个人信息认定标准的适用困境与出路——基于风险社会理论的解释路径.pdf
《个人信息认定标准的适用困境与出路——基于风险社会理论的解释路径.pdf》由会员分享,可在线阅读,更多相关《个人信息认定标准的适用困境与出路——基于风险社会理论的解释路径.pdf(9页珍藏版)》请在文库网上搜索。
1、106-个人信息认定标准的适用困境与出路一美基于风险社会理论的解释路径口张婷【摘要 作为数字经济发展核心落脚点之一“数据资源”的重要组成部分,个人信息的有效利用事关数据要素价值激活和数字经济红利释放双重目标的实现。个人信息是建构个人信息相关制度措施的基石概念,明确其规范构造是确保个人信息法律治理体系有序融贯的基本前提。这一法律概念解构所面临的“识别性要件失效风险”和“匿名化规则不确定性”等困境,给现行个人信息保护与利用法律规范的实效化带来了明显的梗阻感。对此,可以从风险社会理论出发,在分析个人信息概念的功能定位和匿名化技术的风险本质的基础上,将“场景化+动态化”风险控制理念合理嵌入个人信息概念
2、认定之中,进而建立“双化协同+三维一体”的个人信息概念评价体系,以弥合技术发展不确定性和法律规范稳定性之间的张力。【关键词个人信息;风险社会理论;识别性;匿名化;风险管理中图分类号 DF6文献标识码 A文章编号】10 0 6-6 47 0(2 0 2 3)0 3-0 10 6-0 9【作者简介 张婷,中国政法大学刑事司法学院讲师一、问题的提出2022年12 月2 日,中共中央、国务院印发的关于构建数据基础制度更好发挥数据要素作用的意见明确提出,在加大个人信息保护力度的同时,促进个人信息合理利用,进而实现激活数据要素潜能、赋能数字经济发展的战略目标。个人信息概念是建构个人信息法律治理体系的基本范
3、畴,不仅关涉个人信息领域基本法与其他部门法之间的界域衔接,而且决定着个人信息的可利用范围,因此这一概念的厘定自然就成为实现个人信息合理利用的题中之义。中华人民共和国个人信息保护法(以下简称为个人信息保护法)第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。从界定方法来看,立法者所采纳的究竟是识别说、关联说、择一说还是综合说,不无争议。我国信息安全技术个人信息安全规范(以下简称为个人信息安全规范)附录A中规定,在判定某项信息是否属于个人信息时,应当考量“识别”和“关联”两种路径。前者是由信息本身的特殊性识别出特定自然人,即从信息
4、到个人;后者是由已知的特定自然人在其活动中产生的信息,即从个人到信息。只要符合上述任意一种情况就应认定为个人信息。与择一说相对的是欧盟一般数据保护条例(以下简称为GDPR确立的综合说。欧盟关于个人数据处理保护与自由流动指令(9 5/46/EC)第2 9 条成立的欧洲收稿日期:2 0 2 3-0 4-2 7本文系2 0 2 0 年度教育部人文社会科学研究项目“德国网络犯罪防控机制的实效化路径研究(项目编号:2 0 YJC820063)以及中国政法大学青年教师学术创新团队支持计划(项目编号:2 0 CXTD03)的研究成果。107个人信息认定标准的适用困境与出路数据和隐私保护咨询工作组(以下简称为
5、“第2 9 条工作组”)在第4/2 0 0 7 号关于个人数据概念的意见中指出,个人数据概念需要同时具备信息价值、关联属性、识别属性和自然人属性。关于关联性,第29条工作组认为如果数据涉及个人的身份、特征或行为,或者此项信息会对个人所受到的对待或评价方式产生影响,那么该数据就与个人相关。2 就关联的内涵而言,虽然个人信息安全规范和CDPR的规定相一致,但二者对其效用功能有不同的要求。在个人信息安全规范框架下,关联和识别是两种并行不的界定方法,从风险管控的角度来看,该规范对个人信息的保护范围更加广泛,而欧盟所强调的“关联性”是一个相对开放的范围判断,在此基础上再通过“识别性”对个人数据概念的外延
