李 黎

(北京大學(xué)國際法學(xué)院 廣東深圳 518000)

個人信息事關(guān)自然人的尊嚴(yán)與隱私，也與數(shù)字經(jīng)濟(jì)和國家安全有著密切聯(lián)系[1].個人信息概念的界定決定了個人信息保護(hù)法(1)本文中的“個人信息保護(hù)法”泛指一切與個人信息保護(hù)相關(guān)的法律、法規(guī)或其他規(guī)范性文件.的適用范圍，因此其重要性不言而喻.但究竟何為個人信息，這在學(xué)理上仍存在很多爭議.我國學(xué)界對其探討也絡(luò)繹不絕，不過大多從個人信息與隱私權(quán)的異同、個人信息概念的立法模式和拆解“識別”與“關(guān)聯(lián)”要件等角度進(jìn)行分析，鮮有學(xué)者深入刨析“識別”要件存在的問題.即使有少部分學(xué)者開始深入研究“識別”要件，也是在探討“識別”要件產(chǎn)生個人信息范圍無限擴(kuò)張的困境.但“識別”要件帶來的問題遠(yuǎn)不止于此.

在當(dāng)今網(wǎng)絡(luò)世界，定向廣告大行其道，其通過收集用戶與企業(yè)交互過程中的信息，進(jìn)行大數(shù)據(jù)建模，生成特定用戶的精準(zhǔn)畫像，從而有的放矢地向用戶推送符合其喜好的廣告.但是以IP地址、Cookie和IMEI號等唯一標(biāo)識符為基礎(chǔ)構(gòu)成的用戶畫像信息是否是個人信息，或者，是否能識別特定自然人存在的不同的觀點.在著名的“朱燁訴百度案”中，一審法院與二審法院對于Cookie +“網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好”能否識別到特定自然人產(chǎn)生了不同的觀點(2)參見江蘇省南京市鼓樓區(qū)人民法院(2013)鼓民初字第3031號，江蘇省南京市中級人民法院(2014)寧民終字第5028號..一審法院認(rèn)為其屬于個人信息，與之相反，二審法院認(rèn)為這些信息無法識別特定個人身份，因此不屬于個人信息.基于此，究竟何為“識別”，以及何為“識別身份”似乎并無定論.而厘清這些問題的意義，不僅僅是為司法實踐提供清晰的分析思路，更在于為我國完善個人信息保護(hù)法律體系提供理論基礎(chǔ).

1 個人信息概念立法與理論現(xiàn)狀

1.1 個人信息概念的立法現(xiàn)狀

歐盟于2016年正式通過了對成員國具有直接法律效力的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR).GDPR第4條第(1)款對個人信息的概念進(jìn)行了界定：“個人數(shù)據(jù)是指與已識別或可識別的自然人(“數(shù)據(jù)主體”)相關(guān)的任何信息；可識別的自然人是指可以直接或間接識別的人，特別是可以參考諸如姓名、識別號碼、位置數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符之類的標(biāo)識符，或者是參考特定于該自然人的1個或多個身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會身份.”GDPR前序26條指出，是否能夠識別應(yīng)考慮所有可能合理地由控制者或任何其他人用來識別的手段.

相比歐盟，美國并沒有統(tǒng)一的個人信息保護(hù)法，而是分散在不同的具體行業(yè)立法中.傳統(tǒng)上，美國對個人信息主要有識別模式(the tautological approach)、非公開模式(the non-public approach)和列舉模式3種[2].但近年來，美國各州也逐漸轉(zhuǎn)向以識別為中心的個人信息界定模式.比如2018年公布的《加利福尼亞州消費者隱私保護(hù)法案》(California Consumer Privacy Act of 2018，CCPA)1798.140條第(o)款規(guī)定，個人信息是指能夠識別、關(guān)聯(lián)、描述，能夠與特定消費者或家庭直接或間接關(guān)聯(lián)或合理鏈接的信息.

中國目前同樣沒有一部獨立的個人信息保護(hù)法，對于個人信息的定義因此散落在不同的法律法規(guī)中.早在2005年，《中華人民共和國個人信息保護(hù)法(專家建議稿)》第9條就將個人信息定義為“個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息[3].”隨后直到2016年《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)的出臺，中國才首次在法律層面正式定義個人信息，其第76條第(5)款規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.”2020年頒布的《中華人民共和國民法典》中采取了類似的定義.

