大數據時代公民個人信息可識別性認定模式的轉型

葉小琴 王肅之 趙忠東

內容提要：數據是個人信息的載體，大數據、云計算與人工智能技術融合的疊加效應使兩者界限日益模糊化。目前對各類法律中公民個人信息廣義可識別性標準的理解，仍囿于信息分級清單的點對點匹配方式，強調靜態可識別性認定模式。公民個人信息的可識別性雖應堅守，但是應明確其相對性。個人信息的性質不僅取決于數據類型，也與數據挖掘的應用場景高度相關，建議行政執法和司法層面對公民個人信息可識別性標準的適用引入場景化思維，實現從靜態到動態可識別性認定模式的轉型。動態可識別性認定模式以行為人控制的個人數據文件作為判斷資料，并以行為人掌握的數據資源與利用能力作為數據場景，完成公民個人信息關聯程度的認定，從而實現法律與技術規則的深度融合。

一、問題的提出

大數據、云計算與人工智能技術融合的疊加效應使信息與數據之間、個人權利與公共空間之間的邊界日益模糊化。流動于光纖中的“0”與“1”不再僅具有描述事實的意義，更成為關于個人的具體信息表達。信息、數據、節點的交互在推動公民個人生活實現信息化、智能化的同時，也難以避免地導致了信息泄露的風險，個人信息權益的保護成為具有時代性和標志性的社會治理命題。

2016 年以來我國法律構建了以可識別性為中心的個人信息權益保護體系。2016 年 《中華人民共和國網絡安全法》（以下簡稱 《網絡安全法》）第七十六條第（五）項即基于可識別性規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。后續相關法律文件也延續了前述思路。如2017 年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱 《侵犯個人信息解釋》）第一條、2018 年全國信息安全標準化技術委員會《信息安全技術個人信息安全規范》（以下簡稱《個人信息安全規范》）第3.1 條也依據可識別性界定個人信息。2020 年《中華人民共和國民法典》（以下簡稱 《民法典》）第一千零三十四條規定自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼、電子郵箱、健康信息和行蹤信息等屬于個人信息，實際上仍然根據對信息主體的身份識別程度列舉公民個人信息的保護范圍。2021 年 《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第四條也明確規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

但是，僅僅根據靜態可識別性認定模式貫徹現行法律確立的公民個人信息可識別性標準，有時無法圓滿解決理論和實踐中的難題。靜態可識別性認定模式是指根據法律、國家標準及司法解釋分級列舉的敏感信息及普通信息等各層次個人信息表現形式清單，對個人數據采取點對點匹配方式進行認定。然而靜態可識別性認定模式“對號入座”式認定標準實施未久即遭遇理論和實踐的困境。在理論層面，有觀點認為，這一模式可能導致個人信息可識別性的虛無化和象征化。根據《侵犯個人信息解釋》 第一條和第五條，對個人身份認證信息要求可識別性，但對“住宿信息、通信記錄、健康生理信息、交易信息等”可能影響人身、財產安全的個人信息似乎只要求“反映特定自然人活動情況”，而沒有直接規定可識別性的要求。所以，《侵犯個人信息解釋》 可能被理解為對公民個人信息采取二元認定標準從而突破可識別性界限。在實踐層面，某些特定類型個人信息的判斷也面臨難題。例如，部分關聯信息如QQ 號等賬號密碼是否屬于個人信息成為爭議焦點。①參見王文韜、沈慶：《QQ 號是否屬于公民個人信息之探討》，載 《江蘇法制報》 2018 年6 月7 日第C 版。再如，公開信息如企業登記信息中的自然人信息是否屬于公民個人信息難以把握。在李某侵犯公民個人信息案中，被告人李某利用特定軟件收集互聯網中包含自然人姓名及聯系方式的企業信息并出售給他人。一審判決李某構成侵犯公民個人信息罪并判處有期徒刑四年，二審以法律適用錯誤裁定發回重審。②參見吳心斌、溫錦資：《公民個人信息刑法保護的例外》，載 《人民法院報》 2018 年6 月21 日第7 版。又如，個人的行動信息能否按照靜態可識別性認定也不清晰。如吳某侵犯公民個人信息案中，被告人吳某通過雇傭私家偵探，采取安裝GPS 定位器、駕車尾隨、攝像偷拍等方式，非法獲取多名審判人員的活動情況信息，法院對此判處吳某犯侵犯公民個人信息罪，被告人對此異議極大。③參見彭新林：《筑牢公民個人信息保護的司法防線》，載 《人民法院報》 2018 年7 月18 日第2 版。

