齊英程，吉林大學(xué)法學(xué)院博士后研究人員。

本文系《我國個人信息匿名化規(guī)則的檢視與替代選擇》一文的正文，注釋從略，全文發(fā)表于《環(huán)球法律評論》2021年第3期，原文請參見環(huán)球法律評論網(wǎng)站：http://www.globallawreview.org，或點擊文末左下角“閱讀原文”。

內(nèi)容提要：個人信息匿名化規(guī)則試圖通過徹底消除個人信息蘊含的可識別性以免除信息處理者負有的個人信息保護義務(wù)，但這一規(guī)則卻面臨著理論上的困境和適用上的障礙。“匿名化迷思”的根源在于，其試圖通過對信息性質(zhì)作出“非此即彼”的判定，以決定是否“一刀切”地斬斷個人信息處理者所負義務(wù)。而現(xiàn)實情況是，個人信息具有的可識別性通常并非全有或全無，而是呈現(xiàn)出不同程度的識別能力，經(jīng)過匿名化處理的信息仍可能殘存一定的“可識別性”，將其徹底排除至個人信息保護立法的規(guī)制范圍之外，事實上難以有效消解匿名信息具有的“剩余風(fēng)險”。未來我國個人信息保護立法應(yīng)從當前的一體規(guī)制模式轉(zhuǎn)向基于信息識別能力類型化的區(qū)別規(guī)制模式，根據(jù)個人信息蘊含的識別能力而構(gòu)建多層次的個人信息保護義務(wù)體系，并將匿名信息作為一種具有較低識別能力的個人信息納入規(guī)制范圍，實現(xiàn)個人信息保護與利用間的動態(tài)平衡。

關(guān)鍵詞：個人信息　可識別性　識別能力　匿名化　去識別化

2020年10月，我國首部個人信息保護立法草案提請全國人大常委會審議，標志著我國個人信息保護立法工作邁入了體系化階段。《個人信息保護法（草案）》第4條將“個人信息”界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”，從而將經(jīng)過匿名化處理的信息完全排除至個人信息保護法的規(guī)制范圍以外。其原理在于，個人信息保護規(guī)則僅適用于具有可識別性從而可能揭露與自然人相關(guān)之特定情況的信息，而經(jīng)過匿名化的信息則喪失了識別特定自然人的能力，自然無須受到個人信息保護立法的約束。然而，何種程度的處理能夠使個人信息轉(zhuǎn)化為匿名信息？完全的匿名化能否實現(xiàn)？經(jīng)過匿名化處理后的個人信息是否必然不再具有安全風(fēng)險？對上述問題的輕松掠過可能導(dǎo)致我國個人信息保護立法因未能準確把握信息時代的現(xiàn)實風(fēng)險，而難以承擔(dān)充分保護公民個人信息安全的重要使命。

當前，匿名化處理的有效性及其應(yīng)然標準等問題已在世界范圍內(nèi)引發(fā)了廣泛的關(guān)注與討論。歐姆（Paul Ohm）、施瓦茨（Paul M. Schwartz）和索羅夫（Daniel J. Solove）等學(xué)者均主張，在大數(shù)據(jù)時代，匿名化乃注定是一種失敗的嘗試，立法應(yīng)放棄當前“個人信息—匿名信息”的二分法，而應(yīng)基于對具體信息風(fēng)險的評估分別確立相應(yīng)的個人信息保護標準。魯賓斯坦（Ira S. Rubinstein）和哈佐格（Woodrow Hartzog）提出，匿名化規(guī)則乃是一種結(jié)果導(dǎo)向的規(guī)制規(guī)則，其效果難以保證和評估，個人信息保護立法應(yīng)當將注意力轉(zhuǎn)向通過對數(shù)據(jù)披露的程序性規(guī)制以實現(xiàn)數(shù)據(jù)安全風(fēng)險的最小化。而鮑迪倫（Sophie Stalla Bourdillon）和奈特（Allison Knight）則認為，雖然匿名化處理不可能達到完全消除匿名信息含有的再識別風(fēng)險的效果，但其作為劃定個人信息和非個人信息界限的標準，對于指導(dǎo)信息處理實踐仍具有重要意義，只不過關(guān)鍵在于個人信息保護立法應(yīng)改采一種更加動態(tài)的、場景化的匿名化標準，以實現(xiàn)對風(fēng)險的靈活應(yīng)對。既有研究主要著眼于歐盟和美國的個人信息匿名化（去標識化）規(guī)則所具有的缺陷及其完善途徑，其研究結(jié)論對我國個人信息保護規(guī)則的構(gòu)建具有一定借鑒價值。在此基礎(chǔ)上，本文通過對當前我國個人信息匿名化規(guī)則的檢視，明確這一規(guī)則的內(nèi)在缺陷及其在實踐中可能產(chǎn)生的實際效果，進而結(jié)合我國的立法進展和社會背景，尋求個人信息匿名化規(guī)則在我國立法語境下的替代方案，對未來我國個人信息保護立法規(guī)則的構(gòu)建提出相應(yīng)建議。

一、個人信息匿名化規(guī)則的內(nèi)在缺陷

及適用障礙

（一）個人信息匿名化規(guī)則的

內(nèi)在缺陷

立法規(guī)定個人信息匿名化規(guī)則的目的在于免除個人信息處理者在對特定信息進行后續(xù)處理和流轉(zhuǎn)時負有的合規(guī)負擔(dān)，這預(yù)設(shè)了經(jīng)過匿名化處理的信息仍然具有繼續(xù)留存和使用的價值。然而，這一規(guī)則要求匿名化處理必須達到徹底消除個人信息具有的可識別性且無法復(fù)原的程度，其在追求徹底消除信息安全風(fēng)險之同時，亦將完全抹殺信息具有的后續(xù)利用價值。個人信息處理者對個人信息進行處理的目的主要在于通過對信息間相關(guān)關(guān)系的識別以發(fā)現(xiàn)個體或群體在行為、狀態(tài)等方面的潛在模式，進而作出預(yù)測或決策。而匿名化規(guī)則在徹底斬斷個人信息與信息主體的相關(guān)性之同時，也同時喪失對信息處理者的參考價值。

從我國當前的實踐來看，各信息交易平臺和信息處理者所交易的相關(guān)信息均只是經(jīng)過一定程度的去標識化處理而無法單獨識別出信息主體的間接識別性個人信息，比如某大數(shù)據(jù)交易中心交易的相關(guān)省份個人失信名單以及相關(guān)省市專業(yè)技術(shù)職務(wù)人員信息等。事實上，針對完全喪失可識別性的個人信息幾乎不存在任何市場需求。同樣，在自然科學(xué)研究領(lǐng)域，對具有相關(guān)性數(shù)據(jù)的獲取和使用乃是開展符合科學(xué)倫理的社會科學(xué)研究的必要前提，基于絕對的匿名化信息難以獲得準確并具有意義的研究結(jié)論。