1.2 “識別”要件的理論辨析

基于上述梳理，無論是歐盟、美國還是中國語境下的個人信息，身份識別都是核心要件.識別包括“已識別”和“可識別”2種情況.根據(jù)WP29工作小組 (Article 29 Data Protection Working Party)的觀點，一般而言，當(dāng)自然人在某一人群中與該群體的所有其他成員“有區(qū)別”時，可以被視為“已識別”[4].而“可識別”是指盡管該自然人尚未被識別，但是后續(xù)存在被識別的可能性[4].“可識別”往往是決定信息是否成為個人信息的爭議焦點所在.換言之，本文討論的“識別”即為成功識別一個“可識別”的自然人的過程.通說認(rèn)為，“可識別”可以分為直接識別與間接識別2種路徑[5].所謂直接識別，是指根據(jù)單個信息即可直接識別特定自然人；而間接識別是指單獨通過該信息無法識別特定自然人，但是該信息結(jié)合其他信息可以識別個人信息主體[5].

以電子方式記錄的個人信息通常存儲在數(shù)據(jù)庫系統(tǒng)中，其存儲形式類似于Excel表格.在計算機(jī)科學(xué)領(lǐng)域，每一列數(shù)據(jù)為一個屬性(attribute)，如姓名、性別和年齡等，1行數(shù)據(jù)則為1條記錄(record)，代表1個自然人，若干條記錄最終組成1個數(shù)據(jù)集(dataset).屬性又可稱為標(biāo)識符(identifier)，標(biāo)識符分為直接標(biāo)識符(direct identifier)和準(zhǔn)標(biāo)識符(quasi-identification)2類[6].直接標(biāo)識符是指能在特定場景下單獨識別個人信息主體標(biāo)識符[6]，比如身份證號碼、電話號碼和車牌號碼等；而準(zhǔn)標(biāo)識符需結(jié)合其他信息才能唯一識別特定個人信息主體[6]，比如性別、年齡和職業(yè)等.如僅基于上述分析，那么通過直接標(biāo)識符識別個人信息主體身份屬于直接識別，而準(zhǔn)標(biāo)識符與其他信息結(jié)合識別則屬于間接識別(下文將詳細(xì)論述該結(jié)論正確與否).

2 “識別”要件的實踐困境

2.1 定向廣告引發(fā)的問題

早在1972年，學(xué)者M(jìn)iller[7]就預(yù)言：“電子計算機(jī)將使得預(yù)測個體或群體行為的虛擬活動成為可能.”這一預(yù)言如今已經(jīng)成真.2007年11月，美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission, FTC)邀請消費者代表、網(wǎng)絡(luò)廣告行業(yè)代表、技術(shù)專家和學(xué)者舉行了一場有關(guān)網(wǎng)絡(luò)定向廣告的研討會議[8].會上，隱私倡導(dǎo)者們認(rèn)為基于用戶信息而生成的定向廣告正在侵犯公民的隱私，而廣告行業(yè)的代表們卻聲稱他們收集的信息并不是個人信息，因此定向廣告并不違法[8].與“朱燁訴百度案”中的爭議類似，何為“識別”，以及定向廣告涉及的信息又能否識別特定自然人是爭議的核心.

在進(jìn)行下一步分析之前，首先對定向廣告的原理進(jìn)行簡要介紹.中國廣告協(xié)會2014年發(fā)布的《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)行業(yè)框架標(biāo)準(zhǔn)》規(guī)定，定向廣告是指“通過收集一段時間內(nèi)特定計算機(jī)或移動設(shè)備在互聯(lián)網(wǎng)上的相關(guān)行為信息，例如瀏覽網(wǎng)頁、使用在線服務(wù)或應(yīng)用等，預(yù)測用戶的偏好或興趣，再基于此種預(yù)測，通過互聯(lián)網(wǎng)對特定計算機(jī)或移動設(shè)備投放廣告的行為[9].”在傳統(tǒng)個人電腦中，企業(yè)通常使用Cookie(3)通常企業(yè)會在設(shè)備終端上存放一個Cookie文件，文件內(nèi)存有一個企業(yè)采取一定規(guī)則生成的唯一“字符串”用以唯一標(biāo)識該設(shè)備，為了行文方便，下文統(tǒng)一用“Cookie”代替該唯一“字符串”.或者IP地址(4)IP地址分為靜態(tài)IP地址與動態(tài)IP地址，靜態(tài)IP地址通常不會變化，而動態(tài)IP地址則在每次連接時都會變化，本文在沒有強(qiáng)調(diào)“動態(tài)”的情形下均指靜態(tài)IP地址.作為用戶(設(shè)備)的唯一標(biāo)識，即一個Cookie或者靜態(tài)IP地址代表一個特定用戶.在移動設(shè)備中，企業(yè)會使用移動設(shè)備的唯一標(biāo)識符(通常為IMEI號、IDFA號、Android_id或Mac地址等)作為標(biāo)識.基于此，企業(yè)在與用戶交互的過程中將收集到的各種信息通過用戶唯一標(biāo)識符關(guān)聯(lián)起來，這些信息包括但不限于瀏覽器歷史記錄、搜索記錄、移動應(yīng)用列表等.最后經(jīng)過算法建模生成特定用戶的個性化畫像(以用戶標(biāo)簽的形式存在，比如性別標(biāo)簽、年齡標(biāo)簽、職業(yè)標(biāo)簽等)，以實現(xiàn)定向精準(zhǔn)廣告推送.可以看出，定向廣告整個過程涉及Cookie、IP地址、移動設(shè)備標(biāo)識符等信息(以下簡稱“網(wǎng)絡(luò)唯一標(biāo)識符”)、瀏覽器歷史記錄、搜索記錄、移動應(yīng)用列表等網(wǎng)絡(luò)行為信息和用戶畫像標(biāo)簽信息.而這些只和設(shè)備產(chǎn)生直接聯(lián)系的信息是否屬于個人信息，抑或是否能夠“識別”出特定自然人，都首先需要厘清“識別”的含義.

