数据匿名化在计算机科学领域是方兴未艾的热门话题。自1997年美国学者samarati和sweeney提出k-anonymity匿名模型后,目前已发展出许多成熟的技术解决方案。相比于技术领域的长足进步,法律领域对于匿名化的关注才刚刚开始(就国内研究看,通过中国知网查询“数据匿名”、“匿名化”,大量文献集中在计算机科学、通信科学领域,法学领域文献寥寥)。但随着全球个人数据保护立法制度的不断完善,关于数据匿名化的法律规范正逐步浮现。
特别是在大数据浪潮的推动下,数据挖掘、数据共享(交易)、数据开放对于匿名化的需求越来越高,有关法律规范问题亟待澄清。本文从法律视角出发,对数据匿名化的法律规范问题予以系统分析。
1 数据匿名化的概念如果从法律视角理解匿名化,则需要从个人数据保护法中的个人数据概念入手。一个基本的法律前提是:个人数据保护法规范个人数据的收集和处理活动,个人数据经匿名化之后不再适用个人数据保护法。
1.1 个人数据的概念
个人数据是个人数据保护法中的核心概念,其界定的关键是可识别特定自然人的数据,包括直接识别与间接识别。直接识别是指单凭该数据本身就能够指向特定个人,例如身份证号码、电话号码、家庭住址等;间接识别是指将该数据结合其他数据后也能够关联到特定个人。例如有关个人的一组常去地点数据,可以通过参考其他数据识别到特定个人。
1.2 匿名化的提出
尽管人们在上世纪90年代就提出了匿名化思想,但大数据时代的到来真正让匿名化迅速成为热点技术。大数据中的大部分数据来源于人和传感器,包括用户上网浏览记录、社交网络上用户的信息、传感器数据和监视数据等。从浩瀚的数据宝藏中获得有价值的信息是各大企业收集数据的主要目的。数据成为企业最有价值的财产和新型商业模式的基石[5]。与此同时,政府数据在促进创新方面所拥有的巨大经济、社会价值潜能也逐渐被各国所认知,自2009年起,在美国的引领下掀起了全球开放政府数据运动浪潮,推动以机器可读、可重复利用方式全面向社会公众开放。
2 匿名化的法律标准
如果缺乏其他的数据源,很多数据将保持匿名的状态。然而在大数据推动之下,有越来越多的数据集产生并公布,机构甚至是普通的个人都可以获取大量的数据资源。同时,软件算法和分析学的发展使得数据更易被关联和聚合,大大增强了人们将非个人数据转化为个人数据的能力。个人数据匿名化后遭遇有目的攻击的情况也更为普遍。2006年10月, dvd租赁商奈飞公司开展“netflixprize”算法竞赛。该公司公布了大约来自50万用户的一亿条租赁记录,并且公开悬赏一百万美金,奖励工程师通过软件设计来提高其电影推荐系统的精准度。虽然奈飞公司对数据进行了精心的匿名化处理,然而其中部分数据仍然被认出,包括一名化名“无名氏”的同性恋,她因此起诉了奈飞公司。在国内,某知名移动应用由于不注意保护用户位置大数据,攻击者可根据三角测量方法推断出用户的家庭住址等敏感位置。
尽管数据匿名化的难度越来越高,但需重申的是:匿名化仍然是重要的数据安全保障措施,在大数据环境下,更应得到广泛的应用。匿名化是可能的,也是可行的。数据匿名化使得丰富的数据资源得以利用,同时也能最大程度保护个人隐私和数据。并且各国个人数据保护法对匿名化数据予以了法律适用上的豁免。那么,在法律上认可匿名数据需要考虑的因素是什么?如何确定匿名化的法律标准?
