国产伦久视频免费观看视频,国产精品情侣呻吟对白视频,国产精品爽爽VA在线观看无码,韩国三级HD中文字幕

內容提要：個人信息匿名化規則試圖通過徹底消除個人信息蘊含的可識別性以免除信息處理者負有的個人信息保護義務，但這一規則卻面臨著理論上的困境和適用上的障礙�！澳涿�化迷思”的根源在于，其試圖通過對信息性質作出“非此即彼”的判定，以決定是否“一刀切”地斬斷個人信息處理者所負義務。而現實情況是，個人信息具有的可識別性通常并非全有或全無，而是呈現出不同程度的識別能力，經過匿名化處理的信息仍可能殘存一定的“可識別性”，將其徹底排除至個人信息保護立法的規制范圍之外，事實上難以有效消解匿名信息具有的“剩余風險”。未來我國個人信息保護立法應從當前的一體規制模式轉向基于信息識別能力類型化的區別規制模式，根據個人信息蘊含的識別能力而構建多層次的個人信息保護義務體系，并將匿名信息作為一種具有較低識別能力的個人信息納入規制范圍，實現個人信息保護與利用間的動態平衡。

關鍵詞：個人信息　可識別性　識別能力　匿名化　去識別化

    2020年10月，我國首部個人信息保護立法草案提請全國人大常委會審議，標志著我國個人信息保護立法工作邁入了體系化階段�！秱�人信息保護法（草案）》第4條將“個人信息”界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”，從而將經過匿名化處理的信息完全排除至個人信息保護法的規制范圍以外。其原理在于，個人信息保護規則僅適用于具有可識別性從而可能揭露與自然人相關之特定情況的信息，而經過匿名化的信息則喪失了識別特定自然人的能力，自然無須受到個人信息保護立法的約束。然而，何種程度的處理能夠使個人信息轉化為匿名信息？完全的匿名化能否實現？經過匿名化處理后的個人信息是否必然不再具有安全風險？對上述問題的輕松掠過可能導致我國個人信息保護立法因未能準確把握信息時代的現實風險，而難以承擔充分保護公民個人信息安全的重要使命。

當前，匿名化處理的有效性及其應然標準等問題已在世界范圍內引發了廣泛的關注與討論。歐姆（Paul Ohm）、施瓦茨（Paul M. Schwartz）和索羅夫（Daniel J. Solove）等學者均主張，在大數據時代，匿名化乃注定是一種失敗的嘗試，立法應放棄當前“個人信息—匿名信息”的二分法，而應基于對具體信息風險的評估分別確立相應的個人信息保護標準。魯賓斯坦（Ira S. Rubinstein）和哈佐格（Woodrow Hartzog）提出，匿名化規則乃是一種結果導向的規制規則，其效果難以保證和評估，個人信息保護立法應當將注意力轉向通過對數據披露的程序性規制以實現數據安全風險的最小化。而鮑迪倫（Sophie Stalla Bourdillon）和奈特（Allison Knight）則認為，雖然匿名化處理不可能達到完全消除匿名信息含有的再識別風險的效果，但其作為劃定個人信息和非個人信息界限的標準，對于指導信息處理實踐仍具有重要意義，只不過關鍵在于個人信息保護立法應改采一種更加動態的、場景化的匿名化標準，以實現對風險的靈活應對。既有研究主要著眼于歐盟和美國的個人信息匿名化（去標識化）規則所具有的缺陷及其完善途徑，其研究結論對我國個人信息保護規則的構建具有一定借鑒價值。在此基礎上，本文通過對當前我國個人信息匿名化規則的檢視，明確這一規則的內在缺陷及其在實踐中可能產生的實際效果，進而結合我國的立法進展和社會背景，尋求個人信息匿名化規則在我國立法語境下的替代方案，對未來我國個人信息保護立法規則的構建提出相應建議。

一、個人信息匿名化規則的內在缺陷及適用障礙

（一）個人信息匿名化規則的內在缺陷

立法規定個人信息匿名化規則的目的在于免除個人信息處理者在對特定信息進行后續處理和流轉時負有的合規負擔，這預設了經過匿名化處理的信息仍然具有繼續留存和使用的價值。然而，這一規則要求匿名化處理必須達到徹底消除個人信息具有的可識別性且無法復原的程度，其在追求徹底消除信息安全風險之同時，亦將完全抹殺信息具有的后續利用價值。個人信息處理者對個人信息進行處理的目的主要在于通過對信息間相關關系的識別以發現個體或群體在行為、狀態等方面的潛在模式，進而作出預測或決策。而匿名化規則在徹底斬斷個人信息與信息主體的相關性之同時，也同時喪失對信息處理者的參考價值。

從我國當前的實踐來看，各信息交易平臺和信息處理者所交易的相關信息均只是經過一定程度的去標識化處理而無法單獨識別出信息主體的間接識別性個人信息，比如某大數據交易中心交易的相關省份個人失信名單以及相關省市專業技術職務人員信息等。事實上，針對完全喪失可識別性的個人信息幾乎不存在任何市場需求。同樣，在自然科學研究領域，對具有相關性數據的獲取和使用乃是開展符合科學倫理的社會科學研究的必要前提，基于絕對的匿名化信息難以獲得準確并具有意義的研究結論。

