匿名化与模糊化：隐私保护的有效技术与其潜在挑战

技术变革与隐私保护间的张力贯穿着整个信息技术的发展史。19世纪即时拍照技术与报业的发展已开始侵入私人和家庭生活的神圣领域。塞缪尔·沃伦与路易斯·布兰代斯在《隐私权》一文中曾谈到，大量技术装置的出现可能使得密室的悄悄话变成屋顶公告。^[78]那个年代以报业、即时拍照为代表的新媒体成为最早披露个人隐私的信息技术，这类隐私泄露需要法律对其进行保护。而20世纪60年代，大型计算机的出现开始挑战人们传统的隐私观念，在应对这类隐私威胁方面，人们往往会使用密码技术对隐私进行保护。^[79]迈入21世纪后，随着网络技术的推进与社交媒体的蓬勃发展，个人隐私无处可藏，管理者往往会使用模糊化与匿名化的技术对个人信息进行保护。

匿名化与模糊化技术是指隐藏或模糊数据及数据源。^[80]过去，隐私与新技术之间的冲突往往集中在单一的小数据领域，匿名化与模糊化是常用的隐私保护技术。此技术适用于单一且小型的数据源时，保护效果比较理想。通过对数据进行模糊化、匿名化、加密处理，就能有效防止信息泄露。可是，当我们进入大数据时代后，大数据的大规模、多样性与高速性等特征，已使得传统针对小数据的隐私保护方法在大数据时代产生局限。大数据时代，各类数据都被永久性保存。即便对个人敏感信息进行匿名化或模糊化处理，当分析者拥有其他数据源时，也能将各类数据信息汇集在一起，将原来没有联系的数据关联起来。数据挖掘出的各类信息片段能够相互交叉、重组与关联，重新识别出匿名后的个人敏感信息。如基因序列隐含着个人疾病的情况，有研究者对100000个自愿者出生日期、性别、邮政编码进行匿名化操作，通过把基因序列数据与公共选民信息相融合，能重新甄别出84%～87%的自愿者身份。^[81]哈佛大学教授斯维尼的研究也显示出，当我们知道一个人的年龄、居住城市的邮编与这个人的性别时，我们将这三样数据与已公开的数据库进行交叉对比，便能识别出87%的人的身份。^[82]再比如，美国在线AOL公司在2006年公布了一个包括2000万搜索查询记录，涉及65.7万用户的数据库，公布这些记录的目的是希望研究人员从中得出有趣的见解。这个数据库公布之前，美国在线公司对该数据库进行了精心的匿名化处理，用户名称与地址等个人信息都使用了特殊字符进行替代，这样研究分析人员可以将同一个人的所有搜索查询记录联系在一起进行分析，而这些信息经过技术处理后，并不包含任何个人信息。尽管如此，《纽约时报》还是在几天之内通过对“60岁的单身男性”“有益健康的茶叶”“科尔本的园丁”搜索记录的综合分析后，发现数据库中4417749号用户代表的是来自佐治亚州一位62岁的寡妇塞尔玛·阿诺德。当记者找到她家时，这位老人感叹道：“天啊！我真没有想到一直有人在监视我的私人生活。”^[83]

大数据多样性所带来的多源数据融合与数据之间的交叉验证，已使得传统的模糊化与匿名化技术所能发挥的作用有限。而大数据的高速性与大规模性引发的对数据的实时分析已使得传统的加密技术遭遇巨大瓶颈。大数据时代的信息收集技术、新型储存技术与高级分析技术都使得个人信息保护面临更大挑战。

【注释】

[1]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期，第43页。

[2]第二次世界大战后，联邦德国的国家行政职权主要由州政府承担，因此，到了20世纪70年代早期，每个州政府都建立了自己的公民信息数据中心。黑森州在20世纪60年代通过了一个“黑森计划”，此计划是要建立一个州一级的个人信息数据库。在这个计划的发展实施过程中，个人信息的保密问题成为黑森州议会讨论的焦点。这促成了1970年世界上第一部个人信息保护法——《黑森州数据法》的制定。参见Bennett C.J.，Regulating Privacy：Data Protection and Public Policy in Europe and the United States，Ithaca：Cornell University Press，1992，p.48。