前述理論與實務難題引出了公民個人信息可識別性認定的兩個基礎性問題。其一，可識別性是否為公民個人信息的唯一認定標準？其二，侵犯公民個人信息行為呈現網絡化和智能化趨勢，僅列舉某種類型數據屬于公民個人信息的靜態可識別性認定模式是否需要調整？由此，基于智慧社會的信息流動屬性，以及數據的篩選與比對不僅取決于數據類型，應用場景也日益成為關鍵因素，因此，從動態視角修正個人信息的靜態可識別性認定模式，具有重要理論意義與現實需求。

二、公民個人信息可識別性的堅守與相對性

雖然可識別性的判斷并非易事，但長久以來我國公民個人信息法律概念建構是以可識別性為前提的，可識別性作為信息個人化的實質要件仍然具有基礎性意義。不能因為可識別性標準認定的具體適用難題，而在解釋論層面“軟化”或“虛化”可識別性標準。

（一）公民個人信息可識別性的法律地位

個人信息應當具有可識別性。與一般的信息不同，當“信息”的表述之前加以“個人”的限定，則形成了獨特的信息類型，而這一過程的實現關鍵在于該信息對于個人而言具有可識別性。“所謂‘可識別性’，就是指個人數據信息與其主體存在某一客觀確定的可能性。重要的是基于這些數據能夠充分確定地識別個人。”④Philip Coppel，Information Rights：Law and Practice，New York：Bloomsbury Publishing，2014，p.144.個人信息的可識別性也為各國立法所普遍認可。雖然大陸法系國家和地區使用了“個人數據”“個人資料”“個人信息”等不同的概念，但是可識別性無一例外是其核心特征。

第一，“個人數據”是歐盟和德國立法采用的概念。歐盟 《基本數據保護條例》 第4 條將個人數據界定為識別或可識別自然人（數據主體）的任何有關信息。根據德國《聯邦數據保護法》 第46條第1 款，個人數據是指已識別或可識別的自然人（數據主體）有關的任何信息。

第二，“個人資料”是我國臺灣地區“個人資料保護法”使用的概念。根據“個人資料保護法”第二條，個人資料“指自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、特征、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之數據。”

第三，“個人信息”是日本和我國大陸地區有關立法使用的概念。日本《個人信息保護法》 第2條規定：“個人信息是指有生命的自然人的相關信息，該信息包括姓名、生辰年月以及其他可以識別特定個人的記錄信息（也包括可以和其他信息對照從而識別特定個人的信息）。”我國《人個信息保護法》 第四條也從識別自然人個人身份的角度界定個人信息。

綜上，各國和地區個人信息立法形成了兩種規制模式，即德國為代表的以數據為中心的模式和我國為代表的以信息為中心的模式。⑤參見王肅之：《我國網絡犯罪規范模式的理論形塑——基于信息中心與數據中心的范式比較》，載 《政治與法律》 2019 年第11 期。不同法律規制模式及其理論范式影響了侵犯公民個人信息罪的行為類型，但是無論各國采取何種模式，立法中關于個人信息的定義均采取可識別性作為標準。這樣的規定有其合理性，因為只有能夠識別個人才能夠和公民相關聯，從而構成法律對其權益進行保護的基礎和依據。否則，不具有可識別性的信息無法與個人產生關聯，至多從財產層面進行評價，而無法從人身層面進行關聯。可識別性作為公民個人信息最核心、最重要的特征與要件已經成為共識。

