數(shù)字時代匿名化個人信息處理的正當(dāng)性問題*

王勇旗

（河南警察學(xué)院 鄭州 450046）

1 背景及問題的提出

我國對匿名化的個人信息處理未有明確法律規(guī)定，在《個人信息保護法》第73條、《網(wǎng)絡(luò)安全法》第42條和《民法典》第1038條規(guī)定了“無法識別且不能復(fù)原”的個人信息屬于匿名化個人信息，《電子商務(wù)法（草案）》第50條也有相似規(guī)定，但最終頒布的《電子商務(wù)法》將其刪除，2017年“兩高”發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第3條采納了相似規(guī)定。其他既有制度規(guī)范以“去標識化”“去身份化”“匿名”等與此相關(guān)術(shù)語體現(xiàn)。如2014年，由中國廣告協(xié)會互動網(wǎng)絡(luò)分會發(fā)布的行業(yè)規(guī)定《中國互聯(lián)網(wǎng)定向廣告用戶信息保護行業(yè)框架標準》中對去身份化作出界定，是指“信息無法用于識別、確認或關(guān)聯(lián)至某個特定用戶”；2014年，由中國科學(xué)技術(shù)法學(xué)會、北京大學(xué)互聯(lián)網(wǎng)法律中心發(fā)布的《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標準》，以“信息或信息集合無法合理識別特定用戶身份的信息”統(tǒng)一作為去識別化和去身份化的界定；2019年，由國家市場監(jiān)督管理總局和中國國家標準化管理委員會聯(lián)合發(fā)布的《信息安全技術(shù)個人信息去標識化指南》中規(guī)定，去識別化個人信息是指“通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程”。

關(guān)于匿名化界定，有學(xué)者指出：“匿名化指的是讓所有能揭示個人情況的信息都不出現(xiàn)在數(shù)據(jù)集里，比方說名字、生日、住址、信用卡號或者社會保險號等”[1]。從比較法角度分析，歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）中規(guī)定為“匿名化信息”（anonymous information），美國立法則采用“去身份化”（de-identification）表述。本文認為，從上述規(guī)范對“去標識化”“去身份化”“匿名”“匿名化”的規(guī)定可以看出，前三者內(nèi)涵同匿名化并無實質(zhì)區(qū)別，但結(jié)合本國（地區(qū)）實情，在具體操作中會存在不同。此類個人信息能否作為數(shù)字時代對其處理的正當(dāng)性事由及如何對此類信息提供適格保護，目前我國既有制度未有確定性指引。

個人信息控制者包括信息主體和其他主體，如國家及代表國家行使職能的機構(gòu)、非國家機構(gòu)等，從信息主體角度講，對其個人信息匿名化十分困難，而其他個人信息控制者則可依靠相關(guān)技術(shù)對其實施匿名化處理，并將其作為網(wǎng)絡(luò)數(shù)據(jù)產(chǎn)品，以實現(xiàn)對個人信息的進一步利用。但其中存在一定的問題，相關(guān)主體可以通過技術(shù)手段對個人信息實施匿名化，反之，也可借助類似技術(shù)對匿名化的個人信息實施“去匿名化”，以達到對個人信息的可識別標準。此種場景下，個人信息安全飽受威脅，信息主體的人格利益及以人格利益為基礎(chǔ)的財產(chǎn)性利益得不到有效保障，這也是當(dāng)下個人信息處理正當(dāng)性所應(yīng)面對的重要問題。本文結(jié)合域外立法和相關(guān)司法實踐，探討匿名化個人信息的識別性問題，試圖建構(gòu)對匿名化個人信息處理的正當(dāng)性規(guī)則，以實現(xiàn)個人信息保護與個人信息利用間的平衡。

2 個人信息匿名化的域外立法分析

匿名化屬于計算機科學(xué)領(lǐng)域中一項重要技術(shù)手段。1997年，美國專家Samarati和Sweeney提出匿名模型方案，將其命名為“k-anonymity”[2]。隨著人工智能算法分析技術(shù)發(fā)展，此類技術(shù)解決方案日漸成熟，在個人信息領(lǐng)域應(yīng)用廣泛。比較法上，歐盟地區(qū)立法基本采用“匿名化”（anonymization），并在GDPR得到確認，而美國采用“去身份化”（de-identification）術(shù)語，主要是因為不同國家和地區(qū)歷史文化等背景不同。如上文所述，僅從術(shù)語上看，二者雖表述形式不同，但實質(zhì)相似。結(jié)合本議題，我國既有法律等制度規(guī)范中對匿名化個人信息有相關(guān)規(guī)定，但多屬原則性、指導(dǎo)性規(guī)定，雖然我國已制定專門的個人信息保護法，但既有規(guī)范仍存在碎片化、系統(tǒng)性不足、實際操作性弱等缺陷。鑒于此，文章從比較法角度分析個人信息匿名化基礎(chǔ)問題，對分析匿名化的個人信息能否作為對其處理的正當(dāng)性事由大有助益，對我國個人信息保護法中匿名化個人信息規(guī)定具有一定指導(dǎo)意義。