6、进行一定程度的限缩。笔者认为,在个人信息保护法律体系中,个人信息保护法是与民法、刑法等部门法具有并存地位的新型领域基本法,该法的立法预设在保护个人信息权益之余,还负有促进个人信息流通和利用的任务,以最大化程度防范风险为目标的择一说明显无法契合这一立法意图,故而不可取。至于识别说理论,已有学者对其是否应该成为划定个人信息法律保护范围的必要条件甚至是唯一条件提出过质疑,此处不再赘述。综上,与将个人信息权益定位为基本人权的“欧盟模式”和以鼓励个人信息积极利用为侧重的“美国模式”相同,我国个人信息保护法中的个人信息概念也应采用综合说的解构思路,即以“识别可能性”为构成要件、“匿名化处理”为消极要件的二
7、元复合规范解释结构。当个人信息处理者能够依靠合理可使用的手段识别到数据主体时,该数据属于个人信息,而如果数据与自然人之间的这种合理关联关系一旦消失(即经过匿名化处理),那么该数据就不再属于个人信息保护法所规定的个人信息的范围。具体而言,具有可识别性的个人信息可以分为身份信息、特征信息和行为信息三种类型。“识别可能性”是目前各国立法例所普遍认可的个人信息判断标准。以GDPR为例,其序言第2 6 条明确规定了“可识别性”的认定思路:首先,需要验证相关数据能否达到清晰指向特定自然人的程度。其次,如果对第一个问题得出否定结论,那么,是否还存在可获取的、能够用于辅助判定的其他信息。这里主要考虑以下两种情
8、形:其一,该数据能否通过可解析标识符与特定自然人产生联系以及这种解析方案是否合理可行。这里需要考量的因素包括但不限于所需费用、时间成本、可预期的技术发展以及竞争对手的动机、能力和可用资源。其二,该数据与特定自然人之间是否存在其他具有可解释性的关系。比如借助更为先进的分类、链接或者推理方法而使得相关数据与特定自然人之间产生信息关联。如果确认存在这样的可解释性关系,那么参照第一种情形,再进一步对这种可解释性方法进行可行性评估。概言之,只有当数据控制者或者第三人用于识别特定自然人的方法具有合理的可能性时,该数据才能被认定为个人数据;反之,若有任一要素有损信息关联的合理性的话,那么该数据都不属于GDP
9、R法定意义上的个人数据“匿名化”是数据挖掘中重要的隐私安全保护手段,与“可识别性”共同组成了个人信息概念的两个法定评价维度。根据个人信息保护法第7 3 条规定,匿名化是指个人信息经过处理达到无法识别特定自然人且不能复原的过程。这一规范思路与网络安全法第42 条一脉相承。与之不同,个人信息安全规范则是基于择一路径要求匿名化处理需同时排除识别性和关联性。如前所述,倘若采用择一说,则无法同时并重强化个人信息保护与鼓励个人信息利用两个立法目标,故而对于“匿名化”的判定只需要分析待判数据是否阻却可识别性的上述情形即可。这里需要注意的是,“匿名信息”不等同于“匿名化信息”,其自始欠缺与自然人的关联性且原始
10、数据泄露后不存在再识别风险。此外,我国学术界对于匿名化究竟意味着“去标识化”还是“去身份化”,也一直存在持续性争议。“去标识化 是美国数据隐私保护法律规范体系中普遍使用的概念。在州法层面,根据加利福尼亚州消费者隐私保护法第1798.140条(h)和第17 9 8.18 5条(k)之规定,个人信息不包括去标识化的消费者信息或者聚合消费者信息,其中,去标识化是指使用已识别信息的企业通过采取禁止重新识别信息的技术保障措施和相应业务流程,使得剩余信息达到无法合理地识别、链接、描述或者直接或间接地与特定消费者产生关联的状态。在联邦层面,美国参众两院于2 0 2 2 年6 月3 日发布的美国数据隐私和保护
