個人信息匿名化概括式立法的困境與完善

關鍵詞：匿名化；個人信息；法律淵源；法律確定性；概括式立法

一、問題的提出

個人信息匿名化（以下簡稱匿名化）是指“個人信息經過處理無法識別特定自然人且不能復原的過程”。匿名化具有特別的立法功能，可在規(guī)范信息處理活動、保護信息主體權益的前提下，促進個人信息的合理使用，提升數(shù)據(jù)要素的生產與利用效率。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第4條、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第42條、《中華人民共和國民法典》（以下簡稱《民法典》）第1038條均對匿名化作出特別規(guī)定，相關國家政策也對匿名化高度重視?！丁皵?shù)據(jù)要素×”三年行動計劃（2024—2026年）》強調，要以推動數(shù)據(jù)要素高水平應用為主線，帶動數(shù)據(jù)要素高質量供給、合規(guī)高效流通，為推動高質量發(fā)展、推進中國式現(xiàn)代化提供有力支撐。《中共中央國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》明確提出，數(shù)據(jù)流通交易要以隱私保護為前提，“推動個人信息匿名化處理，保障使用個人信息數(shù)據(jù)時的信息安全和個人隱私”。在此現(xiàn)實背景下，國內外學界聚焦以下三個方面的討論：一是接納個人信息的不確定性，批判絕對匿名化，認為應當回歸基于風險的方法（the risk-based approach）或基于個案實踐積累，漸進式評估和確定匿名化的具體標準；二是認為事實上難以有效消解匿名數(shù)據(jù)具有的“剩余風險”，建議將匿名化歸人去標識化（假名化），以便整合與簡化立法上的判定標準；三是重視對匿名化數(shù)據(jù)的功能性控制，結合統(tǒng)計學上的信息泄露控制概念實施匿名化，用數(shù)據(jù)與數(shù)據(jù)環(huán)境之間的管理標準代替?zhèn)鹘y(tǒng)的絕對標準，以便更好地釋放數(shù)據(jù)價值。這些討論背后所指向的核心問題是：法律如何評價匿名化數(shù)據(jù)的生產過程與匿名狀態(tài)的可靠性，而目前尚未有論著從匿名化的概括性立法模式進行反思與分析。

從概括式立法的視角梳理，可以發(fā)現(xiàn)匿名化存在著“立法抽象守法難”的現(xiàn)實窘境。特定產業(yè)的市場需求和產業(yè)競爭的態(tài)勢往往通過專利數(shù)量加以衡量，匿名化實踐同樣離不開復雜的數(shù)據(jù)處理和算法設計專利。2001-2015年，匿名化全球專利數(shù)量不斷增加，美國和日本增長最為明顯，專利數(shù)量分別達到159個和72個，而中國只有14個。由于我國專利數(shù)量少，疊加專利的先發(fā)壟斷特性，國內相關產業(yè)后起趕超并不容易，匿名化的專利使用成本也往往偏高，中小企業(yè)主動部署匿名化技術的意愿也受到一定影響。結合調研情況來看，產業(yè)的主要擔憂不僅是技術成本問題，還集中在匿名化合規(guī)預期的不穩(wěn)定。如汽車保險數(shù)據(jù)交易商A認為，匿名化處理者為獲取法律豁免適用資格投入巨大的技術和管理成本，但在很多時候都無法擺脫“個人信息”的寬泛認定。流量廣告服務供應商B認為，無論如何匿名，總有被還原的可能。這導致匿名化合規(guī)風險較大，實踐預期不明朗，無法有效促進產業(yè)數(shù)據(jù)流通，特別是廣告營銷與虛假流量審計時，對用戶SDK數(shù)據(jù)的讀取也會受到不同程度的限制。而視頻平臺企業(yè)C坦言，匿名化的合規(guī)標準是否明確，既對出海業(yè)務數(shù)據(jù)的跨境合規(guī)有重要影響，也對不同平臺間跨APP的數(shù)據(jù)匿名傳輸可靠性提出了挑戰(zhàn)。此外，互聯(lián)網銀行D反映，為了滿足金融監(jiān)管的要求，銀行一般都會通過匿名化處理來實現(xiàn)金融數(shù)據(jù)的二次利用，以便優(yōu)化放貸風控模型等。但有不少客戶并不信任匿名化，還將其與貸款電話營銷聯(lián)系起來。

為了緩解這一窘境，我國也在持續(xù)努力地完善規(guī)則供給體系，但總體上缺乏規(guī)劃，呈現(xiàn)出碎片化、原則性、附隨性的特點，整體設計并不完善。其中，碎片化體現(xiàn)在絕大多數(shù)與匿名化相關的規(guī)定散落在互聯(lián)網和數(shù)據(jù)安全、個人信息保護、汽車數(shù)據(jù)安全、醫(yī)療衛(wèi)生信息安全、金融信息保護、特定行業(yè)數(shù)據(jù)安全管理等行業(yè)管理的征求意見稿或標準文件中，目前并無單獨針對匿名化出臺專門文件。而原則性體現(xiàn)在，“數(shù)據(jù)二十條”等國家級規(guī)范性文件有綱領性、概括性的行文要求，并不適宜載明對匿名化具體的落實方案。至于附隨性，層級較高的規(guī)范，如行政法規(guī)、地方性數(shù)據(jù)法規(guī)、部門規(guī)章僅在其他條文中附帶性提及“匿名化”，亦未給出具體的執(zhí)行標準或者指導意見。

“大數(shù)據(jù)時代的個人數(shù)據(jù)權利涉及自然人的民事權益保護與數(shù)據(jù)企業(yè)的數(shù)據(jù)活動自由關系的協(xié)調?！蹦涿菂f(xié)調二者的關鍵法律制度。通過上述現(xiàn)行立法、數(shù)據(jù)政策、產業(yè)實踐和細化規(guī)則四個角度的觀察可發(fā)現(xiàn)：一方面，我國立法對匿名化所遵循的簡約策略，導致匿名化處理者在具體適法過程過度依賴和遵從文義解釋結論，抱著“以防萬一”的主觀動機奉行絕對的匿名化標準。另一方面，大量的匿名化認定標準會視乎場景的不同而各有區(qū)分。概括性立法既無法通過授權的方式引入非正式法源，為不同的場景化需求提供指導和界別，又無法在短期之內借助可觀數(shù)量的個案裁判結果為其提供穩(wěn)定的法律續(xù)造，造成長期以來“倡導匿名化而不敢匿名化”的行為悖論。因此，要讓匿名化實踐跳出上述的邏輯怪圈，需要對概括式立法困局作系統(tǒng)分析，通過適當擴展法源，優(yōu)化和補強相關立法架構，為匿名化提供更加細致的規(guī)則供給，在保護個人信息權益的同時，促進匿名化產業(yè)的健康發(fā)展和實踐創(chuàng)新。

一、個人信息匿名化立法的三種形態(tài)

不同國家的法律環(huán)境和社會背景各異，對匿名化的立法安排也有著不同的實踐和經驗。研究不同國家的立法形態(tài)，可以更好地理解與厘清我國匿名化概括式立法的長處與短板。從各國在聯(lián)合國貿促會（UNCTAD）備案的個人信息保護立法文本來看，不同國家對匿名化的重視程度、立法考量和具體規(guī)定均不相同。根據(jù)各國立法文本的條文表述和體例安排，匿名化立法可劃分為“二分型”“合一型”“留白型”三種形態(tài)。

