識別與再識別：個人信息的概念界定與立法選擇

齊愛民 張哲

摘要：大數據時代，數據已成為社會生產和經濟發展的關鍵要素，個人信息在提高政府決策水平、企業精準營銷、社會管理創新等方面具有巨大的潛在利用價值?？v觀全球，以歐盟為代表的個人信息保護單行立法模式成為當前世界各國的主流做法。國際社會在個人信息的界定上基本形成了以可識別性為核心判定標準的共識；但個人信息界定的動態性和場景性不僅帶來了司法認定上的困難，也使企業在匿名化處理問題上無所適從。充分借鑒國外立法，以加強個人信息權頂層設計為核心，通過事前同意、事中風險評估和事后個案認定機制來彌補個人信息界定的固有缺陷，是提升中國未來民法典人格權編和個人信息保護法科學性的應有之義。

關鍵詞：個人信息；再識別；匿名化；個人信息權

中圖分類號：D923.4 文獻標志碼：A 文章編號：1008-5831（2018）02-0119-13

信息社會中，隨著全球網絡基礎設施的不斷完善，移動互聯網、物聯網、云計算服務的普及，世界數據總量迎來了爆炸式增長。據IDC報告，未來全球數據總量年增長率將維持在50%左右，到2020年，全球數據總量將達到40ZB。其中，中國數據量將達到8.6ZB，占全球的21%左右[1]。在這其中，大部分是與互聯網用戶有關的個人信息。與此同時，以谷歌、微軟、阿里、騰訊為代表的互聯網企業在數據挖掘、人臉識別、機器學習等領域的技術也日臻成熟，大大提高了網絡服務的個性化和智能化。

數據分析技術的進步和數據量的增長在便捷生活、創造經濟價值的同時，也造成公民隱私的擔憂。美國以隱私權為核心的保護模式已無法抵御現代信息技術對私密生活的侵襲，于是有學者提出了“信息隱私法（Information Privacy Law）”和“個人可識別信息（Personal Identifiable Information）”等概念來進一步擴張隱私權的內涵。歐盟也通過頒布《一般數據保護條例（GDPR）》（以下簡稱“GDPR”）來進一步規制數據控制者和處理者的數據處理行為，以在促進信息自由流動的同時增強個人的數據控制力?？v觀世界范圍內的個人信息保護立法，雖然可識別性標準已經得到了絕大多數國家的認可，但在具體的外延界定上仍存在一定的差異。作為個人信息保護法中最為核心的概念，對其進行學理上的界定對于立法、司法和執法都至關重要，過窄的范圍無法充分保護信息主體的合法利益，而過寬的范圍也將阻礙信息的自由流動。以當前的社會發展狀況為背景，通過對現有個人信息界定模式的反思，提出相應的解決對策對于中國未來個人信息保護法的制定具有重要意義。

一、個人信息概念界定現狀

所謂個人信息，是指自然人的姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動，以及其他可以識別該個人的信息[2]?？v觀世界范圍內的個人信息保護立法，主要存在兩種模式。歐盟等采取統一立法的國家和地區普遍采用了“個人數據（PersonalData）”的概念，其是指與一個身份已識別或可識別的自然人（數據主體）相關的任何信息Data Protection Directive. Article 2. 。美國等采取分散式立法的國家則使用“個人可識別信息（PII）”的概念。從概念上看，兩大法系在個人信息內涵的界定上呈現出趨同的傾向，但其外延卻并不相同。為此，有必要對當前個人信息界定模式和外延予以梳理，以期為中國個人信息概念的確定提供借鑒和參考。

（一）個人信息界定模式

據不完全統計，當前世界上擁有個人信息保護法的國家（地區）近90個[3]，它們在個人信息界定模式上主要體現為兩種：一是以美國《兒童在線隱私保護法（COPPA）》（以下簡稱“COPPA”）、歐盟GDPR、中國臺灣“個人資料保護有關規定”、中國澳門《個人資料保護法》為代表的定義加列舉的方式；另一種為單純定義方式，如英國《數據保護法案（DPA）》（以下簡稱“DPA”）、法國《信息、檔案與自由法》、德國《聯邦數據保護法（BDSG）》（以下簡稱“BDSG”）、新加坡《個人數據保護法》，以及中國香港《個人資料（私隱）條例》均采用了此種界定模式。除此之外，相關國際組織亦在其官方文件中對個人信息進行了界定，如經濟合作組織（OECD）在其《OECD隱私框架》中就指出，個人數據是指任何與一個已識別或可識別的個人（數據主體）相關的信息。亞太經合組織（APEC）發布的《APEC隱私框架》認為，個人信息是指任何與一個已識別或可識別的個人相關的信息。上述國家（地區）在個人信息界定模式上均采取了單純定義的方式，沒有明確肯定或者將特定信息排除在個人信息保護范圍之外。

