高富平

一、問題的提出

個人信息（或稱個人數據）是數據要素中的重要組成部分，在實現數據效用方面發(fā)揮關鍵作用，促進個人信息流通利用是不可阻擋的歷史趨勢。2020 年3 月，《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》正式提出建設數據要素市場。之后，關于數據要素市場建設的制度規(guī)范逐漸制定完善。2022 年3 月，中共中央、國務院公布《關于加快建設全國統(tǒng)一大市場的意見》，繼續(xù)強調發(fā)揮數據效能，建設數據要素市場。數據要素成為我國經濟社會發(fā)展的重要力量。新近出臺的《中華人民共和國反電信網絡詐騙法》也強調個人信息流通、共享在反電信網絡詐騙過程中的重要作用（第29 條）。

然而，如果僅從文義角度分析以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）條文為內容的個人信息治理規(guī)則，會發(fā)現個人信息流通利用的通道似乎并未實際搭建起來。數據要素市場強調的是數據在流通利用中發(fā)揮價值，但是《個人信息保護法》的建構以個人控制為中心，并不適合個人信息流通利用?！秱€人信息保護法》只規(guī)范個人信息處理者（使用者）與個人之間的直接使用關系，并不調整數據持有者對外提供、分享、流通行為。無論是個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息（第22 條），還是個人信息處理者向其他個人信息處理者提供其處理的個人信息（第23 條），個人信息處理者向中華人民共和國境外提供個人信息（第39 條）抑或個人信息公開（第25 條），都需要通過重新同意、單獨同意或者再次告知等形式與個人重新建立關系。換言之，《個人信息保護法》搭建的個人信息處理者（使用者）與個人之間直接處理（使用）關系，并沒有給個人信息處理流通或者從信息處理者處間接獲得個人信息提供合法通道。

應當看到，個人信息由個人信息處理者實際控制和使用，合法正當的個人信息利用秩序是通過個人信息處理者履行法律義務并兼顧各方合理權益的治理過程實現的，而不是完全、純粹、孤立的個人權益保護過程。如果僵化地純粹從文義上理解個人信息利用規(guī)則，并不符合個人信息的多重價值或利益屬性，違背《個人信息保護法》的規(guī)范目的，更不利于數據要素化利用。同時，識別性是個人信息基本功能，也是個人權益風險之源；但是，不同類別的個人信息識別性差別較大，其風險或危害程度也不盡相同，我們不應忽視差別而“一刀切”地適用同一規(guī)則。于是，本文首先明確對個人信息治理規(guī)則具有指導作用的規(guī)范目的，并在重視個人信息識別性差異的基礎上對個人信息治理規(guī)則進行類型化研究。在個人信息治理的宏大視野下重新看待個人權益的保護問題，嘗試為準確解釋適用《個人信息保護法》條文提供一個可行的方案。

二、《個人信息保護法》的規(guī)范目的

規(guī)范目的對于具體規(guī)則的解釋適用無疑具有重要的指導作用。解釋適用時，應當考慮何種解釋方案最能配合立法者的規(guī)范目的（或規(guī)范想法）〔1〕[德]卡爾·拉倫茨：《法學方法論》，陳愛娥譯，商務印書館2003 年版，第207 頁。，并選擇最符合規(guī)范目的的解釋方案。

（一）規(guī)范目的：保護個人前提下的信息利用

《個人信息保護法》在第1 條將其目的表述為三個部分，依次為“保護個人信息權益”“規(guī)范個人信息處理活動”與“促進個人信息合理利用”。

三個目的之間具有位階和序位關系。首先，“保護個人信息權益”“促進個人信息合理利用”是根本目的，而“規(guī)范個人信息處理活動”是直接目的，是實現前兩個目的的手段。其次，在兩個根本目的中，“保護個人信息權益”構成“促進個人信息合理利用”的前提或手段。只有個人信息權益得到保護，人們才能放心允許個人信息的利用，一切利用都是建立在個人權益保護的基礎上。

關于保護個人信息權益。雖然法律名稱為“個人信息保護法”，但是并非保護個人信息，而是保護個人信息處理過程中涉及的各方利益。就此而言，《個人信息保護法》非權利法，未建立非經同意即違法或侵權的賦權保護模式；相反，《個人信息保護法》是行為規(guī)范，通過規(guī)制個人信息處理者的行為實現對個人合法權益的保護。〔2〕高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018 年第3 期。多方面原因造成了個人信息受保護而非個人（權益）受保護的誤解。一方面原因是對域外法律的誤讀。持個人控制個人信息觀點者多以德國法和德國學說為依據；但是根據學者的考究，德國法和德國學說中的個人信息自決權并非指個人控制其個人信息。〔3〕楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，載《比較法研究》2015 年第6 期。另一方面原因是來自簡稱的誤解。我國法律簡潔地命名為“個人信息保護法”，歐盟法律規(guī)范被簡稱為“統(tǒng)一數據保護條例”（GDPR），這種簡化表述容易造成歧義。在全球發(fā)揮示范引領作用的歐盟GDPR 的全稱為“歐洲議會和歐盟理事會2016 年4月27 日關于個人數據處理中自然人保護、個人數據自由流通以及廢除95/46/EC 號指令的(EU) 2016/679號條例”?！?〕REGULATION (EU) 2016/679 of The European Parliament And of The Council of 27 April 2016 on The Protection of Natural Persons With Regard to The Processing of Personal Data And on The Free Movement of Such Data,And Repealing Directive 95/46/Ec (General Data Protection Regulation)，https://gdpr.eu/,2022 年11 月6 日訪問。從全稱可以看出，它是保護個人數據處理中的自然人，而非保護個人數據；個人在個人數據處理中的權利被概括為個人數據受保護權（right to protection of personal data），而不是個人數據權。

