個(gè)人信息匿名化的制度困境與優(yōu)化路徑*
——構(gòu)建“前端寬松+過程控制”規(guī)制模式之探討

李潤生

（北京中醫(yī)藥大學(xué)人文學(xué)院，北京 100029）

保護(hù)和利用始終是個(gè)人信息立法的兩大價(jià)值追求，保護(hù)毋庸贅言，利用亦不可或缺。國務(wù)院發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》明確指出“數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源”，各級(jí)政府應(yīng)“加快大數(shù)據(jù)部署，深化大數(shù)據(jù)應(yīng)用”。截至2022年8月，已有約20個(gè)省市陸續(xù)出臺(tái)了配套法規(guī)（如《安徽省大數(shù)據(jù)發(fā)展條例》《山東省大數(shù)據(jù)發(fā)展促進(jìn)條例》《上海市數(shù)據(jù)條例》），設(shè)立了40多個(gè)數(shù)據(jù)交易平臺(tái)（如北京國際大數(shù)據(jù)交易所、上海數(shù)據(jù)交易所、深圳數(shù)據(jù)交易所），為數(shù)據(jù)的流通和利用創(chuàng)造了條件。［1］個(gè)人信息的保護(hù)和利用從來都不是非此即彼的簡(jiǎn)單選擇，而是縱橫交錯(cuò)的復(fù)雜建構(gòu)，問題的關(guān)鍵不在于選擇，而在于平衡，這已成為學(xué)界的基本共識(shí)。關(guān)于個(gè)人信息保護(hù)和利用的平衡，已有不少有益的探討，但是，匿名化是其中一個(gè)常被忽視的環(huán)節(jié)，這不得不說是一個(gè)巨大的遺憾。匿名化是個(gè)人信息保護(hù)法的基本概念，在各國個(gè)人信息保護(hù)立法中均有規(guī)定。我國《個(gè)人信息保護(hù)法》第73條規(guī)定：“匿名化，是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。”一般而言，匿名化信息不再屬于個(gè)人信息，不受個(gè)人信息保護(hù)法的約束，匿名化需要同時(shí)去除個(gè)人信息的直接識(shí)別性（單獨(dú)即可識(shí)別特定個(gè)人）和間接識(shí)別性（與其他信息結(jié)合后可識(shí)別特定個(gè)人）。個(gè)人信息為個(gè)人信息保護(hù)法的適用對(duì)象，受個(gè)人信息保護(hù)規(guī)則的約束，匿名化信息則因與信息主體斷開連結(jié)而可得豁免。申言之，匿名化制度是平衡個(gè)人信息保護(hù)和利用的關(guān)鍵環(huán)節(jié)，關(guān)乎個(gè)人信息立法價(jià)值之實(shí)現(xiàn)，須細(xì)察之。

一、個(gè)人信息匿名化制度的現(xiàn)狀

我國《個(gè)人信息保護(hù)法》已于2021年11月1日起施行。《個(gè)人信息保護(hù)法》第73條規(guī)定了匿名化的概念，即“匿名化，是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程”，并于第4條規(guī)定了匿名化的法律效果，即“匿名化處理后的信息”不再屬于個(gè)人信息，從而不受個(gè)人信息保護(hù)規(guī)則的約束。除上述條款外，再無其他關(guān)于匿名化的明確規(guī)定。

我國《個(gè)人信息保護(hù)法》所構(gòu)建的匿名化制度具有明顯的不足，并未形成完整的制度閉環(huán)。第一，《個(gè)人信息保護(hù)法》并未明確規(guī)定匿名化的實(shí)施標(biāo)準(zhǔn)。如果說，匿名化的概念和法律效果分別對(duì)應(yīng)著匿名化的起點(diǎn)和終點(diǎn)，那么，匿名化的標(biāo)準(zhǔn)就是從起點(diǎn)通往終點(diǎn)的具體路徑，標(biāo)準(zhǔn)的缺失將導(dǎo)致處理者無所適從。從用語來看，我國《個(gè)人信息保護(hù)法》對(duì)匿名化的定義與歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）非常相似，這是否意味著我國也采取了“任何人”標(biāo)準(zhǔn)？如若如此，個(gè)人信息的范圍亦將過度擴(kuò)張，個(gè)人信息的認(rèn)定也將缺乏明確性。我國也未就匿名化信息的認(rèn)定設(shè)置任何兜底性規(guī)則（如安全港規(guī)則等），這無疑將加劇規(guī)則適用的混亂。第二，《個(gè)人信息保護(hù)法》并未對(duì)匿名化信息的后續(xù)流通和處理進(jìn)行額外的規(guī)定。這將導(dǎo)致匿名化信息缺乏必要的保護(hù)，最終抑制制度實(shí)施的效果。例如，《個(gè)人信息保護(hù)法》并未規(guī)定禁止再識(shí)別制度，那么，這是否意味著匿名化信息的后續(xù)接收者可以借由外部條件無限制地回復(fù)匿名化信息而不受懲罰？再如，《個(gè)人信息保護(hù)法》第55條雖然規(guī)定了風(fēng)險(xiǎn)評(píng)估制度，但似乎僅是針對(duì)個(gè)人信息，匿名化信息的風(fēng)險(xiǎn)評(píng)估付之闕如，無法有效應(yīng)對(duì)外部環(huán)境對(duì)匿名化的持續(xù)挑戰(zhàn)。此外，《個(gè)人信息保護(hù)法》對(duì)安全保障措施的規(guī)定也相當(dāng)粗糙，缺乏系統(tǒng)性和可操作性，更重要的是，這些安全保障措施也僅適用于個(gè)人信息，而不及于匿名化信息。

應(yīng)予指出的是，除《個(gè)人信息保護(hù)法》外，《數(shù)據(jù)安全法》也應(yīng)被納入匿名化制度建構(gòu)的討論范圍，因?yàn)楹笳咚O(shè)定的數(shù)據(jù)安全制度不僅適用于個(gè)人數(shù)據(jù)，也適用于匿名化數(shù)據(jù)?！稊?shù)據(jù)安全法》是我國數(shù)據(jù)安全領(lǐng)域的基本法，已于2021年9月1日正式施行。根據(jù)該法第1條的規(guī)定，其適用對(duì)象為“數(shù)據(jù)”，即“任何以電子或者其他方式對(duì)信息的記錄”（1），這其中既包括了個(gè)人數(shù)據(jù)，也涵蓋了匿名化數(shù)據(jù)。因此，《數(shù)據(jù)安全法》所規(guī)定的各項(xiàng)數(shù)據(jù)安全制度將一并適用于個(gè)人數(shù)據(jù)和匿名化數(shù)據(jù)?！稊?shù)據(jù)安全法》規(guī)定了較為全面的數(shù)據(jù)安全制度，包括：（1）風(fēng)險(xiǎn)評(píng)估制度，即數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向主管機(jī)關(guān)報(bào)送評(píng)估報(bào)告，尤其應(yīng)重點(diǎn)評(píng)估數(shù)據(jù)安全的現(xiàn)實(shí)風(fēng)險(xiǎn)及其應(yīng)對(duì)措施（第30條）；（2）安全保障制度，即數(shù)據(jù)處理者應(yīng)當(dāng)建立全流程的數(shù)據(jù)安全管理制度，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全，包括進(jìn)行安全教育培訓(xùn)、指定數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)以及加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)等（第27、29條）；（3）分級(jí)分類保護(hù)制度，即國家建立數(shù)據(jù)的分級(jí)分類保護(hù)制度，對(duì)關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理（第21條）；（4）應(yīng)急處置制度，即國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)，有關(guān)主管部門將及時(shí)啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施（第23條），等等。《數(shù)據(jù)安全法》基于“風(fēng)險(xiǎn)-安全”范式，通過對(duì)數(shù)據(jù)處理活動(dòng)各個(gè)主體、各個(gè)環(huán)節(jié)和各個(gè)領(lǐng)域的干預(yù)和規(guī)制，防止未經(jīng)授權(quán)的數(shù)據(jù)訪問、使用、披露、破壞、修改或銷毀行為，從而保障數(shù)據(jù)的安全。［2］由此可見，《數(shù)據(jù)安全法》部分彌補(bǔ)了《個(gè)人信息保護(hù)法》所規(guī)定的匿名化制度的缺憾，尤其在匿名化信息的后續(xù)流通上填補(bǔ)了制度空白。不過，這并未從根本上改變我國個(gè)人信息匿名化制度所面臨的困境，因?yàn)槟涿瘶?biāo)準(zhǔn)的缺失將導(dǎo)致制度實(shí)施無所適從。

