高富平

一、問題的提出

個人信息（或稱個人數(shù)據(jù)）是數(shù)據(jù)要素中的重要組成部分，在實現(xiàn)數(shù)據(jù)效用方面發(fā)揮關(guān)鍵作用，促進個人信息流通利用是不可阻擋的歷史趨勢。2020 年3 月，《中共中央國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》正式提出建設(shè)數(shù)據(jù)要素市場。之后，關(guān)于數(shù)據(jù)要素市場建設(shè)的制度規(guī)范逐漸制定完善。2022 年3 月，中共中央、國務(wù)院公布《關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》，繼續(xù)強調(diào)發(fā)揮數(shù)據(jù)效能，建設(shè)數(shù)據(jù)要素市場。數(shù)據(jù)要素成為我國經(jīng)濟社會發(fā)展的重要力量。新近出臺的《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》也強調(diào)個人信息流通、共享在反電信網(wǎng)絡(luò)詐騙過程中的重要作用（第29 條）。

然而，如果僅從文義角度分析以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）條文為內(nèi)容的個人信息治理規(guī)則，會發(fā)現(xiàn)個人信息流通利用的通道似乎并未實際搭建起來。數(shù)據(jù)要素市場強調(diào)的是數(shù)據(jù)在流通利用中發(fā)揮價值，但是《個人信息保護法》的建構(gòu)以個人控制為中心，并不適合個人信息流通利用?！秱€人信息保護法》只規(guī)范個人信息處理者（使用者）與個人之間的直接使用關(guān)系，并不調(diào)整數(shù)據(jù)持有者對外提供、分享、流通行為。無論是個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息（第22 條），還是個人信息處理者向其他個人信息處理者提供其處理的個人信息（第23 條），個人信息處理者向中華人民共和國境外提供個人信息（第39 條）抑或個人信息公開（第25 條），都需要通過重新同意、單獨同意或者再次告知等形式與個人重新建立關(guān)系。換言之，《個人信息保護法》搭建的個人信息處理者（使用者）與個人之間直接處理（使用）關(guān)系，并沒有給個人信息處理流通或者從信息處理者處間接獲得個人信息提供合法通道。

應(yīng)當(dāng)看到，個人信息由個人信息處理者實際控制和使用，合法正當(dāng)?shù)膫€人信息利用秩序是通過個人信息處理者履行法律義務(wù)并兼顧各方合理權(quán)益的治理過程實現(xiàn)的，而不是完全、純粹、孤立的個人權(quán)益保護過程。如果僵化地純粹從文義上理解個人信息利用規(guī)則，并不符合個人信息的多重價值或利益屬性，違背《個人信息保護法》的規(guī)范目的，更不利于數(shù)據(jù)要素化利用。同時，識別性是個人信息基本功能，也是個人權(quán)益風(fēng)險之源；但是，不同類別的個人信息識別性差別較大，其風(fēng)險或危害程度也不盡相同，我們不應(yīng)忽視差別而“一刀切”地適用同一規(guī)則。于是，本文首先明確對個人信息治理規(guī)則具有指導(dǎo)作用的規(guī)范目的，并在重視個人信息識別性差異的基礎(chǔ)上對個人信息治理規(guī)則進行類型化研究。在個人信息治理的宏大視野下重新看待個人權(quán)益的保護問題，嘗試為準(zhǔn)確解釋適用《個人信息保護法》條文提供一個可行的方案。

二、《個人信息保護法》的規(guī)范目的

規(guī)范目的對于具體規(guī)則的解釋適用無疑具有重要的指導(dǎo)作用。解釋適用時，應(yīng)當(dāng)考慮何種解釋方案最能配合立法者的規(guī)范目的（或規(guī)范想法）〔1〕[德]卡爾·拉倫茨：《法學(xué)方法論》，陳愛娥譯，商務(wù)印書館2003 年版，第207 頁。，并選擇最符合規(guī)范目的的解釋方案。

（一）規(guī)范目的：保護個人前提下的信息利用

《個人信息保護法》在第1 條將其目的表述為三個部分，依次為“保護個人信息權(quán)益”“規(guī)范個人信息處理活動”與“促進個人信息合理利用”。

三個目的之間具有位階和序位關(guān)系。首先，“保護個人信息權(quán)益”“促進個人信息合理利用”是根本目的，而“規(guī)范個人信息處理活動”是直接目的，是實現(xiàn)前兩個目的的手段。其次，在兩個根本目的中，“保護個人信息權(quán)益”構(gòu)成“促進個人信息合理利用”的前提或手段。只有個人信息權(quán)益得到保護，人們才能放心允許個人信息的利用，一切利用都是建立在個人權(quán)益保護的基礎(chǔ)上。

關(guān)于保護個人信息權(quán)益。雖然法律名稱為“個人信息保護法”，但是并非保護個人信息，而是保護個人信息處理過程中涉及的各方利益。就此而言，《個人信息保護法》非權(quán)利法，未建立非經(jīng)同意即違法或侵權(quán)的賦權(quán)保護模式；相反，《個人信息保護法》是行為規(guī)范，通過規(guī)制個人信息處理者的行為實現(xiàn)對個人合法權(quán)益的保護?！?〕高富平：《個人信息保護：從個人控制到社會控制》，載《法學(xué)研究》2018 年第3 期。多方面原因造成了個人信息受保護而非個人（權(quán)益）受保護的誤解。一方面原因是對域外法律的誤讀。持個人控制個人信息觀點者多以德國法和德國學(xué)說為依據(jù)；但是根據(jù)學(xué)者的考究，德國法和德國學(xué)說中的個人信息自決權(quán)并非指個人控制其個人信息。〔3〕楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護法之保護客體》，載《比較法研究》2015 年第6 期。另一方面原因是來自簡稱的誤解。我國法律簡潔地命名為“個人信息保護法”，歐盟法律規(guī)范被簡稱為“統(tǒng)一數(shù)據(jù)保護條例”（GDPR），這種簡化表述容易造成歧義。在全球發(fā)揮示范引領(lǐng)作用的歐盟GDPR 的全稱為“歐洲議會和歐盟理事會2016 年4月27 日關(guān)于個人數(shù)據(jù)處理中自然人保護、個人數(shù)據(jù)自由流通以及廢除95/46/EC 號指令的(EU) 2016/679號條例”?！?〕REGULATION (EU) 2016/679 of The European Parliament And of The Council of 27 April 2016 on The Protection of Natural Persons With Regard to The Processing of Personal Data And on The Free Movement of Such Data,And Repealing Directive 95/46/Ec (General Data Protection Regulation)，https://gdpr.eu/,2022 年11 月6 日訪問。從全稱可以看出，它是保護個人數(shù)據(jù)處理中的自然人，而非保護個人數(shù)據(jù)；個人在個人數(shù)據(jù)處理中的權(quán)利被概括為個人數(shù)據(jù)受保護權(quán)（right to protection of personal data），而不是個人數(shù)據(jù)權(quán)。