2.1 歐盟的規(guī)定

歐盟根據(jù)本地區(qū)歷史文化背景，十分尊重自然人個人隱私權(quán)，重視自然人個人信息權(quán)益，并通過賦予每一個人都應(yīng)該享有個人信息的基本人權(quán)來保護其個人信息[3]。在此背景下，歐盟對高新技術(shù)在個人信息領(lǐng)域的應(yīng)用持相對保守態(tài)度，如對人工智能技術(shù)的發(fā)展和應(yīng)用方面，2018年4月，歐盟委員會發(fā)布的《歐洲人工智能》（Artificial Intelligence for Europe）明確指出，歐盟采取“以人為本”理念發(fā)展人工智能技術(shù)，既注重發(fā)展人工智能產(chǎn)業(yè)，更關(guān)注人工智能技術(shù)對人類社會的倫理道德、法律等方面帶來的挑戰(zhàn)。基于此，2019年4月，歐盟先后發(fā)布《可信AI倫理指南》（EthicsGuidelines for Trustworthy AI）和《算法責(zé)任與透明治理框架》（A Governance Framework for Algorithmic Accountability and Transparency）。歐盟在個人信息利用和保護方面亦秉持較為保守的態(tài)度，認為個人數(shù)據(jù)的泄露不僅關(guān)乎財產(chǎn)安全，而且事關(guān)人格尊嚴，甚至生命。鑒于此，歐盟對個人信息保護持較為嚴格的立法態(tài)度，以統(tǒng)一立法形式對個人數(shù)據(jù)安全予以保護，兼以嚴格法律監(jiān)控保證數(shù)據(jù)流通中的安全，以做到個人信息保護與利用間的平衡，并更側(cè)重個人信息保護，為世界提供了一套較為嚴謹?shù)膫€人信息保護方案[4]。

歐盟關(guān)于匿名化的概念最早出現(xiàn)在1995年制定的“95指令”的第26條，對于無法識別特定數(shù)據(jù)主體的匿名數(shù)據(jù)不適用數(shù)據(jù)保護規(guī)定。2014年4月，歐盟第29條工作小組（Article 29 Working Party）通過了《第05/2014號：關(guān)于匿名化技術(shù)的意見》（Opinion 05/2014 on Anonymisation Techniques），指出匿名化技術(shù)在歐盟既有法律框架內(nèi)對數(shù)據(jù)保護的“有限性和局限性”[5]，并提出有針對性的意見和建議。2018年5月25日實施的《通用數(shù)據(jù)保護條例》是在《數(shù)據(jù)保護指令》（Date Protection Directive，簡稱“95指令”）基礎(chǔ)上出臺的，并在第4條第5款，對匿名化個人信息作出界定，指采用相關(guān)技術(shù)對個人信息進行處理后，非經(jīng)其他信息輔助，不能識別出信息主體的個人信息“或以數(shù)據(jù)主體不能或不再可識別的方式匿名提供的個人信息”[6]。

2.1.1 歐盟第29條工作小組

歐盟第29條工作小組（Article 29 Working Party）是根據(jù)歐盟《關(guān)于在處理個人數(shù)據(jù)和此類數(shù)據(jù)自由流動方面保護個人的指令》第29條建立的，由歐盟成員國國家數(shù)據(jù)保護機構(gòu)的代表、歐洲數(shù)據(jù)保護監(jiān)督代表和歐洲委員會的代表組成，負責(zé)解釋《數(shù)據(jù)保護指令》規(guī)定的機構(gòu)之一。它是一個獨立的歐洲數(shù)據(jù)保護和隱私咨詢機構(gòu)，通過發(fā)布有關(guān)歐盟個人數(shù)據(jù)保護指令不同方面的建議、意見和工作文件來執(zhí)行此任務(wù)（截至2018年5月25日，該小組已不復(fù)存在，由歐洲數(shù)據(jù)保護委員會（EDPB）取代）。2014年4月10日，該小組通過了《第05/2014號：關(guān)于匿名化技術(shù)的意見》（以下簡稱《意見》）， 該意見涵蓋了圍繞數(shù)據(jù)匿名化的一系列法律和技術(shù)問題，并對匿名化技術(shù)進行說明：第一，個人信息匿名化后，必須被剝離足夠的元素（sufficient elements），不能再使用“所有可能合理使用的手段”來識別信息主體身份，重點強調(diào)應(yīng)是在“所有”、“可能”和“合理”等情況下，且結(jié)果是“不可逆的”（irreversible），并進一步指出，經(jīng)過匿名化處理的轉(zhuǎn)換數(shù)據(jù)或數(shù)據(jù)絕不能等同于歐盟數(shù)據(jù)保護法意義上的“匿名化數(shù)據(jù)”；第二，雖然該小組早在2013年已提出限制數(shù)據(jù)收集者控制處理個人數(shù)據(jù)的“目的限制原則”，在《意見》中對該原則進一步明確，指出匿名化只是數(shù)據(jù)處理的一種技術(shù)手段，數(shù)據(jù)收集者出于特定目的而收集個人信息，必須在目的范圍內(nèi)對數(shù)據(jù)做技術(shù)處理。雖然在數(shù)據(jù)處理中賦予處理者一定的靈活性，但對個人信息匿名化的過程或進一步處理等措施應(yīng)符合《意見》所提出的目的限制原則，從根本上實現(xiàn)維護信息主體合法權(quán)益的目的，可謂運用現(xiàn)代處理技術(shù)手段同法律規(guī)范有效結(jié)合的有益嘗試。

