今天和大家分享的是公号君结合此前提出的封闭计算环境理念【从假名化与匿名化的区分看待封闭计算环境的数据流通价值】,对EDPB 新版匿名化指引的学习体会。
封闭计算环境不是单纯的物理或逻辑容器,而是通过技术、组织和法律措施,对给定数据、附加信息、计算功能、主体协作、结果输出和后续行动设置可验证边界,使相关实体无法通过合理可能使用的手段区分并区别对待特定个人的处理架构。
EDPB 02/2026 并未降低匿名化标准,也没有创设一种低于匿名化的中间法律类别;它明确的是匿名性判断的实体相对性和场景依赖性。因此,封闭计算环境的法律意义,不在于把数据本体自动转化为匿名数据,而在于通过计算环境设计和构建,重构环境中的相关实体对给定数据、附加信息、计算能力、协作渠道和输出结果的可得性,改变其“合理可能使用的识别手段”,并为特定实体视角下的匿名性提供可审计、可验证的事实基础。
欧盟数据保护委员会(EDPB)于2026年7月7日通过的《匿名化指引(02/2026)》1.0版公众咨询文本。相比于WP216【即第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)】,02/2026指引的主要变化,是将匿名性从对数据集本身的抽象判断,重构为对给定数据、相关主体、适用视角、可用识别手段、处理目的和时间条件的综合判断。
此前公号君提出的封闭计算环境,其法律意义也应据此理解:它不能使进入环境的数据当然成为匿名数据,但可以通过控制数据访问、附加信息、计算能力、主体协作和结果输出,系统性地限制相关主体识别个人的条件,并为匿名性结论提供可验证的事实基础。
本文是公号君从封闭计算环境角度来理解EDPB的02/2026指引的学习体会。
第一部分 新指引对WP216的更新与深化
一、从数据技术评估扩展为法律与场景的综合评估
匿名化始终面临数据效用与识别风险之间的张力。对数据进行更充分的删除、泛化、聚合或扰动,通常有助于降低识别风险,但也可能削弱数据的分析价值;保留更多维度、更高精度和更长时间跨度,则有利于分析,却会增加联结和推断的可能性。
WP216为这一问题建立了重要的技术分析基础。该意见提出单独定位、链接和推断三项标准,明确删除姓名等直接标识符并不等于匿名化,也提醒控制者关注准标识符、外部数据和组合攻击。就匿名化技术及其局限而言,WP216仍具有基础性价值。
问题主要出现在后续适用方式上。实践中,WP216经常被解释为接近绝对的标准:评估重点集中于数据集自身是否仍存在任何可以设想的识别路径,而对具体接收者是否能够获得数据、是否掌握附加信息、不同主体的能力能否汇合、数据被允许用于何种目的等因素,缺乏统一的法律分析结构。在这种理解下,只要记录具有独特性,或者某处仍保留原始数据、映射表或其他可用于匹配的信息,匿名化主张即容易被否定。
02/2026并未否定WP216,而是在GDPR第26号前言及近年欧洲法院判例的基础上,对其进行更新和细化。新指引保留三项技术标准,同时将其纳入更完整的法律框架。匿名性判断不再仅回答“数据中还保留了什么”,而是进一步回答:哪些主体可能接触给定数据;这些主体分别能够取得哪些信息和能力;相关能力是否可以通过第三方或主体链条结合;在当前及可预见的条件下,识别个人的可能性是否已经降至现实中微不足道。
因此,02/2026所完成的并非简单的技术规则修订,而是分析重心的调整。数据属性仍然重要,但不再是唯一变量;数据所处的处理场景、主体关系和可用手段被正式纳入匿名性判断的核心结构。
二、匿名性改为逐相关主体和适用视角判断
新指引以“给定数据”“相关主体”和“适用视角”为基本概念。匿名性评估首先要确定,正在评价的是哪一份数据,以及该数据拟对哪些主体保持匿名。输入数据、计算中间态、聚合结果、模型和报告即使属于同一项目,也可能具有不同的法律属性,不能统一作出结论。
新指引明确,同一信息可以对某一主体构成个人数据,而对另一主体构成匿名信息。源数据控制者可能仍掌握真实身份、原始记录、映射关系或其他附加信息,因此数据对其仍然是个人数据;真正独立且无法取得这些信息的研究机构或其他接收者,则可能从自身视角将同一信息视为匿名数据(第6至12段)。
这里的“相对性”不是降低匿名化标准。匿名数据仍须不再关涉已识别或可识别的自然人。相对性体现在评估视角:不同主体拥有的数据、权限、法律渠道、技术能力和合作关系并不相同,因此“能否识别”的答案可以不同。换言之,相对性属于判断对象和判断视角,而不属于保护水平。
