《数据匿名化处理的法律规制》由会员分享,可在线阅读,更多相关《数据匿名化处理的法律规制(12页珍藏版)》请在金锄头文库上搜索。
1、数据匿名化处理的法律规制 张晨原 重庆大学法学院 摘 要: 在大数据的时代背景下, 大数据交易已成现实, 但是个人信息的不可交易性使大数据交易缺乏了合法性基础。对原始数据的匿名化处理, 可以在数据利用和个人信息保护之间达到平衡。但是我国现行法和大数据交易平台指定的交易规则中关于匿名化只有简略的规定, 远远不能满足当下大数据交易的市场要求。应当借鉴英国法的规定, 建立匿名化数据再识别风险等级分类, 根据再识别风险高低区分匿名化数据被披露的对象范围, 同时对再识别风险较高的匿名化数据控制者课以额外的义务, 最终通过个人信息侵权的事后救济来兜底匿名化数据的法律规制。关键词: 大数据; 匿名化; 再识
2、别; 作者简介:张晨原 (1992-) , 男, 河南漯河人, 民商法学博士研究生, 主要从事信息法和侵权法研究。收稿日期:2017-07-04基金:教育部人文社会科学重点研究基地重大委托项目:新兴权利的基本问题研究 (16JJD820031) On the Regulation of Data AnonymizationZHANG Chenyuan Law School, Chongqing University; Abstract: In the todays big data era, transactions of big data lacks legal basis, posing
3、a threat to personal information protection in that personal information is marked as non-tradable in nature. Through anonymization of the raw data, the balance between data utilization and personal information protection can be achieved. In China, only simple prescript on anonymization is provided
4、in current laws of our country and in the trading rules designated by the big data trading platforms, far from being sufficient to meet the market requirements of big data transactions. By taking the related provisions in the English law as references, the classification of re-identification risk of
5、 the anonymized data could be first established. Besides, according to the level of re-identification risk, the scope of the object being disclosed in the anonymized data could be then distinguished while additional obligation should be imposed on the controller of those high-risk anonymized data. F
6、inally, legal regulations concerning the anonymized data could be improved by providing relief in the case of personal information infringement.Keyword: big data; anonymization; re-identification; Received: 2017-07-04一、引言:问题的提出当今信息时代, 数据已经成为国家的重要战略资源, 而对数据进行挖掘、分析、处理等的大数据活动则是实现数据价值的重要手段。不管是国家的顶层规划还是具
7、体的市场经济实践, 大数据交易已经成为现实, 大数据产品的可交易性应当获得肯认。具体来说, 从国家顶层设计来说, 国务院于 2015年 8月颁布了促进大数据发展行动纲要, 其中明确规定:“引导培育大数据市场, 开展面向应用的数据交易市场试点, 探索开展大数据衍生产品交易, 鼓励产业链各环节主体进行数据交换和交易, 促进数据资源流通, 建立健全数据交易机制和定价机制, 规范交易行为”1;从市场经济的实践来说, 当今数据成为企业最有价值的财产和新型商业模式的基石2, 而现今我国国内已经有了贵阳大数据交易所、上海大数据交易中心、武汉东湖大数据交易中心、武汉长江大数据交易中心、华东江苏大数据交易平台、
8、华中数交所、海峡大数据、钱塘平安等等大数据交易平台, 甚至每天都会有新的大数据交易平台诞生。大数据交易所的建立和交易市场的扩大, 打破了政府、企业等信息条块分割的现状, 实现了信息的自由流通, 推动了信息的共享和利用效率, 加快了产业的升级和转型3, 而这些大数据交易的对象就是大数据产品。“大数据必然是聚合了围绕个人的个体性的数据”4, 大数据产品本质上是对原始数据分析之后产生的衍生数据, 衍生数据是指原始数据被记录、存储后, 经过算法加工、计算、聚合而成的系统的、可读取、有使用价值的数据5。而当下的原始数据都或多或少与个人信息有关, 但是个人信息在我国的现行法律语境下不能够成为合同的对象。这