二、個(gè)人信息匿名化制度的問題及成因

個(gè)人信息匿名化制度是個(gè)人信息保護(hù)法的基礎(chǔ)性制度，具有廣泛而深刻的影響，但它在實(shí)施過程中卻遭遇了共通性問題，抑制了制度實(shí)施的效果。以下，我們將對(duì)個(gè)人信息匿名化制度的問題及其成因進(jìn)行深入分析。

（一）個(gè)人信息匿名化制度的問題闡釋

匿名化制度是各國個(gè)人信息保護(hù)法制的共性制度，各主要發(fā)達(dá)國家均十分重視匿名化的制度建設(shè)。日本《個(gè)人信息保護(hù)法》第2條規(guī)定：“匿名化信息是指按照規(guī)定的方法對(duì)個(gè)人信息進(jìn)行加工后獲得的無法識(shí)別特定個(gè)人，并無法得到恢復(fù)的信息?！边@與我國關(guān)于匿名化的概念界定基本相同。歐盟GDPR也使用了匿名化（anonymization）的術(shù)語，將其定義為：“一種處理個(gè)人數(shù)據(jù)的方式，即處理后單獨(dú)或與其他數(shù)據(jù)結(jié)合后無法識(shí)別特定自然人的過程。”美國法使用的對(duì)應(yīng)詞匯是去識(shí)別化（de-identified），《加州消費(fèi)者隱私法案》（California Consumer Privacy Act of 2018，以下簡(jiǎn)稱CCPA）和《健康保險(xiǎn)可攜性和責(zé)任法之隱私規(guī)則》（Privacy Rule of Health Insurance Portability and Accountability Act，以下簡(jiǎn)稱《HIPPA隱私規(guī)則》）等都對(duì)去識(shí)別化進(jìn)行了規(guī)定。例如，《HIPPA隱私規(guī)則》規(guī)定，“去識(shí)別化信息是指無法識(shí)別出特定個(gè)人且沒有合理理由相信可以被用來識(shí)別出特定個(gè)人的信息?！保?）美國法上的去識(shí)別化概念與匿名化已非常接近。

個(gè)人信息經(jīng)匿名化處理后，便不再屬于個(gè)人信息，從而不受個(gè)人信息保護(hù)規(guī)則的約束。由此，匿名化制度的設(shè)定直接決定了個(gè)人信息的范圍，并深刻影響著數(shù)據(jù)保護(hù)和利用的平衡：匿名化的標(biāo)準(zhǔn)越高，則保護(hù)的力度越大，利用的空間越小；匿名化的標(biāo)準(zhǔn)越低，則保護(hù)的力度越小，利用的空間越大。這似乎陷入了“零和博弈”的迷局。更讓人感到困惑的是，曾經(jīng)顛撲不破的“匿名化”本身正在遭受技術(shù)質(zhì)疑。計(jì)算機(jī)科學(xué)家最近的研究表明，“健壯匿名化”（robust anonymization）的假設(shè)存在嚴(yán)重缺陷，即使刪除大多數(shù)甚至全部識(shí)別資料，信息仍可能被再次識(shí)別，信息的獨(dú)特性遠(yuǎn)超我們的認(rèn)知。［3］有學(xué)者甚至宣稱，匿名化已經(jīng)失敗。［3］匿名化的技術(shù)爭(zhēng)論深刻影響著匿名化制度的發(fā)展方向和進(jìn)程。為緩解公眾擔(dān)憂，各國紛紛提升匿名化的門檻和標(biāo)準(zhǔn)，擴(kuò)大個(gè)人信息保護(hù)法的適用范圍，由此，個(gè)人信息像空氣一樣無限延展，一部本應(yīng)有所限制的法律變得無邊無際，打破了保護(hù)和利用之間的謹(jǐn)慎平衡。這給個(gè)人信息保護(hù)法的實(shí)施帶來了很大困難，同時(shí)也導(dǎo)致了個(gè)人信息認(rèn)定的模糊。雖然歐盟出臺(tái)了統(tǒng)一的GDPR，但在歐盟內(nèi)部，不同國家對(duì)特定數(shù)據(jù)是否構(gòu)成個(gè)人數(shù)據(jù)也存在分歧，例如，西班牙、瑞典將IP地址認(rèn)定為個(gè)人數(shù)據(jù)，而德國、法國、英國等則持相反意見。如果說，國外（典型如歐盟國家）匿名化制度實(shí)施的困境主要在于個(gè)人信息范圍的過度擴(kuò)張以及匿名化標(biāo)準(zhǔn)的模糊，那么，連匿名化的標(biāo)準(zhǔn)都尚未明確建立的我國，則面臨著更為嚴(yán)峻的實(shí)施困境。綜上，本文將重點(diǎn)討論以下兩個(gè)核心問題：第一，是否能夠構(gòu)建出一種科學(xué)理性的匿名化宏觀規(guī)制模式，從而平衡個(gè)人信息的保護(hù)和利用、破解實(shí)施困境？第二，基于此種宏觀規(guī)制模式，我國現(xiàn)行制度應(yīng)如何完善？

（二）個(gè)人信息匿名化制度問題之成因分析

我們首先有必要對(duì)匿名化進(jìn)行必要的區(qū)分。信息的匿名化可以區(qū)分為技術(shù)匿名化和法律匿名化：前者是從技術(shù)視角界定的匿名化，主要探討匿名化的技術(shù)可行性問題；后者是從法律視角界定的匿名化，是在承認(rèn)技術(shù)匿名化局限性的基礎(chǔ)上，以法律規(guī)則對(duì)匿名化進(jìn)行必要的限定。個(gè)人信息匿名化制度問題之根源即在于對(duì)技術(shù)匿名化和法律匿名化之混淆，以及對(duì)于法律匿名化之過高期待和過度反應(yīng)。

1.技術(shù)匿名化“神話”之幻滅

科學(xué)家曾經(jīng)對(duì)匿名化抱有堅(jiān)定的信心，認(rèn)為通過刪除姓名、身份證號(hào)等識(shí)別資料便可以充分保護(hù)個(gè)人隱私。這在前計(jì)算機(jī)時(shí)代是可以理解的。在紙質(zhì)記錄環(huán)境下，個(gè)人信息的保存和重復(fù)利用絕非易事，對(duì)信息進(jìn)行綜合分析則更加困難，在刪除常見的個(gè)人標(biāo)識(shí)符后，信息很難再與個(gè)人相關(guān)聯(lián)，或要付出極高的代價(jià)。即使到了計(jì)算機(jī)發(fā)展的早期，受限于存儲(chǔ)和計(jì)算能力，數(shù)據(jù)集之間大范圍的交叉串聯(lián)和深度分析也受到很大的限制。在這一階段，信息的處理是碎片化和隨機(jī)的，匿名化理論并未受到根本沖擊。