（一）“二分型”立法形態(tài)

“國際社會在個人信息的界定上基本形成了以可識別性為核心判定標準的共識：但個人信息界定的動態(tài)性和場景性不僅帶來了司法認定上的困難”，也使企業(yè)在匿名化處理問題上無所適從。由于“個人信息”定義的寬泛性，匿名化總會意外回落到“個人信息”范疇，導致產業(yè)界減少或放棄使用匿名化技術，進而降低個人信息權益的保護力度。因此，部分國家專門增加了“去標識化”（de-identification）或“假名化”（pseudonymisation），為匿名數(shù)據(jù)提供法律責任上的緩沖。比如，除了《個人信息保護法》采用了“匿名化+去標識化”的二分設計外，GDPR、日本《個人信息保護法》（APPI）、德國《聯(lián)邦數(shù)據(jù)保護法》（BDSG）也采用了“匿名化+假名化”的類似立法。一些非洲與南美國家，深受GDPR的影響，如贊比亞《數(shù)據(jù)保護法》與秘魯《個人數(shù)據(jù)保護法》。

雖然歐洲與亞洲部分國家與我國都采取了二分的立法形態(tài)，但這些國家對匿名化立法及其配套工作更為重視。英國師承歐盟《一般數(shù)據(jù)條例》（GDPR），于2018年出臺了英國《數(shù)據(jù)保護法案》（DPA），也同樣采用了概括性立法的方式，但其通過英國信息保護專員（ICO）發(fā)布了大量的風險指引、執(zhí)法意見和行業(yè)規(guī)程。比如，ICO在2012年11月就分別發(fā)布了《匿名化：管理數(shù)據(jù)保護風險行為準則》《匿名化：管理數(shù)據(jù)保護風險行為準則咨詢摘要》。甚至在ICO的影響下，歐盟于2015年6月24日出臺了為出版目的對臨床報告進行匿名化的指導意見。2021年1月1日，ICO就其《匿名化，假名化和PET指南》草案的第二章啟動咨詢。2021年3月22日，ICO發(fā)布有關數(shù)據(jù)共享指南和更新匿名化指南的博客文章。2022年2月8日，ICO就上述指南草案的第三、四章啟動公眾咨詢。在公私合作領域，ICO還就匿名化指南的具體要求，資助建立了專業(yè)的非政府組織——英國匿名化網絡（UKAN），領銜其國內的匿名化最佳實踐探索，定期出版更詳細的產業(yè)答疑與實用建議。

除學界討論較多的歐美各國外，新加坡、日本等國對匿名化的重視程度實際上更高，立法資源及其配套規(guī)則出臺更及時、緊湊和務實。以新加坡為例，2013年9月24日，新加坡個人資料保護委員會（PDPC）發(fā)布《咨詢指南：匿名化》，分別于2017年5月23日、2019年10月9日進行修訂。2018年1月25日，PDPC發(fā)布《資料匿名化技術指南》，提供了惡意破解者、匿名化數(shù)據(jù)集、直接標識符和間接標識符等概念的關鍵定義。特別是，該指南提供了匿名化技術清單。2022年3月31日，PDPC發(fā)布了《基本數(shù)據(jù)匿名化技術指南》，更新了匿名化基本的概念和用例，并提出簡單明了的五步流程法指導企業(yè)如何對各種數(shù)據(jù)集進行適當?shù)幕灸涿?。作為配套?guī)則，2022年4月4日，PDPC和新加坡信息通信媒體發(fā)展局（IMDA）推出了數(shù)據(jù)保護要點（DPE）計劃，支持中小型企業(yè)（SME）獲得匿名化等安全實踐保護客戶數(shù)據(jù)。2022年5月30日，PDPC發(fā)布《基本匿名化指引》，取代了上述的《基本數(shù)據(jù)匿名化技術指南》，上線免費數(shù)據(jù)匿名化工具。2022年7月20日，IMDA和PDPC再次聯(lián)手，推出了隱私增強技術（PET）沙盒支持相關企業(yè)。2022年10月1日，新加坡《個人信息保護法》（PDPA）修正案生效，大幅增強PDPC權力。特別是創(chuàng)新性引入“接受自愿承諾（voluntary undertakings）”執(zhí)法制度，鼓勵組織自覺合規(guī)履行匿名化。

（二）“合一型”立法形態(tài)

該種立法形態(tài)并不單獨區(qū)分匿名化和假名化，而是通過“去標識化”直接統(tǒng)合匿名化的立法功能，主要代表國家為美國。美國與中歐之間對“匿名化”的定義和觀念均不相同。美國國家標準與技術研究院（NIST） 2015年內部報告《個人信息去標識化規(guī)程》（NISTIR 8053）解釋了美國使用“去標識化”，而不使用“匿名化”的原因。NIST認為，匿名化的實踐與歐盟標準《健康信息學——假名化》（IS025237-2008）的定義不一致，往往被認為已經匿名化的數(shù)據(jù)其實并沒有成功匿名化，反而被重新識別，所以美國行此安排。類似地，萊索托國《數(shù)據(jù)保護法》在第2條也有類似規(guī)定。合一型設計對匿名化的認定更加靈活，以取得類似于二分制中“假名化／去標識化”的緩沖效果。比如，印度2019年發(fā)布的《個人信息保護條例》（DPDP）草案第3條第2款規(guī)定：“與個人數(shù)據(jù)相關的‘匿名化’，是指將個人數(shù)據(jù)轉換或轉化為數(shù)據(jù)主體無法實現(xiàn)的形式的不可逆過程符合個人信息管理局規(guī)定的不可逆轉性標準。”斯洛文尼亞《個人數(shù)據(jù)保護法》（ZVOP-1）第6條規(guī)定：“18.匿名化（Anonimiziranje） -是指個人數(shù)據(jù)形式的變化，以至于它不再與個人相關聯(lián)，或者只有付出不成比例的巨大努力、成本或時間才能實現(xiàn)?！卑臀鳌秱€人數(shù)據(jù)保護法》（LGPD）第11款規(guī)定：“匿名化（anonimizaeao）：在處理時使用合理且可用的技術手段，通過這種方式數(shù)據(jù)丟失與個人直接或間接關聯(lián)的可能性?！钡弦恍驮诩铀贁?shù)據(jù)流通的同時，也帶來了很多棘手的問題。2022年6月11日，美國FTC隱私與身份保護部代理副主任克里斯丁·科恩（Kristin Cohen）針對匿名化數(shù)據(jù)和數(shù)據(jù)經紀人發(fā)布消費者提示（consumer alert）。她在提示中強調：“某些公司可能會聲稱他們數(shù)據(jù)已被匿名化，來安撫消費者的隱私擔憂，但這種說辭充滿了欺騙性，對匿名化作出虛假聲明的公司最好小心FTC的來信?！币虼耍昂弦恍汀钡牧⒎ㄔO計會不可避免帶來過度寬松的判定標準，在從寬解釋匿名化概括式立法時需要特別注意。

（三）“留白型”立法形態(tài)

