個人信息概念的反思：以“識別”要件為中心

李 黎

(北京大學國際法學院 廣東深圳 518000)

個人信息事關自然人的尊嚴與隱私，也與數字經濟和國家安全有著密切聯系[1].個人信息概念的界定決定了個人信息保護法(1)本文中的“個人信息保護法”泛指一切與個人信息保護相關的法律、法規或其他規范性文件.的適用范圍，因此其重要性不言而喻.但究竟何為個人信息，這在學理上仍存在很多爭議.我國學界對其探討也絡繹不絕，不過大多從個人信息與隱私權的異同、個人信息概念的立法模式和拆解“識別”與“關聯”要件等角度進行分析，鮮有學者深入刨析“識別”要件存在的問題.即使有少部分學者開始深入研究“識別”要件，也是在探討“識別”要件產生個人信息范圍無限擴張的困境.但“識別”要件帶來的問題遠不止于此.

在當今網絡世界，定向廣告大行其道，其通過收集用戶與企業交互過程中的信息，進行大數據建模，生成特定用戶的精準畫像，從而有的放矢地向用戶推送符合其喜好的廣告.但是以IP地址、Cookie和IMEI號等唯一標識符為基礎構成的用戶畫像信息是否是個人信息，或者，是否能識別特定自然人存在的不同的觀點.在著名的“朱燁訴百度案”中，一審法院與二審法院對于Cookie +“網絡活動軌跡及上網偏好”能否識別到特定自然人產生了不同的觀點(2)參見江蘇省南京市鼓樓區人民法院(2013)鼓民初字第3031號，江蘇省南京市中級人民法院(2014)寧民終字第5028號..一審法院認為其屬于個人信息，與之相反，二審法院認為這些信息無法識別特定個人身份，因此不屬于個人信息.基于此，究竟何為“識別”，以及何為“識別身份”似乎并無定論.而厘清這些問題的意義，不僅僅是為司法實踐提供清晰的分析思路，更在于為我國完善個人信息保護法律體系提供理論基礎.

1 個人信息概念立法與理論現狀

1.1 個人信息概念的立法現狀

歐盟于2016年正式通過了對成員國具有直接法律效力的《通用數據保護條例》(General Data Protection Regulation, GDPR).GDPR第4條第(1)款對個人信息的概念進行了界定：“個人數據是指與已識別或可識別的自然人(“數據主體”)相關的任何信息；可識別的自然人是指可以直接或間接識別的人，特別是可以參考諸如姓名、識別號碼、位置數據、網絡標識符之類的標識符，或者是參考特定于該自然人的1個或多個身體、生理、遺傳、心理、經濟、文化或社會身份.”GDPR前序26條指出，是否能夠識別應考慮所有可能合理地由控制者或任何其他人用來識別的手段.

相比歐盟，美國并沒有統一的個人信息保護法，而是分散在不同的具體行業立法中.傳統上，美國對個人信息主要有識別模式(the tautological approach)、非公開模式(the non-public approach)和列舉模式3種[2].但近年來，美國各州也逐漸轉向以識別為中心的個人信息界定模式.比如2018年公布的《加利福尼亞州消費者隱私保護法案》(California Consumer Privacy Act of 2018，CCPA)1798.140條第(o)款規定，個人信息是指能夠識別、關聯、描述，能夠與特定消費者或家庭直接或間接關聯或合理鏈接的信息.

中國目前同樣沒有一部獨立的個人信息保護法，對于個人信息的定義因此散落在不同的法律法規中.早在2005年，《中華人民共和國個人信息保護法(專家建議稿)》第9條就將個人信息定義為“個人姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息[3].”隨后直到2016年《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)的出臺，中國才首次在法律層面正式定義個人信息，其第76條第(5)款規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.”2020年頒布的《中華人民共和國民法典》中采取了類似的定義.

1.2 “識別”要件的理論辨析

基于上述梳理，無論是歐盟、美國還是中國語境下的個人信息，身份識別都是核心要件.識別包括“已識別”和“可識別”2種情況.根據WP29工作小組 (Article 29 Data Protection Working Party)的觀點，一般而言，當自然人在某一人群中與該群體的所有其他成員“有區別”時，可以被視為“已識別”[4].而“可識別”是指盡管該自然人尚未被識別，但是后續存在被識別的可能性[4].“可識別”往往是決定信息是否成為個人信息的爭議焦點所在.換言之，本文討論的“識別”即為成功識別一個“可識別”的自然人的過程.通說認為，“可識別”可以分為直接識別與間接識別2種路徑[5].所謂直接識別，是指根據單個信息即可直接識別特定自然人；而間接識別是指單獨通過該信息無法識別特定自然人，但是該信息結合其他信息可以識別個人信息主體[5].