之所以這樣定位，就是因為《個人信息保護法》存在一個基本制度假設：個人信息是社會可利用的資源。個人信息是個人進入社會的必然，每個人都需要以姓名為核心的識別符，一方面將自己與他人區(qū)別開來，另一方面每個人在參與社會活動中會自覺或不自覺地留下很多印跡，以塑造自己的獨立個性（這是人格權的重要內涵）。與此同時，在每個人從事社會交往、商業(yè)交易、政務服務等過程中均需要了解對方身份及其個性特征，需要對所打交道的人或將要打交道的人進行分析評估。按照正常的社會交往習慣，這不需要事先征得相對人同意。在傳統(tǒng)法律觀念當中，事實和信息都不受保護，而是處于任何人都可以自由利用的公共領域。關于個人的信息也屬于事實信息，故當然也是如此。人們可以自由獲取、評論（分析）和傳播個人信息，但若造成侵害名譽權、隱私權等人格權益侵害的，要承擔民事侵權責任。伴隨著計算機技術應用，個人尊嚴、自由等人格權益受到特別的威脅，因而需要法律干預個人信息處理活動，防范濫用個人信息侵害個人權益的行為，但這樣的保護仍然要援用責任規(guī)則。換言之，《個人信息保護法》堅持個人信息是社會可用的，但是使用對個人造成侵害要承擔責任。只是為了更好地保護個人在個人信息處理中的權益，才采用了完全預防機制（允許個人參與到個人信息處理全生命周期），而不是單純的事后救濟，使個人對個人信息使用（處理）具有控制性權利。這使得個人信息保護法呈現出個人與個人信息處理者之間復雜的權利義務安排，以塑造出正當個人信息處理規(guī)則。

正是在這個意義上，個人信息保護規(guī)則演變?yōu)橐惶字卫硪?guī)則：在個人信息可收集和使用的前提下，建立一套個人信息處理法律規(guī)則，使個人信息處理者在平衡各方權益基礎上實施安全和合規(guī)管理，實現個人信息正當利用。這是從個人信息保護法源起出發(fā)而對《個人信息保護法》進行的應然目的定位和范式解釋。

（二）保護個人：識別身份行為之規(guī)范

保護個人并不意味著個人控制個人信息，而是在個人信息處理過程中保護個人權益。個人信息只是以個人為主題（subject），其內容與個人情況有關系，這無法推導出個人控制個人信息的結論。學界的控制論立場已然有所修正，但是其仍然未脫離個人原則上對個人信息享有控制權的核心理念。個人信息與個人有關，只能說明個人應受保護。從社會運行角度來看，個人控制個人信息不利于數據的流通利用和經濟社會的發(fā)展。另外，從實踐經驗來看，個人對個人信息的實際控制力有限，無法有效、理性地行使個人信息的控制權?！?〕國家計算機網絡應急技術處理協(xié)調中心、中國網絡空間安全協(xié)會：《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》，中國網信網，http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm，2022 年11 月6 日訪問。個人信息的產生、價值提升與價值實現，離不開多方主體的參與，其利用過程也影響著多方利益，因此個人控制個人信息絕非現實，應當轉向個人信息治理過程中保護個人權益。

個人信息處理中所需保護的個人權益有兩方面。一方面，基于憲法人格尊嚴而享有的個人事務自決之自由，包括個人自治（自由）、身份（識別）利益、不歧視（平等）等?！?〕高富平：《論個人信息保護的目的——以個人信息保護法益區(qū)分為核心》，載《法商研究》2019年第1 期。另一方面，個人的民事權益也不能因個人信息處理而受任何侵害?！吨腥A人民共和國民法典》確認了個人所享有的人身權益和財產權益，包括姓名權、肖像權、名譽權、榮譽權、隱私權等，還包括作為兜底條款的一般人格權。這些既有的人身權益和財產權益在個人信息處理過程中不能受侵犯或有受侵犯之虞?！?〕杜牧真：《個人信息權的法益與性質的審視與再界定》，載《新疆大學學報（哲學·人文社會科學版）》2022 年第1 期。

而個人權益與個人身份緊密相關?？刂?、規(guī)范身份識別問題是個人信息規(guī)范目的的重要內容。〔8〕陸青：《數字時代的身份構建及其法律保障：以個人信息保護為中心的思考》，載《法學研究》2021 年第5 期。身份是個人發(fā)展其人格的重要承載體。個人所為之一切發(fā)展人格的行為，其后果最終通過身份而準確歸屬于自己。而且，個人所進行活動而獲得之名譽、聲望、信用也通過準確的身份而得到不斷地積累。從反面來看，侵害個人權益的行為也將通過身份而將不利后果傳導到個人。例如，身份盜用、身份欺詐正是通過身份而將賬戶金額減少之不利后果轉移給不相關的自然人。另外，正是因為身份的明確，導致冒用個人信息亦將滋生精準詐騙。〔9〕如多年前的山東徐某玉案，參見陳某輝、鄭某鋒等詐騙、侵犯公民個人信息案（山東省高級人民法院〔2017〕魯刑終281 號刑事裁定書）。個人信息利用過程中一旦出現錯誤，也正是通過身份而將不利后果歸于個人。例如，在廣東互聯網法院的一則裁判中，被告某科技公司運營的企業(yè)信用信息查詢平臺上將失信被執(zhí)行人信息、限制高消費信息、終止執(zhí)行案件信息等錯誤關聯至甲公司及其法定代表人乙名下。〔10〕“廣州互聯網法院發(fā)布個人信息保護典型案例”之“案例四：算法錯誤關聯個人信息應當更正刪除——梁某、某實業(yè)公司與某科技公司網絡侵權責任糾紛案”，載微信公眾號“廣州互聯網法院”2022 年11 月2 日。這種個人信息錯誤將最終通過身份的準確對應，而精準侵害個人的名譽權等既有權益。

故此，個人信息處理中保護個人權益的方式在于不識別個人身份。不識別個人身份有兩方面要求。

一方面，個人信息本身含有的姓名、身份證號、生物識別信息等直接標識符能夠使個人信息處理者直接識別個人信息主體的身份。信息的識別性是一條連續(xù)的光譜。一端是姓名等直接指認出身份的直接標識符，另一端則無法識別，而在這兩端之間有間接標識符、準標識符及各種可以通過結合分析而匹配到某信息主體的大量信息。標識符是分析評估的工具，主要充當分析評估的手段，使識別分析成為可能。非標識符信息則是實現個性特征分析評估的主要內容。相比之下，處于信息識別性連續(xù)光譜的一端的直接識別符，既能充當分析評估手段，其本身又能直接表征個人身份。

