1、数据匿名化处理的法律规制 张晨原 重庆大学法学院 摘 要: 在大数据的时代背景下, 大数据交易已成现实, 但是个人信息的不可交易性使大数据交易缺乏了合法性基础。对原始数据的匿名化处理, 可以在数据利用和个人信息保护之间达到平衡。但是我国现行法和大数据交易平台指定的交易规则中关于匿名化只有简略的规定, 远远不能满足当下大数据交易的市场要求。应当借鉴英国法的规定, 建立匿名化数据再识别风险等级分类, 根据再识别风险高低区分匿名化数据被披露的对象范围, 同时对再识别风险较高的匿名化数据控制者课以额外的义务, 最终通过个人信息侵权的事后救济来兜底匿名化数据的法律规制。关键词: 大数据; 匿名化; 再识
2、别; 作者简介:张晨原 (1992-) , 男, 河南漯河人, 民商法学博士研究生, 主要从事信息法和侵权法研究。收稿日期:2017-07-04基金:教育部人文社会科学重点研究基地重大委托项目:新兴权利的基本问题研究 (16JJD820031) On the Regulation of Data AnonymizationZHANG Chenyuan Law School, Chongqing University; Abstract: In the todays big data era, transactions of big data lacks legal basis, posing
3、a threat to personal information protection in that personal information is marked as non-tradable in nature. Through anonymization of the raw data, the balance between data utilization and personal information protection can be achieved. In China, only simple prescript on anonymization is provided
4、in current laws of our country and in the trading rules designated by the big data trading platforms, far from being sufficient to meet the market requirements of big data transactions. By taking the related provisions in the English law as references, the classification of re-identification risk of
5、 the anonymized data could be first established. Besides, according to the level of re-identification risk, the scope of the object being disclosed in the anonymized data could be then distinguished while additional obligation should be imposed on the controller of those high-risk anonymized data. F
6、inally, legal regulations concerning the anonymized data could be improved by providing relief in the case of personal information infringement.Keyword: big data; anonymization; re-identification; Received: 2017-07-04一、引言:问题的提出当今信息时代, 数据已经成为国家的重要战略资源, 而对数据进行挖掘、分析、处理等的大数据活动则是实现数据价值的重要手段。不管是国家的顶层规划还是具
7、体的市场经济实践, 大数据交易已经成为现实, 大数据产品的可交易性应当获得肯认。具体来说, 从国家顶层设计来说, 国务院于 2015年 8月颁布了促进大数据发展行动纲要, 其中明确规定:“引导培育大数据市场, 开展面向应用的数据交易市场试点, 探索开展大数据衍生产品交易, 鼓励产业链各环节主体进行数据交换和交易, 促进数据资源流通, 建立健全数据交易机制和定价机制, 规范交易行为”1;从市场经济的实践来说, 当今数据成为企业最有价值的财产和新型商业模式的基石2, 而现今我国国内已经有了贵阳大数据交易所、上海大数据交易中心、武汉东湖大数据交易中心、武汉长江大数据交易中心、华东江苏大数据交易平台、