可見，采用單純界定的方式居多，立法者僅僅指出構成個人信息的核心要素，如自然人、可識別性等，而沒有明確將姓名、身份證號、電話號碼、社會安全碼、基因信息等列為個人信息，也沒有將特定的信息排除在外，從而保持了概念的開放性。

據統計，中國目前的個人信息保護規范已近100部，在規范制定主體上，除了全國人大常委會外，還包括國務院有關部委、地方政府、行業協會、科研機構等；在規制范圍上則涵蓋了互聯網、電信、征信、證券、銀行、保險、醫療等行業，可謂范圍廣泛，內容繁雜。盡管如此，多數學者仍指出中國個人信息保護規范存在著碎片化、保護利益不清晰、效力層級低、執法部門定位和權限不明確等問題[4]，[5]33?？v觀中國現行規范，同樣存在單純定義和定義加列舉兩種模式。

（1）定義加列舉模式。工信部《電信和互聯網用戶個人信息保護規定》《電信和互聯網服務用戶個人信息保護定義和分類》、中國科學技術法學會與北京大學互聯網法律中心《互聯網企業個人信息保護測評標準》、中國互聯網協會《互聯網終端安全服務自律公約》《互聯網終端軟件服務行業自律公約》、中國廣告協會互動網絡分會《中國互聯網定向廣告用戶信息保護框架標準釋義和基本指引》等均采取此種界定模式，除了給出個人信息的一般定義外，還列舉典型的個人信息類型以及排除類型。

（2）單純定義模式。工信部《規范互聯網信息服務市場秩序若干規定》、國家質檢總局與國家標準委《信息安全技術公共及商用服務信息系統個人信息保護指南》、中國廣告協會互動網絡分會《互聯網定向廣告個人信息保護聲明》、國家質檢總局與國家標準委《健康信息學推動個人健康信息跨國流動的數據保護指南》、中國人民銀行《中國金融移動支付檢測規范第8部分：個人信息保護》等均使用了單純定義的方式，并未列舉典型的個人信息類型。從現行規范的定義模式看，采用單純定義和定義加列舉的做法數量相當，并沒有體現出一致性的傾向。

關于個人信息界定模式，從世界范圍以及中國現行規范看，并不存在統一的做法。僅從數量上看，采用單純定義的方式居多，但這并不意味著單純定義的方式就是最合理的界定模式。作為個人信息保護法中的核心概念，如何精確地界定其范圍在很大程度上決定了個人信息保護立法的科學性和合理性。筆者認為，按照一般的法律概念界定方式，除了在概念中指出其本質特征外，對于過于抽象的法律概念，還應當列明典型類型，以實現法律概念的確定性并為社會民眾提供相應的行為預期。從歐美先進國家的立法和司法經驗看，由于個人信息概念的抽象性，如果僅僅規定其內涵，無疑會增加法律適用上的不確定性。因此，有必要將明確符合個人信息概念的信息，如身份證號碼、社會安全碼、基因信息等可以唯一識別到某個自然人的信息予以列舉，從而增強個人信息概念的具體性和可適用性。

（二）個人信息外延界定

無論是美國的個人可識別信息還是歐盟的個人數據，二者在內涵上呈現出一致化的傾向，都以“可識別性”為其核心構成要件。盡管如此，要想清晰地界定個人信息的范圍仍是一件十分復雜和困難的事情。個人信息保護法是調整發生在信息主體和信息管理者之間的，在個人信息收集、處理和利用等活動過程中，因保護信息主體的權益而發生的社會關系的法律規范的總稱[5]66。隨著信息處理技術日臻成熟，越來越多的行為，包括收集、存儲、打標簽、用戶畫像、數據分享、跨境傳輸等行為均被確立為數據處理行為。因此，個人信息范圍的界定將在根本上決定什么樣的處理行為要受到法律的約束。對此，世界上大多數國家和地區均對個人信息的范圍進行了一定程度的界定。

在美國，由于不存在統一的個人信息保護法，個人信息的定義也僅僅體現在COPPA、《視頻隱私保護法（VPPA）》《金融服務現代化法案》，以及各州的數據泄露通知法之中。在范圍上，COPPA規定，個人信息是指關于某個人的個人可識別性信息?！兑曨l隱私保護法（VPPA）》采取同義反復的方式界定個人信息，即個人可識別信息是可以識別某個人的信息?！督鹑诜宅F代化法案（Gramm-Leach-Bliley Act）》采取反向排除法，即將非公共性（Nonpublic）的信息認定為個人信息，而各州的數據泄露通知法均采取了列舉方式來界定個人信息范圍，并且各州的規定并不相同。此外，比較有代表性的是，美國《消費者隱私權法案（草案）》規定，個人數據指處于受管轄實體控制之下的，通過合法方式無法被公眾獲取的，而且鏈接到或切實可由受管轄實體鏈接到特定個人的，或鏈接到個人相關的或常規使用的設備的任何數據。應當指出的是，美國不僅沒有形成統一的個人信息范圍，并且由于各州多采用列舉的方式，導致個人信息局限于“已識別（identified）”信息，對于“可識別（identifiable）”信息則無法提供有效的法律保護[6]。