[3]瑞典人口少，国家富裕，政府部门很早就开始运用信息化手段采集个人信息。20世纪40年代末，瑞典已有一套公民身份号码系统。该系统记录了公民的性别、出生年月等基础信息。从1963年起，瑞典政府计划建立一个涉及机动车注册信息、土地、人口、社会服务、工作状况及警察档案的国家数据库。1968年，瑞典政府启动了对全国800万人口的普查与登记工作。尽管当时收集此类信息的用途还相当有限，但该项计划还是引发了人们的普遍担心，舆论普遍认为，如此大规模的对个人信息的集中采集与储存活动，往往会导致政府对公民行为的普遍监视，形成对社会的控制。1972年，瑞典政府暂停了人口普查与登记工作，启动了制定个人信息保护法的调研工作。在此背景下，1973年，瑞典出台了世界上第一部国家级个人信息保护法。参见Burkert H.，“Privacy—Data Protection，A German/European Perspective”，in Christoph Engel & Kenneth H.Keller，ed.，Governance of Global Networks in the Light of Differing Local Values，Nomos Verlagsgesellschaft，Baden-Baden，pp.43-70；亦参Bennett C.J.，Regulating Privacy：Data Protection and Public Policy in Europe and the United States，Ithaca：Cornell University Press，1992，p.48。

[4]参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第211-213页。

[5]德国联邦政府于1982年颁布《人口普查法》，计划在全国范围内对公民进行全面的资料收集，拟定收集的范围包括人口、职业、住所与工作等几乎全部个人资料，这引起了很多人的反感，有人提起了宪法诉讼，要求宣告《人口普查法》违宪。1983年12月15日，德国联邦宪法法院作出判决认定该法有违宪情况，做出具体处理：违宪部分无效，其余部分修改后施行。判决中，宪法法院使用了信息自决权的概念，使个人信息主体的权利成为一项明确的宪法权利。参见罗明通、林志峰、李倩蔚等：《电脑法（下）》，群彦股份有限公司1994年版，第506页。

[6]参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第79页。

[7]《德国联邦个人资料保护法》设置资料保护委员会对国家机关处理个人资料的情况进行监督；同时设置资料保护人对非国家机关处理个人资料进行监督。参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第73页。

[8]损害赔偿机制方面，区分了个人信息的行政侵权行为与民事侵权行为。公法主体在个人信息处理过程中实施的侵害个人信息权利的行为是行政侵权行为，基于行政侵权行为发生的损害赔偿适用无过错责任原则并设有最高限额；而适用民事侵权行为发生的损害赔偿适用过错责任原则，在赔偿范围方面实行全额赔偿。

[9]1974年3月，《世界报》揭露法国政府正悄悄地推行着一项数据库计划。该计划会为每一个法国公民注册一个唯一的身份证号，该身份证号会用于政府公共事务管理领域。与此同时，另一项国家数据库计划也引发了人们的普遍关注与广泛争论。该项计划是法国卫生部推行的旨在减少与帮助残疾儿童的计划。此项计划实施过程中，法国卫生部建立了一个收集所有新生儿童医疗信息的数据库，此数据库会为每一个儿童标上“残疾”或“健康”的标签。这两项计划在法国引发了激烈争论。为此，法国人展开了调查研究，分析使用电脑与信息技术手段处理公民个人信息会给人权保护带来的潜在不良影响。在此背景下，法国于1978年通过了个人信息保护法。参见：Flaherty D.H.，Protecting Privacy in Surveillance Societies：the Federal Republic of Germany，Sweden，France，Canada，and the United States，Chapel Hill and London：University of North Carolina Press，1989，pp.166，222。