之所以這樣定位，就是因為《個人信息保護法》存在一個基本制度假設(shè)：個人信息是社會可利用的資源。個人信息是個人進入社會的必然，每個人都需要以姓名為核心的識別符，一方面將自己與他人區(qū)別開來，另一方面每個人在參與社會活動中會自覺或不自覺地留下很多印跡，以塑造自己的獨立個性（這是人格權(quán)的重要內(nèi)涵）。與此同時，在每個人從事社會交往、商業(yè)交易、政務(wù)服務(wù)等過程中均需要了解對方身份及其個性特征，需要對所打交道的人或?qū)⒁蚪坏赖娜诉M行分析評估。按照正常的社會交往習(xí)慣，這不需要事先征得相對人同意。在傳統(tǒng)法律觀念當(dāng)中，事實和信息都不受保護，而是處于任何人都可以自由利用的公共領(lǐng)域。關(guān)于個人的信息也屬于事實信息，故當(dāng)然也是如此。人們可以自由獲取、評論（分析）和傳播個人信息，但若造成侵害名譽權(quán)、隱私權(quán)等人格權(quán)益侵害的，要承擔(dān)民事侵權(quán)責(zé)任。伴隨著計算機技術(shù)應(yīng)用，個人尊嚴、自由等人格權(quán)益受到特別的威脅，因而需要法律干預(yù)個人信息處理活動，防范濫用個人信息侵害個人權(quán)益的行為，但這樣的保護仍然要援用責(zé)任規(guī)則。換言之，《個人信息保護法》堅持個人信息是社會可用的，但是使用對個人造成侵害要承擔(dān)責(zé)任。只是為了更好地保護個人在個人信息處理中的權(quán)益，才采用了完全預(yù)防機制（允許個人參與到個人信息處理全生命周期），而不是單純的事后救濟，使個人對個人信息使用（處理）具有控制性權(quán)利。這使得個人信息保護法呈現(xiàn)出個人與個人信息處理者之間復(fù)雜的權(quán)利義務(wù)安排，以塑造出正當(dāng)個人信息處理規(guī)則。

正是在這個意義上，個人信息保護規(guī)則演變?yōu)橐惶字卫硪?guī)則：在個人信息可收集和使用的前提下，建立一套個人信息處理法律規(guī)則，使個人信息處理者在平衡各方權(quán)益基礎(chǔ)上實施安全和合規(guī)管理，實現(xiàn)個人信息正當(dāng)利用。這是從個人信息保護法源起出發(fā)而對《個人信息保護法》進行的應(yīng)然目的定位和范式解釋。

（二）保護個人：識別身份行為之規(guī)范

保護個人并不意味著個人控制個人信息，而是在個人信息處理過程中保護個人權(quán)益。個人信息只是以個人為主題（subject），其內(nèi)容與個人情況有關(guān)系，這無法推導(dǎo)出個人控制個人信息的結(jié)論。學(xué)界的控制論立場已然有所修正，但是其仍然未脫離個人原則上對個人信息享有控制權(quán)的核心理念。個人信息與個人有關(guān)，只能說明個人應(yīng)受保護。從社會運行角度來看，個人控制個人信息不利于數(shù)據(jù)的流通利用和經(jīng)濟社會的發(fā)展。另外，從實踐經(jīng)驗來看，個人對個人信息的實際控制力有限，無法有效、理性地行使個人信息的控制權(quán)?！?〕國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會：《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》，中國網(wǎng)信網(wǎng)，http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm，2022 年11 月6 日訪問。個人信息的產(chǎn)生、價值提升與價值實現(xiàn)，離不開多方主體的參與，其利用過程也影響著多方利益，因此個人控制個人信息絕非現(xiàn)實，應(yīng)當(dāng)轉(zhuǎn)向個人信息治理過程中保護個人權(quán)益。

個人信息處理中所需保護的個人權(quán)益有兩方面。一方面，基于憲法人格尊嚴而享有的個人事務(wù)自決之自由，包括個人自治（自由）、身份（識別）利益、不歧視（平等）等?！?〕高富平：《論個人信息保護的目的——以個人信息保護法益區(qū)分為核心》，載《法商研究》2019年第1 期。另一方面，個人的民事權(quán)益也不能因個人信息處理而受任何侵害。《中華人民共和國民法典》確認了個人所享有的人身權(quán)益和財產(chǎn)權(quán)益，包括姓名權(quán)、肖像權(quán)、名譽權(quán)、榮譽權(quán)、隱私權(quán)等，還包括作為兜底條款的一般人格權(quán)。這些既有的人身權(quán)益和財產(chǎn)權(quán)益在個人信息處理過程中不能受侵犯或有受侵犯之虞。〔7〕杜牧真：《個人信息權(quán)的法益與性質(zhì)的審視與再界定》，載《新疆大學(xué)學(xué)報（哲學(xué)·人文社會科學(xué)版）》2022 年第1 期。

而個人權(quán)益與個人身份緊密相關(guān)?？刂啤⒁?guī)范身份識別問題是個人信息規(guī)范目的的重要內(nèi)容?！?〕陸青：《數(shù)字時代的身份構(gòu)建及其法律保障：以個人信息保護為中心的思考》，載《法學(xué)研究》2021 年第5 期。身份是個人發(fā)展其人格的重要承載體。個人所為之一切發(fā)展人格的行為，其后果最終通過身份而準(zhǔn)確歸屬于自己。而且，個人所進行活動而獲得之名譽、聲望、信用也通過準(zhǔn)確的身份而得到不斷地積累。從反面來看，侵害個人權(quán)益的行為也將通過身份而將不利后果傳導(dǎo)到個人。例如，身份盜用、身份欺詐正是通過身份而將賬戶金額減少之不利后果轉(zhuǎn)移給不相關(guān)的自然人。另外，正是因為身份的明確，導(dǎo)致冒用個人信息亦將滋生精準(zhǔn)詐騙?！?〕如多年前的山東徐某玉案，參見陳某輝、鄭某鋒等詐騙、侵犯公民個人信息案（山東省高級人民法院〔2017〕魯刑終281 號刑事裁定書）。個人信息利用過程中一旦出現(xiàn)錯誤，也正是通過身份而將不利后果歸于個人。例如，在廣東互聯(lián)網(wǎng)法院的一則裁判中，被告某科技公司運營的企業(yè)信用信息查詢平臺上將失信被執(zhí)行人信息、限制高消費信息、終止執(zhí)行案件信息等錯誤關(guān)聯(lián)至甲公司及其法定代表人乙名下?！?0〕“廣州互聯(lián)網(wǎng)法院發(fā)布個人信息保護典型案例”之“案例四：算法錯誤關(guān)聯(lián)個人信息應(yīng)當(dāng)更正刪除——梁某、某實業(yè)公司與某科技公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”，載微信公眾號“廣州互聯(lián)網(wǎng)法院”2022 年11 月2 日。這種個人信息錯誤將最終通過身份的準(zhǔn)確對應(yīng)，而精準(zhǔn)侵害個人的名譽權(quán)等既有權(quán)益。

故此，個人信息處理中保護個人權(quán)益的方式在于不識別個人身份。不識別個人身份有兩方面要求。

一方面，個人信息本身含有的姓名、身份證號、生物識別信息等直接標(biāo)識符能夠使個人信息處理者直接識別個人信息主體的身份。信息的識別性是一條連續(xù)的光譜。一端是姓名等直接指認出身份的直接標(biāo)識符，另一端則無法識別，而在這兩端之間有間接標(biāo)識符、準(zhǔn)標(biāo)識符及各種可以通過結(jié)合分析而匹配到某信息主體的大量信息。標(biāo)識符是分析評估的工具，主要充當(dāng)分析評估的手段，使識別分析成為可能。非標(biāo)識符信息則是實現(xiàn)個性特征分析評估的主要內(nèi)容。相比之下，處于信息識別性連續(xù)光譜的一端的直接識別符，既能充當(dāng)分析評估手段，其本身又能直接表征個人身份。