适用视角也不必然等同于实际持有数据者自身的视角。若某主体代表控制者处理数据,例如云服务商、分析机构或数据清洗室运营方作为处理者提供服务,数据是否属于个人数据通常应从控制者的视角判断。处理者不能仅因其技术上无法读取明文,就主张数据对其匿名并脱离GDPR。相反,若接收者独立决定处理目的和手段,不接受源数据方指示,且数据不会返回源数据方,则可以从该独立接收者自身的视角进行判断(第15段及例3、例4)。
这一变化具有直接的实务意义。匿名性分析的第一步不再是选择脱敏算法,而是确定数据层次、参与主体、法律角色和匿名目标。控制者、处理者、共同控制者与独立接收者的区分,决定了应采用何种视角,也决定了匿名化能否对某一主体产生退出GDPR适用范围的效果。
三、识别的核心从知悉身份转向区分并可能差别对待
新指引将“识别”界定为:在给定场景中将一名自然人与其他人区分开,并因此使对其作不同处理成为可能(第19段)。这一界定纠正了将识别等同于知悉姓名、身份证号码或其他正式身份信息的狭窄理解。
稳定的设备指纹、用户令牌或假名,即使不直接显示姓名,只要能够跨场景持续区分同一人、形成画像,并据此决定向其展示何种广告、给予何种排序或作出何种评价,该自然人即可能已经被识别。新指引例6对此作了明确说明:第三方广告服务商虽未取得姓名、IP地址或电子邮箱,但能够利用设备指纹衍生的假名识别用户、连接其行为并实施定向投放,因此相关用户对该服务商而言属于已识别或可识别的个人。
这一定义使匿名化标准更接近数据保护法的实际保护目的。法律关注的并非数据使用者是否知道某人的法定身份,而是其是否能够稳定区分该人,并将数据用于对其作出有实际影响的处理。由此,匿名化评估必须同时关注数据结构和处理功能。某项输出即使不含直接标识符,只要仍能支持个体级匹配、评分、推荐、拒绝、定向投放或其他差别化处理,通常不能认定为匿名。
另一方面,记录具有唯一性并不必然等于个人已经可识别。高维数据中可能存在大量唯一记录,但如果相关主体无法将记录同现实中的个人对应,也无法据此对其采取行动,仍需继续分析联结、推断和具体使用场景,而不能仅因唯一性直接否定匿名性。新指引由此将“记录能够被隔离”与“个人能够被识别”作了区分。
四、“合理可能使用的手段”被具体化为主体能力和手段链分析
“合理可能使用的手段”是新指引的核心概念。识别手段的范围很广,包括查阅文件、网络检索、调用公开数据库、运行统计分析、使用人工智能工具,以及委托第三方实施复杂重识别等(第26至29段)。评估对象不是某一主体当前已经使用的手段,而是其在现实中合理可能使用的全部手段。
新指引特别强调,主体的识别能力不以其自身独立完成识别为限。某一接收方可能没有实施重识别的技术能力,但可以轻易聘请专业机构;某一参与方可能无法取得映射表,却可以将数据转交给掌握身份信息的合作伙伴;不同主体分别掌握数据、密钥、成员名单或计算能力,也可能通过合作、串通或传输形成完整的识别路径。在这些情形下,必须评价整个“识别手段链”是否合理可能形成。
判断某种手段是否合理可能被使用,应依据客观因素。新指引列举的因素包括:数据是否为记录级数据或聚合数据;数据的维度、精度、准确性和记录独特性;数据所处环境是否存在有效且持续的访问限制;附加信息是否存在以及能否取得;取得信息所需的时间、成本和人力;当前可用技术以及可合理预见的技术发展(第29段)。
新指引同时限制了两个常见论据。第一,不能主要依赖“相关人员没有重识别动机”。动机难以客观证明,可能随时间变化,识别也可能因事故、过失、外部压力或非法入侵而发生。法律论证应当以能力、机会和可用路径是否受限为中心。识别所得信息的价值、实施成本和行为人承担的风险可以作为辅助因素,但不能替代能力分析(第31段)。
第二,合同禁止重识别不等同于法律禁止。合同条款可以补充技术和组织措施,也可以提高违规成本,但其本身可能被修改、规避或无视。只有在条款可靠、可验证、可执行,并与实质性技术限制共同发挥作用时,才可能影响某种识别手段是否合理可能被使用。合同措施不能单独证明数据已经匿名(第34段)。
五、三项技术标准被重构为分层的风险判断框架
02/2026保留了WP216的三项测试,但对名称、定义和体系地位均作了调整。三项标准分别为无记录隔离(No Record Isolation)、无联结(No Linkage)和无推断(No Inference)(第52段以下)。