但是，隨著計(jì)算機(jī)軟硬件技術(shù)的快速發(fā)展，以及網(wǎng)絡(luò)所搜集的信息量的爆炸式增長(zhǎng)，情況發(fā)生了改變。分布式和去中心的計(jì)算機(jī)系統(tǒng)具有超強(qiáng)的收集、傳遞和運(yùn)算個(gè)人數(shù)據(jù)的能力，處理者可借以建立和使用數(shù)據(jù)聚合進(jìn)行識(shí)別分析，數(shù)據(jù)處理呈現(xiàn)出四個(gè)方面的新變化：（1）可以不經(jīng)個(gè)人知曉而搜集個(gè)人數(shù)據(jù)；（2）可以存儲(chǔ)個(gè)人數(shù)據(jù)并長(zhǎng)期脫離數(shù)據(jù)主體對(duì)數(shù)據(jù)進(jìn)行處理；（3）可以運(yùn)用數(shù)據(jù)的邏輯對(duì)獲取的數(shù)據(jù)進(jìn)行比較、聯(lián)結(jié)和運(yùn)算分析；（4）可以輕易地處理成千上萬的位于不同地方、從不同渠道獲取的個(gè)人數(shù)據(jù)。［4］這種全面、系統(tǒng)和持續(xù)的數(shù)據(jù)處理方式給匿名化帶來了巨大壓力。

計(jì)算機(jī)科學(xué)家已經(jīng)證明，匿名化存在著嚴(yán)重的缺陷，它更像是一個(gè)“美麗的神話”。［5］研究發(fā)現(xiàn)，數(shù)據(jù)中潛藏著一種獨(dú)特的性質(zhì)，可以用以辨識(shí)數(shù)據(jù)主體，即使刪除所有識(shí)別字段，也難以將其清除，它被形象地稱為“數(shù)據(jù)指紋”（data fingerprint）。［6］就像遺留在犯罪現(xiàn)場(chǎng)的人類指紋一樣，“數(shù)據(jù)指紋”將暴露數(shù)據(jù)主體的身份。匿名化信息中也留存有“數(shù)據(jù)指紋”，而且比大多數(shù)人想象的更多、更容易獲取。［6］“數(shù)據(jù)指紋”的產(chǎn)生并非基于孤立的數(shù)據(jù)集，而是在眾多數(shù)據(jù)集融會(huì)貫通下所呈現(xiàn)出的一種整體傾向性，就此而言，即使刪除單個(gè)數(shù)據(jù)集中的識(shí)別字段，也無法斷開個(gè)人與數(shù)據(jù)之間的關(guān)聯(lián)。一旦對(duì)手發(fā)現(xiàn)了某個(gè)數(shù)據(jù)指紋，他便可以利用豐富的外部信息（即“輔助信息”）識(shí)別出特定個(gè)體。如果我們對(duì)這個(gè)世界一無所知，那么許多匿名化技術(shù)將是完美的，但事實(shí)上，移動(dòng)互聯(lián)的世界充斥著有關(guān)個(gè)人的數(shù)據(jù)，“輔助信息”散落在地球的各個(gè)角落。有學(xué)者提出了“唯一性”（unicity）的概念，以量化在一個(gè)匿名數(shù)據(jù)集中，平均需要多少外部信息來重新識(shí)別數(shù)據(jù)主體，結(jié)果發(fā)現(xiàn)，大型元數(shù)據(jù)集（如網(wǎng)絡(luò)瀏覽歷史、財(cái)務(wù)記錄、交通和流動(dòng)性數(shù)據(jù)、社交網(wǎng)絡(luò)數(shù)據(jù)等）具有更高的唯一性，只需要較少的外部信息，便可以再次識(shí)別數(shù)據(jù)主體。［7］

各種極具渲染力的事件進(jìn)一步加深了公眾對(duì)匿名化的不信任。例如，哈佛大學(xué)計(jì)算機(jī)系教授拉坦亞·斯維尼（Latanya Sweeney）僅使用出生日期、性別、選民登記標(biāo)識(shí)符以及保留在出院記錄中的郵政編碼等公開信息，便確認(rèn)了時(shí)任馬薩諸塞州州長(zhǎng)威廉·威爾德（William Weld）的健康記錄。［8］斯維尼教授堅(jiān)信，在大數(shù)據(jù)時(shí)代和大數(shù)據(jù)技術(shù)下，完全不可識(shí)別的數(shù)據(jù)是不存在的。類似事件還有不少，未來還會(huì)更多，這加劇了公眾對(duì)隱私泄露的擔(dān)憂。

2.法律匿名化的制度因應(yīng)及困境

事實(shí)上，各國在立法時(shí)均已意識(shí)到技術(shù)匿名化的局限性。2014年4月，歐盟“第29條工作組”（Article 29 Working Party）提出了《第05/2014號(hào)意見：匿名化技術(shù)》（Opinion 05/2014 on Anonymization Techniques，以下簡(jiǎn)稱《匿名化意見》），專門分析了匿名化技術(shù)在大數(shù)據(jù)時(shí)代的局限性，認(rèn)為創(chuàng)建真正的匿名數(shù)據(jù)集將非常困難，技術(shù)處理后的匿名數(shù)據(jù)仍然存在被再次識(shí)別的剩余風(fēng)險(xiǎn)（residual risk），任何一項(xiàng)測(cè)試技術(shù)都不能保證匿名化的效果。［9］日本在修改其匿名加工制度時(shí)也認(rèn)為，“因信息技術(shù)不斷進(jìn)步，即使經(jīng)匿名加工之信息，仍然很難防止第三人利用組合比對(duì)技術(shù)，回復(fù)至特定個(gè)人”［10］。而且，研究發(fā)現(xiàn)，數(shù)據(jù)的隱私和效用之間存在固有的沖突關(guān)系：為了可用，數(shù)據(jù)必須保持一定程度的識(shí)別性，數(shù)據(jù)的效用和隱私之間呈現(xiàn)出明顯的負(fù)相關(guān)關(guān)系。［3］也就是說，若要保持?jǐn)?shù)據(jù)的可用性，完美的匿名化將是不可能的。

