數字時代匿名化個人信息處理的正當性問題*

王勇旗

（河南警察學院 鄭州 450046）

1 背景及問題的提出

我國對匿名化的個人信息處理未有明確法律規定，在《個人信息保護法》第73條、《網絡安全法》第42條和《民法典》第1038條規定了“無法識別且不能復原”的個人信息屬于匿名化個人信息，《電子商務法（草案）》第50條也有相似規定，但最終頒布的《電子商務法》將其刪除，2017年“兩高”發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第3條采納了相似規定。其他既有制度規范以“去標識化”“去身份化”“匿名”等與此相關術語體現。如2014年，由中國廣告協會互動網絡分會發布的行業規定《中國互聯網定向廣告用戶信息保護行業框架標準》中對去身份化作出界定，是指“信息無法用于識別、確認或關聯至某個特定用戶”；2014年，由中國科學技術法學會、北京大學互聯網法律中心發布的《互聯網企業個人信息保護測評標準》，以“信息或信息集合無法合理識別特定用戶身份的信息”統一作為去識別化和去身份化的界定；2019年，由國家市場監督管理總局和中國國家標準化管理委員會聯合發布的《信息安全技術個人信息去標識化指南》中規定，去識別化個人信息是指“通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程”。

關于匿名化界定，有學者指出：“匿名化指的是讓所有能揭示個人情況的信息都不出現在數據集里，比方說名字、生日、住址、信用卡號或者社會保險號等”[1]。從比較法角度分析，歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）中規定為“匿名化信息”（anonymous information），美國立法則采用“去身份化”（de-identification）表述。本文認為，從上述規范對“去標識化”“去身份化”“匿名”“匿名化”的規定可以看出，前三者內涵同匿名化并無實質區別，但結合本國（地區）實情，在具體操作中會存在不同。此類個人信息能否作為數字時代對其處理的正當性事由及如何對此類信息提供適格保護，目前我國既有制度未有確定性指引。

個人信息控制者包括信息主體和其他主體，如國家及代表國家行使職能的機構、非國家機構等，從信息主體角度講，對其個人信息匿名化十分困難，而其他個人信息控制者則可依靠相關技術對其實施匿名化處理，并將其作為網絡數據產品，以實現對個人信息的進一步利用。但其中存在一定的問題，相關主體可以通過技術手段對個人信息實施匿名化，反之，也可借助類似技術對匿名化的個人信息實施“去匿名化”，以達到對個人信息的可識別標準。此種場景下，個人信息安全飽受威脅，信息主體的人格利益及以人格利益為基礎的財產性利益得不到有效保障，這也是當下個人信息處理正當性所應面對的重要問題。本文結合域外立法和相關司法實踐，探討匿名化個人信息的識別性問題，試圖建構對匿名化個人信息處理的正當性規則，以實現個人信息保護與個人信息利用間的平衡。

2 個人信息匿名化的域外立法分析

匿名化屬于計算機科學領域中一項重要技術手段。1997年，美國專家Samarati和Sweeney提出匿名模型方案，將其命名為“k-anonymity”[2]。隨著人工智能算法分析技術發展，此類技術解決方案日漸成熟，在個人信息領域應用廣泛。比較法上，歐盟地區立法基本采用“匿名化”（anonymization），并在GDPR得到確認，而美國采用“去身份化”（de-identification）術語，主要是因為不同國家和地區歷史文化等背景不同。如上文所述，僅從術語上看，二者雖表述形式不同，但實質相似。結合本議題，我國既有法律等制度規范中對匿名化個人信息有相關規定，但多屬原則性、指導性規定，雖然我國已制定專門的個人信息保護法，但既有規范仍存在碎片化、系統性不足、實際操作性弱等缺陷。鑒于此，文章從比較法角度分析個人信息匿名化基礎問題，對分析匿名化的個人信息能否作為對其處理的正當性事由大有助益，對我國個人信息保護法中匿名化個人信息規定具有一定指導意義。

