APUS研究院｜GDPR實戰指南（七）並不簡單的「個人數據」判斷

在GDPR的合規實踐中，最困擾我們的一個問題就是法規的標準不夠明確，存在大量看似清晰但外延非常大的概念，而每一個概念的延伸都會導致合規方案設計的舉棋不定乃至直接影響產品數據，我們相信這不僅僅是我們所面臨的問題，也是同類型企業所共同面臨的痛點，比如本文討論的「個人數據」的邊界問題。

根據GDPR定義，個人數據是指已識別到的或可被識別的自然人（「數據主體」）的所有信息。可被識別的自然人是指其能夠被直接或間接通過識別要素得以識別的自然人，尤其是通過姓名、身份證號碼、定位數據、在線身份等識別數據，或者通過該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的一項或多項要素予以識別。

為了簡化表述，我們認為GDPR所保護的個人數據，是一種可以直接或間接識別自然人的數據。上述條文也列舉了一些參考，但是「等」字表明這並非窮盡式列舉，個人數據的外延會更廣。

那什麼是直接或間接地識別？一些設備信息，比如IMEI號，只能確認設備身份，是不是個人信息？進一步來講，如果對數據進行去標識化，是否可以認為這樣的數據不屬於用戶的個人數據？

目前為止，歐盟法院（CJEU）在Breyer案中似乎給出我們一些解決這個問題的思路。

在Breyer案中，歐盟法院就「動態IP地址」是否屬於95年的個人數據保護指令（以下簡稱「指令」）所定義的個人數據進行了澄清。

這個案件的直接結果，是確認在指令的框架下，如果一個公司通過結合其存儲的（動態）IP地址和互聯網服務提供者掌握的其他數據，可以識別一個自然人，並且該等公司有途徑可以訪問互聯網服務提供者掌握的前述其他數據，那麼對於這個公司來說，這些動態IP地址就屬於個人數據。但是比直接的判決結果更為重要的是，本案討論了何為「間接識別」。

在這個案件中，CJEU認為評價數據是否可以識別到個人，並不能只看單個採集數據的主體是否具有識別個人的能力。舉個例子，A公司搜集的數據1是不能直接識別用戶，但是數據1與B公司存儲的數據3結合起來是可以識別自然人的，並且A公司是具有「合理可能」的途徑接觸到B公司的數據3，那麼對於A公司來說，數據1就是法律保護的個人數據。這就是題述的「Breyer邏輯」。

一個關於95年的個人數據保護指令的問題為什麼對GDPR的合規有參考意義。原因很簡單，GDPR並非歐洲第一部數據保護的法律性文件，在此之前，指令是全歐範圍統一保護個人數據的主要規範。

在該指令中，個人數據的定義為：「個人數據」是指與已識別或可識別的自然人（「數據主體」）有關的任何信息; 可識別的人是指可直接或間接識別的自然人，尤其是通過身份證號碼或具體到自然人的物理、生理、心理、經濟、文化或社會身份的一個或多個因素。

可以看出，除了沒有列舉重點數據外，這個定義和目前GDPR的定義基本相同。因此，我們認為這個案例對GDPR合規具有非常強的參考意義。

這個案例主要講的是，德國的政府機構通過網頁提供在線的媒體服務，為了確定服務對象，網站伺服器必須確定訪客的IP地址，因此，當訪客訪問網頁時，其IP地址及其他如訪問時間等信息都會傳輸到網頁的伺服器，德國政府會記錄並存儲這些信息。

這裡強調一下，CJEU在其判決意見中特別進行了辨別，「德國政府」在本案中搜集存儲動態IP地址的行為並不是在行使公權力，而只是作為一個普通的在線媒體運營者，和Youtube，優酷都是一樣的。為了防止混淆，我們給他起個名字叫「德國官媒」。

Breyer先生瀏覽了德國官媒的這些網頁，但是和其他訪客不同，他認為德國官媒對動態IP地址的採集違反了數據保護的法律規範，並把德國官媒告上法庭。

進入實質討論前先講幾個概念，ISP是互聯網（接入）服務提供商，我們可以理解成是德國的電信和聯通。動態IP，就是你每上一次網，ISP（互聯網（接入）服務提供商）就會給你提供一組數字，表示你在互聯網世界的位置。

CJEU首先指出，和靜態IP地址不同的是，動態IP地址本身是沒有辦法識別到一個用戶的。運營網站的德國政府機構也沒有辦法通過自身掌握的信息識別一個具體的用戶。但是如果結合Breyer先生的ISP存儲的一些其他數據，德國政府機構就可以識別到Breyer。

