1、106-个人信息认定标准的适用困境与出路一美基于风险社会理论的解释路径口张婷【摘要 作为数字经济发展核心落脚点之一“数据资源”的重要组成部分,个人信息的有效利用事关数据要素价值激活和数字经济红利释放双重目标的实现。个人信息是建构个人信息相关制度措施的基石概念,明确其规范构造是确保个人信息法律治理体系有序融贯的基本前提。这一法律概念解构所面临的“识别性要件失效风险”和“匿名化规则不确定性”等困境,给现行个人信息保护与利用法律规范的实效化带来了明显的梗阻感。对此,可以从风险社会理论出发,在分析个人信息概念的功能定位和匿名化技术的风险本质的基础上,将“场景化+动态化”风险控制理念合理嵌入个人信息概念
2、认定之中,进而建立“双化协同+三维一体”的个人信息概念评价体系,以弥合技术发展不确定性和法律规范稳定性之间的张力。【关键词个人信息;风险社会理论;识别性;匿名化;风险管理中图分类号 DF6文献标识码 A文章编号】10 0 6-6 47 0(2 0 2 3)0 3-0 10 6-0 9【作者简介 张婷,中国政法大学刑事司法学院讲师一、问题的提出2022年12 月2 日,中共中央、国务院印发的关于构建数据基础制度更好发挥数据要素作用的意见明确提出,在加大个人信息保护力度的同时,促进个人信息合理利用,进而实现激活数据要素潜能、赋能数字经济发展的战略目标。个人信息概念是建构个人信息法律治理体系的基本范
3、畴,不仅关涉个人信息领域基本法与其他部门法之间的界域衔接,而且决定着个人信息的可利用范围,因此这一概念的厘定自然就成为实现个人信息合理利用的题中之义。中华人民共和国个人信息保护法(以下简称为个人信息保护法)第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。从界定方法来看,立法者所采纳的究竟是识别说、关联说、择一说还是综合说,不无争议。我国信息安全技术个人信息安全规范(以下简称为个人信息安全规范)附录A中规定,在判定某项信息是否属于个人信息时,应当考量“识别”和“关联”两种路径。前者是由信息本身的特殊性识别出特定自然人,即从信息
4、到个人;后者是由已知的特定自然人在其活动中产生的信息,即从个人到信息。只要符合上述任意一种情况就应认定为个人信息。与择一说相对的是欧盟一般数据保护条例(以下简称为GDPR确立的综合说。欧盟关于个人数据处理保护与自由流动指令(9 5/46/EC)第2 9 条成立的欧洲收稿日期:2 0 2 3-0 4-2 7本文系2 0 2 0 年度教育部人文社会科学研究项目“德国网络犯罪防控机制的实效化路径研究(项目编号:2 0 YJC820063)以及中国政法大学青年教师学术创新团队支持计划(项目编号:2 0 CXTD03)的研究成果。107个人信息认定标准的适用困境与出路数据和隐私保护咨询工作组(以下简称为
5、“第2 9 条工作组”)在第4/2 0 0 7 号关于个人数据概念的意见中指出,个人数据概念需要同时具备信息价值、关联属性、识别属性和自然人属性。关于关联性,第29条工作组认为如果数据涉及个人的身份、特征或行为,或者此项信息会对个人所受到的对待或评价方式产生影响,那么该数据就与个人相关。2 就关联的内涵而言,虽然个人信息安全规范和CDPR的规定相一致,但二者对其效用功能有不同的要求。在个人信息安全规范框架下,关联和识别是两种并行不的界定方法,从风险管控的角度来看,该规范对个人信息的保护范围更加广泛,而欧盟所强调的“关联性”是一个相对开放的范围判断,在此基础上再通过“识别性”对个人数据概念的外延
6、进行一定程度的限缩。笔者认为,在个人信息保护法律体系中,个人信息保护法是与民法、刑法等部门法具有并存地位的新型领域基本法,该法的立法预设在保护个人信息权益之余,还负有促进个人信息流通和利用的任务,以最大化程度防范风险为目标的择一说明显无法契合这一立法意图,故而不可取。至于识别说理论,已有学者对其是否应该成为划定个人信息法律保护范围的必要条件甚至是唯一条件提出过质疑,此处不再赘述。综上,与将个人信息权益定位为基本人权的“欧盟模式”和以鼓励个人信息积极利用为侧重的“美国模式”相同,我国个人信息保护法中的个人信息概念也应采用综合说的解构思路,即以“识别可能性”为构成要件、“匿名化处理”为消极要件的二