可識別性是公民個人信息與個人隱私的根本區別。個人信息與個人隱私是在不同范疇討論的法律問題，二者的指稱范圍并不完全一致。“隱私與信息總體上應該是有區別的。”⑥李永軍：《論 〈民法總則〉 中個人隱私與信息的“二元制”保護及請求權基礎》，載 《浙江工商大學學報》 2017 年第3 期。“個人信息是對信息本身的識別性和指向性進行的判斷，能夠識別為具體個人或者指向具體個人的是個人信息；而隱私則是對私人領域侵入程度的判斷。”⑦謝遠揚：《個人信息的私法保護》，中國法制出版社2016 年版，第28 頁。基于此，個人信息需要具備可識別性，個人隱私則無需具備可識別性，后者需要具備的是隱秘性（私密性）。“有的個人隱私屬于個人信息，而有的個人隱私則不屬于個人信息。”⑧張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載 《中國法學》 2015 年第3 期。隱私權是一項重要的人格權，主要通過私法保護，個人信息具有公法與私法的雙重屬性，需要通過行政介入的程度較高，屬于特別的領域立法。⑨參見王利民：《和而不同：隱私權與個人信息的規則界分和適用》，載 《法學評論》 2021 年第2 期。所以，可識別性與私密性可能共存，也可能不共存，因此導致在范圍上個人信息和個人隱私具有一定重合性，不具有可識別性的個人隱私不屬于個人信息法律的保護范疇。

（二）公民個人信息可識別性的相對性

可識別性雖然成為公民個人信息的核心要件，但是也具有一定的相對性，并不具有絕對性，難以通過直接明確的概括或列舉界定個人信息的具體范圍。這種相對性表現在三個方面。

第一，可識別類型的相對性。大陸法系國家和地區的立法對于個人信息相關概念的界定無不基于可識別性作出直接和間接兩個類型的劃分。“識別包括直接識別和間接識別，直接識別是指通過直接確認本人身份的個人信息來識別，比如身份證號碼、基因等；間接識別是指現有信息雖然不能直接確認當事人的身份，但借助其他信息或者對信息進行綜合分析，仍可以確定當事人的身份。”⑩齊愛民：《信息法原論：信息法的產生與體系化》，武漢大學出版社2010 年版，第56 頁。二元類型劃分是信息法理論和各國立法所普遍認可的方式，“其劃分的意義和目的在于，對可直接識別的個人數據信息的侵害后果一般而言比對可間接識別的個人數據信息的侵害后果更為嚴重”。11蔣坡：《個人數據信息的法律保護》，中國政法大學出版社2008 年版，第7 頁。認可間接的可識別性，其實也就意味著承認可識別性的相對性。直接的可識別性強調單獨識別，間接的可識別性強調結合識別。結合識別的情況下需要與其他信息結合方能完成識別，而無法憑借某一信息單獨識別，從而在實質上放寬了對于可識別性的要求。

第二，可識別界限的相對性。對于個人而言，可識別信息與不可識別信息并沒有絕對的界限。有國外學者將個人信息具體分為三類：“第一類，直接識別身份信息；第二類，間接可識別信息；第三類，不可識別的個人信息。”12Paul M.Schwartz &Daniel J.Solove，Reconciling Personal Information in the United States and European Union，California Law Review，102（2014），p.905.其中“第三類”信息不應作為類型劃分之一，如果不具有可識別性則難以作為適格的個人信息，但是其啟示在于延展個人信息的潛在范圍。事實上，大量的信息也與公民個人潛在相關，從不可識別個人的信息到可識別個人的信息并沒有不可逾越的鴻溝。“所謂的匿名的位置數據，在與其他類型的信息結合時可能導致‘再識別’ 或者‘去匿名化’ 的情形并被用來唯一地識別個人。”13S.Bu-Pasha，Anette Alén-Savikko &J.M?kinen，et al，EU Law Perspectives on Location Data Privacy in Smartphones and Informed Consent for Transparency，European Data Protection Law Review，2（2016），p.318.由此，個人信息的可識別界限也不具有絕對性，而具有相對性。

第三，可識別種類的相對性。有學者直接列舉個人信息的具體種類，如認為“與個人相關的信息其實范圍很廣，可以包括：（1）個人身份信息，包括姓名、性別、出生日期、居住地址、證件號碼、電話號碼、受教育程度、工作經歷、宗教信仰、政治面貌、指紋、血型、遺傳特征等，而指紋、血型、遺傳特征等又可稱為個人的生物屬性；（2）個人金融信息，包括個人財產狀況、個人信用狀況等；（3）個人家庭基本情況，包括父母、配偶、子女的基本情況等；（4）個人動態行為，包括個人行蹤、購物記錄、通訊記錄等；（5）個人觀點以及他人對信息主體的相關評價”。14吳萇弘：《個人信息的刑法保護研究》，上海社會科學院出版社2014 年版，第9 頁。也有觀點認為，“公民個人信息不僅包括能識別公民個人身份的靜態信息，還包括能夠體現公民行蹤的動態信息，如賓旅館住宿信息和機場登機、到達信息等”。15侵犯公民人格權犯罪問題課題組：《論侵犯公民個人信息犯罪的司法認定》，載 《政治與法律》 2012 年第11 期。但是無論如何進行種類劃分，無不帶有“等”字的表述，意指列舉的不完全，其原因在于難以通過靜態識別性模式確定個人信息的完整種類。總之，個人信息的種類處于時刻變化發展的過程中，僅能作出同類意義上的有限歸納，而非完全歸納。

