作者:曹文娟、张梓月
摘 要
在数字经济的浪潮下,数据要素成为了核心生产要素,个人信息的收集、处理与匿名化也成为人们的日常议题。刷APP时需授权信息、外卖快递需填写个人资料、平台注册需提交身份信息,我们每天都会存在在主动或被动地交出个人信息这一行为,而平台一句“已做匿名化处理”的告知,让我们不禁发出感叹:被匿名化后的信息,还属于“我”吗?国外对匿名化数据的监管有着相对清晰的执法逻辑,在国外的相关于匿名化信息处理的案件中,可以看出匿名化并不是企业、平台的“免责金牌”,合规才是数据处理的安全路径。本文旨在探析不同国家对匿名化数据处理的政策,为中国匿名化数据监管提供参考样本。
一、匿名化数据监管的战略背景
自2019年数据被正式列为生产要素以来,数据要素已经成为驱动经济社会高质量发展的核心生产要素,2025年我国数字经济核心产业增加值占国内生产总值的比重提高到了10.5%以上,明确提出“加快完善数据基础制度,深入实施‘数据要素×’行动”。[1]国家数据局成立以来,将数据“供得出、流得动、用得好、保安全”作为核心目标,推动了数据要素与实体经济的深度融合。在此背景下,匿名化作为衔接个人信息保护与数据合法利用的关键环节,其监管体系的构建与完善极为重要,它既是平衡个人权益保护和数据要素价值的必然选择,也是筑牢数据安全治理体系的重要支撑。
二、不同国家匿名化数据处罚结果和经验
01 捷克杀毒软件企业:伪匿名化传输1亿用户数据,被罚1370万欧元[2]
在2024年4月,捷克监督机构(SA)对当地一家知名杀毒软件企业作出1370万欧元终局罚款处罚,案由直指企业以“匿名化”为幌子实施数据违规传输。
该企业将旗下杀毒软件、浏览器插件收集的约1亿用户浏览记录,通过“假名化+唯一标识符绑定”的方式传输至境外姊妹公司,却向用户宣称“数据已完成匿名化,仅用于统计分析”,经监管机构核查认定,涉案数据虽经简单脱敏处理,但借助唯一标识符可直接关联至具体用户,且企业未采取技术手段防范跨源数据匹配复原,属于典型伪匿名化,案涉数据仍属于GDPR界定的“个人信息”,该企业作为网络安全服务商,违反GDPR第6条数据处理合法基础要求及第13条数据处理告知义务,在未征得用户同意的情况下传输个人信息,并刻意隐瞒数据真实用途。
该案处罚的罚款金额为企业违规期间营收的法定比例,且监管机构责令其立即停止数据传输、销毁所有非法存储的用户数据,同时要求企业建立数据匿名化全流程审计机制,定期向监管部门提交合规报告。
02 欧盟EDPS v SRB判例:假名化数据并非绝对“非个人信息”,匿名化认定需要结合场景[3]
在2025年9月,欧盟法院就欧洲数据保护委员会(EDPS)诉单一解决委员会(SRB)一案作出终审判决(案号 C-413/23 P),明确了GDPR框架下假名化与匿名化的核心界定标准,成为欧盟后续匿名化执法的重要判例。
在该案中,法院明确,假名化数据并非在所有情况下都属于“非个人信息”,若数据控制者或第三方可通过“合理手段”,例如跨平台数据比对、补充其他信息等,将假名化数据复原并识别具体自然人,则该数据仍属于受GDPR保护的个人信息。其次则是判断数据是否完成合法匿名化,需结合数据处理主体、可获取的配套信息以及技术复原可能性综合认定,即使数据控制者自身无法识别,但若第三方具备识别能力,仍需认定为“可识别个人信息”。另一方面则是数据传输的合规延伸,倘若企业将假名化数据传输给第三方,且无法排除第三方的“识别可能性”,则必须按照个人信息传输的要求履行合规义务。
该案直接推动了欧盟数据保护委员会(EDPB)于2025年1月发布《01/2025假名化指南》,并启动《GDPR匿名化指南》的修订工作,进一步强化了企业对匿名化的全过程场景化评估义务,杜绝企业以“假名化”替代“匿名化”规避监管。
03瑞典处罚谷歌:假名化数据违规用于个性化推荐,被罚700万欧元[4]
在2020年3月,瑞典隐私保护局(DPA)对谷歌处以700万欧元罚款,案由包括假名化搜索记录违规使用、侵犯用户“被遗忘权”,也是GDPR生效以来针对科技企业匿名化违规的典型处罚。
该案中谷歌将用户的搜索记录进行假名化处理后,未取得用户单独同意,便用于个性化广告推荐和产品优化,而且谷歌并没有向用户告知数据处理的具体方式和使用目的。其次,监管机构发现,谷歌通过“用户设备标识+假名化数据关联”的方式,可快速复原用户的完整搜索轨迹,属于“伪匿名化”操作。再者谷歌未按监管要求履行“被遗忘权”相关义务,对用户申请删除的假名化搜索记录,未及时、全面清理,仍保留在数据系统中用于商业分析。
综上,该案罚款为谷歌在瑞典地区年度营收的法定比例,监管机构责令谷歌立即停止基于假名化数据的个性化推荐,并建立用户数据删除的全流程自动化机制,同时要求其公开数据匿名化处理的技术标准和审计报告。
三、中国匿名化数据处理的实践情况