以電子方式記錄的個人信息通常存儲在數據庫系統中，其存儲形式類似于Excel表格.在計算機科學領域，每一列數據為一個屬性(attribute)，如姓名、性別和年齡等，1行數據則為1條記錄(record)，代表1個自然人，若干條記錄最終組成1個數據集(dataset).屬性又可稱為標識符(identifier)，標識符分為直接標識符(direct identifier)和準標識符(quasi-identification)2類[6].直接標識符是指能在特定場景下單獨識別個人信息主體標識符[6]，比如身份證號碼、電話號碼和車牌號碼等；而準標識符需結合其他信息才能唯一識別特定個人信息主體[6]，比如性別、年齡和職業等.如僅基于上述分析，那么通過直接標識符識別個人信息主體身份屬于直接識別，而準標識符與其他信息結合識別則屬于間接識別(下文將詳細論述該結論正確與否).

2 “識別”要件的實踐困境

2.1 定向廣告引發的問題

早在1972年，學者Miller[7]就預言：“電子計算機將使得預測個體或群體行為的虛擬活動成為可能.”這一預言如今已經成真.2007年11月，美國聯邦貿易委員會(Federal Trade Commission, FTC)邀請消費者代表、網絡廣告行業代表、技術專家和學者舉行了一場有關網絡定向廣告的研討會議[8].會上，隱私倡導者們認為基于用戶信息而生成的定向廣告正在侵犯公民的隱私，而廣告行業的代表們卻聲稱他們收集的信息并不是個人信息，因此定向廣告并不違法[8].與“朱燁訴百度案”中的爭議類似，何為“識別”，以及定向廣告涉及的信息又能否識別特定自然人是爭議的核心.

在進行下一步分析之前，首先對定向廣告的原理進行簡要介紹.中國廣告協會2014年發布的《中國互聯網定向廣告用戶信息保護行業框架標準》規定，定向廣告是指“通過收集一段時間內特定計算機或移動設備在互聯網上的相關行為信息，例如瀏覽網頁、使用在線服務或應用等，預測用戶的偏好或興趣，再基于此種預測，通過互聯網對特定計算機或移動設備投放廣告的行為[9].”在傳統個人電腦中，企業通常使用Cookie(3)通常企業會在設備終端上存放一個Cookie文件，文件內存有一個企業采取一定規則生成的唯一“字符串”用以唯一標識該設備，為了行文方便，下文統一用“Cookie”代替該唯一“字符串”.或者IP地址(4)IP地址分為靜態IP地址與動態IP地址，靜態IP地址通常不會變化，而動態IP地址則在每次連接時都會變化，本文在沒有強調“動態”的情形下均指靜態IP地址.作為用戶(設備)的唯一標識，即一個Cookie或者靜態IP地址代表一個特定用戶.在移動設備中，企業會使用移動設備的唯一標識符(通常為IMEI號、IDFA號、Android_id或Mac地址等)作為標識.基于此，企業在與用戶交互的過程中將收集到的各種信息通過用戶唯一標識符關聯起來，這些信息包括但不限于瀏覽器歷史記錄、搜索記錄、移動應用列表等.最后經過算法建模生成特定用戶的個性化畫像(以用戶標簽的形式存在，比如性別標簽、年齡標簽、職業標簽等)，以實現定向精準廣告推送.可以看出，定向廣告整個過程涉及Cookie、IP地址、移動設備標識符等信息(以下簡稱“網絡唯一標識符”)、瀏覽器歷史記錄、搜索記錄、移動應用列表等網絡行為信息和用戶畫像標簽信息.而這些只和設備產生直接聯系的信息是否屬于個人信息，抑或是否能夠“識別”出特定自然人，都首先需要厘清“識別”的含義.