另一方面，個人信息本身即使不含直接標(biāo)識符，個人信息處理者也可能通過結(jié)合多方來源信息識別出個人的身份。信息的識別性不僅取決于其本身，也在于分析行為。大量個人信息缺少與主體之間的直接關(guān)聯(lián)性（缺少直接標(biāo)識符），但僅依賴信息可鏈接性而歸屬于或關(guān)聯(lián)某個間接標(biāo)識符（尤其是數(shù)字ID）。大數(shù)據(jù)時代，數(shù)據(jù)來源的多元化、數(shù)據(jù)量的爆炸式增加，數(shù)據(jù)處理技術(shù)和算法技術(shù)的明顯發(fā)展，使得通過對多來源信息結(jié)合分析進而識別出個人身份變得容易和便捷。個人信息不含身份識別信息，只是在一個邊界確定的數(shù)據(jù)集意義上而言的。當(dāng)對于符合這樣特征的數(shù)據(jù)集進行去標(biāo)識化處理，有可能在該特定數(shù)據(jù)域下實現(xiàn)去身份。但是一旦對于個人信息處理者的行為不加以控制，那么所謂去標(biāo)識化處理無非是掩人耳目的避法之舉。

識別身份的兩種途徑，決定了應(yīng)當(dāng)重點針對此兩種途徑進行個人信息治理。

（三）信息利用：分析評估個性特征

如果從識別行為的目標(biāo)角度，廣義的識別行為可以分為兩類：一是識別自然人的身份；二是識別自然人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等個性特征。以自然人身份為目標(biāo)的行為便是狹義的識別行為，《個人信息保護法》中的“識別”即指狹義識別。以勾勒自然人的個性特征甚至是群體特征為目標(biāo)的識別分析行為（也稱為畫像〔11〕程嘯：《個人信息保護法理解與適用》，中國法制出版社2021 年版，第550 頁。）也屬于廣義識別行為，但區(qū)別于狹義識別行為，在《個人信息保護法》中被稱為“分析、評估”（第73 條第二項，下文統(tǒng)一稱為分析評估）。

通過信息識別個人的身份當(dāng)然是個人信息的重要作用?！秱€人信息保護法》中的“識別”，均指以識別個人身份為目標(biāo)的識別行為。第一，該法第4 條第1 款規(guī)定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。其中，已識別或者可識別，其目標(biāo)均指向“自然人”，此處“有關(guān)”是指與自然人身份關(guān)聯(lián)。第二，第26 條“個人身份識別”的法律表達更是直接點明識別的目標(biāo)是身份。第三，第28 條第1 款列舉了“生物識別”信息，而生物識別信息就是直接標(biāo)識符的一種，其作用在于表征身份。第四，第73 條第三項和第四項中的“無法識別特定自然人”，此處的“特定自然人”同第4 條第1 款中的“自然人”含義相同，均指身份。

但是，分析評估個性特征是目前處理個人信息的重要目的。個人信息的價值主要不在于識別身份，而在于分析評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等個性特征。分析評估個性特征的價值，一方面是分析信用等，以防范不必要的商業(yè)風(fēng)險和安全風(fēng)險；另一方面是分析偏好等，以決定是否及如何觸達或采取行動。以分析評估個性特征為目標(biāo)，其特點在于要求信息指向或具象到某個個體，但不要求該個體的真實身份，在識別其身份之前，該個體仍為抽象存在。例如，在利用醫(yī)療保障數(shù)據(jù)進行個性分析時，不必得知參保個人的身份（如姓名：張三），僅通過國家醫(yī)療保障部門為每位參保個人配備的唯一編碼，即可將關(guān)于該參保個人的各方來源的信息匹配起來并進行分析評估，但始終不需要知道該個人是誰。也就是說，在目前的個人信息實踐中，對于個性特征的分析并不需要個人的直接標(biāo)識符。

于是，當(dāng)區(qū)別識別的兩種目標(biāo)——個人身份與個性特征——時，就會緩解個人保護與信息利用之間的沖突和張力：允許利用信息分析評估個性特征，但規(guī)制個人身份識別行為。對于個人信息處理者而言，其分析評估過程所關(guān)注的是個性特征而非個人身份。個性特征的分析評估主要是基于“識別設(shè)備的信息”（DII）〔12〕識別設(shè)備的信息（Device-Identified information,DII），即與瀏覽器、設(shè)備或一組設(shè)備關(guān)聯(lián)（link）的，且不用于直接識別某個人的數(shù)據(jù)。出自2020 NAI Code of Conduct,https://thenai.org/wpcontent/uploads/2021/07/nai_code2020-2.pdf，2022 年11 月7 日訪問。實現(xiàn)的。分析評估個性特征對信息的基本要求是信息之間可鏈接，而在萬物互聯(lián)環(huán)境中網(wǎng)絡(luò)和設(shè)備均有ID（DII），基于DII 即可以識別個性特征。DII 背后是一個佚名用戶，佚名用戶的背后是某個真實存在的人。DII 不是匿名數(shù)據(jù)，但是能做到使個人信息處理者無法通過信息本身識別身份。而對于需要在信息處理過程中受到保護的個人而言，更關(guān)注其個人身份不被識別。牛津大學(xué)教授桑德拉·瓦赫特（Sandra Wachter）提出，基于鏈接記錄的分析方法可能會揭示用戶身份，因此需要在物聯(lián)網(wǎng)運行所需的特征分析與用戶身份保護之間取得平衡?！?3〕Wachter,S.(2018).Normative challenges of identification in the Internet of Things: Privacy,profiling,discrimination,and the GDPR.Computer law &security review,34(3),436-449.這本質(zhì)上正是本文所述的在控制身份識別基礎(chǔ)上分析評估個性特征。

經(jīng)過上述分析，個人信息治理規(guī)則的規(guī)范目的要求：允許利用信息分析評估個性特征，但規(guī)制個人身份識別行為。而不同個人信息的識別性具有較大差異，故此，應(yīng)當(dāng)根據(jù)不同類型信息在識別中的作用和個人控制或預(yù)防不當(dāng)識別身份的可能性，對個人信息治理規(guī)則予以類型化。

三、含直接標(biāo)識符之個人信息的治理規(guī)則

直接標(biāo)識符，是指結(jié)構(gòu)化數(shù)據(jù)集中的屬性，在特定環(huán)境下可以單獨識別個人信息主體的身份?！?4〕《信息安全技術(shù)個人信息去標(biāo)識化指南》（GB/T37964—2019）第3.7 條。常見的直接標(biāo)識符有：姓名、身份證號、護照號、駕照號、銀行卡號碼、社會保險號碼、健康卡號碼、生物識別碼等?！?5〕《信息安全技術(shù)個人信息去標(biāo)識化指南》（GB/T37964—2019）第3.7 條注2。直接標(biāo)識符的功能在于其直接表征具體個人的身份，從而能夠?qū)?shù)據(jù)（行為）歸屬于個人。事前的同意應(yīng)限于含直接標(biāo)識符的個人信息，而對于直接標(biāo)識符，各行業(yè)或領(lǐng)域宜在處理目的允許的情況下予以刪除。