歐洲網(wǎng)絡(luò)與信息安全局在2015年發(fā)布的報告《大數(shù)據(jù)中的隱私設(shè)計：大數(shù)據(jù)時代的隱私增強技術(shù)概述》（Privacy by Design in Big Data: An Overview of Privacy Enhancing Technologies in the Era of Big Data Data）中提出“過強的匿名化”（too strong anoymization）概念，其認為此種信息匿名化的處理“能夠防止將來自不同來源的數(shù)據(jù)與特定個體（或相似的個體）相關(guān)聯(lián)，但同時亦抑制了大數(shù)據(jù)的許多潛在益處”。正如歐姆所言，“個人數(shù)據(jù)或者是有用的或者是被完全匿名化的，但絕不可能二者得兼。”匿名化規(guī)則注定難以像立法者所期待的那樣實現(xiàn)個人信息保護需求和信息利用價值間的有效平衡。

我國的個人信息匿名化規(guī)則的缺陷還在于，其意欲通過匿名化處理一刀切地斬斷個人信息與信息主體間的所有關(guān)聯(lián)，從而達到一勞永逸的效果。雖然此種想法在邏輯上可能會實現(xiàn)貫通，但實際上卻忽視了個人信息處理實踐的動態(tài)性和變化性特征，無法在信息的后續(xù)流轉(zhuǎn)使用過程中實現(xiàn)對信息主體權(quán)益和信息安全的充分保護。既有立法均將匿名化處理作為免除信息處理者履行后續(xù)個人信息保護義務(wù)的法定條件，甚至在相關(guān)規(guī)范中將匿名化處理和刪除信息某種程度上視為功能等同的處理措施。然而，經(jīng)過匿名化處理的信息仍存在被使用和流轉(zhuǎn)的需要，在此過程中，隨著可結(jié)合信息來源的不斷增加以及信息再識別技術(shù)的持續(xù)進步，現(xiàn)有的匿名化措施面臨著被突破的可能性。個人信息和匿名信息的邊界并非固定不變而是往往處于流變狀態(tài)之中。將匿名化視為一種確定不變的狀態(tài)，從而徹底免除對匿名信息的規(guī)制的做法必然難以充分應(yīng)對信息處理實踐的動態(tài)變化所帶來的潛在風(fēng)險。

（二）個人信息匿名化規(guī)則的適用障礙

對于何種程度的處理能夠使個人信息轉(zhuǎn)化為匿名信息，我國立法亦未形成明確的標準，從而阻礙了這一規(guī)則的有效適用和信息處理者對這一規(guī)則的嚴格遵守。最新提交審議的《個人信息保護法（草案）》（二審稿）第72條中規(guī)定，“匿名化”是指“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”。然而，其對“無法識別”的認定標準及其指向的主體范圍卻并未作出明確規(guī)定。根據(jù)我國《網(wǎng)絡(luò)安全法》第76條之規(guī)定，“可識別”包括“能夠單獨或者與其他信息結(jié)合識別自然人個人身份”的情形，這一標準主要參考了歐盟《一般數(shù)據(jù)保護條例》（General Data ProtectionRegulation）中對可識別性個人信息的界定。《一般數(shù)據(jù)保護條例》“序言”部分提出，在認定特定信息是否具有可識別性時，應(yīng)當考慮信息處理者或任何第三人在識別信息主體時可能使用的“所有具有合理可能性的方法”（all the means reasonably likely to be used）以及所有相關(guān)的客觀因素。在此基礎(chǔ)上，歐盟委員會內(nèi)部咨詢機構(gòu)“第29條數(shù)據(jù)保護工作組”在其發(fā)布的《關(guān)于個人數(shù)據(jù)概念的意見》（Article 29 Data Protection Working Party, Opinion 04/2007 on the Concept of Personal Data）中進一步明確了“合理識別可能性”的判定標準，提出在判定“合理識別可能性”時要綜合考慮進行識別的成本、信息處理的目的與具體方式、現(xiàn)有的識別技術(shù)及其可能發(fā)展，以及信息處理者所采取的組織或技術(shù)保護措施失靈的潛在風(fēng)險等因素。可見，盡管世界范圍內(nèi)個人信息保護均以“可識別性”為“識別”個人身份的標準，但如何解釋此種“可識別性”，卻在不同法域的法體系脈絡(luò)中存在差異，在其各自的實踐中被納入考量的影響因素亦不相同。因而，“可識別性”既是世界范圍內(nèi)討論個人信息保護的基礎(chǔ)，同時也是重要分歧所在。

相比之下，我國立法對“可識別性”并未作出任何具體解釋，“無法識別”所應(yīng)達到的標準也相應(yīng)地處于較為模糊的狀態(tài)。個人信息匿名化標準的模糊性為個人信息處理者策略性地適用這一規(guī)則以減輕、免除自身負有的個人信息保護義務(wù)留下了空隙。在實踐中，個人信息處理者普遍在其隱私政策、個人信息保護政策中約定，僅需使個人信息達到令特定的信息接收者無法識別出信息主體的程度，即可在未經(jīng)信息主體同意的情況下對其進行流轉(zhuǎn)。比如，有的平臺隱私政策中即約定：根據(jù)法律規(guī)定，共享、轉(zhuǎn)讓經(jīng)去標識化處理的個人信息，且確保數(shù)據(jù)接收方無法復(fù)原并重新識別個人信息主體的，不屬于個人信息的對外共享、轉(zhuǎn)讓及公開披露行為，對此類數(shù)據(jù)的保存及處理將無需另行向您通知并征得您的同意。上述較為籠統(tǒng)地適用“去標識化”標準而使信息流動的做法，將導(dǎo)致經(jīng)過處理的個人信息在蘊含較高再識別風(fēng)險的情況下即可進入流轉(zhuǎn)，進而對信息主體的信息安全造成較大威脅。不容忽視的是，不同信息處理者對匿名化規(guī)則所作的不同解釋及其采取的不同程度的匿名化處理措施還將導(dǎo)致互聯(lián)網(wǎng)產(chǎn)業(yè)陷入“檸檬市場”：有意遵循個人信息保護規(guī)則的企業(yè)需要投入昂貴的合規(guī)成本進行充分的匿名化處理；相反，游走于規(guī)則邊緣的企業(yè)則無需受到此種束縛。長此以往，必然產(chǎn)生“劣幣驅(qū)逐良幣”的不良后果，引發(fā)信息產(chǎn)業(yè)的惡性競爭。

