數據治理④個人信息匿名化需建立健全風險評估機制，促進數據合規流通

作為平衡數據價值與主體權益的重要一環，個人信息匿名化通過技術措施有效削弱和去除信息與特定主體的關聯性，一方面能有助于充分發揮信息效用，以非個人信息的形式最大化數據利用效率，在大數據與技術創新中扮演著重要角色；另一方面也能恰當地控制信息風險，在個人信息保護制度中發揮著獨特的功能與價值。

所謂“匿名化”，根據中國《民法典》《個人信息保護法》和《網絡安全法》相關條文，其基本概念為“個人信息經過處理無法識別特定自然人且不能復原的過程”。按照目前的法律法規，個人信息經匿名化處理后所得的信息不屬于個人信息。對于經過匿名化處理后的信息流通與出境，企業無需承擔額外的合規義務。對于企業來說，這意味著企業在處理和利用匿名化信息時，不再需要為滿足個人信息保護的合規要求而承擔高昂的成本。

然而，中國在信息匿名化問題上仍面臨諸多問題。本文旨在分析中國信息匿名化面臨的主要問題及其原因，并提出相應的對策建議，以期為提升數據匿名化水平、促進數據合規利用提供參考。

一、中國信息匿名化面臨的主要問題

1.信息再識別風險高，匿名化無法完全實現。個人信息匿名化要求，匿名化后的個人信息應當滿足“無法識別”、“無法復原”的標準。然而，從技術角度說，并不存在絕對“無法復原”的數據，任何匿名數據都可能會被“去匿名化”，即重新識別到個人信息主體。中國《個人信息安全規范》明確指出，匿名化處理后的數據集（或在與其他數據集匯聚后）具有重新識別出個人信息主體的風險。歐盟第29條數據保護工作組在《第05/2014號意見書》中也提及，“現有的各項匿名化技術都無法徹底消除處理后的信息所殘留的再識別風險”。隨著數據挖掘技術不斷發展，個人信息收集行為日益增加，重識別攻擊也將變得更加容易，數據匿名化面臨不斷增加的風險。在國際上就曾出現過不少匿名化失敗案例。例如，美國在線公司（AOL）曾公布65萬用戶的三個月搜索記錄，并進行了匿名化處理，以推動搜索技術的研究。然而，《紐約時報》成功將部分數據去匿名化，并公開了其中一位用戶的真實身份。這起隱私泄漏事件引起了人們的廣泛關注，美國在線公司因為此事件在北加州地方法院被起訴。

2.匿名化標準執行模糊，企業合規難度大。由于絕對的匿名化在技術上難以實現，而相對匿名化的界限又不明晰，目前匿名化標準的執行具有一定主觀性和模糊性，給企業帶來了較高的合規難度。尤其是在涉及數據出境的案例中，企業常面臨復雜的合規挑戰。在調研中，我們發現部分跨國企業在中國開展業務時，也因為匿名化標準不明確，導致數據出境審批流程繁瑣，增加了運營難度和合規成本。

二、信息匿名化面臨問題的原因

1.匿名化技術目的中本身蘊含再識別的可能性。匿名化處理的技術原理在于刪除、替換或加密個人信息中的直接標識符和間接標識符。然而，個人信息的利用價值與其識別性密切相關，假如將數據處理得過于“干凈”，便會導致企業數據的商業效用喪失，企業匿名化處理的商業目的無法達成。因此，為了滿足匿名信息的實用性，匿名化處理過程中必然會保留一些識別因子，使匿名化處理的再識別的可能性無法被避免。

2.技術發展對數據去匿名化的威脅增大。首先，現代數據挖掘技術變得越來越先進和高效，使得通過各種手段重新識別匿名化數據主體變得更加容易。尤其是機器學習算法的進步和計算能力的提升，使得處理和分析海量數據成為可能。同時，隨著互聯網和大數據的發展，輔助數據來源顯著增加。第三方可以利用多種公開或非公開的數據源進行交叉分析，從而提高去匿名化的成功率。例如，通過社交媒體數據、公共數據庫、商業數據等多種渠道，重構個人身份信息的可能性大大增加。此外，去匿名化攻擊手段也日益多樣化，包括基于統計學方法、模式識別、關聯規則挖掘等多種技術手段。這些技術能夠挖掘數據中的隱藏模式和關聯，從而重新識別出匿名化數據中的個人信息主體。