因此，各國事實(shí)上都是在承認(rèn)技術(shù)匿名化固有局限的基礎(chǔ)上構(gòu)建匿名化制度的，都對(duì)匿名化進(jìn)行了必要的法律限定。根據(jù)筆者的總結(jié)，各國主要通過設(shè)置主客觀相結(jié)合的標(biāo)準(zhǔn)完成限定（參見表1）：主觀標(biāo)準(zhǔn)限定以誰的識(shí)別能力作為判斷基準(zhǔn)，客觀標(biāo)準(zhǔn)限定信息自身的去連結(jié)化程度。具體而言，主觀標(biāo)準(zhǔn)主要包括五類。第一，“一般人標(biāo)準(zhǔn)”，即以社會(huì)一般多數(shù)人的識(shí)別能力作為判斷基準(zhǔn)，不要求具備任何特殊的資質(zhì)、能力或條件。如果按照社會(huì)平均條件無法識(shí)別出特定個(gè)人，則該信息為匿名化信息。第二，“處理者標(biāo)準(zhǔn)”，即以信息處理者的識(shí)別能力作為判斷基準(zhǔn)，從信息處理者的主觀條件出發(fā)，本無一致性標(biāo)準(zhǔn)，在個(gè)案場(chǎng)景中審查判斷。例如，醫(yī)療機(jī)構(gòu)處理個(gè)人信息時(shí)，應(yīng)以醫(yī)療機(jī)構(gòu)的識(shí)別能力作為判斷基準(zhǔn)；制藥公司處理個(gè)人信息時(shí)，則應(yīng)以制藥公司的識(shí)別能力作為判斷基準(zhǔn)。這不可避免地會(huì)引起認(rèn)定的相對(duì)化。日本采此標(biāo)準(zhǔn)。［10］美國CCPA也采行類似的標(biāo)準(zhǔn)。［11］第三，“專家標(biāo)準(zhǔn)”，即以特定領(lǐng)域內(nèi)的專家的識(shí)別能力作為判斷基準(zhǔn)。例如，《HIPPA隱私規(guī)則》規(guī)定，去識(shí)別化信息的判定標(biāo)準(zhǔn)為，“一位具有統(tǒng)計(jì)學(xué)與科學(xué)背景且知道如何對(duì)個(gè)人信息去連結(jié)的專家出具書面分析意見認(rèn)定，該信息被第三者取得后，將其單獨(dú)或與其他合理方法可取得的信息比照后，只有非常小的風(fēng)險(xiǎn)可以識(shí)別出該信息所連結(jié)的主體”（3）。第四，“具有動(dòng)機(jī)的入侵者標(biāo)準(zhǔn)（a motivated intruder test）”，這是英國信息專員辦公室在《匿名化：數(shù)據(jù)保護(hù)的風(fēng)險(xiǎn)管理（實(shí)務(wù)守則）》（Anonymization：Managing Data Protection Risk，Code of Practice）中提出的標(biāo)準(zhǔn)，即以具有動(dòng)機(jī)的入侵者的識(shí)別能力作為判斷基準(zhǔn)。［12］具有動(dòng)機(jī)的入侵者是指具有再識(shí)別動(dòng)機(jī)但不具備任何先驗(yàn)知識(shí)的人，例如，對(duì)于醫(yī)療數(shù)據(jù)庫而言，具有動(dòng)機(jī)的入侵者通常不會(huì)是一般人，而是醫(yī)藥公司或相關(guān)的學(xué)術(shù)研究者。這一標(biāo)準(zhǔn)假定入侵者具有合理的能力，可以使用相關(guān)的資源和技術(shù)，但并不假定其具有任何特殊的知識(shí)如電腦黑客技術(shù)等。第五，“任何人標(biāo)準(zhǔn)”，即以任何人的識(shí)別能力作為判斷基準(zhǔn)，只要任何人基于其主觀條件得以從信息中識(shí)別出特定個(gè)人，則該信息不屬于匿名化信息。GDPR采此標(biāo)準(zhǔn)。

表1 匿名化的法律標(biāo)準(zhǔn)

客觀標(biāo)準(zhǔn)主要包括兩類。第一，“容易照合標(biāo)準(zhǔn)”，即若與其他資料簡(jiǎn)單容易比對(duì)后無法識(shí)別出特定個(gè)人，則為匿名化信息。日本、美國CCPA采此標(biāo)準(zhǔn)。第二，“合理可能標(biāo)準(zhǔn)”，即通過任何可能、合理的手段比對(duì)分析后無法識(shí)別出特定個(gè)人，則為匿名化信息。GDPR、《HIPPA隱私規(guī)則》采此標(biāo)準(zhǔn)。從字面上看，“合理可能標(biāo)準(zhǔn)”比“容易照合標(biāo)準(zhǔn)”更加嚴(yán)格，不過，這種差別一則很難衡量，二則實(shí)踐效果已十分接近。例如，歐盟和日本在個(gè)人信息保護(hù)的互認(rèn)談判中并未將客觀標(biāo)準(zhǔn)的差異作為談判要點(diǎn)，雙方爭(zhēng)論的焦點(diǎn)在于前述主觀標(biāo)準(zhǔn)的差異，日本為彌合雙方分歧而制定的補(bǔ)充細(xì)則也未提及前述客觀標(biāo)準(zhǔn)的調(diào)整，歐日順利達(dá)成了個(gè)人信息保護(hù)的互認(rèn)協(xié)議。［13］因此，各國對(duì)匿名化限定的差別主要在于主觀標(biāo)準(zhǔn)，而非客觀標(biāo)準(zhǔn)，下文即以“合理可能標(biāo)準(zhǔn)”一并論述客觀標(biāo)準(zhǔn)。

技術(shù)匿名化的爭(zhēng)論給法律匿名化帶來了過大的壓力，導(dǎo)致立法者逐漸混淆了技術(shù)匿名化與法律匿名化的分野和定位，技術(shù)匿名化成為法律匿名化的指揮棒，“技術(shù)完美主義”成為否定匿名化制度的“科學(xué)”證據(jù)。為緩解公眾擔(dān)憂，各國紛紛提升匿名化的標(biāo)準(zhǔn)，擴(kuò)大個(gè)人信息的范圍，以進(jìn)一步滿足“技術(shù)完美主義”的訴求。這在歐盟GDPR中體現(xiàn)得最為明顯。GDPR將個(gè)人數(shù)據(jù)（4）定義為“與一個(gè)已識(shí)別或可識(shí)別的自然人相關(guān)的任何數(shù)據(jù)”（5），“為判斷自然人身份是否可識(shí)別，需要考慮所有可能使用的手段，為判斷所使用的手段是否可能用于識(shí)別自然人，需要考慮所有客觀因素?！保?）歐盟對(duì)此解釋為，個(gè)人數(shù)據(jù)采取了廣義的定義方式，盡量納入所有可能識(shí)別個(gè)人的數(shù)據(jù)，故立法語言盡可能一般化。［14］包括我國和韓國在內(nèi)的很多國家都深受GDPR的影響，就連一向在個(gè)人信息立法上保持克制的美國，也已有部分州（如華盛頓州）提出了GDPR式的法案［15］。這是一種過度的反應(yīng)，個(gè)人信息保護(hù)法由此成為一部沒有門檻的法律，打破了保護(hù)和利用之間的應(yīng)有平衡。有學(xué)者悲觀地指出，無論監(jiān)管機(jī)構(gòu)如何有效地遵循最新的技術(shù)研究成果，將新識(shí)別的數(shù)據(jù)領(lǐng)域納入監(jiān)管范圍，它都會(huì)發(fā)現(xiàn)更多尚未涵蓋的領(lǐng)域，直到它覆蓋一切。［16］這同時(shí)也導(dǎo)致了個(gè)人信息認(rèn)定的模糊。沒有邊界和門檻的法律，何來規(guī)則的明確性？這給個(gè)人信息保護(hù)法的實(shí)施帶來了很大困難。歐盟在GDPR實(shí)施兩年后的評(píng)估報(bào)告中指出，GDPR并未兌現(xiàn)承諾，反而成為歐洲數(shù)字經(jīng)濟(jì)的沉重負(fù)擔(dān)，成員國缺乏充足的執(zhí)法資源，對(duì)個(gè)人信息的解釋也經(jīng)常陷入分歧，執(zhí)法前后不一。［17］這就是各國所面臨的個(gè)人信息保護(hù)法實(shí)施困境和問題的根源所在。

三、個(gè)人信息匿名化制度的建構(gòu)模式和優(yōu)化路徑

針對(duì)前文提出的兩大核心問題，可以基于比較法經(jīng)驗(yàn)和我國實(shí)踐分別提出針對(duì)性的解決方案。首先建構(gòu)一種平衡的匿名化宏觀規(guī)制模式，進(jìn)而基于該模式，提出我國現(xiàn)行匿名化制度的優(yōu)化方案。