[10]英国对信息技术与隐私保护的争论始于20世纪60年代。英国的机动车驾驶执照系统早先由183个地方政府机构分散运作，后来实现联网。驾驶员和机动车执照中心成为全国性的个人信息中心。联网后，中心储存了3300万个驾驶员的信息记录。1971年，人口普查运用了现代科技技术，政府在此次普查中大大扩充了调查范围，这当中涉及很多敏感信息，如种族、职业证书等。此次普查遭到了很多人的反对与抵抗，并在民众中激起了关于公民隐私权的普遍担忧。在这样的背景下，从20世纪70年代开始，英国议会进行了一系列的个人信息保护法的立法和研究调查工作。参见Bennett C.J.，Regulating Privacy：Data Protection and Public Policy in Europe and the United States，Ithaca：Cornell University Press，1992，pp.47-48。

[11]参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第46页。

[12]参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第57页。

[13]Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the freemovement of such data，Official Journal L 281，23/11/1995 P.0031– 0050.

[14]Korff D，“EC Study on the Implementation of the Data Protection Directive”，（2002-10-24）[2015-12-20]，http：// ssrn.com/abstract=1287667.

[15]Directive 2002/58/EC.

[16]Directive 2006/24/EC.

[17]参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第47页。

[18]参见[英]戴恩·罗兰德、[英]伊丽莎白·麦克唐纳：《信息技术法》，宋连斌、林一飞、吕国民译，武汉大学出版社2004年版，第315-318页。

[19]Web 2.0是指用户开始意识到互联网不仅仅是一个接受信息的网络，它还是一个可以生成信息并与同龄人共享信息的网络（通常被称为Web2.0时代）。

[20]Robinson N.，Graux H.，Botterman M.，Review of EU Data Protection Directive，WR-607-ICO，Inception Report，August 2008，p.10.

[21]Wolfgang Zankl，“The European Regulation of the Internet”，（2013-11-18） [2015-02-10]，http：//www．law.ruc.edu.cn/article/？43607.html.

[22]European Commission，Proposal for a Regulation of the European Parliament and of the Council on the protectionof individuals with regard to the processing of personal data and on the free movement of such data （General Data Protection Regulation） COM （2012） 11 fnial– 2012/0011 （COD），Brussels，11.June 2015，http：//data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf.

[23]参见刘雁秋：《网络隐私权保护模式的构建》，载《求是学刊》2005年第3期，第80页。

[24]参见徐敬宏：《美国网络隐私权的行业自律保护及其对我国的启示》，载《情报理论与实践》2008年第6期，第955-957页。

[25]“Online Privacy Alliance will Serve as Vanguard of Industry Efforts to Protect Privacy in Cyberspace”，（1998-06-22） [2015-03-22]，http：//www．privacyalliance.org/news/06221998/.

[26]参见蒋坡：《国际信息政策法律比较》，法律出版社2001年版，第449-450页。

[27]Privacy Alliance，“Our Members”，[2015-02-12]，http：//www．privacyalliance.org/members/.

[28]参见[美]理查德·A.斯皮内洛：《世纪道德——信息技术的伦理方面》，刘钢译，中央编译出版社1999年版，第50-51页。

[29]Schwartz P.，Solove D.J.，“Reconciling Personal Information in the United States and European Union”，California Law Review，vol.102，2014，p.877.

[30]Ibid.

[31]Ibid.

[32]参见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第39页。

[33]即通过在一段时间内收集特定计算机或移动设备在互联网上的相关行为信息，例如浏览网页、使用在线服务或应用等，预测用户的偏好或兴趣，再基于此种预测，通过互联网对特定计算机或移动设备投放广告的行为。

[34]参见《中国互联网定向广告用户信息保护行业框架标准》，[2015-05-24]，http：//www．iac-i.org/Chinese_Internet_targeted_advertising_user_information_protection_framework_standard.pdf。

[35]参见周汉华：《论互联网法》，载《中国法学》2015年第3期，第32页。

[36]参见[美]达雷尔·M.韦斯特：《下一次浪潮：信息通信技术驱动的社会与政治创新》，廖毅敏译，上海远东出版社2012年版，第89页。

[37]参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第43页。

[38]参见《个人信息保护立法为何“停摆”》，（2012-05-23）[2015-05-07]，http：//society.people.com.cn/GB/17958336.html。