三、公民個人信息動態可識別性認定模式的提倡

由于公民個人信息的可識別性具有相對性，使得追求確定性、固定化的靜態認定模式面臨信息處理行為的動態性和多樣性時，產生了一系列理論和實踐問題。《個人信息保護法》 注意到公民個人信息處理的動態性，第四條規定“人個信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”。這實際是采取廣義的信息處理概念，除了加工、刪除等狹義的信息處理行為外，還包括收集、存儲這類信息收集行為，以及“使用、傳輸、提供、公開”這類側重利用信息的行為。廣義的信息處理概念有利于建立周延的保護公民個人信息法律體系，因為面對信息處理流程的動態性以及信息處理具體操作行為性質的模糊性，狹義的概念不足以充分保護公民個人信息。但是，當前的研究仍未能從實質上基于可識別性對侵犯公民個人信息行為進行全面的、動態的考察。現實中，僅僅采取靜態可識別性模式不能適應大數據技術及產業的迅猛發展，應實現從靜態到動態可識別性認定模式的轉型。所謂動態可識別性認定模式，意味著放棄從社會平均人角度的事后判斷方法，而從行為人角度結合事中的個人數據應用技術場景，從而實時判斷個人數據是否具有廣義可識別性。具體而言，應從以下四個維度理解動態可識別性認定模式。

第一，實現個人信息識別化與去識別化的動態轉換。《侵犯個人信息解釋》 第二條明確將“經過處理無法識別特定個人且不能復原的”數據排除在合法收集的公民個人信息之外，《個人信息保護法》 第二條也規定個人信息不包括匿名化處理后的信息。可見我國立法和司法實踐已經關注大數據技術的發展，對去識別化進行嚴格限定并將其作為信息自由的前提條件。不過，認定可識別性標準時應進一步全面貫徹價值結合技術的綜合判斷標準，因為個人數據處于識別化與去識別化的動態轉換過程之中。有學者提出個人信息去識別化是去除個人信息數據中可識別性的過程，去識別信息仍然具有人格權及衍生的財產法益，屬于侵犯公民個人信息保護范圍，個人信息去識別行為中的中立業務性質行為與信息主體授權同意可作為出罪事由。16參見張勇：《個人信息去識別化的刑法應對》，載 《國家檢察官學院學報》 2018 年第4 期。前述觀點的單一價值判斷標準可能造成具體案件裁量的難題，對于個人信息可識別性的判斷應采納價值與技術的綜合標準，動態分析信息的可識別性。

第二，實現個人信息可復原性的動態判斷。《個人信息安全規范》 從技術標準角度區分匿名化與去標識化兩種情形，第3.13 條規定匿名化是通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復原的過程，個人信息經匿名化處理后所得的信息不屬于個人信息；第3.14 條規定去標識化是通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程；去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手段替代對個人信息的標識。因此，從技術標準角度理解《侵犯個人信息解釋》 第二條和《個人信息保護法》 第四條公民個人信息的例外規定，其具體指的是匿名化個人信息，這類信息不視為個人信息的標準是從技術層面“不能復原”。