2.1 歐盟的規定

歐盟根據本地區歷史文化背景，十分尊重自然人個人隱私權，重視自然人個人信息權益，并通過賦予每一個人都應該享有個人信息的基本人權來保護其個人信息[3]。在此背景下，歐盟對高新技術在個人信息領域的應用持相對保守態度，如對人工智能技術的發展和應用方面，2018年4月，歐盟委員會發布的《歐洲人工智能》（Artificial Intelligence for Europe）明確指出，歐盟采取“以人為本”理念發展人工智能技術，既注重發展人工智能產業，更關注人工智能技術對人類社會的倫理道德、法律等方面帶來的挑戰。基于此，2019年4月，歐盟先后發布《可信AI倫理指南》（EthicsGuidelines for Trustworthy AI）和《算法責任與透明治理框架》（A Governance Framework for Algorithmic Accountability and Transparency）。歐盟在個人信息利用和保護方面亦秉持較為保守的態度，認為個人數據的泄露不僅關乎財產安全，而且事關人格尊嚴，甚至生命。鑒于此，歐盟對個人信息保護持較為嚴格的立法態度，以統一立法形式對個人數據安全予以保護，兼以嚴格法律監控保證數據流通中的安全，以做到個人信息保護與利用間的平衡，并更側重個人信息保護，為世界提供了一套較為嚴謹的個人信息保護方案[4]。

歐盟關于匿名化的概念最早出現在1995年制定的“95指令”的第26條，對于無法識別特定數據主體的匿名數據不適用數據保護規定。2014年4月，歐盟第29條工作小組（Article 29 Working Party）通過了《第05/2014號：關于匿名化技術的意見》（Opinion 05/2014 on Anonymisation Techniques），指出匿名化技術在歐盟既有法律框架內對數據保護的“有限性和局限性”[5]，并提出有針對性的意見和建議。2018年5月25日實施的《通用數據保護條例》是在《數據保護指令》（Date Protection Directive，簡稱“95指令”）基礎上出臺的，并在第4條第5款，對匿名化個人信息作出界定，指采用相關技術對個人信息進行處理后，非經其他信息輔助，不能識別出信息主體的個人信息“或以數據主體不能或不再可識別的方式匿名提供的個人信息”[6]。

2.1.1 歐盟第29條工作小組

歐盟第29條工作小組（Article 29 Working Party）是根據歐盟《關于在處理個人數據和此類數據自由流動方面保護個人的指令》第29條建立的，由歐盟成員國國家數據保護機構的代表、歐洲數據保護監督代表和歐洲委員會的代表組成，負責解釋《數據保護指令》規定的機構之一。它是一個獨立的歐洲數據保護和隱私咨詢機構，通過發布有關歐盟個人數據保護指令不同方面的建議、意見和工作文件來執行此任務（截至2018年5月25日，該小組已不復存在，由歐洲數據保護委員會（EDPB）取代）。2014年4月10日，該小組通過了《第05/2014號：關于匿名化技術的意見》（以下簡稱《意見》）， 該意見涵蓋了圍繞數據匿名化的一系列法律和技術問題，并對匿名化技術進行說明：第一，個人信息匿名化后，必須被剝離足夠的元素（sufficient elements），不能再使用“所有可能合理使用的手段”來識別信息主體身份，重點強調應是在“所有”、“可能”和“合理”等情況下，且結果是“不可逆的”（irreversible），并進一步指出，經過匿名化處理的轉換數據或數據絕不能等同于歐盟數據保護法意義上的“匿名化數據”；第二，雖然該小組早在2013年已提出限制數據收集者控制處理個人數據的“目的限制原則”，在《意見》中對該原則進一步明確，指出匿名化只是數據處理的一種技術手段，數據收集者出于特定目的而收集個人信息，必須在目的范圍內對數據做技術處理。雖然在數據處理中賦予處理者一定的靈活性，但對個人信息匿名化的過程或進一步處理等措施應符合《意見》所提出的目的限制原則，從根本上實現維護信息主體合法權益的目的，可謂運用現代處理技術手段同法律規范有效結合的有益嘗試。

2.1.2 歐盟GDPR

歐盟從全體成員國利益角度出發，對歐盟境內屬于自然人的個人信息實施一體化的強有力保護，不存在差別性對待，并在此前提下，保障數據（包括自然人個人信息）在歐盟境內的自由、無障礙流通。歐盟GDPR前言（26）對個人信息匿名化進行了如下規定：數據保護的原則應適用于任何與已識別或可識別自然人相關的信息。經過匿名化的個人信息，通過使用其他附加信息可識別出特定自然人的信息應被視為可識別出自然人的個人信息。確定自然人的個人信息是否可被識別，應考慮所有極有可能采取的手段，例如由控制人或其他人直接或間接地識別出自然人的方式。在此過程中，為確定是否極有可能使用手段來識別出自然人，應考慮所有客觀因素，例如識別的成本和所需的時間，考慮到技術發展時可用的處理技術。因此，數據保護原則不應適用于匿名信息，即與已識別或可識別的自然人無關的信息，或與以無法識別或不再可識別數據主體的方式匿名的個人數據無關的信息。因此，本法規不涉及處理此類匿名信息，包括出于統計或研究目的。