立法完全不定義匿名化的情況也不少見，如已有20余年歷史的加拿大《個人信息保護和電子文件法》（PIPEDA）、安道爾《個人數(shù)據(jù)保護法案》、安哥拉《信息社會技術和服務管理條例》、安提瓜和巴布達《數(shù)據(jù)保護法》、巴哈馬《個人資料私隱法令》、巴林《個人資料保護法》、白俄羅斯《信息、信息化和信息保護法案》等，均未出現(xiàn)“匿名化”的相關表述，轉而側重于通過數(shù)據(jù)最小化、隱私設計或數(shù)據(jù)保護影響評估、完善的行政執(zhí)法配套等措施來實現(xiàn)個人信息保護功能。以PIPEDA為例，該法許可個人信息處理者自行決定適當且有效的個人信息保護技術，而將技術的有效性審查下放給加拿大聯(lián)邦和各省行政職權部門自行決定。在PIPEDA的具體執(zhí)法適用中，加拿大國內對匿名化實踐逐漸形成了“合理預期（reasonable expectations）”或“合理可預見（ reasonably foreseeable）”的判定標準，還成為主要省級地方立法解釋時優(yōu)先適用的標準，特別是省級健康隱私立法，如薩斯喀徹溫省《健康信息保護法》（HIPA）、安大略省信息和隱私專員《結構化數(shù)據(jù)去標識化指南》和安大略省《個人健康信息保護法》 （PHIPA）、魁北克省《第64號法案》（ Quebec’s Bill 64）。值得關注的是，2022年12月，加拿大提出C-27法案（Bill-27），計劃以全新的《消費者隱私保護法》（CPPA）取代PIPEDA。這引發(fā)了加拿大國內的激烈討論。其中，最引人關注的是CPPA由原先的留白狀態(tài)直接引入去識別化和匿名化數(shù)據(jù)的二分形態(tài)，以便與GDPR等國際標準接軌，保證加拿大在全球數(shù)字經濟中保持競爭力。

從上述的梳理可以發(fā)現(xiàn)，匿名化立法在政治、經濟、社會和文化背景中的差異化發(fā)展，并無孰優(yōu)孰劣之分。但無法忽視的是，全球化的進一步加深，也讓跨境數(shù)據(jù)流動日益頻繁，個人信息匿名化問題也隨之具有了全球化特征。無論是寬松的合一形態(tài)，還是完全不定義的留白形態(tài)，都不約而同慢慢向二分形態(tài)演進。因此，在反思和完善我國的匿名化立法時，當然可以自主借鑒發(fā)達國家的先進經驗，但更應當充分考慮我國國情與立法實際，在二分型的基礎上，因地制宜、因時制宜對概括式立法加以漸進式改良。

三、我國個人信息匿名化現(xiàn)行立法的不足

匿名化處理的首要目的是降低個人數(shù)據(jù)被重新識別的風險，但不同的個人信息處理場景會面臨不同級別的風險。由于法律對于匿名化缺乏明確、可操作性的定義。這種模糊性會導致匿名化的兩極分化，處理者要么求穩(wěn)而保守處理，要么求快而粗暴處理。進言之，概括式立法往往對于在匿名化失敗導致數(shù)據(jù)泄露時的責任歸屬和處理標準缺乏具體規(guī)定。簡單的法律表述無法為如何基于具體風險情境來適當?shù)剡M行匿名化處理提供指導。相較于適用《個人信息保護法》第7章稍顯嚴苛的法律責任承擔方式，通過如行政許可、備案等方式來指導匿名化措施的實施，為匿名化構建層次化、多樣化的法律規(guī)制結構，更有利于違法行為的預防、法律責任的落實，但這些舉措都需要通過法定的形式加以確定。在此現(xiàn)狀下，行業(yè)良好實踐與慣常標準雖然可提供一定的規(guī)范作用，但這又必須依靠產業(yè)界在諸多場景下的大量匿名化實踐，試錯成本與時間成本亦不能忽視。參照過往對新型業(yè)態(tài)的規(guī)制實踐來看，司法個案裁判具有其獨特作用，但個案針對性強，裁判規(guī)則不一定在裁判尺度與價值追求上保持基本一致，甚至還會出現(xiàn)互斥的情況。此外，相對固定的裁判規(guī)則依賴于足夠的個案數(shù)量，而立法的細化無疑會大大促進這一進程。因此，有必要系統(tǒng)分析我國匿名化現(xiàn)行立法的不足。

（一）現(xiàn)行立法條文缺乏細化路徑

從《個人信息保護法》第1條的表述可知，匿名化數(shù)據(jù)與個人信息之間相輔相成，二者概念外延的劃定會直接影響個人信息保護與數(shù)據(jù)流通利用的功能實現(xiàn)。從國內立法進程看，個人信息的范疇正在逐步擴張。2012年頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第1條，僅將能夠直接識別信息主體的信息認定為個人信息；2016年頒布的《網絡安全法》第76條規(guī)定“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，采“單獨識別+結合識別”標準；2017年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《兩高解釋》）第1條，將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，首次將關聯(lián)信息納入個人信息范疇；《民法典》第1034條將認定個人信息的標準退回到“單獨識別+結合識別”，與《網絡安全法》一致，而《個人信息保護法》又再度將個人信息范圍擴展至“關聯(lián)+識別”的最寬泛標準。個人信息界定范圍的不斷擴大帶來了立法適用上困惑：在當今“萬物互聯(lián)”的背景下，各種數(shù)據(jù)類型均有可能與自然人關聯(lián)，從而落入“個人信息”范疇，對應的數(shù)據(jù)處理行為就需要受到個人信息保護立法的調整。

相較于個人信息“領地”的逐步擴大，“匿名化”與“匿名化數(shù)據(jù)”及類似的表述，在立法中的出現(xiàn)次數(shù)卻并不多，而且為了配適個人信息的外延擴展，匿名化的立法條文大多采用了簡單但絕對化的表述方式。與GDPR類似，《個人信息保護法》全文僅出現(xiàn)了2次“匿名化”，且未規(guī)定具體的操作方式及規(guī)范標準。又如《網絡安全法》第42條第1款規(guī)定，經過處理無法識別特定個人且不能復原的個人信息向他人提供，可不經被收集者同意。《民法典》第1038條規(guī)定：“……未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外?！薄秱€人信息保護法》第4條規(guī)定：“個人信息……不包括匿名化處理后的信息?！睆脑撓盗袟l文的更迭來看，作為后法的《個人信息保護法》對匿名化沿襲了概括式立法技術，與前法的立法內容相近，表述幾乎一致，也并未授權有關機關加以細化解釋。這也將匿名化處理的法律指引實效推向了另外一端：雖然法律規(guī)則的簡化意在提高規(guī)則的可理解性和可操作性，但過度簡化反而會導致規(guī)則缺乏必要的詳細性和靈活性，反而無法充分涵蓋復雜多變的社會實踐。