8、华中数交所、海峡大数据、钱塘平安等等大数据交易平台, 甚至每天都会有新的大数据交易平台诞生。大数据交易所的建立和交易市场的扩大, 打破了政府、企业等信息条块分割的现状, 实现了信息的自由流通, 推动了信息的共享和利用效率, 加快了产业的升级和转型3, 而这些大数据交易的对象就是大数据产品。“大数据必然是聚合了围绕个人的个体性的数据”4, 大数据产品本质上是对原始数据分析之后产生的衍生数据, 衍生数据是指原始数据被记录、存储后, 经过算法加工、计算、聚合而成的系统的、可读取、有使用价值的数据5。而当下的原始数据都或多或少与个人信息有关, 但是个人信息在我国的现行法律语境下不能够成为合同的对象。这
9、些法律法规包括全国人大常委会关于加强网络信息保护的规定第一条第二款、民法总则第一百一十一条、网络安全法第四十四条、刑法第二百五十三条之一第一款、工信部电信和互联网用户个人信息保护的规定第十条。大数据产品在现实中有交易的实践, 但作为其基础的个人信息却不能被交易, 这就导致逻辑上的矛盾。本文试图从个人信息匿名化的角度, 论证大数据产品的可交易性, 以解决市场交易现状与法律制度之间的矛盾。二、比较法视野下的个人信息匿名化 (Anonymization) 匿名化是当下计算机科学领域的热点话题, 自 1997年美国学者 Samarati和Sweeney提出 kanonymity匿名模型后, 目前已发展
10、出许多成熟的技术解决方案6。匿名化与去身份化 (De-identification) 的含义基本相同, 就是组织实体将收集、利用、存储和与其他组织实体共享的数据中的个人信息移除的工具7。比较法中, 经过匿名化处理的数据都不属于个人信息的范畴。可以设想, 如果大数据产品经过了匿名化处理, 那么它就不属于个人信息, 按照“法无禁止即自由”的私法基本原则, 经过匿名化处理的大数据当然可以被交易。数据匿名化是数据处理的一种, “目前很多国家和地区已经制定了个人数据保护法, 用以规范对个人数据的处理行为”8。以下将详细讨论比较法中关于匿名化的相关规定。(一) 欧盟2012年, 欧盟委员会发布了数据保护通
11、用条例 (General Data Protection Regulation, GDPR) 草案, 对 1995年颁布的数据保护指令做出大幅修改, 以应对大数据时代的发展要求, 该草案历经多轮讨论修订, 于2016年 4月获最终通过并正式颁布9。于 2016年 4月 27日颁布的一般数据保护条例完整地构建了个人信息法律的框架, 同时明确了数据主体 (data subject) 的各项权利和数据控制者 (data controller) 的各项义务, 紧跟当下大数据时代的步伐。同时, 由欧盟各国个人信息专家组成的 29条工作组, 也会不定期发布指南, 这些指南虽然没有强制效力, 但是对于理解个
12、人信息法律制度有重要的意义。作为当下数据处理的热点问题之一的匿名化, 上述的文件中都有涉及。1.GDPR10GDPR中关于匿名化的规定主要集中在前言叙述部分第 26和第 28段、第四条关于假名化 (pseudonymisation) 的定义、第十一条关于数据主体对“不需识别的数据处理”的规则中, 总结来看有以下几个特点。(1) 经过匿名化的数据不属于个人信息的范畴GDPR在前言的第 26段中明确提出:“数据保护的原则不应当适用于匿名化数据。匿名化数据是指与已识别或可识别的自然人不相关, 或者与以数据主体不可或不再可识别的方式呈现的匿名数据不相关的信息。该规章因此不关注此种匿名数据的处理, 包括
13、为了统计或者研究的目的。”由上可以看出, GDPR 并不规制经过匿名化处理的数据。诚然, 匿名化就是去除数据中个人标识符的过程, 去除了个人标识符的数据当然不属于个人信息的范畴, 也当然不应受个人信息法的规制。(2) 匿名化的标准GDPR在前言的第 26段前半部分中列出了匿名化技术的标准, 即当有攻击者企图从已被匿名化的数据中再识别出数据主体时, 这种再识别的手段应当有何要求。标准有三:第一, 再识别可用已被匿名的数据和其他数据, 如果同时运用其他数据和匿名化数据可以识别出自然人, 这种“匿名化”数据仍然归属个人信息的范畴;第二, 再识别的手段应当是数据控制者或者其他人直接或间接所能联想到的任