歐洲網絡與信息安全局在2015年發布的報告《大數據中的隱私設計：大數據時代的隱私增強技術概述》（Privacy by Design in Big Data: An Overview of Privacy Enhancing Technologies in the Era of Big Data Data）中提出“過強的匿名化”（too strong anoymization）概念，其認為此種信息匿名化的處理“能夠防止將來自不同來源的數據與特定個體（或相似的個體）相關聯，但同時亦抑制了大數據的許多潛在益處”。正如歐姆所言，“個人數據或者是有用的或者是被完全匿名化的，但絕不可能二者得兼�！蹦涿�化規則注定難以像立法者所期待的那樣實現個人信息保護需求和信息利用價值間的有效平衡。

我國的個人信息匿名化規則的缺陷還在于，其意欲通過匿名化處理一刀切地斬斷個人信息與信息主體間的所有關聯，從而達到一勞永逸的效果。雖然此種想法在邏輯上可能會實現貫通，但實際上卻忽視了個人信息處理實踐的動態性和變化性特征，無法在信息的后續流轉使用過程中實現對信息主體權益和信息安全的充分保護。既有立法均將匿名化處理作為免除信息處理者履行后續個人信息保護義務的法定條件，甚至在相關規范中將匿名化處理和刪除信息某種程度上視為功能等同的處理措施。然而，經過匿名化處理的信息仍存在被使用和流轉的需要，在此過程中，隨著可結合信息來源的不斷增加以及信息再識別技術的持續進步，現有的匿名化措施面臨著被突破的可能性。個人信息和匿名信息的邊界并非固定不變而是往往處于流變狀態之中。將匿名化視為一種確定不變的狀態，從而徹底免除對匿名信息的規制的做法必然難以充分應對信息處理實踐的動態變化所帶來的潛在風險。

（二）個人信息匿名化規則的適用障礙

對于何種程度的處理能夠使個人信息轉化為匿名信息，我國立法亦未形成明確的標準，從而阻礙了這一規則的有效適用和信息處理者對這一規則的嚴格遵守。最新提交審議的《個人信息保護法（草案）》（二審稿）第72條中規定，“匿名化”是指“個人信息經過處理無法識別特定自然人且不能復原的過程”。然而，其對“無法識別”的認定標準及其指向的主體范圍卻并未作出明確規定。根據我國《網絡安全法》第76條之規定，“可識別”包括“能夠單獨或者與其他信息結合識別自然人個人身份”的情形，這一標準主要參考了歐盟《一般數據保護條例》（General Data ProtectionRegulation）中對可識別性個人信息的界定�！兑话銛祿�保護條例》“序言”部分提出，在認定特定信息是否具有可識別性時，應當考慮信息處理者或任何第三人在識別信息主體時可能使用的“所有具有合理可能性的方法”（all the means reasonably likely to be used）以及所有相關的客觀因素。在此基礎上，歐盟委員會內部咨詢機構“第29條數據保護工作組”在其發布的《關于個人數據概念的意見》（Article 29 Data Protection Working Party, Opinion 04/2007 on the Concept of Personal Data）中進一步明確了“合理識別可能性”的判定標準，提出在判定“合理識別可能性”時要綜合考慮進行識別的成本、信息處理的目的與具體方式、現有的識別技術及其可能發展，以及信息處理者所采取的組織或技術保護措施失靈的潛在風險等因素�？梢�，盡管世界范圍內個人信息保護均以“可識別性”為“識別”個人身份的標準，但如何解釋此種“可識別性”，卻在不同法域的法體系脈絡中存在差異，在其各自的實踐中被納入考量的影響因素亦不相同。因而，“可識別性”既是世界范圍內討論個人信息保護的基礎，同時也是重要分歧所在。

相比之下，我國立法對“可識別性”并未作出任何具體解釋，“無法識別”所應達到的標準也相應地處于較為模糊的狀態。個人信息匿名化標準的模糊性為個人信息處理者策略性地適用這一規則以減輕、免除自身負有的個人信息保護義務留下了空隙。在實踐中，個人信息處理者普遍在其隱私政策、個人信息保護政策中約定，僅需使個人信息達到令特定的信息接收者無法識別出信息主體的程度，即可在未經信息主體同意的情況下對其進行流轉。比如，有的平臺隱私政策中即約定：根據法律規定，共享、轉讓經去標識化處理的個人信息，且確保數據接收方無法復原并重新識別個人信息主體的，不屬于個人信息的對外共享、轉讓及公開披露行為，對此類數據的保存及處理將無需另行向您通知并征得您的同意。上述較為籠統地適用“去標識化”標準而使信息流動的做法，將導致經過處理的個人信息在蘊含較高再識別風險的情況下即可進入流轉，進而對信息主體的信息安全造成較大威脅。不容忽視的是，不同信息處理者對匿名化規則所作的不同解釋及其采取的不同程度的匿名化處理措施還將導致互聯網產業陷入“檸檬市場”：有意遵循個人信息保護規則的企業需要投入昂貴的合規成本進行充分的匿名化處理；相反，游走于規則邊緣的企業則無需受到此種束縛。長此以往，必然產生“劣幣驅逐良幣”的不良后果，引發信息產業的惡性競爭。

