的符号,则为个人信息,无须额外的评估。认定符号是匿名加工时必须删除的符号。[19]安全港规则和符号型个人信息制度,一正一反,相互配合,共同廓清个人信息的范围,简化匿名信息的认定,完成“前端宽松”的标定。
第三,明确规定禁止再识别制度。禁止再识别制度是指匿名化信息的处理者和接收者不得再次识别信息主体,违者将承担行政或刑事法律责任。日本《个人信息保护法》第36条第5项规定,匿名化信息的处理者和接收者不得再次识别信息中的特定个人,违者将承担行政或刑事法律责任。英国《数据保护法》明确将“故意或重大过失从匿名或化名数据中重新确认个人身份的行为”认定为犯罪。[23]禁止再识别制度赋予匿名化信息的处理者和接收者以强制性义务,从而精准补齐了“处理者标准”的视野盲区。应当说,禁止再识别义务从制度上阻断了匿名化信息被再次识别之可能,使匿名化信息从制作、保管到流通均有制度护航,从而形成了完整链条,为“前端宽松”创造了条件。匿名化信息之“不能复原”,既包括技术上之“不能复原”,也包括法律上、制度上之“不能复原”。禁止再识别制度是“过程控制”的重要环节。
第四,明确规定公开制度和明示制度。这是日本法上的经验。根据日本《个人信息保护法》第36条第4、6项的规定,匿名化信息的处理者应当将匿名化信息的加工方法、流向等公开,以接受公众监督;匿名化信息的处理者应当向接受匿名化信息的第三者明示,其负担与提供人相同之义务,包括禁止再识别义务、安全维护义务等。公开制度可以有效发动社会监督,促使处理者形成自我约束机制。明示义务的设置将禁止再识别义务、安全维护义务等真正落实于流通链条的各个环节、各个主体,从而使匿名化信息的流通更加顺畅可靠。公开和明示制度是“过程控制”的重要保障。
第五,明确规定匿名化信息的动态风险评估制度。包括欧盟在内的不少国家已建立起动态风险评估制度,它承认技术和场景的变化对匿名化的影响,不再将匿名化视作一蹴而就,而是一项持续的、不断调适的长期工作。处理者不应过度依赖某种特定的匿名加工方法,而应定期识别新的风险、重新评估剩余风险。例如,GDPR第35条全面规定了数据保护影响评估制度,“对于可能给自然人的权利和自由带来高风险的数据处理活动,处理者应在处理活动开展前对预期处理操作进行数据保护影响评估”,评估的具体内容包括“预期处理活动的内容及目的、处理活动的必要性和适当性、对自然人的权利和自由所带来的风险以及预期的风险防范措施等”。动态风险评估制度将匿名化的认定与特定场景结合,以个案分析的精神,评估特定场景中匿名化信息的风险状况及防控措施的有效性,从而提升了保护的实效,是“过程控制”的重要支撑。
第六,规定完备的安全保障措施。安全保障措施是处理者在信息管理过程中为维护信息安全而采取的技术、组织和物理空间上的保护措施的总称。安全保障措施通过赋予处理者以各类强制性保障义务,建立安全保障体系,维护信息安全。大多数国家都规定了安全保障措施,例如,欧盟GDPR规定,数据控制者应采取必要的技术性和组织性措施保障匿名数据的安全(10);日本《个人信息保护法》第36条第3项规定,匿名化信息的处理者负有安全维护义务,应采取适当的安全维护措施,防止匿名化信息被泄露或违法利用。安全保障措施是一个宏大的体系,旨在通过各类技术、组织和物理空间措施,编织细密的安全网,保证信息的全程安全,它涵盖了各类常见的安全措施,覆盖了数据处理的各个环节、各个主体,具有良好的伸缩性,更加契合动态保护的需求,充分彰显了“过程控制”的理念,是“前端宽松”的最终保障。
上述六条措施共同构成了“前端宽松+过程控制”的匿名化规制方案:处理者标准是一种合理适度的认定标准,为信息的匿名化创造了必要空间,是“前端宽松”的直接体现和逻辑起点;安全港规则与符号型个人信息制度则与处理者标准相互呼应、相互补充,进一步廓清匿名化信息的范围,简化认定程序,提升明确性,共同完成“前端宽松”的标定工作;禁止再识别制度不但将匿名化信息的加工、流通和利用全流程纳入保护框架,而且精准补齐了“处理者标准”的视野盲区,搭建起“过程控制”的制度骨架;公开和明示制度通过发动社会监督并将禁止再识别等义务细致融入流通链条的各个环节、各个主体,为“过程控制”提供了重要保障;动态风险评估制度将匿名化信息的认定与特定场景相结合,旨在提升“过程控制”的实效性;安全保障措施则通过技术、组织和物理空间等各类措施的综合运用,编织细密的后端防护网,为“前端宽松”和“过程控制”提供最终保障。“前端宽松+过程控制”的规制模式,既降低了匿名化的实施门槛,为信息利用创造了空间,又提升了保护的实效性,跳出了“零和博弈”的困局,真正实现了保护和利用之平衡。
