带你摆脱信息泄露的困扰
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
物联网、人工智能等技术不断拓新发展,似乎在我们眼前展示出一幅宏大的未来愿景。而大数据作为这些前沿技术发展的基础,已成为各个科技巨头争夺的重要技术资源与储备,当然,其自然也成为不法分子眼中的一座座金矿。从国外的万豪酒店5亿人私密信息外泄,到国内的陌陌疑似3000万账号遭暗网销售,近年来公民个人信息泄露事件层出不穷。大数据时代,个人信息应该如何准确界定,进而引导大数据技术的合理发展,尊重个人信息权的权利本位,是重中之重。其中,神州明达小编觉得有必要谈一谈个人信息的匿名化。
在我国,个人信息的立法保护,除了民法与刑法两大部门法的原则性规定外,主要体现在《网络安全法》这一特殊法。《网络安全法》第七十六条第五项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这里的定义强调了“识别”一词,而与之对应的则是个人信息的匿名化。在第四十二条中规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”由此可见,个人信息的匿名化使得数据所有者难以准确识别信息对应的自然人个体。实际上,个人信息是一种兼具财产性和人格性的权利。正是个人信息具有人格利益,体现了人格化,个人信息的数据收集者才会主动获取个人信息并将其商品化以获取利益。而匿名化就是将个人信息的人格性与财产性相剥离的过程,数据收集者通过匿名化,在尊重数据主体的个人信息权前提下,也获得了个人信息的财产利益。
所以,个人信息的匿名化是法律保护与技术需求相冲突时的一个折中之举。那么,匿名化的“无法识别特定个人且不能复原”这短短一句话,应该如何准确理解并适用呢?我们可以学习并借鉴最早提出“匿名化”(pseudonymisation)概念的欧盟。在今年正式生效的欧盟《通用数据保护条例》GDPR中就明确指出:“‘匿名化’是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。”
在实践中,个人信息匿名化的认定却有诸多异议。在朱某与百度隐私权纠纷一案中,朱某起诉百度公司认为其利用cookies技术收集自己信息,再通过算法向自己推送商业广告,侵犯自己的隐私权。这起案例中二审法院对个人信息匿名化做了说明:“首先,百度公司在提供个性化推荐服务中运用网络技术所收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。经查,百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。虽然朱某因长期固定使用同一浏览器,感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用,但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来。”但是二审法院认定匿名化的说理用词难以信服。回到匿名化的定义,其强调的是“无法”、“不能”再识别,而非“没有且无必要”去识别。在个人信息的民事纠纷中,多是自然人与数据收集者技术公司之间的诉讼,像是cookies这种专业技术搜集的个人信息能否再识别,其举证责任理应在数据收集者一方,让个人来举证无疑是强人所难。
总而言之,个人信息的匿名化是大数据时代法律与技术利益协调的一个重要节点。但是如何合理的理解并适用,还需社会多方的努力。