匿名化的動態優化與系統建構

■ 文/閆怡萱 王梓嫣 李文健

隨著互聯網、大數據的快速發展以及數據共享范圍的逐步擴大，數據的自動收集和發布越來越方便。然而，任何事物的出現都具有兩面性，在數據發布過程中隱私泄露問題也日益突出，而匿名化技術可以有效解決鏈接攻擊所帶來的隱私泄露問題，成為扼制信息泄露的一大關鍵手段。

匿名化的法律法規

數據、隱私等個人信息需要保護已成為世界之共識，美國、歐盟、新加坡等國家和地區均發布了匿名化相關的法律法規（見表1）。目前，我國的匿名化概念是指，通過對個人信息的技術處理，使得個人信息主體無法被識別或者關聯，且處理后的信息不能被復原的過程。其關鍵點在于，數據一旦經過了匿名化處理，就不再屬于個人信息。這就使得匿名化反而成為逃脫隱私信息保護責任的捷徑，因為數據只要經過極其簡單的匿名化處理，就不再屬于個人信息，也就免除了技術處理人員對處理后信息的保護義務。這樣的邏輯無疑賦予了匿名化斬斷個人信息與信息主體一切關聯的效果，片面強調匿名化的效果而忽略數據流轉、處理的動態過程。

表1 匿名化相關的法律法規

然而，假如采取了較為嚴格的匿名化認定模式，那么匿名化又成為偽命題，因為只要有足夠的外部信息，經過匿名化的數據都可以被重新識別還原，這就使得真正的匿名化需要抹殺掉原始數據全部的后續利用價值。

動態化的匿名化及場景理論

●動態化的匿名化

由上文可知，匿名化操作的技術有效性和數據實用性的矛盾成為難以平衡的價值選擇。英國南安普敦實大學法學院信息技術法和數據治理教授索菲·斯塔爾- 鮑迪倫（Sophie Stalla-Bourdillon）和法學研究員艾利森·奈特（Alison Knight）等曾提出，應當將匿名化視為一個持續不斷的動態過程。筆者認為，匿名化如果可以隨著數據的使用和流轉而不斷進行下去，將有利于實現對數據的監管。

動態的匿名化是指在信息處理的各個過程以及先后多次的匿名化過程中進行匿名操作和監管的匿名化方式，有別于傳統的“操作即完成”的靜態匿名。在動態匿名化的實現中，不可或缺的一項就是引用場景化。對于不同的場景，法律所保護的個人信息敏感點并非是完全相同的，即使相同的數據在不同的使用場景下也需要采用不同的匿名化處理，在場景的轉換中進行相應的操作從而實現實時更新的匿名化。

●場景化的引入

場景化并非是在互聯網的信息保護領域最先出現的。場景在一開始僅為影視傳媒中的概念，經過學者在更多維度的使用，場景理論的適用范圍從現實場景延伸到了互聯網場景中。場景理論看似與匿名化沒有直接關聯，個性化信息的匿名似乎是不具有公共性的。然而，在個人信息的背后隱含著共同的匿名需求和共性的匿名操作。此外，相同的匿名化操作會因為場景的變換而導致信息的匿名有效性發生變化。

新西蘭康奈爾理工學院信息科學教授海倫·尼森鮑姆（Helen Nissenbaum）在應對匿名化的動態性問題時提出了場景完整性理論。此概念通過社科類型的定義應對技術領域的難題，以此為隱私確定界限。該理論強調個人信息的隱私性指的并非信息的不可泄露，而是信息的合理使用和傳遞，因為只有信息不斷傳遞才能完成社會關系的建立，這是對個人隱私的合理期待。此理論中，信息擁有者、信息關聯主體、信息傳輸者、信息接收者以及信息的種類構成了信息流動的五要素，任何一個要素都決定了信息流動的性質。