[39]参见《尽快启动〈个人信息保护法〉立法》，（2015-03-13）[2015-05-13]，http：//news.163.com/15/0313/09/AKJ0FVDM00014AED.html。

[40]范江真微：《政府信息公开与个人隐私之保护》，载《法令月刊》2001年第5期，第29-42页。(www.xing528.com)

[41]陈起行：《资讯隐私权法律探讨——以美国法为中心》，载《政大法学评论》2000年第64期，第312页。

[42]Video Privacy Protection Act of 1988，18 U.S.C.§2710 （2006）.

[43]Schawrtz P.M.，Solove D.J.，“The PII Problem：Privacy and a New Concept of Personally Identifiable Information”，New York University Law Review，vol.86，issue.6，2011，pp.1829-1830.

[44]California’s Song-Beverly Credit Card Act of 1971，CAL.CIV.CODE §1747 （2009）.

[45]Schawrtz P.M.，Solove D.J.，“The PII Problem：Privacy and a New Concept of Personally Identifiable Information”，New York University Law Review，vol.86，issue.6，2011，p.1837.

[46]Malin B.，Sweeney L.，Newton E.，Trail Re-identification：Learning Who Your Are from Where You Have Been，Carnegie Mellon University，Laboratory for International Data Privacy，Pittsburgh，PA：March 2003.，Tech Report No.LIDAP-WP12.

[47]Sweeney L.，“Simple Demographics Often Identify People Uniquely”，Carnegie Mellon University，Data Privacy Working paper 3，Pittsburgh 2000，https：//www．researchgate.net/publication/267716853_Simple_Demographics_ Often_Identify_People_Uniquely.

[48]Shmatikov V.，Narayanan A.，“Robust De-Anonynimization of Large Sparse Datasets”，“IEEE Symposium on Security and Privacy 2008”，Oakland，18-22 May 2008，p.111.

[49]362F.3d 923，929 （7th Cir.2004）.

[50]Ohm P.，“Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization”，UCLA Law Review，vol.57，issue.6，2010，p.1701.

[51]参见[美]保罗·M.施瓦茨、[美]丹尼尔·J.索洛韦伊：《隐私权和“可以识别个人身份”的信息》，黄淑芳译，载张民安主编：《信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议》，中山大学出版社2014年版，第464页。

[52]Schawrtz P.M.，Solove D.J.，“ The PII Problem：Privacy and a New Concept of Personally Identifiable Information”，New York University Law Review，vol.86，issue.6，2011，p.1846.

[53]Protecting Consumer Privacy in an Era of Rapid Change：Recommendations for Business and Policy Makers，Federal Trade Commission Report，March 26，2012，p.20.

[54]参见《大数据白皮书（2014）》，工业和信息化部电信研究院，2014年5月，[2015-07-11]，http：//www．catr.cn/kxyj/qwfb/bps/201405/P020140512339458774820.pdf。

[55]参见范为：《大数据时代个人信息保护的新思路》，[2015-11-20]，http：//cci.cn.net/kxyj/catrgd/201601/t20160105_2152816.html。

[56]Privacy Online：A Report to Congress，Federal Trade Commission，June 1998，pp.7-8.

[57]White House，“Consumer Privacy Bill of Rights （2012）”，（2012-02-23） [2015-08-20]，http：//www．whitehouse.gov/the-press-office/2012/02/23/we-can-t-wait-obama-administrationunveils-blueprint-privacy-bill-rights.

[58]Reidenberg J.R.，Russell N.C.，Callen A.J.，et al.“Privacy Harms and the Effectiveness of the Notice and Choice Framework”，2014 TPRC 42nd Research Conference on Communication，Information and Internet Policy，Conference Paper，available at ssrn：http：//ssrn.com/abstract=2418247.

[59]Ben-Shahar O.，Schneider C.E.，“The Failure of Mandated Disclosure”，University of Pennsylvania Law Review，vol.159，issue.3，2011，p.682.