2.1.2 歐盟GDPR

歐盟從全體成員國利益角度出發(fā)，對歐盟境內(nèi)屬于自然人的個人信息實施一體化的強有力保護，不存在差別性對待，并在此前提下，保障數(shù)據(jù)（包括自然人個人信息）在歐盟境內(nèi)的自由、無障礙流通。歐盟GDPR前言（26）對個人信息匿名化進行了如下規(guī)定：數(shù)據(jù)保護的原則應(yīng)適用于任何與已識別或可識別自然人相關(guān)的信息。經(jīng)過匿名化的個人信息，通過使用其他附加信息可識別出特定自然人的信息應(yīng)被視為可識別出自然人的個人信息。確定自然人的個人信息是否可被識別，應(yīng)考慮所有極有可能采取的手段，例如由控制人或其他人直接或間接地識別出自然人的方式。在此過程中，為確定是否極有可能使用手段來識別出自然人，應(yīng)考慮所有客觀因素，例如識別的成本和所需的時間，考慮到技術(shù)發(fā)展時可用的處理技術(shù)。因此，數(shù)據(jù)保護原則不應(yīng)適用于匿名信息，即與已識別或可識別的自然人無關(guān)的信息，或與以無法識別或不再可識別數(shù)據(jù)主體的方式匿名的個人數(shù)據(jù)無關(guān)的信息。因此，本法規(guī)不涉及處理此類匿名信息，包括出于統(tǒng)計或研究目的。

從歐盟GDPR關(guān)于個人信息匿名化的規(guī)定，可以看出歐盟對匿名化個人信息的態(tài)度：第一，即使個人信息已被匿名化，但如結(jié)合其他附加信息或通過相關(guān)技術(shù)手段仍可識別出特定自然人，此類信息不應(yīng)稱被為匿名化的個人信息，仍受到GDPR的一體規(guī)制，受到特殊保護；第二，經(jīng)匿名化的個人信息不受GDPR調(diào)整。換言之，此類信息通過考量所有可能的客觀因素并實施所有可能的技術(shù)化手段，將個人信息進行處理，使其真正實現(xiàn)了匿名化，其目的在于將這些個人信息之間的點關(guān)系脫鉤[7]，使其不存在任何可以識別出信息背后自然人的符號或特征，此類信息不在歐盟數(shù)據(jù)保護法的范圍之內(nèi)，可從隱私中分離出來，以實現(xiàn)此類數(shù)據(jù)在歐盟境內(nèi)自由流通，實現(xiàn)對其處理具有了法律規(guī)定的正當(dāng)性，以順應(yīng)數(shù)字經(jīng)濟發(fā)展；第三，匿名化的標準較高[5]。對于已被匿名化的個人信息，雖已不具備識別性，但同其他附加信息結(jié)合或借助相關(guān)技術(shù)手段可識別出信息背后的自然人，此類匿名化的個人信息不符合GDPR所規(guī)定的匿名化標準。此處所規(guī)定的匿名化是指在考慮到當(dāng)下所有可能的手段，并參照技術(shù)發(fā)展水平和發(fā)展情況的條件下，對此類信息不能實現(xiàn)再識別。歐盟為防范匿名化的個人信息再次被識別，進而可能危害到信息背后的自然人，也考慮到匿名化的個人信息會隨著周圍情境的變化而再次轉(zhuǎn)化為可識別的個人信息，引入了“動態(tài)風(fēng)險管理”理念。該理念表現(xiàn)為在變化的動態(tài)環(huán)境中匿名化的個人信息能否再次被識別，取決于將來的技術(shù)水平發(fā)展程度和對個人信息的處理方式等因素，即該理念具有一定前瞻性。

2.2 美國

美國在大數(shù)據(jù)分析技術(shù)、人工智能、互聯(lián)網(wǎng)應(yīng)用等高新科技領(lǐng)域一直處于世界領(lǐng)先地位，為促進本國互聯(lián)網(wǎng)數(shù)字經(jīng)濟發(fā)展，在個人信息保護方面，主要依賴市場機制調(diào)節(jié)企業(yè)自律，對個人信息保護則秉持較為寬松的立場。基于上述原因，美國對關(guān)涉互聯(lián)網(wǎng)企業(yè)立法采取較為保守的態(tài)度，美國聯(lián)邦尚未頒布專門針對個人信息保護的法律法規(guī)[8]。在個人信息匿名化問題上，美國采用與歐盟不同的思路和標準，持較為開放的標準，采用當(dāng)下較為普遍的“簡約化處理”[9]，一種“去身份化”措施，即以消除一組識別信息與信息主體之間關(guān)聯(lián)的方式來達到個人信息不被識別的目的，這是一種為保障并促進本國互聯(lián)網(wǎng)數(shù)字經(jīng)濟發(fā)展而采用的較為弱化的法律或政策。

2010年，美國政府發(fā)布的《個人信息保護指引》將“去身份化”界定為“通過刪除足夠的個人身份信息，以使剩余信息無法識別特定個人，并且沒有合理的理由相信此信息可用于識別特定個人”。依據(jù)美國立法，對個人信息去身份化意味著“所有可能與特定個人的身份相關(guān)聯(lián)的信息已被從相關(guān)的報告、數(shù)據(jù)或其他信息中移除”[13]，使處理后的個人信息同其背后的信息主體脫離關(guān)聯(lián)，以盡量減少收集、使用、共享、傳輸?shù)忍幚磉^程中所包含個人信息中的隱私信息，同時也可以規(guī)避相關(guān)主體在“去身份化”的個人信息處理過程中的風(fēng)險，降低個人信息保護成本。然而，美國目前的法律和政策在規(guī)制不同主體使用“去身份化”的個人信息方面相當(dāng)遲緩，通常是基于綜合考量使用“去身份化”個人信息所產(chǎn)生的經(jīng)濟或社會效益同主體所可能面臨的風(fēng)險情況，來決定是否重新識別“去身份化”的個人信息[10]。但上述風(fēng)險可能會隨著相關(guān)技術(shù)的發(fā)展而變化，因此美國關(guān)于個人信息匿名化的政策應(yīng)定期審查。

通過上述分析可知，匿名化是從技術(shù)角度處理個人信息的方式，使匿名化的個人信息不能再被識別出特定信息主體，這是不借助任何額外的信息前提的行為，但前提是此類附加信息必須單獨保存，并應(yīng)受制于技術(shù)和保護措施，以確保匿名化的個人信息不歸因于已識別或可識別出背后的自然人。