個人信息匿名化標準的模糊亦阻礙了司法實踐中法院對匿名信息的準確界定。比如，在安徽某信息科技有限公司與某（中國）軟件有限公司不正當糾紛案中，安徽某信息科技公司與某（中國）軟件公司圍繞某（中國）軟件公司抓取并出售的用戶瀏覽、搜索、收藏、加購、交易等行為痕跡信息是否構成個人信息發生了爭議。對此，二審法院認定，某（中國）軟件公司開發的某數據產品所使用和出售的用戶行為痕跡信息經過匿名化處理已經無法識別特定個人且不能復原，公開上述信息不會對用戶產生不利影響。而同時法院又指出：“網絡用戶行為痕跡信息不同于其他非個人信息，這些行為痕跡信息包含有涉及用戶個人偏好或商戶經營秘密等敏感信息。因部分網絡用戶在網絡上留有個人身份信息，其敏感信息容易與特定主體發生對應聯系，會暴露其個人隱私或經營秘密”，也即用戶行為痕跡信息在與其他信息相結合的情況下仍然可能識別出特定的信息主體，其并未達到匿名化的標準�？梢姡�法院在判定相關信息是否具有“可識別性”，進而判定相關信息以及經一定處理的信息是否屬于個人信息等問題時亦比較猶豫，難以作出確定判斷。

類似的糾結還體現在上訴人北京某網訊科技有限公司與被上訴人朱某隱私權糾紛案中。該案中，朱某認為某網訊公司利用cookie技術記錄收集其搜索關鍵詞、網絡瀏覽記錄等個人信息，構成對其隱私權的侵犯。對此，二審法院認為：某公司在提供個性化推薦服務中運用網絡技術收集利用的是未能與網絡用戶個人身份對應識別的信息，該信息的匿名化特征不符合“個人信息”的可識別性要求。其指出，網絡用戶通過使用搜索引擎形成的檢索關鍵詞一旦與網絡用戶身份相分離，便無法再確定具體的信息歸屬主體，并且，某網訊公司“在提供個性化推薦服務中沒有且無必要將搜索關鍵詞記錄和朱某的個人身份信息聯系起來”，因此其收集的信息并不具有可識別性而屬于匿名信息。該案中，二審法院將某網訊公司“沒有且無必要將搜索關鍵詞記錄和朱某的個人身份信息聯系起來”作為認定其處理的信息構成匿名信息的依據，這一認識將在一定程度上放縱其對個人信息的不當處理和對個人信息保護義務的逃避�？梢姡�立法上相關概念的不確定性將直接影響司法實踐，并對個人信息權益保護存在較多“真空”之處，殊值重視。

二、個人信息匿名化規則的比較法考察

當前，各國立法均未有效破解“匿名化迷思”：個人信息匿名化標準或因過于嚴苛而難以實現，并產生過度抑制社會、市場對個人信息的利用需求與效率的負效用；或因過于寬松而難以達到充分保障個人信息安全的效果，均未能在個人信息的充分保護和信息資源的高效利用間達致完美平衡。

（一）歐盟立法中的個人信息匿名化規則之考察

歐盟基于高度重視人格尊嚴與人權保護的立法傳統，為實現對自然人個人數據的充分保護，對匿名化處理設置了極為嚴苛的標準。根據“第29條數據保護工作組”發布的《關于匿名化技術的意見》（Aricle29 Data Protection Working Party, Opinion 05／2014 on Anonymisation Techniques），匿名化處理必須達到使信息處理者和任何第三方主體在使用“所有具有合理可能性的方法”后仍無法識別特定自然人的程度，并且此種處理是無法被撤銷的。此種識別包括三種可能形式：（1）分選（single out），即能夠將對應的主體從其所屬的群體或種類中挑選出來；（2）聯結（linkability），即能夠在與同一主體相關的信息間構建起關聯，即使無法知曉該主體的確切身份；（3）推斷（inference），即能夠較為準確地推斷出與信息主體對應的相關屬性。只要仍存在上述任何一種可能，即視為該信息并未達到匿名化的效果。在判斷經過處理后的信息是否達到匿名化標準時，信息處理者必須考慮到所有可能被合理地使用以復原匿名信息的方法，并評估此種方法涉及的成本和相應知識產權問題，以衡量其被用于對匿名信息進行復原的可能性和所引發結果的嚴重性。在主體層面，歐盟立法要求信息處理者在進行匿名化處理時應考慮信息處理者本人和任何其他主體對匿名化信息進行復原的可能。此種規定將所有人均視為具有對匿名信息進行再識別意圖的“積極侵權人”（motivated intruder），并要求信息處理者必須對每個潛在的“積極侵權人”所可能采用的再識別方法和結合的信息進行預判，當任何一位“積極侵權人”存在成功地再識別出信息主體的可能時，此種信息即被認定為未達到匿名化標準而仍需受到個人信息保護立法的約束。