2.2 實踐中的爭議

需要注意的是，很多國家的個人信息保護(hù)法已經(jīng)明確在個人信息定義中列舉了IP地址、設(shè)備標(biāo)識符等信息.例如在CCPA 第1798.140條第(o)(1)(A)明確規(guī)定了IP地址屬于個人信息，中國《個人信息安全規(guī)范》的附錄A的個人信息示例表中也列出了IP地址、設(shè)備號和上網(wǎng)記錄信息，GDPR第4條第(1)款也將網(wǎng)絡(luò)識別符列入其中.但這只是法律對于個人信息概念抽象界定的具象化舉例，而不能因此就認(rèn)定其是個人信息[10].是否屬于個人信息，仍需從個人信息的“識別”要素出發(fā)，在具體的語境下進(jìn)行個案判斷.正如CCPA條例中指出，如果企業(yè)收集了其網(wǎng)站訪問者的IP地址，但未將IP地址鏈接到任何特定的消費者或家庭，并且無法合理地將IP地址鏈接到特定的消費者或家庭，則該IP地址不是個人信息[11].

傳統(tǒng)上，網(wǎng)絡(luò)唯一標(biāo)識只有結(jié)合真實姓名等信息才能夠識別特定自然人.比如香港個人信息隱私委員(Privacy Commissioner for Personal Data，PCPD)在一份意見答復(fù)中提到，IP地址單獨不構(gòu)成個人信息，因為其既無法揭示終端設(shè)備的精確位置亦無法得知該設(shè)備背后用戶的身份[12].但是，PCPD認(rèn)為如果企業(yè)能夠獲得互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Providers，ISPs)手中的IP地址使用時間和IP地址分配日志(包含用戶姓名、地址和聯(lián)系方式等信息)，IP地址即可以認(rèn)定為個人信息[12].歐盟WP29工作小組同樣認(rèn)為企業(yè)結(jié)合ISPs手中的IP地址分配數(shù)據(jù)可以識別出特定自然人[13].

但有人提出了不同觀點.比如新加坡數(shù)據(jù)保護(hù)機(jī)構(gòu)(Personal Data Protection Commission，PDPC)在一份指引中同樣提到，IMEI號和IP地址雖無法單獨直接識別出特定個人，當(dāng)用戶的大量網(wǎng)絡(luò)行為信息都關(guān)聯(lián)到一個IP地址或IMEI號時，可形成該IP地址或IMEI號所指向的設(shè)備(即設(shè)備背后的用戶)的上網(wǎng)習(xí)慣或位置畫像，從而與這些畫像信息可以一起識別特定自然人，從而成為個人信息[14].英國信息委員會辦公室(Information Commissioner’s Office，ICO)持同樣觀點，即如果企業(yè)基于特定IP地址建立了該IP背后設(shè)備的用戶畫像，那么該IP地址與畫像信息結(jié)合起來能夠識別特定自然人，從而屬于個人信息[15].顯然，“朱燁訴百度案”中的終審法院否認(rèn)了這一觀點，其認(rèn)為“百度基于Cookie收集和利用的網(wǎng)絡(luò)用戶偏好信息不能與網(wǎng)絡(luò)用戶個人身份對應(yīng)識別，亦無法通過Cookie和相關(guān)信息確定該偏好信息的歸屬主體，因而不滿足個人信息的‘可識別性’要求”.

2.3 “識別”要件面臨的困境剖析

上述爭議的根本原因在于對“識別”的不同理解.PDPC與ICO的觀點認(rèn)為網(wǎng)絡(luò)標(biāo)識符加上用戶畫像即可構(gòu)成“識別”，而不用從物理世界中定位到該自然人或者得知該自然人的真實姓名.對于這一類無需關(guān)聯(lián)物理世界的識別，本文將其稱為“虛擬識別”.歐盟WP29和香港PCPD的觀點認(rèn)為IP地址需要結(jié)合ISPs所掌握的用戶姓名、住址和聯(lián)系方式等信息才屬于成功“識別”.即只有成功關(guān)聯(lián)到物理世界中具體的自然人才能滿足“識別”的要求.對于這一類識別，本文稱其為“物理識別”.基于此，“識別”要件的第1個爭議點在于個人信息的定義是否需要承認(rèn)“虛擬識別”.