個人信息匿名化標準的模糊亦阻礙了司法實踐中法院對匿名信息的準確界定。比如，在安徽某信息科技有限公司與某（中國）軟件有限公司不正當糾紛案中，安徽某信息科技公司與某（中國）軟件公司圍繞某（中國）軟件公司抓取并出售的用戶瀏覽、搜索、收藏、加購、交易等行為痕跡信息是否構(gòu)成個人信息發(fā)生了爭議。對此，二審法院認定，某（中國）軟件公司開發(fā)的某數(shù)據(jù)產(chǎn)品所使用和出售的用戶行為痕跡信息經(jīng)過匿名化處理已經(jīng)無法識別特定個人且不能復(fù)原，公開上述信息不會對用戶產(chǎn)生不利影響。而同時法院又指出：“網(wǎng)絡(luò)用戶行為痕跡信息不同于其他非個人信息，這些行為痕跡信息包含有涉及用戶個人偏好或商戶經(jīng)營秘密等敏感信息。因部分網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)上留有個人身份信息，其敏感信息容易與特定主體發(fā)生對應(yīng)聯(lián)系，會暴露其個人隱私或經(jīng)營秘密”，也即用戶行為痕跡信息在與其他信息相結(jié)合的情況下仍然可能識別出特定的信息主體，其并未達到匿名化的標準。可見，法院在判定相關(guān)信息是否具有“可識別性”，進而判定相關(guān)信息以及經(jīng)一定處理的信息是否屬于個人信息等問題時亦比較猶豫，難以作出確定判斷。

類似的糾結(jié)還體現(xiàn)在上訴人北京某網(wǎng)訊科技有限公司與被上訴人朱某隱私權(quán)糾紛案中。該案中，朱某認為某網(wǎng)訊公司利用cookie技術(shù)記錄收集其搜索關(guān)鍵詞、網(wǎng)絡(luò)瀏覽記錄等個人信息，構(gòu)成對其隱私權(quán)的侵犯。對此，二審法院認為：某公司在提供個性化推薦服務(wù)中運用網(wǎng)絡(luò)技術(shù)收集利用的是未能與網(wǎng)絡(luò)用戶個人身份對應(yīng)識別的信息，該信息的匿名化特征不符合“個人信息”的可識別性要求。其指出，網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞一旦與網(wǎng)絡(luò)用戶身份相分離，便無法再確定具體的信息歸屬主體，并且，某網(wǎng)訊公司“在提供個性化推薦服務(wù)中沒有且無必要將搜索關(guān)鍵詞記錄和朱某的個人身份信息聯(lián)系起來”，因此其收集的信息并不具有可識別性而屬于匿名信息。該案中，二審法院將某網(wǎng)訊公司“沒有且無必要將搜索關(guān)鍵詞記錄和朱某的個人身份信息聯(lián)系起來”作為認定其處理的信息構(gòu)成匿名信息的依據(jù)，這一認識將在一定程度上放縱其對個人信息的不當處理和對個人信息保護義務(wù)的逃避。可見，立法上相關(guān)概念的不確定性將直接影響司法實踐，并對個人信息權(quán)益保護存在較多“真空”之處，殊值重視。

二、個人信息匿名化規(guī)則的比較法考察

當前，各國立法均未有效破解“匿名化迷思”：個人信息匿名化標準或因過于嚴苛而難以實現(xiàn)，并產(chǎn)生過度抑制社會、市場對個人信息的利用需求與效率的負效用；或因過于寬松而難以達到充分保障個人信息安全的效果，均未能在個人信息的充分保護和信息資源的高效利用間達致完美平衡。

（一）歐盟立法中的

個人信息匿名化規(guī)則之考察

歐盟基于高度重視人格尊嚴與人權(quán)保護的立法傳統(tǒng)，為實現(xiàn)對自然人個人數(shù)據(jù)的充分保護，對匿名化處理設(shè)置了極為嚴苛的標準。根據(jù)“第29條數(shù)據(jù)保護工作組”發(fā)布的《關(guān)于匿名化技術(shù)的意見》（Aricle29 Data Protection Working Party, Opinion 05／2014 on Anonymisation Techniques），匿名化處理必須達到使信息處理者和任何第三方主體在使用“所有具有合理可能性的方法”后仍無法識別特定自然人的程度，并且此種處理是無法被撤銷的。此種識別包括三種可能形式：（1）分選（single out），即能夠?qū)?yīng)的主體從其所屬的群體或種類中挑選出來；（2）聯(lián)結(jié)（linkability），即能夠在與同一主體相關(guān)的信息間構(gòu)建起關(guān)聯(lián)，即使無法知曉該主體的確切身份；（3）推斷（inference），即能夠較為準確地推斷出與信息主體對應(yīng)的相關(guān)屬性。只要仍存在上述任何一種可能，即視為該信息并未達到匿名化的效果。在判斷經(jīng)過處理后的信息是否達到匿名化標準時，信息處理者必須考慮到所有可能被合理地使用以復(fù)原匿名信息的方法，并評估此種方法涉及的成本和相應(yīng)知識產(chǎn)權(quán)問題，以衡量其被用于對匿名信息進行復(fù)原的可能性和所引發(fā)結(jié)果的嚴重性。在主體層面，歐盟立法要求信息處理者在進行匿名化處理時應(yīng)考慮信息處理者本人和任何其他主體對匿名化信息進行復(fù)原的可能。此種規(guī)定將所有人均視為具有對匿名信息進行再識別意圖的“積極侵權(quán)人”（motivated intruder），并要求信息處理者必須對每個潛在的“積極侵權(quán)人”所可能采用的再識別方法和結(jié)合的信息進行預(yù)判，當任何一位“積極侵權(quán)人”存在成功地再識別出信息主體的可能時，此種信息即被認定為未達到匿名化標準而仍需受到個人信息保護立法的約束。