歐盟作為世界個人數據保護法的領路人，早在1995年就通過了《數據保護指令（95/46/EC）》（以下簡稱“95指令”），第2條明確規定，個人數據是指任何與已識別或可識別的自然人（“數據主體”）相關的信息Data Protection Directive，Article 2（a）. 。而作為歐盟委員會的內部咨詢機構，第29條工作組（以下簡稱“WP29”）就曾在2007年針對歐盟各成員國認定個人數據標準不一致的問題作出了《關于個人數據概念的意見》。該意見對個人數據的四大要素，即自然人、相關性、可識別性、任何信息進行了細致的分析，并列舉了相關例子。最后，WP29認為，在個人信息范圍的界定上，應當結合指令的目的，即保護自然人在個人數據處理過程中的隱私權，來予以綜合認定，同時考慮“所有可能的合理方法”[7]。2012年之后，為構建歐盟一體化的數據保護規則并推動數字化單一市場的形成，歐盟委員會發起了數據保護改革，并于2016年通過了GDPR，在個人數據定義上依然沿襲了95指令的規定，同時也界定了可識別的標準，即通過參照諸如姓名、身份證號碼、定位數據、網絡標識符等一項標識，或者是通過參照一個或多個針對該自然人的諸如身體、生理、基因、心理、經濟、文化或社會身份因素來識別個人。此外，GDPR還在第9條規定了特殊種類個人數據的保護，對于揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據，以及以唯一識別自然人為目的的基因數據、生物特征數據，還有健康、自然人的性生活或性取向數據的處理應當被禁止。在GDPR的序言部分，歐盟再次指出，應當考慮所有合理可能的因素來認定個人數據，并明確區分了假名化和匿名化數據，前者可以通過其他額外信息來識別一個人，因此可以成為個人數據；而匿名化數據不再識別一個人，故不受GDPR約束。從其法律規定可以看出，歐盟地區的個人數據范圍相對抽象和寬泛，這也與其最大限度地保護人格利益的立法目的相契合。

英國曾于1998年通過了DPA，與歐盟WP29不同的是，英國信息委員會辦公室（以下簡稱“ICO”）在判斷什么是個人數據的方式上采取了相反的方式，即首先判斷何種處理行為下的數據是法案目的下的數據，然后在此基礎上判斷這些數據是否是個人數據。在個人數據的認定上，ICO同樣采取了四要素分析法，并采取寬泛的保護方式。在2017年9月14日發布的《數據保護法令（Data Protection Bill）》中，個人數據被界定為任何與已識別或可識別的在世的人相關的信息。雖然在表達上與歐盟略有不同，但二者的實質內涵一致。

德國在個人數據保護上具有其自身特色，其調整對象包含了公務部門和非公務部門的個人數據處理。在個人數據保護立法上，德國聯邦憲法法院通過判例創設的“信息自決權”為其個人數據保護提供了理論基礎，并于2003年制定了BDSG，而在歐盟通過GDPR之后，又在2017年6月30日通過了新的數據保護法案，成為歐盟地區第一個將GDPR本土化的成員國[8]。在個人數據的界定上，法案完全采納了GDPR的規定，以保持與歐盟在未來執法上的一致性。

新加坡于2013年1月起正式施行《個人數據保護法（PDPA）》，其中在概念解釋部分規定，個人信息是指，無論真實與否，能通過該信息識別或通過該信息與其他企業已經或能夠獲取的信息結合后識別出個人的信息。

澳大利亞于1988年頒布實施《隱私法》，在2016年的修訂版本中，個人信息被界定為關于一個已識別或可合理識別的人的信息或觀點，無論該信息或觀點是否真實，也無論該信息或觀點是否以有形形式記錄。

俄羅斯于2006年通過了《個人資料法》，該法案在2014年經過了較大調整，在2017年最新修改的《個人資料法》中個人資料（亦即個人信息）是指能直接或間接地識別出或可識別出自然人（個人資料主體）的任何信息。

中國臺灣地區采用個人資料的概念，并在“個人資料保護有關規定”第2條采取列舉和歸納的方式界定了個人資料的內涵，同樣采取可識別說。中國香港地區的《個人資料（私隱）條例》第2條對個人資料的內涵進行了列舉，即直接或間接與一名在世的個人有關的或從該資料直接或間接地確定有關的個人的身份是切實可行的，該數據的存在形式令予以查閱及處理均是切實可行的。中國澳門地區由于歷史緣故，在個人資料保護立法上更接近歐盟地區，第4條將個人資料界定為與某個身份已確定或身份可確定的自然人（“數據當事人”）有關的任何信息，包括聲音和影像，不管其性質如何以及是否擁有載體。