2.2 實踐中的爭議

需要注意的是，很多國家的個人信息保護法已經明確在個人信息定義中列舉了IP地址、設備標識符等信息.例如在CCPA 第1798.140條第(o)(1)(A)明確規定了IP地址屬于個人信息，中國《個人信息安全規范》的附錄A的個人信息示例表中也列出了IP地址、設備號和上網記錄信息，GDPR第4條第(1)款也將網絡識別符列入其中.但這只是法律對于個人信息概念抽象界定的具象化舉例，而不能因此就認定其是個人信息[10].是否屬于個人信息，仍需從個人信息的“識別”要素出發，在具體的語境下進行個案判斷.正如CCPA條例中指出，如果企業收集了其網站訪問者的IP地址，但未將IP地址鏈接到任何特定的消費者或家庭，并且無法合理地將IP地址鏈接到特定的消費者或家庭，則該IP地址不是個人信息[11].

傳統上，網絡唯一標識只有結合真實姓名等信息才能夠識別特定自然人.比如香港個人信息隱私委員(Privacy Commissioner for Personal Data，PCPD)在一份意見答復中提到，IP地址單獨不構成個人信息，因為其既無法揭示終端設備的精確位置亦無法得知該設備背后用戶的身份[12].但是，PCPD認為如果企業能夠獲得互聯網服務提供商(Internet Service Providers，ISPs)手中的IP地址使用時間和IP地址分配日志(包含用戶姓名、地址和聯系方式等信息)，IP地址即可以認定為個人信息[12].歐盟WP29工作小組同樣認為企業結合ISPs手中的IP地址分配數據可以識別出特定自然人[13].

但有人提出了不同觀點.比如新加坡數據保護機構(Personal Data Protection Commission，PDPC)在一份指引中同樣提到，IMEI號和IP地址雖無法單獨直接識別出特定個人，當用戶的大量網絡行為信息都關聯到一個IP地址或IMEI號時，可形成該IP地址或IMEI號所指向的設備(即設備背后的用戶)的上網習慣或位置畫像，從而與這些畫像信息可以一起識別特定自然人，從而成為個人信息[14].英國信息委員會辦公室(Information Commissioner’s Office，ICO)持同樣觀點，即如果企業基于特定IP地址建立了該IP背后設備的用戶畫像，那么該IP地址與畫像信息結合起來能夠識別特定自然人，從而屬于個人信息[15].顯然，“朱燁訴百度案”中的終審法院否認了這一觀點，其認為“百度基于Cookie收集和利用的網絡用戶偏好信息不能與網絡用戶個人身份對應識別，亦無法通過Cookie和相關信息確定該偏好信息的歸屬主體，因而不滿足個人信息的‘可識別性’要求”.

2.3 “識別”要件面臨的困境剖析

上述爭議的根本原因在于對“識別”的不同理解.PDPC與ICO的觀點認為網絡標識符加上用戶畫像即可構成“識別”，而不用從物理世界中定位到該自然人或者得知該自然人的真實姓名.對于這一類無需關聯物理世界的識別，本文將其稱為“虛擬識別”.歐盟WP29和香港PCPD的觀點認為IP地址需要結合ISPs所掌握的用戶姓名、住址和聯系方式等信息才屬于成功“識別”.即只有成功關聯到物理世界中具體的自然人才能滿足“識別”的要求.對于這一類識別，本文稱其為“物理識別”.基于此，“識別”要件的第1個爭議點在于個人信息的定義是否需要承認“虛擬識別”.

其次，無論是“虛擬識別”還是“物理識別”的語境，都亟待厘清“直接識別”的含義.依據上文，直接識別是指不借助額外信息的情況下，單獨識別個人信息主體的行為，這類信息也被稱作“直接標識符”.顯然，直接識別必須基于場景，在沒有給定具體場景的語境下討論識別沒有任何意義，因為信息在不同的使用場景，其性質可能發生變化[16].譬如姓名這一最典型的直接標識符，如果沒有給定場景就無法單獨識別特定個人，因為大概率全國會有重名的人，而如果將場景限制在某某班級，那么姓名可以單獨識別出特定個人.但從這個角度來看似乎存在“單獨識別”的悖論.一方面我們要求單獨識別不能結合其他信息，另一方面又需要特定的場景信息.在上述例子中，“某某班級的某某”本質上就可以理解為“某某”和“某某班級”2個信息，因此實質上這里的直接標識符姓名借助了其他信息“某某班級”.再者，即使是個人生物信息、電話號碼和身份證號碼等可以唯一對應到特定自然人的直接標識符，這種對應只是一種簡單且空洞的指向性，只能表明該類信息對應著唯一一個特定自然人，但對該自然人的其他情況仍然是一無所知，更無從談起識別該自然人的身份[17].

