“破碎的隐私承诺”之防范:匿名化处理再识别风险法律规则研究

个人信息保护与个人信息利用之间的本源性冲突,在匿名化处理问题上转化为匿名化处理的有效性与匿名信息实用性之间的矛盾。匿名信息的实用性、匿名化处理的场景性暗含了匿名化处理的再识别风险。我国应在立法中正面承认匿名化处理再识别风险的存在,并明确禁止信息控制者及第三人对匿名信息进行再识别;信息控制者应将技术措施和管理措施相结合,在事前、事中、事后分阶段对匿名化处理的再识别风险予以防范,尤其注重通过匿名信息使用协议防范再识别风险;还可构建基于再识别风险的匿名信息分级披露制度。

政府数据开放场景下匿名化数据的再识别风险防范

个人数据匿名化是平衡政府数据开放与个人数据保护之间利益冲突的有益方案。鉴于匿名化数据仍存在剩余风险,政府宜遵循整体主义立场与功能主义视角对匿名化数据进行贯穿前、中、后端的全流程再识别风险防范。前端风险防范旨在通过有效的匿名化处理从源头上降低再识别风险,政府宜确定定性与定量相结合的匿名化判断标准、相对性的匿名化判断视角以及“三级分类”式匿名化流程。中端风险防范致力于通过再识别风险评估控制再识别风险,政府宜采用以固定周期评估为主、突发事件评估为辅的评估时间,结合主体、动机与方法的综合性攻击模型并根据评估结果对数据加以处理。后端风险防范的主要内容是再识别后的处理与追责,在匿名化数据被重新识别为个人数据后,政府应通过收回外泄资料等方式在最大程度上减少再识别给数据主体造成的损失,并在存在失职行为时承担相应法律责任。

数字时代个人信息匿名化规则的困境与优化

个人信息保护和数据效用的平衡是数字时代亟需解决的问题.在知情同意原则无法满足数字经济发展对海量信息的规制需求后,个人信息匿名化技术应运而生.近年来个人信息匿名化规则的制定与推进成为多国监管机关的重点,我国亦不例外.然而,当前的匿名化规则存在明显缺陷,导致该规则在实践中面临诸多困境.需在“功能性匿名化”理念指导下优化匿名化规则,重视信息所处的数据环境,对个人信息进行场景化界定,将再识别风险降低至可接受的水平,并为匿名信息处理者设置对应义务管理再识别风险.

个人信息匿名化的理论基础与制度建构

匿名化技术作为兼顾数据利用和数据安全的技术始终难以真正落地,原因在于《个人信息保护法》第73条对“匿名化”概念设置了“无法识别”和“不能复原”两个限定条件,这一苛刻要求使得匿名化制度处于“存而不用”的状态。虽然匿名化处理无法实现完全匿名已成共识,但是对于相对匿名的判断标准以及重新识别风险的限定范围始终存有较大争议。现阶段匿名化制度的理论探讨普遍忽视了对该项制度的理论基础探究,而将解决思路限定在个体权益保护的范畴。在数据关系理论范式下,这种信息要素关联性指向的是横向数据关系层面的群体性特征,而这种群体性特征恰恰也是数据经济价值的关键所在。因此,匿名化制度的功能定位应当从单纯地保障个体信息私密性转变为在保障数据关联经济价值的基础上降低重新识别风险。在制度建构层面,匿名化信息所要求的“不能复原”应当被解释为经由事前的风险评估,复原的技术难度和时间成本远超一般主体所能接受的范围。