總結其他國家（地區）個人信息保護法規發現，在個人信息概念的界定上，幾乎所有國家（地區）都采取了可識別說，并且從全球影響力看，歐盟地區采取的寬范圍保護模式得到了其他國家（地區）的效仿，尤其是亞太地區。作為英美法系國家的代表，英國雖然至今都沒有承認一般的隱私權[9]，但是其直接跳過隱私權，而采用更有包容性和時代性的個人數據保護法模式也使其立法受到關注。美國作為最早提出隱私權的國家，一直致力于隱私權的擴張，以此來保護各種人格利益，但是此種做法也具有明顯的局限性，尤其是在保護范圍上過于狹窄，并且呈現出分散化特點。在網絡與現實生活聯系日益緊密，個人信息的商業價值日益凸顯的今天，此種固守傳統隱私路徑的做法似乎難以為個人提供充分的保障。

在中國，《民法總則》第111條的規定為個人信息保護奠定了基礎。而關于個人信息范圍的界定，目前基本上形成了以可識別說為核心的概念。其中，最具代表性的莫過于2016年通過并在2017年6月起實施的《網絡安全法》。該法第76條對個人信息進行了界定，即以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。該定義也與目前國際社會，尤其是歐盟地區的定義基本一致。

除此之外，中國其他部門規章以及國家標準等也對個人信息進行了界定。比如工信部2013年發布的《電信和互聯網用戶個人信息保護規定》第4條就使用了“用戶個人信息”的概念，將其限定在電信業務經營者和互聯網信息服務提供者在提供服務的過程中所收集的能夠識別用戶的信息，并采取列舉的方式，將用戶使用服務的時間、地點等信息納入其中。應當指出的是，用戶使用的時間和地點并非嚴格意義上的個人信息，只有在與其他信息結合能夠識別用戶身份時才能被認定為個人信息，該規定直接將其與其他可識別信息并列的做法也不符合個人信息的基本理論。此后，工信部于2014年又發布《電信和互聯網服務用戶個人信息保護定義和分類》，將用戶個人信息界定為電信業務經營者和互聯網信息服務提供者在提供服務過程中收集的能夠單獨或者與其他信息結合識別用戶和涉及用戶個人隱私的信息。該定義也反映出中國政府部門對個人信息與隱私在認識上的混淆；但是，該標準還指出，用戶個人信息經脫敏處理后不納入本標準規定的電信和互聯網服務用戶個人信息范圍。此外，該標準還根據屬性和類型特征，將電信和互聯網用戶個人信息分為用戶身份和鑒權信息、用戶數據和內容信息、用戶服務相關信息三大類，相較于其他國家（地區）的個人數據與特殊類型個人數據二分法，此種做法相對復雜，也缺乏一定的邏輯性。

國家質檢總局與國家標準委員會于2013年發布的中國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》在個人信息的界定上就更加科學，即可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。從其定義看出，該定義基本上遵循了WP29的觀點，并且還采取了分類保護的模式，將個人信息區分為個人敏感信息和個人一般信息，這種界定也被其他政府部門所采納。國家質檢總局、國家標準委員會《健康信息學推動個人健康信息跨國流動的數據保護指南》則采用了個人數據的概念，在內容上也采取直接定義方式，即任何涉及已標識或可標識自然人的信息，沒有列舉典型的個人數據種類。

除政府部門外，行業組織對個人信息保護以及概念界定也形成了一些自律規范。如中國科學技術法學會與北京大學互聯網法律中心聯合發布的《互聯網企業個人信息保護測評標準》，其中對個人信息的界定指能夠切實可行地單獨或通過與其他信息結合識別特定用戶身份的信息或信息集合，如姓名、出生日期、身份證件號碼、住址、電話號碼、賬號、密碼等。該定義也強調識別的高度可行性。此外，測評標準也明確指出，不適用于經不可逆的匿名化或去身份化處理，使信息或信息集合無法合理識別特定用戶身份的信息。

當前世界上大多數國家（地區）都采取了可識別說，但是在具體范圍和界定方式上還存在一定的差異?？傮w而言，歐盟地區在個人數據界定方面較為先進，并在可識別性基礎上出臺相關意見，增加了認定標準，有利于法律適用的統一，值得中國借鑒。

二、個人信息概念界定之反思

在個人信息保護成為全球立法重點的今天，歐盟個人數據保護法以其邏輯性和體系性成為他國效仿的對象，中國亦追隨此腳步，制定了大量有關個人信息的保護規范，并在《民法總則》中明確了個人信息受法律保護。對此，王利明教授指出，未來在民法典人格權編中還應當確立個人信息權[10]。此外，加快個人信息保護立法已經成為全社會的共識。一項法律的獨立性最核心的體現就是其調整對象，因此，個人信息范圍的界定就成為重中之重，美國和歐盟之所以在個人信息跨境傳輸問題上摩擦重重，就在于雙方在個人信息保護范圍上不同，以至于有學者提出PII 2.0概念來調和雙方間的矛盾[11]。在中國制定個人信息保護法之前，反思當前的個人信息界定，對于提高立法的科學性、可適用性和預見性具有重要意義。

