王勇旗

（河南警察学院 郑州 450046）

1 背景及问题的提出

我国对匿名化的个人信息处理未有明确法律规定，在《个人信息保护法》第73条、《网络安全法》第42条和《民法典》第1038条规定了“无法识别且不能复原”的个人信息属于匿名化个人信息，《电子商务法（草案）》第50条也有相似规定，但最终颁布的《电子商务法》将其删除，2017年“两高”发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条采纳了相似规定。其他既有制度规范以“去标识化”“去身份化”“匿名”等与此相关术语体现。如2014年，由中国广告协会互动网络分会发布的行业规定《中国互联网定向广告用户信息保护行业框架标准》中对去身份化作出界定，是指“信息无法用于识别、确认或关联至某个特定用户”；2014年，由中国科学技术法学会、北京大学互联网法律中心发布的《互联网企业个人信息保护测评标准》，以“信息或信息集合无法合理识别特定用户身份的信息”统一作为去识别化和去身份化的界定；2019年，由国家市场监督管理总局和中国国家标准化管理委员会联合发布的《信息安全技术个人信息去标识化指南》中规定，去识别化个人信息是指“通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程”。

关于匿名化界定，有学者指出：“匿名化指的是让所有能揭示个人情况的信息都不出现在数据集里，比方说名字、生日、住址、信用卡号或者社会保险号等”[1]。从比较法角度分析，欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）中规定为“匿名化信息”（anonymous information），美国立法则采用“去身份化”（de-identification）表述。本文认为，从上述规范对“去标识化”“去身份化”“匿名”“匿名化”的规定可以看出，前三者内涵同匿名化并无实质区别，但结合本国（地区）实情，在具体操作中会存在不同。此类个人信息能否作为数字时代对其处理的正当性事由及如何对此类信息提供适格保护，目前我国既有制度未有确定性指引。

个人信息控制者包括信息主体和其他主体，如国家及代表国家行使职能的机构、非国家机构等，从信息主体角度讲，对其个人信息匿名化十分困难，而其他个人信息控制者则可依靠相关技术对其实施匿名化处理，并将其作为网络数据产品，以实现对个人信息的进一步利用。但其中存在一定的问题，相关主体可以通过技术手段对个人信息实施匿名化，反之，也可借助类似技术对匿名化的个人信息实施“去匿名化”，以达到对个人信息的可识别标准。此种场景下，个人信息安全饱受威胁，信息主体的人格利益及以人格利益为基础的财产性利益得不到有效保障，这也是当下个人信息处理正当性所应面对的重要问题。本文结合域外立法和相关司法实践，探讨匿名化个人信息的识别性问题，试图建构对匿名化个人信息处理的正当性规则，以实现个人信息保护与个人信息利用间的平衡。

2 个人信息匿名化的域外立法分析

匿名化属于计算机科学领域中一项重要技术手段。1997年，美国专家Samarati和Sweeney提出匿名模型方案，将其命名为“k-anonymity”[2]。随着人工智能算法分析技术发展，此类技术解决方案日渐成熟，在个人信息领域应用广泛。比较法上，欧盟地区立法基本采用“匿名化”（anonymization），并在GDPR得到确认，而美国采用“去身份化”（de-identification）术语，主要是因为不同国家和地区历史文化等背景不同。如上文所述，仅从术语上看，二者虽表述形式不同，但实质相似。结合本议题，我国既有法律等制度规范中对匿名化个人信息有相关规定，但多属原则性、指导性规定，虽然我国已制定专门的个人信息保护法，但既有规范仍存在碎片化、系统性不足、实际操作性弱等缺陷。鉴于此，文章从比较法角度分析个人信息匿名化基础问题，对分析匿名化的个人信息能否作为对其处理的正当性事由大有助益，对我国个人信息保护法中匿名化个人信息规定具有一定指导意义。