就匿名化立法技術而言，中國法與歐盟相關立法高度一致。然而，歐盟并不像《個人信息保護法》那樣直接給出匿名化的定義，GDPR正文甚至一次都未出現(xiàn)“匿名化（anonymisation、ano-nymity、anonymous data）”，而是僅在GDPR序言第26條（Recital 26）闡明，數(shù)據(jù)保護原則不適用于匿名數(shù)據(jù)。歐盟學者分析認為，GDPR此舉是為了遵循立法技術的一般規(guī)則，對于非本法規(guī)范的對象或者客體，不宜在該法中作過多的條文闡述與解釋。但需要注意的是，歐盟并沒有止步于GDPR，而是快速響應新的技術挑戰(zhàn)和社會需求，通過補丁式立法（patch law）修補現(xiàn)行法的不足，解決GDPR實施中出現(xiàn)的具體問題，增強監(jiān)管一致性和指導的明確性，幫助企業(yè)更好地理解和遵守數(shù)據(jù)保護規(guī)則。反觀中國，雖然參照了歐盟的立法模式，但并未同步跟進歐盟的配套立法舉措。

就匿名化法定標準而言，GDPR和它的前身《電子隱私指令》（Directive 95/46/EC）均在各自序言第26條規(guī)定了較為嚴格的匿名化標準，即“數(shù)據(jù)控制者（data controller）或者其他任何第三方（any other person），使用所有可能的（likely）合理的（reasonably）方法，都不可能識別數(shù)據(jù)主體”。不過對這種不可逆性，GDPR和《電子隱私指令》均表述為“合理的方法”或“合理的努力”，意大利、德國、斯洛文尼亞等歐盟國家的國內法，則采用“不成比例的努力（dispro-portionate effort）”的表述；而法國則采用更加嚴格的定義，即“重新識別是極其困難或者不可能”。此外，2014年，歐洲數(shù)據(jù)保護委員會（EDPB）的前身——第29條工作組（WP29）在其《匿名化意見》中，一再堅持對個人數(shù)據(jù)進行寬泛解釋。根據(jù)該意見，如果數(shù)據(jù)經過匿名處理后，在任何情況下，應保證匿名化的狀態(tài)完全不可逆。但這一系列的表述依舊模糊，缺乏確定的判斷標準。正如國際標準《健康信息學——假名化》（IS025237： 2017）中總結的那樣，“匿名化”的定義實際上基于“未定義的行為（undefined behavior）”和“未定義的行為者（undefined actor）”。這種循環(huán)定義導致了產業(yè)界在實踐中產生很多困惑。“任何法律都需要明確其適用范圍，否則一旦范圍不清晰，即使一個人在善意地認為自己沒有違規(guī)，仍然可能會受到法律的約束，并被處以罰款?！?/p>

值得注意的是，盡管歐盟通過大量的法律文件確立了對匿名化的嚴苛標準，但是新近的歐盟立法卻呈現(xiàn)出相反態(tài)勢。最典型的是《數(shù)據(jù)治理法》（the Data Governance Act，DGA）與《歐洲健康數(shù)據(jù)空間監(jiān)管提案》（以下簡稱《提案》）都規(guī)定了在匿名化狀態(tài)下共享醫(yī)療健康數(shù)據(jù)等的重要性，并設計了細致的執(zhí)行標準。如《提案》第45條就專門規(guī)定了匿名數(shù)據(jù)訪問應用程序，任何自然人或法人均可就提交查閱資料申請，且要求申請人說明是否應以匿名格式提供電子健康數(shù)據(jù)，并對電子健康數(shù)據(jù)的預期用途加以詳細說明。由此可見，歐盟有關匿名化的法定標準并非拘泥于GDPR的原教旨，而是在補丁立法中不斷演進。

除成文法之外，作為歐盟立法的另一主要法律淵源——判例法，對匿名化法律標準也同步調適。對匿名化判定標準產生重要影響的判例法，當屬2016年10月裁判的“布萊耶訴德國聯(lián)邦機構案”，其爭議焦點在于德國聯(lián)邦機構官方網站是否擁有“合理且可能”的途徑來訪問網絡服務提供者（ISP）存儲的數(shù)據(jù)。歐洲聯(lián)盟法院（CJEU）并未直接判斷動態(tài)IP地址是否為個人信息，而是結合動態(tài)lP地址的原理及其數(shù)據(jù)收集方是否可以通過合理方式識別到特定自然人。CJEU在判決中引用了德國《國家安全法》的規(guī)定，認為在發(fā)生網絡攻擊的情況下，在線媒體服務提供者有權聯(lián)系執(zhí)法機關（如德國警方），使其配合完成對具體的自然人的識別，進一步實施逮捕或其他措施。而在2023年6月裁判的“單一決議委員會（SRB）訴歐洲數(shù)據(jù)保護監(jiān)管專員（EDPS）案”中，歐洲普通法院（General Court）判決改變了EDPS有關匿名化的既往判定標準，轉而認為：如果數(shù)據(jù)持有者無法（重新）識別與此數(shù)據(jù)相關的個人，則假名數(shù)據(jù)將被視為匿名數(shù)據(jù)：在默認情況下，個人觀點或意見不能被推定為個人數(shù)據(jù)。目前，該案正在CJEU上訴審階段。若維持原判，該判決意味著GDPR將不適用于接收者沒有合法手段從數(shù)據(jù)中識別個人身份的情況下傳輸?shù)娜魏蝹€人數(shù)據(jù)，這將徹底打破在“布萊耶案”中確立的匿名化嚴格標準。巧合的是，該案裁判時，恰逢歐盟多部促進數(shù)據(jù)共享立法的審議，該判決為匿名化相關立法的討論奠定了更寬松的基調，對具有重要影響的《人工智能法案》（AI Act）與《數(shù)據(jù)法案》（Data Act）通過審議產生實際助益。

綜合上述分析可知，匿名化的立法條款設計過于簡單，顯然無法全面覆蓋匿名化處理的各個環(huán)節(jié)與對應風險，反而會加劇法律適用的不確定性和不一致性。在此情勢下，由于我國并非判例法國家，立法者若能參照上述“個人信息”的修法路徑，新增條文數(shù)量抑或通過立法解釋細化匿名化的相關規(guī)定，對解決上述問題大有裨益，有助于跳出簡單重復而導致的“1+1lt;2”的立法適用現(xiàn)狀，為匿名化提供系統(tǒng)性和前瞻性的法律指引。

（二）依賴“全有或全無”的法律歸責邏輯

在我國法框架下，匿名化是通過“非個人信息”的方式來定義的。根據(jù)《個人信息保護法》第4條的規(guī)定，如果匿名化數(shù)據(jù)被重新識別，這些數(shù)據(jù)都會被認定為“個人信息”，進而要求處理者具有處理這些信息的法律依據(jù)。如果無法證明事前已取得具體的法律依據(jù)而匿名化處理的，則應承擔相應的法律責任。如此一來，匿名化處理者就會落人“全有或全無（all or nothing）”的歸責邏輯。加上產業(yè)實踐一般都是通過批量處理數(shù)據(jù)集來生產匿名化數(shù)據(jù)，一旦重新識別的數(shù)據(jù)條數(shù)超過法定數(shù)量，根據(jù)《中華人民共和國刑法》第253條及《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4、5條所規(guī)定，相同主體可被追訴侵犯公民個人信息罪。因此，匿名化處理者在對個人信息進行匿名化處理時，不僅需要投入大量的人力資源、技術和管理成本，而且一旦處理失敗，將可能面臨嚴重的法律責任。