（一）“前端寬松+過程控制”的匿名化規(guī)制模式之建構(gòu)

盡管存在諸多問題，各國均未拋棄匿名化制度，而是在保留的基礎(chǔ)上予以修繕。原因在于，取消匿名化制度可能導(dǎo)致個(gè)人信息范圍的進(jìn)一步擴(kuò)張。如果連匿名化的過濾功能也被取消，個(gè)人信息將無所不在，侵蝕正常的社會(huì)交往空間。理性的選擇是對(duì)匿名化制度進(jìn)行修改和完善，各國已經(jīng)開展了諸多嘗試。例如，有的國家選擇降低匿名化的標(biāo)準(zhǔn)，限縮個(gè)人信息的范圍，典型如美國CCPA；有的國家選擇設(shè)置安全港規(guī)則和符號(hào)型個(gè)人信息制度，提升匿名化認(rèn)定的明確性，典型如《HIPPA隱私規(guī)則》和日本《個(gè)人信息保護(hù)法》；有的國家選擇建立動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度，動(dòng)態(tài)評(píng)估匿名化信息的風(fēng)險(xiǎn)，典型如歐盟GDPR等。不過，上述多種方案總體給人頭痛醫(yī)頭、雜亂無章之感，無法形成琴瑟和諧的制度合力。若要打破此種僵局，提煉出匿名化規(guī)制的宏觀模式并據(jù)此構(gòu)建井然有序的制度體系，需要細(xì)化舉措。在此，力求通過“前端寬松+過程控制”模式，破解匿名化制度的實(shí)施困境。

1.“前端寬松+過程控制”規(guī)制模式的正當(dāng)性探析

所謂“前端寬松+過程控制”，是指適度降低匿名化的認(rèn)定標(biāo)準(zhǔn)，放寬前端準(zhǔn)入門檻，注重通過過程控制措施保障信息的安全，從而實(shí)現(xiàn)平衡有序的規(guī)制。其中，“前端寬松”是規(guī)制目標(biāo)，以利用為導(dǎo)向，“過程控制”是安全保障，以風(fēng)險(xiǎn)為導(dǎo)向，二者前后銜接、相互配合，共同組成邏輯整體。“前端寬松+后端控制”的規(guī)制理念，既可化解個(gè)人信息的無序擴(kuò)張和認(rèn)定混亂困境，也能有效平衡信息的保護(hù)和利用。

（1）“前端寬松”的正當(dāng)性探析

“前端寬松”是否具有正當(dāng)性呢？這首先需要理清匿名化的制度定位。誠如前述，個(gè)人信息立法始終在保護(hù)和利用兩種價(jià)值目標(biāo)之間穿梭游走，名曰保護(hù)法，實(shí)為保護(hù)和利用平衡之法。而且，不同制度所肩負(fù)的具體使命是不同的，其中，匿名化制度的基本定位是利用導(dǎo)向，這有可靠的立法證據(jù)。例如，日本明確將匿名加工制度視為“促進(jìn)大數(shù)據(jù)利用的重要催化劑”［18］，旨在通過匿名化信息目的外利用之豁免，推動(dòng)大數(shù)據(jù)技術(shù)的應(yīng)用和發(fā)展。［19］為進(jìn)一步推動(dòng)個(gè)人醫(yī)療信息的活用，增進(jìn)國民健康福祉，日本還專門頒布了《下一代醫(yī)療基礎(chǔ)設(shè)施法》，該法全稱為《有助于醫(yī)療領(lǐng)域研究開發(fā)的匿名加工醫(yī)療信息法》，旨在通過對(duì)匿名加工制度的針對(duì)性改造，進(jìn)一步推動(dòng)個(gè)人醫(yī)療信息的流通和利用。［20］可見，日本法明確將匿名加工制度視為促進(jìn)信息利用的工具。歐盟《匿名化意見》也指出，匿名數(shù)據(jù)的價(jià)值在于通過匿名化技術(shù)使原本具有人身屬性的數(shù)據(jù)不再能夠識(shí)別特定個(gè)人，從而推動(dòng)合理的商業(yè)化利用。

事實(shí)上，這也深深地烙印于個(gè)人信息立法的規(guī)制邏輯。個(gè)人信息與個(gè)人相關(guān)聯(lián)，關(guān)乎個(gè)人尊嚴(yán)、原則保護(hù)、例外豁免（如基于各種公共利益的許可處理規(guī)則）；匿名化信息則因與個(gè)人斷開連結(jié)，原則上不受個(gè)人信息保護(hù)規(guī)則的約束，但仍應(yīng)例外地履行相關(guān)義務(wù)（如禁止再識(shí)別義務(wù)等）。匿名化制度的設(shè)立宗旨在于創(chuàng)造信息利用的公共空間，維護(hù)公共利益。正如學(xué)者所言，幾乎每一次公共政策辯論都得益于匿名數(shù)據(jù)集的大規(guī)模傳播：衛(wèi)生經(jīng)濟(jì)學(xué)家利用醫(yī)療保險(xiǎn)數(shù)據(jù)進(jìn)行的研究是醫(yī)療制度改革的辯論核心，公共犯罪數(shù)據(jù)被用于揭示警察資源的分配不公，微觀人口數(shù)據(jù)被用于檢測(cè)居民住房中的種族隔離趨勢(shì)，等等。［21］過分嚴(yán)苛的匿名化制度將使社會(huì)遭受所謂的“數(shù)據(jù)共享悲?。╰ragedy of data commons）”。

因此，以利用為導(dǎo)向就是匿名化制度的基本定位，適度降低匿名化的標(biāo)準(zhǔn)無疑是合理的選擇。我們不應(yīng)過度夸大匿名化本身所提供的保護(hù)功能，而應(yīng)更多依靠體系的力量、依靠匿名化之外的措施、依靠“過程控制”機(jī)制達(dá)成保護(hù)目標(biāo)。

（2）“過程控制”的正當(dāng)性探析

“過程控制”是否具有正當(dāng)性呢？須知，“過程控制”并非要完全排除風(fēng)險(xiǎn)，而是追求風(fēng)險(xiǎn)的最小化，因而是風(fēng)險(xiǎn)導(dǎo)向和風(fēng)險(xiǎn)容忍的?！斑^程控制”的邏輯起點(diǎn)在于承認(rèn)完美匿名化的虛幻性，承認(rèn)技術(shù)進(jìn)步對(duì)匿名化的現(xiàn)實(shí)沖擊，因而將關(guān)注重點(diǎn)從結(jié)果轉(zhuǎn)向過程，通過對(duì)匿名化信息流轉(zhuǎn)利用的各個(gè)環(huán)節(jié)、各個(gè)主體的約束性安排，盡可能減少再識(shí)別的風(fēng)險(xiǎn)。關(guān)注過程的視角將讓我們超越技術(shù)匿名化自身是否可靠的爭(zhēng)論，而將更多精力置于風(fēng)險(xiǎn)的控制上，專注于減輕風(fēng)險(xiǎn)的流程和步驟，而不是一味地拒絕風(fēng)險(xiǎn)和危害。這是一種務(wù)實(shí)的中間道路，在承認(rèn)匿名化局限性的同時(shí)，將其置于更寬廣的視野，通過各類措施（包括但不限于去識(shí)別化）的綜合運(yùn)用，盡可能降低數(shù)據(jù)流通的風(fēng)險(xiǎn)，并為數(shù)據(jù)利用創(chuàng)造空間。正如學(xué)者所言，數(shù)據(jù)保護(hù)法應(yīng)是一種基于過程的、場(chǎng)景化的和危害容忍的法律，其重點(diǎn)在于執(zhí)行各類風(fēng)險(xiǎn)管控措施，即使威脅是遙遠(yuǎn)的，也要盡可能降低危害發(fā)生的可能性。［5］“過程控制”所懲罰的不是匿名化信息被泄露或再次識(shí)別的結(jié)果，而是未執(zhí)行各項(xiàng)安全措施的行為和狀態(tài)，數(shù)據(jù)保護(hù)法應(yīng)從結(jié)果導(dǎo)向轉(zhuǎn)向過程導(dǎo)向，從前端控制轉(zhuǎn)向過程控制，從隱私侵權(quán)法（以損害為核心）轉(zhuǎn)向數(shù)據(jù)安全法（以風(fēng)險(xiǎn)為核心）。