最后，需要考慮究竟何為“身份”，如何才是識別了特定自然人的身份.在虛擬識別的路徑中，網絡唯一標識符加上用戶畫像被認定為成功識別特定個人身份.而問題在于并沒有清晰地闡述“畫像”的具體范圍，性別、年齡、愛好、住址和職業等等信息都屬于個人畫像的一部分，究竟需要達到什么程度的畫像才能被認定為成功“識別”并沒有明確的標準.同樣，在物理識別的語境下，姓名、社會安全號碼和手機號碼是否單獨滿足或者結合信息才滿足識別的要求，如果需要結合其他信息，那么其他信息又是哪些信息.比如美國有判例認為社會安全號碼(5)社會安全號碼(social security number, SSN)是美國聯邦政府發給公民、永久居民、臨時(工作)居民的1組9位數字號碼.社會安全號碼的主要目的是為了追蹤個人的賦稅資料，但近年來已經成為實際上的國民辨識號碼.結合相應的姓名即可認定為識別出特定自然人的身份.中國司法實踐對此也存在爭議，有的法院認為手機號碼單獨即可識別特定自然人，如浙江省武義縣人民法院(2018)浙0723刑初377號案例和北京互聯網法院(2019)京0491民初16142號案例；而有的法院認為手機號碼結合姓名才能識別特定自然人，如山東省沂南縣人民法院(2018)魯1321刑初89號案例和廣東省深圳市福田區人民法院(2017)粵0304刑初1716號案例.因此，厘清“識別”的具體含義具有急迫的理論與現實意義.

3 個人信息概念的反思與完善

3.1 個人信息保護的法理基礎及規范目的

上述問題的回答決定了個人信息的范圍，其實質上是一個價值權衡的過程.如何科學地對個人信息保護范圍進行取舍，或許可從個人信息立法目的出發，探尋個人信息保護立法的法理基礎，從根源上對問題進行探討.個人信息保護立法的法理基礎主要是有歐盟的“基本人權保護”理論和美國的“隱私保護”理論[18].

1949年聯合國發布的《世界人權宣言》和1950年簽訂的《歐盟人權公約》都將私生活、家庭、住宅和通信自由視為值得法律保護的對象，這被普遍視為歐洲個人信息保護法律的淵源.1981年歐盟發布的《個人數據自動化處理中的個人保護公約》(以下簡稱《公約》)前言提到，“人權和基本自由”的保護是其立法目的之一.1995年發布的《數據保護指令》和GDPR前序都有類似“基本權利和自由”的表述.基于此，高富平教授[19]將個人信息中值得保護的基本權益分為個人信息自治、身份識別利益和防止歧視3種.個人信息自治，又稱“個人信息自決權”，由德國學者泰姆勒首次提出，并先后在德國、日本和中國盛行[20].簡言之，個人信息自決意味著個人信息主體有權決定何時、何地以及以何種方式處理和向何人披露關于其自身的信息.身份識別利益實質上保護的是附著于身份上的個人利益.過去的身份評價是以姓名為核心并建立在生活交往的事實中，而在網絡空間中，身份是基于企業與用戶交互過程中產生各種記錄而產生的各種標簽形成的，如果算法得出的標簽不正確，那么會對用戶的身份產生錯誤的認知，并可能損害相應個人的人身和財產權利[20].最后是防止歧視，其中防止歧視最重要的在于確保每個人被平等對待，這主要體現在大數據和算法價格殺熟、教育和就業歧視等[20].

保護個人隱私也是個人信息保護立法的重要目的.這一法理基礎盛行在美國的個人信息保護立法中.這一點從美國個人信息保護法律的名字也能看出，比如第1部專門規制個人信息處理的法律即名為《隱私法》，作為一部規范聯邦政府進行個人信息收集、存儲、使用和傳播的法律，美國司法部明確其規范目的在于保護個人的隱私免受無端侵犯[21].雖然美國的隱私保護最早起源于沃倫和布蘭戴斯提出的“獨處權(the right to be let alone)”[22]，但目前已擴充至包含了大陸法系中的人格權、姓名權和肖像權等具體人格權內容[19].