其次，無論是“虛擬識別”還是“物理識別”的語境，都亟待厘清“直接識別”的含義.依據(jù)上文，直接識別是指不借助額外信息的情況下，單獨識別個人信息主體的行為，這類信息也被稱作“直接標(biāo)識符”.顯然，直接識別必須基于場景，在沒有給定具體場景的語境下討論識別沒有任何意義，因為信息在不同的使用場景，其性質(zhì)可能發(fā)生變化[16].譬如姓名這一最典型的直接標(biāo)識符，如果沒有給定場景就無法單獨識別特定個人，因為大概率全國會有重名的人，而如果將場景限制在某某班級，那么姓名可以單獨識別出特定個人.但從這個角度來看似乎存在“單獨識別”的悖論.一方面我們要求單獨識別不能結(jié)合其他信息，另一方面又需要特定的場景信息.在上述例子中，“某某班級的某某”本質(zhì)上就可以理解為“某某”和“某某班級”2個信息，因此實質(zhì)上這里的直接標(biāo)識符姓名借助了其他信息“某某班級”.再者，即使是個人生物信息、電話號碼和身份證號碼等可以唯一對應(yīng)到特定自然人的直接標(biāo)識符，這種對應(yīng)只是一種簡單且空洞的指向性，只能表明該類信息對應(yīng)著唯一一個特定自然人，但對該自然人的其他情況仍然是一無所知，更無從談起識別該自然人的身份[17].

最后，需要考慮究竟何為“身份”，如何才是識別了特定自然人的身份.在虛擬識別的路徑中，網(wǎng)絡(luò)唯一標(biāo)識符加上用戶畫像被認(rèn)定為成功識別特定個人身份.而問題在于并沒有清晰地闡述“畫像”的具體范圍，性別、年齡、愛好、住址和職業(yè)等等信息都屬于個人畫像的一部分，究竟需要達(dá)到什么程度的畫像才能被認(rèn)定為成功“識別”并沒有明確的標(biāo)準(zhǔn).同樣，在物理識別的語境下，姓名、社會安全號碼和手機(jī)號碼是否單獨滿足或者結(jié)合信息才滿足識別的要求，如果需要結(jié)合其他信息，那么其他信息又是哪些信息.比如美國有判例認(rèn)為社會安全號碼(5)社會安全號碼(social security number, SSN)是美國聯(lián)邦政府發(fā)給公民、永久居民、臨時(工作)居民的1組9位數(shù)字號碼.社會安全號碼的主要目的是為了追蹤個人的賦稅資料，但近年來已經(jīng)成為實際上的國民辨識號碼.結(jié)合相應(yīng)的姓名即可認(rèn)定為識別出特定自然人的身份.中國司法實踐對此也存在爭議，有的法院認(rèn)為手機(jī)號碼單獨即可識別特定自然人，如浙江省武義縣人民法院(2018)浙0723刑初377號案例和北京互聯(lián)網(wǎng)法院(2019)京0491民初16142號案例；而有的法院認(rèn)為手機(jī)號碼結(jié)合姓名才能識別特定自然人，如山東省沂南縣人民法院(2018)魯1321刑初89號案例和廣東省深圳市福田區(qū)人民法院(2017)粵0304刑初1716號案例.因此，厘清“識別”的具體含義具有急迫的理論與現(xiàn)實意義.

3 個人信息概念的反思與完善

3.1 個人信息保護(hù)的法理基礎(chǔ)及規(guī)范目的

上述問題的回答決定了個人信息的范圍，其實質(zhì)上是一個價值權(quán)衡的過程.如何科學(xué)地對個人信息保護(hù)范圍進(jìn)行取舍，或許可從個人信息立法目的出發(fā)，探尋個人信息保護(hù)立法的法理基礎(chǔ)，從根源上對問題進(jìn)行探討.個人信息保護(hù)立法的法理基礎(chǔ)主要是有歐盟的“基本人權(quán)保護(hù)”理論和美國的“隱私保護(hù)”理論[18].