[60]Maccarthy M.，“New Directions in Privacy：Disclosure，Unfairness and Externalities”，I/S：A Journal of Law and Policy for the Information Society，vol.6，issue.3，2011，p.440.

[61]Bamberg K.A.，Mulligan D.K.，“Privacy on the Books and on the Ground”，Stanford Law Review，vol.63，issue.2，2011，p.303.

[62]Calo R.，“Against Notice Skepticism in Privacy”，Notre Dame Law Review，vol.87，issue 3，2012，pp.1048-1049.

[63]Gindin S.E.，“Nobody Reads Your Privacy Policy or Online Contract：Lessons：Learned and Questions Raised by the FTC’s Action against Sears”，Northwestern Journal of Technology and Intellectual Property，vol.8，issue.1，2009，p.14.

[64]Reidenberg J.R.，Breaux T.，Cranor L.F.，et al.“Disagreeable Privacy Policies：Mismatches Between Meaning and Users’ Understanding”，Berkeley Technology Law Journal，vol.30，issue.1，2015，pp.39-40.

[65]Solove D.J.，“Introduction：Privacy Self-Management and the Consent Dilemma”，Harvard Law Review，vol.126，issue.7，2013，p.1885.

[66]Bosker B.，“ Facebook Privacy Policy Explained：It’s Longer than the Constitution”，Huffington Post，（2010-05-12） [2015-07-11]，http：//www．huffingtonpost.com/2010/05/12/Facebookprivacy-policys_n_574389.html.

[67]Ohm P.，“Branding Privacy”，Minnesota Law Review，vol.97，issue.3，2013，p.930.

[68]Cate F.，“Protecting Privacy in Health Research：The Limits of Individual Choice”，California Law Review，vol.98，issue.6，2010，p.1765.

[69]Solove D.J.，“Introduction：Privacy Self-Management and the Consent Dilemma”，Harvard Law Review，vol.126，issue.7，2013，p.1891.

[70]Barocas S.，Nissenbaum H.，“On Notice：The Trouble with Notice and Consent”，Proceedings of the Engaging Data Forum：The First International Forum on the Application and Management of Personal Electronic Information，October 2009，Available at SSRN：http：//ssrn.com/abstract=2567409.

[71]ibid.

[72]Maccarthy M.，“New Directions in Privacy：Disclosure，Unfairness and Externalities”，I/S：A Journal of Law and Policy for the Information Society，vol.6，issue.3，2011，pp.428-429.

[73]Solove D.J.，“Introduction：Privacy Self-Management and the Consent Dilemma”，Harvard Law Review，vol.126，issue.7，2013，p.1885.

[74]Big Data and Privacy：A Technological Perspective，Executive Office of the President’s Council of Advisors on Science and Technology，May 2014，paras.4.3.

[75]Cranor L.F.，“Necessary but not Sufficient：Standardized Mechanisms for Privacy Notice and Choice”，Journal on Telecommunications and High Technology Law，vol.10，issue.2，2012，p.278.

[76]ibid，278-279.

[77]Bamberg K.A.，Mulligan D.K.，“Privacy on the Books and on the Ground”，Stanford Law Review，vol.63，issue.2，2011，p.248.

[78]Warren S.D.，Brandies L.D.，The Right to Privacy，Harvard Law Review.vol.4，issue.5，1890，p.195.

[79]参见孟小峰、张啸剑：《大数据隐私管理》，载《计算机研究与发展》2015年第2期，第265-266页。

[80]参见孟小峰、张啸剑：《大数据隐私管理》，载《计算机研究与发展》2015年第2期，第273页。

[81]Sweeney L.，Abu A，Winn J.Identifying participants in the personal genome project by name.Cambridge，MA：Harvard University Data Privacy Lab.[2015-6-03]，http：//dataprivacylab.org/projects/pgp/1021-1.pdf.

[82]Ohm P.，“Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization”，UCLA Law Review，vol.57，issue.6，2010，p.1719.

[83]Ibid，1717-1718.