（一）處理前須經(jīng)過個人同意

當(dāng)待處理的個人信息含有直接標(biāo)識符時，則個人信息處理者應(yīng)當(dāng)取得個人同意或者具備其他合法性基礎(chǔ)。

一方面，從法律形式邏輯的角度分析，處理含直接標(biāo)識符的個人信息均應(yīng)取得個人的同意。從文義來看，《個人信息保護法》第13 條第1 款第一項能夠涵攝含直接標(biāo)識符的個人信息，無須贅述。從體系解釋角度，也能說明含有直接標(biāo)識符的個人信息應(yīng)當(dāng)適用同意規(guī)則?！秱€人信息保護法》第4 條第1 款規(guī)定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。含直接標(biāo)識符的個人信息就是其中的“與已識別的自然人有關(guān)的各種信息”。相比于“與可識別的自然人有關(guān)的各種信息”，含直接標(biāo)識符的個人信息顯然屬于《個人信息保護法》規(guī)制和保護的個人信息核心范疇，所以當(dāng)然應(yīng)適用同意原則。

另一方面，從正當(dāng)性層面分析，含直接標(biāo)識符的個人信息仍應(yīng)當(dāng)取得個人同意或者具備其他合法性基礎(chǔ)。前文已經(jīng)論述，在個人信息治理規(guī)則中，對于個人身份的保護是保護個人權(quán)益的關(guān)鍵舉措。因為個人身份的披露將導(dǎo)致一切活動或后果都將精準(zhǔn)地歸屬于該個人承擔(dān)。直接標(biāo)識符恰是個人身份的符號化表現(xiàn)，具有表征個人身份的作用。所以通過直接標(biāo)識符能夠?qū)⑾嚓P(guān)活動或相關(guān)影響的后果精準(zhǔn)傳導(dǎo)至該個人。為了尊重個人尊嚴，尊重其對個人事務(wù)的自決，尊重其是否披露身份的意愿，應(yīng)當(dāng)在處理前取得個人的同意，除非有其他合法性基礎(chǔ)?！?6〕李群濤、高富平：《信息主體同意的適用邊界》，載《財經(jīng)法學(xué)》2022 年第1 期。

（二）處理過程宜刪除直接標(biāo)識符

如果個人信息處理的目的決定了沒有必要保留直接標(biāo)識符，那么收集個人信息時不應(yīng)收集直接標(biāo)識符；即便收集了直接標(biāo)識符的信息，也宜在處理過程中刪除直接標(biāo)識符，確保個人信息處理過程的安全。

刪除直接標(biāo)識符這一措施對應(yīng)《個人信息保護法》中的“去標(biāo)識化”。按照《個人信息保護法》第73 條第三項之規(guī)定，去標(biāo)識化是指“個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。按照全國人大常委會法工委的解釋，此種去標(biāo)識化的“無法識別”，即指無法直接識別，〔17〕楊合慶主編：《中華人民共和國個人信息保護法釋義》，法律出版社2022 年版，第175 頁。恰恰對應(yīng)直接標(biāo)識符的刪除。去標(biāo)識化仍然是針對一個特定的數(shù)據(jù)集，刪除該數(shù)據(jù)集中的直接標(biāo)識符，從而達到在不借助額外信息的情況下無法識別特定自然人的效果。此處的“額外信息”包括直接標(biāo)識符。當(dāng)然，“額外信息”不限于直接標(biāo)識符，還包括不含直接標(biāo)識符的其他個人信息。因為當(dāng)通過若干不含直接標(biāo)識符的信息進行結(jié)合分析時，也能識別出特定自然人的身份。

刪除直接標(biāo)識符作為一項義務(wù)，已為《個人信息保護法》所確認。根據(jù)《個人信息保護法》第51 條第三項的規(guī)定，個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，采取去標(biāo)識化等安全技術(shù)措施，確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。

工資費的規(guī)定在審計實踐中演變?yōu)椋河胸斦該芸畹氖聵I(yè)單位在職在編人員，不得再以任何形式在科研經(jīng)費中列支工資性費用，而且此規(guī)定成為了嚴肅財經(jīng)紀律中不能逾越的“紅線”和帶電的“高壓線”。

刪除直接標(biāo)識符的治理措施，通用于個人信息處理全過程、全領(lǐng)域，不應(yīng)只在信息公開時落實。雖然在《個人信息保護法》出臺之前，在部分規(guī)范性文件中已經(jīng)開始強調(diào)去標(biāo)識化這一措施的運用，但是僅局限于個人信息公開的情形。例如，國務(wù)院2018 年發(fā)布的《2018 年政務(wù)公開工作要點》（國辦發(fā)〔2018〕23 號）中僅要求在公開涉及個人隱私的政府信息時，要進行去標(biāo)識化處理。囿于該文件的調(diào)整范圍僅限于政務(wù)公開工作，所以各部委也僅將去標(biāo)識化處理限縮于個人信息公開這一處理方式之上?！?8〕例如，交通運輸部公布的《班車客運定制服務(wù)操作指南》（交辦運函〔2022〕1205 號）僅提出，在公開信息中，對旅客個人信息采取加密、去標(biāo)識化等安全技術(shù)措施，保障旅客個人信息安全。但這并不能說明去標(biāo)識化（刪除直接標(biāo)識符）僅限于個人信息公開措施。根據(jù)新法優(yōu)于舊法的解釋規(guī)則，應(yīng)當(dāng)遵從《個人信息保護法》第51 條之規(guī)定，是否采取去標(biāo)識化處理，應(yīng)綜合考慮“個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等”因素。

可喜的是，目前交通、醫(yī)療、金融等若干具體領(lǐng)域立法中逐漸將刪除直接標(biāo)識符（去標(biāo)識化）作為一項貫穿全過程的義務(wù)。例如，2021 年五部門頒布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第6 條第四項即提出，國家倡導(dǎo)汽車數(shù)據(jù)處理者在汽車數(shù)據(jù)處理活動中堅持脫敏處理原則，盡可能進行匿名化、去標(biāo)識化等處理。再如，國家衛(wèi)生健康委員會和國家中醫(yī)藥管理局在《關(guān)于加強全民健康信息標(biāo)準(zhǔn)化體系建設(shè)的意見》（國衛(wèi)辦規(guī)劃發(fā)〔2020〕14 號）中強調(diào)去標(biāo)識化在全民健康信息數(shù)據(jù)庫標(biāo)準(zhǔn)化建設(shè)以及數(shù)據(jù)利用和共享流通過程中的重要作用。

總之，含直接標(biāo)識符之個人信息的治理規(guī)則在于：第一，處理前必須經(jīng)過個人同意；第二，處理過程宜刪除直接標(biāo)識符。

四、僅含間接標(biāo)識符之個人信息的治理規(guī)則

間接標(biāo)識符（也被稱為DII），主要包括靜態(tài)IP、MAC、設(shè)備ID 等。間接標(biāo)識符不能夠表征個人身份，而只能表征設(shè)備身份，進而間接指向一個虛擬的個體。間接標(biāo)識符的作用在于在不彰顯個人身份的情況下仍然能夠關(guān)聯(lián)與該個人有關(guān)的各方面信息，從而有助于在不識別該個人身份的情況下分析評估該個人的個性特征，揭示信用、行為傾向等。僅含間接標(biāo)識符之個人信息的治理規(guī)則為：個人信息處理者可以豁免取得個人同意的義務(wù)而合理利用此類信息；但是個人信息處理者需要全程被禁止識別個人的身份。除此之外，《個人信息保護法》的其他規(guī)定仍然應(yīng)當(dāng)遵守。

