《信息安全技術 個人信息去標識化效果分級評估規范》對去標識化效果如何分級、如何評估去標識化效果等進行了明確,不僅在保護個人信息安全前提下促進數據共享使用,也意味著去標識化效果評估將有國家標準。
近年來,隨著對個人信息保護的重視,信息數據企業為了合理利用個人信息,通常會采用去標識化技術手段將個人信息處理成普通數據,用于大數據分析和商業應用。如將身份證號碼或手機號碼部分數字打碼,以“*”號代替,就是一種常見的去標識化方式。
將個人信息進行去標識化處理,有利于在保護個人信息安全的前提下推動數據流通使用。但個人信息去標識化效果的判斷標準是什么?如何評估重標識風險?個人信息去標識化到什么程度才能既符合隱私保護要求,又能實現其商業價值?近日,全國信息安全標準化技術委員會公布國家標準《信息安全技術 個人信息去標識化效果分級評估規范》(以下簡稱《評估規范》)征求意見稿并向社會征求意見。《評估規范》旨在重點解決去標識化效果如何分級、如何度量重標識風險、如何評估去標識化效果等問題。
為個人信息去標識化操作提供指引
由國家標準化管理委員會等部門發布的《信息安全技術 個人信息安全規范》(以下簡稱為《安全規范》)確立了去標識化概念,要求個人信息控制者對個人信息去標識化,以降低個人信息安全風險。
2020年3月1日正式實施的國家標準《信息安全技術 個人信息去標識化指南》(以下簡稱《指南》)沿用了《安全規范》中確定的去標識化定義,并對如何開展去標識化活動給出指導,為《安全規范》形成配套支撐。
《中華人民共和國個人信息保護法(草案)(二次審議稿)》第五十一條對個人信息去標識化提出要求,第七十二條對去標識化的概念進行了界定。但如何評價去標識化的效果,目前并沒有統一規定。《評估規范》的出臺將解決上述問題,也意味著去標識化效果評估將有國家標準。
《評估規范》提出了個人信息標識度分級和評定方法,旨在依據個人信息標識個人身份的程度,進行個人信息去標識化效果分級。這不僅能夠評價個人信息去標識化的效果,使得在保護個人信息安全的前提下促進數據共享使用,也可以細化不同分級下個人信息的安全保護措施。
中國信息通信研究院互聯網法律研究中心研究員楊婕說,《評估規范》提出的個人信息標識度分級和評定方法是進行數據分級分類的重要環節。一方面,個人信息標識度分級是保護個人信息的有效途徑。對個人信息的處理,強調“知情同意”并不能夠降低風險,只是將風險進行了轉移,通過去標識化分級,能夠對個人信息處理進行精細化把控。另一方面,個人信息標識度分級是釋放數據價值的關鍵舉措,結合業務目標和個人信息特性,選擇合適的去標識化技術,能夠確保去標識化的個人信息盡量滿足預期目的,實現個人信息的有用性。
寧波大學法學院講師、浙江省法學會網絡法治研究會理事金耀認為,《評估規范》細化了去標識化的具體方法和評估標準,為企業進行個人信息去標識化操作提供更好的指引,將促使更多企業采用去標識化技術實現數據合規管理。
人臉信息或納入直接標識符管理
標識符根據能否單獨識別個人信息主體分為直接標識符和準標識符。
根據《指南》的規定,直接標識符可以在特定環境下單獨識別個人信息主體。姓名、身份證號碼、護照號等就是直接標識符。而準標識符需要結合其他屬性才能識別到具體個人,比如性別、出生日期或年齡、職業、婚姻狀況等。
列舉出常見的直接標識符、準標識符,是《評估規范》要解決的問題之一。雖然《指南》也進行了列舉,但兩者有差異。記者注意到,比較大的變化是,《評估規范》的直接標識符中新增了“全臉圖片圖像和其他任何可比對的圖像”。
上海交通大學數據法律研究中心執行主任何淵認為,將人臉信息納入直接標識符,與人臉識別造成的隱私泄露有關。《評估規范》將人臉信息列為直接標識符,是監管部門對人臉識別進行監管的重要一環,可以規范企業對人臉識別技術的使用。
金耀分析稱,“全臉圖片圖像和其他任何可比對的圖像”具有單獨識別或關聯個人主體的可能性,將其納入直接標識符,使將來通過去標識化技術保護人臉識別信息成為可能。
去標識化效果分為四個級別