11、法(草案)也沿用了去标识化制度。8 对于这一概念,我国个人信息保护法也作出了明确界定,即通过处理使个人信息在不借108中国特色社会主义研究2 0 2 3.3助额外信息的情况下无法识别特定个人。通过上述交叉对比可知,“匿名化”和“去标识化”只是不同法域在追求保留个体颗粒度前提下降低数据集中信息与信息主体之间关联程度从而实现个人信息场景化利用目标时所采用的不同表述,两者同为个人信息/数据概念的阻却要素。至于“去身份化”,结合上文所述,显然无法涵盖所有具有可识别性的个人信息类型。自2 0 2 1年11月1日个人信息保护法生效以来,最高人民法院共发布了4件侵犯公民个人信息的指导性案例,案例的核心内容均
12、涉及具体个人信息类型的定性问题。指导性案例19 2 一19 5号虽然分别对人脸信息、居民身份证信息、社交媒体账号以及“手机号码+验证码”是否属于“个人信息”作出了回应,但未从其所属类型、风险等级等要件要素层面对涉案个人信息展开具体释证,不免引发学界对个人信息范围过度扩张的担忧。考察个人信息概念的规范构造不难发现,目前我国司法适用中出现的简化涵射现象在很大程度上可以归因于这一概念解构所面临的现实困境,而这一问题的继续存在还将对个人信息安全风险的预防控制和个人信息价值属性的共治共享造成不良影响。有鉴于此,本文将从上述个人信息的二元认定模式人手,在厘清识别性失灵风险与匿名化不确定性的基础上,从风险社
13、会理论的角度提出一种融理论考辨与现实观照于一体的个人信息概念解释路径。二、积极要件:个人信息“识别性”的失效风险通过上文对于GDPR中个人数据“识别性要件”界定思路的阐释可以发现,其所采用的是一种基于风险预防的管理方法,即在存在合理可识别性风险的情况下,数据就应当被认定为个人数据。然而,关于如何阐明这一要件,除微观层面的识别目标、识别概率、识别风险等问题需要厘清之外,还存在一些其他因素可能会干扰识别性要件的效能释放。判定个人信息时可能面临的首要失效风险是可识别性合理限度的不确定性难题。关于“合理性”的规范构造,目前各国在司法实践中已形成“主观解释立场 和“客观解释立场 相互对立的局面。主观解释
14、论认为,在评判数据可识别性之合理性时,识别主体,尤其是具有相关数据访问权限的主体,其认知限度内的所有因素都应当被纳入考量范围,坚持这一解释路径的典型代表是英国信息专员办公室(TheUK Information Commissioners Office,以下简称为 I-CO)。IC O 认为,数据合理可识别性的评判应当以数据控制者和具有先验知识的第三方所掌握的知识储备为限。与之相对,客观解释论则主张扩大评估对象范围,既应包括当前的数据持有者,也要兼顾未来潜在的数据持有者。以爱尔兰为例,爱尔兰数据保护局(The IrishDataProtection Authority,以下简称为DPA)就是以潜
15、在数据持有者身份的确定为出发点,继而在此基础上结合数据的敏感程度及其价值属性对可识别要件的合理性作出综合判断。其次,由于识别能力会因识别主体不同而有所差异,识别性要件适用对象的判定自然成为第二个需要研究的问题。目前国外司法实务关于这一问题的探讨主要聚焦于以下三种学说之辨。第一种是欧盟立法确立的“平等关系主体说”。根据GDPR序言第2 6 条,在确定某一自然人是否可被识别时,应考虑数据控制者或其他人可能用于直接或间接识别该自然人的所有合理方式,这一规定就为将任何其他第三方纳入识别主体评估范围预留了空间。对此,有学者提出质疑,“如果采取这种绝对意义上的识别主体概念,那么GDPR将会失去其风险管理的