根據之前對標準的說明，CJEU認為，儘管德國官媒無法僅通過動態IP地址識別到具體用戶，但是如果德國官媒可以訪問ISP存儲的其他數據，結合這些數據就是可以識別到具體用戶的。CJEU隨後將討論的焦點放在了德國官媒是不是擁有「合理且可能」的途徑來訪問ISP存儲的這些數據。道理很簡單，如果訪問不了，或者訪問需要花費龐大的人力和物力的話，CJEU也認為德國官媒拿手裡這些動態IP地址沒什麼辦法。

德國法律是明確禁止ISP向在線媒體服務提供者直接傳輸有助於識別到數據主體的數據的。既然法律都禁止了，那也就沒什麼「合理且可能」的途徑了吧？但是CJEU說，德國法律還規定，在發生網路攻擊的情況下，在線媒體服務提供者有權聯繫有執法權的機關（暫且認為是德國警察局吧），使得德國警察局可以向ISP索要與動態IP地址結合後可以識別到自然人的信息，以便德國警察局完成對具體的自然人的識別並進一步實施逮捕或其他措施。

因此，CJEU認為既然德國官媒可以在德國警察局和ISP的數據的協助下，用自己存儲的動態地址識別到自然人，那麼德國官媒就是擁有「合理且可能」的途徑的。因此，對於德國官媒來說，他們存儲的這些動態IP地址，應該被認為是指令框架下的個人數據。

儘管CJEU這樣的觀點引發了很大的爭議，但至少我們對「個人數據」的概念，有了更明確的認識。那就是，因為GDPR框架下的「間接識別」，使得我們基本無法對某數據是不是個人數據進行一個靜態的判斷。

舉個例子，比如說「穿紅色衣服的人」本身並不能表示某一個具體的個人。但如果在某次活動上，只有一個穿紅色衣服的參與者，且這個活動需要把參與者衣著的顏色和參與者身份聯繫在一起，那麼「穿紅色衣服的人」就變成了個人數據。

當然這只是一個極端的例子。考慮到匿名化數據的操作問題，我們認為歐盟可能不會對數據和個人身份的關聯如此較真。但回到IMEI號是否屬於個人數據的問題上，我們認為被認定的概率相當之大。因為按照Breyer案確定的標準，只要公司具有「合理且可能」的途徑可以藉助其他數據來用自己存儲的數據確定用戶身份，那麼很大概率這些數據就屬於個人數據。

Google在其開發者政策中心裡明確說明：

在未獲得用戶明確許可的情況下，廣告標識符（Advertising Identifier，下稱「廣告ID」）不得與個人身份信息或任何永久性設備標識符（例如：SSAID、MAC 地址、IMEI等）相關聯。

這同時表明Google對這類信息也非常敏感。那另一個問題，Google的廣告ID，是否是個人數據呢？這個答案就留給各位去思考。

我們把Breyer邏輯引入公司或者集團內部。很多人認為，只要將可以識別身份的信息從用戶數據中剝離，那麼剩下的數據就可以不受GDPR管轄任意使用。我們理解這樣的想法是不嚴謹的。至少有三個問題需要確認：

第一點，被剝離的、可以識別用戶身份的信息是否被徹底刪除？如果沒有，那最多算你對用戶數據進行了假名化。研究GDPR的朋友們一定知道，假名化數據仍然屬於個人數據。

第二點，從剩餘數據中，是否真的無法推測出用戶的身份？用個術語，是否實現了用戶數據的「匿名化」。這樣的判斷基於公司的畫像能力，也基於公司數據冗餘的策略。

第三點，公司是否具有「合理且可能」的途徑，藉助其他數據或其他手段，通過剩餘數據來識別推測出用戶的身份？比如經過剝離，表明用戶身份的數據和其他數據雖然存儲在不同的部門或實體，但也有可能被認定為具有「合理且可能」的途徑。

高度抽象是法律規則介入技術領域的一個必然產物，而GDPR也為此提出的解決方案，即合規認證（Certification）和行為準側（Code of Conducts），也依賴於歐洲數據保護委員會（European Data Protection Board）和各地數據主管機構的進一步澄清。因此對於每一個需要進行GDPR合規的出海企業，仍需持續關注歐洲的執法實踐和解讀文件，在沒有更進一步的明確規則和解讀之前，我們建議在產品實踐中對個人數據的界定可以借鑒Breyer邏輯進行謹慎判斷，對於不能完全排除個人數據可能的數據類型應當在產品設計採取類比個人數據的同意方案。

· APUS研究院，致力於研究數據合規的前沿問題，持續跟進高新行業的合規熱點和動態

http://campaign-api.apusapps.com/wechat/gdpr/ (二維碼自動識別)