另一方面，個人信息本身即使不含直接標識符，個人信息處理者也可能通過結合多方來源信息識別出個人的身份。信息的識別性不僅取決于其本身，也在于分析行為。大量個人信息缺少與主體之間的直接關聯性（缺少直接標識符），但僅依賴信息可鏈接性而歸屬于或關聯某個間接標識符（尤其是數字ID）。大數據時代，數據來源的多元化、數據量的爆炸式增加，數據處理技術和算法技術的明顯發(fā)展，使得通過對多來源信息結合分析進而識別出個人身份變得容易和便捷。個人信息不含身份識別信息，只是在一個邊界確定的數據集意義上而言的。當對于符合這樣特征的數據集進行去標識化處理，有可能在該特定數據域下實現去身份。但是一旦對于個人信息處理者的行為不加以控制，那么所謂去標識化處理無非是掩人耳目的避法之舉。

識別身份的兩種途徑，決定了應當重點針對此兩種途徑進行個人信息治理。

（三）信息利用：分析評估個性特征

如果從識別行為的目標角度，廣義的識別行為可以分為兩類：一是識別自然人的身份；二是識別自然人的行為習慣、興趣愛好或者經濟、健康、信用狀況等個性特征。以自然人身份為目標的行為便是狹義的識別行為，《個人信息保護法》中的“識別”即指狹義識別。以勾勒自然人的個性特征甚至是群體特征為目標的識別分析行為（也稱為畫像〔11〕程嘯：《個人信息保護法理解與適用》，中國法制出版社2021 年版，第550 頁。）也屬于廣義識別行為，但區(qū)別于狹義識別行為，在《個人信息保護法》中被稱為“分析、評估”（第73 條第二項，下文統(tǒng)一稱為分析評估）。

通過信息識別個人的身份當然是個人信息的重要作用。《個人信息保護法》中的“識別”，均指以識別個人身份為目標的識別行為。第一，該法第4 條第1 款規(guī)定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。其中，已識別或者可識別，其目標均指向“自然人”，此處“有關”是指與自然人身份關聯。第二，第26 條“個人身份識別”的法律表達更是直接點明識別的目標是身份。第三，第28 條第1 款列舉了“生物識別”信息，而生物識別信息就是直接標識符的一種，其作用在于表征身份。第四，第73 條第三項和第四項中的“無法識別特定自然人”，此處的“特定自然人”同第4 條第1 款中的“自然人”含義相同，均指身份。

但是，分析評估個性特征是目前處理個人信息的重要目的。個人信息的價值主要不在于識別身份，而在于分析評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等個性特征。分析評估個性特征的價值，一方面是分析信用等，以防范不必要的商業(yè)風險和安全風險；另一方面是分析偏好等，以決定是否及如何觸達或采取行動。以分析評估個性特征為目標，其特點在于要求信息指向或具象到某個個體，但不要求該個體的真實身份，在識別其身份之前，該個體仍為抽象存在。例如，在利用醫(yī)療保障數據進行個性分析時，不必得知參保個人的身份（如姓名：張三），僅通過國家醫(yī)療保障部門為每位參保個人配備的唯一編碼，即可將關于該參保個人的各方來源的信息匹配起來并進行分析評估，但始終不需要知道該個人是誰。也就是說，在目前的個人信息實踐中，對于個性特征的分析并不需要個人的直接標識符。

于是，當區(qū)別識別的兩種目標——個人身份與個性特征——時，就會緩解個人保護與信息利用之間的沖突和張力：允許利用信息分析評估個性特征，但規(guī)制個人身份識別行為。對于個人信息處理者而言，其分析評估過程所關注的是個性特征而非個人身份。個性特征的分析評估主要是基于“識別設備的信息”（DII）〔12〕識別設備的信息（Device-Identified information,DII），即與瀏覽器、設備或一組設備關聯（link）的，且不用于直接識別某個人的數據。出自2020 NAI Code of Conduct,https://thenai.org/wpcontent/uploads/2021/07/nai_code2020-2.pdf，2022 年11 月7 日訪問。實現的。分析評估個性特征對信息的基本要求是信息之間可鏈接，而在萬物互聯環(huán)境中網絡和設備均有ID（DII），基于DII 即可以識別個性特征。DII 背后是一個佚名用戶，佚名用戶的背后是某個真實存在的人。DII 不是匿名數據，但是能做到使個人信息處理者無法通過信息本身識別身份。而對于需要在信息處理過程中受到保護的個人而言，更關注其個人身份不被識別。牛津大學教授桑德拉·瓦赫特（Sandra Wachter）提出，基于鏈接記錄的分析方法可能會揭示用戶身份，因此需要在物聯網運行所需的特征分析與用戶身份保護之間取得平衡?！?3〕Wachter,S.(2018).Normative challenges of identification in the Internet of Things: Privacy,profiling,discrimination,and the GDPR.Computer law &security review,34(3),436-449.這本質上正是本文所述的在控制身份識別基礎上分析評估個性特征。

經過上述分析，個人信息治理規(guī)則的規(guī)范目的要求：允許利用信息分析評估個性特征，但規(guī)制個人身份識別行為。而不同個人信息的識別性具有較大差異，故此，應當根據不同類型信息在識別中的作用和個人控制或預防不當識別身份的可能性，對個人信息治理規(guī)則予以類型化。

三、含直接標識符之個人信息的治理規(guī)則

直接標識符，是指結構化數據集中的屬性，在特定環(huán)境下可以單獨識別個人信息主體的身份?！?4〕《信息安全技術個人信息去標識化指南》（GB/T37964—2019）第3.7 條。常見的直接標識符有：姓名、身份證號、護照號、駕照號、銀行卡號碼、社會保險號碼、健康卡號碼、生物識別碼等?！?5〕《信息安全技術個人信息去標識化指南》（GB/T37964—2019）第3.7 條注2。直接標識符的功能在于其直接表征具體個人的身份，從而能夠將數據（行為）歸屬于個人。事前的同意應限于含直接標識符的個人信息，而對于直接標識符，各行業(yè)或領域宜在處理目的允許的情況下予以刪除。

