所謂“匿名化”，數(shù)據(jù)根據(jù)中國《民法典》《個人信息保護(hù)法》和《網(wǎng)絡(luò)安全法》相關(guān)條文，治理制促其基本概念為“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的④個估機(jī)規(guī)流過程”。按照目前的人信法律法規(guī)，個人信息經(jīng)匿名化處理后所得的息匿需建險評信息不屬于個人信息。對于經(jīng)過匿名化處理后的名化信息流通與出境，企業(yè)無需承擔(dān)額外的立健合規(guī)義務(wù)。對于企業(yè)來說，全風(fēng)這意味著企業(yè)在處理和利用匿名化信息時，進(jìn)數(shù)據(jù)合不再需要為滿足個人信息保護(hù)的數(shù)據(jù)合規(guī)要求而承擔(dān)高昂的成本。

然而，治理制促中國在信息匿名化問題上仍面臨諸多問題。④個估機(jī)規(guī)流本文旨在分析中國信息匿名化面臨的人信主要問題及其原因，并提出相應(yīng)的息匿需建險評對策建議，以期為提升數(shù)據(jù)匿名化水平、名化促進(jìn)數(shù)據(jù)合規(guī)利用提供參考。

一、中國信息匿名化面臨的主要問題

1.信息再識別風(fēng)險高，匿名化無法完全實(shí)現(xiàn)。個人信息匿名化要求，匿名化后的個人信息應(yīng)當(dāng)滿足“無法識別”、“無法復(fù)原”的標(biāo)準(zhǔn)。然而，從技術(shù)角度說，并不存在絕對“無法復(fù)原”的數(shù)據(jù)，任何匿名數(shù)據(jù)都可能會被“去匿名化”，即重新識別到個人信息主體。中國《個人信息安全規(guī)范》明確指出，匿名化處理后的數(shù)據(jù)集（或在與其他數(shù)據(jù)集匯聚后）具有重新識別出個人信息主體的風(fēng)險。歐盟第29條數(shù)據(jù)保護(hù)工作組在《第05/2014號意見書》中也提及，“現(xiàn)有的各項(xiàng)匿名化技術(shù)都無法徹底消除處理后的信息所殘留的再識別風(fēng)險”。隨著數(shù)據(jù)挖掘技術(shù)不斷發(fā)展，個人信息收集行為日益增加，重識別攻擊也將變得更加容易，數(shù)據(jù)匿名化面臨不斷增加的風(fēng)險。在國際上就曾出現(xiàn)過不少匿名化失敗案例。例如，美國在線公司（AOL）曾公布65萬用戶的三個月搜索記錄，并進(jìn)行了匿名化處理，以推動搜索技術(shù)的研究。然而，《紐約時報》成功將部分?jǐn)?shù)據(jù)去匿名化，并公開了其中一位用戶的真實(shí)身份。這起隱私泄漏事件引起了人們的廣泛關(guān)注，美國在線公司因?yàn)榇耸录诒奔又莸胤椒ㄔ罕黄鹪V。

2.匿名化標(biāo)準(zhǔn)執(zhí)行模糊，企業(yè)合規(guī)難度大。由于絕對的匿名化在技術(shù)上難以實(shí)現(xiàn)，而相對匿名化的界限又不明晰，目前匿名化標(biāo)準(zhǔn)的執(zhí)行具有一定主觀性和模糊性，給企業(yè)帶來了較高的合規(guī)難度。尤其是在涉及數(shù)據(jù)出境的案例中，企業(yè)常面臨復(fù)雜的合規(guī)挑戰(zhàn)。在調(diào)研中，我們發(fā)現(xiàn)部分跨國企業(yè)在中國開展業(yè)務(wù)時，也因?yàn)槟涿瘶?biāo)準(zhǔn)不明確，導(dǎo)致數(shù)據(jù)出境審批流程繁瑣，增加了運(yùn)營難度和合規(guī)成本。

二、信息匿名化面臨問題的原因

1.匿名化技術(shù)目的中本身蘊(yùn)含再識別的可能性。匿名化處理的技術(shù)原理在于刪除、替換或加密個人信息中的直接標(biāo)識符和間接標(biāo)識符。然而，個人信息的利用價值與其識別性密切相關(guān)，假如將數(shù)據(jù)處理得過于“干凈”，便會導(dǎo)致企業(yè)數(shù)據(jù)的商業(yè)效用喪失，企業(yè)匿名化處理的商業(yè)目的無法達(dá)成。因此，為了滿足匿名信息的實(shí)用性，匿名化處理過程中必然會保留一些識別因子，使匿名化處理的再識別的可能性無法被避免。