但是，個人信息能否復原并非抽象性概念判斷的結果，而應當結合個人信息控制者的技術資源以及數據利用能力具體分析。同時，去標識化信息是否屬于個人信息，則取決于個人信息控制者是否已經掌握或者將掌握額外信息。因此，以可識別性為標準，與個人相關的信息分為（個人）數據與個人信息兩部分，匿名化、去標識化與重新識別技術的出現，使（個人）數據與個人信息間的頻繁轉換成為可能。從認定可識別性的資料范圍來看，行為人所掌握的個人相關信息呈現不斷變化的過程，而判斷資料的豐富程度是判斷資料與特定自然人是否關聯的核心要素。因此，在技術手段的催化下具備識別可能性的（個人）數據累積到一定程度則可能轉化為個人信息，個人信息也能經過脫敏處理切斷與個人的聯系而成為（個人）數據。對于可識別性的認定應當從靜態橫截面式向動態場景式認定模式轉變，關注認定可識別性的判斷資料范圍和行為人所掌握的技術手段。

第三，科學識別和闡釋動態信息。動態信息的典型類型為個人行動信息，即與個人行動相關的信息。需要明確的是，個人的行動信息既包括現實空間中個人行動的信息，也包括網絡空間中個人行動的信息。一方面，現實空間中個人行動的信息需要被正確認識。在大數據環境下，物聯網的發展推動世界互聯、萬物互聯，個人在現實空間中的行動也會被形成數字化的文字、圖像、音頻或視頻，這些記錄也成為個人信息的一部分。比如，基于手機GPS 定位所獲取的個人行蹤信息就是典型適例，其全面反映了個人的行動內容。另一方面，網絡空間個人的行動信息也同樣重要，其典型適例就是基于用戶身份信息（cookies）記錄的個人使用痕跡。這些信息很大程度上可以反映個人的習慣和癖好，一般被利用后很容易針對個人施加特定的影響，因而也成為侵犯公民個人信息犯罪所侵犯的重要信息類型。

總之，無論是物理空間還是網絡空間中個人的行動信息，其都必須與個人相聯系，純粹機械的、非人為機器運動或者電腦操作的動作并不能成為個人行動信息。如果按照靜態可識別性模式，將個人行動信息認定為公民個人信息存在實質障礙，因為其足跡、痕跡處于時刻變化中，難以固定成為個人信息。如果采取動態可識別性模式進行認定，則可當然地納入公民個人信息范圍，問題迎刃而解。

第四，推動個人信息與隱私權保護的動態協調。公民個人信息可以分為未公開以及公開的公民個人信息，而未公開的公民個人信息就包括隱私信息，因此公民個人信息在外延上包括一部分隱私信息。總之，個人信息與隱私權的交叉內容是隱私信息，隱私信息既是隱私權保護對象，又屬于公民個人信息特殊類型，是公民個人信息的保護重點。公民個人隱私信息的特別保護與大數據時代隱私危機的時代背景相關。對于公民個人信息的法律保護，民法學者形成個人信息權與隱私權相界分，以及重構隱私侵權規則兩種觀點。前者主張法律上隱私權與個人信息保護對象之間的交叉并不妨礙確立個人信息權作為具體人格權，因為隱私權主要是一種精神性人格權利，個人信息權則是集人格利益與財產利益為一體的綜合性權利，財產利益日益凸顯。17參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現代法學》 2013 年第4 期。后者主張采取隱私權保護而非個人信息保護為基點的路線，采取形式性隱私權定義加實質判斷標準相結合的方法判斷隱私利益。目前有關個人信息民事侵權訴訟的案例極少，基本為消費者權益保護機構和律師推動的。其請求權的基礎通常包括隱私權與一般人格權兩類，一般人格權屬于精神性權利，通常難以得到法官支持，而隱私權的權利邊界具有模糊性，絕大部分案件當事人敗訴，勝訴的當事人所獲得的也只是侵權人的賠禮道歉。因此，民事立法方向是明確個人信息法律性質是法益還是權利，民事司法的方向則是擴大隱私權的邊界。18參見徐明：《大數據時代的隱私危機及其侵權法應對》，載 《中國法學》 2017 年第1 期。雖然，2021 年施行的 《民法典》 第一千零三十四條對隱私個人信息確立了隱私權優先保護的原則，但是，《民法典》 隱私權法律概念中“私密空間、私密活動、私密信息”和個人信息概念中“住址、行蹤信息”之間的關系，以及區分標準、保護方式，仍是懸而未決的法律難題。