歐盟立法向匿名化處理者配置了一種持續(xù)性的評估義務(wù)，要求其對待匿名信息不得“釋放并遺忘”（release and forget）。信息處理者必須經(jīng)常性地識別新產(chǎn)生的風(fēng)險，并對匿名信息的剩余識別風(fēng)險進行再評估，從而衡量自身采取的控制措施是否足以應(yīng)對新產(chǎn)生的風(fēng)險，并及時進行必要的調(diào)整。信息處理者還需考慮匿名信息被用于與其他個人信息進行結(jié)合比對以實現(xiàn)再識別目的的可能，其必須時刻關(guān)注可能被用于結(jié)合以進行再識別的新的信息來源。上述要求導(dǎo)致信息處理者承擔(dān)了極為嚴苛的合規(guī)負擔(dān)，個人信息匿名化規(guī)則并未提供給其一勞永逸的護避風(fēng)港，相反，懸掛在信息處理者頭頂?shù)摹斑_摩克利斯之劍”隨時可能落下。立法規(guī)定匿名化規(guī)則的本來目的在于免除信息處理者在使用、流轉(zhuǎn)與自然人相關(guān)的信息時所受的限制，減輕其在信息處理方面的合規(guī)負擔(dān)，然而其現(xiàn)實效果卻是，信息處理者為確保信息的匿名化狀態(tài)和應(yīng)對再識別風(fēng)險所需付出的成本和精力可能已經(jīng)超出其在履行個人信息保護義務(wù)方面原本承受的壓力與責(zé)任。

為了防止信息處理者通過采取不完善的匿名化處理手段以逃避遵守《一般數(shù)據(jù)保護條例》等相關(guān)制度，歐盟立法還專門對“假名信息”與“匿名信息”的概念進行了區(qū)分。歐盟委員會副主席露丁（Viviane Reding）在公開發(fā)言時曾明確表示，歐盟應(yīng)當警惕數(shù)據(jù)企業(yè)將“假名信息”概念作為逃避適用《一般數(shù)據(jù)保護條例》的“特洛伊木馬”。但在現(xiàn)實中，“假名信息”和“匿名信息”的界限常常模糊不清。并且，將假名信息均視為個人信息還將對現(xiàn)有科學(xué)研究活動的正常開展造成嚴重阻礙。政府收集和開放的經(jīng)過一定程度去標識化處理的公共數(shù)據(jù)（de-identified administrative data）一直是歐盟范圍內(nèi)學(xué)術(shù)研究工作者用以開展社會科學(xué)研究的重要原材料。在此基礎(chǔ)上，政府部門和學(xué)術(shù)研究機構(gòu)已經(jīng)形成了極為規(guī)范、全面的信息利用機制。而《一般數(shù)據(jù)保護條例》關(guān)于假名信息處理仍需受到個人信息保護制度嚴格拘束的要求將直接打亂當前科研活動中形成的一系列制度、技術(shù)和組織安排，進而抑制歐盟范圍內(nèi)社會科學(xué)研究活動的效率。

（二）美國立法中的

個人信息去標識化規(guī)則之考察

相比于歐盟，美國立法對個人信息流轉(zhuǎn)持較為開放的態(tài)度。為促進信息流轉(zhuǎn)，部分立法采納了去標識化規(guī)則作為免除適用個人信息保護規(guī)則的條件，并對個人信息去標識化所需達到的標準作出了較為寬松的要求。這與美國立法對個人信息的限縮主義界定模式存在直接關(guān)系。不同于歐盟立法對個人信息進行盡可能寬泛的界定，以確保將所有與個人有關(guān)的信息均囊括進立法規(guī)制范疇，美國立法者和政府基于扶持和發(fā)展數(shù)據(jù)產(chǎn)業(yè)的戰(zhàn)略目標以及對言論自由等價值的重視和考量，從不同角度對個人信息作出了較為限縮的界定。許多立法均對個人信息采取列舉式定義，比如，美國《兒童在線隱私保護法案》（Children’s Online Privacy Protection Act of 1998）中將個人信息界定為“在線收集的個人可識別性信息，包括姓名、家庭或其他地址、郵箱地址、電話號碼、社會保障號碼以及委員會決定的能夠現(xiàn)實或在線上聯(lián)絡(luò)到特定個人的任何其他標識符”，從而將未經(jīng)委員會決定的其他類型信息均排除至調(diào)整范圍以外。部分立法還排除了對與個人有關(guān)的“公開可得信息（publicly available information）”的規(guī)制。與之相對，去標識化處理僅需達到使特定信息不再構(gòu)成上述立法所規(guī)定的個人信息的程度即可。同時，美國的個人信息保護制度允許信息處理者在采取去標識化措施方面享有較大的裁量自由，只要信息處理者“并不實際知悉經(jīng)過處理后的信息可以單獨或與其他信息相結(jié)合用于識別信息主體”且“沒有合理理由相信該信息可被用于識別特定個體”，即視為已滿足去標識化要求，由此使信息處理者不至背負過于沉重的合規(guī)負擔(dān)。

此外，美國立法為信息處理者進行去標識化處理提供了一定規(guī)則指引。以美國《健康保險攜帶和問責(zé)法》（Health Insurance portability and Accountability Act of 1996）為例，其規(guī)定了兩種用于確定去標識化信息的具體標準：一是統(tǒng)計法（statistical standard），即通過統(tǒng)計人員或具備合理知識和經(jīng)驗的專家進行判斷，以確定信息處理者所采取的去標識化措施是否已達到使個人信息“不能識別并且沒有合理理由相信可以被用于識別特定個體”的程度，從而決定其是否可以免除適用相關(guān)立法規(guī)定；二是安全港標準（safe harbor standard），《健康保險攜帶與問責(zé)法》中列舉了姓名、地址、電話號碼、電子郵箱地址、證件號碼、銀行賬戶號碼等18項識別符，信息處理者在確保完全消除上述識別符且并不實際知悉該信息可以單獨或與其他信息相結(jié)合用于識別信息主體時，即被視為已達到去標識化的效果。上述規(guī)則具有較強的可操作性，能夠為信息處理者評估其對個人信息的處理合規(guī)提供明確、穩(wěn)定的預(yù)期，但潛在缺陷在于，其對去標識化標準的要求難以達到充分消除信息安全風(fēng)險的程度。事實上，統(tǒng)計法對去標識化處理所應(yīng)達到的具體標準的規(guī)定缺失可能導(dǎo)致信息處理者與技術(shù)專家間形成尋租和共謀，進而影響相應(yīng)決定的公平性和可信賴性；而安全港標準所列舉的18種標識符并不構(gòu)成對現(xiàn)實中存在的能夠識別信息主體身份之信息的完全列舉。已有實驗證明，去除18種標識符后的個人信息在與美國選民登記記錄進行交叉比對后即有0.04%的幾率重新識別出其指向的信息主體，更遑論與更多信息結(jié)合后的效果。