2.技術(shù)發(fā)展對數(shù)據(jù)去匿名化的威脅增大。首先，現(xiàn)代數(shù)據(jù)挖掘技術(shù)變得越來越先進(jìn)和高效，使得通過各種手段重新識別匿名化數(shù)據(jù)主體變得更加容易。尤其是機(jī)器學(xué)習(xí)算法的進(jìn)步和計算能力的提升，使得處理和分析海量數(shù)據(jù)成為可能。同時，隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展，輔助數(shù)據(jù)來源顯著增加。第三方可以利用多種公開或非公開的數(shù)據(jù)源進(jìn)行交叉分析，從而提高去匿名化的成功率。例如，通過社交媒體數(shù)據(jù)、公共數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等多種渠道，重構(gòu)個人身份信息的可能性大大增加。此外，去匿名化攻擊手段也日益多樣化，包括基于統(tǒng)計學(xué)方法、模式識別、關(guān)聯(lián)規(guī)則挖掘等多種技術(shù)手段。這些技術(shù)能夠挖掘數(shù)據(jù)中的隱藏模式和關(guān)聯(lián)，從而重新識別出匿名化數(shù)據(jù)中的個人信息主體。

3.第三方處理者對數(shù)據(jù)匿名化效果的挑戰(zhàn)。一方面，當(dāng)?shù)谌綋碛袑夹g(shù)和數(shù)據(jù)庫的較高掌握程度，以及對數(shù)據(jù)進(jìn)行再識別的商業(yè)或政治動機(jī)時，容易大大增加匿名化風(fēng)險。部分職業(yè)第三方處理者往往掌握更為先進(jìn)的數(shù)據(jù)挖掘技術(shù)，能夠通過“人肉搜索”或行業(yè)調(diào)查輕松完成再識別行為。相比私人處理者通常只能依賴互聯(lián)網(wǎng)、政府或公益機(jī)構(gòu)的公開信息，職業(yè)第三方處理者還可以利用商業(yè)數(shù)據(jù)庫中的額外數(shù)據(jù)資源完成再識別，對數(shù)據(jù)匿名化產(chǎn)生巨大的威脅。此外，出于政治或商業(yè)目的進(jìn)行身份信息挖掘，也容易帶來巨大的危害。例如，公司可能利用不當(dāng)收集的用戶個人數(shù)據(jù)，為大選參選人提供數(shù)據(jù)采集、分析和戰(zhàn)略傳播。另一方面，信息處理者收集的個人信息不僅用于企業(yè)自身經(jīng)營，還可能出售或者共享給第三方，甚至作為商品打包銷售以賺取更多經(jīng)濟(jì)利益。

4.監(jiān)管機(jī)構(gòu)缺乏對行業(yè)了解，匿名化標(biāo)準(zhǔn)不符合實(shí)際情況。當(dāng)前，監(jiān)管部門在制定匿名化標(biāo)準(zhǔn)時往往缺乏對具體行業(yè)的深入了解，導(dǎo)致所制定的標(biāo)準(zhǔn)難以符合實(shí)際操作需求。由于各行業(yè)的數(shù)據(jù)類型和處理方式存在顯著差異，通用的匿名化標(biāo)準(zhǔn)在實(shí)際應(yīng)用中往往顯得過于籠統(tǒng)或不切實(shí)際。監(jiān)管部門未能充分考慮到不同數(shù)據(jù)處理場景中的技術(shù)細(xì)節(jié)和操作復(fù)雜性，使得企業(yè)在實(shí)踐中難以有效遵循這些標(biāo)準(zhǔn)。

三、信息匿名化問題的相應(yīng)對策

1.完善制度建設(shè)，控制匿名化風(fēng)險。一是建議建立健全風(fēng)險評估機(jī)制。匿名化機(jī)制應(yīng)兼顧保障個人信息安全與促進(jìn)數(shù)據(jù)高效利用。絕對匿名化難以實(shí)現(xiàn)，因此，應(yīng)側(cè)重“相對匿名化”，即在特定范圍和條件下原始信息不可見。在此基礎(chǔ)上，建議針對區(qū)分不同等級的匿名化信息，采取不同程度的資源傾斜和政策保護(hù)。根據(jù)匿名化信息的體量、內(nèi)容敏感性和重要性、被再次傳播的可能性等指標(biāo)，將匿名化分析劃分為不同風(fēng)險等級，例如高風(fēng)險、中風(fēng)險和低風(fēng)險等級。對于高風(fēng)險匿名化信息，建議采取更為嚴(yán)格和保護(hù)性的措施，例如增強(qiáng)數(shù)據(jù)安全管理、加強(qiáng)監(jiān)督檢查等；對于中低風(fēng)險匿名化信息，則可以相應(yīng)降低合規(guī)要求和管理成本，以促進(jìn)數(shù)據(jù)的合規(guī)流通和利用。二是應(yīng)進(jìn)一步推廣第三方風(fēng)險評估，落實(shí)配套保護(hù)措施。2021年，上海市市場監(jiān)督局發(fā)布并實(shí)施了上海市地方標(biāo)準(zhǔn)《數(shù)據(jù)去標(biāo)識化共享指南》，主張通過可信的第三方平臺（例如數(shù)據(jù)交易中心），在數(shù)據(jù)共享的過程中實(shí)施配套控制與保護(hù)措施，促進(jìn)數(shù)據(jù)合規(guī)流通。