綜上，我國各類政府機關、企業和社會組織對公民個人信息的數據化和網絡化管理日益加強，基于動態可識別性模式推動個人信息與隱私權保護的協調具有重要意義。一方面，隱私信息具有個人信息的可識別性，因而具有相當程度的確定性；另一方面，隱私信息具有個人隱私的私密性，一些內容又不具有完全的公開性。采取靜態可識別性認定模式不僅由于可識別性的要求明確可能不利于隱私信息的周延保護，也可能由于個人隱私的非公開化導致請求權基礎缺失。反之，通過動態可識別性模式則可進行適當的協調與兼容。

四、公民個人信息動態可識別性認定模式的適用

公民個人信息法律保護實務的難點在于，采取靜態可識別性模式適用相關法律認定侵犯個人信息權益行為、個人信息相關違法行為或者侵犯公民個人信息罪時，簡單的信息類型列舉方法往往“掛一漏萬”，因為特定類型數據是否具有可識別性其實仍然需要進一步的價值判斷。2020 年5 月1日施行的最高人民法院 《關于民事訴訟證據的若干規定》 第九十三條規定，應結合電子數據生成、存儲、傳輸時所依賴的計算機系統硬件、軟件環境，以及提取方法等因素認定電子數據的真實性，這實質上是強調應結合數據形成時的應用場景判斷數據的法律性質。因此，公民個人信息的認定中也應當轉變思路，采取動態可識別性認定模式。適用該模式時仍采取與特定自然人身份或者實時活動軌跡相關的廣義可識別性作為判斷標準，只是不再簡單根據事先基于社會平均人角度列舉的公民個人信息類型運用“對號入座式”認定方法，而是從行為人角度結合數據的應用場景，將數據置于識別過程中具體判斷其可識別性。

（一）核心標準：公民個人信息關聯程度的認定

采取公民個人信息動態可識別性認定模式，最核心的是為基于信息關聯程度確立動態標準。

第一，應基于個案區分獲取的信息屬于公開信息還是隱私信息，然后進一步認定行為性質。前述吳某侵犯公民個人信息案中，吳某通過偷拍、跟蹤方式獲取的信息屬于與特定自然人實時行動軌跡具有相關性的隱私信息，滿足廣義可識別性的標準，而且獲取信息的方式非法，符合侵犯公民個人信息罪的構成要件。不過并不能由此得出公民的任何行動軌跡都屬于個人信息的裁判規則。一方面，非實時的公民行動軌跡信息不屬于公民個人信息。例如公民已經離店的酒店住宿信息，公民已經結束行程的火車票、飛機票、汽車票、地鐵票等信息，與住宿或乘坐交通工具的應用場景相分離時不能與特定自然人相聯系，則不屬于公民個人信息。另一方面，公民合法獲取行動軌跡的不屬于侵犯公民個人信息行為。例如，在公共場所、發生違法犯罪事件的現場等場合，除非法律明文禁止，否則公民有權通過拍照、錄音或錄像方式獲取行動軌跡等資料，此時公民再結合可供查詢的文字或音視頻等資料，通過數據挖掘方式發現線索并鎖定相關行為人身份，通過公開個人信息等方式行使監督權，則不構成侵犯公民個人信息的行為。

第二，對于處理網絡公開數據的行為，則需要結合主觀明知與信息處理程度進行動態綜合分析。對于公眾可查詢的公開信息，普通公民都屬于合法的個人信息控制者，此時法律價值判斷的著眼點在于考察個人信息控制者的信息用途是否合法，單純的收集、整理、持有信息行為并不違法。根據《侵犯個人信息解釋》 第五條，提供行為是否合法的重要判斷標準之一為行為人是否明知他人可能將個人信息用于犯罪，此時成立犯罪沒有個人信息數量的要求。前述李某侵犯公民個人信息案中，二審法院認定企業根據法律法規的規定或為經營所需而公開的企業信息，即使包含了個人姓名、聯系方式，亦不屬于法律意義上的公民個人信息，原審認定該類信息屬公民個人信息有誤。我們贊同二審法院的結論，但不贊成理由。因為，企業登記信息的公開范圍是全體公民，公民之間的中立提供行為并沒有侵犯企業相關自然人的個人信息相關權益，不構成犯罪。同時個人信息兼具財產權性質，本身具有可交易性，李某本人從企業登記信息中收集及整理企業法人的個人信息，提供給他人獲取酬勞也是合法的。但是，如果有確實充分的證據證明，行為人明知他人可能將個人信息用于犯罪而提供收集的公開個人信息時，應構成侵犯公民個人信息的行為。