（一）處理前須經過個人同意

當待處理的個人信息含有直接標識符時，則個人信息處理者應當取得個人同意或者具備其他合法性基礎。

一方面，從法律形式邏輯的角度分析，處理含直接標識符的個人信息均應取得個人的同意。從文義來看，《個人信息保護法》第13 條第1 款第一項能夠涵攝含直接標識符的個人信息，無須贅述。從體系解釋角度，也能說明含有直接標識符的個人信息應當適用同意規(guī)則?！秱€人信息保護法》第4 條第1 款規(guī)定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。含直接標識符的個人信息就是其中的“與已識別的自然人有關的各種信息”。相比于“與可識別的自然人有關的各種信息”，含直接標識符的個人信息顯然屬于《個人信息保護法》規(guī)制和保護的個人信息核心范疇，所以當然應適用同意原則。

另一方面，從正當性層面分析，含直接標識符的個人信息仍應當取得個人同意或者具備其他合法性基礎。前文已經論述，在個人信息治理規(guī)則中，對于個人身份的保護是保護個人權益的關鍵舉措。因為個人身份的披露將導致一切活動或后果都將精準地歸屬于該個人承擔。直接標識符恰是個人身份的符號化表現，具有表征個人身份的作用。所以通過直接標識符能夠將相關活動或相關影響的后果精準傳導至該個人。為了尊重個人尊嚴，尊重其對個人事務的自決，尊重其是否披露身份的意愿，應當在處理前取得個人的同意，除非有其他合法性基礎。〔16〕李群濤、高富平：《信息主體同意的適用邊界》，載《財經法學》2022 年第1 期。

（二）處理過程宜刪除直接標識符

如果個人信息處理的目的決定了沒有必要保留直接標識符，那么收集個人信息時不應收集直接標識符；即便收集了直接標識符的信息，也宜在處理過程中刪除直接標識符，確保個人信息處理過程的安全。

刪除直接標識符這一措施對應《個人信息保護法》中的“去標識化”。按照《個人信息保護法》第73 條第三項之規(guī)定，去標識化是指“個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。按照全國人大常委會法工委的解釋，此種去標識化的“無法識別”，即指無法直接識別，〔17〕楊合慶主編：《中華人民共和國個人信息保護法釋義》，法律出版社2022 年版，第175 頁。恰恰對應直接標識符的刪除。去標識化仍然是針對一個特定的數據集，刪除該數據集中的直接標識符，從而達到在不借助額外信息的情況下無法識別特定自然人的效果。此處的“額外信息”包括直接標識符。當然，“額外信息”不限于直接標識符，還包括不含直接標識符的其他個人信息。因為當通過若干不含直接標識符的信息進行結合分析時，也能識別出特定自然人的身份。

刪除直接標識符作為一項義務，已為《個人信息保護法》所確認。根據《個人信息保護法》第51 條第三項的規(guī)定，個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取去標識化等安全技術措施，確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。

工資費的規(guī)定在審計實踐中演變?yōu)椋河胸斦該芸畹氖聵I(yè)單位在職在編人員，不得再以任何形式在科研經費中列支工資性費用，而且此規(guī)定成為了嚴肅財經紀律中不能逾越的“紅線”和帶電的“高壓線”。

刪除直接標識符的治理措施，通用于個人信息處理全過程、全領域，不應只在信息公開時落實。雖然在《個人信息保護法》出臺之前，在部分規(guī)范性文件中已經開始強調去標識化這一措施的運用，但是僅局限于個人信息公開的情形。例如，國務院2018 年發(fā)布的《2018 年政務公開工作要點》（國辦發(fā)〔2018〕23 號）中僅要求在公開涉及個人隱私的政府信息時，要進行去標識化處理。囿于該文件的調整范圍僅限于政務公開工作，所以各部委也僅將去標識化處理限縮于個人信息公開這一處理方式之上。〔18〕例如，交通運輸部公布的《班車客運定制服務操作指南》（交辦運函〔2022〕1205 號）僅提出，在公開信息中，對旅客個人信息采取加密、去標識化等安全技術措施，保障旅客個人信息安全。但這并不能說明去標識化（刪除直接標識符）僅限于個人信息公開措施。根據新法優(yōu)于舊法的解釋規(guī)則，應當遵從《個人信息保護法》第51 條之規(guī)定，是否采取去標識化處理，應綜合考慮“個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等”因素。

可喜的是，目前交通、醫(yī)療、金融等若干具體領域立法中逐漸將刪除直接標識符（去標識化）作為一項貫穿全過程的義務。例如，2021 年五部門頒布的《汽車數據安全管理若干規(guī)定（試行）》第6 條第四項即提出，國家倡導汽車數據處理者在汽車數據處理活動中堅持脫敏處理原則，盡可能進行匿名化、去標識化等處理。再如，國家衛(wèi)生健康委員會和國家中醫(yī)藥管理局在《關于加強全民健康信息標準化體系建設的意見》（國衛(wèi)辦規(guī)劃發(fā)〔2020〕14 號）中強調去標識化在全民健康信息數據庫標準化建設以及數據利用和共享流通過程中的重要作用。

總之，含直接標識符之個人信息的治理規(guī)則在于：第一，處理前必須經過個人同意；第二，處理過程宜刪除直接標識符。

四、僅含間接標識符之個人信息的治理規(guī)則

間接標識符（也被稱為DII），主要包括靜態(tài)IP、MAC、設備ID 等。間接標識符不能夠表征個人身份，而只能表征設備身份，進而間接指向一個虛擬的個體。間接標識符的作用在于在不彰顯個人身份的情況下仍然能夠關聯與該個人有關的各方面信息，從而有助于在不識別該個人身份的情況下分析評估該個人的個性特征，揭示信用、行為傾向等。僅含間接標識符之個人信息的治理規(guī)則為：個人信息處理者可以豁免取得個人同意的義務而合理利用此類信息；但是個人信息處理者需要全程被禁止識別個人的身份。除此之外，《個人信息保護法》的其他規(guī)定仍然應當遵守。

