个人数据、非个人数据与数据保护

### 个人数据、非个人数据与数据保护 #### 1. 数据匿名化的困境 在当今数字化时代，数据的使用和保护成为了重要议题。曾有一项为期三个月的分析，能够追踪一个国家内 10000 家商店中 110 万人的消费情况。银行虽未提供姓名、信用卡号、商店地址或交易的确切时间，仅给出了消费金额、商店类型和代表每个人的代码等元数据，但由于每个人的消费模式独特，这些数据具有很高的“独特性”，适合进行所谓的“关联攻击”。只需将这些元数据与外部来源的个人信息相关联，就能追踪到每个人的身份。 如今，人们每天都愿意在不同的交互系统中分享大量个人数据。这些数据被收集到数据库中，为了广告、公共安全等不同目的进行交换和组合，最终可能收集到大量的识别元素，理论上可以将每一条数据与一个人重新关联起来。在日益数字化的环境中，认为数据匿名化能“像擦除一样永久”只是一种乌托邦式的想法。 WP29 的“绝对方法”可能需要废除匿名信息的概念，并重新审视整个基于“个人数据”和“非个人数据”区分的欧盟个人数据保护体系。不过，有观点认为，“即使数据匿名化存在小的重新识别风险，也可能比让数据保持初始状态更能有效保护数据主体的权利和利益”。 相比之下，《通用数据保护条例》（GDPR）所采用的基于风险的方法似乎是判断数据是否属于个人数据的有用标准。即使数据已被匿名化，也始终存在重新识别的残留风险，因此需要采取两步走的方法来应对风险：首先对未来进行预测，然后根据预测做出决策。利用这些标准，可以识别不同领域中不同程度的重新识别风险，并据此设计不同的隐私保护模式。 #### 2. 化名数据与去标识化数据 GDPR 将处理后降低与个人关联性的数据称为“化名数据”而非“匿名数据”。根据 GDPR 第 4(5) 条，“化名处理”是指对个人数据进行处理，使得在不使用额外信息的情况下，个人数据无法再归属于特定的数据主体，且这些额外信息需单独保存，并采取技术和组织措施确保个人数据不会归属于已识别或可识别的自然人。这一定义首次出现在 GDPR 中，而在 95/46/EC 指令中并未涉及。 需要注意的是，GDPR 不仅仅描述了一种技术或过程，它要求达到一种最终的“成功状态”，即数据在不使用额外信息的情况下无法归属于个人，且额外信息要受到“技术和组织措施”的保护以防止重新归属。因此，WP29 认为“化名处理不是一种匿名化方法，它只是降低了数据集与数据主体原始身份的关联性，是一种有用的安全措施”。 “化名数据”仍然属于“个人数据”，受 GDPR 约束，数据主体在第 15 - 20 条中规定的权利仍然适用。GDPR 第 28 条指出，对个人数据进行化名处理是一种有用的工具，“可以降低数据主体面临的风险，并帮助控制者和处理者履行数据保护义务”，被视为数据控制者为遵守数据保护安全义务可采取的技术措施。 具体来说，个人数据的“化名处理”是一种特定的数据保护形式，除使用单独存储的额外信息外，应无法将个人数据归属于特定个人。GDPR 第 29 条解释了化名数据的定义，强调在处理个人数据时应用化名处理的激励措施，同时允许进行一般分析，但控制者需采取必要的技术和组织措施确保本条例的实施，并将用于将个人数据归属于特定数据主体的额外信息单独保存。这表明需要保护化名数据免受所谓的“内部”识别风险，即数据控制者或已知第三方保留的额外信息可能与化名数据匹配以进行重新识别的危险。 数据控制者还可以删除用于重新识别数据主体的信息。在这种情况下，GDPR 第 11 条限制了数据控制者的部分义务，规定如果控制者能够证明无法识别数据主体，去标识化的数据可以免除某些数据主体权利，如访问、更正、删除和可移植性请求。该条规定：（1）如果控制者处理个人数据的目的不需要或不再需要识别数据主体，控制者无需为了遵守本条例而维护、获取或处理额外信息以识别数据主体；（2）在上述情况下，如果控制者能够证明无法识别数据主体，应尽可能通知数据主体。此时，第 15 - 20 条不适用，除非数据主体为行使这些条款规定的权利提供了能够识别其身份的额外信息。这一规定鼓励数据控制者采用降低数据主体重新识别可能性的处理技术，同时按比例减少其承担的义务。 去标识化数据通常指经过处理，去除或模糊了个人记录中任何可识别个人信息的方式，以最大程度减少无意中泄露个人身份和相关信息风险的数据。从这个意义上说，化名数据也属于去标识化数据。不过，一些法律学者用“去标识化数据”表示在假设的可识别性尺度上比化名数据高一级的数据。GDPR 第 11(2) 条引入了这种区分，该条可以被视为引入了对多种可识别性水平的认可。 标准似乎涉及数据控制者（第 11(1) 条）或数据主体自身（第 11(2) 条）持有的额外信息，但根据 WP29 和欧洲法院（Breyer 案）的观点，还需考虑第三方可能持有的额外信息。实际上，数据控制者通常只能评估自身活动的重新识别风险，因为不清楚应考虑哪些“第三方”。 如果数据去标识化过程旨在降低数据主体被识别的风险，在应用基于风险的方法时，去标识化的个人数据是否属于 GDPR 的范围，取决于重新识别数据主体的难度。一种相称且因地制宜的方法应考虑一系列组织、法律和技术措施（包括化名处理），以确定数据是否可被视为可识别，进而确定控制者是否需承担 GDPR 规定的义务。根据具体情况，“合理用于识别的手段”测试可能仅限于通过单独保存的额外已知信息（由数据控制者、数据主体或第三方持有）来识别数据，也可能包括更间接的识别方法，如利用多个其他信息源挑出个人并确定其身份。 以下是不同类型数据的特点对比表格： | 数据类型 |