16、基本意义”。第二种是源自欧盟司法实践的“单一主体说”,即仅限于从数据控制者的视角进行可识别性评估。例如,在帕特里克布雷耶诉德国联邦政府一案中,欧盟法院在判决时仅审查了该案中实际数据控制者一一德国联邦政府是否存在将其收集的访问者动态IP地址用于身份识别的事实,而未将其他互联网服务提供商纳入待考察识别主体范畴。第三种是ICO提出的“主动人侵者说”。该学说认为,对于既具有识别他人身份动机又具备访问互联网、图书馆或其他公共文件等资源能力的主体,如果其发起攻击的难易程度介于欠缺必备计算机技能的普通网民和掌握娴熟黑客技术的专业人员之间,那么就应归属于识别主体的范围。法律解释的一致性是司法裁判一致性的前提,
17、司法的一致性关乎法律制度创设目的的实现。在相应司法解释尚未出台、相关学界通说尚未形成的情况下,对个人信息概念识别性规范要件之合理性和适用对象的不同理解,不仅可能导致司法适用的差异和困难,使得信息主体对个人信息法律保护机制109个人信息认定标准的适用困境与出路的信任度降低,甚至可能减损相关法律规范的确定性和可预测性,造成个人信息保护义务责任主体产生认知偏差,无形之中增加匿名化处理的再识别风险。三、消极要件:个人信息“匿名化”的不确定性承上所述,匿名化不仅是关乎个人信息保护制度中诸多规则适用的核心概念,比如规定在个人信息保护法第6 条的“数据最小化原则”,更是判定个人数据资源可否二次利用的关键指标
18、。然而,在司法实践中,匿名化规则的解构却面临着法律、技术乃至现实层面的多重困惑。从法律角度来看,匿名化信息的法律定义缺乏确定性。从技术角度来看,伴随数据采集点的不断增加和数据分析算法的日趋完善,个人信息与非个人信息之间愈加模糊的边界使得匿名化判断愈加困难。最后,从大数据技术泛在化应用现状可以预见,处于个人信息与匿名化信息中间地带之数据的重要性会日渐凸显,这无疑也会给匿名化规则的理解和适用带来新的挑战(一)匿名化规则的法律不确定性从法学角度来说,匿名化是个人信息去识别化的技术手段之一,对于如何实现这种技术手段的规范化解构并不存在一种统一的共识性规则,匿名化的要素构成、时间维度等都展现出不同程度的
19、不确定性。首先,达致法律层面的匿名化需要满足相关条件。关于如何确定是否已实现去识别化,第2 9 条工作组提出了三个消极要素:(1)区分性(singling out),是指从数据集(由与数据主体相关的不同记录组成的集合,其中每条记录包含着与一个数据主体相关的不同属性值中分离出能够识别特定自然人的部分或者全部记录的可能性;(2)链接性(linkability),即当存在至少两个数据集包含关于同一数据主体的信息时可能产生的风险;(3)推定性(inference),是指以显著的概率从一组属性值中推导出某个属性值的可能性。经过匿名化处理的信息,如果仍然可能通过相关性分析等方法使两个记录与同一组自然人进行
20、匹配,那么处理后的数据只是阻却了区分性,却仍然具有链接性。只有当以上三种“再识别风险”均被排除在外时,原本属于法定范畴的个人数据才可以按照匿名化规则不再适用GDPR。不难看出,上述观点试图以否定识别性的必要要素来确定匿名化技术的法律构成,但是实际上制造了新的不确定性,因为即便在实现区分性和链接性双重阻隔的情况下,推定性也仍然可能存在。其次,如上文所述,GDPR在设计“识别可能性”的认定思路时,已将“技术发展”这一客观因素考虑在内,那么随之而来的就是信息匿名化时间维度的设定问题。不同的时间维度将直接影响对判断匿名化处理合规与否时间节点的选取结果,进而影响对数据性质的认定。对此,第2 9 条工作组