（一）處理前不需要經過個人同意

相比含直接標識符的個人信息，僅含間接標識符的個人信息的特殊之處在于去除了信息與信息主體的關聯（直接標識符），但同時保留了信息之間的可鏈接性（間接標識符）。此類數據集的意義即在于保留了信息識別分析價值，且去除信息與主體直接關聯所引發(fā)的風險，從而保留個人信息的基本效用。無論如何，僅含間接標識符的信息仍然具有識別自然人身份的可能性，因此其仍然屬于個人信息。〔19〕江必新、郭鋒主編：《〈中華人民共和國個人信息保護法〉條文理解與適用》，人民法院出版社2021 年版，第644-646 頁。但是，2015 年的朱某與北京百度網訊科技公司隱私權糾紛案中，法院認為，網絡精準廣告中使用cookie 技術收集、利用的網絡偏好信息不能與網絡用戶個人身份對應識別，網絡服務提供者和社會公眾無法確定該偏好信息的歸屬主體，不符合個人信息的“可識別性”要求?！?0〕朱某與北京百度網訊科技公司隱私權糾紛案（江蘇省南京市中級人民法院〔2014〕寧民終字第5028 號民事判決書）。這種認識難謂不符合當時對于個人信息識別性的認識，但是此種觀念在當下應當被揚棄和更新，而應承認僅含間接標識符的信息也是個人信息。2020年的微信讀書案中，法院即認識到，雖然通過“微信”App 向“微信讀書”App 提供的OPEN_ID 無法知道每個OPEN_ID 對應的具體身份信息，但該信息仍然屬于個人信息?！?1〕黃某訴騰訊科技（深圳）有限公司、騰訊科技（北京）有限公司等隱私權、個人信息保護糾紛案（北京互聯網法院〔2019〕京0491 民初16142 號民事判決書）。

那么，僅含間接標識符的個人信息的處理是否需要取得個人的同意或者獲得其他合法性基礎方可處理呢？目前的執(zhí)法實踐傾向于給出肯定的答案。2021 年年底國家計算機網絡應急技術處理協(xié)調中心、中國網絡空間安全協(xié)會聯合發(fā)布的《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》中，就將App 在取得個人同意前就將安卓ID 等信息上傳至云端服務器的行為認定為違法行為。〔22〕國家計算機網絡應急技術處理協(xié)調中心、中國網絡空間安全協(xié)會：《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》，中國網信網，http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm，2022 年11 月6 日訪問。不僅如此，2022 年4 月7 日，深圳市公安局福田分局出具一則行政處罰決定書，認為深圳市辰瑞文化傳播有限公司旗下App 首次運行未經用戶同意即收集MAC 地址、IMEI、AndroidID 等信息的行為，違反了《個人信息保護法》第13 條的規(guī)定，進而予以行政處罰。〔23〕行政處罰決定書，深圳市公安局【深福公（天安）行罰決字〔2022〕33751 號】。2022 年4 月11 日，深圳市公安局南山分局在另一起行政處罰案件中，將深圳鯤鵬天下科技有限公司旗下App 同樣的行為認定為違反同意規(guī)則?！?4〕行政處罰決定書，深圳市公安局南山分局【深南公（高新）行罰決字〔2022〕33742 號】。

實踐中的做法似乎是符合實定法文義的。如果從《個人信息保護法》第13 條第1 款之文義來看，對于一切類型的個人信息處理都應當取得個人的同意或者具備其他合法性基礎。僅含間接標識符之個人信息，雖然不含有直接標識符，但如果結合額外信息進行分析仍然能夠識別出特定自然人的身份，則仍然屬于個人信息。進而，對于此類個人信息的處理仍然在處理前應當取得個人的同意?！?5〕龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021 年版，第346 頁。

然而，這樣的解釋結論和解釋方案并不具有說服力。第一，無法達致《個人信息保護法》邏輯體系上的自洽；第二，脫離了個人信息治理規(guī)則的規(guī)范目的。

一方面，從《個人信息保護法》的邏輯體系看，不需告知制度的存在決定了該法律體系內部必然應當存在對應的不需同意的情形。按照《個人信息保護法》的規(guī)定，在下列情形不需要告知個人：第一，法律、行政法規(guī)規(guī)定應當保密的（第18 條第1款第一種情形）；第二，國家機關為履行法定職責處理個人信息，告知將妨礙國家機關履行法定職責的（第35 條第二分句）；第三，有不需要告知的情形的（第18 條第1 款第二種情形）。對于第三種情形而言，“當個人信息處理者客觀不識別身份或基于合規(guī)要求不被允許識別身份時，基于法律不強人所難的基本法理”〔26〕前引〔16〕，李群濤、高富平文。，也應當屬于不需要告知的情形。根據《個人信息保護法》，有效告知的結果是個人充分知情；而只有個人充分知情，個人的同意才合法。簡言之，有效告知是同意的邏輯前提，因而在法律規(guī)定不盡告知義務的情形下，就不需要同意。同時，從理論上，告知的前提是知曉該個人，如果僅掌握DII 而無從知曉背后主體的情形下，亦不能告知，也就無法實施后一步的同意。因此，雖然《個人信息保護法》第13 條第1 款第一項并沒有展示任何例外情形，但是基于維護其邏輯體系的自洽性，應當對其適用范圍在解釋上進行限縮，不含直接標識符的個人信息的處理不需要事前取得個人的同意。而對于僅含間接標識符的個人信息而言，個人信息處理者顯然無法在不進行任何識別行為的情況下僅憑個人信息本身得知個人的身份，屬于不需要告知的情形，進而當然沒有必要取得個人的同意。