（一）處理前不需要經(jīng)過個人同意

相比含直接標(biāo)識符的個人信息，僅含間接標(biāo)識符的個人信息的特殊之處在于去除了信息與信息主體的關(guān)聯(lián)（直接標(biāo)識符），但同時保留了信息之間的可鏈接性（間接標(biāo)識符）。此類數(shù)據(jù)集的意義即在于保留了信息識別分析價值，且去除信息與主體直接關(guān)聯(lián)所引發(fā)的風(fēng)險，從而保留個人信息的基本效用。無論如何，僅含間接標(biāo)識符的信息仍然具有識別自然人身份的可能性，因此其仍然屬于個人信息?！?9〕江必新、郭鋒主編：《〈中華人民共和國個人信息保護法〉條文理解與適用》，人民法院出版社2021 年版，第644-646 頁。但是，2015 年的朱某與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛案中，法院認為，網(wǎng)絡(luò)精準(zhǔn)廣告中使用cookie 技術(shù)收集、利用的網(wǎng)絡(luò)偏好信息不能與網(wǎng)絡(luò)用戶個人身份對應(yīng)識別，網(wǎng)絡(luò)服務(wù)提供者和社會公眾無法確定該偏好信息的歸屬主體，不符合個人信息的“可識別性”要求?！?0〕朱某與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛案（江蘇省南京市中級人民法院〔2014〕寧民終字第5028 號民事判決書）。這種認識難謂不符合當(dāng)時對于個人信息識別性的認識，但是此種觀念在當(dāng)下應(yīng)當(dāng)被揚棄和更新，而應(yīng)承認僅含間接標(biāo)識符的信息也是個人信息。2020年的微信讀書案中，法院即認識到，雖然通過“微信”App 向“微信讀書”App 提供的OPEN_ID 無法知道每個OPEN_ID 對應(yīng)的具體身份信息，但該信息仍然屬于個人信息。〔21〕黃某訴騰訊科技（深圳）有限公司、騰訊科技（北京）有限公司等隱私權(quán)、個人信息保護糾紛案（北京互聯(lián)網(wǎng)法院〔2019〕京0491 民初16142 號民事判決書）。

那么，僅含間接標(biāo)識符的個人信息的處理是否需要取得個人的同意或者獲得其他合法性基礎(chǔ)方可處理呢？目前的執(zhí)法實踐傾向于給出肯定的答案。2021 年年底國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會聯(lián)合發(fā)布的《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》中，就將App 在取得個人同意前就將安卓ID 等信息上傳至云端服務(wù)器的行為認定為違法行為?！?2〕國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會：《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》，中國網(wǎng)信網(wǎng)，http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm，2022 年11 月6 日訪問。不僅如此，2022 年4 月7 日，深圳市公安局福田分局出具一則行政處罰決定書，認為深圳市辰瑞文化傳播有限公司旗下App 首次運行未經(jīng)用戶同意即收集MAC 地址、IMEI、AndroidID 等信息的行為，違反了《個人信息保護法》第13 條的規(guī)定，進而予以行政處罰?！?3〕行政處罰決定書，深圳市公安局【深福公（天安）行罰決字〔2022〕33751 號】。2022 年4 月11 日，深圳市公安局南山分局在另一起行政處罰案件中，將深圳鯤鵬天下科技有限公司旗下App 同樣的行為認定為違反同意規(guī)則?！?4〕行政處罰決定書，深圳市公安局南山分局【深南公（高新）行罰決字〔2022〕33742 號】。

實踐中的做法似乎是符合實定法文義的。如果從《個人信息保護法》第13 條第1 款之文義來看，對于一切類型的個人信息處理都應(yīng)當(dāng)取得個人的同意或者具備其他合法性基礎(chǔ)。僅含間接標(biāo)識符之個人信息，雖然不含有直接標(biāo)識符，但如果結(jié)合額外信息進行分析仍然能夠識別出特定自然人的身份，則仍然屬于個人信息。進而，對于此類個人信息的處理仍然在處理前應(yīng)當(dāng)取得個人的同意。〔25〕龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021 年版，第346 頁。

然而，這樣的解釋結(jié)論和解釋方案并不具有說服力。第一，無法達致《個人信息保護法》邏輯體系上的自洽；第二，脫離了個人信息治理規(guī)則的規(guī)范目的。

一方面，從《個人信息保護法》的邏輯體系看，不需告知制度的存在決定了該法律體系內(nèi)部必然應(yīng)當(dāng)存在對應(yīng)的不需同意的情形。按照《個人信息保護法》的規(guī)定，在下列情形不需要告知個人：第一，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的（第18 條第1款第一種情形）；第二，國家機關(guān)為履行法定職責(zé)處理個人信息，告知將妨礙國家機關(guān)履行法定職責(zé)的（第35 條第二分句）；第三，有不需要告知的情形的（第18 條第1 款第二種情形）。對于第三種情形而言，“當(dāng)個人信息處理者客觀不識別身份或基于合規(guī)要求不被允許識別身份時，基于法律不強人所難的基本法理”〔26〕前引〔16〕，李群濤、高富平文。，也應(yīng)當(dāng)屬于不需要告知的情形。根據(jù)《個人信息保護法》，有效告知的結(jié)果是個人充分知情；而只有個人充分知情，個人的同意才合法。簡言之，有效告知是同意的邏輯前提，因而在法律規(guī)定不盡告知義務(wù)的情形下，就不需要同意。同時，從理論上，告知的前提是知曉該個人，如果僅掌握DII 而無從知曉背后主體的情形下，亦不能告知，也就無法實施后一步的同意。因此，雖然《個人信息保護法》第13 條第1 款第一項并沒有展示任何例外情形，但是基于維護其邏輯體系的自洽性，應(yīng)當(dāng)對其適用范圍在解釋上進行限縮，不含直接標(biāo)識符的個人信息的處理不需要事前取得個人的同意。而對于僅含間接標(biāo)識符的個人信息而言，個人信息處理者顯然無法在不進行任何識別行為的情況下僅憑個人信息本身得知個人的身份，屬于不需要告知的情形，進而當(dāng)然沒有必要取得個人的同意。

另一方面，從實現(xiàn)《個人信息保護法》的規(guī)范目的角度，也不應(yīng)認為僅含間接標(biāo)識符之個人信息的處理應(yīng)當(dāng)經(jīng)過個人同意。遵從實定法的邏輯體系而確認處理含間接標(biāo)識符之個人信息不需要取得個人同意，有利于激勵個人信息處理者在處理過程中進行去標(biāo)識化處理。如果僵化地遵守《個人信息保護法》第13 條的文義而仍認為個人信息處理者需要經(jīng)過個人的同意，那么就意味著個人信息處理者即使不需要識別個人信息主體的身份，為了合規(guī)也仍然要從僅含間接標(biāo)識符的個人信息中通過技術(shù)手段識別出個人的身份，這客觀上將導(dǎo)致個人信息處于更高水平的風(fēng)險之中。然而這恰恰不符合《個人信息保護法》保護個人信息權(quán)益的初衷。GDPR 雖然強調(diào)同意制度的適用，但也已經(jīng)認識到這一漏洞，于是在規(guī)定同意制度的同時，在第13 條第1 款中提出：若個人信息處理者的處理目的不需要或不再需要識別個人身份，則不應(yīng)強制個人信息處理者僅為了遵守GDPR 而保留、獲取或處理額外信息以識別個人身份。信息是自由的，處理全過程也不識別身份，不會侵犯個人的名譽權(quán)、隱私權(quán)等權(quán)益；在此種情況下，為了實現(xiàn)《個人信息保護法》的另一重要目的，即“促進個人信息合理利用”，應(yīng)當(dāng)支持運用體系解釋方法得出的“含間接標(biāo)識符之個人信息的處理不需要事前取得個人同意”這一結(jié)論。