（一）個人信息界定的場景性和動態性

正如歐盟法院在谷歌被遺忘權案中關于地域范圍的解釋所顯示的，一個寬泛的解釋將有助于防止個人被免除指令的保護，這也是歐盟《基本權利憲章》第7條隱私權和第8條個人數據受保護權的應有之義。在概念界定上，歐盟放棄了以私密性為核心的隱私權界定，采取了看似更加客觀的可識別標準，并且在形式上囊括了電子化和非電子化的信息，在內容上也包括了客觀的描述性信息和主觀性評價。更重要的是，歐盟對于可識別性標準的界定使得幾乎所有的信息都有可能成為個人數據，而由于GDPR的高水平保護和嚴格的懲罰機制，企業的合規成本也將大大提高。隱私的界定具有主觀性并受到地區傳統文化的影響，但仔細分析就會發現，個人信息的界定也并非那么客觀。

可識別性是個人信息最重要的要件。通常講，“已識別”意味著在特定的人群中，某個人可與該群組內的其他人區別開來，而“可識別”則是指雖然某個人現在還未被識別，但有可能（Possible）做到這一點。在認定標準上，95指令、WP29、《關于個人數據概念的意見》、GDPR都一致表明了間接識別的重要性，即應當考慮“所有合理可能的方法（All the Means Likely Reasonably）”，只要在采取了合理方法能夠再度識別個人的，那么其同樣構成個人數據。相對于完全的列舉式定義，這種界定看似囊括了所有可能受到保護的個人信息，實則是將個人信息置于動態化和場景化的危險之中。主要體現在兩個方面：其一是具有間接識別性能力的個人以何種范圍為基準？也就是說，應當以具備何種知識水平的人作為社會一般大眾來判定某項信息是否具有間接識別性。由于與當事人社會關系的不同，相較于一般社會大眾，與當事人有密切關系的近親屬、同事、朋友等更容易識別出該當事人。比如，對于“前NBA火箭隊主力華人中鋒”信息，無需特定的專業技能，一般人憑常識或簡單檢索即可識別該個人。但是，在其他情形下，如美國在線（AOL）公開搜索日志事件，在該事件中，公司采取了一定的匿名化手段隱去了用戶賬號等信息，但是還是有專業研究人員和電腦愛好者通過技術手段識別出了特定用戶。例如，第4417749號是佐治亞州的一個寡婦，另一個用戶似乎在策劃一場謀殺，此時，該信息對于一般人或技術水平較低的企業而言，其無法識別，就不構成個人信息，但是對于高水平技術人員或谷歌、微軟等大型互聯網企業而言，這又構成了個人信息。同一個客體在不同的主體面前具有截然相反的法律屬性不僅不符合法律概念的客觀性要求，同時也將造成法律適用的困難。其二是能夠與間接識別性資料相結合或比對的資料，是否應當是一般人無需經過特別調查或支付龐大費用就容易獲取的資料？對此，根據GDPR序言（26），要確定所使用的方法是否合理可能，需要考慮所有的客觀因素，諸如識別的時間長短和成本，數據處理時可用的技術以及未來的技術發展。在WP29發布的意見中，工作組認為，實施身份識別行為的成本是一個需要考慮的因素，但不是唯一因素?？刂普咭庥_到的目的、數據處理的方式、控制者預期的獲益、對個人的風險利益，以及組織性機能障礙（如違反保密義務）的風險和技術性失敗都應當被考慮在內[7]。工作組還指出，這種可識別性的測試也是一個動態的過程，并且還應當考慮數據處理時的技術狀況以及在數據處理期間技術發展的可能性。對于當前采取了所有方法都無法識別的數據，如果數據意圖被存儲1個月，身份識別在其生命期間可能不被期望。但如果該數據意圖被存儲10年，控制者就應當考慮在數據生命周期第9年可能出現的識別可能性，而這種可能性的出現就會使該數據成為個人數據。

由此可見，個人信息的認定并非像物一樣穩定，而是隨著擁有數據的主體、使用的場景、數據保存的期限、技術的發展而變化，這就決定了個人信息界定的場景性和動態性。而由于個人信息界定的動態性和場景依賴，導致現行法律的規定缺乏一定的可操作性。原因在于，在企業采取了匿名化處理并滿足法律排除適用的條件后，很有可能會隨著技術的進步或企業數據類型的增多而再度識別出用戶。按照歐盟立法機構的設想，這將導致企業時而受到約束、時而卻不受約束的奇怪現象，正如有學者指出的，這也不利于企業實施匿名化等隱私增強技術[12]。