7、元复合规范解释结构。当个人信息处理者能够依靠合理可使用的手段识别到数据主体时,该数据属于个人信息,而如果数据与自然人之间的这种合理关联关系一旦消失(即经过匿名化处理),那么该数据就不再属于个人信息保护法所规定的个人信息的范围。具体而言,具有可识别性的个人信息可以分为身份信息、特征信息和行为信息三种类型。“识别可能性”是目前各国立法例所普遍认可的个人信息判断标准。以GDPR为例,其序言第2 6 条明确规定了“可识别性”的认定思路:首先,需要验证相关数据能否达到清晰指向特定自然人的程度。其次,如果对第一个问题得出否定结论,那么,是否还存在可获取的、能够用于辅助判定的其他信息。这里主要考虑以下两种情
8、形:其一,该数据能否通过可解析标识符与特定自然人产生联系以及这种解析方案是否合理可行。这里需要考量的因素包括但不限于所需费用、时间成本、可预期的技术发展以及竞争对手的动机、能力和可用资源。其二,该数据与特定自然人之间是否存在其他具有可解释性的关系。比如借助更为先进的分类、链接或者推理方法而使得相关数据与特定自然人之间产生信息关联。如果确认存在这样的可解释性关系,那么参照第一种情形,再进一步对这种可解释性方法进行可行性评估。概言之,只有当数据控制者或者第三人用于识别特定自然人的方法具有合理的可能性时,该数据才能被认定为个人数据;反之,若有任一要素有损信息关联的合理性的话,那么该数据都不属于GDP
9、R法定意义上的个人数据“匿名化”是数据挖掘中重要的隐私安全保护手段,与“可识别性”共同组成了个人信息概念的两个法定评价维度。根据个人信息保护法第7 3 条规定,匿名化是指个人信息经过处理达到无法识别特定自然人且不能复原的过程。这一规范思路与网络安全法第42 条一脉相承。与之不同,个人信息安全规范则是基于择一路径要求匿名化处理需同时排除识别性和关联性。如前所述,倘若采用择一说,则无法同时并重强化个人信息保护与鼓励个人信息利用两个立法目标,故而对于“匿名化”的判定只需要分析待判数据是否阻却可识别性的上述情形即可。这里需要注意的是,“匿名信息”不等同于“匿名化信息”,其自始欠缺与自然人的关联性且原始
10、数据泄露后不存在再识别风险。此外,我国学术界对于匿名化究竟意味着“去标识化”还是“去身份化”,也一直存在持续性争议。“去标识化 是美国数据隐私保护法律规范体系中普遍使用的概念。在州法层面,根据加利福尼亚州消费者隐私保护法第1798.140条(h)和第17 9 8.18 5条(k)之规定,个人信息不包括去标识化的消费者信息或者聚合消费者信息,其中,去标识化是指使用已识别信息的企业通过采取禁止重新识别信息的技术保障措施和相应业务流程,使得剩余信息达到无法合理地识别、链接、描述或者直接或间接地与特定消费者产生关联的状态。在联邦层面,美国参众两院于2 0 2 2 年6 月3 日发布的美国数据隐私和保护
11、法(草案)也沿用了去标识化制度。8 对于这一概念,我国个人信息保护法也作出了明确界定,即通过处理使个人信息在不借108中国特色社会主义研究2 0 2 3.3助额外信息的情况下无法识别特定个人。通过上述交叉对比可知,“匿名化”和“去标识化”只是不同法域在追求保留个体颗粒度前提下降低数据集中信息与信息主体之间关联程度从而实现个人信息场景化利用目标时所采用的不同表述,两者同为个人信息/数据概念的阻却要素。至于“去身份化”,结合上文所述,显然无法涵盖所有具有可识别性的个人信息类型。自2 0 2 1年11月1日个人信息保护法生效以来,最高人民法院共发布了4件侵犯公民个人信息的指导性案例,案例的核心内容均
12、涉及具体个人信息类型的定性问题。指导性案例19 2 一19 5号虽然分别对人脸信息、居民身份证信息、社交媒体账号以及“手机号码+验证码”是否属于“个人信息”作出了回应,但未从其所属类型、风险等级等要件要素层面对涉案个人信息展开具体释证,不免引发学界对个人信息范围过度扩张的担忧。考察个人信息概念的规范构造不难发现,目前我国司法适用中出现的简化涵射现象在很大程度上可以归因于这一概念解构所面临的现实困境,而这一问题的继续存在还将对个人信息安全风险的预防控制和个人信息价值属性的共治共享造成不良影响。有鉴于此,本文将从上述个人信息的二元认定模式人手,在厘清识别性失灵风险与匿名化不确定性的基础上,从风险社
13、会理论的角度提出一种融理论考辨与现实观照于一体的个人信息概念解释路径。二、积极要件:个人信息“识别性”的失效风险通过上文对于GDPR中个人数据“识别性要件”界定思路的阐释可以发现,其所采用的是一种基于风险预防的管理方法,即在存在合理可识别性风险的情况下,数据就应当被认定为个人数据。然而,关于如何阐明这一要件,除微观层面的识别目标、识别概率、识别风险等问题需要厘清之外,还存在一些其他因素可能会干扰识别性要件的效能释放。判定个人信息时可能面临的首要失效风险是可识别性合理限度的不确定性难题。关于“合理性”的规范构造,目前各国在司法实践中已形成“主观解释立场 和“客观解释立场 相互对立的局面。主观解释