14、何合理可能的手段;第三, 再识别的手段应当考虑所有客观的因素, 包括成本高低、时间长短、数据处理时的技术水平和技术发展。可见, GDPR 对匿名化的标准规定十分之高, 有追求完美之嫌, 这样高的标准是否能够在现实中实现值得商榷。(3) 假名化只是匿名化的一种手段GDPR的第四条特别对“假名化”进行了概念界定:“在没有利用额外信息的情况下, 个人资料以其不再归属于特定数据主体的方式而处理, 但同时上述额外信息必须是分开保存和易受技术和组织措施影响的, 进而才能确保个人资料不会被归于已识别或可识别的自然人。”从上述定义可以看出, 个人资料假名化可以达到数据匿名化的效果, 但是假名化并不只是匿名化技
15、术的唯一。GDPR 前言第 28段也有论述:“本规章对假名化明确的介绍并不是意图排除其他数据保护的手段。”2.29条工作组29条工作组是根据欧盟 95/46/EC法令的 29条的规定所设立的, 它是一个旨在解决数据和隐私保护问题的独立咨询机构。29 条工作组由每一个欧盟成员国最高当局委派的一名代表、欧盟数据保护监管当局的代表和欧盟委员会的代表组成, 代表了欧盟官方机构对数据隐私保护的权威意见。29 条工作组于 2014年4月 10日发布了匿名化技术11的意见书, 其中对匿名化技术有全面的介绍, 下文做一简单介绍。(1) 匿名化处理需符合目的限制原则匿名化处理应当符合个人资料收集的目的限制原则。
16、匿名化是一种数据处理的技术, 从时间上看, 数据控制者在进行数据处理之前必然会进行数据收集, 数据的收集应当符合目的限制原则。根据 29条工作组颁布的目的限制原则12的指引, 目的限制原则是指透过限制负责处理个人资料的实体 (以下简称负责实体) 对个人资料的使用, 同时亦给予一定程度的灵活性, 以保护资料主体。目的限制原则主要由两个子原则组成, 即目的特定性 (个人资料必须为特定、明确的及正当的目的而收集) 、使用相容性 (不得做出与该目的不相容的进一步处理) 。这里的匿名化处理与使用的相容性直接相关, 而该指引接着就对相容性判断所要考虑的关键因素做了列举, 包括:第一, 收集个人资料的目的及
17、进一步处理的目的之间的关系;第二, 收集个人资料的背景及资料主体对资料被进一步使用的合理预期;第三, 个人资料的性质及进一步处理对资料主体的影响;第四, 负责实体应采取保护措施以确保公平处理及防止任何对资料主体产生的不利影响。只有做到了上述四点, 才可认为数据控制者的匿名化处理符合目的限制原则。(2) 匿名化处理之后的剩余风险分析匿名化是一种应用于个人资料的技术, 在于实现不逆转的去识别化。但是随着公开资料的不断增多和互联网信息技术的不断发展, 经过匿名化处理的技术都是有可能被再识别的, 这种被识别的风险就是匿名化技术的剩余风险。29 条工作组在该指引中假设现实中存在希望将已匿名化的数据再识别
18、的攻击者, 随后列出了三种主要的剩余风险:第一, 数据主体被挑出的风险, 即攻击者有可能再识别数据库中一些或全部数据, 并同归于一人的风险;第二, 数据主体被关联的风险, 即能否在至少两项可归于同一 (组) 资料主体的记录之间产生关联 (不论是在同一个数据库或是不同的数据库) 。如果攻击者在同归于一组数据主体的两项记录之间建立了关联, 却不能在这组数据主体中挑出个体, 则该技术手段符合“挑出风险”的要求, 但不符合“关联性风险”的要求;第三, 数据主体的其他特征被推知的风险, 即可以较大的概率从数据库中展示的数据主体的一系列特征推知数据主体另外特征的可能性。数据控制者在进行匿名化数据处理时,
19、应当综合考虑这三种风险, 把三种风险降到最低, 这样才能防止数据主体被再识别。(二) 英国英国关于个人信息法制主要交由信息专员办公室 (Information Commissioners Office, ICO) 来完成, ICO 是旨在保护公共利益中的信息权利、扩大公共机构数据开放以及提高个人数据隐私保护的独立机构。ICO 十分重视匿名化技术的发展, 并于 2012年颁布了匿名化:针对实践的信息保护风险管理13, 虽然该文件只是指引性的, 但是英国信息专员声明当调查与匿名化相关问题时会考虑该指引, 其中专门针对匿名化的规定还是值得我们探讨。1. 从“其他信息”可知完全的匿名化是不可能的根据英
20、国信息保护法令 (The Data Protection Act 1998, DPA) 的规定, 个人资料是指与在世的个人相关的可识别的资料 (a) 可从上述资料识别, 或者 (b) 可从上述资料或其他信息识别, 其他资料是指数据控制者拥有或可能拥有的信息, 并且包括对个人任意观点的表达, 以及数据控制者或与该个人有关的任何人的目的表达。个人资料概念中的“其他信息”也就从侧面表明再识别的过程可以允许使用额外的信息。但现实中, 用于再识别的其他信息有可能只是特定组织能获取, 也有可能是特定个人能获取, 也有可能全体社会公众都可以获取。并且随着可获取信息的不断增加和电脑技术的不断提高, 将“其他信
