“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”
2022-05-19
近日,各大头部网络平台纷纷宣布将全量上线用户IP属地展示功能,在用户在发表评论/发布内容时,平台将根据IP属地位置强制公开展示其IP属地信息(针对境内账号,仅展示省(自治区、直辖市);针对境外账号,仅展示国家(地区))。一时间引发舆论监管与个人信息保护的激烈论战。
但在此之前,我们无法绕过一个前置问题:即IP属地是否属于个人信息?如果不属于,平台便无需受制于《个人信息保护法》(下称“《个信法》”)的约束。事实上,不少平台也是基于这一点,将部分信息视为“非个人信息”而予以处理(如下图所示某平台最新的《个人信息保护政策》)。
然而,在再识别技术(“Re-identification”,也称“重识别”,是指通过使用数据匹配(“Data Matching”)或类似技术将匿名化数据(“Anonymized Data”)转换回个人数据的过程[1] ,下称“再识别技术”)日益精进的今天,通过将部分个人信息与外部信息结合以识别到个人的风险越来越高,对于个人信息权益的保护将造成较大的威胁。而上述这一问题的背后,其实也隐藏着隐私保护(“Privacy”)与数据效用(“Utility”)之间的博弈。
对此,本文将结合相关法律法规规定、司法实践及境外先进经验,探讨在再识别技术的威胁之下,如何在保障个人信息权益不遭受巨大损害的同时,实现类似于IP属地等信息的合规有效利用。
一、IP属地=个人信息?
在笔者撰写的《IP属地≠IP地址,网络平台公开IP属地的合规评析》一文中,我们已经明确,IP属地≠IP地址,后者属于《民法典》《个信法》定义的个人信息,也是《信息安全技术个人信息安全规范》(GB/T 35273—2020)中明确正列举属于个人信息的“用户网络身份标识信息”,并无异议。
关键问题在于,基于IP地址而得出的IP属地信息,是否属于个人信息?
毕竟,正如美国Paul Ohm教授在其《Broken Promises Of Privacy: Responding To The Surprising Failure Of Anonymization》[2] 一文中所提到的:借助“再识别技术”,通过与其他外部信息(“Outside Information”)相结合,将有可能挖掘到数据主体的真实身份。(需要说明的是,随着可逆技术的发展,匿名化信息强调的不可复原在绝对技术面前成为相对概念,导致去标识化信息与匿名化信息界限模糊,本文所称“再识别技术”对象包含去标识化信息与匿名化信息,不做特别区分)在该文所提及的“马萨诸塞州州长个人信息再识别案”中,尽管该州政府机构在公布该州公务员的医疗记录以供研究人员免费试用时,删除了包括姓名、地址、社会保险号等直接识别性信息,但攻击者仅仅通过出生日期、邮政编码及性别三个关键要素便识别到该州州长个人,从而获取到其个人健康记录信息。
而且“再识别技术”的隐蔽性很强,实际上可能完全无法监测,因而即便是所谓“匿名化信息”,亦有可能遭受“再识别技术”的侵扰。理由在于,“外部信息”的外沿是无限延展的,它可以是某些组织或某些公众可以使用的信息,也可以是网络上已合法公开的可供所有人使用的信息,而我们永远无法确定哪些数据已经可用于再识别或将来哪些数据可能被发布。显然,随着数据链接技术和计算能力的发展,以及更多潜在的“可匹配”信息变得公开可用,任何人都可能通过组合、匹配信息以识别到个人信息[3]。
在回答上述问题之前,我们需要先厘清三个概念:个人信息、去标识化及匿名化。
根据上述表格可知:
IP属地不构成“单独识别个人”的信息。IP属地对应的是用户模糊的、不精确的地理位置,只到省级(自治区、直辖区),而省级地域内的用户数量之庞大,显然是难以仅通过IP属地而单独识别到个人(下称“直接识别性信息”)。
IP属地可能构成“与其他信息结合识别个人”的信息,或属于将IP地址进行去标识化(而非匿名化)措施后得到的个人信息。虽然IP属地不构成直接识别性信息,但一旦与其他额外信息相结合,识别到某一个人的可能性还是有的,因而可能构成“间接识别性信息”;而且,IP属地并不属于将IP地址进行匿名化措施后得到的信息,因为其不具备“无法识别”及“不能复原”的特征。
我国在“间接识别性信息”的认定上也曾作出有益探索。在广州互联网法院审理的一起案件中[4],某消费者发现其姓名、联系方式、收货地址、电商平台注册账号等个人信息经部分加“*”处理后,被公布在“反恶”公司运营的“反恶”网站上,并被打上“打假师、欺诈师、恶人、恶意欺诈”等标签。对此,广州互联网法院认为,虽然“反恶”公司所发布的个人信息均进行了加星处理,未直接明确地指向该消费者,但根据该消费者提交的公证书显示,在“反恶”网站以该消费者及其手机号为关键词搜索后,结果显示的收件人姓名、平台账号、手机号码、收件地址、曝光记录与该消费者的个人信息、淘宝账号、京东账号、手机号码、收货地址相互重合,故最终认定“反恶”公司公布的信息可识别为张某的个人信息,属于个人信息。