歐盟立法向匿名化處理者配置了一種持續性的評估義務，要求其對待匿名信息不得“釋放并遺忘”（release and forget）。信息處理者必須經常性地識別新產生的風險，并對匿名信息的剩余識別風險進行再評估，從而衡量自身采取的控制措施是否足以應對新產生的風險，并及時進行必要的調整。信息處理者還需考慮匿名信息被用于與其他個人信息進行結合比對以實現再識別目的的可能，其必須時刻關注可能被用于結合以進行再識別的新的信息來源。上述要求導致信息處理者承擔了極為嚴苛的合規負擔，個人信息匿名化規則并未提供給其一勞永逸的護避風港，相反，懸掛在信息處理者頭頂的“達摩克利斯之劍”隨時可能落下。立法規定匿名化規則的本來目的在于免除信息處理者在使用、流轉與自然人相關的信息時所受的限制，減輕其在信息處理方面的合規負擔，然而其現實效果卻是，信息處理者為確保信息的匿名化狀態和應對再識別風險所需付出的成本和精力可能已經超出其在履行個人信息保護義務方面原本承受的壓力與責任。

為了防止信息處理者通過采取不完善的匿名化處理手段以逃避遵守《一般數據保護條例》等相關制度，歐盟立法還專門對“假名信息”與“匿名信息”的概念進行了區分。歐盟委員會副主席露�。╒iviane Reding）在公開發言時曾明確表示，歐盟應當警惕數據企業將“假名信息”概念作為逃避適用《一般數據保護條例》的“特洛伊木馬”。但在現實中，“假名信息”和“匿名信息”的界限常常模糊不清。并且，將假名信息均視為個人信息還將對現有科學研究活動的正常開展造成嚴重阻礙。政府收集和開放的經過一定程度去標識化處理的公共數據（de-identified administrative data）一直是歐盟范圍內學術研究工作者用以開展社會科學研究的重要原材料。在此基礎上，政府部門和學術研究機構已經形成了極為規范、全面的信息利用機制。而《一般數據保護條例》關于假名信息處理仍需受到個人信息保護制度嚴格拘束的要求將直接打亂當前科研活動中形成的一系列制度、技術和組織安排，進而抑制歐盟范圍內社會科學研究活動的效率。

（二）美國立法中的個人信息去標識化規則之考察

相比于歐盟，美國立法對個人信息流轉持較為開放的態度。為促進信息流轉，部分立法采納了去標識化規則作為免除適用個人信息保護規則的條件，并對個人信息去標識化所需達到的標準作出了較為寬松的要求。這與美國立法對個人信息的限縮主義界定模式存在直接關系。不同于歐盟立法對個人信息進行盡可能寬泛的界定，以確保將所有與個人有關的信息均囊括進立法規制范疇，美國立法者和政府基于扶持和發展數據產業的戰略目標以及對言論自由等價值的重視和考量，從不同角度對個人信息作出了較為限縮的界定。許多立法均對個人信息采取列舉式定義，比如，美國《兒童在線隱私保護法案》（Children’s Online Privacy Protection Act of 1998）中將個人信息界定為“在線收集的個人可識別性信息，包括姓名、家庭或其他地址、郵箱地址、電話號碼、社會保障號碼以及委員會決定的能夠現實或在線上聯絡到特定個人的任何其他標識符”，從而將未經委員會決定的其他類型信息均排除至調整范圍以外。部分立法還排除了對與個人有關的“公開可得信息（publicly available information）”的規制。與之相對，去標識化處理僅需達到使特定信息不再構成上述立法所規定的個人信息的程度即可。同時，美國的個人信息保護制度允許信息處理者在采取去標識化措施方面享有較大的裁量自由，只要信息處理者“并不實際知悉經過處理后的信息可以單獨或與其他信息相結合用于識別信息主體”且“沒有合理理由相信該信息可被用于識別特定個體”，即視為已滿足去標識化要求，由此使信息處理者不至背負過于沉重的合規負擔。

此外，美國立法為信息處理者進行去標識化處理提供了一定規則指引。以美國《健康保險攜帶和問責法》（Health Insurance portability and Accountability Act of 1996）為例，其規定了兩種用于確定去標識化信息的具體標準：一是統計法（statistical standard），即通過統計人員或具備合理知識和經驗的專家進行判斷，以確定信息處理者所采取的去標識化措施是否已達到使個人信息“不能識別并且沒有合理理由相信可以被用于識別特定個體”的程度，從而決定其是否可以免除適用相關立法規定；二是安全港標準（safe harbor standard），《健康保險攜帶與問責法》中列舉了姓名、地址、電話號碼、電子郵箱地址、證件號碼、銀行賬戶號碼等18項識別符，信息處理者在確保完全消除上述識別符且并不實際知悉該信息可以單獨或與其他信息相結合用于識別信息主體時，即被視為已達到去標識化的效果。上述規則具有較強的可操作性，能夠為信息處理者評估其對個人信息的處理合規提供明確、穩定的預期，但潛在缺陷在于，其對去標識化標準的要求難以達到充分消除信息安全風險的程度。事實上，統計法對去標識化處理所應達到的具體標準的規定缺失可能導致信息處理者與技術專家間形成尋租和共謀，進而影響相應決定的公平性和可信賴性；而安全港標準所列舉的18種標識符并不構成對現實中存在的能夠識別信息主體身份之信息的完全列舉。已有實驗證明，去除18種標識符后的個人信息在與美國選民登記記錄進行交叉比對后即有0.04%的幾率重新識別出其指向的信息主體，更遑論與更多信息結合后的效果。