无记录隔离关注给定数据中是否存在只关涉一人的独特属性组合。数据维度越高、精度越细、记录越长,出现唯一记录的可能性越大。但新指引明确,唯一记录只是识别风险的一个前提。能否据此把现实中的个人从其他人中区分出来,仍取决于是否存在匹配信息、成员知识、外部数据和后续使用能力。
无联结关注给定数据中的记录能否与另一数据集中的记录连接,并以确定或高度可能的方式指向同一人。联结可以通过共同标识符实现,也可以通过生日、地区、职业、购买组合、行为模式、轨迹或桥接数据实现。数据中存在一定噪声并不当然排除联结,因为模糊匹配仍可能取得较高准确度。
无推断关注能否从给定数据得出“具体且有意义”的推断(第67段)。所谓具体,是推断结果关涉一名已识别或可识别的个人;所谓有意义,是推断依赖给定数据,可能影响该人的权利或利益,且不能仅从一般知识或总体数据得出。由历史数据总结出总体规律,再将该规律应用于一个从未进入原始数据集的人,通常不因此使原数据成为个人数据。相反,若可以从聚合结果反推出某一员工的薪酬、某一患者的诊断、某人的成员资格或其他个体属性,则可能违反无推断标准。
三项标准的体系地位也发生变化。三项标准全部满足时,可以较有把握地认定数据匿名;某一项未满足时,并不当然得出数据必然属于个人数据的结论,而应继续评价该缺陷是否足以使具体个人被区分并受到差别化处理。三项标准由此成为识别风险、检验攻击有效性和形成后续法律判断的结构化工具,而不再被机械地理解为任一项失败即否定匿名性的绝对门槛。
六、场景化进路与简化进路承担不同功能
新指引提供两种评估进路。场景化进路根据不同相关主体的实际能力分别进行评价,是法律标准的完整体现;简化进路则暂时忽略主体之间在数据访问、附加信息和资源方面的差异,采用更为保守的统一假设(第45至49段)。
简化进路不是另一项法律标准。其功能是降低错误认定匿名的风险,但代价是可能将实际上对某些主体已经匿名的数据继续作为个人数据处理。未通过简化测试,不等于控制者已经承认数据必然属于个人数据,也不能据此直接证明控制者违法。
两种进路可以结合使用。控制者可以先以简化进路筛查理论上可能存在的记录隔离、联结和推断方法;如果发现理论攻击路径,再转入场景化进路,评价具体相关主体能否实际取得数据、附加信息和必要能力。对公开发布的数据,简化进路通常更为稳妥;对访问受到严格控制的数据,场景化进路更能准确反映不同主体之间客观存在的能力差异。
七、匿名化被明确为需要持续维护的合规状态
02/2026进一步系统说明了匿名化处理本身的合规义务(第37至42段)。为产生匿名信息而进行的数据收集、转换、匹配、聚合、测试和删除,仍然属于个人数据处理,必须具备GDPR第6条下的法律基础;涉及特殊类别数据时,还须满足第9条规定的条件。控制者还应履行透明度义务,准确说明处理目的,不得在个人仍可识别时使用“匿名”“去个人化”等具有误导性的表述。
新指引特别强调文档化和重新评估。控制者应当保存匿名化方法、攻击测试、风险判断和结论形成过程的记录,以证明匿名化过程符合法律要求,且匿名化结果具有充分依据。若安全事件导致原本保密的密钥、映射关系或辅助信息泄露,原有匿名性结论可能需要重新评估,并可能触发数据泄露通知义务。
匿名性还具有明确的时间维度。重识别技术会持续发展,公开数据和泄露数据会不断增加,人工智能会降低信息检索、组合和分析的成本。如果识别可能性由现实中微不足道上升至不可忽略,原本匿名的数据可能重新成为个人数据(第35段)。新指引因此要求场景化评估保留适当的安全余量,并鼓励定期复评。
综合而言,02/2026对WP216的深化可以概括为三个方面:匿名性由数据集的静态属性转变为数据与主体之间的关系判断;识别风险由单一技术攻击转变为对主体能力和手段链的综合分析;匿名化由一次性技术结果转变为需要持续证明和维护的合规状态。封闭计算环境正是在这一框架下获得了更为明确的法律定位。
第二部分 封闭计算环境如何落实新指引的判断框架
一、封闭计算环境的法律功能在于治理可识别性条件
封闭计算环境不是某一种单一技术。安全研究环境、数据安全沙箱、数据清洗室、可信执行环境、机密计算平台、安全多方计算和受控模型训练平台,都可以被纳入广义的封闭计算环境。【见从假名化与匿名化的区分看待封闭计算环境的数据流通价值】
其共同特征是:数据、人员、代码、计算功能和输出通道被置于受控边界内;未经授权者不能直接取得数据;身份映射与分析职能相互分离;用户只能执行经过许可的计算;只有通过审查的结果能够离开环境。