事實(shí)上，各國已經(jīng)在個(gè)人信息保護(hù)實(shí)踐中或多或少地融入了“過程控制”理念。例如，CCPA首先對(duì)去識(shí)別化進(jìn)行了抽象定義，“去識(shí)別化信息是指不能直接或間接地合理識(shí)別、關(guān)聯(lián)或描述到某一特定消費(fèi)者的信息”，進(jìn)而設(shè)定了一個(gè)更加具象的標(biāo)準(zhǔn)，即如果經(jīng)營者采?。?）防止再次識(shí)別的技術(shù)保護(hù)措施；（2）防止再次識(shí)別的經(jīng)營流程；（3）防止去識(shí)別化信息因疏忽而泄露的經(jīng)營流程；以及（4）承諾不再重新識(shí)別，則該等信息被視為去識(shí)別化信息。（7）CCPA的邏輯是，只要經(jīng)營者采取了必要的“過程性”控制措施并證明沒有再次識(shí)別的意圖，便推定其符合去識(shí)別化的標(biāo)準(zhǔn)。［22］某種意義而言，這是以過程控制措施取代前端識(shí)別標(biāo)準(zhǔn)。此外，歐盟GDPR的數(shù)據(jù)保護(hù)影響評(píng)估制度、安全保障制度，日本的禁止再識(shí)別制度、明示制度等都是“過程控制”的具體體現(xiàn)。需要指出的是，“過程控制”應(yīng)與“前端寬松”有序銜接、適當(dāng)配合，“過程控制”既是“前端寬松”的延伸和保障，也是“前端寬松”的調(diào)節(jié)工具：“過程控制”越周延有效，“前端寬松”越具張力和空間，反之則越趨緊縮和壓抑。

2.“前端寬松+過程控制”規(guī)制模式之展開

依據(jù)“前端寬松+過程控制”的規(guī)制理念，我們首先對(duì)各國的匿名化制度作簡(jiǎn)要評(píng)述?？傮w而言，歐盟GDPR相當(dāng)重視匿名數(shù)據(jù)的“過程控制”，設(shè)置了風(fēng)險(xiǎn)評(píng)估、安全保障等過程控制措施，不過，歐盟的匿名化標(biāo)準(zhǔn)過于嚴(yán)苛，前后失調(diào)，偏重保護(hù)而抑制利用。美國似乎有些分裂：CCPA和FTCA（8）較為充分地貫徹了“前端寬松+過程控制”的理念，甚至有以“過程控制”取代“前端管控”的傾向，不過，其過程控制措施較為粗糙，不夠完善；《HIPPA隱私規(guī)則》既規(guī)定了嚴(yán)苛的去識(shí)別化標(biāo)準(zhǔn)，又設(shè)置了細(xì)密的過程控制措施，更接近于GDPR。日本《個(gè)人信息保護(hù)法》的設(shè)計(jì)相對(duì)均衡，采行了以處理者為參照系的匿名化標(biāo)準(zhǔn)，也設(shè)置了若干過程控制措施，但整體而言仍有較大的充實(shí)空間。那么，究竟如何才能充分貫徹“前端寬松+過程控制”的規(guī)制理念呢？以下，筆者將參鑒各國經(jīng)驗(yàn)，提出規(guī)制方案。

第一，設(shè)定以處理者為參照的匿名化標(biāo)準(zhǔn)。即以信息處理者的識(shí)別能力作為判別匿名化的基準(zhǔn)。這是相對(duì)較低的標(biāo)準(zhǔn)，為匿名化創(chuàng)造了空間，是“前端寬松”的直接體現(xiàn)。應(yīng)當(dāng)說，個(gè)人信息保護(hù)法本身就是以處理者為核心的規(guī)則體系，規(guī)范對(duì)象是處理者的信息處理活動(dòng)［4］，以信息處理者為參照系設(shè)定判斷基準(zhǔn)，合乎法理。處理者是匿名化的主要實(shí)施者，以處理者的能力及其所掌控的外部信息評(píng)估匿名化的風(fēng)險(xiǎn)，亦合乎情理。相反，采行第三人標(biāo)準(zhǔn)（如具有動(dòng)機(jī)的入侵者標(biāo)準(zhǔn)、任何人標(biāo)準(zhǔn)等），則有強(qiáng)人所難之嫌，因?yàn)榈谌降募夹g(shù)能力及其所掌控的外部信息，并非處理者所能預(yù)測(cè)或評(píng)估。［19］當(dāng)然，處理者標(biāo)準(zhǔn)的運(yùn)用可能會(huì)導(dǎo)致認(rèn)定的相對(duì)性，但相對(duì)性不等于模糊性，相對(duì)性不會(huì)妨礙規(guī)則的適用，匿名化的認(rèn)定本身就是動(dòng)態(tài)的、基于場(chǎng)景的，應(yīng)根據(jù)場(chǎng)景的不同而作相應(yīng)調(diào)整，相對(duì)性本為題中應(yīng)有之義。處理者是“自主決定處理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織和個(gè)人”（9），處理者標(biāo)準(zhǔn)不但不會(huì)增加匿名加工的模糊性，反而有助于提升其明確性。

反面觀之，“一般人標(biāo)準(zhǔn)”過于寬松，暫無國家采行，“任何人標(biāo)準(zhǔn)”又過于嚴(yán)苛，將導(dǎo)致個(gè)人信息的無序擴(kuò)張和認(rèn)定混亂?！皩＜覙?biāo)準(zhǔn)”也是一種過高的標(biāo)準(zhǔn)，“專家”一詞本身就有嚴(yán)格認(rèn)定的色彩和傾向，正如我們?cè)谇謾?quán)責(zé)任法中所構(gòu)建的“專家責(zé)任”制度。“具有動(dòng)機(jī)的入侵者標(biāo)準(zhǔn)”較為模糊，如何選定“入侵者”，如何衡量其識(shí)別能力，難以掌控，雖然假定“入侵者”不具有任何先驗(yàn)知識(shí)和特殊技能，但實(shí)際操作中到底與“任何人標(biāo)準(zhǔn)”和“專家標(biāo)準(zhǔn)”有多少差別，不無疑問，以至于最先提出該標(biāo)準(zhǔn)的英國也未在其正式立法中予以采行。