事實上，歐盟和中國的個人信息保護也包含對個人隱私的保護，比如《數據保護指令》前序中提到，除了“基本權利和自由”，“隱私”也是在其中.全國人大法工委在《關于〈中華人民共和國個人信息保護法(草案)〉的說明》中明確提到，《個人信息保護法》制定目的之一就是為了回應“侵擾人民群眾生活安寧”等問題.王利明教授[23]認為隱私包括生活安寧和生活秘密2部分內容，其中生活安寧是指自然人擁有不被他人打擾而正常生活的權利，主要包括排除他人對私人正常生活的干擾、禁止非法入侵私人空間和對個人自主決定的保護.

正如德國學者艾曼所述，個人信息之立法保護目的類似于道路交通法規之保護目的，違反道路交通法規不意味著一定造成交通事故及人身和財產損失，同樣，違反個人信息保護法規也不意味著必然對個人信息主體的權益造成損害[23].實際上，個人信息保護立法是一種事先的風險防范，而防范的風險就是個人信息濫用可能給個人信息主體帶來的財產和人身損害.

綜上所述，個人信息保護立法之目的在于賦予個人信息主體對于其個人信息的自治權利和防范個人信息濫用給自然人帶來的人身與財產權益的傷害，這些權益包括但不限于隱私中的生活安寧與生活秘密、防止歧視等等.

3.2 明晰“識別”的內涵

3.2.1 “虛擬識別”是“識別”的應有之義

本文認為“識別”應包括“虛擬識別”.個人信息保護法中的“識別”一詞濫觴于歐美個人信息保護法中的動詞“Identify”，其名詞形式為“Identity”，這也是我們常說的“識別身份”.在英文的語境下，身份“Identity”一詞應作廣義的理解，即除了我們中文語境下的“你是誰”或 “你是什么身份”，還應包括生理、心理、基因、文化和社會身份等[24].通過相關信息勾勒出該個人獨一無二的“畫像”，從而可以將該特定個人從群體中分辨出來.因此，“Identify”本質上應該包含個人身份與個人特征2個維度，個人身份用來表示“你是誰”；而個人特征用來描述“你是什么樣”[19].

在傳統物理世界，人與人之間的交往都必須通過有形的接觸才能發生.在這一場景下，要達到了解或識別某一個人的目的，首先通常需要通過姓名或身體特征(面容、身高等)來標識該個體，再在互動的過程逐漸獲取特征信息形成該個體的畫像.可以說，物理世界中個人利益與傳統的個人身份直接掛鉤.而在網絡空間中，身份識別遠不及特征識別重要.企業感興趣的是基于你過去的行為與特征，從而預測你未來的行動與偏好，這也是大數據時代數字經濟的價值所在.在網絡空間中，將特定個人的歷史行為、偏好和其他特征關聯起來的正是IP地址、Mac地址和IMEI號等唯一標識符.這些唯一標識符在網絡空間的作用與姓名在物理世界中起著相同作用，甚至更加重要(姓名可能重名，但網絡唯一標識符是唯一的).

從某種意義上來說，基于網絡唯一標識符而形成的個人特征就是與物理世界中“現實身份”相對應的“數字身份”.其次，將對數字身份的虛擬識別納入“識別”的含義中也與個人信息保護立法的目的相契合.如上文所述，個人信息保護法是防止個人信息主體因個人信息濫用而遭受人身與財產損失的前置規范.而基于網絡標識符生成的虛擬身份的確會給個人信息主體帶來傷害，譬如算法依據數字身份的消費水平產生價格歧視(同樣的服務或產品，不同人不同的價格)、基于數字身份的偏好進行精準推送導致并加劇“信息繭房效應(information cocoons)”(6)“信息繭房”的概念最早由凱斯·桑斯坦在其著作《信息烏托邦——眾人如何生產知識》提出的.他認為，隨著計算技術的高速發展，未來人們可以在網絡上選擇閱讀并關注自己感興趣的話題，久而久之，人們最終因這種“選擇”被困在“信息繭房”之中.精準推送技術的出現，會進一步加劇這一情況，并形成一個死循環.關于“信息繭房”的相關內容可參見王妍：《警惕網絡“信息繭房”效應》(載《人民論壇》2020年第11期，第126-127頁).和錯誤推算自然人的“畫像”帶來的人格損害等等.此外，自個人信息保護立法之初，其主要規制范圍即為網絡空間(7)德國1983年“人口普查案”中，法院提出“沒有不重要的個人信息”的觀點正是基于個人信息自動化處理的背景之下.本案的詳細內容可以參見 楊芳：“個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體”(《比較法研究》2015年第6期，第28頁).經合組織(OECD)在1981年發布的《關于保護個人數據隱私和跨境流動的指導方針》同樣在前言中提到，該指導方針正是基于計算機通信技術的迅速發展(參見 OECD：《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data》，http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm).中國《關于〈中華人民共和國個人信息保護法(草案)〉的說明》中也多次提到，本法的制定目的在于保障網絡時代的個人信息合法權益(參見全國人大法工委：《關于〈中華人民共和國個人信息保護法(草案)〉的說明》，http://www.weic.gov.cn/html/xywc/zcfg/202011/57278.html)..在網絡空間中，自然人的大多活動都是基于“數字身份”開展，比如社交網站、購物網站和游戲用戶賬號，至于用戶賬號背后對應著現實世界的誰，大多數企業并無興趣.綜上，本文認為“虛擬識別”是“識別”的應有之義.