2.1 欧盟的规定

欧盟根据本地区历史文化背景，十分尊重自然人个人隐私权，重视自然人个人信息权益，并通过赋予每一个人都应该享有个人信息的基本人权来保护其个人信息[3]。在此背景下，欧盟对高新技术在个人信息领域的应用持相对保守态度，如对人工智能技术的发展和应用方面，2018年4月，欧盟委员会发布的《欧洲人工智能》（Artificial Intelligence for Europe）明确指出，欧盟采取“以人为本”理念发展人工智能技术，既注重发展人工智能产业，更关注人工智能技术对人类社会的伦理道德、法律等方面带来的挑战。基于此，2019年4月，欧盟先后发布《可信AI伦理指南》（EthicsGuidelines for Trustworthy AI）和《算法责任与透明治理框架》（A Governance Framework for Algorithmic Accountability and Transparency）。欧盟在个人信息利用和保护方面亦秉持较为保守的态度，认为个人数据的泄露不仅关乎财产安全，而且事关人格尊严，甚至生命。鉴于此，欧盟对个人信息保护持较为严格的立法态度，以统一立法形式对个人数据安全予以保护，兼以严格法律监控保证数据流通中的安全，以做到个人信息保护与利用间的平衡，并更侧重个人信息保护，为世界提供了一套较为严谨的个人信息保护方案[4]。

欧盟关于匿名化的概念最早出现在1995年制定的“95指令”的第26条，对于无法识别特定数据主体的匿名数据不适用数据保护规定。2014年4月，欧盟第29条工作小组（Article 29 Working Party）通过了《第05/2014号：关于匿名化技术的意见》（Opinion 05/2014 on Anonymisation Techniques），指出匿名化技术在欧盟既有法律框架内对数据保护的“有限性和局限性”[5]，并提出有针对性的意见和建议。2018年5月25日实施的《通用数据保护条例》是在《数据保护指令》（Date Protection Directive，简称“95指令”）基础上出台的，并在第4条第5款，对匿名化个人信息作出界定，指采用相关技术对个人信息进行处理后，非经其他信息辅助，不能识别出信息主体的个人信息“或以数据主体不能或不再可识别的方式匿名提供的个人信息”[6]。

2.1.1 欧盟第29条工作小组

欧盟第29条工作小组（Article 29 Working Party）是根据欧盟《关于在处理个人数据和此类数据自由流动方面保护个人的指令》第29条建立的，由欧盟成员国国家数据保护机构的代表、欧洲数据保护监督代表和欧洲委员会的代表组成，负责解释《数据保护指令》规定的机构之一。它是一个独立的欧洲数据保护和隐私咨询机构，通过发布有关欧盟个人数据保护指令不同方面的建议、意见和工作文件来执行此任务（截至2018年5月25日，该小组已不复存在，由欧洲数据保护委员会（EDPB）取代）。2014年4月10日，该小组通过了《第05/2014号：关于匿名化技术的意见》（以下简称《意见》）， 该意见涵盖了围绕数据匿名化的一系列法律和技术问题，并对匿名化技术进行说明：第一，个人信息匿名化后，必须被剥离足够的元素（sufficient elements），不能再使用“所有可能合理使用的手段”来识别信息主体身份，重点强调应是在“所有”、“可能”和“合理”等情况下，且结果是“不可逆的”（irreversible），并进一步指出，经过匿名化处理的转换数据或数据绝不能等同于欧盟数据保护法意义上的“匿名化数据”；第二，虽然该小组早在2013年已提出限制数据收集者控制处理个人数据的“目的限制原则”，在《意见》中对该原则进一步明确，指出匿名化只是数据处理的一种技术手段，数据收集者出于特定目的而收集个人信息，必须在目的范围内对数据做技术处理。虽然在数据处理中赋予处理者一定的灵活性，但对个人信息匿名化的过程或进一步处理等措施应符合《意见》所提出的目的限制原则，从根本上实现维护信息主体合法权益的目的，可谓运用现代处理技术手段同法律规范有效结合的有益尝试。

2.1.2 欧盟GDPR

欧盟从全体成员国利益角度出发，对欧盟境内属于自然人的个人信息实施一体化的强有力保护，不存在差别性对待，并在此前提下，保障数据（包括自然人个人信息）在欧盟境内的自由、无障碍流通。欧盟GDPR前言（26）对个人信息匿名化进行了如下规定：数据保护的原则应适用于任何与已识别或可识别自然人相关的信息。经过匿名化的个人信息，通过使用其他附加信息可识别出特定自然人的信息应被视为可识别出自然人的个人信息。确定自然人的个人信息是否可被识别，应考虑所有极有可能采取的手段，例如由控制人或其他人直接或间接地识别出自然人的方式。在此过程中，为确定是否极有可能使用手段来识别出自然人，应考虑所有客观因素，例如识别的成本和所需的时间，考虑到技术发展时可用的处理技术。因此，数据保护原则不应适用于匿名信息，即与已识别或可识别的自然人无关的信息，或与以无法识别或不再可识别数据主体的方式匿名的个人数据无关的信息。因此，本法规不涉及处理此类匿名信息，包括出于统计或研究目的。