14、论认为,在评判数据可识别性之合理性时,识别主体,尤其是具有相关数据访问权限的主体,其认知限度内的所有因素都应当被纳入考量范围,坚持这一解释路径的典型代表是英国信息专员办公室(TheUK Information Commissioners Office,以下简称为 I-CO)。IC O 认为,数据合理可识别性的评判应当以数据控制者和具有先验知识的第三方所掌握的知识储备为限。与之相对,客观解释论则主张扩大评估对象范围,既应包括当前的数据持有者,也要兼顾未来潜在的数据持有者。以爱尔兰为例,爱尔兰数据保护局(The IrishDataProtection Authority,以下简称为DPA)就是以潜
15、在数据持有者身份的确定为出发点,继而在此基础上结合数据的敏感程度及其价值属性对可识别要件的合理性作出综合判断。其次,由于识别能力会因识别主体不同而有所差异,识别性要件适用对象的判定自然成为第二个需要研究的问题。目前国外司法实务关于这一问题的探讨主要聚焦于以下三种学说之辨。第一种是欧盟立法确立的“平等关系主体说”。根据GDPR序言第2 6 条,在确定某一自然人是否可被识别时,应考虑数据控制者或其他人可能用于直接或间接识别该自然人的所有合理方式,这一规定就为将任何其他第三方纳入识别主体评估范围预留了空间。对此,有学者提出质疑,“如果采取这种绝对意义上的识别主体概念,那么GDPR将会失去其风险管理的
16、基本意义”。第二种是源自欧盟司法实践的“单一主体说”,即仅限于从数据控制者的视角进行可识别性评估。例如,在帕特里克布雷耶诉德国联邦政府一案中,欧盟法院在判决时仅审查了该案中实际数据控制者一一德国联邦政府是否存在将其收集的访问者动态IP地址用于身份识别的事实,而未将其他互联网服务提供商纳入待考察识别主体范畴。第三种是ICO提出的“主动人侵者说”。该学说认为,对于既具有识别他人身份动机又具备访问互联网、图书馆或其他公共文件等资源能力的主体,如果其发起攻击的难易程度介于欠缺必备计算机技能的普通网民和掌握娴熟黑客技术的专业人员之间,那么就应归属于识别主体的范围。法律解释的一致性是司法裁判一致性的前提,
17、司法的一致性关乎法律制度创设目的的实现。在相应司法解释尚未出台、相关学界通说尚未形成的情况下,对个人信息概念识别性规范要件之合理性和适用对象的不同理解,不仅可能导致司法适用的差异和困难,使得信息主体对个人信息法律保护机制109个人信息认定标准的适用困境与出路的信任度降低,甚至可能减损相关法律规范的确定性和可预测性,造成个人信息保护义务责任主体产生认知偏差,无形之中增加匿名化处理的再识别风险。三、消极要件:个人信息“匿名化”的不确定性承上所述,匿名化不仅是关乎个人信息保护制度中诸多规则适用的核心概念,比如规定在个人信息保护法第6 条的“数据最小化原则”,更是判定个人数据资源可否二次利用的关键指标
18、。然而,在司法实践中,匿名化规则的解构却面临着法律、技术乃至现实层面的多重困惑。从法律角度来看,匿名化信息的法律定义缺乏确定性。从技术角度来看,伴随数据采集点的不断增加和数据分析算法的日趋完善,个人信息与非个人信息之间愈加模糊的边界使得匿名化判断愈加困难。最后,从大数据技术泛在化应用现状可以预见,处于个人信息与匿名化信息中间地带之数据的重要性会日渐凸显,这无疑也会给匿名化规则的理解和适用带来新的挑战(一)匿名化规则的法律不确定性从法学角度来说,匿名化是个人信息去识别化的技术手段之一,对于如何实现这种技术手段的规范化解构并不存在一种统一的共识性规则,匿名化的要素构成、时间维度等都展现出不同程度的
19、不确定性。首先,达致法律层面的匿名化需要满足相关条件。关于如何确定是否已实现去识别化,第2 9 条工作组提出了三个消极要素:(1)区分性(singling out),是指从数据集(由与数据主体相关的不同记录组成的集合,其中每条记录包含着与一个数据主体相关的不同属性值中分离出能够识别特定自然人的部分或者全部记录的可能性;(2)链接性(linkability),即当存在至少两个数据集包含关于同一数据主体的信息时可能产生的风险;(3)推定性(inference),是指以显著的概率从一组属性值中推导出某个属性值的可能性。经过匿名化处理的信息,如果仍然可能通过相关性分析等方法使两个记录与同一组自然人进行