北京互联网法院审理的电商平台个人信息访问记录纠纷案,是司法实践中界定匿名化数据处理边界的典型判例,法院以《个人信息保护法》为依据,明确了合法脱敏处理后的数据属性及企业保护权,为匿名化数据处理的司法认定树立了清晰标尺。
该案中,原告作为电商平台实名认证用户,因接到自称客服的来电并被报出身份证号,认为平台泄露个人信息,遂要求平台提供其身份证号的内部访问记录。被告平台辩称,已对用户身份证号采取内容替换、SHA256加密等脱敏技术,访问者无法识别具体用户,相关访问记录并非个人信息,无需向原告提供。双方核心争议在于,平台经脱敏处理的个人信息访问记录,是否仍属于受原告查阅权约束的个人信息。[5]
法院依据,《个人信息保护法》第四条、第七十三条关于个人信息“可识别性”及匿名化的界定,作出裁判,认定平台对身份证号的脱敏处理,使访问记录无法识别特定自然人,也不具备关联到原告的特征,已脱离个人信息范畴,并非原告在平台活动中产生的信息,企业可依法对该类数据行使保护权。最终法院判决,驳回原告的全部诉讼请求。该案明确了司法实践中判断匿名化的核心标准为“无识别性、无关联性”,也使得相关司法部门理清了个人信息查阅权的边界,即经合法脱敏处理、丧失可识别性的数据,不再受个人信息相关权利约束,企业对其享有合法处理与保护的权利。
当然,我国正加快构建个人信息匿名化处理标准体系,多地及国家级层面接连出台相关方法与指南,为企业实操和监管执法提供明确技术指引。根据秘书处最新要求,《数据安全技术个人信息匿名化处理指南及评价方法》《数据安全技术 未成年人产品和服务个人信息保护要求》[6]两项国家标准需加快编制进度,完成现有阶段向送审稿的转换工作,确保标准尽快进入后续审查环节,推动相关规范落地实施,筑牢数据安全与个人信息保护的标准支撑。
四、比较与启示
从处罚实践来看,国外监管以“高额罚金+全流程整改”为核心,欧盟GDPR对匿名化违规企业最高处全球年营业额4%的罚款,捷克杀毒软件企业因伪匿名化传输用户数据被罚1370万欧元,瑞典对谷歌假名化数据违规使用处罚700万欧元,且均附带数据销毁、审计机制建立等强制整改要求,部分案件还追溯管理层个人责任。而我国处罚则更侧重行为“纠正+小额罚款”的模式,典型如成都业委会伪匿名化处理业主信息案、上海迪奥未合规匿名化传输境内数据案,均以责令删除数据、限期整改为主,罚金数额远低于国外,且对企业管理层的个人追责案例较少。此外,国外执法更注重场景化认定,欧盟EDPS v SRB判例明确假名化数据是否属于个人信息需结合第三方识别能力综合判断,而我国司法实践多以“是否留存复原路径”为单一判定标准,对复杂场景的考量相对不足。
综上,可以看出匿名化数据监管的核心是守住“无法识别、不能复原”的法定底线,伪匿名化是全球监管共同打击的重点,且监管需兼顾技术合规与流程合规,既要规范匿名化技术操作,也要强化原始数据收集、数据传输等全流程的合规约束。
五、中国匿名化数据监管与处罚完善方向
基于国际比较,我国日后针对匿名化数据处罚需从三方面优化完善:
一是以标准为抓手细化监管依据,将两项国家标准中匿名化技术要求、评价方法、未成年人分级保护等条款,转化为监管执法的量化判定标准,明确伪匿名化、去标识化冒充匿名化的具体情形,解决当前司法实践中判定标准单一的问题,是让监管执法有章可循。
二是强化处罚力度并深化双罚制,参照欧盟GDPR按营收比例处罚的模式,提高匿名化违规罚金上限,对大型平台、企业的故意伪匿名化行为从重处罚;同时将标准合规要求纳入企业负责人、技术负责人的责任范畴,对未落实匿名化标准、造成数据泄露的责任人追究行政乃至刑事责任。
三是构建“从标准到监管到执法”全链条协同体系,将两项国家标准落地与日常监管、行政处罚结合,把企业匿名化处理是否符合标准要求纳入合规检查重点,对未按标准实施匿名化的企业责令限期整改,整改不到位的依法处罚,与此同时建立标准动态更新机制,吸纳国外场景化认定、动态风险评估等经验,让匿名化标准与监管执法实践同频适配,筑牢数据安全与个人信息保护的双重防线。
结 语
数字经济时代,个人信息与数据的边界、匿名化后的数据归属,早已经不再是单纯的隐私问题,而是关乎个人权益保护、企业数据合规、数据要素市场化配置的核心议题。伪匿名化只会带来巨额代价,唯有坚守“合法匿名化”的底线,才能在数据合规与价值变现间找到平衡——合规,才是数据处理的唯一的“安全港”。
注释:
[1] 专家话两会 | 以改革攻坚加速数据价值释放-国家数据局
[2]捷克DPA因分享非匿名但非真正匿名的数据而被罚款——三边研究
[3]EDPS vs SRB:欧盟法院重新界定假名化数据的“个人数据”属性 - 安全内参 | 决策者的网络安全知识库
[4]瑞典数据保护局对谷歌 |欧洲数据保护委员会
[5]信息护航 数治同行-中国法院网
[6]国家标准计划 - 全国标准信息公共服务平台
声 明
本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1