从欧盟GDPR关于个人信息匿名化的规定，可以看出欧盟对匿名化个人信息的态度：第一，即使个人信息已被匿名化，但如结合其他附加信息或通过相关技术手段仍可识别出特定自然人，此类信息不应称被为匿名化的个人信息，仍受到GDPR的一体规制，受到特殊保护；第二，经匿名化的个人信息不受GDPR调整。换言之，此类信息通过考量所有可能的客观因素并实施所有可能的技术化手段，将个人信息进行处理，使其真正实现了匿名化，其目的在于将这些个人信息之间的点关系脱钩[7]，使其不存在任何可以识别出信息背后自然人的符号或特征，此类信息不在欧盟数据保护法的范围之内，可从隐私中分离出来，以实现此类数据在欧盟境内自由流通，实现对其处理具有了法律规定的正当性，以顺应数字经济发展；第三，匿名化的标准较高[5]。对于已被匿名化的个人信息，虽已不具备识别性，但同其他附加信息结合或借助相关技术手段可识别出信息背后的自然人，此类匿名化的个人信息不符合GDPR所规定的匿名化标准。此处所规定的匿名化是指在考虑到当下所有可能的手段，并参照技术发展水平和发展情况的条件下，对此类信息不能实现再识别。欧盟为防范匿名化的个人信息再次被识别，进而可能危害到信息背后的自然人，也考虑到匿名化的个人信息会随着周围情境的变化而再次转化为可识别的个人信息，引入了“动态风险管理”理念。该理念表现为在变化的动态环境中匿名化的个人信息能否再次被识别，取决于将来的技术水平发展程度和对个人信息的处理方式等因素，即该理念具有一定前瞻性。

2.2 美国

美国在大数据分析技术、人工智能、互联网应用等高新科技领域一直处于世界领先地位，为促进本国互联网数字经济发展，在个人信息保护方面，主要依赖市场机制调节企业自律，对个人信息保护则秉持较为宽松的立场。基于上述原因，美国对关涉互联网企业立法采取较为保守的态度，美国联邦尚未颁布专门针对个人信息保护的法律法规[8]。在个人信息匿名化问题上，美国采用与欧盟不同的思路和标准，持较为开放的标准，采用当下较为普遍的“简约化处理”[9]，一种“去身份化”措施，即以消除一组识别信息与信息主体之间关联的方式来达到个人信息不被识别的目的，这是一种为保障并促进本国互联网数字经济发展而采用的较为弱化的法律或政策。

2010年，美国政府发布的《个人信息保护指引》将“去身份化”界定为“通过删除足够的个人身份信息，以使剩余信息无法识别特定个人，并且没有合理的理由相信此信息可用于识别特定个人”。依据美国立法，对个人信息去身份化意味着“所有可能与特定个人的身份相关联的信息已被从相关的报告、数据或其他信息中移除”[13]，使处理后的个人信息同其背后的信息主体脱离关联，以尽量减少收集、使用、共享、传输等处理过程中所包含个人信息中的隐私信息，同时也可以规避相关主体在“去身份化”的个人信息处理过程中的风险，降低个人信息保护成本。然而，美国目前的法律和政策在规制不同主体使用“去身份化”的个人信息方面相当迟缓，通常是基于综合考量使用“去身份化”个人信息所产生的经济或社会效益同主体所可能面临的风险情况，来决定是否重新识别“去身份化”的个人信息[10]。但上述风险可能会随着相关技术的发展而变化，因此美国关于个人信息匿名化的政策应定期审查。

通过上述分析可知，匿名化是从技术角度处理个人信息的方式，使匿名化的个人信息不能再被识别出特定信息主体，这是不借助任何额外的信息前提的行为，但前提是此类附加信息必须单独保存，并应受制于技术和保护措施，以确保匿名化的个人信息不归因于已识别或可识别出背后的自然人。