通過比較分析歐盟對匿名化個人信息的界定可以看出，匿名化的個人信息將不會得到復(fù)原，根據(jù)歐盟第29條工作組的意見，“匿名”一詞反映了最高或最強的取消身份識別級別，但是在歐盟GDPR規(guī)定中，較簡單的身份驗證（例如假名）被認為是保護隱私的措施，可以降低數(shù)據(jù)主體的風(fēng)險。而美國法律規(guī)定的去身份化的個人信息，在一定條件下存在再被識別的可能。由此可以得出，歐盟注重從匿名化技術(shù)上保證匿名化的個人信息的存續(xù)性，而美國立法認為去身份化的個人信息存在被再次識別的可能，通過再識別風(fēng)險預(yù)防，如隱私風(fēng)險專家評估、簽訂協(xié)議等方式防控去身份化的個人信息出現(xiàn)再次被識別的風(fēng)險。歐盟較美國而言，在個人信息匿名化標準問題上采用較為嚴苛的標準，并堅持規(guī)定目的限制原則和“動態(tài)風(fēng)險管理”理念，旨在通過降低匿名化的個人信息被再識別的風(fēng)險，以保護信息主體合法權(quán)益。

但其中存在的問題是：匿名化的個人信息，就算結(jié)果具有不可逆性，但基于當(dāng)下大數(shù)據(jù)分析技術(shù)，是否仍有可能通過此匿名化的個人信息找出背后的信息主體？是否存在通過集合匿名化的個人信息，進而推斷出屬于某特定人的個人信息的可能性？質(zhì)言之，即使在采取一切可能且合理的手段的前提下，對個人信息實施匿名化處理，仍存在被識別的風(fēng)險。因為基于當(dāng)下技術(shù)，在現(xiàn)實中匿名化（去身份化）的個人信息同個人信息間的界限并非十分清晰，始終處于動態(tài)變化之中，借助大數(shù)據(jù)分析等高新技術(shù)完全可以實現(xiàn)將匿名化（去身份化）的個人信息演化成為具有識別性的個人信息，當(dāng)然，這主要取決于個人信息所處的不斷變化的環(huán)境狀況。由此可以看出，歐盟所采用的“動態(tài)風(fēng)險管理”理念具有一定的借鑒價值。

3 匿名化個人信息的識別性問題

歐盟GDPR關(guān)于個人數(shù)據(jù)的定義表明，“識別性”始終處于判定是否是個人信息依據(jù)的核心位置，即無論是直接抑或間接，單一或組合信息，只要能識別出特定自然人，都屬于個人信息[11]。識別，具體可包括已識別和可識別兩類。所謂已識別，是指身份已被確認或具有顯見特征，無需借助任何其他輔助條件，可單獨達到識別效果并精準確定特定對象。而可識別，是指尚未呈現(xiàn)特定化，只是一種可能性，需借助外部條件來確定，包括確定的可識別和潛在的可識別兩種類型。歐盟GDPR前言（26）條規(guī)定：確定自然人的個人信息是否可被識別，應(yīng)考慮所有合理極有可能采取的手段，由控制人或另一人直接或間接地識別出自然人；為了確定是否合理地有可能使用其他手段來識別出自然人，應(yīng)考慮所有客觀因素，例如識別的成本和所需的時間，考慮到技術(shù)發(fā)展時可用的處理技術(shù)。數(shù)字時代，通過技術(shù)處理使得個人信息匿名化，是在保護自然人私權(quán)前提下，順應(yīng)數(shù)字經(jīng)濟發(fā)展所需，進而實現(xiàn)保護私權(quán)和數(shù)字經(jīng)濟發(fā)展間的平衡。根據(jù)前文對匿名化個人信息的分析，其應(yīng)不存在被重新識別的可能性，但在數(shù)字時代，完全實現(xiàn)對個人信息的匿名化不具現(xiàn)實性，因為完全可通過“去匿名化”，使匿名化的個人信息再次被識別。即使如此，我們亦不應(yīng)否認數(shù)字時代背景下，通過個人信息匿名化來保護信息主體私權(quán)的價值和意義。

匿名化個人信息是指經(jīng)匿名化技術(shù)處理的個人信息應(yīng)不具識別性，簡言之，通過匿名化個人信息不能指出信息背后的特定自然人，即已無法識別自然人個人身份，為了使個人信息真正匿名，匿名化必須是不可逆的。根據(jù)我國《網(wǎng)絡(luò)安全法》第42條第1款規(guī)定可以看出，匿名化的個人信息需具有“無法識別特定個人”與“不能復(fù)原”兩個特征。匿名化的個人信息不僅應(yīng)具有不可識別性，同時應(yīng)在技術(shù)上不可復(fù)原。雖然歐盟對個人信息以識別性作為判斷是否是個人信息的標準，但鑒于數(shù)字時代背景下，個人信息不僅應(yīng)具識別性，還應(yīng)具有關(guān)聯(lián)性，而復(fù)原實際上可理解為《網(wǎng)絡(luò)安全法》第76條第5款中“與其他信息結(jié)合識別”的間接識別，由此實現(xiàn)該規(guī)范文本的前后對應(yīng)。