在意識到經過去標識化處理后的信息可能仍殘存有一定安全風險的基礎上，部分立法進一步規定了信息處理者及后續使用者負有的禁止再識別義務。比如，《消費者隱私權利保護法案》（Consumer Privacy Bill of Rights Act）中即規定，信息處理者在具有合理的依據相信經過去標識化處理的信息事實上已不能夠再關聯到特定的個人的情況下，還須公開承諾其不會對經過去標識化處理的信息進行再識別的嘗試，并以合同或其他具有法律約束力的形式禁止信息接收方對此類信息進行再識別，同時要求第三方對此作出公開承諾，如此方可對經過去標識化的信息進行共享或轉讓�！督】当ｋU攜帶與問責法》中還規定了在信息處理者與信息接收方簽訂具有約束力的協議要求其不得從事再識別行為的前提下，其可以使用或向他人提供僅刪除16種標識符的有限數據集，其目的在于適度保留經過去標識化處理的信息所具有的應用價值。信息的本質是關于特定事物或個人之現象和本質的記錄和表達，其通過作用于人類的認知使人們形成對特定事物或個人的理解，由此決定接受者對該事物或個人的態度及采取的行動。而去除所有標識符的信息在失去識別信息主體能力的同時也不再能夠傳達出任何具有意義的知識。

（三）小結

歐盟和美國立法對匿名化或去標識化標準的設定均未能夠達到有效平衡信息保護和信息利用需求的效果。歐盟個人信息保護規則對匿名化處理所應達到的標準設置了過于嚴苛的要求，匿名化處理者不僅需要保證自身無法對匿名信息進行再識別，還需達到使任何第三方主體均無法對該信息進行再識別的程度，其中囊括了因遭受惡意攻擊導致相關信息泄露的情形。此種制度設計導致匿名化處理者對匿名信息的安全負有一種嚴格責任，進而可能造成信息處理者棄用匿名化規則，最終可能會摧毀這一制度存在的必要性基礎。同時，歐盟立法中規定的匿名化標準又極為模糊而欠缺可操作性，其對如何判定個人信息是否達到匿名化的程度規定了過多的考量因素，且這些因素必須置于個案中進行綜合考量和判斷，尤其是這些標準難以為信息處理者在從事個人信息處理活動時提供明確的事前行為指引，由此進一步加劇了匿名化規則的適用障礙。

與之相反，美國立法基于確保信息資源自由流通和高效利用的價值追求，對個人信息去標識化的標準作出了較寬松的規定，其規定的去標識化操作在去除個人信息識別能力方面較為孱弱，由此導致經過處理的個人信息仍存有較為顯著的剩余風險。此外，美國立法中規定的禁止再識別義務僅能約束存在合同關系的信息轉讓者和信息接收者，卻無法預防第三方主體對信息的再識別行為。上述問題導致美國立法在個人信息保護力度上有所不足，使其長期遭受歐盟數據保護機構的質疑，并影響了二者在個人信息流通方面合作的穩定。美國互聯網企業近年來亦屢因未能充分履行個人信息保護義務而引發大規模信息泄露事件，從而遭到歐盟數據監管執法機構的嚴厲處罰。其均暴露出美國立法在個人信息去標識化規則標準的設置等問題上存在過度放縱個人信息安全風險的弊端。

歐美立法的上述問題曝光了個人信息匿名化（去標識化）規則所面臨的尷尬處境，亦揭示出個人信息保護和信息資源利用間的內在抵牾�！澳涿�化迷思”的根源在于，其試圖通過對理想的匿名化（去標識化）標準的事前界定以對信息性質作出“非此即彼”的判斷，此種努力在信息智能時代注定難以實現。這督促我國立法應積極尋求更為可行的替代方案，以實現《個人信息保護法（草案）》（二審稿）第1條所規定的“保護個人信息權益”和“促進個人信息合理利用”的立法目標的兼顧。

三、個人信息匿名化規則的替代方案及體系調整

鑒于各國在確立能夠充分保護個人信息權益并具有現實可操作性的匿名化（去標識化）標準方面的失敗，有學者斷言，匿名化已經淪為對個人信息保護的“破碎承諾”。個人信息匿名化規則的靜態取向與個人信息處理實踐的動態風格間的格格不入決定了其難以達成立法者的愿景。在放棄這一注定難以實現的努力的同時，必須為其尋求更加妥適的替代方案，重塑個人信息保護與利用的平衡。目前，我國個人信息保護立法尚未形成對匿名化規則的高度倚賴，此時如果能夠尋求更優的個人信息保護制度方案，有助于發揮我國立法在世界范圍內個人信息保護立法的后發優勢，并有效節約在個人信息保護立法方面的探索與試錯成本。

（一）從“一體規制”到“區別規制”