另一方面，從實現《個人信息保護法》的規(guī)范目的角度，也不應認為僅含間接標識符之個人信息的處理應當經過個人同意。遵從實定法的邏輯體系而確認處理含間接標識符之個人信息不需要取得個人同意，有利于激勵個人信息處理者在處理過程中進行去標識化處理。如果僵化地遵守《個人信息保護法》第13 條的文義而仍認為個人信息處理者需要經過個人的同意，那么就意味著個人信息處理者即使不需要識別個人信息主體的身份，為了合規(guī)也仍然要從僅含間接標識符的個人信息中通過技術手段識別出個人的身份，這客觀上將導致個人信息處于更高水平的風險之中。然而這恰恰不符合《個人信息保護法》保護個人信息權益的初衷。GDPR 雖然強調同意制度的適用，但也已經認識到這一漏洞，于是在規(guī)定同意制度的同時，在第13 條第1 款中提出：若個人信息處理者的處理目的不需要或不再需要識別個人身份，則不應強制個人信息處理者僅為了遵守GDPR 而保留、獲取或處理額外信息以識別個人身份。信息是自由的，處理全過程也不識別身份，不會侵犯個人的名譽權、隱私權等權益；在此種情況下，為了實現《個人信息保護法》的另一重要目的，即“促進個人信息合理利用”，應當支持運用體系解釋方法得出的“含間接標識符之個人信息的處理不需要事前取得個人同意”這一結論。

（二）處理過程禁止識別身份

對于僅含間接標識符之個人信息的治理規(guī)則而言，還包括個人信息處理者全程禁止識別身份這一內容。

前文已經指出，個人信息處理者識別個人的身份，不僅可以通過個人信息本身攜帶的直接標識符實現，也可以通過對多重來源的個人信息進行結合分析從而識別出個人的身份。

間接標識符只是個人信息本身無法直接識別個人的身份，但這并不能阻止個人信息處理者在處理過程中通過結合分析的方式，在分析評估個人之個性特征過程中，同時識別出個人的身份。立法者已經意識到，按照實踐慣行，個人信息處理者進行去標識化處理后，通常仍保留原始個人信息以及去標識化的方法，因而仍然能夠再次識別個人身份?！?7〕前引〔17〕，楊合慶主編書，第175 頁。如果處理者事前不需要經過個人同意即可處理僅含間接標識符的個人信息，同時又不阻止個人信息處理者在分析評估個性特征過程中識別個人的身份，則對個人身份的保護如同掩耳盜鈴。

因此，處理含間接標識符的個人信息處理者還必須履行全程不識別身份的義務?！缎畔踩夹g個人信息去標識化指南》（GB/T37964—2019）僅規(guī)定了技術和管理措施，防止個人信息處理者重新識別（第4.2 條），但并未規(guī)定個人信息處理者有不重新識別之義務。去標識技術是針對特定數據集而言，取決于處理后的數據集是否還具有單獨識別個人的能力。然而是否能夠識別個人不能只看信息本身的識別性，而需要考察這些信息是否因可鏈接而具有識別性，對于信息之間是否可鏈接，在進行結合分析之前并不能直觀地判斷出來。在結合分析之前，要使一個數據集達到“無法識別”個人的效果，就只能集中于對直接標識符的處理。由于信息之間的可鏈接性難以消除，在技術角度，匿名化與去標識化技術不存在根本性差異。處理后的無法識別只能是在邊界相對固定的數據集中刪除直接標識符，達到身份無法識別。因此，由于去標識化后的信息仍有關聯到個人的可能性，只要不禁止個人信息處理者試圖重新識別身份的行為，個人信息處理者總能逾越技術障礙而實現身份的再次識別。

于是，對去標識化制度還應有兩項約束條件：第一，標識符管理措施，避免信息處理者復原或再關聯；第二，信息處理者不得進行再識別。雖然可以將去標識作為個人信息流通基本條件，但是必須對識別行為進行控制，使利用信息識別個人的識別分析行為納入法治軌道。也就是說，去標識信息可以流通，但限于非識別個人身份的利用行為。采取“刪除直接標識符＋身份識別控制”的受控去標識化制度，允許各行業(yè)發(fā)展出適合各自風險的受控去標識化機制，并探索出符合個人信息保護法精神、確保個人信息流通利用的治理架構，打造可信去標識化信息流通環(huán)境?！?8〕高富平：《個人信息流通利用的制度基礎——以信息識別性為視角》，載《環(huán)球法律評論》2022年第1 期。

從比較法層面，對于處理去標識個人信息的處理者課以不再識別身份的義務，是國際通行和公認的做法。例如，根據美國統(tǒng)一法律委員會2021 年通過的《統(tǒng)一個人數據保護法》第9 條b 款之規(guī)定，通過重新識別來收集或創(chuàng)建個人數據的行為，是被禁止的數據處理行為?！?9〕《美國統(tǒng)一個人數據保護法》對于重新識別規(guī)定了三項例外情形：（1）重新識別是由之前對個人數據進行假名化或匿名化的控制者或處理者進行的；（2）數據主體希望通過控制者實施再識別技術使其個人數據處于可識別狀態(tài)加以維護的；（3）重新識別的目的是評估匿名化數據的隱私風險，進行重新識別的主體不會使用或披露經重新識別的個人數據，除非向創(chuàng)建匿名化數據的控制者或處理者證明隱私漏洞（privacy vulnerability）。類似地，歐盟GDP R 第4 條第5 項在界定假名化機制（pseudonymisation）的同時，也強調個人信息處理者應當獨立存儲額外信息，不僅要采取妥適的技術措施，而且還必須組織措施確保不重新識別自然人身份、不重新將個人信息連結至特定自然人。

這種對信息處理者課以全程不識別身份的義務，在法律解釋上可以從《個人信息保護法》第73 條第三項中的“不借助額外信息”推演得出。《個人信息保護法》第73 條第三項規(guī)定：“去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。”根據該定義，去標識化最終體現為一個“過程”。因此，在邏輯上去標識化由兩部分構成：第一，完成去標識的動作；第二，在利用中保持去標識的狀態(tài)。在第一部分中，“個人信息經過處理”表述了個人信息處理者的作為義務，“無法識別特定自然人”是作為檢驗去標識這一動作是否適格的標準，而“在不借助額外信息的情況下”是檢驗去標識這一動作是否適格的環(huán)境要求。既然“不借助額外信息”是去標識后“無法識別特定自然人”的環(huán)境要求，那么這就意味著在第二部分，即在利用中保持去標識的狀態(tài)，必須使經處理的信息始終處于“不借助額外信息”的環(huán)境之中。于是，在保持去標識狀態(tài)階段，為了使信息始終處于“不借助額外信息”的環(huán)境狀態(tài)，就必然要求個人信息處理者始終不能破壞該環(huán)境狀態(tài)，即始終不能借助額外信息。至此，個人信息處理者在處理過程中禁止識別身份的義務借由《個人信息保護法》第73 條第三項推演而得出。