21、息”和已被匿名化的信息组合从而对个人进行再识别的可能性将不断提高。因为伴随“其他信息”的不确定性和不断增长性, 再识别的风险是难以估计的。所以, 再识别的风险始终存在。2.“蓄意侵入者”检验 (Motivated Intruder Test) 该指引推荐采用“蓄意侵入者”的检验方法来帮助评估剩余风险14。“蓄意侵入者”是指之前没有任何了解但却希望从已被匿名化的资料中识别出个人的假想主体。分析这样假想的攻击者是否能够识别个人, 可以为剩余风险的评估提供方法。假设“蓄意侵入者”有特定的动机、方法和技巧来进行再识别, 具体来说包括对资源的获取 (例如图书和因特网) 、运用调查性质的技术 (例如向可能
22、拥有数据主体更多信息的人询问或者自告奋勇地向陌生人提问) 。也就是说, “蓄意侵入者”相较于试图对数据进行再识别的非专家的普通大众有更高的再识别技术, 即“蓄意侵入者”标准比法律经常会用的“理性人”标准更高。但是标准的提高也只是有限的, 指引中紧接着指出, 假设的“蓄意入侵者”没有诸如黑客技术的专家知识, 也不会有专业的设备, 更不会通过诉诸于诸如盗窃的犯罪手段来获得安全保管的数据。指引用“蓄意侵入者”标准在很大程度上可以解决匿名化所要达到的标准问题, 即匿名化的数据只需要达到“蓄意侵入者”无法获取即可。3. 通过匿名化数据披露的风险控制运用匿名化处理的数据控制者都会遇到一个两难的问题:一方面
23、, 他们希望数据内容足够丰富来满足其目的;另一方面, 又要确保再识别不会发生。这时就应基于不同匿名化手段带来的不同的再识别风险, 确定匿名化数据不同范围的披露对象。总体来说, 再识别风险越高, 匿名化数据被披露的对象范围应当越狭窄。例如, 因为假名化或去识别化的数据保留了个人层面的粒状分布, 所以再识别风险较高, 从而这种数据只能披露给进行科学研究或其他目的的封闭组织。也正因为再识别风险高的数据与个人更相关, 内容更丰富, 所以其价值也就更大。相对地, 运用聚合数据处理方式的再识别风险较低, 所以此种数据更适合向普通民众公开。但是需要注意的是, 将再识别风险高的匿名化数据向特定主体披露, 必须
24、符合数据最小化原则, 接收匿名化数据的主体应当履行相关的义务来保证这种高再识别风险不会变为现实。4. 经过假名化处理的数据不一定是匿名的“尽管假名化处理的数据不会识别出个人, 但在那些没有密匙的人手里, 将几个已经匿名化的数据集同归于一人的可能是有的。这并不意味着, 通过假名化进行有效的匿名化变得不可能了。”紧接着, 指引指出, 假名化是指“通过运用不会显示数据主体真实身份的特殊标识符来对个人进行区分的数据处理过程”。上述的论证对于经过假名化处理的数据是否是匿名的语焉不详, 应该还要放在个案中判断假名化处理之后的数据是否为匿名的。三、我国关于匿名化的立法和市场实践当下我国的大数据交易已成为现实
25、, 国内有数十家大数据交易所, 大数据交易已经走在了相关立法的前面。但是检索我国的现行法, 其中也有关于匿名化的规定, 可对大数据交易进行一定的指导。下文详细论述我国立法和市场实践中关于匿名化的相关规定。(一) 我国现行法中匿名化的规定由于我国当下还没有个人信息的单独立法, 所以有关个人信息匿名化的规定只能散见于各个单行法和司法解释中。我国现行法中提到个人信息匿名化的规定有网络安全法第四十二条、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 (法释201710 号) 第三条第二款。总结来看, 这两条有三个特点:第一, 将匿名化表述为“经过处理无法识别特定个人
26、”, 这样直白的表现可能也适用于当下我国对匿名化技术不熟悉的大环境;第二, 匿名化处理出现的位置都是法条的但书, 并且都是“不得向他人提供个人信息”例外;第三, 但书的效果就是, 经过了匿名化处理的个人信息是可以向其他公民提供的。虽然我国现行法对于匿名化处理的规定少且简单, 但还是有较强的实践意义。前述两个条文都规定经过匿名化处理的个人信息是可以提供给其他公民的, 这也在一定程度上突破了我国之前法律中个人信息不能交易的强制性规定, 为经过匿名化处理的大数据交易提供了合法性基础。但是, 我国关于匿名化的规定还是太过简陋, 匿名化在大数据交易中十分复杂, 需要进行详细的制度设计, 所以将来制度的完
