欧盟对个人数据采取的是情境定义,即对个人数据的认定需要结合具体的数据环境,这决定了匿名数据与个人数据之间的界限是动态的。面对个人数据匿名化,欧盟既从宏观上规定了治理的基本原则,也从微观上提出了具体的操作指引。《一般数据保护条例》强调匿名化的结果,即不能通过"一切""可能""合理"的手段来识别数据主体。《第05/2014号意见:匿名化技术》关注匿名化过程,对个人数据匿名化的标准设定、风险评估、技术应用等具体问题进行了规定。这些举措共同形成了一个稳健的个人数据匿名化治理机制。我国有必要借鉴欧盟的经验,在立法层面,完善个人信息去识别化立法;在执法层面,建构基于风险的去识别化治理机制。

• 单位
  中国政法大学