（二）匿名化與個人信息

匿名化（Anonymisation）本身是指一種隱私增強技術，但是由于其后果是造成該數據無法再度識別到特定個人，不會損害自然人的人格利益，因而被許多國家的個人數據保護法排除在適用范圍之外，中國《網絡安全法》亦有規定。但是計算機科學的發展已經表明，在許多情形下，非個人可識別信息可以被關聯至個人，并且識別性數據可以被再識別。PII和non-PII已經不是不可改變的范圍，并且在被視為非個人可識別的信息和個人可識別信息之間存在著在某一個時刻可以相互轉化的風險[13]。中國也有學者清晰地指出，匿名的狀態是相對的，只在特定的場景中有效，原則上并不存在絕對的匿名化[14]。

在大數據時代，個人信息的商業價值日益凸顯并體現在生活中的方方面面。利用個人信息，私人可以用于電子商務交易，政府可以更高效地實現公共政策的制定，企業可以更有針對性地開發和銷售產品，醫療機構可以結合病人醫療記錄、家庭背景、生活飲食習慣發現病因并做好預防工作。信息的自由流動對于全球電子商務和數字經濟的發展具有重要意義。為了更充分地利用數據，企業往往采取匿名、差分隱私等手段來規避法律約束。但正如上述個人信息商業模式所展示的，其最終目的還是為了鎖定至個人，并提供更符合個人需求的產品或服務。因此，識別是企業數據處理的終極目的。

與匿名化技術相關的是假名化（Pseudonymisation），二者的區別在于假名化后的數據還可以通過特定的算法或函數與原數據相關聯。在性質上，有學者認為它們在歐盟法律體系中扮演著免除法律適用和法定義務的安全港角色，但從當前的技術發展趨勢看是十分具有挑戰性的[15]。而WP29特別指出，假名化降低了數據庫與數據主體原始身份的關聯性，就此而言，它是一個有用的安全措施，但并不是一種匿名化的方法[16]，采取假名化的數據仍然是個人數據。而究竟在何種程度上，匿名化的數據才不受個人數據保護法的約束，WP29指出，需要評估技術的堅固性（Robustness），并給出了三個具體的判定標準：（1）是否仍有可能挑出個人；（2）是否仍有可能將一個人與記錄相連接；（3）有關個人的信息是否可被推測出。需要指出的是，使用此種判定并非一勞永逸，即使被認為是安全的技術，也要定期評估殘余風險（Residual Risks），如果評估結果牽涉“一項有關數據主體身份識別不可接受的風險”，那么即使采取了匿名化技術，對此類數據的處理仍應受到GDPR的約束。

可見，匿名化數據的再識別風險使得個人信息的界定更加不確定。事實上，WP29此前就已經指出歐盟的數據保護框架是以“風險為基礎的方法（Risk-Based Approach）”，企業的法定義務隨著處理數據的類型和對數據主體的隱私風險而變化[17]。這種方式導致匿名數據與個人數據之間的界限并非像通常所描述的那樣清晰，而是隨著數據環境的變化而相互轉化[18]。這不僅導致法律適用上的困難，還使得企業無法有效地實施數據挖掘以及共享行為，阻礙信息的自由流動。

三、中國個人信息的立法選擇

歐盟個人數據保護立法所采取的寬泛保護模式將造成法律概念界定和法律適用上的混亂，無論是從法律的確定性還是安定性角度而言，都需要通過其他制度來彌補此種不足。中國法治的現代化深受大陸法系國家影響，這一點在個人信息保護領域亦是如此?！睹穹倓t》的出臺明確了個人信息應作為一種法定利益受到保護，未來的人格權編中將確立個人信息權，為各項具體個人信息權提供權源。此外，由于個人信息保護還涉及信息自由流動、跨境傳輸、執法監管、侵權救濟等內容，不僅超出了人格權編所能規定的容量，也由于其需要調整個人利益與社會公共利益間平衡的復雜性，制定單獨的個人信息保護法已經成為世界各國的立法趨勢，中國未來亦應如此。在這種宏觀背景下，結合上述對個人信息界定的立法比較和反思，筆者提出了如下解決路徑。

（一）加強個人信息權頂層設計

個人信息在最初是一項法益，無論在美國還是歐盟，起初都是通過隱私權進行保護。美國通過Whalen v. Roe案首次肯定憲法上信息隱私權，95指令在第1條也規定，尤其要保護數據主體在個人數據處理中的隱私權。但是，美國至今仍通過隱私權的方式保護個人信息，而歐盟卻在GDPR中摒棄了隱私權的表述，直接使用了“個人數據受保護的權利（Right to the Protection of Personal Data）” ，以區分隱私權。中國在尚未確立個人信息權時，在司法實踐中也是通過隱私權來保護個人信息的；但是這種保護存在一定的瑕疵，最明顯的就是已經公開或者涉及公共利益的個人信息被直接排除在保護范圍之外。采用更為寬泛和積極的個人信息概念不僅是國際社會的主流趨勢，也是克服中國隱私保護局限的理性選擇。

