隐私计算与数据合规 | 匿名、假名等技术能够最终取代法律吗？

文 | 李汶龙

李汶龙，英国爱丁堡大学科技法博士，英国伯明翰大学法学院与计算科学学院博士后研究员、爱丁堡法学院客座教授、爱丁堡数据、文化、社会中心 (Edinburgh Centre for Data, Culture and Society, CDCS) 研究员。曾任英国SCRIPTed学术期刊编辑、牛津普莱斯传媒法模拟法庭教练、微思客WeThinker编辑及联合创始人。国内曾就职于腾讯研究院、中国政法大学传媒法研究中心。

前言

在上一期《隐私计算的概念迷宫 | 解读不同法域下的脱敏、去标识化、匿名化和假名化》中，笔者解读了不同法域下的脱敏、去标识化、匿名化和假名化形成的“概念迷宫”，这一期笔者将聚焦于对隐私计算与合规之间关系的探讨。

匿名在GDPR文本中鲜有提及，除了没有官方定义之外，甚至都未出现在正文当中。唯一的讨论是在序言第(26)条中关于匿名信息的属性，及其法律意义（即不受GDPR调整）。

与其说是合规要求，不如说是不合规要求。概念上匿名数据这一制度确定的是数据免责的范围。但如下文所述，实现匿名并不是一个非黑即白的二元概念。判定数据匿名性本身是一个动态过程；同一串数据在不同的语境中分别被认定为个人数据和非个人数据，因此涉及不同程度的合规要求(Finck & Pallas 2020)。

匿名数据分为两种，一种是明显本质上即为非个人数据，例如气候传感数据。但也有学者主张GDPR概念的司法解读存在一种泛化的风险，使得任何数据都可以被认定为个人数据，因而GDPR这部法律成为万物法 The Law of Everything。

另一种是通过技术处理使其无法被用于识别或者与自然人产生关联。但是，对“无法被识别”的理解——换言之可再识别的风险——也存在分歧。

就“无法被识别”的效果，或者称再识别的风险，存在两种不同的解读。

GDPR前言并没有把话说的绝对——是否存在再识别风险只是相对的，要具体分析情境。相对主义的解读与GDPR作为一种基于风险的法律规范 (risk-based approach) 的认知不谋而合(Gellert 2020)。换言之，规制的强弱、方向和重点皆由隐私和数据保护风险决定（在本文的语境中即可再识别风险）。

只有将再识别风险降低为零才算是真正实现了匿名化。(WP216, 2014: 11-2, 23-5) 该工作组的思路主要基于匿名的通用定义（虽然并未出现在GDPR条文当中），也即匿名化是指将数据进行不可逆转的处理使其无法再用于识别（而假名化的过程仍可逆转）。

第29条工作组所持的绝对主义的理解虽然在概念上较为明确，但受到了学界和业界越来越多的质疑。传统意义上的匿名概念并没有强调其不可逆转性，

◎ Paul Ohm (2010) 的定义是“信息进行处理、隐藏或者删除使得识别变得困难”。

◎ 来自马普所的Miche`le Finck和德国工业大学的Frank Pallas合著的文章指出，匿名化存在的剩余风险 (residual risk) 不可能完全被排除。法律倘若要求剩余风险为零才能生成匿名数据不受法律调整，那么这项机制只能成为一种无法实现的理想。

◎ 一个由英国多所高校形成的研究团队主张，从实践的角度不可逆转的匿名化虽然可以实现，但其成本是导致数据因此变得没用 (Elliot et al. 2018)。

◎ 在匿名化领域深耕多年的曼大教授Mark Elliot (2018)指出，既有讨论中无论是支持者还是批评者都过度关注了数据本身的属性，但匿名技术是否真正奏效应当关注的还有数据所处的环境，换言之数据与环境之间的关系(Elliot et al. 2018)。

具体而言，环境因素包括数据的治理结构、数据安全和其他基础设施属性、可相关联的辅助数据、自发识别的情况 (spontaneous identification)——也即在没有任何恶性安全事件的情况下用户的身份被暴露、潜在敌人希望重新识别的动机等等。考量这些因素可以对再识别风险有一个更为充分、超越简单对立概念的认知。

与此同时，我们也从关注“可逆转性”的抽象理念转向关注隐私风险本身。Elliot的团队因此提出了“实用匿名” (functional anonymisation) 这个概念，主张只要匿名技术本身可以在特定语境/环境中能够起到去识别化以及最终保护隐私的效果，不用过度在意再识别的抽象风险。

假名化在GDPR多处不同属性的条文中出现。除第4(5)条中的定义之外，假名化技术在GDPR第25条中作为示例予以提及。第25条关于数据保护设计 (data protection by design and by default, DPbD)，要求控制者量力采取适当的措施落实数据保护原则并且保障数据权利。在这一语境中，匿名化作为唯一的示例出现。

另外，第89(1)条要求在以（历史和科学）研究、统计和存档为目的处理（敏感）数据时需要通过技术和组织措施提供保障，假名化又是唯一列举的范例。根据第40(2)条和25(3)条，假名的使用还是行业行为规范 (code of conduct) 应当调整的重要内容之一。