1949年聯(lián)合國發(fā)布的《世界人權(quán)宣言》和1950年簽訂的《歐盟人權(quán)公約》都將私生活、家庭、住宅和通信自由視為值得法律保護(hù)的對象，這被普遍視為歐洲個人信息保護(hù)法律的淵源.1981年歐盟發(fā)布的《個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》(以下簡稱《公約》)前言提到，“人權(quán)和基本自由”的保護(hù)是其立法目的之一.1995年發(fā)布的《數(shù)據(jù)保護(hù)指令》和GDPR前序都有類似“基本權(quán)利和自由”的表述.基于此，高富平教授[19]將個人信息中值得保護(hù)的基本權(quán)益分為個人信息自治、身份識別利益和防止歧視3種.個人信息自治，又稱“個人信息自決權(quán)”，由德國學(xué)者泰姆勒首次提出，并先后在德國、日本和中國盛行[20].簡言之，個人信息自決意味著個人信息主體有權(quán)決定何時、何地以及以何種方式處理和向何人披露關(guān)于其自身的信息.身份識別利益實質(zhì)上保護(hù)的是附著于身份上的個人利益.過去的身份評價是以姓名為核心并建立在生活交往的事實中，而在網(wǎng)絡(luò)空間中，身份是基于企業(yè)與用戶交互過程中產(chǎn)生各種記錄而產(chǎn)生的各種標(biāo)簽形成的，如果算法得出的標(biāo)簽不正確，那么會對用戶的身份產(chǎn)生錯誤的認(rèn)知，并可能損害相應(yīng)個人的人身和財產(chǎn)權(quán)利[20].最后是防止歧視，其中防止歧視最重要的在于確保每個人被平等對待，這主要體現(xiàn)在大數(shù)據(jù)和算法價格殺熟、教育和就業(yè)歧視等[20].

保護(hù)個人隱私也是個人信息保護(hù)立法的重要目的.這一法理基礎(chǔ)盛行在美國的個人信息保護(hù)立法中.這一點從美國個人信息保護(hù)法律的名字也能看出，比如第1部專門規(guī)制個人信息處理的法律即名為《隱私法》，作為一部規(guī)范聯(lián)邦政府進(jìn)行個人信息收集、存儲、使用和傳播的法律，美國司法部明確其規(guī)范目的在于保護(hù)個人的隱私免受無端侵犯[21].雖然美國的隱私保護(hù)最早起源于沃倫和布蘭戴斯提出的“獨處權(quán)(the right to be let alone)”[22]，但目前已擴(kuò)充至包含了大陸法系中的人格權(quán)、姓名權(quán)和肖像權(quán)等具體人格權(quán)內(nèi)容[19].

事實上，歐盟和中國的個人信息保護(hù)也包含對個人隱私的保護(hù)，比如《數(shù)據(jù)保護(hù)指令》前序中提到，除了“基本權(quán)利和自由”，“隱私”也是在其中.全國人大法工委在《關(guān)于〈中華人民共和國個人信息保護(hù)法(草案)〉的說明》中明確提到，《個人信息保護(hù)法》制定目的之一就是為了回應(yīng)“侵?jǐn)_人民群眾生活安寧”等問題.王利明教授[23]認(rèn)為隱私包括生活安寧和生活秘密2部分內(nèi)容，其中生活安寧是指自然人擁有不被他人打擾而正常生活的權(quán)利，主要包括排除他人對私人正常生活的干擾、禁止非法入侵私人空間和對個人自主決定的保護(hù).

正如德國學(xué)者艾曼所述，個人信息之立法保護(hù)目的類似于道路交通法規(guī)之保護(hù)目的，違反道路交通法規(guī)不意味著一定造成交通事故及人身和財產(chǎn)損失，同樣，違反個人信息保護(hù)法規(guī)也不意味著必然對個人信息主體的權(quán)益造成損害[23].實際上，個人信息保護(hù)立法是一種事先的風(fēng)險防范，而防范的風(fēng)險就是個人信息濫用可能給個人信息主體帶來的財產(chǎn)和人身損害.

綜上所述，個人信息保護(hù)立法之目的在于賦予個人信息主體對于其個人信息的自治權(quán)利和防范個人信息濫用給自然人帶來的人身與財產(chǎn)權(quán)益的傷害，這些權(quán)益包括但不限于隱私中的生活安寧與生活秘密、防止歧視等等.

3.2 明晰“識別”的內(nèi)涵

3.2.1 “虛擬識別”是“識別”的應(yīng)有之義

本文認(rèn)為“識別”應(yīng)包括“虛擬識別”.個人信息保護(hù)法中的“識別”一詞濫觴于歐美個人信息保護(hù)法中的動詞“Identify”，其名詞形式為“Identity”，這也是我們常說的“識別身份”.在英文的語境下，身份“Identity”一詞應(yīng)作廣義的理解，即除了我們中文語境下的“你是誰”或 “你是什么身份”，還應(yīng)包括生理、心理、基因、文化和社會身份等[24].通過相關(guān)信息勾勒出該個人獨一無二的“畫像”，從而可以將該特定個人從群體中分辨出來.因此，“Identify”本質(zhì)上應(yīng)該包含個人身份與個人特征2個維度，個人身份用來表示“你是誰”；而個人特征用來描述“你是什么樣”[19].

