本质可识别：对健康和遗传数据的匿名处理是否可能？

来源：IAPP官网（2019年11月13日）

作者：Justin Banda

翻译：魏雪颖，上海交大法学院本科生

在美国，已经有近2500万人在家中使用DNA测试试剂盒，并与四个血缘和健康数据库之一共享该数据。随着基因测试和生物特征数据（biometric data）收集的激增，监管机构有必要对去识别化的实践加强审查。生物特征数据，即遗传信息和健康记录，在本质上是可识别的。本文探讨了生物特征数据是否可以真正地匿名化、去识别化的方法、最佳实践以及《欧盟通用数据保护条例》下生物特征数据的当前情况。

何为生物特征数据

生物特征数据有很多种定义方式，并且定义很大程度上取决于管辖地。GDPR并未明确定义生物特征数据，而是在第9条中列出了处理特殊类别的个人数据的基本规则，并且总体上加强了对特殊种类数据（包括生物特征数据）的保护。第九条中规定：“……禁止以识别自然人为目的而处理有关种族和人种……的基因数据、生物特征数据”。第9条第4款还允许欧盟成员可以自行设立更严格的标准。一个有趣的现象是，当数据主体去世时，包括生物特征数据在内的数据将不再受到GDPR的保护。GDPR序言中第27条第1款规定：“本条例不适用于已去世的个人数据。”与第9条一致，第27条第2节允许成员国制定自己更严格的规则。

在斯洛伐克，数据当事人过世时，可以由“亲密人士”给予同意或撤回同意。目前哪种方法最好尚不清楚，但随着技术的发展，生物特征数据的定义也应发生相应变化。

去标识化生物特征数据

生物特征数据已被用于不同的目的和不同的领域，但是，用于匿名化生物特征数据的方法基本相同。通常会从样本中删除大部分可识别的个人信息，例如日期，位置和人口统计信息。之后数据控制者将生物特征数据分类为去识别化或匿名化（即不可能将样本链接回受试者）。但随着计算能力的增强，仅剥离生物特征数据集的标记还不足以确保它不会被追溯到数据主体。研究人员能够使用包括人工智能在内的复杂算法来组合或重新识别生物特征数据。通过使用一套从社交媒体和其他网络来源组合的信息，他们能够以极高的精确度判断数据可能所属的群体。

在数据保护和隐私领域，人们越来越怀疑生物特征数据是否可能真正去识别化和匿名化。这种论断建立在生物特征数据是本质上可识别的事实基础之上。DNA、指纹、面部特征甚至是双耳都认为是每个人独一无二的特征，无论他们是否被剥夺相关标签，他们始终包含着可识别的信息。近年来，工程师们研究出了一种新的方法来解码DNA（即使是很小的一段DNA链），这种方法使得每个人的DNA是高度本质可识别的。这个问题对研究领域有着重要影响，因为为遵守《健康保险携带和责任法案》的规定，研究通常依赖于去识别化的生物特征数据进行科研并发布研究成果。不能将生物特征数据主体与研究成果相分离将带来巨大的隐私风险。“如果我们进入一个需要生物特征数据来证明身份的社会，若该信息被泄露，那么任何人都可以假冒我们”，公益组织Electronic Frontier高级律师Jennifer Lynch如是说到。

关于生物特征数据和健康数据去识别化的研究

随着广泛使用互联网传播信息的发展，生物特征数据具有内在脆弱性。2018年4月，研究者FidaDankar,Andrey Ptitsyn和 Samar Dankar在《人类基因组学杂志》上发表文章，讲述了“大规模已被去识别化的生物特征数据库的发展”带来的挑战和担忧。值得注意的是，他们列出了生物特征数据的特点来解释为何难以去识别化，以及其为何对研究者有重要价值：

首先，生物特征数据提供了不只是数据主体的信息，同时也提供了主体整个家族血系的信息。该信息包含了基因信息和个人的体质特点。

其次，基因组数据是高度可识别的。仅使用30条DNA链的序列，就可以识别数据主体。

最后，最可怕的地方在于基因是高度稳定很少发生改变的。因为DNA具有高度可识别性和稳定性的特点，它被认为本质上是可识别的并且应该受到更严格的去识别化标准管制，而非仅仅是移除其中的部分标签（label）。

技术和人工智能的发展增强了处理和组织大型去识别化的数据池的能力。在2018年《美国医学会杂志》的一篇文章中，为了试图证明已被采用的去识别化技术并不能提供合格的保护，中国研究人员证明可将已经去识别化的数据库中95%的数据精确匹配到成年人个人。研究人员认为现行的去识别化实践并不足以保护隐私。

实践影响

在技术的发展远远超过立法的进程的背景之下，去识别化生物特征数据的最好的方法尚未出现。综合性立法，例如GDPR，因为实施日期不长还不能被证明是一种长期有效的法律架构。然而，专门立法的路径也遭到了诸多批评，因为这导致了合规成本的上升和专门负责保护隐私的小型政府机构的出现。总之，目前对于规制去识别化和匿名化生物特征数据的立法需要改进。欧盟成员国需要投入更多的资源来监管这个问题。并且，跨国公司可以遵守的、明晰、与时俱进的规则也会进一步促进更好的信息安全实践。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。