首先,我国应设定匿名化的明确标准,填补制度漏洞,采行处理者标准,即以“信息处理者能否通过合理、可能的手段识别特定个人”作为匿名化的判断基准,可考虑通过立法解释的形式予以明确。虽然《个人信息保护法》在匿名化的概念界定上参照了GDPR,但在具体认定标准上应有灵活解释的余地,切忌重蹈欧盟的覆辙。正如学者所言,“欧盟停留在基本权利层面的泛化保护模式具有一定的合理性,但我国的个人信息保护立法必须兼顾规则的可执行性、可适用性和可监管性,必须考虑我国的历史传统和现实国情,不可将个人信息保护法看成是承担一切个人信息保护的法律”[4]。在《数据安全法》已出台的背景下,我们可以而且应当在匿名化的标准设定上保持必要的克制。
其次,我国应增设安全港规则和符号型个人信息制度。具体而言,可考虑于《个人信息保护法》中预留制度接口,表述为,“如果已经删除法定类别的识别资料,则为匿名化信息”,“包含特定符号的信息是个人信息”,主管机关可据此出台实施细则,制定行业性的、动态调整的符号目录,以适应外部环境的变化。这之于我国尤其必要。我国幅员辽阔,地域差异大,且各地执法人员素质参差不齐,抽象标准(“处理者标准”)在落地过程中容易引起混乱,安全港规则和符号型个人信息制度有助于简化认定程序,提升明确性。
再次,我国应增设禁止再识别制度、明示制度和公开制度,明确规定,匿名化信息的处理者及后续接收者不得再次识别信息中的特定个人;匿名化信息的处理者应向接收者明示其负担相同之义务,包括禁止再识别义务、安全维护义务等;匿名化信息的处理者应将匿名化信息的加工方法、流向等事项向社会公开,接受社会监督。这是对“前端宽松”的直接回应,可精准填补“处理者标准”所带来的风险漏洞,从处理者到后续接收者,从加工、存储到流通利用,各个主体、各个环节均负担明确的义务,匿名化制度将由此形成逻辑闭环。
从次,匿名化信息的动态风险评估制度宜由《数据安全法》及其实施细则规定,《个人信息保护法》无须另作规定。《数据安全法》第30条已经规定了动态风险评估制度,且已覆盖匿名化数据,《个人信息保护法》无须再针对匿名化信息另作规定,惟《数据安全法》的规定较为宏观,主管机关应尽快出台实施细则,明确风险评估的启动条件、评估周期、评估重点等关键事项,尤其应将匿名化信息的风险状况、匿名化措施的有效性等作为重点评估事项。经评估,若匿名化措施无法维护信息安全,应要求处理者采取额外的匿名化步骤,否则不再视为匿名化信息。动态风险评估制度是我国构建“前端宽松+过程控制”的匿名化方案的重要支撑。
最后,匿名化信息的安全保障措施宜由《数据安全法》及其实施细则规定,《数据安全法》已经规定了多项安全保障措施,且已覆盖匿名化数据,《个人信息保护法》无须另作规定。但是,《数据安全法》的规定仍较为粗犷,主管机关应尽快出台实施细则,全面规定各类技术、组织和物理空间保障措施,并可参照《HIPPA隐私规则》,将全部措施划分为必要性和建议性两类,根据不同的场景进行定制化安排,增强保护的实效性。
注释:
(1)参见《数据安全法》第3条第1款。
(2)参见美国联邦行政法典第45本之164章514条a款,45 C.F.R.§164.514(a)。
(3)参见美国联邦行政法典第45本之164章514条b款,45 C.F.R.§164.514(b)(1)。
(4)一般认为,数据和信息有细微差别,数据是电子信息的载体,电子信息是数据的内容。为行文方便,本文暂将数据和信息视作同义,相互通用。
(5)参见GDPR Article 4。
(6)参见GDPR Preface(26)。
(7)参见CCPA under Cal.Civ.Code§1798.145(h)。
(8)即《联邦贸易委员会法案》(Federal Trade Commission Act),简称FTCA。
(9)参见《个人信息保护法》第73条。
(10)参见GDPR Preface(29)。