從歐盟GDPR關于個人信息匿名化的規定，可以看出歐盟對匿名化個人信息的態度：第一，即使個人信息已被匿名化，但如結合其他附加信息或通過相關技術手段仍可識別出特定自然人，此類信息不應稱被為匿名化的個人信息，仍受到GDPR的一體規制，受到特殊保護；第二，經匿名化的個人信息不受GDPR調整。換言之，此類信息通過考量所有可能的客觀因素并實施所有可能的技術化手段，將個人信息進行處理，使其真正實現了匿名化，其目的在于將這些個人信息之間的點關系脫鉤[7]，使其不存在任何可以識別出信息背后自然人的符號或特征，此類信息不在歐盟數據保護法的范圍之內，可從隱私中分離出來，以實現此類數據在歐盟境內自由流通，實現對其處理具有了法律規定的正當性，以順應數字經濟發展；第三，匿名化的標準較高[5]。對于已被匿名化的個人信息，雖已不具備識別性，但同其他附加信息結合或借助相關技術手段可識別出信息背后的自然人，此類匿名化的個人信息不符合GDPR所規定的匿名化標準。此處所規定的匿名化是指在考慮到當下所有可能的手段，并參照技術發展水平和發展情況的條件下，對此類信息不能實現再識別。歐盟為防范匿名化的個人信息再次被識別，進而可能危害到信息背后的自然人，也考慮到匿名化的個人信息會隨著周圍情境的變化而再次轉化為可識別的個人信息，引入了“動態風險管理”理念。該理念表現為在變化的動態環境中匿名化的個人信息能否再次被識別，取決于將來的技術水平發展程度和對個人信息的處理方式等因素，即該理念具有一定前瞻性。

2.2 美國

美國在大數據分析技術、人工智能、互聯網應用等高新科技領域一直處于世界領先地位，為促進本國互聯網數字經濟發展，在個人信息保護方面，主要依賴市場機制調節企業自律，對個人信息保護則秉持較為寬松的立場。基于上述原因，美國對關涉互聯網企業立法采取較為保守的態度，美國聯邦尚未頒布專門針對個人信息保護的法律法規[8]。在個人信息匿名化問題上，美國采用與歐盟不同的思路和標準，持較為開放的標準，采用當下較為普遍的“簡約化處理”[9]，一種“去身份化”措施，即以消除一組識別信息與信息主體之間關聯的方式來達到個人信息不被識別的目的，這是一種為保障并促進本國互聯網數字經濟發展而采用的較為弱化的法律或政策。

2010年，美國政府發布的《個人信息保護指引》將“去身份化”界定為“通過刪除足夠的個人身份信息，以使剩余信息無法識別特定個人，并且沒有合理的理由相信此信息可用于識別特定個人”。依據美國立法，對個人信息去身份化意味著“所有可能與特定個人的身份相關聯的信息已被從相關的報告、數據或其他信息中移除”[13]，使處理后的個人信息同其背后的信息主體脫離關聯，以盡量減少收集、使用、共享、傳輸等處理過程中所包含個人信息中的隱私信息，同時也可以規避相關主體在“去身份化”的個人信息處理過程中的風險，降低個人信息保護成本。然而，美國目前的法律和政策在規制不同主體使用“去身份化”的個人信息方面相當遲緩，通常是基于綜合考量使用“去身份化”個人信息所產生的經濟或社會效益同主體所可能面臨的風險情況，來決定是否重新識別“去身份化”的個人信息[10]。但上述風險可能會隨著相關技術的發展而變化，因此美國關于個人信息匿名化的政策應定期審查。

通過上述分析可知，匿名化是從技術角度處理個人信息的方式，使匿名化的個人信息不能再被識別出特定信息主體，這是不借助任何額外的信息前提的行為，但前提是此類附加信息必須單獨保存，并應受制于技術和保護措施，以確保匿名化的個人信息不歸因于已識別或可識別出背后的自然人。