個人信息的匿名化是計算機科學(xué)領(lǐng)域的重要研究課題。雖然歐盟、美國及我國的法律等制度規(guī)范對此都有規(guī)定，以實現(xiàn)個人信息保護同數(shù)字經(jīng)濟發(fā)展間的平衡。但在計算機科學(xué)領(lǐng)域，對個人信息的匿名化同“去匿名化”一樣，都可輕松實現(xiàn)。結(jié)合本議題，在數(shù)字時代，依托大數(shù)據(jù)算法分析等高新技術(shù)，實現(xiàn)對個人信息完全匿名化不具現(xiàn)實性。在此背景下，需要區(qū)分不同場景，對匿名化個人信息做不同要求。從個人信息角度分析，個人信息對信息主體而言，主要體現(xiàn)在人格利益，而對個人信息利用者而言，則注重其財產(chǎn)性等綜合價值。前者通過保護個人信息以維護信息主體人格利益，即由信息主體對其個人信息實現(xiàn)完全控制，但鑒于個人信息在信息主體社會交往、工作、學(xué)習(xí)等方面具有不可或缺的作用，加之個人信息所具有的公共性價值，因此由信息主體實現(xiàn)對個人信息的完全控制不具可能性，在此種場景中，并不是匿名化個人信息價值體現(xiàn)場域，主要以個人信息的人格利益展現(xiàn)。數(shù)字時代背景下的個人信息控制者呈現(xiàn)多樣性，匿名化個人信息主要體現(xiàn)場域在于商業(yè)利用和社會公共事業(yè)管理中，后者中的利用主體主要是代表國家的政府及相關(guān)機構(gòu)。匿名化個人信息控制者在實際運用中，一方面需要收集大體量個人信息以滿足其不同需求，另一方面為規(guī)避法律風(fēng)險，則需要借助技術(shù)手段以確保匿名化的個人信息不被再識別。在此場景中，無論對信息主體抑或匿名化信息控制者而言，基于維護信息主體私權(quán)和滿足信息控制者商業(yè)或其他需求，匿名化個人信息都不應(yīng)被再識別。換言之，在匿名化個人信息利用中，只有提高再識別的風(fēng)險，信息主體人格利益的保護才更周延，并可有效遏制商業(yè)活動等處理匿名化個人信息的不當(dāng)行為。

匿名化的個人信息不應(yīng)再被識別，是個人信息匿名化后風(fēng)險最小化目標考量的結(jié)果，但并非意味著其不可再次被識別，這在當(dāng)前技術(shù)條件下完全可以實現(xiàn)。此處所言匿名化的個人信息不應(yīng)再被識別，可從個人信息同匿名化個人信息間的關(guān)系闡釋。本文認為，個人信息不僅包含人格利益，還兼具財產(chǎn)利益、公共性價值等非人格利益，但其重心應(yīng)是人格利益。當(dāng)個人信息經(jīng)匿名化處理后，其所包涵的人格利益和非人格利益將出現(xiàn)分離，不具識別性的匿名化個人信息體現(xiàn)非人格性利益。匿名化的個人信息便于在商業(yè)、社會公共事業(yè)管理等事務(wù)中自由流通，體現(xiàn)其綜合價值，這也是數(shù)字時代背景下數(shù)字產(chǎn)業(yè)發(fā)展的必然。但鑒于在既有技術(shù)條件下，可輕松實現(xiàn)對匿名化的個人信息“去匿名化”，進而對匿名化個人信息背后自然人合法權(quán)益構(gòu)成威脅，而在保護信息主體私權(quán)不被非法侵犯前提下，亦不妨礙匿名化個人信息在流通中綜合價值的實現(xiàn)，本文認為，匿名化個人信息不應(yīng)再被識別。但如為了滿足公共利益等符合法律規(guī)定的正當(dāng)需求，需對匿名化個人信息重新再識別，屬于處理個人信息行為，應(yīng)受到個人信息保護法等法律制度規(guī)范調(diào)整，并應(yīng)在首先做好個人信息保護基礎(chǔ)上，根據(jù)目的限制原則，在符合一定比例的前提下進行“去匿名化”，以達到重新被識別標準。而對于非法的“去匿名化”處理行為，并給信息主體造成危害的，行為主體應(yīng)承當(dāng)相應(yīng)的侵權(quán)責(zé)任。

4 處理匿名化個人信息正當(dāng)性的規(guī)則設(shè)計

本杰明·N. 卡多佐（Benjamin N. Cardozo）指出：“當(dāng)新的問題產(chǎn)生，公平和正義會指引人們的思維找到解決方案，而當(dāng)人們仔細審視這些解決方案，就會發(fā)現(xiàn)它們是和平衡與秩序相一致的。”[12]處理匿名化個人信息，并非毫無限制，必須在既定法律框架內(nèi)進行，鑒于我國有關(guān)匿名化個人信息的法律規(guī)范不統(tǒng)一，呈現(xiàn)“碎片化”。在數(shù)字時代背景下，匿名化個人信息的處理不僅涉及信息主體合法權(quán)益問題，亦同當(dāng)下數(shù)字經(jīng)濟發(fā)展、社會公共事業(yè)管理水平有關(guān)。在此背景下，我們應(yīng)秉持固有的基本價值理念和操守，在維護信息主體合法權(quán)益基礎(chǔ)上，設(shè)計處理匿名化個人信息的正當(dāng)性規(guī)則。

4.1 邏輯前提：個人信息概念的審慎界定

無論從何種角度出發(fā)，概念界定不僅在法律科學(xué)中扮演重要角色[13]，而且是分析對象的邏輯前提。結(jié)合本議題，匿名化個人信息的基礎(chǔ)是個人信息，而個人信息同時也是個人信息保護法所調(diào)整的對象，對個人信息概念分析，關(guān)系到個人信息匿名化的邊界。我國雖已制定個人信息保護法，但學(xué)界對個人信息界定仍未達成共識。建立具有可行性的個人信息匿名化規(guī)則制度的重要基礎(chǔ)是準確界定個人信息概念。從比較法角度可知，如歐盟GDPR中規(guī)定“個人數(shù)據(jù)匿名化”的基礎(chǔ)即是建立在“個人數(shù)據(jù)”概念之上。由此可以看出，我國個人信息保護類法如要實現(xiàn)對匿名化個人信息的有效規(guī)制，并使其可作為處理行為的正當(dāng)性基礎(chǔ)，應(yīng)結(jié)合數(shù)字時代特殊場景審視界定個人信息概念。