20、匹配,那么处理后的数据只是阻却了区分性,却仍然具有链接性。只有当以上三种“再识别风险”均被排除在外时,原本属于法定范畴的个人数据才可以按照匿名化规则不再适用GDPR。不难看出,上述观点试图以否定识别性的必要要素来确定匿名化技术的法律构成,但是实际上制造了新的不确定性,因为即便在实现区分性和链接性双重阻隔的情况下,推定性也仍然可能存在。其次,如上文所述,GDPR在设计“识别可能性”的认定思路时,已将“技术发展”这一客观因素考虑在内,那么随之而来的就是信息匿名化时间维度的设定问题。不同的时间维度将直接影响对判断匿名化处理合规与否时间节点的选取结果,进而影响对数据性质的认定。对此,第2 9 条工作组
21、明确指出,评价匿名化处理结果时,既要参考“处理时的技术水平”,也要考量“数据处理期间的技术发展可能性”。这就意味着,对于数据处理期间以及数据留存过程中可能出现的再识别风险,数据控制者从一开始就负有预见义务,并且应当采取相应的措施加以避免或者做好预防准备工作。但是,这种制度设计能否实现事先风险防范是值得怀疑的。第一,技术发展可能性的概念和范围很难确定。例如,对已经问世但尚未应用到某特定领域的新兴技术,该领域的数据控制者是否应当为其可能发生的再识别风险承担相关义务,以及在确定某种加密技术能否将个人数据转化为匿名化信息时,是否应当将目前正在探索中的技术应用(比如量子计算)纳人讨论范围,目前并无共识。
22、第二,讨论信息匿名化时间维度的目的,是为了调和匿名化信息再识别风险控制与数据共享再利用之间的紧张关系,而第2 9 条工作组的上述意见无异于缘木求鱼。事实上,随着大数据、云计算等技术行业泛在化程度的不断加深,数字化进程会继续加速,数据持有者可获得数据集数量的绝对增长必然会导致匿名化数据集与其他数据集匹配度的提高,进而产生匿名化信息被重新识别的风险,因此,此处时间维度解构的关键应当在于如何合理限定数据的可用性,而不是着眼于技术发展的可能性。(二)匿名化信息的剩余识别风险1.技术局限:匿名化技术固有风险放大法律不确定性根据第5/2 0 14号关于匿名化技术的意见(以下简称为匿名化意见),常见的匿名化
23、处理技术主要有六种:(1)添加噪声,指通过修改数据集中的属性,使数据属性在保持总体分布不变的同时降低精确度;(2)置换,即通过打乱记录中的属性值,使数据110中国特色社会主义研究2 0 2 3.3集在保留属性分布准确的同时将部分属性值人为地链接到不同数据主体;(3)差分隐私,即通过随机应答的方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值,从而使第三方无法根据输出的变化对单条记录的更改或增删作出判断;(4)聚合与K-匿名化,指将数据主体与至少K个其他个体分组,并保证每个个体具有相同的属性值,从而防止数据主体被分辨出来;(5)L-多样性,即通过确保每个准标识符(与某个数据主体或一组数据
24、主体相关的属性组合)下的敏感属性至少有L个不同的属性值,使得可能访问原始记录的第三方最多只能以1/L的概率确认某个数据主体的敏感信息;(6)T-接近性,即在相同的准标识符类型组中,保持所涉敏感信息分布尽量接近于整体的敏感信息分布,不超过值T。不可否认,在最大化释放数据价值和降低相关个人风险这两方面,匿名化都具有重要的实际意义,但每种匿名化技术在创建匿名数据集时也伴随着明显的固有剩余识别风险。在噪音添加过程中,所修改属性可能因为与数据集中其他属性缺乏逻辑关联而被第三方过滤掉;置换方案可能因为被置换属性值选择错误或具有随机性而失效;在平衡隐私保护与有效应答之间微妙关系的前提下,差分隐私方案可能面临
25、数据集中属性修改不充分的挑战;聚合与K-匿名化方法可能因准标识符缺失、参数K阈值太小或分组个体权重不均等原因而影响其匿名化效果;至于L-多样性和T-接近性,两者都是通过将原始敏感属性值与其他敏感属性相混合来实现个人数据保护目的的方法,其对属性值数量之充足性和敏感属性值分布相似度的过度依赖都潜藏着不可避免的失效风险。总之,匿名化处理技术在去识别性方面所表现出的不稳定性进一步放大了匿名化规则不确定性的一面。2.认知分歧:绝对零风险主义与相对低风险主义之争匿名化本质上是与风险相伴的信息技术处理活动,所以,如何理性认识匿名化处理的剩余风险就成为适用匿名化规则不可回避的问题。关于匿名化剩余风险的可容许性