通過比較分析歐盟對匿名化個人信息的界定可以看出，匿名化的個人信息將不會得到復原，根據歐盟第29條工作組的意見，“匿名”一詞反映了最高或最強的取消身份識別級別，但是在歐盟GDPR規定中，較簡單的身份驗證（例如假名）被認為是保護隱私的措施，可以降低數據主體的風險。而美國法律規定的去身份化的個人信息，在一定條件下存在再被識別的可能。由此可以得出，歐盟注重從匿名化技術上保證匿名化的個人信息的存續性，而美國立法認為去身份化的個人信息存在被再次識別的可能，通過再識別風險預防，如隱私風險專家評估、簽訂協議等方式防控去身份化的個人信息出現再次被識別的風險。歐盟較美國而言，在個人信息匿名化標準問題上采用較為嚴苛的標準，并堅持規定目的限制原則和“動態風險管理”理念，旨在通過降低匿名化的個人信息被再識別的風險，以保護信息主體合法權益。

但其中存在的問題是：匿名化的個人信息，就算結果具有不可逆性，但基于當下大數據分析技術，是否仍有可能通過此匿名化的個人信息找出背后的信息主體？是否存在通過集合匿名化的個人信息，進而推斷出屬于某特定人的個人信息的可能性？質言之，即使在采取一切可能且合理的手段的前提下，對個人信息實施匿名化處理，仍存在被識別的風險。因為基于當下技術，在現實中匿名化（去身份化）的個人信息同個人信息間的界限并非十分清晰，始終處于動態變化之中，借助大數據分析等高新技術完全可以實現將匿名化（去身份化）的個人信息演化成為具有識別性的個人信息，當然，這主要取決于個人信息所處的不斷變化的環境狀況。由此可以看出，歐盟所采用的“動態風險管理”理念具有一定的借鑒價值。

3 匿名化個人信息的識別性問題

歐盟GDPR關于個人數據的定義表明，“識別性”始終處于判定是否是個人信息依據的核心位置，即無論是直接抑或間接，單一或組合信息，只要能識別出特定自然人，都屬于個人信息[11]。識別，具體可包括已識別和可識別兩類。所謂已識別，是指身份已被確認或具有顯見特征，無需借助任何其他輔助條件，可單獨達到識別效果并精準確定特定對象。而可識別，是指尚未呈現特定化，只是一種可能性，需借助外部條件來確定，包括確定的可識別和潛在的可識別兩種類型。歐盟GDPR前言（26）條規定：確定自然人的個人信息是否可被識別，應考慮所有合理極有可能采取的手段，由控制人或另一人直接或間接地識別出自然人；為了確定是否合理地有可能使用其他手段來識別出自然人，應考慮所有客觀因素，例如識別的成本和所需的時間，考慮到技術發展時可用的處理技術。數字時代，通過技術處理使得個人信息匿名化，是在保護自然人私權前提下，順應數字經濟發展所需，進而實現保護私權和數字經濟發展間的平衡。根據前文對匿名化個人信息的分析，其應不存在被重新識別的可能性，但在數字時代，完全實現對個人信息的匿名化不具現實性，因為完全可通過“去匿名化”，使匿名化的個人信息再次被識別。即使如此，我們亦不應否認數字時代背景下，通過個人信息匿名化來保護信息主體私權的價值和意義。

匿名化個人信息是指經匿名化技術處理的個人信息應不具識別性，簡言之，通過匿名化個人信息不能指出信息背后的特定自然人，即已無法識別自然人個人身份，為了使個人信息真正匿名，匿名化必須是不可逆的。根據我國《網絡安全法》第42條第1款規定可以看出，匿名化的個人信息需具有“無法識別特定個人”與“不能復原”兩個特征。匿名化的個人信息不僅應具有不可識別性，同時應在技術上不可復原。雖然歐盟對個人信息以識別性作為判斷是否是個人信息的標準，但鑒于數字時代背景下，個人信息不僅應具識別性，還應具有關聯性，而復原實際上可理解為《網絡安全法》第76條第5款中“與其他信息結合識別”的間接識別，由此實現該規范文本的前后對應。