传统匿名化主要通过改变数据本身降低识别风险,例如删除直接标识符、泛化准标识符、聚合记录或加入噪声。封闭计算环境主要改变数据被处理和使用的条件,包括谁可以访问数据、谁可以取得附加信息、不同主体是否能够协作、用户可以执行何种查询、何种结果可以输出,以及输出能否被用于对特定个人采取行动。本文将这一设计思路概括为“可识别性场景治理”。
可识别性场景治理不是GDPR下新的法律类别。其作用是通过技术、组织和法律安排,改变相关主体合理可能使用的识别手段。它与数据层匿名化并非替代关系。对高维或记录级数据,环境内仍可能需要假名化、最小化、泛化等处理;在输出边界,通常还需要聚合、抑制、扰动或差分隐私。较为稳健的方案,是在受控环境内保留必要的分析能力,同时在数据进入、计算执行和结果输出三个环节分别设置风险控制。
新指引明确指出,技术、组织和合同措施可以限制访问,但这些措施本身不足以证明匿名(第90段)。因此,封闭环境的法律逻辑应当分为两个步骤。第一步,通过访问控制、附加信息隔离、查询限制和出域治理,收窄相关主体及其合理可能使用的识别手段。第二步,对仍然相关的主体分别适用无记录隔离、无联结和无推断三项标准。环境控制构成匿名性判断的事实基础,但不代替匿名性判断本身。
二、新指引与封闭计算环境形成双向对应
新指引为封闭环境的设计提供了明确的规范接口。相关主体和适用视角的判断,对应准入、身份、权限和法律角色设计;附加信息及识别手段链的分析,对应映射托管、密钥分离、数据导入和主体协作控制;无记录隔离、无联结和无推断三项标准,对应聚合、抑制、令牌设计、查询预算、噪声和模型测试;访问限制必须有效且持续,对应网络安全、生命周期管理、事件响应和存续安排;文档化义务,则对应日志、审计记录和匿名性保证档案。
封闭环境反过来使场景化进路具备更强的可操作性。公开发布的数据面向不确定的接收者,潜在主体难以枚举,外部附加信息无法穷尽,发布后也难以收回。封闭环境虽不能消除全部外部风险,但可以将关键事实转化为可以核验的系统记录:谁获得访问权限,可以通过准入名录确认;哪些数据和代码进入环境,可以通过入域记录确认;执行过何种查询,可以通过日志确认;哪些结果离开环境,可以通过输出记录确认。
这一区别具有证明意义。对公开发布的数据,“任何相关主体均无法识别”通常是一个范围广泛的否定性命题;对封闭环境中的数据,匿名性论证可以被分解为一组具体的肯定性命题,例如访问限制是否有效、映射分离是否真实、查询预算是否执行、输出审查是否覆盖累计披露。环境在运行过程中持续产生支持或反驳这些命题的证据。
封闭环境还为动态匿名性提供了执行条件。当重识别风险发生变化时,环境可以提高聚合阈值、降低输出精度、减少查询次数、调整隐私预算、撤销账号、暂停特定数据域或更新模型接口。公开发布的数据通常不具备相同程度的可调整性和可撤回性。对于高维、持续查询和长期运行的数据利用,受控访问因而更适合新指引所要求的持续评估和风险维护。
三、评估前提:分别确定数据层次、处理用途和法律角色
封闭环境项目首先应当进行数据分层。至少需要区分输入数据、计算中间态和最终输出。输入数据通常仍是假名化个人数据,源数据方往往掌握真实身份、原始记录或生成假名的能力。计算中间态可能包括匹配表、临时记录、特征向量、梯度、模型参数和日志,其识别风险有时高于最终输出。最终输出则可能是聚合统计、研究结论、模型、合成数据或API响应。三类数据的法律属性可能不同,不能以环境整体为单位作出统一定性。
其次,应当确定处理用途。项目究竟用于总体研究、统计测量和联合洞察,还是用于生成个人名单、风险评分、可寻址受众或个体化指令?用途直接影响信息是否被用于评价、影响或差别对待特定个人。总体洞察型用途可能形成匿名输出;个体激活型用途的功能本身就是识别并影响个人,通常应继续作为个人数据处理。
再次,应当明确各参与方的法律角色。源数据方可能是控制者;环境运营方可能是处理者,也可能因共同决定匹配逻辑、处理目的和输出规则而构成共同控制者;研究机构或其他接收者可能是独立控制者。角色判断应先于匿名性判断。特别是,运营方不能因为可信执行环境或密钥分持使其无法读取明文,就据此主张输入数据对其匿名。若其代表控制者处理数据,仍应采用控制者视角。
匿名性结论应采用限定式表述,例如:“数据D在处理阶段S,对主体E,在用途C和时间T下,被评估为匿名。”这一表述要求评估者明确对象、主体、阶段、用途和时间,避免使用“该清洗室是匿名的”“进入环境的数据均不受GDPR约束”等过度概括的表达。
四、将相关主体及其关系转化为可核验的访问拓扑