通过比较分析欧盟对匿名化个人信息的界定可以看出，匿名化的个人信息将不会得到复原，根据欧盟第29条工作组的意见，“匿名”一词反映了最高或最强的取消身份识别级别，但是在欧盟GDPR规定中，较简单的身份验证（例如假名）被认为是保护隐私的措施，可以降低数据主体的风险。而美国法律规定的去身份化的个人信息，在一定条件下存在再被识别的可能。由此可以得出，欧盟注重从匿名化技术上保证匿名化的个人信息的存续性，而美国立法认为去身份化的个人信息存在被再次识别的可能，通过再识别风险预防，如隐私风险专家评估、签订协议等方式防控去身份化的个人信息出现再次被识别的风险。欧盟较美国而言，在个人信息匿名化标准问题上采用较为严苛的标准，并坚持规定目的限制原则和“动态风险管理”理念，旨在通过降低匿名化的个人信息被再识别的风险，以保护信息主体合法权益。

但其中存在的问题是：匿名化的个人信息，就算结果具有不可逆性，但基于当下大数据分析技术，是否仍有可能通过此匿名化的个人信息找出背后的信息主体？是否存在通过集合匿名化的个人信息，进而推断出属于某特定人的个人信息的可能性？质言之，即使在采取一切可能且合理的手段的前提下，对个人信息实施匿名化处理，仍存在被识别的风险。因为基于当下技术，在现实中匿名化（去身份化）的个人信息同个人信息间的界限并非十分清晰，始终处于动态变化之中，借助大数据分析等高新技术完全可以实现将匿名化（去身份化）的个人信息演化成为具有识别性的个人信息，当然，这主要取决于个人信息所处的不断变化的环境状况。由此可以看出，欧盟所采用的“动态风险管理”理念具有一定的借鉴价值。

3 匿名化个人信息的识别性问题

欧盟GDPR关于个人数据的定义表明，“识别性”始终处于判定是否是个人信息依据的核心位置，即无论是直接抑或间接，单一或组合信息，只要能识别出特定自然人，都属于个人信息[11]。识别，具体可包括已识别和可识别两类。所谓已识别，是指身份已被确认或具有显见特征，无需借助任何其他辅助条件，可单独达到识别效果并精准确定特定对象。而可识别，是指尚未呈现特定化，只是一种可能性，需借助外部条件来确定，包括确定的可识别和潜在的可识别两种类型。欧盟GDPR前言（26）条规定：确定自然人的个人信息是否可被识别，应考虑所有合理极有可能采取的手段，由控制人或另一人直接或间接地识别出自然人；为了确定是否合理地有可能使用其他手段来识别出自然人，应考虑所有客观因素，例如识别的成本和所需的时间，考虑到技术发展时可用的处理技术。数字时代，通过技术处理使得个人信息匿名化，是在保护自然人私权前提下，顺应数字经济发展所需，进而实现保护私权和数字经济发展间的平衡。根据前文对匿名化个人信息的分析，其应不存在被重新识别的可能性，但在数字时代，完全实现对个人信息的匿名化不具现实性，因为完全可通过“去匿名化”，使匿名化的个人信息再次被识别。即使如此，我们亦不应否认数字时代背景下，通过个人信息匿名化来保护信息主体私权的价值和意义。

匿名化个人信息是指经匿名化技术处理的个人信息应不具识别性，简言之，通过匿名化个人信息不能指出信息背后的特定自然人，即已无法识别自然人个人身份，为了使个人信息真正匿名，匿名化必须是不可逆的。根据我国《网络安全法》第42条第1款规定可以看出，匿名化的个人信息需具有“无法识别特定个人”与“不能复原”两个特征。匿名化的个人信息不仅应具有不可识别性，同时应在技术上不可复原。虽然欧盟对个人信息以识别性作为判断是否是个人信息的标准，但鉴于数字时代背景下，个人信息不仅应具识别性，还应具有关联性，而复原实际上可理解为《网络安全法》第76条第5款中“与其他信息结合识别”的间接识别，由此实现该规范文本的前后对应。