個人信息的匿名化是計算機科學領域的重要研究課題。雖然歐盟、美國及我國的法律等制度規范對此都有規定，以實現個人信息保護同數字經濟發展間的平衡。但在計算機科學領域，對個人信息的匿名化同“去匿名化”一樣，都可輕松實現。結合本議題，在數字時代，依托大數據算法分析等高新技術，實現對個人信息完全匿名化不具現實性。在此背景下，需要區分不同場景，對匿名化個人信息做不同要求。從個人信息角度分析，個人信息對信息主體而言，主要體現在人格利益，而對個人信息利用者而言，則注重其財產性等綜合價值。前者通過保護個人信息以維護信息主體人格利益，即由信息主體對其個人信息實現完全控制，但鑒于個人信息在信息主體社會交往、工作、學習等方面具有不可或缺的作用，加之個人信息所具有的公共性價值，因此由信息主體實現對個人信息的完全控制不具可能性，在此種場景中，并不是匿名化個人信息價值體現場域，主要以個人信息的人格利益展現。數字時代背景下的個人信息控制者呈現多樣性，匿名化個人信息主要體現場域在于商業利用和社會公共事業管理中，后者中的利用主體主要是代表國家的政府及相關機構。匿名化個人信息控制者在實際運用中，一方面需要收集大體量個人信息以滿足其不同需求，另一方面為規避法律風險，則需要借助技術手段以確保匿名化的個人信息不被再識別。在此場景中，無論對信息主體抑或匿名化信息控制者而言，基于維護信息主體私權和滿足信息控制者商業或其他需求，匿名化個人信息都不應被再識別。換言之，在匿名化個人信息利用中，只有提高再識別的風險，信息主體人格利益的保護才更周延，并可有效遏制商業活動等處理匿名化個人信息的不當行為。

匿名化的個人信息不應再被識別，是個人信息匿名化后風險最小化目標考量的結果，但并非意味著其不可再次被識別，這在當前技術條件下完全可以實現。此處所言匿名化的個人信息不應再被識別，可從個人信息同匿名化個人信息間的關系闡釋。本文認為，個人信息不僅包含人格利益，還兼具財產利益、公共性價值等非人格利益，但其重心應是人格利益。當個人信息經匿名化處理后，其所包涵的人格利益和非人格利益將出現分離，不具識別性的匿名化個人信息體現非人格性利益。匿名化的個人信息便于在商業、社會公共事業管理等事務中自由流通，體現其綜合價值，這也是數字時代背景下數字產業發展的必然。但鑒于在既有技術條件下，可輕松實現對匿名化的個人信息“去匿名化”，進而對匿名化個人信息背后自然人合法權益構成威脅，而在保護信息主體私權不被非法侵犯前提下，亦不妨礙匿名化個人信息在流通中綜合價值的實現，本文認為，匿名化個人信息不應再被識別。但如為了滿足公共利益等符合法律規定的正當需求，需對匿名化個人信息重新再識別，屬于處理個人信息行為，應受到個人信息保護法等法律制度規范調整，并應在首先做好個人信息保護基礎上，根據目的限制原則，在符合一定比例的前提下進行“去匿名化”，以達到重新被識別標準。而對于非法的“去匿名化”處理行為，并給信息主體造成危害的，行為主體應承當相應的侵權責任。

4 處理匿名化個人信息正當性的規則設計

本杰明·N. 卡多佐（Benjamin N. Cardozo）指出：“當新的問題產生，公平和正義會指引人們的思維找到解決方案，而當人們仔細審視這些解決方案，就會發現它們是和平衡與秩序相一致的。”[12]處理匿名化個人信息，并非毫無限制，必須在既定法律框架內進行，鑒于我國有關匿名化個人信息的法律規范不統一，呈現“碎片化”。在數字時代背景下，匿名化個人信息的處理不僅涉及信息主體合法權益問題，亦同當下數字經濟發展、社會公共事業管理水平有關。在此背景下，我們應秉持固有的基本價值理念和操守，在維護信息主體合法權益基礎上，設計處理匿名化個人信息的正當性規則。

4.1 邏輯前提：個人信息概念的審慎界定

無論從何種角度出發，概念界定不僅在法律科學中扮演重要角色[13]，而且是分析對象的邏輯前提。結合本議題，匿名化個人信息的基礎是個人信息，而個人信息同時也是個人信息保護法所調整的對象，對個人信息概念分析，關系到個人信息匿名化的邊界。我國雖已制定個人信息保護法，但學界對個人信息界定仍未達成共識。建立具有可行性的個人信息匿名化規則制度的重要基礎是準確界定個人信息概念。從比較法角度可知，如歐盟GDPR中規定“個人數據匿名化”的基礎即是建立在“個人數據”概念之上。由此可以看出，我國個人信息保護類法如要實現對匿名化個人信息的有效規制，并使其可作為處理行為的正當性基礎，應結合數字時代特殊場景審視界定個人信息概念。