當前，我國個人信息保護立法對所有個人信息均采取了同等程度的嚴格規制，此種“一體主義”的規制模式對個人信息的收集、使用和流轉設置了極為嚴格的限制，在一定程度上違背了利益平衡和比例原則的法理，亦有違我國社會在公民信息隱私保護方面的主流價值取向。事實上，我國的社會結構、倫理觀念及立法傳統等因素決定了我國社會在信息隱私保護方面的價值取向與歐洲國家存在明顯差異。我國立法較為強調信息隱私的“社會功能”和保護個人信息隱私對推進社會發展、維護社會秩序的作用，對個人信息隱私的保護必須受到社會和國家整體利益的限制。信息隱私主要被視為一種工具價值而非本質價值予以保護，其必須被置于利益衡量的背景下決定能否受到保護以及所受保護的程度。而當前個人信息保護制度的“一體主義”規制模式有違利益衡量的法理，進而導致其在現實中未能得到嚴格遵循。此種“一體主義”的規制模式未能為信息處理者采取相應技術措施以降低個人信息具有的識別能力，從而減少因信息泄露或不當處理所造成的安全風險提供充分激勵，結果不僅難以達到個人信息保護立法所追求的充分保護信息主體權益的效果，還可能導致實踐中信息處理者為節省合規成本，而一味借助在形式上征得信息主體同意的方式以免除自身負有的責任。在當前信息主體“知情同意”流于形式的整體背景下，此種選擇可能進一步降低對信息主體權益的保護水平。

不同的個人信息所具有的識別能力不同，與信息主體的關聯程度不同，當其被不當處理和流轉時對信息主體個人權益產生的風險亦不相同。因此，對其相應的保護要求和信息收集、利用行為的限制程度亦應有所不同。近年來，各國立法者和學者均逐漸意識到個人信息在識別能力上的差異對相應個人信息規制規則設計具有的影響。

美國隱私法學者施瓦茨和索羅夫提出了所謂的“PII 2.0方案”，主張應根據信息具有的不同識別能力分別決定對應的信息處理行為所需受到的法律限制。歐盟《一般數據保護條例》中也規定，在信息處理者不能直接識別自然人身份且無意于進行此種識別時，其可告知信息主體，并不再受到《一般數據保護條例》第1520條規定的約束，除非信息主體通過提供額外的信息而使信息處理者能夠對其身份進行直接識別。我國亦有學者主張，間接識別性個人信息只有在與其他個人信息相結合的情況下方可指向特定的信息主體，對于此類信息的處理往往不會對信息主體造成明顯的壓迫和緊張感，即使其被不慎泄露，對信息主體人格、財產利益的威脅也明顯較輕，因此，立法應適度放松對此類信息使用和流轉的束縛。上述主張均認同對具有較低識別能力的個人信息應采取更加寬松的規制措施，并相應地降低甚至免除信息處理者負有的個人信息保護義務�；�于此種考量，未來我國個人信息保護立法應從當前的一體規制模式轉向基于信息識別能力類型化的區別規制模式，根據不同類型的個人信息具有的不同程度識別能力構建起層次化的個人信息保護義務規則體系，形成對既有個人信息匿名化規則的替代選擇。

2021年4月發布的《個人信息去標識化效果分級評估規范》（征求意見稿）對個人信息的分類問題作出了有益嘗試。其基于個人信息的去識別化程度將其分為四類：（1）能直接識別信息主體的信息；（2）已消除直接標識符，但仍具有較高再識別風險的信息；（3）已消除直接標識符，且再識別風險可接受的信息，此類信息的再識別風險應低于0.05這一閾值；（4）聚合信息，即對個人信息進行匯總分析得出的整體層面的聚合數據。同時規定了在衡量針對特定信息的再識別風險時需要考慮的主要因素，包括信息類型、信息流轉的范圍、信息處理者采取的隱私和安全控制水平以及信息接收者的再識別動機與能力等。此種分類模式基于經過去標識化處理后的信息殘留的識別能力和再識別風險對其進行層次化分類，為個人信息保護立法根據不同信息蘊含的安全風險對其采取相應的規制和保護措施提供了基礎，有助于扭轉當前一體規制模式過度限制信息流轉與使用的弊端。

本文認為，未來我國個人信息保護立法可在一定程度上吸納《個人信息去標識化效果分級評估規范》（征求意見稿）中確定的個人信息識別標準類型化的思路，根據個人信息具有的識別能力將其劃分為直接識別性個人信息和間接識別性個人信息，并根據間接識別性個人信息具有的識別能力是否超過特定閾值將其進一步劃分為識別能力高于閾值的間接識別性個人信息和識別能力低于閾值的間接識別性個人信息。在此基礎上，采取“區別規制”的立法策略，針對不同類型個人信息蘊含的識別能力和安全風險，分別為其設置不同程度的個人信息保護義務，從而構建起層次化的個人信息保護義務體系。

（二）以信息識別能力為核心構建起層次化的個人信息保護義務體系

根據區別規制的立法策略，應對不同類型個人信息對應的個人信息保護義務作出差異化安排。其中，對于直接識別性個人信息，因其與信息主體間存在直接對應關系，立法仍應嚴格約束對此種信息的收集、分析、使用及流轉，要求信息處理者全面履行各項個人信息保護義務。而對于已消除直接標識符的間接識別性個人信息，則應降低并部分免除信息處理者對其負有的義務以及其在處理此類信息時受到的約束。比如，對于間接識別性個人信息的處理原則上無需受到目的限制原則、最小化原則等約束，且應免除適用個人信息保護立法關于個人信息查詢權、更正權、刪除權等規定。這不僅有助于減輕個人信息處理者的合規負擔，促進信息資源的高效使用，同時亦有利于避免在信息主體和間接識別性個人信息間建立直接聯系而增加暴露其身份和隱私的風險。同時，個人信息處理者雖然仍需對間接識別性個人信息承擔其他法律規定的個人信息保護義務，但其在履行此種義務的過程中需要采取的具體技術措施和組織措施，以及應達到的審慎程度相比于直接識別性個人信息均應適度降低。

