大数据时代个人信息去识别化的困境与出路

于海英

（天津百博律师事务所，天津 300270）

在大数据信息整合时代下，如何在个人信息保护与大数据商业运用两者间取得平衡是通信服务行业管制政策所不得不面临的重要议题。举例而言，优酷客户端的视频浏览习惯是否为个人信息？若是个人信息，是否可以用作大数据信息整合的内容，甚至进一步作定制化的广告投放？这样的议题在大数据信息整合时代下，更会因为大量而广泛地搜集个人信息而产生高度争议。

一、大数据运用个人信息的困境

（一）“充分告知后同意”模式的困境

程序员天然地对大数据有现实的需求和不满足，设计本身就是权利，设计通过代码决定了用户的行为，其自身是唯一的立法者。大数据时代，告知同意无论是作为一种授权机制抑或视为一种免责/问责机制均面临困境。

（二）去识别化发展的两难

在大数据信息整合的时代下，5G人工智能物联网将是未来的趋势。如何在个人信息保护与大数据的商业运用两者间取得平衡，是通信服务行业所面临的重要议题。在个人信息保护的议题上，个人信息的控制仍然是主要精神所在，个人决定这些信息将会怎样，并且即使“离开其掌控”，也保持着对它的控制［1］。因此充分告知后的同意在个人信息保护意义上仍占据重要地位。在另一方面，告知后同意在快速的大数据利用上可能造成阻碍拖滞的情况。在此两难的情况下，去识别化的议题逐渐浮现，作为个人信息保护与大数据的商业运用两者间平衡的另一选项。

在本文的用语上，去识别化（de-identification）一词与匿名化（anonymization）的区分在于信息去识别化后是否再识别的风险。若是信息去识别化后仍存在一定程度再识别的风险，则去识别化与匿名化无异［2］。去识别化的发展具体视各国对于个人信息识别的概念而有所不同，就再识别的风险（去识别化的程度）而言，其与大数据商业利用往往成反比，即再识别性的风险越高对于大数据商业利用越有助益。如何在两者间取得平衡点，是个人信息保护与大数据的商业运用的焦点。

二、个人信息去识别化运用的国别差异

（一）日本修法、产业自律并施以行政监督标准

日本在2017年修法前，将个人信息分为：1.单一信息，一般人借由该单一信息即可识别特定人（如姓名、相貌）；2.需组合、比对方能识别特定人，即所谓间接识别个人信息（如信用卡号、车牌号码）。在如何达到去识别化的议题上，日本在修法前莫衷一是，而在2017年修法后将个人信息分为：1.记述型个人信息（如姓名）；2.符号型个人信息，如驾照，但手机、信用卡、电子邮箱则不在规范之内。日本对于符号型个人信息采取正面表列的做法，已排除部分一般认为是个人信息的信息，同时在修法后对于前述个人信息的去识别化则明确规范采取删除部分信息作最低程度上的规范，并在实际操作上采用交由民间自律团体的多方参与模式，以便于调整采取更严格的标准。同时日本在立法上对借由行政监督要求去识别化的加工事业与信息接受者，禁止进行信息的再识别以及赋予去识别化信息运用的信息透明公开等义务。另外，日本政府为了政府信息的加工运用，在《行政机关个人信息法》中允许行政机关借由“非识别加工资料流程”对于民间的提案进行审查，并缔结契约提供去识别化的信息。

（二）美国以合理措施确认去识别化

美国对于去识别化采取较宽松的标准，其基本对于匿名化与去识别化两者概念不作本质区分。关于“识别”，美国采取相对主义者又称主观说（relative or subjective theory），认为识别的主体以及识别的方法（可能性）不能毫无限制，例如将识别的主体限于资料管理者或有范围的主体；至于识别的方法应限于有实际可能（realistic）者，而排除那些只是假设性（hypothetical）的方法。换言之，由于任何匿名化的技术都存有再识别的风险，因而美国学者S.Rubinstein和Woodrow Hartzog从信息安全的角度出发，认为去识别化就是降低风险的过程，两位学者更在美国联邦贸易委员会（Federal Trade Commission）提出“合理的措施确认去识别化”（takes reasonable measures to ensure that thedataisde-identified）概念，将去识别化措施展开为评估风险、释出信息最小化、导入合理的信息控制技术以及自我监督与信息安全事件应对机制等多个要素。

另美国亦由法律规范合理的措施确认去识别化。在2009年经济与临床健康信息科技法案（Health Information Technology for Economic and Clinical Health Act of 2009）第一万三千四百二十四（c）项中，要求人类与健康部门（the U.S.D-epartment of Health and Human Services）应发布去识别化的指导原则，以符合健康保险可扩与责任法案（Health Insurance Portability and Accountability Act）对健康信息保护的原则。依前述指导原则，人类与健康部门提出了两种去识别化的标准：专家决定（expert determination）以及安全港（a safe harbor）。专家决定指的是一个具有专业知识与经验的专家，借由可接受的统计科学原则，得认为被去识别化的信息接受者其再识别该信息的风险非常小，并将其分析的方式与结果做成书面文件，则该信息可被认为去识别化，同时对于再识别的风险必须定期检查。至于安全港标准则指的是收集健康信息的机构必须去除揭露信息中18项可识别的信息，同时其没有明知该去识别化的信息可以再借由单独使用或合并其他信息加以再识别，因而该信息认定为被去识别化［3］。