順著“全有或全無”的法律歸責邏輯推演，可以得出一個監(jiān)管上的悖論：一方面，匿名化促使行業(yè)內部進行惡性的逐底競爭（race to the bottom）。過于簡單的立法條文可能導致監(jiān)管機構在執(zhí)行時面臨困難，因為缺乏具體、可執(zhí)行的標準來評估數(shù)據(jù)處理者的行為是否合規(guī)。只要監(jiān)管機構沒有查處，匿名化處理者就可以一直秉持“富貴險中求”的執(zhí)念，就如上文FTC所警告的那樣，對外宣稱自己對數(shù)據(jù)已經匿名化，即可節(jié)省大量匿名化技術成本并實現(xiàn)套利。另一方面，這一歸責邏輯也會抑制通過提升自身產品或服務質量來獲取市場優(yōu)勢的逐項競爭（race to the top）。對個人信息保護與自身法律責任承擔減輕而言，匿名化“有總比沒有好”。即便匿名化不完美，亦能降低數(shù)據(jù)泄露的風險。因此，相較于完全沒有匿名化處理，進行任何程度的匿名化總是更佳的方案，但這也決定了匿名化很難有明顯的邊際收益。由于法律責任的嚴格化，匿名化處理者會選擇限制其業(yè)務規(guī)模，減少潛在的錯誤和相應的法律風險。這種做法會削弱匿名化處理的規(guī)?；?，進而增加匿名化成本，而這些成本最終會通過價格傳遞給最終用戶，使得匿名化服務的成本相較更高，反過來抑制匿名化技術的應用與發(fā)展。

正如布拉什（Elizabeth Brasher）所言，美國的匿名化法律框架采取了“全有或全無”的邏輯，導致了對匿名化實踐的激勵不充分。美國應該考慮采用GDPR中的多層匿名化（multiple tiers of anonymization），為部分匿名化的數(shù)據(jù)提供相對寬松的要求，這既在數(shù)據(jù)隱私和數(shù)據(jù)效用之間取得了平衡，又為數(shù)據(jù)主體提供了更好的法定保護。在GDPR的條文設計當中，歐盟立法者也通過引入“假名化”等概念，為匿名化處理者提供了一定程度的責任緩沖。GDPR第89條專門針對處理個人數(shù)據(jù)以進行科學研究、統(tǒng)計和歷史研究的情形，提供了數(shù)據(jù)處理的保護和豁免措施，在一定程度上為匿名化和假名化處理提供了法律基礎和操作指南，具體表現(xiàn)在四個方面：第一，在進行科學研究等活動時應當尊重數(shù)據(jù)最小化原則，采取適當安全措施保護個人數(shù)據(jù)。當數(shù)據(jù)處理者采用假名化減少數(shù)據(jù)與特定個人直接關聯(lián)的可能性時，可減少因數(shù)據(jù)泄露或不當處理而產生的法律風險。第二，當處理活動有適當保障措施時，可以在某些情況下豁免數(shù)據(jù)訪問與更正等義務。這為數(shù)據(jù)處理者在特定研究領域內提供了更大的靈活性，同時也體現(xiàn)了GDPR對于科研自由和公共利益的尊重。第三，第89條要求數(shù)據(jù)處理必須遵循比例原則，處理措施應當與其追求的研究目標成比例。在考慮采用匿名化或假名化等技術時，數(shù)據(jù)處理者需要評估這些措施與保護個人隱私的必要性之間的平衡，確保數(shù)據(jù)處理活動的合法性和正當性。第四，通過第89條的規(guī)定，GDPR實際上鼓勵了在科研等特定場景下使用假名化技術，因為假名化的數(shù)據(jù)若被重新識別，責任并不會像處理未經任何保護的個人數(shù)據(jù)那樣嚴重。

相比之下，《個人信息保護法》雖然也采用了與GDPR同樣的二分立法形態(tài)，在第73條規(guī)定了去標識化的定義。但細究之，去標識化被視為一種個人信息的保護措施，而非徹底改變信息性質的手段。言外之意是法律承認在某些情況下，去標識化信息仍有可能被重新識別，從而構成對個人信息的潛在威脅。因此，盡管去標識化降低了個人信息泄露的風險，但這類信息仍需受到《個人信息保護法》的約束和保護，而我國沒有一并借鑒GDPR第89條作為去標識化的配套條文，也未在其他條款中明確去標識化的法律減免責任，繼而無法有效軟化“全有或全無”的匿名化法律歸責邏輯。

（三）缺乏公眾風險溝通機制路徑

匿名化立法的公眾風險溝通機制是通過立法條文授權個人信息執(zhí)法機關設計并實施，用來確保公眾能夠理解、參與和影響關于數(shù)據(jù)匿名化立法的機制。這個機制的主要目的是提高透明度、建立信任、并確保公眾充分了解匿名化政策可能帶來的風險和益處。匿名化技術的復雜性和相關法律概念的抽象性，導致一般公眾難以全面理解匿名化的重要性。匿名化涉及高度技術性的處理，包括數(shù)據(jù)的隨機化、泛化、擾動等多種技術手段。這些技術不僅要確保數(shù)據(jù)在去除個人標識信息后，仍然保持其在統(tǒng)計和研究中的有效性，還要確保數(shù)據(jù)不能通過被還原而重新識別個人。這種技術的雙重要求，使得匿名化變得復雜且難以用非專業(yè)的語言描述清楚。而法律條文在處理匿名化的定義和規(guī)范時，常常使用抽象和寬泛的語言來覆蓋各種潛在的情形，這使得非法律專業(yè)的公眾又難以直觀理解。例如，個人信息保護立法會規(guī)定數(shù)據(jù)在“去除了所有可能識別個人身份的信息后”才被認為是匿名化，但具體哪些信息屬于“可能識別個人身份的信息”則需要專業(yè)的解讀來界定。

對于一般社會公眾而言，概括式立法本身過于簡約，缺乏有效的風險溝通會加劇公眾對匿名化技術理解不足，可能基于錯誤信息造成對這些技術的恐懼或誤解。匿名化是最有效的數(shù)據(jù)保護措施之一，但社會公眾往往更關注直接影響到自己隱私的問題，媒體也更傾向于報道數(shù)據(jù)泄露等熱點問題，而對匿名化這類預防性的技術和措施的解釋和普及不足，因此，公眾對于這些概念的了解往往片面或誤讀，過于擔心數(shù)據(jù)匿名化后仍能被重新識別的風險，或者錯誤地認為匿名化數(shù)據(jù)完全沒有隱私泄露的風險。沒有良好的風險溝通基礎，一旦發(fā)生數(shù)據(jù)泄露或匿名化失敗的事件，公眾大多會因為缺乏足夠的背景知識而反應過度，導致公眾恐慌和對匿名化的不信任。

對于匿名化處理者而言，個人信息保護和保持數(shù)據(jù)可用性之間存在雙刃劍效應。匿名化處理者在確保合規(guī)的努力中，過分側重于匿名化技術而不充分考慮隱私保護和數(shù)據(jù)可用性之間的平衡，就會采取過于保守的措施。這種保守策略源于對清晰指導的缺乏或對潛在法律后果的恐懼，驅使組織將技術手段用于合規(guī)性的優(yōu)先考慮。畢竟IBM2023年數(shù)據(jù)泄露成本報告顯示，2022年3月至2023年3月，客戶和員工每條泄露的個人信息給所屬組織造成的損失分別為183美元和181美元。因此，缺乏必要的風險溝通機制，會在一定程度上加劇“過度匿名化”，限制數(shù)據(jù)對研究和分析的可用性。