（二）處理過程禁止識別身份

對于僅含間接標(biāo)識符之個人信息的治理規(guī)則而言，還包括個人信息處理者全程禁止識別身份這一內(nèi)容。

前文已經(jīng)指出，個人信息處理者識別個人的身份，不僅可以通過個人信息本身攜帶的直接標(biāo)識符實現(xiàn)，也可以通過對多重來源的個人信息進行結(jié)合分析從而識別出個人的身份。

間接標(biāo)識符只是個人信息本身無法直接識別個人的身份，但這并不能阻止個人信息處理者在處理過程中通過結(jié)合分析的方式，在分析評估個人之個性特征過程中，同時識別出個人的身份。立法者已經(jīng)意識到，按照實踐慣行，個人信息處理者進行去標(biāo)識化處理后，通常仍保留原始個人信息以及去標(biāo)識化的方法，因而仍然能夠再次識別個人身份?！?7〕前引〔17〕，楊合慶主編書，第175 頁。如果處理者事前不需要經(jīng)過個人同意即可處理僅含間接標(biāo)識符的個人信息，同時又不阻止個人信息處理者在分析評估個性特征過程中識別個人的身份，則對個人身份的保護如同掩耳盜鈴。

因此，處理含間接標(biāo)識符的個人信息處理者還必須履行全程不識別身份的義務(wù)?！缎畔踩夹g(shù)個人信息去標(biāo)識化指南》（GB/T37964—2019）僅規(guī)定了技術(shù)和管理措施，防止個人信息處理者重新識別（第4.2 條），但并未規(guī)定個人信息處理者有不重新識別之義務(wù)。去標(biāo)識技術(shù)是針對特定數(shù)據(jù)集而言，取決于處理后的數(shù)據(jù)集是否還具有單獨識別個人的能力。然而是否能夠識別個人不能只看信息本身的識別性，而需要考察這些信息是否因可鏈接而具有識別性，對于信息之間是否可鏈接，在進行結(jié)合分析之前并不能直觀地判斷出來。在結(jié)合分析之前，要使一個數(shù)據(jù)集達到“無法識別”個人的效果，就只能集中于對直接標(biāo)識符的處理。由于信息之間的可鏈接性難以消除，在技術(shù)角度，匿名化與去標(biāo)識化技術(shù)不存在根本性差異。處理后的無法識別只能是在邊界相對固定的數(shù)據(jù)集中刪除直接標(biāo)識符，達到身份無法識別。因此，由于去標(biāo)識化后的信息仍有關(guān)聯(lián)到個人的可能性，只要不禁止個人信息處理者試圖重新識別身份的行為，個人信息處理者總能逾越技術(shù)障礙而實現(xiàn)身份的再次識別。

于是，對去標(biāo)識化制度還應(yīng)有兩項約束條件：第一，標(biāo)識符管理措施，避免信息處理者復(fù)原或再關(guān)聯(lián)；第二，信息處理者不得進行再識別。雖然可以將去標(biāo)識作為個人信息流通基本條件，但是必須對識別行為進行控制，使利用信息識別個人的識別分析行為納入法治軌道。也就是說，去標(biāo)識信息可以流通，但限于非識別個人身份的利用行為。采取“刪除直接標(biāo)識符＋身份識別控制”的受控去標(biāo)識化制度，允許各行業(yè)發(fā)展出適合各自風(fēng)險的受控去標(biāo)識化機制，并探索出符合個人信息保護法精神、確保個人信息流通利用的治理架構(gòu)，打造可信去標(biāo)識化信息流通環(huán)境?！?8〕高富平：《個人信息流通利用的制度基礎(chǔ)——以信息識別性為視角》，載《環(huán)球法律評論》2022年第1 期。

從比較法層面，對于處理去標(biāo)識個人信息的處理者課以不再識別身份的義務(wù)，是國際通行和公認的做法。例如，根據(jù)美國統(tǒng)一法律委員會2021 年通過的《統(tǒng)一個人數(shù)據(jù)保護法》第9 條b 款之規(guī)定，通過重新識別來收集或創(chuàng)建個人數(shù)據(jù)的行為，是被禁止的數(shù)據(jù)處理行為?！?9〕《美國統(tǒng)一個人數(shù)據(jù)保護法》對于重新識別規(guī)定了三項例外情形：（1）重新識別是由之前對個人數(shù)據(jù)進行假名化或匿名化的控制者或處理者進行的；（2）數(shù)據(jù)主體希望通過控制者實施再識別技術(shù)使其個人數(shù)據(jù)處于可識別狀態(tài)加以維護的；（3）重新識別的目的是評估匿名化數(shù)據(jù)的隱私風(fēng)險，進行重新識別的主體不會使用或披露經(jīng)重新識別的個人數(shù)據(jù)，除非向創(chuàng)建匿名化數(shù)據(jù)的控制者或處理者證明隱私漏洞（privacy vulnerability）。類似地，歐盟GDP R 第4 條第5 項在界定假名化機制（pseudonymisation）的同時，也強調(diào)個人信息處理者應(yīng)當(dāng)獨立存儲額外信息，不僅要采取妥適的技術(shù)措施，而且還必須組織措施確保不重新識別自然人身份、不重新將個人信息連結(jié)至特定自然人。

這種對信息處理者課以全程不識別身份的義務(wù)，在法律解釋上可以從《個人信息保護法》第73 條第三項中的“不借助額外信息”推演得出?！秱€人信息保護法》第73 條第三項規(guī)定：“去標(biāo)識化，是指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程?！备鶕?jù)該定義，去標(biāo)識化最終體現(xiàn)為一個“過程”。因此，在邏輯上去標(biāo)識化由兩部分構(gòu)成：第一，完成去標(biāo)識的動作；第二，在利用中保持去標(biāo)識的狀態(tài)。在第一部分中，“個人信息經(jīng)過處理”表述了個人信息處理者的作為義務(wù)，“無法識別特定自然人”是作為檢驗去標(biāo)識這一動作是否適格的標(biāo)準(zhǔn)，而“在不借助額外信息的情況下”是檢驗去標(biāo)識這一動作是否適格的環(huán)境要求。既然“不借助額外信息”是去標(biāo)識后“無法識別特定自然人”的環(huán)境要求，那么這就意味著在第二部分，即在利用中保持去標(biāo)識的狀態(tài)，必須使經(jīng)處理的信息始終處于“不借助額外信息”的環(huán)境之中。于是，在保持去標(biāo)識狀態(tài)階段，為了使信息始終處于“不借助額外信息”的環(huán)境狀態(tài)，就必然要求個人信息處理者始終不能破壞該環(huán)境狀態(tài)，即始終不能借助額外信息。至此，個人信息處理者在處理過程中禁止識別身份的義務(wù)借由《個人信息保護法》第73 條第三項推演而得出。