當(dāng)抽象概括性和一般描述性概念及其邏輯體系不足以掌握某生活現(xiàn)象或意義脈絡(luò)的多樣表現(xiàn)形態(tài)時，大家首先會想到的補助思考形式是“類型”[14]。本文結(jié)合上文對個人信息的分類，綜合認為，不同類型個人信息的匿名化要求應(yīng)有不同，是否可作為處理行為正當(dāng)性基礎(chǔ)應(yīng)結(jié)合不同類型的個人信息而定。如從信息主體角度講，未成年人個人信息匿名化同成年人個人信息匿名化要求標準上應(yīng)有不同；按個人信息同信息主體間的私密性程度所劃分的個人生物識別信息、個人敏感信息和個人普通信息，在匿名化標準和要求上不應(yīng)一致。對涉及未成年人和同自然人身份密切度更高的個人信息，如個人身份信息（personally identifiable information）是當(dāng)單獨使用或與其他相關(guān)數(shù)據(jù)一起使用時可以識別個人的信息，敏感的個人身份信息可包括姓名、社會保險號、駕駛執(zhí)照、財務(wù)信息和病歷信息等，此類個人信息匿名化標準應(yīng)有更高要求[15]。雖然我國已頒布并實施個人信息保護法，但應(yīng)進一步審慎界定個人信息概念，并在此基礎(chǔ)上完善個人信息匿名化的規(guī)則設(shè)計，為不同主體處理個人信息提供具有指導(dǎo)意義的法律規(guī)范，如此，既滿足保護自然人個人信息的立法宗旨，同時又可滿足數(shù)字經(jīng)濟發(fā)展、社會公共事業(yè)管理等合法、合理需求。

4.2 標準塑造：確立具有可執(zhí)行性的個人信息匿名化標準

歐盟十分重視個人信息保護，關(guān)涉處理個人信息問題持較為謹慎態(tài)度，對個人信息匿名化已形成基本框架，并在標準設(shè)計等方面積累了有益經(jīng)驗。匿名化個人信息作為可合法處理的對象，在匿名化標準上采取相當(dāng)嚴格的態(tài)度。總結(jié)起來，歐盟在個人信息匿名化標準問題上可從以下幾點說明：首先，從識別上看，即按照匿名化要求并對個人信息執(zhí)行相應(yīng)程序后，是否仍可識別出匿名化個人信息背后的信息主體；其次，從關(guān)聯(lián)度上看，被執(zhí)行匿名化程序的個人信息，是否同被匿名化個人信息主體的其他個人信息產(chǎn)生關(guān)聯(lián)；再次，從一般人的推斷上看，一般社會主體處理被匿名化的個人信息，是否會從中推斷出其背后的信息主體；另外，引入“動態(tài)風(fēng)險管理”理念，充分考慮將來的技術(shù)水平發(fā)展程度以及個人信息的處理方式等因素，對匿名化個人信息的潛在風(fēng)險進行動態(tài)管理；最后，依據(jù)目的限制原則，對匿名化個人信息處理的目的不能違背個人信息匿名化之前所設(shè)定的目的，否則應(yīng)承擔(dān)侵權(quán)責(zé)任。

從歐盟個人信息匿名化標準可以看出，其主要通過技術(shù)手段并結(jié)合“動態(tài)風(fēng)險管理”理念來防止匿名化個人信息的“去匿名化”，注重對個人信息保護，并在此基礎(chǔ)上進行對該類信息的處理。一如前述，數(shù)字時代背景下，借助大數(shù)據(jù)分析等高新技術(shù)，實現(xiàn)對匿名化個人信息的“去匿名化”，進而識別出其背后的特定自然人已成現(xiàn)實。從技術(shù)角度對匿名化個人信息“去匿名化”進行防范，已不現(xiàn)實。若要塑造統(tǒng)一適用且有效的個人信息匿名化標準，不僅應(yīng)分析匿名化標準本身，同時應(yīng)關(guān)注匿名化個人信息及其被處理時的具體環(huán)境，形成類似于歐盟“動態(tài)風(fēng)險管理”的檢測方案。英國有學(xué)者稱之為“功能匿名化(functional anony mization) ”方案，他們認為，當(dāng)下匿名化失敗的原因，主要在于人們過于關(guān)注匿名化技術(shù)及匿名化個人信息本身，而忽視匿名化個人信息所處的環(huán)境，易言之，一個信息是否是匿名化個人信息，并非僅從是否被采取匿名化技術(shù)而定，而應(yīng)結(jié)合其所處的環(huán)境而定[16]。我國未來系統(tǒng)性個人信息保護相關(guān)法規(guī)中對個人信息匿名化標準問題的設(shè)置，不僅應(yīng)關(guān)注個人信息匿名化本身，亦應(yīng)綜合考量匿名化個人信息被處理時的具體場景，并結(jié)合處理匿名化個人信息的目的初衷，制定具有可操作性的個人信息匿名化標準，以綜合判定對其處理是否具有正當(dāng)性。