新指引要求先确定哪些主体应纳入匿名性评估。封闭环境的第一项作用,是将可能接触给定数据的主体从不确定范围收窄为可以登记、审计和复评的集合。第9段指出,若某主体不能实际访问或处理给定数据,与有访问能力的主体或主体链不存在实质联系,也不太可能从这些主体取得数据,则无需从其视角评价匿名性。封闭环境的准入、隔离和出域设计可以直接对应这些条件。
基础控制通常包括网络和物理隔离、白名单准入、强身份认证、最小权限、受控终端、会话管理、敏感操作双人授权和离职即时撤权。对特权管理员,还应实施职责分离、不可篡改日志和异常行为监测。设计目标不是证明参与者具有持续善意,而是证明即使其意图发生变化,其实际能力仍受到约束。
评估对象不能仅限于正常授权用户。还应根据具体场景考虑违规员工、供应链服务商、网络攻击者、可能接受数据转移的第三方、依法调取数据的公共机关,以及可能提供关键辅助信息的亲友、同事或业务伙伴。新指引并不要求每个项目机械地评价所有主体,但评估文件应说明某类主体为何被纳入或排除,以及其可能通过何种方式参与识别手段链。
主体之间的关系同样需要建模。两家参与方分别不具备完整识别能力,并不意味着其能力结合后仍然不足。共享内部标识、人员双重任职、关联公司控制、外包重识别和合同外数据交换,都可能使分散的信息和能力重新汇合。环境应通过组织隔离、参与方之间的逻辑隔离、禁止稳定跨方标识、查询语义检查和异常协同行为监测,降低串通和能力组合的可能性。
安全状态本身也是匿名性判断的客观事实。外部攻击者是否应被视为相关主体,不能仅依据入侵行为违法作出判断,还要评价系统是否存在现实可利用的漏洞。如果网络安全长期未更新、供应链缺乏控制或凭据管理薄弱,非法访问仍可能属于合理可能使用的手段。持续更新安全措施、开展渗透测试和监测异常事件,则可以支持将部分攻击路径降至现实中微不足道。
五、隔离映射关系和附加信息,并对入域数据与代码实施控制
假名化数据的识别风险通常不只取决于假名本身,更取决于谁掌握映射表、盐值、密钥、原始客户关系管理数据、成员名单及其他桥接信息。新指引要求评价这些附加信息能否被相关主体通过合理可能使用的手段取得。
封闭环境的重要设计,是将分析域与再识别域分离。映射表、密钥和对照档案由独立职能或独立托管方控制;分析人员在授权上没有合法渠道,在技术上也没有现实渠道取得这些信息。紧急访问、备份、容灾副本和运维接口必须纳入同一控制体系,不能在主系统之外形成未受治理的识别路径。
令牌设计会直接影响联结风险。跨项目、跨合作方长期稳定的标识,容易成为连接不同数据集的桥梁。目的专属、数据集专属或会话专属的令牌,更有利于限制联结。对电子邮箱、手机号码等低熵标识直接进行无盐哈希并不可靠,因为攻击者可以通过字典计算重新生成标识。加盐、密钥化令牌和分权托管可以降低风险,但仍须评价盐值、密钥和生成能力分别由谁掌握,以及这些能力能否通过主体链条汇合。
托管分离不是使风险消失,而是将风险集中到一个可以单独评价和治理的位置。托管方本身属于相关主体,应当评价其法律角色、司法辖区、访问权限、被强制披露的可能及其与其他参与方的控制关系。只有当识别所需的信息和能力无法通过合理可能的路径重新组合,托管分离才具有实质法律意义。
封闭环境还必须控制进入环境的数据和代码。如果用户可以任意上传外部名单、公开数据、泄露数据库或自定义程序,环境本身可能被用于联结或推断。入域数据应实行白名单和用途审查,记录来源、字段、精度、成员范围和允许用途,并评价其是否构成新的桥接数据或附加信息。入域代码应限制网络访问、文件系统权限、运行时间和可调用功能,并审查是否包含枚举、扫描、数据编码或侧信道输出能力。
查询模板、模型和提示词同样可能被用于逐步提取个体信息,也应纳入入域治理。在多方计算和可信执行环境中,恶意参与方还可能通过构造特定输入观察输出变化,或者将标识信息编码于字段、排序、时间戳和缺失模式之中。环境应对输入语义、取值范围、批次结构和异常模式进行校验,防止利用非正式信号绕过标识控制。
六、将三项标准转化为查询、输出和累计披露规则
封闭环境的核心设计原则,是在受控边界内保留必要的计算能力,并在输出环节集中控制识别风险。但这并不意味着环境内数据可以不受限制,也不意味着任何聚合结果都属于匿名信息。无记录隔离、无联结和无推断必须被转化为具体的查询、输出和累计披露规则。
首先,无记录隔离要求控制单一记录或极小群体在输出中的可见性。最小群体规模、精度泛化、小单元格抑制和离群值控制,均可降低记录被隔离的风险。但固定的k值并非法律安全港。一个单元格即使包含较多人,若组内取值完全相同或高度集中,仍可能泄露每个成员的属性;罕见疾病、极端薪酬或独特轨迹也可能在较大群体中保持显著性。因此,输出审查不仅要评价单元格规模,还应评价组内分布、属性敏感性、离群值和外部成员知识。