（四）法律標準與技術標準缺乏互補

立法者在制定匿名化立法時，往往考慮當前技術的發(fā)展水平和實際可行性。法律標準的模糊性有時是有意為之，以便給技術發(fā)展留下空間。在這種情況下，技術標準的發(fā)展和應用成為了解釋和實施法律的橋梁。一方面，與法律標準不同，技術標準往往更具體、更明確。這包括數(shù)據(jù)匿名化的具體技術方法（如數(shù)據(jù)脫敏、掩碼、擾動等），以及如何應用這些技術以達到法律要求的匿名化水平。技術標準還經常包括評估和驗證匿名化效果的方法，例如，通過數(shù)據(jù)再識別風險評估來量化數(shù)據(jù)被重新識別的風險。在法律標準不夠具體的情況下，技術標準可以提供實際操作的指導和衡量標準，幫助界定什么樣的匿名化措施是足夠的，什么樣的再識別風險是可以接受的。另一方面，隨著數(shù)據(jù)處理技術的快速發(fā)展，新的匿名化技術和方法不斷出現(xiàn)。技術標準往往可以及時更新，而法律修訂往往步伐較慢。因此，技術標準在保持與技術發(fā)展同步的同時，也承擔起指導實踐和評估現(xiàn)有法律適用性的功能。

奧爾林（Orlin Yalnazov）認為法律不確定性可分為適用性不確定性（applicative certainty）和層級性不確定性（hierarchic uncertainty）兩種類型，并指出當法律在適用性上變得更加確定時，其在層級性上可能變得更加不確定。這種復雜的法律不確定性促使法律文本的適法者尋求通過語言的修辭轉化來管理或減輕不確定性，從而保護自己免受不利解釋的影響。也正因如此，當法律對匿名化的定義缺乏明確性時，數(shù)據(jù)處理者會借助修辭策略來強調某些解釋的合理性或掩蓋潛在的不確定性，以適應監(jiān)管要求或避免法律責任。這種修辭上的轉化其實是一種策略性的語言使用，以便在法律不確定性環(huán)境中尋找穩(wěn)定性和可預測性，使得行動者能在現(xiàn)有的法律框架內找到一個相對安全的行為路徑。

就匿名化實踐來說，所有匿名化方案都會涉及大量技術操作流程和評估報告。但是，為了簡化決策、規(guī)避法律定義不明確帶來的風險，新技術逐漸成為了修辭轉化的載體——只要采用了更先進的匿名化技術，就可以不用擔心會被監(jiān)管處罰。然而，這種嘗試在不確定性中尋找確定性的做法，勢必導致過于保守的數(shù)據(jù)處理行為，限制了數(shù)據(jù)的創(chuàng)新使用和價值實現(xiàn)，一個顯著的趨勢是，為了簡化和加速上述的技術流程，從業(yè)者正在逐步引入人工智能等進行匿名化的自動化操作。最熱門的當屬合成數(shù)據(jù)（ synthetic data）和差分隱私（differential privacy）。以合成數(shù)據(jù)為例，其優(yōu)勢在于可以保留樣本集統(tǒng)計特征的同時，創(chuàng)建不包含任何直接標識符的新數(shù)據(jù)，但該技術仍處于起步階段，并不一定能消除所有重新識別風險。

造成上述技術標準“代替”法律標準的現(xiàn)象的重要原因是，立法缺少將有益的技術標準吸收入法或者指定參照適用的具體機制。誠然，法律標準往往追求一定程度的通用性，而技術標準則更注重針對具體技術或應用的特定需求。這種法律通用性與技術特異性之間的沖突會導致法律無法細致地反映特定技術的實際需求和條件。此外，技術的復雜性和專業(yè)性要求立法者具有一定的技術背景，才能有效地將技術標準轉化為法律語言。立法者一般并不會對匿名化技術細節(jié)作深入理解，對技術理解的不足導致立法者雖重視技術標準的功能，但在很多時候卻無法準確評估某項技術的個人信息保護效果。因此，立法者委托相關行政執(zhí)法機關進行具體技術標準審查與認定成為了可選的方案，如法國通過法定授權予CNIL執(zhí)法權限，使其可以根據(jù)GDPR標準認可上述合成數(shù)據(jù)技術的匿名可靠性。

四、我國個人信息匿名化立法的完善進路

一個有效的匿名化立法框架實際上需要兼顧多重功能：既保護個人信息，又允許數(shù)據(jù)在不侵犯個人權利的前提下被安全使用。通過規(guī)定如何合法地匿名化個人信息，立法不僅保護了數(shù)據(jù)主體的合法權益，也為數(shù)據(jù)的進一步分析和使用打開了大門。匿名化的概括式立法的具體化，也需綜合考慮多個關鍵環(huán)節(jié)的設計。

（一）注重產業(yè)差異的細化立法設計

針對匿名化的困局，雖然立法過程需要克服政治、技術和行業(yè)利益的阻力，且在短期內看起來成本較高，但從長遠來看，一個清晰、全面且適應技術發(fā)展的法律框架，能夠為匿名化實踐提供穩(wěn)定的預期，促進技術創(chuàng)新，從而在整體上降低社會成本，實現(xiàn)更高效的個人數(shù)據(jù)保護和利用。不同行業(yè)對數(shù)據(jù)的收集、處理和使用有著根本的差異。這要求立法不僅要保護數(shù)據(jù)隱私，還需要考慮各個行業(yè)特定的數(shù)據(jù)使用需求和風險。行業(yè)特定的風險和挑戰(zhàn)要求立法能夠更準確地針對特定行業(yè)中的風險提供有效的保護措施和合規(guī)要求。過于泛化的法規(guī)既不能充分保護高風險數(shù)據(jù)，也會不必要地限制了低風險數(shù)據(jù)的合理利用。定制化的立法可以避免這種一刀切的方法，促進數(shù)據(jù)的合理利用和新技術的發(fā)展，同時確保數(shù)據(jù)隱私和安全。考慮產業(yè)差異進行立法設計可以為不同產業(yè)提供適宜的操作空間，有助于法律與技術發(fā)展同步，提高法律規(guī)定的實用性和有效性，同時加強公眾對數(shù)據(jù)處理實踐的信任。

對產業(yè)差異的定制立法實踐，需要特別注重匿名數(shù)據(jù)的還原責任主體問題。新加坡專門設置特定法律條文對公職人員的適用情況進行了明確區(qū)分。其適用的違法事項涵蓋了違反特定法律規(guī)定的各種情況，如《新加坡公共部門（治理）法》的第8條第1款以及《新加坡金融管理局法》的第14B條第1款。后者在條款中對“個人”的定義作出了特別說明，明確排除了兩類人群：一是任何屬于新加坡公共部門機構的相關公職人員，在其重新識別或促成重新識別該公共部門機構持有或控制的個人數(shù)據(jù)時；二是或曾經是屬于新加坡金融管理局的董事、高級職員、雇員、顧問或代理人，在其重新識別或促成重新識別金融管理局持有或控制的個人數(shù)據(jù)時。該規(guī)定體現(xiàn)了法律在處理數(shù)據(jù)重新識別問題時對不同角色和身份的考量，尤其是在公共部門機構及金融管理局的背景下。通過對特定公職人員重新識別活動的豁免，新加坡法律試圖在保護個人信息權益與允許合理利用數(shù)據(jù)之間找到平衡。這種區(qū)分不僅強調了在特定公共服務領域內部數(shù)據(jù)使用的合法性和必要性，同時也凸顯了對于數(shù)據(jù)處理行為合規(guī)性要求的復雜性和細微差別。