5 實現(xiàn)個人信息保護與個人信息利用間的平衡

歐盟和美國雖然在個人信息匿名化問題上采用不同思路，如歐盟注重從技術(shù)上對個人信息進行匿名化處理，而美國強調(diào)風(fēng)險評估，對信息的直接和間接標識符進行綜合判斷，以此判定其是否具有識別性。具而言之，歐盟制定了個人信息匿名化制度，并在此基礎(chǔ)上積累了大量有益經(jīng)驗，對匿名化個人信息基本實現(xiàn)了“多元化”規(guī)制模式[17]，而美國基于不同場景下可能面臨的不同風(fēng)險進行綜合分析，同歐盟的“動態(tài)風(fēng)險管理”理念實屬“異曲同工”。二者都極為重視動態(tài)環(huán)境下對匿名化個人信息的判定，進而認定對其處理是否具有正當(dāng)性，對于維持個人信息保護和個人信息利用間的平衡意義重大，具有重要的參考價值。質(zhì)言之，個人信息保護法制本身具有雙重目標，即保護個人信息，并在此基礎(chǔ)上促進個人信息的利用。這是數(shù)字時代背景下個人信息的綜合價值，優(yōu)勢是使其商業(yè)價值不斷彰顯，如切斷個人信息利用，數(shù)字產(chǎn)業(yè)發(fā)展將無從談起，這在數(shù)字時代是不可想象的。但也存在個人信息保護和個人信息利用之間的博弈，而匿名化技術(shù)是個人信息利用中的一個重要環(huán)節(jié)，是推動個人信息利用的重要路徑。因此我們在面向個人信息保護和個人信息利用的博弈中，應(yīng)在“技術(shù)信仰和人身信仰”中突出“人身信仰”理念[18]，對匿名化個人信息處理應(yīng)以保護自然人個人信息為基礎(chǔ)前提，促進數(shù)字產(chǎn)業(yè)發(fā)展，其中尤為關(guān)鍵的是，應(yīng)從源頭上保障所收集的個人信息具有合法性，在處理中禁止匿名化個人信息的“去匿名化”，并結(jié)合目的限制原則在整個匿名化個人信息處理中的運用，以實現(xiàn)個人信息保護和個人信息利用的平衡。

5.1 保證所收集的個人信息具有合法性

合法性是現(xiàn)代社會法治的一個基本原則或要求[19]。“法與時轉(zhuǎn)則治”，數(shù)字時代，合法原則對限制網(wǎng)絡(luò)運營者及其他主體處理個人信息以保護信息主體合法權(quán)益具有基礎(chǔ)性意義，在此過程中都應(yīng)符合我國既定法律、法規(guī)、司法解釋等制度規(guī)范，包括但不限于《消費者權(quán)益保護法》《婦女權(quán)益保障法》《身份證法》《刑法》《未成年人保護法》《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》《征信業(yè)管理條例》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》《民法典》《個人信息保護法》等有關(guān)個人信息保護的制度規(guī)范。換言之，在自然人個人信息被處理時應(yīng)妥當(dāng)保護個人信息安全，以合法原則為底線，且在此過程中應(yīng)妥當(dāng)處理好數(shù)據(jù)產(chǎn)業(yè)發(fā)展與個人信息保護之間的平衡關(guān)系。為滿足我國數(shù)據(jù)產(chǎn)業(yè)發(fā)展需求，應(yīng)當(dāng)鼓勵數(shù)據(jù)產(chǎn)業(yè)正常發(fā)展，在數(shù)據(jù)產(chǎn)業(yè)發(fā)展中信息流通至為重要，而匿名化個人信息是在保護自然人個人信息基礎(chǔ)上的技術(shù)處理，在此過程中個人信息的收集是其首要環(huán)節(jié)。是故，個人信息的收集主體應(yīng)以合法性原則為底線，這是我國法治現(xiàn)代化進程中的重要一環(huán)，亦是我國《民法典》制定個人信息保護篇章所秉持的立法原則。

我國《民法典》第1035條第1款規(guī)定：“處理個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則”，在第2款中規(guī)定，收集是處理的情形之一。面向個人信息場景，收集行為是處理個人信息的前提，即在符合《民法典》第1035條第1款中“合法”前提下對個人信息進行收集，才能使其后如“存儲、加工、使用”等行為具有合法性。我國《網(wǎng)絡(luò)安全法》第42條第1款雖然沒有明確指出匿名化信息的來源，但我們對此應(yīng)從“合法性”角度進行限縮解釋，即處理匿名化個人信息的前提應(yīng)滿足其所收集的個人信息具有合法性。如此，既是我國保護個人信息所需，又可實現(xiàn)《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護法》的有效銜接，為我國未來個人信息保護系統(tǒng)類立法提供思路。結(jié)合本議題，個人信息的匿名化應(yīng)以個人信息控制者所收集的個人信息為前提，對于非法收集的個人信息不能進行匿名化處理已是當(dāng)下個人信息保護法視閾中的基本規(guī)則之一[20]。在實際操作中，控制個人信息的主體如對其控制的個人信息進行匿名化處理，必須證明其所收集的個人信息具有合法性，包括收集程序、手段等方面，如對匿名化個人信息背后的信息主體發(fā)生侵權(quán)，在歸責(zé)原則上應(yīng)采用過錯推定，由處理者證明其所收集個人信息的合法性。保證收集的個人信息具有合法性是實現(xiàn)個人信息保護同個人信息利用間平衡的基礎(chǔ)，而對個人信息進行匿名化處理是個人信息利用的方式之一。

5.2 禁止匿名化個人信息的“去匿名化”