在意識到經(jīng)過去標識化處理后的信息可能仍殘存有一定安全風(fēng)險的基礎(chǔ)上，部分立法進一步規(guī)定了信息處理者及后續(xù)使用者負有的禁止再識別義務(wù)。比如，《消費者隱私權(quán)利保護法案》（Consumer Privacy Bill of Rights Act）中即規(guī)定，信息處理者在具有合理的依據(jù)相信經(jīng)過去標識化處理的信息事實上已不能夠再關(guān)聯(lián)到特定的個人的情況下，還須公開承諾其不會對經(jīng)過去標識化處理的信息進行再識別的嘗試，并以合同或其他具有法律約束力的形式禁止信息接收方對此類信息進行再識別，同時要求第三方對此作出公開承諾，如此方可對經(jīng)過去標識化的信息進行共享或轉(zhuǎn)讓。《健康保險攜帶與問責(zé)法》中還規(guī)定了在信息處理者與信息接收方簽訂具有約束力的協(xié)議要求其不得從事再識別行為的前提下，其可以使用或向他人提供僅刪除16種標識符的有限數(shù)據(jù)集，其目的在于適度保留經(jīng)過去標識化處理的信息所具有的應(yīng)用價值。信息的本質(zhì)是關(guān)于特定事物或個人之現(xiàn)象和本質(zhì)的記錄和表達，其通過作用于人類的認知使人們形成對特定事物或個人的理解，由此決定接受者對該事物或個人的態(tài)度及采取的行動。而去除所有標識符的信息在失去識別信息主體能力的同時也不再能夠傳達出任何具有意義的知識。

（三）小結(jié)

歐盟和美國立法對匿名化或去標識化標準的設(shè)定均未能夠達到有效平衡信息保護和信息利用需求的效果。歐盟個人信息保護規(guī)則對匿名化處理所應(yīng)達到的標準設(shè)置了過于嚴苛的要求，匿名化處理者不僅需要保證自身無法對匿名信息進行再識別，還需達到使任何第三方主體均無法對該信息進行再識別的程度，其中囊括了因遭受惡意攻擊導(dǎo)致相關(guān)信息泄露的情形。此種制度設(shè)計導(dǎo)致匿名化處理者對匿名信息的安全負有一種嚴格責(zé)任，進而可能造成信息處理者棄用匿名化規(guī)則，最終可能會摧毀這一制度存在的必要性基礎(chǔ)。同時，歐盟立法中規(guī)定的匿名化標準又極為模糊而欠缺可操作性，其對如何判定個人信息是否達到匿名化的程度規(guī)定了過多的考量因素，且這些因素必須置于個案中進行綜合考量和判斷，尤其是這些標準難以為信息處理者在從事個人信息處理活動時提供明確的事前行為指引，由此進一步加劇了匿名化規(guī)則的適用障礙。

與之相反，美國立法基于確保信息資源自由流通和高效利用的價值追求，對個人信息去標識化的標準作出了較寬松的規(guī)定，其規(guī)定的去標識化操作在去除個人信息識別能力方面較為孱弱，由此導(dǎo)致經(jīng)過處理的個人信息仍存有較為顯著的剩余風(fēng)險。此外，美國立法中規(guī)定的禁止再識別義務(wù)僅能約束存在合同關(guān)系的信息轉(zhuǎn)讓者和信息接收者，卻無法預(yù)防第三方主體對信息的再識別行為。上述問題導(dǎo)致美國立法在個人信息保護力度上有所不足，使其長期遭受歐盟數(shù)據(jù)保護機構(gòu)的質(zhì)疑，并影響了二者在個人信息流通方面合作的穩(wěn)定。美國互聯(lián)網(wǎng)企業(yè)近年來亦屢因未能充分履行個人信息保護義務(wù)而引發(fā)大規(guī)模信息泄露事件，從而遭到歐盟數(shù)據(jù)監(jiān)管執(zhí)法機構(gòu)的嚴厲處罰。其均暴露出美國立法在個人信息去標識化規(guī)則標準的設(shè)置等問題上存在過度放縱個人信息安全風(fēng)險的弊端。

歐美立法的上述問題曝光了個人信息匿名化（去標識化）規(guī)則所面臨的尷尬處境，亦揭示出個人信息保護和信息資源利用間的內(nèi)在抵牾。“匿名化迷思”的根源在于，其試圖通過對理想的匿名化（去標識化）標準的事前界定以對信息性質(zhì)作出“非此即彼”的判斷，此種努力在信息智能時代注定難以實現(xiàn)。這督促我國立法應(yīng)積極尋求更為可行的替代方案，以實現(xiàn)《個人信息保護法（草案）》（二審稿）第1條所規(guī)定的“保護個人信息權(quán)益”和“促進個人信息合理利用”的立法目標的兼顧。

三、個人信息匿名化規(guī)則的

替代方案及體系調(diào)整

鑒于各國在確立能夠充分保護個人信息權(quán)益并具有現(xiàn)實可操作性的匿名化（去標識化）標準方面的失敗，有學(xué)者斷言，匿名化已經(jīng)淪為對個人信息保護的“破碎承諾”。個人信息匿名化規(guī)則的靜態(tài)取向與個人信息處理實踐的動態(tài)風(fēng)格間的格格不入決定了其難以達成立法者的愿景。在放棄這一注定難以實現(xiàn)的努力的同時，必須為其尋求更加妥適的替代方案，重塑個人信息保護與利用的平衡。目前，我國個人信息保護立法尚未形成對匿名化規(guī)則的高度倚賴，此時如果能夠?qū)で蟾鼉?yōu)的個人信息保護制度方案，有助于發(fā)揮我國立法在世界范圍內(nèi)個人信息保護立法的后發(fā)優(yōu)勢，并有效節(jié)約在個人信息保護立法方面的探索與試錯成本。

（一）從“一體規(guī)制”到“區(qū)別規(guī)制”