21、明确指出,评价匿名化处理结果时,既要参考“处理时的技术水平”,也要考量“数据处理期间的技术发展可能性”。这就意味着,对于数据处理期间以及数据留存过程中可能出现的再识别风险,数据控制者从一开始就负有预见义务,并且应当采取相应的措施加以避免或者做好预防准备工作。但是,这种制度设计能否实现事先风险防范是值得怀疑的。第一,技术发展可能性的概念和范围很难确定。例如,对已经问世但尚未应用到某特定领域的新兴技术,该领域的数据控制者是否应当为其可能发生的再识别风险承担相关义务,以及在确定某种加密技术能否将个人数据转化为匿名化信息时,是否应当将目前正在探索中的技术应用(比如量子计算)纳人讨论范围,目前并无共识。
22、第二,讨论信息匿名化时间维度的目的,是为了调和匿名化信息再识别风险控制与数据共享再利用之间的紧张关系,而第2 9 条工作组的上述意见无异于缘木求鱼。事实上,随着大数据、云计算等技术行业泛在化程度的不断加深,数字化进程会继续加速,数据持有者可获得数据集数量的绝对增长必然会导致匿名化数据集与其他数据集匹配度的提高,进而产生匿名化信息被重新识别的风险,因此,此处时间维度解构的关键应当在于如何合理限定数据的可用性,而不是着眼于技术发展的可能性。(二)匿名化信息的剩余识别风险1.技术局限:匿名化技术固有风险放大法律不确定性根据第5/2 0 14号关于匿名化技术的意见(以下简称为匿名化意见),常见的匿名化
23、处理技术主要有六种:(1)添加噪声,指通过修改数据集中的属性,使数据属性在保持总体分布不变的同时降低精确度;(2)置换,即通过打乱记录中的属性值,使数据110中国特色社会主义研究2 0 2 3.3集在保留属性分布准确的同时将部分属性值人为地链接到不同数据主体;(3)差分隐私,即通过随机应答的方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值,从而使第三方无法根据输出的变化对单条记录的更改或增删作出判断;(4)聚合与K-匿名化,指将数据主体与至少K个其他个体分组,并保证每个个体具有相同的属性值,从而防止数据主体被分辨出来;(5)L-多样性,即通过确保每个准标识符(与某个数据主体或一组数据
24、主体相关的属性组合)下的敏感属性至少有L个不同的属性值,使得可能访问原始记录的第三方最多只能以1/L的概率确认某个数据主体的敏感信息;(6)T-接近性,即在相同的准标识符类型组中,保持所涉敏感信息分布尽量接近于整体的敏感信息分布,不超过值T。不可否认,在最大化释放数据价值和降低相关个人风险这两方面,匿名化都具有重要的实际意义,但每种匿名化技术在创建匿名数据集时也伴随着明显的固有剩余识别风险。在噪音添加过程中,所修改属性可能因为与数据集中其他属性缺乏逻辑关联而被第三方过滤掉;置换方案可能因为被置换属性值选择错误或具有随机性而失效;在平衡隐私保护与有效应答之间微妙关系的前提下,差分隐私方案可能面临
25、数据集中属性修改不充分的挑战;聚合与K-匿名化方法可能因准标识符缺失、参数K阈值太小或分组个体权重不均等原因而影响其匿名化效果;至于L-多样性和T-接近性,两者都是通过将原始敏感属性值与其他敏感属性相混合来实现个人数据保护目的的方法,其对属性值数量之充足性和敏感属性值分布相似度的过度依赖都潜藏着不可避免的失效风险。总之,匿名化处理技术在去识别性方面所表现出的不稳定性进一步放大了匿名化规则不确定性的一面。2.认知分歧:绝对零风险主义与相对低风险主义之争匿名化本质上是与风险相伴的信息技术处理活动,所以,如何理性认识匿名化处理的剩余风险就成为适用匿名化规则不可回避的问题。关于匿名化剩余风险的可容许性
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息 认定 标准 适用 困境 出路 基于 风险 社会 理论 解释 路径