其次,无联结要求限制输出与其他数据集建立稳定对应关系的可能性。输出不应包含稳定个人标识、可重复使用的匹配键或过细的准标识符组合。地区、年龄、时间、职业和行为维度的交叉细分,可能使聚合结果重新与参与方已有客户数据连接。联结测试应以能力最强的相关主体为基准,模拟其已经掌握的客户数据、成员名单和公开信息,而不能仅从普通公众视角判断。测试范围还应覆盖同一项目的历史输出和相关数据域,因为多个结果之间可能形成桥接关系。
再次,无推断要求将治理单位从单次查询扩展为累计披露。两次分别看来安全的查询可以通过相减定位个人,大量统计结果可以被联立重构底层记录,不同用户还可能分摊查询以规避限制。环境应限制查询次数、维度和精度,识别高度重叠的人群查询,跨会话和跨用户核算预算,并对异常查询序列实施自动告警。输出审核还应检查数值、缺失值、极端分布及不同结果之间的组合关系,因为某项数值的缺失本身也可能泄露个体信息。
差分隐私在这一环节具有重要作用。新指引提出,可以比较包含某人记录的数据集与删除该人记录的数据集所得结果,以判断某项推断是否真正依赖该人的数据(第71段及脚注43、44)。这一方法与差分隐私的相邻数据集思想具有明显的方法论联系。通过限制单一记录对输出分布的影响,差分隐私可以为“输出主要反映总体规律,而非依赖某一人的数据”提供技术证据。但新指引没有规定固定的ε值,隐私预算的选择、组合核算和效用权衡仍需个案论证。差分隐私可以强化匿名性证明,但不能自动替代法律判断。
模型和合成数据也属于输出治理对象。模型可能记忆训练样本,对外接口可能受到成员推断、模型反演、提示提取和属性推断攻击。不能因为离开环境的是模型、向量或代码,就将其视为与数据无关的成果。模型出域前应进行记忆化、成员推断和重构测试;对外提供查询接口时,还应限制调用频率、提示范围和响应精度,并将长期交互纳入累计披露评估。
环境内保留高维、记录级数据需要谨慎评价。新指引不再将记录唯一性本身等同于个人已经可识别,这为保留一定分析效用提供了空间。但前提是相关主体无法将唯一记录与现实个人连接,也不能根据记录对个人采取行动。若授权分析人员能够浏览个体记录、结合成员知识定位个人,或者输出可以回连身份,高维记录仍然属于个人数据。封闭环境并不免除对数据属性的分析,而是要求将数据属性与处理场景共同评价。
七、出域控制应同时覆盖信息转移和个体化行动
新指引将“把数据交给具备识别能力的第三方”明确纳入识别手段(第20、21段)。若环境用户能够将记录级数据或足够丰富的中间结果提供给外部主体,原先关于该用户自身缺乏识别能力的判断可能失去基础。因此,出域控制是手段链分析的构成性条件,而非一般性的安全附加措施。
出域不限于下载数据表。截图、剪贴板、人工誊录、日志、嵌入向量、模型参数、稳定令牌、API响应、图表底稿和能够驱动个体行动的指令,都可能使信息离开环境。较为稳健的设计是默认禁止出域,仅开放白名单化的结果通道;对输出实施自动审查,并在高风险场景保留人工复核;限制终端外设、批量复制和非授权网络通道;对所有放行结果进行留痕,并能够追溯至相应查询和审批。
还应控制“行动出域”。某些系统不输出姓名或逐行记录,却输出稳定用户标识、受众列表、个人评分,或者直接向广告系统回传针对特定用户的指令。这些结果的功能是对个人实施差别化处理。即使传输内容采用加密或假名形式,也通常难以认定为匿名。匿名性评估必须覆盖结果是否使下游系统能够对特定个人采取行动,而不能仅审查输出文件是否包含直接标识符。
据此,应当明确区分洞察型环境与激活型环境。洞察型环境用于总体统计、交叉覆盖率、研究结论、模型性能或群体趋势;只要输出不能稳定指向个人、不能有效联结,也不能支持针对个人的具体且有意义的推断,就存在形成匿名输出的可能。激活型环境用于生成可寻址名单、稳定标识、个人级评分、个体推荐或投放信号,其业务功能本身即依赖对具体个人的区分和影响,通常仍应按照个人数据处理。同一平台同时提供两类功能时,应分别定性,不能以测量模块的匿名输出概括整个系统。
八、将成员知识作为独立的风险变量
知悉某个人是否进入原始数据集,往往是后续联结和推断的重要前提。某人出现在癌症研究、戒毒治疗、工会、特定宗教或兴趣团体的数据集中,成员资格本身即可能具有敏感意义。新指引将成员推断明确列为风险类型(第79段)。