此外，對識別能力低于一定閾值的間接識別性個人信息，還應允許個人信息處理者在采取必要手段確保其不會被用于識別或關聯信息主體的前提下對其進行流轉，而無須征得信息主體的同意。目前，《個人信息保護法（草案）》（二審稿）第24條規定了個人信息處理者向第三方提供其處理的個人信息，必須通知并取得信息主體的單獨同意。這一規定可能造成過度限制信息流轉效率的結果。不同于“前信息時代”的傳統經濟形態，數字經濟不再關注用于建立因果關系或內在邏輯的小樣本數據，其關注的是海量信息匯集、整合、加工而成的“大數據”。而如若要求信息處理者在共享、轉讓蘊含海量信息的“大數據”前逐一征詢相關主體的授權同意，必然會產生極為高昂的運作成本，當此種運作成本高于個人信息處理能夠產生的收益時，原本有價值的信息處理行為就不會發生。并且，賦予自然人對其個人信息共享、轉讓的一般性決定權還可能誘發信息主體基于不合作策略而索取高價的行為。信息主體可能采取僵持策略以索取高價，從而顯著增加交易成本并阻礙個人信息共享、轉讓的順利進行�；�于此，對于識別能力低于一定閾值的間接識別性個人信息，應允許信息處理者在未征得信息主體同意的情況下對其進行轉讓，同時為此種場合下的個人信息處理者設置持續性的個人信息保護義務和責任，以消弭此類信息在流轉過程中對信息主體造成的潛在風險。

在此基礎上，我國個人信息保護立法應放棄在確定匿名化標準方面的努力，規定經過去標識化處理使其識別能力低于特定閾值的信息仍屬于個人信息的范疇，信息處理者仍應對其履行適當的個人信息保護義務。在大數據時代，數字技術的急速發展、信息來源的廣泛分布決定了即使僅具有微小識別可能性的個人信息在與其他信息充分結合的情況下，仍可能重新識別出信息主體的身份，完全免除信息處理者對匿名化信息的保護義務并不合理。

同時，匿名化處理的結果具有極強的不確定性，其究竟是否達到使特定信息徹底喪失識別能力的程度通常難以判定。鑒于個人信息侵權行為通常具有的隱蔽性以及相關損失的非直接性、偶發性和累積性等特點，即使匿名信息事后被用于成功地對信息主體進行再識別，亦很難發現并證明侵權行為與匿名信息之間存在直接的因果關系，此種結果導向的個人信息保護規則在實現個人信息權益保護方面的效果難以評估。因此，相比于繼續沉溺于對匿名化處理之應然標準的糾結，個人信息保護立法更應將注意力轉移至對個人信息處理過程的規制，其必須拋棄對信息的絕對安全狀態所持有的幻想，適度容忍因信息流動與使用所產生的風險，并通過規定個人信息處理者適當的后續保護義務，以將此類信息流轉產生的風險持續控制在可接受的范圍之內。

對于經過去標識化處理已達到使其識別能力低于閾值的個人信息，信息處理者仍應履行必要的程序性保護義務。個人信息處理者應建立相應的個人信息安全影響評估機制以評估對此類信息進行處理所存在的安全風險，如個人信息流轉對信息主體合法權益的可能影響、信息接收者采取的個人信息安全保護措施的有效性、信息接收者違反約定對個人信息進行再識別的潛在可能及其識別能力等，從而采取與風險水平相匹配的信息安全控制和保護措施并及時進行必要調整。同時，其應對此類信息的流轉情況進行記錄，包括處理個人信息的具體類型、數量、來源，具體的信息處理操作，以確保當發生信息泄露或惡意攻擊等情況時能夠及時采取相應的應對措施，并對信息主體進行風險提示。此外，信息處理者還應對信息接收方存儲、使用、流轉個人信息的情況進行適當監督，并要求其提供不低于自身同等水平的個人信息保護措施。

（三）引入不得從事再識別行為的法律義務

降低對識別能力低于閾值的間接識別性個人信息的流轉限制意味著個人信息處理者無需使經過處理的個人信息達到使任何第三方主體在使用“所有具有合理可能性的方法”后仍無法識別特定自然人且不能復原的程度，即可對其進行流轉。如若允許經過處理的個人信息保有一定的識別能力，必然將在一定程度上降低對個人信息權益的保護力度。對此，我國立法還應規定個人信息處理者不得從事再識別行為的法律義務，并明確規定個人信息處理者在相關情況下負有的法律責任，以補強對個人信息權益的保護力度。