（二）注重責任減免的激勵立法設計

在匿名化領域，注重構建法律責任的緩沖設計不僅可以提高法律適用的層級性，來適應數(shù)據(jù)處理和分析技術的快速發(fā)展對保護個人信息權益的切實保障，還可以鼓勵數(shù)據(jù)處理者采取負責任的匿名化措施，減少數(shù)據(jù)泄露或濫用的風險。這種設計通過考慮數(shù)據(jù)處理的具體情境，關注數(shù)據(jù)處理的目的和采取的安全措施，有助于在數(shù)據(jù)處理者和數(shù)據(jù)主體之間建立更為平衡的法律關系，從而增強法律的公平性和合理性。

第一，建立匿名化違法行為的舉證抗辯機制。新加坡《個人數(shù)據(jù)保護法》設立的舉證抗辯制度對于匿名化處理提出了一個創(chuàng)新且實用的法律框架。在就匿名化罪行而進行的訴訟中，被告人若能證明下列任一情況的可能性，該情況即可作為對指控的有效抗辯?？罐q清單主要包括：一是意外識別，被重新識別的組織或公共機構擁有或控制的個人數(shù)據(jù)因違法事項而公開，被告對此并不知情也沒有放任自己不知情：二是授權識別，被告重新識別組織或公共機構持有或控制的個人數(shù)據(jù)是法律規(guī)定或法院命令授權允許或要求的；三是特定目的識別，被告合理地相信重新識別是為了特定目的，并在切實可行范圍內盡快將重新識別一事通知PDPC或該組織或公共機構；四是表見識別，被告有合理地相信其有權重新識別或促使重新識別匿名數(shù)據(jù)，而并非出于某一特定目的輕率為之。

第二，明確匿名化特殊情形的法定豁免。法定豁免的情形，可基于風險管理理念區(qū)分不同數(shù)據(jù)開放類型面臨的風險等級而定。韓國特別針對匿名數(shù)據(jù)的處理及其應用設定了明確的法律框架。專門用于檔案目的、科學研究目的或統(tǒng)計目的的假名化數(shù)據(jù)處理，可無需事先取得數(shù)據(jù)主體的同意。當這些匿名數(shù)據(jù)被提供給第三方時，必須確保不含有任何可能用于識別特定個體的信息，以防止?jié)撛诘碾[私侵犯。此外，韓國還要求特定機構負責匿名化數(shù)據(jù)的組合處理，以及對外發(fā)布組合信息需獲得專業(yè)機構負責人的批準，保證其對匿名數(shù)據(jù)處理過程中隱私保護的嚴格控制。個人信息控制者在將組合信息發(fā)布于組織之外的，需要獲得指定專業(yè)機構負責人的批準，保障處理和發(fā)布流程的合法合規(guī)。禁止任何人以識別特定個體為目的處理匿名數(shù)據(jù)，一旦在處理匿名化數(shù)據(jù)過程中不慎產生了能夠識別個體的信息，個人信息控制者有責任立即中止處理該信息，并進行檢索和銷毀。

第三，增強匿名化法律分層激勵機制。首先，通過風險等級分類，制定基于數(shù)據(jù)敏感性和處理活動可能帶來的隱私侵害風險的分類標準，可以確保不同風險等級的數(shù)據(jù)處理活動采取適當?shù)哪涿图倜夹g標準。其次，提供稅收減免、補貼或優(yōu)先考慮獲取公共研究資金等激勵促進數(shù)據(jù)處理者采取負責任的數(shù)據(jù)處理方式，同時確保匿名化處理的經濟可行性和社會效益最大化。對違反匿名化標準的行為設定遞增的罰款體系，確保足夠的威懾作用，避免數(shù)據(jù)違法行為。最后，透明度和責任的要求也是構建有效法律激勵機制的關鍵部分。要求數(shù)據(jù)處理者公開其匿名化和假名化的處理方法和標準，有助于在數(shù)據(jù)泄露或濫用事件中根據(jù)數(shù)據(jù)處理者采取的匿名化標準和預防措施調整其法律責任程度。通過建立專門的機構負責定期評估匿名化技術的有效性和風險分類標準的適應性，并根據(jù)技術發(fā)展和市場需求的變化適時更新法律框架和技術標準，確保法律激勵機制的長期有效性和適應性。

（三）注重行政指導的授權立法設計

解決立法中缺乏公眾風險溝通機制的問題，通常涉及更多的行政指導和授權立法設計，原因在于這種方法允許更為靈活和動態(tài)的政策制定過程，適應快速變化的技術環(huán)境和公眾需求。而立法機關通過授權，使得行政機構可以通過更詳細的規(guī)章和指南來填補法律中的空白，這些規(guī)章和指南可以更容易地更新和調整，以應對新的風險和挑戰(zhàn)。如《泰國個人數(shù)據(jù)保護法》第33條第4款規(guī)定：“個人數(shù)據(jù)保護委員會有權出臺個人數(shù)據(jù)的刪除、銷毀、匿名化的指導意見?！狈ǘㄊ跈嗟男姓笇в兄谕ㄟ^制定統(tǒng)一的匿名化標準和要求，可以避免匿名化實踐之間的質量差異，提高整體匿名化數(shù)據(jù)的安全性和可靠性，降低違反數(shù)據(jù)保護法規(guī)的風險，避免因數(shù)據(jù)泄露或不當處理而導致的法律后果和經濟損失。比如，2020年2月，德國聯(lián)邦數(shù)據(jù)保護與信息自由專員（Bf-DI）發(fā)布關于電信行業(yè)匿名化的報告和公眾咨詢；2020年7月，愛爾蘭數(shù)據(jù)保護委員會（DPC）發(fā)布《指導說明：匿名化和假名化指南》；2021年4月，荷蘭數(shù)據(jù)保護局（AP）發(fā)布《匿名化數(shù)據(jù)技術準用聲明》；2021年8月，土耳其個人資料保護局（KVKK）發(fā)布《關于刪除、銷毀或匿名化個人數(shù)據(jù)的附則》；2022年2月，ICO就《匿名化、假名化及隱私增強技術指南草案》修訂工作再次啟動公眾咨詢程序。以對外提供匿名化數(shù)據(jù)法定事項設計為例，日本《個人信息保護法》第36條的規(guī)定，體現(xiàn)了法定授權行政指導匿名化的優(yōu)勢。有日本學者認為，通過要求匿名化數(shù)據(jù)經營者在向第三方提供匿名化數(shù)據(jù)前，根據(jù)個人信息保護委員會規(guī)則公開信息類別，并明確向第三方說明所提供的信息為匿名化數(shù)據(jù)，這一規(guī)定增強了對匿名化數(shù)據(jù)的管理透明度和責任界定。同時，對采取安全措施的責任的具體規(guī)定，如技術性、管理性和物理性措施，確保了在處理匿名數(shù)據(jù)時防止個人信息遺失、被竊、泄露、偽造、更改或毀損，體現(xiàn)了對個人信息保護的細致關懷。此外，注重行政指導的法定授權設計有助于應對技術發(fā)展帶來的新挑戰(zhàn)，保障個人隱私權利，同時促進數(shù)據(jù)的合理使用和共享。

