《SUNSOFT is Back》众筹三倍达成上架Steam 经典游戏合集

除了在这一部分承诺集中强调透明度之外，其它部分的承诺中同样涉及对透明度原则的强调。

美国在线(AOL)曾经将用户搜索信息删除用户名称和用户地址后附加上唯一数字编码发布，记者通过这些数据却识别出了部分用户{14}。法释〔2016〕19号第10条规定的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号。

且当匿名信息通过再识别(re-identification)手段被恢复识别可能性时，这些数据即成为了个人信息，控制者无法再主张财产权。2014年WP29提出了更严格的标准，控制者若没有删除原始数据而将数据集的一部分提供给第三方，其所提供的信息也属于个人信息{12}9。2017年《信息安全技术个人信息去标识化指南(征求意见稿)》第3.3条更是明确界定了去标识化的概念，即通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。在匿名化处理中，对识别符进行处理的技术措施包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术、数据合成技术等。W. Kuan Hon则认为匿名化处理的过程不构成个人信息保护规范意义上的处理{13}。

简单来说，即获得相关匿名数据将至少获得K个不同个体的记录，因此K价越大，可识别度越低，但数据的可用性也越低。匿名信息已不再是个人信息。我国定向广告行业标准第3条明确指出，信息提供方向接收方提供匿名信息前，应要求接收方书面承诺保证不试图再识别，且按约定目的使用相关匿名信息，接收方再次转移信息时也应与其他接收方签订相关合同。

能否复原取决于识别主体所掌握的外部信息与信息处理技术。为便于理解，本文将统一采取匿名的表述。1.处理识别符 我国许多法律法规及司法解释对识别符进行了列举，如《网络安全法》76条第5款列举了姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码。尤其是在外部信息与信息处理技术的判断中，必须综合考量各种实际的可能性。

具体而言，向不特定公众公开披露的风险大于向特定第三方披露的风险。美国在线(AOL)曾经将用户搜索信息删除用户名称和用户地址后附加上唯一数字编码发布，记者通过这些数据却识别出了部分用户{14}。

法释〔2016〕19号第10条规定的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号。且当匿名信息通过再识别(re-identification)手段被恢复识别可能性时，这些数据即成为了个人信息，控制者无法再主张财产权。2014年WP29提出了更严格的标准，控制者若没有删除原始数据而将数据集的一部分提供给第三方，其所提供的信息也属于个人信息{12}9。2017年《信息安全技术个人信息去标识化指南(征求意见稿)》第3.3条更是明确界定了去标识化的概念，即通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。

在匿名化处理中，对识别符进行处理的技术措施包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术、数据合成技术等。W. Kuan Hon则认为匿名化处理的过程不构成个人信息保护规范意义上的处理{13}。简单来说，即获得相关匿名数据将至少获得K个不同个体的记录，因此K价越大，可识别度越低，但数据的可用性也越低。匿名信息已不再是个人信息。

2.个案风险评估 个案式的风险评估贯穿于匿名化处理的全过程，且在匿名化处理后还需持续监控信息的再识别风险。其中，密码技术本质上属于数据安全措施{10}17。

强调不能复原类似于欧盟法上匿名与假名的区分。因此亦应借鉴欧盟控制者和其他任何人标准。

然而，欧盟法院却一直认为静态IP地址属于个人信息。由此可见，安全港标准并不安全，并且也可能无法满足数据利用的需要。根据法律规定，尤其是数据最小化原则的要求，匿名化处理是控制者必须履行的法律义务。再识别技术发展的同时，匿名技术也在不断更新。外部信息的更新、聚合和新技术的发展，可能使以前不能复原的信息在某个特定时点后变得能够复原。该条指出，数据主体无法确定的匿名信息不适用数据保护原则。

(1)专家标准 根据HIPAA第164.514条第b款第1项规定，判断主体信息是否可识别的主体是具有一定知识和经验的专业人员，这些人需掌握统计科学相关知识和方法。综上，我国应采取的匿名信息标准为：对于控制者与积极侵权人而言，在现有的技术水平条件下，耗费合理的成本与时间，该信息本身或结合其他一切可获取的信息均无法识别出特定的个人。

个人信息与隐私在总体上是两个不同的法律概念，二者在内涵、外延、理论背景、价值基础、保护原则、权能范围、侵权判断、责任承担各个方面均存在区别{4}。因此，若控制者未销毁密匙或原始信息，其持有的加密信息属个人信息{25}。

对于合法掌握的可识别信息，控制者虽有财产利益但不享有财产权，控制者只能行使商业秘密以及《反不正当竞争法》上的请求权。Posner认为，就堕胎这一敏感问题而言，完全可以理解这些妇女对记录公开的恐惧。

加拿大安大略省信息和隐私专员认为，匿名信息再识别的风险被一些研究者错误地高估了{20}。该测试下，试图识别个人信息的主体被假设为一个没有任何先前的知识，但希望实现再识别的个人(一个积极侵权人)。理论上，更是存在法益说、一般人格权说、隐私权说、新型财产权说、宪法人权说、独立人格权说等学说{2}。2014年的一起案件中，英国法院判决谷歌浏览器通过Cookies抓取用户信息并出售给相关公司违反《数据保护法》，相关信息并不构成匿名信息，对于广告公司而言，这些信息仍是可识别的个人信息。

美国法亦规定，匿名信息的披露不受信息披露规则的约束。由此可见，匿名与去身份只是同一术语在不同法域的不同表述，均指使得个人信息不再能识别个人。

匿名标准关注的就是如何堵住这些门，使得个人信息不被泄露。笔者认为，大数据时代下，匿名应更加关注信息的可识别程度。

英国信息专员公署亦指出，通过极大的努力以及耗费巨大的资源方可实现的识别特定个人的信息，并非可识别的个人信息{24}20。上诉法院Simon Brown法官认为，由于所有的利益相关方都没有被识别的风险，因此，病人的利益没有被侵犯。

与HIPAA不同的是，通过这些规范只能得出应处理这些识别符的结论，绝不可认为处理所列举的识别符后信息即实现匿名。因此，匿名不可仅关注信息本身。Paul Ohm的成本-收益评估框架是建立在匿名已死的理论之上的，其显然不同于一般意义上的风险评估框架。在总体样本足够大的情况下，若子类别成员过少，也能被轻易实现再识别，如6000名居民中的唯一一名医生的数据便可明确指向特定的医生{11}21。

2006年冈萨雷斯诉谷歌案中，美国法院注意到了虚荣搜索这一现象，许多人会在搜索引擎中输入自己的名字进行搜索，因此判决用户搜索查询样本是可以识别个人身份的信息。同时，专家需记录相关分析的方法和结果，以证明该判断的合理性。

欧盟隐私与电子通信指令鉴于条款第9条指出，应尽可能地使用匿名信息以实现数据最小化的目标。定向广告行业标准第3条第1款亦规定，匿名化处理是控制者应履行的义务。

宪法人权说更是与我国司法体制不符。又如某些特殊的职业或罕见的疾病信息，就可能与其他信息相结合揭示出特定个人的身份{8}。