个人信息的匿名化是计算机科学领域的重要研究课题。虽然欧盟、美国及我国的法律等制度规范对此都有规定，以实现个人信息保护同数字经济发展间的平衡。但在计算机科学领域，对个人信息的匿名化同“去匿名化”一样，都可轻松实现。结合本议题，在数字时代，依托大数据算法分析等高新技术，实现对个人信息完全匿名化不具现实性。在此背景下，需要区分不同场景，对匿名化个人信息做不同要求。从个人信息角度分析，个人信息对信息主体而言，主要体现在人格利益，而对个人信息利用者而言，则注重其财产性等综合价值。前者通过保护个人信息以维护信息主体人格利益，即由信息主体对其个人信息实现完全控制，但鉴于个人信息在信息主体社会交往、工作、学习等方面具有不可或缺的作用，加之个人信息所具有的公共性价值，因此由信息主体实现对个人信息的完全控制不具可能性，在此种场景中，并不是匿名化个人信息价值体现场域，主要以个人信息的人格利益展现。数字时代背景下的个人信息控制者呈现多样性，匿名化个人信息主要体现场域在于商业利用和社会公共事业管理中，后者中的利用主体主要是代表国家的政府及相关机构。匿名化个人信息控制者在实际运用中，一方面需要收集大体量个人信息以满足其不同需求，另一方面为规避法律风险，则需要借助技术手段以确保匿名化的个人信息不被再识别。在此场景中，无论对信息主体抑或匿名化信息控制者而言，基于维护信息主体私权和满足信息控制者商业或其他需求，匿名化个人信息都不应被再识别。换言之，在匿名化个人信息利用中，只有提高再识别的风险，信息主体人格利益的保护才更周延，并可有效遏制商业活动等处理匿名化个人信息的不当行为。

匿名化的个人信息不应再被识别，是个人信息匿名化后风险最小化目标考量的结果，但并非意味着其不可再次被识别，这在当前技术条件下完全可以实现。此处所言匿名化的个人信息不应再被识别，可从个人信息同匿名化个人信息间的关系阐释。本文认为，个人信息不仅包含人格利益，还兼具财产利益、公共性价值等非人格利益，但其重心应是人格利益。当个人信息经匿名化处理后，其所包涵的人格利益和非人格利益将出现分离，不具识别性的匿名化个人信息体现非人格性利益。匿名化的个人信息便于在商业、社会公共事业管理等事务中自由流通，体现其综合价值，这也是数字时代背景下数字产业发展的必然。但鉴于在既有技术条件下，可轻松实现对匿名化的个人信息“去匿名化”，进而对匿名化个人信息背后自然人合法权益构成威胁，而在保护信息主体私权不被非法侵犯前提下，亦不妨碍匿名化个人信息在流通中综合价值的实现，本文认为，匿名化个人信息不应再被识别。但如为了满足公共利益等符合法律规定的正当需求，需对匿名化个人信息重新再识别，属于处理个人信息行为，应受到个人信息保护法等法律制度规范调整，并应在首先做好个人信息保护基础上，根据目的限制原则，在符合一定比例的前提下进行“去匿名化”，以达到重新被识别标准。而对于非法的“去匿名化”处理行为，并给信息主体造成危害的，行为主体应承当相应的侵权责任。

4 处理匿名化个人信息正当性的规则设计

本杰明·N. 卡多佐（Benjamin N. Cardozo）指出：“当新的问题产生，公平和正义会指引人们的思维找到解决方案，而当人们仔细审视这些解决方案，就会发现它们是和平衡与秩序相一致的。”[12]处理匿名化个人信息，并非毫无限制，必须在既定法律框架内进行，鉴于我国有关匿名化个人信息的法律规范不统一，呈现“碎片化”。在数字时代背景下，匿名化个人信息的处理不仅涉及信息主体合法权益问题，亦同当下数字经济发展、社会公共事业管理水平有关。在此背景下，我们应秉持固有的基本价值理念和操守，在维护信息主体合法权益基础上，设计处理匿名化个人信息的正当性规则。

4.1 逻辑前提：个人信息概念的审慎界定

无论从何种角度出发，概念界定不仅在法律科学中扮演重要角色[13]，而且是分析对象的逻辑前提。结合本议题，匿名化个人信息的基础是个人信息，而个人信息同时也是个人信息保护法所调整的对象，对个人信息概念分析，关系到个人信息匿名化的边界。我国虽已制定个人信息保护法，但学界对个人信息界定仍未达成共识。建立具有可行性的个人信息匿名化规则制度的重要基础是准确界定个人信息概念。从比较法角度可知，如欧盟GDPR中规定“个人数据匿名化”的基础即是建立在“个人数据”概念之上。由此可以看出，我国个人信息保护类法如要实现对匿名化个人信息的有效规制，并使其可作为处理行为的正当性基础，应结合数字时代特殊场景审视界定个人信息概念。