當前，我國個人信息保護立法對所有個人信息均采取了同等程度的嚴格規(guī)制，此種“一體主義”的規(guī)制模式對個人信息的收集、使用和流轉(zhuǎn)設(shè)置了極為嚴格的限制，在一定程度上違背了利益平衡和比例原則的法理，亦有違我國社會在公民信息隱私保護方面的主流價值取向。事實上，我國的社會結(jié)構(gòu)、倫理觀念及立法傳統(tǒng)等因素決定了我國社會在信息隱私保護方面的價值取向與歐洲國家存在明顯差異。我國立法較為強調(diào)信息隱私的“社會功能”和保護個人信息隱私對推進社會發(fā)展、維護社會秩序的作用，對個人信息隱私的保護必須受到社會和國家整體利益的限制。信息隱私主要被視為一種工具價值而非本質(zhì)價值予以保護，其必須被置于利益衡量的背景下決定能否受到保護以及所受保護的程度。而當前個人信息保護制度的“一體主義”規(guī)制模式有違利益衡量的法理，進而導(dǎo)致其在現(xiàn)實中未能得到嚴格遵循。此種“一體主義”的規(guī)制模式未能為信息處理者采取相應(yīng)技術(shù)措施以降低個人信息具有的識別能力，從而減少因信息泄露或不當處理所造成的安全風(fēng)險提供充分激勵，結(jié)果不僅難以達到個人信息保護立法所追求的充分保護信息主體權(quán)益的效果，還可能導(dǎo)致實踐中信息處理者為節(jié)省合規(guī)成本，而一味借助在形式上征得信息主體同意的方式以免除自身負有的責(zé)任。在當前信息主體“知情同意”流于形式的整體背景下，此種選擇可能進一步降低對信息主體權(quán)益的保護水平。

不同的個人信息所具有的識別能力不同，與信息主體的關(guān)聯(lián)程度不同，當其被不當處理和流轉(zhuǎn)時對信息主體個人權(quán)益產(chǎn)生的風(fēng)險亦不相同。因此，對其相應(yīng)的保護要求和信息收集、利用行為的限制程度亦應(yīng)有所不同。近年來，各國立法者和學(xué)者均逐漸意識到個人信息在識別能力上的差異對相應(yīng)個人信息規(guī)制規(guī)則設(shè)計具有的影響。

美國隱私法學(xué)者施瓦茨和索羅夫提出了所謂的“PII 2.0方案”，主張應(yīng)根據(jù)信息具有的不同識別能力分別決定對應(yīng)的信息處理行為所需受到的法律限制。歐盟《一般數(shù)據(jù)保護條例》中也規(guī)定，在信息處理者不能直接識別自然人身份且無意于進行此種識別時，其可告知信息主體，并不再受到《一般數(shù)據(jù)保護條例》第1520條規(guī)定的約束，除非信息主體通過提供額外的信息而使信息處理者能夠?qū)ζ渖矸葸M行直接識別。我國亦有學(xué)者主張，間接識別性個人信息只有在與其他個人信息相結(jié)合的情況下方可指向特定的信息主體，對于此類信息的處理往往不會對信息主體造成明顯的壓迫和緊張感，即使其被不慎泄露，對信息主體人格、財產(chǎn)利益的威脅也明顯較輕，因此，立法應(yīng)適度放松對此類信息使用和流轉(zhuǎn)的束縛。上述主張均認同對具有較低識別能力的個人信息應(yīng)采取更加寬松的規(guī)制措施，并相應(yīng)地降低甚至免除信息處理者負有的個人信息保護義務(wù)。基于此種考量，未來我國個人信息保護立法應(yīng)從當前的一體規(guī)制模式轉(zhuǎn)向基于信息識別能力類型化的區(qū)別規(guī)制模式，根據(jù)不同類型的個人信息具有的不同程度識別能力構(gòu)建起層次化的個人信息保護義務(wù)規(guī)則體系，形成對既有個人信息匿名化規(guī)則的替代選擇。

2021年4月發(fā)布的《個人信息去標識化效果分級評估規(guī)范》（征求意見稿）對個人信息的分類問題作出了有益嘗試。其基于個人信息的去識別化程度將其分為四類：（1）能直接識別信息主體的信息；（2）已消除直接標識符，但仍具有較高再識別風(fēng)險的信息；（3）已消除直接標識符，且再識別風(fēng)險可接受的信息，此類信息的再識別風(fēng)險應(yīng)低于0.05這一閾值；（4）聚合信息，即對個人信息進行匯總分析得出的整體層面的聚合數(shù)據(jù)。同時規(guī)定了在衡量針對特定信息的再識別風(fēng)險時需要考慮的主要因素，包括信息類型、信息流轉(zhuǎn)的范圍、信息處理者采取的隱私和安全控制水平以及信息接收者的再識別動機與能力等。此種分類模式基于經(jīng)過去標識化處理后的信息殘留的識別能力和再識別風(fēng)險對其進行層次化分類，為個人信息保護立法根據(jù)不同信息蘊含的安全風(fēng)險對其采取相應(yīng)的規(guī)制和保護措施提供了基礎(chǔ)，有助于扭轉(zhuǎn)當前一體規(guī)制模式過度限制信息流轉(zhuǎn)與使用的弊端。

本文認為，未來我國個人信息保護立法可在一定程度上吸納《個人信息去標識化效果分級評估規(guī)范》（征求意見稿）中確定的個人信息識別標準類型化的思路，根據(jù)個人信息具有的識別能力將其劃分為直接識別性個人信息和間接識別性個人信息，并根據(jù)間接識別性個人信息具有的識別能力是否超過特定閾值將其進一步劃分為識別能力高于閾值的間接識別性個人信息和識別能力低于閾值的間接識別性個人信息。在此基礎(chǔ)上，采取“區(qū)別規(guī)制”的立法策略，針對不同類型個人信息蘊含的識別能力和安全風(fēng)險，分別為其設(shè)置不同程度的個人信息保護義務(wù)，從而構(gòu)建起層次化的個人信息保護義務(wù)體系。

（二）以信息識別能力為核心構(gòu)建起

層次化的個人信息保護義務(wù)體系

根據(jù)區(qū)別規(guī)制的立法策略，應(yīng)對不同類型個人信息對應(yīng)的個人信息保護義務(wù)作出差異化安排。其中，對于直接識別性個人信息，因其與信息主體間存在直接對應(yīng)關(guān)系，立法仍應(yīng)嚴格約束對此種信息的收集、分析、使用及流轉(zhuǎn)，要求信息處理者全面履行各項個人信息保護義務(wù)。而對于已消除直接標識符的間接識別性個人信息，則應(yīng)降低并部分免除信息處理者對其負有的義務(wù)以及其在處理此類信息時受到的約束。比如，對于間接識別性個人信息的處理原則上無需受到目的限制原則、最小化原則等約束，且應(yīng)免除適用個人信息保護立法關(guān)于個人信息查詢權(quán)、更正權(quán)、刪除權(quán)等規(guī)定。這不僅有助于減輕個人信息處理者的合規(guī)負擔(dān)，促進信息資源的高效使用，同時亦有利于避免在信息主體和間接識別性個人信息間建立直接聯(lián)系而增加暴露其身份和隱私的風(fēng)險。同時，個人信息處理者雖然仍需對間接識別性個人信息承擔(dān)其他法律規(guī)定的個人信息保護義務(wù)，但其在履行此種義務(wù)的過程中需要采取的具體技術(shù)措施和組織措施，以及應(yīng)達到的審慎程度相比于直接識別性個人信息均應(yīng)適度降低。