因此，李某的行為實際與直接用戶畫像行為類似，屬于數據挖掘行為，行為性質的認定不取決于數據類型而取決于數據的應用場景。數據挖掘是基于信息與數據的區分而形成的概念，這一區分也指示出數據挖掘的目的是獲取信息。19參見裴煒：《個人信息大數據與刑事正當程序沖突及其調和》，載 《法學研究》 2018 年第2 期。根據《個人信息安全規范》 第3.7 條規定，用戶畫像是指通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業、經濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程；根據畫像的信息是源于特定自然人還是第三方，分為直接用戶畫像與間接用戶畫像。李某的行為屬于間接用戶畫像，具有合法性。因為企業主動公開包括法人身份信息在內的各項信息，其本質是將全體公民作為企業潛在客戶，公民可以任意查詢，所以李某是合法的個人信息控制者。李某收集的信息本身已經具有身份指向性，此時判斷行為性質應該從目的以及處理程度兩方面分析。目的是分析李某是否明知他人可能將信息用于犯罪而仍然提供，處理程度是考察李某是否利用技術手段再收集整合相關自然人的其他信息，從而形成包括敏感信息的個人畫像。如果對前述兩個問題均能做肯定回答，則李某的行為超出了合法利用范疇，涉嫌公民個人信息侵權或者侵犯公民個人信息罪。至于其他案件中行為人非法提供的個人信息達到《侵犯個人信息解釋》 第五條的數量標準時，則依照規定認定和處理即可。

（二）數據場景：行為人掌握的數據資源與利用能力

動態可識別性認定模式的適用不僅強調對于信息關聯程度的動態認定，也需要強調結合數據場景進行動態判斷。

第一，可識別性判斷是一種結合識別成本和數據處理技術的動態合理性判斷。大數據的關聯分析以及算法的更新升級使得保持數據匿名化極為困難，因此理論上并不存在完全不具有識別可能的個人信息。故而，確定信息是否符合可識別標準時應當充分考慮技術場景，將行為人掌握的技術資源以及實現再識別所需的技術難度、經濟及時間等成本等考慮在內。

第二，對于可復原的去標識化信息，應當充分考慮行為人掌握的技術資源與數據利用能力，以及復原可識別性的成本等，動態判斷可識別性。匿名化處理的功能和價值已經極大消減，但依然是現今最有效的個人信息保護手段。從技術判斷角度分析，廣義的匿名化可以分為兩類，一類是可復原的匿名化即去標識化，如使用雙向加密等再識別化技術使得信息具有重新識別性；另一類是不可復原的匿名化，如使用單項加密技術后，該種匿名化不具備重新識別化的可能性。不可復原的匿名化不適用個人信息保護原則，但是對于可復原的匿名化，則應當充分考慮技術場景。因此，不能將《侵犯個人信息解釋》 第三條規定的“不能復原的”簡單等同于概念層面不可復原的匿名化，大數據、算法和云計算的發展使得完全不能再識別化的情況幾乎不可能出現，不能復原只是相對性判斷。司法裁量的過程不能單純依據能否復原的簡單化實體標準進行靜態判斷，而應當制定認定個人信息的程序判斷機制，結合行為人所掌握的技術資源及數據利用能力，并根據再識別的難度、成本、時間等要素進行綜合評估。

（三）判斷資料：行為人控制的個人數據文件

動態可識別性認定模式的適用還應強調依據行為人控制的個人數據文件進行判斷，而非進行信息的孤立認定。

第一，行為人控制的個人數據文件決定可識別性的判斷資料。個人數據文件是存儲于電腦、云端、紙張等媒介的個人資料集合，認定可識別性的資料必須是行為人控制或者具有控制可能性的公民個人數據，尤其是行為人即將占有的其他信息，避免其以拆分信息方式規避可識別性標準。因此，技術層面存在去識別化與重新識別的轉化過程，可識別性不是靜態橫截面式的孤立認定。擴大或者縮小行為人掌握的個人數據文件范圍都會導致可識別性認定的差錯。