當抽象概括性和一般描述性概念及其邏輯體系不足以掌握某生活現象或意義脈絡的多樣表現形態時，大家首先會想到的補助思考形式是“類型”[14]。本文結合上文對個人信息的分類，綜合認為，不同類型個人信息的匿名化要求應有不同，是否可作為處理行為正當性基礎應結合不同類型的個人信息而定。如從信息主體角度講，未成年人個人信息匿名化同成年人個人信息匿名化要求標準上應有不同；按個人信息同信息主體間的私密性程度所劃分的個人生物識別信息、個人敏感信息和個人普通信息，在匿名化標準和要求上不應一致。對涉及未成年人和同自然人身份密切度更高的個人信息，如個人身份信息（personally identifiable information）是當單獨使用或與其他相關數據一起使用時可以識別個人的信息，敏感的個人身份信息可包括姓名、社會保險號、駕駛執照、財務信息和病歷信息等，此類個人信息匿名化標準應有更高要求[15]。雖然我國已頒布并實施個人信息保護法，但應進一步審慎界定個人信息概念，并在此基礎上完善個人信息匿名化的規則設計，為不同主體處理個人信息提供具有指導意義的法律規范，如此，既滿足保護自然人個人信息的立法宗旨，同時又可滿足數字經濟發展、社會公共事業管理等合法、合理需求。

4.2 標準塑造：確立具有可執行性的個人信息匿名化標準

歐盟十分重視個人信息保護，關涉處理個人信息問題持較為謹慎態度，對個人信息匿名化已形成基本框架，并在標準設計等方面積累了有益經驗。匿名化個人信息作為可合法處理的對象，在匿名化標準上采取相當嚴格的態度。總結起來，歐盟在個人信息匿名化標準問題上可從以下幾點說明：首先，從識別上看，即按照匿名化要求并對個人信息執行相應程序后，是否仍可識別出匿名化個人信息背后的信息主體；其次，從關聯度上看，被執行匿名化程序的個人信息，是否同被匿名化個人信息主體的其他個人信息產生關聯；再次，從一般人的推斷上看，一般社會主體處理被匿名化的個人信息，是否會從中推斷出其背后的信息主體；另外，引入“動態風險管理”理念，充分考慮將來的技術水平發展程度以及個人信息的處理方式等因素，對匿名化個人信息的潛在風險進行動態管理；最后，依據目的限制原則，對匿名化個人信息處理的目的不能違背個人信息匿名化之前所設定的目的，否則應承擔侵權責任。

從歐盟個人信息匿名化標準可以看出，其主要通過技術手段并結合“動態風險管理”理念來防止匿名化個人信息的“去匿名化”，注重對個人信息保護，并在此基礎上進行對該類信息的處理。一如前述，數字時代背景下，借助大數據分析等高新技術，實現對匿名化個人信息的“去匿名化”，進而識別出其背后的特定自然人已成現實。從技術角度對匿名化個人信息“去匿名化”進行防范，已不現實。若要塑造統一適用且有效的個人信息匿名化標準，不僅應分析匿名化標準本身，同時應關注匿名化個人信息及其被處理時的具體環境，形成類似于歐盟“動態風險管理”的檢測方案。英國有學者稱之為“功能匿名化(functional anony mization) ”方案，他們認為，當下匿名化失敗的原因，主要在于人們過于關注匿名化技術及匿名化個人信息本身，而忽視匿名化個人信息所處的環境，易言之，一個信息是否是匿名化個人信息，并非僅從是否被采取匿名化技術而定，而應結合其所處的環境而定[16]。我國未來系統性個人信息保護相關法規中對個人信息匿名化標準問題的設置，不僅應關注個人信息匿名化本身，亦應綜合考量匿名化個人信息被處理時的具體場景，并結合處理匿名化個人信息的目的初衷，制定具有可操作性的個人信息匿名化標準，以綜合判定對其處理是否具有正當性。