当抽象概括性和一般描述性概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时，大家首先会想到的补助思考形式是“类型”[14]。本文结合上文对个人信息的分类，综合认为，不同类型个人信息的匿名化要求应有不同，是否可作为处理行为正当性基础应结合不同类型的个人信息而定。如从信息主体角度讲，未成年人个人信息匿名化同成年人个人信息匿名化要求标准上应有不同；按个人信息同信息主体间的私密性程度所划分的个人生物识别信息、个人敏感信息和个人普通信息，在匿名化标准和要求上不应一致。对涉及未成年人和同自然人身份密切度更高的个人信息，如个人身份信息（personally identifiable information）是当单独使用或与其他相关数据一起使用时可以识别个人的信息，敏感的个人身份信息可包括姓名、社会保险号、驾驶执照、财务信息和病历信息等，此类个人信息匿名化标准应有更高要求[15]。虽然我国已颁布并实施个人信息保护法，但应进一步审慎界定个人信息概念，并在此基础上完善个人信息匿名化的规则设计，为不同主体处理个人信息提供具有指导意义的法律规范，如此，既满足保护自然人个人信息的立法宗旨，同时又可满足数字经济发展、社会公共事业管理等合法、合理需求。

4.2 标准塑造：确立具有可执行性的个人信息匿名化标准

欧盟十分重视个人信息保护，关涉处理个人信息问题持较为谨慎态度，对个人信息匿名化已形成基本框架，并在标准设计等方面积累了有益经验。匿名化个人信息作为可合法处理的对象，在匿名化标准上采取相当严格的态度。总结起来，欧盟在个人信息匿名化标准问题上可从以下几点说明：首先，从识别上看，即按照匿名化要求并对个人信息执行相应程序后，是否仍可识别出匿名化个人信息背后的信息主体；其次，从关联度上看，被执行匿名化程序的个人信息，是否同被匿名化个人信息主体的其他个人信息产生关联；再次，从一般人的推断上看，一般社会主体处理被匿名化的个人信息，是否会从中推断出其背后的信息主体；另外，引入“动态风险管理”理念，充分考虑将来的技术水平发展程度以及个人信息的处理方式等因素，对匿名化个人信息的潜在风险进行动态管理；最后，依据目的限制原则，对匿名化个人信息处理的目的不能违背个人信息匿名化之前所设定的目的，否则应承担侵权责任。

从欧盟个人信息匿名化标准可以看出，其主要通过技术手段并结合“动态风险管理”理念来防止匿名化个人信息的“去匿名化”，注重对个人信息保护，并在此基础上进行对该类信息的处理。一如前述，数字时代背景下，借助大数据分析等高新技术，实现对匿名化个人信息的“去匿名化”，进而识别出其背后的特定自然人已成现实。从技术角度对匿名化个人信息“去匿名化”进行防范，已不现实。若要塑造统一适用且有效的个人信息匿名化标准，不仅应分析匿名化标准本身，同时应关注匿名化个人信息及其被处理时的具体环境，形成类似于欧盟“动态风险管理”的检测方案。英国有学者称之为“功能匿名化(functional anony mization) ”方案，他们认为，当下匿名化失败的原因，主要在于人们过于关注匿名化技术及匿名化个人信息本身，而忽视匿名化个人信息所处的环境，易言之，一个信息是否是匿名化个人信息，并非仅从是否被采取匿名化技术而定，而应结合其所处的环境而定[16]。我国未来系统性个人信息保护相关法规中对个人信息匿名化标准问题的设置，不仅应关注个人信息匿名化本身，亦应综合考量匿名化个人信息被处理时的具体场景，并结合处理匿名化个人信息的目的初衷，制定具有可操作性的个人信息匿名化标准，以综合判定对其处理是否具有正当性。