在傳統(tǒng)物理世界，人與人之間的交往都必須通過有形的接觸才能發(fā)生.在這一場景下，要達(dá)到了解或識別某一個人的目的，首先通常需要通過姓名或身體特征(面容、身高等)來標(biāo)識該個體，再在互動的過程逐漸獲取特征信息形成該個體的畫像.可以說，物理世界中個人利益與傳統(tǒng)的個人身份直接掛鉤.而在網(wǎng)絡(luò)空間中，身份識別遠(yuǎn)不及特征識別重要.企業(yè)感興趣的是基于你過去的行為與特征，從而預(yù)測你未來的行動與偏好，這也是大數(shù)據(jù)時代數(shù)字經(jīng)濟(jì)的價值所在.在網(wǎng)絡(luò)空間中，將特定個人的歷史行為、偏好和其他特征關(guān)聯(lián)起來的正是IP地址、Mac地址和IMEI號等唯一標(biāo)識符.這些唯一標(biāo)識符在網(wǎng)絡(luò)空間的作用與姓名在物理世界中起著相同作用，甚至更加重要(姓名可能重名，但網(wǎng)絡(luò)唯一標(biāo)識符是唯一的).

從某種意義上來說，基于網(wǎng)絡(luò)唯一標(biāo)識符而形成的個人特征就是與物理世界中“現(xiàn)實身份”相對應(yīng)的“數(shù)字身份”.其次，將對數(shù)字身份的虛擬識別納入“識別”的含義中也與個人信息保護(hù)立法的目的相契合.如上文所述，個人信息保護(hù)法是防止個人信息主體因個人信息濫用而遭受人身與財產(chǎn)損失的前置規(guī)范.而基于網(wǎng)絡(luò)標(biāo)識符生成的虛擬身份的確會給個人信息主體帶來傷害，譬如算法依據(jù)數(shù)字身份的消費水平產(chǎn)生價格歧視(同樣的服務(wù)或產(chǎn)品，不同人不同的價格)、基于數(shù)字身份的偏好進(jìn)行精準(zhǔn)推送導(dǎo)致并加劇“信息繭房效應(yīng)(information cocoons)”(6)“信息繭房”的概念最早由凱斯·桑斯坦在其著作《信息烏托邦——眾人如何生產(chǎn)知識》提出的.他認(rèn)為，隨著計算技術(shù)的高速發(fā)展，未來人們可以在網(wǎng)絡(luò)上選擇閱讀并關(guān)注自己感興趣的話題，久而久之，人們最終因這種“選擇”被困在“信息繭房”之中.精準(zhǔn)推送技術(shù)的出現(xiàn)，會進(jìn)一步加劇這一情況，并形成一個死循環(huán).關(guān)于“信息繭房”的相關(guān)內(nèi)容可參見王妍：《警惕網(wǎng)絡(luò)“信息繭房”效應(yīng)》(載《人民論壇》2020年第11期，第126-127頁).和錯誤推算自然人的“畫像”帶來的人格損害等等.此外，自個人信息保護(hù)立法之初，其主要規(guī)制范圍即為網(wǎng)絡(luò)空間(7)德國1983年“人口普查案”中，法院提出“沒有不重要的個人信息”的觀點正是基于個人信息自動化處理的背景之下.本案的詳細(xì)內(nèi)容可以參見 楊芳：“個人信息自決權(quán)理論及其檢討——兼論個人信息保護(hù)法之保護(hù)客體”(《比較法研究》2015年第6期，第28頁).經(jīng)合組織(OECD)在1981年發(fā)布的《關(guān)于保護(hù)個人數(shù)據(jù)隱私和跨境流動的指導(dǎo)方針》同樣在前言中提到，該指導(dǎo)方針正是基于計算機(jī)通信技術(shù)的迅速發(fā)展(參見 OECD：《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data》，http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm).中國《關(guān)于〈中華人民共和國個人信息保護(hù)法(草案)〉的說明》中也多次提到，本法的制定目的在于保障網(wǎng)絡(luò)時代的個人信息合法權(quán)益(參見全國人大法工委：《關(guān)于〈中華人民共和國個人信息保護(hù)法(草案)〉的說明》，http://www.weic.gov.cn/html/xywc/zcfg/202011/57278.html)..在網(wǎng)絡(luò)空間中，自然人的大多活動都是基于“數(shù)字身份”開展，比如社交網(wǎng)站、購物網(wǎng)站和游戲用戶賬號，至于用戶賬號背后對應(yīng)著現(xiàn)實世界的誰，大多數(shù)企業(yè)并無興趣.綜上，本文認(rèn)為“虛擬識別”是“識別”的應(yīng)有之義.