然而需要注意的是，個人信息處理過程中禁止通過結合分析識別身份，但并未禁止通過結合分析而分析評估個性特征?！秱€人信息保護法》第73 條第三項強調無法識別“自然人”。根據前文所述，《個人信息保護法》用“自然人”來表述識別的目標時，“自然人”實際表達的是“自然人身份”之意。也就是說，若分析評估行為是以認識個性特征為目標，則此種“借助額外信息”進行結合分析的行為未被禁止。

當然，一旦個人信息處理者需要通過分析評估過程進而識別出個人的身份，那么僅含間接標識符的個人信息便轉化為含直接標識符的個人信息，從而個人信息處理者重新具有取得個人同意之義務。

五、不含標識符之個人信息的治理規(guī)則

對于含直接標識符或僅含間接標識符之個人信息以外的個人信息，應當確認為屬于不含標識符之個人信息。此類個人信息的治理規(guī)則落入純粹的責任規(guī)則，應當遵守《個人信息保護法》基本原則和具體規(guī)范，實質性保護個人信息權益，努力預防侵害結果的發(fā)生并給個人以救濟保護。

（一）不含標識符之個人信息與匿名信息的鑒別

所謂不含標識符之個人信息，是指不含直接標識符和間接標識符的信息?？傮w而言，可以包括兩類：第一類是屬性信息，包括性別、年齡、職業(yè)和愛好等，與個人不具有一對一關系；第二類是行為信息，包括狀態(tài)信息（健康）、行為信息（內容、軌跡信息）等。美國部分規(guī)范性文件中將這些信息（尤其是屬性信息）稱為準標識符（quasi-identif ier）。〔30〕有學者將之譯為“間接標識符”，但須指出，此間接標識符與本文所謂間接標識符并非同一含義。參見劉穎、谷佳琪：《個人信息去身份化及其制度構建》，載《學術研究》2020 年第12 期；程海玲：《個人信息匿名化處理法律標準探究》，載《科技與法律》2021 年第3 期。常見的準標識符有：性別、出生日期或年齡、事件日期（如入院、手術、出院、訪問）、地點（如郵政編碼、建筑名稱、地區(qū)）、族裔血統(tǒng)、出生國、語言、原住民身份、可見的少數民族地位、職業(yè)、婚姻狀況、受教育水平、上學年限、犯罪歷史、總收入和宗教信仰等?！?1〕《信息安全技術個人信息去標識化指南》（GB/T37964—2019）第3.8 條的注。歐盟GDPR則將這些屬性信息稱為“因素”（factors，第4 條第1 項第二分句）。這些信息如果結合間接標識符或者直接標識符，可以輔助針對個人的分析評估（prof iling），比如分析個性特征，揭示信用、行為傾向等；而如果不結合間接標識符或直接標識符，則可以針對群體進行挖掘分析（data mining），如科學研究、市場分析等。本部分顯然僅限于討論不含間接標識符或直接標識符的信息。

關于不含標識符的個人信息是否屬于匿名信息問題，學界有不同的認知。荷蘭烏得勒支大學教授納德日達·普托娃（Nadezhda Purtova）指出，采用當下的判斷標準來界定個人信息，那么個人信息將是無所不包的，幾乎沒有什么信息屬于匿名信息?！?2〕Purtova,Nadezhda.(2018).The law of everything.Broad concept of personal data and future of EU data protection law.Law,Innovation and Technology.10.1-42.10.1080/17579961.2018.1452176.當然也有相反的意見，例如來自牛津大學、曼徹斯特大學的九位學者通過法教義學手段對GDPR 中假名數據的定義進行分析，從而提出，基于相關性測試結果，去除標識符的數據也有可能被認為不屬于個人數據。〔33〕Mourby,M.,Mackey,E.,Elliot,M.,Gowans,H.,Wallace,S.E.,Bell,J.,...&Kaye,J.(2018).Are‘pseudonymised’data always personal data? Implications of the GDPR for administrative data research in the UK.Computer Law &Security Review,34 (2),222–233.

實際上，我國已經有判例傾向于后者的意見，將無標識符的個人信息認定為匿名信息。在“余某訴北京酷車易美網絡科技有限公司隱私權糾紛案”中，廣州互聯網法院認為，被告運營的App 能夠提供原告名下車輛的歷史車況信息，但是該信息已經過脫敏處理，無法單獨識別原告；雖然存在通過第三方信息與車況信息結合識別到特定自然人的可能性，但是考慮到行為成本問題，可以忽略此種可能性。故此，法院認為案涉歷史車況信息不屬于個人信息?！?4〕余某訴北京酷車易美網絡科技有限公司隱私權糾紛案（廣州互聯網法院〔2021〕粵0192 民初928 號民事判決書）。另外，也有類似觀點認為，在重新識別個人身份將付出高額成本的情況下，就可以認為信息已達到匿名化程度?！?5〕前引〔17〕，楊合慶主編書，第175 頁。

然而，在《個人信息保護法》明確匿名信息不屬于個人信息進而不適用《個人信息保護法》的情況下，對于“匿名信息”概念進行從寬解釋是危險的。如此寬泛認定匿名信息將導致個人信息處理者有規(guī)避適用《個人信息保護法》的空間。而目前研究認為，匿名信息真正能做到完全沒有復原可能的情況是不存在的，這意味著匿名信息的處理行為仍然殘余風險?！?6〕Finck,M.,&Pallas,F.(2020).They who must not be identified—distinguishing personal from nonpersonal data under the GDPR.International Data Privacy Law,10(1),11-36.世界并非“非黑即白”，在網絡化背景下，數據都具有可關聯性，即具有可識別性，沒有辦法真的去識別。在這種情況下，處理此種信息的行為仍然要遵守《個人信息保護法》規(guī)定的必要的技術和組織措施。從這一意義上看，對匿名信息應當進行嚴格解釋，將《個人信息保護法》第73條第四項中的“不能復原”解釋為復原的客觀可能性為零或者極低?！?7〕江必新、李占國主編：《中華人民共和國個人信息保護法條文解讀與法律適用》，中國法制出版社2021 年版，第15 頁。