封闭环境可以通过隐藏成员名录、从更大总体抽样、抑制招募和计费元数据、分离数据采集人员与分析人员、减少精确批次和时间戳等方式,降低成员知识的可得性。输出和模型还应接受成员推断测试。
但在数据清洗室中,参与方通常知道自己提交了哪些客户,这一事实无法通过技术设计消除。此时不应假定成员知识不存在,而应将能力最强的相关主体设定为“同时掌握本方成员名单、客户属性和输出结果的参与方”,再检验输出是否仍不足以推出该客户的个体属性。成员知识不能被消除时,就必须通过维度粗化、噪声、预算和禁止个体回传,使成员知识无法转化为有效识别或具体推断。
九、按照主体能力建立分层威胁模型
封闭环境的威胁模型不应只考虑典型外部攻击者,而应逐类分析相关主体的能力路径。
对于授权人员和违规员工,重点在于特权账户、越权访问、日志规避、紧急访问通道和对托管密钥的非正常接触。控制措施应包括最小权限、职责分离、敏感操作双人批准、特权行为监测和离职即时撤权。法律论证不能停留于“员工没有动机”,而应证明其能力受到实质限制。
对于网络攻击者,重点在于外部渗透、勒索软件、供应链攻击和凭据窃取。环境设计除应降低被攻破的概率,还应降低攻破后的可识别后果。例如,即使攻击者取得分析域数据,如果映射关系、成员名单和关键附加信息仍被隔离,攻击者的识别能力可能仍受到限制。安全措施因而同时影响访问概率和泄露后的数据性质。
对于参与方及其合作伙伴,重点在于串通、外包重识别、共享内部标识和利用查询结果交换信息。技术控制应限制跨方稳定标识、异常查询序列和结果夹带;组织控制应明确角色分离、禁止串通、审计权和事件报告义务。合同措施只能作为技术控制的补充。
对于执法、司法或情报机关,评估应考虑其依法取得数据和附加信息的渠道、法域布局、密钥托管安排和跨境技术支持通道。公共机关能够取得环境数据,并不当然意味着可以完成识别;仍需进一步判断其能否取得映射、成员知识及其他必要信息。但若法律明确提供取得这些信息的现实渠道,该渠道通常属于合理可能使用的手段。
对于掌握个人生活信息的亲友、同事或邻居,风险主要来自成员知识、罕见属性和独特轨迹,而非复杂技术能力。相应控制包括限制这类主体接触数据、粗化高显著性属性,并在输出测试中模拟其可能掌握的背景信息。
这种分层威胁模型的目的,不是无限扩大相关主体范围,而是说明每类主体通过何种事实进入或退出分析。评估文件应当能够回答:该主体能否接触给定数据;能否取得关键附加信息;能否与其他主体形成手段链;其识别方法是否在现实中具有足够的准确性和可行性。
十、建立动态复评、可撤回机制和匿名性保证档案
新指引将匿名性视为会随时间变化的状态。封闭环境应当把复评机制内建于系统治理,而不能在上线时完成一次风险报告后长期沿用。
复评触发事件至少包括:出现新的外部数据源;查询、输出或用途发生变化;参与方、运营方或控制关系变化;企业并购、破产或合同终止;密钥、映射关系或备份发生安全事件;新的联结、重构或人工智能攻击被证明有效;模型和接口发生重大更新。环境还应保留安全余量,使参数不仅满足当前最低要求,还能够承受一定程度的能力增长(第88段)。
封闭环境的结构优势在于保有调整和撤回能力。发现风险上升后,可以缩小字段范围、提高聚合阈值、降低输出精度、调整隐私预算、暂停某类查询、撤销权限或下线特定数据域。公开发布的数据通常无法实施这些措施。可撤回性本身不产生匿名性,但使匿名性能够被持续维护。
每一项匿名性主张还应形成“匿名性保证档案”。档案至少应记录:匿名性主张所针对的数据、阶段、主体、用途和时间;所依赖的角色和访问假设;附加信息及识别手段链;采取的技术、组织和法律控制;无记录隔离、无联结、无推断及模型攻击测试;残余风险;复评周期和触发条件;失效后的重新分类和事件处置方案。
认证可以证明环境控制存在并达到一定质量,但不能自动证明所有进入该环境的数据均为匿名。环境认证与项目匿名性评估应当区分:前者评价基础设施和治理能力,后者针对具体数据、主体、用途、输出和时间形成结论。
十一、准确界定加密、可信执行环境和多方计算的作用
封闭计算环境经常采用加密、可信执行环境、安全多方计算、同态加密或联邦学习。对此应避免将“计算过程不可见”直接等同于“数据已经匿名”。
加密原则上是可逆的。其保护效果取决于密钥管理、算法强度、实现方式和密码分析风险。新指引明确将加密定位为限制访问的措施,而不是匿名化本身(第91段)。对密钥持有者而言,加密数据通常仍是个人数据;对无密钥且无现实取得渠道的独立主体,数据是否匿名仍需结合其角色和其他手段判断。