第二，明確規(guī)定安全港規(guī)則和符號(hào)型個(gè)人信息制度。為進(jìn)一步避免認(rèn)定歧義，廓清適用范圍，筆者建議設(shè)立安全港規(guī)則和符號(hào)型個(gè)人信息制度。安全港規(guī)則是指只要?jiǎng)h除法定種類的識(shí)別資料，即為匿名化信息，無須再作額外審查。這為匿名信息的認(rèn)定提供了“安全港”，有助于提升認(rèn)定的明確性。例如，《HIPPA隱私規(guī)則》規(guī)定，只要?jiǎng)h除法定的18種識(shí)別資料，即確定的成為去識(shí)別化信息。符號(hào)型個(gè)人信息制度是指只要包含特定的符號(hào)，即為個(gè)人信息，無須額外審查。這有助于簡(jiǎn)化個(gè)人信息的認(rèn)定程序、減少灰色地帶、提升明確性。例如，日本《個(gè)人信息保護(hù)法》于2015年增設(shè)了符號(hào)型個(gè)人信息制度，即政府事先認(rèn)定特定的符號(hào)，只要包含認(rèn)定的符號(hào)，則為個(gè)人信息，無須額外的評(píng)估。認(rèn)定符號(hào)是匿名加工時(shí)必須刪除的符號(hào)。［19］安全港規(guī)則和符號(hào)型個(gè)人信息制度，一正一反，相互配合，共同廓清個(gè)人信息的范圍，簡(jiǎn)化匿名信息的認(rèn)定，完成“前端寬松”的標(biāo)定。

第三，明確規(guī)定禁止再識(shí)別制度。禁止再識(shí)別制度是指匿名化信息的處理者和接收者不得再次識(shí)別信息主體，違者將承擔(dān)行政或刑事法律責(zé)任。日本《個(gè)人信息保護(hù)法》第36條第5項(xiàng)規(guī)定，匿名化信息的處理者和接收者不得再次識(shí)別信息中的特定個(gè)人，違者將承擔(dān)行政或刑事法律責(zé)任。英國《數(shù)據(jù)保護(hù)法》明確將“故意或重大過失從匿名或化名數(shù)據(jù)中重新確認(rèn)個(gè)人身份的行為”認(rèn)定為犯罪。［23］禁止再識(shí)別制度賦予匿名化信息的處理者和接收者以強(qiáng)制性義務(wù)，從而精準(zhǔn)補(bǔ)齊了“處理者標(biāo)準(zhǔn)”的視野盲區(qū)。應(yīng)當(dāng)說，禁止再識(shí)別義務(wù)從制度上阻斷了匿名化信息被再次識(shí)別之可能，使匿名化信息從制作、保管到流通均有制度護(hù)航，從而形成了完整鏈條，為“前端寬松”創(chuàng)造了條件。匿名化信息之“不能復(fù)原”，既包括技術(shù)上之“不能復(fù)原”，也包括法律上、制度上之“不能復(fù)原”。禁止再識(shí)別制度是“過程控制”的重要環(huán)節(jié)。

第四，明確規(guī)定公開制度和明示制度。這是日本法上的經(jīng)驗(yàn)。根據(jù)日本《個(gè)人信息保護(hù)法》第36條第4、6項(xiàng)的規(guī)定，匿名化信息的處理者應(yīng)當(dāng)將匿名化信息的加工方法、流向等公開，以接受公眾監(jiān)督；匿名化信息的處理者應(yīng)當(dāng)向接受匿名化信息的第三者明示，其負(fù)擔(dān)與提供人相同之義務(wù)，包括禁止再識(shí)別義務(wù)、安全維護(hù)義務(wù)等。公開制度可以有效發(fā)動(dòng)社會(huì)監(jiān)督，促使處理者形成自我約束機(jī)制。明示義務(wù)的設(shè)置將禁止再識(shí)別義務(wù)、安全維護(hù)義務(wù)等真正落實(shí)于流通鏈條的各個(gè)環(huán)節(jié)、各個(gè)主體，從而使匿名化信息的流通更加順暢可靠。公開和明示制度是“過程控制”的重要保障。

第五，明確規(guī)定匿名化信息的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度。包括歐盟在內(nèi)的不少國家已建立起動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度，它承認(rèn)技術(shù)和場(chǎng)景的變化對(duì)匿名化的影響，不再將匿名化視作一蹴而就，而是一項(xiàng)持續(xù)的、不斷調(diào)適的長(zhǎng)期工作。處理者不應(yīng)過度依賴某種特定的匿名加工方法，而應(yīng)定期識(shí)別新的風(fēng)險(xiǎn)、重新評(píng)估剩余風(fēng)險(xiǎn)。例如，GDPR第35條全面規(guī)定了數(shù)據(jù)保護(hù)影響評(píng)估制度，“對(duì)于可能給自然人的權(quán)利和自由帶來高風(fēng)險(xiǎn)的數(shù)據(jù)處理活動(dòng)，處理者應(yīng)在處理活動(dòng)開展前對(duì)預(yù)期處理操作進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估”，評(píng)估的具體內(nèi)容包括“預(yù)期處理活動(dòng)的內(nèi)容及目的、處理活動(dòng)的必要性和適當(dāng)性、對(duì)自然人的權(quán)利和自由所帶來的風(fēng)險(xiǎn)以及預(yù)期的風(fēng)險(xiǎn)防范措施等”。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度將匿名化的認(rèn)定與特定場(chǎng)景結(jié)合，以個(gè)案分析的精神，評(píng)估特定場(chǎng)景中匿名化信息的風(fēng)險(xiǎn)狀況及防控措施的有效性，從而提升了保護(hù)的實(shí)效，是“過程控制”的重要支撐。

第六，規(guī)定完備的安全保障措施。安全保障措施是處理者在信息管理過程中為維護(hù)信息安全而采取的技術(shù)、組織和物理空間上的保護(hù)措施的總稱。安全保障措施通過賦予處理者以各類強(qiáng)制性保障義務(wù)，建立安全保障體系，維護(hù)信息安全。大多數(shù)國家都規(guī)定了安全保障措施，例如，歐盟GDPR規(guī)定，數(shù)據(jù)控制者應(yīng)采取必要的技術(shù)性和組織性措施保障匿名數(shù)據(jù)的安全（10）；日本《個(gè)人信息保護(hù)法》第36條第3項(xiàng)規(guī)定，匿名化信息的處理者負(fù)有安全維護(hù)義務(wù)，應(yīng)采取適當(dāng)?shù)陌踩S護(hù)措施，防止匿名化信息被泄露或違法利用。安全保障措施是一個(gè)宏大的體系，旨在通過各類技術(shù)、組織和物理空間措施，編織細(xì)密的安全網(wǎng)，保證信息的全程安全，它涵蓋了各類常見的安全措施，覆蓋了數(shù)據(jù)處理的各個(gè)環(huán)節(jié)、各個(gè)主體，具有良好的伸縮性，更加契合動(dòng)態(tài)保護(hù)的需求，充分彰顯了“過程控制”的理念，是“前端寬松”的最終保障。

上述六條措施共同構(gòu)成了“前端寬松+過程控制”的匿名化規(guī)制方案：處理者標(biāo)準(zhǔn)是一種合理適度的認(rèn)定標(biāo)準(zhǔn)，為信息的匿名化創(chuàng)造了必要空間，是“前端寬松”的直接體現(xiàn)和邏輯起點(diǎn)；安全港規(guī)則與符號(hào)型個(gè)人信息制度則與處理者標(biāo)準(zhǔn)相互呼應(yīng)、相互補(bǔ)充，進(jìn)一步廓清匿名化信息的范圍，簡(jiǎn)化認(rèn)定程序，提升明確性，共同完成“前端寬松”的標(biāo)定工作；禁止再識(shí)別制度不但將匿名化信息的加工、流通和利用全流程納入保護(hù)框架，而且精準(zhǔn)補(bǔ)齊了“處理者標(biāo)準(zhǔn)”的視野盲區(qū)，搭建起“過程控制”的制度骨架；公開和明示制度通過發(fā)動(dòng)社會(huì)監(jiān)督并將禁止再識(shí)別等義務(wù)細(xì)致融入流通鏈條的各個(gè)環(huán)節(jié)、各個(gè)主體，為“過程控制”提供了重要保障；動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度將匿名化信息的認(rèn)定與特定場(chǎng)景相結(jié)合，旨在提升“過程控制”的實(shí)效性；安全保障措施則通過技術(shù)、組織和物理空間等各類措施的綜合運(yùn)用，編織細(xì)密的后端防護(hù)網(wǎng)，為“前端寬松”和“過程控制”提供最終保障?！扒岸藢捤?過程控制”的規(guī)制模式，既降低了匿名化的實(shí)施門檻，為信息利用創(chuàng)造了空間，又提升了保護(hù)的實(shí)效性，跳出了“零和博弈”的困局，真正實(shí)現(xiàn)了保護(hù)和利用之平衡。