27、善是必须的。(二) 大数据交易中的匿名化尝试据贵阳大数据交易所的统计来看, 中国大数据产业在未来五年内仍将保持着高速增长。2016 年末, 市场规模达到 2 485亿元, 而随着各项政策的配套落实及推进, 预计到 2020年, 中国大数据产业规模或达 13 626亿元的高点15。在如此大规模的大数据交易量的现实下, 大数据交易所如今也多如牛毛, 但是当下的大数据交易所更多地关注如何促成交易, 却少有制定风险控制导向的交易规则。笔者通过对国内大数据交易所的检索得知, 真正制定交易规则的只有上海数据交易中心、贵阳大数据交易所和华中大数据交易中心, 而其中涉及匿名化的规定较少。各大交易所中, 只有上
28、海数据交易中心在流通数据处理规则16中明确了数据的匿名化要求, 具体包括:第一, 可流通的数据必须是脱离可直接识别个人身份的标识的;第二, 对于已经脱离个人身份标识的数据, 禁止再识别。贵阳大数据交易所意识到了其交易的数据是基于底层数据, 通过数据的清洗、分析、建模、可视化出来的结果, 并且意识到上述数据的处理都是为了隐私保护和确立数据所有权17, 但是其对于达到上述目的的匿名化数据处理却缺少具体的描述。同样地, 华中大数据交易所颁布的华中大数据交易所交易规则 (意见稿) 18中也只是认识到了涉及个人信息的数据不得交易, 但对于如何除去个人信息标识的匿名化数据处理方式却从未涉及。可见, 我国现
29、有的大数据交易平台基本都能认识到保护个人信息和个人隐私的重要性, 但是少有关注达致保护个人信息和隐私目的的匿名化数据处理方法。匿名化数据处理手段可以极大地平衡数据利用和个人信息保护, 应当受到大数据交易所的重视。四、数据利用与个人信息保护平衡视角下的匿名化制度构建大数据利用和个人信息保护是一个硬币的两面, 匿名化技术能够在数据发布环境下防止用户敏感数据被泄露, 同时又能保证发布数据的真实性19, 如何平衡这两者是匿名化制度设计是否成功的关键。匿名化制度构建的关键就是数据主体被再识别的风险控制与管理。相比于欧盟的相关规定, 英国的规定更具有现实的可操作性。拟建议我国仿效英国的相关规定, 首先,
30、建立再识别风险分级制度;其次, 根据风险分级确定匿名化数据可披露的对象;再次, 应当限制再识别风险较高的匿名化数据接收方的再处理;最后, 用个人信息侵权做数据主体被再识别的兜底。(一) 再识别风险分级制度的建立“当抽象一般概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时, 大家首先会想到的补助思考形式是类型。”20现实中匿名化技术有很多种, 每种匿名化技术所带来的再识别风险都不同, 所以对各种匿名化技术进行再识别风险的等级分类是可能的。29 条工作组的匿名化技术指引中列举了当代社会常用的两类匿名化技术手段, 即随机分派和资料概括化, 前者包括资讯添加、排列变更和差分隐私, 后者包
31、括资料聚合、K-匿名、L-多样性和 T-相似性, 随后指引中对上述各种匿名化手段进行了风险分析, 并得出了相应的结论。这里需要说明的是, 假名化数据不同于匿名化数据, 经过假名化处理的数据仍然为个人数据21, 所以假名化处理之后的数据仍然属于个人信息。由此可以看出, 再识别风险的分类分级是一项技术性极强的工作, 应当结合统计学或其他学科的专业人员共同完成, 单纯凭借法学界是无法完成这项工作的。当代社会讲求团队合作, 通过学科间的合作, 应当可以制定出匿名化技术的再识别风险分级对应表。对于构建法律制度来说, 只需要将再识别风险进行从高到低排序即可。(二) 匿名化数据披露对象的对应在对各种匿名化技
32、术进行再识别风险分级之后, 就需通过区分不同风险等级的匿名化数据的披露对象来完成数据利用与个人信息保护的平衡。一般来说, 匿名化数据的再识别风险等级越高, 其可披露的对象范围越狭窄13。具体来说, 如果匿名化数据的再识别风险较低, 将其向大范围受众披露也基本不会导致数据主体被再识别。反之, 如果匿名化数据的再识别风险较高, 此时只能向特定机构披露, 获得这种再识别风险较高的匿名化数据的受众越少, 数据主体被匿名化的概率也就越小。上述披露的合法性基础在于数据利用的价值, 因为再识别风险越高, 往往也意味着该数据的可利用价值就越大。但由于这种匿名化数据的再识别风险较高, 进行此种数据披露的数据控制
33、者应当遵守额外的义务来确保数据主体不被再识别。(三) 高风险匿名化数据的数据控制者的额外义务允许再识别风险较高的匿名化数据的数据控制者将上述数据披露给第三方, 这是基于数据利用的考虑, 但同时应当让进行披露的数据控制者承担一定的义务, 以更好地保护数据主体的个人信息。关于此, 英国 ICO办公室的匿名化:数据保护风险管理实践中给出了相应的指引, 可加以参考。“进行上述披露的数据控制者应当在披露前制定健全的保护机制, 包括第一, 目的限制, 例如数据只能由接受者以协商同意的目的来使用;第二, 培训接收者的员工学习获取数据的方法, 特别是数据安全和数据最小化原则;第三, 对即将获得数据的个体进行背