另外，在改变用途处理数据时需考量新目的与原初目的的兼容性 (compatibility)。第6(4)条提出的考量因素之一即是否存在适当的保障，而假名与加密作为两个示例并列出现。上述出现的假名要求或者建议均旨在强化数据保护效果，而非排除控制者的合规义务。

在业界和学界存在着匿名和假名的混淆问题。甚至可以说，在业界凡是提到“脱敏”“匿名”等概念时绝大部分情形皆为假名。但是，关于假名和匿名的关系实际上也出现了一些争议和讨论。通常来说，

但是，在GDPR中，这两个概念被并列处理，因此对于非技术人士而言割裂了他们技术方法上的关联。

换言之，技术本身（匿名化和假名化）与技术处理后的成果（匿名数据、假名/个人数据）并非一一对应关系。假名化技术按照GDPR的标准能够生成匿名数据因而不受GDPR的管辖，而被冠以“匿名化”的技术有可能也无法形成匿名数据（本质上仍是假名数据）因而还是无法摆脱法律的束缚。

此外，由A控制者采取假名化技术处理的数据对于B控制者而言可能就是匿名数据，因此还需在具体情境中判定。

在GDPR中“处理” (processing)的概念非常宽泛，甚至无所不包；由此带来的一个问题，

像匿名和假名这样的技术处理本身是否也属于“处理”的范畴之内？

换言之，虽然匿名数据在法律意义上不受GDPR调整，但匿名化这个过程因为属于数据处理有可能还需要满足GDPR的要求。第29条工作组关于匿名的意见主张：

匿名化是一种进一步的数据处理，因此需满足法律的要求，尤其是关于目的兼容性 (compatibility with the original purpose) 的要求。

举例而言，对数据进行匿名化的目的如果不是为用户提供服务而是投放广告，那么匿名化是不能在没有形成合法性基础（例如同意）的前提下开展的。

◎ 来自挪威计算法学研究中心（奥斯陆大学）的Samson Yoseph Esayas (2015) 批判了WP29的观点，认为这是就匿名化法律意义狭隘的一种理解。匿名化并不是旨在创设一种数据免合规的“安全港”；一个更妥帖的理解是匿名只是帮助合规的一种手段。狭隘的解读会打击控制者进行数据匿名的积极性，因而与数据保护的目标背道而驰。

◎ 21世纪初期英国数据保护法案生效之初，英国Queen Mary大学教授Ian Walden (2002) 也曾撰文讨论过这一问题。彼时在英国出现了一起案例 (R v Department of Health, ex parte Source Informatics Ltd) ，讨论药剂师将匿名处方数据分享给第三方数据分析公司Source Informatics是否违反了保密义务 (breach of confidence) 以及欧盟数据保护指令 (Data Protection Directive 1995, DPD)。数据保护指令中的“处理”概念是否包含匿名化的过程是该案的争议点之一（即便最后输出的匿名数据本身不受GDPR的调整）。

◎ Walden主张，严格地将匿名解释成为数据处理的一种类型因而施以数据保护要求未必是有益的，这样做无谓的造成法律不确定性，甚至打击控制者使用这类隐私增强技术的信心和意愿。

采纳一种相对适中的解释进路存在合理性，因为匿名化的过程本身并不会对数据隐私构成太大的威胁。因此，在政策上监管者应该通过规则澄清促进这类技术的使用，如此才能真正保护到数据。

英国信息专员办公室在2021年最新出台的匿名指南中采取了一个折中的进路。

■ 一方面指南明确匿名化的过程本身属于数据保护法所规定的“处理”，因此需要合规——包括确定法律基础（合法性基础）以及明确目的。

■ 另一方面，指南又认为匿名化过程本身实现合法和正当的难度不大，只需准确表述其处理目的，并且证明存在相关技术和组织措施确保其落实（p.13）。

上文笔者从多角度解读了匿名、假名等技术与合规之间的关系。考虑到匿名化的过程本身并不会对数据隐私构成太大的威胁，在政策上监管者需要通过规则澄清促进这类技术的使用，才能真正保护到数据。

[1]Esayas SY, ‘The Role of Anonymisation and Pseudonymisation under the EU Data Privacy Rules: Beyond the “All or Nothing” Approach’ (2015) 6 European Journal of Law and Technology 1.

[2]Elliot M and others, ‘Functional Anonymisation: Personal Data and the Data Environment’ (2018) 34 Computer Law and Security Review 204

[3]Finck M and Pallas F, ‘They Who Must Not Be Identified-Distinguishing Personal from Non-Personal Data under the GDPR’ (2020) 10 International Data Privacy Law 11

[4]Information Commissioner’s Office, ‘Introduction to Anonymisation: Draft Anonymisation, Pseudonymisation and Privacy Enhancing Technologies Guidance’ (2021)

[5]Mourby M and others, ‘Are “Pseudonymised” Data Dlways Personal Data? Implications of the GDPR for Administrative Data Research in the UK’ (2018) 34 Computer Law and Security Review 222

[6]Ohm P, ‘Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization’ (2010) 57 UCLA Law Review 1701

[7]Raphaël Gellert, ‘The Risk-Based Approach to Data Protection’ (Oxford University Press, 6 October 2021)

[8]Walden I, ‘Anonymising Personal Data’ (2002) 10 International Journal of Law and Information Technology 224

 排版 | 李福玲      图片 | 杨雅清

—END—

点击名片关注我👇