3.3.2 “識別”含義之厘清

究竟何謂“識別”.有學(xué)者指出，“識別”即只需要標(biāo)識符單獨或者結(jié)合其他信息可唯一指向特定個人即可，例如身份證號碼、手機(jī)號碼和姓名(沒有重名的場景下)等[25].也有學(xué)者反對這一觀點，認(rèn)為唯一指向與識別是2個不同的概念，雖然身份證號碼和手機(jī)號具有唯一性，但其缺乏“外顯性”，因而無法直接識別特定自然人[26].換言之，身份證號碼和手機(jī)號碼，雖都能唯一標(biāo)識一個自然人，但是這些信息本身只是一串無意義的字符，在沒有與其他信息結(jié)合的情況下，不具有任何身份信息.顯然，從上文提到的案例來看，司法實踐更加支持第2種觀點.但筆者認(rèn)為第1種觀點更加恰當(dāng)，理由如下：

首先，觀點1給出了清晰明確且易于操作的標(biāo)準(zhǔn).第2種觀點要求信息能夠透露出個人信息主體的身份信息(外顯性)，而不應(yīng)該僅僅是一串無意義的字符.基于該邏輯，那么姓名似乎也無法透露出個人信息主體的身份信息，因為其本身也只是一個標(biāo)識符，無法透露出更多關(guān)于個人信息主體的信息，但該結(jié)論顯然與我們的常識相悖.其次，“身份”概念非常模糊，而模糊必定導(dǎo)致法律適用的不確定性增加，如上文所提到的，網(wǎng)絡(luò)唯一標(biāo)識符需要結(jié)合多少信息才能算作識別并無定論.而反觀觀點1，只要能唯一標(biāo)識一個數(shù)據(jù)主體，將其從群體中區(qū)分出來，即滿足要求，從而避免陷入“究竟何為識別身份信息”的困境.

其次，觀點1可與匿名化制度完美銜接.匿名化制度基本上在所有個人信息保護(hù)法中都有規(guī)定，雖然不同法律中存在些許差異，但總體來說差異不大.以《網(wǎng)絡(luò)安全法》為例，第42條將匿名化信息規(guī)定為“經(jīng)過處理無法識別特定個人且不能復(fù)原的信息”.換言之，個人信息與匿名化信息的界限在于能否識別特定自然人，因此在判斷信息是否屬于個人信息的同時，實質(zhì)上也是在判斷是否屬于匿名化信息.目前匿名化技術(shù)方案與標(biāo)準(zhǔn)都是基于直接標(biāo)識符與間接標(biāo)識符的基礎(chǔ)而展開的(8)國內(nèi)和國際上相關(guān)匿名化技術(shù)標(biāo)準(zhǔn)中都以直接標(biāo)識符和間接(準(zhǔn))標(biāo)識符作為處理的最小顆粒(相關(guān)匿名化標(biāo)準(zhǔn)文件參見 GB/T 37964—2019《信息安全技術(shù) 個人信息去標(biāo)識化指南》；PDPC, GUIDE TO BASIC DATA ANONYMISATION TECHNIQUES, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf； NIST, De-Identification of Personal Information, https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf; ICO, Anonymisation: managing data protection risk code of practice, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf; IPCO, De-identification Guidelines for Structured Data, https://www.ipc.on.ca/wp-content/uploads/2016/08/Deidentification-Guidelines-for-Structured-Data.pdf)..因此，個人信息概念中“識別”的含義如能與計算機(jī)技術(shù)中的“識別”保持一致，這對促進(jìn)匿名化制度的規(guī)范化有著重要意義.如上文所述，直接標(biāo)識符是指能夠單獨識別特定自然人的信息，而準(zhǔn)標(biāo)識符為結(jié)合其他信息可以識別特定個人的信息.基于此，匿名化處理中首先需要去除數(shù)據(jù)集中的所有直接標(biāo)識符[27]，再綜合考慮對準(zhǔn)標(biāo)識符的處理方案，以達(dá)到防止重識別的目的.在匿名化技術(shù)語境下，“識別”的含義可以從直接與間接標(biāo)識符的定義一窺究竟.如《ISO/IEC 20889:2018》規(guī)定，直接或間接標(biāo)識符是指可以單獨或與其他信息結(jié)合“唯一標(biāo)識(unique identification)”或從群體中“單獨挑出(single out)”個人信息主體的信息[28].該標(biāo)準(zhǔn)進(jìn)一步指出，“單獨挑出”是指通過觀察一系列可以單獨標(biāo)識一個數(shù)據(jù)主體的屬性，將該特定個人的記錄從數(shù)據(jù)集中區(qū)別開來[29].可以看出，在計算機(jī)科學(xué)領(lǐng)域，或匿名化的語境下，識別并不要求獲知數(shù)據(jù)主體的特征信息，其核心在于能夠?qū)⑻囟▊€人與其他人區(qū)分開來，而這一目的在信息系統(tǒng)中正是通過唯一標(biāo)識符達(dá)到.