可信执行环境和机密计算主要限制运行过程中谁能够读取明文,能够显著降低管理员、云服务商或其他运营人员的直接访问能力。但其法律效果仍取决于运营方角色、密钥和证明机制、管理面权限、侧信道风险以及输出内容。可信执行环境可以支持场景化匿名性评估,却不自动改变输入数据的法律属性。
安全多方计算将输入分解为多个份额或密文,使单一参与者无法独立恢复其他方输入。该技术可以限制各主体的直接识别能力,但仍须评价参与方串通、协议元数据、输出泄露和角色关系。单一份额对某一独立主体是否属于匿名信息,必须根据该主体能否取得其他份额及相关能力个案判断。
联邦学习、梯度交换、模型参数和合成数据同样需要分别评价。数据留在本地并不排除梯度泄露、成员推断和模型记忆。技术的主要价值在于减少原始数据集中传输和直接暴露,而不是自动使整个处理活动脱离个人数据法。
十二、封闭环境匿名性主张的主要边界
第一,环境控制不能替代三项标准。访问限制、合同和安全认证只能改变评估事实,不能直接形成匿名结论。对仍可能接触数据的主体,必须继续评价记录隔离、联结和推断风险。
第二,运营方无法读取明文,不等于其处理匿名数据。若运营方代表控制者处理数据,应采用控制者视角;若其共同决定目的和手段,还可能构成共同控制者。技术隔离不会自动改变法律角色。
第三,原始数据或映射关系并不要求在全球范围内全部删除。对仍持有原始数据和映射能力的源控制者,相关信息通常仍是个人数据;对真正独立且无法通过合理手段取得映射的接收者,同一衍生数据可能构成匿名信息。关键问题是相关主体能否将数据与附加信息重新结合,而不是原始数据是否在任何地方仍然存在。
第四,混合数据集应以风险最高的记录为基准。若多数记录风险较低,但少数罕见属性、极端值或独特轨迹仍可识别,且这些记录不能分离处理,整个数据集通常应作为包含个人数据的数据集处理(第36段)。平均风险不能掩盖对单个数据主体的高风险。
第五,匿名化结果与匿名化过程必须分开。即使最终输出对某一接收者构成匿名信息,输入、匹配、计算和测试仍可能是个人数据处理,需要合法基础、透明度、安全保障和责任分配。封闭环境不能用于规避上游GDPR义务。
第六,匿名性不能仅依据系统名称或行业标签判断。“数据清洗室”“机密计算”“隐私计算”或“安全研究环境”均不产生预设法律效果。评价必须回到具体数据、主体、角色、用途、手段和输出。
十三、形成分层、限定和可复核的最终结论
一项封闭环境项目可以按照固定顺序开展匿名性评估。首先,绘制输入数据、计算中间态和最终输出的数据地图。其次,确定各参与方的控制者、处理者或共同控制者角色,并明确数据拟对哪些主体匿名。再次,列出能够直接或间接访问数据的相关主体,盘点映射、密钥、成员名单、公开数据和合作方数据等附加信息。随后,分析各主体可能形成的识别手段链,并分别测试无记录隔离、无联结和无推断。最后,审查全部出域形式和下游个体化行动,设置安全余量、复评触发条件和失效后的重新分类机制。
最终结论应当按数据层次和主体分别表达。例如,在一个仅输出聚合统计的数据清洗室中,参与方输入的数据和环境内匹配结果可能始终属于假名化个人数据;运营方作为处理者,也应按照个人数据履行相应义务。只有经过聚合、扰动、累计查询控制和逐相关主体评估的输出,才可能在限定接收者、用途和时间范围内被认定为匿名信息。
这种分层结论比“清洗室中的数据已经匿名”更准确。它同时承认两个事实:一方面,封闭环境内可以合法、受控地处理个人数据;另一方面,经过严格输出治理后,特定结果可能对相关接收者构成匿名信息。两种法律状态可以在同一系统中并存,但必须分别说明其适用范围和依据。
结语
02/2026将匿名性明确为一种主体特定、场景依赖并随时间变化的法律状态。其判断不再局限于数据是否经过某种技术变换,而是综合考察给定数据、相关主体、适用视角、识别手段链、处理功能和时间条件。
封闭计算环境与这一框架具有结构上的一致性。它通过治理数据访问、附加信息、计算能力、主体协作、查询、输出和后续行动,将抽象的场景因素转化为可设计、可测试、可审计和可持续维护的系统条件。环境本身不会自动创造匿名性,但可以为匿名性提供真实而可证明的基础;在匿名性尚未成立时,它仍然是安全处理假名化个人数据的重要基础设施。
因此,封闭计算环境的正确法律定位,不是匿名化的替代技术,也不是当然适用的监管安全港,而是一种对可识别性条件实施系统治理的处理架构。新指引为这一架构提供了规范分析框架,封闭环境则使该框架具有更强的工程可操作性和证据可验证性。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。