9、些法律法规包括全国人大常委会关于加强网络信息保护的规定第一条第二款、民法总则第一百一十一条、网络安全法第四十四条、刑法第二百五十三条之一第一款、工信部电信和互联网用户个人信息保护的规定第十条。大数据产品在现实中有交易的实践, 但作为其基础的个人信息却不能被交易, 这就导致逻辑上的矛盾。本文试图从个人信息匿名化的角度, 论证大数据产品的可交易性, 以解决市场交易现状与法律制度之间的矛盾。二、比较法视野下的个人信息匿名化 (Anonymization) 匿名化是当下计算机科学领域的热点话题, 自 1997年美国学者 Samarati和Sweeney提出 kanonymity匿名模型后, 目前已发展
10、出许多成熟的技术解决方案6。匿名化与去身份化 (De-identification) 的含义基本相同, 就是组织实体将收集、利用、存储和与其他组织实体共享的数据中的个人信息移除的工具7。比较法中, 经过匿名化处理的数据都不属于个人信息的范畴。可以设想, 如果大数据产品经过了匿名化处理, 那么它就不属于个人信息, 按照“法无禁止即自由”的私法基本原则, 经过匿名化处理的大数据当然可以被交易。数据匿名化是数据处理的一种, “目前很多国家和地区已经制定了个人数据保护法, 用以规范对个人数据的处理行为”8。以下将详细讨论比较法中关于匿名化的相关规定。(一) 欧盟2012年, 欧盟委员会发布了数据保护通
11、用条例 (General Data Protection Regulation, GDPR) 草案, 对 1995年颁布的数据保护指令做出大幅修改, 以应对大数据时代的发展要求, 该草案历经多轮讨论修订, 于2016年 4月获最终通过并正式颁布9。于 2016年 4月 27日颁布的一般数据保护条例完整地构建了个人信息法律的框架, 同时明确了数据主体 (data subject) 的各项权利和数据控制者 (data controller) 的各项义务, 紧跟当下大数据时代的步伐。同时, 由欧盟各国个人信息专家组成的 29条工作组, 也会不定期发布指南, 这些指南虽然没有强制效力, 但是对于理解个
12、人信息法律制度有重要的意义。作为当下数据处理的热点问题之一的匿名化, 上述的文件中都有涉及。1.GDPR10GDPR中关于匿名化的规定主要集中在前言叙述部分第 26和第 28段、第四条关于假名化 (pseudonymisation) 的定义、第十一条关于数据主体对“不需识别的数据处理”的规则中, 总结来看有以下几个特点。(1) 经过匿名化的数据不属于个人信息的范畴GDPR在前言的第 26段中明确提出:“数据保护的原则不应当适用于匿名化数据。匿名化数据是指与已识别或可识别的自然人不相关, 或者与以数据主体不可或不再可识别的方式呈现的匿名数据不相关的信息。该规章因此不关注此种匿名数据的处理, 包括
13、为了统计或者研究的目的。”由上可以看出, GDPR 并不规制经过匿名化处理的数据。诚然, 匿名化就是去除数据中个人标识符的过程, 去除了个人标识符的数据当然不属于个人信息的范畴, 也当然不应受个人信息法的规制。(2) 匿名化的标准GDPR在前言的第 26段前半部分中列出了匿名化技术的标准, 即当有攻击者企图从已被匿名化的数据中再识别出数据主体时, 这种再识别的手段应当有何要求。标准有三:第一, 再识别可用已被匿名的数据和其他数据, 如果同时运用其他数据和匿名化数据可以识别出自然人, 这种“匿名化”数据仍然归属个人信息的范畴;第二, 再识别的手段应当是数据控制者或者其他人直接或间接所能联想到的任
14、何合理可能的手段;第三, 再识别的手段应当考虑所有客观的因素, 包括成本高低、时间长短、数据处理时的技术水平和技术发展。可见, GDPR 对匿名化的标准规定十分之高, 有追求完美之嫌, 这样高的标准是否能够在现实中实现值得商榷。(3) 假名化只是匿名化的一种手段GDPR的第四条特别对“假名化”进行了概念界定:“在没有利用额外信息的情况下, 个人资料以其不再归属于特定数据主体的方式而处理, 但同时上述额外信息必须是分开保存和易受技术和组织措施影响的, 进而才能确保个人资料不会被归于已识别或可识别的自然人。”从上述定义可以看出, 个人资料假名化可以达到数据匿名化的效果, 但是假名化并不只是匿名化技
15、术的唯一。GDPR 前言第 28段也有论述:“本规章对假名化明确的介绍并不是意图排除其他数据保护的手段。”2.29条工作组29条工作组是根据欧盟 95/46/EC法令的 29条的规定所设立的, 它是一个旨在解决数据和隐私保护问题的独立咨询机构。29 条工作组由每一个欧盟成员国最高当局委派的一名代表、欧盟数据保护监管当局的代表和欧盟委员会的代表组成, 代表了欧盟官方机构对数据隐私保护的权威意见。29 条工作组于 2014年4月 10日发布了匿名化技术11的意见书, 其中对匿名化技术有全面的介绍, 下文做一简单介绍。(1) 匿名化处理需符合目的限制原则匿名化处理应当符合个人资料收集的目的限制原则。
16、匿名化是一种数据处理的技术, 从时间上看, 数据控制者在进行数据处理之前必然会进行数据收集, 数据的收集应当符合目的限制原则。根据 29条工作组颁布的目的限制原则12的指引, 目的限制原则是指透过限制负责处理个人资料的实体 (以下简称负责实体) 对个人资料的使用, 同时亦给予一定程度的灵活性, 以保护资料主体。目的限制原则主要由两个子原则组成, 即目的特定性 (个人资料必须为特定、明确的及正当的目的而收集) 、使用相容性 (不得做出与该目的不相容的进一步处理) 。这里的匿名化处理与使用的相容性直接相关, 而该指引接着就对相容性判断所要考虑的关键因素做了列举, 包括:第一, 收集个人资料的目的及进一步处理的目的之间的关系;第二, 收集个人资料的背景及资料主体对资料被进一步使用的合理预期;第三, 个人资料的性质及进一步处理对资料主体的影响;第四, 负责实体应采取保护措施以确保公平处理及防止任何对资料主体产生的不利影响。只有做到了上述四点, 才可认为数据
