摘要:在大数据时代,个人信息匿名化是维持个人隐私权益、社会公共利益、企业经济利益之间平衡的重要手段之一。个人信息匿名化综合了技术与法律,作为一种数据处理技术及处理行为对传统规制体系提出了挑战。欧盟已经形成以多元主义为核心的个人数据匿名化规制治理,在规制规则、规制机构、规制标准、规制手段等方面积累了丰富的经验,对当前我国个人信息匿名化规制治理具有重要参考价值。我国应尽快出台《个人信息保护法》,构建个人信息匿名化制度。通过设置个人信息匿名化专责机构,制定个人信息匿名化技术标准,完善个人信息匿名化认证制度,综合运用行政约谈、行政处罚等规制手段,实现良善治理,同时强化私人部门、行业协会的自我规制。
关键词:大数据;个人信息;匿名化;比例原则;数据流通;风险评估
1问题的提出:我国个人信息匿名化法律标准的追问
伴随科学技术的迅猛发展,互联网、智能移动终端的普及,数据化生存已逐渐成为人类社会运行的常态,数据在商业活动、科学研究、社会治理等领域发挥着重要作用,甚至成为人类第四次工业革命的动力。“大数据必然是聚合了围绕个人的个体性的数据”,数据已成为支撑这个时代“创新、竞争、生产力”的重要资源。企业运用数据挖掘和分析技术对收集的数据对消费者的购买偏好和消费行为进行预测分析,生成更有针对性和有效性的营销策略。政府部门也可借助大数据分析降低执法成本,提高行政效率。数据在带来信息时代福利的同时亦会带来个人隐私泄露、国家数据安全、企业商业秘密受侵犯等诸多问题。对公民个人而言,个人信息是个人在社会中标识自己、建立联系的工具,也是社会了解和识别每一个体并开展活动的依据。个人信息不仅有识别特定人的身份的功能,同时也有被不当使用时可能侵害个人权益,危害人的尊严和自由,甚至带来人身和财产安全的风险。加之“云计算”、“区块链”、人工智能等技术的广泛运用,个人的隐私风险也不断加剧。在数据开放、数据共享成为必然趋势的情况下,为维持个人隐私权益、企业经济利益与社会公共利益之间的平衡,我们需要对个人信息进行匿名化处理。根据司法实践的情形来看,我国的《网络安全法》第42条的但书条款已经构成我国个人数据流通中的法律基础,但具体匿名化法律标准的缺失很有可能使该条款沦为“僵尸条款”。学界对个人信息匿名化的关注,主要集中在技术领域,从法学角度研究该问题尚处于初期阶段。个人的身份信息包括但不限于名字、生日、住址、信用卡号或者社会保险号等,有部分学者认为匿名化是让所有能揭示个人情况的信息都不出现在数据集里,显然这种观点要求的“匿名化”过于全面化,实践中依靠现有的科学技术难以实现。适度的匿名化意味着对个人数据进行过滤,以达到最大限度减少有能力的“攻击者”在公开信息中识别特定数据主体的风险。但何为适度的匿名化?即不会为目的而不择手段,也不会采取总成本高于总收益的行为或者不会因为社会公共利益、经济利益而去过分戕害人的尊严和自由。是故,本文拟就比例原则下的个人信息匿名化之具体因素进行展开,以期能为个人信息匿名化的法律标准制定及法律效果的实现提供参考。
2规制治理:大数据时代规制体系的新模式
2.1规制治理的基本内涵
大数据时代,传统规制(regulation)理念也逐渐发生变化,规范发展的意向性(intentionality)从规制的定义中删除,任何对行为产生影响的事物都可以被视为是“规制性的”。此外,可能涉及法律或准法律规范但没有监督和执行机制的大量活动也可能属于规制的定义范围。因此,英国学者科林·斯科特(ColinScott)将“规制”定义为“规制领域内各组织之间相互依存,而这种关系恰是规制策略和规制活动所针对的对象,同时这些行为主体可能采取哪些行动,又在很大程度上受到该领域文化制度与组织形式的影响”。斯科特的规制理念与“新治理”(newgovernance)、“新规制国家”(newregulatorystate)等理论密切相关,主张从多元主义视角重新审视规制过程。在此背景下,规制治理逐渐成为学术研究与政策辩论中的重点。