然而需要注意的是，個人信息處理過程中禁止通過結(jié)合分析識別身份，但并未禁止通過結(jié)合分析而分析評估個性特征?！秱€人信息保護法》第73 條第三項強調(diào)無法識別“自然人”。根據(jù)前文所述，《個人信息保護法》用“自然人”來表述識別的目標(biāo)時，“自然人”實際表達的是“自然人身份”之意。也就是說，若分析評估行為是以認識個性特征為目標(biāo)，則此種“借助額外信息”進行結(jié)合分析的行為未被禁止。

當(dāng)然，一旦個人信息處理者需要通過分析評估過程進而識別出個人的身份，那么僅含間接標(biāo)識符的個人信息便轉(zhuǎn)化為含直接標(biāo)識符的個人信息，從而個人信息處理者重新具有取得個人同意之義務(wù)。

五、不含標(biāo)識符之個人信息的治理規(guī)則

對于含直接標(biāo)識符或僅含間接標(biāo)識符之個人信息以外的個人信息，應(yīng)當(dāng)確認為屬于不含標(biāo)識符之個人信息。此類個人信息的治理規(guī)則落入純粹的責(zé)任規(guī)則，應(yīng)當(dāng)遵守《個人信息保護法》基本原則和具體規(guī)范，實質(zhì)性保護個人信息權(quán)益，努力預(yù)防侵害結(jié)果的發(fā)生并給個人以救濟保護。

（一）不含標(biāo)識符之個人信息與匿名信息的鑒別

所謂不含標(biāo)識符之個人信息，是指不含直接標(biāo)識符和間接標(biāo)識符的信息?？傮w而言，可以包括兩類：第一類是屬性信息，包括性別、年齡、職業(yè)和愛好等，與個人不具有一對一關(guān)系；第二類是行為信息，包括狀態(tài)信息（健康）、行為信息（內(nèi)容、軌跡信息）等。美國部分規(guī)范性文件中將這些信息（尤其是屬性信息）稱為準(zhǔn)標(biāo)識符（quasi-identif ier）。〔30〕有學(xué)者將之譯為“間接標(biāo)識符”，但須指出，此間接標(biāo)識符與本文所謂間接標(biāo)識符并非同一含義。參見劉穎、谷佳琪：《個人信息去身份化及其制度構(gòu)建》，載《學(xué)術(shù)研究》2020 年第12 期；程海玲：《個人信息匿名化處理法律標(biāo)準(zhǔn)探究》，載《科技與法律》2021 年第3 期。常見的準(zhǔn)標(biāo)識符有：性別、出生日期或年齡、事件日期（如入院、手術(shù)、出院、訪問）、地點（如郵政編碼、建筑名稱、地區(qū)）、族裔血統(tǒng)、出生國、語言、原住民身份、可見的少數(shù)民族地位、職業(yè)、婚姻狀況、受教育水平、上學(xué)年限、犯罪歷史、總收入和宗教信仰等?！?1〕《信息安全技術(shù)個人信息去標(biāo)識化指南》（GB/T37964—2019）第3.8 條的注。歐盟GDPR則將這些屬性信息稱為“因素”（factors，第4 條第1 項第二分句）。這些信息如果結(jié)合間接標(biāo)識符或者直接標(biāo)識符，可以輔助針對個人的分析評估（prof iling），比如分析個性特征，揭示信用、行為傾向等；而如果不結(jié)合間接標(biāo)識符或直接標(biāo)識符，則可以針對群體進行挖掘分析（data mining），如科學(xué)研究、市場分析等。本部分顯然僅限于討論不含間接標(biāo)識符或直接標(biāo)識符的信息。

關(guān)于不含標(biāo)識符的個人信息是否屬于匿名信息問題，學(xué)界有不同的認知。荷蘭烏得勒支大學(xué)教授納德日達·普托娃（Nadezhda Purtova）指出，采用當(dāng)下的判斷標(biāo)準(zhǔn)來界定個人信息，那么個人信息將是無所不包的，幾乎沒有什么信息屬于匿名信息?！?2〕Purtova,Nadezhda.(2018).The law of everything.Broad concept of personal data and future of EU data protection law.Law,Innovation and Technology.10.1-42.10.1080/17579961.2018.1452176.當(dāng)然也有相反的意見，例如來自牛津大學(xué)、曼徹斯特大學(xué)的九位學(xué)者通過法教義學(xué)手段對GDPR 中假名數(shù)據(jù)的定義進行分析，從而提出，基于相關(guān)性測試結(jié)果，去除標(biāo)識符的數(shù)據(jù)也有可能被認為不屬于個人數(shù)據(jù)?！?3〕Mourby,M.,Mackey,E.,Elliot,M.,Gowans,H.,Wallace,S.E.,Bell,J.,...&Kaye,J.(2018).Are‘pseudonymised’data always personal data? Implications of the GDPR for administrative data research in the UK.Computer Law &Security Review,34 (2),222–233.

實際上，我國已經(jīng)有判例傾向于后者的意見，將無標(biāo)識符的個人信息認定為匿名信息。在“余某訴北京酷車易美網(wǎng)絡(luò)科技有限公司隱私權(quán)糾紛案”中，廣州互聯(lián)網(wǎng)法院認為，被告運營的App 能夠提供原告名下車輛的歷史車況信息，但是該信息已經(jīng)過脫敏處理，無法單獨識別原告；雖然存在通過第三方信息與車況信息結(jié)合識別到特定自然人的可能性，但是考慮到行為成本問題，可以忽略此種可能性。故此，法院認為案涉歷史車況信息不屬于個人信息?！?4〕余某訴北京酷車易美網(wǎng)絡(luò)科技有限公司隱私權(quán)糾紛案（廣州互聯(lián)網(wǎng)法院〔2021〕粵0192 民初928 號民事判決書）。另外，也有類似觀點認為，在重新識別個人身份將付出高額成本的情況下，就可以認為信息已達到匿名化程度?！?5〕前引〔17〕，楊合慶主編書，第175 頁。

然而，在《個人信息保護法》明確匿名信息不屬于個人信息進而不適用《個人信息保護法》的情況下，對于“匿名信息”概念進行從寬解釋是危險的。如此寬泛認定匿名信息將導(dǎo)致個人信息處理者有規(guī)避適用《個人信息保護法》的空間。而目前研究認為，匿名信息真正能做到完全沒有復(fù)原可能的情況是不存在的，這意味著匿名信息的處理行為仍然殘余風(fēng)險。〔36〕Finck,M.,&Pallas,F.(2020).They who must not be identified—distinguishing personal from nonpersonal data under the GDPR.International Data Privacy Law,10(1),11-36.世界并非“非黑即白”，在網(wǎng)絡(luò)化背景下，數(shù)據(jù)都具有可關(guān)聯(lián)性，即具有可識別性，沒有辦法真的去識別。在這種情況下，處理此種信息的行為仍然要遵守《個人信息保護法》規(guī)定的必要的技術(shù)和組織措施。從這一意義上看，對匿名信息應(yīng)當(dāng)進行嚴格解釋，將《個人信息保護法》第73條第四項中的“不能復(fù)原”解釋為復(fù)原的客觀可能性為零或者極低?！?7〕江必新、李占國主編：《中華人民共和國個人信息保護法條文解讀與法律適用》，中國法制出版社2021 年版，第15 頁。