考慮到立法程序的啟動，需要較長的時間籌備。在此之前，可以借鑒意大利與西班牙的代位模式，積累和豐富匿名化的合規(guī)實踐經驗。以意大利為例，該國個人數(shù)據(jù)保護局（GPDP）于2004年10月1日生效的專門守則（Allegato A.4）特別強調了匿名化在處理個人數(shù)據(jù)時的重要性。守則明確指出，為統(tǒng)計和科學研究目的處理的個人數(shù)據(jù)應當盡可能地保持匿名。在無法完全匿名化的情況下，守則要求采取適當?shù)募夹g和管理措施來最小化數(shù)據(jù)被重新識別的風險，平衡科學研究和統(tǒng)計分析的需求與個人數(shù)據(jù)保護之間的關系，促進數(shù)據(jù)主體權利的尊重和數(shù)據(jù)的合理利用。此外，該國行政處罰個案文書中也附帶性地對匿名化判定標準加以評價，GPDP于2014年1月16日對意大利腎臟病協(xié)會（SIN）違規(guī)處理個人數(shù)據(jù)作出的整改決定，SIN在管理意大利透析和移植登記（RIDT）時，未向患者提供充分信息和獲取同意，其數(shù)據(jù)處理活動違反了數(shù)據(jù)保護法規(guī)。該登記系統(tǒng)收集了來自各地區(qū)透析和移植登記處（RR）的數(shù)據(jù)，包括患者的出生日期、性別、基本腎病類型等。盡管SIN認為這些數(shù)據(jù)是匿名的，但實際上這些信息能夠間接識別個人，屬于個人數(shù)據(jù)?？茖W研究目的通常也需要患者知情同意，但SIN未能做到這一點。GPDP要求SIN采取一系列措施來確保數(shù)據(jù)處理的合法性，包括重新制定信息和同意收集模板，使用安全的傳輸協(xié)議，并在必要時驗證數(shù)據(jù)的匿名性。此外，GPDP還保留了對各地區(qū)RR數(shù)據(jù)處理合法性進行獨立審查的權利。

（四）注重公私互動的試驗立法設計

試驗立法，也稱為試點立法或試行立法，允許在有限的范圍或條件下，臨時實施某些新法規(guī)或政策以測試其效果和可行性。在當下快速發(fā)展的匿名化技術領域，注重公私互動的試驗立法設計不僅有助于建立和維護法律標準與技術標準之間的有效溝通機制，而且可以促進立法者與匿名化從業(yè)者之間的深入合作。通過這種合作模式，立法者可以直接借助從業(yè)者在技術開發(fā)與實施方面的專業(yè)知識及資源，更精準地把握技術的最新發(fā)展動態(tài)和面臨的實際挑戰(zhàn)，從而在制定或調整匿名化標準時，更加貼近技術的實際需求和未來趨勢。公私合作的試驗立法設計允許在受控環(huán)境中對新法規(guī)進行前期測試，這不僅使立法者能夠實時評估新規(guī)定的實際效果，還使得法規(guī)的調整和完善能夠及時響應從業(yè)者的反饋和市場的變化，確保法律規(guī)定的科學性和前瞻性，增強立法的適應性和靈活性，有效促進技術標準和法律標準的協(xié)同進步，保障了個人隱私的安全，同時支持了技術創(chuàng)新與經濟發(fā)展的雙重目標。如上文所提及的UKAN，正是得益于ICO于2012年11月與曼徹斯特大學牽頭的一個財團，以及南安普敦大學、英國國家統(tǒng)計局和國家開放數(shù)據(jù)研究所方才組建成功并服務英國匿名化產業(yè)。與之相似，加拿大也組建了加國匿名化網絡（CANON）。正是通過此類公私合作，英國與加拿大立法者能夠直接了解技術企業(yè)可以提供關于哪些技術措施有效、哪些可能引發(fā)實施難題的直接反饋，明確實際操作中的挑戰(zhàn)和技術限制，從而幫助其制定更加實用和切實可行的法律標準，避免制定脫離實際應用的理論上的規(guī)定，

作為一種成熟的試驗立法方案，沙盒機制的引入可以為匿名化治理提供創(chuàng)新且實用的立法規(guī)制效果。沙盒機制在受控環(huán)境中允許企業(yè)測試新興技術的有效性和安全性，這種機制不僅能加速技術創(chuàng)新，還能顯著降低在開放市場中直接測試可能帶來的風險。沙盒機制的核心優(yōu)勢在于其為匿名化技術的開發(fā)和實施提供了一個安全的試驗平臺。在這個平臺上，企業(yè)可以在監(jiān)管機構的直接監(jiān)督下進行技術測試，確保新開發(fā)的匿名化方法在投入實際使用前，其隱私保護措施能達到法律和倫理的要求。這種機制使得監(jiān)管機構能夠實時跟蹤技術的最新發(fā)展，并根據(jù)技術進步及時更新或制定相應的監(jiān)管政策。更重要的是，沙盒機制通過降低市場進入的初期成本和復雜性，特別是對于初創(chuàng)企業(yè)和小企業(yè)，可以促進匿名化技術解決方案的創(chuàng)新和多樣性，豐富了市場上可用的匿名化技術選項，從而提高了整個行業(yè)的技術水平和服務質量，增強公眾對新匿名化技術的信任。

結語

匿名化的法律和技術標準是平行發(fā)展的，其概念基礎與實踐認知也在動態(tài)變化。隨著技術的發(fā)展和數(shù)據(jù)分析方法的進步，即使經過匿名處理的數(shù)據(jù)也可能被重新識別。確定何種匿名化程度足以防止重新識別，已成為技術和法律領域共同探討的復雜問題?！拔覈壳暗臄?shù)據(jù)治理模式正在從單一強調數(shù)據(jù)安全轉型至以數(shù)據(jù)安全促進數(shù)據(jù)流動，故而不能簡單地將匿名化制度功能解釋為保障個人信息安全，而是應當以匿名化處理所針對的數(shù)據(jù)關系為起點，將匿名化制度的功能定位為實現(xiàn)更大范圍的數(shù)據(jù)商業(yè)化利用。”“法哲學家古斯塔夫·拉德布魯赫（Gustav Radbruch）將法律確定性（legal certainty）視為與正義（justice）和合目的性（purposiveness）并列的法律三大基本支柱之一。如今，法律確定性被普遍認為是法治的核心要求?！蹦涿母爬ㄊ搅⒎ㄊ潜ＷC法律能在快速變化的數(shù)據(jù)環(huán)境中，妥善保護個人信息權益的有效方法，但在實際應用中往往帶有天然的不確定性。故此，為了解決匿名化實踐中的監(jiān)管悖論和成本問題，應當重視概括式立法的具體化作業(yè)，通過立法規(guī)范的形式邏輯梳理，豐富匿名化的法律條文結構，通過更為靈活和細致的法律規(guī)制，激勵匿名化處理者采取負責任的行為，同時調和科技與立法的內在張力，提供務實、協(xié)同和可擴展的規(guī)范供給，確保匿名化處理的經濟可行性和匿名數(shù)據(jù)社會效益的最大化。