26、,目前存在绝对主义和相对主义两种不同的解释立场。“绝对零风险说”认为,个人信息匿名化处理的结果应当是不可逆的、永久的,经过处理的信息不能再与特定自然人产生任何形式的联结。换言之,任何程度的再识别风险都是不被允许的。根据匿名化意见,“匿名化是为了不可逆转地防止识别而处理个人数据的结果”,这就要求,在当前的技术水平下,匿名化作用于个人数据所得到的结果应当与删除一样具有永久性,即对个人数据无法再进行处理。据此,如果数据控制者没有删除事件层面的原始(可识别)数据,即使其仅向他人提供部分数据集,并且对可识别信息进行了移除或者掩盖,所得到的数据集仍然属于个人数据。由此可见,第2 9 条工作组所主张的正是一
27、种“零风险评估机制”。“相对低风险主义”则认为,“由于我们永远无法确定地评估出哪些数据已经存在或者未来又可能发布哪些数据,所以通过数据链接重新识别的风险从本质上是不可预测的”,因此,倘若根据具体案情和技术条件,匿名化处理后的信息足以减轻相关信息主体的直接显性风险,那么,就应认定为已达到法定的去识别化效果。ICO和DPA事实上采纳的都是这种立场22四、个人信息认定机制的理论基础与可行路径围绕个人信息概念的认定,无论是“识别性”积极要件所面临的合理限度和识别主体上的异见,还是“匿名化”消极要件中存在的适用条件和技术风险的不确定性,都指向了同一个问题,即关于个人信息认定之理论基础、解释路径等问题的系
28、统性论证的缺位。因此,为了充分发挥个人信息概念定分止争的教义学功能,有必要从数字技术的风险本质出发,建构一套具有普适性的个人信息认定机制。(一)功能定位:基于风险社会理论的个人信息评价体系目前看来,第2 9 条工作组就GDPR序言第2 6 条这一认定规则给出的司法适用方案是缺乏解释力的。其一,绝对零风险主义立场难以回应现实生活中数据再利用的客观需求,例如医疗机构将患者信息匿名化处理后用作科学研究的同时继续保留原始数据进行患者治疗的情形,而按照绝对零风险说则仍需严格执行个人信息保护法规定的知情同意机制。其二,匿名化消极要件要素与现实的匿名化技术之间存在一定程度的偏离和断裂。从广义上讲,前述匿名化
29、技术可以归纳为两类:一是通过改变数据的准确性来削弱数据与个人之间紧密联系的随机化技术,包括噪声添加、置换和差分隐私;二是通过111认定标准的适用困境与出路修改数据的规模或量级来降低数据主体属性颗粒度的泛化技术,包括聚合与K匿名化、L-多样性以及T-接近性。其中,随机化技术虽然在整体上对于弱化数据的区分性、链接性和推定性均能发挥一定作用,但无法达到完全阻隔的程度;而泛化技术虽然在消除区分性方面表现出明显的技术进步,可以保证特定自然人无法从相应匿名组中被识别出来,但是在排除链接性和推定性方面仍存在不同程度的安全漏洞。由此可见,在数字技术时代背景下,缺乏方法论的传统规范分析极易忽视逻辑推演与技术现实
30、之间的差距,进而陷人一种规范的理想主义。对此,有学者提出可以将风险管理作为个人信息保护规范的解释工具。风险社会是德国社会学家乌尔里希贝克提出的用于涵射主导现存社会结构、体制和社会关系向更加复杂、偶然和分裂的社团组织转型的一系列具有人为不确定性特征的经济、政治、社会、文化和制度因素等总和的基本范畴。学界对这一概念的理解主要有三种主张,分别是克利斯托夫劳基于新风险理论提出的“新生风险说”、斯科特拉什基于风险文化理论提出的“风险察觉说”和贝克基于制度主义提出的“风险增加说”。结合数字技术发展给个人信息所带来的负面效应来看,贝克的观点更加贴合这种正向传导关系。如果说贝克初创风险社会理论的主要贡献是通过
31、对风险、灾害和社会思想的分析重塑了人们对安全和风险的认知、触发了人们对现代性理论的反思,那么,在数字时代风险社会理论的意义则在于将风险控制理念融人规范的建构性解释提供一种理论工具。正如贝克所言,“风险概念表明人们创造了一种文明,以便使自己的决定将会造成的不可预见的后果具备可预见性,从而控制不可控制的事情,通过有意采取的预防性行动以及相应的制度化的措施战胜种种副作用”。申言之,个人信息认定机制中的风险管理,不仅要践行风险社会理念,还需引人风险管理的框架和方法。首先,需要明确的是,个人信息治理中风险管理的目的不是完全消除风险,而是在尽可能减少现存风险的前提下为剩余风险提供相应的制度化解决方案。在此