34、景调查;第四, 控制将其他数据转移到原始数据环境的能力, 同时允许管理通过连接和联合而产生的再识别风险;第五, 数据只能用于限定的项目;第六, 限制披露该数据;第七, 禁止任何再识别的尝试, 并且制定措施消灭任何被意外再识别的个人数据;第八, 制定技术和组织双重层面的安全措施, 例如员工保密协议;第九, 限制数据的复制, 或复制的数量;第十, 项目完成时应当归还或销毁数据;第十一, 制定惩罚措施, 例如通过合同对接收者课以违约的明确责任。”13上述对披露者义务的规定可以给我国的制度构建提供建议。(四) 数据主体被再识别的侵权法救济上述的规定都是事前的限制, 不论法律制度如何规定, 数据主体被再
35、识别的风险仍然存在。如果攻击者通过各种技术手段最终成功地再识别出了数据主体并进行了披露, 这时损害已经发生, 只能通过侵权法来进行事后调节。虽然事后调节难免有事后诸葛亮的嫌疑, 但是对受害人的民事救济也是必要的。由于之前的侵权法中没有承认个人信息为单独的权利, 所以, 在司法实践层面通过隐私权保护个人信息也形成了一个较为全面的体系22。但是随着 2017年 3月颁布的民法总则第一百一十一条明确规定“自然人的个人信息受法律保护”, 确定了个人信息侵权的请求权基础。由于现在没有对个人信息侵权进行特别的规定, 所以只能适用一般侵权的规定, 采损害行为、损害结果、因果关系和加害人过错来进行界定。参考文
36、献1国务院关于印发促进大数据发展行动纲要的通知 (国发201550 号) EB/OL. (2015-09-05) 2017-01-03.http:/ 2刘雅辉, 张铁赢, 靳小龙, 等.大数据时代的个人隐私保护J.计算机研究与发展, 2015 (1) :229-247. 3丁旋.社交网络分析中的隐私保护问题:去匿名化与无缝隐私D.北京:清华大学, 2014. 4李源粒.网络个人数据安全刑法保护研究J.重庆邮电大学学报 (社会科学版) , 2015 (6) :46. 5杨立新, 陈小江.衍生数据是数据专有权的客体N.中国社会科学报, 2016-07-13 (5) . 6汤琪.大数据交易中的产权问
37、题研究J.图书与情报, 2016 (4) :38-45. 7RUBINSTEIN I S, HARTZOG W.Anonymization and RiskJ.Washington Law Review, 2016 (2) :703-706. 8田新月.云计算环境中数据处理行为的法律规制研究J.重庆邮电大学学报 (社会科学版) , 2016 (4) :38. 9范为.大数据时代个人信息保护的路径重构J.环球法律评论, 2016 (5) :92-115. 10REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCI
38、L of 27 April2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) EB/OL. (2016-04-27) 2017-03-26.http:/eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE
39、X:32016R0679&from=EN. 11Article 29 Data Protection Working Party:Opinion 05/2014 on Anonymisation TechniquesEB/OL. (2014-04-10) 2016-06-26.http:/ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf. 12Article 29 Data Protection Working Party:Op
40、inion 03/2013 on purpose limitationEB/OL. (2013-04-02) 2017-01-26.http:/ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf. 13UK.Information Commissioners Office.Anoymisation:Managing Data Protection Risk Code of PracticeEB/OL.2017-03-26.https:/ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf.