最后，觀點1可以解決“直接識別”的困境.如采取第2種觀點，單個姓名、身份證號碼等信息似乎也無法透露該自然人的任何身份特征，從而，無法直接識別特定個人.那么到底是否存在能夠直接識別的信息都將存疑，直接識別與間接識別的二分模式似乎并無意義.如采取“唯一指向”的觀點，那么直接與間接識別區(qū)分的困境將迎刃而解.簡言之，能單獨唯一指向特定自然人即為直接識別，諸如身份證號碼、手機(jī)號碼和網(wǎng)絡(luò)唯一標(biāo)識符等；而需要結(jié)合其他信息才能唯一指向特定個人則是間接識別，如性別無法單獨唯一指向特定個人，因為在一個數(shù)據(jù)集中可能存在數(shù)個相同性別的個體，但假如該數(shù)據(jù)集中只有一個25歲的男性，那么該性別加上年齡即可唯一指向該特定自然人.

3.3 個人信息分級分類保護(hù)的進(jìn)路

建立個人信息分級分類制度，并分別予以不同的法律保護(hù)是一個老生常談的話題.比如依據(jù)能否單獨識別特定個人劃分為直接個人信息與間接個人信息，依據(jù)信息敏感度將個人信息劃分為一般個人信息與敏感個人信息.此外，在理論上，個人信息的分級分類也被很多學(xué)者提出，譬如：美國學(xué)者Schwartz等人[29]根據(jù)數(shù)據(jù)的識別程度將數(shù)據(jù)劃分為已識別數(shù)據(jù)、可識別數(shù)據(jù)和不可識別數(shù)據(jù)3種；荷蘭數(shù)據(jù)科學(xué)家Leenes[30]將個人信息分為“查找型標(biāo)識符”和“認(rèn)知型標(biāo)識符”.

然而上述分類方式?jīng)]有考慮到個人信息的濫用能否影響到現(xiàn)實世界中特定自然人的問題.比如，基于敏感度的分類方式將個人信息劃分為一般與敏感個人信息，因為敏感個人信息泄露通常會嚴(yán)重?fù)p害個人信息主體的人身或財產(chǎn)安全.然而在虛擬識別的語境下，即使收集、處理醫(yī)療健康、宗教信仰和精確位置等敏感個人信息，對個人信息主體似乎并無過分影響.我們懼怕醫(yī)療或者宗教等信息泄露的根本原因在于我們周圍的人因此而對我們產(chǎn)生歧視.因此如果僅僅將這些信息與虛擬的唯一標(biāo)識符連接(數(shù)字身份)，而無法影響到物理世界的特定個人，那么在法律上區(qū)別對待的意義并不大.反之，如果能關(guān)聯(lián)到真實姓名、住址等物理身份信息，那么可能對個人信息主體產(chǎn)生重大的人身與財產(chǎn)損失，如位置信息被用于暴力催收致人傷亡和電話號碼被用于電信詐騙等.

基于此，在上述分類基礎(chǔ)上，本文主張基于信息能否“現(xiàn)實識別”進(jìn)行區(qū)分.首先，依據(jù)上文劃分的身份識別與特征識別，個人信息可劃分為“身份識別信息”與“特征識別信息”.身份識別信息是指能夠單獨或者結(jié)合其他信息唯一標(biāo)識一個特定個體的信息，但其無法外顯該自然人的任何特征，該類信息有姓名、學(xué)號和網(wǎng)絡(luò)唯一標(biāo)識符等；而“特征識別信息”則是描述個人信息主體特征的信息，如年齡、性別和愛好等.在這一基礎(chǔ)上，“身份識別信息”可劃分為“現(xiàn)實身份信息”與“數(shù)字身份信息”.現(xiàn)實身份信息是指可與現(xiàn)實身份直接關(guān)聯(lián)，從而識別出物理世界中特定自然人的信息，該類信息的典型有姓名、精確位置信息、身份證號碼等等；數(shù)字身份信息則無法關(guān)聯(lián)到現(xiàn)實世界的自然人，除非與現(xiàn)實身份信息結(jié)合，譬如IP地址本身只能識別出特定電腦，但是一旦與姓名或者住址等信息結(jié)合，可以識別出現(xiàn)實身份.基于該分類方法，法律應(yīng)該給予現(xiàn)實身份信息更多的重視，同時減輕企業(yè)處理數(shù)字身份信息.從而在確保個人信息主體權(quán)益的情況下，促進(jìn)數(shù)據(jù)自由流動.

4 結(jié) 語

定向廣告中相關(guān)個人信息爭議的根源在于“識別”含義的模糊.本文主張將虛擬識別納入識別的含義之內(nèi)，從而解決網(wǎng)絡(luò)世界中個人信息濫用可能損害個人數(shù)字身份的問題.其次，“識別”有“識別身份”和“唯一標(biāo)識區(qū)分”2種解釋，采取“唯一標(biāo)識”的解釋路徑不但可以簡化法律適用，與匿名化制度保持銜接，亦可解決直接識別的理論困境.最后，本文提出現(xiàn)實身份信息與數(shù)字身份信息的分類方案，給與不同的保護(hù)力度，在保護(hù)個人信息主體合法權(quán)益的同時，以確保數(shù)字經(jīng)濟(jì)的繁榮發(fā)展.