（二）“前端寬松+過程控制”模式下我國匿名化制度之優(yōu)化路徑

首先，我國應(yīng)設(shè)定匿名化的明確標(biāo)準(zhǔn)，填補(bǔ)制度漏洞，采行處理者標(biāo)準(zhǔn)，即以“信息處理者能否通過合理、可能的手段識(shí)別特定個(gè)人”作為匿名化的判斷基準(zhǔn)，可考慮通過立法解釋的形式予以明確。雖然《個(gè)人信息保護(hù)法》在匿名化的概念界定上參照了GDPR，但在具體認(rèn)定標(biāo)準(zhǔn)上應(yīng)有靈活解釋的余地，切忌重蹈歐盟的覆轍。正如學(xué)者所言，“歐盟停留在基本權(quán)利層面的泛化保護(hù)模式具有一定的合理性，但我國的個(gè)人信息保護(hù)立法必須兼顧規(guī)則的可執(zhí)行性、可適用性和可監(jiān)管性，必須考慮我國的歷史傳統(tǒng)和現(xiàn)實(shí)國情，不可將個(gè)人信息保護(hù)法看成是承擔(dān)一切個(gè)人信息保護(hù)的法律”［4］。在《數(shù)據(jù)安全法》已出臺(tái)的背景下，我們可以而且應(yīng)當(dāng)在匿名化的標(biāo)準(zhǔn)設(shè)定上保持必要的克制。

其次，我國應(yīng)增設(shè)安全港規(guī)則和符號(hào)型個(gè)人信息制度。具體而言，可考慮于《個(gè)人信息保護(hù)法》中預(yù)留制度接口，表述為，“如果已經(jīng)刪除法定類別的識(shí)別資料，則為匿名化信息”，“包含特定符號(hào)的信息是個(gè)人信息”，主管機(jī)關(guān)可據(jù)此出臺(tái)實(shí)施細(xì)則，制定行業(yè)性的、動(dòng)態(tài)調(diào)整的符號(hào)目錄，以適應(yīng)外部環(huán)境的變化。這之于我國尤其必要。我國幅員遼闊，地域差異大，且各地執(zhí)法人員素質(zhì)參差不齊，抽象標(biāo)準(zhǔn)（“處理者標(biāo)準(zhǔn)”）在落地過程中容易引起混亂，安全港規(guī)則和符號(hào)型個(gè)人信息制度有助于簡(jiǎn)化認(rèn)定程序，提升明確性。

再次，我國應(yīng)增設(shè)禁止再識(shí)別制度、明示制度和公開制度，明確規(guī)定，匿名化信息的處理者及后續(xù)接收者不得再次識(shí)別信息中的特定個(gè)人；匿名化信息的處理者應(yīng)向接收者明示其負(fù)擔(dān)相同之義務(wù)，包括禁止再識(shí)別義務(wù)、安全維護(hù)義務(wù)等；匿名化信息的處理者應(yīng)將匿名化信息的加工方法、流向等事項(xiàng)向社會(huì)公開，接受社會(huì)監(jiān)督。這是對(duì)“前端寬松”的直接回應(yīng)，可精準(zhǔn)填補(bǔ)“處理者標(biāo)準(zhǔn)”所帶來的風(fēng)險(xiǎn)漏洞，從處理者到后續(xù)接收者，從加工、存儲(chǔ)到流通利用，各個(gè)主體、各個(gè)環(huán)節(jié)均負(fù)擔(dān)明確的義務(wù)，匿名化制度將由此形成邏輯閉環(huán)。

從次，匿名化信息的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度宜由《數(shù)據(jù)安全法》及其實(shí)施細(xì)則規(guī)定，《個(gè)人信息保護(hù)法》無須另作規(guī)定?！稊?shù)據(jù)安全法》第30條已經(jīng)規(guī)定了動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度，且已覆蓋匿名化數(shù)據(jù)，《個(gè)人信息保護(hù)法》無須再針對(duì)匿名化信息另作規(guī)定，惟《數(shù)據(jù)安全法》的規(guī)定較為宏觀，主管機(jī)關(guān)應(yīng)盡快出臺(tái)實(shí)施細(xì)則，明確風(fēng)險(xiǎn)評(píng)估的啟動(dòng)條件、評(píng)估周期、評(píng)估重點(diǎn)等關(guān)鍵事項(xiàng)，尤其應(yīng)將匿名化信息的風(fēng)險(xiǎn)狀況、匿名化措施的有效性等作為重點(diǎn)評(píng)估事項(xiàng)。經(jīng)評(píng)估，若匿名化措施無法維護(hù)信息安全，應(yīng)要求處理者采取額外的匿名化步驟，否則不再視為匿名化信息。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估制度是我國構(gòu)建“前端寬松+過程控制”的匿名化方案的重要支撐。

最后，匿名化信息的安全保障措施宜由《數(shù)據(jù)安全法》及其實(shí)施細(xì)則規(guī)定，《數(shù)據(jù)安全法》已經(jīng)規(guī)定了多項(xiàng)安全保障措施，且已覆蓋匿名化數(shù)據(jù)，《個(gè)人信息保護(hù)法》無須另作規(guī)定。但是，《數(shù)據(jù)安全法》的規(guī)定仍較為粗獷，主管機(jī)關(guān)應(yīng)盡快出臺(tái)實(shí)施細(xì)則，全面規(guī)定各類技術(shù)、組織和物理空間保障措施，并可參照《HIPPA隱私規(guī)則》，將全部措施劃分為必要性和建議性兩類，根據(jù)不同的場(chǎng)景進(jìn)行定制化安排，增強(qiáng)保護(hù)的實(shí)效性。

注釋：

（1）參見《數(shù)據(jù)安全法》第3條第1款。

（2）參見美國聯(lián)邦行政法典第45本之164章514條a款，45 C.F.R.§164.514（a）。

（3）參見美國聯(lián)邦行政法典第45本之164章514條b款，45 C.F.R.§164.514（b）（1）。

（4）一般認(rèn)為，數(shù)據(jù)和信息有細(xì)微差別，數(shù)據(jù)是電子信息的載體，電子信息是數(shù)據(jù)的內(nèi)容。為行文方便，本文暫將數(shù)據(jù)和信息視作同義，相互通用。

（5）參見GDPR Article 4。

（6）參見GDPR Preface（26）。

（7）參見CCPA under Cal.Civ.Code§1798.145（h）。

（8）即《聯(lián)邦貿(mào)易委員會(huì)法案》（Federal Trade Commission Act），簡(jiǎn)稱FTCA。

（9）參見《個(gè)人信息保護(hù)法》第73條。

（10）參見GDPR Preface（29）。