32、基础上,将风险管理方法运用到个人信息认定中的推导步骤:第一,鉴别和评估个人信息使用过程中可能产生的负面影响或损害,这里具体体现为具有识别性的数据被非法处理而可能招致信息主体的人身性、财产性权益遭受侵害的情形;第二,确定降低这种风险的可行方法,目前通行的做法是对已实现合理使用目的的个人信息进行匿名化或者删除处理;第三,管理剩余风险,根据上文分析可以看出,由于匿名化技术所具有的不稳定性,使得纯粹的个人信息和相对的匿名化信息之间出现一个动态变化的“灰色地带”,因而需要借助风险管理这一理论工具来调整个人信息基础法律制度的实施,以防止前述灰色地带进一步扩大。(二)实现路径:“双化协同+三维一体”司法适用
33、模式个人信息保护法第4条已明示个人信息概念的界定标准。根据上述风险社会理论,对于前述适用该条可能引致的诸多争议,可以考虑以“动态化+个案化”双化协同的可识别性解释方案为基础,同时在个案研判中嵌个人信息类型、数据留存期限以及匿名化信息流转范围等动态匿名化评估因素,对个人信息概念的认定标准予以细化1.可识别性构成要件解释适用的两项基本原则原则一:动态化识别标准。个人信息从收集、存储、加工到使用、公开是一个动态的过程,个人信息处理可能引发的风险会因所处阶段的不同而存在较大差异,因此需要动态化的识别标准与之配合。个人信息的动态化识别可以从不同阶段的识别风险等级和识别主体范围两方面进行展开。根据数据与数
34、据处理者紧密关系的不同,信息处理行为可以分为“可能引发高风险的行为”(包括个人信息的传输、提供、使用和公开)“可能引发低风险的行为”(包括个人信息的收集、存储和加工)以及“零风险行为”(即个人信息的删除)三个等级。其中,个人信息的传输、提供使用和公开行为由于脱离了信息处理者的控制范围而可能面临更高的再识别风险,所以在判断可识别性合理限度的识别主体范围时宜采用广义的“平等关系主体说”或“主动人侵者说”,在此基础上可以根据行为对象数量的不同再作进一步的细分。相比之下,在个人信息的收集、存储和加工阶段,发生再识别风险的可能性则相对较低,故而沿用欧盟司法实践的做法更为妥当。原则二:场景化个案分析。场景
35、与风险双轨并行式导向理念是国际主流的个人信息保护框架。不同的个案场景所呈现出的微观层面的识别性要件要素各有不同,自然也需要法律认定标准的适用作112中国特色社会主义研究2 0 2 3.3相应调整,即个人信息的识别目标、识别主体、识别概率、识别风险以及识别的合理限度等问题都要置于其所处的案件情形中具体审视。例如,考虑到生物识别信息与其他个人信息相比所具有的特殊性,在判断信息可识别性的合理性时,仅考量当前具有数据访问权限之主体认知范围内的所有因素就明显略显单薄。简言之,场景化理论实质上是以寻求法律规制与技术创新之间的利益平衡为核心价值取向,因此,适用场景化个案分析原则的要旨是通过评估具体案件所涉个
36、人信息类型、个人信息处理的隐私风险、信息处理者的风控能力等因素来确定识别性要件要素的判断标准。2.“三维一体”的匿名化信息动态判断模式“三维一体”的匿名化信息动态判断模式,是笔者尝试从立法规范和技术特征中归纳可能影响信息匿名化效果之要素而得到的关于匿名化规范评价的一般性工具。在此环节,司法机关通过评估其控制力与影响力明确相关信息处理机构所应承担的义务范围及其实际履行能力,进而对其匿名化处理行为是否达到个人信息保护法的规范预设作出综合评价。第一,个人信息类型。建构个人信息分类分级机制已成为学术界和实务界普遍认同的理念。在对个人信息进行匿名化处理时,信息类型的不同也会影响到匿名化技术的选择,进而作
37、用于对信息处理者个人信息保护义务履行情况的评判。例如,就敏感个人信息而言,如果这类属性值被再识别的话,可能会对信息主体产生更为严重的不利影响,因此信息处理者一般会首选添加噪声的方法。基于此,个人信息的不同类型及其风险等级理应成为适用匿名化规则时需要考虑的首要因素。关于个人信息的具体分类方法,目前主要有“二分法维持说”和“四分法创新说”两种立场。在笔者看来,“四分法”实际是为加大对跨境数据流动中个人信息主权属性的保护力度而提出的一种分型,其构造核心仍是“二分说”。故而考虑到个人信息的多元化法益基础,在沿用现行法分类基础上,综合考量不同场景中个人信息所涉及的权益性质和信息处理者的具体风险防控能力,
38、细化敏感个人信息的不同层级,并有针对性地匹配不同程度的匿名化剩余风险可容许性。第二,数据留存期限。数据留存期限不仅与个人信息风险成正相关,而且还可能影响对信息处理者再识别风险管理义务发生时间的合理划定。比如按照前述第2 9 条工作组提出的信息匿名化时间维度的要求,数据控制者的再识别风险管理义务必须贯穿整个数据留存期间。无论数据是从何时开始具备可识别性,数据控制者都应该从存储数据伊始就具备风险防范意识,并为防控数据主体因被再度识别而可能遭受的权益侵害采取相应的技术和组织措施。笔者认为,在匿名化规则的规范解构中纳人数据留存期限这一考量因素确有必要,但第2 9 条工作组采用的“数据处理期间的技术发展