再識別是指將經過去標識化處理的個人信息與其他信息相結合以重新識別信息主體的過程，這一過程因涉及對間接識別性個人信息的處理而當然構成個人信息處理行為，從而應當受到個人信息保護立法的規制。當前實踐中，不少個人信息處理者存在未經信息主體同意而將經過去標識化處理的個人信息提供給有合作關系的第三方使用的情況，且并未禁止第三方將此種信息與其他合法獲取的信息相結合。此種信息處理實踐將給信息主體的合法權益帶來較為顯著的風險，第三方使用者在未經信息主體同意的情況下肆意對去標識化信息進行再識別，可能對信息主體形成密集的追蹤，從而對其個人隱私與生活安寧造成嚴重侵擾。針對此種情況，個人信息保護立法應當明確在未經信息主體和信息處理者同意的情況下，下游信息使用者不得將經過去標識化處理的間接識別性個人信息用于對信息主體身份進行再識別，否則即構成對直接識別性個人信息的處理，并仍需遵循個人信息保護法對直接識別性個人信息的規制規定。

信息處理者在未經信息主體同意而對識別能力低于閾值的間接識別性個人信息進行流轉時，應告知信息主體信息接收方的身份、聯系方式、處理目的、處理方式和其處理的個人信息的種類，以保證信息主體在遭受侵害時可以及時發現并主張權利。此外，其必須確保經過處理的信息已達到使特定信息接收方無法識別信息主體身份的程度，同時以協議等形式要求信息接收者承諾不會將個人信息用于識別信息主體的身份或聯絡信息主體，并約定相應的違約責任。由于信息處理者和信息接收者間的此種協議關系到所涉信息主體的權益，信息處理者應當以適宜的方式對此種協議進行公示，并接受相關信息主體和監管機構的監督。此種協議類似于個人信息保護政策，具有市場自律規則的性質，當信息接收者違反協議約定時，監管機構即可據此對其進行處罰。同樣，當信息接收者基于其取得的間接識別性個人信息對信息主體真實身份進行再識別從而向其進行定向營銷等行為時，信息主體亦可向信息處理者或監管機構進行投訴。信息處理者應對信息接收者的后續信息處理行為進行必要監督，其因怠于履行監督義務導致信息主體遭受侵害時，應與信息接收者共同承擔責任。在信息處理者明知或應知信息接收者從事再識別行為而不予制止的情況下，二者構成《個人信息保護法（草案）》（二審稿）第21條規定的“共同處理個人信息”的情形，應對侵害個人信息權益所造成的損失承擔連帶責任。

上述措施只能約束與信息處理者具有直接聯系的下游信息使用者的再識別行為，而無法有效應對第三方主體以惡意攻擊、竊取等手段所從事的再識別行為。第三方主體從事再識別行為的目的往往在于破解自然人的相關信息以用于非法交易或從事違法犯罪活動等，對此，可通過刑法手段對此類行為予以制裁。比如，英國《數據保護法案》（Data Protection HL Bill）中即規定，在未經信息處理者同意的情況下對經過去標識化處理的信息進行再識別的行為構成刑事犯罪。鑒于第三方主體在實施個人信息再識別行為時，通常均需以惡意攻擊計算機系統、非法獲取計算機信息系統中存儲的數據為前提，此種行為符合《刑法》第285條、第286條規定的“非法獲取計算機信息系統數據罪”和“破壞計算機信息系統罪”的罪狀；而通過購買等方式非法獲取間接識別性個人信息以進行再識別的行為還可能觸犯《刑法》關于“侵犯公民個人信息罪”的規定，因此，可以依托上述規定對惡意再識別行為進行必要規制，從而在風險來源層面遏制對個人信息權益的潛在威脅，在將信息處理者從確保任何第三方主體均無法重新識別信息主體這一不可能完成的任務中解脫出來的同時，實現對信息安全風險的必要控制。

四、結語

個人信息匿名化規則假定通過匿名化處理這一技術手段可以徹底消除個人信息具有的識別能力。然而，在信息智能時代，絕對不具有識別能力的信息僅存在于想象之中，隨著數據分析處理技術的發展，經過匿名化處理的個人信息在與其他來源信息充分結合的情況下可能再次識別出信息主體的身份。個人信息具有的識別能力往往并非處于全有或全無的狀態，而更類似于一個連續的頻譜：在識別能力最強的一端是具有直接識別性的個人信息，另一端則是幾乎不具有任何識別能力的個人信息。同時，此種識別能力還將伴隨個人信息處理實踐的動態發展而不斷發生變化。上述特點決定了個人信息保護立法不應過度追求對個人信息與非個人信息作出靜態區分，而更應強調對特定信息蘊含的識別能力及安全風險的動態把握。未來的個人信息保護立法應區分不同個人信息在識別能力上的差異而對其采取區別規制的策略，激勵信息處理者盡可能采取降低個人信息識別能力的措施以換取信息流通效率；同時，其應規定個人信息處理者應承擔持續性的個人信息保護義務，并根據個人信息處理者是否履行了與信息風險相適應的信息保護義務決定其責任承擔。相比于個人信息匿名化規則，此種過程導向的個人信息保護制度更加契合個人信息處理實踐的動態性特征，且能為調控各方主體間的利益沖突提供更加富有彈性的制度空間，有望真正實現信息主體、信息處理者和下游信息使用者的利益平衡與合作共贏。