3.第三方處理者對數據匿名化效果的挑戰。一方面，當第三方擁有對技術和數據庫的較高掌握程度，以及對數據進行再識別的商業或政治動機時，容易大大增加匿名化風險。部分職業第三方處理者往往掌握更為先進的數據挖掘技術，能夠通過“人肉搜索”或行業調查輕松完成再識別行為。相比私人處理者通常只能依賴互聯網、政府或公益機構的公開信息，職業第三方處理者還可以利用商業數據庫中的額外數據資源完成再識別，對數據匿名化產生巨大的威脅。此外，出于政治或商業目的進行身份信息挖掘，也容易帶來巨大的危害。例如，公司可能利用不當收集的用戶個人數據，為大選參選人提供數據采集、分析和戰略傳播。另一方面，信息處理者收集的個人信息不僅用于企業自身經營，還可能出售或者共享給第三方，甚至作為商品打包銷售以賺取更多經濟利益。

4.監管機構缺乏對行業了解，匿名化標準不符合實際情況。當前，監管部門在制定匿名化標準時往往缺乏對具體行業的深入了解，導致所制定的標準難以符合實際操作需求。由于各行業的數據類型和處理方式存在顯著差異，通用的匿名化標準在實際應用中往往顯得過于籠統或不切實際。監管部門未能充分考慮到不同數據處理場景中的技術細節和操作復雜性，使得企業在實踐中難以有效遵循這些標準。

三、信息匿名化問題的相應對策

1.完善制度建設，控制匿名化風險。一是建議建立健全風險評估機制。匿名化機制應兼顧保障個人信息安全與促進數據高效利用。絕對匿名化難以實現，因此，應側重“相對匿名化”，即在特定范圍和條件下原始信息不可見。在此基礎上，建議針對區分不同等級的匿名化信息，采取不同程度的資源傾斜和政策保護。根據匿名化信息的體量、內容敏感性和重要性、被再次傳播的可能性等指標，將匿名化分析劃分為不同風險等級，例如高風險、中風險和低風險等級。對于高風險匿名化信息，建議采取更為嚴格和保護性的措施，例如增強數據安全管理、加強監督檢查等；對于中低風險匿名化信息，則可以相應降低合規要求和管理成本，以促進數據的合規流通和利用。二是應進一步推廣第三方風險評估，落實配套保護措施。2021年，上海市市場監督局發布并實施了上海市地方標準《數據去標識化共享指南》，主張通過可信的第三方平臺（例如數據交易中心），在數據共享的過程中實施配套控制與保護措施，促進數據合規流通。

我們建議各地推廣這一地方性法規，加強第三方風險評估的應用。具體措施方面，首先要建立和完善第三方評估機構的注冊和認證制度，確保評估機構的獨立性、專業性和公正性。

其次，鼓勵數據處理者在數據共享過程中選擇合格的第三方評估機構，進行數據安全風險評估和合規性審核，以確保個人信息安全不受侵犯，有效防范數據泄露和濫用風險。

最后，推動相關部門和行業組織制定更為具體和可操作的技術標準和實施指南，并加強對第三方平臺的監管，確保其在數據共享過程中嚴格執行安全控制和保護措施，維護數據主體的合法權益。

2.監管機構提升自身職能。監管機構應增進與企業相關部門交流溝通，深入了解行業發展現狀及其面臨的合規挑戰。更好地理解和評估企業在數據管理和隱私保護方面的實際操作情況，從而制定更為精準和有效的監管措施。此外，監管機構應該建立更專業的技術團隊和法律團隊，從而更好地理解和評估企業的實際操作情況。

3.企業加強內部管理，完善知情同意機制。一是加強企業內部管理與安全防控。目前中國《個人信息安全規范》規定了控制個人信息企業的責任擔當、記錄管理、安全評估、人員培訓管理、安全審計等內部機制的組織性標準。在現有制度基礎上，企業應根據自身行業情況，進一步細化內部管理制度，確保經手的個人信息不向未經核查的第三方透露。二是完善知情同意，分散風險。企業應與用戶之間建立更加明確和有效的知情同意機制。告知用戶信息可能面臨去匿名化的風險。知情同意的行為反映了個人信息主體對去匿名化風險的主觀預期，有助于降低企業達到有效匿名化標準的難度。此外，企業應對用戶進行相關教育，增強用戶對個人信息處理過程的理解和認知。同時，定期進行滿意度調研，收集用戶對數據處理措施的反饋意見，以改進和優化匿名化處理的實施方式。

（本文系復旦大學發展研究院《數據跨境流動、個人信息保護與數字韌性建設》課題系列成果。報告主編：江天驕系復旦大學發展研究院副教授、金磚國家研究中心副主任，姚旭系復旦大學發展研究院青年副研究員、上海數據研究院特聘研究員，報告行業導師：陳文昊系植德律師事務所數據合規業務合伙人、合規部負責人，報告組成員：金子韞、吳致遠、邢嘉耀、姚媛、馬怡寧、陳梓培、郎瑾怡、張桐語均來自復旦大學）