39、可能性”标准显然过于严苟,无法为司法实践提供明确的、可操作性依据。更为合理的方案是,在对不同领域的个人信息进行分类分级的基础上,综合考虑不同留存期限下再识别风险的风险程度、辐射范围、信息主体权益救济方式及其有效性等因素,有针对性地为信息处理者配置不同的再识别风险管理义务发生时间,进而对其匿名化处理行为的合规性作出判定第三,匿名化信息流转范围。不同流转范围的匿名化信息,由于其潜在用户体量及其识别能力的不同,发生再识别风险的可能性也会有所差异。该要素旨在通过对不同流转范围匿名化信息所对应风险等级的划分,补足确定不同类型的信息处理者在进行匿名化处理时所采取的处理措施及其处理程度是否达到法律的规定效果
40、。通常情况下,如果是发生在信息处理机构内部的用户数据再利用,那么单一化的匿名化技术甚至假名化就可能足以阻却其过错推定责任,但对于公开发布的匿名化信息,则需要满足更高的匿名化技术要求。通过上述解释路径,影响个人信息认定和分类的法定要件被细化为各种风险定级要素,有利于充分释放个人信息概念的责任界分功能和义务识别功能。以人脸信息为例,一方面,对于最高人民法院指导性案例19 2 号中上海市奉贤区人民法院因对行为人李某通过制作、发布具有非法窃取安装者相册照片功能的黑客软件所获得的17 51张照片进行整体性评价所引发的质疑,可以借助“场景化+动态化”风险控制理念下的个人信息概念予以化解。对于含有自然人姓名
41、、身份证号、联系方式、家庭住址等其他个人信息的人脸照片数据,由于其兼具身份信息与特征信息双重属性,可能对信息主体的人身、财产权利造成实质损害,可以认定为刑法上的个人信息,而对于其余不含自然人姓名等其他信息的纯113个人信息认定标准的适用困境与出路粹人脸信息,基于刑法的谦抑性,则不宜发动刑罚权。鉴于本案中李某非法获取的复合型人脸信息只有10 0 余条,未达到最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第五条第一款第四项规定的50 0 条以上,故而最终不应被计入涉案的公民个人信息条数范围。以上是从个人信息概念体系性解释功能的教义学形塑出发,对人脸信息侵犯中民刑
42、衔接问题的重述。另一方面,“双化协同+三维一体”的个人信息概念评价体系也为有效识别涉案信息合规义务主体,纤解个人信息侵权证明困境提供支持。综合人脸信息所处系统层次以及与其他信息数据的结合程度,可以将人脸信息的保护等级分为强等级保护和次强等级保护。对于位于网络应用层中的复合人脸信息,所有兼具识别动机和资源能力的主体均属于识别风险的考察对象。对于位于网络应用层的单一人脸信息和位于网络数据层的单一或复合人脸信息,识别风险防范义务仅由能够自主决定人脸信息的处理目的或处理方式的主体承担。在人脸信息识别风险分级防范的基础上,还可以根据信息处理主体的风控能力以及技术保护措施的严密程度进一步优化合理使用各类人
43、脸信息的注意义务结语个人信息的认定困难是目前个人信息法律保护制度备受质疑的主要原因之一,甚至有学者提出应放弃现行数据和隐私法律规范中“个人数据一非个人数据”的二元划分机制。在既无司法解释又无学界通说的情况下,对个人信息定义条款的规范解构研究有助于消解这一难题。风险管理理念是数字经济发展规律和运行机理的核心要义。以此为导向,围绕个人信息可识别性要件判定在合理限度和适用对象上出现的学说纷争,可以引人动态化识别标准和场景化分析方法,以优化个人信息保护法第4条的可解释性及其确定性。同时,根据不同场景中所涉及的个人信息类型、数据留存期限以及匿名化信息流转范围,构建集剩余识别风险可容许性、技术处理措施可选
44、择性和义务发生时间可预测性“三维一体”的匿名化信息动态评估模式。最终通过激活个人信息定义条款所具有的“保护一连接”双面机能,实现保护个人信息主体权益和促进个人信息合理利用的双重目标。注释:A r t i c l e 2 9 Wo r k i n g Pa r t y.O p i n i o n 4/2 0 0 7 o n t h econcept of personal data(WP 136)R.2007:6-24.A r t i c l e 2 9 Wo r k i n g Pa r t y.Wo r k i n g D o c u me n t o nData Protection Is