2.1 部分国家立法或监管机构对于匿名化的标准
1)美国。对于匿名化数据,法律中还没有明确细致的标准。但美国《健康保险可转移及责任法案》(hipaa)对另一个相似的概念——去身份化(deidentification)作出了界定:“通过处理使得数据不能识别特定个人,或者没有合理的基础能够认为该数据可以被用来识别特定个人。”
2)日本。日本2015年通过《个人信息保护法》修正案,对于大数据交易做出修正规定。新法案允许企业向第三方出售充分匿名化的数据,但同时提出了相关义务要求:匿名后的数据不能够与其他信息进行比对、参照,以实现身份识别的功能,且不能复原。
3)新加坡。新加坡个人数据保护委员会2013年颁布的《个人数据保护法指定主题咨询指南》对个人数据的界定以及匿名化也作出了进一步规定。匿名化是指将个人数据转化成一种数据,这种数据无论是其本身,还是通过机构已经获得的或者可能获得的其他数据一起分析后都不能识别到个人。数据匿名化之后就不适用于个人数据保护法中的相关规定。
3 数据匿名化的法律规范
匿名化数据不受个人数据保护法保护是本文一再重申的观点。这一观点主要表达的是:数据经充分匿名化后,数据控制者对于该数据的使用处理不再受个人数据保护法的规范,例如包括知情同意原则、目的限制原则、最小化原则等都不再发挥约束作用。并且由于这些数据切断了与特定个人的联系,数据控制者也无需为个人数据权利(如知情权、访问权、拒绝权、删除权)的实现提供支撑。然而,享受个人数据保护法的豁免待遇,则需要为此承担其他的法律义务,这些义务一方面来源于个人数据保护法对于匿名化数据认定的高标准(即通过施加此类义务,实现真正的数据匿名化),另一方面来自于信息安全其他方面的法定要求。我们可以将这些规范分为事前、事中、事后三个阶段。
3.1 事前阶段
1)关于同意。
开展数据匿名化,数据控制者面临的第一问题——这是否需要经得用户的同意。一般情况下,匿名化处理个人数据并不需要征得用户同意。单纯的匿名化,是有助于数据安全的有效手段。在这个阶段,征求用户同意将会十分繁琐,甚至不可行。但是这并不意味着对匿名化没有透明度方面的要求。相反,如果机构能够通过隐私政策在事前告知用户数据可能的匿名化利用,则可以作为最佳市场实践推荐。例如:无论是手机制造商还是应用开发商在使用用户位置信息时,应当向用户明确告知其个人位置信息是如何被使用的,是以个人数据模式使用,还是以匿名化的方式被使用。值得注意的是,如果机构收集非个人数据,但之后利用某种手段或者技术方式,再次恢复数据的可识别性(re-identification),而这种收集与识别活动并没有得到用户知情或者同意,则涉嫌违反个人数据保护法。
2)隐私风险评估。
在数据匿名化的初始阶段,开展隐私风险评估非常重要。特别是如果数据匿名化的目的是将数据开放给公众,或者与其他主体进行共享、交易,则可能会产生重新被识别风险。若一旦被识别,即使后续采取补救措施,其影响也是不可逆的。因此要充分结合匿名化标准的三个要素进行充分的评估,包括有动机的攻击者,其能掌握获得的其他数据资源,以及可以被利用的去匿名化技术等。根据隐私风险评估的结果,机构可以选择不同的加密方式和利用方式,以便有针对性地消减隐私暴露风险。
4 结语
数据匿名化不能仅仅被看作是脱离于数据保护法之外,避免管制负担的一种手段。应用它的初衷是降低个人数据泄露的隐私风险。
采取匿名化措的企业能够向用户提供更多的安全保障,让用户知晓其被收集的信息在用于大数据分析时,并没有使用可识别身份的数据,因此增强用户对大数据应用的信任和安全感。为保证匿名化更多地发挥安全屏障作用,而不是作为数据滥用的挡箭牌,匿名化利用应当在合法合规的前提下开展。20xx年7月5日,《中华人民共和国网络安全法(草案二次审议稿)》正式向社会公布。与一审稿相比,草案增加了类似匿名化的规定。例如“第四十一条:网络运营者不得泄露、篡改、毁损其收集的公民个人信息;未经被收集者同意,不得向他人提供公民个人信息。
但是,经过处理无法识别特定个人且不能复原的除外”。这里的特殊规定,可以理解为对于个人数据匿名化利用,特别是匿名化后对外提供(交易)的情形提供了合法性。在此基础上,建议我国应当加快建立数据匿名化利用的法律规范体系,包括:明确匿名化数据的法律概念和认定标准,强调数据不再具有身份可识别性;引入隐私风险评估机制,鼓励企业基于个案在内部实施数据匿名化的风险评估,并基于评估结果,适时调整匿名化策略;利用合同规范、技术保障等多重工具实现数据的真正匿名化;建立数据匿名化的事前、事中、事后规范体系。