匿名化的場景實現

●風險評估體系的引入

匿名處理為適應多種場景實現動態化會面臨不同場景標準不同的問題，這就需要引入針對各個場景的風險評估體系。不過，國內目前并未確立完備的評估規范，僅停留在行業內的經驗交流階段，屬于法律法規的空白地段。匿名化的安全性和后續數據實用性上的平衡難以精確把控，信息使用場景多樣化、不同場景的敏感程度不同，是規范難以確立的兩大關鍵因素。

匿名化的風險評估體系需要結合的是場景下的信息隱私性程度，需要著重考量以下內容。一是信息接收者可利用的技術和工具水平。隨著人工智能技術的發展，信息重識別不再成為專業技術人員的“專利”，因此在技術手段逐漸公開化、大眾化的進程中，獲取可操作的重識別方式的成本大大降低。無論是客觀方面還是主觀方面，這一條件都會影響信息接收者的重識別的意愿。二是其他外部信息的可獲取程度，這一點決定了去匿名化的可能性大小。三是信息使用者的使用目的與申請信息時的目的是否匹配，如果發現信息使用者在使用過程中違背了申請接收信息時的目的，可以認定其為違法行為。

●風險評估體系的構建

匿名化處理者需要在處理時進行一定的風險預測，目前看來有較為嚴格的“所有合理可能性”標準，還有“蓄意入侵者檢驗”標準，以及“專家判別”標準，我們需要做的不是將三者簡單相加，對匿名化進行一層一層的過濾，而是將三者融合為一體，各司其職，充分發揮其可用性的同時避免程序冗雜。

第一步，針對信息處理者而言，僅需要對相應的風險進行可能的、合理的排除。雖然“所有合理可能”看似過于嚴格，不適于應用在動態化監管之中，但這不意味著此項標準應被完全摒棄，而是應當要求信息處理者按照合理的程度進行自查，在數據中不得在一般認知和法律框架下出現缺漏，其流程包括對特定標識符的刪除或替換、對可能再識別的人群的甄別、對再識別動機的分析以及考慮所有合理可能手段。

第二步，進行蓄意入侵檢驗，通過實踐操作模擬入侵狀況。只需在信息現有處理者完成自查之后提交給監督機構，相關技術人員確定相應場景下的再識別風險，綜合運用網絡上任何可以合法獲得的信息進行再識別測試，以確保蓄意入侵檢驗可以排除絕大多數的再識別情形。在完成這一步后，數據即可準許流通，但并不意味著信息處理者的法律責任終結。

第三步，進行專家判別。在第二步完成后，安排專家以最前沿的匿名化認知以及前瞻性的視角定期對數據進行抽檢，開展隱私風險評估，明確當前及可預見未來的威脅，并及時對數據匿名策略做出調整。

風險評估體系的法律責任

在引入風險評估體系之后，相應的法律責任劃分也應當進一步明確。對信息接收者而言，需要嚴格遵守信息流通合同中的內容。另外，信息接收者需要在信息流通中首先進行申請，明確信息使用的用途和范疇，并且在接收數據后嚴格按照此范圍進行，否則應當承擔違約責任、行政責任甚至刑事責任。雙方不得在合同中約定排除最基本、最低限度的防范重識別的義務。同時，也應當在合同中對數據的后續使用做出安排，或者在項目完成時對數據進行返還銷毀，或者進行下一步流轉。在信息再次傳遞時，應當同樣按照匿名化標準進行，并及時告知上游信息傳遞者，以便對信息實現監管，多層的信息流轉采用間接監管而非垂直監管的模式。

引入動態化的匿名化，使匿名化不再于一次操作后戛然而止，而是隨著數據的使用和流轉不斷更新，這有利于對全流程的信息保護。法律責任的空缺區域需要彌補，從而形成較為嚴密的法律責任分配體系。為了實現匿名化的動態化，可引入場景化，充分保證數據的有效性并更具針對性，形成基于場景的數據流轉閉環。為了更好地實現場景化，應引入風險評估體系。

匿名化的初衷是降低隱私泄露風險，匿名化的動態化將極大地改善匿名化對隱私保護的效用，為數據主體提供強有力的隱私保障，從而增強民眾對大數據的信任，促進大數據領域的健康發展。