個人信息范圍的抽象性和不確定性不僅無法為企業提供明確的行為預期，也會對自然人的人格利益造成重要影響。在很多時候，自然人根本不知道其個人信息被收集之后會被如何處理，只有在其發現人格利益受損時才會去尋求救濟，而且由于信息獲取和傳遞的渠道越來越多，導致在訴訟中個人很難舉證證明對方侵犯了其個人信息權；因此，確立各項具體個人信息權利對于預防個人信息濫用、減少人格利益損害就成為一種必然。在此方面，歐盟已經在GDPR中專章規定了數據主體的權利，包括了訪問權、更正權、刪除權（被遺忘權）、限制處理權、數據可攜權、反對權，賦予自然人在個人數據的收集、處理、變更、刪除、轉移等各個環節的控制力，并且相較于其他國家，其首創的數據可攜權在某種程度上類似于所有權，除了允許用戶下載其提交的個人數據之外，還允許自然人將其個人數據從一個網絡服務者處無障礙地轉移至另一個服務者處[19]。

就中國目前而言，雖然很多法律法規都規定用戶有權更正錯誤信息和刪除違法收集的信息，但是相較于歐盟、英國等個人信息保護水平較高的地區，中國的個人信息權利體系還有很大的完善空間。在中國未來民法典人格權編和個人信息保護法中，應當以增強控制力為目的，加強個人信息權利的頂層設計，明確規定決定權、訪問權、更正權、封鎖權、刪除權甚至是報酬請求權等權利，以克服因個人信息的動態性所導致的人格利益危險。

（二）事前知情同意

在個人信息保護法中， 知情同意原則是信息管理者在收集個人信息時，應當對信息主體就有關個人信息被收集、處理和利用的情況進行充分告知，并征得信息主體明確同意的原則[20]。該原則的意義在于在個人信息的收集環節就充分告知其使用目的和相關風險，在征得個人的實質同意后實施個人信息的處理。該原則在中國現行個人信息法律法規中均有類似規定。比如《全國人大關于加強網絡信息保護的決定》第2條、工信部《電信和互聯網用戶個人信息保護決定》第9條均要求網絡服務提供者在收集個人信息前應當充分告知收集和使用規則，并征得用戶同意。在個人信息保護法基本原則體系中，知情同意是實現自然人信息自決的重要方式，只有權利人真實地控制個人信息的使用，才能實現保護個人尊嚴的立法目的。

知情同意原則在實踐中最重要的體現就是企業隱私政策。在《網絡安全法》頒布之前，隱私政策并未受到企業的重視，存在注重形式而非實質上的同意、用戶控制力保護不足等問題。此前順豐和菜鳥物流數據之爭事件就反映出快遞公司在數據共享方面沒有履行充分的告知義務，導致消費者根本不知道自己的數據被分享給了誰[21]。2017年9月，由中央網信辦等四部委啟動隱私條款專項工作，針對微信、淘寶等10款網絡產品和服務的隱私條款進行評審。此后，高德地圖、微信、新浪微博等相繼修改隱私政策，并通過彈窗等方式履行告知義務，這對于帶動行業個人信息整體保護水平，形成社會示范效應具有重要意義。中國未來應當參考借鑒歐盟地區的做法，采用清晰易懂的語言增強隱私政策的可讀性，以獲得網絡用戶的實質同意。

（三）事中風險評估

在大數據時代，數據的自由流動是數字經濟發展的前提和動力，政府和企業也在積極探索大數據交易平臺并制定了相應的交易規則。根據國家標準委員會發布的《信息安全技術數據交易服務安全要求》征求意見稿，在數據交易中應當遵循個人信息保護原則，在禁止交易的部分，該標準明確指出，涉及個人信息的數據禁止交易，除非獲得了全部個人數據主體的同意明示，或者進行了必要的去標識化處理。在現實生活中，個人信息被收集之后，企業很有可能會采取匿名化、跨境傳輸、數據共享等處理行為，即使是一方對其所收集的個人信息的特定要素采取刪除、加密等措施，也有可能因為接受方所擁有的多種數據類型或技術手段而變得可識別。筆者認為，在企業實施數據交易等行為時，應當引入風險評估機制，定期對自身的數據匿名化程度、數據交易方再度識別個人的風險進行評估，以確保個人信息保護法的排除適用。

一個與之相隨的問題就是，此種風險在何種程度上被視為不受個人信息保護法約束。在本質上，個人信息從完全無法識別到可識別再到已識別，反應的是識別的風險；但由于個人信息認定的場景性，從完全無法識別到可識別之間并不存在十分清晰的界線，因而導致不同地區在識別風險大小問題上存在爭議。從歐盟地區發布的意見中可以看到，其對匿名化持較為嚴格的態度，并試圖將再識別風險降低到零。英國ICO認為，匿名化數據并非完全沒有風險，而是其應當能夠降低身份識別的風險直至很微小[22]。對此，有學者指出，在匿名化沒有造成任何莫須有的損害或危難的情況下，無需為匿名化處理行為正名[15]。筆者贊同此種觀點，個人信息的保護不應當以犧牲信息自由流動為代價，如果企業為了匿名化付出了合理成本并將風險降低到足夠程度，那么就應當在法律上視為實現了完全的匿名化。