5 實現個人信息保護與個人信息利用間的平衡

歐盟和美國雖然在個人信息匿名化問題上采用不同思路，如歐盟注重從技術上對個人信息進行匿名化處理，而美國強調風險評估，對信息的直接和間接標識符進行綜合判斷，以此判定其是否具有識別性。具而言之，歐盟制定了個人信息匿名化制度，并在此基礎上積累了大量有益經驗，對匿名化個人信息基本實現了“多元化”規制模式[17]，而美國基于不同場景下可能面臨的不同風險進行綜合分析，同歐盟的“動態風險管理”理念實屬“異曲同工”。二者都極為重視動態環境下對匿名化個人信息的判定，進而認定對其處理是否具有正當性，對于維持個人信息保護和個人信息利用間的平衡意義重大，具有重要的參考價值。質言之，個人信息保護法制本身具有雙重目標，即保護個人信息，并在此基礎上促進個人信息的利用。這是數字時代背景下個人信息的綜合價值，優勢是使其商業價值不斷彰顯，如切斷個人信息利用，數字產業發展將無從談起，這在數字時代是不可想象的。但也存在個人信息保護和個人信息利用之間的博弈，而匿名化技術是個人信息利用中的一個重要環節，是推動個人信息利用的重要路徑。因此我們在面向個人信息保護和個人信息利用的博弈中，應在“技術信仰和人身信仰”中突出“人身信仰”理念[18]，對匿名化個人信息處理應以保護自然人個人信息為基礎前提，促進數字產業發展，其中尤為關鍵的是，應從源頭上保障所收集的個人信息具有合法性，在處理中禁止匿名化個人信息的“去匿名化”，并結合目的限制原則在整個匿名化個人信息處理中的運用，以實現個人信息保護和個人信息利用的平衡。

5.1 保證所收集的個人信息具有合法性

合法性是現代社會法治的一個基本原則或要求[19]。“法與時轉則治”，數字時代，合法原則對限制網絡運營者及其他主體處理個人信息以保護信息主體合法權益具有基礎性意義，在此過程中都應符合我國既定法律、法規、司法解釋等制度規范，包括但不限于《消費者權益保護法》《婦女權益保障法》《身份證法》《刑法》《未成年人保護法》《網絡安全法》《互聯網上網服務營業場所管理條例》《征信業管理條例》《兒童個人信息網絡保護規定》《民法典》《個人信息保護法》等有關個人信息保護的制度規范。換言之，在自然人個人信息被處理時應妥當保護個人信息安全，以合法原則為底線，且在此過程中應妥當處理好數據產業發展與個人信息保護之間的平衡關系。為滿足我國數據產業發展需求，應當鼓勵數據產業正常發展，在數據產業發展中信息流通至為重要，而匿名化個人信息是在保護自然人個人信息基礎上的技術處理，在此過程中個人信息的收集是其首要環節。是故，個人信息的收集主體應以合法性原則為底線，這是我國法治現代化進程中的重要一環，亦是我國《民法典》制定個人信息保護篇章所秉持的立法原則。

我國《民法典》第1035條第1款規定：“處理個人信息，應當遵循合法、正當、必要原則”，在第2款中規定，收集是處理的情形之一。面向個人信息場景，收集行為是處理個人信息的前提，即在符合《民法典》第1035條第1款中“合法”前提下對個人信息進行收集，才能使其后如“存儲、加工、使用”等行為具有合法性。我國《網絡安全法》第42條第1款雖然沒有明確指出匿名化信息的來源，但我們對此應從“合法性”角度進行限縮解釋，即處理匿名化個人信息的前提應滿足其所收集的個人信息具有合法性。如此，既是我國保護個人信息所需，又可實現《民法典》《網絡安全法》《個人信息保護法》的有效銜接，為我國未來個人信息保護系統類立法提供思路。結合本議題，個人信息的匿名化應以個人信息控制者所收集的個人信息為前提，對于非法收集的個人信息不能進行匿名化處理已是當下個人信息保護法視閾中的基本規則之一[20]。在實際操作中，控制個人信息的主體如對其控制的個人信息進行匿名化處理，必須證明其所收集的個人信息具有合法性，包括收集程序、手段等方面，如對匿名化個人信息背后的信息主體發生侵權，在歸責原則上應采用過錯推定，由處理者證明其所收集個人信息的合法性。保證收集的個人信息具有合法性是實現個人信息保護同個人信息利用間平衡的基礎，而對個人信息進行匿名化處理是個人信息利用的方式之一。

5.2 禁止匿名化個人信息的“去匿名化”