二、隐私保护与数据效用的平衡木——个人信息保护影响评估
基于间接识别性信息外延的延展性与范围的模糊性,加之“再识别技术”的隐蔽性,如果将IP属地这类间接识别性信息一股脑儿均归为个人信息,虽然对于个人信息主体而言,保护性权益大大提升;但对于个人信息处理者而言,个人信息的效用将极大地降低。
但若反之而行,虽然个人信息的商业价值得到最大化利用,但个人信息主体的保护性权益将遭受巨大侵害,最终也将危害到个人信息的持续性利用。
这就引发一个问题:如何平衡隐私保护与数据效用?
对此,欧盟及新加坡等国提出通过评估来平衡这一难题的解决方案。如欧盟WP29在2014年4月发布的《关于匿名化技术的意见》(“Opinion 05/2014 on Anonymization Techniques”)中特别指出:基于匿名化技术与再识别技术均为活跃的研究领域,匿名化处理需进行持续性的评估,定期对匿名信息的剩余识别风险进行再评估,以衡量采取的匿名化措施的有效性。
又如新加坡个人数据保护委员会(Personal Data Protection Commission,PDPC)于今年3月份出台的《基础匿名化指南》(“Guide To Basic Anonymization”,下称“《指南》”),为企业执行数据匿名化与去标识化提供指引。根据指南,企业在进行数据匿名化时需要经历五步骤,即识别数据、对数据进行去标识化、应用匿名化技术、评估匿名化效果、管理数据被重识别与披露的风险。
回归国内,对于我国个人信息处理者而言,当法律法规对于间接识别性信息的界定模糊,而该处理行为对个人权益可能产生重大影响的,可以考虑在事前进行个人信息保护影响评估,评估个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险,以及所采取的保护措施是否合法、有效并与风险程度相适应,并对处理情况进行记录及留存。
尤其对于大型互联网平台,其平台上包含如此众多的个人信息,且信息之间存在众多的外部连接点,如果不加以事先评估而断然将其认定为“非个人信息”而进行处理,将加剧个人信息风险的不可控性。
由此,一方面能够在一定程度上减少可能存在的个人信息权益损害风险;另一方面,即便未来损害真的发生,个人信息处理者届时亦有理由及证据以“自证清白”,而不至于“哑口无言”。
三、结语
对于IP属地这类“间接识别性信息”,目前是否构成《个信法》项下规定的“个人信息”,其判定绝非易事,目前也尚无定论。但应当注意到的是,间接识别性信息一旦加上其他额外外部信息,将存在很大可能性通过“再识别技术”识别到个人信息主体,从而带来个人信息安全风险。
对此,笔者建议个人信息处理者在事前做好个人信息保护影响评估,一方面能够在一定程度上降低个人信息权益遭受损害的风险,另一方面也为个人信息处理者“自证清白”提供依据,从而在隐私保护与数据效用之间达到制衡。
参考文献:
[1]The UK Information Commissioner’s Office, 《Anonymisation: Managing Data Protection Risk Code Of Practice》, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf, 2022年5月4日第一次访问。
[2]Paul Ohm, 《Broken Promises Of Privacy: Responding To The Surprising Failure Of Anonymization》,UCLA L. Rev., 57, 1701 (2009).
[3]The UK Information Commissioner’s Office, 《Anonymisation: Managing Data Protection Risk Code Of Practice》, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf, 2022年5月4日第一次访问。
[4]《【法脉准绳】我成了“恶人”?!个人信息被网站公布并抹黑,如何维权?》,发表于“广州互联网法院”微信公众号,https://mp.weixin.qq.com/s/LFJYRpoHFE7FroJ6Ytd5XA, 2022年5月4日第一次访问。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