（四）事后個案認定

個人信息的動態性和場景性決定了在不同的情況下，對一項信息的處理和使用并非一成不變。對此，中國有學者指出，個人信息的定義是動態且高度依賴于具體場景的，無法做靜態的類型化界定[15]。筆者贊同此種觀點，現有的法律規定雖然采取了定義加列舉的方式，但是此種方式并不代表所列舉的內容就絕對屬于個人信息。比如在同名同姓的情況下，姓名作為一種常見的識別方式在該種情境下就不能被視為個人信息。因此，在司法實踐中認定是否存在個人信息侵權時，應當堅持個案認定原則，結合案件的具體情景，在考慮所有再識別的手段后仍無法識別時，方能排除個人信息保護法的適用。

四、結論

在大數據時代，個人信息保護法成為捍衛人格利益的最后一道防線，以歐盟為代表的個人數據保護立法模式已經成為個人信息保護的主流做法，可識別性作為認定標準能夠有效克服隱私界定的主觀性，但個人信息界定的動態性和場景性使企業和個人在法律適用面前無所適從，個人無法知悉和控制有關其信息的處理，企業也因再識別的風險而面臨高額的合規成本。從個人信息的頂層設計入手，強化事前的同意、事中的風險評估，以及事后的個案認定，能夠有效彌補個人信息概念本身存在的不足。在中國未來民法典人格權編和個人信息保護法立法過程中，應當以上述原則為指導，構建科學的個人信息保護體系，以維護公民的人格利益。

參考文獻：

[1]張山.全球信息數據量逐年猛增 IDC產業迎來發展新機遇[N].中國證券報，2015-08-05.

[2]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005（6）：2-5.

[3]人民網.全球90個國家和地區制定個人信息保護法律[EB/OL].（2017-08-10）[2017-09-14]. http：//world.people.com.cn/n1/2017/0810/c1002-29463433.html.

[4]張新寶.從隱私到個人信息，利益再衡量的理論與制度安排[J].中國法學，2015（3）：38-59.

[5]齊愛民.信息法原論[M].武漢：武漢大學出版社，2010.

[6]SCHWARTZ P M，SOLOVE D J. Reconciling rersonal information in the United States and European Union[J].California Law Review，2014，102：891.

[7]ARTICLE 29 WORKING PARTY. Opinion 4/2007 on the concept of personal data[EB/OL].（2007-06-20）[2017-09-14].http：//ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.

[8]BERND M W，LECHNER F.New German Federal Data Protection Act[EB/OL].（2017-08-07）[2017-09-14].https：//www.paulhastings.com/publications-items/details？id=4dddec69-2334-6428-811c-ff00004cbded.

[9]王澤鑒.人格權的具體化及其保護范圍·隱私權篇（上）[J].比較法研究，2008（6）：1-21.

[10]王利明.論我國《民法總則》的頒行與民法典人格權編的設立[J].政治與法律，2017（8）：2-11.

[11]PAUL M，SCHWARTZ D J S.Reconciling personal information in the United States and European Union[J].California Law Review，2014，102：905.

[12]WALDEN I.Anonymising personal data[J].International Journal of Law and Information Technology，2002（10）：225.

[13]SCHWARTZ P M，SOLOVE D J.The PII problem： Privacy and a new concept of personally identifiable information[J]. New York University Law Review，2011（86）：1814.

[14]范為.大數據時代個人信息定義的再審視[J].通信保密，2016（10）：70-80.

[15]ESAYAS S Y.The role of anonymisation and pseudonymisation under the EU data privacy rules： Beyond the ‘all or nothing approach[J]. European Journal of Law and Technology，2015（6）：1-5.

[16]ARICLE 29 DATA PROTECTION WORKIING PARTY.Opinion 05/2014 on Anonymisation Techniques[EB/OL].（2014-04-10）[2017-09-16].http：//ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[17]ARICLE 29 DATA PROTECTION WORKIING PARTY.Statement on the role of a risk-based approach in data protection legalframeworks[EB/OL].（2014-05-30）[2017-09-12].http：//ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf.

[18]STALLABOURDILLON S，KNIGHT A.Anonymous Data v. personal data - false debate： An EU perspective on anonymization，pseudonymization and personal Data[J].Wisconsin International Law Journal，2016（34）：321.

[19]張哲.探微與啟示：歐盟個人數據保護法上的數據可攜權研究[J].廣西政法管理干部學院學報，2016（6）：43-48.

[20]張才琴，齊愛民，李儀.大數據時代個人信息開發利用法律制度研究[M].北京：法律出版社，2015：42.

[21]王林.菜鳥順豐掐架敲響警鐘個人信息怎么保護？[N].中國青年報，2017-06-06（09）.

[22]UK ICO.Anonymisation： managing data protection risk code of practice[EB/OL].（2014-04-10）[2017-09-16].https：//ico.org.uk/media/1061/anonymisation-code.pdf.