因此，如果不能充分證明經去標識處理的個人信息不再具有識別身份的可能性，應當將此種信息認定為不含標識符之個人信息，而非匿名信息。為防止脫法行為，不僅應當對《個人信息保護法》匿名化信息作嚴格解釋，而且隨著時間技術發(fā)展，一旦匿名信息又存在識別身份可能性，應當立即恢復認定為不含標識符之個人信息。〔38〕張新寶主編：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021 年版，第570-571 頁。

（二）無事前同意和事后拒絕之必要

對于無標識符之個人信息的治理規(guī)則而言，當然應當包括不需要經過事前的個人同意以及處理全過程禁止識別身份。一方面，因為無標識符之個人信息不含直接標識符，不能直接識別出信息指向誰，在處理前不需要也無法經過個人之同意。另一方面，基于與含間接標識符之個人信息相同的理由，因為數據的可鏈接性或者說鏈接能力的無法完全消除性，導致即使對于無標識符之個人信息，也應防止在結合識別過程中通過分析評估而識別個人之身份，因此個人信息處理者仍然具有全過程禁止識別個人身份之義務。

不僅如此，在無標識符之個人信息服務于群體分析時，個人也沒有事后拒絕的必要。事后拒絕與事前同意相對，是廣泛意義上的表述。在《個人信息保護法》中，事后拒絕具體體現在五個制度中：第一，撤回同意（第15 條第1 款第一句）；第二，通過自動化決策方式向個人進行信息推送、商業(yè)營銷時，個人的拒絕權（第24 條第2 款）；第三，拒絕個人信息處理者僅通過自動化決策的方式作出決定（第24 條第3款）；第四，拒絕他人對其個人信息進行處理（第44 條第一分句）；第五，個人信息刪除權（第47 條第1 款）。關于第一種制度，即撤回同意制度，因該制度以“基于個人同意處理個人信息”為前提，而無標識符之個人信息處理恰恰不需基于個人同意而進行，因此不適用該制度。至于后四種制度，其皆是因為以個性分析為前提，但是當無標識符之個人信息不結合直接標識符和間接標識符，不聯系、對應相應的個人時，其分析結果不會通過隨身電子設備影響個人。因此后四種情形亦不需要個人進行拒絕。

當然，對于無標識符之個人信息而言，個人信息處理者亦需要采取必要措施預防處理行為或者處理結果侵害個人之權益。雖然個人沒有必要在事前通過同意或者事后通過拒絕機制而主導個人信息處理行為，但這并不影響個人之合法民事權益始終應當得到保護。一方面，個人信息處理者應當采取必要措施預防個人權益被侵害。另一方面，一旦個人信息處理行為造成個人權益侵害，如果造成損失的，個人可以主張侵權損害賠償（《個人信息保護法》第69 條第1 款）；未造成損失時，個人可以主張消除影響、恢復名譽等。

結語

《個人信息保護法》的規(guī)范目的在于保護個人權益而非保護個人信息，并達致個人權益保護與個人信息利用的平衡。在建設數據要素市場的時代背景下更應堅持這一規(guī)范目的。雖然從個人信息保護制度源起和《個人信息保護法》目的條款，我們足可以作出上述解釋，但是《個人信息保護法》主要規(guī)范直接處理關系且以個人權益保護為軸心，在整個制度設計上忽略了處理者使用個人信息的利益，畢竟個人信息是社會可用資源，是社會運行和發(fā)展的“石油”。本文認為，《個人信息保護法》本質上是通過規(guī)范識別行為來保護個人信息權益的，我們應當從不同信息的識別性和風險程度出發(fā)規(guī)范不同類別的識別行為，以此構建平衡實現規(guī)范目的的個人信息治理規(guī)則。個人信息處理過程中保護個人權益主要在于對個人身份的保護，強調去除表征身份的直接標識符和處理全過程禁止再識別身份的義務。在這種情況下，個人權益保護強調禁止識別身份，個人信息利用強調分析評估個性特征。

當個人信息處于不同的識別性程度時，應當分別配置個人信息治理規(guī)則。就含直接標識符之個人信息的治理規(guī)則而言，個人信息處理前必須經過個人的同意或者具備其他合法性基礎。同時處理過程宜刪除直接標識符。就僅含間接標識符之個人信息的治理規(guī)則而言，個人信息處理前不需要經過個人同意，但是相應地，個人信息處理者全程禁止識別個人身份。就不含標識符之個人信息的治理規(guī)則而言，個人信息處理前不需要經過個人同意，同時，個人信息處理過程中個人也沒有必要進行事后拒絕。不過，個人信息處理者應當遵循個人信息處理基本原則和相應法律規(guī)則，一旦出現違反法律的處理行為，應當承擔相應的法律責任，包括民事損害賠償責任。

本文仍然是對直接處理行為的宏觀分析，但其原理同樣可以適用于處理者對外提供。當處理者對外提供的信息不屬于同意控制范圍，那么對外提供就不應當適用同意，但是，接受信息的主體如果要進行分析評估，仍然要遵循《個人信息保護法》等法律的規(guī)定，如果獲取該信息是用于針對個人作出決定，那么要獲得個人的同意；如果不屬于識別個人或針對個人的決定，那么只要遵循上述不含標識符之個人信息的治理規(guī)則，就屬于合目的性的行為。對此，本文不再展開論述。不過，直接標識符、間接標識符以及準標識符之間的邊界是隨著時代發(fā)展和行業(yè)領域的不同而變動不居的，間接標識符亦可以演變?yōu)橹苯訕俗R符。這完全取決于信息本身直接指向個人或識別出個人身份的程度。因此各個行業(yè)領域宜根據行業(yè)特性和技術發(fā)展變化，靈活確定相應行為準則等規(guī)范，指引個人信息處理合規(guī)。如何準確列舉直接標識符、間接標識符和準標識符將是下一階段的重大任務。