我們建議各地推廣這一地方性法規(guī)，加強(qiáng)第三方風(fēng)險評估的應(yīng)用。具體措施方面，首先要建立和完善第三方評估機(jī)構(gòu)的注冊和認(rèn)證制度，確保評估機(jī)構(gòu)的獨(dú)立性、專業(yè)性和公正性。

其次，鼓勵數(shù)據(jù)處理者在數(shù)據(jù)共享過程中選擇合格的第三方評估機(jī)構(gòu)，進(jìn)行數(shù)據(jù)安全風(fēng)險評估和合規(guī)性審核，以確保個人信息安全不受侵犯，有效防范數(shù)據(jù)泄露和濫用風(fēng)險。

最后，推動相關(guān)部門和行業(yè)組織制定更為具體和可操作的技術(shù)標(biāo)準(zhǔn)和實(shí)施指南，并加強(qiáng)對第三方平臺的監(jiān)管，確保其在數(shù)據(jù)共享過程中嚴(yán)格執(zhí)行安全控制和保護(hù)措施，維護(hù)數(shù)據(jù)主體的合法權(quán)益。

2.監(jiān)管機(jī)構(gòu)提升自身職能。監(jiān)管機(jī)構(gòu)應(yīng)增進(jìn)與企業(yè)相關(guān)部門交流溝通，深入了解行業(yè)發(fā)展現(xiàn)狀及其面臨的合規(guī)挑戰(zhàn)。更好地理解和評估企業(yè)在數(shù)據(jù)管理和隱私保護(hù)方面的實(shí)際操作情況，從而制定更為精準(zhǔn)和有效的監(jiān)管措施。此外，監(jiān)管機(jī)構(gòu)應(yīng)該建立更專業(yè)的技術(shù)團(tuán)隊(duì)和法律團(tuán)隊(duì)，從而更好地理解和評估企業(yè)的實(shí)際操作情況。

3.企業(yè)加強(qiáng)內(nèi)部管理，完善知情同意機(jī)制。一是加強(qiáng)企業(yè)內(nèi)部管理與安全防控。目前中國《個人信息安全規(guī)范》規(guī)定了控制個人信息企業(yè)的責(zé)任擔(dān)當(dāng)、記錄管理、安全評估、人員培訓(xùn)管理、安全審計等內(nèi)部機(jī)制的組織性標(biāo)準(zhǔn)。在現(xiàn)有制度基礎(chǔ)上，企業(yè)應(yīng)根據(jù)自身行業(yè)情況，進(jìn)一步細(xì)化內(nèi)部管理制度，確保經(jīng)手的個人信息不向未經(jīng)核查的第三方透露。二是完善知情同意，分散風(fēng)險。企業(yè)應(yīng)與用戶之間建立更加明確和有效的知情同意機(jī)制。告知用戶信息可能面臨去匿名化的風(fēng)險。知情同意的行為反映了個人信息主體對去匿名化風(fēng)險的主觀預(yù)期，有助于降低企業(yè)達(dá)到有效匿名化標(biāo)準(zhǔn)的難度。此外，企業(yè)應(yīng)對用戶進(jìn)行相關(guān)教育，增強(qiáng)用戶對個人信息處理過程的理解和認(rèn)知。同時，定期進(jìn)行滿意度調(diào)研，收集用戶對數(shù)據(jù)處理措施的反饋意見，以改進(jìn)和優(yōu)化匿名化處理的實(shí)施方式。

（本文系復(fù)旦大學(xué)發(fā)展研究院《數(shù)據(jù)跨境流動、個人信息保護(hù)與數(shù)字韌性建設(shè)》課題系列成果。報告主編：江天驕系復(fù)旦大學(xué)發(fā)展研究院副教授、金磚國家研究中心副主任，姚旭系復(fù)旦大學(xué)發(fā)展研究院青年副研究員、上海數(shù)據(jù)研究院特聘研究員，報告行業(yè)導(dǎo)師：陳文昊系植德律師事務(wù)所數(shù)據(jù)合規(guī)業(yè)務(wù)合伙人、合規(guī)部負(fù)責(zé)人，報告組成員：金子韞、吳致遠(yuǎn)、邢嘉耀、姚媛、馬怡寧、陳梓培、郎瑾怡、張桐語均來自復(fù)旦大學(xué)）

來源：姚媛