為去標識化的個人信息進行分級,進而實現對去標識化效果的評估,是《評估規范》重點解決的問題。根據《評估規范》確定的分級標準,按照重標識風險程度的不同,個人信息標識度被分為1~4級,級別越高,重標識風險越低,即1級數據的重標識風險最高,4級數據重標識風險最低。
按照上述分級,包含直接標識符的數據是1級數據,刪除直接標識符但包含準標識符的數據是2級數據,消除了直接標識符且重標識風險低于閾值的數據是3級數據。對數據進行匯總分析得出的聚合數據,如最大值、最小值、平均值等數據是4級數據。
4級數據是重標識風險最低的信息。這是否意味著所有去標識化信息都要達到4級數據的標準?受訪專家并不這么認為。
楊婕說,分級是為了保護,更是為了更好地利用。不同級別的數據在開發利用數據價值中能夠發揮不同作用。如果全部要求達到4級,那么很多數據的價值就會流失。
金耀認為,4級數據類似于匿名化信息,數據價值有限,并非當前數據產業主要利用對象,并不是所有的去標識化信息都要實現4級數據標準。
哪一級數據最有利用價值?金耀認為,從數據價值看,1級數據價值最高,但風險最高,需要經過技術處理才能使用,因此最有利用價值的是2級數據和3級數據。金耀建議,在2級數據和3級數據使用上,進行區分,如使3級數據不適用“知情-同意”機制即可直接使用,這樣可以降低企業合規成本,也能更好地促進數據利用。
何淵認為,從立法角度看,3級數據和4級數據屬于個人信息范疇。這兩類數據重標識風險低,對其復原需要花費較大成本,企業基于成本考慮可能不會對此類數據進行復原。但即使這兩類數據被復原,由于識別到個人的風險低,對個人信息主體的傷害也不大。
在何淵看來,不同行業領域對數據的需求不同,比如醫療健康數據對數據屬性的要求高,要求保留的數據屬性較多,過度處理會減損數據價值,而金融數據則不需要保留太多數據屬性,可以進行更高級別的去標識化。“從目前來看,在隱私保護及商業價值之間并沒有找到一個有效的方案,尤其是醫療健康領域,處理的邊界目前還不清晰。”何淵說。
應明確去標識化的法律地位
《安全規范》規定,匿名化指對個人信息進行技術處理,使個人信息主體無法被識別或者關聯,且處理后的信息不能被復原的過程。
受訪專家認為,與去標識化后的信息相比,匿名化后的信息不屬于個人信息的范疇,商業價值不大,且將個人信息進行絕對匿名化處理存在較大難度,更有商業價值的是去標識化后的信息。
在楊婕看來,雖然匿名化信息杜絕了個人信息被識別的可能,但在匿名化技術不斷發展的背景下,絕對匿名化難以實現。
何淵也認為,將信息進行絕對匿名化處理可能性并不大。從理論角度看,數據可以跨庫識別,當數據足夠多且投入成本足夠大時,任何數據都能被復原。從數據價值角度看,如果對數據進行完全匿名化處理,數據本身幾乎沒有價值,并不是數據產業所需要的數據。
金耀認為,由于匿名化信息不屬于個人信息,商業價值不大,有商業價值的是去標識化后的信息。
不過,與匿名化信息已有明確法律地位不同,去識別化信息的法律地位并未明確。何淵說,《中華人民共和國個人信息保護法(草案)》(一審稿在第六十九條,二審稿在第七十二條)均在附則中對匿名化和去標識化進行概念界定,但無論是一審稿還是二審稿,均在第四條明確了匿名化信息的法律地位,沒有明確去標識化信息的法律地位,目前去標識化信息的法律地位并不明確。
金耀也表示,不僅是個人信息保護法草案,網絡安全法第四十二條提及的“經過處理無法識別特定個人且不能復原的”信息以及民法典第一千零三十八條提及的“經過加工無法識別特定個人且不能復原的除外”的信息,雖未提及匿名化信息,但根據匿名化的概念特征,均指向匿名化信息,而不是去標識化信息。
金耀認為,目前立法和學界對去標識化的標準、性質、法律效果并沒有統一的認知,明確去標識化的法律地位是當前較為緊迫的事情。
楊婕對此持不同看法。她認為,個人信息保護法草案已經對去標識化進行了概念界定,說明立法者已經關注到去標識化的問題。立法需要完善的是,個人信息去標識化之后,后續處理規則如何設置的問題。例如,是否可以對特定級別的去標識化結果使用匿名化處理,允許數據處理者對其進行更便捷的開發與利用等。