以色列学者莱维·福尔(Levi-Faur)认为,规制治理是指利用多元的治理主体,引入多元的治理工具,通过更好、更公平、更有效和更具参与性的治理体系,来实现规制目标。丹麦学者保罗·卡亚尔(PoulF.Kjaer)和安特耶·维特林(AntjeVetterlein)认为,规制治理简而言之就是通过规制进行治理,它是一个布尔迪厄意义上的“场域”(field),因为它将提供一个框架,用以捕捉治理结构与规制产生、运行这一微观过程(micro-processes)之间的相互关系。前述学者的观点与荷兰学者利·汉彻(LeighHancher)、迈克尔·莫兰(MichaeMo-ran)等人提出的规制空间(regulatoryspace)理论有异曲同工之妙。在规制空间中,各种规制资源呈现碎片化状态,规制者未必凌驾于被规制者之上,多元化的规制主体不同程度地分享着规制资源,并且各规制主体之间横向存在复杂、多变的关系,彼此相互依赖、相互协商。由上述分析,笔者认为,规制治理是以多元主义为治理理念,通过正式或非正式的、刚性或柔性的、内部或外部的制度或机制,借助治理结构和权力分配,来协调规制机构与所有利害关系人之间的关系,确保规制决策的公正性与回应性,以实现预定的规制目标。
3独立监管机构
如果说欧洲数据保护委员会的任务是确保欧盟各成员国个人数据保护的一致性,那么,独立监管机构则是为了确保各成员国内部个人数据保护的一致性,而数据保护官则是作为独立监管机构监督个人数据匿名化的重要连接点。根据《一般数据保护条例》的规定,每个欧盟成员国至少应该有一个独立监管机构,该监管机构是一个独立的公共机构,如果成员国设立多个监管机构,则应通过法律机制确保这些监管机构的有效参与一致性。独立监管机构具有以下基本职责:监督《一般数据保护条例》的适用,保护个人数据处理范围内数据主体的基本权利和自由,促进欧盟内个人数据的自由流动。独立监管机构应该促进公众对与个人数据匿名化处理有关的风险、规则、保障和权利的认识与理解;促进数据控制者、数据处理者对自身匿名化义务的理解;可以建立个人数据匿名化认证机制、设置数据保护标识、批准认证标准。
结语
匿名化在现代数据处理中发挥着关键作用,构成了存储、披露、共享个人信息标准程序的核心。个人信息匿名化综合了技术与法律,处于动态发展之中。传统规制体系已经难以满足技术发展所带来的规制需求,我们应该转向以多元主义为核心的规制治理,努力实现规制规则、规制机构、规制手段、规制过程的多元化。欧盟已经初步实现了个人数据匿名化规制治理,并积累了大量有益经验,值得我国参考借鉴。无论是在规制规则、规制机构方面,还是在规制标准、规制手段方面,欧盟都已经基本实现了多元化,对于维持个人隐私保护与激发数据效用之间的平衡意义重大。此外,欧盟个人数据匿名化规制治理是以独立监管机构为骨架,这既是其特色,也是其关键,与此相对比,我国并不具备独立监管机构进行规制的制度传统与法制传统,因此,我们在借鉴欧盟经验时,必须注重制度本土化的基础及效果。个人信息匿名化已经成为我国大数据治理的重要课题。为了实现个人隐私权益、社会公共利益、企业经济利益之间的平衡,我国需要从各方面完善个人信息匿名化的规制治理。作为承担权利保障义务的政府部门,需要完善个人信息匿名化的规制规则、规制机构、规制标准、认证机制以及规制手段,实现善良治理。作为追求经济利益的私人部门,需要完善行为准则、培训机制,建立风险管理机制,实现自我规制。作为行业代表的行业协会,要利用各种“软法”规范,监督个人信息匿名化的实践,发挥自我规制作用。
参考文献
[1](英)洛伦佐·费尔拉蒙蒂:《大数据战争:数据在全球市场的使用与滥用》,张梦溪译,北京:中华工商联合出版社2018年版.
[2]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,(3):84.
作者简介:
李嘉唯,男,黑龙江哈尔滨 (1998.04.03)中国人民武装警察部队警官学院。
徐浩源,男,湖北宜昌(1998.05.25)中国人民武装警察部队警官学院。
吴文杰,男,四川峨眉山 (1998.05.07)中国人民武装警察部队警官学院。