2021-07-30
數據脫敏5 | 數據脫敏的法律效果是漸進的嗎?
作者:
楊建媛
“大數據”已然從熱詞變成日常,而數據在釋放無限潛力的同時,也引發了隱私泄露的巨大隱患。從若干年前科技公司野蠻生長,到近年來數據立法接踵而至,信息社會正在兩極之間尋求平衡。數據脫敏提供了這樣一種可能性——通過降低數據與主體之間的關聯,可以同時保留較高的隱私保護程度和較大的數據利用價值。
“數據脫敏”專題文章將梳理匿名化、去標識化、假名化等一系列相關概念,分析中國、歐盟、美國等法域對不同概念的法律評價,介紹數據脫敏的技術方案與隱私模型,探討各個業務場景下的行業實踐案例與法律落地方案,以推動數據利用和隱私保護的平衡發展。
上期回顧:對于脫敏效果的衡量,既有傳統的定性標準,如第三人測試、黑名單制度,也有專門的定量標準,如K-匿名模型、差分隱私模型,為不可識別程度的量化提供了數學的工具。
既然脫敏處理后的不可識別程度是漸進的,按照義務與風險相適應的立法原則,數據脫敏的法律評價也應當是漸進的。但現行法下,個人信息和匿名化的法律地位較為明確,而對于過渡地帶的去標識化信息,立法者仍然在探索過程中。本文將介紹并分析數據脫敏在各法域的效果評價。
一、無法識別:不再屬于個人信息
在各國的現行法下,經技術處理而無法識別特定自然人的信息,不屬于個人信息,因此不受個人信息保護的相關法律規制。
歐盟采用匿名化的概念,對于那些采用了所有合理可能的技術手段仍無法識別個人的匿名信息,不受《通用數據保護條例》(GDPR)管轄。
美國《加利福尼亞州消費者隱私法案》(CCPA)采用去標識化的概念,對于那些無法合理識別出個人的去標識化信息,不屬于CCPA的個人信息范疇;《加利福尼亞州隱私法案》(CPRA)和《健康保險流通與責任法案》(HIPAA)同樣排除了去標識化信息。
我國采用匿名化的概念,經匿名化處理后的信息不屬于個人信息。《網絡安全法》第42條和《民法典》第1038條在對個人信息的規定中設置了但書,“但是經過處理無法識別特定個人且不能復原的除外”。《個人信息安全規范》《個人信息保護法(草案)》更進一步明確,個人信息不包括匿名化處理后的信息。
此外,我國還在特定情形下將匿名化視為和刪除相當的替代手段。根據《個人信息安全規范》,在個人信息超出存儲期限、個人信息控制者停止運營其產品或服務、個人信息主體選擇退出個性化的定向推送、個人信息主體為注銷賬戶而提供身份核驗信息等場景下,控制者應對相關個人信息進行“刪除或匿名化處理”。
二、結合其他信息可識別:非常有限的豁免
各國的現行法一方面為可識別的個人信息提供全方位的保護,另一方面解放了不可識別的信息。如果脫敏后的信息無法直接識別,但可以結合其他信息進行間接識別,則處于可識別和不可識別的中間地帶,法律上往往缺乏明確的規定。
歐盟采用假名化的概念。由于假名化增強了信息的不可識別性、降低了風險,數據控制者應采取的安全措施水平也隨之降低。例如,當發生數據泄露時,如果數據因采用加密等技術而無法被他人理解,則數據控制者可以免于通知數據主體。又如,如果數據控制者已經無法識別數據主體,且數據主體也沒有提供額外信息,則數據控制者無須響應其訪問、更正、擦除、限制處理、攜帶數據的權利請求。
美國采用假名化的概念,但沒有設置專門的法律效果。
我國采用去標識化的概念,去標識化信息仍屬于個人信息,原則上適用和個人信息相當的保護標準,享有的優待非常有限。此外,我國法上為個人信息處理者設置了去標識化處理的義務,并出臺了去標識化技術的國家標準,但尚未給予去標識化以特殊的法律地位。
(1)非常有限的優待。《個人信息安全規范》規定,學術研究機構出于公共利益開展統計或學術研究所必要,在對外提供學術研究或描述的結果時,如果其對結果中的個人信息進行去標識化處理,則無需征得個人的授權同意;個人信息控制者共享、轉讓經去標識化處理的個人信息,且確保數據接收方無法重新識別或者關聯個人信息主體的,則無需征得個人的授權同意。
(2)去標識化處理的義務。《個人信息保護法(草案)》要求處理者采取相應的加密、去標識化等安全技術措施。《個人信息安全規范》要求個人信息控制者在存儲和展示個人信息時進行去標識化處理,并將可用于恢復識別個人的信息與去標識化信息分開存儲、并加強訪問和使用的權限管理。《個人金融信息保護技術規范》進一步要求,在共享、轉讓、委托處理、開發測試等使用去標識化處理的情形下,不應僅使用加密技術。
(3)去標識化的技術。國家標準《個人信息去標識化指南》詳細說明了去標識化的目標與過程、七類常用技術、兩種隱私度量模型。
三、義務與風險相適應的立法路徑
在我國現行法下,一方面,個人信息受到全方位的規制,保護了個人的隱私與安全;另一方面,匿名化信息被排除在個人信息之外,促進了數據的利用與流通;但是,法律尚未對去標識化信息進行差異化評價。因此,雖然數據脫敏所實現的不可識別程度是漸進的,但數據脫敏的法律效果卻是斷層的。
去標識化的法律空白導致了實踐中的混亂。一方面,有的企業僅進行了最淺層的技術處理,就對外宣稱自己使用的是脫敏數據,其實遠遠無法保護信息安全。另一方面,有的企業投入大量成本進行去標識化處理,卻仍需要履行和個人信息相當的保護義務,白白折損了數據價值。
近年來,數據脫敏問題逐漸受到立法者的關注,我國已經在一些法律法規中提出了去標識化的特殊規定,也出臺了專門的技術標準。在《個人信息保護法(草案)》公開向社會征求意見后,諸多實務界人士也呼吁在新法中明確去標識化的法律地位,使義務與風險相適應,為企業應用數據脫敏設置激勵。
關于去標識化的效果評價,立法上還需要考慮并解決一系列實際問題。例如,脫敏程度的衡量方式、重識別的主體范圍、不同行業的特殊性、監管的落地方案等等。接下來的文章將結合不同行業的實踐案例,探討去標識化的可行路徑。
本期小結與下期預告:我國現行法下,匿名化處理后的信息不再屬于個人信息,因此不受個人信息保護的相關規制,但去標識化信息的法律地位尚不明確,引發了實踐中的混亂。去標識化需要界定重識別的風險、考慮不同行業的特殊性、設計監管的落地方案,下期文章將結合實踐案例,構想立法與執法的可能方案。
京ICP備05019364號-1 
京公網安備110105011258