（三）欧盟采取零识别性严格标准

欧盟去识别化的判定基准，主要是规范在Article 29工作小组会议中对于去识别化的意见中。虽然有论者尝试提出由风险管理的角度，对于去识别化认定以信息隐私的安全角度为出发点，讨论其法律上的定位。但笔者认为由Article 29工作小组会议对于去识别化的意见中，在其2.1的定义中说明去识别化必须是程序上的不可逆，匿名化的信息由无法通过所有的（all）、可能的（likely）以及合理的（reasonable）方式加以再识别，因此从使得再识别不再可能（no longer possible）来看，显然Article 29工作小组对于去识别化信息再识别的可能性容忍度为零。更重要的是在该意见中，其以匿名化（Anonymisation Techniques）的技术而非去识别化信息（anonymous data）作为标题，正是表达任何匿名化的技术都有再识别风险的看法。由前述Article 29工作小组会议意见来看，其对于去识别化的概念采取近乎再识别零风险的严格立场。

可见，在技术无法达到客观最严格去识别化的前提下，从各主要国家及以风险管理角度出发理解的去识别化规范，亦有不同程度的松紧。日本在去识别化的政策上是总体通过产业自律进行规范并对个别事业进行行政监督；美国虽然对敏感的个人信息的去识别化以相对主义为基础，但去识别化要求相对宽松；而欧盟法院基于识别绝对主义的立场，要求信息经过匿名化的技术处理必须达到不能再识别的程度。［4］。

三、对去识别化的现况检视及规制建议

我国在面对前述现实环境的现况下，应如何定位我国去识别化的概念，以期在我国的个人信息保护与大数据（商业）利用的实际需求之间取得平衡，是目前我国不得不面对的重要课题。

（一）去识别化的认识论

笔者认为“识别”问题实际上是一个“认识论”的探索，识别问题必定涉及三个要素：识别主体、识别的过程及方法、识别客体。忽略了三个要素中任何一个，则无法完全解答“识别”的问题。个人信息的“匿名化”是个人信息“去识别”的过程及结果。同样地，“匿名化”所涉及的是与“识别”过程相同的探索。换言之，“匿名化”是“认识论”的过程，包含前述三个要素。

（二）我国个人信息保护的法律规制

高科技大都有对个人隐私、个人信息造成威胁的副作用，美国学者弗罗姆格以“零隐权”（zero privacy）的概念提出21世纪的法律面临的最严峻挑战是如何强化对于个人隐私、个人信息等人格权的保护。

《中华人民共和国民法典》（下称《民法典》）回应了这一时代之问，专门设置了人格权编，《民法典》第一千零三十四条对“个人信息”的概念及法律适用进行了明确。《民法典》首次尝试对AI技术涉及的人格权问题进行规范，禁止非法的个人信息收集和利用，比如禁止利用深度伪造技术侵犯公民肖像权和声音权。

（三）平衡去识别化与大数据商业利用的可选路径

如何平衡个人信息的保护与大数据信息整合的（商业）利用，一直是我国近年通信服务行业所讨论的重要议题，在大数据时代下个人信息保护的议题上，个人信息的控制仍然是信息来源者最关心的议题。我国对于去识别化的界定平衡上，总体应朝向中间偏欧盟模式方向考虑：1.对于单纯以同一方式取得的个人信息，在不合并其他信息与完善内部信息控制的前提下，对于去除个人直接识别信息后单纯作为改善产品或服务质量的作为，应可被认定为去识别化后的信息利用。2.对于政府依个人信息保护法所为信息搜集、处理并去识别化以符合公共利益之利用，可以作为平衡个人信息保护与大数据利用的第二步。对于政府搜集个人信息，必须加以明确定义去识别化的技术并对政府如何监督信息的搜集、处理以及利用作出具体规定。除了去识别化的技术确认外，我国可以参考日本对去识别化的行政监督流程对政府持有个人信息去识别化做出规范。3.就商业上长远利益而言，目前我国并未允许单纯为商业营销的个人信息搜集、处理，未来若是明确规范为商业营销所为去识别化大数据收集，得为例外规定时，则其收集处理后的个人信息或可借由未来人工智慧技术决策所产生的去识别化信息利用，作为个人信息保护与大数据商业利用的平衡点。未来可在不大幅调整现有法律法规以及直接冲击个人信息控制权的理念前提下，经由技术安全机制释放部分客观上存有再识别风险且有大数据商业利用价值的信息，进入大数据的技术运用而无须取得信息来源者的同意，并将此作为我国长远在政策上可行的选项［5］。

四、结论

美国及日本倾向大数据的商业利用，欧盟来自其对于个人信息保护的宪法高度评价，因此对于信息去识别化的态度严格。我国《个人信息保护法》在欧盟模式基础上，应当分阶段地对个人信息去识别化予以规制，短期对于单一数据库的去识别化采取较保守的策略，在推动去识别化实践的同时改善服务质量，制定符合我国现状的法律法规和国家标准；中期则可借由政府信息的开放与去识别化过程严格地把关与监督，降低再识别的风险；长远对于个人信息的商业利用而言，有待法律修订将商业营销所需去识别化的大数据收集、处理作为例外规，并以人工智能去识别化技术的成熟将再识别风险降到最低。