匿名化作為計算機科學(xué)領(lǐng)域的重要研究領(lǐng)域，屬于數(shù)據(jù)挖掘技術(shù)，在數(shù)字時代個人信息流通中具有重要作用，成為被處理時具有正當(dāng)性的核心要素。而“去匿名化”可通過相似技術(shù)實現(xiàn)對去標識化的信息進行重新識別，以確定匿名化信息背后的真實個體。2015年國務(wù)院發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》指出，政府在社會公共事業(yè)管理機制建設(shè)中要實現(xiàn)“用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的統(tǒng)合配套模式，數(shù)據(jù)在商業(yè)應(yīng)用中同樣重要，個人信息匿名化已經(jīng)成為我國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展中的一項重要課題。匿名化個人信息是數(shù)據(jù)產(chǎn)業(yè)發(fā)展的基礎(chǔ)，通過個人信息匿名化能提供足夠的原料支撐。但從保護個人信息角度出發(fā)，個人信息匿名化的重要目標是降低自然人個人信息在流通中的風(fēng)險，維護其人格利益。因此，個人信息匿名化后，即進入流通領(lǐng)域，可有效促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展，如促進政府公共事業(yè)管理、數(shù)字經(jīng)濟發(fā)展等。但需注意的是，匿名化個人信息雖不具“識別性”，也并不意味著可以毫無限制地被處理，而需綜合考量被處理的環(huán)境等綜合因素，以滿足保護個人信息的基本法律需求。鑒于當(dāng)下對匿名化個人信息實現(xiàn)“去匿名化”已無現(xiàn)實可能。從信息主體角度出發(fā)，數(shù)字時代背景下，自然人對其個人信息實現(xiàn)絕對控制已無可能，無論政府基于公共事業(yè)管理還是數(shù)字企業(yè)基于商業(yè)發(fā)展考量，都需要對自然人個人信息進行匿名化處理，在此過程中，信息主體隨時可能因匿名化個人信息被“去匿名化”而面臨被侵害的風(fēng)險。因此，對于已經(jīng)刪除個人身份標識的數(shù)據(jù)，應(yīng)禁止再識別，即禁止“去匿名化”。

本文認為，雖然個人匿名化是當(dāng)下技術(shù)場景中維持個人信息保護和個人信息利用間平衡的重要技術(shù)支持，但從信息主體角度出發(fā)，我國未來的個人信息保護相關(guān)立法應(yīng)明確規(guī)定禁止匿名化個人信息的“去匿名化”，但也應(yīng)存在例外，如為了維護國家利益、社會公共利益等，此時應(yīng)有法律的明確規(guī)定。

5.3 “目的限制原則”的適用

數(shù)字時代背景下，個人信息價值不斷得以彰顯，與之對應(yīng)，個人信息法律保護難度隨之增加。加強個人信息法律保護，主要在于信息主體同網(wǎng)絡(luò)運營者等數(shù)字企業(yè)間信息把控能力方面存在巨大差異的調(diào)整，在此場景中與民法所強調(diào)的民事主體平等、意思自治等私法理念“存在隔閡”[21]，并且“個人信息不僅具有人格尊嚴和自由價值”[22]，其所體現(xiàn)的商業(yè)經(jīng)濟等綜合價值更是網(wǎng)絡(luò)運營者及其他主體不懈追求的動力。同時，從社會公共利益考量，代表國家的政府及相關(guān)部門處理個人信息亦可能會對信息主體合法權(quán)益造成危害，如我國新冠肺炎疫情防控期間所發(fā)生過的多起個人信息泄露事件。本文認為，無論出于商業(yè)利益或社會公共利益因素考量，處理匿名化個人信息行為必須以“目的限制原則”為指導(dǎo)。

5.4 完善信息控制者的責(zé)任

“法律責(zé)任的承擔(dān)是一個社會評價的過程”，彌補因侵權(quán)行為對當(dāng)事人所造成的損害，以實現(xiàn)社會所追求的正義，而在侵權(quán)責(zé)任系統(tǒng)中，其價值在于對私權(quán)的補償，體現(xiàn)對“私權(quán)的尊重和保護”[23]。但在此過程中首先應(yīng)當(dāng)確定的是責(zé)任承擔(dān)的主體，其應(yīng)處于侵權(quán)責(zé)任承擔(dān)系統(tǒng)的首位。從保護私權(quán)角度，受害者可直接向收集其個人信息的主體請求損害賠償。以新冠肺炎疫情防控期間的個人信息收集為例，在疫情防控期間收集、處理個人信息的主體較多，可向最先收集其個人信息的主體請求損害賠償，除非對方可證明已按規(guī)定盡到個人信息安全保護義務(wù)，反之，將承擔(dān)侵權(quán)責(zé)任。如此，民事主體的合法權(quán)益將得到有效法律保護。

完善信息控制者責(zé)任，并非加重其責(zé)任。鑒于信息控制者在市場活動中同信息主體相比具有絕對優(yōu)勢地位，故在侵權(quán)法視閾，應(yīng)適用過錯推定規(guī)則原則，以平衡信息主體同其他個人信息控制者的關(guān)系。民法視閾中，過錯推定原則是在原告證明其所受損害由被告所致，而被告不能證明自己無過錯情況下，被告應(yīng)就其過錯承擔(dān)相應(yīng)民事責(zé)任，從某種意義上講，過錯推定原則的適用，減輕了受害人的證明責(zé)任。因“法乃公平正義之術(shù)”，是故，過錯推定原則的適用不應(yīng)隨意擴大，否則會不當(dāng)加重被告的負擔(dān)，如此對被告存在不公，同國家所倡導(dǎo)的法治理念不符。質(zhì)言之，只有在特定情況下受害人舉證加害人的行為存有過錯確有困難，如不適用過錯推定原則，受害人合法權(quán)益不能得到有效保護、有違社會公益等前提下，方有過錯推定適用空間。