因此，如果不能充分證明經(jīng)去標(biāo)識處理的個人信息不再具有識別身份的可能性，應(yīng)當(dāng)將此種信息認定為不含標(biāo)識符之個人信息，而非匿名信息。為防止脫法行為，不僅應(yīng)當(dāng)對《個人信息保護法》匿名化信息作嚴格解釋，而且隨著時間技術(shù)發(fā)展，一旦匿名信息又存在識別身份可能性，應(yīng)當(dāng)立即恢復(fù)認定為不含標(biāo)識符之個人信息?！?8〕張新寶主編：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021 年版，第570-571 頁。

（二）無事前同意和事后拒絕之必要

對于無標(biāo)識符之個人信息的治理規(guī)則而言，當(dāng)然應(yīng)當(dāng)包括不需要經(jīng)過事前的個人同意以及處理全過程禁止識別身份。一方面，因為無標(biāo)識符之個人信息不含直接標(biāo)識符，不能直接識別出信息指向誰，在處理前不需要也無法經(jīng)過個人之同意。另一方面，基于與含間接標(biāo)識符之個人信息相同的理由，因為數(shù)據(jù)的可鏈接性或者說鏈接能力的無法完全消除性，導(dǎo)致即使對于無標(biāo)識符之個人信息，也應(yīng)防止在結(jié)合識別過程中通過分析評估而識別個人之身份，因此個人信息處理者仍然具有全過程禁止識別個人身份之義務(wù)。

不僅如此，在無標(biāo)識符之個人信息服務(wù)于群體分析時，個人也沒有事后拒絕的必要。事后拒絕與事前同意相對，是廣泛意義上的表述。在《個人信息保護法》中，事后拒絕具體體現(xiàn)在五個制度中：第一，撤回同意（第15 條第1 款第一句）；第二，通過自動化決策方式向個人進行信息推送、商業(yè)營銷時，個人的拒絕權(quán)（第24 條第2 款）；第三，拒絕個人信息處理者僅通過自動化決策的方式作出決定（第24 條第3款）；第四，拒絕他人對其個人信息進行處理（第44 條第一分句）；第五，個人信息刪除權(quán)（第47 條第1 款）。關(guān)于第一種制度，即撤回同意制度，因該制度以“基于個人同意處理個人信息”為前提，而無標(biāo)識符之個人信息處理恰恰不需基于個人同意而進行，因此不適用該制度。至于后四種制度，其皆是因為以個性分析為前提，但是當(dāng)無標(biāo)識符之個人信息不結(jié)合直接標(biāo)識符和間接標(biāo)識符，不聯(lián)系、對應(yīng)相應(yīng)的個人時，其分析結(jié)果不會通過隨身電子設(shè)備影響個人。因此后四種情形亦不需要個人進行拒絕。

當(dāng)然，對于無標(biāo)識符之個人信息而言，個人信息處理者亦需要采取必要措施預(yù)防處理行為或者處理結(jié)果侵害個人之權(quán)益。雖然個人沒有必要在事前通過同意或者事后通過拒絕機制而主導(dǎo)個人信息處理行為，但這并不影響個人之合法民事權(quán)益始終應(yīng)當(dāng)?shù)玫奖Ｗo。一方面，個人信息處理者應(yīng)當(dāng)采取必要措施預(yù)防個人權(quán)益被侵害。另一方面，一旦個人信息處理行為造成個人權(quán)益侵害，如果造成損失的，個人可以主張侵權(quán)損害賠償（《個人信息保護法》第69 條第1 款）；未造成損失時，個人可以主張消除影響、恢復(fù)名譽等。

結(jié)語

《個人信息保護法》的規(guī)范目的在于保護個人權(quán)益而非保護個人信息，并達致個人權(quán)益保護與個人信息利用的平衡。在建設(shè)數(shù)據(jù)要素市場的時代背景下更應(yīng)堅持這一規(guī)范目的。雖然從個人信息保護制度源起和《個人信息保護法》目的條款，我們足可以作出上述解釋，但是《個人信息保護法》主要規(guī)范直接處理關(guān)系且以個人權(quán)益保護為軸心，在整個制度設(shè)計上忽略了處理者使用個人信息的利益，畢竟個人信息是社會可用資源，是社會運行和發(fā)展的“石油”。本文認為，《個人信息保護法》本質(zhì)上是通過規(guī)范識別行為來保護個人信息權(quán)益的，我們應(yīng)當(dāng)從不同信息的識別性和風(fēng)險程度出發(fā)規(guī)范不同類別的識別行為，以此構(gòu)建平衡實現(xiàn)規(guī)范目的的個人信息治理規(guī)則。個人信息處理過程中保護個人權(quán)益主要在于對個人身份的保護，強調(diào)去除表征身份的直接標(biāo)識符和處理全過程禁止再識別身份的義務(wù)。在這種情況下，個人權(quán)益保護強調(diào)禁止識別身份，個人信息利用強調(diào)分析評估個性特征。

當(dāng)個人信息處于不同的識別性程度時，應(yīng)當(dāng)分別配置個人信息治理規(guī)則。就含直接標(biāo)識符之個人信息的治理規(guī)則而言，個人信息處理前必須經(jīng)過個人的同意或者具備其他合法性基礎(chǔ)。同時處理過程宜刪除直接標(biāo)識符。就僅含間接標(biāo)識符之個人信息的治理規(guī)則而言，個人信息處理前不需要經(jīng)過個人同意，但是相應(yīng)地，個人信息處理者全程禁止識別個人身份。就不含標(biāo)識符之個人信息的治理規(guī)則而言，個人信息處理前不需要經(jīng)過個人同意，同時，個人信息處理過程中個人也沒有必要進行事后拒絕。不過，個人信息處理者應(yīng)當(dāng)遵循個人信息處理基本原則和相應(yīng)法律規(guī)則，一旦出現(xiàn)違反法律的處理行為，應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任，包括民事?lián)p害賠償責(zé)任。

本文仍然是對直接處理行為的宏觀分析，但其原理同樣可以適用于處理者對外提供。當(dāng)處理者對外提供的信息不屬于同意控制范圍，那么對外提供就不應(yīng)當(dāng)適用同意，但是，接受信息的主體如果要進行分析評估，仍然要遵循《個人信息保護法》等法律的規(guī)定，如果獲取該信息是用于針對個人作出決定，那么要獲得個人的同意；如果不屬于識別個人或針對個人的決定，那么只要遵循上述不含標(biāo)識符之個人信息的治理規(guī)則，就屬于合目的性的行為。對此，本文不再展開論述。不過，直接標(biāo)識符、間接標(biāo)識符以及準(zhǔn)標(biāo)識符之間的邊界是隨著時代發(fā)展和行業(yè)領(lǐng)域的不同而變動不居的，間接標(biāo)識符亦可以演變?yōu)橹苯訕?biāo)識符。這完全取決于信息本身直接指向個人或識別出個人身份的程度。因此各個行業(yè)領(lǐng)域宜根據(jù)行業(yè)特性和技術(shù)發(fā)展變化，靈活確定相應(yīng)行為準(zhǔn)則等規(guī)范，指引個人信息處理合規(guī)。如何準(zhǔn)確列舉直接標(biāo)識符、間接標(biāo)識符和準(zhǔn)標(biāo)識符將是下一階段的重大任務(wù)。