3.3.2 “識別”含義之厘清

究竟何謂“識別”.有學者指出，“識別”即只需要標識符單獨或者結合其他信息可唯一指向特定個人即可，例如身份證號碼、手機號碼和姓名(沒有重名的場景下)等[25].也有學者反對這一觀點，認為唯一指向與識別是2個不同的概念，雖然身份證號碼和手機號具有唯一性，但其缺乏“外顯性”，因而無法直接識別特定自然人[26].換言之，身份證號碼和手機號碼，雖都能唯一標識一個自然人，但是這些信息本身只是一串無意義的字符，在沒有與其他信息結合的情況下，不具有任何身份信息.顯然，從上文提到的案例來看，司法實踐更加支持第2種觀點.但筆者認為第1種觀點更加恰當，理由如下：

首先，觀點1給出了清晰明確且易于操作的標準.第2種觀點要求信息能夠透露出個人信息主體的身份信息(外顯性)，而不應該僅僅是一串無意義的字符.基于該邏輯，那么姓名似乎也無法透露出個人信息主體的身份信息，因為其本身也只是一個標識符，無法透露出更多關于個人信息主體的信息，但該結論顯然與我們的常識相悖.其次，“身份”概念非常模糊，而模糊必定導致法律適用的不確定性增加，如上文所提到的，網絡唯一標識符需要結合多少信息才能算作識別并無定論.而反觀觀點1，只要能唯一標識一個數據主體，將其從群體中區分出來，即滿足要求，從而避免陷入“究竟何為識別身份信息”的困境.

其次，觀點1可與匿名化制度完美銜接.匿名化制度基本上在所有個人信息保護法中都有規定，雖然不同法律中存在些許差異，但總體來說差異不大.以《網絡安全法》為例，第42條將匿名化信息規定為“經過處理無法識別特定個人且不能復原的信息”.換言之，個人信息與匿名化信息的界限在于能否識別特定自然人，因此在判斷信息是否屬于個人信息的同時，實質上也是在判斷是否屬于匿名化信息.目前匿名化技術方案與標準都是基于直接標識符與間接標識符的基礎而展開的(8)國內和國際上相關匿名化技術標準中都以直接標識符和間接(準)標識符作為處理的最小顆粒(相關匿名化標準文件參見 GB/T 37964—2019《信息安全技術 個人信息去標識化指南》；PDPC, GUIDE TO BASIC DATA ANONYMISATION TECHNIQUES, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf； NIST, De-Identification of Personal Information, https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf; ICO, Anonymisation: managing data protection risk code of practice, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf; IPCO, De-identification Guidelines for Structured Data, https://www.ipc.on.ca/wp-content/uploads/2016/08/Deidentification-Guidelines-for-Structured-Data.pdf)..因此，個人信息概念中“識別”的含義如能與計算機技術中的“識別”保持一致，這對促進匿名化制度的規范化有著重要意義.如上文所述，直接標識符是指能夠單獨識別特定自然人的信息，而準標識符為結合其他信息可以識別特定個人的信息.基于此，匿名化處理中首先需要去除數據集中的所有直接標識符[27]，再綜合考慮對準標識符的處理方案，以達到防止重識別的目的.在匿名化技術語境下，“識別”的含義可以從直接與間接標識符的定義一窺究竟.如《ISO/IEC 20889:2018》規定，直接或間接標識符是指可以單獨或與其他信息結合“唯一標識(unique identification)”或從群體中“單獨挑出(single out)”個人信息主體的信息[28].該標準進一步指出，“單獨挑出”是指通過觀察一系列可以單獨標識一個數據主體的屬性，將該特定個人的記錄從數據集中區別開來[29].可以看出，在計算機科學領域，或匿名化的語境下，識別并不要求獲知數據主體的特征信息，其核心在于能夠將特定個人與其他人區分開來，而這一目的在信息系統中正是通過唯一標識符達到.