此外，對識別能力低于一定閾值的間接識別性個人信息，還應(yīng)允許個人信息處理者在采取必要手段確保其不會被用于識別或關(guān)聯(lián)信息主體的前提下對其進行流轉(zhuǎn)，而無須征得信息主體的同意。目前，《個人信息保護法（草案）》（二審稿）第24條規(guī)定了個人信息處理者向第三方提供其處理的個人信息，必須通知并取得信息主體的單獨同意。這一規(guī)定可能造成過度限制信息流轉(zhuǎn)效率的結(jié)果。不同于“前信息時代”的傳統(tǒng)經(jīng)濟形態(tài)，數(shù)字經(jīng)濟不再關(guān)注用于建立因果關(guān)系或內(nèi)在邏輯的小樣本數(shù)據(jù)，其關(guān)注的是海量信息匯集、整合、加工而成的“大數(shù)據(jù)”。而如若要求信息處理者在共享、轉(zhuǎn)讓蘊含海量信息的“大數(shù)據(jù)”前逐一征詢相關(guān)主體的授權(quán)同意，必然會產(chǎn)生極為高昂的運作成本，當此種運作成本高于個人信息處理能夠產(chǎn)生的收益時，原本有價值的信息處理行為就不會發(fā)生。并且，賦予自然人對其個人信息共享、轉(zhuǎn)讓的一般性決定權(quán)還可能誘發(fā)信息主體基于不合作策略而索取高價的行為。信息主體可能采取僵持策略以索取高價，從而顯著增加交易成本并阻礙個人信息共享、轉(zhuǎn)讓的順利進行。基于此，對于識別能力低于一定閾值的間接識別性個人信息，應(yīng)允許信息處理者在未征得信息主體同意的情況下對其進行轉(zhuǎn)讓，同時為此種場合下的個人信息處理者設(shè)置持續(xù)性的個人信息保護義務(wù)和責(zé)任，以消弭此類信息在流轉(zhuǎn)過程中對信息主體造成的潛在風(fēng)險。

在此基礎(chǔ)上，我國個人信息保護立法應(yīng)放棄在確定匿名化標準方面的努力，規(guī)定經(jīng)過去標識化處理使其識別能力低于特定閾值的信息仍屬于個人信息的范疇，信息處理者仍應(yīng)對其履行適當?shù)膫€人信息保護義務(wù)。在大數(shù)據(jù)時代，數(shù)字技術(shù)的急速發(fā)展、信息來源的廣泛分布決定了即使僅具有微小識別可能性的個人信息在與其他信息充分結(jié)合的情況下，仍可能重新識別出信息主體的身份，完全免除信息處理者對匿名化信息的保護義務(wù)并不合理。

同時，匿名化處理的結(jié)果具有極強的不確定性，其究竟是否達到使特定信息徹底喪失識別能力的程度通常難以判定。鑒于個人信息侵權(quán)行為通常具有的隱蔽性以及相關(guān)損失的非直接性、偶發(fā)性和累積性等特點，即使匿名信息事后被用于成功地對信息主體進行再識別，亦很難發(fā)現(xiàn)并證明侵權(quán)行為與匿名信息之間存在直接的因果關(guān)系，此種結(jié)果導(dǎo)向的個人信息保護規(guī)則在實現(xiàn)個人信息權(quán)益保護方面的效果難以評估。因此，相比于繼續(xù)沉溺于對匿名化處理之應(yīng)然標準的糾結(jié)，個人信息保護立法更應(yīng)將注意力轉(zhuǎn)移至對個人信息處理過程的規(guī)制，其必須拋棄對信息的絕對安全狀態(tài)所持有的幻想，適度容忍因信息流動與使用所產(chǎn)生的風(fēng)險，并通過規(guī)定個人信息處理者適當?shù)暮罄m(xù)保護義務(wù)，以將此類信息流轉(zhuǎn)產(chǎn)生的風(fēng)險持續(xù)控制在可接受的范圍之內(nèi)。

對于經(jīng)過去標識化處理已達到使其識別能力低于閾值的個人信息，信息處理者仍應(yīng)履行必要的程序性保護義務(wù)。個人信息處理者應(yīng)建立相應(yīng)的個人信息安全影響評估機制以評估對此類信息進行處理所存在的安全風(fēng)險，如個人信息流轉(zhuǎn)對信息主體合法權(quán)益的可能影響、信息接收者采取的個人信息安全保護措施的有效性、信息接收者違反約定對個人信息進行再識別的潛在可能及其識別能力等，從而采取與風(fēng)險水平相匹配的信息安全控制和保護措施并及時進行必要調(diào)整。同時，其應(yīng)對此類信息的流轉(zhuǎn)情況進行記錄，包括處理個人信息的具體類型、數(shù)量、來源，具體的信息處理操作，以確保當發(fā)生信息泄露或惡意攻擊等情況時能夠及時采取相應(yīng)的應(yīng)對措施，并對信息主體進行風(fēng)險提示。此外，信息處理者還應(yīng)對信息接收方存儲、使用、流轉(zhuǎn)個人信息的情況進行適當監(jiān)督，并要求其提供不低于自身同等水平的個人信息保護措施。

（三）引入不得從事再識別行為的

法律義務(wù)

降低對識別能力低于閾值的間接識別性個人信息的流轉(zhuǎn)限制意味著個人信息處理者無需使經(jīng)過處理的個人信息達到使任何第三方主體在使用“所有具有合理可能性的方法”后仍無法識別特定自然人且不能復(fù)原的程度，即可對其進行流轉(zhuǎn)。如若允許經(jīng)過處理的個人信息保有一定的識別能力，必然將在一定程度上降低對個人信息權(quán)益的保護力度。對此，我國立法還應(yīng)規(guī)定個人信息處理者不得從事再識別行為的法律義務(wù)，并明確規(guī)定個人信息處理者在相關(guān)情況下負有的法律責(zé)任，以補強對個人信息權(quán)益的保護力度。