第二，確立個人信息可識別性認定時間節點的規則至關重要。信息技術的發展使得數據在系統內存儲、更新的速率極為快捷，認定可識別性判斷資料的過程本身也處于一種動態變化的狀態。應參考2016 年最高人民法院、最高人民檢察院、公安部 《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》 的取證規則，以案發后提取涉案系統數據的時間為基準，將系統內實時數據作為主要判斷資料，同時將行為人依據系統運行規則獲取的數據作為輔助判斷資料。例如，對于QQ 號這類部分關聯信息的可識別性判斷是個別化判斷，并不能采納統一的價值判斷標準，應結合行為人掌握的其他信息、QQ 號與特定自然人身份的關聯程度綜合判斷。

第三，對間接識別或部分關聯信息應限制解釋。可識別性是指根據公民個人信息的內容，經過判斷可以確定信息主體。20參見孫毅、郎慶斌、楊莉：《個人信息安全》，東北財經大學出版社2010 年版，第20 頁。直接識別信息可以單獨直接確認信息主體，間接識別信息因僅與自然人具備部分關聯性而難以認定具體范圍。有觀點認為，間接識別個人信息是指不能單獨識別本人，但與其他資料相結合才能識別本人的資料，例如性別、愛好。21參見齊愛民：《論個人資料》，載 《法學》 2003 年第8 期。還有觀點則認為，部分關聯信息可以從信息本身的重要程度、需要結合的其他信息的程度、行為人主觀目的三個方面判斷其是否屬于“公民個人信息”的范圍。22參見喻海松：《侵犯公民個人信息罪的司法適用態勢與爭議焦點探析》，載 《法律適用》 2018 年第7 期。第一種觀點對間接識別個人信息性質的理解是妥當的，不過沒有給出部分關聯信息的可識別性認定標準。第二種觀點主張的標準過于模糊而且仍然囿于靜態模式，可能導致對間接識別個人信息的理解過于寬泛，將架空可識別性對于個人信息的限制功能。因此，可以在第一種觀點的基礎上，采取動態可識別性認定模式分析部分關聯信息，綜合“識別公民身份客觀上需要結合的其他信息的程度”和“行為人可能結合的其他信息的程度”，合理限定間接識別個人信息的范圍。

總之，從動態可識別性角度分析，應注重信息聚集的可識別性，由此整體具有可識別性的結構化或非結構化個人數據集合均屬于個人信息范疇。直接識別與間接識別是在具備可識別性前提下的具體分類，二者的區別在于識別方式與認定可識別性的資料。直接識別是單獨識別，間接識別屬于集成式識別。認定直接識別依據信息本身，而認定間接識別信息則需對行為人控制或者可能控制的公民個人信息進行整體評價。因此，必須摒棄間接識別是一種識別可能性的觀點，對部分關聯信息整體判斷數據集合的可識別性。普通的賬號密碼、消費記錄、性別或者愛好等個人數據聚合并能夠識別個人身份時，刑法才保護該數據集合。

結語

大數據時代個人信息保護應實現公民、個人信息控制者及社會公共利益的平衡，明確個人信息合理使用限度至關重要。然而，云計算及人工智能技術的飛速發展，使得為個人信息合理使用事先設定的靜態的固定標準面臨困境，因為個人信息使用行為的性質隨信息控制者以及技術場景的不同而呈動態變化態勢。采取公民個人信息的靜態可識別性認定模式，進而使用廣義可識別性標準很可能異化為“相關性”標準，也可能造成公民個人信息概念的泛化和司法犯罪化范圍的擴張，最終動搖罪刑法定原則的根基，因此，應當推動公民個人信息認定模式的轉型。

因此，應充分認識到可識別性的相對性，對公開信息及部分關聯信息等引入場景理論，基于動態視角適用法律規定的廣義可識別性標準。場景理論的突出特點是以動態視角界定個人信息的合理使用控制，以便將利益衡量細化到具體場景中。個人信息處理是否合理取決于引發的風險是否符合用戶的合理預期，這種合理預期與信息主體的接受程度和敏感程度相關，而影響用戶接受程度和敏感程度繼而影響合理預期的因素即為技術場景。23參見項金橋：《個人信息權權益特征及其利益平衡》，載 《學習與實踐》 2019 年第4 期。總之，建議采取動態可識別性認定模式，綜合考慮行為人控制的個人數據文件以及數據利用能力條件，具體判斷個人數據應用場景中是否存在需要法律保護的公民個人信息。