45、sues related to RFID Technology(WP105)R.2005:8,15.龙卫球个人信息保护法的基本法定位与保护功能基于新法体系形成及其展开的分析.现代法学,2 0 2 1(5)岳林.个人信息的身份识别标准.上海大学学报(社会科学版),2 0 17(6).国家市场监督管理总局、国家标准化管理委员会.信息安全技术个人信息安全规范:GB/T35273-2020EB/OL.全国信息安全标准化技术委员会网,https:/ 0 2 1(5).金耀.个人信息去身份的法理基础与规范重塑.法学评论,2 0 17(3).American Data Privacy and Protect
46、ion Act S 2(8)and(12).最高人民法院指导案例数据库 EB/OL.中华人民共和国最高人民法院网,https:/ Commissioners Office,Anonymization:Managing Data Protection Risk Code ofPracticeR/OLj.2012:25-26,22,18.January15,2023.https:/ico.org.uk/media/1061/anonymisation-code.pdf.2Data Protection Commission,Guidance onAnonymization and Pseudony
47、mization R/OL.2019:8,5.January 15,2023.https:/www.dataprotection.ie/sites/default/files/uploads/2019-06/190614%20Anonymi-sation%20and%20Pseudonymisation.pdf.Khaled El Emam and Cecilia Alvarez.A critical ap-praisal of the Article 29 Working Party Opinion 05/2014on data anonymization Techniques j.Inte
48、rnational DataPrivacyLaw.Vol.5:73-87.Case C-582/14,Patrick Breyer,2016 EU:C:2016:779,para.35.A r t i c l e 2 9 Wo r k i n g Pa r t y.O p i n i o n 0 5/2 0 14 o nAnonymization Techniques(WP216)RJ.2014:3,12-18.高富平.个人信息流通利用的制度基础以信息114责任编辑:陈艳华中国特色社会主义研究2 0 2 3.3识别性为视角.环球法律评论,2 0 2 2(1).Christopher Kuner
49、 et al.Risk Management in DataProtection J.International Data Privacy Law.Vol.5:95-98.德 乌尔里希贝克著,张文杰、何博闻译.风险社会:新的现代性之路 M.南京:译林出版社,2 0 18:1一160.杨雪冬.风险社会理论述评.国家行政学院学报,2005(1).王小钢贝克的风险社会理论及其启示一一评风险社会和世界风险社会J.河北法学,2 0 0 7(1).周战超.当代西方风险社会理论引述.马克思主义与现实,2 0 0 3(3).德 乌尔里希贝克、约翰内斯威尔姆斯著,路国林译自由与资本主义一一与著名社会学家乌尔里希
50、贝克对话 M.杭州:浙江人民出版社,2 0 0 1:12 1.范为.大数据时代个人信息保护的路径重构.环球法律评论,2 0 16(5).丁晓东.论个人信息概念的不确定性及其法律应对.比较法研究,2 0 2 2(5).李怀胜.滥用个人生物识别信息的刑事制裁思路一一以人工智能“深度伪造”为例.政法论坛,2020(4).张新宝.互联网生态“守门人”个人信息保护特别义务设置研究.比较法研究,2 0 2 1(3).刘艳红.智慧法院场景下个人信息合规处理的规则研究.法学论坛,2 0 2 2(6).沈俊翔.数字经济时代个人信息跨境保护的机制研究一一兼论CPTPP视野下人民法院参与全球数据治理的新型路径).法
浙ICP备2021020529号-1 | 浙B2-20240490 
