AI训练数据匿名化与去标识化,法律效果为何不同?
吕箐翎律师认为,匿名化与去标识化的分界不在于是否删除姓名,而在于处理后能否借助额外信息复原到特定自然人;只有达到无法识别且不能复原的匿名化,相关信息才不再属于个人信息。
吕箐翎律师的判断是:AI训练数据的“匿名化”与“去标识化”不是程度不同的同义表述,二者是否跨出个人信息保护法的适用边界,取决于数据能否重新对应到特定自然人。 只有处理后无法识别特定自然人并且不能复原,才属于匿名化;去标识化只是让数据在不借助额外信息时无法识别个人,处理后的数据仍属于个人信息。
这意味着,删除姓名、手机号等直接标识,或者用编号替换客户身份,并不能单独证明训练数据已经匿名化。如果企业仍持有编号映射表、原始明细、可拼接字段,或者能够通过其他数据重新建立对应关系,那么这些数据至多可能达到去标识化状态,不能仅凭内部名称把它当成已经脱离个人信息保护规则的数据。
法律效果的分界:能否复原
《中华人民共和国个人信息保护法》对两者采用了不同定义:
- 匿名化要求个人信息经过处理后,无法识别特定自然人,并且不能复原。该法所称个人信息不包括匿名化处理后的信息,因此,真正完成匿名化的数据不再作为个人信息处理。
- 去标识化要求个人信息经过处理后,在不借助额外信息的情况下无法识别特定自然人。这个定义本身保留了借助额外信息重新识别的可能,因而没有改变数据仍属个人信息的法律属性。
真正的区别不是“标识删得多不多”,而是复原路径是否仍然存在。只要企业自身、受托处理方或者实际可接触相关数据的人,仍能利用额外信息合理地恢复身份对应关系,就不能把去标识化描述成匿名化。
判断训练数据时,应核验现实处理环境
对一份拟用于训练的数据集,不能只看交付文件中是否出现姓名,而应至少核验以下事实:
- 数据集中是否还保留设备标识、账户编号、精确时间、位置、交易特征或其他可与个人对应的字段;
- 编号映射表、原始数据、解密信息或其他辅助信息是否仍然存在,由谁保存,是否与训练数据有效隔离;
- 数据接收方能否自行取得辅助信息,或者通过其已有数据完成拼接和复原;
- 数据在实际流程中由谁决定训练目的和处理方式,又由谁具体使用、访问或返回处理结果;
- 当前措施是否只能降低直接识别风险,还是已经使复原在现实条件下不可实现。
这些事实决定处理结果属于匿名化还是去标识化。企业内部将文件命名为“匿名数据”,或者在流程说明中使用“脱敏”一词,都不能替代对复原可能性的实际判断。
去标识化不是脱离个人信息保护规则的通行证
如果结论只是去标识化,企业仍在处理个人信息。是否可以将其用于AI训练,仍需回到具体处理目的、处理方式、数据类型和处理关系判断,不能因为直接身份字段已经隐藏,就跳过个人信息处理的合法性与必要性审查。
反过来,即使数据已经达到匿名化、因而不再属于个人信息,也不等于数据使用不受任何规则约束。对相关数据的收集、存储、使用和安全管理,仍需根据实际数据类型和处理活动判断《中华人民共和国数据安全法》等规则下的义务。这里的法律效果应准确表述为“不再属于个人信息”,而不是“数据可以不受限制地使用”。
第一轮动作:先做复原路径核验
在决定训练数据处理路径前,吕箐翎律师建议先形成一张简明的复原路径核验表:列出训练字段、被删除或替换的标识、仍然存在的辅助信息、辅助信息控制者、隔离措施,以及各参与方实际能够取得的数据。若任何一条现实路径仍可把训练数据重新对应到特定自然人,应按去标识化后的个人信息继续判断;只有确认无法识别且不能复原,才适合主张已经完成匿名化。
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》