5 实现个人信息保护与个人信息利用间的平衡

欧盟和美国虽然在个人信息匿名化问题上采用不同思路，如欧盟注重从技术上对个人信息进行匿名化处理，而美国强调风险评估，对信息的直接和间接标识符进行综合判断，以此判定其是否具有识别性。具而言之，欧盟制定了个人信息匿名化制度，并在此基础上积累了大量有益经验，对匿名化个人信息基本实现了“多元化”规制模式[17]，而美国基于不同场景下可能面临的不同风险进行综合分析，同欧盟的“动态风险管理”理念实属“异曲同工”。二者都极为重视动态环境下对匿名化个人信息的判定，进而认定对其处理是否具有正当性，对于维持个人信息保护和个人信息利用间的平衡意义重大，具有重要的参考价值。质言之，个人信息保护法制本身具有双重目标，即保护个人信息，并在此基础上促进个人信息的利用。这是数字时代背景下个人信息的综合价值，优势是使其商业价值不断彰显，如切断个人信息利用，数字产业发展将无从谈起，这在数字时代是不可想象的。但也存在个人信息保护和个人信息利用之间的博弈，而匿名化技术是个人信息利用中的一个重要环节，是推动个人信息利用的重要路径。因此我们在面向个人信息保护和个人信息利用的博弈中，应在“技术信仰和人身信仰”中突出“人身信仰”理念[18]，对匿名化个人信息处理应以保护自然人个人信息为基础前提，促进数字产业发展，其中尤为关键的是，应从源头上保障所收集的个人信息具有合法性，在处理中禁止匿名化个人信息的“去匿名化”，并结合目的限制原则在整个匿名化个人信息处理中的运用，以实现个人信息保护和个人信息利用的平衡。

5.1 保证所收集的个人信息具有合法性

合法性是现代社会法治的一个基本原则或要求[19]。“法与时转则治”，数字时代，合法原则对限制网络运营者及其他主体处理个人信息以保护信息主体合法权益具有基础性意义，在此过程中都应符合我国既定法律、法规、司法解释等制度规范，包括但不限于《消费者权益保护法》《妇女权益保障法》《身份证法》《刑法》《未成年人保护法》《网络安全法》《互联网上网服务营业场所管理条例》《征信业管理条例》《儿童个人信息网络保护规定》《民法典》《个人信息保护法》等有关个人信息保护的制度规范。换言之，在自然人个人信息被处理时应妥当保护个人信息安全，以合法原则为底线，且在此过程中应妥当处理好数据产业发展与个人信息保护之间的平衡关系。为满足我国数据产业发展需求，应当鼓励数据产业正常发展，在数据产业发展中信息流通至为重要，而匿名化个人信息是在保护自然人个人信息基础上的技术处理，在此过程中个人信息的收集是其首要环节。是故，个人信息的收集主体应以合法性原则为底线，这是我国法治现代化进程中的重要一环，亦是我国《民法典》制定个人信息保护篇章所秉持的立法原则。

我国《民法典》第1035条第1款规定：“处理个人信息，应当遵循合法、正当、必要原则”，在第2款中规定，收集是处理的情形之一。面向个人信息场景，收集行为是处理个人信息的前提，即在符合《民法典》第1035条第1款中“合法”前提下对个人信息进行收集，才能使其后如“存储、加工、使用”等行为具有合法性。我国《网络安全法》第42条第1款虽然没有明确指出匿名化信息的来源，但我们对此应从“合法性”角度进行限缩解释，即处理匿名化个人信息的前提应满足其所收集的个人信息具有合法性。如此，既是我国保护个人信息所需，又可实现《民法典》《网络安全法》《个人信息保护法》的有效衔接，为我国未来个人信息保护系统类立法提供思路。结合本议题，个人信息的匿名化应以个人信息控制者所收集的个人信息为前提，对于非法收集的个人信息不能进行匿名化处理已是当下个人信息保护法视阈中的基本规则之一[20]。在实际操作中，控制个人信息的主体如对其控制的个人信息进行匿名化处理，必须证明其所收集的个人信息具有合法性，包括收集程序、手段等方面，如对匿名化个人信息背后的信息主体发生侵权，在归责原则上应采用过错推定，由处理者证明其所收集个人信息的合法性。保证收集的个人信息具有合法性是实现个人信息保护同个人信息利用间平衡的基础，而对个人信息进行匿名化处理是个人信息利用的方式之一。

5.2 禁止匿名化个人信息的“去匿名化”