再識別是指將經(jīng)過去標識化處理的個人信息與其他信息相結(jié)合以重新識別信息主體的過程，這一過程因涉及對間接識別性個人信息的處理而當然構(gòu)成個人信息處理行為，從而應(yīng)當受到個人信息保護立法的規(guī)制。當前實踐中，不少個人信息處理者存在未經(jīng)信息主體同意而將經(jīng)過去標識化處理的個人信息提供給有合作關(guān)系的第三方使用的情況，且并未禁止第三方將此種信息與其他合法獲取的信息相結(jié)合。此種信息處理實踐將給信息主體的合法權(quán)益帶來較為顯著的風(fēng)險，第三方使用者在未經(jīng)信息主體同意的情況下肆意對去標識化信息進行再識別，可能對信息主體形成密集的追蹤，從而對其個人隱私與生活安寧造成嚴重侵擾。針對此種情況，個人信息保護立法應(yīng)當明確在未經(jīng)信息主體和信息處理者同意的情況下，下游信息使用者不得將經(jīng)過去標識化處理的間接識別性個人信息用于對信息主體身份進行再識別，否則即構(gòu)成對直接識別性個人信息的處理，并仍需遵循個人信息保護法對直接識別性個人信息的規(guī)制規(guī)定。

信息處理者在未經(jīng)信息主體同意而對識別能力低于閾值的間接識別性個人信息進行流轉(zhuǎn)時，應(yīng)告知信息主體信息接收方的身份、聯(lián)系方式、處理目的、處理方式和其處理的個人信息的種類，以保證信息主體在遭受侵害時可以及時發(fā)現(xiàn)并主張權(quán)利。此外，其必須確保經(jīng)過處理的信息已達到使特定信息接收方無法識別信息主體身份的程度，同時以協(xié)議等形式要求信息接收者承諾不會將個人信息用于識別信息主體的身份或聯(lián)絡(luò)信息主體，并約定相應(yīng)的違約責(zé)任。由于信息處理者和信息接收者間的此種協(xié)議關(guān)系到所涉信息主體的權(quán)益，信息處理者應(yīng)當以適宜的方式對此種協(xié)議進行公示，并接受相關(guān)信息主體和監(jiān)管機構(gòu)的監(jiān)督。此種協(xié)議類似于個人信息保護政策，具有市場自律規(guī)則的性質(zhì)，當信息接收者違反協(xié)議約定時，監(jiān)管機構(gòu)即可據(jù)此對其進行處罰。同樣，當信息接收者基于其取得的間接識別性個人信息對信息主體真實身份進行再識別從而向其進行定向營銷等行為時，信息主體亦可向信息處理者或監(jiān)管機構(gòu)進行投訴。信息處理者應(yīng)對信息接收者的后續(xù)信息處理行為進行必要監(jiān)督，其因怠于履行監(jiān)督義務(wù)導(dǎo)致信息主體遭受侵害時，應(yīng)與信息接收者共同承擔(dān)責(zé)任。在信息處理者明知或應(yīng)知信息接收者從事再識別行為而不予制止的情況下，二者構(gòu)成《個人信息保護法（草案）》（二審稿）第21條規(guī)定的“共同處理個人信息”的情形，應(yīng)對侵害個人信息權(quán)益所造成的損失承擔(dān)連帶責(zé)任。

上述措施只能約束與信息處理者具有直接聯(lián)系的下游信息使用者的再識別行為，而無法有效應(yīng)對第三方主體以惡意攻擊、竊取等手段所從事的再識別行為。第三方主體從事再識別行為的目的往往在于破解自然人的相關(guān)信息以用于非法交易或從事違法犯罪活動等，對此，可通過刑法手段對此類行為予以制裁。比如，英國《數(shù)據(jù)保護法案》（Data Protection HL Bill）中即規(guī)定，在未經(jīng)信息處理者同意的情況下對經(jīng)過去標識化處理的信息進行再識別的行為構(gòu)成刑事犯罪。鑒于第三方主體在實施個人信息再識別行為時，通常均需以惡意攻擊計算機系統(tǒng)、非法獲取計算機信息系統(tǒng)中存儲的數(shù)據(jù)為前提，此種行為符合《刑法》第285條、第286條規(guī)定的“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”和“破壞計算機信息系統(tǒng)罪”的罪狀；而通過購買等方式非法獲取間接識別性個人信息以進行再識別的行為還可能觸犯《刑法》關(guān)于“侵犯公民個人信息罪”的規(guī)定，因此，可以依托上述規(guī)定對惡意再識別行為進行必要規(guī)制，從而在風(fēng)險來源層面遏制對個人信息權(quán)益的潛在威脅，在將信息處理者從確保任何第三方主體均無法重新識別信息主體這一不可能完成的任務(wù)中解脫出來的同時，實現(xiàn)對信息安全風(fēng)險的必要控制。

四、結(jié)語

個人信息匿名化規(guī)則假定通過匿名化處理這一技術(shù)手段可以徹底消除個人信息具有的識別能力。然而，在信息智能時代，絕對不具有識別能力的信息僅存在于想象之中，隨著數(shù)據(jù)分析處理技術(shù)的發(fā)展，經(jīng)過匿名化處理的個人信息在與其他來源信息充分結(jié)合的情況下可能再次識別出信息主體的身份。個人信息具有的識別能力往往并非處于全有或全無的狀態(tài)，而更類似于一個連續(xù)的頻譜：在識別能力最強的一端是具有直接識別性的個人信息，另一端則是幾乎不具有任何識別能力的個人信息。同時，此種識別能力還將伴隨個人信息處理實踐的動態(tài)發(fā)展而不斷發(fā)生變化。上述特點決定了個人信息保護立法不應(yīng)過度追求對個人信息與非個人信息作出靜態(tài)區(qū)分，而更應(yīng)強調(diào)對特定信息蘊含的識別能力及安全風(fēng)險的動態(tài)把握。未來的個人信息保護立法應(yīng)區(qū)分不同個人信息在識別能力上的差異而對其采取區(qū)別規(guī)制的策略，激勵信息處理者盡可能采取降低個人信息識別能力的措施以換取信息流通效率；同時，其應(yīng)規(guī)定個人信息處理者應(yīng)承擔(dān)持續(xù)性的個人信息保護義務(wù)，并根據(jù)個人信息處理者是否履行了與信息風(fēng)險相適應(yīng)的信息保護義務(wù)決定其責(zé)任承擔(dān)。相比于個人信息匿名化規(guī)則，此種過程導(dǎo)向的個人信息保護制度更加契合個人信息處理實踐的動態(tài)性特征，且能為調(diào)控各方主體間的利益沖突提供更加富有彈性的制度空間，有望真正實現(xiàn)信息主體、信息處理者和下游信息使用者的利益平衡與合作共贏。