最后，觀點1可以解決“直接識別”的困境.如采取第2種觀點，單個姓名、身份證號碼等信息似乎也無法透露該自然人的任何身份特征，從而，無法直接識別特定個人.那么到底是否存在能夠直接識別的信息都將存疑，直接識別與間接識別的二分模式似乎并無意義.如采取“唯一指向”的觀點，那么直接與間接識別區分的困境將迎刃而解.簡言之，能單獨唯一指向特定自然人即為直接識別，諸如身份證號碼、手機號碼和網絡唯一標識符等；而需要結合其他信息才能唯一指向特定個人則是間接識別，如性別無法單獨唯一指向特定個人，因為在一個數據集中可能存在數個相同性別的個體，但假如該數據集中只有一個25歲的男性，那么該性別加上年齡即可唯一指向該特定自然人.

3.3 個人信息分級分類保護的進路

建立個人信息分級分類制度，并分別予以不同的法律保護是一個老生常談的話題.比如依據能否單獨識別特定個人劃分為直接個人信息與間接個人信息，依據信息敏感度將個人信息劃分為一般個人信息與敏感個人信息.此外，在理論上，個人信息的分級分類也被很多學者提出，譬如：美國學者Schwartz等人[29]根據數據的識別程度將數據劃分為已識別數據、可識別數據和不可識別數據3種；荷蘭數據科學家Leenes[30]將個人信息分為“查找型標識符”和“認知型標識符”.

然而上述分類方式沒有考慮到個人信息的濫用能否影響到現實世界中特定自然人的問題.比如，基于敏感度的分類方式將個人信息劃分為一般與敏感個人信息，因為敏感個人信息泄露通常會嚴重損害個人信息主體的人身或財產安全.然而在虛擬識別的語境下，即使收集、處理醫療健康、宗教信仰和精確位置等敏感個人信息，對個人信息主體似乎并無過分影響.我們懼怕醫療或者宗教等信息泄露的根本原因在于我們周圍的人因此而對我們產生歧視.因此如果僅僅將這些信息與虛擬的唯一標識符連接(數字身份)，而無法影響到物理世界的特定個人，那么在法律上區別對待的意義并不大.反之，如果能關聯到真實姓名、住址等物理身份信息，那么可能對個人信息主體產生重大的人身與財產損失，如位置信息被用于暴力催收致人傷亡和電話號碼被用于電信詐騙等.

基于此，在上述分類基礎上，本文主張基于信息能否“現實識別”進行區分.首先，依據上文劃分的身份識別與特征識別，個人信息可劃分為“身份識別信息”與“特征識別信息”.身份識別信息是指能夠單獨或者結合其他信息唯一標識一個特定個體的信息，但其無法外顯該自然人的任何特征，該類信息有姓名、學號和網絡唯一標識符等；而“特征識別信息”則是描述個人信息主體特征的信息，如年齡、性別和愛好等.在這一基礎上，“身份識別信息”可劃分為“現實身份信息”與“數字身份信息”.現實身份信息是指可與現實身份直接關聯，從而識別出物理世界中特定自然人的信息，該類信息的典型有姓名、精確位置信息、身份證號碼等等；數字身份信息則無法關聯到現實世界的自然人，除非與現實身份信息結合，譬如IP地址本身只能識別出特定電腦，但是一旦與姓名或者住址等信息結合，可以識別出現實身份.基于該分類方法，法律應該給予現實身份信息更多的重視，同時減輕企業處理數字身份信息.從而在確保個人信息主體權益的情況下，促進數據自由流動.

4 結 語

定向廣告中相關個人信息爭議的根源在于“識別”含義的模糊.本文主張將虛擬識別納入識別的含義之內，從而解決網絡世界中個人信息濫用可能損害個人數字身份的問題.其次，“識別”有“識別身份”和“唯一標識區分”2種解釋，采取“唯一標識”的解釋路徑不但可以簡化法律適用，與匿名化制度保持銜接，亦可解決直接識別的理論困境.最后，本文提出現實身份信息與數字身份信息的分類方案，給與不同的保護力度，在保護個人信息主體合法權益的同時，以確保數字經濟的繁榮發展.