匿名化作为计算机科学领域的重要研究领域，属于数据挖掘技术，在数字时代个人信息流通中具有重要作用，成为被处理时具有正当性的核心要素。而“去匿名化”可通过相似技术实现对去标识化的信息进行重新识别，以确定匿名化信息背后的真实个体。2015年国务院发布的《促进大数据发展行动纲要》指出，政府在社会公共事业管理机制建设中要实现“用数据说话、用数据决策、用数据管理、用数据创新”的统合配套模式，数据在商业应用中同样重要，个人信息匿名化已经成为我国大数据产业发展中的一项重要课题。匿名化个人信息是数据产业发展的基础，通过个人信息匿名化能提供足够的原料支撑。但从保护个人信息角度出发，个人信息匿名化的重要目标是降低自然人个人信息在流通中的风险，维护其人格利益。因此，个人信息匿名化后，即进入流通领域，可有效促进数据产业发展，如促进政府公共事业管理、数字经济发展等。但需注意的是，匿名化个人信息虽不具“识别性”，也并不意味着可以毫无限制地被处理，而需综合考量被处理的环境等综合因素，以满足保护个人信息的基本法律需求。鉴于当下对匿名化个人信息实现“去匿名化”已无现实可能。从信息主体角度出发，数字时代背景下，自然人对其个人信息实现绝对控制已无可能，无论政府基于公共事业管理还是数字企业基于商业发展考量，都需要对自然人个人信息进行匿名化处理，在此过程中，信息主体随时可能因匿名化个人信息被“去匿名化”而面临被侵害的风险。因此，对于已经删除个人身份标识的数据，应禁止再识别，即禁止“去匿名化”。

本文认为，虽然个人匿名化是当下技术场景中维持个人信息保护和个人信息利用间平衡的重要技术支持，但从信息主体角度出发，我国未来的个人信息保护相关立法应明确规定禁止匿名化个人信息的“去匿名化”，但也应存在例外，如为了维护国家利益、社会公共利益等，此时应有法律的明确规定。

5.3 “目的限制原则”的适用

数字时代背景下，个人信息价值不断得以彰显，与之对应，个人信息法律保护难度随之增加。加强个人信息法律保护，主要在于信息主体同网络运营者等数字企业间信息把控能力方面存在巨大差异的调整，在此场景中与民法所强调的民事主体平等、意思自治等私法理念“存在隔阂”[21]，并且“个人信息不仅具有人格尊严和自由价值”[22]，其所体现的商业经济等综合价值更是网络运营者及其他主体不懈追求的动力。同时，从社会公共利益考量，代表国家的政府及相关部门处理个人信息亦可能会对信息主体合法权益造成危害，如我国新冠肺炎疫情防控期间所发生过的多起个人信息泄露事件。本文认为，无论出于商业利益或社会公共利益因素考量，处理匿名化个人信息行为必须以“目的限制原则”为指导。

5.4 完善信息控制者的责任

“法律责任的承担是一个社会评价的过程”，弥补因侵权行为对当事人所造成的损害，以实现社会所追求的正义，而在侵权责任系统中，其价值在于对私权的补偿，体现对“私权的尊重和保护”[23]。但在此过程中首先应当确定的是责任承担的主体，其应处于侵权责任承担系统的首位。从保护私权角度，受害者可直接向收集其个人信息的主体请求损害赔偿。以新冠肺炎疫情防控期间的个人信息收集为例，在疫情防控期间收集、处理个人信息的主体较多，可向最先收集其个人信息的主体请求损害赔偿，除非对方可证明已按规定尽到个人信息安全保护义务，反之，将承担侵权责任。如此，民事主体的合法权益将得到有效法律保护。

完善信息控制者责任，并非加重其责任。鉴于信息控制者在市场活动中同信息主体相比具有绝对优势地位，故在侵权法视阈，应适用过错推定规则原则，以平衡信息主体同其他个人信息控制者的关系。民法视阈中，过错推定原则是在原告证明其所受损害由被告所致，而被告不能证明自己无过错情况下，被告应就其过错承担相应民事责任，从某种意义上讲，过错推定原则的适用，减轻了受害人的证明责任。因“法乃公平正义之术”，是故，过错推定原则的适用不应随意扩大，否则会不当加重被告的负担，如此对被告存在不公，同国家所倡导的法治理念不符。质言之，只有在特定情况下受害人举证加害人的行为存有过错确有困难，如不适用过错推定原则，受害人合法权益不能得到有效保护、有违社会公益等前提下，方有过错推定适用空间。