匿名化作為計算機科學領域的重要研究領域，屬于數據挖掘技術，在數字時代個人信息流通中具有重要作用，成為被處理時具有正當性的核心要素。而“去匿名化”可通過相似技術實現對去標識化的信息進行重新識別，以確定匿名化信息背后的真實個體。2015年國務院發布的《促進大數據發展行動綱要》指出，政府在社會公共事業管理機制建設中要實現“用數據說話、用數據決策、用數據管理、用數據創新”的統合配套模式，數據在商業應用中同樣重要，個人信息匿名化已經成為我國大數據產業發展中的一項重要課題。匿名化個人信息是數據產業發展的基礎，通過個人信息匿名化能提供足夠的原料支撐。但從保護個人信息角度出發，個人信息匿名化的重要目標是降低自然人個人信息在流通中的風險，維護其人格利益。因此，個人信息匿名化后，即進入流通領域，可有效促進數據產業發展，如促進政府公共事業管理、數字經濟發展等。但需注意的是，匿名化個人信息雖不具“識別性”，也并不意味著可以毫無限制地被處理，而需綜合考量被處理的環境等綜合因素，以滿足保護個人信息的基本法律需求。鑒于當下對匿名化個人信息實現“去匿名化”已無現實可能。從信息主體角度出發，數字時代背景下，自然人對其個人信息實現絕對控制已無可能，無論政府基于公共事業管理還是數字企業基于商業發展考量，都需要對自然人個人信息進行匿名化處理，在此過程中，信息主體隨時可能因匿名化個人信息被“去匿名化”而面臨被侵害的風險。因此，對于已經刪除個人身份標識的數據，應禁止再識別，即禁止“去匿名化”。

本文認為，雖然個人匿名化是當下技術場景中維持個人信息保護和個人信息利用間平衡的重要技術支持，但從信息主體角度出發，我國未來的個人信息保護相關立法應明確規定禁止匿名化個人信息的“去匿名化”，但也應存在例外，如為了維護國家利益、社會公共利益等，此時應有法律的明確規定。

5.3 “目的限制原則”的適用

數字時代背景下，個人信息價值不斷得以彰顯，與之對應，個人信息法律保護難度隨之增加。加強個人信息法律保護，主要在于信息主體同網絡運營者等數字企業間信息把控能力方面存在巨大差異的調整，在此場景中與民法所強調的民事主體平等、意思自治等私法理念“存在隔閡”[21]，并且“個人信息不僅具有人格尊嚴和自由價值”[22]，其所體現的商業經濟等綜合價值更是網絡運營者及其他主體不懈追求的動力。同時，從社會公共利益考量，代表國家的政府及相關部門處理個人信息亦可能會對信息主體合法權益造成危害，如我國新冠肺炎疫情防控期間所發生過的多起個人信息泄露事件。本文認為，無論出于商業利益或社會公共利益因素考量，處理匿名化個人信息行為必須以“目的限制原則”為指導。

5.4 完善信息控制者的責任

“法律責任的承擔是一個社會評價的過程”，彌補因侵權行為對當事人所造成的損害，以實現社會所追求的正義，而在侵權責任系統中，其價值在于對私權的補償，體現對“私權的尊重和保護”[23]。但在此過程中首先應當確定的是責任承擔的主體，其應處于侵權責任承擔系統的首位。從保護私權角度，受害者可直接向收集其個人信息的主體請求損害賠償。以新冠肺炎疫情防控期間的個人信息收集為例，在疫情防控期間收集、處理個人信息的主體較多，可向最先收集其個人信息的主體請求損害賠償，除非對方可證明已按規定盡到個人信息安全保護義務，反之，將承擔侵權責任。如此，民事主體的合法權益將得到有效法律保護。

完善信息控制者責任，并非加重其責任。鑒于信息控制者在市場活動中同信息主體相比具有絕對優勢地位，故在侵權法視閾，應適用過錯推定規則原則，以平衡信息主體同其他個人信息控制者的關系。民法視閾中，過錯推定原則是在原告證明其所受損害由被告所致，而被告不能證明自己無過錯情況下，被告應就其過錯承擔相應民事責任，從某種意義上講，過錯推定原則的適用，減輕了受害人的證明責任。因“法乃公平正義之術”，是故，過錯推定原則的適用不應隨意擴大，否則會不當加重被告的負擔，如此對被告存在不公，同國家所倡導的法治理念不符。質言之，只有在特定情況下受害人舉證加害人的行為存有過錯確有困難，如不適用過錯推定原則，受害人合法權益不能得到有效保護、有違社會公益等前提下，方有過錯推定適用空間。